Permission est accordée de copier,distribuer et/ou modifier ce document selon les termes de la Licence de DocumentationLibre GNU (GNU Free Documentation License), version 1.1 ou toute versionultérieure publiée par la Free Software Foundation, sans section invariable. Vouspouvez lire une version originale de cette licence en anglais à http://www.gnu.org/copyleft/fdl.htmlouune version non officielle traduite en français à http://www.linux-france.org/prj/jargonf/general/gfdl.html.
Ce document est distribué carpotentiellement utile, mais SANS AUCUNE GARANTIE, ni explicite, ni implicite, ycompris les garanties de commercialisation ou d'adaptation dans un butspécifique. Reportez-vous à la GNU Free Documentation Licence pour plus de détails.
·Connaître lescommandes simples d’un routeur (CISCO), les mécanismes de restriction d’accès(Access List) et de translation d’adresse
·Utiliser unoutil d’administration (Openview) pour récupérer des informations relatives auxbases de données d’administration (MIB) et sur l’état du système
·Utiliser unanalyseur de réseau (performances, contenu des trames Ethernet)
·Comprendrel’empilement des protocoles lors d’une communication TCP/IP
Le réseau étudié est composé deplusieurs sous-réseaux. Il comprend 3 routeurs.
Il est interconnecté ausous-réseau 'tinsa-if" du réseau Rocad (qui dessert toute la DOUA et au delà, administréepar le CISR).
Le réseau Rocad est caractérisé par son adresse declasse B: l34.214.x.x
Le sous-réseau "insa-if" sur lesquellessont reliées toutes les machines du département informatique utilise les plagesd'adresses 134.214.l04.x à 134.214.107.x.
Pour desraisons de sécurité (liées à ce TP ...) il a été logiquement scindé en 2parties:
de 134.214.l04.0 à l34.2l4.l05.255
de 134.214.106.0 à 134.214.107.255
Le réseau étudié dispose donc de 4groupes d'adresses consécutives de classe C. Ces adresses sont routées sur leréseau Rocad mais ne peuvent pas toutes en sortir (filtrage sur le routeurd'interconnexion entre Rocad et l'extérieur).
Remarquesinitiales sur la configuration d'un routeur :
1.A tout momenton peut connaître les commandes disponibles, au niveau auquel on se trouve, entapant "?"
2.Attention à nepas modifier des choses involontairement : le routeur est commun à toutes lesmachines de la salle, et donc il est partagé par les autres TP…
A la connexion sur le routeur, l'utilisateur setrouve en mode "Exec" avec un ensemble de commandes réduit. Laplupart des commandes sont disponibles dans le mode "configuration"que l'on peut lancer par la commande "enable niveau" (ex: ena 2).
nota : uneliste partielle des commandes est donnée en annexe. Seule une partie en estaccessible par les utilisateurs "non-administrateurs" en fonction deleur niveau de privilège, déterminé par le mot de passe permettant de passer enmode privilégié (configuration), demandé à la suite de la commande"enable".
Les routeurs de la salle sont : cisco-ifls,cisco-ifls2 et cisco-ifls3.
Pour accéder au routeurs, on peut utiliserplusieurs adresses IP (puisqu’ils sont censés appartenir à plusieurs réseaux,puisqu’ils font du routage J). Nous vous donnons ici simplement une adresse parrouteur, vous permettant de vous connecter dessus. Ce sera à vous (voirquestion 2) à déterminer les autres.
cisco-ifls :134.214.105.1
cisco-ifls2 :192.168.34.1
cisco-ifls3 :192.168.32.129
Connexion:
A partir de l'adresse d'entrée du second routeur(cisco-ifls2, 192.168.34.1), établir une connexion par "telnet" surce routeur depuis un système connecté au mini-réseau (ou un système de"insa-if").
Nom d'utilisateur: tp4if
Mot de passe: insa-if
nota :ces paramètres permettent de se connecter aux 3 routeurs relatifs à ce TP.
Exercice 1:
En envoyant des "ping" ou des"traceroute" vers différentes adresses du réseau étudié ou de Rocad,vérifier qu'elles sont les zones que l'on peut atteindre avec la configurationde départ.
1.Etudierrapidement l'activité du routeur, en mode "Exec".
2.Passer en modeprivilégié (niveau 2) et observer la configuration en cours (commande showconfigration).
(nota :le mot de passe "insa-if" permet d'accéder au niveau de privilège 2).
Exercice 2:
En se connectant sur l’ensembledes routeurs, déterminer le plan d’adressage complet des routeurs et des sallesqui leur sont adossées, ainsi que les interconnexions entre ces routeurs.
Pour des raisons de sécurité les listes d'accès(access-list) ne sont modifiables que par les administrateurs. Par contre ilest possible de choisir la liste d'accès applicable à chaque interface durouteur.
Exercice 3:
Modifier les droits d'accès sur l'interfaceEthernet0 du routeur cisco-ifls3 (ou éventuellement du router cisco-ifls2 ...)et tester le filtrage (par des commandes ping ou traceroute).
Nota : lamodification des droits sur Ethernet0 et/ou SerialO peut entraîner desnuisances pour les utilisateurs du réseau ... ... qui ne travaillent pas surl'administration de réseaux.
Nota:l'exercice ci-dessous ne peut être réaliser queSi l'on possède les droits de modification des adresses sur le routeur ET surles stations du réseau, ce qui n'est pas le cas actuellement On se contenteradonc d'indiquer les nouvelles configurations.
Choisir une nouvelle adresse pour le réseauaccessible sur l'interface Ethernet0 (attention à ne pas bloquer le système enmodifiant inconsidérément les accès au routeur); changer l'adresse IP de cetinterface.
Vérifier queles systèmes connectés à ce nouveau réseau ne sont plus accessibles.
Introduire unetranslation d'adresse pour rendre à nouveau accessible les systèmes connectés àce réseau.
Les superviseurs ou hyperviseurs de réseaux ont étécréés pour faciliter l'administration des grands réseaux, plus ou moinshétérogènes. A terme, ils devraient supporter l'ensemble des fonctionnalités del'administration de réseaux. Actuellement, ils ne supportent généralement queles fonctionnalités de:
·Gestion de laconfiguration et des noms partiellement
·Gestion desanomalies
·Gestion desperformances
et parfois
·Gestion de lasécurité (par collecte des alarmes de sécurité)
Le superviseur que nous utilisonsdans ce TP est une version réduite de HP Openview (version de démonstration)qui est limité dans la taille du réseau supervisable
Unsuperviseur comporte deux grands groupes de fonctions:
·les fonctionsde surveillance et d'acquisition des informations
·les fonctionsd'observation et de commande
Lepremier groupe est supporté par des "démons" qui tournent de manièrepermanente sur le système d'administration.
Lesecond groupe est lancé à la demande des opérateurs.
Pourdes réseaux importants la tâche de description manuelle de l'architecture duréseau serait longue et complexe. C'est pourquoi une des premièresfonctionnalités d'un superviseur est la découverte automatique du réseausupervisé.
Lorsqueles systèmes constituant le réseau ont été identifiés, ainsi que les moyens deles atteindre, ils sont surveillés soit par des scrutations périodiques(fonction Get de SNMP), soit par l'acquisition de notifications d'événementsémises par des systèmes en anomalie ou sujet à des attaques (Trap de SNMP). Lesinformations ainsi recueillies servent à mettre à jour la configurationcourante du réseau et sont enregistrées dans des journaux (Log) qui pourront êtreconsultés à la demande.
Pourinitialiser cette découverte, le superviseur commence par rechercher desinformations utiles sur le système qui le supporte: nom, adresse, type deprotocole de réseau (IP, IPX, ...), valeur du masque de sous-réseau, adressesdes serveurs de noms primaire, secondaire), adresse du routeur d'accèsprincipal au réseau en particulier.
Pardes commandes de base, par exemple ping ou traceroute, il peut tester lessystèmes identifiés et commencer à configurer son réseau et à en dessiner lacarte.
Sides agents SNMP sont installés sur ces systèmes et qu'il dispose des MIBcorrespondantes (ce qui est normal si on veut pouvoir administrer correctementle réseau...) il peut alors aller chercher des renseignements sur ces systèmespour continuer sa découverte. En particulier on peut favoriser cette rechercheen envoyant des commandes d'administration à ces systèmes.
Pourlimiter la taille de la carte et contrôler son développement, la découverted'un routeur et des sous-réseaux qui y sont attachés entraîne la création decartes de niveau 2 (submap) qui ne sont établies qu'à la demande del'opérateur. On peut aussi masquer explicitement certains systèmes ou même lessupprimer du champ d'observation.
(Attention: sur le système que nousutilisons cette fonction n 'est pas réversible pour certains type de noeuds enparticulier les routeurs; les machines supprimées ne peuvent être redécouverteset le superviseur peut devenir inutilisable et doit être désinstallé puisréinstallé complètement)
Onpeut aussi limiter les domaines observés en plaçant des filtres (masques desous-réseaux) dans les fonctions de découvertes. La gestion des noms decommunauté SNMP limite aussi l'accès aux agents SNMP, donc aux informationsrécupérables.
Ces démons peuvent être lancés ouarrêtés en général simultanément. Le passage de paramètres à leur lancementpermet d'en contrôler le fonctionnement. On peut aussi afficher l'état de cesdémons.
Pour que les fonctions de commandeou d'observation puissent être exécutées, certains de ces démons doivent êtrelancés.
Au lancement de l'observation, lacarte par défaut du réseau est affichée et mise à jour. Sur notre superviseur,les systèmes ou sous-réseaux non gérés apparaissent en beige, les systèmes ousous-réseaux sans défaut en vert, les systèmes ou sous-réseaux en défaut enrouge, les sous-réseaux ayant des systèmes en défaut en jaune. La couleur bleuindique un système ou sous-réseau trouvé mais sans renseignements utilisables.
On peut alors demander d'afficherles événements notifiés ou des informations sur les systèmes supervisés:
·informations de configuration
·informations de performance, par exempletrafic sur une interface réseau, charge CPU, etc.
·en générale toute information accessible vial'agent SNMP, en fonction de la MIB-2 (informations réseaux génériques) et de la MIB propriétaire.
Il est aussi possible de testerles systèmes par des commandes de bases émises soit depuis le systèmeadministrateur soit depuis un autre système disposant d'un agent SNMP (en luienvoyant une commande Put). On peut ainsi vérifier une route entre deuxsystèmes du réseau.
Grâce à la fenêtre "Alarm Categories"relever quels types d'événements sont notifiés et des exemples d'informationdisponibles (ceci est configurable à partir de« Fault », « Alarm »)
Sélectionnerun (ou deux) système(s) cible(s) et demander l'acquisition et la tracegraphique de la charge réseau, de la charge CPU, etc. Par exemple un routeur,une machine serveur, …
Laissertourner cette fonction pendant que l'on procède à d'autres manipulations.
Ellespeuvent être obtenue soit directement: (« Configuration »,« Network Conf. » ) : Adresses,tables de routage, arp, Services, soit à partir de scrutations SNMP (Get).On passera alors par la MIB(« Tools », « SNMP MIB Browser » puis sélection del’information et du système a interroger et commande Query (=GET))
Sélectionner des systèmes à analyser: routeur,commutateur... et relever ses informations de configuration ou des statistiquesmontrant son activité.
Par exemple:
·par la MIB-2 la table des adressesIP et des informations liées à une telle adresse(iso.org.dod.internet.mgmt.mib2)
·par la MIB privée des informations deconfiguration (iso.org.dod.internet.private)
Cettefonction est à manipuler avec précaution pour ne pas bloquer le système et êtreobligé de désinstaller et réinstaller complètement HPOpenview.
On ne découvrira, à nouveau après les avoirsupprimé de la carte, qu'un ou deux sous-réseaux terminaux (feuille dans legraphe de la carte). On suivra la procédure suivante:
1.Rendre nonadministrables (« Edit », « Unmanage Object ») lessous-réseaux que l'on s'apprête à supprimer de la carte ainsi que les routeursen amont
Onchoisira parmi les réseaux 192.168.32.* et 192.168.34.*
2.Supprimer lessous-réseaux choisis et surtout pas les routeurs, par la fonction"Cut" du menu "Edit"
3.Rendre ànouveau administrables les routeurs. La carte réseau doit se reconstruire.
4.Quand unsous-réseau a été recréé (non géré, couleur beige) vérifier le contenu de lasous-carte correspondante
5.Rendre cesous-réseau administrable et voir l'évolution de la sous-carte correspondante.
On vérifierala politique de recherche de nouveaux éléments avec le menu« Options », « Network Polling Configuration ».
D'une manièregénérale, un analyseur de réseau permet, en acquérant le trafic qui circule surle réseau à observer, de réaliser des fonctionnalités de:
·Gestion desanomalies
·Observationdes performances
Il permetaussi de trouver la liste de tous les systèmes connectés au (sous-)réseauobservé et d'identifier le couple d'adresses niveau 3 (IP par exemple) / Niveau2 (Ethernet par exemple).
Nous disposonsdu logiciel analyseur «Netmon » de Microsoft (sous-ensemble de SMS) et d'un ancienanalyseur autonome « Spider Analyseur».
En captanttoutes les trames (Ethemet) qui circulent, l'analyseur peut les comptabiliser(nombre et taille) en fonction de leur source.
On peut ainsiréaliser des moyennes sur des périodes courtes (1 ou 2 secondes) et afficher,pour chaque machine, le trafic moyen et le trafic crête générés sur la périodeobservée.
On peut aussiétablir des statistiques à long terme pour montrer l'activité de chaquesystème.
En plaçant desseuils sur certains paramètres: taux de collision, charge du réseau, paquetsnon conformes (trop courts, erronés, etc.) on peut surveiller le comportementdu réseau et relever des anomalies de fonctionnement.
Cettefonctionnalité essentielle des analyseurs de réseau permet de capter des tramessuccessives en fonction de critères placés dans des filtres et d'en analyser lecontenu.
Le systèmerelève aussi l'intervalle de temps entre une trame utile (en fonction dufiltre) et la trame utile précédente.
L'instant decapture est déterminé par une trame ayant des caractéristiques particulières.L'analyseur utilisé ne permet de capter des trames que pour un seul sensd'échange: soit toutes les trames émises, soit toutes les trames reçues, soittoutes les trames émises par un système à destination d'un autre mais pas lestrames échangées entre deux systèmes. Par contre il est possible de déclencherl'observation de trames émises dans un sens (Par exemple B vers A) par lacirculation d'une trame émise dans l'autre (de A vers B).
Le filtragepeut être fait par type de protocole (IP, etc.), par adresse, ou par un champconnu intervenant dans la première partie d'une trame protocole de transport,port, etc.)
Les trames captées sontenregistrées au vol et analysables en différé, trame par trame. Si le protocoleest connu, les champs sont affichés en clair; sinon l'affichage est réalisé enhexadécimal. Le système fournit en parallèle un affichage en mode texte quipermet de reconnaître des informations de ce type au niveau Application.
Cette analyse de trame permet de comprendre lefonctionnement des protocoles de communications utilisés
Observer l'évolution de la chargedu réseau et noter les systèmes les plus utilisés. En créant du trafic depuisune machine accessible, étudier la charge induite par un accès interactif àdistance (telnet) ou par des transferts de fichiers. Quel est le taux de chargemaximal observé?
On pourra aussi étudier le traficgénéré à long terme en regardant les statistiques.
Pour analyser plus finement lesperformances, aller dans « Outils », »Analyseur dePerformances ». Cliquer sur + pour ajouterdes informations sur le graphe (attention au facteur d’échelle qui peut rendreles informations non lisibles !)
En se plaçant dans le mode analysede trame («Outils », « Capture » puis « Afficher lesdonnées capturées »), étudier les échanges protocolaires sur le réseau.
Pour simplifier l'analyse oncréera différents types de trafic: interactif; transfert de fichiers, etc
Retrouver la structure des paquets(PDU) aux différents niveaux du modèle de référence et identifier les champsprincipaux.
On pourra en particulier étudier:
·La connexiond'un utilisateur sous Telnet
·Le transfertd'un petit fichier par ftp, (ifaedi (134.214.104.16) est muni d'un serveur ftp)
·Les tramesd'administration de réseaux
·Les tramesliées aux commandes élémentaires: ping, nslookup, traceroute (en particuliercelles liées au protocole DNS)
·La connexion àun serveur Windows NT à l'ouverture de session d'un nouvel utilisateur
etc...
ainsi que les protocoles descouches inférieures: TCP,UDP, IP, ICMP,ARP, Ethernet.
in the book "complex visual analysis of T NEEDHAM was written in part the resurgence of interest in geometry can be traced to the mass-availibility of computers to draw mathematical objects and perhaps also to the related some what breathless popular interest in chaos theory and in fractals this book instead advocates the more sober use of computers as aid in geometric reasoning " i note the movement of mathematics from esthetical description to dynamic one i note also the inlimited content of phenomenons of the pluralist world and the ilimited charachteristics of symbols so knowledge in needham book was mentionned that whereas a mathematical idea is timless thing few things are more ephemeral than computer hardware and software" the number one is very significant meaning a certain event i notice the use of the word time strongly implicated iin newtonien genesis the entropy to mean the anarchic carachter still the quantum of conciousness anf information and the eternel equation of boltsman the entropy is a logarithmic of probabilism of boltsman constante hind labdag hindou2007@yahoo.fr
