Nouvel article sur la série BGP on va aborder la Local-preference après avoir vu le weight.
Vidéos Youtube :
Qu’est-ce que la local-preference ?
L’attribut BGP Local-preference avec une valeur élevée indique le chemin (en routage sortant) favoris au niveau de l’AS(Autonomous System). Cette attribut est annoncé dans l’AS et non en eBGP.
Pour résumé c’est comme l’attribut weight sauf que cela se configure plus en local sur le routeur mais au niveau de l’AS sur le routeur « favoris ».
Dans le schémas ci-dessus on va par exemple pour l’AS 123 choisir le routeur R3 comme routeur favoris et tous mes flux sortant passerons par R3. L’attribut Local-Preference va être alors configuré en local puis annoncés dans l’AS et R1 et R2 passerons par R3 pour accéder au réseaux hors AS 123.
Voici les confs des différents routeurs de l’AS 123:
Salut à tous ! On reprend la série BGP : on s’attaque à la métrique et on va parler du Weight (le poids).
Qu’est ce que le weight ?
Le weight est le premier attribut BGP comme vous pouvez le voir dans le tableau ci-dessous :
Le weight (poids) comme son nom l’indique permet de favoriser un voisin (BGP) par rapport à un autre. Exemple : j’ai un router A connecté au routeur B et au routeur C comme ci-dessous :
J’ai 2 chemins pour accéder à la même route, si je configure un poids à 100 sur le routeur B et un poids à 200 sur le routeur C, alors le routeur A passera par le routeur C pour accèder au réseau.
C’est tout simplement cela le weight 🙂 .
Remarques importantes :
La configuration est faite en local sur le routeur
Cette métriques n’est pas annoncée au routeur voisin
La métrique est par défaut à 0
Passons au LAB :
Vidéo Youtube :
Schéma :
Le but du LAB : faire passer les flux de Marseille vers LibreNMS qui passe initialement par Bordeaux et les faire passer par Nantes en mettant un poids supérieur au niveau de la configuration BGP.
Voici les confs des différents routeurs :
MARSEILLE :
MARSEILLE#show running-config
Building configuration...
Current configuration : 1576 bytes
!
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
!
hostname MARSEILLE
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
no ip icmp rate-limit unreachable
ip cef
!
!
!
!
ip dhcp pool CLIENT_LAN
network 192.168.70.0 255.255.255.0
default-router 192.168.70.1
!
!
!
no ip domain lookup
no ipv6 cef
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
ip tcp synwait-time 5
!
!
!
!
!
!
!
!
!
!
!
!
interface Ethernet0/0
no ip address
shutdown
duplex auto
!
interface GigabitEthernet0/0
no ip address
shutdown
media-type gbic
speed 1000
duplex full
negotiation auto
!
interface GigabitEthernet1/0
ip address 50.54.30.1 255.255.255.252
negotiation auto
!
interface GigabitEthernet2/0
ip address 43.200.10.1 255.255.255.252
negotiation auto
!
interface GigabitEthernet3/0
no ip address
shutdown
negotiation auto
!
interface GigabitEthernet4/0
no ip address
shutdown
negotiation auto
!
interface GigabitEthernet5/0
no ip address
shutdown
negotiation auto
!
interface GigabitEthernet6/0
ip address 192.168.70.1 255.255.255.0
negotiation auto
!
router bgp 111
bgp log-neighbor-changes
network 192.168.70.0
neighbor 43.200.10.2 remote-as 777
neighbor 43.200.10.2 weight 100
neighbor 50.54.30.2 remote-as 444
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
!
!
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
!
!
end
BORDEAUX:
BORDEAUX#show running-config
Building configuration...
Current configuration : 1504 bytes
!
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
!
hostname BORDEAUX
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
no ip icmp rate-limit unreachable
ip cef
!
!
!
!
!
!
no ip domain lookup
no ipv6 cef
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
ip tcp synwait-time 5
!
!
!
!
!
!
!
!
!
!
!
!
interface Ethernet0/0
no ip address
shutdown
duplex auto
!
interface GigabitEthernet0/0
no ip address
shutdown
media-type gbic
speed 1000
duplex full
negotiation auto
!
interface GigabitEthernet1/0
ip address 50.54.30.2 255.255.255.252
negotiation auto
!
interface GigabitEthernet2/0
ip address 187.18.20.2 255.255.255.0
negotiation auto
!
interface GigabitEthernet3/0
no ip address
shutdown
negotiation auto
!
interface GigabitEthernet4/0
no ip address
shutdown
negotiation auto
!
interface GigabitEthernet5/0
no ip address
shutdown
negotiation auto
!
interface GigabitEthernet6/0
no ip address
shutdown
negotiation auto
!
router bgp 444
bgp log-neighbor-changes
network 187.18.20.0 mask 255.255.255.0
neighbor 50.54.30.1 remote-as 111
neighbor 187.18.20.1 remote-as 999
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
!
!
ip prefix-list NY_BOR seq 5 permit 187.18.20.0/24
!
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
!
!
end
NANTES:
NANTES#show running-config
Building configuration...
Current configuration : 1452 bytes
!
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
!
hostname NANTES
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
no ip icmp rate-limit unreachable
ip cef
!
!
!
!
!
!
no ip domain lookup
no ipv6 cef
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
ip tcp synwait-time 5
!
!
!
!
!
!
!
!
!
!
!
!
interface Ethernet0/0
no ip address
shutdown
duplex auto
!
interface GigabitEthernet0/0
no ip address
shutdown
media-type gbic
speed 1000
duplex full
negotiation auto
!
interface GigabitEthernet1/0
no ip address
shutdown
negotiation auto
!
interface GigabitEthernet2/0
ip address 43.200.10.2 255.255.255.252
negotiation auto
!
interface GigabitEthernet3/0
ip address 150.90.40.2 255.255.255.0
negotiation auto
!
interface GigabitEthernet4/0
no ip address
shutdown
negotiation auto
!
interface GigabitEthernet5/0
no ip address
shutdown
negotiation auto
!
interface GigabitEthernet6/0
no ip address
shutdown
negotiation auto
!
router bgp 777
bgp log-neighbor-changes
network 150.90.40.0 mask 255.255.255.0
neighbor 43.200.10.1 remote-as 111
neighbor 150.90.40.1 remote-as 999
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
!
!
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
!
!
end
NEW YORK :
NEW_YORK#show running-config
Building configuration...
Current configuration : 1536 bytes
!
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
!
hostname NEW_YORK
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
no ip icmp rate-limit unreachable
ip cef
!
!
!
!
ip dhcp pool WAN_NY
network 192.168.90.0 255.255.255.0
default-router 192.168.90.1
!
!
!
no ip domain lookup
no ipv6 cef
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
ip tcp synwait-time 5
!
!
!
!
!
!
!
!
!
!
!
!
interface Ethernet0/0
no ip address
shutdown
duplex auto
!
interface GigabitEthernet0/0
no ip address
shutdown
media-type gbic
speed 1000
duplex full
negotiation auto
!
interface GigabitEthernet1/0
no ip address
shutdown
negotiation auto
!
interface GigabitEthernet2/0
ip address 187.18.20.1 255.255.255.0
negotiation auto
!
interface GigabitEthernet3/0
ip address 150.90.40.1 255.255.255.0
negotiation auto
!
interface GigabitEthernet4/0
no ip address
shutdown
negotiation auto
!
interface GigabitEthernet5/0
no ip address
shutdown
negotiation auto
!
interface GigabitEthernet6/0
ip address 192.168.90.1 255.255.255.0
negotiation auto
!
router bgp 999
bgp log-neighbor-changes
network 192.168.90.0
neighbor 150.90.40.2 remote-as 777
neighbor 187.18.20.2 remote-as 444
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
!
!
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
!
!
end
Ensuite nous allons configurer le weight sur Marseille :
router bgp 111
neighbor 43.200.10.2 weight 100
Comme on peut le voir dans la vidéo les flux passent désormais par NANTES.
Merci à vous, n’hésitez pas à vous abonnez et à commenter la vidéo !
Salut à tous ! Bon ça fait un moment que j’ai pas écrit d’articles sur mon blog je m’étais focus sur la série « Debian en moins de 3 minutes » uniquement en petites vidéo Youtube.
Aujourd’hui je reviens 💪💪💪 sur la série BGP on va voir ensemble les prefix-list dans un LAB sur GNS3. J’explique dans la vidéo ce que cela est pour plus de précisions je vous invite à regarder ce lien en anglais :
Sinon pour la faire courte une prefix-list c’est une peu comme une ACL (Access List) une liste d’IPs qui va me permettre de filtrer en l’occurence dans le cas de BGP d’annoncer certains réseaux à mes voisins et ne pas en annoncés d’autres. Dans les prefix-list il y’a un deny implicite tout ce qui ne sera pas permis ne sera pas autorisé.
Le LAB :
Contexte: Nous avons R1 (AS 111) qui doit annoncer seulement le réseaux Serveurs Publiques (carré rouge) à R2 (AS 800). Et annoncer à R3 (AS 999) les réseaux IP Firewalls (carré bleu foncé). De même R2 doit annoncer les réseaux en 200.10.0.0/22 et 200.10.4.0/22.
Remarque : Les IPs sont déjà configuré il y’aura uniquement la partie BGP et les prefix-list qui sera traité dans ce tuto.
Vidéo du LAB :
On commence le LAB !
Etape 1: Configuration de la relation de voisinage BGP.
Quelques explications ma prefix-list est sous la forme :
ip prefix-listNOM_DE_MA_PREFIX-LISTpermit/denyMON_RESEAU et si beoins le/ge
le : letter or equal
ge : gretter or equal
Si j’explique la prefix-list ci-dessous :
ip prefix-list SRV_PUB permit 153.139.0.0/20 le 22
Cela donne : « J’autorise le réseau(résumé) en 153.139.0.0/20 dont les résaux annoncés ont un masque inférieurs ou égale à 22 donc tout ce qui est en /21 et en dessous. Cette prefix ce nomme SRV_PUB » voilà comment on pourrait traduire cette règle.
SRV_PUB représente les réseaux dans le carré rouge
SRV_EXT représente les réseaux dans le carré rose côté R2
FIREWALL les réseau dans le carré blei foncé.
Voir le schémas.
Etape 3 : J’applique mes prefix-list sur la conf BGP sur R1
R1(config-router)#neighbor 120.80.10.2 prefix-list SRV_PUB out
R1(config-router)#neighbor 120.80.10.2 prefix-list SRV_EXT in
R1(config-router)#neighbor 110.90.30.2 prefix-list FIREWALL out
in : pour tout ce que je vais recevoir donc je filtre en entrée
out : pour tout ce que je vais envoyé donc je filtre en sortie.
Salut nous allons voir dans ce tuto comment configurer une relation iBGP et comment se déroule la redistribution de routes lorsque l’on passe par un AS de transit pour joindre un autre AS.
Voici les liens des 2 vidéos :
Remarque: Dans le tuto contrairement à la vidéo je ne montrerais pas la configuration des intercos et des adresses IPs.
1 ère étape: Configuration de la relation iBGP entre R1 et R2
Configuration OSPF R1:
R1(config)#router ospf 1
R1(config-router)#router-id 1.1.1.1
R1(config-router)#network 1.1.1.1 0.0.0.0 area 0
R1(config-router)#network 102.12.1.0 0.0.0.3 area 0
Configuration OSPF R2:
R2(config)#router ospf 1
R2(config-router)#router-id 2.2.2.2
R2(config-router)#network 2.2.2.2 0.0.0.0 area 0
R2(config-router)#network 102.12.1.0 0.0.0.3 area 0
Cette directive permet de modifier le next hop car en iBGP lorsque les routes sont redistribués le next hop n’est pas modifié(voir la vidéo pour plus de détails). Par exemple pour R1 le next hop sera 2.2.2.2(R2) et non 40.42.1.2 (R4) grâce à la directive next-hop-self.
Une fois que cela est fait je test la connectivité entre la loopback de R3 et de R4 :
Connectivité OK !
Fin de ce tuto ! N’hésite pas à t’abonnés et à me dire ce que tu en pense en commentaire 🙂 .
Salut nouveau tuto sur BGP. Nous allons voir comment configurer l’authentification dans une relation BGP. Puis nous verrons comment désactiver un voisin BGP.
Le lien de la vidéo youtube:
La topologie :
Pour ce lab j’ai rajouté un 3 ème routeur R3 avec qui je vais configurer la relation BGP avec un mots de passe puis shuter la session BGP et la remonter après.
1 ère étape : Configuration de la relation de voisinage entre R1 et R3 avec mots de passe
On voit que la session BGP est down. On peut le voir aussi en tapant la commande suivante :
R1#show ip bgp summary
BGP router identifier 1.1.1.1, local AS number 100
BGP table version is 9, main routing table version 9
8 network entries using 1152 bytes of memory
8 path entries using 640 bytes of memory
2/2 BGP path/bestpath attribute entries using 272 bytes of memory
1 BGP AS-PATH entries using 24 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP using 2088 total bytes of memory
BGP activity 8/0 prefixes, 8/0 paths, scan interval 60 secs
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
150.10.10.2 4 900 26 26 9 0 0 00:19:56 4
160.45.10.2 4 300 0 0 1 0 0 00:01:11 Idle (Admin)
Si je souhaite remonter la session BGP il suffit de reprendre la commande qui me permet de shuter la session et de mettre un « no » devant :
Salut ! On va continuer notre lancé sur BGP. On va reprendre le LAB précédent et je vais vous montrer comment résumer les routes en BGP. C’est à dire qu’au lieu d’annoncer par exemple mes 3 /24 suivant :
223.10.10.0/24
223.10.20.0/24
223.10.30.0/24
Je vais les annoncer en un seul réseau résumé : 223.10.0.0/16
On reste sur le même lab que le précédent tuto sauf que l’on va annoncer un nouveau préfixe résumé.
Pour que mon réseau soit annoncés en BGP il faut qu’il soit routé. Je créer donc une route sur R1 et R2 pour que les différents réseaux soit annoncées.
R1(config)#ip route 223.10.0.0 255.255.0.0 Null 0
R2(config)#ip route 79.10.0.0 255.255.0.0 Null 0
Je peux maintenant vérifier sur R1 et R2 :
R1#show ip bgp neighbors 150.10.10.2 received-routes
BGP table version is 9, local router ID is 150.10.10.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found
Network Next Hop Metric LocPrf Weight Path
*> 79.10.0.0/16 150.10.10.2 0 0 900 i
*> 93.50.0.0/16 150.10.10.2 0 0 900 i
*> 93.60.0.0/16 150.10.10.2 0 0 900 i
*> 93.70.0.0/16 150.10.10.2 0 0 900 i
Total number of prefixes 4
R2#show ip bgp neighbors 150.10.10.1 received-routes
BGP table version is 9, local router ID is 150.10.10.2
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found
Network Next Hop Metric LocPrf Weight Path
*> 204.10.0.0/16 150.10.10.1 0 0 100 i
*> 204.20.0.0/16 150.10.10.1 0 0 100 i
*> 204.30.0.0/16 150.10.10.1 0 0 100 i
*> 223.10.0.0/16 150.10.10.1 0 0 100 i
Total number of prefixes 4
On remarque que je reçois bien un réseau résumé donc 1 préfixe au lieu de 3.
Fin de ce tuto merci d’avoir lu et/ou vue ma vidéo. Je vous dit à la prochaine pour un autre tuto 😀 .
Dans ce tuto on va voir comment configurer une session BGP basique et en prime une vidéo Youtube qui accompagne ce tuto !!!
Lien de la vidéo :
La topologie (très simple) :
Le but de ce tuto établir la relation BGP entre R1 et R2 et annoncer les différents préfixes commençant par 204 et 93. On utilisera le réseau 150.10.10.0/30 pour l’interco IP entre R1 et R2.
Remarque : En BGP contrairement à OSPF et EIGRP on est obligés de déclarer le voisin dans sa configuration.
On peut afficher la table de voisinage BGP :
R1#show ip bgp summary
3 ème étape : Annonces réseaux
Comme vous pouvez le voir sur la photo au début de la photo au niveau de R1 je vais annoncer les 3 préfixes commençant par 204 et sur R2 les 3 préfixes commençant par 93.
Il faut ensuite que fasse une route Null pour chaque préfixes pour que le réseau soit annoncés en BGP car si un réseau n’est pas routé il ne sera pas annoncé en BGP.
Exemple :
ip route 204.10.0.0 255.255.0.0 Null0
Je fais la même chose pour le reste des préfixes.
4ème étape: Vérifier ce que l’on annonce et ce que l’on reçoit.
Pour vérifier ce que l’on annonce :
R1#show ip bgp neighbors 150.10.10.2 advertised-routes
Pour vérifier ce que je reçois il faut au préalable activer le « soft-reconfiguration inbound » sur le voisin BGP
LE LAB : Nous allons avoir un réseau très simple pour ce lab. Un réseau admin(192.168.10.0/24), un réseau employés(192.168.40.0/24) et le réseau du serveur(172.16.50.0/24).
But du LAB : Il faut que seul le réseau admin puisse accèder en SSH au routeur. Il faut que le réseau admin puissent accèder à tous les services du serveur WEB (DNS et HTTP). Le réseau EMPLOYES ne pourra que pinguer et accèder au service HTTP du serveur WEB.
1 ère étape : Configuration de l’ACL étendue SSH_ROUTEUR
J’autorise le réseau EMPLOYES a interrogé mon serveur uniquement sur le port 80 (HTTP)
J’applique la règle ensuite sur mon interface :
R1ACL2(config)#interface gigabitEthernet 0/1
R1ACL2(config-if)#ip access-group EMPLOYEStoSERVER in
J’affiche la conf de mes ACLs pour vérifier que tout est ok :
R1ACL2#sh ip access-lists
Extended IP access list SSH_ROUTEUR
10 permit tcp 192.168.10.0 0.0.0.255 host 192.168.10.1 eq 22
20 permit tcp 192.168.10.0 0.0.0.255 host 172.16.50.250 range domain www
Extended IP access list EMPLOYEStoSERVER
10 permit tcp 192.168.40.0 0.0.0.255 host 172.16.50.250 eq www
Je fait aussi un show run pour voir si les règles sont bien appliqués sur les interfaces :
interface GigabitEthernet0/0
ip address 192.168.10.1 255.255.255.0
ip access-group ADMINtoSERVER in
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 192.168.40.1 255.255.255.0
ip access-group EMPLOYEStoSERVER in
duplex auto
speed auto
Une fois terminé je peux tester mes règles sur mes différents réseaux :
Depuis le réseau ADMIN le DNS est OK :
Et je parviens à accèder en HTTP à mon serveur :
En revanche sur mon réseau EMPLOYES je ne parviens pas à interoogé mon serveur DNS car je ne l’ai pas autorisé :
L’accès WEB lui en revanche est OK car je l’ai explicitement autorisé.
Fin de ce tuto n’hésitez à laisser un commentaire et me dire ce que vous en pensez à bientôt 😀 .
Dans ce tuto nous allons voir qu’est ce qu’une ACL. Ensuite à l’aide du LAB nous configurerons les ACLs standard puis dans un second article les ACLs étendues.
1. Qu’est ce qu’une Access-List
Les ACLs permettent de filtrer les flux au niveau d’une interface en entrée et en sortie de ma même manière qu’un firewall.
ACL Standard : Si on filtre les IPs sources uniquement dans ce cas là on parlera d’ACLs standard. Elle se configurera au plus près de la destination. Les ACLs standard sont numérotés de 1 à 99 et de 1300 à 1999.
ACL étendue : va filtrer au niveau de l’ip source, l’ip destination, le port source, le port destination. A l’inverse des ACL standard elle se configurera au plus proche de la source. Les ACLs étendue sont numérotés de 100 à 199 et de 2000 à 2699.
Une instruction DENY est mis à chaque fin d’une access list de manière implicite. Autrement dit elle bloquera tout le traffic qui n’est explicitement pas autoriser.
2. LAB(ACLs Standard)
Dans ce lab nous allons mettres en place des ACLs standard.
Topologies :
ADMIN : 192.168.10.0/24
RH : 192.168.20.0/34
Commerciaux : 192.168.30.0/24
Imprimantes : 10.20.200.0/24
Serveurs : 10.10.100.0/24
Contexte : Nous avons 5 réseaux le réseau des ADMIN, le réseau des commerciaux, le réseau des RH , un réseau avec une seule imprimante et enfin le réseau des serveurs avec 2 serveurs le serveur de comptabilité, le serveur des RH . Les administrateurs réseaux ont accès à tous les réseaux. Les RH ont accès au réseau serveurs. Les commerciaux n’ont pas accès au réseau serveurs en revanche ils ont accès à l’imprimante pour imprimer les contrats. Les RH eux n’ont pas accès à l’imprimante.
Le LAB sera sur CISCO Packet Tracer que vous pouvez téléchargez ici :
Remarque : Avant de commencer le lab pinguer tout les équipements pour vous assurer que vous avez bien de la connectivité partout !
1 ère étape :
Nous allons configurer les ACLs pour que le réseau des ADMINs (192.168.10.0/24) et RH (192.168.20.0/24)accède à tous les serveurs.
On créer l’ACL :
Router(config)#ip access-list standard ACCESS_SERVEURS
Router(config-std-nacl)#permit 192.168.10.0 0.0.0.255
Router(config-std-nacl)#permit 192.168.20.0 0.0.0.255
Ensuite on l’applique l’ACL au plus proche de la destination c’est à dire sur l’interface Gig6/0.
Router(config)#interface gigabitEthernet 6/0
Router(config-if)#ip access-group ACCESS_SERVEURS out
Si on traduit en français : J’autorise le traffic en provenance du réseau 192.168.10.0/24 et du réseau 192.168.20.0/24 vers le réseau serveurs. Implicitement il interdira tout le traffic autres vers le réseau serveurs.
On peut vérifier la configuration en tapant les commandes suivantes :
Router#show ip access-lists
Standard IP access list ACCESS_SERVEURS
10 permit 192.168.10.0 0.0.0.255
20 permit 192.168.20.0 0.0.0.255
Router#show running-config
.
.
.
ip access-list standard ACCESS_SERVEURS
permit 192.168.10.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
La configuration est bonne je peux donc enregistrer:
Router#write memory
Enfin nous allons vérifier que le réseau ADMIN et RH ont bien accès au serveurs:
Il suffira de faire un ping à partir des PC des 2 réseaux vers l’un des serveurs:
PC ADMIN:
PC RH :
Les réseau ADMINs et RH ont bien accès au serveurs vérifions que le réseau des commerciaux n’a pas accès aux serveurs :
Le réseau des commerciaux n’a effectivement pas accès au réseau serveurs.
2 ème étape :
Nous allons autoriser le traffic du réseau ADMINs et des commerciaux vers l’imprimante.
On créer l’ACL :
Router(config)#ip access-list standard ACCES_IMPRIMANTE
Router(config-std-nacl)#permit 192.168.10.0 0.0.0.255
Router(config-std-nacl)#permit 192.168.30.0 0.0.0.255
Ensuite on l’applique l’ACL au plus proche de la destination c’est à dire sur l’interface Gig5/0 :
Router(config)#interface gigabitEthernet 5/0
Router(config-if)#ip access-group ACCES_IMPRIMANTE out
On vérifie la conf et on enregistre :
Router#show ip access-lists
Standard IP access list ACCESS_SERVEURS
10 permit 192.168.10.0 0.0.0.255 (8 match(es))
20 permit 192.168.20.0 0.0.0.255 (8 match(es))
Standard IP access list ACCES_IMPRIMANTE
10 permit 192.168.10.0 0.0.0.255
20 permit 192.168.30.0 0.0.0.255
En bleu la commande et en vert l’ACL pour le réseau imprimante.
On enregistre :
Router#write memory
On vérifie si nos règles fonctionnent en testant sur les différents PC. Ici il faut que le réseau ADMIN et le réseau des commerciaux puissent accéder à l’imprimante mais pas le réseau RH.
C’est la fin de ce tuto . N’hésitez pas à laisser un commentaire et me donner votre avis 😀 .
On se retrouve plus tard pour la seconde partie:) .
Dans ce petit tuto nous allons voir comment accèder en SSH à son routeur CISCO la procédure est la même pour un switch 🙂 .
Dans ce tuto on, accède à une machine Debian via notre PC en SSH. Cette mahine Debian nous sert de rebond pour accèder à notre routeur Cisco (en ssh aussi) sur son interface de management par exemple.
Voici le schémas avec les 2 sous réseaux pour mieux comprendre.
192.168.1.0/24 : réseau de ma machine à la machine de rebond.
10.50.50.0/16 : réseau de Management du router connecté à la machine de rebond.
Nous allons tout d’abord configurer les IPs sur le routeur CISCO et sur notre machine de rebond Linux.
1. Configuration des interfaces
Configuration R1 :
R1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#interface gigabitEthernet 2/0
R1(config-if)#ip address 10.50.50.1 255.255.0.0
R1(config-if)#no shutdown
On verifie et on enregistre :
R1#show running-config interface gigabitEthernet 2/0
Building configuration...
Current configuration : 89 bytes
!
interface GigabitEthernet2/0
ip address 10.50.50.1 255.255.0.0
negotiation auto
end
R1#write memory
Warning: Attempting to overwrite an NVRAM configuration previously written
by a different version of the system image.
Overwrite the previous NVRAM configuration?[confirm]
Building configuration...
[OK]
Configuration de la Machine Debian Rebond :
root@debianrouteur:~# cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
allow-hotplug ens33
iface ens33 inet static
address 10.50.50.11
netmask 255.255.0.0
auto ens36
iface ens36 inet dhcp
# This is an autoconfigured IPv6 interface
iface ens33 inet6 auto
On redémarre le service networking :
systemctl restart networking.service
Puis on active l’interface :
root@debianrouteur:~# ifup ens33
On vérifie la conf sur la machine de rebond :
root@debianrouteur:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:0c:29:3a:4f:9a brd ff:ff:ff:ff:ff:ff
inet 10.50.50.11/16 brd 10.50.255.255 scope global ens33
valid_lft forever preferred_lft forever
inet6 fe80::20c:29ff:fe3a:4f9a/64 scope link
valid_lft forever preferred_lft forever
3: ens36: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:0c:29:3a:4f:a4 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.196/24 brd 192.168.1.255 scope global dynamic ens36
valid_lft 86369sec preferred_lft 86369sec
inet6 2a01:cb00:10e5:6200:20c:29ff:fe3a:4fa4/64 scope global dynamic mngtmpaddr
valid_lft 1768sec preferred_lft 568sec
inet6 fe80::20c:29ff:fe3a:4fa4/64 scope link
valid_lft forever preferred_lft forever
On vérifie la connectivité avec R1 :
root@debianrouteur:~# ping 10.50.50.1
PING 10.50.50.1 (10.50.50.1) 56(84) bytes of data.
64 bytes from 10.50.50.1: icmp_seq=1 ttl=255 time=27.1 ms
64 bytes from 10.50.50.1: icmp_seq=2 ttl=255 time=1.49 ms
64 bytes from 10.50.50.1: icmp_seq=3 ttl=255 time=7.80 ms
2. Configuration SSH sur R1
On configure le mot de passe enable pour accèder en mode privilégié :
R1(config)#enable secret azerty
On configure le domaine (obligatoire sur CISCO pour activer ssh) :
R1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#ip domain-name labssh.cisco
R1(config)#crypto key generate rsa
The name for the keys will be: R1.labssh.cisco
Choose the size of the key modulus in the range of 360 to 4096 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 2048
% Generating 2048 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 8 seconds)
R1(config)#
*Feb 21 14:53:33.703: %SSH-5-ENABLED: SSH 1.99 has been enabled
On choisit la version 2 de ssh :
ip ssh version 2
On créé un utilisateur :
username deianrebond secret azerty
On chiffre le mot de passe (afin de ne pas l’afficher en clair dans le show run) :
service password-encryption
On configure la console d’accès à distance (vty) :
R1(config)#line vty 0 4
R1(config-line)#login local
R1(config-line)#exit
J’essais de me connecter en SSH sur R1 depuis la machine rebond :
root@debianrouteur:~# ssh debianrebond@10.50.50.1
Unable to negotiate with 10.50.50.1 port 22: no matching cipher found. Their offer: aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
Je n’y parvient pas. Mais que veut dire ce message ? En gros, il me dit qu’il n’a pas réussit à négocier d’algorithme de chiffrement avec R1.
Pour palier à ce problème, il faut créer un dossier caché « .ssh » s’il n’est pas déja créer et créer un fichier config où vous insérerez cela :
root@debianrouteur:~# ssh deianrebond@10.50.50.1
The authenticity of host '10.50.50.1 (10.50.50.1)' can't be established.
RSA key fingerprint is SHA256:n4X9omC/8yTjlPs6nGI9k09xPK+JeTtFEoN7yqij/bk.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '10.50.50.1' (RSA) to the list of known hosts.
Password:
R1>enable
Password:
R1#