diff --git a/Semaine_01/Jour_05_Examen.md b/Semaine_01/Jour_05_Examen.md new file mode 100644 index 0000000..664a7e2 --- /dev/null +++ b/Semaine_01/Jour_05_Examen.md @@ -0,0 +1,353 @@ +Emmanuel-Joyce Ntsia, Gauvain BOICHÉ, Joris Stavroulakis, Léo Jarry, + +# Virtualisation, Containérisation d'OS, Stockage évolutif & résilient + +Pour démarrer l'évaluation on est parti sur une VM avec ces spécifications : + +- Debian 13.1.0-amd64-netinst +- 8 Coeurs Logiques +- 8 Go RAM +- 20 Go d'espace disque (disque 1, le disque système) + +À partir de là on a commencé par installer toutes les dépendances nécessaires + +## 1.1 Installation des paquets pour libvirt / KVM / Qemu + +On commence par installer et configurer tout ce qui sera nécessaire pour la virtualisation : + + sudo apt install bridge-utils cpu-checker libvirt-clients libvirt-daemon-system virtinst qemu-kvm virt-manager -y + + sudo usermod -aG kvm $USER + sudo usermod -aG libvirt $USER + + + + + +## 1.2 Installation des paquets pour la containérisation LXC + +Ensuite on installe tout ce qui sera nécessaire pour la conteneurisation : + + sudo apt install lxc lxctl lxc-templates -y + + + +## 1.3 Installation du paquet mdadm pour le RAID + +Enfin on installe **mdadm** pour créer et gérer le RAID + + sudo apt install mdadm -y + + + +## 2.1 Ajout des 4 disques pour le RAID5 (3 disques actifs + un hotspare) + +On a choisi un RAID de type 5 pour la tolérance de panne **et** les performances, on est parti sur des disques de 4Go, ce qui s'avèrera (voir la suite) ne pas être assez, donc il faudra agrandir par la suite : + + + +## 2.2 Mise en place du RAID5 + +D'abord on repère les disques qu'on va mettre dans le RAID : + + sudo lsblk + + + +Ensuite on créé ce dernier en précisant le type et le nom : + + sudo mdadm --create /dev/md1 --level=5 --raid-devices=3 /dev/sdb /dev/sdc /dev/sdd + + + +On ajoute le disque ***sde*** en tant que hotspare pour notre RAID : + + sudo mdadm --add /dev/md1 /dev/sde + + + + +On vérifie que tout est en place : + + sudo mdadm --detail /dev/md1 + + + +On voit que le RAID5 avec *hotspare* est bien en place, on peut passer à la partie LVM + +## 2.3 Mise en place du LVM + +Ici on commence par déclarer le pv qu'on va utiliser, notre RAID : + + sudo pvcreate /dev/md1 + + + +Ensuite on créé le volume group nommé ***eval*** et les deux logical volume ***vms*** et ***conteneurs*** : + + sudo vgcreate eval /dev/md1 + + sudo lvcreate -l 50%FREE -n vms eval + + sudo lvcreate -l 100%FREE -n conteneurs eval + + + +Ensuite on formate les volumes pour mettre le système de fichiers *ext4* : + + sudo mkfs.ext4 /dev/mapper/eval-vms + + sudo mkfs.ext4 /dev/mapper/eval-conteneurs + + + +Puis on ajoute les labels : + + sudo tune2fs -L vmsfs /dev/mapper/eval-vms + + sudo tune2fs -L conteneursfs /dev/mapper/eval-conteneurs + + + +On vérifie qu'ils sont bien mis : + + + +## 2.4 Mise en place du montage au démarrage + +On prépare les dossiers pour le montage de nos volumes : + + sudo mkdir -p /mnt/vms /mnt/conteneurs + + + +On modifie le fstab pour que le montage se fasse au démarrage du système : + + sudo nano /etc/fstab + + + +### 2.5 Montage des volumes + +Ici on le monte directement (plutôt que de devoir redémarrer), pour ça on oublie pas de relancer le service : + + sudo systemctl daemon-reload + + + +On monte les volumes sur les dossiers précédemment créés : + + sudo mount -t ext4 /dev/mapper/eval-vms /mnt/vms + sudo mount -t ext4 /dev/mapper/eval-conteneurs /mnt/conteneurs + + + +## 3.1 Installation des conteneurs LXC + +Maintenant que tout est préparé on peut commencer à faire les conteneurs et les vms, on a décidé de commencer par les conteneurs + +### 3.1.1 Le conteneur Debian + +On installe le conteneur Debian : + + sudo lxc-create -n debianLXC -t download -- -d debian -r bullseye + + + +On crée le dossier qui servira de volume rattaché à ce conteneur : + + sudo mkdir /mnt/conteneurs/debianlxc + + + +On va modifier le fichier de config pour le rattacher justement : + + sudo nano /var/lib/lxc/debianLXC/config + + + + + +### 3.1.2 Le conteneur Ubuntu + +On installe le conteneur Ubuntu : + + sudo lxc-create -n ubuntuLXC -t download -- -d ubuntu -r noble + + + +On créé le dossier qui servira de volume rattaché à ce conteneur : + + sudo mkdir /mnt/conteneurs/ubuntulxc + + + +On va modifier le fichier de config pour le rattacher justement : + + sudo nano /var/lib/lxc/ubuntuLXC/config + + + + + +### 3.1.3 Le conteneur Fedora + +On installe le conteneur Fedora : + + sudo lxc-create -n fedoraLXC -t download -- d fedora -r 42 + + + +On crée le dossier qui servira de volume rattaché à ce conteneur : + + sudo mkdir /mnt/conteneurs/fedoralxc + + + +On va modifier le fichier de config pour le rattacher justement : + + sudo nano /var/lib/lxc/fedoraLXC/config + + + + + +## 3.2 Installation des VMS + +Maintenant que les conteneurs sont installés et configurés on passe aux VMs + +### 3.2.1 La VM Debian + +On commence à créer un dossier dans lequel on rangera le disque de la VM (ainsi que son iso au passage) : + + sudo mkdir debian + + + +On télécharge le fichier iso : + + sudo wget https://cdimage.debian.org/mirror/cdimage/archive/11.11.0/amd64/iso-cd/debian-11.11.0-amd64-netinst.iso + + + +On crée le disque (qui s'avèrera trop petit, voir la suite) : + + sudo qemu-img create -f qcow2 debian.qcow2 2G + + + +On lance l'installation avec ***virt-install*** : + + sudo virt-install \ + --name debianVM \ + --os-variant=debian11 \ + --ram 2048 \ + --vcpus 2 \ + --location /mnt/vms/debian/debian-11.11.0-amd64-netinst.iso \ + --disk debian.qcow2 \ + --graphics none \ + --console pty,target_type=serial \ + --extra-args='console=ttyS0,115200n8 serial' + + + +On a manqué de place pour l'installation, donc on rajoute deux disques de 4Go au raid et au LVM pour recommencer : + + + + +On ajoute nos deux disques au RAID (Après le reboot le md1 a été renommé par le système en md127) : + + sudo mdadm --add /dev/md127 /dev/sdf /dev/sdg + + + +On oublie pas cette commande, sinon nos disques seront juste en spare : + + sudo mdadm --grow /dev/md127 --raid-devices=5 + + + +*Et ensuite il faut bien sûr étendre le LVM (**après avoir attendu que le reshape du RAID ait fini**)* + +On commence par resize le pv : + + sudo pvresize /dev/md127 + + + +On étend ensuite notre volume dédié au VM pour lui accorde 100% du nouvel espace libre : + + sudo lvextend -l +100%FREE --resizefs /dev/mapper/eval-vms + + + +Ensuite on undefine le debianVM créé précédemment pour refaire l'installation à zéro : + +*(Cette étape est nécessaire pour pouvoir utiliser le disque avec le même nom qu'avant, sinon virt croit que le disque est déjà utilisé par une autre VM)* + + sudo virsh undefine debianVM + + Puis on supprime le disque : + + sudo rm debian.qcow2 + + Et on le recrée avec une plus grande taille : + + sudo qemu-img create -f qcow2 debian.qcow2 5G + + Et on refait l'installation avec la commande virt-install utilisée au-dessus, voici le résultat : + + + + + +### 3.2.2 La VM Ubuntu + +On commence à créer un dossier dans lequel on rangera le disque de la VM (ainsi que son iso au passage) : + + sudo mkdir /mnt/vms/ubuntu + + + +On télécharge le fichier iso : + + sudo wget https://cdimage.ubuntu.com/ubuntu-legacy-server/releases/20.04/release/ubuntu-20.04.1-legacy-server-amd64.iso + + + +On créé notre disque de 6Go : + + sudo qemu-img create -f qcow2 ubuntu.qcow2 6G + + + +On lance l'installation : + + sudo virt-install \ + --name ubuntuVM \ + --os-variant=ubuntu20.04 \ + --ram 4096 \ + --vcpus 4 \ + --location /mnt/vms/ubuntu/ubuntu-20.04.1-legacy-server-amd64.iso \ + --disk ubuntu.qcow2 \ + --graphics none \ + --console pty,target_type=serial \ + --extra-args='console=ttyS0,115200n8 serial' + + + + + +L'installation du ubuntu va jusqu'au bout, mais après on a un écran "noir" comme mentionné par le formateur, donc impossible d'aller plus loin : + + + + + +Mais on a réussi à y accéder grâce à SSH et au final tout fonctionne : + + sudo nmap 192.168.122.0/24 -sP # pour trouver l'ip de la VM ubuntu + + + diff --git a/Semaine_01/Jour_05_Examen.pdf b/Semaine_01/Jour_05_Examen.pdf new file mode 100644 index 0000000..e82c4d9 Binary files /dev/null and b/Semaine_01/Jour_05_Examen.pdf differ diff --git a/Semaine_02/Jour_01.md b/Semaine_02/Jour_01.md new file mode 100644 index 0000000..9663c49 --- /dev/null +++ b/Semaine_02/Jour_01.md @@ -0,0 +1,79 @@ +# CEPH : Architecture générale + +## Programme + +- CEPH +- VLAN +- Trunking +- Routage Inter-VLAN + +## Objectifs + +Nécessité du CEPH, son architecture, le rôle de CRUSH, des Pools, des PG. Distinguer les 3 services de stockage possibles. Connaître les bonnes pratiques. + +### Pourquoi CEPH + +Il peut continuer le stockage en cas de panne de disque/noeud/switch. Plus évolué que le RAID, il trouvera d'autres stockages en : +- scalant en ajoutant des machines +- ne se concentrant pas sur un SPOF +- utilisant du stockage bloc, fichier, ou l'objet +- équilibrant le stockage avec ce qu'il a à disposition + +CEPH repose sur une couche logicielle nommée RADOS, composée de 3 daemons : +- MON (ceph-mon) : Moniteur, gère la carte du cluster (qui est en vie, où sont les données, quelles règles de placement) +- OSD (ceph-osd) : Stocke les données +- MGR (ceph-mgr) : Manager, surveille, fournit de la métrique, met de l'orchestration supplémentaire + +Il existe des démons supplémentaires : +- MDS (ceph-mds) : Uniquement si on stocke en mode système de fichiers, avec CephFS +- RGW (radosgw) : Passerelle (Gateway) pour stockage S3 +- RBD (radosblocks) : Stockage en mode blocs + +### Où se trouvent les données + +Ceph utilise l'algorithme CRUSH. Il décide où mettre les données en fonction d'une carte décrivant une topologie. +- Le placement est déterministe : tout le monde obtient le même résultat chacun de son côté. +- Pas de BDD. + +### Nomenclature + +- POOL : zone virtuelle +- PG : *Placement Group*, Groupes de placement +- OSD : Disque de stockage + +Un Pool est découpé en PGs avec chacun ses OSDs (vous m'suivez ?) + +## Mise en place + +Commande centrale : +`cephadm` + +Générer le premier noaud : +`cephadm bootstrap --mon-node Noeud1` + +Cela installe : +- 1 MON +- 1 MGR +- 1 shell CEPH + +Vérifier la santé : +`ceph status` + +Vérifier la topologie : +`ceph osd tree` + +Vérifier l'espace : +`ceph df` + +Activer la Web UI (pour un cluster déjà mis en service) : +`ceph mgr module enable dashboard` + +## Exercice 1 + +1. Quel protocole utilisent les MON et MGR pour communiquer entre eux ? +2. Quelle(s) sont le(s) bonne(s) pratique(s) auxquelles cet exercice ne se plie pas ? +3. À quoi sert le SSH dans une infrastructure Ceph ? +4. La WebUI semble t-elle protéger les communications via un chiffrement SSL/TLS ? +5. Quelle est la différence entre le Backfill et le Recovery ? + +## Exercice 2 \ No newline at end of file diff --git a/Semaine_02/Jour_01/Exercice - Mise en place d'un VLAN et du Trunking.pkt b/Semaine_02/Jour_01/Exercice - Mise en place d'un VLAN et du Trunking.pkt new file mode 100644 index 0000000..bb1d7d0 Binary files /dev/null and b/Semaine_02/Jour_01/Exercice - Mise en place d'un VLAN et du Trunking.pkt differ diff --git a/Semaine_02/Jour_02.md b/Semaine_02/Jour_02.md new file mode 100644 index 0000000..1f62b49 --- /dev/null +++ b/Semaine_02/Jour_02.md @@ -0,0 +1,274 @@ +# + +## Exercice 1 + +``` +SW1# +SW1#configure terminal +SW1(config)#vlan 10 +SW1(config-vlan)#name VLAN0010 +SW1(config-vlan)#interface Fa0/1 +SW1(config-if)#switchport mode access +SW1(config-if)#switchport access vlan 10 +SW1(config-if)#no shutdown +SW1(config-if)#end +SW1#write memory +``` + +``` +SW1# +SW1#configure terminal +SW1(config)#interface Fa0/3 +SW1(config-if)#switchport mode trunk +SW1(config-if)#switchport trunk native vlan 10 +SW1(config-if)#switchport nonegotiate +SW1(config-if)#end +SW1#write memory +``` + +``` +SW1# +SW1#configure terminal +SW1(config)#interface Fa0/3 +SW1(config-if)#switchport mode trunk +SW1(config-if)#switchport trunk native vlan 1 +SW1(config-if)#switchport trunk allowed vlan 1,10,20 +SW1(config-if)#end +SW1#write memory +``` + +## Cours + +### Port-Channelling + +Agrégation de liens entre plusieurs switchs : augmenter la bande passante à l'infini. + +- Câble virtuel : nommé LAG (*Link Agregation Group*) +Une fois créé, le LAG doit être administré comme une interface physique. + +#### Les standards + +- Le Port-Channel : standard ouvert de l'IEEE +- Etherchannel : protocole propriétaire de Cisco + +De 2 à 8 interfaces physiques max par LAG. Uniquement de même type et de débit. Avec un seul destinataire. +Maximum 6 LAGs par Switch. (donc 6 LAGs x 8 ports, ça fait un switch de 48 ports). + +Implémentations : +- Statiques : l'existence du LAG est décidée par l'admin +- Dynamiques : les appareils négocient entre eux l'établissement d'un LAG si besoin, via un protocole. + +Les protocoles d'auto-établissement de LAG : +- PAgP : Propriétaire Cisco +- LACP : Standard IEEE 803.2ad + +Il suffit pour activer de dire `desirable` en console : +- Desirable : *J'initie la négociation du LAG* +- Auto : *J'attends qu'on vienne négocier* + +## Exercice 3 + +### Liaison entre SW1 et SW2 + +``` +Switch1>enable +Switch1#configure terminal +Switch1(config)#interface range Fa0/1 - 3 +Switch1(config-if-range)#channel-group 1 mode active +Switch1(config-if-range)#exit +Switch1(config)#interface port-channel 1 +Switch1(config-if)#description LACP-SW1-SW2 +Switch1(config-if)#switchport mode trunk +Switch1(config-if)#exit +``` + +``` +Switch2>enable +Switch2#configure terminal +Switch2(config)#interface range Fa0/4 - 6 +Switch2(config-if-range)#channel-group 1 mode active +Switch2(config-if-range)#exit +Switch2(config)#interface port-channel 1 +Switch2(config-if)#description LACP-SW1-SW2 +Switch2(config-if)#switchport mode trunk +Switch2(config-if)#exit +``` + +### Liaison entre SW2 et SW3 + +``` +Switch2>enable +Switch2#configure terminal +Switch2(config)#interface range Fa0/1 - 3 +Switch2(config-if-range)#channel-group 2 mode active +Switch2(config-if-range)#exit +Switch2(config)#interface port-channel 2 +Switch2(config-if)#description LACP-SW2-SW3 +Switch2(config-if)#switchport mode trunk +Switch2(config-if)#exit +``` + +``` +Switch3>enable +Switch3#configure terminal +Switch3(config)#interface range Fa0/4 - 6 +Switch3(config-if-range)#channel-group 2 mode active +Switch3(config-if-range)#exit +Switch3(config)#interface port-channel 2 +Switch3(config-if)#description LACP-SW2-SW3 +Switch3(config-if)#switchport mode trunk +Switch3(config-if)#exit +``` + +### Liaison entre SW3 et SW1 + +``` +Switch3>enable +Switch3#configure terminal +Switch3(config)#interface range Fa0/1 - 3 +Switch3(config-if-range)#channel-group 3 mode active +Switch3(config-if-range)#exit +Switch3(config)#interface port-channel 3 +Switch3(config-if)#description LACP-SW3-SW1 +Switch3(config-if)#switchport mode trunk +Switch3(config-if)#exit +``` + +``` +Switch1>enable +Switch1#configure terminal +Switch1(config)#interface range Fa0/4 - 6 +Switch1(config-if-range)#channel-group 3 mode active +Switch1(config-if-range)#exit +Switch1(config)#interface port-channel 3 +Switch1(config-if)#description LACP-SW3-SW1 +Switch1(config-if)#switchport mode trunk +Switch1(config-if)#exit +``` + +## Exercice 4 + +**TP : Mise en œuvre du protocole HSRP dans un réseau redondant** + +*Objectif* +Mettre en place une **redondance de passerelle** à l’aide du protocole **HSRP (Hot Standby Router Protocol)**, afin d’assurer la **continuité de service** en cas de défaillance d’un routeur. + +--- + +**Réseau partagé** : 192.168.1.0/24 +**Passerelle virtuelle HSRP** : 192.168.1.1 + +### 1 & 2 + +``` +Router1>enable +Router1#configure terminal +Router1(config)#interface Gig0/0/0 +Router1(config-if)#ip address 192.168.1.200 255.255.255.0 +Router1(config-if)#standby 1 ip 192.168.1.1 +Router1(config-if)#standby 1 priority 150 +Router1(config-if)#standby 1 preempt +Router1(config-if)#no shutdown +``` + +``` +Router2>enable +Router2#configure terminal +Router2(config)#interface Gig0/0/0 +Router2(config-if)#ip address 192.168.1.201 255.255.255.0 +Router2(config-if)#standby 1 ip 192.168.1.1 +Router2(config-if)#standby 1 priority 100 +Router2(config-if)#standby 1 preempt +Router2(config-if)#no shutdown +``` + +### 3 + +``` +Router1#show standby brief + P indicates configured to preempt. + | +Interface Grp Pri P State Active Standby Virtual IP +Gig0/0/0 1 150 P Active local 192.168.1.201 192.168.1.1 +``` + +``` +Router2#show standby brief + P indicates configured to preempt. + | +Interface Grp Pri P State Active Standby Virtual IP +Gig0/0/0 1 100 P Standby 192.168.1.200 local 192.168.1.1 +``` + +### 4 + +### 5 + +1. HSRP est fermé par Cisco, VRRP est ouvert. +2. +3. L'adresse IP la plus haute remporterait le rôle Actif. +4. HSRP est une passerelle virtuelle avec du matériel en série pour éviter les SPOF. L'agrégation de liens est autre chose + +## Exercice 5 + +### Liaison entre SW1 et SW2 + +``` +SW1>enable +SW1#configure terminal +SW1(config)#interface range Fa0/3 - 4 +SW1(config-if-range)#channel-group 1 mode active +SW1(config-if-range)#exit +SW1(config)#interface port-channel 1 +SW1(config-if)#description LACP-SW1-SW2 +SW1(config-if)#switchport mode trunk +SW1(config-if)#exit +``` + +``` +SW2>enable +SW2#configure terminal +SW2(config)#interface range Fa0/3 - 4 +SW2(config-if-range)#channel-group 1 mode active +SW2(config-if-range)#exit +SW2(config)#interface port-channel 1 +SW2(config-if)#description LACP-SW1-SW2 +SW2(config-if)#switchport mode trunk +SW2(config-if)#exit +``` + +### HSRP entre MLSW1 et MLSW2 + +``` +MLSW1>enable +MLSW1#configure terminal +MLSW1(config)#interface vlan 10 +MLSW1(config-if)#ip address 89.76.0.200 255.255.255.0 +MLSW1(config-if)#standby 1 ip 89.76.0.1 +MLSW1(config-if)#standby 1 priority 150 +MLSW1(config-if)#standby 1 preempt +MLSW1(config-if)#no shutdown +``` + +``` +MLSW2>enable +MLSW2#configure terminal +MLSW2(config)#interface vlan 10 +MLSW2(config-if)#ip address 89.76.0.201 255.255.255.0 +MLSW2(config-if)#standby 1 ip 89.76.0.1 +MLSW2(config-if)#standby 1 priority 100 +MLSW2(config-if)#standby 1 preempt +MLSW2(config-if)#no shutdown +``` + +``` +Router0>enable +Router0#configure terminal +Router0(config)#ip routing +Router0(config)#interface Gig0/0/0 +Router0(config-if)#ip address 89.76.0.254 255.255.255.0 +Router0(config-if)#exit +Router0(config)#interface Gig0/0/1 +Router0(config-if)#ip address 89.76.0.254 255.255.255.0 +Router0(config-if)#exit +``` \ No newline at end of file diff --git a/Semaine_02/Jour_02/4.5.2 Exercice - Mise en place d'un Etherchannel 3 switchs v2.pkt b/Semaine_02/Jour_02/4.5.2 Exercice - Mise en place d'un Etherchannel 3 switchs v2.pkt new file mode 100644 index 0000000..c51f1da Binary files /dev/null and b/Semaine_02/Jour_02/4.5.2 Exercice - Mise en place d'un Etherchannel 3 switchs v2.pkt differ diff --git a/Semaine_02/Jour_02/Exercice_2.pkt b/Semaine_02/Jour_02/Exercice_2.pkt new file mode 100644 index 0000000..42d22b2 Binary files /dev/null and b/Semaine_02/Jour_02/Exercice_2.pkt differ diff --git a/Semaine_02/Jour_02/Exercice_4.pkt b/Semaine_02/Jour_02/Exercice_4.pkt new file mode 100644 index 0000000..f0a42a7 Binary files /dev/null and b/Semaine_02/Jour_02/Exercice_4.pkt differ diff --git a/Semaine_02/Jour_02/Exercice_5_debut.pkt b/Semaine_02/Jour_02/Exercice_5_debut.pkt new file mode 100644 index 0000000..ee1a4a5 Binary files /dev/null and b/Semaine_02/Jour_02/Exercice_5_debut.pkt differ diff --git a/Semaine_02/Jour_02/TP2 Exercice - Troubleshooting de VLAN & Trunking.pkt b/Semaine_02/Jour_02/TP2 Exercice - Troubleshooting de VLAN & Trunking.pkt new file mode 100644 index 0000000..2063642 Binary files /dev/null and b/Semaine_02/Jour_02/TP2 Exercice - Troubleshooting de VLAN & Trunking.pkt differ diff --git a/Semaine_02/Jour_02/TP_HSRP_LAN.md b/Semaine_02/Jour_02/TP_HSRP_LAN.md new file mode 100644 index 0000000..83bc7be --- /dev/null +++ b/Semaine_02/Jour_02/TP_HSRP_LAN.md @@ -0,0 +1,52 @@ +# TP : Mise en œuvre du protocole HSRP dans un réseau redondant + +## 🎯 Objectif +Mettre en place une **redondance de passerelle** à l’aide du protocole **HSRP (Hot Standby Router Protocol)**, afin d’assurer la **continuité de service** en cas de défaillance d’un routeur. + +--- + +🧱 **Réseau partagé** : 192.168.1.0/24 +🎯 **Passerelle virtuelle HSRP** : 192.168.1.1 + +--- + +## ⚙️ Étapes du TP + +### 1️⃣ Configuration IP de base +Configurer les adresses IP sur les deux routeurs et le PC selon le schéma ci-dessus. +Vérifier la connectivité entre les équipements avec la commande `ping`. + +--- + +### 2️⃣ Configuration HSRP +Configurer HSRP sur les deux routeurs afin de partager une adresse IP virtuelle (192.168.1.1). +Le **Router1** doit être prioritaire. + +--- + +### 3️⃣ Vérification +Utiliser les commandes de vérification pour observer : +- Le routeur **actif** +- Le routeur **standby** +- L’adresse IP virtuelle et l’adresse MAC virtuelle associée + +--- + +### 4️⃣ Test de bascule +1. Vérifier le rôle initial de chaque routeur. +2. Désactiver l’interface G0/0 de Router1 pour simuler une panne. +3. Vérifier le basculement automatique du rôle actif vers Router2. +4. Réactiver Router1 et observer le retour automatique à l’état initial. + +--- + +### 5️⃣ Questions de réflexion + +1. Quelle est la différence entre HSRP et VRRP ? +2. Pourquoi configure-t-on la commande `preempt` ? +3. Que se passerait-il si les deux routeurs avaient la même priorité ? +4. Quelle est la différence entre HSRP et une agrégation de liens (EtherChannel) ? + +--- + +**Fin du TP.** diff --git a/Semaine_02/Jour_03/Exercice_5_suite.pkt b/Semaine_02/Jour_03/Exercice_5_suite.pkt new file mode 100644 index 0000000..3ab2be1 Binary files /dev/null and b/Semaine_02/Jour_03/Exercice_5_suite.pkt differ diff --git a/Semaine_02/Jour_04.md b/Semaine_02/Jour_04.md new file mode 100644 index 0000000..f611f62 --- /dev/null +++ b/Semaine_02/Jour_04.md @@ -0,0 +1,207 @@ +# Sécurité en réseau + +## Cours + +### Travail dirigé + +- Sécuriser le port console +- Sécuriser le passage au niveau 2 (*enable*) +- Sécuriser les ports réseau (*port-security*) +- Metter en place le SSH (*sur VLAN dédié*) + +- BDPU Guard (*protéger le port d'un branchement à un autre switch*) +- ACLs (*standard et étendue*) +- Théorie des pare-feux + +## Exercices + +### Exercice 1 + +### Exercice 2 + +#### Partie 1 + +**Routeur** +``` +enable + conf t + interface Gig0/1 + ip address 192.168.0.1 255.255.255.0 + no shutdown + ip default-gateway 192.168.0.1 + interface Gig0/1 + ip address 192.168.1.1 255.255.255.0 + no shutdown + ip default-gateway 192.168.1.1 + no ip domain-lookup + enable secret class + line console 0 + password cisco + login + line vty 0 4 + password cisco + login + transport input all + service password-encryption + banner motd # You shan't access this very device without permission # + end +write memory +``` + +**Switch** +``` +enable + conf t + vlan 10 + name VLAN10 + exit + interface FastEthernet0/5 + switchport mode access + switchport access vlan 99 + spanning-tree portfast + interface FastEthernet0/6 + switchport mode access + switchport access vlan 99 + spanning-tree portfast + interface vlan 10 + ip address 192.168.1.2 255.255.255.0 + no shutdown + ip default-gateway 192.168.1.1 + no ip domain-lookup + enable secret class + line console 0 + password cisco + login + line vty 0 4 + password cisco + login + transport input all + service password-encryption + banner motd # You shan't access this very device without permission # + end +write memory +``` + +### Exercice 3 + +#### Liste des commandes utiles + +| Commandes | Descriptions | +|---------------------------------------------------------|------------------------------------------------------------------| +| conf t | Activate configuration from terminal | +| interface *interface* | Go in interface to configure it properly | +| ip access-group *ACL_name* **{in\|out}** | Activate and apply ACL to interface | +| **ip access-list extended** *ACL_name* | Define ACL and go into conf mode | +| **{permit\|deny}** {test conditions} | Defined apply policy for said ACL | +| **show access-lists** *ACL_name* | Display all ACLs content | +| **show ip interface** *interface-type interface number* | Display IP infos from specific interface, including applied ACLs | + +#### + +``` +router> enable +router# configure terminal +router(config)# access-list 10 deny 10.1.1.101 0.0.0.0 +router(config)# access-list 10 permit any +router(config)# line vty 0 4 +router(config-line)# access-class 10 in +router(config-line)# exit +router(config)# interface GigabitEthernet0/0 +router(config-if)# ip access-group 10 in +router(config)# exit +router# write memory +``` + +### Exercice 4 + +#### Tâche 1 + +``` +ping 172.16.1.100 +traceroute 172.16.1.100 +``` + +``` +show interfaces Gig0/1 +conf t + ip route 0.0.0.0 0.0.0.0 209.165.201.2 + end +write memory +``` + +#### Tâche 2 + +``` +telnet 172.16.1.100 23 +telnet 172.16.1.100 80 +``` + +### Exercice 5 + +**R1** +``` +enable + conf t + interface Gig0/0 + ip address 192.168.0.5 255.255.255.252 + no shutdown + interface Gig0/1 + ip address 192.168.0.2 255.255.255.252 + no shutdown + router ospf 21 + network 192.168.0.0 0.0.0.3 area 0 + router ospf 13 + network 192.168.0.4 0.0.0.3 area 0 + no ip domain-lookup + end +write memory +``` + +**R2** +``` +enable + conf t + interface Gig0/0 + ip address 192.168.0.10 255.255.255.252 + no shutdown + interface Gig0/1 + ip address 192.168.0.6 255.255.255.252 + no shutdown + interface Gig0/2 + ip address 192.168.100.254 255.255.255.0 + no shutdown + router ospf 32 + network 192.168.0.8 0.0.0.3 area 0 + router ospf 21 + network 192.168.0.0 0.0.0.3 area 0 + no ip domain-lookup + ip routing + end +write memory +``` + +**R3** +``` +enable + conf t + interface Gig0/0 + ip address 192.168.0.1 255.255.255.252 + no shutdown + interface Gig0/1 + ip address 192.168.0.9 255.255.255.252 + no shutdown + interface Gig0/2 + ip address 192.168.200.254 255.255.255.0 + no shutdown + router ospf 13 + network 192.168.0.4 0.0.0.3 area 0 + router ospf 32 + network 192.168.0.8 0.0.0.3 area 0 + no ip domain-lookup + ip routing + end +write memory +``` + + +### Exercice 6 \ No newline at end of file diff --git a/Semaine_02/Jour_04/212.1.0 - Les Pare-feux simplifiés sous Linux.pdf b/Semaine_02/Jour_04/212.1.0 - Les Pare-feux simplifiés sous Linux.pdf new file mode 100644 index 0000000..f91237f Binary files /dev/null and b/Semaine_02/Jour_04/212.1.0 - Les Pare-feux simplifiés sous Linux.pdf differ diff --git a/Semaine_02/Jour_04/212.1.1 Filtrage de paquets sur GNU Linux avec IPTables & NFTables.pdf b/Semaine_02/Jour_04/212.1.1 Filtrage de paquets sur GNU Linux avec IPTables & NFTables.pdf new file mode 100644 index 0000000..32a38d0 Binary files /dev/null and b/Semaine_02/Jour_04/212.1.1 Filtrage de paquets sur GNU Linux avec IPTables & NFTables.pdf differ diff --git a/Semaine_02/Jour_04/Jour_04.pkt b/Semaine_02/Jour_04/Jour_04.pkt new file mode 100644 index 0000000..6983552 Binary files /dev/null and b/Semaine_02/Jour_04/Jour_04.pkt differ diff --git a/Semaine_02/Jour_04/Jour_04_exercice_2.pkt b/Semaine_02/Jour_04/Jour_04_exercice_2.pkt new file mode 100644 index 0000000..0487b99 Binary files /dev/null and b/Semaine_02/Jour_04/Jour_04_exercice_2.pkt differ diff --git a/Semaine_02/Jour_04/TP3 - Exercice - Filtrer le traffic via des ACL.pkt b/Semaine_02/Jour_04/TP3 - Exercice - Filtrer le traffic via des ACL.pkt new file mode 100644 index 0000000..068a703 Binary files /dev/null and b/Semaine_02/Jour_04/TP3 - Exercice - Filtrer le traffic via des ACL.pkt differ diff --git a/Semaine_02/Jour_04/TP3 - Mise en place d_un filtrage via ACLs.pdf b/Semaine_02/Jour_04/TP3 - Mise en place d_un filtrage via ACLs.pdf new file mode 100644 index 0000000..aad0793 Binary files /dev/null and b/Semaine_02/Jour_04/TP3 - Mise en place d_un filtrage via ACLs.pdf differ diff --git a/Semaine_02/Jour_04/TP4 - Exercice - Troubleshooting de connectivité IP a cause des ACLs.pkt b/Semaine_02/Jour_04/TP4 - Exercice - Troubleshooting de connectivité IP a cause des ACLs.pkt new file mode 100644 index 0000000..e7bf2f7 Binary files /dev/null and b/Semaine_02/Jour_04/TP4 - Exercice - Troubleshooting de connectivité IP a cause des ACLs.pkt differ diff --git a/Semaine_02/Jour_04/TP4 - Troubleshooting de connectivité IP à cause des ACLs.pdf b/Semaine_02/Jour_04/TP4 - Troubleshooting de connectivité IP à cause des ACLs.pdf new file mode 100644 index 0000000..57663ab Binary files /dev/null and b/Semaine_02/Jour_04/TP4 - Troubleshooting de connectivité IP à cause des ACLs.pdf differ diff --git a/Semaine_02/Jour_04/TP5 - 2 Établir une ACL standard.pdf b/Semaine_02/Jour_04/TP5 - 2 Établir une ACL standard.pdf new file mode 100644 index 0000000..9cfd451 Binary files /dev/null and b/Semaine_02/Jour_04/TP5 - 2 Établir une ACL standard.pdf differ diff --git a/Semaine_02/Jour_04/TP5 - 2 Établir une ACL standard.pkt b/Semaine_02/Jour_04/TP5 - 2 Établir une ACL standard.pkt new file mode 100644 index 0000000..7ebf39d Binary files /dev/null and b/Semaine_02/Jour_04/TP5 - 2 Établir une ACL standard.pkt differ diff --git a/Semaine_02/Jour_04/TP6 - 3 Établir une ACL étendue.pdf b/Semaine_02/Jour_04/TP6 - 3 Établir une ACL étendue.pdf new file mode 100644 index 0000000..5039ef9 Binary files /dev/null and b/Semaine_02/Jour_04/TP6 - 3 Établir une ACL étendue.pdf differ diff --git a/Semaine_02/Jour_04/drive-download-20251120T130418Z-1-001.zip b/Semaine_02/Jour_04/drive-download-20251120T130418Z-1-001.zip new file mode 100644 index 0000000..189980c Binary files /dev/null and b/Semaine_02/Jour_04/drive-download-20251120T130418Z-1-001.zip differ diff --git a/Semaine_02/Jour_05_evaluation.pdf b/Semaine_02/Jour_05_evaluation.pdf new file mode 100644 index 0000000..b5f6af3 Binary files /dev/null and b/Semaine_02/Jour_05_evaluation.pdf differ diff --git a/Semaine_02/Jour_05_examen.md b/Semaine_02/Jour_05_examen.md new file mode 100644 index 0000000..8ea79f9 --- /dev/null +++ b/Semaine_02/Jour_05_examen.md @@ -0,0 +1,609 @@ +Emmanuel-Joyce NTSIA, Gauvain BOICHÉ, Joris STAVROULAKIS, Léo JARRY, + +**Nous jurons sur l'honneur que les commandes entre `` sont tapées à la main à partir de nos notes de cours. (Elles sont réfléchies par nous en notre âme et conscience, on boycott openAI)** + +*Pour rigoler on a passé une instruction "Génère moi une capture d'écran de Cisco Packet Tracer en pleine configuration d'un VLAN par la CLI" et voilà le résultat :* + + + +**Pour ne pas rigoler, ça devrait être illégal de nous mettre du 176 quand on est habitué au 172 en adresse** + +# Mise en place de la Topologie physique: + +Le client a présenté une topologie précise avec des modèles précis, nous avons décidé de garder la topologie d'origine pour des questions de négociations facilitées. + +- Commutateurs 2960-24TT +- Routeur ISR4331 +- Câbles droits pour liaisons routeurs & PC <-> commutateurs +- Câbles croisés pour liaisons inter-commutateurs + + + +## Mise en place des adresses IP pour les pc + + + + + + + + + +## Mise en place des VLAN + +**À noter qu'à partir de maintenant, des write memory sont fait après chaque étape pour s'assurer que la configuration soit bien sauvegardée** + +### Création des VLANS dans les switch + +**À faire sur tous les Switchs** +``` +enable + conf t + vlan 10 + name OSD + exit + vlan 20 + name MON-MGR + exit + vlan 30 + name Supervision + exit + vlan 40 + name Tests + exit + interface vlan 1 + no shutdown + exit + interface vlan 10 + no shutdown + exit + interface vlan 20 + no shutdown + exit + interface vlan 30 + no shutdown + exit + interface vlan 40 + no shutdown + end + write memory +``` + + + + + + + + +### Mise en place des ports access Switch - PC + + +**À faire sur tous les Switchs sauf S5 en adaptant le port et la vlan** + + + + +### Mise en place du port trunk entre S5 et R1 (le routeur) + + + +(Petit oubli) On rajoute le nonegotiate : + + + +## Mise en place des LAGs + +**Switch 1** +``` +enable + conf t + interface range Fa0/2 - 4 + channel-group 1 mode active + exit + interface range Fa0/5 - 7 + channel-group 2 mode active + exit + interface port-channel 1 + switchport mode trunk + switchport trunk native vlan 1 + switchport trunk allowed vlan 1,10,20,30,40 + no shutdown + exit + interface port-channel 2 + switchport mode trunk + switchport trunk native vlan 1 + switchport trunk allowed vlan 1,10,20,30,40 + no shutdown + exit + show interfaces Port-channel [1,2] ! Pour contrôler + show interfaces trunk ! Pour contrôler + show etherchannel summary ! Pour contrôler + end + write memory +``` +### Création du LAG en LACP actif + + + +**Il faut faire pareil sur S4 (le switch de l'autre côté des ports concernés) du coup aussi pour que ça fonctionne** + +### Configuration du trunk sur les LAGs + + + +(Petit oubli) On rajoute le nonegotiate : + + + +**Ensuite il faut recommencer ces deux étapes (création du LAG et mise en place du trunk), sur tous les switchs en adaptant bien sûr les ports et en faisant bien attention de respecter les numéros de channel-group** + +### Vérification du LAG et du trunk dessus + + + + + + + +**Switch 2** +``` +enable + conf t + interface range Fa0/2 - 4 + channel-group 3 mode active + exit + interface range Fa0/5 - 7 + channel-group 2 mode active + exit + interface range Fa0/8 - 10 + channel-group 1 mode active + exit + interface port-channel 1 + switchport mode trunk + switchport trunk native vlan 1 + switchport trunk allowed vlan 1,10,20,30,40 + no shutdown + exit + interface port-channel 2 + switchport mode trunk + switchport trunk native vlan 1 + switchport trunk allowed vlan 1,10,20,30,40 + no shutdown + exit + interface port-channel 3 + switchport mode trunk + switchport trunk native vlan 1 + switchport trunk allowed vlan 1,10,20,30,40 + no shutdown + exit + show interfaces Port-channel [1,2,3] + show interfaces trunk + show etherchannel summary + end + write memory +``` + +**Switch 3** +``` +enable + conf t + interface range Fa0/5 - 7 + channel-group 2 mode active + exit + interface range Fa0/8 - 10 + channel-group 1 mode active + exit + interface range Fa0/11 - 13 + channel-group 4 mode active + exit + interface port-channel 1 + switchport mode trunk + switchport trunk native vlan 1 + switchport trunk allowed vlan 1,10,20,30,40 + no shutdown + exit + interface port-channel 2 + switchport mode trunk + switchport trunk native vlan 1 + switchport trunk allowed vlan 1,10,20,30,40 + no shutdown + exit + interface port-channel 3 + switchport mode trunk + switchport trunk native vlan 1 + switchport trunk allowed vlan 1,10,20,30,40 + no shutdown + exit + show interfaces Port-channel [1,2,3] + show interfaces trunk + show etherchannel summary + end + write memory +``` + + +**Switch 4** +``` +enable + conf t + interface range Fa0/2 - 4 + channel-group 1 mode active + exit + interface range Fa0/5 - 7 + channel-group 2 mode active + exit + interface port-channel 1 + switchport mode trunk + switchport trunk native vlan 1 + switchport trunk allowed vlan 1,10,20,30,40 + no shutdown + exit + interface port-channel 2 + switchport mode trunk + switchport trunk native vlan 1 + switchport trunk allowed vlan 1,10,20,30,40 + no shutdown + exit + show interfaces Port-channel [1,2,3] + show interfaces trunk + show etherchannel summary + end + write memory +``` + + +**Switch 5** +``` +enable + conf t + interface range Fa0/2 - 4 + channel-group 3 mode active + exit + interface range Fa0/11 - 13 + channel-group 4 mode active + exit + interface port-channel 1 + switchport mode trunk + switchport trunk native vlan 1 + switchport trunk allowed vlan 1,10,20,30,40 + no shutdown + exit + interface port-channel 2 + switchport mode trunk + switchport trunk native vlan 1 + switchport trunk allowed vlan 1,10,20,30,40 + no shutdown + exit + show interfaces Port-channel [1,2,3] + show interfaces trunk + show etherchannel summary + end + write memory +``` + +## Mise en place du routage inter-vlan + +**Routeur** +``` +enable + conf t + interface Gig0/0/0 + no shutdown + exit + interface Gig0/0/0.1 + encapsulation dot1Q 1 native + ip address 176.16.1.254 255.255.255.0 + no shutdown + exit + interface Gig0/0/0.10 + encapsulation dot1Q 10 + ip address 176.16.10.254 255.255.255.0 + no shutdown + exit + interface Gig0/0/0.20 + encapsulation dot1Q 20 + ip address 176.16.20.254 255.255.255.0 + no shutdown + exit + interface Gig0/0/0.30 + encapsulation dot1Q 30 + ip address 176.16.30.254 255.255.255.0 + no shutdown + exit + interface Gig0/0/0.40 + encapsulation dot1Q 40 + ip address 176.16.40.254 255.255.255.0 + no shutdown + end + write memory +``` + +### Interface physique + + + +### Interfaces virtuelles + + + + + + + +Depuis PC_OSD (vlan 10) : + + + + + +**Puis on fait ça pour toutes les autres VLAN** + + + + +## Sécurisation et accès à distance sur chaque appareil + +### BPDU Guard + +Sur les ports des switchs qui sont connectés aux pc/routeur on active le BPDU guard + +``` +enable + conf t + interface Fa0/1 + spanning-tree bpduguard enable + end + write memory +``` + + + +### Sécurisation du port console + +``` +enable + conf t + line console 0 + password root + login + exit + service password-encryption + end + write memory +``` + + + +Parce que c'est un exercice on va mettre le même mot de passe partout pour se simplifier la vie, bien sûr en vrai on mettrait des mots de passes forts et différents + +Le service password-encryption servira à empêcher que le mot de passe soit accessible en clair dans la configuration + +**On fait la même chose sur tous les switch et routeur** + +### Activation à distance (ssh) + +``` +enable + conf t + ip domain-name fuckssh.com + username ssh secret root + crypto key generate rsa general-keys modulus 2048 + line vty 0 15 + transport input ssh + login local + exit + ip ssh version 2 + interface vlan 1 + ip address 176.16.1.1 255.255.255.0 + exit + ip default-gateway 176.16.1.254 + end + write memory +``` +*Le code est adapté pour chaque Switch, donc l'adresse IP sera 176.16.1.[1-5]* + + + +**On oublie bien sûr pas d'ajouter une ip au switch dans le vlan 1 pour pouvoir s'y connecter ainsi que l'ip default-gateway** + + + + + +**On fait la même chose sur tous les switch et routeur** + +### Sécurisation du mode enable + +``` +enable + conf t + enable secret root + end + write memory +``` + + + +
+ + + +### Vérification accès à distance + + + +### MOTD + Sécurisation des interfaces inactives + +``` +enable + conf t + banner motd # Personnel autorise seulement # + end + write memory +``` + +**On fait la même chose sur tous les switch et routeur** + +Puis on fait la sécurisation des interfaces inactives en les éteignant et en les mettant sur un vlan 44 créé exprès pour ça + + + + + + + + + +**Switch 1** +``` +enable + conf t + interface range Gig0/1 - 2 + switchport mode access + switchport access vlan 44 + shutdown + exit + interface range Fa0/8 - 24 + switchport mode access + switchport access vlan 44 + shutdown + end + write memory +``` + +**Switch 2** +``` +enable + conf t + interface range Gig0/1 - 2 + switchport mode access + switchport access vlan 44 + shutdown + exit + interface range Fa0/11 - 24 + switchport mode access + switchport access vlan 44 + shutdown + end + write memory +``` + +**Switch 3** +``` +enable + conf t + interface range Gig0/1 - 2 + switchport mode access + switchport access vlan 44 + shutdown + exit + interface range Fa0/2 - 4 + switchport mode access + switchport access vlan 44 + shutdown + exit + interface range Fa0/14 - 24 + switchport mode access + switchport access vlan 44 + shutdown + end + write memory +``` + +**Switch 4** +``` +enable + conf t + interface range Gig0/1 - 2 + switchport mode access + switchport access vlan 44 + shutdown + exit + interface range Fa0/8 - 24 + switchport mode access + switchport access vlan 44 + shutdown + end + write memory +``` + +**Switch 5** +``` +enable + conf t + interface range Gig0/1 - 2 + switchport mode access + switchport access vlan 44 + shutdown + exit + interface range Fa0/5 - 10 + switchport mode access + switchport access vlan 44 + shutdown + exit + interface range Fa0/14 - 24 + switchport mode access + switchport access vlan 44 + shutdown + end + write memory +``` + +**Router** +``` +enable + conf t + interface range Gig0/0/1 - 2 + shutdown + end + write memory +``` + +## Mise en place des ACLs + +Pour les ACLs on a décidé deux faire deux listes, une spécifiquement à l'entrée de la gateway du vlan 10 sur le routeur qui bloque uniquement les ports utilisés par les OSD avec les protocoles CEPH + +Et une deuxième à l'entrée de la gateway du vlan 20 sur le routeur pour bloquer les ports utilisés par le monitor / manager de la même façon + +On bloque donc les paquets qui viennent de ces deux vlan sur les ports utilisés par CEPH et qui sont en destination du réseau Tests (vlan 40) + +Tout le reste du traffic est permis entre tous les vlans définis (icmp / ip, etc...) + + + + + + + + + + + +``` +enable + conf t + ip access-list extended CEPH_EXCLUDE_TESTS_VLAN10 + deny tcp 176.16.10.0 0.0.0.255 176.16.40.0 0.0.0.255 range 6800 7300 + permit icmp any any + permit ip any any + exit + ip access-list extended CEPH_EXCLUDE_TESTS_VLAN20 + deny tcp 176.16.20.0 0.0.0.255 176.16.40.0 0.0.0.255 range 6800 7300 + deny tcp 176.16.20.0 0.0.0.255 176.16.40.0 0.0.0.255 eq 3300 + deny tcp 176.16.20.0 0.0.0.255 176.16.40.0 0.0.0.255 eq 6789 + permit icmp any any + permit ip any any + exit + interface Gig0/0/0.10 + ip access-group CEPH_EXCLUDE_TESTS_VLAN10 in + exit + interface Gig0/0/0.20 + ip access-group CEPH_EXCLUDE_TESTS_VLAN20 in + end + write memory +``` + +# FIN + +Ps : moins de 20/20 on débarque chez toi Cédric (dans minecraft) \ No newline at end of file diff --git a/Semaine_02/Supports_de_cours/01. Introduction à Ceph/CEPH.pdf b/Semaine_02/Supports_de_cours/01. Introduction à Ceph/CEPH.pdf new file mode 100644 index 0000000..d46aa03 Binary files /dev/null and b/Semaine_02/Supports_de_cours/01. Introduction à Ceph/CEPH.pdf differ diff --git a/Semaine_02/Supports_de_cours/01. Introduction à Ceph/Exercice Ceph.pdf b/Semaine_02/Supports_de_cours/01. Introduction à Ceph/Exercice Ceph.pdf new file mode 100644 index 0000000..c304525 Binary files /dev/null and b/Semaine_02/Supports_de_cours/01. Introduction à Ceph/Exercice Ceph.pdf differ diff --git a/Semaine_02/Supports_de_cours/02. Cisco - VLAN et trunking/COURS - Les Bases de Cisco IOS.pdf b/Semaine_02/Supports_de_cours/02. Cisco - VLAN et trunking/COURS - Les Bases de Cisco IOS.pdf new file mode 100644 index 0000000..4f85fd4 Binary files /dev/null and b/Semaine_02/Supports_de_cours/02. Cisco - VLAN et trunking/COURS - Les Bases de Cisco IOS.pdf differ diff --git a/Semaine_02/Supports_de_cours/02. Cisco - VLAN et trunking/COURS - Les VLANS le concept et leurs différents types.pdf b/Semaine_02/Supports_de_cours/02. Cisco - VLAN et trunking/COURS - Les VLANS le concept et leurs différents types.pdf new file mode 100644 index 0000000..8c4edab Binary files /dev/null and b/Semaine_02/Supports_de_cours/02. Cisco - VLAN et trunking/COURS - Les VLANS le concept et leurs différents types.pdf differ diff --git a/Semaine_02/Supports_de_cours/02. Cisco - VLAN et trunking/TP1 - Mise en place des VLANs.pdf b/Semaine_02/Supports_de_cours/02. Cisco - VLAN et trunking/TP1 - Mise en place des VLANs.pdf new file mode 100644 index 0000000..5e5164c Binary files /dev/null and b/Semaine_02/Supports_de_cours/02. Cisco - VLAN et trunking/TP1 - Mise en place des VLANs.pdf differ diff --git a/Semaine_02/Supports_de_cours/02. Cisco - VLAN et trunking/TP1 Correction - Mise en place d_un VLAN et du trunking.md b/Semaine_02/Supports_de_cours/02. Cisco - VLAN et trunking/TP1 Correction - Mise en place d_un VLAN et du trunking.md new file mode 100644 index 0000000..fc31827 --- /dev/null +++ b/Semaine_02/Supports_de_cours/02. Cisco - VLAN et trunking/TP1 Correction - Mise en place d_un VLAN et du trunking.md @@ -0,0 +1,117 @@ +# Mettre en place des VLANs et du trunk + +### Step 2 + +- Accédez à Switch 2 en CLI + +### Step 3 + +- Configurez le VLAN 1 et affectez lui l'interface 10.1.1.12/24 + +``` + SW1(config)#interface vlan 1 + SW1(config-if)#ip address 10.1.1.12 255.255.255.0 + SW1(config-if)#exit +``` +- Créons les VLANs supplémentaire, à faire sur Switch 1 ET Switch 2 !! + +``` +SW1(config)# vlan 10 +SW1(config-vlan)#exit +SW1(config)# vlan 20 +SW1(config-vlan)#exit +``` +Attribuez l'interface fa 0/1 de CHAQUE SWITCH à son VLAN : + + SW1#conf t + SW1(config-vlan)#int fa0/1 + SW1(config-if)#switchport mode access + SW1(config-if)#switchport access vlan 10 + + SW2#conf t + SW2(config-vlan)#int fa0/1 + SW2(config-if)#switchport mode access + SW2(config-if)#switchport access vlan 20 + +- Configurez l'interface FA 0/3 comme trunk sur **CHAQUE SWITCH** + + +``` +SW1(config) interface fastethernet 0/3 +SW1(config-if)# switchport mode trunk +SW1(config-if)#switchport nonegotiate +SW1(config-if)# switchport trunk allowed vlan 1,10,20 +SW1(config-if)# no shutdown + +``` +- Configurez l'interface FA0/13 comme trunk sur Switch 1 uniquement, puisqu'il + fait face au routeur : + + +``` +SW1(config-if)#int fa0/13 +SW1(config-if)#switchport mode trunk +SW(config-if)#switchport nonegotiate +SW1(config-if)#switchport trunk allowed vlan 1,10,20 + +``` +### Step 7 + +- Faites un ping vers l'autre VLAN depuis PC1. Le ping doit échouer, pourquoi ? + +*Parce qu'il n'y a pas de routage entre les VLANs, il faudrait configurer le +routeur* + +## TASK 2 : Configurez un Trunk sur le routeur + +### Step 1 + +- Accédez au Routeur en CLI + +### Step 2 + +- Allez dans l'interface gi 0/0 + + +``` + R(config)#enable + R(config)#conf t + R(config)#int gi0/0 + +``` +### Step 3 + +- Éteignez l'interface + + + R(config)#shutdown + +### Step 4 + +- Supprimez toutes les adresses IP existantes sur cette interface + + + R(config-if)#no ip address + +- Créez 3 sous-interfaces sur Gigabit 0/0, chacun avec les IP spécifiées dans + l'énoncé, en déclarant ces interfaces comme devant décoder les paquets tagués + à la norme 802.1q + + + R(config)#interface gi 0/0.1 + R(config)#encapsulation dot1q 1 native + R(config)#ip address 10.1.1.1 255.255.255.0 + R(config)#no shutdown + R(config)#interface gi 0/0.10 + R(config)#encapsulation dot1q 10 + R(config)#ip address 10.1.10.1 255.255.255.0 + R(config)#no shutdown + R(config)#interface gi 0/0.20 + R(config)#encapsulation dot1q 20 + R(config)#ip address 10.1.20.1 255.255.255.0 + R(config)#no shutdown + R(config)#interface giga 0/0 + R(config)#no shutdown + +**TOUT devrait être fonctionnel à ce stade.** + diff --git a/Semaine_02/Supports_de_cours/02. Cisco - VLAN et trunking/TP1 Exercice - Mise en place d_un VLAN et du Trunking.pkt b/Semaine_02/Supports_de_cours/02. Cisco - VLAN et trunking/TP1 Exercice - Mise en place d_un VLAN et du Trunking.pkt new file mode 100644 index 0000000..ad10e54 Binary files /dev/null and b/Semaine_02/Supports_de_cours/02. Cisco - VLAN et trunking/TP1 Exercice - Mise en place d_un VLAN et du Trunking.pkt differ diff --git a/Semaine_02/Supports_de_cours/02. Cisco - VLAN et trunking/TP2 - Troubleshooting VLANs et Trunks.pdf b/Semaine_02/Supports_de_cours/02. Cisco - VLAN et trunking/TP2 - Troubleshooting VLANs et Trunks.pdf new file mode 100644 index 0000000..2f4a4c1 Binary files /dev/null and b/Semaine_02/Supports_de_cours/02. Cisco - VLAN et trunking/TP2 - Troubleshooting VLANs et Trunks.pdf differ diff --git a/Semaine_02/Supports_de_cours/02. Cisco - VLAN et trunking/TP2 Correction - Troubleshooting VLAN & Trunking.md b/Semaine_02/Supports_de_cours/02. Cisco - VLAN et trunking/TP2 Correction - Troubleshooting VLAN & Trunking.md new file mode 100644 index 0000000..448e2d7 --- /dev/null +++ b/Semaine_02/Supports_de_cours/02. Cisco - VLAN et trunking/TP2 Correction - Troubleshooting VLAN & Trunking.md @@ -0,0 +1,61 @@ +# Troubleshooting VLAN + +## TASK 1 : Dépannez la connectivité des VLANs + +### Step 5 + +- L'interface se trouve dans le VLAN 10, or, elle est inactive, ce qui veut dire qu'on a oublié de créer le VLAN 10 ! + +Sur le switch ou ce vlan est absent, simplement taper "vlan 10" en mode conf terminal + +### Step 7 + +- Entrez ces commandes sur le Switch 2 : + + SW2(config)#interface FastEthernet0/3 + SW2(config-if)#switchport mode trunk + SW2(config-if)#switchport nonegociate + +### Step 9 + +- Entrez ces commandes sur le Switch 1 : + + SW1(config)#interface FastEthernet0/3 + SW1(config-if)#switchport mode trunk + SW1(config-if)#switchport nonegociate + +### Step 13 + +- Entrez ces commandes sur le Switch 1 pour rétablir le bon vlan natif : + + SW1(config)#interface FastEthernet0/3 + SW1(config-if)#switchport trunk native vlan 1 + +### Step 14 + +- Entrez ces commandes sur le Switch 2 : + + SW2(config)#interface FastEthernet0/3 + SW2(config-if)#switchport trunk native vlan 1 + +### Step 16 + +- Entrez ces commandes sur le Switch 1 : + + SW1(config)#copy running-config startup-config + +- Entrez ces commandes sur le Switch 2 : + + SW2(config)#copy running-config startup-config + + + + + + + + + + + + diff --git a/Semaine_02/Supports_de_cours/02. Cisco - VLAN et trunking/TP2 Exercice - Troubleshooting de VLAN & Trunking.pkt b/Semaine_02/Supports_de_cours/02. Cisco - VLAN et trunking/TP2 Exercice - Troubleshooting de VLAN & Trunking.pkt new file mode 100644 index 0000000..a63d16b Binary files /dev/null and b/Semaine_02/Supports_de_cours/02. Cisco - VLAN et trunking/TP2 Exercice - Troubleshooting de VLAN & Trunking.pkt differ diff --git a/Semaine_02/Supports_de_cours/03. Cisco - Portchannel et Etherchannel/4.5 Agrégation de Lien avec EtherChannel & PortChannel.pdf b/Semaine_02/Supports_de_cours/03. Cisco - Portchannel et Etherchannel/4.5 Agrégation de Lien avec EtherChannel & PortChannel.pdf new file mode 100644 index 0000000..0bffbd6 Binary files /dev/null and b/Semaine_02/Supports_de_cours/03. Cisco - Portchannel et Etherchannel/4.5 Agrégation de Lien avec EtherChannel & PortChannel.pdf differ diff --git a/Semaine_02/Supports_de_cours/03. Cisco - Portchannel et Etherchannel/4.5.1 TP - Mise en place de l_Etherchannel entre 3 switchs.pdf b/Semaine_02/Supports_de_cours/03. Cisco - Portchannel et Etherchannel/4.5.1 TP - Mise en place de l_Etherchannel entre 3 switchs.pdf new file mode 100644 index 0000000..54d337e Binary files /dev/null and b/Semaine_02/Supports_de_cours/03. Cisco - Portchannel et Etherchannel/4.5.1 TP - Mise en place de l_Etherchannel entre 3 switchs.pdf differ diff --git a/Semaine_02/Supports_de_cours/03. Cisco - Portchannel et Etherchannel/4.5.2 Exercice - Mise en place d_un Etherchannel 3 switchs v2.pkt b/Semaine_02/Supports_de_cours/03. Cisco - Portchannel et Etherchannel/4.5.2 Exercice - Mise en place d_un Etherchannel 3 switchs v2.pkt new file mode 100644 index 0000000..3bb71ff Binary files /dev/null and b/Semaine_02/Supports_de_cours/03. Cisco - Portchannel et Etherchannel/4.5.2 Exercice - Mise en place d_un Etherchannel 3 switchs v2.pkt differ diff --git a/Semaine_02/Supports_de_cours/04. Cisco - HSRP (redondance de passerelle)/5.9.1 - Redondance de couche 3 avec HSRP et VRRP.pdf b/Semaine_02/Supports_de_cours/04. Cisco - HSRP (redondance de passerelle)/5.9.1 - Redondance de couche 3 avec HSRP et VRRP.pdf new file mode 100644 index 0000000..904f7ca Binary files /dev/null and b/Semaine_02/Supports_de_cours/04. Cisco - HSRP (redondance de passerelle)/5.9.1 - Redondance de couche 3 avec HSRP et VRRP.pdf differ diff --git a/Semaine_02/Supports_de_cours/04. Cisco - HSRP (redondance de passerelle)/SCHEMA TP HSRP.png b/Semaine_02/Supports_de_cours/04. Cisco - HSRP (redondance de passerelle)/SCHEMA TP HSRP.png new file mode 100644 index 0000000..f420d39 Binary files /dev/null and b/Semaine_02/Supports_de_cours/04. Cisco - HSRP (redondance de passerelle)/SCHEMA TP HSRP.png differ diff --git a/Semaine_02/Supports_de_cours/04. Cisco - HSRP (redondance de passerelle)/TP_HSRP_LAN.md b/Semaine_02/Supports_de_cours/04. Cisco - HSRP (redondance de passerelle)/TP_HSRP_LAN.md new file mode 100644 index 0000000..83bc7be --- /dev/null +++ b/Semaine_02/Supports_de_cours/04. Cisco - HSRP (redondance de passerelle)/TP_HSRP_LAN.md @@ -0,0 +1,52 @@ +# TP : Mise en œuvre du protocole HSRP dans un réseau redondant + +## 🎯 Objectif +Mettre en place une **redondance de passerelle** à l’aide du protocole **HSRP (Hot Standby Router Protocol)**, afin d’assurer la **continuité de service** en cas de défaillance d’un routeur. + +--- + +🧱 **Réseau partagé** : 192.168.1.0/24 +🎯 **Passerelle virtuelle HSRP** : 192.168.1.1 + +--- + +## ⚙️ Étapes du TP + +### 1️⃣ Configuration IP de base +Configurer les adresses IP sur les deux routeurs et le PC selon le schéma ci-dessus. +Vérifier la connectivité entre les équipements avec la commande `ping`. + +--- + +### 2️⃣ Configuration HSRP +Configurer HSRP sur les deux routeurs afin de partager une adresse IP virtuelle (192.168.1.1). +Le **Router1** doit être prioritaire. + +--- + +### 3️⃣ Vérification +Utiliser les commandes de vérification pour observer : +- Le routeur **actif** +- Le routeur **standby** +- L’adresse IP virtuelle et l’adresse MAC virtuelle associée + +--- + +### 4️⃣ Test de bascule +1. Vérifier le rôle initial de chaque routeur. +2. Désactiver l’interface G0/0 de Router1 pour simuler une panne. +3. Vérifier le basculement automatique du rôle actif vers Router2. +4. Réactiver Router1 et observer le retour automatique à l’état initial. + +--- + +### 5️⃣ Questions de réflexion + +1. Quelle est la différence entre HSRP et VRRP ? +2. Pourquoi configure-t-on la commande `preempt` ? +3. Que se passerait-il si les deux routeurs avaient la même priorité ? +4. Quelle est la différence entre HSRP et une agrégation de liens (EtherChannel) ? + +--- + +**Fin du TP.** diff --git a/Semaine_02/Supports_de_cours/04. Cisco - HSRP (redondance de passerelle)/TP_HSRP_LAN_Corrige.md b/Semaine_02/Supports_de_cours/04. Cisco - HSRP (redondance de passerelle)/TP_HSRP_LAN_Corrige.md new file mode 100644 index 0000000..091c33e --- /dev/null +++ b/Semaine_02/Supports_de_cours/04. Cisco - HSRP (redondance de passerelle)/TP_HSRP_LAN_Corrige.md @@ -0,0 +1,172 @@ +# Correction du TP : Mise en œuvre du protocole HSRP dans un réseau redondant + +## 🎯 Objectif +Mettre en œuvre une **redondance de passerelle IP** avec **HSRP**, afin d'assurer une continuité de service réseau en cas de panne d'un routeur. + +--- + +## 🧩 Topologie mise en place + +``` + +-------------------+ + | Router1 | + | G0/0 : 192.168.1.2| + +-------------------+ + | + | + +-------------+ + | SW1 | + +-------------+ + | + +-------------------+ + | Router2 | + | G0/0 : 192.168.1.3| + +-------------------+ + | + +------+ + | PC1 | + |192.168.1.10| + +------+ +``` + +🧱 **Réseau partagé** : 192.168.1.0/24 +🎯 **Passerelle virtuelle HSRP** : 192.168.1.1 + +--- + +## ⚙️ Étapes de configuration + +### 1️⃣ Configuration IP de base + +#### Router1 +```bash +enable +conf t +interface g0/0 + ip address 192.168.1.2 255.255.255.0 + no shutdown +exit +``` + +#### Router2 +```bash +enable +conf t +interface g0/0 + ip address 192.168.1.3 255.255.255.0 + no shutdown +exit +``` + +#### PC1 +``` +Adresse IP : 192.168.1.10 +Masque : 255.255.255.0 +Passerelle : 192.168.1.1 +``` + +--- + +### 2️⃣ Configuration HSRP + +#### Sur Router1 (routeur prioritaire) +```bash +interface g0/0 + standby 1 ip 192.168.1.1 + standby 1 priority 110 + standby 1 preempt + no shutdown +``` + +#### Sur Router2 +```bash +interface g0/0 + standby 1 ip 192.168.1.1 + standby 1 priority 90 + standby 1 preempt + no shutdown +``` + +--- + +### 3️⃣ Vérification + +Commande : +```bash +show standby +``` + +**Router1 (actif) :** +``` +GigabitEthernet0/0 - Group 1 + State is Active + Virtual IP address is 192.168.1.1 + Active router is local + Standby router is 192.168.1.3 + Priority 110 (configured 110) +``` + +**Router2 (standby) :** +``` +GigabitEthernet0/0 - Group 1 + State is Standby + Virtual IP address is 192.168.1.1 + Active router is 192.168.1.2 + Priority 90 (configured 90) +``` + +--- + +### 4️⃣ Test de bascule (failover) + +1. Depuis le PC, tester la connectivité : + ```bash + PC1> ping 192.168.1.1 + ``` + +2. Simuler la panne du routeur actif : + ```bash + Router1(config)# interface g0/0 + Router1(config-if)# shutdown + ``` + +3. Vérifier que Router2 devient actif : + ```bash + Router2# show standby + ``` + +4. Rétablir Router1 : + ```bash + Router1(config-if)# no shutdown + ``` + +Grâce à la commande `preempt`, Router1 reprend automatiquement le rôle d'actif. + +--- + +## 🧭 Réponses aux questions de réflexion + +1. **Différence HSRP / VRRP :** + HSRP est propriétaire Cisco, VRRP est standard (RFC 3768). Les deux assurent une redondance de passerelle. + +2. **Commande `preempt` :** + Permet à un routeur prioritaire de redevenir actif après un retour en service. + +3. **Même priorité sur les deux routeurs :** + En cas d’égalité, le routeur ayant l’adresse IP la plus élevée devient actif. + +4. **HSRP vs EtherChannel :** + HSRP redonde des routeurs (couche 3), EtherChannel agrège des liens physiques (couche 2). + +--- + +## ✅ Bilan + +- HSRP assure une **redondance de passerelle** sans intervention du poste client. +- Une **IP et MAC virtuelles** sont partagées entre deux routeurs. +- La **bascule** est transparente pour le réseau local. +- **Packet Tracer** supporte parfaitement HSRP (contrairement à VRRP). + +--- + +**Fin de la correction.** diff --git a/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/6.3.1.1 COURS - Sécurisation des périphériques Cisco .pdf b/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/6.3.1.1 COURS - Sécurisation des périphériques Cisco .pdf new file mode 100644 index 0000000..414a33e Binary files /dev/null and b/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/6.3.1.1 COURS - Sécurisation des périphériques Cisco .pdf differ diff --git a/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/6.3.1.3 Travail Dirigé - Sécurisation de base d_un switch.pdf b/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/6.3.1.3 Travail Dirigé - Sécurisation de base d_un switch.pdf new file mode 100644 index 0000000..56452ee Binary files /dev/null and b/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/6.3.1.3 Travail Dirigé - Sécurisation de base d_un switch.pdf differ diff --git a/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/6.3.2.1 COURS - Les ACL Sandard ou Access Control List.pdf b/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/6.3.2.1 COURS - Les ACL Sandard ou Access Control List.pdf new file mode 100644 index 0000000..1d64e21 Binary files /dev/null and b/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/6.3.2.1 COURS - Les ACL Sandard ou Access Control List.pdf differ diff --git a/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/6.3.2.2 Travail Dirigé n°1 - Introduction et mise en place d_ACLs.pdf b/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/6.3.2.2 Travail Dirigé n°1 - Introduction et mise en place d_ACLs.pdf new file mode 100644 index 0000000..135d844 Binary files /dev/null and b/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/6.3.2.2 Travail Dirigé n°1 - Introduction et mise en place d_ACLs.pdf differ diff --git a/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/TP3 - Correction - Mise en place d_un filtrage via ACLs.md b/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/TP3 - Correction - Mise en place d_un filtrage via ACLs.md new file mode 100644 index 0000000..2b0c2a8 --- /dev/null +++ b/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/TP3 - Correction - Mise en place d_un filtrage via ACLs.md @@ -0,0 +1,78 @@ +# CORRECTION TP 3 - Filtrage par ACLs + +## Task 1 + +### Step 2 : + +Avant toute chose, le 1er réflexe est de vérifier la présence d'ACL sur l'appareil, `show ip access list`. + +Sur le routeur branch, on remarque justement une ACL déjà présente avec cette commande, de type standard, qui permet tout le traffic depuis le réseau 10.1.1.0. Rajouter une règle interdisant l'hôte 10.1.1.101 sera inefficace puisque la règle précédente laissera tout passer ! + +Il faut donc l'annuler : + + enable + conf t + no ip access-list standard 1 + +Puis créez l'ACL demandée : + +#### Créer l'ACL : + + enable + conf t + ip access-list extended Telnet + deny tcp host 10.1.1.101 host 172.16.1.100 eq telnet + permit ip any any + exit + +**Notez l'importance ici du "permit ip any any" en fin d'ACL en tant que dernière règle, il stipule que tout ce qui ne concorde pas avec la 1ère règle peut passer, autrement la politique par défaut sur Cisco, implicite, est de refuser tout ce qui ne matche pas avec les règles précédentes !!! Il est en effet plus logique et rapide de dire ce qu'on autorise, et interdire tout le reste que l'inverse, d'ou le choix par Cisco du "deny ip any any" implicite.** + +#### Attribuer cet ACL à une interface : + + enable + conf t + interface gi0/0 + ip access-group Telnet in + exit + +## Task 2 + +### Step 7 + + enable + conf t + interface gi0/0 + no ip access-group Telnet out + ip access-group Telnet in + exit + +### Step 9 + + enable + conf t + no ip access-list extended Telnet + ip access-list extended Telnet + deny tcp host 10.1.1.101 host 172.16.1.100 eq telnet + permit ip any any + exit + + + + + + + + + + + + + + + + + + + + + diff --git a/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/TP3 - Exercice - Filtrer le traffic via des ACL.pkt b/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/TP3 - Exercice - Filtrer le traffic via des ACL.pkt new file mode 100644 index 0000000..edd89b2 Binary files /dev/null and b/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/TP3 - Exercice - Filtrer le traffic via des ACL.pkt differ diff --git a/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/TP3 - Mise en place d_un filtrage via ACLs.pdf b/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/TP3 - Mise en place d_un filtrage via ACLs.pdf new file mode 100644 index 0000000..aad0793 Binary files /dev/null and b/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/TP3 - Mise en place d_un filtrage via ACLs.pdf differ diff --git a/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/TP4 - Correction - Troubleshooting de connectivité IP a cause des ACLs.md b/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/TP4 - Correction - Troubleshooting de connectivité IP a cause des ACLs.md new file mode 100644 index 0000000..41e72ca --- /dev/null +++ b/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/TP4 - Correction - Troubleshooting de connectivité IP a cause des ACLs.md @@ -0,0 +1,25 @@ +# CORRECTION TP 4 - Troubleshoot de connectivité IP ayant pour cause les ACL + + +## Task 1 – Réparer la route par défaut : + +sur le routeur Branch : + + Branch(config) #ip route 0.0.0.0 0.0.0.0 209.165.201.2 + +Ici, toute IP d'un réseau de n'importe quelle taille sera joignable par le biais de l'adresse `209.165.201.2` + +## Task 2 – Réparer une ACL : + +entrer ces commandes (ou équivalent) sur le routeur branch : + + Branch(config) #ip access-list extended Outbound-ACL + Branch(config-ext-nacl)#permit tcp any any eq Telnet + Branch(config-ext-nacl)#permit tcp any any eq www + +Si vous souhaitez réessayer la commande traceroute, il faut aussi penser à autoriser le trafic UDP + +## Task 3 – Réparer la passerelle par défaut et la résolution de noms : + +Il suffit d’aller dans la configuration de PC1 pour lui passer la bonne passerelle par défaut. +Packet Tracer n’émulant pas un système d’exploitation Windows complet, il n’y a pas de fichier Host à rectifier. Il faut simplement rectifier la passerelle par défaut le PC, et refaire un ping test, mais avec l'adresse IP du serveur cette fois, pas le choix ! diff --git a/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/TP4 - Exercice - Troubleshooting de connectivité IP a cause des ACLs.pkt b/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/TP4 - Exercice - Troubleshooting de connectivité IP a cause des ACLs.pkt new file mode 100644 index 0000000..04fde27 Binary files /dev/null and b/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/TP4 - Exercice - Troubleshooting de connectivité IP a cause des ACLs.pkt differ diff --git a/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/TP4 - Troubleshooting de connectivité IP à cause des ACLs.pdf b/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/TP4 - Troubleshooting de connectivité IP à cause des ACLs.pdf new file mode 100644 index 0000000..57663ab Binary files /dev/null and b/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/TP4 - Troubleshooting de connectivité IP à cause des ACLs.pdf differ diff --git a/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/TP5 - 2 Établir une ACL standard.pdf b/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/TP5 - 2 Établir une ACL standard.pdf new file mode 100644 index 0000000..9cfd451 Binary files /dev/null and b/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/TP5 - 2 Établir une ACL standard.pdf differ diff --git a/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/TP6 - 3 Établir une ACL étendue.pdf b/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/TP6 - 3 Établir une ACL étendue.pdf new file mode 100644 index 0000000..5039ef9 Binary files /dev/null and b/Semaine_02/Supports_de_cours/05. Cisco - Sécurisation élémentaire des appareils de l_infra/TP6 - 3 Établir une ACL étendue.pdf differ diff --git a/Semaine_02/Supports_de_cours/06. BONUS - Filtrage sous Linux/212.1.0 - Les Pare-feux simplifiés sous Linux.pdf b/Semaine_02/Supports_de_cours/06. BONUS - Filtrage sous Linux/212.1.0 - Les Pare-feux simplifiés sous Linux.pdf new file mode 100644 index 0000000..f91237f Binary files /dev/null and b/Semaine_02/Supports_de_cours/06. BONUS - Filtrage sous Linux/212.1.0 - Les Pare-feux simplifiés sous Linux.pdf differ diff --git a/Semaine_02/Supports_de_cours/06. BONUS - Filtrage sous Linux/212.1.1 Filtrage de paquets sur GNU Linux avec IPTables & NFTables.pdf b/Semaine_02/Supports_de_cours/06. BONUS - Filtrage sous Linux/212.1.1 Filtrage de paquets sur GNU Linux avec IPTables & NFTables.pdf new file mode 100644 index 0000000..32a38d0 Binary files /dev/null and b/Semaine_02/Supports_de_cours/06. BONUS - Filtrage sous Linux/212.1.1 Filtrage de paquets sur GNU Linux avec IPTables & NFTables.pdf differ diff --git a/Semaine_02/Supports_de_cours/ÉVALUATION !/Énoncé - EVAL Infrastructure Avancée part 2.pdf b/Semaine_02/Supports_de_cours/ÉVALUATION !/Énoncé - EVAL Infrastructure Avancée part 2.pdf new file mode 100644 index 0000000..a11ae02 Binary files /dev/null and b/Semaine_02/Supports_de_cours/ÉVALUATION !/Énoncé - EVAL Infrastructure Avancée part 2.pdf differ diff --git a/Semaine_03/Esteban-Gauvain-Floren.md b/Semaine_03/Esteban-Gauvain-Floren.md new file mode 100644 index 0000000..6d178fc --- /dev/null +++ b/Semaine_03/Esteban-Gauvain-Floren.md @@ -0,0 +1,531 @@ +*Esteban, Floren, Gauvain* + +# Projet 1 + +## Génèse + + + +### 1. Préparation du projet + +- Floren : l'architecte +- Esteban : le soutien moral +- Gauvain : la petite secrétaire + +#### Notes + +Il se peut que les lignes de code affichées dans les captures d'écran ne soient pas 100% conformes avec les blocs de code tapés au-dessus. C'est normal : nous expérimentons au fur et à mesure, et quand la capture d'écran est faite, il se peut que nous ne nous apercevions d'une coquille ou d'un oubli que bien plus tard. Et qu'un paquet installé (genre NMAP) soit désinstallé plus tard, faute d'usage. Règle du **"moins de paquet = moins de surface d'attaque"**. + +Le résultat est normalement affiché en capture d'écran, mais en cas de discordance, les blocs de code commentés font foi. + +### 2. Définir l'architecture + +#### A. Les Machines Virtuelles + +[ROCKY_LINUX - Installation](https://docs.rockylinux.org/9/guides/9_6_installation/) + +- Rocky Linux sur Hyperviseur +- Deux connexions réseau : en Accès par Pont ou Réseau NAT +- Pas de GUI + +Nous avons décidé d'utiliser : +- 3 VMs Rocky Linux 9.7 (version Boot), les infos sur la version 10 faisant état d'une version peu stabilisée +- sur VirtualBox (par simplicité) +- En réseau NAT (pour avoir une plage réseau vraiment isolée) +- Pas de GUI + +``` +sudo dnf update -y +sudo dnf install -y firewalld nano curl wget + +sudo systemctl enable --now firewalld +``` + + + +Synchronisation des serveurs avec `chrony` : +*Sur MON/MR* +``` +nano /etc/chrony.conf + + allow 10.0.10.0/24 +``` + +*Sur OSD1* +``` +nano /etc/chrony.conf + + server 10.0.10.11 iburst + peer 10.0.10.13 iburst +``` + +*Sur OSD2* +``` +nano /etc/chrony.conf + + server 10.0.10.11 iburst + peer 10.0.10.12 iburst +``` + + + +Et on change les noms des machines : +``` +sudo hostnamectl set-hostname ['monmgr', 'osd1', 'osd2'] +``` + +#### B. Configuration du **bonding** + +[REDHAT - Configure Network Bonding](https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/7/html/networking_guide/ch-configure_network_bonding) + +[Bonding in Rocky Linux](https://www.server-world.info/en/note?os=Rocky_Linux_10&p=bonding) + +- Mode [*active-backup*](https://www.ibm.com/docs/en/linux-on-systems?topic=recommendations-bonding-modes) +- Bridge dédié au **bond** *active-backup* dans le Ceph + +Ajouter le bond : +``` +sudo nmcli connection add type bond con-name bond0 ifname bond0 mode active-backup + +sudo nmcli connection add type ethernet ifname enp0s3 master bond0 +sudo nmcli connection add type ethernet ifname enp0s8 master bond0 + +sudo nmcli connection modify bond0 \ +ipv4.method manual \ +ipv4.addresses 10.0.10.[11,12,13]/24 \ +ipv4.gateway 10.0.10.1 \ +ipv4.dns 1.1.1.1 + +sudo nmcli connection up bond0 +``` + + + +Vérifications : +``` +cat /proc/net/bonding/bond0 + +sudo nmcli device +sudo nmcli connection +``` + + + + + +Vérification de la redondance en débranchant une NIC dans la VM : + + + + + +#### C. Réglages du pare-feu + +[REDHAT - Using and configurind firewalld](https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/9/html/configuring_firewalls_and_packet_filters/using-and-configuring-firewalld_firewall-packet-filters) + +- Zone personnalisée : `ceph-mcs2025` +- Associée à l'interface du **bond0** +- [Autorisation des ports nécessaires à CEPH](https://docs.redhat.com/fr/documentation/red_hat_ceph_storage/5/html/configuration_guide/ceph-firewall-ports_conf) et associés + +``` +sudo firewall-cmd --permanent --new-zone=ceph-mcs2025 + +# Pour vérifier +sudo firewall-cmd --reload +sudo firewall-cmd --get-zones + +sudo firewall-cmd --permanent --zone=ceph-mcs2025 --add-interface=bond0 +sudo firewall-cmd --permanent --zone=ceph-mcs2025 --add-service=ssh + +sudo firewall-cmd --permanent --zone=ceph-mcs2025 --add-port=80/tcp +sudo firewall-cmd --permanent --zone=ceph-mcs2025 --add-port=443/tcp +sudo firewall-cmd --permanent --zone=ceph-mcs2025 --add-port=3300-3303/tcp +sudo firewall-cmd --permanent --zone=ceph-mcs2025 --add-port=6789/tcp +sudo firewall-cmd --permanent --zone=ceph-mcs2025 --add-port=6800-7300/tcp +sudo firewall-cmd --permanent --zone=ceph-mcs2025 --add-port=7480/tcp +sudo firewall-cmd --permanent --zone=ceph-mcs2025 --add-port=8443/tcp + +sudo firewall-cmd --permanent --zone=ceph-mcs2025 --add-port=123/udp +sudo firewall-cmd --permanent --zone=ceph-mcs2025 --add-port=6800-7300/udp + +sudo firewall-cmd --reload +``` + +Et on vérifie : +``` +sudo firewall-cmd --info-zone=ceph-mcs2025 +``` + + + +### 3. Installer et configurer Ceph + +#### A. Choix du Ceph + +On a décidé d'utiliser RGW pour diverses raisons : +1. c'est celui que nous connaissons le moins (raison éducative) +2. c'est un système basé sur une technologie qui devient un standard nuagique (avec AWS S3 repris même par les concurrents) +3. parce que pourquoi pas + +#### B. Préparation des noeuds + +[CEPH - cephadm](https://docs.ceph.com/en/squid/cephadm/) | [CEPH - Host Management](https://docs.ceph.com/en/squid/cephadm/host-management/) + +- Installer `cephadm` version **`squid`** (*les deux dernières, `latest` et `tentacles` étant non stabilisées*) +- Déployer le moniteur **MON** et gestionnaire **MGR** sur le premier noeud, ajout des deux autres comme **OSD** + +Sur les trois noeuds : +``` +sudo dnf install -y centos-release-ceph-squid +sudo dnf install -y cephadm + +# Pour les dépendances liées au déploiement de configurations +sudo dnf install -y python3-yaml python3-jinja2 +``` + +Sur les deux noeuds OSD : +``` +sudo cephadm add-repo --release squid +sudo cephadm install ceph-common +``` + + + + + + + +Bootstrap du cluster sur le noeud principal : +``` +sudo cephadm bootstrap \ +--mon-ip 10.0.10.11 \ +--allow-fqdn-hostname \ +--initial-dashboard-user admin \ +--initial-dashboard-password 'Dashboard123!' + + # Copie de la clef publique du MON/MGR sur les OSD +ssh-copy-id -f -i /etc/ceph/ceph.pub root@10.0.10.12 +ssh-copy-id -f -i /etc/ceph/ceph.pub root@10.0.10.13 + + # Vérification +sudo ceph orch host ls +``` + + + + + +Copie de la configuration du MON/MGR sur les OSD : +``` +scp /etc/ceph/ceph.conf root@10.0.10.12:/etc/ceph/ +scp /etc/ceph/ceph.conf root@10.0.10.13:/etc/ceph/ +scp /etc/ceph/ceph.client.admin.keyring root@10.0.10.12:/etc/ceph/ +scp /etc/ceph/ceph.client.admin.keyring root@10.0.10.13:/etc/ceph/ +ssh root@10.0.10.12 "chmod 600 /etc/ceph/*.keyring && chmod 644 /etc/ceph/ceph.conf" +ssh root@10.0.10.13 "chmod 600 /etc/ceph/*.keyring && chmod 644 /etc/ceph/ceph.conf" +``` + + + +Ajout des hôtes dans le cluster **Ceph** : +``` +sudo ceph orch host add osd1 10.0.10.12 +sudo ceph orch host add osd2 10.0.10.13 +``` + + + +[Ajout des **OSD** dans le cluster :](https://docs.ceph.com/en/squid/cephadm/services/osd/) +``` +sudo ceph orch device ls + +# Si on veut tout asservir sans distinction +sudo ceph orch apply osd --all-available-devices + +# Si on veut asservir un panel précis de volumes +sudo ceph orch daemon add osd monmgr:/dev/sdb +sudo ceph orch daemon add osd osd1:/dev/sdb +sudo ceph orch daemon add osd osd2:/dev/sdb +``` + + + +#### C. Déployer le service RGW + +https://docs.ceph.com/en/squid/radosgw/ +https://docs.ceph.com/en/squid/radosgw/s3/ + +- Créer un *daemon* RGW avec `ceph orch apply rgw` +- Configurer le domaine S3, clefs d'accès et politiques des seaux + +[Déploiement du service RGW :](https://docs.ceph.com/en/latest/cephadm/services/rgw/) +``` +sudo ceph orch apply rgw rgw-mcs \ +--realm=realm-mcs \ +--zone=zone-mcs \ +--placement="2 osd1 osd2" + +# Ou en version "triviale" +sudo ceph orch apply rgw rgw-mcs +``` + +Vérifier l'intégrité du cluster RGW : +``` +sudo ceph orch ps --daemon_type rgw +``` + + + +[Créer un admin S3 :](https://docs.ceph.com/en/squid/man/8/radosgw-admin/) +``` +sudo dnf install -y epel-release +sudo dnf install -y ceph-radosgw + +sudo radosgw-admin user create --uid=egf2025 --display-name="EstGauFlo 2025" +``` + + + +Modifier le ceph.conf : +``` +sudo nano /etc/ceph/ceph.conf + [client.radosgw.gateway] + host = [monmgr, osd1, osd2] + keyring = /etc/ceph/ceph.client.radosgw.gateway.keyring + rgw_frontends = "beast port=7480" + +sudo systemctl start ceph-radosgw@rgw.gateway + +sudo nano /etc/ceph/ceph.client.radosgw.keyring + [client.admin] + key = ******* + caps mds = "allow *" + caps mgr = "allow *" + caps mon = "allow *" + caps osd = "allow *" +``` + +Vérifier la santé du cluster Ceph : +``` +sudo ceph -s +sudo ceph health detail +``` + + +Configurer l'accès S3 : +``` +sudo dnf install -y awscli + +aws configure set aws_access_key_id XXOKHTFX8OUAW4YEFBVT +aws configure set aws_secret_access_key b3Cn2vYARkbnGWlPVdCg16ZYUZ3IczXC4SvtBBMy +aws s3 ls --endpoint-url http://10.0.10.11:7480 +``` + +##### Notes sur le précédent bloc +Ca ne sert à rien de copier le couple ID-Clef, ce sont des utilisateurs locaux, mais ce sont bien des vraies. On sait ce qu'on fait présentement, mais il est évident qu'on ne fait jamais ça en production. + +La solution de niveau 1 c'est d'utiliser une variable d'environnement temporaire (`AWS_ID="XXOKHTFX8OUAW4YEFBVT"` et ensuite appeler avec un `$AWS_ID` dans le shell pour une expiration à déconnexion), et la solution de niveau 2 serait de déployer un serveur Consul/Vault sur le réseau pour gérer des secrets. + +Vérifications : + + + + + +Et ensuite faire un test de téléversement dans un seau S3 avec la [documentation officielle](https://docs.aws.amazon.com/cli/latest/reference/s3/) + +``` +aws s3 cp ./fichier s3://bucket/ --endpoint-url http://10.0.10.11:7480 +``` + + + +#### D. (Bonus) Vérifier sur le Dashboard + +Nous avons rajouté dans le réseau NAT (mais pas le Ceph) une machine tierce avec interface graphique, Rocky Linux ou Debian pour se connecter sur le dashboard : + + + + + + + + + +### 4. Cisco Packet Tracer + +#### A. Créer la topologie en GUI + +- VLAN unique pour les 3 +- Switchs Layer 2 (un ou plusieurs) + + + +#### B. Créer la topologie en CLI + +Création des LAGs : + +``` +enable + conf t + interface range fa0/[1-7]-[3-9] + channel-group [1,2,3] mode active + no shutdown + end +write memory +``` + + + +Créer les VLAN : +``` +enable + conf t + vlan 10 + name CephCluster + exit + interface fa0/24 + switchport mode access + switchport access vlan 10 + no shutdown + exit + interface port-channel [1,2,3] + switchport mode trunk + switchport trunk native vlan 1 + switchport trunk allowed vlan 1,10 + no shutdown + end +write memory +``` + + + +[Créer la passerelle HSRP sur les routeurs :](https://routeur.clemanet.com/hsrp-cisco.php) +``` +enable + conf t + ip routing + interface Gig0/0/1.10 + encapsulation dot1q 10 + ip address 10.0.10.[2,3] 255.255.255.0 + standby 1 ip 10.0.10.1 + standby 1 priority [100, 150] + standby 1 preempt + no shutdown + end +show standby +write memory +``` + + + + + +Et on vérifie par un PING d'un OSD à un autre : + + + +Et on teste avec un routeur éteint : + + + +#### C. Sécurisation + +https://www.cisco.com/c/deleteme/sec/b_1710_sec_9300_cg/port_security.html + +- Limiter le *MAC-address learning* +- Activer *port-security* en mettant 1 dresse MAC maximum +- Configurer les ports d'administration (console/VTY) avec authentification locale +- Activer le SSH sur les switchs avec restriction aux adresses du VLAN +- Autoriser le trafic Ceph, IMCP et SNMP uniquement depuis les adresses de gestion + +Sécurité des ports : +``` +enable + conf t + interface range fa0/#-# // ports non utilisés + shutdown + exit + interface range fa0/#-# // ports en usage + switchport port-security + switchport port-security maximum 1 + switchport port-security violation restrict + switchport port-security mac-address sticky +``` + + + +Activer le SSH : +``` +ip domain-name mcs2025.local +username admin secret mcs2025 +crypto key generate rsa general-keys modulus 2048 +ip ssh version 2 +``` + + + +Protection par mot de passe : +``` +enable + conf t + enable password encryption + line console 0 + password CisCanne + login local + line vty 0 4 + login local + transport input ssh + enable secret Conf-Iture + end +write memory +``` + + + + + +ACL pour le trafic Ceph : +``` +ip access-list extended CEPH-ALLOW + permit tcp any any eq 80 + permit tcp any any eq 443 + permit tcp any any eq 6789 + permit tcp any any eq 7480 + permit tcp any any eq 8443 + permit tcp any any range 3300 3303 + permit tcp any any range 6800 7300 + permit udp any any range 6800 7300 + permit icmp any any + permit udp any any eq 161 + deny ip any any +``` + + + +# Liens utiles + +## Bibliographie +### Ceph +[Tutoriel Scaleway d'un cluster Ceph](https://www.scaleway.com/en/docs/tutorials/ceph-cluster/) + +[Tutoriel d'installer Ceph sur Rocky Linux](https://www.linkedin.com/pulse/step-by-step-instructions-install-ceph-rocky-linux-saman-salamat/) + +[Configuration RGW sur RedHat](https://docs.redhat.com/de/documentation/red_hat_ceph_storage/3/html/object_gateway_guide_for_red_hat_enterprise_linux/rgw-configuration-reference-rgw) + +[Cephadm pour RGW](https://docs.ceph.com/en/reef/cephadm/services/rgw/) + +[Déployer Ceph sur Rocky Linux 9](https://random-it-blog.de/ceph/ceph-storage-cluster-deployment-on-rocky-linux-9-centos-9/) + +### Pare-feu Rocky +[Mettre en place FirewallD](https://www.digitalocean.com/community/tutorials/how-to-set-up-a-firewall-using-firewalld-on-rocky-linux-8) + +[Ports pour cluster Ceph](https://docs.redhat.com/en/documentation/red_hat_ceph_storage/5/html/configuration_guide/ceph-firewall-ports_conf) + +[FirewallD par Stéphane Robert](https://blog.stephane-robert.info/docs/securiser/reseaux/firewalld/) + +### Détails sur la configuration +["Beast" pour RadosGW](https://documentation.suse.com/fr-fr/ses/7.1/single-html/ses-admin/book-storage-admin.html#config-ogw) + +## Ressources +[Rocky Linux](https://rockylinux.org/fr-FR/download) diff --git a/Semaine_03/Jour_01.md b/Semaine_03/Jour_01.md new file mode 100644 index 0000000..f6c5511 --- /dev/null +++ b/Semaine_03/Jour_01.md @@ -0,0 +1,12 @@ +# Projet 1 + +## Enoncé + +Mettre en place une infrastructure : +- serveurs sur VirtualBox +- appareils réseaux sur Cisco Packet Tracer + +### Système + +- 3 VMs Rocky Linux => 9 faisant un cluster sous CEPH (CephFS, RBD, RGW au choix). +- Pare-feu natif à la famille de distribution des règles autorisant les noeuds à se "parler en Ceph", le tout dans une "zone" dédiée, avec interface virtuelle dédiée à cette zone. Cette interface virtuelle est composée de 2 interfaces réseau physiques réunies dans un bonding (avec l'hyperviseur, en accès par pont + réseau NAT, mais PAS en NAT) \ No newline at end of file diff --git a/Semaine_03/Semaine_03_CEPH_Network.pkt b/Semaine_03/Semaine_03_CEPH_Network.pkt new file mode 100644 index 0000000..f7ccc19 Binary files /dev/null and b/Semaine_03/Semaine_03_CEPH_Network.pkt differ diff --git a/Semaine_03/Semaine_03_Examen.pdf b/Semaine_03/Semaine_03_Examen.pdf new file mode 100644 index 0000000..504b7bf Binary files /dev/null and b/Semaine_03/Semaine_03_Examen.pdf differ diff --git a/Semaine_03/Énoncé MCS.pdf b/Semaine_03/Énoncé MCS.pdf new file mode 100644 index 0000000..100389a Binary files /dev/null and b/Semaine_03/Énoncé MCS.pdf differ