UNIVERSITE MOHAMED PREMIER

ECOLE SUPERIEURE DE TECHNOLOGIE

Département Génie Informatique
OUJDA

ADMINISTRATION DES RÉSEAUX

Omar MOUSSAOUI
Omar.moussaoui78@gmail.com

2017 — 2018

2ème année ASR

M14 : Administration & Sécurité des Réseaux
 Plan
 1ère partie : Prise en main du matériels réseau
 2ème partie : La commutation
 VLAN
 Spanning-Tree (802.1D)
 Configuration des VLAN, Spanning-Tree, VTP sur un Switch Cisco

 3ème partie : Le routage

 Interfaces du routeur, table de routage, …
 Routage statique / dynamique
 Commandes de bases Cisco pour le routage

 4ème partie : Firewalls

 Listes de contrôle d'accès

 5ème partie : Gestion réseau à distance

 Protocole SNMP, MIB
 Introduction
 Le rôle d’un administrateur réseau consiste (entre autre) à
 Mettre en place et maintenir l’infrastructure du réseau
 Installer et maintenir les services nécessaires au fonctionnement du réseau
 Assurer la sécurité des données internes au réseau
 S’assurer que les utilisateurs n’outrepassent pas leurs droits
 Gérer les “logins” : i.e. noms d’utilisateurs, mot de passe, droits d’accès, permissions
particulières, . . .
 Gérer les systèmes de fichiers partagés et les maintenir
 Assurer la sauvegarde des données
 Former les utilisateurs et les assister en cas de panne
 Pouvoir diagnostiquer puis procéder à la réparation des pannes
 Gérer le budget dédié à l’administration du réseau
 Assurer une veille technologique

L’Administrateur réseau
➔est garant du bon fonctionnement du réseau informatique d’une entreprise
➔est responsable de ce qui peut se passer à partir du réseau administré
1ère partie
Prise en main du matériels réseau
Cette première partie a pour objectif de découvrir les matériels
Cisco et d’effectuer les opérations élémentaires : accès,
configuration de base, sauvegarde/mémorisation
 Plan
 Présentation générale
 IOS : Internet-working Operating System
 Mémoires
 Initialisation
 Modes de configuration
 Sauvegarde de la configuration
 Annexe
 Configuration de base
 Sauvegarde de configuration
 Présentation générale
 Un routeur (ou un commutateur) Cisco peut être administré ou
paramétré de différentes façons
 Localement ou à distance
 Par Telnet, page web ou en ligne de commande(CLI)
 Présentation générale
 Configuration locale
 Port Console
◼ Il est utilisé pour relier directement un PC avec HyperTerminal ou Putty (par
exemple) en utilisant un câble série
◼ Cisco fournit pour cela des câbles plats bleu pâle
◼ Le port console est indispensable si le routeur n'a pas d’adresse IP de
configurée
 Configuration distante
◼ Dès qu’une adresse IP a été configurée sur le routeur, il est possible de configurer ce
dernier à distance, à partir d'un ordinateur
◼ La communication utilise alors l'une des interfaces de réseau du routeur (Ethernet, adsl, série
…)
◼ Les différentes sources de configuration peuvent être
◼ Un navigateur web : http://@IP_du_routeur
◼ Une fenêtre de commande : Telnet @IP_du_routeur
◼ Un serveur TFTP qui permettra de télécharger un fichier de configuration sur le routeur
 IOS
 IOS signifie Internet-working Operating System
 À l’instar d’un ordinateur personnel, un routeur ou un commutateur ne peut
pas fonctionner sans système d’exploitation
 Sans système d’exploitation, le matériel est inopérant
 Cisco IOS est le logiciel système des périphériques Cisco

 Il existe différentes version d'IOS, en fonction de l'appareil, des

fonctionnalités voulues et de la mémoire du routeur (ou commutateur)
 Mémoires
 Un routeur (ou un commutateur) dispose de plusieurs types de
mémoires
 ROM (Read Only Memory)
◼ Stocke le programme auto-test de mise sous tension (POST = Power-On Self-Test),
le programme d'amorçage du routeur, tout ou partie du système d'exploitation
appelé IOS
 NVRAM (RAM non volatile)
◼ Contient le fichier de configuration du routeur tel qu'il sera au démarrage
(configuration de démarrage, aussi appelée Start-Up Configuration ou START)
 RAM Flash
◼ Contient une ou plusieurs versions d'IOS. (La RAM Flash est couramment appelé la
FLASH).
 RAM (Random Access Memory)
◼ Contient la configuration active du routeur (configuration en cours aussi appelée
Running Configuration ou RUN), la table de routage, les adresses IP, …
 Initialisation
 Séquence d'initialisation d'un routeur CISCO

 Lors de l'étape N°3, si aucun fichier de configuration n'est trouvé, le routeur se met en
mode SETUP
◼ mode de configuration à l’aide d’une suite de questions
 Sauvegarde de la configuration
 Un routeur (ou commutateur) contient deux fichiers de configuration
 Startup-config
◼ Le fichier de configuration initiale (startup-config) est utilisé au démarrage du système pour
configurer le périphérique
◼ Ce fichier est stocké en mémoire vive non volatile (NVRAM)
 Sauvegarde de la configuration
 Running-config
◼ Le fichier de configuration running-config représente la configuration en cours de
fonctionnement
◼ Si on modifie un paramètre, on modifie ce fichier

◼ Pour sauvegarder la configuration en cours avant extinction du routeur, il faut taper

la commande suivante
◼ Router# copy running-config startup-config
◼ Ainsi, lors du prochain redémarrage, on récupèrera la configuration sauvegardée
◼ Pour récupérer la configuration initiale du routeur, il faut taper la commande
suivante
◼ Router# copy startup-config running-config
◼ Pour effacer la configuration initiale du routeur, il faut taper la commande suivante
◼ Router# wr erase
◼ Pour recharger la configuration startup, il faut taper
◼ Router# reload
Modes de configuration
 Modes de configuration
 Présentation
 Les appareils Cisco proposent plusieurs modes de configuration
◼ Chaque mode permet d’effectuer des tâches particulières et possède un jeu de commandes spécifiques
qui sont disponibles lorsque le mode est en vigueur
 Dans l’ordre de haut en bas, les principaux modes sont les suivants
◼ mode d’exécution utilisateur
◼ mode d’exécution privilégié
◼ mode de configuration globale
◼ autres modes de configuration spécifiques

 Invite de commande
 Par exemple, pour configurer une interface réseau, il faudra passer par les modes "utilisateur",
"privilégié" puis "config global »
 L'invite de commande change en fonction du mode dans lequel on se trouve
 Modes de configuration
 Passage d'un mode à l'autre
 La figure ci-dessous présente quelques exemples de commandes à taper pour passer d'un mode
à l'autre

Router> enable Router(config)#interface …..

Switch> enable Router# configure terminal Switch(config)#hostname ….
Switch# configure terminal

Pour revenir en arrière, il suffit de taper exit ou Ctrl-Z

 Modes de configuration
 Aide contextuelle
 Cisco IOS propose une aide dans l'utilisation de ses commandes
◼ On utilise pour cela le ?
 Exemples
◼ Router# ? Affiche la liste des commandes possibles
◼ Router# cl? Affiche la liste des commandes possibles commençant par "cl"
◼ Router# clock ? Affiche la liste des commandes possibles associées à "clock"

 Commandes abrégées
 Il n'est pas utile de taper toute la commande
◼ On peut ainsi abréger certaines commandes
 Exemples
◼ Router# sh ip int br à la place de Router# show ip interface brief
◼ Router# copy run start à la place de Router# copy running-config startup-config

 Dans le même ordre d’idée, on peut rappeler les commandes précédemment entrées
en utilisant les flèches Haut et Bas
 Modes de configuration
 Messages d'erreur
 Lorsque la commande n'est pas valide ou incomplète, un message ou un symbole
apparait
 Exemples
ANNEXE
Configuration de base
Sauvegarde de configuration
 Configuration de base
 Configuration du nom et du mot de passe
 La configuration initiale d’un périphérique Cisco IOS requiert la configuration du nom
du périphérique, puis des mots de passe utilisés pour contrôler l’accès aux diverses
fonctions du périphérique

 Autres mots de passe

 Configuration de base
 Configuration d’une interface (routeur)
 Les étapes de configuration d’une interface sont les suivantes
◼ Étape 1: Spécification du type d’interface et du numéro de port de l’interface
◼ Étape 2: Spécification d’une description de l’interface
◼ Étape 3: Configuration de l’adresse IP et du masque de sous-réseau de l’interface
◼ Étape 4: Définition de la fréquence d’horloge si vous configurez une interface série en tant
que DCE
◼ Étape 5: Activation de l’interface
 Configuration de base
 Configuration d’une interface (switch)
 Si on veut pouvoir administrer un commutateur à partir d'un client Telnet sur un PC, ou
par l'une des interfaces LAN ou WAN, il faut affecter une adresse IP au vlan
d'administration qui est souvent le vlan par défaut
 La configuration de l'interface se fait à partir du mode de configuration globale
◼ Switch(config)#interface vlan 1
◼ Switch(config-if)#ip address ip-address ip-mask
◼ Switch(config-if)#no shutdown
 Vérifications
 Router# show running-config
 Router# show ip interfaces brief
 Lien utile
 http://www.commentcamarche.net/faq/17126-routeurs-cisco-parametres-de-
base
 Sauvegarde-configuration
 Copier/Coller
 Il est possible de faire un Copier/Coller depuis ou vers HyperTerminal
◼ Cela permet de sauvegarder une configuration dans un fichier texte
 Pour restaurer une configuration, il faut d’abord se placer en mode de configuration globale
◼ Router> enable
◼ Router# configure terminal
◼ Router(config)# A cet endroit, « collez » votre fichier texte

 Utilisation d’un serveur tftp

 Le serveur TFTP permet de sauvegarder/restaurer un fichier de configuration mais aussi (et
surtout !) un IOS complet pour une mise à jour ou suite à un crash
 L’utilisation de TFTP n’est possible que si le routeur communique avec le PC par IP
◼ 1. Télécharger et installer Solarwinds TFTP
◼ 2. Dans TFTP Server, configurer le répertoire de travail du serveur
◼ 3. Relever l’adresse IP de votre ordinateur
◼ 4. Sauvegarder la configuration courante
◼ Router# copy run tftp

◼ 5. Et répondre aux questions (adresse du serveur TFTP et nom du fichier)

 Le principe est le même depuis le serveur TFTP vers le routeur (ou commutateur)
2nde partie : La commutation
Cette seconde partie vise l’installation et la
configuration des commutateurs
 Plan
 Rôle du commutateur
 VLAN
 Mise en situation
 Principe de fonctionnement
 Différents types de VLAN
 Etiquetage des trames (802.1Q)
 Spanning-Tree (802.1D)
 Vlan Trunking Protocol: VTP
 Annexes
 Configuration des VLAN sur un switch Cisco
 Configuration Spanning-Tree sur un switch Cisco
 Configuration VTP sur un switch Cisco
 Rôle du commutateur
 Le commutateur (switch) assure la connexion entre les ordinateurs du
réseau, au même titre qu’un hub, mais en plus performant
 Lorsqu’un hub reçoit une trame, il la réémet sur tous les ports
◼ Cela signifie qu’un seul ordinateur peut émettre à un moment donné
 Lorsqu’un Switch reçoit une trame, il la réémet uniquement sur le port auquel est
connecté le destinataire
◼ Cela signifie qu’il peut y avoir plusieurs « communications » simultanées
 Rôle du commutateur
 Afin d’orienter correctement les communications, le switch mémorise dans
une table l’adresse MAC, les machines et le port auquel elles sont
connectées
 VLAN: Mise en situation
 Dans une entreprise ou une organisation administrative, il n’est pas rare que
des machines géographiquement voisines ne fassent pas partie du même
service / réseau
 Exemple 1
 dans la salle des professeurs, on
pourra trouver un ordinateur
connectés au réseau pédagogique
et un ordinateur connecté au réseau
administratif
 Ces ordinateurs ne doivent pas
communiquer pour des questions de
sécurité. Pour ce faire, il faut utiliser
des matériels distincts : switchs,
câbles, fibres. Bref, il faut tout en
double

Le routeur représente le point potentiel d’interconnexion entre les deux réseaux. Cependant, les
interfaces réseau étant différentes, la communication entre les deux sera impossible, sauf
paramétrage spécifique.
 VLAN: Mise en situation
 Exemple 2
 tous les ordinateurs sont reliés aux mêmes équipements et utilisent les mêmes voies de transmissions
entre bâtiments. Pourtant, les ordinateurs pédagogiques et administratifs ne peuvent
communiquer, malgré le fait qu’ils possèdent des IP compatibles
◼ Ceci est dû au fait que ce réseau utilise les VLAN ou réseaux virtuels
 VLAN: Principe de fonctionnement
 Un VLAN ou réseau virtuel est un regroupement de postes de travail
indépendamment de la localisation géographique sur le réseau
 Ces stations pourront communiquer comme si elle était sur le même segment
 Un VLAN est identifié par un numéro (VLAN ID)
 Dans le schéma de l’exemple 2, les postes du réseau administratif font
partie d’un VLAN, les postes du réseau pédagogique font partie d’un autre
VLAN, lesquels ne peuvent communiquer, sauf par le biais du routeur, s’il
est programmé pour cela
 VLAN: Types de VLAN
 VLAN par port
 Un VLAN par port, aussi appelé VLAN de niveau 1 (pour physique), est obtenu en
associant chaque port du commutateur à un VLAN particulier
 C'est une solution simple, qui a été rapidement mise en œuvre par les constructeurs
 Les VLAN par port manquent de souplesse
◼ Tout déplacement d'une station nécessite une reconfiguration des ports

◼ De plus, toutes les stations reliées sur un port par l'intermédiaire d'un même
concentrateur, appartiennent au même VLAN
 VLAN: Types de VLAN
 VLAN par adresse MAC
 Un VLAN par adresse MAC, ou VLAN de niveau 2 est constitué en associant les
adresses MAC des stations à chaque VLAN
 L'intérêt de ce type de VLAN est surtout l'indépendance de la localisation
◼ La station peut être déplacée, son adresse physique ne changeant pas, il est inutile de reconfigurer le
VLAN
 Les VLAN configurable avec l'adresse MAC sont bien adaptés à l'utilisation de
stations portables
 Cependant, la configuration peut s'avérer fastidieuse car elle nécessite de renseigner
une table de correspondance avec toutes les adresses MAC et elle doit être partagée
par tous les commutateurs
 VLAN: Types de VLAN
 VLAN par sous-réseau
 Également appelé VLAN de niveau 3, un VLAN par sous réseau utilise les adresses IP
 Un réseau virtuel est associé à chaque sous réseau IP
◼ Dans ce cas, les commutateurs apprennent la configuration et il est possible de changer une station de
place sans reconfigurer le VLAN
 Cette solution est l'une des plus intéressantes, malgré une petite dégradation des
performances de la commutation due à l'analyse des informations de niveau 3
 Autres Types de VLAN
 On trouve dans la littérature des références au Vlan par protocoles
◼ C’est à dire qu’on associe une trame à un Vlan en fonction du protocole qu’elle transporte
◼ Ce protocole peut être un protocole de niveau 3 pour isoler les flux IP, IPX, AppleTalk, ...
◼ Mais on peut trouver aussi des Vlan construits à partir de protocole supérieur (H320)
 On parle quelquefois de Vlan par règles ou par types de service
 Enfin le réseau Wi-fi pose des problèmes de sécurité que les Vlan peuvent résoudre.
Ainsi une solution basée sur des Vlan par SSID est envisageable
 VLAN: 802.1Q
 Etiquetage des trames (802.1Q)
 Comment le commutateur de gauche recevant une trame du commutateur de droite
peut-il savoir à quel VLAN elle appartient ?

 On utilise pour cela le marquage (tag) des trames

◼ Concrètement, on ajoute un en-tête supplémentaire contenant notamment le n° de VLAN (VID) auquel
appartient la trame
 VLAN: 802.1Q
 Etiquetage des trames (802.1Q)
 L’idée cette fois-ci est de modifier les trames Ethernet qui vont circuler sur les câbles.
Pour ce faire
◼ on va ajouter une étiquette (Tag) qui va contenir le numéro du VLAN auquel appartient la trame
◼ Il va donc être possible de faire circuler sur un même port (de manière alternative) des trames issues
des différents VLAN sans qu’il n’y ait la moindre collision
◼ Cela revient à faire passer des trames issues de réseaux différents dans un même tuyau tout en assurant
une isolation parfaite des réseaux
◼ On parlera de VLAN étiquetés (Tagged)
 La norme 802.1Q définit trois sortes de trames
◼ Les trames non étiquetées (untagged frame)
◼ Les trames étiquetées (tagged frame)
◼ Les trames étiquetées par une priorité (priority-tagged frame)
 Dans le langage Cisco, un port taggué est appelé « trunk »

-Les Switchs doivent être configurés de la même manière, c'est-à-dire utiliser les mêmes numéros
de VLAN
- Dès lors que l’on souhaite faire passer 2 VLANs par un seul port, il est nécessaire d’étiqueter le
port en question
 VLAN: 802.1Q

Champ Rôle
TPID Tag Protocol Identifier, permet de préciser que la trame contient des données relatives au VLAN.
La valeur est fixée à 0x8100
Priority Permet de préciser le niveau de priorité du VLAN. 8 valeurs sont possibles. Sert à la QoS

CFI Canonical Format Identifier, permet d’arrêter ou non la propagation de la trame au travers des
VLANs
VLAN ID Permet d’identifier le VLAN auquel appartient la trame. Il y a 4094 valeurs possibles
 Spanning-Tree
 Mise en situation
 Dans une architecture informatique, il arrive que le réseau comporte des boucles
◼ plusieurs chemins possibles pour aller d'un point à un autre
 Ce système présente un avantage certain
◼ la redondance permet de pallier une éventuelle coupure d'un lien
 Mais cette redondance, si elle est mal gérée, peut entrainer des problèmes très
importants
◼ Tempête de broadcast
◼ Trames reçues en double
◼ Tables d'adresses MAC imparfaites
 Spanning-Tree
 Mise en situation

 Tempête de broadcast
1. PC1 envoie une requête ARP (en broadcast)
2. SW1 reçoit sur le port 1 et diffuse sur les ports 12 et 24
3a. SW2 reçoit sur le port 4 et diffuse vers 2 et 8
3b. En même temps, SW2 reçoit sur le port 8 et diffuse vers 4 et 2
4a. SW1 reçoit sur le port 24 et diffuse vers 1 et 12
4b. En même temps, SW1 reçoit sur le port 12 et diffuse sur 1 et 24
5. Répétition de 3a et 3b
6. Répétition de 4a et 4b

Les trames n'ayant pas de durée de vie (TTL comme les paquets IP), elles peuvent tourner
indéfiniment ➔ ce phénomène génère un trafic inutile très important
 Spanning-Tree
 Mise en situation
 Trames reçues en double
1. PC1 envoie un ping vers PC2
2. SW1 reçoit sur le port 1 et diffuse (ports 12 et 24) car il ne connait pas la position de
PC2
3a. SW2 reçoit la demande ping sur le port 4 et l’envoie vers PC2
3b. En même temps, SW2 reçoit la demande ping sur le port 8 et envoie vers PC2
➔ PC2 aura donc reçu deux demandes identiques

❑ Tables d'adresses MAC imparfaites

❑ Du fait des diffusions en double, les tables des Switchs se remplissent de manière imparfaites
ou erronées
❑ Par exemple, SW2 "pensera" que PC1 est connecté sur son port 4 ou 8 ?
❑ Avec des architectures plus complexes, une trame pourrait ainsi emprunter un chemin plus
long que nécessaire
 Spanning-Tree
 Présentation du Spanning-Tree
 Afin d'éviter les problèmes cités plus haut, on utilise un système chargé de détecter les
boucles et de désactiver les liens redondants
 C'est le protocole Spanning-Tree, ou Arbre de Recouvrement

Avant Après : le lien S2-S3 est désactivé

 Il existe plusieurs protocoles de Spanning-Tree

◼ Le plus connu est le STP ou 802.1D
 Spanning-Tree : 802.1D
 Fonctionnement du protocole STP (802.1D)
 1ère étape : Sélection du Root bridge
◼ Le Root Bridge (switch racine) est celui qui a la plus petite Bridge Identity (BID). Il s'agit d'un nombre
composé de
◼ Une priorité, comprise entre 1 et 655356 (par défaut à 32768).
◼ L'adresse MAC du switch, pour départager en cas d'égalité sur la priorité.

 2ème étape : Sélection du meilleur chemin

◼ L'étape suivante consiste à sélectionner le meilleur chemin depuis les switchs vers le Root Bridge
◼ Chaque liaison à un «coût» : 10Gb/s ➔ 2, 1Gb/s ➔ 4, 100Mb/s ➔ 19, 10Mb/s ➔ 100
◼ Le coût le plus faible l'emporte
◼ En cas d'égalité parfaite (coût, puis @MAC), c'est le numéro de port le plus faible qui détermine le
«gagnant»

 3ème étape : Activation des ports

◼ En fonction des deux étapes précédentes, les ports sont activés ou désactivés
◼ Actif, ou Forwarding : C'est le fonctionnement habituel d'un port de commutateur
◼ Inactif ou Blocking : Le port est désactivé mais lit/transmet les trames STP pour être informé en cas
de défaillance
 Spanning-Tree: 802.1D
 Fonctionnement du protocole STP (802.1D)
 Nom des ports
◼ Root Port : Ce sont les ports qui mènent au Root Bridge. Le Root Port reçoit les messages émis pas le Root
Bridge
◼ Designated Ports : Ce sont les ports qui émettent les trames 802.1D à destination des différents
commutateurs
◼ Chaque "Designated Port" émet une trame BPDU (Bridge Protocol Data Unit) en Multicast. Tous les switchs
prenant en charge le protocole STP en sont les destinataires
◼ Non designated Port ou Blocking Port, représente les ports qui n'émettent pas de données. Ces ports lisent
quand même les messages 802.1D
 Vlan Trunking Protocol: VTP
 VTP ou VLAN Trunking Protocol est un protocole propriétaire de niveau 2
utilisé pour configurer et administrer les VLAN sur les périphériques Cisco
 Fonctionnement du protocole VTP
 VTP permet d'ajouter, renommer ou supprimer un ou plusieurs VLANs sur un seul commutateur (le
serveur) qui propagera cette nouvelle configuration à l'ensemble des autres commutateurs du
réseau (clients)
 VTP permet ainsi d'éviter toute incohérence de configuration des VLAN sur l'ensemble d'un
réseau local
 VTP fonctionne sur les commutateurs Cisco dans un de ces 3 modes : client, serveur ou
transparent
 Les administrateurs peuvent changer les informations de VLAN sur les commutateurs fonctionnant
en mode serveur uniquement. Une fois que les modifications sont appliquées, elles sont
distribuées à tout le domaine VTP au travers des liens « trunk » (Cisco ISL ou IEEE 802.1Q)
◼ En mode transparent, le Switch reçoit les mises à jour et les transmet à ses voisins sans les prendre en
compte. Il peut créer, modifier ou supprimer ses propres VLAN mais ne les transmet pas
◼ En mode client, les Switchs appliquent automatiquement les changements reçus du domaine VTP
 Les configurations VTP successives du réseau ont un numéro de révision. Si le numéro de révision
reçu par un Switch client est plus grand que celui en cours, la nouvelle configuration est
appliquée. Sinon, elle est ignorée.
◼ Quand un nouveau commutateur est ajouté au domaine VTP, le numéro de révision de celui-ci doit être
réinitialisé pour éviter les conflits
ANNEXE
Configuration des VLAN sur un switch Cisco
Configuration Spanning-Tree sur un switch Cisco
Configuration VTP sur un switch Cisco
 Configuration des VLAN sur un switch Cisco
 Création des Vlan
Commande
Switch> enable
Switch# vlan database
Switch(vlan)# vlan 2 name peda
Switch(vlan)# vlan 3 name admin
Switch(vlan)# exit
 Affectation des ports (ports 1 à 4 : VLAN 2 - ports 9 à 12 VLAN 3)
Commande
Switch# configure terminal
Switch(config)# interface fastEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 2
Switch(config-if)# exit
Switch(config)# interface fastEthernet 0/9
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 3
Switch(config-if)# exit
Switch(config)# interface range fastEthernet 0/1 - 4
Description
Passer en mode privilégié
Passer en mode de configuration spécifique de VLAN
Créer le VLAN nommé peda avec le VID=2
Créer le VLAN nommé admin avec le VID=3
Quitter le mode de configuration spécifique de VLAN
Description
Passer en mode de configuration global
paramétrage du port n°1
pas de tag sur ce port (il connecte un périphérique terminal)
affectation du port au vlan 2
paramétrage du port n°9
pas de tag sur ce port (access)
affectation du port au vlan 3
Pour configurer plusieurs interfaces en même temps ➔
configure les ports 1 à 4 (ne fonctionne pas avec tous les IOS)
 Configuration des VLAN sur un switch Cisco
 Création du lien taggué ou trunk (port 24)
 NB: Selon les IOS, la fonction trunk est automatique ou à paramétrer manuellement

Commande
Switch(config)# interface fastEthernet 0/24
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# exit
Description
paramétrage du port n°24
ce lien sera tagué (trunk ➔ connecte un autre commutateur
pour transporter du trafic de plusieurs VLANs)
...au format 802.1Q
(commande inutile sur Cisco 2950 et +)

 Quelques commandes utiles en mode utilisateur privilégié (enable)

Commande Description
Switch# show vlan Voir la configuration des VLAN
Switch# show conf Voir la configuration de démarrage
Switch# show run Voir la configuration en cours
Switch# show ip int brief Voir le statut des ports
Switch# show interface trunk Voir les ports taggués (ne fonctionne pas sur
tous les IOS)
Switch# erase flash :vlan.dat Supprimer tous les vlans
Switch(vlan)#no vlan id Supprimer le VLAN de numéro id en mode de
configuration vlan (vlan database)
Ctrl Z Pour quitter un mode
 Configuration Spanning-Tree sur un switch Cisco
 Par défaut, le Spanning-Tree est activé sur les commutateurs Cisco sur le
Vlan 1 (qui contient tous les ports)
 Pour le diagnostic
 Switch#show spanning-tree [?]
 Désactivation de STP
 Switch(config)#no spanning-tree vlan vlan-id
 Priorité du switch
 Switch(config)#spanning-tree [vlan vlan-id] priority priority
 Pour plus d'info
 http://cisco.goffinet.org/s3/spanning_tree
 http://www.cisco.com/warp/public/473/spanning_tree1.swf (animation)
 http://www.cisco.com/en/US/tech/tk389/tk621/technologies_configuration_exa
mple09186a008009467c.shtml#steps
 Configuration VTP sur un switch Cisco
 Entrer dans la configuration des Vlans
 Switch# vlan database
 Créer ici tous les Vlans nécessaires
 Switch(vlan)# ???
 Affecter un nom au domaine VTP
 Switch(vlan)#vtp domain domain-name
 Définir le rôle du switch dans le domaine VTP
 Switch(vlan)#vtp mode {client | server | transparent}
 Pour plus d'info
 http://fr.wikipedia.org/wiki/VLAN_Trunking_Protocol

 http://www.nemako.net/dc2/?post/VTP-VLAN-Trunking-Protocol

 http://www.cisco.com/en/US/tech/tk389/tk689/technologies_configuration_example
09186a0080890607.shtml
3ème partie : le routage
Cette 3ème partie vise l’installation et la
configuration des routeurs
 Plan
 Introduction
 Interfaces du routeur
 Table de routage
 Types de routes
 Fonction de commutation
 Routage statique
 Routage dynamique
 ANNEXE : Commandes de bases Cisco pour le
routage
 Routage statique: Configuration & vérification
 Routage RIP: Configuration & vérification
 Routage OSPF: Activation & vérification
 Introduction
 Un routeur, pour quoi faire ?
 Dans un petit réseau d’entreprise ou
chez les particuliers, tous les
ordinateurs sont reliés directement et
accèdent à Internet en passant par un
routeur.
 Lorsque l’entreprise est importante,
établie sur différents sites, elle
dispose de plusieurs réseaux, reliées
entre eux par des routeurs.
 Internet, réseau des réseaux, est
constitué de milliers de routeurs,
capables d’acheminer l’information
d’un ordinateur à un autre.
 Introduction
 Principe de fonctionnement du routage
 Lorsqu’un ordinateur émet un message vers un autre, hors de son réseau, ce massage est
transmis au routeur. Ce routeur effectue les actions suivantes
◼ Lit l’adresse du destinataire
◼ Consulte sa table de routage pour déterminer la route à suivre pour atteindre cette destination
◼ Transmet le message au routeur suivant (ou au destinataire s’il est à côté)
 Dans l’illustration ci-dessous, le poste H1 veut envoyer un message au poste H3. Plusieurs routeurs
ont déjà été traversés. Le message est arrivé au niveau de R2.
 Interfaces du routeur
 Un routeur relie plusieurs réseaux
 Pour ce faire, il dispose de plusieurs interfaces, chacune appartenant à un réseau IP
différent
 Ces interfaces peuvent être connectées à des réseaux locaux (LAN) ou à des
réseaux étendus (WAN)
 Les connecteurs et les supports de transmission sont donc spécifiques.
Néanmoins, toutes les interfaces possèdent leur propre adresse IP
 Interfaces du routeur
 Côté LAN
 le routeur possède généralement une interface Ethernet
 Le connecteur est de type RJ45
 Comme une carte réseau Ethernet de PC, une interface Ethernet de routeur possède
également une adresse MAC de couche 2 et participe au réseau local Ethernet de la
même manière que tous les autres hôtes de ce réseau
 Il fait généralement office de passerelle par défaut pour les machines connectées sur
cette interface
 Côté WAN
 Les interfaces WAN servent à connecter les routeurs à des réseaux externes,
généralement sur une distance géographique importante
 L’encapsulation de couche 2 peut être de différents types, notamment PPP, Frame
Relay et HDLC (High-Level Data Link Control).
 À l’instar des interfaces LAN, chaque interface WAN a sa propre adresse IP et son
propre masque de sous-réseau
Interfaces du routeur
 Table de routage
 Adresse de destination
 Lorsqu’un routeur reçoit un paquet, il examine l’adresse IP de destination pour savoir où
le transférer
 L’adresse de destination est composée d’une partie réseau et d’une partie hôte
 Le routeur s’intéresse à la partie réseau
◼ Pour cela, il effectue un ET logique entre l’adresse et le masque correspondant

 Exemple
Adresse de destination 194 . 51 . 3. 49
Masque correspondant 255 . 255 . 255 . 0

Adresse réseau de destination 194 . 51 . 3. 0

 Table de routage
 Un routeur utilise une table de routage pour déterminer le lieu
d’expédition des paquets
 La table de routage contient un ensemble de routes
 Chaque route décrit la passerelle ou l’interface utilisée par le routeur pour
atteindre un réseau donné
 Une route possède quatre composants principaux
 le réseau de destination
 le masque de sous-réseau
 l’adresse de passerelle ou d’interface
 le coût de la route ou la mesure
 Mécanisme de décision
 Chaque routeur prend sa décision tout seul, en fonction des informations disponibles dans sa
table de routage
 Le fait qu’un routeur dispose de certaines informations dans sa table de routage ne signifie pas
que les autres routeurs ont les mêmes informations
 Les informations de routage concernant un chemin menant d’un réseau à un autre ne
fournissent aucune information sur le chemin inverse ou le chemin de retour
 Table de routage
 Exemple
Réseaux Masque Moyen de l’atteindre Métrique
192.168.2.0 255.255.255.0 eth0 0
100.0.0.0 255.0.0.0 eth1 0
101.0.0.0 255.0.0.0 eth2 0
192.168.1.0 255.255.255.0 100.0.0.1 1
192.168.3.0 255.255.255.0 101.0.0.2 1

 Cette table de routage correspond au routeur du milieu dans le réseau ci-dessous

 Par exemple, pour atteindre le réseau 192.168.1.0, le routeur central devra transmettre le
message à l’adresse 100.0.0.1 via l’interface Eth1 et devra franchir un autre routeur avant
d’arriver à destination
 Types de routes
 Une table de routage peut contenir différents types de routes
 Elles sont classées en 4 grandes catégories
 La table de routage ci-dessous présente ces catégories
 Types de routes
 Routes directement connectées (C)
 Il s’agit des réseaux directement reliés au routeur
 Routes statiques (S)
 Ce sont des routes programmées manuellement, en indiquant l’adresse et le masque de
destination, ainsi que la passerelle correspondant
 Routes dynamiques (R) ou (O) ou (D)
 Ces routes ont été envoyées au routeur par les routeurs voisins
 Il peut ainsi apprendre la configuration du réseau en échangeant avec ses voisins
 Il existe différents protocoles dynamique, parmi lesquels on peut citer RIP, OSPF, BGP
 Route par défaut (S*)
 La route par défaut est un type de route statique qui spécifie une passerelle à utiliser lorsque la
table de routage ne contient pas de chemin vers le réseau de destination

Si le routeur ne trouve pas de route correspondant à l’adresse de destination et qu’il ne

possède pas de route par défaut, le message est tout simplement détruit. L’expéditeur est
alors informé par un message icmp.

Un routeur contient la plupart du temps ces 4 types de routes simultanément.

 Fonction de commutation
 Que fait un routeur d’un paquet qu’il a reçu d’un réseau et qui est
destiné à un autre réseau ?
 Le routeur effectue les trois étapes principales suivantes
◼ Il décapsule le paquet de couche 3 en supprimant l’en-tête et la queue de bande de la
trame de couche 2
◼ Il examine l’adresse IP de destination du paquet IP pour trouver le meilleur chemin dans la
table de routage
◼ Il encapsule le paquet de couche 3 dans une nouvelle trame de couche 2 et transfère la
trame à l’interface de sortie
 Il est fort possible que le paquet soit encapsulé dans un type de trame
de couche 2 différent de celui dans lequel il a été reçu
 Par exemple, le paquet peut être reçu par le routeur sur une interface FastEthernet, encapsulé
dans une trame Ethernet et transféré d’une interface série encapsulé dans une trame PPP
 Routage statique
 Quand utiliser les routes statiques ?
 Les routes statiques doivent être utilisées dans les cas suivants
◼ Un réseau ne comporte que quelques routeurs
◼ Dans ce cas, l’utilisation d’un protocole de routage dynamique ne présente aucun
bénéfice substantiel
◼ Au contraire, le routage dynamique risque d’accroître la charge administrative
◼ Un réseau est connecté à Internet par le biais d’un seul FAI
◼ Il n’est pas nécessaire d’utiliser un protocole de routage dynamique sur ce lien car le FAI
représente le seul point de sortie vers Internet
 Remarques importantes
 Si une route est défectueuse, le routeur continue à vouloir l’utiliser
➔ c’est une des limites du routage statique
 Étant donné que les routes statiques sont configurées manuellement, les
administrateurs réseau doivent ajouter et supprimer les routes statiques pour
refléter tout changement dans la topologie du réseau
◼ C’est pourquoi les réseaux de grande taille utilisent généralement des routes dynamiques plutôt que des
routes statiques
Routage statique
 Routage dynamique
 Dès que le réseau atteint une certaine taille (avec plusieurs routeurs), il
est nécessaire de mettre en œuvre un routage dynamique
 Les protocoles de routage dynamique sont utilisés par les routeurs pour
partager des informations sur l’accessibilité et l’état des réseaux distants
 Les protocoles de routage dynamique effectuent plusieurs tâches,
notamment
 Détection automatique de réseaux
◼ Concrètement, les routeurs s’échangent leurs tables et établissent un « meilleur chemin » s’il en
existe plusieurs
◼ Ce meilleur chemin dépend du protocole de routage utilisé
 Mise à jour et maintenance des tables de routage
◼ Après la découverte initiale des réseaux, les protocoles de routage dynamique les mettent à
jour et les gèrent dans leurs tables de routage
◼ Les protocoles de routage dynamique déterminent également un nouveau meilleur chemin si
le chemin initial devient inutilisable (ou si la topologie change)
 Routage dynamique
 Protocoles de routage IP
 Il existe plusieurs protocoles de routage dynamique IP
 Voici quelques-uns des protocoles de routage dynamiques les plus répandus en
matière de routage des paquets IP
◼ protocole RIP (Routing Information Protocol)

◼ protocole IGRP (Interior Gateway Routing Protocol)

◼ protocole EIGRP (Enhanced Interior Gateway Routing Protocol)

◼ protocole OSPF (Open Shortest Path First)

◼ protocole IS-IS (Intermediate System-to-Intermediate System)

◼ protocole BGP (Border Gateway Protocol)

 Routage dynamique
 Meilleur chemin et métrique
 La détermination du meilleur chemin d’un routeur implique d’évaluer plusieurs chemins
menant au même réseau de destination et de choisir le chemin optimal ou « le plus
court » pour atteindre ce réseau.
 Le meilleur chemin est sélectionné par un protocole de routage, qui utilise une valeur ou
une métrique pour déterminer la distance à parcourir pour atteindre un réseau.
 Protocoles à vecteur de distance
◼ Certains protocoles de routage, tels que le protocole RIP, se basent sur le nombre de sauts
simples, qui représente le nombre de routeurs entre un routeur et le réseau de destination
 Protocoles à état de liens
◼ Pour relier un routeur au réseau de destination, d’autres protocoles de routage, tels que le
protocole OSPF, déterminent le chemin le plus court en examinant la bande passante des
liens et en utilisant ceux dont la bande passante est la meilleure
 Routage dynamique
 Dans l’illustration ci-dessus la route dynamique déclarée utilise le protocole RIP
 L’indication entre crochets [120/1] est décomposée comme suit
 Le 1ier nombre représente la Distance Administrative ou fiabilité du protocole utilisé (120 ➔ RIP)
 Le second chiffre est la métrique. Ici, 1 seul routeur sépare R1 de PC3
 Routage dynamique
 Distances administratives
ANNEXE
Commandes de bases Cisco pour le routage
 Routage statique: Configuration & vérification
 Configuration d’une route par défaut

 Activation du routage statique

 Router(config)# iprouting
 Vérification de la table de routage
 Router# show ip route
◼ La lettre C devant une route indique un réseau directement connecté
◼ La lettre S indique une route statique
◼ Le symbole * indique la route par défaut (si elle est déclarée)
 Routage statique: Configuration & vérification
 Configuration d’une route statique
 Les routes statiques sont configurées manuellement par l’administrateur réseau
 Pour configurer une route statique sur un routeur Cisco, procédez comme suit
◼ Étape 1 : Raccorder le routeur à l’aide d’un câble console
◼ Étape 2 : Ouvrir une fenêtre HyperTerminal pour se connecter au premier routeur à
configurer
◼ Étape 3 : Passer en mode privilégié en tapant enable à l’invite Routeur1>. Le changement
du symbole > en # indique que le mode privilégié est opérationnel
◼ Routeur1>enable ➔ Routeur1#

◼ Étape 4 : Passer en mode de configuration globale

◼ Routeur1#config terminal ➔ Routeur1(config)#

◼ Étape 5 : Utiliser la commande Cisco IOS ip route pour configurer la route statique au format
suivant :
◼ ip route [réseau_destination] [masque_sous-réseau] [adresse_passerelle]
ou
◼ ip route [réseau_destination] [masque_sous-réseau] [interface_sortie]
 Routage statique: Configuration & vérification
 Configuration d’une route statique
 Par exemple, pour permettre au routeur R1 d’atteindre un hôte sur le réseau
192.168.16.0, l’administrateur configure une route statique sur R1 avec la commande
IOS suivante en mode de configuration global
◼ Routeur1(config)#ip route 192.168.16.0 255.255.255.0 192.168.15.1
◼ Ou Routeur1(config)#ip route 192.168.16.0 255.255.255.0 S0/0/0

 Exercice
◼ Configuration manuelle des routes statiques avec Packet Tracer
 Routage RIP: Configuration & vérification
 Configuration de base
 RIP est un protocole à vecteur de distance courant, pris en charge par la plupart des
routeurs. Il s’agit d’un choix approprié pour les petits réseaux dotés de plusieurs
routeurs
 Pour la configuration la plus basique du protocole RIPv2, trois commandes sont à
retenir
◼ Router(config)# router rip Active le routage RIP
◼ Router (config-router)# version 2 Spécifie la version (1 ou 2)
◼ Router(config-router)# network [réseau] Déclare les réseaux qui seront transmis
◼ Router(config)# ip default-network [réseau] Permet de faire propager une destination par défaut

 Vérifications
 Router# show ip route
◼ Affiche la table de routage
 Router# show ip protocols
◼ Vérifie que le routage RIP est configuré, que les interfaces correctes envoient et reçoivent des mises à jour RIP et que le
routeur annonce les réseaux appropriés
 Router# debug ip rip
◼ Permet d’observer les réseaux annoncés dans les mises à jour de routage à mesure que celles-ci sont envoyées et reçues
 Routage RIP: Configuration & vérification
 Exemple
 Le routeur R1 ne sait pas automatiquement comment atteindre le réseau 10.0.0.0/8 ou 192.168.4.0/24
 R1 peut accéder à ces réseaux une fois que le protocole RIP est configuré correctement
 Une fois que le routage RIP est configuré, R2 et R3 transfèrent à R1 les mises à jour de routage qui indiquent
la disponibilité des réseaux 10.0.0.0/8 et 192.168.4.0/24
Routage RIP: Configuration & vérification
Routage RIP: Configuration & vérification
Routage RIP: Configuration & vérification
Routage RIP: Configuration & vérification
Routage RIP: Configuration & vérification
 Routage RIP: Configuration & vérification
 La commande show ip protocols vérifie que le routage RIP est configuré, que les interfaces
correctes envoient et reçoivent des mises à jour RIP et que le routeur annonce les réseaux
appropriés.
 Routage RIP: Configuration & vérification
 La commande show ip route affiche la table de routage, qui vérifie que les routes reçues
par les voisins RIP sont installées dans la table de routage
 Routage RIP: Configuration & vérification
 La commande debug ip rip peut être utilisée pour observer les réseaux annoncés dans les
mises à jour de routage à mesure que celles-ci sont envoyées et reçues
 Les commandes de débogage affichent l’activité du routeur en temps réel
 Étant donné que le débogage sollicite les ressources processeur du routeur, cette opération doit être utilisée avec parcimonie
sur un réseau de production, car elle affecte son fonctionnement.
 Routage OSPF: Activation & vérification
 OSPF est activé à l’aide de la commande de configuration globale router
ospf process-id
◼ Le process-id (id de processus) est un nombre compris entre 1 et 65535 choisi par l’administrateur
réseau
◼ Le process-id n’a qu’une signification locale, ce qui veut dire qu’il n’a pas à correspondre à celui des
autres routeurs OSPF

 Il faut ensuite déclarer les réseaux participants par la commande

 Router(config-router)# network [réseau] [masque-generique] area [id_area]
◼ Vous noterez que le masque générique est différent de ceux habituellement utilisés. Pour simplifier,
c’est l’inverse du masque normal
◼ Le champ area fait référence à la zone OSPF. Une zone OSPF est un groupe de routeurs qui
partagent les informations d’état de liens.
 Routage OSPF: Activation & vérification
 Activation du routage
 Pour que l’OSPF fonctionne de manière appropriée, il est essentiel de définir la
bande passante des interfaces séries.
 Exemple: La bande passante d'une liaison série à 64kbits/s
◼ Router(config)# interface serial 0/0
◼ Router(config-if)# bandwidth 64
 L’instruction de configuration suivante propagera la route par défaut à tous les
routeurs situés dans la zone OSPF
◼ Router(config-router)# default-information originate

 Vérifications
 Router# show ip route Affiche la table de routage
◼ La lettre C devant une route indique un réseau directement connecté
◼ La lettre S indique une route statique
◼ La lettre O indique une route découverte grâce au protocole OSPF
◼ Le symbole * indique la route par défaut (si elle est déclarée)
 La commande show ip ospf neighbor peut être utilisée pour vérifier et réparer les
relations de voisinage OSPF
 Travaux pratiques
 Routage statique
 Configuration manuelle des routes statiques

 Routage dynamique
 Configuration et vérification du protocole RIP
 Configuration et vérification du protocole OSPF
 Configuration et vérification du protocole EIGRP
 Configuration et vérification du protocole BGP sur le routeur de passerelle
externe
4ème partie
Firewall (Barrière de Sécurité)
Cette partie a pour objectif d’étudier le Firwall à travers
les Listes de contrôle d’accès (ACL Cisco)
 Plan
 Introduction
 Fonctionnement d’un pare-feu
 Types de pare-feux
 Listes de contrôle d’accès (ACL Cisco)
 Listes de contrôle d’accès standard
 Listes de contrôle d’accès étendues

 Listes de contrôle d’accès nommées

 Introduction
 Définition d’un Firewall, pare-feu ou encore garde-barrière
 structure (logicielle ou matérielle) située entre l’utilisateur et le monde extérieur afin de
protéger le réseau interne des intrus
 Objectif : protéger un environnement (de l’intérieur comme de l’extérieur)
 gérer les connexions sortantes à partir du réseau local
 protéger le réseau des intrusions extérieures
 surveiller/tracer le trafic entre le réseau local et internet
 autoriser certains services seulement
 Mise en œuvre
 définir une politique de sécurité ➔ tout interdire, ouverture sélective ?
 structurer le réseau ➔ séparer les communautés, les parties ouvertes à tous et les parties
accessibles sur critères
 Fonctions d’un pare-feu
 filtrer le trafic entre un réseau interne et un réseau publique
 effectuer la translation d’adresses IP ou de ports
 Type de matériel
 routeur filtrant; passerelle équipée de deux interfaces réseau, …
 Introduction
 Architecture du réseau avec des pare-feux
 Un réseau privé : contient des clients et des serveurs inaccessibles depuis l'Internet
◼ aucune connexion TCP et aucun échange UDP ne peuvent être initiés depuis le Net vers cette zone
 Une DMZ (DeMilitarized Zone) : contient des serveurs (web, dns, smtp, …) accessibles
depuis le Net et depuis le réseau privé sans compromettre la sécurité du réseau local
 La DMZ possède un niveau de sécurité intermédiaire mais son niveau de sécurisation n'est pas
suffisant pour y stocker des données critiques pour l'entreprise

 firewall au fil de l’eau  firewall à séparation de réseau

 configuration avec un seul pare-feu  configuration avec deux pare-feux

DMZ DMZ

firewall
2 firewalls
 Fonctionnement d’un pare-feu
 Communications possibles avec un pare-feu
 Entre le réseau privé et l’extérieur
◼ les utilisateurs internes initialisent des communications avec l’extérieur
◼ seules les réponses à ces requêtes doivent entrer dans cette zone

◼ cette zone est construite sur une classe d'adresses privées et nécessite donc une
translation d'adresse (NAT) ou de port (PAT) pour accéder à l’extérieur
 Entre la DMZ et l’extérieur
◼ la DMZ contient les serveurs qui doivent être accessibles depuis l’extérieur

◼ ➔ il faudra permettre de laisser passer des connexions initiées depuis l'extérieur

vers ces serveurs uniquement (à surveiller)
 Entre le réseau privé et la DMZ
◼ les accès devraient être à peu près du même type qu'entre la zone privée et
l’extérieur
◼ avec un peu plus de souplesse pour mettre à jour les serveurs web, d’envoyer et
recevoir des e-mails
◼ en revanche, depuis la DMZ, il ne devrait y avoir aucune raison pour qu'une
connexion soit initiée vers la zone privée
 Types de pare-feux
 Pare-feu au niveau réseau/transport
 Basé sur le filtrage des paquets et intervient au niveau de la couche transport
 Il existe deux types
◼ Pare-feu par filtrage simple de paquets («stateless» ou sans état)
◼ vérifie si les "sockets" (couples @IP - numéro port) source et destination sont
conformes ou non à des autorisations de passage
◼ Pare-feu par suivi de connexion («statefull» ou à états) : conserve les états des
connexions ➔ 4 types d’états
◼ NEW : un client envoie sa première requête vers un serveur
◼ ESTABLISHED : connexion a déjà été initiée (après un NEW)
◼ RELATED : ce peut être une nouvelle connexion, mais elle présente un rapport
direct avec une connexion déjà connue
◼ INVALID : un paquet qui n'a rien à faire là dedans
 Types de pare-feux
 Pare-feu au niveau applicatifs HT
TP
req u e st
 généralement basé sur des mécanismes de proxy HT
TP
res
ue
st HTT
P req
Serveur origine
Client po e
ns ns
po
◼ appelé aussi serveur mandataire ou bastion e
TP
res
ue st H T
P req
 le proxy est spécifique à une application HTT
se Serveur Proxy
p on
res
◼ Ex.: HTTP, FTP,… H TT
P

Client
Serveur origine

 Un proxy est un intermédiaire dans une connexion entre le client et le serveur

◼ le client s'adressera toujours au proxy, quelle que soit la cible finale et n'acceptera de réponse que de
sa part
◼ le proxy reformule la requête pour son propre compte vers l’extérieur
◼ lorsque le proxy reçoit la réponse, il la transmet au client comme si c'était lui qui répondait directement
 Fonctions principale d’un proxy
◼ cache : conserve en mémoire les requêtes et informations pour une réutilisabilité
◼ enregistrement : garde une trace détaillée des échanges
◼ filtre : filtre au niveau des requêtes
 Il existe deux types de Proxy
◼ Proxy logiciels
◼ Squid : proxy open source pour Unix (supporte les protocoles FTP, HTTP, Gopher, et HTTPS)

◼ Proxy basé sur le protocole SOCKS : proxy générique [RFC 1928]

 Types de pare-feux
 Avantages et inconvénients
 pare-feu "stateless"
◼ simple à utiliser, consomme très peu de ressources, mais ne permet pas une grande finesse de filtrage
évolué
 pare-feu "statefull"
◼ souple à paramétrer, consomme peu de ressources, mais le suivi des connexions est délicat
 proxy
◼ barrière effective entre l’extérieur et la zone protégée, sauf que ces logiciels sont complexes et peuvent
contenir des bugs, consomment des ressources et nécessitent des machines dédiées

 Recommandations
 Pour obtenir une sécurité maximale (mais jamais absolue) il faut travailler à tous
les niveaux
◼ configurer ses serveurs avec le plus grand soin, en éliminant tous les risques connus à leur niveau
◼ protéger le tout avec un système de filtrage efficace, bien adapté à ses besoins
◼ surveiller avec le plus grand soin tout se qui se passe, aussi bien sur les serveurs que sur les filtres, pour
détecter le plus vite possible toute activité anormale
◼ avoir toujours à l'esprit qu'il y a forcément quelque part une faille que l'on ne connaît pas, et qu'un
pirate peut trouver
 Conclusion : personne n’est parfait !
Exemple de pare-feux : ACL
Etude et implémentation des listes de
contrôle d'accès (ACL Cisco)
 Pourquoi utiliser une ACL?
 Une ACL est un mécanisme qui
permet de filtrer le trafic entrant ou
sortant d'une interface de routeur
 L'acceptation et le refus peuvent être
fondés sur certaines caractéristiques
◼ Adresse Source/Destination
◼ Port Source/Port de destination
◼ Protocole Applicatif
 Un routeur examine chaque paquet afin
de déterminer s'il doit l'acheminer ou
l'abandonner

 Attention, l’utilisation des ACL peut engendrer des problèmes

 La charge supplémentaire sur le routeur découlant de la vérification de tous les paquets réduit
le temps disponible pour le transfert de ces paquets
 Des ACL mal conçues augmentent encore plus la charge sur le routeur, pouvant provoquer une
interruption du réseau
 Des ACL mal positionnées peuvent bloquer le trafic qui devrait être autorisé et autoriser le
trafic qui devrait être bloqué
 Les différents types d’ACL
 Il existe trois Types de Liste de contrôle
 Listes de contrôle d’accès : standard, étendues, nommées
 Listes de contrôle d’accès standard
 L’ACL standard constitue le type le plus simple
 Le filtre est basé sur l’adresse IP source d’un paquet
 Les ACL standard (autorisant ou refusant le trafic IP) sont identifiées par un numéro
compris entre 1 et 99 et entre 1 300 et 1 999
 Les différents types d’ACL
 Listes de contrôle d’accès étendues
 Les ACL étendues filtrent non seulement sur l’adresse IP source, mais également sur
l’adresse IP de destination, le protocole et les numéros de port
 Les numéros des ACL étendues vont de 100 à 199 et de 2 000 à 2 699

 Listes de contrôle d’accès nommées

 Les listes de contrôle d’accès nommées (NACL) sont des listes standard ou étendues
désignées par un nom descriptif et non par un numéro
 Implémentation des ACL
 Masque générique
 est une quantité de 32 bits divisés en
quatre octets contenant chacun 8 bits
◼ un bit 0 de masque générique signifie
« vérifier la valeur du bit correspondant»
◼ un bit 1 signifie « ne pas vérifier (ignorer)
la valeur du bit correspondant »
 les masques génériques et les
masques de sous-réseaux IP
fonctionnent différemment
◼ les 0 et les 1 du masque de sous-réseau
déterminent les portions réseau, sous-
réseau et hôte de l'adresse IP
correspondante
◼ Les 0 et les 1 du masque générique
déterminent si les bits correspondants de
l'adresse IP doivent être vérifiés ou ignorés
à des fins de contrôle d'accès
 Implémentation des ACL
 Les ACL comprennent une ou plusieurs instructions
 Chaque instruction autorise le trafic ou provoque le refus de celui-ci en fonction des
paramètres spécifiés (Permit/Deny)
 Lorsque on crée une instruction de liste de contrôle d’accès, l’adresse IP et
le masque générique deviennent des champs de comparaison
 Tous les paquets qui entrent sur une interface ou qui en sortent sont comparés à
chaque instruction de l’ACL afin de rechercher une correspondance
 Le masque générique détermine le nombre de bits de l’adresse IP entrante
qui correspondent à l’adresse de comparaison
 Dans une ACL, le masque générique spécifie un hôte ou une plage
d’adresses à autoriser ou refuser
 On peux remplacer un masque générique par deux paramètres
spéciaux host et any
 host signifie un ordinateur d’un réseau (172.30.16.29 0.0.0.0 ➔ host 172.30.16.29)
 any signifie toutes les destinations possible (0.0.0.0 255.255.255.255)
 Implémentation des ACL
 Configuration de listes de contrôle d’accès
 La plupart des protocoles nécessitent deux étapes de base pour effectuer le filtrage
◼ la première étape est la création d'une définition de liste de contrôle d'accès
◼ Router{config}#access-list numéro-liste-accés {permit|deny} {conditions-de-test)

◼ la seconde, l'application de cette liste à une interface

◼ Router(config-if)#ip access-group numéro-liste-d'accès {in | out}

 Création d’une ACL standard

 Dans cet exemple nous allons interdire le réseau 172.16.4.0 d’accéder à d’autre
réseaux, et nous allons accepter le reste du trafic

RouterX(config)# access-list 1 deny 172.16.4.0 0.0.0.255

RouterX(config)# access-list 1 permit any
(implicit deny all)
(access-list 1 deny 0.0.0.0 255.255.255.255)
 Implémentation des ACL
 Création d’une ACL étendues
 Dans cet exemple nous allons interdire le réseau 172.16.4.0 d’accéder à tout autre
réseaux « Any » en utilisant le protocole TCP pour le port 23 (Telnet), et nous allons
accepter le reste du trafic

RouterX(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23

RouterX(config)# access-list 101 permit ip any any
(implicit deny all)
 Implémentation des ACL
 Création d’une ACL nommées

 ACL nommé Standard

◼ Dans cet exemple nous allons interdire l’hôte 172.16.4.13 d’accéder à d’autre réseaux, et nous allons
accepter le reste du réseau 172.16.4.0

RouterX(config)#ip access-list standard troublemaker

RouterX(config-std-nacl)#deny host 172.16.4.13
RouterX(config-std-nacl)#permit 172.16.4.0 0.0.0.255

 ACL nommé Etendu

◼ Dans cet exemple nous allons interdire le réseau 172.16.4.0 d’accéder à d’autre réseaux en utilisant le
protocole TCP pour le port 23 (Telnet), et nous allons accepter le reste du trafic

RouterX(config)#ip access-list extended badgroup

RouterX(config-ext-nacl)#deny tcp 172.16.4.0 0.0.0.255 any eq 23
RouterX(config-ext-nacl)#permit ip any any
 Affectation d’une ACL à une interface
 Une fois que vous avez créé l’ACL, vous devez l’appliquer à une interface
pour qu’elle devienne active
 L’ACL traite le trafic en entrée ou en sortie de l’interface
 Trafique Entrant ou Sortant «in/out»
 Les commandes suivantes placent l’ACL 5 sur l’interface R2 Fa0/0 en filtrant le trafic
entrant
◼ R2(config)#interface Fa0/0
◼ R2(config-if)#ip access-group 5 in
 Des intrus peuvent essayer d’accéder à un routeur via le terminal virtuel (VTY). Pour
améliorez la sécurité du réseau on peux limiter l’accès au terminal virtuel en lui
affectant une ACL
◼ R2(config)#line vty 0 4
◼ R2(config-if)#access-class 5 in
 Pour supprimer une ACL d’une interface sans modifier la liste, utilisez la commande
◼ R2(config-if)# no ip access-group <numéro de liste d’accès> interface
 Vérification et Journalisation des ACL
 Vérification des ACL
 Plusieurs commandes permettes d’afficher les ACL afin d’évaluer l’exactitude de la
syntaxe, l’ordre des instructions et le positionnement sur les interfaces
◼ show ip interface : affiche les informations relatives à l’interface IP et signale toute ACL attribuée

◼ show access-lists [numéro d’ACL] : affiche le contenu de toutes les ACL sur le routeur. Pour
voir une liste spécifique, ajoutez le nom ou le numéro de l’ACL comme option de cette commande
◼ show running-config : affiche toutes les ACL configurées sur un routeur, même celles qui ne sont
pas actuellement appliquées à une interface

 Journalisation des ACL

 Pour obtenir plus de détails sur les paquets autorisés ou refusés, il faut activer un
processus appelé journalisation
 La journalisation est activée pour les instructions d’ACL individuelles
 Pour activer cette fonctionnalité, ajoutez l’option log à la fin de chaque instruction
d’ACL à analyser (ex. R1(config)#access-list 123 deny ip any any log)
 N’utilisez la journalisation que sur une courte durée pour finaliser le test de l’ACL
 La journalisation d’événements occasionne une charge supplémentaire sur le
routeur
 Emplacement des ACL
 La règle est de placer les ACL étendues le plus près possible de la
source du trafic refusé
 Étant donné que les ACL standard ne précisent pas les adresses de
destination, vous devez les placer le plus près possible de la destination
 Les ACL doivent être utilisées dans les routeurs pare-feu, lesquels sont
souvent placés entre le réseau interne et un réseau externe, tel qu'Internet
 Le routeur pare-feu fournit un point d'isolation qui protège l'ensemble de
la structure du réseau interne
 Vous pouvez également utiliser les ACL sur un routeur situé entre deux
sections du réseau pour contrôler le trafic entrant ou sortant d'une section
particulière du réseau interne
 Pour tirer parti des avantages des ACL en matière de sécurité, vous devez
au moins configurer des ACL sur les routeurs périphériques situés aux
frontières du réseau
 Exemple de configuration des ACL
 Soit la configuration réseau suivante

1) Donnez l’ACL permettant uniquement l'acheminement du trafic du réseau d'origine

172.16.0.0
2) Donnez l’ACL permettant le blocage du trafic d'une adresse particulière,
172.16.4.13, et l'acheminement du trafic de toutes les autres adresses
3) Donnez l’ACL permettant le blocage du trafic d'un sous-réseau particulier,
172.16.4.0, et l'acheminement de tout autre trafic
 Exemple de configuration des ACL
 Solution
 l’ACL permettant uniquement
l'acheminement du trafic du réseau
d'origine 172.16.0.0

 l’ACL permettant le blocage du trafic

d'une adresse particulière, 172.16.4.13,
et l'acheminement du trafic de toutes les
autres adresses

 l’ACL permettant le blocage du trafic

d'un sous-réseau particulier, 172.16.4.0,
et l'acheminement de tout autre trafic
5ème partie
Protocole SNMP
Cette dernière partie a pour objectif d’étudier le protocole
d’administration des réseaux SNMP (Simple Network
Management Protocole)
 Plan
 Principe
 L’administration et l’ISO
 L’administration et TCP/IP : étude de SNMP
 Généralités de SNMP

 Architecture SNMP

 Les échanges SNMP

 Nommage des objets

 Format des messages SNMP

 Evolutions de SNMP

 Les outils d’administration

 Principe
 L’administration d’un réseau suppose l’existence d’une base
d’information décrivant l’ensemble des objets administrés
 Un système réseau comprend un grand nombre d’objets administrés
 Nécessité d’un dialogue entre les composants
 Les échanges d’informations s’effectue à deux niveaux
 Entre le composant administré et sa base de données
 Entre le composant administré et le Processus Manager

Station
d’administration

Ensemble des
objets gérés

Base
d’information
 Principe
Objet Station
administré d’administration

Processus Processus
Agent Manager

Nb collisions =
Nb erreurs CRC =
Nb total de paquets Protocole de
IP reçus = Gestion
Nb d’erreurs de
ré-assemblage =
. . . . . . .
 L’administration et l’ISO
 L’ISO, en partenariat avec l’UIT-T, ne spécifie aucun
système d’administration de réseau, mais simplement un
cadre architectural
 OSI Management Framework (ISO 10040)
 Cette administration s’appuie sur trois modèles
 Un modèle organisationnel
 Un modèle informationnel
 Un modèle fonctionnel
 L’administration et l’ISO
 Modèle organisationnel
 Ce modèle fournit les moyens de transfert des informations de gestions entre les
objets administrés
 Il définit également un dialogue (le CMIP : Common Management Information
Protocol ISO 9596), lequel utilise les primitives suivantes
◼ Get : utilisé par le gérant pour lire la valeur d’un attribut
◼ Set : fixe la valeur d’un attribut
◼ Event : permet à un agent de signaler un événement
◼ Create : génère un nouveau objet
◼ Delete : permet à l’agent de supprimer un objet

 Inconvénients de CMIP
◼ Ce protocole d’administration est très complexe et difficile à mettre en œuvre

◼ Initialement il devait remplacer le protocole SNMP, solution palliative pour le monde

TCP/IP
◼ Il s’impose difficilement malgré quelques évolutions comme CMOP (CMIP Over
TCP/IP)
 L’administration et l’ISO
 Modèle informationnel
 Ce standard décrit une méthode de définition des données d’administration
 L’ensemble des éléments gérés est orienté objet et constitue une (MIB: Management
Information Base) qui contient toute les informations administratives sur ces objets
◼ Ponts, Routeurs, Cartes, . . .

 Modèle Fonctionnel
 Ce modèle définit des domaines fonctionnels d’administration et leurs relations
 On retrouve 5 domaines: SMFA (Spécific Management Function Area)
◼ Gestion des fautes (Fault Management)
◼ Gestion de la configuration et des noms(Configuration Management)

◼ Gestion de la comptabilité (Accounting Management)

◼ Gestion des performances (Performance Management)

◼ Gestion de la sécurité (Security Management)

 Généralités de SNMP
 Pour répondre aux besoins d ’administration du réseau Internet, l’IETF
(Internet Engineering Task Force) a créé, en 1988, un protocole : SNMP
(Simple Network Management Protocol)
 Objectifs de SNMP
 Fédérer en un standard unique des protocoles multiples liés aux équipementiers
 Déploiement rapide et à moindre coût
 L’environnement SNMP répond à trois objectifs
 Permettre la configuration des éléments d’un réseau
 Détecter et analyser les fautes d’un réseau
 Surveiller les performances d’un réseau
 Généralités de SNMP
 Le protocole SNMP comprend trois composantes

Les nœuds
administrés Le protocole de
communication

La station
d’administration
 Généralités de SNMP
 Les nœuds administrés (MN: Managed Node)
 Les nœuds administrés contiennent un Agent SNMP (ou compatible SNMP)
◼ Ils fournissent des informations à partir d’une base de données dont les éléments reflètent l’état de
l’objet qu’ils représentent
 On distingue plusieurs types d’agent
◼ L’agent RMON qui est situé dans une sonde et se comporte comme un analyseur de protocole local et
peut déclencher des alertes
◼ Le proxy-agent qui sert d’intermédiaire entre un ou plusieurs autres agents et le manager. Il est utilisé
soit
◼ Pour une conversion de protocole (SNMP <=> protocole propriétaire)
◼ Pour regrouper des informations en provenance d’un réseau local distant

 La station d’administration (NMS: Network Management Station)

 C’est un applicatif pour la surveillance et le contrôle du réseau
 Le protocole réseau est le protocole de communication entre la NMS et
le MN
 Deux stratégies de collecte d’information de gestion existent entre le gestionnaire et l’agent
◼ Mécanisme de scrutation
◼ Mécanisme événementiel
Architecture SNMP
 Les échanges SNMP
 Le protocole SNMP spécifie les échanges entre le système manager et
l'agent en s'appuyant sur UDP
 SNMP est en mode non connecté

Manager Agent
GetRequest_PDU
Port 161 GetNextRequest_PDU
SetRequest_PDU

Port 161 Response_PDU

Port 162 Trap_PDU

 Nommage des objets
 Une MIB (Management Information Base) contient les informations
représentant l'état d'un agent
 Les RFC 1156 et 1213 définissent les MIB I (114 objets) et MIB II (171 objets)
 Pour que la MIB soit utilisable par tous les agents et les processus de supervision, elle
doit suivre les règles suivantes
◼ Un objet qui représente une ressource particulière doit être le même quelque soit l'agent
◼ Un schéma commun pour la représentation des données doit être utilisé pour une architecture
hétérogène

 Les règles suivent la norme SMI (Structure of Management Information)

 Elle est décrite par la notation ASN.1 (Abstract Syntax Notation One)
 La SMI propose des techniques de standardisation
◼ pour définir la structure d'une MIB
◼ pour définir un objet avec sa syntaxe et son domaine de valeur
◼ pour coder les valeurs d'un objet
 Nommage des objets
 La structure d'une MIB
 Chaque objet manipulé par SNMP appartient à
une structure d'arbre
 Chaque objet d'une MIB est identifié par un
identificateur (OID : Object IDentifier)
◼ Un OID est une suite de nombres séparés par
des points
 Les feuilles de l'arbre contiennent les données
accessibles de l'agent
 Une MIB contient la description des données,
pas les valeurs
 Elle peut contenir des scalaires (valeurs uniques)
ou des tableaux de scalaires
 Elle contient
◼ une partie commune à tous les agents SNMP en
général
◼ une partie commune à tous les agents SNMP
d'un même type de matériel
◼ une partie spécifique à chaque constructeur
 Nommage des objets
 Exemple
 IpInDelivers → 1.3.6.1.2.1.4.9
Syst
1

Interface
1 2
UIT STD Directory
0 Addr. Trans.
0 1
2 3 1-
Mgmt 2-
Internet MIB I IP 3-
1 3 2
ISO 1 1 4 4-
1 Experim. 5-
3 ICMP 6-
4 2 2 5
2 7-
Private 8-
4 TCP 9-IpInDelivers
ORG 5 3 6
2
3
DoD UDP
6 4 7

EGP
8
 Nommage des objets
 MIB Privée
 C’est une partie spécifique à chaque constructeur

ibmResearch
2
Directory
1
ibm6611
IBM ibmAgent
Mgmt 2
Internet 2 3
2
1
Netwiev/6000SubAgent
Experim. 3
Entreprise CISCO ibmProd
3
1 9 6

Private
H.P.
4
2 11

DEC
36

SUN
42
 Format des messages SNMP
Longueur
Tag Version Community Name Le champ PDU
du message

 Tag : identifie le type de la trame

 Longueur du message : contient la longueur totale de la trame
 Version : utilisé pour une compatibilité entre les différentes versions SNMP
 Community Name : contient le nom de la communauté (un ensemble d’administrateurs autorisés
à utiliser l’agent) utilisée dans le processus d'authentification
 Le champ PDU comprend 5 types
◼ GetRequest: utilisée pour obtenir de l’agent les valeurs des objets
◼ GetNextRequest: ressemble à GetRequest, mais il permet de retirer la valeur de l’objet
suivant dans la MIB
◼ SetRequest: Utilisée pour affecter une valeur à un objet
◼ Response: Retourne une réponse à GetRequest, GetNextRequest et SetRequest PDUs
◼ Trap: Une notification envoyée par l’agent suite à un événement
Format des messages SNMP
 Evolutions de SNMP
 Lors de l'introduction de SNMP en 1988, on supposait que ce protocole
ne serait qu'un protocole intermédiaire et serait relayé rapidement par
les solutions OSI (CMIS/CMIP)
 mais la simplicité du modèle et son association avec le populaire protocole de
transmission TCP/IP ont assuré une grande diffusion de SNMP
 En 1992, une équipe de l'IETF prépare une amélioration de ce protocole
et donne SNMPv2 dont les caractéristiques sont expliquées dans les RFC
1441 à 1452
 Les plus de SNMPv2
 Sécurisation (DES)
 Communication entre Manager
 Services nouveaux
◼ SNMPv2-Trap : permet aux nœuds administrés (MN) d’envoyer des alertes à la station d’administration
(NMS)
◼ GetBulkRequest : permet de lire un arbre complet de la MIB
◼ InformRequest : communication de gestionnaire à gestionnaire
 SNMPv2 s'appuie sur différentes composantes de transport : UDP, DDP, IPX..
 Evolutions de SNMP
 SNMPv3 : La sécurité avant tout
 Il est basé sur deux concepts
◼ USM ( User-based Security Model )
◼ Ce module de sécurité se compose en 3 opérations
◼ L’authentification

◼ La confidentialité

◼ L’estampillage du temps

▪ Trame effective sur un temps restreint → s’il y a une différence

>150ms entre la date de création de la trame et son traitement, elle
est détruite
▪ Empêche la réutilisation d’une trame (inhibe le système contre le
«replay attack»)
◼ VACM ( View-based Access Control Model )
◼ Permet le contrôle d’accès au MIB
◼ Possibilité de restriction d’accès en lecture et/ou écriture pour un groupe
ou par utilisateur
 Les outils d’administration
 Net-SNMP
 suite d'outils qui implémentent SNMP

 Nagios
 est un outil libre permettant la surveillance des équipements et services réseaux

 Network TOP (ntop)

 est un outil libre de supervision réseau. C'est une application qui produit des informations sur le trafic d'un
réseau en temps réel

 Cacti
 est un logiciel libre de mesure de performances réseau et serveur basé sur la puissance de stockage de
données de RRDTool

 HP Openview
 représente la solution pour faire face aux besoins d'un réseau grâce à une plate-forme centrale qui gère le
réseau dans son intégralité

 IBM Tivoli Netview

 Tivoli est le nom d'une gamme de logiciels d'administration et de supervision des systèmes d’information,
éditée par IBM

 Sun Enterprise Manager

 est une solution de gestion et de surveillance de systèmes extensible et ouverte