Configuration ACL Etendue
Configuration ACL EtendueACL Etendue : Pour une ACL Standard au format numérique, on utilisera la commande « access-list » pour entrer nos ACL une par une ! Pour une ACL nommée, le principe est le même, sauf qu’on nomme l’ACL avec la commande « IP access-list standard ».
« SHOW ACCESS-LISTS »
Permet de vérifier nos ACL.
Une ACL Etendue
À un format un peu plus complexe qu’une ACL standard.
Pour vérifier les ACL Etendues
La commande est la même que pour une ACL standard. « show access-lists »
Les ACLs standard
Sont à appliquer le plus proche possible de la destination en raison de leur faible précision.
Et Les ACLs Etendues
Sont à appliquer le plus proche possible de la source.
Pour éviter que le routeur route des données inutiles, qui seront de toute façon supprimées.
La commande « ip access-group »
Permets d’appliquer une ACL sur une interface.
« no »
Si on souhaite désactiver une ACL sur une interface, il suffit de la supprimer avec un « no » devant la commande.
Line VTY
Il est aussi possible d’appliquer une ACL Etendue directement sur des lignes virtuelles avec la commande « access-class » pour autoriser un administrateur à se connecter sur un routeur.
CDP
CDP (Cisco Discovery Protocol)
- CDP permet de créer des cartographies d’un réseau.
- Il est important d’avoir une visu complète de son réseau pour nous simplifier la vie, que ce soit en gestion ou en dépannage !
- CDP s'exécute sur tous les périphériques Cisco. Il nous aide à détecter et recenser les équipements de notre réseau.
- C’est un protocole propriétaire Cisco qui fonctionne sur la couche « liaison de données » et qui est activé par défaut.
La commande « show cdp neighbors » permet de voir les voisins qui sont directement connectés au routeur.
La commande « show cdp neighbors detail » permet d’afficher + d’information, comme l’adresse IP et la version d’IOS.
- Par défaut, CDP est activé et s'exécute sur toutes les interfaces.
- Si on veut le désactiver sur une interface, on utilisera la commande « no cdp enable » directement sur l’interface en question.
- Et si on souhaite désactiver CDP sur toutes les interfaces, alors on fera un « no cdp run » en mode de configuration global !
IP SLA ping traceroute telnet
IP SLA
C’est un procédé inventé par Cisco qui permet de générer du trafic entre différents équipements du réseau.
Il est possible de tester :
- La disponibilité d'un service
- D'une ressource
- Du réseau
- Ou bien de la qualité des échanges VOIP
Qualité d’un réseau
- Temps de latence
- Gigue
- Pourcentage de paquets perdus
- Temps réponse
Configuration IP SLA
La commande « ip sla » permet de rentrer dans sa configuration.
La commande « icmp-echo » permet de spécifier l’IP que l’on souhaite tester.
La commande « IP SLA shedule » permet de lancer le test
La commande « show ip sla configuration », permet de vérifier la configuration des différentes SLA qu’il pourrait y avoir à configurer sur le routeur.
La commande « show ip sla statistics » affiche les résultats du test des différentes SLA de configurer sur le routeur.
TRACEROUTE
C’est une commande qui permet d’afficher la liste des routeurs que le paquet traverse avant d’arriver à sa destination.
TELNET
La commande Telnet permet de se connecter sur un autre équipement du réseau.
SHOW ARP
La commande « show arp » permet d’afficher la table arp d’un équipement réseau.
Guide de dépannage
Problème de Connectivité physique
- Pannes matérielles
- Pannes de logiciels (bugs)
- Erreurs de configuration.
La commande « show interfaces »
Permet d’afficher des statistiques importantes à vérifier.
On peut voir si l’interface est UP ou Down.
Le champ Input errors : enregistre les erreurs des trames reçues, comme les erreurs CRC.
Un nombre élevé de ses erreurs pourrait indiquer des problèmes de câblage, de matériel ou bien même des erreurs duplex.
Le champ « Output errors » indique des erreurs de collisions.
Identification du chemin
La commande « show IP route » permet d’afficher la table de routage sur un équipement de couche 3 comme un routeur.
La gateway
S’il n’y a pas d’itinéraire sur le routeur, ou bien une passerelle par défaut de configurée sur le PC, la communication entre les deux points ne fonctionnera pas.
Le DNS
C’est le mappage des adresses IP vers des noms.
Il est beaucoup plus simple d’utiliser des noms que des adresses IP pour accéder à certaines ressources du réseau.
Et ce sera encore plus évident avec l’IPv6 !
Ce mappage peut se faire de deux façons :
- Soit en Statique : C’est-à-dire que l’administrateur système crée un fichier texte dans lequel figure chaque nom d'ordinateur avec leurs adresses IP. Et lorsqu'un utilisateur demande une connexion à un autre ordinateur, le système utilisera ce fichier pour résoudre le nom à l'adresse IP. Ce système fonctionne bien que sur les petits réseaux.
- Soit en Dynamique : ici, le protocole DNS contrôle une base de données qui comprend le mappage des noms d'hôte en adresses IP.
ACL Etendue
« show ip access lists » permet d’afficher le contenu de toutes les ACL configurées sur le routeur.
« show IP interface » permet de voir si une ACL est appliquée à une interface.
SPAN Sniffer de Trafic
La fonction SPAN, qui est plus connue sous le nom de « Port mirroring », permet de connecter un analyseur de paquets à un commutateur.
Wireshark
Un très bon outil qui analyse les paquets est le logiciel Wireshark.
Sans SPAN
Le sniffer de paquet ne pourra capter que les messages de broadcast et les multicast, car un commutateur switch les paquets qui sont destinés à une adresse mac précise, sur un port spécifique, en utilisant sa table MAC.
Avec le SPAN
Tout le trafic qui passe par un port est copié et envoyé vers le port du sniffer. Là où est connecté le PC avec le logiciel Wireshark d’installé !
Port mirroring
Ce processus est en quelque sorte un port miroir qui va refléter les données !
Le SPAN est capable de surveiller un ou plusieurs ports.
CONFIGURATION
- On prend les paquets envoyés depuis Fa0/1
Sw(config)#monitor session 1 source interface Fa0/1 tx
- On prend les paquets reçus sur Fa0/2
Sw(config)#monitor session 1 source interface Fa0/2 rx
- Et on copie les données vers la Destination Fa0/3
Sw(config)#monitor session 1 destination interface Fa0/3
Show monitor
La commande « show monitor » permet de vérifier la configuration du SPAN.
Dépannage
LE SPAN est très utile dans le dépannage réseau, pour connaître le trafic qui circule sur certains ports de switch.
Retrouvez tous nos cours pour réussir votre CCNA sur la chaîne YouTube de Formip.
