Emmanuel-Joyce NTSIA, Gauvain BOICHÉ, Joris STAVROULAKIS, Léo JARRY, **Nous jurons sur l'honneur que les commandes entre `` sont tapées à la main à partir de nos notes de cours. (Elles sont réfléchies par nous en notre âme et conscience, on boycott openAI)** *Pour rigoler on a passé une instruction "Génère moi une capture d'écran de Cisco Packet Tracer en pleine configuration d'un VLAN par la CLI" et voilà le résultat :* **Pour ne pas rigoler, ça devrait être illégal de nous mettre du 176 quand on est habitué au 172 en adresse** # Mise en place de la Topologie physique: Le client a présenté une topologie précise avec des modèles précis, nous avons décidé de garder la topologie d'origine pour des questions de négociations facilitées. - Commutateurs 2960-24TT - Routeur ISR4331 - Câbles droits pour liaisons routeurs & PC <-> commutateurs - Câbles croisés pour liaisons inter-commutateurs ## Mise en place des adresses IP pour les pc

## Mise en place des VLAN **À noter qu'à partir de maintenant, des write memory sont fait après chaque étape pour s'assurer que la configuration soit bien sauvegardée** ### Création des VLANS dans les switch **À faire sur tous les Switchs** ``` enable conf t vlan 10 name OSD exit vlan 20 name MON-MGR exit vlan 30 name Supervision exit vlan 40 name Tests exit interface vlan 1 no shutdown exit interface vlan 10 no shutdown exit interface vlan 20 no shutdown exit interface vlan 30 no shutdown exit interface vlan 40 no shutdown end write memory ```

### Mise en place des ports access Switch - PC **À faire sur tous les Switchs sauf S5 en adaptant le port et la vlan** ### Mise en place du port trunk entre S5 et R1 (le routeur) (Petit oubli) On rajoute le nonegotiate : ## Mise en place des LAGs **Switch 1** ``` enable conf t interface range Fa0/2 - 4 channel-group 1 mode active exit interface range Fa0/5 - 7 channel-group 2 mode active exit interface port-channel 1 switchport mode trunk switchport trunk native vlan 1 switchport trunk allowed vlan 1,10,20,30,40 no shutdown exit interface port-channel 2 switchport mode trunk switchport trunk native vlan 1 switchport trunk allowed vlan 1,10,20,30,40 no shutdown exit show interfaces Port-channel [1,2] ! Pour contrôler show interfaces trunk ! Pour contrôler show etherchannel summary ! Pour contrôler end write memory ``` ### Création du LAG en LACP actif **Il faut faire pareil sur S4 (le switch de l'autre côté des ports concernés) du coup aussi pour que ça fonctionne** ### Configuration du trunk sur les LAGs (Petit oubli) On rajoute le nonegotiate : **Ensuite il faut recommencer ces deux étapes (création du LAG et mise en place du trunk), sur tous les switchs en adaptant bien sûr les ports et en faisant bien attention de respecter les numéros de channel-group** ### Vérification du LAG et du trunk dessus

**Switch 2** ``` enable conf t interface range Fa0/2 - 4 channel-group 3 mode active exit interface range Fa0/5 - 7 channel-group 2 mode active exit interface range Fa0/8 - 10 channel-group 1 mode active exit interface port-channel 1 switchport mode trunk switchport trunk native vlan 1 switchport trunk allowed vlan 1,10,20,30,40 no shutdown exit interface port-channel 2 switchport mode trunk switchport trunk native vlan 1 switchport trunk allowed vlan 1,10,20,30,40 no shutdown exit interface port-channel 3 switchport mode trunk switchport trunk native vlan 1 switchport trunk allowed vlan 1,10,20,30,40 no shutdown exit show interfaces Port-channel [1,2,3] show interfaces trunk show etherchannel summary end write memory ``` **Switch 3** ``` enable conf t interface range Fa0/5 - 7 channel-group 2 mode active exit interface range Fa0/8 - 10 channel-group 1 mode active exit interface range Fa0/11 - 13 channel-group 4 mode active exit interface port-channel 1 switchport mode trunk switchport trunk native vlan 1 switchport trunk allowed vlan 1,10,20,30,40 no shutdown exit interface port-channel 2 switchport mode trunk switchport trunk native vlan 1 switchport trunk allowed vlan 1,10,20,30,40 no shutdown exit interface port-channel 3 switchport mode trunk switchport trunk native vlan 1 switchport trunk allowed vlan 1,10,20,30,40 no shutdown exit show interfaces Port-channel [1,2,3] show interfaces trunk show etherchannel summary end write memory ``` **Switch 4** ``` enable conf t interface range Fa0/2 - 4 channel-group 1 mode active exit interface range Fa0/5 - 7 channel-group 2 mode active exit interface port-channel 1 switchport mode trunk switchport trunk native vlan 1 switchport trunk allowed vlan 1,10,20,30,40 no shutdown exit interface port-channel 2 switchport mode trunk switchport trunk native vlan 1 switchport trunk allowed vlan 1,10,20,30,40 no shutdown exit show interfaces Port-channel [1,2,3] show interfaces trunk show etherchannel summary end write memory ``` **Switch 5** ``` enable conf t interface range Fa0/2 - 4 channel-group 3 mode active exit interface range Fa0/11 - 13 channel-group 4 mode active exit interface port-channel 1 switchport mode trunk switchport trunk native vlan 1 switchport trunk allowed vlan 1,10,20,30,40 no shutdown exit interface port-channel 2 switchport mode trunk switchport trunk native vlan 1 switchport trunk allowed vlan 1,10,20,30,40 no shutdown exit show interfaces Port-channel [1,2,3] show interfaces trunk show etherchannel summary end write memory ``` ## Mise en place du routage inter-vlan **Routeur** ``` enable conf t interface Gig0/0/0 no shutdown exit interface Gig0/0/0.1 encapsulation dot1Q 1 native ip address 176.16.1.254 255.255.255.0 no shutdown exit interface Gig0/0/0.10 encapsulation dot1Q 10 ip address 176.16.10.254 255.255.255.0 no shutdown exit interface Gig0/0/0.20 encapsulation dot1Q 20 ip address 176.16.20.254 255.255.255.0 no shutdown exit interface Gig0/0/0.30 encapsulation dot1Q 30 ip address 176.16.30.254 255.255.255.0 no shutdown exit interface Gig0/0/0.40 encapsulation dot1Q 40 ip address 176.16.40.254 255.255.255.0 no shutdown end write memory ``` ### Interface physique ### Interfaces virtuelles

Depuis PC_OSD (vlan 10) : **Puis on fait ça pour toutes les autres VLAN** ## Sécurisation et accès à distance sur chaque appareil ### BPDU Guard Sur les ports des switchs qui sont connectés aux pc/routeur on active le BPDU guard ``` enable conf t interface Fa0/1 spanning-tree bpduguard enable end write memory ``` ### Sécurisation du port console ``` enable conf t line console 0 password root login exit service password-encryption end write memory ``` Parce que c'est un exercice on va mettre le même mot de passe partout pour se simplifier la vie, bien sûr en vrai on mettrait des mots de passes forts et différents Le service password-encryption servira à empêcher que le mot de passe soit accessible en clair dans la configuration **On fait la même chose sur tous les switch et routeur** ### Activation à distance (ssh) ``` enable conf t ip domain-name fuckssh.com username ssh secret root crypto key generate rsa general-keys modulus 2048 line vty 0 15 transport input ssh login local exit ip ssh version 2 interface vlan 1 ip address 176.16.1.1 255.255.255.0 exit ip default-gateway 176.16.1.254 end write memory ``` *Le code est adapté pour chaque Switch, donc l'adresse IP sera 176.16.1.[1-5]* **On oublie bien sûr pas d'ajouter une ip au switch dans le vlan 1 pour pouvoir s'y connecter ainsi que l'ip default-gateway** **On fait la même chose sur tous les switch et routeur** ### Sécurisation du mode enable ``` enable conf t enable secret root end write memory ```
### Vérification accès à distance ### MOTD + Sécurisation des interfaces inactives ``` enable conf t banner motd # Personnel autorise seulement # end write memory ``` **On fait la même chose sur tous les switch et routeur** Puis on fait la sécurisation des interfaces inactives en les éteignant et en les mettant sur un vlan 44 créé exprès pour ça

**Switch 1** ``` enable conf t interface range Gig0/1 - 2 switchport mode access switchport access vlan 44 shutdown exit interface range Fa0/8 - 24 switchport mode access switchport access vlan 44 shutdown end write memory ``` **Switch 2** ``` enable conf t interface range Gig0/1 - 2 switchport mode access switchport access vlan 44 shutdown exit interface range Fa0/11 - 24 switchport mode access switchport access vlan 44 shutdown end write memory ``` **Switch 3** ``` enable conf t interface range Gig0/1 - 2 switchport mode access switchport access vlan 44 shutdown exit interface range Fa0/2 - 4 switchport mode access switchport access vlan 44 shutdown exit interface range Fa0/14 - 24 switchport mode access switchport access vlan 44 shutdown end write memory ``` **Switch 4** ``` enable conf t interface range Gig0/1 - 2 switchport mode access switchport access vlan 44 shutdown exit interface range Fa0/8 - 24 switchport mode access switchport access vlan 44 shutdown end write memory ``` **Switch 5** ``` enable conf t interface range Gig0/1 - 2 switchport mode access switchport access vlan 44 shutdown exit interface range Fa0/5 - 10 switchport mode access switchport access vlan 44 shutdown exit interface range Fa0/14 - 24 switchport mode access switchport access vlan 44 shutdown end write memory ``` **Router** ``` enable conf t interface range Gig0/0/1 - 2 shutdown end write memory ``` ## Mise en place des ACLs Pour les ACLs on a décidé deux faire deux listes, une spécifiquement à l'entrée de la gateway du vlan 10 sur le routeur qui bloque uniquement les ports utilisés par les OSD avec les protocoles CEPH Et une deuxième à l'entrée de la gateway du vlan 20 sur le routeur pour bloquer les ports utilisés par le monitor / manager de la même façon On bloque donc les paquets qui viennent de ces deux vlan sur les ports utilisés par CEPH et qui sont en destination du réseau Tests (vlan 40) Tout le reste du traffic est permis entre tous les vlans définis (icmp / ip, etc...)

``` enable conf t ip access-list extended CEPH_EXCLUDE_TESTS_VLAN10 deny tcp 176.16.10.0 0.0.0.255 176.16.40.0 0.0.0.255 range 6800 7300 permit icmp any any permit ip any any exit ip access-list extended CEPH_EXCLUDE_TESTS_VLAN20 deny tcp 176.16.20.0 0.0.0.255 176.16.40.0 0.0.0.255 range 6800 7300 deny tcp 176.16.20.0 0.0.0.255 176.16.40.0 0.0.0.255 eq 3300 deny tcp 176.16.20.0 0.0.0.255 176.16.40.0 0.0.0.255 eq 6789 permit icmp any any permit ip any any exit interface Gig0/0/0.10 ip access-group CEPH_EXCLUDE_TESTS_VLAN10 in exit interface Gig0/0/0.20 ip access-group CEPH_EXCLUDE_TESTS_VLAN20 in end write memory ``` # FIN Ps : moins de 20/20 on débarque chez toi Cédric (dans minecraft)