Ici nous nous limiterons uniquement à
la description des commandes, comment elles sont utilisées sur le routeur
Cisco.
Les routeurs Cisco permettent d’effectuer
un certain nombre de commandes pour vérifier l’accessibilité d’équipements
distants ou le fonctionnement des liens de
communication.
Les commandes les plus communes pour
s’assurer de la connectivité d’un équipement sont :
·
Le ping .
·
Le trace
route.
·
Le
telnet.
Il faut toujours garder en tête les
couches OSI qui sont utilisées par ces commandes.
Telnet
Afin de s’assurer de la connectivité
d’un équipement on commence toujours par tester avec un client telnet le
routeur distant. S’il ne fonctionne pas, on peut alors descendre dans les
couches.
Il suffit de taper lorsque l’on est sur
la console :
Cisco1600# telnet @IP Y » ou
directement « Cisco1600# @IP Y
Un test Telnet permet de tester toutes les couches TCP/IP. Si un telnet marche dans un sens mais pas dans l’autre c’est qu’il y a un problème de routage, d’adressage ou d’autorisation d’accès mais pas de protocole.
Ping
Ping utilise ICMP et n’agit donc pas au
dessus de IP. Il ne permet donc pas de tester les couches UDP et TCP. La
commande ping envoie un datagramme spécial vers l’équipement de destination et
attend une réponse de la part de cet équipement. C’est un protocole d’écho.
Le ping permet de vérifier que les
paquets sont transmis de bout en bout donc compris et routés de façon correcte
par l’ensemble de la chaîne de communication.
Lorsqu’un ping arrive sur un routeur distant, il revient en
écho. Il faut donc que le routeur distant puisse renvoyer le paquet pour cela
il doit connaître la route.
Il existe deux types de ping, l’un
« étendue » et l’autre est « classique ».
Le ping classique est envoyé avec une
adresse source qui est automatiquement l’adresse WAN du routeur. La taille du
ping est de 100 octets avec un timeout de 2 secondes. C’est le plus utilisé.
Cependant, le routeur distant ou
l’interface que l’on va vouloir pinguer n’acceptera (suite à des restrictions
de routage ou des filtrages) que des adresses LAN. En effet dans un réseau
classique, une classe d’adresse est utilisée pour le WAN et une autre pour les
LAN. Cela implique souvent que les interfaces WAN sont pinguables entre elles
et le LAN entre elles. Or si on utilise que le ping classique, il n’est pas
possible de pinguer les adresses et de vérifier la connectivité.
Pour accéder au ping étendu il suffit
de taper « ping » puis « entrée », sans préciser d’adresse
destination.
Expliquons brièvement ces quelques
lignes :
Protocol
[ip] : par defaut
c’est Ip . On peut sinon choisir : appeltalk, cins, novell, pup, xns.
Target
IP address :
adrèsse à pinguer.
Repeat
count [ 5 ] :
nombre de tentatives de ping.
Datagram
size [ 100 ] : taille
du paquet IP qui sert de support au ping.
Timeout
in seconds [ 2] :
temps entre chaque ping.
Extended
commands [n] :
Commandes étendues. Accès à un menu plus complet. En tapant « yes »
on passe en ping « étendu ». Les commandes précédentes servent à
enrichir la façon de pinguer. Les lignes suivantes permettent de travailler en
étendu.
Source
address or interface :
on donne ici l’adresse source que l’on peut positionner dans le ping de
requête. On peut mettre l’adresse WAN du routeur ou l’adresse d’un des serials
Type of service [0]:
Data
pattern [0xABCD ] :
donnée dans les paquets
Loose,
Strint, Record, Timestramp, Verbose [none] :
Loose : permet de spécifier une liste de nœuds
qui doivent être traversés par les paquets.
Strinct : permet de spécifier une liste de nœuds
qui doivent être les seuls à être traversés par les paquets.
Record : permet de spécifier le nombre de nœuds
jusqu’à la destination.
Timestamp :
Verbose : ce mode est automatiquement
sélectionné. Il permet d’afficher l’état du champ option dans tous les paquets
entrants.
Sweep
range of sizes [ n] :
permet de voir quelle est le MTU le long d’un réseau. On définit une valeur min
et une valeur max de taille datagramme et le routeur va envoyer des datagrammes
ayant des tailles variant entre le min et le max avec une incrémentation
paramétrable.
Trace
Cette commande permet de savoir par
quelle route passe les paquets IP. Si ping ne fonctionne pas par exemple, on
saura jusqu’où le paquet a pu aller. De proche en proche, chacun des éléments
du réseau qui a reçu le paquet IP renvoie un écho à l’émetteur du paquet.
Show
ip route
Cette commande permet d’afficher la
table de routage du routeur. Le routeur Cisco connaît automatiquement les
réseaux auxquelles ces interfaces sont directement connectées. Il indiquera
dans sa table de routage par exemple que c’est par l’interface « Ethernet
0 » qu’il faut router un paquet
qui a pour destination le réseau 10.1.1.0 ( l’interface « Ethernet
0 » étant directement connecté au réseau 10.1.1.0).
Devant la route, une lettre
indique :
-> si la route est statique (« S »).
si c’est un réseau directement connecté
à une des interfaces du routeur
(« C »)
-> si il s’agit d’une route apprise
de manière dynamique (Lettre différente
suivant le protocole de routage).
Un « * » est positionné sur la lettre lorsqu’il s’agit d’une route
définie par défaut.
On peut donc effectuer des modifications
dans une configuration donnée de la table de routage. Toutefois si un problème
persiste même après une modification judicieuse dans la table de routage ,
il est alors préférable d’effectuer des vérifications dans le protocole de la
couche du dessous (la couche
Liaison ) pour voir ci ce dernier est actif ou non...
Il est aussi conseillé de vérifier si
au niveau physique les signaux arrivent bien ou repartent bien des interfaces
du routeur, tester si les câbles et connecteurs sont bien enfichés…
Show
interface
Cette commande permet de vérifier
l’état de la jonction physique et l’état du protocole de niveau 2. Pour une
analyse simple d’un phénomène, il est préférable de remettre tous les compteurs
statistiques à 0. Elle permet d’observer se qui se passe sur les interfaces du
routeur, une analyse détaillée des compteurs permet de vite trouver le problème
s’il y en a un.
Serial 1 is up, line protocol is up: C’
est opérationnel
Serial
1 is up, line protocol is down:
Il y a un problème au niveau 2
Serial 1 is administratively down, line protocol is up:
connexion physique Hors service.
Serial 1 is administratively down, line protocol is
down: interface dévalidée.
Une interface dévalidée veut dire que
sont état est “shutdown”.
Pour revalider cette interface il
suffit de taper la commande « no
shutdown ».
Pour la dévalider c’est la commande
« shutdown » .
En résumé les commandes :
·
Telnet
·
Ping
·
Trace
·
Show interface
·
Write terminal
·
Show ip route
Sont les commandes importantes pour la résolution
des problèmes liés au réseau.. Cependant parfois ces commandes ne suffisent
pas, il faut alors
rentrer en mode « Debug » .
Les commandes qui suivent sont des
commandes de base exécutées en mode « configuration globale ». Elle
permet de vérifier la configuration du routeur, de préparer le routeur pour
qu’il puisse ensuite, au niveau des interfaces, être configuré de manière plus
complexe.
Hostname (nom
du routeur)
Cette commande permet de changer le nom
du routeur. Il est conseillé, pour des raisons de maintenance d’affecter au
routeur un nom relatif qui correspond à son lieu géographique précédé d’autres
informations.
Cisco1600(config)#
hostname villetaneuse villetaneuse
(config)# ^Z villetaneuse#
Banner
(Bannière)
Cette commande permet l’affichage de
messages lors des différentes phases de fonctionnement du routeur Cisco. Il est
possible de définir trois types de bannières :
· exec : le message est affiché quand un
« process » EXEC est crée comme une ligne TTY active ou une nouvelle
connexion VTY. Cette bannière est
utilisée pour les utilisateurs qui accèdent au routeur par l’intermédiaire de
ses terminaux interactifs.
· Incoming : permet d’afficher le message
vers une « line » particulière.
· motd
(Message Of the Day) : permet
l’affichage d’un message quel que soit le type de la connexion crée sur le
routeur. Par exemple lorsqu’une nouvelle connexion telnet est crée ou
lorsqu’une connexion par une ligne virtuelle est établie, ce message est
destiné à tous les utilisateurs du routeur Cisco.
Exemple de commande pour une
bannière :
Cisco1600# conf t Enter configuration commands,
one per line. End with CNTL/Z. Cisco1600(config)#
banner motd bonjour à tous les
utilisateurs du routeur Cisco1600(config)# banner exec bienvenue sur le routeur
1600:. autorisation accordée
Buffers
Cette commande permet de modifier la
taille de tous les « buffers » du routeur Cisco qu’ils soient
spécifiques ou génériques à une interface.
Il s’agit de préciser en paramètre, de
la commande « buffers », le type du buffer (small, medium, large,
huge etc…), sa caractéristique (initial, min-free, max-free, permanent) et
enfin le nombre souhaité.
Pour visualiser les paramètres des
« buffers » il faut taper la commande : « show buffers »
Sauf cas précis, il n’est pas
nécessaire de changer ces valeurs. Un exemple de modification de ces
« buffers » serait dans le cas où le routeur est amené à rebooter dans
un environnement extrêmement chargé. Dans ce cas, il peut être bon d’augmenter
le nombre de « buffers » lors du reboot.
Exemple de commande qui peut être
utilisé :
« buffers
large initial 100 »
« buffers
huge initial 80 »
« buffers medium initial 300 »
Boot
Cette commande permet de définir au routeur, lors de son boot., le lieu où il doit récupérer son système d’exploitation.
Voici les différentes manières de
booter le routeur avec la commande « boot » :
· booter sur la flash avec un système d’exploitation
spécifique :
« boot system flash »
ou « boot system flash
nom_de_fichier »
· booter en rom.
« boot system rom »
· booter sur le réseau en rapatriant un
fichier particulier.
« boot system
network nom_de_fichier @ IP »
Password
Nous avions déjà abordé le propos des « passwords » précédemment. En effet, il était possible de configurer les passwords dans le mode « SETUP». Ici, il est possible de modifier ces différents passwords en mode « configuration ».
Il est possible de configurer les passwords à l’aide des commandes:
·
« enable
password »
·
« enable
secret »
Un password se positionne en
configuration globale pour un accès par l’intermédiaire du port console et sur
les « line » pour les accès
de type telnet.
Par exemple, si l’on veut positionner
un password pour l’accès au routeur via sa ligne console (CON) il faut créer un
password par la commande :
Il est possible de configurer un
password pour chacune des lignes VTY. Pour cela, au lieu d’indiquer les cinq
« lines » par « 0 4 » il suffit juste d’indiquer le numéro
de la ligne. Ainsi, pour mettre le mot de passe, seule la commande
« password » est utilisée.
Appliquer un filtrage sur les
utilisateurs d’une line est permis par la mise en place d’acces-lists
La commande « location » permet de
donner un commentaire sur les lignes.
Pour la mise en place d’un
temporisateur d’inactivité de la « line », il existe la
commande :
« exec-timeout XX » cette valeur est positionnée par défaut à 10
minutes.
Il est possible de préciser le
protocole qui est peut être utilisé en entrée ou en sortie d’une connexion
virtuelle.
Six possibilitées:
·
lat
·
none
·
pad
·
rlogin
·
telnet
·
all
Les commandes «transport output »
et « transport input » sont à utiliser.
La commande enable password permet juste de créer le password, mais la commande « login » indique que la demande du mot de passe sera
automatique à chaque connexion au routeur via les lignes VTY. La commande
contraire “no login” annule le
contrôle par les passwords.
L’autre mot de passe le « enable secret » est celui qui est
demandé lorsqu’il s’agit de passer du mode EXEC au mode ENABLE (mode EXEC
privilégié), contrairement au premier celui-ci n’est pas en claire, il est
forcement encrypté.
Mais il est possible d’encrypter en
configuration globale le enable password par la commande :
service password-encrytion
Lorsque le enable secret est configuré, il remplace totalement le enable password. Cela veut dire que, par
exemple, si une connexion via les lignes VTY est sollicitée, le password
qui sera demandé sera le enable secret.
SNMP
Cette commande permet au routeur de
recevoir (polling) ou d’envoyer (traps) des messages SNMP pour cela il faut
configurer, en mode configuration globale, le routeur comme serveur SNMP.
Commande :
snmp server
Dans ce cas le routeur initialise son agent
SNMP et peut donc effectuer des tâches en SNMP.
Une combinaison avec les access-lists
peut être utilisée pour filtrer les machines SNMP avec lesquelles le routeur
dialogue.
Commande :
snmp server access-list XXX
Une communauté SNMP est un ensemble de
machines gérées par une station dite de
supervision. On dit qu’un routeur appartient à une (ou plusieurs) communauté
SNMP. Pendant la transaction SNMP la communauté fait office de mots de passe.
Ainsi les stations ne faisant pas partie de la communauté ne peuvent pas
envoyer ou répondre aux requêtes SNMP.
La commande permettant de définir à
quelle communauté appartient le routeur est:
snmp-server community nom_de_communauté
L’option Read Only (valeur par défaut) ou Read-Write peuvent être positionnées. De plus une access-list peut
être indiquée.
Exemple :
snmp-server community ma_communaute RW
1
Pour plus de détails consulter l’aide
sur les commandes de bases relatives au routeur.
Logging
Cette commande (« logging » ) permet la redirection des
informations concernant l’administration du routeur. Les types d’informations
sont par exemple : l’état des interfaces, l’état d’utilisation du routeur…
Pour prendre en compte le message ou
non, on utilise les commandes :
« logging
on » ou « no logging on »
La redirection des flux est vers un
buffer interne et non pas vers la console, les informations sont lues avec la
commande « show logging ».
Il est aussi possible de rediriger les
flux vers la console en filtrant cependant des informations.
La commande suivante le permet :
logging console Z
Z correspond aux numéros indiqués
ci-dessous.
0 :
emergencies.
1 :
alerts.
2 :
critical.
3 :
errors.
4 :
warnings
5 :
notification.
6 :
informational.
7 : debugging.
Pour filtrer des informations envoyées
vers une station extérieure, on lance la commande :
logging trap Z
Pour filtrer les informations envoyées
vers les ports « line », la commande est :
logging monitor Z
Pour l’envoie de messages vers une
autre station, la commande est :
logging @IP
On distingue trois types de lignes :
line vty : les
cinq ports virtuels du routeurs.
line con : c’est
le port console du routeur.
line aux : c’est
la ligne auxiliaire du routeur.
Comme nous l’avions indiqué
précédemment ces trois « lines »
permettent de se connecter au routeur Cisco.
Il est important de bien faire la
différence entre une connexion telnet et les « lines ».
Un connexion telnet telle qu’elle a été
vue précédemment est faite à partir du routeur sur lequel on est connecté. Pour
une ligne VTY ce n’est pas la même chose, c’est comme un « tuyaux »
qui permet l’accès à l’abonné interne d’un routeur.
Les commandes concernant les
lines sont :
« show users » : pour connaître les postes connectés
au routeur qui utilisent les lines.
« show line » pour obtenir les caractéristiques technique
des lines.
« clear line »: permet la déconnexion d’une line.