enable disable > passer/quitter mode execution privilegie
(#)
configure terminal > mode de configuration global (config)
end > retour mode execution privilegié
gras > commande
italique > argument
[] > élements facultatif
{} > élements requis
[{|}] > choix obligatoire dans élement facultatif
CTRL+D efface caractère curseur
CTRL+K efface caractère curseur jusqu'à la fin
CTRL+X/U efface caractère curseur jusqu'au début
CTRL+W efface mot à gauche curseur
CTRL+A remène curseur début de ligne
CTRL+E déplace curseur fin de ligne
ECHAP+D efface caractère curseur jusqu'à la fin du mot
ECHAP+B déplace curseur d'un mot à gauche
ECHAP+F déplace curseur d'un mot à droite
CTRL+Z retour mode execution privilegié
CTRL+MAJ+6 interruption
? > aideenable secret "mdp" > à faire dans mode de config global pour securiser execution privilegiée
hostname "nom" en config globale
line console 0 > mode de config de la console de ligne (0 par défaut)
line vty 0 15 > mode de config de terminal virtuel (vty) 16 lignes dispo
password "mdp" > sécurise execution utilisateur (à faire en mode config de la console ou vty)
login > active l'accès utilisateur (mode config de la console ou vty)
service password-encryption > chiffre mdp (dans mode de config global)
banner motd #texte affiché sur la bannière d'accueil#Dans mode exec privilegié:
startup-config > stockée dans NVRAM (config au redémarrage)
running-config > stocskée dans RAM
copy running-config startup-config > enregistre config en cours
reload > revient a la config startup (! ça entraine un passage
hors-ligne)
erase startup-config > revient a la config vide d’origine au reload
ou redemarrage
dir flash ou nvram > voir les fichiers
Un vlan 1 est une SVI créée par défaut, ne peut être supprimée
interface vlan 1 > ouvre SVI
ip address “IPv4” “mask” > configure ip/masque
ip default-gateway “pass” > passerelle
no shutdown > active la SVI
communication: source + canal + destination
codage: convertir dans un format adapté à la transmission
decodage: recevoir données transmises et les convertir en message
lisible
synchronisation: controle de flux + delai de réponse + méthode
d’accès
monodiffusion: 1 destinataire
multidiffusion: plusieurs destinataires
diffusion: tous les destinataires
protocole: fournit règles pour qu’une communication se produise
modèle en couche:
+aide conception de protocole
+favorise compétition
+empêche changement de technologie
+fournit langage commun
APPLICATION// http, ftp, smtp, dhcp, dns
TRANSPORT// TCP/UDP
INTERNET// IP, NAT, ICMP (erreur IP), protocole de routage
ACCES RESEAU// Ethernet, WLAN (wifi), ARP (résolution d’adresse)
7/ Application - application - protocole communication
6/ Présentation - application - representation commune des données
5/ Session - application - organise dialogue et échange données
4/ Transport - transport - segmente/transfère/réassemble
3/ Réseau - internet - échange d’élements de données entre dispositifs
identifiés
2/ Liaison de données - accès réseau - décrit méthode d’échange de trame
entre appareils d’un même support
1/ Physique - accès réseau - moyen pour activer la transmission de bit
vers appareils en réseau
PDU (Protocol Data Unit):
données > application
segment > transport
paquet (datagramme) > internet
trame > liaison de données
bit > physique
couche 4:
en-tête > port source + port destination
Port : 0 > 65535
couche 3: (adresses logiques)
en-tête > IP source + IP destination
adresse IPv4 = partie réseau + partie hôte
adresse IPv6 = préfixe + ID d’interface
IPv4 : 4 x octets
IPv6 : 8 x 4 caractères hexadécimaux
couche 2: (adresses pysiques)
en-tête > adresse physique destination + source
adresse physique du NIC (MAC): 6x2 caractères hexadécimaux
Si un message est envoyé sur un autre réseau, l’adresse MAC destination
sera celle de la passerelle
Fournit les moyens de transporter les bits qui composent une trame sur le support réseau
NICs - carte d’interface réseau:
+Ethernet - filaire
+WLAN - wi-fi
3 domaines: composants physiques, codage (convertit un flux de bit de
données en un code pre-defini), signalisation
wifi= micro-ondes, fibre=pulsion, cuivre=signal elec
bande passante : capa d’un support à transferer de la donnée
latence: temps de transit debit: xfert de bits - dépend de quantité/type
trafic et nbre utilisateurs
debit applicatif: transfert de données utilisables
interférences:
annulation: les fils d’une paire ont un champs EM oppposé > pas de
EMI ou RFI
varation du nombre de torsades de chaque paire
prise RJ45 en final (une bonne prise = fils détorsadés pas trop long,
gaine sertie, fils non dénudés)
cable droit: hote/commut ou switch/routeur
cable croise: pour periphériques similaire (peu utilisés)
cable rollover: spec cisco port série station de travail vers port
console routeur
terminaisons T568A et T568B
SMF single mode > un petit noyau et un emetteur laser + très
longue portée - couteux
MMF multimode > large noyau et emmeteur led, multi incidence + peu
couteux - attenuation 550m
domaine d’application:
type de connecteurs:
ST (straight-tip): ancien avec twistlock
SC (subscriber connector): carré standard, push-pull
LC (lucent connector): petit SC, utilisé en local
LC bidirectionnel multimode: LC double
nouvelles normes BX permets d’utiliser une fibre en duplex avec des
longueurs d’ondes différentes
cable jaune = monomode, orange = multimode
Fibre vs Cuivre:
fibre: + de BP, + distance, - risque elec, - pertubation, + cout, +
technicité, + précautions
limites: zone de couverture, interférences, sécurité (tous peuvent acceder à la transmission), support partagé (+ utilisateur > - BP dispo)
différents type de normes IEEE:
Wi-fi, Bluetooth, Wimax (topologie point-à-multipoint, large bande),
Zigbee (faible débit, portée et puissance, iot)
Réseau sans-fil = point d’accès + adaptateurs de carte réseau sans fil par utilisateur
position = exposant d’un système numérique
valeur de position = num^position
Assure les services:
noeud= périphérique qui peut recevoir / créer / stocker /transformer / données
deux sous couches LAN/MAN:
LLC: logical link control - communique entre le logiciel réseau des
couches supérieures et le matériel des couches inférieures
controle d’accès au support (MAC) - implemente cette sous couche dans le
matériel / fournit la méthode pour obtenir la trame en et hors du
support
LLC = extrait données du protocole réseau , ajoute info couche 2 MAC = encapsulation
Organismes normes : IEEE, UIT, ISO, ANSI
topologie physique : connexions physiques des périphériques - en
étoile ou point à point
topologie logique : facon dont un réseau transfère les trames -
identifie connexions virtuelles avec interfaces de périphériques et
adressages IP
topologies WAN:
point à point, hub and spoke (un site central connecte tout le monde),
et maillée
topologies LAN:
souvent etoile ou étoile étendue, des topologies anciennes existent
comme en bus ou anneau
mode semi-duplex: WLAN et topo bus
mode duplex intégral: commutateur Ethernet
méthode de contrôle d’accès pour connexion semi-duplex:
gestion des conflits > noeuds en compétition procédure en cas de
collision CSMA/CD (ethernet ancien) ou CSMA/CA (WLAN)
accès contrôlé (ancien) > chaque noeud utilise le support à tour de
rôle (ARCnet, Token Ring)
Remarque: Ethernet en duplex donc pas de contrôle d’accès
CSMA/CD (carrier sense multiple access / collision detection) :
Ethernet ancien (hub)
pas d’émisssion tant qu’un noeud émet, collision detectée via amplitude
du signal
CSMA/CA (collision avoidance) : WLAN
pas de détection de collision, mais dès qu’un noeud émet, il envoit le
temps de transmission prévu pour faire patienter les autres
trame= en-tête + données + queue de bande
Pas de structure de trame unique (depend enviro + qté de données de
contrôle)
En tete : début trame + adressage + type + contrôle
Queue : détection erreur + fin de trame
adressage: noeud destination + source
type: protocole de couche 3 dans les données
contrôle: identifie services de contrôle de flux spéciaux (exemple
QOS)
detection erreur : contrôle par redonce cyclique (CRC) pour noeud de
transmission placé dans le FCS (frame check sequence)
adresse physiques non hiérarchiques, utilisées pour communiquer au sein d’un même média partagé sur un même réseau
Ethernet s’est imposé pour remplacer les protocoles WAN dans réseaux
LAN : PPP, HDLC, Frame Relay, ATM, X.25
selon besoin (notamment longue distance) les protocoles 802.11 (wifi),
PPP, HDLC et Frame Realy sont utilisés
Norme Ethernet de 10Mbits à 100Gbits
Sous couche LLC IEEE 802.2 puis sous couche MAC en IEEE 802.3 (Ethernet)
802.11 (WLAN) 802.15 (WPAN: bluetooth, RFID…)
encapsulation des données = trame + adressage internet + detection des
erreurs
Taille trame 64 à 1518 octets
Si + 1500 bit = trames jumbo ou baby giant frame
Si hors format, le périphérique abandonne la trame (souvent fruit de
collision ou autres signaux rejetés)
En détail:
48 bit - 2x6 caractères hexadécimaux - 6 octets
Pour exprimer en caractères hexa : 0xNOMBRE
Une adresse MAC est rémanente (BIA)
3 premiers octets liés à l’OUI du fournisseur, obtenu auprès de
l’IEEE
Au démarrage: copie de l’adresse de la ROM vers RAM
Monodiffusion : processus ARP pour adresser à une adresse connue
Diffusion (broadcast) : adresse FF(x6) + IP .255
Multi-diffusion : adresse 01-00-5E (IPv4) 33-33 (IPv6) ou d’autres
spécifiques. Associés à des plages d’adresse de multidiffusion (IPv4:
224-239, IPv6: FF00::/8)
Un commutateur (de niveau 2) utilise les adresse mac pour gérer
transferts, il doit par conséquent entretenir une table
table = CAM (content-adressable memory)
phase apprentissage (quel adresse mac sur quel port) puis
transmission
apprentissage = ajout adresse MAC à port et dès qu’elle reçoir une trame
remise à zéro du compteur d’obsolescence (5minutes). Si chgt de port,
nouvelle entrée qui remplace
si adresse MAC destination inconnue de la table, le commutateur envoie à
tous sauf port entrée (idem en multi/broadcast)
si adresse connue, le commutateur envoie au port seul
Nota un port peut avoir plusieurs adresses MAC (si commut en
série par exemple)
Si l’adresse IP de destination est en dehors du réseau, elle est
transférée à l’adresse MAC de la passerelle (souvent le routeur)
store-and-forward: attend reception complète,
vérifie CRC, puis process de transmission (+: ne transmet pas trames
corrompues, permet de faire QOS) (intégrité ++)
cut-through: commence processus de transmission dès
lecture de l’adresse MAC destination (pas de controle, met juste ce
qu’il faut de la trame en tampon pour lire MAC destination) (vitesse
++)
commutation fast-forward (classique, plus rapide): transmission
directement après lecture de l’adresse de destination fragment-free
(compromis): stoke 64 premiers octets (qui contiennent la plupart des
erreurs et collision), fait un rapide contrôle d’erreur puis
retransmet
Mise en tampon pour stocker avant de transmettre ou si un port est
congetsionné par exemple
Memory buffering methods:
Entre deux noeuds Ethernet, une négociation automatique (la plupart
des appareil le font) est effectuée pour convenir du mode de
transmission (duplex intégral ou semi duplex) et du débit en fonction
des capacités de chacun
la négociation par défaut est prévue sur le mode duplex + débit max. Le
conflit du mode duplex est une des causes courrantes de baisse de perf
(arrive lors d’une reinit des ports, reconfig d’un seul côté). Bonne
pratique : configurer les liens entre commut en duplex intégral
Connexion entre appareil: croisé identique et droit différents
routeur-commut-hote (exception: hote vers routeur = droit)
il existe maintenant la commutation automatique d’inerface (auto-MDIX)
qui permet de s’affranchir du type de cable
présent à partir cisco IOS 12.2(18)SE peut être désactivée et réactivée
avec mdix auto
4 opérations de base:
Les protocoles de couche réseau spécifient la structure et le traitement des paquets utilisés pour transférer des données d’un hôte à l’autre.
paquet = en-tête IP + PDU transport (données)
L’en-tête est examiné par les périphérique de couche 3, il reste
inchangé sauf s’il rencontre un NAT. Dans tous les cas, les données sont
inchangées
Protocole IP: conçu uniquement pour transférer donnéees sans surcharger réseau. Pas de gestion de flux ni suivi (effectué principalement en couche 4).
Caractéristiques IP:
octet 1: version + longueur en-tête (IHL)
octet 2: DS (DiffServ), détermine priorité - DSCP (6b) + ECN (2b)
octet 3-4: longueur total paquet
octet 5-8: identification + indicateur + décalage du fragment, permet de
garder trace fragmentation
octet 9: durée de vie (TTL), fait -1 à chaque passage dans un
routeur
octet 10: protocole de niveau suivant: ICMP(1), TCP(6), UDP(17)
octet 11-12: somme de ctl d’en-tête
octet 13-16: IP source
octet 17-20: IP destination
Limites IPv4:
Améliorations IPV6:
octet 1-4: version ( 4bits 0110 pour IPv6) + classe de trafic
(équivaut service différenciés DS, 8 bits ) + Etiquetage de flux (20bits
- même étiquette = même traitement par routeur)
octet 5-6: longueur des données utiles (sans en-tête)
octet 7: en-tête suivant, indique type de données (protocole de la
couche transport)
octet 8: limite de saut, remplace TTL. Des que 0, paquet non transmit et
ICMPv6 time exceeded transmis à l’hôte
octet 9-24: IP source
octet 25-40: IP destination
Nota: pas de somme de contrôle en IPv6 (qui devait être recalculée dès que le ttl diminuait). Des en-têtes d’extension peuvent être placés entre l’en-tête et les données pour fragmentation, sécurité…
Les paquets sont créés sur l’hôte puis dirigés vers l’hôte de destination à l’aide de la table de routage.
Il peut s’adresser à lui-même (127.0.0.1 ou ::1, loopback pour tester la pile TCP/IP), un hôte local (sur même réseau, ayant la même adresse réseau), un hôte distant (pas la même adresse réseau)
Pour déterminer si l’hôte est distant ou local:
passerelle: dispositif de niveau 3 qui peut acheminer vers d’autres réseau. Il possède une IP locale, peut accepter des données dans le réseau local et les transférer hors, achemine le trafic vers d’autres réseaux
Dès qu’une passerelle est configurée, une route est créée dans la
table de routage.
Sur windows, afficher table avec route print
ou netstat -r
netstat -r affiche la liste des interfaces, la table IPv4, la table
IPv6
Un routeur, pour déterminer où faire suivre un paquet, utilise
également une table de routage. Elle contient une liste de toutes les
adresses réseaux connues (préfixes) + où transférer le paquet = entrées
d’itinéraires ou route.
Le routeur utilisera la meilleure entrée (la + longue).
Trois types d’entrées:
Leur apprentissage est soit manuel (entrée manuellement et statique), soit dynamique (apprentissage auto en utlisant un protocole de routage dynamique).
Statique: inclut adresse du réseau distant et IP du
routeur de saut suivant
pas de màj automatique si changement de topologie
entrée manuelle
adapté petit réseau
couramment utilisé en dynamique pour configurer la route par défaut
Dynamique: protocoles OSPF et EIGRP (enhanced
interior gateway routing protocol).
Déroulé: découvre réseau distant, assure actualisation info de routage,
choisit le meilleur chemin, capacité à trouver un meilleur chemin si
l’actuel est plus disponible.
Souvent combinaison des deux.
Pour le choix du routage, plus la métrique est faible, meilleure est la route.
Pour afficher la table de routage IPv4 sur CISCO utiliser show ip route
L adresse IP de l’interface locale directement connectée
C réseau directement connecté
S route statqique configurée manuellement
O OSPF
D EIGRP
La résolution devient critique si IP destination mais MAC inconnue.
même réseau: IP/MAC source/destination des hôtes
réseau distant: IP source/destination des hôtes. Les adresses MAC sont
changées de tronçon en tronçon avec les adresses des passerelles par
défaut
L’association IP/MAC se fait avec le protocole ARP pour IPv4 et ICMPv6
Neighbor Discovery (ND ou NDP) pour IPv6
Fonctions: résolution d’adresse IPv4 en MAC + tenir à jour mappage
table ARP stockée dans RAM
chaque entrée relie une IPv4 à une MAC, relation = mappage
Si pas d’entrée d’une adresse IP locale dans la table, l’hôte envoie
requête ARP
Message ARP: encapsulés dans trame Ethernet avec:
adresse MAC de diffusion (question pour tout le LAN) et expéditeur
(réponse)
adresse MAC source
type : champ égal à 0x806
Seul la cible répond.
Si pas de réponse, le paquet à transmettre est abandonné.
Les entrées sont horodatées et supprimées à échéance (sauf les entrées
statiques manuelles)
Le processus ARP peut également être utilisé pour déterminer l’adresse
MAC de la passerelle.
suppression: sur windows 15-45 sec en général
Accès ARP:
Si un grand nombre de machines sont mises sous tension
simultanéments, perfs réduites sur court laps de temps.
Un empoisonnement du réseau est possible par l’usurpation d’identité
ARP. Les commutateurs d’entreprise limitent ce problème à l’aide
d’inspection ARP dynamiques.
Cinq types:
messages de sollicition et annonce de voisin
(périphérique-périphériques)
messages de sollicition et annonce de routeur (périphérique-routeurs,
SLAAC)
redirection de message (meilleur selection de tronçon suivant)
Les messages de sollicition sont envoyés à l’aide d’adresse de multidiffusion Ethernet et IPv6 spéciales.
Configurer le nom de l’appareil
Router(config)# hostname hostname
Sécuriser le mode d’exécution privilégié
Router(config)# enable secret password
Sécuriser le mode d’exécution utilisateur
Router(config)# line console 0
Router(config-line)# password password
Router(config-line)# login
Sécuriser et activer l’accès Telnet/SSH à
distance
Router(config-line)# line vty 0 4
Router(config-line)# password password
Router(config-line)# login
Router(config-line)# transport input { ssh | telnet}
Sécuriser tous les mots de passe dans le fichier de
configuration
Router(config-line)# exit
Router(config)# service password-encryption
Fournir un avertissement légal
Router(config)# banner motd delimiter message delimiter
Enregistrer la configuration
Router(config)# end
Router# copy running-config startup-config
Router(config)# interface type-and-number
Router(config-if)# description description-text // 240 cara max,
facultatif
Router(config-if)# ip address ipv4-address subnet-mask
Router(config-if)# ipv6 address ipv6-address/prefix-length
Router(config-if)# no shutdown //active interface
vérifier configuration: show ip interface brief
show:
ip (ou ipv6) interface brief : adresses IP + état
ip (ou ipv6) route : coutenu table routage
interfaces : des stats des interfaces (IPv4 uniquement)
ip (ou ipv6) interfaces : stats ipv4 (ipv6) pour toutes les interfaces
du routeur
accès à distance chiffré: SSH
accès hors bande preféré: AUX
accès à distance via connexion commutée: Telnet
accès à distance non sécurisé: FTP
Au démarrage le switch va: executer POST et test bootstrap, rechercher et charger Cisco OS, rechercher et charger fichier de config initial
Si plusieurs routeurs dans un LAN, un routeur doit être configuré
comme passerelle par défaut.
Un commutateur n’a pas besoin d’IP pour fonctionner. Pour le gérer, une
SVI doit être configuré avec une IPv4 + masque du LAN. Il doit également
avoir une passerelle par défaut. La commande est ip
default-gateway.
IPv4= 32bits = partie réseaux + partie hôte, délimitée par le
masque
Identification hote/réseau = AND (Et logique adresse
hôte + masque = partie réseau)
Longueur de préfixe notée /x. x= nbre de bits de la partie hôte
Adresse de diffusion = partie réseaux + 11111… (diffusion dirigée pour
un hôte distant)
Adresse multidiffusion = 224.0.0.0 à 239.255.255.255
Le protocole OSPF pour communiquer entre routeur utilisent l’adresse
224.0.0.5
IP privées:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Les paquets IP avec une adresse source privée doivent être converti
avec une IP publique avant que le FAI puisse le transferer (NAT).
Si une organisation a des périphériques doté d’adresses publiques
accessibles depuis internet = DMZ
IP reservées bouclage: 127.0.0.0/8
Classes (abandonné maintenant):
Adresses link-local: 169.254.0.0/16
Adresse TEST-NET: 192.0.2.0/24
L’IANA gère les blocs d’adresse. Les organismes d’enregistrement
locaux (RIR) attribue les IPs aux FAI.
RIR: AfriNIC - APNIC (Asie/Pac) - ARIN (Amérique Nord) - LACNIC
(Amérique Sud) - RIPE NCC (EU-RU-Asie/ouest)
Lorsqu’il reçoit un message de diffusion, un routeur ne le transfère
pas vers ses autres interfaces. Chaque interface est connectée à un
domaine de diffusion.
Si ce domaine de diffusion trop grand, les messages de diffusion
Ethernet (ARP etc.) peuvent saturer le LAN.
Cela entraîne des opérations de périphérique et réseau lentes.
Un sous réseau est donc crée à partir d’une adresse hôte avec un masque plus grand.
avantage segmentation: réduit trafic global et
amérliore perfs
permete de mettre en oeuvre des politiques de sécurités
réduit le nombre d’utilisateurs affectés par des erreurs / problèmes
trois types: par rapport au lieu, au groupe ou fonction, ou au type d’appareil
On utilise généralement /8, /16, /24. La dernière est la plus
utilisée car elle permet de définir un nombre raisonnable d’hôte.
Pour créer N sous-réseaux, je doit dont emprunter n bits à la partie tel
que 2^n -2 > N.
Etant donné le nombre limité d’IPv4, les DMZ doivent être réduite au plus juste dans des sous-réseaux taillés au juste besoin. C’est le masque de sous reseau à longueur variable (VLSM).
Le sous réseautage classique sépare en réseaux de taille égales. Le
VLSM créé des réseaux adaptés.
Pour faire cela, un des sous-réseaux est sous-divisé.
Les clients d’utilisateurs finaux - attribué par DHCP
Serveurs et périphériques - IP statiques avec numérotation
cohérente
Serveurs accessibles à partir d’Internet - IP publique
Les périphériques intermédiaires - IP pour gestion, statiques et
prévisibles
Passerelle - à chaque interface, souvent la plus petite ou plus grande
du réseau
Nécessité IPv6: 4,3 mds d’adresse IPV4, NAT endommage applis et p2p,
besoin d’internet des objets.
v4 et v6 coexistent pour encore quelques années, pas de date de
transition fixe.
Coexistence permise par:
double pile (execution simultanée des deux protocoles, IPv6 natif)
tunneling (encapsulation)
traduction (NAT64)
format privilégié: 8 hextets (4 caractères hexadécimaux ou
16bits)
raccourcis:
0 du début omis dans hextets
un enchaînement d’hextexts égaaux à 0 remplacés par :: (1 seule
fois)
monodiffusion, multidiffusion et anycast (monodiffusion attribuée à
plusieurs périphériques)
La partie réseau (longueur du préfixe) est entre /0 et /128. La longueur
recommandée est /64 parce que cela facilite la création/gestion sous
réseaux et c’est utilisé par SLAAC (configuration auto d’adresse).
Les périphériques IPv6 ont en général deux adresses:
Global Unicast Adress (GUA) uniques et routables sur
internet
Link-Local Adress requis sur chaque périphériques.
utilisées pour communiquement uniquement avec d’autres équipements sur
une même liaison. Les routeurs ne les transmette pas.
Il existe des adresses locales uniques. Peu implémenté.
L’ICANN (organisme de l’IANA) attribue des blocs aux RIR.
GUA = prefixe de routage global (48b) + ID de sous-réseau (16b) + ID
d’interface (64b)
prefixe de routage /48: attribué à un client/site par FAI (certaines
organisation ont /32)
ID de sous-réseau: utilisé par les entreprise pour identifier ses
sous-réseaux
ID interface: pour hôte l’adresse tout 1 peut être utilisé car pas de
broadcast. Tout 0 sert d’anycast au routeur.
Première adresse attribuée commence par 001 ou 2000. L’adresse 2001:0DB8::/32 est réservée pour documentation/exemple
obligatoire. Plage fe80::/10
L’adresse LLA du routeur est utilisée comme passerelle
Les routeurs utilisent les LLA pour les mises à jour de routage
Deux moyens de fournir LLA:
statique - manuellement
dynamique - valeur générée aléatoirement ou méthode extended unique
identifier (adresse MAC + bits)
La plupart des commandes sont identiques à celle de l’IPv4 en
remplaçant ip par ipv6
GUA: ipv6 address adress/longueur prefixe Sur
un client similaire à IPv4 mais peu recommandé. Plutôt en dynamique avec
SLAAC ou DHCPv6
LLA: ipv6 address address
link-local Sur routeur, configurer LLA manuellement
pour identifier les routeurs (en faisant terminer les adresses par 1,
puis 2 etc…)
La même LLA peut être configuré sur chaque lien. Cependant, on en
utilise des différentes pour différencier et reconnaitre les
interfaces.
Protocole ICMPv6 (internet control message protocol)
message RS (router sollicitation) et RA (router advertising)
RA: envoyé toutes les 200s par routeur
RS: envoyé par un hôte pour avoir un RA
Pour faire cela, le routeur doit être activé par la commande (de config
globale) ipv6 unicast-routing
Un RA contient:
préfixe de réseau et longueur
adresse de la passerelle
adresses DNS et le nom de dommaine
3 méthodes de RA possible:
Dans les cas SLAAC, le périphérique se créé sa propre IP.
SLAAC
permet de créer une GUA sans DHCP. Le client utilise le préfixe obtenu
dans le RA plus la méthode EUI-64 (ou autre selon OS) pour génerer sa
GUA.
SLAAC avec DHCPv6 sans état l’hôte génère GUA comme
méthode SLAAC
utilise l’adresse link-local du routeur comme passerelle par
défaut
utilise un serveur DHCPv6 pour récupérer DNS et nom de domaine
DHCPv6 avec état
l’hôte utilise l’adresse link-local du routeur comme passerelle par
défaut
utilise un serveur DHCPv6 pour récupérer, une GUA, DNS et nom de domaine
qui tient à jour la liste des attributions
nota: le DHCPv6 ne fournit pas de passerelle par défaut
Crée la partie ID d’interface comme suit:
EUI-64: OUI (MAC) + FFFE + Id périphérique (MAC) - 64 bits
Depuis windows vista, générée aléatoirement.
Il peut utiliser le processus de detection d’adresse dupliquée (DAD)
ppour s’assurer de son unicité. (similaire à requête ARP pour sa propre
adresse).
FE80::/10 + ID d’interface (généré aléatoirement ou EUI-64)
Sur routeur CISCO, une adresse link-local IPv6 est créée (avec
EUI-64) dès qu’une adresse de diffusion globale est attribuée à
l’interface.
Cependant privilégier une adresse statique plus simple à identifier.
Pour vérifier la configuration des interfaces:
show ipv6 interface brief: affiche MAC, LLA, et up/up
(état interface couche 1 et 2) (nota: l’interface série prend
l’adresse MAC de la première interface réseau)
show ipv6 route table de routage.
C: réseau connecté directement
L: route locale
ping
Les adresses de multidiffusion IPv6 ont le préfixe FF00::/8.
Il existe deux types d’adresses de multidiffusion IPv6:
Les adresses de multidiffusion attribuées
réservées à des groupes ou périphériques prédéfinis
En général: ff02::1 groupe de multidiffusion à tous les noeuds - utilisé
par RA, reçu et traité par tous les périphériques sur la liaison
ff02::2 groupe de multidiffusion à tous les routeurs - utilisés par RS,
ipv6 unicast-routing permet d’en devenir membre
Les adresses de multidiffusion de noeud
sollicité
Comparable à une adresse de multidiffusion à tous les noeuds.
Mappée à une adresse de multidiffusion Ethernet spéciale
Permet de filtrer au niveau des cartes Ethernet, sans envoyer au
processus IPv6.
Adresses Anycast
Il existe des adresses de mon-diffusion attribuée à plusieurs
périphériques.
L’ID de sous-réseau (16-bits en général), permet 6536 sous-réseaux
avec 18 quintillons d’adresse (64bits d’ID d’interface)
Nota: La segmentation dans l’ID d’interface est possible mais
rarement nécessaire.
Messages d’erreur et d’information de la suite TCP/IP.
ICMP echo request:
Si hôte disponible, il envoi une réponse d’echo.
commande ping
commande tracert pour teste chemin + temps de trajet
Destination ou service inaccessible IPv4:
0 réseau inaccessible
1 hôte inaccessible
2 protocole inaccessible
3 port inaccessible
Destination ou service inaccessible IPv4:
0 pas de route vers destination
1 commutation interdite
2 au dela de portée
3 adresse inaccessible
4 port inaccessible
Délai dépassé si TTL à 0 en IPv4
si hop limit IPv6 (HLI) à O
Messages d’information et d’erreur supplémentaires
ICMPv6
L’IPv6 a en plus les message de ND. RS, RA, NS, NA (neighbor/router,
sollicitation/advertising)
traceroute (tracert) determine chemin et temps de
réponse pour identifier équipement deffectueux sur trajet.
La commande traceroute utilise une fonction du champ TTL du protocole
IPv4 et le champ de limite de saut du protocole IPv6 dans les en-têtes
de couche 3, ainsi que le message ICMP de dépassement de délai.
Responsable des communications logiques entre les applications
executées sur les différents hôtes.
Deux protocoles: UDP (user datagramm protocol) et TCP (transmission
control protocol)
Responsabilités:
Les protocoles de transport spécifient comment transférer des messages entre les hôtes.
TCP: assure le contrôle de flux et fiabilité
numéroter et suivre segments
accuser la reception
retransmettre données non reconnues après un délai
données de séquence qui pourrait arriver dans le mauvais sens
envoyer données à un taux efficace
Afin de maintenir l’état d’une conversation, TCP établit une connexion entre expéditeur et destinataire - protocole connexion orientée
UDP: pas de contrôle de flux no fiabilité
en-tête plus simple, sans connexion
protocole de meilleur effort, par d’AR
Choix:
UDP: perte de données tolerée, retards inacceptables - VOIP, DNS…
TCP: toutes les données doivent arriver - bdd, navigateurs web, clients
de messagerie…
RFC793
En plus des fonctions de base le TCP:
Etablit une session
Garantit une livraison fiable
Fournit la livraison dans le même ordre
soutient le contrôle de flux
En-tête (20o):
| nom | taille | description |
|---|---|---|
| port source | 2o | appli source |
| port destination | 2o | appli destination |
| numero d’ordre | 4o | pour réassemblage données |
| numéro d’AR | 4o | indique que le prochain est octet est attendu |
| longueur d’en-tête | 4b | … |
| reservé | 6b | pour utilisation future |
| bits de contrôle | 6b | objet et fonction du segment |
| taille de fenêtre | 2o | nbre d’octets pouvant être accepté |
| somme de contrôle | 2o | … |
| urgent | 2o | indique si urgence |
applications adaptées: HTTP, FTP, SMTP, SSH
caractéristiques:
données reconstituées selon ordre de reception
segment perdus non renvoyés
pas de session
expéditeur non informé de la disponibilité des ressources
En-tête (8o):
| nom | taille | description |
|---|---|---|
| port source | 2o | appli source |
| port destination | 2o | appli destination |
| longueur d’en-tête | 2o | … |
| somme de contrôle | 2o | erreurs en-tête + données |
applications adaptées:
vidéo/multimédia en direct (VOIP streaming)
simple de demande et de réponse (DNS, DHCP)
gérant elle-même la fiabilité (SNMP, TFTP)
Associés à l’application d’origine. Plusieurs peuvent être utilisés en même temps
Port définis par IANA:
connus (0 à 1023): réservés aux services/communs populaire, permet
d’identifier rapidement
inscrits (1024 à 49151): attribués à des entités pour services
spécifiques (expl 1812, authentification CISCO radius)
privés/dynamiques: (ou éphémères), attribués dynamiquement par OS
lorsqu’une connexiojn à un service est initiée. Utilisés en port
source
socket = IP + numéro de port
netstat -n pour afficher connexions
établissement connexion:
client envoi SYN (seq=100, ctl=SYN)
serveur répond SYN, ACK (seq=300, ack=101, ctl=SYN, ACK)
client répond ACK (seq=301, ack=101, ctl=ACK)
fin connexion:
client envoi SYN
serveur répond ACK
serveur envoi FIN
client répond ACK
TCP est full-duplex, une connexion = deux sessions à sens
unique
L’établissement à trois voies permet de:
verifie présence du destinataire sur réseau
assure présence du service actif et requêtes acceptées
informe le destinataire su souhait d’établir une connexion
Le champ de bit de contrôle sert d’indicateur
URG, ACK, PSH (push), RST (reset), SYN, FIN
Chaque paquet a un numéro d’ordre (SEQ). Lors de la configuration initial de la session un numéro d’ordre initial (ISN) aléatoire est attribué. Les segments suivants incrémente ce nombre de 1 successivement.
Pour s’assurer de la bonne reception un ACK est envoyé contenant en
SEQ le premier octet et en ACK le prochain segment attendu.
Pour eviter de recevoir doublons (si seulement qqes paquets manquants),
SACK permet de préciser quels segments ont été reçus après le
manquant.
Windows size: détermine nombre de segments envoyés avant d’attendre un ACK (10000 par défaut). Elle est incrémentés de n lorsque dès reception du ACk de l’octet n.
Si encombrement, TCP utilise des mecanismes de minuteurs et algorithmes de gestions d’encombrement pour éviter de surcharger le réseau davantage avec des demandes de renvoi.
UDP réassemble dans l’ordre d’arrivée (qui peut être différent quand des chemins variés sont utilisés)
Application
Interface entre réseau et les applications qua l’on utilise, échange de
données entre programmes
DNS, HTTP, SMTP, POP, DHCP, FTP, IMAP
Presentation
mettre en forme données, compresser données, chiffrage données
MKV, MPEG, MOV, GIF, JPG, PNG
Session
créent et gèrent dialogue entre applications
Les protocoles de couche d’application TCP/IP spécifient les infos et le format de contrôle nécessaire.
Le modèle classique est client-serveur avec téléchargement de données ascendant et descendant.
Deux partie dans P2P: réseau et application
Dans un réseau, partage de ressources sans serveur dedié. Les
périphériques sont considérés comme égaux
Dans une application: un périphérique agit en tant que client et
serveur.
Certaines applis P2P sont basées sur Gnutella (les utilisateurs peuvent
partager des fichiers entiers avec d’autres utilisateurs). Les clients
utilisent des fichiers torrent indiquant les ordinateurs traceurs, qui
possède les fichiers etc.
BitTorrent permet de partager de nombreux fichiers entre eux.
URL et URI (Uniform Resource Identifier) sont les noms associés aux
adresses web.
4 étapes HTTP:
le navigateur interprète les trois parties protocole / nom du serveur /
fichier demandé
le navigateur vérifie avec du DNS pour convertir l’adresse en adresse
numérique pour se connecter au serveur. Initiation d’une requête GET et
demande le fichier.
le serveur envoie en réponse le code html
le navigateur déchiffre le code html et en forme la fenêtre
Trois types de messages: GET (obtenir des données), POST (télécharge
des fichiers de données), PUT (télécharge des ressources ou du
contenu)
Pour sécuriser, on utilise HTTPS (secure), qui fait pareil mais chiffré
avec le protocole SSL (secure socket layer)
Messagerie electronique: (trois protocoles)
SMTP (simple mail transfert) - client se connecte au port 25 d’un
serveur, établit connexion puis envoie. Mis en attente si pas de réponse
et renvoyé au client si non delivrable
POP (post office) - client se connecte au port TCP 110, télécharge le
message puis le supprime du serveur
IMAP (internet message access) - client se connecte à un serveur,
télécharge des copies. Les actions réalisées sur le client sont
dupliqués sur le serveur (réorganisation, suppression)
DNS
L’utilisateur saisit FQDN (fully qualified domain name)
Une requete DNS est envoyée au serveur DNS
Le serveur DNS cherche l’IP correspondante au FQDN
Le serveur DNS repond à la requete avec l’IP demandée
Le client requete le serveur avec l’IP
Un DNS stocke plusieurs type d’enregistrement:
A IPv4 NS serveur de nom autorisé
AAAA IPv6 MX un enregistrement d’échange de courrier electronique
Sur windows, le pc enregistre en mémoire les adresses: ipconfig /displaydns
format de messages:
question
reponse: enregistrements répondant à la question
autorité: enregistrements désignant une autorité
infos supplémentaires: enregistrements contenant des infos
supplémentaires
hiérarchie: domaines de premier niveau: .com .org .fr etc
domaine de niveau secondaire: cisco.com puis www.cisco.com ou
mail.cisco.com
Pour afficher le serveur DNS configuré par défaut sur la machine nslookup
DHCP
Dynamic Host Configuration
Automatisation de l’affection d’IPv4, de masque et de passerelle
Pour IPv6, DHCPv6 est similaire mais ne fournit pas de passerelle
Message: Client émets DHCPDISCOVER
tous les serveurs DHCP dispos réponde DHCPOFFER
client envoi DHCPREQUEST vers le serveur de son choix
serveur répond DHCPPACK, bail conclu
Pour IPv6 (SOLICIT, ADVERTISE, INFORMATION REQUEST, REPLY)
Lorsque la durée du bail expire ou que le serveur reçoit un DHCPRELEASE, l’adresse est renvoyée au pool de baux dispos
FTP (file transfert protocol) port 20/21
connexion de contrôle: contrôle du trafic
connexion de données: 2nde connexion pour le trafic de données
transfert de données: le serveur transfère les données au client
Le transférer peut s’effectuer dans les deux sens (push ou pull)
SMB (server message block)
partage de fichiers client/serveurpour décrire la structure des
ressources réseaux
un en-tête de taille fixe suivi d’un paramèter et de données de tailles
variables
Trois fonctions:
démarrer et authentifier sessions ou y mettre fin
contrôler l’accès aux fichiers
permettre à une application d’envoyer ou recevoir des messages vers ou
depuis un autre périphérique
SAMBA en linux
Menaces
vol d’informations
perte et manipulation de données
usurpation d’identité
interuption de services
Vulnérabilités
technologiques: faiblesses des protocoles, de l’OS ou des équipements
réseau
de configuration: comptes utilisateurs non sécurisés, système avec mdp
faciles, services internet mal configurés, para par défaut non sécur,
equipement mal configurés
de stratégies: absence, politique, manque de continuité dans l’authent,
contrôle des accès logiques non appliqués, installation de logiciels non
conformes, absence de plan de reprise
Sécurité physique
menaces matérielles, enviro, électriques, liéees à la maintenance
types de programmes: virus, vers, cheval de Troie
attaques de reconnaissance:
découverte et mappage non autorisé. requêtes internet (whois), balayage
de port (nslookup), balayage ping (fping/gping)
attaques par accès:
attaque de mot de passe: en force, de cheval de Troie, analyseur de
paquet
exploitation de la confiance: utilise des privilèges non autorisés pour
accéder à un système qui accède à d’autres en qui ils ont
confiance
redirection de port: utilise un système compromis comme base d’attaque
contre d’autres
man in the middle: se place entre deux entités pour lire et modifier les
données qui transitent
attaques par déni de service:
DOS (un seul acteur) et DDOS (avec un réseau d’hôtes infectés appelés
zombies)
Défense en profondeur (ou en couche)
VPN: accès distants
pare-feu ASA: avec état, le traffic interne peut entrer et sortir, le
trafic externe ne peut établir de connexion avec le trafin
interne.
IPS: prévention intrusion. Surveille trafic, recherche de logiciel
malveillant. Peut arrêter menace
ESA/WSA: filtre sites (WSA) et e-mail (ESA) suspects
serveur AAA: bdd sécurisée des utilisateurs autorisés: authentification
(prouve ident), autorisation (quelles ressources pour quels
utilisateurs),audit ou compatibilité ou gestion des comptes (surveiller
activité utilisateurs)
Sauvegarde: fréquence, stockage, sécurité, validation
mise à niveau, mise à jour, correctifs
Pare-feu
Filtrage des paquets - sur la base IP/MAC
Filtrage des applications - interdit en fonction de numéro de
ports
Filtrage des URL - empêche accès sites web avec URL ou mots clés
spécifiques
Inspection minutieuse des paquets (SPI) - les paquets entrants doivent
être des réponses légitimes aux demandes des hôtes internes. Peut
également reconnaître attaque DoS.
Sécurité des points de terminaison
point de terminaison= hôte - entreprise doit mettre en place des
stratégies pour leur sécurité
commande auto secure
chgt nom utilisateur et mdp, accès au ressources limités, désactivations
des services non nécessaires
mots de passe
mdp 8 ou 10 (mieux) caractères
complexe avec combinaison de lettres majuscules et minuscules, de
chiffres, de symboles et d’espaces si elles sont autorisées
Évitez de répéter un même mot, d’utiliser des mots communs du
dictionnaire, des lettres ou des chiffres consécutifs, les noms
d’utilisateur, les noms des membres de votre famille ou de vos animaux
domestiques, des informations biographiques telles que la date de
naissance, les numéros d’identification, les noms de vos ascendants ou
toute autre information facilement identifiable.
Faites volontairement des fautes d’orthographe
changer régulièrement mdp
Ne notez pas les mots de passe sur des bouts de papier placés en
évidence sur votre bureau ou sur votre écran.
Sur les routeurs Cisco, les espaces en début de mot de passe sont ignorés, mais ceux situés après le premier caractère sont pris en compte.
sécurité supplémentaire CISCO Cryptage tous les mots
de passe en texte clair service password-encryption
Définition d’une longueur de mot de passe minimale acceptable
security passwords min-length
Empêcher les attaques par force de deviner les mots de passe login
block-for # attempts # within #
Désactivation d’un accès en mode EXEC privilégié inactif après une durée
spécifiée exec-timeout minutes secondes
activation de ssh
Configurez un nom d’hôte unique pour le périphérique
hostname
Configurez le nom de domaine IP ip-domain name
Générez une clé pour chiffrer le trafic SSH crypto key generate rsa
general-keys modulus bits (1024 recommandé)
Vérifiez ou créer une entrée dans la base de données locale
username
Authentification par rapport à la base de données locale login
local
Activez les sessions SSH entrantes de vty transport input [ssh |
telnet]
désactiver services inutilisés
vérifier port ouverts: show ip ports all (pour les anciens
avant IOS-XE: show control-plane host open-ports )
désactiver http: no ip http server
activer uniquement ssh et non telnet avec: transport input
ssh
choix selon coût, vitesse et type de port, évolutivité,
caractéristiques et services de l’OS
Périphériques: appareils de l’utilisateur final, serveurs et
périphériques, périphériques intermédiaires
Redondances serveurs, liens, commutateurs, routeurs
Mettre en oeuvre QoS
applications: clients de messagerie et navigateurs web
services de couche d’application
protocoles courants: SSH
serveurs web (http et https), messagerie (SMTP, POP3 IMAP), FTP, DHCP,
DNS
applications VOIP, TOIP ou en temps réel (QOS, RTP, RTCP)
Elements nécessaires: documentation réseau, inventaire des équipements, budget, analyse du trafic
Analyse de protocole (avec wireshark), capture du trafic pdt période
de pointe et effectuer la capture sur différents segments
Utilisation des données sur windows
avec ping et traceroute (tracert windows). Il existe un mode étendu accessible depuis utilisateur privilégié
windows: network and sharing centeret commande ipconfig
/all /displaydns /renew et /release
linux: ifconfig
arp -a
effacer cache: netsh interface ip delete arpcache
show cdp network (+ detail)
1/ identifier le problème
2/ elaborer une théorie des cause probables
3/ tester la théorie pour determiner la cause
4/ etablir un plan d’action pour résoudre le problème et implémenter la
solution
5/ verifier la solution et mettre en oeuvre des mesures
preventives
6/ documenter les resultats des recherches et des actions
entreprises
commande debug en mode d’action privilégié
debug ip icmp
no debug ip icmp
undebug ip icmp
undebug all
terminal (no) monitor : afficher ou areter journalisation (envoye a la
ligne de console par defaut)