| 1 | Éléments de Configuration Cisco |
|---|
| 2 | ===================== |
|---|
| 3 | |
|---|
| 4 | Notes : |
|---|
| 5 | ------ |
|---|
| 6 | * Les commandes précédées de "$" signifient que vous devez exécuter |
|---|
| 7 | la commande en tant qu'utilisateur général - et non en tant |
|---|
| 8 | qu'utilisateur root. |
|---|
| 9 | * Les commandes précédées de "#" signifient que vous devez travailler |
|---|
| 10 | en tant qu'utilisateur root. |
|---|
| 11 | * Les commandes comportant des lignes de commande plus spécifiques |
|---|
| 12 | (par exemple "rtr>" ou "mysql>") signifient que vous exécutez des |
|---|
| 13 | commandes sur des équipements à distance, ou dans un autre programme. |
|---|
| 14 | * Si une ligne de commande se termine par "\", ceci signifie que |
|---|
| 15 | la commande se poursuit sur la ligne suivante et que vous devez la |
|---|
| 16 | traiter comme une seule ligne. |
|---|
| 17 | |
|---|
| 18 | Exercices Partie I |
|---|
| 19 | ================ |
|---|
| 20 | |
|---|
| 21 | 1. Connectez-vous à votre routeur |
|---|
| 22 | ------------------------- |
|---|
| 23 | |
|---|
| 24 | Loguez-vous à votre image vm/pc et installez Telnet : |
|---|
| 25 | |
|---|
| 26 | $ sudo apt-get install telnet |
|---|
| 27 | |
|---|
| 28 | Connectez-vous au routeur de votre groupe. En cas de doute, pensez |
|---|
| 29 | à consulter le schéma du réseau de classe : |
|---|
| 30 | |
|---|
| 31 | http://noc.ws.nsrc.org/wiki/wiki/Diagram |
|---|
| 32 | |
|---|
| 33 | Maintenant connectez-vous à votre routeur |
|---|
| 34 | |
|---|
| 35 | $ telnet 10.10.N.254 |
|---|
| 36 | username: cisco Password: cisco |
|---|
| 37 | |
|---|
| 38 | Affichez les informations concernant votre routeur |
|---|
| 39 | |
|---|
| 40 | rtrN>enable (mot de passe par défaut "cisco") |
|---|
| 41 | rtrN#show run (espace pour continuer) |
|---|
| 42 | rtrN#show int FastEthernet0/0 |
|---|
| 43 | rtrN#show ? (liste toutes les options) |
|---|
| 44 | rtrN#exit (déconnexion du routeur) |
|---|
| 45 | |
|---|
| 46 | |
|---|
| 47 | |
|---|
| 48 | 2. Configurez votre routeur pour utiliser uniquement SSH |
|---|
| 49 | ---------------------------------------- |
|---|
| 50 | |
|---|
| 51 | Ces étapes vous permettront d'effectuer les opérations suivantes : |
|---|
| 52 | |
|---|
| 53 | * Créer une clé ssh pour votre routeur |
|---|
| 54 | * Créer un mot de passe crypté pour l'utilisateur Cisco |
|---|
| 55 | * Crypter le mot de passe (Cisco) |
|---|
| 56 | * Désactiver l'accès telnet (non crypté) à votre routeur |
|---|
| 57 | * Activer l'accès SSH (version 2) à votre routeur |
|---|
| 58 | |
|---|
| 59 | Vous devez travailler par groupe de 4. Réunissez-vous avec les |
|---|
| 60 | membres de votre groupe routeur et désignez une personne pour entrer |
|---|
| 61 | les commandes. Pour commencer, connectez-vous à l'un des PC utilisés |
|---|
| 62 | par votre groupe. À partir de ce PC lancez une connexion telnet |
|---|
| 63 | vers votre routeur : |
|---|
| 64 | |
|---|
| 65 | $ telnet rtrN.ws.nsrc.org (ou "telnet 10.10.N.254") |
|---|
| 66 | |
|---|
| 67 | username: cisco |
|---|
| 68 | Password: cisco |
|---|
| 69 | |
|---|
| 70 | rtrN> enable (en) |
|---|
| 71 | Password: cisco |
|---|
| 72 | rtrN# configure terminal (conf t) |
|---|
| 73 | |
|---|
| 74 | Commençons par donner un nom de domaine à notre routeur, au cas où: |
|---|
| 75 | |
|---|
| 76 | rtrN(config)# ip domain-name ws.nsrc.org |
|---|
| 77 | |
|---|
| 78 | rtrN(config)# aaa new-model |
|---|
| 79 | rtrN(config)# crypto key generate rsa |
|---|
| 80 | |
|---|
| 81 | How many bits in the modulus [512]: 2048 |
|---|
| 82 | |
|---|
| 83 | Attendez que la clé soit générée. Vous pouvez maintenant spécifier |
|---|
| 84 | les mots de passe et ils seront cryptés. Supprimons d'abord |
|---|
| 85 | provisoirement notre utilisateur Cisco, nous allons le recréer par |
|---|
| 86 | la suite : |
|---|
| 87 | |
|---|
| 88 | rtrN(config)# no username cisco |
|---|
| 89 | rtrN(config)# username cisco secret 0 cisco |
|---|
| 90 | |
|---|
| 91 | Maintenant le mot de passe de l'utilisateur Cisco (Cisco) est crypté. |
|---|
| 92 | Cryptez ensuite également le mot de passe enable : |
|---|
| 93 | |
|---|
| 94 | rtrN(config)# enable secret 0 cisco |
|---|
| 95 | |
|---|
| 96 | Nous allons maintenant demander à notre routeur d'autoriser uniquement |
|---|
| 97 | des connexions SSH sur les 5 consoles définies (vty 0 à 4): |
|---|
| 98 | |
|---|
| 99 | rtrN(config)# line vty 0 4 |
|---|
| 100 | rtrN(config-line)# transport input ssh |
|---|
| 101 | rtrN(config-line)# exit |
|---|
| 102 | |
|---|
| 103 | Nous quittons ainsi le mode de configuration "ligne" pour revenir |
|---|
| 104 | au mode de configuration général. Nous allons maintenant indiquer |
|---|
| 105 | au routeur d'enregistrer les événements liés au protocole SSH et |
|---|
| 106 | de n'autoriser que les connexions SSH version 2 : |
|---|
| 107 | |
|---|
| 108 | rtrN(config)# ip ssh logging events |
|---|
| 109 | rtrN(config)# ip ssh version 2 |
|---|
| 110 | |
|---|
| 111 | Quittez maintenant le mode de configuration : |
|---|
| 112 | |
|---|
| 113 | rtrN(config)# exit |
|---|
| 114 | |
|---|
| 115 | Et, enregistrez ces changements dans la configuration permanente du routeur : |
|---|
| 116 | |
|---|
| 117 | rtrN# write memory (wr mem) |
|---|
| 118 | |
|---|
| 119 | Ok. C'est fait. Vous ne pouvez plus utiliser Telnet pour vous |
|---|
| 120 | connecter à votre routeur. Vous devez vous connecter en SSH avec |
|---|
| 121 | l'utilisateur "cisco" et le mot de passe "cisco". Le mot de passe |
|---|
| 122 | Enable est également "cisco" - Naturellement, dans une situation |
|---|
| 123 | réelle, vous utiliseriez des mots de passe beaucoup plus sûrs. |
|---|
| 124 | |
|---|
| 125 | Quittons l'interface du routeur afin de se reconnecter en SSH : |
|---|
| 126 | |
|---|
| 127 | rtrN# exit |
|---|
| 128 | |
|---|
| 129 | Tout d'abord, essayez à nouveau de vous connecter avec Telnet : |
|---|
| 130 | |
|---|
| 131 | $ telnet rtrN.ws.nsrc.org |
|---|
| 132 | |
|---|
| 133 | Que se passe-t-il ? Vous devriez voir s'afficher un message du type : |
|---|
| 134 | |
|---|
| 135 | Trying 10.10.N.254... |
|---|
| 136 | telnet: Unable to connect to remote host: Connection refused |
|---|
| 137 | |
|---|
| 138 | Maintenant essayez de vous connecter en SSH : |
|---|
| 139 | |
|---|
| 140 | $ ssh cisco@rtrN.ws.nsrc.org |
|---|
| 141 | |
|---|
| 142 | Vous devriez voir le message suivant : |
|---|
| 143 | |
|---|
| 144 | The authenticity of host 'rtr2.ws.nsrc.org (10.10.2.254)' can't be established. |
|---|
| 145 | RSA key fingerprint is 93:4c:eb:ad:5c:4a:a6:3e:8b:9e:4f:e4:e2:eb:e4:7f. |
|---|
| 146 | Are you sure you want to continue connecting (yes/no)? |
|---|
| 147 | |
|---|
| 148 | Tapez "yes" et appuyez sur ENTREE pour continuer ... |
|---|
| 149 | |
|---|
| 150 | L'écran affiche maintenant : |
|---|
| 151 | |
|---|
| 152 | Password: cisco |
|---|
| 153 | rtrN> |
|---|
| 154 | |
|---|
| 155 | Tapez "enable" pour nous permettre d'exécuter des commandes privilégiées : |
|---|
| 156 | |
|---|
| 157 | rtrN> enable |
|---|
| 158 | Password: cisco |
|---|
| 159 | rtrN# |
|---|
| 160 | |
|---|
| 161 | Affichons maintenant la configuration courante du routeur : |
|---|
| 162 | |
|---|
| 163 | rtrN# show running (sh run) |
|---|
| 164 | |
|---|
| 165 | Appuyez sur la barre d'espace pour continuer. Regardez les entrées suivantes : |
|---|
| 166 | |
|---|
| 167 | enable secret 5 $1$p4/E$PnPk6VaF8QoZMhJx56oXs. |
|---|
| 168 | . |
|---|
| 169 | . |
|---|
| 170 | . |
|---|
| 171 | username cisco secret 5 $1$uNg1$M1yscHhYs..upaPP4p8gX1 |
|---|
| 172 | . |
|---|
| 173 | . |
|---|
| 174 | . |
|---|
| 175 | line vty 0 4 |
|---|
| 176 | exec-timeout 0 0 |
|---|
| 177 | transport input ssh |
|---|
| 178 | |
|---|
| 179 | Vous pouvez voir que le mot de passe Enable et le mot de passe de |
|---|
| 180 | l'utilisateur Cisco ont été cryptés. C'est parfait. |
|---|
| 181 | |
|---|
| 182 | Maintenant, vous devez quitter l'interface du routeur pour terminer cet exercice: |
|---|
| 183 | |
|---|
| 184 | rtrN# exit |
|---|
| 185 | |
|---|
| 186 | NOTES : |
|---|
| 187 | ----- |
|---|
| 188 | |
|---|
| 189 | 1.) Si vous ne pouvez plus accéder à votre routeur après cet exercice, |
|---|
| 190 | informez-en votre instructeur afin qu'il puisse réinitialiser la |
|---|
| 191 | configuration de votre routeur à son état d'origine. |
|---|
| 192 | |
|---|
| 193 | 2.) Veuillez n'effectuer cet exercice qu'une seule fois. Si plusieurs |
|---|
| 194 | personnes effectuent cet exercice, il est très probable que l'accès |
|---|
| 195 | au routeur soit bloqué. |
|---|
| 196 | |
|---|
| 197 | 3.) Au cours de la semaine, vous allez configurer des éléments tels |
|---|
| 198 | que SNMP, NetFlow, etc. sur le routeur de votre groupe. A partir |
|---|
| 199 | de maintenant vous pouvez vous connecter au routeur en SSH directement, |
|---|
| 200 | depuis votre ordinateur portable ou votre PC. |
|---|
