Réalisez la topologie sur le simulateur Eve-ng, adressez les équipements et configurez
le routage eigrp.
M. DOMAN 1|Page Master1 SRS CCNP SEC SENSS 2019
Question 1: control plane policing (02 pts)
Nous souhaitons limiter le nombre de paquets eigrp reçus par le routeur R2. Pour cela nous allons configurer le control plane pour qu’il n’accepte que 50 paquets eigrp par seconde. Voici les étapes de configuration :
• création d’une ACL ;
• création d’un class-map ; • création d’un policy-map ; • configuration du control plane virtual interface.
ip access-list extended ACL_CPP
création d’une ACL permit eigrp any any exit
class-map match-all CM_CPP
création d’un class-map match access-group name ACL_CPP exit
policy-map PM_CPP match CM_CPP création d’un policy-map police rate 50 pps conform-action transmit exceed-action drop exit
control-plane configuration du CPP service-policy input PM_CPP
Question 2: vérifications (02 pts)
show run class-map
show run policy-map
show control-plane aggragate features
show control-plane aggragate counters
show policy-map control-plane input
Question 3: control plane protection (02 pts)
Le control-plane virtual interface est divisé en trois sous-interfaces :
• control-plane host : il gère le trafic destiné aux interfaces à savoir le trafic de
gestion, les protocoles de routage (eigrp, bgp), les terminaisons de tunnel etc. ;
M. DOMAN 2|Page Master1 SRS CCNP SEC SENSS 2019
• control-plane cef-exception : il gère le trafic redirigé vers le CPU par le host, les protocoles de routage (ospf, ebgp), le ARP ; • control-plane transit : il gère le trafic traité par le CPU.
Il s’agit de protéger le CPU contre un usage excessif. Il faut empêcher le trafic indésirable d’arriver sur le CPU.
Pour l’exemple précédent, nous voulons limiter le nombre de paquets eigrp à 50, cependant, nous ne voulons pas que le trafic excédent soit éliminé par le CPU, nous voulons qu’il soit éliminé avant d’atteindre le CPU.
control-plane no service-policy input PM_CPP control-plane host service-policy input PM_CPP
pour les verifications:
show control-plane host features
show control-plane host counters show policy-map control-plane host
Question 4: CPP limitation de l’ARP (02 pts)
Nous nous proposons de limiter le nombre de paquets ARP qui traversent le routeur à 10 paquets par seconde. Toutefois, les paquets excédents doivent être éliminés avant d’atteindre le CPU.
class-map match-all CM_CPP_ARP
création d’un class-map match protocol arp exit
policy-map PM_CPP_CEF match CM_CPP_ARP création d’un policy-map police rate 10 pps conform-action transmit exceed-action drop exit
control-plane cef-exception configuration du CPP service-policy input PM_CPP_CEF
M. DOMAN 3|Page Master1 SRS CCNP SEC SENSS 2019
pour les verifications:
show run class-map
show run policy-map show control-plane cef-exception features show control-plane cef-exception counters show policy-map control-plane cef-exception
On remarque qu’aucun paquet ne match notre policy-map. C’est parce que la table ARP est déjà pourvue. Il faut couper et rallumer les interfaces pour que le processus ARP reprenne sur le routeur R2.
show ip arp interface range e0/0, s1/0-1 shutdown no shutdown
et refaites:
show policy-map control-plane cef-exception
Maintenant, nous avons des paquets qui match la règle du policy-map.
M. DOMAN 4|Page Master1 SRS CCNP SEC SENSS 2019
PARTIE 2 : Management Plane Protection (08 pts)
C’est une sous-configuration du CPP. Le MPP permet de :
• Protéger le routeur et son CPU contre les attaques dirigées contre le Management Plane ; • Décider de l’interface sur laquelle le routeur peut recevoir des informations de management ; • Choisir quel protocole de management doit arriver sur le routeur.
Question 5 : telnet, ssh et http sur R2 (02 pts)
Sur R2, effectuez les configurations nécessaires pour que le routeur R3 soit configurable par TELNET, SSH et HTTPS.
Faites les vérifications à partir de R1 et R3
ssh -l <user> 10.2.2.2 | telent 10.2.2.2 | sh ssh | sh user | s hip ssh
M. DOMAN 5|Page Master1 SRS CCNP SEC SENSS 2019
Question 6 : telnet, ssh et http sur R2 (02 pts)
Sur R2, nous souhaitons que les informations de management proviennent uniquement de e0/0 et jamais de s1/0 ni de s1/1. Nous voulons autoriser que le SSH et le HTTPS pour la gestion du routeur.
