B T S S I O S I S R
S E S S I O N 2 0 1 7
1 4 / 0 4 / 2 0 1 7
Sébastien Raison
Ce document concerne uniquement le travail effectué
sur le projet TITAN (PPE2) pour la mise en place d’un
serveur NTP, d’un serveur TFTP et de la procédure de
récupération de configuration sur les matérielles CISCO.
Projet « TITAN »
Projet « TITAN »
Epreuve E4 : situation 2 Page 2
I. Sommaire I. Projet TITAN .................................................................................................................................... 3
1. Présentation. ............................................................................................................................... 3
2. Cahier des charges. ...................................................................................................................... 3
3. Mission relative au document. .................................................................................................... 4
II. Mise en place du serveur NTP ........................................................................................................ 5
1. Installation CentOS7 et récupération des paquets. .................................................................... 5
2. Test de notre service NTP. ........................................................................................................... 7
3. Synchronisation NTP des équipements CISCO. ........................................................................... 8
III. Mise en place du serveur TFTP | FTP. ......................................................................................... 9
1. Serveur TFTP ................................................................................................................................ 9
2. Test TFTP. .................................................................................................................................. 10
3. Serveur FTP. ............................................................................................................................... 11
4. Test du FTP. ............................................................................................................................... 13
IV. Procédure pour matérielle CISCO. ............................................................................................ 15
1. Envoie et récupération de fichier de configuration. ................................................................. 15
a) TFTP ....................................................................................................................................... 15
b) FTP ......................................................................................................................................... 15
c) Mise en place d’une procédure de sauvegarde automatique des configurations équipement
CISCO. ............................................................................................................................................ 16
2. Procédure de mise à jour des IOS équipement CISCO. ............................................................. 17
a) Pré-requis. ............................................................................................................................. 17
b) Copie de la startup configuration vers un serveur TFTP, FTP ou RCP. .................................. 17
c) Copie depuis la mémoire Flash vers un serveur TFTP . ......................................................... 17
d) Vérification de la DRAM ........................................................................................................ 17
e) Archive. .................................................................................................................................. 18
f) Fichier .bin ............................................................................................................................. 18
3. Procédure de changement de mot de passe matériel CISCO. .................................................. 19
a) Routeur série 1841 CISCO ..................................................................................................... 20
b) Switch Catalyst série 2940, 2950/2955, 2960, 2970 CISCO. ................................................. 21
Projet « TITAN »
Epreuve E4 : situation 2 Page 3
I. Projet TITAN
1. Présentation. M. Sapin, après avoir fait réaliser l’étude, le maquettage et la validation d’une solution permettant
d’améliorer la continuité de service des services Web existants, souhaite maintenant effectuer
quelques modifications au niveau du réseau de la M2L Voici l’énoncé de la situation de votre
deuxième PPE basé sur le même contexte M2L que vous avez étudié lors de la mise en place de votre
première PPE. Ce contexte n’a donc plus de secret pour vous. Dans le cas contraire, il sera nécessaire
de replonger dedans avant de vous lancer dans cette deuxième PPE. M. Sapin a souhaité donner à ce
projet le non de code « TITAN » car toutes les personnes à qui il a proposé ce projet lui ont
répondu : « Oulala, mais c’est titanesque ». M. Sapin est persuadé du contraire et c’est pourquoi,
sans hésiter il a lancé le projet auquel il souhaite associer vos compétences car il sait de quoi vous
êtes capables
2. Cahier des charges.
Le cahier des charges du projet dénommé « TITAN », que la M2L a mis en place, vaut pour l’étude, le maquettage et la validation d’une solution permettant dans un premier temps d’améliorer la gestion globale des équipements d’interconnexion, d’assurer une meilleure sécurité du réseau tout en améliorant la bande passante. Dans un deuxième temps, la M2L désire étudier la faisabilité d’un passage à IPv6, avec pour base les équipements actuels. Le but étant d’étudier la difficulté du passage à IPv6 suivant plusieurs cas de figures. L’administrateur de la M2L n’a ni le temps ni les compétences techniques pointues pour se pencher sur ces questions d’infrastructure réseau. Satisfaite de votre première intervention sur le Cluster, la M2L décide de faire de nouveau appel à vous. Voici les principes retenus pour l’étude :
D’un point de vue général :
La solution doit se faire avec les équipements réseau CISCO existants : aucun ajout de matériel ne peut être envisagé ;
La durée de l’interruption de service doit être minimale ;
Les différents commutateurs ainsi que le routeur doivent disposer de réglages de base homogènes ;
Un serveur NTP devra être mis en place afin d’harmoniser les équipements réseau
Les différentes configurations doivent pouvoir être sauvegardées/ restaurées rapidement et facilement ;
Des procédures permettant la sauvegarde / récupération des configurations, la mise à jour des IOS et la réinitialisation des mots de passe des Switch et du routeur devront être rédigées et mises à disposition sur un serveur FTP ;
Les évènements importants doivent être journalisés et stockés afin de faciliter le travail de l’administrateur ;
Un système de cloisonnement du réseau type VLAN devra être testé. Les commutateurs devront être facilement administrables afin de propager les configurations VLAN rapidement et aisément ;
Il est à prévoir un moyen peu coûteux d’améliorer la bande passante au niveau des liaisons inter-Switch ;
La sécurité au niveau du routeur devra être renforcée ;
Une présentation orale aidée d’un Powerpoint se fera devant le directeur de la M2L, l'administrateur Systèmes et Réseau et le président du CROSL, afin de présenter de manière synthétique les changements effectués.
Projet « TITAN »
Epreuve E4 : situation 2 Page 4
Les différentes solutions pourront faire l’objet de documentations techniques suivant la complexité de la mise en œuvre
Concernant l’étude de l’évolution vers IPv6 :
Une maquette dissociée devra être réalisée afin de tester les difficultés éventuelles d’un passage à IPv6. Cette maquette devra permettre de vérifier le fonctionnement :
o De l’adressage IPv6 sur les équipements réseaux
o Du DHCP IPv6
o Du routage statique IPv6
o Du routage dynamique utilisant RIPng Une formation devra être envisagée pour former l’administrateur de la M2L aux principes nouveaux
d’IPv6 et à la technicité de la mise en place de la solution. De la documentation technique devra lui
être fournie concernant les technologies IPv6 utilisées
3. Mission relative au document. Ce document traite la mise en place d’un serveur NTP afin d’harmoniser les équipements ainsi que la
mise en place d’un serveur FTP / TFTP et la procédure permettant la récupération et sauvegarde des
configurations du matériel CISCO.
La maquette du serveur NTP assumera aussi le rôle de TFTP (ou FTP), il s’agira d’une VM sous
VirtualBox avec pour OS centOS7. Pour des raisons d’espace disque sur le PC Hôte, le serveur NTP
assumera le aussi le rôle de serveur TFTP.
Projet « TITAN »
Epreuve E4 : situation 2 Page 5
II. Mise en place du serveur NTP
Notre VM pour la mise en place du serveur NTP sera une VM avec une configuration par défaut, on
ajoutera une carte réseau supplémentaire et on lui attribuera l’adresse IP suivante 172.16.0.5 / 16
Cette carte réseau permettra d’émuler le réseau de la M2L, l’autre carte réseau sera en DHCP et
permettra l’administration via SSH, la configuration du SSH sera celle par défaut. Nous utiliserons
PuTTY depuis notre hôte Windows afin d’administrer le serveur.
1. Installation CentOS7 et récupération des paquets. Je ne détaillerai pas l’installation de CentOS7, on choisira un partitionnement automatique du disque
dur, ici nous n’avons pas d’une solution précise pour le disque. Ensuite on choisira une zone horaire
précise dans notre cas ca sera Mayotte.
Une fois l’installation terminé on met à jour le système :
[root@NTP ~]#yum update
Puis on récupère les paquets NTP :
[root@NTP ~]#yum install ntp
On configure le firewall :
[root@NTP ~]#firewall-cmd --add-service=ntp –permanent
success
[root@NTP ~]#firewall-cmd –reload
success
On édite le fichier /etc/ntp.conf
[root@NTP ~]# nano /etc/ntp.conf
#Voici le fichier ntp.conf une fois configurer :
# For more information about this file, see the man pages
# ntp.conf(5), ntp_acc(5), ntp_auth(5), ntp_clock(5), ntp_misc(5),
ntp_mon(5).
driftfile /var/lib/ntp/drift
# Permit time synchronization with our time source, but do not # permit the source to query or modify the service on this system.
restrict default nomodify notrap nopeer noquery
# Permit all access over the loopback interface. This could
# be tightened as well, but to do so would effect some of
# the administrative functions. restrict 127.0.0.1
restrict ::1
# Hosts on local network are less restricted.
Projet « TITAN »
Epreuve E4 : situation 2 Page 6
restrict 172.16.0.0 mask 255.255.0.0 nomodify notrap
# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
#server 0.centos.pool.ntp.org iburst
#server 1.centos.pool.ntp.org iburst #server 2.centos.pool.ntp.org iburst
#server 3.centos.pool.ntp.org iburst
server 0.fr.pool.ntp.org
server 1.fr.pool.ntp.org
server 2.fr.pool.ntp.org
server 3.fr.pool.ntp.org
server 127.127.1.0 # local clock
fudge 127.127.1.0 stratum 10
Notre serveur se synchronisera sur les serveurs suivant :
server 1.fr.pool.ntp.org server 2.fr.pool.ntp.org
server 3.fr.pool.ntp.org
Si notre serveur n’arriva pas à se synchroniser avec un serveur distant, il utilisera son horloge
interne :
server 127.127.1.0 # local clock
fudge 127.127.1.0 stratum 10
On autorise les clients du réseau 172.16.0.0 255.255.0.0 à se synchroniser avec notre server ntp :
restrict 172.16.0.0 mask 255.255.0.0 nomodify notrap
On sauvegarde le fichier ntp.conf et on démarre le service NTP:
[root@NTP ~]# systemctl start ntpd
[root@NTP ~]# systemctl enable ntpd
On lance la synchronisation avec les serveurs NTP internet :
[root@NTP ~]# ntpq -p remote refid st t when poll reach delay offset jitter
============================================================================== -195.ip-51-254-1 37.247.53.178 3 u 46 64 377 221.719 17.392 3.852
+voyageurs.rail. 138.96.64.10 2 u 33 64 377 177.319 -1.725 3.425
*rbx0.vxnd.net 145.238.203.14 2 u 51 64 377 202.122 0.407 3.907
+iris.linocomm.n 148.252.105.132 2 u 41 64 377 195.100 4.694 2.665
LOCAL(0) .LOCL. 10 l 1817 64 0 0.000 0.000 0.000
On vérifie le statu du NTP :
[root@NTP ~]# ntpdc -c sysinfo
system peer: rbx0.vxnd.net
system peer mode: client
leap indicator: 00
stratum: 3 precision: -24
root distance: 0.20644 s
Projet « TITAN »
Epreuve E4 : situation 2 Page 7
root dispersion: 0.03638 s
reference ID: [5.39.80.28]
reference time: dca87987.1cdaf3b0 Mon, Apr 10 2017 16:17:59.112
system flags: auth ntp kernel stats
jitter: 0.002686 s
stability: 0.000 ppm
broadcastdelay: 0.000000 s
authdelay: 0.000000 s
2. Test de notre service NTP. Afin de tester la bonne configuration de notre serveur NTP, nous utiliserons un client NTP, soit une
VM ayant accès au réseau 172.16.0.0 255.255.0.0.
La procédure est même que pour la mise en place du serveur, à l »exception du fichier ntp.conf :
#Modification du fichier ntp.conf
#server 0.centos.pool.ntp.org iburst
#server 1.centos.pool.ntp.org iburst
#server 2.centos.pool.ntp.org iburst #server 3.centos.pool.ntp.org iburst
server 172.16.0.5 prefer
Nous avons commenté les serveurs NTP internet car nous voulons que notre client ne synchronise
qu’avec notre serveur NTP. Nous avons indiqué l’adresse IP de notre serveur NTP, la mention
« prefer » est utile dans le cas où on laisse l’accès aux serveurs internet NTP, notre client prendra de
préférence notre serveur locale puis si il est inaccessible, il choisira un serveur distant.
On n’oublie pas de configurer le firewall et de lancer le service :
[root@test ~]#firewall-cmd --add-service=ntp --permanent
success
[root@test ~]#firewall-cmd --reload
success
[root@NTP ~]# systemctl start ntpd [root@NTP ~]# systemctl enable ntpd
On lance la synchronisation NTP:
[root@test ~]# ntpq -p remote refid st t when poll reach delay offset jitter
==============================================================================
*172.16.0.5 5.39.80.28 3 u 43 64 377 0.430 126.978 42.145
Puis on regarde le statu du NTP (nécessite d’attendre quelques minutes):
[root@test ~]# ntpdc -c sysinfo
system peer: 172.16.0.5
system peer mode: client leap indicator: 00
stratum: 4 precision: -24
root distance: 0.20345 s
Projet « TITAN »
Epreuve E4 : situation 2 Page 8
root dispersion: 0.19940 s
reference ID: [172.16.0.5]
reference time: dca87d11.d256b51e Mon, Apr 10 2017 16:33:05.821
system flags: auth ntp kernel stats
jitter: 0.042145 s
stability: 0.000 ppm
broadcastdelay: 0.000000 s
authdelay: 0.000000 s
Si on ne souhaite pas attendre, on peut forcer la synchronisation via la commande :
[root@test ~]# ntpdate -u 172.16.0.5
Notre client est donc synchroniser avec notre serveur NTP, notre configuration fonctionne.
3. Synchronisation NTP des équipements CISCO.
La fonction NTP ne fonctionnant pas CISCO PACKET TRACER, je n’ai pas pu tester sur celui-ci la
synchronisation NTP. N’ayant pas de matériel CISCO dans mon lab de test, je n’ai pas pu tester la
procédure de synchronisation NTP.
Néanmoins voici la procédure, avec les commandes IOS afin de synchroniser un équipement CISCO
avec un serveur NTP :
On vérifie l’horloge interne de l’équipement :
Router#show clock
On passe en mode terminal :
Router#conf t
Router(config)#
Une fois en mode config, on rentre l’adresse du serveur NTP :
Router(config)#ntp server 172.16.0.5
On vérifie l’horloge de l’équipement :
Router#show clock
Normalement l’heure a dû être modifiée.
Pour voir si notre équipement est lié à notre NTP :
Router#show ntp status
La mention suivante doit apparaître « clock is synchronized » ainsi que l’IP de notre serveur NTP.
Projet « TITAN »
Epreuve E4 : situation 2 Page 9
III. Mise en place du serveur TFTP | FTP.
Nous mettrons en place le serveur TFTP / FTP sur notre serveur NTP, afin de préserver l’espace
disque de notre PC hôte.
Nous commencerons par installer le service TFTP puis on le testera avec notre machine client test.
Ensuite nous configurons le serveur FTP et nous le testerons avec notre client test.
Afin de facilité la récupération des configurations notre serveurs FTP et TFTP auront un accès sans
mot de passe. Les fichiers seront stockés dans des répertoires prédéfini qui seront en accès libre pour
l’utilisateur prédéfini (tftp pour le tftp et ftp pour le ftp), le reste du système ne leur étant pas
accessible.
1. Serveur TFTP Avant d’installer les paquets on configure le firewall :
[root@NTP ~]# firewall-cmd --permanent --zone=public --add-service=tftp
success
[root@NTP ~]# firewall-cmd --reload
success
Puis on récupère les paquets nécessaires à l’installation de notre service TFTP :
[root@NTP ~]# yum install -y xinetd tftp-server tftp
On active le TFTP au lancement du système :
[root@NTP ~]# systemctl enable xinetd tftp
Created symlink from /etc/systemd/system/sockets.target.wants/tftp.socket
to /usr/lib/systemd/system/tftp.socket.
Puis on démarre le service : [root@NTP ~]# systemctl start xinetd tftp
On crée un utilisateur système qui n’a pas accès shell (terminal), celui-ci
sera notre utilisateur TFTP :
[root@NTP ~]# useradd -s /bin/false -r tftp
Maintenant on crée un répertoire qui servira d’espace de stockage pour nos
fichiers :
[root@NTP ~]# mkdir /var/FileServerRoot
[root@NTP ~]# mkdir /var/FileServerRoot/TFTP
Accordons les droits sur le dossier TFTP à notre utilisateur système :
[root@NTP ~]# chown tftp:tftp /var/FileServerRoot/TFTP/
Nous allons modifier le fichier configuration du TFTP avant on crée un
backup:
[root@NTP ~]# cp /etc/xinetd.d/tftp /etc/xinetd.d/tftp.backup
Projet « TITAN »
Epreuve E4 : situation 2 Page 10
On édite le fichier :
# Fichier configuration TFTP
# default: off
# description: The tftp server serves files using the trivial file transfer
\ # protocol. The tftp protocol is often used to boot diskless \
# workstations, download configuration files to network-aware
printers, \
# and to start the installation process for some operating systems.
service tftp
{
socket_type = dgram
protocol = udp
wait = yes
user = root
server = /usr/sbin/in.tftpd
server_args = -s /var/lib/tftpboot
disable = yes
per_source = 11
cps = 100 2
flags = IPv4
}
On édite la ligne suivante : server_args = -c -s /var/FileServerRoot/TFTP -v -v -v -u tftp -p
disable = no
On relance le service :
[root@NTP ~]#systemctl restart xinetd tftp
On paramètre SElinux pour permettre l’upload de fichier: chcon -t tftpdir_rw_t /var/FileServerRoot/TFTP
2. Test TFTP. Maintenant que notre serveur est prêt on va effectuer un test d’envoi et de réception. Pour cela on
prend notre client test sous linux (le même que pour le ntp) et on installe les paquets de client tftp.
Avant de commencer les tests on configure le firewall :
[root@test ~]# firewall-cmd --permanent --zone=public --add-service=tftp success
[root@Ntest ~]# firewall-cmd --reload
success
Ensuite on va dans le répertoire home de notre utilisateur admin machine de test :
[root@test ~]# cd /home/admin
[root@test admin]#
Sur notre serveur TFTP on crée un fichier test :
[root@NTP ~]# echo "TEST TFTP" > var/FileServerRoot/TFTP/test.txt
Projet « TITAN »
Epreuve E4 : situation 2 Page 11
[root@NTP ~]# ls /var/FileServerRoot/TFTP
test.txt
Sur notre client de test on télécharge le fichier :
[root@test admin]# tftp 172.16.0.5
tftp> get test.txt
tftp>quit
[root@test admin]# ls
test.txt [root@test admin]# cat test.txt
TEST TFTP OK
Le téléchargement fonctionne passons à l’upload, pour cela on crée un
fichier test pour l’upload :
[root@test admin]# echo "TEST TFTP UPLOAD" > testup.txt [root@test admin]# ls
test.txt testup.txt
On upload le fichier :
[root@test admin]# tftp 172.16.0.5 tftp> put testup.txt
tftp> quit
On vérifie que l’upload a bien fonctionné:
[root@NTP ~]# ls /var/FileServerRoot/TFTP test.txt testup.txt
[root@NTP ~]# cat /var/FileServerRoot/TFTP/testup.txt
TEST TFTP UPLOAD
Notre serveur TFTP est opérationnel.
3. Serveur FTP. Nous allons installer un serveur FTP en plus de notre serveur TFTP, celui-ci pourra servir lui aussi à
récupérer la configuration des équipements CISCO sur le réseau.
Récupération des paquets :
[root@NTP ~]# yum install vsftpd ftp
Configuration du firewall :
[root@NTP ~]# firewall-cmd --permanent --add-service=ftp
success
[root@NTP ~]# firewall-cmd --reload
success
Ajout du service au démarrage du système :
[root@NTP ~]# systemctl enable vsftpd
Created symlink from /etc/systemd/system/multi-
user.target.wants/vsftpd.service to /usr/lib/systemd/system/vsftpd.service.
Projet « TITAN »
Epreuve E4 : situation 2 Page 12
Création du répertoire pour le FTP :
[root@NTP ~]# mkdir /var/FileServerRoot/FTP
Changement des permissions sur le répertoire :
[root@NTP ~]# chmod 555 /var/FileServerRoot/FTP
Création d’un répertoire pour le download et l’upload :
[root@NTP ~]# mkdir /var/FileServerRoot/FTP/upload [root@NTP ~]# mkdir /var/FileServerRoot/FTP/download
Changement de propriétaire sur les dossiers :
[root@NTP ~]# chown ftp:ftp /var/FileServerRoot/FTP/upload
[root@NTP ~]# chown ftp:ftp /var/FileServerRoot/FTP/download
Création d’un backup du fichier vsftpd.conf :
[root@NTP ~]#cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.backup
On modifie le fichier conf :
[root@NTP ~]# nano /etc/vsftpd/vsftpd.conf
#Modification dans le fichier conf :
local_enable=no #Valeur par défaut yes
anon_mkdir_write_enable=YES #on décommette la ligne
#On rajoute les lignes suivantes a la fin du fichier conf
# Point users at the Public directory
anon_root=/var/FileServerRoot/FTP/
#
# Stop prompting for a password on the command line.
no_anon_password=YES #
# Show the user and group as ftp:ftp, regardless of the owner.
hide_ids=YES
#
# Limit the range of ports that can be used for passive FTP
pasv_min_port=40000 pasv_max_port=50000
On installe les paquets Policy Core Utils :
[root@NTP ~]# yum install policycoreutils-python
On configure SElinux pour permettre les téléchargements anonymes :
[root@NTP ~]# semanage fcontext -a -t public_content_t
"/var/FileServerRoot/FTP(/.*)?"
[root@NTP ~]# restorecon -R -v /var/FileServerRoot/FTP
restorecon reset /var/FileServerRoot/FTP context
unconfined_u:object_r:var_t:s0->unconfined_u:object_r:public_content_t:s0
restorecon reset /var/FileServerRoot/FTP/upload context
unconfined_u:object_r:var_t:s0->unconfined_u:object_r:public_content_t:s0
Projet « TITAN »
Epreuve E4 : situation 2 Page 13
restorecon reset /var/FileServerRoot/FTP/download context
unconfined_u:object_r:var_t:s0->unconfined_u:object_r:public_content_t:s0
On configure SElinux pour permettre les téléversements anonymes :
[root@NTP ~]# semanage fcontext -a -t public_content_rw_t "/var/FileServerRoot/FTP/upload(/.*)?"
[root@NTP ~]# restorecon -R -v /var/FileServerRoot/FTP/upload
restorecon reset /var/FileServerRoot/FTP/upload context
unconfined_u:object_r:public_content_t:s0-
>unconfined_u:object_r:public_content_rw_t:s0
On termine la configuration de SElinux :
[root@NTP ~]# semanage boolean -m --on allow_ftpd_anon_write
On redémarre le serveur :
[root@NTP ~]#reboot
4. Test du FTP. Pour nos tests du FTP, nous utiliserons notre client test. Nous effectuerons un téléchargement et un
upload sur le serveur FTP afin de vérifier son bon fonctionnement.
On a crée 2 fichiers : un fichier test upload et un fichier test download (je ne remets pas les
commandes pour crée les fichiers, elles sont identiques au test précédent).
Le fichier upload contient le texte suivant : TEST FTP UPLOAD ; Celui de download le texte suivant :
TEST FTP DOWNLOAD.
On commence par l’upload :
[root@test admin]# ftp 172.16.0.5
Connected to 172.16.0.5 (172.16.0.5).
220 (vsFTPd 3.0.2)
Name (172.16.0.5:root): ftp 230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> cd upload
250 Directory successfully changed.
ftp> ls 227 Entering Passive Mode (172,16,0,5,167,126).
150 Here comes the directory listing.
226 Directory send OK.
ftp> put testftpup.txt
local: testftpup.txt remote: testftpup.txt
227 Entering Passive Mode (172,16,0,5,157,220). 150 Ok to send data.
226 Transfer complete.
16 bytes sent in 0,000216 secs (74,07 Kbytes/sec)
ftp> bye
221 Goodbye.
Projet « TITAN »
Epreuve E4 : situation 2 Page 14
On vérifie sur le serveur FTP :
[root@NTP ~]# ls /var/FileServerRoot/FTP/upload/
testftpup.txt
[root@NTP ~]# cat /var/FileServerRoot/FTP/upload/testftpup.txt TEST FTP UPLOAD
L’upload fonctionne maintenant le test de download :
[root@test admin]# ftp 172.16.0.5
Connected to 172.16.0.5 (172.16.0.5).
220 (vsFTPd 3.0.2) Name (172.16.0.5:root): ftp
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (172,16,0,5,183,145). 150 Here comes the directory listing.
drwxr-xr-x 2 ftp ftp 22 Apr 25 00:31 download
drwxr-xr-x 2 ftp ftp 6 Apr 24 23:40 upload
226 Directory send OK.
ftp> cd download
250 Directory successfully changed.
ftp> ls
227 Entering Passive Mode (172,16,0,5,183,132).
150 Here comes the directory listing.
-rw-r--r-- 1 ftp ftp 18 Apr 25 00:55 test.txt
226 Directory send OK.
ftp> get test.txt local: test.txt remote: test.txt
227 Entering Passive Mode (172,16,0,5,164,65).
150 Opening BINARY mode data connection for test.txt (18 bytes).
226 Transfer complete.
18 bytes received in 0,000121 secs (148,76 Kbytes/sec)
ftp> bye
221 Goodbye.
[root@test admin]# ls
testftpup.txt test.txt
[root@test admin]# cat test.txt
TEST FTP DOWNLOAD
Le test de download a fonctionné, notre serveur est opérationnel.
Projet « TITAN »
Epreuve E4 : situation 2 Page 15
IV. Procédure pour matérielle CISCO.
Toutes les procédures suivantes sont directement issues du site officiel CISCO à l’exception de la
procédure 2 e).
1. Envoie et récupération de fichier de configuration.
a) TFTP
Copie de la running-config d’un équipement CISCO vers un serveur TFTP : routeur#copy running-config tftp: Address or name of remote host []? Adresse du serveur TFTP. Destination filename [ce_2-confg]? Nom pour le fichier à envoyer. !! routeur#
Copie de la running-config depuis un serveur TFTP vers un équipement CISCO :
Router#copy tftp: running-config
Address or name of remote host []? Adresse du serveur TFTP
Source filename []? Nom du fichier à récupérer Destination filename [running-config]?
Accessing tftp://ip_du_serveur_TFTP/nom_du_fichier...
Loading Nom du fichier from Adresse du serveur TFTP:
routeur#
b) FTP
On configure les identifiants du FTP dans l’équipement CISCO :
routeur#config terminal routeur(config)#ip ftp username nom de l’utilisateur FTP routeur(config)#ip ftp password mot de passe de l’utilisateur FTP routeur(config)#end routeur#
Envoie d’une configuration sur le serveur FTP :
routeur#copy running-config ftp: Address or name of remote host []? Adresse du serveur FTP Destination filename []? Nom du fichier à sauvegarder. Writing nom du fichier ! routeur#
Récupération d’une configuration depuis un serveur FTP :
routeur#copy ftp: running-config Address or name of remote host [IP serveur FTP]? Source filename [Nom du fichier]? Destination filename [running-config]? Accessing ftp://IP_du_serveur_FTP/Nom_du_fichier... Loading Nom du fichier !
Projet « TITAN »
Epreuve E4 : situation 2 Page 16
routeur#
c) Mise en place d’une procédure de sauvegarde automatique des configurations équipement
CISCO.
La procédure de récupération automatique préconiser par CISCO utilise la méthode kron.
On commence par crée une kron policy list
Router(config)#kron policy-list SaveConfig Router(config-kron-policy)#cli write Router(config-kron-policy)#exit
cli write : cli choisir une commande propre parmi la kron policy list ; write permet de sauvegarder la
configuration de l’équipement. Ici on n’utilise pas copy running-config startup-config car kron ne
supporte pas les commandes interactives.
On crée ensuite une occurrence :
Router(config)#kron occurrence SaveConfigSchedule at 23:00 Sun recurring Router(config-kron-occurrence)#policy-list SaveConfig
Explication :
SaveConfigSchedule est le nom de l’occurrence, son nom doit comporter entre 1 à 31
caractères. S’il s’agit d’une nouvelle occurrence, une nouvelle structure d’occurrence sera
crée.
At permet de déterminer quand l’occurrence aura lieu.
Reccurring indique que l’occurrence sera effectuée à chaque date et heure indiquée après at.
Puis on indique la policy-list à appliquer.
On peut vérifier l’état de l’occurrence en effectuant la commande suivante :
Router#sh kron schedule Kron Occurrence Schedule SaveConfigSchedule inactive, will run again in 1 days 12:37:47 at 23:00 on Sun Router#show running-configuration kron occurrence SaveConfigSchedule at 23:00 Sun recurring policy-list SaveConfig kron policy-list SaveConfig cli write
Il est possible d’automatiser l’envoi des configurations vers un serveur FTP ou TFTP par exemple :
Router(config)#kron policy-list Backup Router(config-kron-policy)#cli show run | redirect tftp://IP_du_serveur_TFTP/test.cfg Router(config-kron-policy)#exit ! Router(config)#kron occurrence Backup at 23:00 Sun recurring Router(config-kron-occurrence)#policy-list Backup
Projet « TITAN »
Epreuve E4 : situation 2 Page 17
Cet exemple renvoie la configuration actuelle du routeur vers un serveur TFTP chaque dimanche à 23
heures.
2. Procédure de mise à jour des IOS équipement CISCO.
a) Pré-requis.
Pour effectuer la mise à jour d’un équipement CISCO depuis un serveur TFTP (ou FTP) :
La nouvelle version de l’IOS doit être disponible sur le serveur TFTP (ou FTP)
Un backup de l’ancien IOS devra avoir été effectué afin de pallier à tout problème en cas de
mise défectueuse.
L’équipement ne devra en aucun être débranché.
On commence par effectuer la copie de notre IOS actuelle ainsi que la configuration de notre
équipement :
b) Copie de la startup configuration vers un serveur TFTP, FTP ou RCP.
Router# copy nvram:startup-config tftp: ## ou ftp: ou rcp: en fonction du
type de serveur
Remote host[]? Adresse du serveur
Name of configuration file to write [rtr2-confg]? Nom du fichier à
sauvegarder
Write file rtr2-confg-b4upgrade on host 192.0.0.1?[confirm]<cr>
![OK]
c) Copie depuis la mémoire Flash vers un serveur TFTP .
Router# copy flash0: tftp:
Source filename [running-config]?
Address or name of remote host []? IP du serveur
Destination filename [router-confg]? running-config
983 bytes copied in 0.048 secs (20479 bytes/sec)
d) Vérification de la DRAM
On vérifie ensuite que l’équipement possède assez de DRAM pour la mise à jour.
Si la DRAM est suffisante (supérieur ou égale à la taille du nouvel IOS), on poursuit l’installation si la
DRAM sinon il faut se référé au manuel d’installation de notre équipement CISCO afin de voir
comment augmenter la DRAM.
Router> enable
Password:
Router#
Router# dir flash0:
#A ce stade on aperçoit l’espace disponible ainsi que l’espace total.
#Si on doit libérer de l’espace voici la procédure à suivre
Router# dir /all flash0:
#On affiche tous les fichiers disponibles dans le répertoire. Si on doit
#supprimer un fichier, on doit faire attention de ne pas supprimer l’IOS
Projet « TITAN »
Epreuve E4 : situation 2 Page 18
#actuelle. Avant toute opération, merci de contacter l’administrateur
#réseau.
Router# delete flash0:nom_du_fichier
#permet d’effacer un fichier
Une fois la sauvegarde effectuée et DRAM vérifié, on peut commencer l’opération de mise à jour.
e) Archive.
switch#archive download-sw /overwrite tftp://IP du serveur TFTP/Nom du
fichier
Loading /Nom du fichier from Ip du serveur TFTP :
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Une fois la mise à jour terminée, on vérifie que le nouvel IOS est bien en place avec la commande :
Switch#show boot
Le nom de notre fichier devrait apparaitre dans le BOOT path-list dans le répertoire flash:/nom du
fichier/fichier.bin
Une fois que tout est bon, on redémarre le switch et la commande show config permettra de voir la
version de l’image installé.
f) Fichier .bin
Router> enable
Password: <password>
Router#
Router# copy tftp flash0:
address or name of remote host []? Adresse du serveur
Source filename []? Nom du fichier .bin
Destination filename []? Nom du fichier .bin
Accessing tftp://IP serveur/Nom du fichier...Erase flash0: before copying? [confirm] yes or no
Erasing the flash filesystem will remove all files!
Continue? [confirm] yes or no
Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee
Maintenant nous allons charger notre fichier .bin pour qu’il soit pris en
compte au prochain démarrage:
Router# dir flash0:
Directory of flash0:/
#On vérifie le chemin de notre fichier .bin
Router# configure terminal Router(config)#
Router(config)# no boot system
#On réinitialise les entrées du boot order.
Projet « TITAN »
Epreuve E4 : situation 2 Page 19
#Si il y a qu’un seul fichier dans notre répertoire flash0: et qu’il s’agit
#de notre fichier .bin on passe à l étape show config sinon on poursuit
#comme suivant :
Router(config)# boot system flash0: nom du fichier .bin
#on répète l’opération si on souhaite établir un boot order avec d’autre #fichier .bin
Router# show version
Cisco Internetwork Operating System Software...
Configuration register is 0x0
Router#
#Si le dernier nombre de Configuration register est 0 ou 1 alors :
Router# configure terminal
Router(config)#
Router(config)# config-register 0x2102
#La configuration est maintenant enregistrée, elle sera prise en compte
lors du prochain redémarrage.
#Si le dernier nombre de Configuration register est 2 ou F alors :
Router# copy run start
Router# reload
System configuration has been modified. Save? [yes/no]: no
Proceed with reload? [confirm] y
Router# show version
00:22:25: %SYS-5-CONFIG_I: Configured from console by consoleCisco
Internetwork Operating System Software...
System returned to ROM by reload
System image file is "flash0:nom du fichier.bin"
Une fois la procédure achevée, on redémarre le matériel.
3. Procédure de changement de mot de passe matériel CISCO. La procédure de récupération de mot de passe pour les matérielles CISCO dépende du modèle de
celui-ci. Nous détaillerons uniquement la procédure pour les matériels suivants :
Routeur série 1841.
Switch Catalyst série 2940, 2950/2955, 2960, 2970.
Afin de pouvoir, changer le mot de passe, il faut impérativement se connecter à l’équipement avec
un câble console et utiliser un logiciel de type terminal (Hyper terminal ou MobaXterm) avec les
réglages suivant :
o Bits per second (baud): 9600 o Data bits: 8 o Parity: None o Stop bits: 1 o Flow Control: Xon/Xoff
Projet « TITAN »
Epreuve E4 : situation 2 Page 20
a) Routeur série 1841 CISCO
Une fois connecté à l’équipement on effectue les tâches suivantes :
1. On appuie sur la touche break (pause) du clavier du terminal durant les 60 secondes
premières secondes du démarrage afin d’accéder a l’invite rommon 1> .
2. Une fois arriver a l’invite rommon 1> : rommon 1>confreg 0x2142 (et pas confreg 0*2142)
3. Puis a l’invite rommon 2> : rommon>reset
4. A l’invite de configuration initiale on tape « n » a chaque fois jusqu’à l’invite router> : Router>
5. On passe en mode enable : Router>en
Router#
6. On exécute la commande show running-config, afin de récupérer les mots de passe non
crypter, les mots de passes seront modifiés plus tard : Router#sh running-config
7. On passe en mode configuration : Router#conf t
Router(config)#
8. On change les mots de passes : !--- To overwrite existing secret password router(config)#enable secret <new_secret_password> !--- To overwrite existing enable password router(config)#enable password <new_enable_password> !--- To overwrite existing vty password router(config)#line vty 0 15 router(config-line)#password <new_vty_password> router(config-line)#login !--- To overwrite existing console password router(config-line)#line con 0 router(config-line)#password <new_console_password>
9. On écrit la configuration actuelle en mémoire : router(config)#config-register 0x2102
10. Puis on quitte le mode configuration (Ctrl + Z ou fin) et on valide l’écriture en mémoire : Router> write memory
Ou
Router>copy running-config startup-config
Projet « TITAN »
Epreuve E4 : situation 2 Page 21
b) Switch Catalyst série 2940, 2950/2955, 2960, 2970 CISCO.
Une fois connecté à l’équipement on effectue les tâches suivantes :
1. On débranche le câble d’alimentation.
2. On rallume le switch et on l’amène a l’invite switch: pour ce faire on appuie sur le bouton
mode se trouvant à l’arrière de l’équipement tout en rebranchant le câble d’alimentation.
Voici un exemple de l’invite switch: :
C2955 Boot Loader (C2955-HBOOT-M) Version 12.1(0.0.514), CISCO DEVELOPMENT TEST VERSION Compiled Fri 13-Dec-02 17:38 by madison WS-C2955T-12 starting... Base ethernet MAC Address: 00:0b:be:b6:ee:00 Xmodem file system is available. Initializing Flash... flashfs[0]: 19 files, 2 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 7741440 flashfs[0]: Bytes used: 4510720 flashfs[0]: Bytes available: 3230720 flashfs[0]: flashfs fsck took 7 seconds. ...done initializing flash. Boot Sector Filesystem (bs:) installed, fsid: 3 Parameter Block Filesystem (pb:) installed, fsid: 4 *** The system will autoboot in 15 seconds *** Send break character to prevent autobooting. !--- Wait until you see this message before !--- you issue the break sequence. !--- Ctrl+Break is entered using Hyperterm. The system has been interrupted prior to initializing the flash file system to finish loading the operating system software: flash_init load_helper boot switch:
3. Une fois sur l’invite, on exécute la commande flash_init :
Projet « TITAN »
Epreuve E4 : situation 2 Page 22
switch: flash_init Initializing Flash... flashfs[0]: 143 files, 4 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 3612672 flashfs[0]: Bytes used: 2729472 flashfs[0]: Bytes available: 883200 flashfs[0]: flashfs fsck took 86 seconds ....done Initializing Flash. Boot Sector Filesystem (bs:) installed, fsid: 3 Parameter Block Filesystem (pb:) installed, fsid: 4 switch: !--- This output is from a 2900XL switch. Output from !--- other switches will vary slightly.
4. Puis on execute le load_helper:
switch: load_helper
switch:
5. Puis on exécute la commande dir flash: (important de ne pas oublier le « : ») switch: dir flash:
Directory of flash:/
2 -rwx 1803357 <date> c3500xl-c3h2s-mz.120-5.WC7.bin !--- This is the current version of software. 4 -rwx 1131 <date> config.text !--- This is the configuration file. 5 -rwx 109 <date> info 6 -rwx 389 <date> env_vars 7 drwx 640 <date> html 18 -rwx 109 <date> info.ver 403968 bytes available (3208704 bytes used) switch: !--- This output is from a 3500XL switch. Output from !--- other switches will vary slightly.
6. On renomme le fichier config.text en config.old
switch: rename flash:config.text flash:config.old switch: !--- The config.text file contains the password !--- definition.
7. On exécute la commande boot
switch: boot Loading "flash:c3500xl-c3h2s-mz.120-5.WC7.bin"...############################### ################################################################################ ###################################################################### File "flash:c3500xl-c3h2s-mz.120-5.WC7.bin" uncompressed and installed, entry po int: 0x3000
Projet « TITAN »
Epreuve E4 : situation 2 Page 23
executing... !--- Output suppressed. !--- This output is from a 3500XL switch. Output from other switches !--- will vary slightly.
8. On tape « n » a l’invite de configuration initiale.
--- System Configuration Dialog --- At any point you may enter a question mark '?' for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[]'. Continue with configuration dialog? [yes/no]: n !--- Type "n" for no. Press RETURN to get started. !--- Press Return or Enter. Switch> !--- The Switch> prompt is displayed.
9. On entre en mode enable
Switch>en Switch#
10. On renomme config.old en config.text
Switch#rename flash:config.old flash:config.text Destination filename [config.text] !--- Press Return or Enter. Switch#
11. On recharge la configuration dans la mémoire :
Switch#copy flash:config.text system:running-config Destination filename [running-config]? !--- Press Return or Enter. 1131 bytes copied in 0.760 secs Sw1#
12. On écrase tout les mots de passes par des nouveaux :
Sw1# conf t !--- To overwrite existing secret password Sw1(config)#enable secret <new_secret_password>
Projet « TITAN »
Epreuve E4 : situation 2 Page 24
!--- To overwrite existing enable password Sw1(config)#enable password <new_enable_password> !--- To overwrite existing vty password Sw1(config)#line vty 0 15 Sw1(config-line)#password <new_vty_password> Sw1(config-line)#login !--- To overwrite existing console password Sw1(config-line)#line con 0 Sw1(config-line)#password <new_console_password>
13. Et enfin on écrit la nouvelle configuration dans la mémoire :
Sw1#write memory Building configuration... [OK] Sw1#