Cisco Config Routeur/SwitchL2-L3 AP Rappel schéma Infra Rappel tableau VLANS Documentation Routeur COM4 Utilisateur : cisco Mdp : caribou23000,  Tout d'abord nous allons configurer le port de notre routeur qui sera relié au réseau du lycée. Le port gi4 du routeur sera configuré en DHCP. int gi4 ip add dhcp Cette commande configure le port gi4 en DHCP ce qui nous permet par la suite d'obtenir une adresse IP du réseau du lycée. Ensuite nous allons configurer le port qui sera donc relié au LAN c'est à dire notre réseau local. int gi5 ip add 192.168.80.2 255.255.255.252 ip route 0.0.0.0 0.0.0.0 10.123.33.245 Pour vérifier la configuration nous pouvons faire la commande :  #sh ip int brief L'adresse réseau 192.168.80.0/29 représente le VLAN 9 ou Sortie, de notre réseau LAN GSB. Une fois nos deux port fini de configurer nous pouvons attaquer la NAT, pour cela nous allons définir un port en outside (dehors du réseau) et inside (interne au réseau). Nous allons donc définir le port gi5 en inside et le port gi4 en outside. Ensuite nous allons faire une ACL pour le VLAN 9 à l'aide de l'adresse réseau 192.168.80.0 et le masque générique donc pour 255.255.255.252 cela devient 0.0.0.3. int  gi5 ip nat inside int gi4 ip nat outside access-list 1 permit 192.168.80.0 0.0.0.3 -> VLAN ip nat inside source list 1 interface gi4 overload Si besoin nous pouvons ajouter autant de vlan que nous voulons, dans notre cas nous y ajouterons les VLANS nécessaire pour le réseau GSB pour cela : access-list 2 permit 192.168.10.0 0.0.0.255 -> VLAN Administrateur access-list 2 permit 192.168.20.0 0.0.0.255 -> VLAN Accueil/Visiteur access-list 2 permit 192.168.30.0 0.0.0.255 -> VLAN Direction/DSI access-list 2 permit 192.168.40.0 0.0.0.255 -> VLAN RH access-list 2 permit 192.168.50.0 0.0.0.255 -> VLAN Communication access-list 2 permit 192.168.60.0 0.0.0.255 -> VLAN  Commercial access-list 2 permit 192.168.70.0 0.0.0.255 -> VLAN Démonstration/ Salle de Réunion access-list 2 permit 192.168.90.0 0.0.0.15 -> VLAN Front access-list 2 permit 192.168.100.0 0.0.0.15 -> VLAN BACK access-list 2 permit 192.168.110.0 0.0.0.7 -> VLAN Sécurité access-list 2 permit 192.168.120.0 0.0.0.3 -> VLAN Proxmox access-list 2 permit 192.168.130.0 0.0.0.255 -> VLAN Client ip nat inside source list interface gi4 overload Maintenant toutes nos règles NAT sont fini d'être mise en place nous pouvons ainsi commencer la configuration de notre Switch L3. Documentation Switch L3 COM5 Utilisateur : cisco Mdp : caribou23000,  Dans notre Switch L3 Catalyst-1300 nous y indiquerons tous nos VLANS de notre réseau GSB pour cela nous allons utiliser notre tableau de VLAN, pas besoin de configurer les VLANS qui seront présent dans le PVE car L'OPNsense va de son côté attribuer les adresses aux VLANS. vlan 2,3,4,5,6,7,8,9,10,11,12,13,14,99 (conf) int vlan 2 ip add 192.168.10.1 255.255.255.0 int vlan 3 ip add 192.168.20.1 255.255.255.0 int vlan 4 ip add 192.168.30.1 255.255.255.0 int vlan 5 ip add 192.168.40.1 255.255.255.0 int vlan 6 ip add 192.168.50.1 255.255.255.0 int vlan 7 ip add 192.168.60.1 255.255.255.0 int vlan 8 ip add 192.168.70.1 255.255.255.0 int vlan 9 ip add 192.168.80.1 255.255.255.252 int vlan 99 -> Correspond au VLAN Vide  ip add 192.168.99.1 255.255.255.0 Ensuite pour vérifier que tous nos VLANS ont bien été créé nous pouvons faire la commande : #sh ip int Maintenant que nos VLANS sont tous bien été déclarés, nous pouvons dès à présent configurer les ports du Switch L3. Nous allons commencer par configurer le port reliant notre Switch L3 à notre Routeur et ensuite le port reliant le  Switch L3 à notre Switch L2. int gi1 -> Port relié au Routeur switchport mode access switchport access vlan 9 -> VLAN Sortie int gi2 -> Port relié au Proxmox switchport mode trunk switchport trunk allowed vlan add 2,10,11,12,13,14 int gi3 -> Port relié au Switch L2 switchport mode trunk switchport trunk allowed vlan add 3,4,5,6,7,8 int gitX switchport mode access switch access vlan 99 -> Correspond au VLAN Vide  switchport trunk allowed vlan remove 99 -> Commande pour retirer un VLAN d'un port Une fois nos configuration faite nous pouvons faire la commande suivante pour voir nos VLANS ainsi que à qu'elles ports sont elles assignées : Maintenant que nos VLANS sont configurées nous pouvons à présent attaquer les routes qui reliera tous nos vlan au port de notre routeur gi5 192.168.80.2. ip route 0.0.0.0 0.0.0.0 192.168.80.1 -> Route par défaut ip route 192.168.10.0 255.255.255.0 192.168.80.1  ip route 192.168.20.0 255.255.255.0 192.168.80.1  ip route 192.168.30.0 255.255.255.0 192.168.80.2 ip route 192.168.40.0 255.255.255.0 192.168.80.2 ip route 192.168.50.0 255.255.255.0 192.168.80.2 ip route 192.168.60.0 255.255.255.0 192.168.80.2 ip route 192.168.70.0 255.255.255.0 192.168.80.2 ip route 192.168.90.0 255.255.255.0 192.168.80.2 ip route 192.168.100.0 255.255.255.0 192.168.80.2 ip route 192.168.110.0 255.255.255.0 192.168.80.2 ip route 192.168.120.0 255.255.255.0 192.168.80.2 ip route 192.168.130.0 255.255.255.0 192.168.80.2 Dès que nous avons fini nos commandes ip route, pour les vérifier nous pouvons faire la commande suivante : Configuration SSH sur routeur Routeur Cisco C921-4P Tout se passe dans le mode configuration terminal, avec cette suite de commandes : ip domain-name : définit un nom de domaine dans lequel est le routeur, nécessaire pour configurer SSH crypto key generate rsa : génère une clé RSA How many bits in the modulus [512]: : taille de la clé RSA à spécifier (512 est un exemple) (2048 au minimum de préférence) ip ssh version 2 : active SSH ip ssh logging events : journalise les connexions SSH ip ssh time-out : définit le temps d’inactivité avant la déconnexion d’un utilisateur qui a établi une connexion SSH sans encore s’être authentifié ip ssh authentication-retries : définit le nombre de tentative ratées de connexion à l’utilisateur en SSH avant de le déconnecter service password-encryption : pour chiffrer le mot de passe des utilisateurs username password 0 : définit un utilisateur et un mot de passé associé pour la connexion SSH line vty 0 3 : on entre dans la configuration de “line” en définissant le nombre de connexion distantes possibles en simultané (ici, 4) “vty” : signifie les connexions à distance “0 3” : pour faire très simple, le second nombre est le nombre de connexions simultanées possibles - 1 car on part de 0 (donc ici il y a 4 connexion simultanées possibles) (config-line) transport input ssh : autoriser la connexion SSH à distance (config-line) login local : définit la connexion à un compte local du routeur Connexion SSH depuis une machine Linux (Fedora 43) Certains éléments de connexion SSH qui sont demandés par le routeur peuvent être bloqués sur Linux. De ce fait, il faut modifier quelques éléments de configuration (ici, sur Fedora 43). Dans le fichier /etc/ssh/ssh_config, on ajoute le contenu suivant à la fin du fichier ( pour l'indentation, ne pas utiliser la tabulation, mais 4 espaces ) : Host 192.168.90.138   KexAlgorithms +diffie-hellman-group1-sha1,diffie-hellman-group14-sha1   PubkeyAcceptedAlgorithms +ssh-rsa   PubkeyAcceptedKeyTypes +ssh-rsa   HostKeyAlgorithms +ssh-rsa   Ciphers aes256-ctr,3des-cbc On entre la commande suivante : update-crypto-policies --set DEFAULT:SHA1 Comment restaurer une config sur routeur/l3 et l2 AOMEI Partition assistant.  pour la clé USB    Pour le routeur :  Se munir d'une clée avec une partition de moins de 2Go en FAT16 ( clé PNY ) Pour copié le config avec la commande :  copy startup-config usbflash0: nom du fichier  Pour mettre en place la configuration sur l'élément réseau :  copy usbflash0:nom du fichier startup-config Pour Le l3 Création interface Admin et console Interface Admin : int giX (entrer le port sur lequel nous voulons configurer l’interface Administrateur) ip add 192.168.1.1 255.255.255.252 (adresse de passerelle et masque de sous-réseau recommandé) Interface Console Brancher le câble Ethernet sur le port console de l’équipement puis le rediriger vers une prise Ethernet de couleur sur la baie par exemple B-11 vert. Après cela, se munir d’un ensemble USB vers VGA et VGA vers Ethernet que nous branchons sur un port USB de notre machine et à la prise Ethernet correspondant avec celle reliée dans la baie, dans notre exemple B-11 vert. Ensuite aller sur le logiciel Putty et se mettre en serial avec la COM correspondant au port USB (voir gestionnaire des périphériques) Routeur Nat interne Documentation : Redirection de port sur routeur Cisco Lister les redirections de port Pour afficher les règles de redirection (NAT statique) actives : show ip nat translations Pour voir la configuration complète incluant les règles statiques : show running-config | include ip nat inside source Comprendre la redirection Dans votre cas, l’accès à  10.123.33.205  redirige vers  192.168.120.2  (Proxmox) car une règle NAT statique est configurée, probablement de ce type : ip nat inside source static tcp 192.168.120.2 80 10.123.33.205 80 Désactiver temporairement la redirection Sur les routeurs Cisco traditionnels (IOS), il n’existe pas de commande pour désactiver temporairement une règle NAT statique sans la supprimer. La seule solution est de  supprimer  la règle, puis de la  réinsérer  si besoin.  Supprimer la règle : configure terminal no ip nat inside source static tcp 192.168.120.2 [port] 10.123.33.205 [port] Exemple :  no ip nat inside source static tcp 192.168.120.2 80 10.123.33.205 80   Réactiver plus tard : Réexécutez la commande NAT sans  no . Sauvegarder : write memory   Remarque Sur les équipements  Cisco ASA/Firepower  (avec interface graphique), il est possible de  désactiver  une règle NAT sans la supprimer via une option  Enable/Disable .   Cette fonctionnalité  n’existe pas sur les routeurs Cisco IOS classiques .