Blog de Florent Appointaire

Blog sur les technologies Microsoft (Windows Server, System Center, Azure, Windows Azure Pack/Azure Stack, etc;)
    • 23/2/2012

    [CCNP] Authentification EIGRP

    Préparant actuellement la CCNP Route, j'ai commencé par le premier chapitre qui est "EIGRP Overview and Neighbor Relationships" avec le livre Cisco Press écrit par Wendell Odom.
    J'ai découvert dans ce premier chapitre comment paramétrer l'authentification entre plusieurs routeurs qui échangent leur table de routage via EIGRP. Nous allons donc découvrir via cet article comment mettre en place cette authentification.

    Tout d'abord, pour faire simple, j'ai installé 3 routeurs 2691 (sur GNS3), connectés entre eux via des liaisons séries avec un AS de 100.

     Screen-Shot-2012-03-02-at-18.39.40

    Une fois notre configuration de base terminée (adresse ip, eigrp avec un AS de 100...) nous pouvons commencer à mettre en place notre authentification pour EIGRP (vous pouvez télécharger cette configuration ici). Il faut savoir que l'authentification va se passer à chaque message EIGRP envoyé par un routeur. Les routeurs vont utiliser la même clé PSK (pre-shared key) pour générer une clé en MD5.

    Dans un premier temps, nous allons créer des clés, que nous allons rentrer sur chaque routeur :

    R1(config)#key chain florent-appointaire.fr
    R1(config-keychain)#key 1
    R1(config-keychain-key)#key-string ciscotechnologies
    R1(config-keychain)#key 2
    R1(config-keychain-key)#key-string cisco
    R2(config)#key chain florent-appointaire.fr
    R2(config-keychain)#key 1
    R2(config-keychain-key)#key-string ciscotechnologies
    R2(config-keychain)#key 2
    R2(config-keychain-key)#key-string cisco
    R1(config)#key chain florent-appointaire.fr
    R3(config-keychain)#key 1
    R3(config-keychain-key)#key-string ciscotechnologies
    R3(config-keychain)#key 2
    R3(config-keychain-key)#key-string cisco

    Vous pouvez ajouter un temps de vie pour chaque clé en utilisant la commande accept-lifetime.
    Pour vérifier que vos clés sont bien présentes sur le routeur ainsi que leur durée de vie, il vous suffit de faire un show key chainpour avoir une liste complète :

    R2#show key chain
    Key-chain florent-appointaire.fr:
        key 1 -- text "ciscotechnologies"
            accept lifetime (always valid) - (always valid) [valid now]
            send lifetime (always valid) - (always valid) [valid now]
        key 2 -- text "cisco"
            accept lifetime (always valid) - (always valid) [valid now]
            send lifetime (always valid) - (always valid) [valid now]

    Une fois la configuration des clés sur les routeurs terminée, nous pouvons activer l'authentification EIGRP sur les interfaces des routeurs :

    R1(config)#interface serial 0/0
    R1(config-if)#ip authentication mode eigrp 100 md5
    *Mar  1 00:17:59.079: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100: Neighbor 192.168.1.1 (Serial0/0) is down: authentication mode changed

    On peut voir ici que notre lien eigrp vient de tomber, chose normal puisque nous n'avons pas activé l'authentification sur le lien série du routeur R2, par conséquent, les 2 routeurs ne peuvent plus communiquer entre eux et cette route est supprimée de la table de routage. Continuons notre configuration sur R1 avant de passer aux 2 autres routeurs.

    R1(config-if)#ip authentication key-chain eigrp 100 florent-appointaire.fr

    Ici, on ajoute notre chaine que nous avons créé auparavant.
    Si nous faisons un debug eigrp packet, nous obtenons ceci :

    *Mar  1 00:23:57.263: EIGRP: Serial0/0: ignored packet from 192.168.1.1, opcode = 5 (missing authentication)

    Nous pouvons voir ici que l'authentification a échoué. Configurons maintenant notre interface série 0/0 sur le routeur R2 pour qu'il y ait une authentification :

    R2(config)#interface serial 0/0
    R2(config-if)#ip authentication mode eigrp 100 md5
    R2(config-if)#ip authentication key-chain eigrp 100 florent-appointaire.fr
    *Mar  1 00:03:53.451: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100: Neighbor 192.168.1.2 (Serial0/0) is up: new adjacency

    Maintenant que notre lien est monté, on peut voir que les deux routeurs s'envoient leur table de routage via EIGRP et qu'ils sont de nouveau voisin.

    R2#show ip eigrp neighbors
    IP-EIGRP neighbors for process 100
    H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq
                                                (sec)         (ms)       Cnt Num
    0   192.168.1.9             Se0/1             11 00:00:44   31   200  0  17
    1   192.168.1.2             Se0/0             14 00:06:11   31   200  0  12

    Il ne vous reste plus qu'à faire de même sur les autres liens séries de R1, R2 et R3.
    Vous pourrez trouver le projet GNS complet avec les bonnes configurations ici.

    • 8/2/2012

    [SCOM 2012] Installation de SCOM 2012 RC2

    • 5/2/2012

    [Batch] Programme batch

    Windows-Batch-File-Icon

    Et voilà, je viens de découvrir un nouveau langage, le batch.

    En écrivant des lignes de code et en enregistrant le tout en .bat, il en ressort un petit exécutable, léger et rapide... Plutôt sympa :)

    Le premier programme que j'ai créé sert à modifier l'adresse IP d'une carte réseau, pour passer en manuel, avec une configuration prédéfinie (pour le paramétrage de routeur et switch), en DHCP, activer ou désactiver le FIREWALL, etc...

    J'ai créé ce petit programme dans l'optique de mon stage. En effet, certains employés en avaient marre de faire clique droit sur la connexion, "Protocole IP", de modifier, appliquer et une fois fini, revenir en DHCP. Il pourrait le faire en ligne de commande, mais c'est tellement plus agréable d'avoir une interface console et de ne pas avoir à retenir les commandes.

    Vous pouvez télécharger ce programme ici. Pour plus d'informations, consultez l'aide.

    Si vous avez des idées/améliorations/beugues, contactez moi, merci :)

    Je vais essayer de faire la même version en Powershell quand j'aurai le temps :)

    [Edit : La version Powershell est maintenant disponible ici :)]

    • 5/2/2012

    [CCNA] Récupérer un nom d'utilisateur et un mot de passe dans une configuration CISCO

    Si un jour vous voulez loguer sur un switch Cisco et que vous n'avez ni le nom d'utilisateur ni le mot de passe, il vous suffit de suivre cette manipulation.

    Screen-Shot-2012-03-06-at-10.43.35

    Pour commencer, débranchez le switch. Maintenez le bouton MODE enfoncé et branchez le switch. Une fois que tous les ports sont allumés, sauf le 1, relâchez le bouton MODE.

    Screen-Shot-2012-03-06-at-10.44.06

    Vous arrivez maintenant sur une fenêtre semblable à celle la.

    Screen-Shot-2012-03-06-at-10.44.23

    Tapez maintenant flash_init et ensuite load_helper .

    Faites maintenant dir flash: . Vous voyez normalement le fichier config.text . Renommez le en config.old avec la commande rename flash:config.text flash:config.old .

    Vous pouvez maintenant relancer la récupération du nouveau systême, pour cela, tapez boot puis Entrée. L'IOS se charge et vous arrivez sur un switch tous propre, sans configuration ni utilisateur ni même mot de passe. Passez en mode privilège en tapant en.

    Rechargez l'ancienne configuration en faisant rename flash:config.old flash:config.text . Puis entrée 2 fois. Faites ensuite copy flash:config.text system:running-config .

    Pour retrouver le mot de passe, il existe 2 facons. Soit vous téléchargez la configuration avec un serveur TFTP et vous retrouvez les identifiants, soit vous changez le mot de passe.

    1ère méthode : Vous créez votre serveur TFTP, vous configurez votre vlan, vous l'appliquez sur le port 1 et vous téléchargez la configuration.

    Une fois la configuration téléchargée, ouvrez là et cherchez la ligne avec username votre_id privilege 15 password 7 plein_de_chiffre_lettre . Dans notre cas, nous avons username cisco privilege 15 password 7 43436973636F . Nous savons donc que notre nom d'utilisateur est cisco et le mot de passe est 43436973636F . Seulement le mot de passe est hashé en 7, le service de hash de cisco. Je vais donc sur internet et je cherche un site permettant de retrouver mon mot de passe (je vous conseille ce site : authsecu.com ). Je renseigne dans le champ mon mot de passe hasher et je clique sur déchiffrer. J'ai une nouvelle page qui s'affiche avec les informations suivantes :

    HASH Cisco 7 demandé : 43436973636f
    Mot de passe correspondant : Cisco

    Nous avons donc trouvé le nom d'utilisateur et le mot de passe, il ne vous reste plus qu'à vous rendre sur votre switch pour essayer cette combinaison.

    2ème méthode : Vous faites conf t puis ensuite enable secret votre_nouveau_mot_de_passe . Ensuite vous faites enable password votre_nouveau_mot_de_passe , ensuite vous faites line vty 0 15 puis password votre_password_vty , et pour finir login . Vous faites ensuite exit et après line con 0 et password votre_password_console . Une fois tous ceci terminé, vous faites exit 2 fois et wr puis entrée. Vous pouvez maintenant utiliser votre nouveau mot de passe.

    • 5/2/2012

    [Exchange 2010] Video Exchange Server 2010

    La vidéo ci-dessous vous indique les pré-requis à installer ainsi que la procédure à suivre pour installer Exchange Server 2010 SP1.

    http://vimeo.com/36406110