+ de 700 vidéos sur le CCNA
  • N°1 de la certification Cisco Francophone
  • + de 8000 abonnés
  • + de 400 000 vidéos vues
Abonnez-vous à notre chaîne YouTube

PPPoE Tunnel GRE et EBGP

Au tout dÉbut d’internet

Tunnel PPPoE GRE EBGP : Au tout début d’internet On utilisait, rappelez-vous, des modems analogiques, qu’on connaissait aussi sous le nom de modem 56k.

Ce modem permettait de passer du signal numérique de notre ordinateur au signal analogique, celle de notre ligne téléphonique.

Et bien, le protocole utilisé sur ce type de modems était le PPP avec une authentification CHAP.

Ce qui permettait au fournisseur d’accès à Internet d’identifier chacun de ses clients et de voir s’ils étaient à jour dans leurs paiements.

Ensuite sont arrivÉs les modems de type ADSL

Avec ce type de modem, les fournisseurs d’accès à internet n’avaient pas de solution pour authentifier leurs clients, car il n’y avait plus de liaison PPP, mais une liaison Ethnernet.

Pour pouvoir continuer à utiliser l’authentification CHAP, il fallait réussir à encapsuler le protocole PPP au travers du protocole Ethernet.

Et bien, c’est comme ça que le protocole PPPoE est né.

PPPoE Tunnel

Il permet de :

  • Crée un tunnel de niveau 2 entre deux routeurs
  • Il prend 8 octets
  • Et il est utilisable que sur des liens points à point

C’est-à-dire qu’un tunnel PPPoE ne peut être monté qu’entre deux routeurs directement connectés

Configuration

La création de l’interface se fait avec la commande « interface dialer1 »

La commande « ip address negotiated » permet de faire demander au client d’utiliser une adresse IP fournie par le serveur PPPoE.

La commande « encapsulation » définit le type d’encapsulation sur PPP

Et la commande « dialer pool » permet de spécifier un pool de numérotation sur l’interface.

Ensuite il reste plus qu’à associer l’interface physique, a l’interface de numérotation avec la commande « pppoe-client dial-pool-number »

GRE Tunnel

C’ est un processus d’encapsulations qui permet de véhiculer n’importe quel protocole de la couche Réseau dans des paquets eux-mêmes de la couche Réseau.

C’est-à-dire qu’on peut très bien encapsuler de l’IPv6 dans un paquet IPv4 pour que les 2 réseaux distants en IPv6 puissent communiquer.

Le tunnel Gre permet

De créer une ligne virtuelle spécialisée, qui passera par l’internet, et qui fonctionnera presque comme une liaison dédiée.

Le principal avantage, c’est de ne pas être dépendant d’un opérateur et de pouvoir choisir soi-même la sortie Internet de chaque site qui doit être connecté.

EBGP Interdomain Routing

C’est un protocole d’échange de route qui est utilisé principalement sur le réseau Internet.

Son but est d’échanger des informations de routage entre des systèmes autonomes.

Contrairement aux protocoles de routage interne, BGP n’utilise pas de métrique.

C’est-à-dire qu’il prend ses décisions de routage, en fonction des règles définies par l’administrateur de l’AS.

BGP est un protocole de routage à vecteur de chemins.

La communication entre routeurs se fait avec une session TCP sur le port 179.

BGP est le seul protocole de routage à utiliser TCP pour le transport.

Il existe deux versions de BGP :

  • on à IBGP
  • et EBGP

Le iBGP est utilisé à l’intérieur d’un AS alors que EBGP est utilisé entre deux AS.

BGP

Sers principalement pour les interconnexions entre les opérateurs internet.
Il fait partie de la famille des EGP dont il est aujourd’hui le seul membre.
Il sert donc que si on est opérateur.

DiffÉrence Protocole interne et externe

Les protocoles de routage IGP, comme RIP,Eigrp,OSPF ou bien IS-IS, s’utilise qu’à l’intérieur d’une entreprise. Leurs buts sont de trouver la route la plus efficace, en faisant confiance aux autres routeurs.

Tandis que les protocoles de routage EGP, comme BGP, s’utilisent sur des systèmes autonomes.

Configuration Tunnel GRE VPN

Le protocole GRE, permets de placer les paquets IP dans un autre paquet afin qu’il puisse être envoyé dans un tunnel.

La commande « interface Tunnel » permet de créer le tunnel, comme pour une interface.

Ensuite il faut configurer une IP source et une IP destination dans notre tunnel.

MÉmoire et Password Recovery

  • La running-config se situe dans la RAM.
  • La startup-config est dans la NVRAM
  • L’image IOS est stockée dans la mémoire Flash
  • Et l’IOS se charge dans la RAM

Hormis ces mémoires, un routeur ou un switch, dispose également d’une mémoire ROM, dans laquelle plusieurs éléments sont stockés:

  • Code Bootstrap qui permet d’initialiser le processeur et de charger l’IOS
  • POST, qui teste tous les éléments principaux, comme le CPU, les mémoires ou les interfaces…
  • ROMMON, qui est un système d’exploitation très simple, utiliser pour le dépannage et récupérer un mot de passe perdu. Par exemple, si le code Bootstrap n’arrive pas à localiser l’IOS, le switch ou le routeur basculera dans le mode ROMMON.

On peut le comparer au mode sans échec de Windows.

Quand le code « BootStrap » recherche l’ IOS, il le fait en plusieurs étapes :

  • Il commence par vérifier le registre de configuration.
  • En fonction du registre, il démarre le système
  • Par défaut, il lance l’IOS présent dans la mémoire FLASH.
  • S’il n’arrive pas à trouver l’image, alors il va aller voir du côté du serveur TFTP
  • Si une image est présente sur le serveur, alors elle sera lancée
  • Et si aucune image n’est trouvée, alors le code ROMMON se lancera

Le registre de configuration peut être utilisé pour dire au routeur ou au switch d’ignorer la startup-config, afin de pouvoir récupérer un mot de passe égaré.

Par défaut, le registre de configuration est défini sur « 0x2102 », ce qui signifie que l’IOS sera chargé à partir de la mémoire Flash, et que ce sera le fichier de conf disponible dans la NVRAM qui sera exécutée ! C’est-à-dire la startup-config !

password recovery 

Consiste à modifier le registre de configuration pour lui dire de démarrer, en ignorant le fichier de configuration de démarrage, la startup-config. De cette façon, on pourra lancer un « enable » sans mot de passe, copier la startup-config sur notre running-config et modifier le mot de passe.

  • Pour commencer, on va redémarrer notre routeur ou Switch
  • Pendant le redémarrage, il faudra appuyer sur « Contrôle » et la touche « Pause » en même temps. Si c’est un clavier QWERTY, ce sera « Contrôle » + la touche « Break »
  • ensuite on devrait arriver dans le mode « ROMMON »

Nous pouvons à présent changer le registre de configuration avec la commande «confreg »
À la place de 0x2102, on le passe à 0x2142 ! cela aura pour effet d’esquiver la startup-config

  • On peut maintenant, redémarrer notre équipement!

Au redémarrage, il va ignorer la startup-config présente dans la NVRAM et démarrer la configuration automatique. Faudra juste lui dire qu’on ne souhaite pas lancer le setup en tapant « no » et on devrait se retrouver avec l’invite de commande !

Sans startup-config, il n’y a pas de mot de passe « Enable »

Après avoir changé le mot de passe, il reste plus qu’à remettre par défaut le registre de configuration avec la commande « Config-register » en mode de configuration global.
Car sinon il continuera à zapper la startup-config et démarrer sur une configuration vierge…

SÉcuriser l’IOS Cisco

Tout ce que vous configurez sur un commutateur ou un routeur est stocké dans un fichier de configuration qu’on appelle la « running-config ».

Ça se traduit par le fichier de configuration en cours d’exécution.

La commande « show running-config» permet d’afficher l’ensemble de la configuration qui est en cours d’exécution.

La running-config est stocké dans la mémoire RAM, ce qui signifie que si vous éteignez votre appareil, votre configuration est perdu.

Pour éviter ça, il faut enregistrer la running-config sur la startup-config.

La commande « copy running-config startup-config » permet de copier le fichier qui est en cours d’exécution dans le fichier qui sera chargé au démarrage de l’équipement.

La running-config se situe dans la mémoire RAM et la startup-config est située dans la mémoire NVRAM.

Chaque fois que vous allumez votre appareil, il cherchera le fichier de la startup-config dans la mémoire NVRAM et le copiera dans le fichier de la running-config de notre RAM.

Pour supprimer le fichier de la startup-config, il faut taper la commande « erase startup-config », confirmer la demande, et redémarrer le commutateur ou routeur pour que cela prenne effet, avec la commande « reload »

Port Security

La commande « switchport port-security » permet d’activer la sécurité du port.

La commande « switchport port-security maximum 1 » permet d’autoriser qu’une seule adresse Mac à se connecter sur ce port.

Il existe 3 modes de violation :

  • « Protect »
    Dans ce mode les trames Ethernet provenant d’adresses MAC non autorisées seront supprimées, et il n’y aura aucune log en cas de violation.
  • « Restrict »
    Les trames Ethernet ne provenant pas d’adresse MAC autorisée sont elles aussi supprimées, comme pour le mode Protect.
    Sauf que cette fois, on aura une trace dans le journal de bord ou bien on aura des « trap SNMP », si on utilise un serveur de supervision.
  • « Shutdown »
    Mode par défaut. Ici dès qu’une violation intervient, le port est mis en « shutdown » pendant un laps de temps, ou alors indéfiniment et seul un administrateur réseau pourra rétablir le port. Il devra se connecter sur le port et faire un « shutdown » « no shutdown » pour le remettre en service.

    Pour configurer l’un des trois modes de violation, il faut taper la commande « switchport port-security violation » et l’un des 3 mots clefs de violation. Protect, Restrict, ou shutdown.

RADIUS TACACS

LA COUCHE D’ACCÈS

C’est le niveau ou les utilisateurs se connectent au réseau.

C’est le point de connexion entre le réseau et tout périphérique client.

ProtÉger la couche d’accÈs permet de protÉger :

  • Les utilisateurs
  • Les applications
  • Et le réseau en lui-même,

contre toutes attaques malveillantes, voir même des erreurs humaines.

FonctionnalitÉ pour bloquer les menaces :

  • Port Sécurity
    Permet
    s de filtrer et de restreindre le nombre d’adresses MAC autorisées à se connecter sur le port d’un switch.
  • DHCP Snooping
    Permet
    s d’empêcher de brancher un serveur DHCP malveillant sur un réseau.
    Le DHCP
    Snooping permet de filtrer les requêtes DHCP qui ne sont pas autorisées.
  • DAI
    Protection contre des attaques ARP Spoofing.

    C’est une sécurité qui permet de valider les paquets ARP dans le réseau.

L’ARP SPOOFING

Consiste à diffuser un paquet ARP, qui change la table ARP pour rediriger le trafic destiné à une machine, vers une autre.

En gros, on peut le voir comme de l’usurpation d’identité. C’est-à-dire, qu’un équipement sur le réseau se fera passer pour un autre, dans le but de recevoir les paquets qui lui était destiné.

C’est là qu’intervient le DAI, qui permet de vérifier avant tout, qu’une adresse MAC a bien obtenu son IP via le serveur DHCP autorisé.

CES 3 FONCTIONNALITÉS

Permettent de fournir une sécurité et une protection supplémentaires sur les ressources réseau.

SERVEURS D’AUTHENTIFICATION

Permets de vérifier les utilisateurs qui se connectent, quel que soit leur emplacement physique.

La mobilité des utilisateurs est aujourd’hui une priorité pour les entreprises.

CE CONCEPT

Permets de vérifier les utilisateurs, au moment où ils se connectent sur le switch.

Ils seront authentifiés et placés automatiquement dans le VLAN en fonction de leurs types de profil.

Et si un utilisateur n’est pas reconnu, alors son accès sera soit refusé, ou bien il sera placé dans un vlan invité, avec des restrictions.

Serveur AAA

  • Authentification
  • Autorisation
  • Accounting

AUTHENTIFICATION

Consiste à déterminer si l’utilisateur ou l’équipement est bien celui qu’il prêtant être, à l’aide d’une authentification nom d’utilisateur/mot de passe, ou bien avec à un certificat.

AUTORISATION

Détermine les droits de l’utilisateur sur les différentes ressources du réseau.

ACCOUNTING

Permets de tracer l’utilisation des ressources, par les utilisateurs.

RADIUS/TACACS

Les deux types de serveurs 3A, les plus populaires, sont le RADUIS et le TACACS.

LE PROTOCOLE RADIUS

Est basé sur un système client/serveur, qui est chargé de définir les accès utilisateurs sur le réseau.

C’est le protocole qu’utilisent les fournisseurs d’accès à internet, car il propose des fonctionnalités de comptabilité, qui leur permet de facturer précisément leurs clients.

LE PROTOCOLE TACACS

Fonctionne de la même manière, sauf qu’il est plutôt utilisé sur des plates-formes UNIX.

Que l’on utilise Radius ou TACACS+, toutes les demandes d’authentification sont transmises au serveur 3A, et c’est ce dernier, qui autorisera ou non l’utilisateur.

Suivez le parcours CCNA sur le site Formip

Retrouver de nombreuses vidéos de cours sur la chaine Youtube Formip

📘Guide IT💻+ 1 cours gratuit sur le réseau informatique

La Voie Express vers ses objectifs professionnels