20 KiB
Emmanuel-Joyce NTSIA, Gauvain BOICHÉ, Joris STAVROULAKIS, Léo JARRY,
Nous jurons sur l'honneur que les commandes entre `` sont tapées à la main à partir de nos notes de cours. (Elles sont réfléchies par nous en notre âme et conscience, on boycott openAI)
Pour rigoler on a passé une instruction "Génère moi une capture d'écran de Cisco Packet Tracer en pleine configuration d'un VLAN par la CLI" et voilà le résultat :
Pour ne pas rigoler, ça devrait être illégal de nous mettre du 176 quand on est habitué au 172 en adresse
Mise en place de la Topologie physique:
Le client a présenté une topologie précise avec des modèles précis, nous avons décidé de garder la topologie d'origine pour des questions de négociations facilitées.
- Commutateurs 2960-24TT
- Routeur ISR4331
- Câbles droits pour liaisons routeurs & PC <-> commutateurs
- Câbles croisés pour liaisons inter-commutateurs
Mise en place des adresses IP pour les pc
Mise en place des VLAN
À noter qu'à partir de maintenant, des write memory sont fait après chaque étape pour s'assurer que la configuration soit bien sauvegardée
Création des VLANS dans les switch
À faire sur tous les Switchs
enable
conf t
vlan 10
name OSD
exit
vlan 20
name MON-MGR
exit
vlan 30
name Supervision
exit
vlan 40
name Tests
exit
interface vlan 1
no shutdown
exit
interface vlan 10
no shutdown
exit
interface vlan 20
no shutdown
exit
interface vlan 30
no shutdown
exit
interface vlan 40
no shutdown
end
write memory
Mise en place des ports access Switch - PC
À faire sur tous les Switchs sauf S5 en adaptant le port et la vlan
Mise en place du port trunk entre S5 et R1 (le routeur)
(Petit oubli) On rajoute le nonegotiate :
Mise en place des LAGs
Switch 1
enable
conf t
interface range Fa0/2 - 4
channel-group 1 mode active
exit
interface range Fa0/5 - 7
channel-group 2 mode active
exit
interface port-channel 1
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan 1,10,20,30,40
no shutdown
exit
interface port-channel 2
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan 1,10,20,30,40
no shutdown
exit
show interfaces Port-channel [1,2] ! Pour contrôler
show interfaces trunk ! Pour contrôler
show etherchannel summary ! Pour contrôler
end
write memory
Création du LAG en LACP actif
Il faut faire pareil sur S4 (le switch de l'autre côté des ports concernés) du coup aussi pour que ça fonctionne
Configuration du trunk sur les LAGs
(Petit oubli) On rajoute le nonegotiate :
Ensuite il faut recommencer ces deux étapes (création du LAG et mise en place du trunk), sur tous les switchs en adaptant bien sûr les ports et en faisant bien attention de respecter les numéros de channel-group
Vérification du LAG et du trunk dessus
Switch 2
enable
conf t
interface range Fa0/2 - 4
channel-group 3 mode active
exit
interface range Fa0/5 - 7
channel-group 2 mode active
exit
interface range Fa0/8 - 10
channel-group 1 mode active
exit
interface port-channel 1
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan 1,10,20,30,40
no shutdown
exit
interface port-channel 2
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan 1,10,20,30,40
no shutdown
exit
interface port-channel 3
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan 1,10,20,30,40
no shutdown
exit
show interfaces Port-channel [1,2,3]
show interfaces trunk
show etherchannel summary
end
write memory
Switch 3
enable
conf t
interface range Fa0/5 - 7
channel-group 2 mode active
exit
interface range Fa0/8 - 10
channel-group 1 mode active
exit
interface range Fa0/11 - 13
channel-group 4 mode active
exit
interface port-channel 1
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan 1,10,20,30,40
no shutdown
exit
interface port-channel 2
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan 1,10,20,30,40
no shutdown
exit
interface port-channel 3
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan 1,10,20,30,40
no shutdown
exit
show interfaces Port-channel [1,2,3]
show interfaces trunk
show etherchannel summary
end
write memory
Switch 4
enable
conf t
interface range Fa0/2 - 4
channel-group 1 mode active
exit
interface range Fa0/5 - 7
channel-group 2 mode active
exit
interface port-channel 1
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan 1,10,20,30,40
no shutdown
exit
interface port-channel 2
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan 1,10,20,30,40
no shutdown
exit
show interfaces Port-channel [1,2,3]
show interfaces trunk
show etherchannel summary
end
write memory
Switch 5
enable
conf t
interface range Fa0/2 - 4
channel-group 3 mode active
exit
interface range Fa0/11 - 13
channel-group 4 mode active
exit
interface port-channel 1
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan 1,10,20,30,40
no shutdown
exit
interface port-channel 2
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan 1,10,20,30,40
no shutdown
exit
show interfaces Port-channel [1,2,3]
show interfaces trunk
show etherchannel summary
end
write memory
Mise en place du routage inter-vlan
Routeur
enable
conf t
interface Gig0/0/0
no shutdown
exit
interface Gig0/0/0.1
encapsulation dot1Q 1 native
ip address 176.16.1.254 255.255.255.0
no shutdown
exit
interface Gig0/0/0.10
encapsulation dot1Q 10
ip address 176.16.10.254 255.255.255.0
no shutdown
exit
interface Gig0/0/0.20
encapsulation dot1Q 20
ip address 176.16.20.254 255.255.255.0
no shutdown
exit
interface Gig0/0/0.30
encapsulation dot1Q 30
ip address 176.16.30.254 255.255.255.0
no shutdown
exit
interface Gig0/0/0.40
encapsulation dot1Q 40
ip address 176.16.40.254 255.255.255.0
no shutdown
end
write memory
Interface physique
Interfaces virtuelles
Depuis PC_OSD (vlan 10) :
Puis on fait ça pour toutes les autres VLAN
Sécurisation et accès à distance sur chaque appareil
BPDU Guard
Sur les ports des switchs qui sont connectés aux pc/routeur on active le BPDU guard
enable
conf t
interface Fa0/1
spanning-tree bpduguard enable
end
write memory
Sécurisation du port console
enable
conf t
line console 0
password root
login
exit
service password-encryption
end
write memory
Parce que c'est un exercice on va mettre le même mot de passe partout pour se simplifier la vie, bien sûr en vrai on mettrait des mots de passes forts et différents
Le service password-encryption servira à empêcher que le mot de passe soit accessible en clair dans la configuration
On fait la même chose sur tous les switch et routeur
Activation à distance (ssh)
enable
conf t
ip domain-name fuckssh.com
username ssh secret root
crypto key generate rsa general-keys modulus 2048
line vty 0 15
transport input ssh
login local
exit
ip ssh version 2
interface vlan 1
ip address 176.16.1.1 255.255.255.0
exit
ip default-gateway 176.16.1.254
end
write memory
Le code est adapté pour chaque Switch, donc l'adresse IP sera 176.16.1.[1-5]
On oublie bien sûr pas d'ajouter une ip au switch dans le vlan 1 pour pouvoir s'y connecter ainsi que l'ip default-gateway
On fait la même chose sur tous les switch et routeur
Sécurisation du mode enable
enable
conf t
enable secret root
end
write memory
Vérification accès à distance
MOTD + Sécurisation des interfaces inactives
enable
conf t
banner motd # Personnel autorise seulement #
end
write memory
On fait la même chose sur tous les switch et routeur
Puis on fait la sécurisation des interfaces inactives en les éteignant et en les mettant sur un vlan 44 créé exprès pour ça
Switch 1
enable
conf t
interface range Gig0/1 - 2
switchport mode access
switchport access vlan 44
shutdown
exit
interface range Fa0/8 - 24
switchport mode access
switchport access vlan 44
shutdown
end
write memory
Switch 2
enable
conf t
interface range Gig0/1 - 2
switchport mode access
switchport access vlan 44
shutdown
exit
interface range Fa0/11 - 24
switchport mode access
switchport access vlan 44
shutdown
end
write memory
Switch 3
enable
conf t
interface range Gig0/1 - 2
switchport mode access
switchport access vlan 44
shutdown
exit
interface range Fa0/2 - 4
switchport mode access
switchport access vlan 44
shutdown
exit
interface range Fa0/14 - 24
switchport mode access
switchport access vlan 44
shutdown
end
write memory
Switch 4
enable
conf t
interface range Gig0/1 - 2
switchport mode access
switchport access vlan 44
shutdown
exit
interface range Fa0/8 - 24
switchport mode access
switchport access vlan 44
shutdown
end
write memory
Switch 5
enable
conf t
interface range Gig0/1 - 2
switchport mode access
switchport access vlan 44
shutdown
exit
interface range Fa0/5 - 10
switchport mode access
switchport access vlan 44
shutdown
exit
interface range Fa0/14 - 24
switchport mode access
switchport access vlan 44
shutdown
end
write memory
Router
enable
conf t
interface range Gig0/0/1 - 2
shutdown
end
write memory
Mise en place des ACLs
Pour les ACLs on a décidé deux faire deux listes, une spécifiquement à l'entrée de la gateway du vlan 10 sur le routeur qui bloque uniquement les ports utilisés par les OSD avec les protocoles CEPH
Et une deuxième à l'entrée de la gateway du vlan 20 sur le routeur pour bloquer les ports utilisés par le monitor / manager de la même façon
On bloque donc les paquets qui viennent de ces deux vlan sur les ports utilisés par CEPH et qui sont en destination du réseau Tests (vlan 40)
Tout le reste du traffic est permis entre tous les vlans définis (icmp / ip, etc...)
enable
conf t
ip access-list extended CEPH_EXCLUDE_TESTS_VLAN10
deny tcp 176.16.10.0 0.0.0.255 176.16.40.0 0.0.0.255 range 6800 7300
permit icmp any any
permit ip any any
exit
ip access-list extended CEPH_EXCLUDE_TESTS_VLAN20
deny tcp 176.16.20.0 0.0.0.255 176.16.40.0 0.0.0.255 range 6800 7300
deny tcp 176.16.20.0 0.0.0.255 176.16.40.0 0.0.0.255 eq 3300
deny tcp 176.16.20.0 0.0.0.255 176.16.40.0 0.0.0.255 eq 6789
permit icmp any any
permit ip any any
exit
interface Gig0/0/0.10
ip access-group CEPH_EXCLUDE_TESTS_VLAN10 in
exit
interface Gig0/0/0.20
ip access-group CEPH_EXCLUDE_TESTS_VLAN20 in
end
write memory
FIN
Ps : moins de 20/20 on débarque chez toi Cédric (dans minecraft)