ACL Etendue et Dépannage IP : Fiche Résumé du Chapitre

Configuration ACL Étendue

ACL Etendue: Pour une ACL standard au format numérique On utilisera la commande « access-list » pour entrer nos ACL une par une ! Pour une ACL nommÉe Le principe est le même, sauf qu’on nomme l’ACL avec la commande « ip access-list standard »

« SHOW ACCESS-LISTS »

Permets de vérifier nos ACL.

---

La Voie Express vers la Certification IT

---

Rejoingnez le CLUB IT

🎁Et recevez en Bonus :

• ▶Le Guide de la certification IT
• ▶Et le parcours "CCNA FAST"

Rejoindre

__CONFIG_colors_palette__{"active_palette":0,"config":{"colors":{"30800":{"name":"Main Accent","parent":-1},"f2bba":{"name":"Main Light 10","parent":"30800"},"trewq":{"name":"Main Light 30","parent":"30800"},"frty6":{"name":"Main Light 45","parent":"30800"},"flktr":{"name":"Main Light 80","parent":"30800"}},"gradients":[]},"palettes":[{"name":"Default","value":{"colors":{"30800":{"val":"rgb(59, 136, 253)","hsl":{"h":216,"s":0.98,"l":0.61}},"f2bba":{"val":"rgba(59, 136, 253, 0.1)","hsl_parent_dependency":{"h":216,"s":0.98,"l":0.61,"a":0.1}},"trewq":{"val":"rgba(59, 136, 253, 0.3)","hsl_parent_dependency":{"h":216,"s":0.98,"l":0.61,"a":0.3}},"frty6":{"val":"rgba(59, 136, 253, 0.45)","hsl_parent_dependency":{"h":216,"s":0.98,"l":0.61,"a":0.45}},"flktr":{"val":"rgba(59, 136, 253, 0.8)","hsl_parent_dependency":{"h":216,"s":0.98,"l":0.61,"a":0.8}}},"gradients":[]},"original":{"colors":{"30800":{"val":"rgb(59, 136, 253)","hsl":{"h":216,"s":0.98,"l":0.61}},"f2bba":{"val":"rgba(59, 136, 253, 0.1)","hsl_parent_dependency":{"h":216,"s":0.98,"l":0.61,"a":0.1}},"trewq":{"val":"rgba(59, 136, 253, 0.3)","hsl_parent_dependency":{"h":216,"s":0.98,"l":0.61,"a":0.3}},"frty6":{"val":"rgba(59, 136, 253, 0.45)","hsl_parent_dependency":{"h":216,"s":0.98,"l":0.61,"a":0.45}},"flktr":{"val":"rgba(59, 136, 253, 0.8)","hsl_parent_dependency":{"h":216,"s":0.98,"l":0.61,"a":0.8}}},"gradients":[]}}]}__CONFIG_colors_palette__

  En vous inscrivant, vous consentez à ce que FORMIP, en sa qualité de responsable de traitement, collecte vos données afin de vous envoyer des communications par voie électronique. Vous pourrez vous désabonner à tout moment. Pour faire valoir votre droit d’accès, de rectification ou d’effacement, consultez notre politique de confidentialité.

Une ACL Étendue

À un format un peut plus complexe qu’une ACL standard.

Pour vÉrifier les ACL Étendus

La commande est la même que pour une ACL standard. « show access-lists »

Les ACLs standard

Sont à appliquer le plus proche possible de la destination, en raison de leur faible précision.

Et Les ACLs Étendues

Sont à appliquer le plus proche possible de la source.

Pour éviter que le routeur route des données inutiles, qui seront de toute façon supprimées.

La commande « ip access-group »

Permets d’appliquer une ACL sur une interface.

« no »

Si on souhaite désactiver une ACL sur une interface, il suffit de la supprimé avec un « no » devant la commande

Line VTY

Il est aussi possible d’appliquer une ACL directement sur des lignes virtuelles, avec la commande « access-class » pour autoriser un administrateur à se connecter sur un routeur.

CDP

CDP (Cisco Discovery Protocol)

• CDP permet de créer des cartographies d’un réseau.
• Il est important d’avoir une visu complète de son réseau, pour nous simplifier la vie, que ce soit en gestion ou en dépannage !
• CDP s’exécute sur tous les périphériques Cisco. Il nous aide à détecter et recenser les équipements de notre réseau.
• C’est un protocole propriétaire Cisco, qui fonctionne sur la couche « liaison de données » et qui est activé par défaut.

La commande « show cdp neighbors » permet de voir les voisins qui sont directement connectés au routeur.

La commande « show cdp neighbors detail » permet d’afficher + d’information, comme l’adresse IP et la version d’IOS.

• Par défaut, CDP est activé et s’exécute sur toutes les interfaces.
• Si on veut le désactiver sur 1 interface, on utilisera la commande « no cdp enable » directement sur l’interface en question.
• Et si on souhaite désactiver CDP sur toutes les interfaces, alors on fera un « no cdp run » en mode de configuration global !

IP SLA ping traceroute telnet

IPSLA

C’est un procédé inventé par Cisco qui permet de générer du trafic entre différents équipements du réseau.

Il est possible de tester :

• La disponibilité d’un service
• D’une ressource
• Du réseau
• Ou bien de la qualité des échanges VOIP

QualitÉ d’un rÉseau

• Temps de latence
• Gigue
• Pourcentage de paquets perdus
• Temps réponse

Configuration IPSLA

La commande « ip sla » permet de rentrer dans sa configuration.

La commande « icmp-echo » permet de spécifier l’IP que l’on souhaite tester.

La commande « IP SLA shedule » permet de lancer le test

La commande « show ip sla configuration », permet de vérifier la configuration des différentes SLA qu’il pourrait y avoir de configurer sur le routeur.

La commande « show ip sla statistics » affiche les résultats du test des différentes SLA de configurer sur le routeur.

TRACEROUTE

C’est une commande qui permet d’afficher la liste des routeurs que le paquet traverse avant d’arriver à sa destination.

TELNET

La commande Telnet permet de se connecter sur un autre équipement du réseau.

SHOW ARP

La commande « show arp » permet d’afficher la table arp d’un équipement réseau.

Guide de dÉpannage

ProblÈme de Connectivité physique

• Pannes matérielles
• Pannes de logiciels (bugs)
• Erreurs de configuration.

La commande « show interfaces »

Permets d’affiche des statistiques importantes à vérifier.

On peut voir si l’interface est UP ou Down.

Le champ Input errors : enregistre les erreurs des trames reçues, comme les erreurs CRC.

Un nombre élevé de ses erreurs pourrait indiquer des problèmes de câblage, de matériel ou bien même, des erreurs duplex.

Le champ « Output errors » indique des erreurs de collisions.

Identification du chemin

La commande « show IP route » permet d’afficher la table de routage sur un équipement de couche 3 comme un routeur.

La gateway

Si il n’ya pas d’itinéraire sur le routeur, ou bien une passerelle par défaut de configurer sur le PC, la communication entre les deux points ne fonctionnera pas.

Le DNS

C’est le mappage des adresses IP vers des noms.

Il est beaucoup plus simple d’utiliser des noms que des adresses IP pour accéder à certaines ressources du réseau.

Et ce sera encore plus évident avec l’IPv6 !

Ce mappage peut se faire de deux façons:

• Soit en Statique: C’est-à-dire que l’ administrateur système crée un fichier texte, dans lequel figure chaque nom d’ordinateur avec leurs adresses IP. Et lorsqu’un utilisateur demande une connexion à un autre ordinateur, le système utilisera ce fichier pour résoudre le nom à l’adresse IP. Ce système fonctionne bien que sur les petits réseaux
• soit en Dynamique: ici, le protocole DNS contrôle une base de données qui comprend le mappage des noms d’hôte en adresses IP.

ACL

« show ip access lists » permet d’afficher le contenu de toutes les ACL configurées sur le routeur.

« show IP interface » permet de voir si une ACL est appliquée à une interface.

SPAN Sniffer de Trafic

La fonction SPAN, qui est plus connue sous le nom de «Port mirroring », permet de connecter un analyseur de paquets à un commutateur.

Wireshark

Un très bon outil qui analyse les paquets est le logiciel Wireshark.

Sans SPAN

Le sniffer de paquet, ne pourra capter que les messages de broadcast et les multicast, car un commutateur switch les paquets qui sont destinés à une adresse mac précise sur un port spécifique, en utilisant sa table MAC.

Avec le SPAN

Tout le trafic qui passe par un port est copié et envoyé vers le port du sniffeur. Là ou est connecter le PC avec le logiciel Wireshark d’installé !

Port mirroring

Ce processus est en quelque sorte un port miroir qui va refléter les données !

Le SPAN est capable de surveiller un ou plusieurs ports.

CONFIGURATION

• on prend les paquets envoyés depuis Fa0/1
  Sw(config)#monitor session 1 source interface Fa0/1 tx
• on prend les paquets reçus sur Fa0/2
  Sw(config)#monitor session 1 source interface Fa0/2 rx
• Et on copie les données vers la Destination Fa0/3
  Sw(config)#monitor session 1 destination interface Fa0/3

Show monitor

La commande « show monitor » permet de vérifier la configuration du SPAN.

DÉpannage

LE SPAN est très utile dans le dépannage réseau, pour connaitre le trafic qui circule sur certains ports de switch.

Retrouver de nombreuses vidéos de cours sur la chaine Youtube Formip

Suivez le parcours CCNA sur le site Formip