pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » cisco » gestion_des_acces
Trace: gestion_des_acces
informatique:cisco:gestion_des_acces

This is an old revision of the document!

Table of Contents

Gestion des accès

Il existe différents types d'accès : l'accès série (port console ou auxiliaire) et l'accès distant (telnet ou ssh).

Pour la première configuration il faut se connecter au port console avec le câble fourni par Cisco. Sous Windows on ouvre l' Hyper terminal, on saisit un nom de connexion bidon, on clique sur “default” et on se connecte. Il faut parfois taper “entrée” pour activer l'affichage. Normalement si le switch n'est pas configuré il ne faut pas saisir de mot de passe pour se logguer ni pour passer en mode privilégié. 

Switch> en
Switch#

Mode enable

En mode config on va saisir un nouveau mot de passe pour le mode privilégié. On a le choix entre, respectivement, le garder en clair dans la config ou le hacher : 

Switch(config)# enable password <pwd>
Switch(config)# enable secret <pwd>

Si les 2 sont configurés, le enable secret est prioritaire ; c'est donc celui-là qu'il faudra saisir.

Console

On veut mettre en place un mot de passe pour se connecter sur la ligne console (CTY) : 

Switch(config)# line console 0
Switch(config-line)# login
Switch(config-line)# password <pwd>

login indique une authentification par mot de passe, password précise le mot de passe.

Ligne auxiliaire

La principale différence entre les ports console (CTY) et auxiliaire (AUX) est que le port auxiliaire supporte le contrôle de flux hardware ; le port console non. Le contrôle de flux permet un contrôle des transmissions, idéal pour une connexion “rapide” (historiquement bien sûr !) telle qu'un modem, alors que le port console suffit pour une connexion série @ 9600bps. 

Switch(config)# line aux 0
Switch(config-line)# login
Switch(config-line)# password <pwd>

ligne vty

Elles correspondent à des lignes virtuelles (des connexions non physiques comme le port console ou AUX), celles utilisées quand un utilisateur se connecte en telnet ou ssh.

Tant qu'un mot de passe n'est pas spécifié (via la console), les sessions telnet sont interdites pour des problèmes de sécurité. De plus on ne peut y accéder que quand on a spécifié une adresse IP d'administration au switch (c'est logique puisqu'on y accède par le réseau).

Souvent les routeurs ne comprennent que 5 lignes vty (line vty 0 4), alors que les switchs peuvent en avoir 8 ou 16 lignes (line vty 0 15): 

P4SW#sh line 
   Tty Typ     Tx/Rx    A Modem  Roty AccO AccI   Uses   Noise  Overruns   Int
*    0 CTY              -    -      -    -    -      0       0     0/0       -
*    1 VTY              -    -      -    -    -      4       0     0/0       -
     2 VTY              -    -      -    -    -      0       0     0/0       -
     3 VTY              -    -      -    -    -      0       0     0/0       -
     4 VTY              -    -      -    -    -      0       0     0/0       -
     5 VTY              -    -      -    -    -      0       0     0/0       -
     6 VTY              -    -      -    -    -      0       0     0/0       -
     7 VTY              -    -      -    -    -      0       0     0/0       -
     8 VTY              -    -      -    -    -      0       0     0/0       -
     9 VTY              -    -      -    -    -      0       0     0/0       -
    10 VTY              -    -      -    -    -      0       0     0/0       -
    11 VTY              -    -      -    -    -      0       0     0/0       -
    12 VTY              -    -      -    -    -      0       0     0/0       -
    13 VTY              -    -      -    -    -      0       0     0/0       -
    14 VTY              -    -      -    -    -      0       0     0/0       -
    15 VTY              -    -      -    -    -      0       0     0/0       -
    16 VTY              -    -      -    -    -      0       0     0/0       -

On veut les configurer tous les vtys ensemble : 

Switch(config)# line vty 0 4
Switch(config-line)# login
Switch(config-line)# password <pwd>

On peut spécifier le type de protocole qu'on veut utiliser (ici ssh et telnet) : 

Switch(config)# line vty 0 4
Switch(config-line)#transport input telnet ssh

Dans les 3 cas ci-dessus, on demande un mot de passe pour établir une connexion ; si on veut demander aussi un login, il faut rajouter : 

Switch(config)#line vty 0 4
Switch(config-line)login local

On spécifie de nom d'utilisateur par la commande : 

Switch(config)#username toto password toto

SSH

Les lignes vty doivent être configurées (cf § précédent)

Le SSH ne fonctionne qu'après avoir configuré un hostname et un nom de domaine : 

Switch(config)# ip domain-name <nom_de_domaine>
Switch(config)# hostname toto

On peut préciser certains paramètres (facultatif) : 

toto(config)#ip ssh version 2
toto(config)#ip ssh time-out 120
toto(config)#ip ssh authentication-retries 3

Configuration de l'accès SSH : 

toto(config)# aaa new-model

Génération d'un couple de clés RSA : 

toto(config)# crypto key generate rsa [modulus <360-2048>]

Les lignes vty doivent être configurées (cf § précédent).

On créé ensuite un compte local : 

toto(config)# username <login> password <pwd>

Gestion des sessions

Pour afficher les sessions courante sur l'équipement : 

show sessions

Pour afficher la liste des utilisateurs connectés : 

show users

(Et aussi : show line)

Pour déconnecter une session : 

disconnect <n°_de_session>
informatique/cisco/gestion_des_acces.1381783484.txt.gz · Last modified: 2015/08/31 12:41 (external edit)