Configuration de syslog/ntp/ppp/snmp

1- Syslog
Le protocole syslog envoie des messages en texte clair via le port UDP 514.
Le pré-requis est d'avoir installé un serveur type syslog (adresse 192.168.1.2 dans
l'exemple).

Activer la journalisation de base à l'aide de la commande suivante pour indiquer le serveur

syslog.

Router(config)# logging 192.168.1.2

Le niveau de journalisation par défaut , est « informatif » Cela signifie que l'appareil enverra
tous les messages au serveur qui sont de niveau 6 ou "supérieur".

jouteur-cisco(config)#logging trap ?
<0-7> Logging severity level
alerts Immediate action needed (severity=1)
critical Critical conditions (severity=2)
debugging Debugging messages (severity=7)
emergencies System is unusable (severity=0)
errors Error conditions (severity=3)
informational Informational messages (severity=6)
notifications Normal but significant conditions (severity=5)
warnings Warning conditions (severity=4)

Si je ne veux voir que les messages d'avertissement (priorité 4) ou plus

Router(config)# logging trap warning

Pour changer le numéro de port UDP ou utiliser les ports TCP

Cette commande indique : « Pour ce serveur, je souhaite envoyer des messages au port UDP
8514 au lieu du port par défaut 514 »

Router(config)# logging trap 192.168.2.47 transport udp port 8514

Pour configurer le périphérique afin qu'il utilise TCP au lieu d'UDP

Router(config)# logging trap 192.168.2.47 transport tcp port 8514

Il est recommandé de spécifier une interface de bouclage comme source des messages
syslog

p. 1
Router(config)# logging source-interface loopback0

Pour afficher la configuration de la journalisation

Routeur # show logging

2- NTP

Par défaut, NTP est désactivé sur le matériel Cisco.

Router#show ntp status

%NTP is not enabled.

Un serveur “authoritative” est celui qui ne se synchronise avec aucun autre. On définit sa
strate avec la commande ntp master suivie du numéro de strate. Ici par exemple un serveur
de strate 3.

ntp master 3

Pour renseigner une référence de synchronisation en Cisco IOS, on encode en configuration

globale la commande ntp server suivie de l’adresse IP ou du nom de serveur de temps.

(config)#ntp server 3.fr.pool.ntp.org

ranslating "3.fr.pool.ntp.org"...domain server (8.8.8.8) [OK]
(config)#ntp update-calendar

Par exemple, à partir de la France, un routeur Cisco client NTP en bordure de l’Internet peut
se synchroniser sur les serveurs publics fr.pool.ntp.org.

La commande ntp update-calendar en configuration globale fera en sorte que le routeur

mettra à jour ses horloges avec NTP.

Dès ce moment, le périphérique Cisco peut agir comme client et serveur NTP.

Les commandes show clock et show calendar permettent d’afficher respectivement les
heures système et matérielle.

show ntp config indique la configuration du client NTP

Router#show clock
*08:44:30.046 UTC Sun Jun 24 2018
Router#show calendar
08:44:35 UTC Sun Jun 24 2018

p. 2
Router#show ntp config
ntp server pool.ntp.org

On apprend que l’horloge est synchronisée et que le périphérique est situé dans la
strate 3.

Router#show ntp status

Clock is synchronized, stratum 3, reference is 188.165.236.162
nominal freq is 1000.0003 Hz, actual freq is 1000.1220 Hz, precision is 2**
17
ntp uptime is 273000 (1/100 of seconds), resolution is 1000
reference time is DED9EAB2.B85BDEFB (10:02:26.720 UTC Sun Jun 24 2018)
clock offset is -45.3210 msec, root delay is 17.35 msec
root dispersion is 82.70 msec, peer dispersion is 5.13 msec
loopfilter state is 'CTRL' (Normal Controlled Loop), drift is -0.000121708
s/s
system poll interval is 128, last update was 433 sec ago.

Le périphérique est synchronisé avec le “peer” adressé en 188.165.236.162 lui-même

synchronisé auprès de 131.188.3.220 de strate 2.

Routeur#show ntp associations

address ref clock st when poll reach delay offset d
isp
*~188.165.236.162 131.188.3.220 2 116 128 377 5.591 -45.321 5.
139
* sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configure
d

3- PPP (PAP / CHAP)

Protocole d'authentification PAP

PAP est un protocole réseau bidirectionnel ayant lieu en deux étapes et qui n’utilise pas le
chiffrement : les noms d’utilisateur et mot de passe sont envoyés en clair dans le réseau
informatique. S’ils ont acceptés, la connexion est autorisée. L’authentification a lieu une
seule fois.

Le nom d’hôte d’un routeur doit correspondre au nom d’utilisateur configuré sur l’autre
routeur.

Configuration de PAP

Configuration sur le routeur R1

p. 3
Router#configure terminal
Router(config)#hostname R1
R1(config)#username R2 password cisco2
R1(config)#interface serial 0/0
R1(config-if)#encapsulation ppp
R1(config-if)#ppp authentication pap
R1(config-if)#ppp pap sent-username R1 password cisco1

Configuration sur le routeur R2

Router#configure terminal
Router(config)#hostname R2
R2(config)#username R1 password cisco1
R2(config)#interface serial 0/0
R2(config-if)#encapsulation ppp
R2(config-if)#ppp authentication pap
R2(config-if)#ppp pap sent-username R2 password cisco2

Protocole d’authentification réseau CHAP

Le protocole PAP procède à une seule authentification lors de l’établissement de la

connexion réseau, le protocole CHAP effectue des vérifications régulières pendant
l’existence de la liaison.

Le routeur R1 souhaite établir une connexion CHAP avec le routeur R2. Une fois
l’établissement de la liaison terminée, un échange en trois étapes a lieu :

Demande CHAP : R1 demande une confirmation à R2.

Réponse CHAP : R2 répond en envoyant son nom d’utilisateur et son mot de passe à R1.

Plus précisément : R2 répond par une valeur hachée en MD5, basé sur le mot de passe et
le message de demande de confirmation.

Finalisation CHAP : R1 compare ceux-ci avec ceux de sa base de données. S’ils sont
identiques, il accepte la connexion, sinon il la refuse. Plus précisément : R1 compare la
réponse hachée avec son proche calcul de la valeur hachée attendue.

Configuration de CHAP

Configuration sur le routeur R1

Router#configure terminal
Router(config)#hostname R1
R1(config)#username R2 password cisco

p. 4
R1(config)#interface serial 0/0
R1(config-if)#encapsulation ppp
R1(config-if)#ppp authentication chap

Configuration sur le routeur R2

Router#configure terminal
Router(config)#hostname R2
R2(config)#username R1 password cisco
R2(config)#interface serial 0/0
R2(config-if)#encapsulation ppp
R2(config-if)#ppp authentication chap

Commandes de configuration PPP

Pour configurer une interface série avec le protocole PPP

R1#configure terminal
R1(config)#interface serial 0/0
R1(config-if)#encapsulation ppp

Pour spécifier le seuil de qualité de la liaison :

R1(config-if)#ppp quality pourcentage

Si le pourcentage de la qualité de la liaison n’est pas maintenu, alors la liaison est

désactivée.

Pour équilibrer la charge sur plusieurs liaisons

R1(config-if)#ppp multilink

4- SNMP
Dans les versions 1 et 2, une requête SNMP contient un nom appelé communauté,
utilisé comme un mot de passe.
Sur de nombreux équipements, la valeur par défaut de communauté est :
public ou private.

Le mode d'activation d’une communauté peut être de deux types :

 Read Only (RO) ;
 Read and Write (RW)

p. 5
Si la communauté n’est pas activée ou si elle est activée en mode Read and Write, il faut l’activer
en mode Read Only grâce à la commande suivante :

Switch(config)#snmp-server community private RO

De manière plus générale, si vous souhaitez ajouter une communauté, il faut entrer la commande
suivante :

snmp-server community <nom_communauté> <mode_activation>

Activation des traps SNMP

Pour savoir quels traps peuvent être utilisés par le switch ou routeur, entrez la commande
suivante :

Switch(config)#snmp-server enable traps ?

atm Enable SNMP atm traps
cnpd Enable NBAR Protocol Discovery traps
config Enable SNMP config traps
config-copy Enable SNMP config-copy traps
cpu Allow cpu related traps
ds0-busyout Enable ds0-busyout traps
ds1 Enable SNMP DS1 traps
ds1-loopback Enable ds1-loopback traps
ds3 Enable SNMP DS3 traps
.
.

Dans notre exemple, nous avons décidé d’activer le trap VTP et de désactiver le trap TTY.

Switch (config)#snmp-server enable traps vtp

Switch(config)#no snmp-server enable traps tty

Choix de destination de la communauté

Il faut à présent définir l’adresse IP de destination ainsi que la communauté des traps SNMP.
Cette adresse IP doit être celle de votre serveur SNMP.

Switch(config)#snmp-server host 192.168.246.200 private

p. 6