ad4

Libellés

ad7

Translate - traduction

samedi 2 mai 2015

Network Address Translation (NAT)

Le NAT a été proposé en 1994 sous la RFC 1631 comme solution à court terme face au manque d’'adresses IP. Son objectif principal était de permettre aux adresses IP d'’être partagées par un grand nombre de périphériques réseau. En une dizaine d'années d'’existence, il a donné le temps nécessaire pour concevoir le nouveau protocole d'’adressage IPv6 et, aujourd’hui, le début de son déploiement.

1. Définition

Le NAT est défini dans la RFC 1631. Le NAT permet d'utiliser des adresses n'ayant pas de signification globale (par exemple des adresses privées définies dans la RFC 1918, non routables) pour se connecter à travers l'Internet en traduisant celles-ci en adresses globales routables. Le NAT permet aussi de fournir une solution élégante de renumérotation pour les organisations qui changent de fournisseur de service ou qui migrent vers le CIDR.

2. Portée

On peut utiliser le NAT dans différents cas :
  • On dispose d'une multitude d'hôtes addressés de manière privée et on a une seule ou quelques adresses IP globales (publiques). Le NAT est configuré sur un routeur en bordure d'un réseau d'extrémité, étant identifié comme étant le côté interne (inside), qui connecte un réseau publique comme l'Internet, identifié comme étant le côté externe (outside). Le NAT traduit les adresses locales internes en une adresse globale unique avant d'envoyer les paquets vers le réseau externe.
  • On doit changer des adresses internes. Au lieu de les changer, on les traduit par du NAT.
  • On veut rendre accessible des hôtes qui sont localement et globalement dans le même adressage, autrement dit on permet une connectivité d'adresses qui se chevauchent (overlapping) de part et d'autre du routeur NAT.
  • On peut utiliser également le NAT pour distribuer la charge TCP vers un hôte virtuel qui répond à la place de plusieurs serveurs réels selon un principe de type round-robin.
  • Il contribue à améliorer la sécurité des réseaux internes puisqu'il les cache.

3. Limitation

  • Le NAT contredit le principe fondamental d'IP d'une communication de bout en bout (les stations d'extrémité établissent et gèrent elle-même leur communication). Le NAT pose donc des problèmes dans l'établissement de communications utilisant certains protocoles de sécurité assurant une authentification et une encryption, des applications peer-to-peer et autres tels que FTP.
  • En matière de sécurité, il n'est jamais qu'une option qui ne remplace pas un filtrage IP pertinent.
  • Par ailleurs, son utilisation répandue rend opaque l'étendue réelle de l'Internet. Rappelons que ce principe a été mis en place pour répondre de manière temporaire au manque d'adresses IP.

4. Terminologie

On fera la distinction entre interne et externe. Les adresses internes sont celles qui sont maîtrisées par l'administrateur du réseau d'extrémité. Les adresses externes sont celles dont on a pas la maîtrise et qui font partie d'un réseau public tel que l'Internet.

On fera aussi la distinction entre adresses locales et globales. Les adresses locales sont celles qui ne sont pas nécessairement des adresses légitimes et les adresses globales sont celles qui sont routables, qui ont une signification à portée globale.

Concrètement, on trouvera dans les tables NAT jusqu'à quatre types d'adresses :
Inside local address - L'adresse IP assignée à un hôte à l'intérieur d'un réseau d'extrémité. Il s'agit probablement d'une adresse privée, non routable.
Inside global address - La ou les adresses IP publiques qui représentent les adresses IP locales internes, les adresses IP routables du routeur NAT.
Outside local address - L'adresse IP d'un hôte telle qu'elle apparaît aux hôtes d'un réseau interne. Il ne s'agit pas nécessairement d'une adresse légitime routable.
Outside global address - L'adresse IP réelle routable d'un hôte qui se situe à l'extérieur du réseau du routeur NAT.
nat0.jpg

5. Traduction d'adresses IP

On trouvera deux grand types de traduction d'adresses internes :

Les traductions statiques : une correspondance de type un-à-un entre une adresse IP locale interne et une adresse IP globale interne. Elles sont utiles lorsqu'un hôte interne doit être accessible de l'extérieur. On peut également établir des correspondances de ports TCP/UDP pour réaliser ce que l'on appelle communément le transfert de ports.
Les traductions dynamiques : une correspondance de plusieurs-à-plusieurs entre un ensemble d'adresses IP locales (définies par une ACL) et un groupe d'adresses IP globales (définies par un POOL).

On trouvera deux variantes aux traductions dynamiques :

Overloading : la correspondance de plusieurs adresses IP locales internes (définies par une ACL) et une adresse IP globale interne (définie par le nom d'une interface) ou plusieurs adresses IP globales internes (définies par un POOL) en utilisant comme critère distinctif du trafic les ports TCP/UDP. Cette solution est aussi appelée PAT (Port Address Translation), single-address NAT ou encore port-level multiplexed NAT.
Overlapping : la correspondance entre adresses IP internes qui se chevauchent avec des adresses externes et inversément.

6. Principe de configuration de traduction d'adresses IP internes

6.1. Traduction statique

1. Définition du NAT
(config)#ip nat inside source static local_inside_ip global_inside_ip
2. Définition des interfaces Inside/Outside
(config)#interface type number
(config-if)#ip nat inside
(config)# interface type number
(config-if)#ip nat outside

6.2. Traduction dynamique simple

1. Adresses locales soumises au NAT
(config)#access-list access-list_number permit source_ip wildcard_mask
2. Pool d'adresses globales
(config)#ip nat pool name start_ip end_ip
3. Definition du NAT
(config)#ip nat inside source list access-list_number pool name
4. Définition des interfaces Inside/Outside
(config)#interface type number(config-if)#ip nat inside
(config)# interface type number
(config-if)#ip nat outside

6.3. Traduction dynamique overload (PAT) avec une seule IP globale

1. Adresses locales soumises au NAT
(config)#access-list access-list_number permit source_ip wildcard_mask
2. Definition du NAT
(config)#ip nat inside source list access-list_number interface type number overload
3. Définition des interfaces Inside/Outside
(config)#interface type number
(config-if)#ip nat inside
(config)# interface type number
(config-if)#ip nat outside

7. Diagnostic


#clear ip nat translation *
#show ip nat translation [verbose]
#show ip nat statistics
#debug ip nat

8. Références

lundi 20 avril 2015

Synthèse sur le routage

Synthèse sur le routage

On trouvera ici une vue d'ensemble sur le routage. On aborde de manière synthétique les notions de table de routage, de métrique, de distance administrative, de protocole de routage dynamique et de routage statique, de convergence, de routage à vecteur de distance, à état de liens et hybride.

1. Terminologie et distinctions

  • On distinguera la notion de métrique et de distance administrative dans une table de routage dont on connait la composition.
  • On définira les objectifs des protocoles de routage
  • On distinguera le routage statique du routage dynamique (protocole de routage).
  • On distinguera les protocoles de routage intérieurs et les protocoles de routage extérieurs ainsi que la notion de système autonome.
  • Parmi les protocoles de routage, distinguera les protocoles de routage à vecteur de distance, les protocoles de routage à état de liens, ainsi que les protocoles de routage hybride.

2. Compostion d'une table de routage.

Une table de routage est une sorte de "panneau indicateur" qui donne les routes (les réseaux) joignables à partir du "carrefour" que constitue un routeur. Les paquets arrivent sur une interface de la machine. pour "router" le paquet, le routeur fondera sa décision en deux temps : d'abord il regarde dans l'en-tête IP le réseau de destination et compare toutes les entrées dont il dispose dans sa table de routage; ensuite, si le réseau de destination est trouvé, il commute le paquet sur le bon port de sortie; si ce réseau n'est pas trouvé, le paquet est jeté.
Une table de routage réside en RAM. Elle constituée des éléments suivants :
  • Méthode de routage : type de protocole qui a appris la route.
  • Réseau et masque : destination.
  • Distance administrative : Préférence d'une route par un protocole sur un autre. Chaque protocole a sa valeur par défaut.
  • Valeur de métrique : valeur d'une route sur une autre parmi toutes celles apprises par un protocole de routage.
  • Via prochaine interface (Gateway).
  • Interface de sortie du routeur.

2.1. Métrique

La métrique d'une route est la valeur d'une route en comparaison d'autres routes apprises par le protocole de routage. Plus sa valeur est faible, meilleure est la route. Chaque protocole dispose de sa méthode de valorisation. On peut trouver toute une série de composante de métrique  parmi :
  • nombre de sauts (RIP)
  • bande passante (IGRP - EIGRP)
  • délai (IGRP - EIGRP)
  • charge (IGRP - EIGRP)
  • fiabilité (IGRP - EIGRP)
  • MTU (IGRP - EIGRP)
  • coût (OSPF - ISIS)

2.2 Distance administrative

La distance administrative est la préférence dans une table de routage des routes apprises par un protocole de routage par rapport aux mêmes routes apprises par un autre protocole de routage. Plus la valeur est faible et plus le protocole est préféré. Chaque protocole dispose de sa valeur par défaut sur les routeurs Cisco :

Méthode de routage Distance administrative
Interface directement connectée 0
Route statique 1
Ext-BGP 20
Int-EIGRP 90
IGRP 100
OSPF 110
IS-IS 115
RIP 120
Int-BGP 200
Inconnu 255

3. Routage statique v. routage dynmamique

Une route statique est une entrée manuelle dans la table de routage. Une route dynamique est apprise dynamiquement par un protocole commun.

3.1. Objectifs des protocoles de routage

  • Découvrir dynamiquement les routes vers les réseaux d'un interréseau et les inscrire dans la table de routage.
  • S'il existe plus d'une route vers un réseau, inscrire la meilleure route dans la table de routage.
  • Détecter les routes qui ne sont plus valides et les supprimer de la table de routage.
  • Ajouter le plus rapidement possible de nouvelles routes ou remplacer le plus rapidement les routes perdues par la meilleure route actuellement disponible.
  • Empêcher les boucles de routage

3.2. Routes statiques

Une route statique est une entrée manuelle dans une table de routage. Contrairement aux routes apprises dynamiquement, leur maintenance est plus lourde pour les administrateurs. Elles servent d'alternatives aux routes dynamiques surtout quand la situation le permet ou l'exige en termes de facilité, de simplicité ou de sécurité.
Voici la commande de configuration des routes statiques :
(config)#ip route network mask {address|interface} [AD]
où :
network : est l'adresse du réseau à joindre
mask : est le masque du réseau à joindre
address : est l'adresse du prochain routeur directement connecté pour atteindre le réseau
interface : est l'interface de sortie du routeur pour atteindre le réseau
AD : distance administrative optionelle (1, par défaut)
Par exemple, à partir du routeur A, le réseau 200.150.75.0/24 est joignable par l'interface de Serial 0/0 par la passerelle (prochaine adresse IP) 192.168.1.2 :

sy1

RA(config)#ip route 200.150.75.0 255.255.255.0 serial 0/0
ou
RA(config)#ip route 200.150.75.0 255.255.255.0 192.168.1.2
On peut vérifier le routage statique dans la configuration courante du routeur via la commande #show running-config .
Notons qu'une route a toujours une métrique de 0. Le réseau à joindre est censé être directement connecté.

4. Les protocoles de routage

La convergence est le temps pour qu'un ensemble de routeurs puissent avoir un vision homogène, complète et efficace de l'ensemble des routes d'un interréseau. Le temps de convergence est particulièrement éprouvé lorsqu'il y a des modifications topologiques dans l'interréseau.

4.1. Sytème autonome, routage intérieur et extérieur

Un sytème autonome (AS) est un ensemble de réseaux sous la même autorité administrative (autorité de gestion). Au sein d'un système autonome, les routes sont générées par des protocoles de routage intérieurs comme RIP, IGRP, EIGRP, OSPF ou ISIS. Les protocoles de routage qui permettent de connecter les systèmes autonomes entre eux sont des protocoles de routage extérieurs comme EGP ou BGP. Dans le contexte de l'interconexion mondiale des réseaux, l'IANA assigne un numéro d'AS (16 bits). Un AS peut éventuellement être découpé en zones (areas) selon le protocole de routage (OSPF et ISIS).

4.2. Protocole de routage à vecteur de distance, à état de lien et hybride

Sans entrer dans les détails, nous allons définir les notions de protocole de routage à vecteur de distance, à état de lien et hybride.
Un protocole de routage à vecteur de distance est celui qui utilise un algorithme de routage qui additionne les distances pour trouver les meilleures routes (Bellman-Ford). Souvent ils envoient l'entièreté de leur table de routage aux voisins. Ils sont sensibles aux boucles de routage. Dans ce type de protocole, aucun routeur ne remplit de fonction particulière. On parlera de connaissance "plate" de l'interréseau ou de routage non-hiérarchique. Ces protocoles convergent lentement. On citera RIP et IGRP.
Un protocole de routage à état de liens utilise un algorithme plus efficace (Dijkstra ou Shortest Path First). Les routeurs collectent l'ensemble des coûts des liens et construisent de leur point de vue l'arbre de tous les chemins. Les meilleures routes sont alors intégrées à la table de routage. On parlera de routage hiérarchique. On citera OSPF et ISIS. Ils convergent très rapidement.
Un protocole de routage hybride est un protocole de routage à vecteur de distance qui reprend des concepts d'états de liens. On citera EIGRP.
Le compartif détaillé de ces types de protocoles de routage sera abordé au début du semestre 3.

5. Tableau récapitulatif des protocoles de routage intérieurs



x Vecteur de distance Etat de liens
TCP/IP RIP
Routing Information Protocol
OSPF
Open Shortest Path First

Cisco EIGRP
Ehanced Interior Gateway Routing Protocol
/
OSI / ISIS
Intermediate System to Intermediate System

Le principe de l'encapsulation dans le modèle OSI

Le principe de l'encapsulation dans le modèle OSI est un aussi une notion fondamentale pour bien comprendre le fonctionnement de la transmission d'un hôte d'origine à sa destination. Chaque couche parle à l'autre dans un contexte d'égal à égal. 
 
 

Procédure "Password Recovery"

Récupération de mot de passe  


A vrai dire, la procédure "password recovery", "recouvrement de mot de passe", ne permet pas de retrouver un mot de passe d'un routeur Cisco. Tout au plus, elle permet de reprendre la main sur un routeur dont l’'accès est limité par un mot de passe, de le changer ou de le lire si celui-ci n’est pas crypté. En laboratoire, cette procédure nous permettra de travailler sur des machines dont la configuration est vierge.

1.Objectifs

  • Gérer l'IOS Cisco
  • Reprendre la main sur un routeur Cisco

2. Principe

Si des mots de passe ont été définis par un administrateur, ils sont situés dans la "startup-configuration" (fichier de configuration initiale) qui elle-même sera copiée dans la "running-configuration" (fichier de configuration courante) à l'issue du démarrage du routeur.
En évitant la "startup-configuration", on évite le passage obligé de mots de passe d'administration, on accède au mode de configuration avec tous les privilèges. Eviter une configuration existante permet de démarrer la machine avec une configuration vierge. Tout au plus, peut-on consulter, supprimer, modifier ou charger la configuration de démarrage qui existe toujours en NVRAM. Les mots de passe sont cryptés soit en type 5 ou en type 7. L'encryptage type 7 est de moins en moins courant car son algorithme est connu.
Pour ce faire, il faut changer les paramètres de démarrage du routeur afin d'interrompre son démarrage. Un accès physique au routeur est nécessaire. Dans la console, on utilisera la combinaison des touches CTRL et PAUSE pour accéder au mode minimal du routeur qui est appelé "ROM Monitor Mode". Il s'agit d'un mode de bas niveau exécuté en RAM et situé dans ROM qui permet entre autres de changer les valeurs du registre de configuration, de télécharger un IOS à partir d'une connection IP ou sérielle, de configurer la vitesse de la console, etc.
Le changement s'’opère sur la valeur du registre de démarrage. Une fois le routeur redémarré, il n'’y aura plus de mot de passe demandé mais aussi plus aucune configuration. Notons aussi que les interfaces n'auront pas été démarrées. Il faudra explicitement les activer pas un "no shutdown". On pourra par contre changer n'importe quel paramètre de la machine. Enfin, il ne faudra pas oublier de changer la valeur du registre à partir du mode normal sur sa valeur par défaut, sinon la "startup-configuration" sera toujours ignorée si le routeur redémarre pour une raison quelconque.

3. Conditions

La seule condition est d'’avoir un accès aux ports console ou AUX et de pouvoir redémarrer le routeur.

4. Procédure

Quelle que soit la plate-forme la procédure est toujours la même. Toutefois, selon le routeur, les commandes en "ROM Monitor Mode" peuvent changer. Il suffit de les connaître ou de les trouver grâce à l’aide (commande help ou ?).
Press RETURN to get started!


Router>enable
Password:
Password:
Le routeur demande un mot de passe pour accéder au mode privilège.

4.1. Redémarrage du routeur et CTRL-PAUSE endéans les 60 secondes. Entrée dans le mode ROM Monitor

rommon1>

4.2. Modification de la valeur du registre de démarrage

rommon1>confreg 0x2142 

4.3. Redémarrage du routeur (et esquive de la startup-configuration)

rommon2>reset
System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1)
Copyright (c) 2000 by cisco Systems, Inc.
cisco 2811 (MPC860) processor (revision 0x200) with 60416K/5120K bytes of memory

Self decompressing the image :
########################################################################## [OK]
---Sortie omise---
 --- System Configuration Dialog ---

Continue with configuration dialog? [yes/no]: no


Press RETURN to get started! 
Tapez no pour éviter le mode setup

5. Opérations

5.1. Visualisation de la configuration de démarrage

Router#show startup-configuration 
Using 499 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
enable secret 5 $1$mERr$.TUcXMCAonRND.tFXUzor0
!

5.2. Vérification de la présence d'un fichier de configuration de démarrage

Router#cd nvram:
Router#dir
Directory of nvram:/

 124  -rw-           0                    <no date>  startup-config
 125  ----           0                    <no date>  private-config

129016 bytes total (128964 bytes free)

5.3. Modification des paramètres

Router>enable
Router#configure terminal
Router(config)# …[...]
Router(config)#^Z
Router#copy running-config startup-config 

5.4. Rétablissement du registre de démarrage et redémarrage

Router#configure terminal
Router(config)#config-register 0x2102
Router(config)#exit
Router#reload

5.5. Vérification des paramètres du registre

Router#show version
Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)
---sortie ommise et à la dernière ligne :---
Configuration register is 0x2102
 

6. Références :

jeudi 2 avril 2015

Routage statique et adressage IPv6

Afin d’aborder la configuration orientée IPv6 d’un routeur de manière simple, nous allons voir, dans cet article, comment configurer un routeur en utilisant un adressage IPv6 ainsi que comment utiliser des routes statiques IPv6.

La topologie

Rien de très compliqué. Nous avons ici deux routeurs, chacun disposant d’un LAN (ici simulé par une interface loopback). Le but étant de permettre au LAN de R1 de communiquer avec le LAN de R2.
Nous allons donc devoir définir l’adressage IPv6 des interfaces, et ensuite définir le routage statique sur R1 et R2.

Configuration des interfaces de R1

Commençons par configuré l’interface loopback qui simulera le LAN de R1. Qui recevra la première adresse du réseau 2001:ABCD:0001::/48 … soit 2001:ABCD:0001:0000:0000:0000:0001 que l’on peut écrire sous forme abrégée 2001:ABCD:1::1
R1>enable
R1#configure terminal
R1(config)#interface loopback 0
R1(config-if)#description LAN R1
R1(config-if)#ipv6 address 2001:ABCD:1::1/48
R1(config-if)#exit
R1(config)#
Configurons maintenant l’interface Serial 0/0 de R1 qui le lie à R2. Elle sera quant à elle configurée selon la norme EUI-64. Ce qui signifie que les 64 derniers bits de l’adresse IPv6 seront automatiquement définis. Il suffit de donner l’adresse du réseau et de spécifier le format eui-64.
Les derniers 64 bits sont normalement attribués en fonction de l’adresse MAC d’une interface ethernet, toutefois, ici nous configurons une interface sérielle qui bien entendu n’a pas d’adresse MAC. Le routeur va alors compléter l’adresse IPv6 en utilisant l’adresse MAC d’une interface Ethernet présente sur le routeur.
R1(config)#interface serial 0/0
R1(config-if)#clock rate 4000000
R1(config-if)#ipv6 address 2001:ABCD::/48 eui-64
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#
Voyons le résultat…
R1#show ipv6 interface serial 0/0
Serial0/0 is up, line protocol is down
IPv6 is enabled, link-local address is FE80::C200:AFF:FE78:0 [TEN]
No Virtual link-local address(es):
Global unicast address(es):
2001:ABCD::C200:AFF:FE78:0, subnet is 2001:ABCD::/48 [EUI/TEN]
Joined group address(es):
FF02::1
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ICMP unreachables are sent
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds
R1#
L’interface a donc maintenant l’adresse IPv6 globale 2001:ABCD::C200:AFF:FE78:0 … reste à comprendre d’où cela provient. Pour cela, analysons l’adresse MAC de l’interface FastEthernet que le routeur a utilisé pour générer l’adresse en question…
R1#show interfaces fastEthernet 0/0 | include Hardware
Hardware is Gt96k FE, address is c000.0a78.0000 (bia c000.0a78.0000)
R1#
Voici comment le routeur a composé l’adresse:
  1. Les 64 permiers bits sont définis par l’adresse réseau, et si nécessaire complétés par des 0. Soit: 2001:ABCD:0000:0000……..
  2. Les 64 derniers bits sont composés de l’adresse MAC (empruntée à une interface FastEthernet), en insérant la valeur hexadécimale FFFE au milieur de celle-ci pour passer de 48 bits (format de l’adresse MAC) aux 64 bits requis… soit: 2001:ABCD:0000:0000:C000:0AFF:FE78:0000
  3. Dernière étape, le 7e bit de l’adresse MAC est mis à 1 on passe donc de C000.0A78.0000 à C200.00A78.0000, ce qui au final nous donne l’adresse 2001:ABCD:0000:0000:C200:0AFF:FE78:0000 qui peut s’écrire plus simplement 2001:ABCD::C200:AFF:FE78:0
Reste maintenant à configurer R2…

Configuration de R2

R2>enable
R2#configure terminal
R2(config)#interface loopback 0
R2(config-if)#ipv6 address 2001:ABCD:2::1/48
R2(config-if)#exit
R2(config)#interface serial 0/0
R2(config-if)#ipv6 address 2001:ABCD::/48 eui-64
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#exit
R2#
Testons la connectivité entre R1 et R2…
Pour cela commençons par retrouver l’adresse IPv6 de l’interface sérielle de R2…
R2#show ipv6 interface brief
FastEthernet0/0            [administratively down/down]
Serial0/0                  [up/up]
FE80::C201:AFF:FE78:0
2001:ABCD::C201:AFF:FE78:0
FastEthernet0/1            [administratively down/down]
Serial0/1                  [administratively down/down]
Loopback0                  [up/up]
FE80::C201:AFF:FE78:0
2001:ABCD:2::1
R2#
Utilisons maintenant la commande ping en ipv6 pour tester que le lien entre R1 et R2 fonctionne…
R1#ping ipv6 2001:ABCD::C201:AFF:FE78:0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:ABCD::C201:AFF:FE78:0, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/12/36 ms
R1#
Ok, tout semble en ordre, passons maintenant à la définition des routes statiques.

Définition des routes statiques…

Pour que le LAN de R1 puisse communiquer avec le LAN de R2, nous devons définir une route sur R1 qui indique le next-hop pour atteintre le LAN de R2, … et … sur R2 une route qui indique le Next-hop pour atteindre le LAN de R1.
Mais avant tout … il faut activer le routage IPv6 ! Sans quoi, le routeur se comporterait comme une simple machine IPv6, capable d’envoyer ou de recevoir du traffic mais pas de router !

Sur R1…

R1(config)#ipv6 unicast-routing
R1(config)#ipv6 route 2001:ABCD:2::/48 2001:ABCD::C201:AFF:FE78:0

Sur R2

R2(config)#ipv6 unicast-routing
R2(config)#ipv6 route 2001:ABCD:1::/48 2001:ABCD::C200:AFF:FE78:0

Vérifications

Commençons par jeter un oeil à la table de routage de R1
R1#show ipv6 route
IPv6 Routing Table - 6 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
       U - Per-user Static route, M - MIPv6
       I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
       O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
       ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
       D - EIGRP, EX - EIGRP external
C   2001:ABCD::/48 [0/0]
     via ::, Serial0/0
L   2001:ABCD::C200:AFF:FE78:0/128 [0/0]
     via ::, Serial0/0
C   2001:ABCD:1::/48 [0/0]
     via ::, Loopback0
L   2001:ABCD:1::1/128 [0/0]
     via ::, Loopback0
S   2001:ABCD:2::/48 [1/0]
     via 2001:ABCD::C201:AFF:FE78:0
L   FF00::/8 [0/0]
     via ::, Null0
R1#
La route crée est bien présente. Testons maintenant la connectivité, en lançant un ping ipv6, depuis l’interface Loopback de R1 vers l’interface Loopback de R2.

R1#ping
Protocol [ip]: ipv6
Target IPv6 address: 2001:ABCD:2::1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands? [no]: yes
Source address or interface: 2001:ABCD:1::1
UDP protocol? [no]:
Verbose? [no]:
Precedence [0]:
DSCP [0]:
Include hop by hop option? [no]:
Include destination option? [no]:
Sweep range of sizes? [no]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:ABCD:2::1, timeout is 2 seconds:
Packet sent with a source address of 2001:ABCD:1::1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/10/40 ms
R1#
 
Tout semble en ordre !

Exercice « Router-on-a-stick »

Voici une mise en pratique de diverses techniques de bases ( routage inter-vlan, dhcp, access-list, …) dans le cadre d’un petit réseau de tpe « router-on-a-stick » (routage inter-vlan à l’aide d’un router dédié).

Description de l’exercice


Voici un réseau très modeste. Le but est ici d’implémenter une série de techniques de base afin de créer une structure cohérente, parmis celles-ci:
  • Utilisation de VLANs
  • Routage inter-VLANs
  • Sécurisation minimale des ports du switch
  • Application d’access-lists
  • Mise en place du dhcp pour les machines hôtes

Structure générale

Le switch, disposant de 24 ports FastEthernet comportera 4 VLANs ( 1-native, 10, 20 et 30 ). Les VLANs 10 et 20 doivent pouvoir acceuillir 10 hôtes, le VLAN 30 doit pouvoir contenir 4 serveurs. Aucun port ne peut rester dans le VLAN 1. Tous les ports devront être configurés pour n’accepter qu’une seule mac-adresse, apprise dynamiquement.
Le routeur en plus de sa fonction de base servira de serveur DHCP pour les  hôtes des VLANs 10 et 20.
Aussi bien sur le switch que sur le routeur on configurera l’accès de management via telnet. Toutefois seuls les hôtes du VLAN 10 pourront y accéder.
Un serveur Web/Dns est présent dans le VLAN 30 avec l’adresse statique 192.168.1.34/29. Tous les hôtes du réseau doivent pouvoir y accéder pour les requêtes DNS et ICMP (pour du troubleshooting éventuel), par contre, seuls les hôtes du VLAN 20 peuvent accéder à l’application Web de ce serveur.
Les adresses des réseaux/interfaces nécessaires sont indiqués sur le schéma.

Configuration du switch SW1

!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
!
hostname SW1
!
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!
!
!
interface FastEthernet0/1
 switchport access vlan 10
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
interface FastEthernet0/2
 switchport access vlan 10
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
! .... Config des ports Fa0/3-Fa0/8 identique ....
! .... omises pour gagner un peu de place ;-) ...
!
interface FastEthernet0/9
 switchport access vlan 10
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
interface FastEthernet0/10
 switchport access vlan 10
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
interface FastEthernet0/11
 switchport access vlan 20
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
interface FastEthernet0/12
 switchport access vlan 20
 switchport mode access
 switchport port-security mac-address sticky
!
! .... Config des ports Fa0/13-Fa0/18 identique ....
! .... omises pour gagner un peu de place ;-) ... 
!
interface FastEthernet0/19
 switchport access vlan 20
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
interface FastEthernet0/20
 switchport access vlan 30
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
interface FastEthernet0/21
 switchport access vlan 30
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
! .... Config des ports Fa0/22-Fa0/23 identique ....
! .... omises pour gagner un peu de place ;-) ... 
!
interface FastEthernet0/24
 switchport access vlan 30
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
! Int Gig1/1 en TRUNK pour permettre le passage des VLANs vers le routeur. On ets ici sur un 2960, l'encapsulation est dot1q
!
interface GigabitEthernet1/1
 switchport mode trunk
!
! On met l'interface Gig1/2 en shutdown puisqu'elle ne sert à rien et qu'on ne veut pas permettre à quelqu'un de l'utiliser.
!
interface GigabitEthernet1/2
 shutdown
!
! On défini l'adresse IP du VLAN pour mermettre l'administration à distance du switch via telnet.
!
interface Vlan1
 ip address 192.168.0.2 255.255.255.252
!
! On défini la passerelle par défaut du switch
!
ip default-gateway 192.168.0.1
!
!
line con 0
 password 7 0822455D0A16
 logging synchronous
 login
!
line vty 0 4
 password 7 0822455D0A16
 login
 transport input telnet
line vty 5 15
 password 7 0822455D0A16
 login
 transport input telnet
!
!
end

Configuration du routeur R1

!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
!
hostname R1
!
!
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!
! L'interface physique est utilisée pour le VLAN 1 qui n'est pas taggé avec dot1Q.
! on y applique l'access-list 1 en out pour n'autoriser que le traffic venant du VLAN 10 vers l'interface d'admin du switch
!
interface FastEthernet0/0
 ip address 192.168.0.1 255.255.255.252
 ip access-group 1 out
 duplex auto
 speed auto
!
! SubInterface pour le VLAN 10, encapsulation dot1Q
!
interface FastEthernet0/0.10
 encapsulation dot1Q 10
 ip address 192.168.1.1 255.255.255.240
!
! SubInterface pour le VLAN 20, encapsulation dot1Q
!
interface FastEthernet0/0.20
 encapsulation dot1Q 20
 ip address 192.168.1.17 255.255.255.240
!
! SubInterface pour le VLAN 30, encapsulation dot1Q
! on y applique l'access list extended "server-access" de manière à n'autoriser
! que le traffic icmp et DNS pour les VLANS 10 et 20 ! et uniquement
! le traffic Web provenant du VLAN 20 vers le serveur Web/DNS
!
interface FastEthernet0/0.30
 encapsulation dot1Q 30
 ip address 192.168.1.33 255.255.255.248
 ip access-group server-access out
!
interface FastEthernet0/1
 no ip address
 duplex auto
 speed auto
 shutdown
!
ip classless
!
!
! Définition de l'access-list 1 pour l'accès telnet de management du routeur et du switch
!
access-list 1 permit 192.168.1.0 0.0.0.15
!
! Définition de l'access-list etended server-access pour l'accès au serveur Web/DNS
!
ip access-list extended server-access
 permit tcp 192.168.1.16 0.0.0.15 host 192.168.1.34 eq www
 permit icmp 192.168.1.0 0.0.0.31 host 192.168.1.34
 permit tcp 192.168.1.0 0.0.0.31 host 192.168.1.34 eq domain
 permit udp 192.168.1.0 0.0.0.31 host 192.168.1.34 eq domain
!
!
! On exclu les adresses des sub-interfaces du routeurs pour les pool DHCP
!
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.1.17
!
!
! Définition des pools DHCP pour chaque VLAN
!
ip dhcp pool vlan10
 network 192.168.1.0 255.255.255.240
 default-router 192.168.1.1
 dns-server 192.168.1.34
ip dhcp pool vlan20
 network 192.168.1.16 255.255.255.240
 default-router 192.168.1.17
 dns-server 192.168.1.34
!
!
!
!
!
line con 0
 password 7 0822455D0A16
 logging synchronous
 login
!
! On applique l'access-list 1 aux lignes VTY pour n'autoriser 
! que les connexion provenant du VLAN 10
!
line vty 0 4
 access-class 1 in
 password 7 0822455D0A16
 login
 transport input telnet
line vty 5 15
 access-class 1 in
 password 7 0822455D0A16
 login
 transport input telnet
!
!
!
end
Voilà donc les config complètes du switch et du routeur.

Laboratoire Frame relay

mercredi 1 avril 2015

Le masque générique

Le masque générique : Wildcard Masks (inverse masks)

Pour utiliser certains protocoles ou fonctionnalités des routeurs, on fait parfois appel aux « wildcard masks », aussi appelés « inverse masks » (masques inverses) afin d’identifier un sous-réseau ou un range d’adresses IP. C’est d’ailleurs le cas pour OSPF (protocole de routage) ou encore pour les ACLs (access lists) et donc aussi pour le NAT. Voici de quoi il s’agit…

Wildcard Masks

Ces masques servent donc à identifier les adresses qui correspondent ou non à certains critères (un range d’adresse IP généralement). Leur particularité réside dans la manière dont ils sont appliqués. Pour comprendre leur fonctionnement, il faut garder en tête qu’une adresse IPv4 est un ensemble de 32 bits. Par exemple, 193.62.31.125 s’écrit 11000001.00111110.00011111.01111101 en binaire. Un wildcard mask est également composé de 32bits. Par exemple 0.0.0.255 s’écrit 0000000.0000000.0000000.11111111 en binaire.
Lors de l’application d’un wildcard mask il faut savoir que:
  • Un bit avec une valeur de 0 vérifie la correspondance de l’adresse.
  • Un bit avec une valeur de 1 ignore la valeur correspondante de l’adresse.
Prenons un exemple:
Un réseau 193.62.31.64 avec un wildcard mask 0.0.0.63 (ce qui correspond à un /26). Celà donne en binaire:
11000001.00111110.00011110.01000000  (pour l'adresse réseau)
00000000.00000000.00000000.00111111 (pour le wildcard mask)
Chaque bit de l’adresse qui correspond à un bit à 0 dans le masque devra être identique pour correspondre au réseau. Dans le cas présent, seuls les 6 derniers bits de l’adresse peuvent varier. Toutes les adresses qui commenceront par 11000001.00111110.00011110.01…… feront donc partie du range.
Il y a bien sur moyen de calculer plus rapidement ces wildcard masks, surtout parce qu’on utilise que très rarement des masques comme 0.0.124.93 (00000000.00000000.01111100.01011101), en théorie on pourrait, mais les résultats seraient assez tordus. Généralement on utilise les wildcard masks qui correspondent à des sous-réseaux:
  • 0.0.0.0 correspond à un masque « normal » /32 ou  255.255.255.255, une adresse de machine.
  • 0.0.0.255 correspond à un masque normal en /24 ou 255.255.255.0
  • 0.0.255.255 correspond à un masque normal en /16 ou 255.255.0.0
  • etc
Pour calculer rapidement le wildcard mask d’un sous réseau le plus simple est de faire une simple soustraction comme suit:

  255.255.255.255
- 255.255.255.192 ( pour un masque en /26 )
-----------------
=  0 . 0 . 0 . 63
 
Autre exemple pour un masque en /19

  255.255.255.255
- 255.255.224. 0
-----------------
=  0 . 0 . 31. 255
Voilà, il n’y a pas grand chose d’autre à dire à ce sujet.

vendredi 27 mars 2015

Site-to-Site IPsec VPN

Site-to-Site IPsec VPN

Qu’il s’agisse de sécuriser une connexion ou encore de créer une liaison entre deux sites au travers d’un réseau non sécurisé tel qu’Internet, le passage par un tunnel VPN se révèle être une arme redoutable.
Cet article présente un exemple de configuration Site-à-Site. Chaque site étant une image d’un petit réseau disposat d’un accès à internet au travers d’un NAT overload…

La topologie

Configuration de base de SITE1

Configuration de l’interface WAN
interface Serial0/0
  ip address 80.1.0.2 255.255.255.252
  ip nat outside
  clock rate 2000000
Configuration de l’interface LAN
interface Loopback0
  ip address 192.168.0.1 255.255.255.0
  ip nat inside
Configuration du NAT
access-list 100 deny   ip 192.168.0.0 0.0.0.255 172.16.0.0 0.0.0.255
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
ip nat inside source list 100 interface Serial0/0 overload
Note: l’access-list est déjà préparée pour la création du VPN, c’est-à-dire qu’on exclut les communications entre les deux LANs de la règle NAT.
Configuration de la route par défaut
ip route 0.0.0.0 0.0.0.0 80.1.0.1

Configuration de base de SITE2

Configuration de l’interface WAN
interface Serial0/0
  ip address 80.2.0.2 255.255.255.252
  ip nat outside
  clock rate 2000000
Configuration de l’interface LAN
interface Loopback0
  ip address 172.16.0.1 255.255.255.0
  ip nat inside
Configuration du NAT
access-list 100 deny   ip 172.16.0.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 100 permit ip 172.16.0.0 0.0.0.255 any
ip nat inside source list 100 interface Serial0/0 overload
Note: l’access-list est déjà préparée pour la création du VPN, c’est-à-dire qu’on exclut les communications entre les deux LANs de la règle NAT.
Configuration de la route par défaut
ip route 0.0.0.0 0.0.0.0 80.2.0.1

Principe de mise en place du tunnel VPN

La mise en place du tunnel VPN peut paraître complexe, mais il s’agit plutôt d’une tâche qui demande beaucoup de rigueur. En effet, il va falloir s’assurer qu’aux deux bouts du tunnel la configuration des différents paramètres soit identique.
Voici le détail de la configuration sur SITE1:
Activation de ISAKMP (le protocole qui gère l’échange des clés, etc.)
SITE1(config)# crypto isakmp enable
Création d’une stratégie de négocation des clés et d’établissement de la laison VPN
SITE1(config)# crypto isakmp policy 10
SITE1(config-isakmp)# encryption aes
SITE1(config-isakmp)# authentication pre-share
SITE1(config-isakmp)# hash sha
SITE1(config-isakmp)# group 2
SITE1(config-isakmp)# lifetime 86400
On crée donc ici une stratégie avec un numéro de séquence 10. Ce numéro indique la priorité de l’utilisation de la stratégie. Plus petit est ce nombre plus la priorité est grande. On défini ensuite les paramètres:
  • Encryptage AES
  • Authentification par clé pré-partagées
  • Algorithme de hachage SHA (valeur par défaut)
  • Méthode de distribution des clés partagées DH-2 (Algoritme de clé asymétriques Diffie-Hellman 1024bits)
  • Durée de vie 86400 secondes (valeur par défaut)
On défini ensuite si on identifie le routeur par son adresse ou par son hostname (ici l’adresse), l’identification par hostname peut être utile si on fonctionne avec une adresse publique dynamique, ce qui permet d’éviter trop de modifications de configuration en cas de changement d’adresse.
SITE1(config)# crypto isakmp identity address
On crée ensuite la clé pré-partagée, ici « CiscoLab » qu’on associe avec l’adresse de l’autre bout du tunnel donc 80.2.0.2
SITE1(config)# crypto isakmp key 0 CiscoLab address 80.2.0.2
Le 0 indique qu’on défini la clé en texte clair, en opposition avec un clé déjà cryptée si on la copie d’un « show run » d’un routeur ou l’encryptage des mots de passe est activé.
On a maintenant terminé la configuration de la partie qui gère la négociation des clés etc. La deuxième partie consite à définir comment les données seront cryptées.
Tout d’abord on crée la méthode de cryptage (transform-set) que l’on nomme VPNSET.
SITE1(config)# crypto ipsec transform-set VPNSET esp-aes esp-sha-hmac
Esp-aes est la méthode de cryptage, esp-sha-hmac est la méthode d’authentification.
On défini ensuite la durée de vie de la clé de cryptage
SITE1(config)# crypto ipsec security-association lifetime kilobytes 4096
La durée de vie est ici limitée par un volume en kilobytes (4096), on peut également définir une durée de vie en secondes (ex:crypto ipsec security-association lifetime seconds 3600).
Il faut maintenant créer une accès-list qui servira à identifier le traffic à traiter par le tunnel VPN. Pour SITE1, ce sera le traffic originaire de 192.168.0.0/24 à destination de 172.16.0.0/24. (Ce sera l’inverse pour SITE2). On crée donc une access-list étendue:
SITE1(config)# ip access-list extended VPN
SITE1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 172.16.0.0 0.0.0.255
Reste maintenant à créer une Crypto-map dont le but est de rassembler les différents éléments configurés pour pouvoir les appliquer enfin à une interface.
SITE1(config)# crypto map VPNMAP 10 ipsec-isakmp
SITE1(config-crypto-map)# match address VPN
SITE1(config-crypto-map)# set peer 80.2.0.2
SITE1(config-crypto-map)# set transform-set VPNSET
On a donc créé ici une Crypto-map nommée VPNMAP dans laquelle on intègre une séquence 10 (une seule crypto-map par interface, mais on peut ajouter plusieurs maps en leur indiquant des numéros de séquence différents), avec les paramètres suivants:
  • Activée pour le trafic correspondant à l’access-list VPN
  • Destination du tunnel 80.2.0.2
  • Cryptage selon le transform-set VPNSET
La dernière étape consiste à appliquer cette crypto-map à l’interface WAN de SITE1.
SITE1(config)# interface serial 0/0
SITE1(config-if)# crypto map VPNMAP
Et voilà. SITE est prêt. Reste à faire l’équivalent sur SITE2.
Configuration sur SITE2:
Parmi les points important, SITE2 soit avoir une stratégie isakmp identique à celle de SITE1 et l’access-list qui identifie le trafic à traiter par le tunnel VPN est inversée d’un point de vue de la source et de la destination.
SITE2(config)# crypto isakmp enable
SITE2(config)# crypto isakmp policy 10
SITE2(config-isakmp)# encryption aes
SITE2(config-isakmp)# authentication pre-share
SITE2(config-isakmp)# hash sha
SITE2(config-isakmp)# group 2
SITE2(config-isakmp)# lifetime 86400
SITE2(config)# crypto isakmp identity address
SITE2(config)# crypto isakmp key 0 CiscoLab address 80.1.0.2
SITE2(config)# crypto ipsec transform-set VPNSET esp-aes esp-sha-hmac
SITE2(config)# crypto ipsec security-association lifetime kilobytes 4096
SITE2(config)# ip access-list extended VPN
SITE2(config-ext-nacl)# permit ip 172.16.0.0 0.0.0.255 192.168.0.0 0.0.0.255
SITE2(config)# crypto map VPNMAP 10 ipsec-isakmp
SITE2(config-crypto-map)# match address VPN
SITE2(config-crypto-map)# set peer 80.1.0.2
SITE2(config-crypto-map)# set transform-set VPNSET
SITE2(config)# interface serial 0/0
SITE2(config-if)# crypto map VPNMAP

Vérification du tunnel VPN

Une fois le tunnel configuré, deux commandes permettent de vérifier si le tunnel fonctionne:
  • # show crypto isakmp sa
  • # show crypto ipsec sa
Toutefois, pour que l’on pusse vérifier le fonctionnement il faut que le VPN soit établi, et pour cela il faut que du trafic soit envoyé au travers de ce tunnel. Ici le test est effectué à l’aide d’un « ping » étendu:
SITE1#ping
Protocol [ip]:
Target IP address: 172.16.0.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.0.1
Type of service [0]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Sending 5, 100-byte ICMP Echos to 172.16.0.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.0.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 144/156/176 ms
SITE1#
On peut maintenant vérifier si le tunnel à bien fonctionné
SITE1#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
80.2.0.2        80.1.0.2        QM_IDLE           1001    0 ACTIVE
IPv6 Crypto ISAKMP SA
SITE1#
SITE1#sh crypto ipsec sa
interface: Serial0/0
Crypto map tag: VPNMAP, local addr 80.1.0.2
protected vrf: (none)
local  ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.16.0.0/255.255.255.0/0/0)
current_peer 80.2.0.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 19, #pkts encrypt: 19, #pkts digest: 19
#pkts decaps: 19, #pkts decrypt: 19, #pkts verify: 19
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0
local crypto endpt.: 80.1.0.2, remote crypto endpt.: 80.2.0.2
path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0
current outbound spi: 0xE912A86D(3910314093)
...
Les deux lignes en bleu indiquent les paquets reçus et envoyés par le tunnel VPN
Pour conclure voici une capture réalisée par WireShark sur la liaison entre SITE1 et VPN lors de l’envoi de requêtes ICP de 192.168.0.1 à 172.16.0.1:

Il est ici impossible de voir qu’il s’agit de paquets ICMP, la seule chose visible c’est qu’il y a un trafic crypté d’un bout à l’autre du tunnel.

Configuration d’une interface Loopback


Que ce soit dans le but de simuler une connexion réseau, pour influencer un protocole de routage, ou encore d’autresraisons, la création et la configuration d’une interface de type « loopback » peut se révéler très utile…

Qu’est-ce qu’une interface « Loopback » ?

Il s’agit d’une interface virtuelle, créée par configuration et qui a la particularité de toujours être up/up. D’un point de vue fonctionnement du routeur, cette interface est perçue comme une interface physique (ou presque).

Quelles utilités ?

  • Simuler un réseau connecté.
  • Influencer un protocole de routage (par exemple le router-id pour OSPF, ou encore créer un réseau connecté classfull afin de le définir comme default-network pour EIGRP).
  • etc.

Configuration de l’interface « loopback »

On va ici créer une interface loopback qui simule une connexion au réseau 192.168.0.0/24. Notez la dénomination de l’interface, elle se fait sous la forme « loopback X » où X est un nombre entier, au même titre qu’on trouve des interfaces Serial0 ou Ethernet0.
Notez également que sur certains modèles de routeurs (série 7200 et 7500) la dénomination est légèrement différente et se fait sous la forme « loopback X/Y » (ex: Loopback 0/1).
Router> enable
Router# configure terminal
Router(config)# interface loopback 0
Router(config-if)# ip address 192.168.0.1 255.255.255.0

Résultat sur un routeur:

Router>en
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#int loopback 0
Router(config-if)#
*Mar  1 00:02:11.907: %LINK-3-UPDOWN: Interface Loopback0, changed state to up
*Mar  1 00:02:12.907: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up
Router(config-if)#ip address 192.168.0.1 255.255.255.0
Router(config-if)#^Z
Router#

Du côté de la table de routage:

Router#
Router#sh ip route
       Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

C    192.168.0.0/24 is directly connected, Loopback0

Router#

jeudi 26 mars 2015

CDP : Cisco Discovery Protocol

CDP (Cisco Discovery Protocol) est un protocole propriétaire de découverte de périphériques réseau indépendant des medias et protocoles utilisés qui fonctionne au niveau de la couche « liaison de donnée » (layer 2).L’utilisation de CDP permet à un équipement de signaler son existence à ses voisins. Et donc, inversément, ses voisins pourront quant à eux retrouver une série d’informations le concernant (nom, modèle, version, adresse IP, …).

Quelle est l’utilité de CDP ?

Comme on vient de le voir, CDP permet d’obtenir des informations sur les équipements directemens connectés pour autant que ceux-ci utilisent aussi CDP. Parmi les utilités majeures on retrouve:
  • Vérifier l’état de fonctionnement d’une liaison. Si CDP passe, c’est que la couche physique et la couche liaison de donnée sont opérationnelles, l’interface concernée sera donc dans un état « up/up ».
  • Obtenir des informations sur l’équipement voisin. son adresse IP par exemple.
  • Découvrir et tracer la topologie du réseau. En passant de machine en machine, on pourra savoir qui est relié à qui et via quelle interface etc.

Dans quelles conditions peut-on utiliser CDP ?

CDP étant un protocole propriétaire, il faut donc que le matériel utilisé soit Cisco. A noter toutefois qu’il est possible d’implémenter CDP sur une machine linux ou autre.
A part cela, il n’y a pas de réel pré-requis. Notons toutefois que pour CDP puisse passer entre deux machine,il faut qu’elles soient voisines et que leur liaison soit fonctionnelle au niveau physique et au niveau liaison de données (interface up/up).

Utilisation de CDP

La première chose à savoir c’est que CDP ne sert qu’à afficher des informations et peut donc être utilisé dans le CLI en mode normal ( router> ) ou en mode privilégié ( router# ).
Voici les principales commandes de CDP:

show cdp

Affiche les infos de fonctionnement de CDP.

BBR1>sh cdp
Global CDP information:
 Sending CDP packets every 60 seconds
 Sending a holdtime value of 180 seconds
 Sending CDPv2 advertisements is  enabled
BBR1>

show cdp neighbors

Affiche un résumé des équipements voisins connectés. (certainement la commande cdp la plus utilisée).
BBR1#show cdp neighbors

Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
 S - Switch, H - Host, I - IGMP, r - Repeater
Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID
2924-2           Fas 0/1            123         T S       WS-C2924- Fas 0/15
PR1              Ser 0/0            127        R S I      2610XM    Ser 1/0
BBR2             Ser 0/0            159        R S I      2620XM    Ser 1/0

BBR1#
  • Device ID: le nom configuré sur l’équipement
  • Local Intrfce: l’interface de l’équipement sur lequel on travaille à laquelle est connectée l’autre équipement.
  • HoldTme: Temps restant avant que cette entrée ne soit oubliée au cas ou aucune mise à jour n’est reçue.
  • Capability: Fonctionnalités de l’équipement voisin.
  • Platform: Type de l’équipement voisin. (A noter que les IP Phones cisco etc sont également identifiés avec CDP).
  • Port ID: Port sur l’équipement voisin auquel est rattaché la machinesur laquelle on se trouve.

show cdp neigbors detail

Affiche les informations détaillées sur chaque équipement voisin connecté
BBR1#show cdp neighbors detail
-------------------------
Device ID: 2924-2
Entry address(es):
Platform: cisco WS-C2924-XL,  Capabilities: Trans-Bridge Switch
Interface: FastEthernet0/1,  Port ID (outgoing port): FastEthernet0/15
Holdtime : 132 sec

Version :
Cisco Internetwork Operating System Software
IOS (tm) C2900XL Software (C2900XL-C3H2S-M), Version 12.0(5)WC17, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2007 by cisco Systems, Inc.
Compiled Tue 13-Feb-07 15:27 by antonino

advertisement version: 2
Protocol Hello:  OUI=0x00000C, Protocol ID=0x0112; payload len=27, value=00000000FFFFFFFF010121FF0000000000000002FD1D8DC0FF0064
VTP Management Domain: ''
Native VLAN: 1
Duplex: full

-------------------------
Device ID: PR1
Entry address(es):
Platform: Cisco 2610XM,  Capabilities: Router Switch IGMP
Interface: Serial0/0,  Port ID (outgoing port): Serial1/0
Holdtime : 100 sec

... etc ...
Pour chaque voisin connecté, CDP affichera le détail des informations reçues:
  • Device ID: le nom configuré sur l’équipement
  • Entry Address(es): adresse IP (si il y en a une de configurée)
  • Platform: Type de l’équipement voisin.
  • Interface: l’interface de l’équipement sur lequel on travaille à laquelle est connectée l’autre équipement.
  • Port ID (outgoing port): Port sur l’équipement voisin auquel est rattaché la machinesur laquelle on se trouve.
  • HoldTme: Temps restant avant que cette entrée ne soit oubliée au cas ou aucune mise à jour n’est reçue.
  • Version: Les informations relatives à la version d’IOS utilisé
  • Advertisement: Les informatiosn relatives aux messages CDP.
  • etc …
Les informations affichées dépendent de la nature de l’équipement voisin. Par exemple un switch affichera le VLAN natif, le domaine VTP etc.

show cdp entry <nom>

Affiche les informations détaillées d’un voisin spécifique.
BBR1#sh cdp entry BBR2
-------------------------
Device ID: BBR2
Platform: Cisco 2620XM,  Capabilities: Router Switch IGMP
Interface: Serial0/0,  Port ID (outgoing port): Serial1/0
Holdtime : 159 sec
Version :
Cisco IOS Software, C2600 Software (C2600-ADVENTERPRISEK9-M), Version 12.4(19), RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Fri 29-Feb-08 19:23 by prod_rel_team
advertisement version: 2
VTP Management Domain: ''
BBR1#

show cdp interface <type> <numéro>

Affiche les informations CDP concernant l’interface donnée. A savoir si CDP y est actif, les valeursholdtime et de délai de renvoi, …
BBR1#sh cdp interface fastEthernet 0/1
FastEthernet0/1 is up, line protocol is up
 Encapsulation ARPA
 Sending CDP packets every 60 seconds
 Holdtime is 180 seconds
BBR1#

Effacer la table CDP

Lorsqu’on teste des connexion, qu’on change les connexionsentre deux équipement, il peut être pratique de vider la table de CDP de manière à ne pas avoir d’affichage étrange le temps que les anciennes entrées soient considérées comme périmées. Pour celà il y a une commande simple:
BBR1#clear cdp table
BBR1#show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
 S - Switch, H - Host, I - IGMP, r - Repeater

Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID
BBR1#
Il ne reste plus qu’à attendre que la table se remette à jour.

Activer ou désactiver CDP

Il est bien entendu possible d’activer ou désactiver CDP, soit de manière générale sur le switch ou le routeur, soit sur une interface spécifique.
Par exemple, il est inutile d’utiliser CDP sur les interface d’un switch qui servent à connecter un PC. Autre exemple, lorsqu’on configure une interface en frame-relay, CDP y est désactivé par défaut, pour des raisons de test on peut vouloir l’y activer.

cdp run / no cdp run

Activer ou désactiver CDP sur l’ensemble de la machine. Cette commande est à entrer en configuration globale ( (config)# ).
BBR1(config)#no cdp run
BBR1(config)#^Z
BBR1#sh cdp neighbors
% CDP is not enabled
BBR1#
BBR1(config)#cdp run
BBR1(config)#^Z
BBR1#sh cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
 S - Switch, H - Host, I - IGMP, r - Repeater

Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID
BBR1#
Attention … désactiver CDP signifie que l’on envoi plus aucune information mais également qu’on ne les recevra plus non plus.

cdp enable / no cdp enable

Permet d’activer ou désactiver CDP sur une interface spécifique. Cette commande est donc à entrer en mode de configuration d’interface ( (config-if)# ).
BBR1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
BBR1(config)#int s0/0
BBR1(config-if)#no cdp enable
BBR1(config-if)#^Z
BBR1#sh cdp int s0/0

BBR1#
BBR1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
BBR1(config)#int s0/0
BBR1(config-if)#cdp enable
BBR1(config-if)#^Z
BBR1#show cdp int s0/0
Serial0/0 is up, line protocol is up
 Encapsulation FRAME-RELAY
 Sending CDP packets every 60 seconds
 Holdtime is 180 seconds
BBR1#
Le principe est le même que pour cdp run, lorsqu’on désactive CDP sur une interface, l’équipement n’enverra plus de message CDP ni n’en recevra sur l’interface en question.

Holdtime et interval des packets CDP

Comme dit précédemment, le Holdtime est la durée de vie de l’information envoyée dans le message CDP. Ce qui implique que cette valeur affecte l’équipement voisin, car elle lui dit combien de temps l’info est valable tant qu’elle n’a pas été renouvelée.
L’interval est le temps qui sécoule entre deux envois de message CDP.
Par défaut ces valeurs sont:
  • Interval: 60 secondes
  • Holdtime: 180 secondes
Ces valeurs peuvent être modifiées de manière globale sur l’équipement (donc en configuration globale).

cdp holdtime <x>

Défini la durée de vie en secondes de l’information envoyée. Valeur comprise entre 10 et 255 secondes.
BBR1(config)#cdp holdtime 120

cdp timer <x>

Fréquence à laquelle l’équipement doit renvoyer les messages CDP. Valeur comprise entre 5 et 254 secondes.
BBR1(config)#cdp timer 40
Remarque: Il faut être attentif lors de la configuration de ces valeurs. Si on configure un holtime plus court que le timer, les infos cdp ne seront pas renouvelées à temps et le voisin aura régulièrement une table CDP incomplète.
Pour remettre les valeurs par défaut, il suffit de précéder ces deux commandes d’un « no »:
BBR1(config)#no cdp timer
BBR1(config)#no cdp holdtime
Voilà pour CDP. Ce protocole n’a pas l’air énorme, mais c’est sans aucun doute un des outils les plus utilisés dans l’analyse d’un réseau (Cisco).

Liste des ports TCP/UDP

Afin de permettre aux clients de connecter des serveurs, des numéros de ports logiciels sont bien connus.
Les informations qui suivent sont en général reprises par chaque système dans un fichier ; par exemple :
  • sur Linux et OS X : /etc/services
  • sur Windows : %SystemRoot%\system32\drivers\etc\services


type description
1 tcp TCPMUX - TCP Port Service Multiplexer (en)
2 tcp compressnet - Management Utility
3 tcp compressnet - Compression Process
5 tcp rje - Remote job entry (en)
7 tcp echo/ICMP(ping)
9 tcp Discard Protocol (en)
11 tcp SYSTAT (en) - Active Users
13 tcp Daytime Protocol (en) RFC 867
17 tcp qotd - Quote of the Day
18 tcp msp - Message send protocol (en)
19 tcp CHARGEN - Character Generator Protocol (en)
20 tcp ftp-data - File Transfer Protocol [flux de données]
21 tcp ftp - File Transfer Protocol (le flux de contrôle pour le transfert de fichiers), voir Diagramme des flux FTP (port 20 et 21)
22 tcp SSH - Secure Shell
23 tcp telnet
24 tcp any private mail system
25 tcp smtp - Simple Mail Transfer Protocol RFC 5321
27 tcp nsw-fe - NSW User System FE
29 tcp msg-icp
31 tcp msg-auth - MSG Authentication
33 tcp dsp - Display Support Protocol
35 tcp any private printer server
37 tcp Time Protocol RFC 868
38 tcp rap - Route Access Protocol
39 tcp rlp - Resource Location Protocol
41 tcp graphics
42 tcp nameserver - Host Name Server
43 tcp nicname - Who Is
44 tcp mpm-flags - MPM FLAGS Protocol
45 tcp mpm - Message Processing Module [recv]
46 tcp mpm - Message Processing Module [default send]
47 tcp ni-ftp
48 tcp auditd - Digital Audit Daemon
49 tcp login - Login Host Protocol (Terminal Access Controller Access-Control System)
50 tcp re-mail-ck - Remote Mail Checking Protocol
51 tcp la-maint - IMP Logical Address Maintenance
52 tcp xns-time - XNS Time Protocol
53 udp/tcp domain - Domain Name Service (DNS)
54 udp xns-ch - XNS Clearinghouse
55 tcp isi-gl - ISI Graphics Language
56 tcp xns-auth - XNS Authentication
57 tcp any private terminal access
58 tcp xns-mail - XNS Mail
59 tcp any private file service
61 tcp ni-mail
62 tcp acas - ACA Services
64 tcp covia - Communications Integrator (CI)
65 tcp tacacs-ds - TACACS-Database Service
67 udp bootps - Bootstrap Protocol Server, ce port est aussi utilisé par une extension de bootp : DHCP, pour la recherche d'un serveur DHCP
68 udp bootpc - Bootstrap Protocol Client, ce port est aussi utilisé par une extension de bootp : DHCP, pour le dialogue entre le serveur DHCP et le client (attribution d'un bail pour une adresse IP)
69 udp tftp - Trivial File Transfer
70 tcp gopher
71 tcp netrjs-1 Remote Job Service
72 tcp netrjs-2 Remote Job Service
73 tcp netrjs-3 Remote Job Service
74 tcp netrjs-4 Remote Job Service
75 tcp any private dial out service
76 tcp deos - Distributed External Object Store
77 tcp any private RJE service
78 tcp vettcp
79 tcp finger
80 tcp www-http - World Wide Web HTTP
81 tcp host2-ns - HOSTS2 Name Server
82 tcp xfer - XFER Utility
83 tcp mit-ml-dev
84 tcp ctf - Common Trace Facility
85 tcp mit-ml-dev
86 tcp mfcobol - Micro Focus Cobol
87 tcp any private terminal link
88 tcp kerberos
89 tcp su-mit-tg - SU/MIT Telnet Gateway
90 tcp dnsix - DNSIX Security Attribute Token Map
91 tcp mit-dov - MIT Dover Spooler
92 tcp npp - Network Printing Protocol
93 tcp dcp - Device Control Protocol
94 tcp objcall - Tivoli Object Dispatcher
95 tcp supdup
96 tcp dixie - DIXIE Protocol Specification
97 tcp swift-rvf - Swift Remote Virtual File Protocol
98 tcp tacnews
99 tcp metagram - Metagram Relay
100 tcp newacct - [unauthorized use]
101 tcp hostname - NIC Host Name Server
102 tcp iso-tsap
103 tcp gppitnp - Genesis Point-To-Point Trans Net
104 tcp acr-nema - ACR-NEMA Digital Imag. & Comm. 300
105 tcp csnet-ns - Mailbox Name Nameserver
106 tcp 3com-tsmux
107 tcp rtelnet (en) - Remote Telnet Service
108 tcp snagas - SNA Gateway Access Server
109 tcp pop2 - Post Office Protocol - Version 2 RFC 937
110 tcp pop3 - Post Office Protocol - Version 3 RFC 1939
111 tcp sunrpc - SUN Remote Procedure Call
112 tcp mcidas - McIDAS Data Transmission Protocol
113 tcp auth - Authentication Service
114 tcp audionews - Audio News Multicast
115 tcp sftp - Simple File Transfer Protocol (en)
116 tcp ansanotify - ANSA REX Notify
117 tcp uucp-path - UUCP Path Service
118 tcp sqlserv - SQL Services
119 tcp nntp - Network News Transfer Protocol RFC 3977
120 tcp cfdptkt
121 tcp erpc - Encore Expedited Remote Pro.Call
122 tcp smakynet
123 udp ntp - Network Time Protocol RFC 5905
124 tcp ansatrader - ANSA REX Trader
125 tcp locus-map - Locus PC-Interface Net Map Server
126 tcp unitary - Unisys Unitary Login
127 tcp locus-con - Locus PC-Interface Conn Server
128 tcp gss-xlicen - GSS X License Verification
129 tcp pwdgen - Password Generator Protocol
130 tcp cisco-fna - cisco FNATIVE
131 tcp cisco-tna - cisco TNATIVE
132 tcp cisco-sys - cisco SYSMAINT
133 tcp statsrv - Statistics Service
135 tcp loc-srv - Location Service
136 tcp profile - PROFILE Naming System
137 tcp netbios-ns - NETBIOS Name Service
138 tcp netbios-dgm - NETBIOS Datagram Service
139 tcp netbios-ssn - NETBIOS Session Service
140 tcp emfis-data - EMFIS Data Service
141 tcp emfis-cntl - EMFIS Control Service
142 tcp bl-idm - Britton-Lee IDM
143 tcp imap2, imap4 - Internet Message Access Protocol v4 RFC 3501
144 tcp news
145 tcp uaac
146 tcp iso-tp0
147 tcp iso-ip
148 tcp cronus - CRONUS-SUPPORT
149 tcp aed-512 - AED 512 Emulation Service
150 tcp sql-net
151 tcp hems
152 tcp bftp - Background File Transfer Program
153 tcp sgmp
154 tcp netsc-prod
155 tcp netsc-dev
156 tcp sqlsrv - SQL Service
157 tcp knet-cmp - KNET/VM Command/Message Protocol
158 tcp pcmail-srv - PCMail Server
159 tcp nss-routing
160 tcp sgmp-traps
161 udp SNMP - Simple Network Management Protocol
162 udp snmptrap - Simple Network Management Protocol Trap
163 tcp cmip-man - CMIP/TCP Manager
164 tcp cmip-agent - CMIP/TCP Agent
165 tcp xns-courier - Xerox
166 tcp s-net - Sirius Systems
167 tcp namp
168 tcp rsvd
169 tcp send
170 tcp print-srv - Network PostScript
171 tcp multiplex - Network Innovations Multiplex
172 tcp cl/1 - Network Innocations CL/1
173 tcp xyplex-mux - Xyplex
174 tcp mailq
175 tcp vmnet
176 tcp genrad-mux
177 tcp xdmcp - X Display Manager Control Protocol
178 tcp nextstep - NeXTSTEP Window Server
179 tcp bgp - Border Gateway Protocol
180 tcp ris - Intergraph
181 tcp unify
182 tcp audit - Unisys Audit SITP
183 tcp ocbinder
184 tcp ocserver
185 tcp remote-kis
186 tcp kis - KIS Protocol
187 tcp aci - Application Communication Interface
188 tcp mumps - Plus Five's MUMPS
189 tcp qft - Queued File Transport
190 tcp gacp - Gateway Access Protocol
191 tcp prospero - Prospero Directory Service
192 tcp osu-nms - OSU Network Monitoring System
193 tcp srmp - Spider Remote Monitoring Protocol
194 tcp Internet relay chat (IRC)
195 tcp dn6-nlm-aud - DNSIX Network Level Module Audit
196 tcp dn6-nlm-red - DNSIX Session Mgt Module Audit Redir
197 tcp dls - Directory Location Service
198 tcp dls-mon - Directory Location Service Monitor
199 tcp smux
200 tcp src - IBM System Resource Controller
201 tcp at-rtmp - AppleTalk Routing Maintenance
202 tcp at-nbp - AppleTalk Name Binding
203 tcp at-3 - AppleTalk Unused
204 tcp at-echo - AppleTalk Echo
205 tcp at-5 - AppleTalk Unused
206 tcp at-zis - AppleTalk Zone Information
207 tcp at-7 - AppleTalk Unused
208 tcp at-8 - AppleTalk Unused
209 tcp tam - Trivial Mail Authentication Protocol
210 tcp z39.50
211 tcp 914c/g - Texas Instruments 914C/G Terminal
212 tcp anet - ATEXSSTR
213 tcp ipx
214 tcp vmpwscs - VM PWSCS
215 tcp softpc - Insignia Solutions
216 tcp atls - Access Technology License Server
217 tcp dbase - dBASE Unix
218 tcp mpp - Netix Message Posting Protocol
219 tcp uarps - Unisys ARPs
220 tcp imap3 - Interactive Mail Access Protocol v3 RFC 1203
221 tcp fln-spx - Berkeley rlogind with SPX auth
222 tcp rsh-spx - Berkeley rshd with SPX auth
223 tcp cdc - Certificate Distribution Center
243 tcp sur-meas - Surveet Measurement
245 tcp link
246 tcp dsp3270 - Display Systems Protocol
264 udp BGMP - Border Gateway Multicast Protocol
344 tcp pdap - Prospero Data Access Protocol
345 tcp pawserv - Perf Analysis Workbench
346 tcp zserv - Zebra server
347 tcp fatserv - Fatmen Server
348 tcp csi-sgwp - Cabletron Management Protocol
371 tcp clearcase
372 tcp ulistserv - Unix Listserv
373 tcp legent-1 - Legent Corporation
374 tcp legent-2 - Legent Corporation
375 tcp hassle
376 tcp nip - Amiga Envoy Network Inquiry Proto
377 tcp tnETOS - NEC Corporation
378 tcp dsETOS - NEC Corporation
379 tcp is99c - TIA/EIA/IS-99 modem client
380 tcp is99s - TIA/EIA/IS-99 modem server
381 tcp hp-collector - hp performance data collector
382 tcp hp-managed-node - hp performance data managed node
383 tcp hp-alarm-mgr - hp performance data alarm manager
384 tcp arns - A Remote Network Server System
385 tcp ibm-app - IBM Application
386 tcp asa - ASA Message Router Object Def.
387 tcp aurp - AppleTalk Update-Based Routing Pro.
388 tcp unidata-ldm - Unidata LDM Version 4
389 tcp Lightweight Directory Access Protocol (LDAP)
390 tcp uis
391 tcp synotics-relay - SynOptics SNMP Relay Port
392 tcp synotics-broker - SynOptics Port Broker Port
393 tcp dis - Data Interpretation System
394 tcp embl-ndt - EMBL Nucleic Data Transfer
395 tcp NETscout Control Protocol
396 tcp netware-ip - Novell NetWare encapsulé dans IP
397 tcp mptn - Multi Protocol Trans. Net.
398 tcp kryptolan
400 tcp work-sol - Worksation Solutions
401 tcp ups - Uninteruptible Power Supply
402 tcp genie - Genie Protocol
403 tcp decap
404 tcp nced
407 tcp Timbuktu (software) (en)
408 tcp prm-sm - Prospero Resource Manager Sys. Man.
409 tcp prm-nm - Prospero Resource Manager Node Man.
410 tcp decladebug - DECLadebug Remote Debug Protcol
411 tcp rmt - Remote MT Protocol
412 tcp synoptics-trap - Trap Convetion Port
413 tcp smsp
414 tcp infoseek
415 tcp bnet
416 tcp silverplatter
417 tcp onmux
418 tcp hyper-g
419 tcp ariel1
420 tcp smpte
421 tcp ariel2
422 tcp ariel3
423 tcp opc-job-start - IBM Operations Planning and Control Start
424 tcp opc-job-track - IBM Operations Planning and Control Track
425 tcp icad-el - ICAD
426 tcp smartsdp
427 tcp svrloc - Server Location
428 tcp ocs_cmu
429 tcp ocs_amu
430 tcp utmpsd
431 tcp utmpcd
432 tcp iasd
433 tcp nnsp
434 tcp mobileip-agent
435 tcp mobileip-mn
436 tcp dna-cml
437 tcp comscm
438 tcp dsfgw
439 tcp dasp
440 tcp sgcp
441 tcp decvms-sysmgt
442 tcp cvc_hostd
443 tcp https
444 tcp snpp - Simple Network Paging Protocol
445 tcp microsoft-ds SMB, anciennement appelé CIFS (Common Internet File System)
446 tcp ddm-rdb
447 tcp ddm-dfm
448 tcp ddm-byte
449 tcp as-servermap - AS Server Mapper
450 tcp tserver
465 tcp smtp sécurisé (ssl) (non officiel)
497 tcp retrospect - Retrospect Backup software
500 tcp ISAKMP (Internet Security Association and Key Management Protocol), un des composants d'IPsec
502 tcp Modbus sur TCP.
514 udp Syslog RFC 3164 NB : ce service n'est pas listé habituellement dans le fichier etc\services
515 tcp printer - spooler
517 tcp talk
518 tcp ntalk
520 udp Routing
525 tcp timed - timeserver
526 tcp tempo - newdate
546 udp DHCP - Dynamic Host Configuration Protocol v6 (for IPv6)
548 tcp AppleShare IP Server
554 tcp RTSP (Real Time Streaming Protocol) RFC 2326
563 tcp nntp sécurisé (ssl) RFC 4642
587 tcp Message Submission for Mail RFC 5068 RFC 6409
631 tcp Internet Printing Protocol
636 tcp LDAP encapsulé dans SSL/TLS
706 tcp Secure internet live conferencing
706 udp Secure internet live conferencing
873 tcp rsync
902 tcp/udp VMware Vsphere client et Vcenter heartbeat
993 tcp imap sécurisé (ssl)
995 tcp pop3 sécurisé (ssl)
1080 tcp SOCKS
1194 udp/tcp OpenVPN
1337 tcp/udp Port utilisé par les développeurs pour tester des applications (Leet speak)
1352 tcp Lotus Notes
1414 tcp IBM MQSeries
1433 tcp Microsoft SQL Server
1434 tcp Microsoft SQL Monitor
1521 tcp Serveur Oracle
NB : ce numéro de port était (ou est) aussi utilisé par ncube-lm (en)

1524 tcp Ingreslock, voir Ingres (base de données)
1720 tcp H.323
1723 tcp PPTP
1863 tcp MSN (tchat)
2106 tcp/udp L2J LoginServer
2164 tcp/udp Dynamic DNS
2427 udp MGCP
3000 tcp First Class Server
3051 tcp AMS (Agency Management System)
3074 tcp/udp nintendo server
3306 tcp Mysql Server
3389 tcp Microsoft Terminal Server (RDP)
3632 tcp distcc (compilation partagée)
3725 tcp/udp Netia NA-ER Port
3979 tcp/udp Serveur Transport Tycoon deluxe en open source (openttd)
5060 tcp serveur SIP (Session Initiation Protocol)
5062 tcp/udp Localisation access
5222 tcp serveur Jabber
5223 tcp serveur Jabber sécurisé (ssl)
5269 tcp serveur à serveur (server to server) Jabber
5280 tcp serveur BOSH
5353 tcp/udp Multicast DNS
5432 tcp serveur PostgreSQL
5498 tcp Hotline Tracker
5500 tcp Hotline Server
5501 tcp Hotline Server
5900 tcp VNC Server
5984 tcp Couchdb Server
6000 tcp/udp X11
6112 tcp Warcraft III
6522 tcp Gobby Server (Sobby)
6667 tcp Serveur IRC
6697 tcp Serveur IRC sécurisé (ssl)
7000 tcp Serveur IRC sécurisé (ssl) alternatif
7648 tcp CU-SeeMe (en)
7725 tcp/udp Port par défaut de Faronics Deep Freeze (console/serveur)
7777 tcp/udp Serveur Terraria / L2J Gameserver
8000 tcp Hotline
8006 tcp Dell AppAssure (en) Replication/Management Interface
8008 tcp Serveur CalDAV
8009 tcp Port AJP utilisé par Tomcat
8080 tcp http alternatif (webcache)
8098 tcp Administration Microsoft Windows Server 2003
8140 tcp Serveur Puppet (port par défaut pour le master)
8443 tcp Serveur CalDAV sécurisé (ssl)
8787 tcp Serveur RStudio
8888 tcp VolumeOnLan Client/serveur
9009 tcp Pichat - Peer to peer web chat (en) software
11371 tcp/udp OpenPGP - OpenPGP HTTP Keyserver
25565 tcp/udp Serveur Minecraft
27000 à 27050
tcp/udp Serveur Steam
47808 à 47823 udp BACnet (BAC0 à BACF)