« SE4 construction de réseau » : différence entre les versions

De wiki-se.plil.fr
Aller à la navigation Aller à la recherche
 
(50 versions intermédiaires par 2 utilisateurs non affichées)
Ligne 28 : Ligne 28 :
Une fois que votre disque virtuel est créé, vous pouvez lancer l’installation dans la machine virtuelle avec la commande :
Une fois que votre disque virtuel est créé, vous pouvez lancer l’installation dans la machine virtuelle avec la commande :


   kvm -m 1024 -hda /usr/local1/tmp/<login>/disk \
   kvm -m 1024 -hda /usr/local1/tmp/<login>/disk -cdrom <image ISO> -net nic -net user
            -cdrom /usr/local1/devuan/devuan_beowulf_3.0.0_amd64-netinstall.iso \
            -net nic,model=ne2k_pci -net user


Attention l’anti-slash est ici comme caractère de continuation de ligne. Il ne faut pas le mettre si vous tapez la commande en une seule ligne.
L'image ISO citée dans la commande ci-dessus est la plus récente image ISO d'installation de la distribution Linux Devuan se trouvant dans le répertoire <code>/usr/local1/devuan/</code>.


Cette commande lance la machine virtuelle en lui indiquant le fichier servant de disque dur (option -hda /usr/local1/tmp/<login>/disk) et en lui indiquant que votre machine virtuelle aura un lecteur optique virtuel.
Cette commande lance la machine virtuelle en lui indiquant le fichier servant de disque dur créé précédement (option <code>-hda /usr/local1/tmp/<login>/disk</code>) et en lui indiquant que votre machine virtuelle aura un lecteur optique virtuel.


Le lecteur optique virtuel pointe sur une image ISO d’installation réseau de la distribution Linux Devuan. Vous indiquerez, quand cela vous sera demandé, que vous ne voulez pas utiliser un autre disque optique mais que vous voulez utiliser un dépôt Devuan en complément. Cette méthode d’installation nous évite de devoir télécharger toutes les images des DVD d’installation.
Vous indiquerez, quand cela vous sera demandé, que vous ne voulez pas utiliser un autre disque optique mais que vous voulez utiliser un dépôt Devuan en complément. Cette méthode d’installation nous évite de devoir télécharger toutes les images des DVD d’installation.


Les autres éléments de configuration sont expliqués dans la section suivante.
Les autres éléments de configuration sont expliqués dans la section suivante.
2.2  Configuration de Linux


Si vous êtes un peu perdu dans l’installation de la distribution Devuan vous pouvez trouver de l’aide à l’URL https://devuan.org/os/documentation/install.
== Configuration de Linux ==


Pour configurer le réseau lors de l’installation, laissez faire la configuration par DHCP.
Si vous êtes un peu perdu dans l’installation de la distribution Devuan vous pouvez trouver de l’aide à l’URL [https://devuan.org/os/documentation/install].


Comme nom de machine vous pouvez prendre le nom de votre machine de TP préfixée de V ou Virt. Vous pouvez utiliser deule.net comme nom de domaine.
Quelques éléments pour la configuration :
* utilisez l'installation en mode expert, commencez par le premier item d'installation et sélectionnez toujours les étapes dans l'ordre proposé ;
* sauf mention contraire les options par défaut sont les bonnes ;
* comme langage sélectionnez l'anglais version patoi UK ;
* sélectionnez un clavier français ;
* laissez se faire la configuration réseau automatique (DHCP pour IPv4) ;
* comme nom de machine prenez le nom de la machine de TP préfixé de la lettre <code>v</code> (comme virtuelle), utilisez <code>plil.info</code> comme nom de domaine ;
* imposez les mots de passe habituel pour <code>root</code> et pour l'utilisateur <code>pifou</code> ;
* utilisez un disque entier pour l'installation, tous les fichiers dans la même partition (attention à bien valider la modification) ;
* utilisez un dépôt de paquetages Devuan situé en France, permettez d'installer des paquetages non libres ;
* installez les ensembles de logiciels "Environnement de bureau/XFCE", "Serveur Web", "Outils console", "Serveur SSH" et "Utilitaires standards" (attention la sélection des ensembles se fait avec la barre d'espace) ;
* pour atteindre le dépot Devuan vous devrez utiliser le serveur mandataire Web (proxy Web in english) de la plateforme informatique (<code>http://proxy.plil.fr:3128</code>) ;
* n'oubliez pas d'installer GRUB sur votre disque virtuel.


Choisissez glopglop comme mot de passe de root et ajoutez un compte d’utilisateur normal (spécifiez l’identifiant pifou et le mot de passe pasglop).
Pendant l’installation, vous allez pouvoir commencer la configuration de vos réseaux locaux (section suivante).


Utilisez le disque entier pour Linux en utilisant le schéma de partitionnement recommandé pour les utilisateurs débutants. Ensuite n’oubliez pas d’ajouter une source pour le module de gestion des paquetages appelé "APT" comme discuté dans la section précédente.
À la fin l’installation de votre machine fixe, supprimez le paquetage <code>network-manager</code> et ajoutez le logiciels ci-dessous.
* l’analyseur de réseau <code>wireshark</code> ;
* le service <code>telnet</code> (paquetage <code>telnetd</code>) ;
* le logiciel <code>nc</code> (paquetage <code>netcat-openbsd</code>).


Pour atteindre le dépot Devuan vous devrez utiliser le serveur mandataire web (proxy web in english) de la plateforme informatique (http://proxy.plil.fr:3128).
Une fois l’installation de votre machine terminée, vous pouvez connecter la seconde carte réseau de votre machine physique sur un port du commutateur de votre réseau. Afin de pouvoir lier la carte réseau virtuelle avec la seconde carte réseau physique, vous devez relancer la machine virtuelle de la manière suivante :
* utilisation de la commande <code>super mktap</code> afin de récupérer le nom d’une interface <code>tapX</code> qui permettra de faire le lien entre les cartes réseau ;
* lancement de la machine virtuelle avec la commande suivante :
kvm -m 1024 -hda /usr/local1/tmp/<login>/disk -net nic,macaddr=00:11:11:11:YY:XX -net tap,ifname=tapX,script=no,downscript=no
 
L'avant dernier octet correspond à la salle de TP (<code>05</code> pour la C105 ou <code>06</code> pour la C106). Le dernier octet de l’adresse MAC correspondra au numéro de votre machine physique.
 
= Configuration des Raspberry Pi =
 
Pour configurer votre RaspBerry Pi, connectez-la sur votre PC fixe via le câble de liaison USB/série (masse sur la broche 6, RX jaune sur la broche 8 et TX orange sur la broche 10). N'oubliez pas de vous donner les droit sur ce port série par la commande <code>super usb</code>.
 
La configuration se fait en utilisant l’utilitaire <code>minicom</code> avec l'option <code>-D</code> pour spécifier le périphérique (<code>/dev/ttyS0</code> pour un port classique ou <code>/dev/ttyUSB0</code> pour un adaptateur USB) et avec l'option <code>-b</code> pour spécifier la vitesse. Pour les Raspberry Pi vous pouvez utiliser une vitesse de 115200 bauds. Il vous faudra aussi supprimer le contrôle de flux (pour cela utilisez le menu "Serial Port Setup" que vous pouvez atteindre par les touches <code>CTRL-a</code> puis <code>o</code>).
 
L’identifiant de l’utilisateur de la RaspBerry Pi est <code>pi</code> sans mot de passe.
 
N'oubliez pas de supprimer les paquetages <code>network-manager</code> et <code>dhcpcd5</code> pour que ces applications ne perturbent pas votre configuration réseau.
 
= Définition des réseaux locaux =
 
== Les réseaux Ipv4 ==
 
Vous allez concevoir et implanter des réseaux locaux. Ces réseaux locaux seront composés de quatre réseaux IP, deux pour les machines filaires et deux pour les machines WiFi. A ces quatre réseaux s’ajoute le réseau de service permettant d’accéder aux équipements réseau. Les adresses des réseaux IP sont les suivantes :
 
{| class="wikitable"
! N° de réseau !! Service !! Filaire 1 !! WiFi 1 !! Filaire 2 !! WiFi 2
|-
!Réseau 1!!172.26.0.24/30!!172.26.0.0/29!!172.26.0.8/29!!172.26.0.16/30!!172.26.0.20/30
|-
!Réseau 2!!172.26.0.56/30!!172.26.0.32/29!!172.26.0.40/29!!172.26.0.48/30!!172.26.0.52/30
|-
!Réseau 3!!172.26.0.88/30!!172.26.0.64/29!!172.26.0.72/29!!172.26.0.80/30!!172.26.0.84/30
|-
!Réseau 4!!172.26.0.120/30!!172.26.0.96/29!!172.26.0.104/29!!172.26.0.112/30!!172.26.0.116/30
|-
!Réseau 5!!172.26.0.152/30!!172.26.0.128/29!!172.26.0.136/29!!172.26.0.144/30!!172.26.0.148/30
|-
!Réseau 6!!172.26.0.184/30!!172.26.0.160/29!!172.26.0.168/29!!172.26.0.176/30!!172.26.0.180/30
|-
!Réseau 7!!172.26.0.216/30!!172.26.0.192/29!!172.26.0.200/29!!172.26.0.208/30!!172.26.0.212/30
|-
!Réseau 8!!172.26.0.248/30!!172.26.0.224/29!!172.26.0.232/29!!172.26.0.240/30!!172.26.0.244/30
|-
!Réseau 9!!172.26.1.24/30!!172.26.1.0/29!!172.26.1.8/29!!172.26.1.16/30!!172.26.1.20/30
|-
!Réseau 10!!172.26.1.56/30!!172.26.1.32/29!!172.26.1.40/29!!172.26.1.48/30!!172.26.1.52/30
|-
!Réseau 11!!172.26.1.88/30!!172.26.1.64/29!!172.26.1.72/29!!172.26.1.80/30!!172.26.1.84/30
|-
!Réseau 12!!172.26.1.120/30!!172.26.1.96/29!!172.26.1.104/29!!172.26.1.112/30!!172.26.1.116/30
|-
!Réseau 13!!172.26.1.152/30!!172.26.1.128/29!!172.26.1.136/29!!172.26.1.144/30!!172.26.1.148/30
|-
!Réseau 14!!172.26.1.184/30!!172.26.1.160/29!!172.26.1.168/29!!172.26.1.176/30!!172.26.1.180/30
|-
!Réseau 15!!172.26.1.216/30!!172.26.1.192/29!!172.26.1.200/29!!172.26.1.208/30!!172.26.1.212/30
|-
!Réseau 16!!172.26.1.248/30!!172.26.1.224/29!!172.26.1.232/29!!172.26.1.240/30!!172.26.1.244/30
|}
 
Vous commencerez par implanter vos réseaux locaux et vous assurer que le machines connectées dessus puissent communiquer. Dans un second temps vous interconnecterez vos réseaux locaux et vous ferez en sorte qu'ils puissent sortir sur Internet.
 
== Architecture de vos réseaux locaux ==
 
Les machines filaires sont distribuées équitablement sur deux VLAN (VLAN numéro 2 et VLAN numéro 3) déclarés sur votre commutateur. Le point d’accès WiFi est connecté par une liaison "trunk" sur une interface de commutation du commutateur/routeur. La liaison "trunk" va permettre de porter les VLAN WiFi numéros 4 et 5.
 
= Prise en main du commutateur / routeur =
 
== Accès au commutateur / routeur ISR4221 ==
 
Pour configurer l'ISR4221, vous devez assurer une connexion série entre l'élément réseau Cisco et votre machine de TP. Pour cela vous passerez par le panneau de brassage du local technique et par les prises en C105 et C106. Dans le local technique le jarretièrage se fait avec les câbles de couleur, dans les salles de TP le jarretièrage se fait avec les câbles gris. Sur la machine de TP utilisez un port série (classique ou via un adaptateur USB). N'oubliez pas de vous donner les droit sur ce port série par les commandes <code>super serial</code> et <code>super usb</code>.
 
La configuration se fait en utilisant l’utilitaire <code>minicom</code> avec l'option <code>-D</code> pour spécifier le périphérique (<code>/dev/ttyS0</code> pour un port classique ou <code>/dev/ttyUSB0</code> pour un adaptateur USB) et avec l'option <code>-b</code> pour spécifier la vitesse. Pour les équipements Cisco vous pouvez utiliser une vitesse de 9600 bauds. Il vous faudra aussi supprimer le contrôle de flux (pour cela utilisez le menu "Serial Port Setup" que vous pouvez atteindre par les touches <code>CTRL-a</code> puis <code>o</code>).
 
== Première configuration de l'ISR4221 ==
 
Vous pouvez vous familiariser avec le shell IOS Cisco avec la session suivante.
 
router>enable
Password:
router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#exit
router#write
Building configuration...
[OK]
router#reload
Proceed with reload? [confirm]
 
Il vous est ensuite demandé de mettre le mot de passe habituel sur l'équipement et de faire en sorte qu'il puisse être accédé par <code>ssh</code> sur le VLAN de service c'est à dire le VLAN de numéro 1.
 
Pour configurer le mot de passe intéressez-vous à l'exemple ci-dessous.
 
router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#enable secret <motdepasse>
router(config)#line vty 0 15
router(config-line)#password <motdepasse>
router(config-line)#exit
 
Pour donner une adresse IP à votre routeur sur le VLAN 1, inspirez-vous de l'exemple ci-dessous.
 
router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#interface Vlan1
router(config-if)#ip address 192.168.0.10 255.255.255.0
router(config-if)#exit
router(config)#exit
 
Enfin vous avez tous les éléments nécessaires pour la configuration du serveur <code>ssh</code> ci-dessous.
 
router#configure terminal
router(config)#hostname myrouter
myrouter(config)#aaa new-model
myrouter(config)#username admin privilege 15 secret <motdepasse>
myrouter(config)#ip domain-name plil.info
myrouter(config)#crypto key generate rsa
myrouter(config)#line vty 0 15
myrouter(config-line)#transport input ssh
myrouter(config-line)#exit
 
Donnez une adresse IPv4 à votre machine virtuelle dans le VLAN 1 et connectez-la sur un port de commutation de votre commutateur par un jarretièrage adapté. Vérifiez que vous pouvez vous connecter à votre équipement par <code>ssh</code>.
 
Pour configurer votre machine virtuelle modifiez le fichier <code>/etc/network/interfaces</code> en vous inspirant de l'exemple ci-dessous.
 
  # The loopback network interface
  auto lo
  iface lo inet loopback
  # The primary network interface (IPv4)
  iface eth0 inet dhcp
  # A secondary network interface (IPv4)
  iface eth1 inet static
    address 172.26.79.42
    netmask 255.255.240.0
  # gateway 172.26.79.254
 
= Réseaux locaux filaires =
 
== Configuration des VLAN ==
 
Implantez vos VLAN sur le commutateur Cisco en vous connectant par <code>ssh</code>. Il vous est demandé de mettre deux ports dans chacun des VLAN filaires et de préparer un port pour une liaison Trunk vers le point d'accès WiFi. L'exemple de session ci-dessous vous aidera à utiliser les bonnes commandes.
 
switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
switch(config)#vlan 2
switch(config-vlan)#name Principal
switch(config-vlan)#exit
switch#show interfaces status
...
switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
switch(config)#interface gigabitEthernet0/7
switch(config-if)#switchport
switch(config-if)#switchport mode access
switch(config-if)#switchport access vlan 2
switch(config-if)#exit
switch(config)#interface gigabitEthernet1/1
switch(config-if)#switchport trunk encapsulation dot1q # Si nécessaire
switch(config-if)#switchport mode trunk
switch(config-if)#exit
 
Testez votre configuration de la partie commutation en plaçant à la fois votre machine virtuelle et votre Raspberry Pi sur le même VLAN. Configurez correctement les deux machines en IPv4. Vérifiez que les deux machines communiquent avec les utilitaires <code>ping</code> et <code>ssh</code>. Déplacez une des deux machines sur l'autre VLAN filaire. Que constatez-vous ?
 
== Routage de vos VLAN ==
 
Configurez votre routeur Cisco pour que vos 5 VLAN soient routés entre eux sans limitation. Pour cela il vous suffit de mettre une adresse IPv4 à votre routeur dans chaque VLAN. Inspirez-vous de l'exemple de session ci-dessous.
 
router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#interface Vlan2
router(config-if)#ip address 192.168.1.1 255.255.255.0
router(config-if)#exit
router(config)#exit
 
Testez votre routage en reprenant la maquette de la section précedente, à savoir votre machine virtuelle dans un VLAN filaire et votre Raspberry Pi dans l'autre. Configurez correctement les deux machines en IPv4.Vérifiez que les deux machines communiquent avec les utilitaires <code>ping</code> et <code>ssh</code>.
 
= Réseaux locaux sans fil =
 
== Configuration du point d'accès WiFi ==
 
Vous pouvez maintenant configurer votre point d’accès et connecter votre système embarqué en WiFi sur votre réseau.
 
Dans la mesure du possible configurez votre point d’accès en 5Ghz (interface <code>Dot11Radio1</code>) pour éviter au maximum les interférences. Il est rappelé qu’il n’y a que 3 canaux indépendants en 2,4Ghz mais une vingtaine, pour l’europe, en 5Ghz.
 
Vous allez implanter deux SSID sur votre point d’accès <code>WiFi-nb-a</code> et <code>WiFi-nb-b</code> avec <code>nb</code> votre numéro de réseau. Pour chaque SSID il est demandé d’utiliser une sécurisation de type WPA-PSK. Voici un exemple de configuration de réseau WiFi avec ce type de sécurisation en utilisant l’IOS de Cisco :
 
dot11 ssid WiFi-nb-a
  vlan 4
  authentication open
  authentication key-management wpa
  wpa-psk ascii 0 motdepasse
  mbssid guest-mode
!
 
Au préalable, il faut configurer le mode SSID multiple (mot clef <code>mbssid</code>) ainsi que les méthodes de cryptage (mot clef <code>encryption</code>) TKIP et AES-CCMP sur l’interface <code>Dot11Radio1</code>. Enfin il ne faut pas oublier d’ajouter les SSID à l’interface <code>Dot11Radio1</code> (mot clef éponyme).
 
Pour assurer la correspondance entre les SSID et les VLAN filaires un bloc de commandes, dont un exemple est donné ci-dessous, doit être inséré dans la configuration pour ''chaque'' SSID.
 
interface Dot11Radio1.4
  encapsulation dot1Q 4
  bridge-group 4
!
interface GigabitEthernet0.4
  encapsulation dot1Q 4
  bridge-group 4
!
 
Pour mettre votre point d'accès en service il faut la connecter en filaire sur le port Trunk de votre commutateur.
 
== Configuration d’un serveur DHCP ==
 
Pour faciliter la connexion des périphériques WiFi, vous allez configurer votre routeur de site pour permettre une configuration automatique des paramètres IPv4.
 
Vous allez donc configurer un groupe DHCP pour chaque réseau WiFi :
 
ip dhcp pool groupea
  ...
!
 
Pour le groupe vous devez définir un réseau IPv4 (mot clef <code>network</code>), un serveur DNS (mot clef <code>dns-server</code>) et un routeur (mot clef <code>default-router</code>).
 
N’oubliez pas d’exclure des groupes les adresses IPv4 que vous utilisez pour le routage avec la commande <code>ip dhcp excluded-address</code> à taper en dehors de la définition du groupe.
 
Vous pouvez vérifier la configuration des groupes avec la commande <code>show ip dhcp pool</code> et lister les adresses délivrées par DHCP avec la commande <code>show ip dhcp binding</code>. Il est aussi possible de supprimer les licences DHCP déjà délivrées avec la commande <code>clear ip dhcp-server binding *</code>.
 
== Connexion d'une Raspberry Pi en WiFi ==
 
Maintenant que l'infrastructure WiFi est implanté, nous allons y connecter une machine.
 
L'interface WiFi de la Raspberry Pi peut être désactivée, jouez avec l'utilitaire <code>rfkill</code> si c'est le cas pour l'activer.
 
Définissez une interface <code>wlan0</code> dans le fichier <code>/etc/network/interfaces</code> de votre Raspberry Pi. Il vous est rappelé un exemple de configuration d’interface WiFi :
 
iface wlan0 inet dhcp
  wpa-ssid <reseauwifi>
  wpa-key-mgmt WPA-PSK
  wpa-psk <motdepasse>
 
N’oubliez pas de mettre l’adresse IPv4 du serveur DNS dans le fichier <code>/etc/resolv.conf</code>.
 
Vérifiez que votre Raspberry Pi a accès à la machine virtuelle avec les utilitaires <code>ping</code> et <code>ssh</code>. Connectez la RaspBerry Pi sur l'autre réseau WiFi. Faite le même test.


Enfin choisissez la configuration "Environnement de bureau/XFCE", "Serveur Web", "Outils console", "Serveur SSH" et "Système standard" puis laissez le système choisir les paquetages correspondants.
= Interconnexion des routeurs =


Pendant l’installation, vous allez pouvoir commencer la configuration de vos réseaux locaux (section 3).
Le réseau d’interconnexion entre les routeurs est <code>192.168.222.32/27</code> et se trouve sur le VLAN 132 de l'école. Nous vous demandons d'implanter ce réseau IPv4 sur une interface de routage de votre propre routeur. Lisez attentivement l’extrait de session sur le routeur ci-dessous pour déterminer l’adresse IPv4 que doit avoir votre routeur sur le réseau d'interconnexion.


À la fin l’installation de votre machine fixe, ajouter :
RG20-R6506#show running-config | include ip route 10.10 
ip route 172.26.0.0 255.255.255.224 192.168.222.34
ip route 172.26.0.32 255.255.255.224 192.168.222.35
ip route 172.26.0.64 255.255.255.224 192.168.222.36
ip route 172.26.0.96 255.255.255.224 192.168.222.37
ip route 172.26.0.128 255.255.255.224 192.168.222.38
ip route 172.26.0.160 255.255.255.224 192.168.222.39
ip route 172.26.0.192 255.255.255.224 192.168.222.40
ip route 172.26.0.224 255.255.255.224 192.168.222.41
ip route 172.26.1.0 255.255.255.224 192.168.222.42
ip route 172.26.1.32 255.255.255.224 192.168.222.43
ip route 172.26.1.64 255.255.255.224 192.168.222.44
ip route 172.26.1.96 255.255.255.224 192.168.222.45
ip route 172.26.1.128 255.255.255.224 192.168.222.46
ip route 172.26.1.160 255.255.255.224 192.168.222.47
ip route 172.26.1.192 255.255.255.224 192.168.222.48
ip route 172.26.1.224 255.255.255.224 192.168.222.49


    l’analyseur de réseau wireshark ;
Reliez les routeurs entre eux à l’aide du commutateur de promotion. Ce commutateur est déjà connecté au réseau de l'école via un port fibre qui doit être configuré en mode trunk. A vous aussi de déclarer, sur le commutateur de promotion, des ports dans le VLAN 132 pour réaliser l'interconnexion entre tous les routeurs de la promotion.  
    le service telnet (paquetage telnetd) ;
    le logiciel nc (paquetage netcat).  


Une fois l’installation de votre machine terminée, vous pouvez connecter la seconde carte réseau de votre machine physique sur un port du commutateur de votre réseau. Afin de pouvoir lier la carte réseau virtuelle avec la seconde carte réseau physique, vous devez relancer la machine virtuelle de la manière suivante :
Les routeurs s’échangeront leurs tables de routage en utilisant le protocole RIPv2. L’IOS de Cisco permet de déclarer le protocole de routage RIP par le mot clef <code>router rip</code>. Comme nous cherchons à router une classe A disjointe (réseau IP <code>10.0.0.0/8</code>), il faut préciser la directive <code>no auto-summary</code> dans le bloc de configuration. Dans ce bloc de configuration, il suffit ensuite de déclarer les réseaux participant au routage RIP avec le mot clef <code>network</code>. Vérifiez que la table de routage se remplit bien avec la commande <code>show ip route</code>.
 
Vérifiez que votre machine virtuelle a accès aux machines virtuelles des autres réseaux avec les utilitaires <code>ping</code> et <code>ssh</code>.
 
= Accès à Internet =
 
== Première méthode ==
 
Pour la suite du TP, vous allez connecter vos réseaux au réseau de l’école. Votre routeur est déjà connecté sur le le VLAN 132 via le commutateur de promotion pour réaliser l'interconnexion entre les routeurs de travaux pratiques.
 
Il vous reste à trouver l’adresse IPv4 de la route par défaut à implanter sur vos routeurs, regardez l’extrait de session ci-dessous :
 
RG20-R6506#show running-config interface vlan132
Building configuration...
Current configuration : 146 bytes
!
interface Vlan132
  ip address 192.168.222.33 255.255.255.224
  ip access-group 2032 out
  no ip mroute-cache
end
 
Vérifiez que vos machines ont maintenant accès au réseau de l’école. Faites en sorte de pouvoir naviguer sur le web à partir de votre machine virtuelle. Comme serveur DNS, il est conseillé d’utiliser la machine d’adresse IPv4 <code>193.48.57.48</code>.
 
== Deuxième méthode ==
 
Plutôt qu’une connexion sur le réseau privé de l’école, vous allez tenter de connecter votre réseau local à Internet en passant par une liaison dédiée. Cette fois il faut passer par le VLAN 20 de l'école associé au réseau IPv4 <code>192.168.1.0/24</code>.
 
Pour pouvoir basculer d’une sortie Internet à une autre par un simple changement de la route par défaut sur votre routeur de site, il vous est demandé de connecter ce routeur au commutateur commun par un port "trunk". Pour connecter votre routeur de site sur les deux VLAN 20 et 132, vous implanterez des sous-interfaces sur l’interface de routage déjà utilisée. Les sous-interfaces sont obtenues en donnant un nom d'interface physique et en ajoutant un suffixe constitué d'un point et d'un numéro. Pour éviter les confusions il est recommandé de mettre comme numéro le numéro de VLAN visé. Vous pouvez filtrer les paquets destinés à l'interface virtuelle avec le mot-clef <code>encapsulation</code>. Ci-dessous '''un exemple''' de configuration de sous-interface sur un port de routage.
 
router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#interface GigabitEthernet0/1.2
router(config-subif)#encapsulation dot1Q 2
router(config-subif)#ip address 192.168.2.1 255.255.255.0
router(config-subif)#exit
router(config)#exit
 
Comme adresse pour votre routeur dans le VLAN 20 prenez une adresse IPv4 en <code>192.168.1.100+nb</code> avec <code>nb</code> le numéro de votre réseau local. L’adresse IPv4 du routeur de la liaison dédiée est <code>192.168.1.254</code>.
 
Basculez le routage par défaut sur le routeur de la liaison dédiée. Vérifiez que vous avez un accès à Internet. Le passage par un mandataire web est-il encore nécessaire ?
 
== Troisième méthode ==
 
Cette fois vous allez implanter votre propre mascarade. Pour cela, vous passerez par un troisième VLAN du réseau de l’école. Ce troisième VLAN est un VLAN avec des adresses publiques, il s’agit du VLAN 111 de réseau IPv4 associé <code>193.48.65.96/27</code>. Vous devez configurer des ports du commutateur de promotion dans le VLAN 111.
 
Connectez votre routeur au VLAN 111 par sa seconde interface de routage. Comme adresse pour votre routeur dans le VLAN 111 prenez une adresse IPv4 en <code>193.48.65.100+nb</code> avec <code>nb</code> le numéro de votre réseau local. Dans le VLAN 111, l’adresse IPv4 du routeur de l’école est <code>193.48.65.126</code>.
 
La mise en place de la mascarade se fait très simplement sous IOS. Il suffit d’ajouter les directives <code>ip nat inside</code> et <code>ip nat outside</code> sur les interfaces ad hoc. Avec un peu de réflexion vous trouverez quelle directive se place sur quelle interface. Il est aussi nécessaire d’utiliser une directive globale :
 
la dite directive s’appuie sur une règle de filtrage de la forme (attention le masque demandé pour le réseau IPv4 doit être donné à l’inverse bit à bit) :
 
    access-list <numéro> permit ip <réseau IP source> any
 
la directive globale de mascarade est de la forme :
 
    ip nat inside source list <numéro de règle> interface <nom d'interface publique> overload
 
Ajustez les routes par défaut pour que vos machines puissent sortir sur Internet. Vous devriez avoir une connexion équivalente à celle de la seconde méthode.
 
= Utilisation avancée de X11 =
 
Pour cet exercice, il vous faudra rendre votre serveur X11 accessible du réseau en ajoutant l’option <code>-listen tcp</code> appliquée à X11. Pour réaliser cela, modifiez l'option <code>-nolisten tcp</code> de la variable <code>xserver_arguments</code> du fichier de configuration du gestionnaire de session <code>slim</code>. Le fichier de configuration de <code>slim</code> est <code>/etc/slim.conf</code>. Il faut ensuite relancer le gestionnaire de sessions.
 
Utilisez la procédure sécurisée permettant d’afficher l’application <code>xeyes</code> lancée de votre RaspBerry Pi sur l’écran X11 de votre machine virtuelle (sans utiliser l’option <code>-X</code> de <code>ssh</code> mais en utilisant l’utilitaire <code>xauth</code>).
 
Recommencez la manipulation ensuite en passant dans une connexion <code>ssh</code> avec l’option de transport de flux X11.
 
= Analyse de paquets réseau =
 
== Première récupération d’informations ==
 
Commencez par ajouter les paquetages <code>apache2</code> et <code>php</code> sur votre RaspBerry Pi.
 
Ensuite, développez dans le répertoire <code>/var/www/html</code> un formulaire HTML et une page PHP pour traiter les données provenant du formulaire.
 
Enfin, lancez <code>wireshark</code> et accédez à votre page depuis la machine virtuelle. Quelles sont les informations que vous voyez passez ? Réalisez la même expérience avec l’ancien site Web IMA [http://ima.plil.fr].
 
== Connexion à distance en mode texte ==
 
Lancez <code>wireshark</code> dans votre machine virtuelle, connectez-vous de votre RaspBerry Pi sur votre machine virtuelle. Commencez avec <code>telnet</code> (vérifiez que les paquetages <code>inetutils-inetd</code> et <code>inetutils-telnetd</code> sont bien installés installés sur votre machine et que le service <code>inetutils-inetd</code> est bien démarré) et testez ensuite <code>ssh</code>. Que constatez-vous au niveau de la sécurité des différentes commandes vis-à-vis d’un éventuel pirate ?
 
= Manipulation de protocoles Internet =
 
Nous allons maintenant voir les grands protocoles Internet bien plus en détail.
 
== Rappel sur les principaux protocoles ==
 
=== Protocole HTTP ===
 
Les trois commandes principales du protocole HTTP sont résumées dans le tableau ci-dessous.
 
{| class="wikitable"
! Commande !! Description
|-
| GET || demande de document
|-
| HEAD || demande uniquement les entêtes
|-
| POST || transmission de données
|-
|}
 
=== Protocole SMTP ===
 
Les principales commandes du protocole SMTP sont résumées dans le ci-dessous.
 
{| class="wikitable"
! Commande !! Description
|-
| HELO, EHLO || message d’introduction
|-
| MAIL FROM: || spécification de la source
|-
| RCPT TO: || spécification du destinataire
|-
| DATA || spécification du message
|-
| RSET, QUIT || ré-initialiser, quitter
|-
|}
 
=== Protocole POP3 ===
 
Les principales commandes du protocole POP3 sont résumées dans le ci-dessous.
 
{| class="wikitable"
! Commande !! Description
|-
| USER, PASS || identification de l’utilisateur
|-
| LIST || liste les numéros des messages
|-
| RETR, TOP || rapatrie un message
|-
| DELE || détruit un message
|-
| LAST || numéro du dernier message lu
|-
| RSET, QUIT || ré-initialiser, quitter
|-
|}
 
== Manipulation du protocole HTTP ==
 
Donnez le maximum d’informations sur les serveurs web des sites :
    http://www.polytech-lille.fr
    http://www.univ-lille.fr
    http://www.microsoft.com
    http://www.orange.fr
 
Utilisez uniquement la commande <code>nc</code>. Attention, pour certains sites, vous serez amenés à utiliser un mécanisme particulier.
 
== Manipulation du protocole SMTP ==


    utilisation de la commande super mktap afin de récupérer le nom d’une interface tapX qui permettra de faire le lien entre les cartes réseau ;
Afin de comprendre le fonctionnement du protocole SMTP, envoyez un mail à votre binôme en utilisant comme unique outil <code>nc</code>.
    lancement de la machine virtuelle avec la commande suivante :


            kvm -m 1024 -hda /usr/local1/tmp/<login>/disk \
== Manipulation du protocole POP ==
                -net nic,macaddr=00:11:11:11:11:XX,model=ne2k_pci \
                -net tap,ifname=tapX,script=no,downscript=no


    Le dernier octet de l’adresse MAC correspondra au numéro de votre machine physique.
Récupérez avec <code>nc</code> le message que vous avez envoyé dans la question précédente.

Version actuelle datée du 5 décembre 2023 à 08:45

Introduction

Objectif

L’objectif de ces travaux pratiques consiste à réaliser physiquement des réseaux locaux interconnectés entre-eux. Chaque réseau local est constitué d’un commutateur/routeur, d’un point d’accès WiFi et d’un ensemble de machines (chaque binôme configure une machine virtuelle filaire et un système embarqué RaspBerry Pi WiFi). Les réseaux locaux vont être relié à Internet en utilisant plusieurs méthodes dont une masquarade que vous aurez à configurer vous-même.

Vous pourrez ainsi mettre en pratique l’ensemble des connaissances acquises lors du cours.

Matériel

Les matériels suivants sont disponibles pour ces travaux pratiques :

  • seize routeurs/commutateurs ISR4221 avec un IOS XE ;
  • quatorze points d’accès WiFi Aironet avec un IOS supérieur ou égal à 12.3 ;
  • quatorze PC classiques mais équipés de 2 cartes Ethernet ;
  • vingt-huit RaspBerry Pi avec leurs interfaces USB/série et WiFi ;
  • vingt-huit WebCam ;
  • moult jarretières RJ45.

Installation d’un système d’exploitation

Afin d’accèder au réseau, il vous faut commencer par installer un système Linux (distribution Devuan). Pour ne pas interférer avec le fonctionnement normal de la machine de TP, vous allez créer une machine virtuelle dans laquelle vous installerez le système d’exploitation. Vour utiliserez pour cela kvm, qui émule une machine physique de type PC.

La première opération à réaliser consiste à créer un fichier qui sera utilisé par la machine virtuelle comme disque dur. Dans le répertoire /usr/local1/tmp/ commencez par créer un répertoire dont le nom est votre identifiant école. Puis créez le fichier en utilisant la commande

qemu-img create /usr/local1/tmp/<login>/disk 10G

Installation DVD

Une fois que votre disque virtuel est créé, vous pouvez lancer l’installation dans la machine virtuelle avec la commande :

 kvm -m 1024 -hda /usr/local1/tmp/<login>/disk -cdrom <image ISO> -net nic -net user

L'image ISO citée dans la commande ci-dessus est la plus récente image ISO d'installation de la distribution Linux Devuan se trouvant dans le répertoire /usr/local1/devuan/.

Cette commande lance la machine virtuelle en lui indiquant le fichier servant de disque dur créé précédement (option -hda /usr/local1/tmp/<login>/disk) et en lui indiquant que votre machine virtuelle aura un lecteur optique virtuel.

Vous indiquerez, quand cela vous sera demandé, que vous ne voulez pas utiliser un autre disque optique mais que vous voulez utiliser un dépôt Devuan en complément. Cette méthode d’installation nous évite de devoir télécharger toutes les images des DVD d’installation.

Les autres éléments de configuration sont expliqués dans la section suivante.

Configuration de Linux

Si vous êtes un peu perdu dans l’installation de la distribution Devuan vous pouvez trouver de l’aide à l’URL [1].

Quelques éléments pour la configuration :

  • utilisez l'installation en mode expert, commencez par le premier item d'installation et sélectionnez toujours les étapes dans l'ordre proposé ;
  • sauf mention contraire les options par défaut sont les bonnes ;
  • comme langage sélectionnez l'anglais version patoi UK ;
  • sélectionnez un clavier français ;
  • laissez se faire la configuration réseau automatique (DHCP pour IPv4) ;
  • comme nom de machine prenez le nom de la machine de TP préfixé de la lettre v (comme virtuelle), utilisez plil.info comme nom de domaine ;
  • imposez les mots de passe habituel pour root et pour l'utilisateur pifou ;
  • utilisez un disque entier pour l'installation, tous les fichiers dans la même partition (attention à bien valider la modification) ;
  • utilisez un dépôt de paquetages Devuan situé en France, permettez d'installer des paquetages non libres ;
  • installez les ensembles de logiciels "Environnement de bureau/XFCE", "Serveur Web", "Outils console", "Serveur SSH" et "Utilitaires standards" (attention la sélection des ensembles se fait avec la barre d'espace) ;
  • pour atteindre le dépot Devuan vous devrez utiliser le serveur mandataire Web (proxy Web in english) de la plateforme informatique (http://proxy.plil.fr:3128) ;
  • n'oubliez pas d'installer GRUB sur votre disque virtuel.

Pendant l’installation, vous allez pouvoir commencer la configuration de vos réseaux locaux (section suivante).

À la fin l’installation de votre machine fixe, supprimez le paquetage network-manager et ajoutez le logiciels ci-dessous.

  • l’analyseur de réseau wireshark ;
  • le service telnet (paquetage telnetd) ;
  • le logiciel nc (paquetage netcat-openbsd).

Une fois l’installation de votre machine terminée, vous pouvez connecter la seconde carte réseau de votre machine physique sur un port du commutateur de votre réseau. Afin de pouvoir lier la carte réseau virtuelle avec la seconde carte réseau physique, vous devez relancer la machine virtuelle de la manière suivante :

  • utilisation de la commande super mktap afin de récupérer le nom d’une interface tapX qui permettra de faire le lien entre les cartes réseau ;
  • lancement de la machine virtuelle avec la commande suivante :
kvm -m 1024 -hda /usr/local1/tmp/<login>/disk -net nic,macaddr=00:11:11:11:YY:XX -net tap,ifname=tapX,script=no,downscript=no

L'avant dernier octet correspond à la salle de TP (05 pour la C105 ou 06 pour la C106). Le dernier octet de l’adresse MAC correspondra au numéro de votre machine physique.

Configuration des Raspberry Pi

Pour configurer votre RaspBerry Pi, connectez-la sur votre PC fixe via le câble de liaison USB/série (masse sur la broche 6, RX jaune sur la broche 8 et TX orange sur la broche 10). N'oubliez pas de vous donner les droit sur ce port série par la commande super usb.

La configuration se fait en utilisant l’utilitaire minicom avec l'option -D pour spécifier le périphérique (/dev/ttyS0 pour un port classique ou /dev/ttyUSB0 pour un adaptateur USB) et avec l'option -b pour spécifier la vitesse. Pour les Raspberry Pi vous pouvez utiliser une vitesse de 115200 bauds. Il vous faudra aussi supprimer le contrôle de flux (pour cela utilisez le menu "Serial Port Setup" que vous pouvez atteindre par les touches CTRL-a puis o).

L’identifiant de l’utilisateur de la RaspBerry Pi est pi sans mot de passe.

N'oubliez pas de supprimer les paquetages network-manager et dhcpcd5 pour que ces applications ne perturbent pas votre configuration réseau.

Définition des réseaux locaux

Les réseaux Ipv4

Vous allez concevoir et implanter des réseaux locaux. Ces réseaux locaux seront composés de quatre réseaux IP, deux pour les machines filaires et deux pour les machines WiFi. A ces quatre réseaux s’ajoute le réseau de service permettant d’accéder aux équipements réseau. Les adresses des réseaux IP sont les suivantes :

N° de réseau Service Filaire 1 WiFi 1 Filaire 2 WiFi 2
Réseau 1 172.26.0.24/30 172.26.0.0/29 172.26.0.8/29 172.26.0.16/30 172.26.0.20/30
Réseau 2 172.26.0.56/30 172.26.0.32/29 172.26.0.40/29 172.26.0.48/30 172.26.0.52/30
Réseau 3 172.26.0.88/30 172.26.0.64/29 172.26.0.72/29 172.26.0.80/30 172.26.0.84/30
Réseau 4 172.26.0.120/30 172.26.0.96/29 172.26.0.104/29 172.26.0.112/30 172.26.0.116/30
Réseau 5 172.26.0.152/30 172.26.0.128/29 172.26.0.136/29 172.26.0.144/30 172.26.0.148/30
Réseau 6 172.26.0.184/30 172.26.0.160/29 172.26.0.168/29 172.26.0.176/30 172.26.0.180/30
Réseau 7 172.26.0.216/30 172.26.0.192/29 172.26.0.200/29 172.26.0.208/30 172.26.0.212/30
Réseau 8 172.26.0.248/30 172.26.0.224/29 172.26.0.232/29 172.26.0.240/30 172.26.0.244/30
Réseau 9 172.26.1.24/30 172.26.1.0/29 172.26.1.8/29 172.26.1.16/30 172.26.1.20/30
Réseau 10 172.26.1.56/30 172.26.1.32/29 172.26.1.40/29 172.26.1.48/30 172.26.1.52/30
Réseau 11 172.26.1.88/30 172.26.1.64/29 172.26.1.72/29 172.26.1.80/30 172.26.1.84/30
Réseau 12 172.26.1.120/30 172.26.1.96/29 172.26.1.104/29 172.26.1.112/30 172.26.1.116/30
Réseau 13 172.26.1.152/30 172.26.1.128/29 172.26.1.136/29 172.26.1.144/30 172.26.1.148/30
Réseau 14 172.26.1.184/30 172.26.1.160/29 172.26.1.168/29 172.26.1.176/30 172.26.1.180/30
Réseau 15 172.26.1.216/30 172.26.1.192/29 172.26.1.200/29 172.26.1.208/30 172.26.1.212/30
Réseau 16 172.26.1.248/30 172.26.1.224/29 172.26.1.232/29 172.26.1.240/30 172.26.1.244/30

Vous commencerez par implanter vos réseaux locaux et vous assurer que le machines connectées dessus puissent communiquer. Dans un second temps vous interconnecterez vos réseaux locaux et vous ferez en sorte qu'ils puissent sortir sur Internet.

Architecture de vos réseaux locaux

Les machines filaires sont distribuées équitablement sur deux VLAN (VLAN numéro 2 et VLAN numéro 3) déclarés sur votre commutateur. Le point d’accès WiFi est connecté par une liaison "trunk" sur une interface de commutation du commutateur/routeur. La liaison "trunk" va permettre de porter les VLAN WiFi numéros 4 et 5.

Prise en main du commutateur / routeur

Accès au commutateur / routeur ISR4221

Pour configurer l'ISR4221, vous devez assurer une connexion série entre l'élément réseau Cisco et votre machine de TP. Pour cela vous passerez par le panneau de brassage du local technique et par les prises en C105 et C106. Dans le local technique le jarretièrage se fait avec les câbles de couleur, dans les salles de TP le jarretièrage se fait avec les câbles gris. Sur la machine de TP utilisez un port série (classique ou via un adaptateur USB). N'oubliez pas de vous donner les droit sur ce port série par les commandes super serial et super usb.

La configuration se fait en utilisant l’utilitaire minicom avec l'option -D pour spécifier le périphérique (/dev/ttyS0 pour un port classique ou /dev/ttyUSB0 pour un adaptateur USB) et avec l'option -b pour spécifier la vitesse. Pour les équipements Cisco vous pouvez utiliser une vitesse de 9600 bauds. Il vous faudra aussi supprimer le contrôle de flux (pour cela utilisez le menu "Serial Port Setup" que vous pouvez atteindre par les touches CTRL-a puis o).

Première configuration de l'ISR4221

Vous pouvez vous familiariser avec le shell IOS Cisco avec la session suivante.

router>enable
Password:
router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#exit
router#write
Building configuration...
[OK]
router#reload
Proceed with reload? [confirm]

Il vous est ensuite demandé de mettre le mot de passe habituel sur l'équipement et de faire en sorte qu'il puisse être accédé par ssh sur le VLAN de service c'est à dire le VLAN de numéro 1.

Pour configurer le mot de passe intéressez-vous à l'exemple ci-dessous.

router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#enable secret <motdepasse>
router(config)#line vty 0 15
router(config-line)#password <motdepasse>
router(config-line)#exit

Pour donner une adresse IP à votre routeur sur le VLAN 1, inspirez-vous de l'exemple ci-dessous.

router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#interface Vlan1
router(config-if)#ip address 192.168.0.10 255.255.255.0
router(config-if)#exit
router(config)#exit

Enfin vous avez tous les éléments nécessaires pour la configuration du serveur ssh ci-dessous.

router#configure terminal
router(config)#hostname myrouter
myrouter(config)#aaa new-model
myrouter(config)#username admin privilege 15 secret <motdepasse>
myrouter(config)#ip domain-name plil.info
myrouter(config)#crypto key generate rsa
myrouter(config)#line vty 0 15
myrouter(config-line)#transport input ssh
myrouter(config-line)#exit

Donnez une adresse IPv4 à votre machine virtuelle dans le VLAN 1 et connectez-la sur un port de commutation de votre commutateur par un jarretièrage adapté. Vérifiez que vous pouvez vous connecter à votre équipement par ssh.

Pour configurer votre machine virtuelle modifiez le fichier /etc/network/interfaces en vous inspirant de l'exemple ci-dessous.

 # The loopback network interface
 auto lo
 iface lo inet loopback

 # The primary network interface (IPv4)
 iface eth0 inet dhcp

 # A secondary network interface (IPv4)
 iface eth1 inet static
   address 172.26.79.42
   netmask 255.255.240.0
 # gateway 172.26.79.254

Réseaux locaux filaires

Configuration des VLAN

Implantez vos VLAN sur le commutateur Cisco en vous connectant par ssh. Il vous est demandé de mettre deux ports dans chacun des VLAN filaires et de préparer un port pour une liaison Trunk vers le point d'accès WiFi. L'exemple de session ci-dessous vous aidera à utiliser les bonnes commandes.

switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
switch(config)#vlan 2
switch(config-vlan)#name Principal
switch(config-vlan)#exit
switch#show interfaces status
...
switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
switch(config)#interface gigabitEthernet0/7
switch(config-if)#switchport
switch(config-if)#switchport mode access
switch(config-if)#switchport access vlan 2
switch(config-if)#exit
switch(config)#interface gigabitEthernet1/1
switch(config-if)#switchport trunk encapsulation dot1q # Si nécessaire
switch(config-if)#switchport mode trunk 
switch(config-if)#exit

Testez votre configuration de la partie commutation en plaçant à la fois votre machine virtuelle et votre Raspberry Pi sur le même VLAN. Configurez correctement les deux machines en IPv4. Vérifiez que les deux machines communiquent avec les utilitaires ping et ssh. Déplacez une des deux machines sur l'autre VLAN filaire. Que constatez-vous ?

Routage de vos VLAN

Configurez votre routeur Cisco pour que vos 5 VLAN soient routés entre eux sans limitation. Pour cela il vous suffit de mettre une adresse IPv4 à votre routeur dans chaque VLAN. Inspirez-vous de l'exemple de session ci-dessous.

router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#interface Vlan2
router(config-if)#ip address 192.168.1.1 255.255.255.0
router(config-if)#exit
router(config)#exit

Testez votre routage en reprenant la maquette de la section précedente, à savoir votre machine virtuelle dans un VLAN filaire et votre Raspberry Pi dans l'autre. Configurez correctement les deux machines en IPv4.Vérifiez que les deux machines communiquent avec les utilitaires ping et ssh.

Réseaux locaux sans fil

Configuration du point d'accès WiFi

Vous pouvez maintenant configurer votre point d’accès et connecter votre système embarqué en WiFi sur votre réseau.

Dans la mesure du possible configurez votre point d’accès en 5Ghz (interface Dot11Radio1) pour éviter au maximum les interférences. Il est rappelé qu’il n’y a que 3 canaux indépendants en 2,4Ghz mais une vingtaine, pour l’europe, en 5Ghz.

Vous allez implanter deux SSID sur votre point d’accès WiFi-nb-a et WiFi-nb-b avec nb votre numéro de réseau. Pour chaque SSID il est demandé d’utiliser une sécurisation de type WPA-PSK. Voici un exemple de configuration de réseau WiFi avec ce type de sécurisation en utilisant l’IOS de Cisco :

dot11 ssid WiFi-nb-a
  vlan 4
  authentication open
  authentication key-management wpa
  wpa-psk ascii 0 motdepasse
  mbssid guest-mode
!

Au préalable, il faut configurer le mode SSID multiple (mot clef mbssid) ainsi que les méthodes de cryptage (mot clef encryption) TKIP et AES-CCMP sur l’interface Dot11Radio1. Enfin il ne faut pas oublier d’ajouter les SSID à l’interface Dot11Radio1 (mot clef éponyme).

Pour assurer la correspondance entre les SSID et les VLAN filaires un bloc de commandes, dont un exemple est donné ci-dessous, doit être inséré dans la configuration pour chaque SSID.

interface Dot11Radio1.4 
  encapsulation dot1Q 4
  bridge-group 4 
!
interface GigabitEthernet0.4 
  encapsulation dot1Q 4
  bridge-group 4
!

Pour mettre votre point d'accès en service il faut la connecter en filaire sur le port Trunk de votre commutateur.

Configuration d’un serveur DHCP

Pour faciliter la connexion des périphériques WiFi, vous allez configurer votre routeur de site pour permettre une configuration automatique des paramètres IPv4.

Vous allez donc configurer un groupe DHCP pour chaque réseau WiFi :

ip dhcp pool groupea
  ...
!

Pour le groupe vous devez définir un réseau IPv4 (mot clef network), un serveur DNS (mot clef dns-server) et un routeur (mot clef default-router).

N’oubliez pas d’exclure des groupes les adresses IPv4 que vous utilisez pour le routage avec la commande ip dhcp excluded-address à taper en dehors de la définition du groupe.

Vous pouvez vérifier la configuration des groupes avec la commande show ip dhcp pool et lister les adresses délivrées par DHCP avec la commande show ip dhcp binding. Il est aussi possible de supprimer les licences DHCP déjà délivrées avec la commande clear ip dhcp-server binding *.

Connexion d'une Raspberry Pi en WiFi

Maintenant que l'infrastructure WiFi est implanté, nous allons y connecter une machine.

L'interface WiFi de la Raspberry Pi peut être désactivée, jouez avec l'utilitaire rfkill si c'est le cas pour l'activer.

Définissez une interface wlan0 dans le fichier /etc/network/interfaces de votre Raspberry Pi. Il vous est rappelé un exemple de configuration d’interface WiFi :

iface wlan0 inet dhcp
  wpa-ssid <reseauwifi>
  wpa-key-mgmt WPA-PSK
  wpa-psk <motdepasse>

N’oubliez pas de mettre l’adresse IPv4 du serveur DNS dans le fichier /etc/resolv.conf.

Vérifiez que votre Raspberry Pi a accès à la machine virtuelle avec les utilitaires ping et ssh. Connectez la RaspBerry Pi sur l'autre réseau WiFi. Faite le même test.

Interconnexion des routeurs

Le réseau d’interconnexion entre les routeurs est 192.168.222.32/27 et se trouve sur le VLAN 132 de l'école. Nous vous demandons d'implanter ce réseau IPv4 sur une interface de routage de votre propre routeur. Lisez attentivement l’extrait de session sur le routeur ci-dessous pour déterminer l’adresse IPv4 que doit avoir votre routeur sur le réseau d'interconnexion.

RG20-R6506#show running-config | include ip route 10.10  
ip route 172.26.0.0 255.255.255.224 192.168.222.34
ip route 172.26.0.32 255.255.255.224 192.168.222.35
ip route 172.26.0.64 255.255.255.224 192.168.222.36
ip route 172.26.0.96 255.255.255.224 192.168.222.37
ip route 172.26.0.128 255.255.255.224 192.168.222.38
ip route 172.26.0.160 255.255.255.224 192.168.222.39
ip route 172.26.0.192 255.255.255.224 192.168.222.40
ip route 172.26.0.224 255.255.255.224 192.168.222.41
ip route 172.26.1.0 255.255.255.224 192.168.222.42
ip route 172.26.1.32 255.255.255.224 192.168.222.43
ip route 172.26.1.64 255.255.255.224 192.168.222.44
ip route 172.26.1.96 255.255.255.224 192.168.222.45
ip route 172.26.1.128 255.255.255.224 192.168.222.46
ip route 172.26.1.160 255.255.255.224 192.168.222.47
ip route 172.26.1.192 255.255.255.224 192.168.222.48
ip route 172.26.1.224 255.255.255.224 192.168.222.49

Reliez les routeurs entre eux à l’aide du commutateur de promotion. Ce commutateur est déjà connecté au réseau de l'école via un port fibre qui doit être configuré en mode trunk. A vous aussi de déclarer, sur le commutateur de promotion, des ports dans le VLAN 132 pour réaliser l'interconnexion entre tous les routeurs de la promotion.

Les routeurs s’échangeront leurs tables de routage en utilisant le protocole RIPv2. L’IOS de Cisco permet de déclarer le protocole de routage RIP par le mot clef router rip. Comme nous cherchons à router une classe A disjointe (réseau IP 10.0.0.0/8), il faut préciser la directive no auto-summary dans le bloc de configuration. Dans ce bloc de configuration, il suffit ensuite de déclarer les réseaux participant au routage RIP avec le mot clef network. Vérifiez que la table de routage se remplit bien avec la commande show ip route.

Vérifiez que votre machine virtuelle a accès aux machines virtuelles des autres réseaux avec les utilitaires ping et ssh.

Accès à Internet

Première méthode

Pour la suite du TP, vous allez connecter vos réseaux au réseau de l’école. Votre routeur est déjà connecté sur le le VLAN 132 via le commutateur de promotion pour réaliser l'interconnexion entre les routeurs de travaux pratiques.

Il vous reste à trouver l’adresse IPv4 de la route par défaut à implanter sur vos routeurs, regardez l’extrait de session ci-dessous :

RG20-R6506#show running-config interface vlan132
Building configuration... 

Current configuration : 146 bytes
!
interface Vlan132
 ip address 192.168.222.33 255.255.255.224
 ip access-group 2032 out
 no ip mroute-cache
end

Vérifiez que vos machines ont maintenant accès au réseau de l’école. Faites en sorte de pouvoir naviguer sur le web à partir de votre machine virtuelle. Comme serveur DNS, il est conseillé d’utiliser la machine d’adresse IPv4 193.48.57.48.

Deuxième méthode

Plutôt qu’une connexion sur le réseau privé de l’école, vous allez tenter de connecter votre réseau local à Internet en passant par une liaison dédiée. Cette fois il faut passer par le VLAN 20 de l'école associé au réseau IPv4 192.168.1.0/24.

Pour pouvoir basculer d’une sortie Internet à une autre par un simple changement de la route par défaut sur votre routeur de site, il vous est demandé de connecter ce routeur au commutateur commun par un port "trunk". Pour connecter votre routeur de site sur les deux VLAN 20 et 132, vous implanterez des sous-interfaces sur l’interface de routage déjà utilisée. Les sous-interfaces sont obtenues en donnant un nom d'interface physique et en ajoutant un suffixe constitué d'un point et d'un numéro. Pour éviter les confusions il est recommandé de mettre comme numéro le numéro de VLAN visé. Vous pouvez filtrer les paquets destinés à l'interface virtuelle avec le mot-clef encapsulation. Ci-dessous un exemple de configuration de sous-interface sur un port de routage.

router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#interface GigabitEthernet0/1.2
router(config-subif)#encapsulation dot1Q 2
router(config-subif)#ip address 192.168.2.1 255.255.255.0
router(config-subif)#exit
router(config)#exit

Comme adresse pour votre routeur dans le VLAN 20 prenez une adresse IPv4 en 192.168.1.100+nb avec nb le numéro de votre réseau local. L’adresse IPv4 du routeur de la liaison dédiée est 192.168.1.254.

Basculez le routage par défaut sur le routeur de la liaison dédiée. Vérifiez que vous avez un accès à Internet. Le passage par un mandataire web est-il encore nécessaire ?

Troisième méthode

Cette fois vous allez implanter votre propre mascarade. Pour cela, vous passerez par un troisième VLAN du réseau de l’école. Ce troisième VLAN est un VLAN avec des adresses publiques, il s’agit du VLAN 111 de réseau IPv4 associé 193.48.65.96/27. Vous devez configurer des ports du commutateur de promotion dans le VLAN 111.

Connectez votre routeur au VLAN 111 par sa seconde interface de routage. Comme adresse pour votre routeur dans le VLAN 111 prenez une adresse IPv4 en 193.48.65.100+nb avec nb le numéro de votre réseau local. Dans le VLAN 111, l’adresse IPv4 du routeur de l’école est 193.48.65.126.

La mise en place de la mascarade se fait très simplement sous IOS. Il suffit d’ajouter les directives ip nat inside et ip nat outside sur les interfaces ad hoc. Avec un peu de réflexion vous trouverez quelle directive se place sur quelle interface. Il est aussi nécessaire d’utiliser une directive globale :

la dite directive s’appuie sur une règle de filtrage de la forme (attention le masque demandé pour le réseau IPv4 doit être donné à l’inverse bit à bit) :

   access-list <numéro> permit ip <réseau IP source> any

la directive globale de mascarade est de la forme :

   ip nat inside source list <numéro de règle> interface <nom d'interface publique> overload

Ajustez les routes par défaut pour que vos machines puissent sortir sur Internet. Vous devriez avoir une connexion équivalente à celle de la seconde méthode.

Utilisation avancée de X11

Pour cet exercice, il vous faudra rendre votre serveur X11 accessible du réseau en ajoutant l’option -listen tcp appliquée à X11. Pour réaliser cela, modifiez l'option -nolisten tcp de la variable xserver_arguments du fichier de configuration du gestionnaire de session slim. Le fichier de configuration de slim est /etc/slim.conf. Il faut ensuite relancer le gestionnaire de sessions.

Utilisez la procédure sécurisée permettant d’afficher l’application xeyes lancée de votre RaspBerry Pi sur l’écran X11 de votre machine virtuelle (sans utiliser l’option -X de ssh mais en utilisant l’utilitaire xauth).

Recommencez la manipulation ensuite en passant dans une connexion ssh avec l’option de transport de flux X11.

Analyse de paquets réseau

Première récupération d’informations

Commencez par ajouter les paquetages apache2 et php sur votre RaspBerry Pi.

Ensuite, développez dans le répertoire /var/www/html un formulaire HTML et une page PHP pour traiter les données provenant du formulaire.

Enfin, lancez wireshark et accédez à votre page depuis la machine virtuelle. Quelles sont les informations que vous voyez passez ? Réalisez la même expérience avec l’ancien site Web IMA [2].

Connexion à distance en mode texte

Lancez wireshark dans votre machine virtuelle, connectez-vous de votre RaspBerry Pi sur votre machine virtuelle. Commencez avec telnet (vérifiez que les paquetages inetutils-inetd et inetutils-telnetd sont bien installés installés sur votre machine et que le service inetutils-inetd est bien démarré) et testez ensuite ssh. Que constatez-vous au niveau de la sécurité des différentes commandes vis-à-vis d’un éventuel pirate ?

Manipulation de protocoles Internet

Nous allons maintenant voir les grands protocoles Internet bien plus en détail.

Rappel sur les principaux protocoles

Protocole HTTP

Les trois commandes principales du protocole HTTP sont résumées dans le tableau ci-dessous.

Commande Description
GET demande de document
HEAD demande uniquement les entêtes
POST transmission de données

Protocole SMTP

Les principales commandes du protocole SMTP sont résumées dans le ci-dessous.

Commande Description
HELO, EHLO message d’introduction
MAIL FROM: spécification de la source
RCPT TO: spécification du destinataire
DATA spécification du message
RSET, QUIT ré-initialiser, quitter

Protocole POP3

Les principales commandes du protocole POP3 sont résumées dans le ci-dessous.

Commande Description
USER, PASS identification de l’utilisateur
LIST liste les numéros des messages
RETR, TOP rapatrie un message
DELE détruit un message
LAST numéro du dernier message lu
RSET, QUIT ré-initialiser, quitter

Manipulation du protocole HTTP

Donnez le maximum d’informations sur les serveurs web des sites :

   http://www.polytech-lille.fr
   http://www.univ-lille.fr
   http://www.microsoft.com
   http://www.orange.fr 

Utilisez uniquement la commande nc. Attention, pour certains sites, vous serez amenés à utiliser un mécanisme particulier.

Manipulation du protocole SMTP

Afin de comprendre le fonctionnement du protocole SMTP, envoyez un mail à votre binôme en utilisant comme unique outil nc.

Manipulation du protocole POP

Récupérez avec nc le message que vous avez envoyé dans la question précédente.