Module 2 CONFIGURATIONS Par DEFAUT PDF [PDF]

  • 0 0 0
  • Gefällt Ihnen dieses papier und der download? Sie können Ihre eigene PDF-Datei in wenigen Minuten kostenlos online veröffentlichen! Anmelden
Datei wird geladen, bitte warten...
Zitiervorschau

Module- 2 Les Paramètres de Configuration par Défaut & DHCP

1. Les Paramètres de Configuration par défaut ●





Tous les équipements fonctionnant sous RouterOS possèdent tous une configuration par défaut qui leur est commune. Sur les équipement les plus petits il y aura forcément: ●

Une règle NAT(Network Address Translation);



Des règles de pare-feu pour: ●

Autoriser du trafic sortant (Outbound traffic)



Bloquer du trafic entrant (Inbound traffic).

Les plus gros et plus puissants équipements tels que les CCR(Cloud Core Router): ●

Possèdent une adresse IP par défaut



Ne possèdent aucune règle de pare-feu ou de NAT



Requièrent que les administrateurs implémentent eux mêmes des règles de pare-feu et des règles de NAT qui leur conviennent.



Pour afficher la configuration par défaut via l’interface ligne de commandes, exécutez la commande: [admin@CAPsMAN_MAIN] > /system default-configuration print [admin@CAPsMAN_MAIN] > /sy default-conf/ p [admin@CAPsMAN_MAIN] > /sy d pr



Les trois commandes ci-dessus sont équivalentes.

1.1.Les Paramètres d’Authentification - Credentials ●

Les paramètres d’authentification par défaut sur un équipement MikroTik sont: ●

Usernam: admin



Password: “aucun mot de passe”



Pour une sécurité renforcée de votre infrastructure réseau: ●





Les administrateurs devraient créer un mot de passe complexe pour l’utilisateur “admin” avant de procéder à tout autre configuration. Il serait plus judicieux de désactiver le compte “admin” après avoir créé d’autres utilisateurs auxquels vous aurez attribuer des droits d’administrateur.

Le fait d'avoir des comptes uniques pour chaque personne qui se connecte à l'appareil permet de rendre compte des modifications apportées aux appareils de l'organisation.

1.2.Les Interfaces ●



Généralement sur tous les équipements tournant sous RouterOS, la toute première interface Ethernet (ether 1) est réservée pour fonctionner en tant que interface WAN(Wide Area Network). La deuxième interface Ethernet (ether 2) et les autres sont configurées pour des fonctions LAN (Local Area Network).

1.3.Les Adresses IP sur les Interfaces LAN ●



L’adresse IP par défaut des interfaces LAN sur tous les équipements MikroTik est la même: ●

Adresse IP: 192.168.88.1



Masque de sous-réseau: 255.255.255.0



Adresse Réseau: 192.168.88.0



Adresse de diffusion: 192.168.88.255

Le service DHCP(Dynamic Host Configuration Protocol) est activé par défaut sur les interfaces LAN d’un équipement MikroTik.

MISE EN GARDE

Les routeurs virtuels tels que le CHR(Cloud Hosted Router) et les plateforme matérielle x86 compatibles avec RouterOS ne possèdent pas des adresses IP qui sont pré-configurées sur l’une de leurs interfaces.

1.4.Les Adresses IP dynamiques ●



Le service DHCP(Dynamic Host Configuration Protocol) est activé par défaut sur les interfaces LAN d’un équipement MikroTik. La configuration d’un adressage IP automatique sur un équipement MikroTik qui n’en possède pas, est assez facile et précise. Elle peut se faire: ●

Via l’interface ligne de commandes;



Via l’interface graphique de WinBox.

1.4.1. Interface WAN – Client DHCP ●

Par défaut, l’interface ether 1 sur tout équipement MikroTik est en mode Client DHCP.



Pour afficher les configurations en mode client DHCP qui existent sur un équipement MikroTik, exécutez la commande suivante: [admin@CAPsMAN_MAIN] > /ip dhcp-client print detail Flags: X - disabled, I - invalid, D - dynamic 0 XI ;;; defconf interface=*D add-default-route=yes default-route-distance=1 use-peer-dns=yes use-peer-ntp=yes dhcp-options=hostname,clientid 1 XI interface=ether1 add-default-route=yes default-route-distance=1 use-peer-dns=yes use-peer-ntp=yes dhcp-options=hostname,clientid 2



interface=bridge add-default-route=yes default-route-distance=1 use-peer-dns=yes use-peer-ntp=yes dhcp-options=hostname,clientid status=searching...

Pour afficher les configurations en mode client DHCP qui existent sur un équipement MikroTik via l’interface graphique de WinBox procédez comme suit:

1.4.2. Interface LAN – Serveur DHCP ●







L’adresse IP par défaut des interfaces LAN sur tous les équipements MikroTik est la même: ●

Adresse IP: 192.168.88.1



Masque de sous-réseau: 255.255.255.0



Adresse Réseau: 192.168.88.0



Adresse de diffusion: 192.168.88.255

Le service DHCP(Dynamic Host Configuration Protocol) est activé par défaut sur les interfaces LAN d’un équipement MikroTik de petite capacité. L’adresse IP 192.168.88.1/24 servira de passerelle par défaut pour toutes les machines du réseau local. L’implémentation de bout en bout d’un serveur DHCP sur un équipement MikroTik sera abordé plus loin.

1.5.Le Pare-Feu (Firewall) ●









Il existe de nombreuses règles de pare-feu pour protéger les équipements RouterBOARD dès qu’ils sont connectés à Internet. Ces règles peuvent protéger l’équipement contre les connexions nuisibles venant de l’extérieur, bien que le manque d’un mot de passe complexe par défaut constitue une vulnérabilité. Les équipements de la gamme CHR(Cloud Hosted Router) ne possèdent pas de règles de pare-feu par défaut. La configuration des règles d’un pare-feu est abordée en détails plus loin. Sur les équipements qui possèdent par défaut des règles de pare-feu, les lignes ci-après donnent un aperçu sur les types de trafic réseau qui sont autorisés.

1.5.1. Acheminement du Trafic – Forward Trafic ●







Par défaut, les connexions traversant un routeur MikroTik via un trafic sortant sont autorisées grâce à la règle NAT masquerade. Ce trafic venant des réseaux locaux filaires comme sans-fil est autorisé à traverser le routeur MikroTik. Tout trafic entrant sur l’interface WAN (ether 1) et qui ne fait pas parti d’une connexion sortante déjà établie est bloqué pour empêcher le fait qu’un attaquant n’usurpe le trafic afin d’atteindre vos réseaux locaux. NB: Il faut comprendre par “forward” le fait qu’un paquet passe à travers le routeur pour joindre un réseau extérieur (ex: Internet).

1.5.2. Trafic Entrant – Input Trafic ●







Les connexions entrante sur l’interface WAN qui n’ont pas été initiées précédemment par un trafic sortant (LAN > WAN) sont bloquées. Ce filtrage empêche le succès des analyses par balayage de ports (Port Scanning) TCP/UP et d’autres mécanismes de reconnaissance. Les connexions vers le routeur et ce, depuis les réseaux internes (LANs) sont acceptées. Ces connexions permettent aux administrateurs d’accéder facilement au routeur MikroTik via WinBox, SSH, etc … Il y a un exception pour les règles par défaut du pare-feu: elle concerne le trafic ICMP(Internet Control Message Protocol). Elle autorise toute personne à envoyer des requêtes ICMP (ping) vers l’équipement. Ceci peut être utile pour l’amorçage du démarrage d’un routeur ou pour les tâches de maintenance. Des standards de conformité tels que PCI-DSS(Payment Card Industry – Data Security Standards) n’autorisent pas ce type (ICMP) de connexion depuis des hôtes externes au réseau d’une organisation.

1.5.3. Trafic Sortant – Output Trafic ●





Par défaut, toutes les connexions (ou trafics) sortant d’un routeur vers des resources comme les serveurs DNS et NTP sont autorisées. Aucun filtrage active n’est configuré par défaut pour filter du trafic correspondant à la chaîne Output. Nous reviendrons plus loin sur la notion de chaîne au niveau du pare-feu de RouterOS.

1.5.4. NAT (Network Address Translation) ●



Par défaut, tout trafic sortant vers Internet par l’interface ether 1 connaîtra par défaut l’influence du protocole NAT. Tout le trafic sortant par l’interface ether 1 apparaîtra comme venant de l’unique adresse IP publique qui est configurée sur cette interface.

1.6.Les Services IP ●



Par défaut, les instances du système RouterOS exécutent par défaut des services IP. Ceci facilite l’accessibilité de l’équipement mais peut aussi représenter des risques de sécurité. Sur des équipements en production, vous devriez impérativement désactiver les protocoles nons sécurisés de RouterOS tels que http, ftp, api, telnet, ...

2. Les Interfaces 2.1.Les Types d’Interfaces ●

Le système RouterOS supports plusieurs types d’interface réseau qui sont réparties en deux groupes principaux: ● Les interfaces physiques: ● Ethernet: ● ports RJ45 , ● port SFP & modules SFP ● Sans-Fil (Wireless) ● Carte sans-fil intégrée ● Carte MPCI-E ● Cellulaire: ● Clé USB 3G/ 4G/ 4G LTE ● Carte MPCI-E 3G/ 4G/ 4G LTE



Les interfaces logiques (ou logicielles): ●

VLANs (Virtual Local Area Networks)



Tunnels: ●

GRE: Generic Routing Encapsulation,



EoIP: Ethernet over IP



IP-IP: IP in IP



PPP: Point to Point Protocol



L2TP: Layer 2 Tunneling Protocol



VRRP: Virtual Router Redundancy Protocol



Ponts (Bridges)



Ethernet virtuel (Virtual Ethernet)



VPLS: Virtual Private LAN Service

2.2.Commande de Listage d’Interfaces ●

Pour afficher la liste de toutes les interfaces sur un système RouterOS, employez la commande: /interface print . [admin@CAPsMAN_MAIN] > /interface print Flags: # 0 R 1 X 2 RS 3 S 4 S 5 S 6 S 7 S 8 RS 9 S 10 S 11 XS 12 13 14 15 16

D - dynamic, X - disabled, R - running, S - slave NAME TYPE ACTUAL-MTU L2MTU ether1 ether 1500 1598 ether2 ether 1500 1598 ether3 ether 1500 1598 ether4 ether 1500 1598 ether5 ether 1500 1598 ether6 ether 1500 1598 ether7 ether 1500 1598 ether8 ether 1500 1598 ether9 ether 1500 1598 ether10 ether 1500 1598 sfp1 ether 1500 1598 ;;; managed by CAPsMAN wlan1 wlan 1500 1600 R bridge bridge 1500 1598 R bridge-HotSpot bridge 1500 1598 S cap1 cap 1500 1600 DRS cap2 cap 1500 1600 D ;;; no supported channel cap3 cap



Pour afficher le nombre total d’interfaces sur un système RouterOS, employez la commande: [admin@CAPsMAN_MAIN] > /interface print count-only 17



Pour afficher le nombre total d’interfaces sans-fil sur un système RouterOS, employez la commande: > /interface print count-only where type=”wlan” 1

2.3.Les Statistiques sur les Interfaces ●

Pour afficher les statistiques des paquets qui sont transmis ou reçus sur les interfaces actives, employez la commande suivante: > /interface print stats where running Flags: # 0 R 1 RS 2 RS 3 R 4 R 5 DRS

D - dynamic, X - disabled, R - running, S - slave NAME RX-BYTE TX-BYTE RX-PACKET ether1 99 104 562 826 13 907 573 769 83 474 325 ether3 1 137 839 029 11 637 832 977 6 627 700 ether9 14 395 247 841 80 317 620 502 64 164 608 bridge 1 955 037 534 22 597 793 433 12 663 873 bridg... 14 125 332 338 80 006 723 011 64 164 084 cap2 929 751 070 11 077 326 762 6 043 184

TX-PACKET 60 053 195 16 937 956 73 789 282 25 496 794 73 790 074 8 875 795

2.4.Les Interfaces Ethernet ●



Par défaut, l’interface ether1 est configurée en client DHCP afin qu’elle puisse obtenir automatiquement une adresse IP. L’interface ether2 et les autres (ether3, 4, …) sont souvent dépendants d’un même pont (bridge) en utilisant l’option Master Port. Cette option n’existe plus sur les versions récentes de RouterOS. ●





Ce pont nommé par défaut bridge regroupe logiquement toutes les interfaces qui constituent la partie LAN(Local Area Network) d’un équipement RouterBOARD. En configuration par défaut, les équipements de la gamme SOHO(Small Office Home Office) ont leur interface ether2 nommée ether2-master. Sur les équipements RB7xx et RB9xx, le port ether2 est employé comme port maître (master port). Ainsi, les interfaces ether3 ... ether5 dépendent de l’interface ether2 car elle est en mode maître (master). ●

Les interfaces ether3 … ether5 sont en mode slave (escalve).

MISE EN GARDE ●



Seules les interfaces qui sont en mode master (maître) peuvent recevoir une configuration d’adresse IP. Si vous souhaitez attribuer une adresse IP à une interface qui était précédemment en mode esclave (slave), il faut impérativement la mettre en mode maître (master). ● Le mode slave (esclave) d’une interface est indiqué par la présence de la lettre “ S “ - Slave dans la colonne qui précède le nom d’une interface.

Indication d’une interface en mode Slave.

[admin@CAPsMAN_MAIN] > interface ethernet print brief Flags: X - disabled, R - running, S - slave #

NAME

0 R

ether1

1 X

MTU MAC-ADDRESS

ARP

SWITCH

1500 74:4D:28:29:AC:15

enabled

switch1

ether2

1500 74:4D:28:29:AC:16

enabled

switch1

2 RS

ether3

1500 74:4D:28:29:AC:17

enabled

switch1

3

S

ether4

1500 74:4D:28:29:AC:18

enabled

switch1

4

S

ether5

1500 74:4D:28:29:AC:19

enabled

switch1

5

S

ether6

1500 74:4D:28:29:AC:1A

enabled

switch2

6

S

ether7

1500 74:4D:28:29:AC:1B

enabled

switch2

7

S

ether8

1500 74:4D:28:29:AC:1C

enabled

switch2

8 RS

ether9

1500 74:4D:28:29:AC:1D

enabled

switch2

9

S

ether10

1500 74:4D:28:29:AC:1E

enabled

switch2

10

S

sfp1

1500 74:4D:28:29:AC:14

enabled

switch1

2.5.Power Over Ethernet(PoE) ●



La fonctionnalité POE permet à un interface interface Ethernet de fournir une alimentation électrique à un autre équipement: Une interface ethernet POE peut être: ● ●



Active: fournit une alimentation électrique à un autre équipement. Passive: reçoit une alimentation électrique venant d’un autre équipement.

Généralement les équipements RouterBOARD Radio (WiFi, LTE, …) possède une interface PoE passive. Ainsi, la source d’alimentation provient d’un commutateur POE ou d’un injecteur PoE conçu par MikroTik.

Injecteur PoE

Interconnexion avec un Point d’Accès RouterBOARD ayant un seul port Ethernet.



Commutateur POE – Modèle CRS112-8P-4S-IN ●



Tous les 8 ports (8P) ethernet de ce commutateur peuvent fournir une alimentation électrique à d’autres équipements. Il possède 4 ports SFP (4S) pour accueillir des liaisons fibres optiques.

2.5.1. Les Mode de Fonctionnement PoE ●

Les ports ou interfaces des équipements qui sont capable de fournir une alimentation PoE possèdent 3 modes de fonctionnement: ●

Auto On ●



Force On ●



Le port est forcé de fournir une source d’alimentation PoE.

Off ●



Le port est en mode automatique I.e il détecte si l’équipement qui lui est connecté a besoin d’une source d’alimentation PoE. Si oui, il s’active automatiquement pour fournir cette alimentation électrique.

La capacité de fournir une alimentation électrique PoE est désactivée.

La configuration par défaut d’un port PoE est Auto On.

>

interface ethernet poe print detail

0 name="ether10" poe-out=auto-on poe-priority=10 power-cycle-ping-enabled=no power-cycle-interval=none MISE EN GARDE ●



Assurez-vous toujours que les équipements que vous branchez sur un port POE aient une compatibilité POE avant de mettre le port en mode “Forced On”.

Pour surveillez l’activité PoE d’un port lorsqu’un équiipement est branché dessus, employez la commande suivante: [admin@MikroTik] > /interface ethernet poe monitor ether10 name: ether10 poe-out: auto-on poe-out-status: waiting-for-load -- [Q quit|D dump|C-z pause]

2.5.2. Les Priorités PoE ●







Toute interface PoE possède un numéro de priorité. ●

0 est le plus haut niveau de priorité.



99 est le plus bas niveau de priorité.

La valeur de la priorité PoE par défaut est : 10 Si l'unité RouterBOARD détecte une condition de surintensité, les ports avec la priorité la plus basse auront la sortie POE désactivée en premier. RouterOS vérifie les conditions de surintensité toutes les six secondes. Cela protège le périphérique RouterBOARD tout en garantissant que les périphériques POE en amont restent en ligne si possible.

2.5.3. Cycle de Puissance PoE ●



Une fonctionnalité très pratique de RouterOS est la possibilité de redémarrer les ports POE. Cette action force un redémarrage de l'appareil à l'autre extrémité de la connexion. La commande suivante forcerait un cycle d'alimentation de dix secondes quel que soit le périphérique alimenté par le port PoE en question sur le RouterBOARD:

> /interface ethernet poe power-cycle ether10 duration=10s ●

Les injecteurs POE ne peuvent pas être redémarrés à distance comme les ports POE du RouterBOARD dans l'exemple précédent. Il est également important que les injecteurs disposent d’entrées d’alimentation stables et fiables. Les surtensions pendant les coups de foudre ou les baisses de tension pourraient non seulement endommager l'injecteur, mais également entraîner la mise hors ligne de l'appareil alimenté plus loin sur la ligne et nécessiter une visite d'un technicien sur le site.

2.6.Les Modules SFP(Small Form-factor Pluggable) ●







Les modules SFP et SFP+ permettent aux entreprises d'utiliser des câbles en cuivre et en fibre optique de différentes normes avec un module qui se branche sur un port standard de l'industrie. Lorsque le câblage est mis à niveau, les routeurs et les commutateurs n'ont pas besoin d'être remplacés. Au lieu de cela, il suffit de mettre à niveau les modules SFP ou SFP+ vers ceux qui fonctionnent avec le nouveau câblage. Les interfaces qui acceptent les modules SFP sont numérotées de la même manière que les ports Ethernet et ont les mêmes configurations par défaut. Les interfaces SFP+ facilitent des connexions plus rapides (10Gb/s) vers des unités RouterBOARD haut de gamme comme le CCR(Cloud Core Router). Les ports sont nommés «sfp1», «sfp2», «sfp3», etc

Module SEP pour un câble Ethernet en cuivre. Type de connecteur: RJ45

Module SFP pour un câble Ethernet en Fibre Optique. Type de connecteur: LC



Employez la commande suivante pour consulter l’état du port sfp1: > /interface ethernet monitor sfp1 name: sfp1 status: no-link auto-negotiation: done advertising: link-partner-advertising: sfp-module-present: no





Une autre option pour relier des périphériques avec des connexions haut débit consiste à utiliser des câbles à connexion directe (DAC) préfabriqués. Il s'agit de liaisons à haut débit généralement de un à cinq mètres de long avec des modules et un câble SFP ou SFP + combinés en une seule unité. Un exemple de DAC est illustré ci-contre : Ce sont des unités très économiques pour connecter des appareils avec des liaisons haut débit, mais les modules à chaque extrémité ne peuvent pas être retirés du câble et réutilisés. Ils sont également limités en longueur avec seulement une distance suffisante pour passer entre les appareils dans le même rack ou les racks immédiatement adjacents les uns aux autres.

2.7.Les Interfaces Sans-Fil (Wireless) ●





Les appareils SOHO MikroTik avec interfaces réseau sans fil ont souvent des connexions pontées entre les réseaux filaires et sans fil. Avec cette configuration par défaut, toutes les interfaces, sauf ether1 fonctionnant en tant que port WAN, font partie du même LAN. Pour la plupart des petits réseaux, c'est toute la configuration dont ils ont besoin. Le pontage (bridging) des connexions filaires et sans fil permet également la diffusion en continu vers des appareils sans fil tels que Apple TV R ou Google Chromecast R à partir d'hôtes filaires. Les cartes d'extension sans fil Mini PCI / Mini PCIExpress supplémentaires n'auront pas de configuration par défaut. Un exemple de ces cartes d'extension est illustré ci-après :

Carte Sans-Fil au format Mini PCI-Express

2.8.Les Interfaces Pontées (Bridge Interfaces) ●









Les ponts sont des composants matériels ou logiciels qui combinent des segments réseau de la couche 2 du modèle OSI (liaison de données). Dans RouterOS, les ponts sont implémentés dans le logiciel pour combiner des interfaces séparées dans un même réseau. Le pontage matériel améliore les performances du réseau ponté et réduit la surcharge des ressources de traitement sur les unités physiques RouterBOARD. Un pont peut également être utilisé comme interface de bouclage (loopback interface) virtuelle pour exécuter OSPF, MPLS ou d'autres protocoles. Cela permet aux interfaces physiques connectées au pont de s'activer ou de se désactiver sans affecter le protocole car l'interface virtuelle reste active. Ce type d'implémentation de bouclage virtuel sera traité plus en détail dans le module dédié au Routage.

Pour connecter des réseaux physiques entre eux via un pont virtuel ne nécessite que quelques étapes: 1. Créez l'interface de pont 2. Configurez les fonctionnalités sur le pont (Fast Forward, etc.) 3. Ajoutez des ports au pont Les sections suivantes vous guideront à travers les étapes ci-dessus :

2.8.1.Création des Ponts(Bridges) >/interface bridge add name="LAN-BRIDGE" comment=LAN ●



Un pont nommé "LAN-BRIDGE" a été créé. Comment indique la présence d'un commentaire qui nous permettra de reconnaire facilement le rôle que joue une interface.

2.8.2.Activation de la fonctionnalité Fast Forward ●





L'activation de la fonctionnalité Fast Forward est possible à partir de la version 6.39 du système RouterOS. Elle permet d'augmenter la vitesse de transmission sur un pont qui relie deux ou plusieurs interfaces physiques. Voici la commande pour activer la fonctionnalité Fast Forward sur un pont qui a été nouvellement créé :

>/interface bridge add name="LAN-BRIDGE" comment=LAN fast-forward=yes ●

Après la création d'une interface pontée, nous avons la possibilité d'afficher la liste des ponts qui existe sur l'équipement à l'aide la commande suivante : /interface bridge print

2.8.3.Ajout des Ports ou Interfaces physique ●



Après la création d'une interface pontée, nous avons la possibilité de lui ajouter des ports ou des interfaces physiques. Cet ajout est synonyme d'un regroupement sous une interface logicielle.

d'interfaces physiques

[admin@CAPsMAN_MAIN] > /interface bridge port /interface bridge port> add interface=ether2 bridge=LAN-BRIDGE /interface bridge port> add interface=ether3 bridge=LAN-BRIDGE ●









Un pont constitue un domaine de diffusion (broadcast domain). Après la configuration ci-dessus, les interfaces ether2 et ether3 font parti d'un même domaine de diffusion. Il s'agit de l'interface pontée nommée LAN-BRIDGE. Lorsqu'une interface pontée est créée, elle devient un maître (master) pour toutes les autres interfaces physiques qui seront regroupées sous elle. Toutes les interfaces physiques qui dépendent d'une interface pontée sont des interfaces esclaves (slave). Rappel : seules les interfaces (physiques comme logicielle) qui sont en mode master (maître) peuvent recevoir une configuration d'adresse IP.



L'ajout d'un port physique à une interface pontée peut se faire via l'interface graphique de WinBox comme suit :

[admin@CAPsMAN_MAIN] > /interface print Flags: # 0 R 1 X 2 RS 3 S 4 S 5 S 6 S 7 S 8 RS 9 S 10 S 11 XS 12 13 14 15

D - dynamic, X - disabled, R - running, S - slave NAME TYPE ACTUAL-MTU L2MTU ether1 ether 1500 1598 ether2 ether 1500 1598 ether3 ether 1500 1598 ether4 ether 1500 1598 ether5 ether 1500 1598 ether6 ether 1500 1598 ether7 ether 1500 1598 ether8 ether 1500 1598 ether9 ether 1500 1598 ether10 ether 1500 1598 sfp1 ether 1500 1598 ;;; managed by CAPsMAN wlan1 wlan 1500 1600 R ;;; LAN LAN-BRIDGE bridge 1500 65535 R bridge bridge 1500 1598 R bridge-HotSpot bridge 1500 1598 S cap1 cap 1500 1600

2.8.4.Suppression des Ports(Interfaces) Ponté(e)s ●

Pour des raisons techniques, nous pourrons être amenés à annuler toute une configuration réseau en supprimant soit l'interface pontée en entier ou soit supprimer individuellement les interfaces physiques du pont. MISE EN GARDE ●





Pendant la suppression d'un pont, le système RouterOS ne vous demandera pas de confirmer l'action que êtes entrain de mener. Le fait de supprimer individuellement les interfaces physiques qui appartiennent à un pont, est considérée comme une meilleure pratique.

Prenez toujours le soin d'afficher la liste complète des interfaces physiques qui appartiennent à un pont à l'aide de la commande : /interface bridge port print.





Nous remarquons que au début de chacune des lignes affichées cidessus, il y a un numéro (0, 1, 2, … ,11). Ces numéros consituent des identifiants. Pour supprimer une interface physique qui appartient à un pont, il faut juste supprimer le numéro de la ligne qui lui correspond. /interface bridge port remove [Numero_Ligne]



Pour supprimer entièrement un pont, employez la commande suivante : /interface bridge remove [Nom_Interf_Pontee]

2.9.Le Paramètre MTU(Maximum Transfer Unit) d'une Interface ●

Le paramètre MTU(Maximum Transfer Unit) d'une interface réseau désigne la taille maximale d'une trame à la couche 2 (Liaison de Données) ou d'un paquet à la couche 3 (Réseau) qui peut être transmis sans subir une première fragmentation. ●









Par défaut, la valeur du paramètre MTU pour les communications de la couche 3 est 1500 octets. La valeur du paramètre MTU à la couche 2 est souvent supérieur à celui de la couche 3. Ces valeurs de MTU par défaut sont en accord avec les exigences des autres constructeurs et facilite ainsi une interconnexion des équipements. Les trames qui ont une taille supérieure à 1500 octets sont désignées par l'acronyme anglais "Jumbo Frame" et peuvent avoir une taille de 9000 octets.

La figure ci-après montre les différentes valeurs de MTU qui ont été réglées sur l'interface ether1 sur un équipements RouterBOARD.



Pour afficher les mêmes informations à la ligne de commande RouterOS, employez la commande : /interface ethernet print detail .



Il suffira d'appuyer sur la touche "D" ou la touche de direction "bas" pour faire afficher le reste des informations. Sinon, il faut juste appuyer sur la touche "Q" pour interrompre l'affichage.



Les interfaces des équipements RouterBoard peuvent supporter des trames plus grandes en taille mais les différents modèles ont leurs limites. ●

Exemple : ●







Le Modèle CCR1036 peut supporter jusqu'à 10226 octets comme valeur maximale du paramètre MTU. Le modèle RB951 peut supporter uniquement 4074 octets comme valeur maximale du paramètre MTU. Le modèle RB751 peut supporter uniquement 2290 octets comme valeur maximale du paramètre MTU.

Pour des informations complémentaires sur les valeurs de MTU en fonction du modèle de RouterBOARD, veuillez consulter le lien ciaprès :

https://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_Rout erBoards#MAC.2FLayer-2.2FL2_MTU

2.10.L'Etat d'une Interface ●



Les interfaces des équipements RouterBoard sont activées par défaut. Mais celles qui ne sont pas utilisées devraient être désactivées pour des raisons de sécurité. Pour afficher les interfaces qui sont activées, exécutez la commande suivante : [admin@CAPsMAN_MAIN] > /interface ethernet print where running Flags: X - disabled, R - running, S - slave



#

NAME

MTU MAC-ADDRESS

ARP

SWITCH

0 R

ether1

1500 74:4D:28:29:AC:15 enabled

switch1

1 RS ether3

1500 74:4D:28:29:AC:17 enabled

switch1

2 RS ether9

1500 74:4D:28:29:AC:1D enabled

switch2

Nous pourrons employer le symbole " ! " pour précéder le mot "running". Cela nous permettra d'afficher les interfaces qui sont désactivés : /interface ethernet print where !running

[admin@CAPsMAN_MAIN] > /interface ethernet print where !running Flags: X - disabled, R - running, S - slave #

NAME

MTU MAC-ADDRESS

0

X ether2

1500 74:4D:28:29:AC:16 enabled

switch1

1

S ether4

1500 74:4D:28:29:AC:18 enabled

switch1

2

S ether5

1500 74:4D:28:29:AC:19 enabled

switch1

3

S ether6

1500 74:4D:28:29:AC:1A enabled

switch2

4

S ether7

1500 74:4D:28:29:AC:1B enabled

switch2

5

S ether8

1500 74:4D:28:29:AC:1C enabled

switch2

6

S ether10

1500 74:4D:28:29:AC:1E enabled

switch2

7

S sfp1

1500 74:4D:28:29:AC:14 enabled

switch1

Interface désactivée ou inactive

ARP

SWITCH

2.11.Paramètre "Duplex" d'une Interface ●

Les interfaces Ethernet peuvent fonctionner en mode duplex intégral (Full duplex) ou en mode semi-duplex (half-duplex). ●





Une connexion duplexe intégrale (full duplex) permet une transmission simultanée des informations en émission (Tx) comme en réception (Rx). Une connexion semi-duplexe (half-duplex) permet une transmissions des informations à tour de rôle en émission (Tx) et en réception (Rx). En outre, en communication semi-duplexe (half-duplex), lorsque l'émetteur transmet une information, le récepteur ne transmet pas. Il reçoit uniquement et lorsque le récepteur à son tour transmet, l'émetteur reçoit uniquement.

La commande pour afficher le mode duplex (full ou half) d'une interface est la suivante : /interface ethernet monitor [Nom-Interface]

[admin@CAPsMAN_MAIN] > /interface ethernet monitor ether1 name: ether1 status: link-ok auto-negotiation: done rate: 100Mbps full-duplex: yes tx-flow-control: no rx-flow-control: no advertising: 10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full link-partner-advertising: 10M-half,10M-full,100M-half,100M-full

2.12.Contrôle de Flux sur une Interface ●











Le contrôle de flux sur une interface est une fonctionnalité qui permet à une interface qui reçoit de plus de trafic que ce qu'elle peut gérer d'envoyer un signal de "temporisation" ou "d'arrêt" de transmission des trames. La trame qui contient le message de "temporisation" force l'équipement qui est à l'autre bout de la liaison d'arrêter la transmission. Par défaut, le contrôle de flux est désactivé sur les interfaces ethernet dans RouterOS comme le montre la figure ci-après. Les interfaces qui sont réglées sur "auto-negotiate" pour le débit et le mode duplexe négocieront aussi les paramètres de contrôle de flux. Généralement les paramètres de contrôle de flux en émission (Tx) et en réception (Rx) sont modifiées rarement. En configuration manuelle du débit et du mode duplex des interfaces, si vous souhaitez activer le contrôle de flux en émission (tx-flowcontrol) et en réception (rx-flow-control) ils serait préférable de laisser cette option en mode "auto" – automatique.

[admin@CAPsMAN_MAIN] > /interface ethernet monitor ether1 name: ether1 status: link-ok auto-negotiation: done rate: 100Mbps full-duplex: yes tx-flow-control: no rx-flow-control: no advertising: 10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full link-partner-advertising: 10M-half,10M-full,100M-half,100M-full



Employez les commandes suivantes pour lister les interfaces qui ont réçu des trames de "temporisation". Cela nous permettra de savoir si l'activation du contrôle de flux est nécessaire dans votre réseau : > /interface ethernet /interface ethernet> print stats where rx-pause!="0" /interface ethernet> print stats where tx-pause!="0"





Si aucune interface n'est listée après l'exécution des commandes cidessus, alors votre routeur ne bénéficiera probablement pas de l'activation du contrôle de flux. Si des interfaces ont reçu ces trames, alors la meilleure des actions à mener est de débuter une maintenance sur les équipements qui causent des goulots d'étranglement sur le réseau.

2.13.Le Protocole STP(Spanning Tree Protocol) ●









Le protocole à arbre de recouvrement ou spanning tree protocol (STP) protège les réseaux et les hôtes contre les déluges de paquets de diffusion qui ont été engendrés par des connexion en boucle qui existeraient entre deux équipements. Les équipements qui exécutent le protocole STP découvrent les chemins réseau qui existent entre eux et choisissent le pont racine ou root bridge. Il existe plusieurs variantes du protocole STP : ●

STP : Spanning Tree Protocol



RSTP : Rapid Spanning Tree Protocol



MSTP : Multiple Spanning Tree Protocol



PVSTP : Per-Vlan Spanning Tree Protocol

Par défaut, les interfaces physiques et ethernet-virtuelle sont configurées pour fonctionner en RSTP et possède coût STP de 32768. La figure ci-après montre les paramètres STP par défaut qui sont appliquées à une nouvelle interface pontée qui a été créée :









Sur l'image ci-contre, la valeur de la priorité STP est affichée en hexadécimal : 8000 ; ce qui donne "32768" en décimal. Le paramètre "Region Name" est uniquement employé lorsque le protocole MSTP – Multiple STP est implémenté.

Même s'il cela n'est pas strictement requis, il est recommandé que certaines versions de STP soient exécutées sur des interfaces Ethernet pour prévénir les problèmes qui sont relatifs à une boucle de commutation. Les boucles de commutation sont souvent causées par le fait que des utilisateurs sur un réseau se permettent de brancher leurs propres équipements (commutateurs, concentrateurs,…) sur le réseau local de l'entreprise.

2.13.1. Configuration du Protocole STP ●

Employez les commandes suivantes pour activer le mode Spanning Tree(dans ce cas, il s'agira d'activer RSTP) sur un pont (bridge) :

> /interface bridge /interface ethernet> set "[Nom-Pont]" protocol-mode=rstp ●

Le fait de modifier le mode Spanning Tree(dans ce cas, il s'agira d'activer RSTP) sur une interface peut cause une brève interruption du trafic réseau puisque cela engendrera une reconvergence des protocoles.

2.14.Evaluation du Câble ●

Le systèmes RouterOS possède une fonctionnalité qui lui permet de tester les liaisons Ethernet. En voici un exemple : [admin@MikroTik] > /interface ethernet cable-test ether3 name: ether3 status: link-ok -- [Q quit|D dump|C-z pause]



Voici un cas d'analyse qui montre un câble qui est partiellement endommagé c'est-à-dire une câble dont certaines paires de fils sont coupées : [admin@MikroTik] > /interface ethernet cable-test ether5 name: ether5 status: link-ok cable-pairs: normal:?,shorted:0,normal:?,normal:? -- [Q quit|D dump|C-z pause]

2.15.Securité Physique ●





Lorsqu'une interface réseau n'est pas employé sur un équipement, il est fortement recommandé de le désactiver. Ceci empêchera le fait qu'un attaquant ayant un accès local à l'équipement puisse accéder à son interface de configuration. La norme PCI-DSS(Payment Card Industry – Data Security Standard) requiert l'implementation de la sécurité physique, y compris des contrôles logiques tels que la désactivation logicielle des interfaces. Voici un exemple de désactivation de plusieurs interfaces réseau qui ne sont pas utilisées : > /interface set ether4,ether5 disabled=yes

3. Les Adresses et le Protocole DHCP 3.1.Les Adresses Statiques ●



Les adresses IP statiques peuvent être facilement ajouter aux interfaces physiques et aux interfaces virtuelles. L'exemple ci-après montre l'ajout de l'adresse 192.168.200.1/24 à l'interface ether5 : > /interface address add address=192.168.200.1/24 interface=sfp1



La notation d'une adresse IP sous la forme 192.168.200.1/24 est désignée par le terme CIDR(Class-less Inter-Domain Routing). Si vous n'êtes pas à l'aise avec cette notation, vous pourrez aussi employez la notation utilisée ci-après pour ajouter une adresse IP à une interface : > /interface address add address=192.168.200.1 netmask=255.255.255.0 interface=sfp1



Ayez toujours l'habitude d'ajouter un commentaire à l'ajout des adresses IP, surtout si des adresses d'essaie et des adresses de production sont employés:

> /interface address add address=192.168.200.1 interface=ether5 comment=DMZ add address=192.168.17.1 interface=ether6 comment=Worbench ●



Il est possible d'ajouter plusieurs adresses IP à une même interface. Nous avons souvent ce cas lorsqu'une organisation a reçu une plage (ou un bloc) d'adresses IP publiques et une seule interface en amont chez le fournisseur d'accès Internet. L'organisation peut ainsi configurer le protocole NAT de l'adresse IP publique vers les adresses respectives des serveurs qui sont dans la zone démillitarisée – DMZ(Demilitarized Zone). Les commandes ci-après permettent d'ajouter plusieures adresses IP publiques à partir d'un bloc /28 à l'interface ether1 :

> /interface address add address=172.16.195.17/28 interface=ether1 comment="HTTP Server" add address=172.16.195.18/28 interface=ether1 comment="Email Server" add address=172.16.195.19/28 interface=ether1 comment="CRM Server"



Pour afficher uniquement les adresses IP statiques, il faut employé la suite d'instructions suivante : " … where !dynamic" . ●



Le symbole " ! " signifie la négation ou le contraire d'une instruction. !dynamic signifie tout ce qui n'est pas dynamique automatique). D'où 'affichage de tout ce qui est statique.

[admin@CAPsMAN_MAIN] > /ip address print where !dynamic Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 ;;; hotspot network 172.18.0.1/22 172.18.0.0 bridge-HotSpot 1 I ;;; Link-To-ADSL-WAN1-22701818 192.168.4.2/24 192.168.4.0 ether2 2 192.168.89.1/24 192.168.89.0 bridge 3 ;;; hotspot network 172.18.0.1/22 172.18.0.0 ether6 4 ;;; WAN1-TGT 192.168.1.254/24 192.168.1.0 ether1

(ou

3.2.Les Adresses Dynamiques avec le Protocole DHCP ●





Grâce à l'implementation du protocole DHCP(Dynamic Host Configuration Protocole) sous RouterOS, il y a la fonctionnalité typique nécessaire en entreprise ainsi que quelques fonctionnalités qui apporte un plus. Sur le système RouterOS, DHCP peut s'exécuter sous trois rôles : ●

Serveur DHCP (DHCP Server)



Client DHCP



Relai DHCP (DHCP Relay)

Il y a la possibilité de ne pas dutout exécuter DHCP et de laisser ainsi le rôle de serveur DHCP à un autre système tel que le contrôleur de domaine Active Directory ou un serveur DHCP de l'ISC(Internet Systems Consortium).

3.2.1. Processus d'Echange de Paquets DORA ●



Le protocole DHCP fonctionne de la même manière que sur les autres plateformes, via des requêtes et des attributions d'adresses IP via le processus DORA : ●

Discover (Client > Serveur)



Offer (Serveur > Client)



Request (Client > Serveur )



Acknowledgement (Serveur > Client)

Il est possible de voir les étapes d'exécution du processus DORA dans les fichiers journaux de RouterOS. Ceci n'est possible que si l'enregistrement des événements DHCP dans les fichiers journaux (log) est activé car aux commandes suivantes :

> /system logging add action=[Emplacement-Sauvegarde] topics=dhcp ●

Passons à l’application de cette commande pour collecter l’historique des processus DHCP sur notre système.



Avant l’application de la commande /system logging add action=usb topics=dhcp, voici les différents types de fichiers journaux qui sont enregistrés par défaut sur un système RouterOS : [admin@CAPsMAN_MAIN] > /system logging print Flags: X - disabled, I - invalid, * - default # TOPICS ACTION PREFIX 0 * info usb 1 * error usb 2 * warning usb 3 * critical usb



Les événements DHCP ne sont pas enregistrés par défaut dans les fichiers journaux à moins que l’administrateur ne l’ait activé. Passons alors à l’activation de la journalisation des événements DHCP.

[admin@MikroTik]> /system logging add action=usb topics=dhcp ●

Cette commande ci-dessus a pour rôle d’enregistrer l’historique des événements DHCP (topics=dhcp) dans les fichiers journaux (logs) qui sont stockés sur le support de stockage USB (action=usb) qui est branché sur notre routeur MikroTik. Vérifions si cet enregistrement est activé en exécutant la commande ci-après : [admin@CAPsMAN_MAIN] > /system logging print Flags: X - disabled, I - invalid, * - default # TOPICS ACTION PREFIX 0 * info usb 1 * error usb 2 * warning usb 3 * critical usb 4 dhcp usb



La ligne numéro 4, nous confirme que la journalisation des événements DHCP a été activée par l’administrateur.



Nous pouvons consultez le contenu du journal d’événements DHCP en exécutant la commande : /log print detail where topics=dhcp,debug,packet



Nous pouvons consultez le contenu du journal d’événements DHCP via l’interface graphique de WinBox :

MISE EN GARDE ●



L’enregistrement du journal d’événements DHCP énormément de l’espace sur vos supports de stockage.

consomme

Activez cette fonctionnalité de façon ponctuelle et non permanente. Par exemple, vous pourrez activer cette journalisation en cas de maintenance et après vous la désactivez.

[admin@CAPsMAN_MAIN] > /system logging print Flags: X - disabled, I - invalid, * - default # TOPICS ACTION 0 * info usb 1 * error usb 2 * warning usb 3 * critical usb 4 dhcp usb ●

PREFIX

Pour désactiver la journalisation des événements DHCP, voici la commande à exécuter : system logging remove numbers=4



Le processus DORA est illustré par la figure ci-après :

3.2.2. Le Serveur DHCP ●

Pour être en mesure d'utiliser un équipement tournant RouterOS comme un serveur DHCP, il y a trois paramètres qu'il faut configurer : ●

Le poule d'adresses IP des Clients (Client IP Pool).



L'adresse IP du réseau DHCP (DHCP Network address).



L'instance du serveur DHCP (DHCP Server Instance).

3.2.3. Le Poule d'Adresses IP des Clients (Client IP Pool) ●



Il s'agit d'une plage d'adresses IP à partir de laquelle le serveur DHCP attribuera des adresses IP aux machines clientes. Sur les équipements RouterBOARD, nous avons par défaut : ● ●

L'adresse IP de l'interface LAN : 192.168.88.1/24. La plage des adresses IP des équipements routerboard est : 192.168.888.10 - 192.168.88.254.



L'attribution des adresse IP par un serveur DHCP sur un équipement MikroTik se fait de façon décroissante : ●

Le premier client recevra comme adresse IP : 192.168.88.254/24 .



Le second : 192.168.88.253/24







Ainsi de suite jusqu'à ce que tous les clients DHCP obtiennent tous leur adresse IP ou jusqu'à ce que toutes les adresses de la plage d'adresse soient épuisées.

Il est possible de configurer une seconde plage d'adresses DHCP pour prévenir l'épuisement des adresses dans une plage. Mais cela requiert une bonne planification de l'adressage IP et une bonne segmentation lors de la conception d'un réseau. Le fait de réduire le temps de bail (lease time) d'une adresse IP via DHCP est aussi une bonne pratique qui permettrait de rendre disponibles les adresses IP dans une plage.



La commande suivante permet de créer un poule (ou une plage) d'adresses IP pour l'adressage des clients DHCP : > /ip pool add name="PLAGE-DHCP-LAN" range=192.168.88.10-192.168.88.254



Il est possible de créer plusieurs poules (ou plages) d'adresses IP pour l'adressage des clients DHCP dans un sous-réseau. Une plage point vers un sous-réseau donné et l'autre pointe vers un autre: > /ip pool add name="PLAGE-DHCP-LAN" range=192.168.88.10-192.168.88.100 next-pool="PLAGE-DHCP-LAN2" range=192.168.88.10-150.168.88.254



La création d'un poule (plage) d'adresses IP DHCP peut se faire via l'interface graphique de WinBox aussi :

3.2.4. Les Réseaux DHCP ●

La création d'un réseau DHCP permet de regrouper les paramètres suivants : ● Les adresses IP des serveurs DNS, ● les adresses IP des passerelles ; ● les adresses IP des serveurs NTP ; ● et d'autres ensembles d'option dont les clients ont besoin.

> /ip dhcp-server network add address=192.168.88.0/24 ●

L'ajout d'autres options dans la configuration d'un serveur DHCP permet aux clients d'être fonctionnels sur un réseau.

> /ip dhcp-server network add address=192.168.88.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.88.1 comment="SERVEUR-DHCP-WiFi"



Instance d'un Serveur DHCP ●





Une instance DHCP fonctionne sur une interface physique ou virtuelle et est à l'écoute des messages de diffusion venant des clients DHCP. Elle permet de regrouper le poule d'adresses IP et le réseau DHCP qui ont été configurés précédemment. La commande ci-après permet de configurer une instance de serveur DHCP sur l'interface ether2, et de spécifier le poule d'adresse PLAGEDHCP-LAN avec une durée de bail (lease time) de 8 heures :

> /ip dhcp-server add interface=ether2

address-pool=192.168.88.0 lease-time=8h

name="PLAGE-DHCP-LAN" disable=no ●

L'option disable=no est requise parce que les instances de serveur DHCP sont désactivées à moins qu'elles n'aient été activées.

3.2.5. Durée du bail (Lease time) d'une Adresse IP ●



Par défaut, les versions à jour du système RouterOS nous donne pour durée du bail d'une adresse IP provenant du serveur DHCP 10 minutes. Cette durée peut être augmentée lors des configurations. Mise en garde : ●





Il n'est pas recommandé de configurer une durée de bail qui soit supérieure à 24H. Sinon, avec un tel paramétrage, un réseau qui a une petite plage d'adresses IP sur son serveur DHCP connaîtra rapidement un épuisement des adresses qui sont disponibles. Lorsque toutes les adresses IP de la plage DHCP sont épuisées, les nouveaux équipements (clients DHCP) qui se connecteront au réseau ne pourront plus obtenir des adresses IP. Le fait d'avoir une durée de bail assez courte permet aux adresses IP de se libérer afin qu'elles soient disponibles pour être attribuées à d'autres clients DHCP.





Une fois qu'une adresse IP ait été offerte à un client DHCP et qu'il a accepté cette adresse, elle apparaîtra dans les fichiers journaux relatifs aux bails DHCP (DHCP Leases). Le système RouterOS garde les informations suivantes à propos de l'attribution des adresses IP : ●

(1) L'adresse IP qui a été attribuée au client.



(2) L'adresse MAC du client qui correspond au bail en question.



(3) Le temps restant pour l'adresse IP qui a été attribuée ?





(4) Le nom d'hôte de la machine Client (si cette option est disponible).

Pour afficher les traces des attributions d'adresses IP via DHCP sous RouterOS, employez la commande : ●

/ip dhcp-server lease print



Il est possible de rendre statique l'attribution d'une adresse IP via un serveur DHCP de telle sorte que chaque fois qu'un client requiert une adresse IP pour son adresse MAC, qu'il obtienne toujours la même adresse IP. 1



Cliquez sur une ligne de bail DHCP et faite clique-droit . Ensuite cliuquez sur Make Static pour rendre ce bail statique. 2



Rendre un bail DHCP statique, peut aussi se faire à la ligne de commandes de RouterOS.



A la ligne de commandes de RouterOS, les bails DHCP sont identifiés par un numéro de ligne. Par conséquent pour rendre un bail DHCP statique à la ligne de commande, nous aurons besoin du numéro de la ligne en question. > /ip dhcp-server lease make-static [Num-Ligne-Bail-DHCP]

Application :

> /ip dhcp-server lease make-static 7



Pour afficher tous les bails DHCP qui sont marqués comme statiques veuillez utiliser la commande ci-après : > /ip dhcp-server lease print where !dynamic ●

NOTE : Le fait de rendre un bail DHCP statique est très bénéfique pour les imprimantes qui ont besoin d'une adresse IP pour fonctionner dans un réseau d'ordinateurs.

3.2.6. Les Options DHCP ●





Les options DHCP permettent de configurer les détails concernant l'adressage et le système pour les clients DHCP. Tout attribue affecté aux clients DHCP est une option même si les administrateurs réseau ne s'en rendent pas compte. Toutes les options DHCP ne sont pas utilisables par tous les clients. Par exemple les clients Windows n'utilisent pas les options NTP pour synchroniser automatiquement leurs horloges même si cette option est bien configurées. Par contre les clients Windows utilisent les options DHCP relatives à Active Directory ou à l'horloge statique.



Voici quelques URL de référence pour vous informez davantage sur les options DHCP: https://tools.ietf.org/html/rfc2132 https://www.iana.org/assignments/bootp-dhcp-parameters/bootpdhcp-parameters.xhtml



Voici quelques options DHCP les plus utilisées habituellement même sur les systèmes Windows: ●

Option 1 : Masque de sous-réseau



Option 3 : Adresse IP de la passerelle par défaut (Routeur).



Option 6 : Adresse(s) des Serveurs DNS



Option 15 : Nom de domaine du réseau DHCP



Option 51 : Delai de Bail (Lease Time) exprimé en secondes

Emploi des Options DHCP ●





Pour employer les options DHCP, elles doivent d'abord être créees puis attribuées à une instance de serveur DHCP. Les options peuvent être assignées individuellement à uneinstance ou elle peuvent être regroupées dans des ensembles. L'exemple ci-après montre la création de deux options DHCP à la ligne de commande de RouterOS. Les premières options règles le paramètre de serveurs NTP et le second règle le fuseau horaire. > /ip dhcp-server option /ip dhcp-server option> add name="pool.ntp.org" code="42" value="’0.pool.ntp.org,1.pool.ntp.org’" /ip dhcp-server option> add name="Eastern Time" code="101" value="’America/New_York’" ●

NOTE : Les client Windows n'emploient pas les options NTP qui ont été configurées cidessus ; ils font plutôt recours aux serveurs Active Directory pour obtenir des mises à jour précises de temps. La configurations de cette option DHCP sera sans effet sur les postes de travail qui joignent un domaine Windows .

3.2.7. Gestion des Adresses IP Statiques avec le Protocole DHCP ●







Une fois qu'un réseau s'est développé au-delà d'un certain point, il devient difficile d'attribuer, de modifier et de documenter des adresses IP statiques. Compte tenu de la quantité de routeurs, de commutateurs, d'imprimantes, de points d'accès sans fil (WAP) et plus encore dans un réseau typique, la tâche peut rapidement devenir incontrôlable. Au lieu de saisir manuellement des adresses IP statiques sur chaque périphérique, une option plus simple consiste à laisser le protocole DHCP le faire pour vous. La distribution d'adresses IP statiques avec un protocole destiné à l'adressage dynamique semble contre-intuitif, mais il existe quelques avantages rapides qui sont facilement reconnaissables une fois que vous commencez à utiliser cette stratégie.

Adresses IP Pré-créées ● Il est possible de pré-créer l'adresse IP d'un périphérique si vous connaissez préalablement son adresse MAC. Vous pouvez ainisi créer une réservation DHCP statique en utilisant cette adresse MAC. Ainsi, lorsque le périphérique est connecté au réseau, il recevra immédiatement l'adresse IP que vous lui avez réservée.



Exemple d'Adresses IP Pré-créées /ip dhcp-server lease add address=192.168.88.119 lease-time=8h mac-address=00:11:22:AA:BB:CC comment="Accounting check printer" ●

Commentaires : ● Une fois que le périphérique ayant pour adresse MAC 00:11:22:AA:BB:CC sera connecté au réseau, le serveur DHCP lui attribuera immédiatement l'adresse IP 192.168.88.119 et le périphérique gardera cette adresse IP pour une durée de 8h. ● Les commentaires dans les configurations sont très importants et dans ce cas de configurations, ils vous permettent de reconnaître facilement le périphérique pour lequel vous avez réservé une adresse IP.



Limitez les déplacement vers les bureaux distants ●





Les baux pré-créés signifient que vous n'avez pas besoin d'un administrateur réseau sur place pour configurer l'adresse IP ou les options réseau. Demandez simplement à quelqu'un d'autre de brancher l'appareil et le protocole DHCP s'occupera du reste. Cette stratégie DHCP peut également permettre d'économiser sur les frais d'expédition si les appareils doivent d'abord être envoyés via un bureau principal pour la configuration. L'adresse IP d'un appareil peut également être modifiée facilement avec peu ou pas de temps d'arrêt. Mettez simplement à jour la réservation DHCP statique avec la nouvelle adresse et le prochain renouvellement poussera le changement vers le périphérique.



Réadressage transparent ●



Associez les réservations de bail mises à jour à des mises à jour d'enregistrements DNS coordonnées pour l'appareil et vous pouvez facilement réattribuer les adresses IP des appareils sur un réseau. Il est possible de mettre à jour d’autres paramètres tels que les serveurs DNS, la passerelle par défaut, les serveurs NTP, etc. sans vous connecter à l'appareil. Définissez simplement les options du réseau DHCP et attendez le renouvellement du bail ou redémarrez l'appareil à distance.

3.2.8. Client DHCP ●







Les routeurs MikroTik peuvent aussi jouer le rôle de client DHCP. Un client DHCP reçoit habituellement sa configuration lorsqu'un routeur en amont envoie une adresse IP dynamique et un adresse IP de passerelle via un flux montant du fournisseur d'accès. Toute interface d'un routeur MikroTik peut jouer le rôle d'un client DHCP. On peut aussi ajouter quelques options à la configuration d'un client DHCP pour améliorer la façon dont le routage se fera.

La commande ci-après permet de configurer une interface en tant que client DHCP :.



/ip dhcp-client add interface=ether1 disabled=no comment="WAN_FAI" ●



Un client DHCP standard est maintenant configuré pour extraire une adresse IP et un masque de sous-réseau, une adresse IP de passerelle et des adresses IP de serveur DNS. Il existe quelques options qui peuvent être configurées avec l'interface même si le client est désactivé: ●

add-default-route (ajout d'une route par défaut)



use-peer-dns (emploi du serveur DNS de la passerelle)



use-peer-ntp (emploi du serveur NTP de la passerelle)

Ces trois options sont activées par défaut, et sont prêts à être désactivés pour que vous personnalisiez vos paramètres de configuration DNS, NTP et vos paramètres de routage.





Avoir deux clients DHCP avec les deux paramétrant une route par défaut pourrait évidemment causer des problèmes, donc un client aurait probablement "adddefault-route = no" défini. Si vous utilisez des serveurs DNS autres que ceux fournis par votre FAI, vous pouvez définir «use-peer-dns = no» et configurer les vôtres à la place. L'exemple ci-près montre un client DHCP actif et ses options attribuées: [admin@MikroTik] > /ip dhcp-client print detail Flags: X - disabled, I - invalid 0 ;;; defconf interface=ether1 add-default-route=yes default-route-distance=1 use-peer-dns=yes use-peer-ntp=yes dhcp-options=hostname,clientid status=bound address=a.b.c.d/x gateway=a.b.c.d dhcp-server=172.16.52.1/24 primary-dns=8.8.8.8 secondary-dns=8.8.4.4 expires-after=17h56m3s

3.3.Les Adresses Point-à-Point ●





Pour créer des liens directs entre les équipements, RouterOS supportent deux types différents d'adressage IPv4 : ●

Les adresses /30.



Les adresses /32.

Les sous-réseaux les plus anciens et les plus courants /30 peuvent facilement être utilisés pour créer des réseaux point-à-point. Malheureusement pour chaque réseau /30, il y a deux adresses «gaspillées» : ●

L'adresse IP du réseau



et l'adresse IP de la diffusion

L'utilisation des anciennes adresses point-à-point présente certains avantages: ● ●

Compatible avec les équipements réseau anciens. Aucune entrée d'itinéraire (ou route) supplémentaire n'est nécessaire.

3.3.1. L'ancien Adressage /30 ●





La figure ci-après présente une topologie réseau dont les différents sous-réseaux ont un masque /30 ou 255.255.255.252. Chaque liaison point-à-point se trouve sur son propre sous-réseau et possédant ainsi : ●

Un réseau



Des hôtes



Et des adresses de diffusions

Dans un tel réseau, nous n'avons plus besoin de spécifier une route par defaut pourqu'un routeur communique avec un autre comme nous le ferons dans le cas des réseaux /32. Cependant, les adresses IP suivantes sont gaspillées et ne peuvent pas être attribuées aux interfaces : ●

Les adresses réseau : 192.168.1.0/30, 192.168.1.4/30, 192.168.1.8/30



Les adresses de diffusion : ●

192.168.1.3/30,



192.168.1.7/30,



192.168.1.11/30

3.3.2. Le Nouvel Adressage /32 ●







L'utilisation des adresses IP /32 le «gaspillage» d'adresses de réseau et de diffusion qu'il y a dans les réseaux /30. Malheureusement, l'implémentation des réseaux /32 nécessite une surcharge administrative supplémentaire pour la gestion des itinéraires ou routes. Un exemple de topologie de réseau utilisant des adresses /32 est illustré ci-après. La simple configuration des adresses sur les interfaces ne suffit pas pour faire fonctionner l’adressage /32. Chaque routeur a besoin d'une route pointant vers l'IP de l'autre routeur via cette interface. Cela peut être accompli via des entrées de route statiques ou des routes dynamiques via OSPF, RIP ou un autre protocole de routage.





Les commandes suivantes implémentent des adresses /32 qui sont plus efficaces avec des routes statiques.

Configuration du Routeur MikroTik-AGOE ●





La liaison de MikroTik-AGOE vers MikroTik-ANEHO a pour origine l'interface ether1 . La liaison de MikroTik-AGOE vers MikroTik-BAGUIDA a pour origine l'interface ether2 . Les configurations des adresses IP et des routes respectives sur le routeur MikroTik-AGOE se feront comme suit : /ip address add interface=ether1 address=192.168.1.1/32 /ip address add interface=ether2 address=192.168.1.5/32 /ip route add dst-address=192.168.1.2 gateway=ether1 /ip route add dst-address=192.168.1.6 gateway=ether2



Configuration du Routeur MikroTik-ANEHO ●





La liaison de MikroTik-ANEHO vers MikroTik-AGOE a pour origine l'interface ether1 . La liaison de MikroTik-ANEHO vers MikroTik-BAGUIDA a pour origine l'interface ether2 . Les configurations des adresses IP et des routes respectives sur le routeur MikroTik-ANEHO se feront comme suit : /ip address add interface=ether1 address=192.168.1.2/32 /ip address add interface=ether2 address=192.168.1.3/32 /ip route add dst-address=192.168.1.1 gateway=ether1 /ip route add dst-address=192.168.1.4 gateway=ether2



Configuration du Routeur MikroTik-BAGUIDA ●





La liaison de MikroTik-BAGUIDA vers MikroTik-ANEHO a pour origine l'interface ether1 . La liaison de MikroTik-BAGUIDA vers MikroTik-AGOE a pour origine l'interface ether2 . Les configurations des adresses IP et des routes respectives sur le routeur MikroTik-BAGUIDA se feront comme suit : /ip address add interface=ether1 address=192.168.1.4/32 /ip address add interface=ether2 address=192.168.1.6/32 /ip route add dst-address=192.168.1.3 gateway=ether1 /ip route add dst-address=192.168.1.5 gateway=ether2







Bien que toute cette configuration nécessite des étapes supplémentaires pour les routes, elle utilise un total de six adresses IP au lieu de douze. Pour une configuration équivalente en /30, trois adresses IP auraient été utilisées pour une adresse réseau et trois autres pour la diffusion. Les organisations qui ont beaucoup de liens point à point comme les fournisseur d'accès sans-fil – WISP(Wireless Internet Service Provider) peuvent réaliser des économies substantielles d'adresses en utilisant les configurations /32.

3.4.Les Adresses MAC(Media Access Control) ●



Les adresses MAC ou encore appelés adresses physiques fonctionnent à la couche 2 – Liaison de données du Modèle OSI(Open System Interconnection). Une adresse MAC est composée de 12 chiffres hexadécimaux qui sont répartis en 2 groupes de 6 chiffres hexadécimaux : ●





Le 1er groupe de 6 chiffres hexadécimaux permet d'identifier le fabricant ou constructeur d'une carte réseau. Ce premier groupe est aussi désigné par l'acronyme OUI(Organizationally Unique Identifier) Le 2e groupe de 6 chiffres hexadécimaux represent le numéro de série de la carte réseau en question.

Les OUI ci-après ont été enregistrés par MikroTik auprès de l'organisation IEEE(Institute of Electrical and Electronics Engineers) en 2017: 4C:5E:0C , 64:D1:54, 6C:3B:6B, D4:CA:6D, E4:8D:8C . http://standards-oui.ieee.org/oui.txt





Les adresses MAC ou encore appelés adresses physiques fonctionnent à la couche 2 – Liaison de données du Modèle OSI(Open System Interconnection). Une adresse MAC est composée de 12 chiffres hexadécimaux qui sont répartis en 2 groupes de 6 chiffres hexadécimaux : ●





Le 1er groupe de 6 chiffres hexadécimaux permet d'identifier le fabricant ou constructeur d'une carte réseau. Ce premier groupe est aussi désigné par l'acronyme OUI(Organizationally Unique Identifier) Le 2e groupe de 6 chiffres hexadécimaux represent le numéro de série de la carte réseau en question.

Les OUI ci-après ont été enregistrés par MikroTik auprès de l'organisation IEEE(Institute of Electrical and Electronics Engineers) en 2017: 4C:5E:0C , 64:D1:54, 6C:3B:6B, D4:CA:6D, E4:8D:8C .











RouterOS peut générer automatiquement des adresses MAC aléatoires pour les interfaces virtuelles dès leur mise en ligne. Le protocole ARP(Address Resolution Protocol) est utilisé pour établir une relation en les adresses de la couche Réseau et les adresses de la couche Liaison de données. Ceci se passe le plus souvent dans les réseaux IPv4. Avec IPv6, le mécanisme est un peu différent et la résolution de la couche réseau à la couche de liaison se fait via le protocole NDP (Neighbor Discovery Protocol). Les clients réseau, les commutateurs et les routeurs gèrent un tableau de ces relations entre les adresses Ipv4 et les adresses MAC, le plus souvent appelé "table ARP" ou "cache ARP". Le cache (ou la table) ARP se trouve toujours dans la mémoire RAM d'un équipement réseau. Ceci dit, son contenu sera toujours vidé au redémarrage ou à la coupure de l'alimentation électrique de l'équipement en question.

3.4.1. Affichage de la Table ARP ●

Pour afficher le cache ARP à la ligne de commande de RouterOS, exécutez les commandes suivantes : /ip arp print Flags: X - disabled, I - invalid, H - DHCP, D - dynamic, P - published, C - complete # ADDRESS MAC-ADDRESS INTERFACE 0 DC 172.18.0.87 00:0A:F5:26:C6:50 bridge-HotSpot 1 DC 172.18.2.184 D0:1C:3C:C4:FE:E1 bridge-HotSpot 2 DC 172.18.1.172 48:27:EA:7E:6A:F2 bridge-HotSpot 3 DC 172.18.3.187 CC:D2:9B:6E:DE:8E bridge-HotSpot [...] 10 DC 192.168.89.218 90:56:FC:55:2B:91 bridge [...] 19 DC 172.18.0.43 AC:AF:B9:BE:9E:E4 bridge-HotSpot -- [Q quit|D dump|down]



Nous avons la possibilité d'être plus spécifique dans l'affichage de la table ARP en précisant l'interface ethernet à partir de laquelle nous voulons l'afficher en excutant par exemple la commande : /ip arp print where interface=bridge

3.4.2. ARP pour l'inventaire des équipements ●

La table ARP peut être très utile lors de l'inventaire des équipements. Pour ce faire, il suffit de rediriger le résultat de la commande /ip arp print vers un fichier nommé par exemple invetaire-arp.txt pour l'analyser après.  

/ip arp print detail file=invetaire-arp.txt ●

Télécharger le fichier invetaire-arp.txt sur votre ordinateur et ouvrez-le avec un éditeur de texte assez robuste tel que Notepad++ ou Microsoft Visual Studio Code. Servez-vous des informations qui s'y trouvent pour edifier votre programme d'invetaire.  

3.4.3. Trouver des Adresses MAC grâce au OUI ●





L'un des OUI enregistrés pour VMware est «00:50:56», donc toute addresse MAC commençant par cet OUI peut être une machine virtuelle s'exécutant sur un hyperviseur VMware. Cet appareil pourrait également être un commutateur de réseau virtuel. Il est possible de rechercher une (ou des) adresses MAC dans la table d’adresses MAC grâce à un OUI en employant une chaîne d’expression régulière (Regex) comme indiquée dans la commande suivante:

/ip arp print where mac-address~"ˆ00:50:56" ●



Le symbole tilde " ~ " indique ce tout ce qui le suit est une expression régulière. Le symbole " ˆ " indique ceci : "qui commence par"

3.4.4. Les Mode ARP ●





Les requêtes ARP sont limitées au domaine de diffusion dans lequel elles ont été émises. Les requêtes ARP ne sont pas acheminées en dehors d'un domaine de diffusion et le routeur n'envoie des réponses ARP que s'il a dans sa table ARP une entrée (ou ligne) qui correspond ) cette requête. Lors de la configuration ARP sous RouterOS, il existe d'autre modes de fonctionnement que vous devriez connaître aussi : ●

Disabled



Proxy ARP



Local Proxy ARP



Reply Only

Mode Disabled ●



En mode Disabled, le routeur le répondra à aucune requête ARP sur une interface qui a reçu cette configuration. Ceci est très utile sur les interfaces qui sont reliées à un segment réseau pour "renifler" le trafic réseau de façon transparente.

/ip ethernet /ip ethernet> set arp=disabled ether2 /ip ethernet> set arp=disabled ether3

Mode Proxy ARP ●



Proxy ARP est utile lorsque les clients sur des réseaux séparés doivent pouvoir envoyer une requête ARP dans un autre sous-réseau. Lorsque le routeur voit une requête ARP dans un réseau pour une adresse MAC qu'il connaît dans un autre, le routeur répond à cette requête avec sa propre adresse MAC. Le routeur transfère ensuite le trafic destiné à l'adresse MAC recherchée sur l'autre réseau. Ce processus est transparent pour le client qui a initialement envoyé la requête ARP.

Figure : Proxy ARP en action

NOTE Sachez que la mise en œuvre de Proxy ARP peut augmenter le trafic ARP sur le réseau et peut avoir des conséquences inattendues. D'autres périphériques sur le réseau qui ont des caches ARP plus petits peuvent ne pas être en mesure de gérer le plus grand nombre d'entrées d'adresses. ●



● ●

Pour un exemple de proxy ARP, considérez la topologie de la figure précédente où 192.168.1.2 doit envoyer une requête ARP à 192.168.2.2. Lorsque 192.168.1.2 envoie une requête ARP à l'adresse MAC de diffusion FF: FF: FF: FF: FF: FF, il fait une interrogation en posant la question "Qui a 192.168.2.2?" Le routeur répondra avec sa propre adresse MAC. Au fur et à mesure que le trafic passe de 192.168.1.2 à 192.168.2.2, le routeur joue le rôle d'intermédiaire pour acheminer le trafic vers les réseaux auxquels il est connecté. Il existe quelques scénarios dans lesquels l'utilisation de ce type de «contournement» est nécessaire: ● Lorsque les appareils de différents réseaux ont besoin d'une accessibilité de couche 2 en raison des limitations des logicielles vieillissants. ● Si les versions d'hyperviseurs en cours d'utilisation nécessitent des communications de couche 2 entre les hôtes physiques pour la réplication des machines virtuelles.



Employez les commandes suivantes pour activer le mode Proxy ARP sur les interfaces ether2 et ether3 d'un routeur MikroTik :

/interface ethernet set [Number] arp=proxy-arp /interface ethernet set 0 arp=proxy-arp /interface ethernet set 1 arp=proxy-arp Les deux commandes ci-dessus permettent respectivement sur les interfaces ether1 et ether2

d’activer

le

mode

proxy ARP

Mode Reply Only ●





En mode Reply Only, le routeur répondra à une diffusion ARP s'il a une réponse dans sa table ARP. Si le routeur n’a pas de bonne réponse, il ne répondra tout simplement pas. Pour fonctionner dans ce mode, les techniciens peuvent avoir à configurer des entrées ARP statiques pour les périphériques locaux sur le routeur, comme indiqué ci-dessous: /ip arp /ip arp> add mac-address=00:11:22:aa:bb:cc addresse=192.168.88.2 interface=ether2

3.5.Amorçage en réseau (Wake On LAN - WOL) ●





Connaître les adresses MAC et les méthodes d'extension d'ARP permet des utilisations intéressantes de l'outil WOL. L'outil WOL envoie un «paquet magique» à une adresse MAC et réveille l'hôte si cette fonctionnalité est activée sur l'interface réseau de l'hôte. La commande ci-après réveille un hôte dont l'adresse MAC est 0A:1B:2C:3D:4E:5F via l'interface ether2:

/tool wol interface=ether2 mac-address=0A:1B:2C:3D:4E:5F ●

Dans les versions plus récentes (ici version 6.47.1) de RouterOS, l'outil wol est disponible aussi via l'interface graphique du logiciel WinBox. ●

Menu Tools > wol

3.6.Noms de domaine et Enregistrement DNS ● ●



RouterOS peut jouer à la fois le rôle des serveurs DNS et des clients DNS. Sur les unités RouterBOARD ou les CHR(Cloud Hosted Router) virtuels avec un client DHCP fonctionnant sur l'interface WAN par défaut, une grande partie de la configuration DNS est déjà effectuée. Le routeur utilisera automatiquement les serveurs DNS en amont qui lui ont été fournis dynamiquement pour la résolution de noms. Des recherches de noms de domaine initiées par le routeur peuvent se produire lors des opérations suivantes: • Localisation des serveurs de mise à jour MikroTik. • Ping de noms de domaine connus pour le dépannage. • Résolution des adresses IP pour les noms de domaine utilisés dans les listes d'adresses.



Si un équipement tournant sous RouterOS n'est pas configuré pour recevoir automatiquement les adresses IP des serveurs DNS, alors sachez qu'il est simple de configurer des adresses IP de serveurs DNS.



La commande ci-après permet de configurer un routeur MikroTik pour qu'il se serve des serveurs DNS publique de Google pour la résolution des noms de domaines : /ip dns set servers=8.8.8.8,8.8.4.4

3.6.1.Router comme Serveur DNS ●



Pour permettre au routeur lui-même d'être utilisé comme serveur DNS, l'option «allow-remote-requests = yes» doit être définie. La figure ci-après montre une instance RouterOS avec des serveurs DNS statiques et dynamiques configurés et les requêtes distantes activées.

AVERTISSEMENT

Les serveurs DNS non sécurisés qui permettent des requêtes à distance à partir d'Internet peuvent être cooptés dans des attaques DDoS d'amplification DNS. Vérifiez les règles de pare-feu sur les interfaces réseau publiques avant d'activer cette fonctionnalité.

/ip dns set servers=8.8.8.8,8.8.4.4 allow-remote-request=yes

Si l'option "allow-remote-requests = yes" est définie, il est important de spécifier les serveurs de résolution de noms en amont et de les auditer périodiquement. Si quelqu'un est capable de modifier les serveurs DNS configurés, il pourrait détourner le trafic réseau et voler les informations de connexion. Le guide de l'implémentation technique de la sécurité des routeur d'infrastructure – STIG(Security Technical Implementation Guide) [1, Vul. ID V-3020] indique ce qui suit à propos de la configuration des serveurs DNS: ”Vérifiez la configuration de l'appareil pour vous assurer que les serveurs DNS ont été définis ; s'il a été configuré en tant que résolveur client (recherche de nom). Si le périphérique est configuré en tant que résolveur client et que les serveurs DNS ne sont pas définis, il s’agit d’une constatation. »

Au fur et à mesure que les utilisateurs du réseau effectuent des recherches de noms via le périphérique RouterOS, ces enregistrements seront mis en cache localement jusqu'à ce que leur durée de vie (TTL) expire. Dans Winbox, cliquez sur IP> DNS> Cache pour voir les enregistrements de nom mis en cache. Cette mise en cache locale peut entraîner une résolution de nom plus rapide pour les utilisateurs locaux. Les entrées mises en cache pour certains exemples de sites Web sont illustrées à la figure 8.11:

/ip dns cache print Flags: S - static #

NAME

TYPE

DATA

TTL

0 S router.lan A

192.168.88.1

1d

1 S shieldn... A

172.18.0.1

5m

2

c.whats... A

34.194.71.217

41m41s

3

c.whats... A

34.194.255.230

41m41s

4

c.whats... A

34.193.38.112

41m41s

5

c.whats... A

34.192.181.12

41m41s

6

whatsap... NS

b.ns.whatsapp.net

1d21h58m59s

7

whatsap... NS

a.ns.whatsapp.net

1d21h58m59s

8

a.ns.wh... A

66.111.48.12

16h58m11s

9

b.ns.wh... A

66.111.49.12

1d21h58m59s

-- [Q quit|D dump|down]

Rendez-vous au Module 3