Vous êtes sur la page 1sur 15

Membre du groupe

1- AMOUZOUN Marc
2- TCHAGBELE Cherifou
3- ALKHALI Saleh
4- DJOUTSING Epiphanie
5- SOULEYMAN Moctar
6- ABDELWAHID Mahamat Haggar

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
RTN / EC2LT
Réseaux et Techniques Numériques
Ecole Centrale des Logiciels Libres et de Télécommunications

Cours de réseaux local


[Master 2 Télécoms réseaux et services]

SOMMAIRE

I- Architecture et configuration d’un routeur Cisco


1- Composant d’un routeur Cisco
2- Processus de d’amorçage
3- Fonction principal du routeur
4- Principaux modes du routeur
5- Méthodes d’accès a l’environnement ILC
6- Configuration de base
 configuration de mot de passe à l'accès Privilégié
 Configuration du mot de passe de la console
 Configuration de l'accès Telnet au routeur
 Configuration de l'accès ssh au routeur
 Sauvegarde des configurations sur un serveur tftp

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
II- Liste de contrôle d’accès sur un routeur
1- Liste de contrôle d’accès (ACL) standard numérotée
2- Liste de contrôle d’accès (ACL) standard norme
3- Liste de contrôle d’accès (ACL) étendue numérotée
4- Liste de contrôle d’accès (ACL) étendue normée

III- NAT et du PAT (surcharge NAT)


1- Configuration du NAT
 NAT statique
 NAT dynamique
2- Configuration PAT

IV- Filtrage sur les Switchs manageables


1- Configuration de la sécurité d’un port d’accès
2- Modification des paramètres de sécurité d’un port

V- Configuration du DHCP et du DHCP Relay


VI- Couplage Radius –switch
VII- Configuration Radius – Ldap-switch

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
I- Architecture et configuration d’un routeur cisco

1- Composant d’un routeur Cisco


 UC
 Mémoire vive
 Mémoire morte
 S.E
 Mémoire flash
 Mémoire vive non volatile

2- Processus de d’amorçages
 Exécution su post
 Chargement du programme d’amorçages
 Localisation et chargement du logiciel ios
 Localisation et chargement du fichier de configuration initiale ou passage en mode
configuration

3- Fonction principal du routeur


 Détermination du meilleur chemin pour l’envoie des parquets
 Transfert des paquets vers leurs destinations

4- Principaux modes du routeur


 Mode d’exécution d’utilisateur
 Mode d’exécution privilégié
 Mode d’exécution global
 Autre modes de configurations spécifiques

5- Méthodes d’accès a l’environnement ILC


- Console : permet la connexion hors réseau à un routeur
- ssh ou Telnet
- Port aux : permet d’accéder aux périphériques via une connexion téléphonique
commuté.

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
6- Configuration de base
 Configuration mot de passe à l'accès Privilégié

Router > enable


Router # configure terminal
Router (config) #enable password_mot_de_passe

 Configuration mot de passe de la console

Router (config) #line console 0


#passwordpasser
#login
#exit
//crypter le mot de passe
#service password-encryption
 Configuration de l'accès Telnet

Router > enable


Password:
Router # configure terminal
Router (config) # line vty 0 4
Router (config-line) # passwordmot_de_passe
Router (config-line) # login
Router (config-line) # exit
#usernamemarcopasswordmarco
 Configuration de l'accès ssh au routeur

Router>en
Router#conf t
Router(config)#usernamesamipasswordali
Router(config)#hostname R1
R1 (config)#crypto key generate rsa
R1 (config)#ip ssh version 2
R1 (config)#line vty 0 1
R1 (config-line)#password mot_de_passe
R1 (config-line)#transport input ssh
R1 (config-line)#login local
R1 (config-line)#exit
R1 (config)#wr

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
 Sauvegarde des configurations sur un serveur tftp

//sauvegarde sur un serveur


R1#copy startup-config tftp
//restaurer la configuration
#copy tftp startup-config

II- Liste de contrôle d’acces sur un routeur


Une liste de contrôle d’accès est un ensemble séquentiel d’instruction, d’autorisation ou de
refus qui s’applique aux adresses ou aux protocoles de couches supérieures.

1- Liste de contrôle d’accès (ACL) standard numérotée


Par la règle suivante, nous autorisons uniquement le réseau 192.168.10.0 à accéder au
réseau 192.168.20.0 :

#access-list 10 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

Appliquons ensuite la règle à une interface :

#interface fa0/0
#ip access-group 10 in
On remarque ici la présence d’un « in »cela signifie en « entrée ».

2- Liste de contrôle d’accès (ACL) standard norme


#conf t
#ip access-list standartnom_list
#deny host 192.168.1.10
#permit 192.168.1.0 0.0.0.255
#intfa 0/11
Ip access group nom_list out

Cet exemple autorise les hôtes du réseau 192.168.1.0 à l’exception du 192.168.1.10 à sortir.

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
3- Liste de contrôle d’accès (ACL) étendue numérotée
#access-lit 114 permit tcp 192.168.20.0 0.0.0.255 any eq 80
#access-lit 116 permit tcp 192.168.20.0 0.0.0.255 established
#Int serial 0/0/0
#Ip access-group 103 out
#ip access-group 104 in //autorise les reponses
On autorise le réseau 192.168.20.0 à faire des requêtes « http »

4- Liste de contrôle d’accès (ACL) étendue normée


#access-list extended nom_list1
#permit tcp 192.168.1.20.0 0.0.0.255 any eq 80
#access-list extended nom_list2
#permit tcp 192.168.1.20.0 0.0.0.255 established
#Int serial 0/0/0
#Ip access-group nom_list1 out
#ip access-group nom_list2 in
On autorise le réseau 192.168.20.0 à faire des requêtes « http »

III- NAT et du PAT(surcharge NAT)

1- Configuration du NAT
Il existe 2 types de NAT : le NAT dynamique et le NAT statique

 NAT statique

Il consiste à associer une adresse IP publique à une adresse IP privée interne au réseau.
Le routeur (ou plus exactement la passerelle) permet donc d'associer à une adresse IP privée
(par exemple 176.16.1.1) une adresse IP publique routable sur internet et de faire la
traduction, dans un sens comme dans l'autre, en modifiant l'adresse dans le paquet IP.

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
#ip nat inside source static 176.16.1.1 193.49.15.50
#interface FastEthernet 0
#ip nat inside
#interface FastEthernet 1
#ip nat outside

 NAT dynamique

IL permet de partager une adresse IP routable (ou un nombre réduit d'adresses IP routables)
entre plusieurs machines en adressage privé. Ainsi, toutes les machines du réseau interne
possèdent virtuellement, vu de l'extérieur, la même adresse IP.

#ip nat pool plage1 193.49.15.50 193.49.15.60


#ip nat inside source liste 1 pool plage1
#interface FastEthernet 0
#ip nat inside
#interface FastEthernet 1
#ip nat outside
#access-list 1 permit 176.16.1.0 0.0.0.255

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
2- Configuration PAT

#ip nat inside source liste 1 interface FastEthernet 2 overload


#interface FastEthernet 0
#ip nat inside
#interface FastEthernet 1
#ip nat inside
#interface FastEthernet 2
#ip nat outside
#access-list 1 permit 176.16.1.0 0.0.0.255

IV- Filtrage sur les switchs manageable

1- Configuration de la sécurité d’un port d’accès

Configurons le port du commutateur FastEthernet 0/18 de sorte qu’il accepte deux


périphériques uniquement, qu’il acquière les adresses MAC de ces périphériques de façon
dynamique et bloque le trafic issu d’hôtes non valides en cas de violation.

Comm1(config)#interface fastethernet 0/18


Comm1(config-if)#switchport mode access
Comm1(config-if)#switchportportsecurity
Comm1(config-if)#switchportportsecurity maximum 2
Comm1(config-if)#switchportportsecurity mac-address sticky
Comm1(config-if)#switchportportsecurity violation protect
Comm1(config-if)#exit

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
2- modification des paramètres de sécurité d’un port

Sur l’interface FastEthernet 0/18, faisons passer le nombre maximum d’adresses MAC pour la
sécurité des ports à 1 et paramétrons la désactivation en cas de violation.

Comm1(config)#interface fastethernet 0/18


Comm1(configif)# switchportportsecurity maximum 1
Comm1(configif)# switchportportsecurity violation shutdown

V- configuration du DHCP et du DHCP Relay

NB : Les différentes configurations effectuées prendront en compte le schéma suivant

- Configuration du routeur relay

R1(config)#interface fa0/0
R1(config-if)#ip helper-address 192.168.2.0
R1(config)#interface fa0/1
R1(config-if)#ip helper-address 192.168.2.0

- Configuration du serveur dhcp

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
VI- Couplage Radius –switch
A ce niveau, l’authentification des utilisateurs se feront au niveau du serveur Radius.

- Paquet utilisé : freeradius


- Port : 1812
- Répertoire des fichiers de configuration: /etc/freeradius

1- Configuration du serveur radius


#apt-getinstall freeradius
#vim /etc/freeradius/clients.conf // créer un compte pourleswitch
client addresse_ip_switch {
secret = clé_partagée
}
#vim/etc/freeradius/users //création du compte de l’utilisateurCherif
Cleartext-Password := ‘‘passer’’

2- Configuration du Switch

 Activation du 802.1X et déclaration du serveur radius


Switch#config terminal
Switch(config)#aaa new-model

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
Switch(config)#aaa authentication dot1x default group radius

 Authentificationréseau avec Radius


Switch(config)#dot1x system-auth-control
Switch(config)#aaa authorization network default group radius
Switch(config)#radius-server host ADRESSE_IP_SERVEUR_RADIUS auth-port
1812 key CLÉ_PARTAGÉE

 Configuration des ports sur lesquels se feront l’authentification

Switch(config)#interface fastEthernet 0/1


Switch(config-if)#switchport mode access
Switch(config-if)#dot1x port-control auto

VII- Configuration Radius-Ldap-switch

1- Configuration Radius
#vim /etc/freeradius/site-enable/default
// activer le paramètre ldap dans
//les zones : authorize, Authenticate, post-auth

#vim/etc/freeradius/modules/ldap
server = "adresse_ip_ldap" //l'adresse IP du serveurLdap
identity = "cn=Manager,dc=ec2lt,dc=sn" //le compte de l'admin
password = passer //mdp de l'admin
basedn = "dc=ec2lt,dc=sn" //le suffix
filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})" //le filtre
password_attribute = userPassword //l'attribut qui correspond au mot de passe

#vim /etc/freeradius/sites-enabled/inner-tunnel
//Activer le paramètre ldap de la section authorize

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
2- Configuration du serveur Ldap
- Paquets a installe : slapd, ldap-utils, freeradius-ldap

# apt-get install slapd ldap-utils


# cd /etc/ldap
#vim cn=config/olcDatabase={1}hdb.ldif

//renseigner la racine
olcSuffix: dc=ec2lt,dc=sn

// définir l’administrateur du serveur


olcRootDN: cn=Manager,dc=ec2lt,dc=sn

// le mot de passe de l’administrateur du serveur


olcRootPW: passer
//définir les acl
olcAccess: {0}to attrs=userPassword,shadowLastChange by self write by
anonymous
s auth by dn="cn=Manager,dc=ec2lt,dc=sn" write by * none

olcAccess: {2}to * by self write by dn="cn=Manager,dc=ec2lt,dc=sn" write by


* read

//configuration du client
# vim /etc/ldap/ldap.conf

BASE dc=ec2lt,dc=sn
HOST @_ip_serveur

3- création de fichier ldif


//la racine
#vim racine .ldif

dn: dc=ec2lt,dc=sn
objectclass: dcObject
objectclass: organization
dc: ec2lt
o: ec2lt

// les unitésorganisationnelles

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
#vimou.ldif

#unité organisationnelle« telecoms»


dn: ou=telecoms,dc=ec2lt,dc=sn
objectclass: organizationalUnit
ou: telecoms

#unité organisationnelle« informatique »


dn: ou=informatique,dc=ec2lt,dc=sn
objectclass: organizationalUnit
ou: informatique

//les utilisateurs

dn: uid=saleh,ou=informatique,dc=fox,dc=sn
objectClass: radiusObjectProfile
objectClass: radiusprofile
cn: saleh
uid: saleh
dialupAccess: yes
userPassword: passer
radiusTunnelMediumType: IEEE-802
radiusTunnelType: VLAN
radiusTunnelPrivateGroupId: 10

// insérer les informations des fichiers ldif dans l’annuaire

#ldapadd -x -f racine.ldif -W -D ''cn=Manager,dc=ec2lt,dc=sn''


#ldapadd -x -f ou.ldif -W -D ''cn=Manager,dc=ec2lt,dc=sn''
#ldapadd -x -f user.ldif -W -D ''cn=Manager,dc=ec2lt,dc=sn''

// voir les informations insérées


#ldapsearch -x

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
4- Introduire le schéma de radius dans ldap

//copier le schéma
#cp /usr/share/doc/freeradius/exemples/openldap.schema
/etc/freeradius/schema

//on se déplace sur le répertoireschéma et on crée un fichier

#cd /etc/ldap/shema
#vim shema-convert
Include /etc/ldap/shema/openldap.shema

//on crée un répertoire dans schéma


# mkdir convert-output
# slaptest –f schema-convert -F ./convert-output

#vim convert-output/cn\=config/cn\=schema/cn\=\{0\}radius.ldif
dn: cn=radius,cn=schema,cn=config
cn: radius
//Enlever les 7 dernières lignes

# cd convert-output/cn\=config/cn\=schema/

# ldapadd -Y EXTERNAL -H ldapi:/// -f ./cn\=\{0\}radius.ldif

NB: la configuration du Switch reste la même.

Ecole Centrale des Logiciels Libres et de Télécommunications


Zone de Captage, Dakar – Sénégal
Tel : (+221) 33 867 45 90 || (+221) 77 517 17 71
http://www.ec2lt.sn || http://formation.rtn.sn/moodle

Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356

Vous aimerez peut-être aussi