Version PDF - Herve Schauer Consultants

Transcription

Netblazer
par
Christophe Wolfhugel
Hervé Schauer Consultants
[email protected]
Téléphone: +33 1 46 38 89 90
Télécopie: +33 1 46 38 05 05
Copyright 1989-1994 Hervé Schauer Consultants
© Copyright 1994, Hervé Schauer Consultants
1
Réseau Oléane: environnement
• Deux grandes catégories d'accès
– Débits inférieurs à 64 Kbps
– Débits à partir de 64 Kbps
• Deux grands équipements de communication
– Telebit Netblazer pour les bas débits
– Routeurs CISCO à partir de 64 Kbps
• Des modems d'origines variées
–
–
–
–
US Robotics pour les accès commutés
Modems Numéris (RNIS)
Modems Octocom pour les LS analogiques
Modems fournis par France-Télécom pour les Transfix
Page 1
2
Réseau Oléane: communications
• Modes de communication
– Synchrone
– Asynchrone
• Protocoles:
–
–
–
–
–
HDLC
PPP
SLIP
IP/X.25
UUCP
3
Netblazer: fonctionnalités (1)
• Serveur de communications multi-protocoles
–
–
–
–
PPP, SLIP
IPX
ARA (Appletalk)
Sessions telnet, rlogin (utilisé pour UUCP)
• Liaisons supportées
–
–
–
–
Ethernet / Token-ring
Synchrones - asynchrones
Liaisons commutées - permanentes
Débits jusqu'à 1544 Kbps (T1) sur certains ports série
Page 2
4
• Chaque utilisateur est identifié
– Nom de login et éventuellement mot de passe
– Identification par génération de challenge possible
– Support d'équipements type SecurID
• Données stockées dans un fichier passwd
• Différents types d'utilisateurs
– Administrateur
– Interactif (interpréteur de commandes ou session restreinte)
– Protocole: PPP, SLIP
5
• Serveur de modems (en sortie)
• Les entrées commutées peuvent être totalement
banalisées
• Journalisation par syslog
• Agent SNMP fournit
• Protocole de routage: RIP 2 et routes statiques
• Filtrage IP
• Support de TCL
Page 3
6
Utilisateurs: administrateur
• Accède à l'interpréteur de commande
• Utilisation de commandes de base
• Fonctions d'administration
–
–
–
–
–
utilisateurs
lignes
modems
sécurité
...
7
Utilisateurs: interactif
• Peut accéder à l'interpréteur de commande
– Accès aux commandes de base du réseau
– telnet, ftp, ping, ...
• Ou avoir un environnement réduit
– Connexion automatique et transparente
– Non interruptible
– Exemple: accès aux serveurs UUCP
• Ou un environnement intermédiaire
– Accès à certaines commandes
– Accès à un groupe de machines ou de destinations
(modems, ...)
Page 4
8
Utilisateurs: protocole
• Protocole lié à chaque utilisateur (et fixe)
– SLIP
– PPP (IP, IPX, ARA)
• Routage
– un ou plusieurs réseaux, sous-réseaux
– machines individuelles
• Routes privées ou annoncées par RIP 2
• Mais tout le monde ne supporte pas RIP 2
9
Utilisateurs: bases
• Présentes sur disquette (fichier type passwd)
• Peut être déporté (accès TFTP) totalement ou
partiellement
• Utilisation du DNS (entrées dans des RR TXT,
bonne sécurité avec Bind 4.9.3 et très grand
confort d'utilisation s'il y a de très nombreux
comptes)
Page 5
10
Lignes louées
• Protocole fixé à la configuration
– SLIP
– PPP (IP, IPX, ARA)
• Synchrones (horloge externe)
• Asynchrones
• Annonce d'un ou plusieurs réseaux ou sousréseaux
11
Gestion des modems (1)
• Détection et configuration
– Automatique pour la plupart des grands modems (USR,
Octocom, Télébit)
– Utiliser impérativement des vrais modems Hayes ou V25bis
– Problèmes avec les modems pseudo-Hayes (modems
Numéris français notamment), ne pas utiliser la
reconnaissance automatique
– Problèmes avec les modems franco-francçais (S0=2 au lieu
de 1)
• Pour les lignes louées et modems spéciaux
– Configurer les modems une fois pour toutes
– Utiliser la gestion par signaux matériels
Page 6
12
Gestion des modems (2)
• Définition de groupes de modems
– Selon caractéristiques (V32bis, ISDN, ...)
– Accès limité à certains utilisateurs
• Définition de modes d'utilisation
– Réponse
– Appel
– Bi-directionnel
• Fonctionne mal avec les modems non Hayes
13
Netblazer: administration (1)
•
•
•
•
Interpréteur de commandes (styles DCL / Unix)
Interpréteur tcl
Démarrage sur disquette ou par tftp, bootp
Opérations principales guidées
– ipdial permet d'ajouter tout type d'utilisateur
– pppdial pour les utilisateurs SLIP ou PPP seulement
• Groupes de destination, de modems
Page 7
14
Netblazer: administration (2)
•
•
•
•
•
Fichier modemcap.txt
Disquette au format DOS
Outil de configuration sous Windows
SNMP
NTP (Network Time Protocol) client
15
Netblazer: sécurité (1)
• Filtrage IP
–
–
–
–
appliqué à une interface
dans une direction (ou les deux)
adresses IP
ports source et destination
• Syntaxe cependant mal aisée
• Plus puissant que les ACL Cisco
• Assez proche du PCF de NSC, mais moins
souple
Page 8
16
• Identification des utilisateurs
–
–
–
–
Mot de passe
Crypto handshake
SecurID
CHAP pour les liaisons PPP ?
• Possibilité d'utiliser plusieurs méthodes
17
• Journalisation par syslog
–
–
–
–
Connexions
Erreurs de connexion
Utilisation des clients (telnet, ...)
Serveurs (fingerd)
• Permet de suivre à la trace l'activité de
l'équipement
• ...et peut facilement être utilisé à des fins de
comptabilité
Page 9
18
Gamme: Netblazer PN
• Entrée de gamme
• 2 synchrones/asynchrones (1544 Kbps, 128
Kbps)
• Ethernet: BNC, AUI, 10 base T
• Configuration typique: appelant
• Prix: environ 23 KF
19
Gamme: Netblazer ST (1)
• Milieu de gamme
• Port console, deux ports asynchrones sur la
carte mère
• 3 ports s'extension
– Ethernet (BNC, AUI, 10 base T)
– Cartes 2 ports synchrones/asynchrones (1544 Kbps, 128
Kbps)
– Cartes 8 ports asynchrones (128 Kbps)
Page 10
20
Gamme: Netblazer ST (2)
• Configuration typique:
– petit accès commuté (campus)
– LS bas débit
• Prix: environ 35 KF (avec Ethernet et carte 8
ports série)
21
Gamme: Netblazer 80 (1)
• Haut de gamme
• Port console
• 8 ports d'extension libres
– Ethernet (BNC, AUI, 10 base T)
– Cartes 2 ports asynchrones
– Cartes 2 ports synchrones/asynchrones (1544 Kbps, 128
Kbps)
– Cartes 8 ports asynchrones (128 Kbps)
Page 11
22
Gamme: Netblazer 80 (2)
• Configuration typique
– gros accès commuté
– lignes louées
• Prix: environ 80 KF (avec Ethernet et carte 8
ports série)
23
Netblazer: support
• Télébit est sur le réseau
• Liste de diffusion sur le produit
(echo "subscribe netblazer-users" | \
Mail [email protected])
• Pub: Apysoft, revendeur en France
([email protected])
Page 12
24
Exemples: connexion
Reseau Oleane -- Acces interdit a toute personne non autorisee.
En cas de tentative de piratage, des poursuites seront engagees.
vincennes-nb1 login: wolf
Password: mon_mot_de_passe
vincennes-nb1:Top> rlogin ns.fr.net
...
vincennes-nb1:Top> logout
25
Exemples: création d'accès (1)
vincennes-nb1:Top> ipdial
Interface name: jla
Do you want to allow dial-in to this interface [y]?
Please provide the information that the remote system 'jla'
will use to contact this NetBlazer
This info will be used to create a new user account on this NetBlazer.
Want to enter a password [y]?
Enter the password (no echo): le_mot_de_passe_de_jla
Re-enter the password: le_mot_de_passe_de_jla
Issue a crypto handshake [n]? n
User: jla
privs: M 20 dest-group:
Okay (yes|no|quit) [y]?
Do you want to allow dial-out from this interface [y]? n
Page 13
26
Begin adding interface 'jla' ...
SLIP or PPP (s|p) [s]: p
What is the Maximum Receive Unit (MRU) [1500]:
Add dynamic interface=jla, using PPP, MRU=1500
Add routes for interface [y]?
Begin adding route thru 'jla' ...
Destination name or address/bits (Return to finish routes): 194.2.146/23
Metric [1]:
Private [n]:
Add route destination=194.2.146.0, bits=23, metric=1, not private
Route added
Begin adding route thru 'jla' ...
Destination name or address/bits (Return to finish routes):
... Done adding jla.
27
Make sure Remote and Local agree on password and crypto key
Dynamic interface=jla, framing=PPP MRU=1500 (therefore remote MTU<=1500)
Inbound Call Setup - When a call comes in this host (vincennes-nb1) prompts:
login:
Remote sends
jla
this host (vincennes-nb1) prompts:
password:
(Remote sends the password you assigned to jla)
Remote needs route to this host (vincennes-nb1)
jla is a dialin-only interface
Page 14
28
Exemples: utilisateurs
vincennes-nb1:Top> user
vincennes-nb1:Top>Configure>User> list
USERID
PASSWORD
CRYPTO USE
PRIVS FLG DEST-GROUP CMD
root
XXXXYYYYZZZZU
login
SCDTM----uucp1
login
---TM----YES
wolf
AZERTYUIOPAZE
login
S--TM----pwolf
ZAETYUUTRETTT
dial PPP ----M----pjmp
rjkkddikfkdji
dial PPP ----M----swolf
zerwasherefrj
dial SLIP ----M----YES
(PRIVS: S=status, C=config, D=dial-ok, T=telnet/rlogin-ok, A=acs-ok, B=ARA-ok,
M=multi-login-ok
FLAGS: X=clone, N=from-network)
vincennes-nb1:Top>Configure>User> list wolf
USERID
PASSWORD
CRYPTO USE
PRIVS FLG DEST-GROUP CMD
wolf
v5.IrNRJEMW.g
login
S--TM----(PRIVS: S=status, C=config, D=dial-ok, T=telnet/rlogin-ok, A=acs-ok, B=ARA-ok,
M=multi-login-ok
FLAGS: X=clone, N=from-network)
29
Exemples: interfaces (1)
vincennes-nb1:Top> inter
vincennes-nb1:Top>Configure>Interface> list
Name
IP address MTU MRU type Status(line)
pkts in pkts out
loopback
127.0.0.1 65535 Up
(
)
2142
2142
null
127.0.0.2 65535 Up
(
)
0
0
error
127.0.0.3 65535 Up
(
)
0
0
en0
194.2.1.32 1500 1500 Ether Up
(
)
4024960
4921551
pwolf
194.2.1.32 1500 1500 DPPP Down (
)
0
0
swolf
194.2.1.32 1006 1006 DSLIP Down (
)
7359
6434
sgota
194.2.1.32 1500 1500 DPPP Down (
)
0
0
vincennes-nb1:Top>Configure>Interface> list swolf
Name
IP address MTU MRU type Status(line)
pkts in pkts out
swolf
194.2.1.32 1006 1006 DSLIP Down (
)
7359
6434
Idle: In 1:03:46:04
Out 1:03:46:19
IP:
1972
6475
Will save 'swolf' vj: auto
Current vj: not active
Ip Broadcast Address
194.2.1.255
Netmask
255.255.255.0
Interface = Dynamic SLIP
Uname = <<NONE>>
Password = <<NONE>>
Dial-out = No
Dial-in = Yes
Chat script = <<NONE>>
Crypto key = <<NONE>>
MRU = 1006
MTU=1006
Timeout = 180 s
Queue-max = 32
Cost = 1000
Bytespertick = 20
Mdelay = 0
Threshold = 20
Page 15
30
Exemples: interfaces (2)
vincennes-nb1:Top> ppp psti3
Network Protocol Phase (Open 0 days, 3 hours, 3 minutes, 6 seconds)
136442 In
0 Flags
0 ME
0 FE
1 CSE
2 other
2 Lcp
0 Pap
0 IPXcp
2 IPcp
0 Unknown
4291817 Out
9258 Flags
0 ME
0 Fail
3 Lcp
0 Pap
0 IPXcp
2 IPcp
LCP Opened
MRU
ACCM
AP
PFC
ACFC
Magic
Local:
1500
0xffffffff *None
Yes
Yes
0x1b6742f2
Remote:
+1500
+0x00000000 *None
+Yes
+Yes
unused
IPCP Opened
Local IP address: 194.2.1.32 Remote IP address: 194.2.84.3
IPXCP Closed
Local IPX address: 0 Remote IPX address: 0
ATCP Closed
Comp Slots slot comp uncmp error tossed
AsIs NonTCP search
miss
comp pkts
pkts
pkts
pkts
pkts
pkts
cnt
cnt
In-IP
Yes
16
Y 12161
342
0
0
Out-IP Yes
16
Y
9478
267
145
25
1175
59
In-IPX Yes
16
Y
Out-IPX No
0
N
31
Exemples: lignes (1)
vincennes-nb1:Top> line
vincennes-nb1:Top>Configure>Line> list
Line
Modem
Char's
Use
syn10
<<None>>
<<None>>
experdata
syn11
<<None>>
<<None>>
cseecom
line100 USR-V32bis dialout
none
wolf
...
line131 comnet
dialout
none
Command
<<None>>
<<None>>
<<None>>
<<None>>
<<None>>
MFlags
<CTS,DCD,DSR,RTS,DTR>
<CTS,DSR,RTS,DTR>
<RTS,DTR>
Page 16
32
vincennes-nb1:Top>Configure>Line> list line100
Line
Modem
Char's
Use
Command
MFlags
none
<<Nne>> CTS,DSR,RTS,DTR>
Flags: 0018080a <CTS,DSR,CTSFL,RTS,DTR>
DSR: ON
DCD: OFF
CTS: ON
RTS: ON
DTR: ON
Speed: 38400
Flow control: cts/rts
Parity: none
Size: 8
Stop: 1
Login: ON
Callin: ON
Access: all
Autoconfigure: on
Modem command delay: 0 milliseconds
Modem status delay (seconds): DCD=0.320
DSR=1.000
CTS=0.000
DTR off time: 3000 milliseconds
Idle times (minutes):
receive=34
transmit=34
auto-reset=0
Trace: OFF
Callback monitor: OFF
IP address: 194.2.1.32
Terminal type: <<None>>
Rows: not set
Cols: not set
Process = Event Manager, Dial Protocol = AT, state = Idle
Version: USRobotics Courier V.32 Settings...
33
vincennes-nb1:Top>Configure>Line> list line101
Line
Modem
Char's
Use
Command
MFlags
wolf
<<None>>
Flags: 0018080e
<CTS,DCD,DSR,CTSFL,RTS,DTR>
DSR: ON
DCD: ON
CTS: ON
RTS: ON
DTR: ON
Speed: 38400
Flow control: cts/rts
Parity: none
Size: 8
Stop: 1
Login: ON
Callin: ON
Access: all
Autoconfigure: on
Modem command delay: 0 milliseconds
Modem status delay (seconds): DCD=0.320
DSR=1.000
CTS=0.000
DTR off time: 3000 milliseconds
Idle times (minutes):
receive=0
transmit=0
auto-reset=0
Trace: OFF
Callback monitor: OFF
IP address: 194.2.1.32
Terminal type: <<None>>
Rows: not set
Cols: not set
Process = line101, Dial Protocol = AT, state = Logged-In
Version: USRobotics Courier 14400 HST Dual Standard Settings...
Page 17
34
Exemples: modems
USR-V32bis
answer:ATS0=2
no-answer:ATS0=0
sane:ATE1V1
no-echo:ATE0V0X2
result-ok:0,1,5,13-46
result-busy:7
result-fail:2,4,12
result-ignore:11
result-nocarrier:3
result-nodial:6
dtr:on
reset-pause:600
hard-reset0:AT &F &A0 &B1 &H1 &R2 &Y2
hard-reset1:AT S0=2 S15=16 S13=1 S19=15 S32=6
hard-reset2:AT &W
line-speed:38400
speed-cmd:AT
line-characteristics:dialout
dial:AT X1 DT%s
v32bis:ATB0
manufacturer:US-Robotics
equip-type:sa
query-id:ATI
1443:0
35
Exemples: routes
vincennes-nb1:Top>Configure>Interface> route
vincennes-nb1:Top>Configure>IP>Route> list
Dest
Len Interface
Gateway
194.2.5.2
32 swolf
127.0.0.0
8
loopback
default
0
en0
194.2.1.224
Metric
1
1
1
P Timer
0
P 0
0
Page 18
Use
599
2142
749851
36
Exemples: tcl
• Synchroniser l'heure sur un serveur NTP
vincennes-nb1:Top> background tcl { while (1)
{ ntp -s ntp1; sleep 1800 } }
• Possibilité de définir des scripts de connexion
vincennes-nb1:Top> user command wolf source cx.tcl
Page 19
37

Version PDF - Herve Schauer Consultants

Transcription

Documents pareils

Etre ou ne pas être, telle est la question