TpWifi

De Le wiki des TPs RSM
TP
802.11 et la sécurité


Ce TP est composé de deux parties. Dans la première partie, nous allons constater la faiblesse de la sécurité WEP pour les réseaux Wifi en exploitant des outils pour craquer une clé WEP. Dans la seconde partie, nous mettrons en place une infrastructure 802.11i.

Mécanisme WEP

Dans cette première partie du TP, nous allons utiliser le système d’exploitation Linux et les outils aircrack-ng (http://www.tuto-fr.com/tutoriaux/tutorial-crack-wep-aircrack.php).

Démarrer les portables ASUS sur la première image Linux du menu (celle par défaut) et utiliser le login suivant :

login : tpwifi
mot de passe : tpwifi

Plus spécifiquement, il faudra utiliser les outils suivants :

  • airodump-ng : outil de captures de trames pour les outils aircrack-ng. Cette commande vous permettra d’observer les réseaux disponibles, d’identifier une cible, et d’enregistrer dans un fichier les trames circulant sur le réseau, afin de les utiliser par la suite pour déterminer la clé WEP.
  • aireplay-ng : outil permettant d’injecter du traffic dans une cellule 802.11 afin de générer des trames supplémentaires pour craquer plus rapidement le réseau
  • aircack-ng : Outil d’analyse d’un fichier de capture qui déterminera la clé WEP utilisée pour les trames enregistrées.
  • airdecap-ng : décrypte un fichier PCAP à l’aide d’une clé WEP

Ces commandes sont à utiliser en mode super-utilisateur (root) en ligne de commande (dans un terminal). Afin de voir les options qui sont disponibles, utiliser les pages de manuel, c’est-à-dire taper :

man <command> 

avec command = airodump-ng ou aireplay-ng ou aircrack-ng.

Pour observer le statut de l’interface sans fil, vous pouvez utiliser la commande iwconfig.

Il arrive que l’interface bug, et dans ce cas, elle n’est plus capable de capturer du traffic (plus rien ne s’affiche dans airodump-ng par exemple). Dans ce cas, il faut ré-initialiser le driver en tapant les commandes suivantes :

rmmod ath9k
modprobe ath9k

La démarche à suivre est la suivante :

  1. Mettre l’interface en mode promiscuous : airmon-ng start wlan0. Ensuite faire toutes les commandes sur l’interface mon0.
  2. Utiliser airodump-ng sans écrire dans un fichier, pour avoir un aperçu des réseaux Wifi disponibles
  3. Identifier le réseau que vous désirez craquer (sélectionner TPWIFI)
Question.jpg
Quelle est l’adresse MAC du point d’accès qui diffuse le SSID TPWIFI ?




Sur quel canal ce point d’accès opère ?


  1. Lancer airodump-ng en n’enregistrant que les trames du réseau cible (placer les bonnes options de filtre lors de l’appel à la commande, comme l’identification de l’AP, du canal, etc) et sauvegarder la trace dans un fichier (option -w)
  2. En parallèle, dans une autre fenêtre, on pourra choisir d’injecter du traffic pour accélérer le nombre de paquets recus. Pour cela, il faut utiliser aireplay de la manière suivante :
    • Attaque d’authentification (votre station tente de s’associer) :
aireplay-ng -1 0 -e TPWIFI -a <@_mac_AP> -h <@_mac_source> mon0
    • Attaque ARP (répétition des trames ARP observées) :
aireplay-ng -3 -e TPWIFI -b <AP_mac> mon0	
  1. Dans une autre fenêtre, utiliser aircrack-ng sur le fichier en cours d’écriture pour lancer l’algorithme de calcule qui déterminera la clé WEP. Si vous avez capturé suffisamment de trames, le programme vous retournera la clé WEP. Autrement, il vous indiquera qu’il n’y a pas assez de trames. Il faudra donc relancer aircrack-ng plus tard, lorsque plus de trames auront été capturées.
Question.jpg
Quelle est la clé WEP du réseau TPWIFI ?




  1. Tester la clé WEP découverte en configurant l’interface avec l’outil iwconfig ou l’outil Network Manager grâce au raccourci à droite dans la barre du haut.
  2. Analyser le fichier capturé => Ouvrir le fichier .cap dans Wireshark.
Question.jpg
Qu'observe-t-on ?




Dans toute la suite du TP, il est recommandé de lancer airodump sur le portable ASUS (avec les filtres adéquats pour cibler votre réseau), et de lire cette trace à l’aide de wireshark.

Mise en oeuvre des mécanismes de sécurité 802.11

Dans cette seconde partie du TP, nous allons installer et configurer différentes installations 802.11, en partant d’une installation ouverte sans sécurité, avec l’usage d’une clé WEP, avec l’usage de TKIP (WPA Personal) et enfin la mise en oeuvre d’un serveur radius avec la méthode d’authentification EAP/TLS basée sur des certificats.

Dans chaque étape, il faut utiliser le portable pour capturer le trafic (commande airodump et affichage par wireshark), éventuellement le décryptéer et observer les échanges de trames entre le point d’accès et le client pour identifier les messsages de connexion.

Plate-forme et identification des fonctionnalités

Le réseau est composé de :

  • Un ordinateur portable Asus sous linux qui servira principalement à la capture des trames 802.11
    • login : tpwifi
    • mot de passe : tpwifi
  • Un ordinateur fixe sous debian (celui à côté du mur) sur lequel sera installé le serveur RADIUS (dernière méthode d’authentification).
    • login : radius
    • mot de passe : pass4radius
  • Un point d’accès Cisco Aironet 802.11a/b/g (ou autre modèle de point d’accès)
  • Un ordinateur fixe sous Windows XP pour TP sécurité, qui sera notre client 802.11
    • login : u8021X
    • mot de passe : u8021X

Le PC serveur et le point d’accès doivent être branchés sur le Switch sur les ports 1 et 2 par exemple, et le switch doit être branché sur le port Ethernet du réseau de la salle (réseau 10.27.0/16).

Dans la suite du TP, l’ensemble des manipulations du point d’accès est donné pour le matériel Cisco. Si vous utilisez un autre AP, il faut essayer de mettre en place les mêmes fonctionnalités en fouillant dans les configurations possibles.

Mise en place d’un réseau ouvert

Dans cette première étape de TP, nous allons mettre en place un réseau 802.11 ouvert, sans authentification, ni cryptage. Ouvrir un navigateur Web sur le PC serveur, et entrer l’adresse du point de votre point d’accès (voir tableau) pour entrer dans la configuration du point d’accès. Il vous faudra alors entrer les identifiants par défaut pour se connecter :

login: Cisco
mot de passe : Cisco

___Note : il faut ajouter ici un tableau avec les adresses MAC des AP et les canaux sur lesquels ces APs pourront fonctionner pour éviter d'avoir tout le monde dans le même canal___

Suivre les étapes suivantes pour le configurer :

  • Un AP Cisco doit être configuré avec un VLAN natif, qu’il faut donc créer obligatoirement. Aller dans SERVICES, puis VLAN et entrer un numéro de VLAN ID (1 par exemple) et cocher les cases Native VLAN et RAdio0-802.11G
  • En cliquant à présent sur SECURITY dans le menu de gauche, on peut voir le VLAN qui a été crée.
  • Création de l’identifiant réseau SSID : dans le menu SECURITY / SSID Manager, ajouter le SSID de votre choix, dans le VLAN défini précédemment (e.g., 1), sur l’interface radio 802.11G et cliquer sur le premier bouton Apply de la page.
  • Puis, toujours sur cette même page (une fois qu’elle aura été rechargée, en cliquant sur le SSID que vous avez crée), aller tout en bas dans la section Guest Mode/Infrastructure SSID Settings et permettre la diffusion du SSID. Pour cela, dans l’option set Beacon Mode de la radio 802.11G, dans l’option Set Single Guest Mode SSID, sélectionner votre SSID (à la place de None) et cliquer sur Apply.
  • Régler la puissance d’émission du point d’accès. Aller dans le menu NETWORK INTERFACES/Radio0-802.11G et dans l’onglet settings. Régler CCK Transmitter Power et OFDM Transmitter Power à -1 et valider.
  • Toujours sur cette page de Settings, sélectionné le canal indiqué dans le tableau ci-dessus pour le point d’accès dans le paramètre Default Radio Channel.

A présent le réseau est configuré et prêt à être utilisé. Pour le vérifier, lancer la capture de trames sous le portable (airodump-ng avec les filtres adéquats). Configurer ensuite le client windows sur le PC client en affichant les réseaux disponibles (Panneau de configuration/Connexion Réseau/Connexion réseau sans fil). Si nécessaire, cliquer sur l’option Afficher les réseaux sans fil. Le réseau crée (avec le SSID renseigné) devrait apparaître. Cliquer dessus, et cliquer Connecter.

Une fois que la connexion est établie, arrêter la capture sur le portable et ouvrir le fichier de trace .cap dans wireshark.

Question.jpg
Dessiner ci-dessous l’échange de messages de connexion, avec le type d’authentification relevé dans les trames.




Mise en place d'un clé WEP

Pour la mise en place d’un réseau 802.11 avec clé WEP, nous allons repartir de la configuration précédente ouverte, et simplement ajouter une clé WEP à cette configuration. Pour cela, il faut aller dans le menu SECURITY/Encryption Manager, et sélectionner WEP Encryption, Mandatory et dans la section des clés, indiquer la clé dans Encryption Key 1 de 40 (10 hexadecimal) ou 104 (26 hexadécimal). Appliquer ces changements.

Observer les changements en cliquant dans le menu de gauche SECURITY.

A présent le client ne devrait plus être en mesure de faire un ping.

Lancer la capture de trames sur le portable (airodump-ng) en enregistrant la trace dans un fichier. Pour configurer le réseau, à partir de la fenêtre Etat de la connexion sans fil, cliquer sur Propriétés. Dans l’onglet Configuration réseaux sans fil, sélectionner votre réseau et cliquer sur Propriétés. Dans la section Clé de réseau sans fil, changer les paramètres d’authentification réseau et de cryptage tels que configuré sur votre point d’accès. En validant ces choix, le PC client devrait se connecter automatiquement à votre réseau. Si ce n’est pas le cas, ré-afficher les réseaux disponibles et choisir de se connecter à son réseau.

Une fois que la connexion est établie, arrêter la capture sur le portable et ouvrir le fichier de trace .cap dans wireshark.


Question.jpg
Dessiner ci-dessous l’échange de messages de connexion, avec le type d’authentification relevé dans les trames. Quelle est la différence avec l’échange précédent ?




A présent, nous allons ajouter l’authentification par la connaissance d’une clé partagée (WEP). Aller dans le menu SECURITY/SSID Manager, et sélectionner l’option Shared Authentication. et décocher Open Authentication. Appliquer les changements, et changer les propriétés sur le PC client.

Capturer l’association avec le portable et ouvrir la trace dans Wireshark


Question.jpg
Dessiner ci-dessous l’échange de messages de connexion, avec le type d’authentification relevé dans les trames. Quelle est la différence avec l’échange précédent ?




Mise en place de WPA Personal - WPA PSK

Au cours de ce TP, nous allons paramètrer différents mécanismes dans le routeur pour mettre en place de la qualité de service dans le réseau. Le but est de mettre en place les éléments intervenant dans l'architecture DiffServ et de vérifier la protection offerte par ce protocole.

Architecture du TP

Voici l'architecture réseau que vous allez mettre en place.

ArchitectureAddr.png

L'architecture à mettre en oeuvre a pour but de placer le routeur CISCO 1800 au centre des communications. La politique de QoS sera appliqué sur son interface de sortie vers le réseau client. Le rôle du réseau serveur est à la fois d'envoyer le flux vidéo vers le client mais aussi de véhiculer le flux de charge qui devra perturber le réseau. Ces flux seront agrégés dès le commutateur Cisco 3560.

Red arrow.png Repérez le PC serveur, le plus proche du milieu de la salle, et le PC client, proche des fenêtres ou du mur, selon le côté de la salle où vous vous trouvez.

Ces deux réseaux IPv6 seront gérés par un routeur Cisco 1800. Ce routeur sera connecté au réseau d'interconnexion de la salle pour fournir la connectivité IPv6 à votre banc.

Red arrow.png Repérez le routeur Cisco 1800.

Plan d'adressage

Red arrow.png Câbler le réseau suivant:

  • le PC 1 - Serveur (à gauche) est connecté au commutateur:
    • par la liaison série (bleu clair)
    • par Ethernet entre la carte eth0 et le port 1
    • par Ethernet entre la carte eth1 et le port 8 (cette liaison servira pour analyser le trafic)
  • le PC 2 - Client (à droite) est connecté:
    • au routeur par un câble croisé entre la carte eth0 et l'interface fe0/0
    • au routeur par la liaison série
  • le routeur est connecté:
    • au PC2 - Client sur l'interface fe0/0 par un câble croisé
    • au commutateur entre l'interface fe0/1 et le port GigaEthernet de droite (1).

QoS base plan.png


Câblage

  • le port Fe0/0 du routeur est connecté avec un câble croisé à l'interface eth0 du PC de droite
  • le port Fe0/1 du routeur est connecté au port 1 (GigaEthernet) du commutateur
  • le port 1 (FastEthernet) du commutateur est branché sur l'interface eth0 du PC de gauche
  • le port 8 (FastEthernet) du commutateur est branché sur l'interface eth1 du PC de gauche

Plan d'adressage

Pour le réseau serveur du banc, le plan d'adressage sera le suivant :

  • le premier octet vaut 10
  • le deuxième octet représente le numéro de votre salle de TP (27 ou 30)
  • le troisième octet représente le numéro de votre banc de TP,
  • le dernier octet désigne un des équipements du poste de travail (1 pour le PC et 126 pour le routeur).

Le plan d’adressage choisi pour le réseau client du banc est le suivant:

  • le premier octet vaut 10
  • le deuxième octet représente le numéro de votre salle de TP (27 ou 30)
  • le troisième octet représente le numéro de votre banc de TP,
  • le dernier octet désigne un des équipements du poste de travail (129 pour le PC et 254 pour le routeur).
Stylo.png
Donner l'adresse IP et sa longueur de préfixe pour les équipements suivants :




  • routeur Fe 0/0 :


  • routeur Fe 0/1 :


  • commutateur :


  • PC de gauche :


  • PC de droite :


Stylo.png
Quel est le préfixe et netmask associé au :
  • réseau serveur de votre banc :


  • au réseau de votre banc :


Mise en mode mirroring du commutateur

Pour se connecter au switch:

Red arrow.png Dans la fenêtre du PC client, lancer le terminal série pour configurer le switch

# minicom cisco

Red arrow.png Taper retour chariot, si vous voyez les lignes suivantes apparaître, repondez yes pour passer en mode configuration non assistée, sinon vous deviez voir directement l'invite Switch>

Would you like to terminate autoinstall? [yes]: yes


         --- System Configuration Dialog ---

Would you like to enter in the initial configuration dialog? [yes/no]: no
Switch>

Le commutateur est prêt à être configuré.

Pour pouvoir visualiser le trafic sur le commutateur, nous devons placer le port 8 du commutateur en mode mirroring.

Red arrow.png Sur le PC de gauche taper les commandes suivantes :

Switch# configure terminal
Switch(config)#
Switch(config)#monitor session 1 source vlan 1
Switch(config)#monitor session 1 destination interface Fa0/8
Switch(config)#exit
Switch#write
Building configuration...
[OK]

Mise en place du plan d'adressage

Red arrow.png Configurez les PC Serveur et Client et les interfaces du routeur CISCO 1800 pour mettre en oeuvre le plan d'adressage (pensez à positioner les netmasks et les routes par défaut)

La qualité de service (QoS)

Stylo.png
Sous quelle condition du réseau la qualité de service est-elle utile ?




Stylo.png
Quelle conséquence pour la maquette ? Que faut-il faire pour mettre en évidence les mécanismes de QoS ?




Configuration de la politique de QoS

Mise en place du traffic policing

Le but de cette section est de configurer le contrôle de trafic sur l’interface de sortie du cisco.

Stylo.png
SLa politique de qualité de service est mise en place sur l’interface de sortie du routeur. Pourquoi ?




Stylo.png
Quelle est le rôle du mécanisme de contrôle de trafic ?




Stylo.png
Quelle est la conséquence pour le flux ?




Stylo.png
Un sceau à jeton est-il adapté à ce mécanisme ?




Limitation de la taille du lien

Paramétrer le sceau à jeton pour limiter artificiellement la capacité du réseau. La commande est la suivante :

rate-limit {input | output} bps burst-normal burst-max
conform-action action exceed-action action
avec
	input/output : indique si on applique le mécanisme aux paquets entrants ou sortants
 	bps : débit moyen du trafic conforme 
	burst-normal : taille de la rafale considérée conforme
	burst-max
 : taille maximale de la rafale
	conform-action : spécifie l’action à appliquer si le flux est conforme 
	exceed-action : spécifie l’action à appliquer si le flux n’est pas conforme
	action : les actions possiblessont :
            continue : on ne fait rien et on évalue la commande rate-limit suivante
            drop : jette les paquets
            set-prec-continue : change le marquage des paquets et applique l’action continue.
            set-prec-transmit new-prec : change le marquage des paquets et applique l’action transmit.
            Transmit : transmets les paquets


Red arrow.png Configurez le seau à jeton et donc le débit en entrée (CAR committed access Rate). Taper dans le shell console du CISCO :

Router# configure terminal
Routerconfig)#interface fastEthernet 0/1
Router(config-if)#rate-limit input 5000000 500000 1000000 conform-action transmit exceed-action drop
Router(config-if)#exit
Router(config)#exit
Router#write
Building configuration...
[OK]


Red arrow.png vérifiez que la commande a bien été exécutée en tapant :

Router# show configuration

Test du trafic de charge

Afin de perturber le réseau, un trafic de charge est introduit grâce à l'application iperf. Il entrera en concurrence avec le flux vidéo sur le réseau.

Red arrow.png Sur le PC client, activez le client du générateur de trafic iperf qui va recevoir le flux de charge :

# iperf –s –u –p 5000

Red arrow.png L Sur le PC Serveur, lancer la génération d’un trafic de fond UDP de 10 Mbits/s pendant 10 secondes sur le port 5000 du PC Client

# iperf –c adresse_PC_Client –u –b 10m –t 10 –p 5000
Question.jpg
Quel est le résultat de la commande ? Interprétez les valeurs données par iperf.




Red arrow.png Arrêtez le client iperf sur le PC Client

Etape 2 : Evaluation en mode Best Effort

L'objectif de cette section est de mesurer l'impact du flux de charge sur la diffusion vidéo de manière subjective.

Mesure subjective de la QoS sans perturbation

Red arrow.png Lancez vlc en réception sur le port 5001 du PC Client

# vlc  udp://@:5001

Red arrow.png Lancez vlc sur le PC serveur

# vlc 

Red arrow.png Configurez vlc sur le PC serveur pour qu'il envoie un flux vidéo en UDP sur le port 5001 du PC Client. Pour cela ouvrez le flux vidéo "Lion_seul.mpg" stocké dans le Desktop et cochez la case de streaming puis configurez les paramètres UDP

Red arrow.png Lancez la diffusion de la vidéo par la commande Play

Question.jpg
Que constatez vous ? Quelle est la qualité de la réception ?




Mesure subjective de la QoS avec la perturbation du flux de charge

Red arrow.png Sur le PC client, activez le client du générateur de trafic iperf qui va recevoir le flux de charge :

# iperf –s –u –p 5000

Red arrow.png Relancez la diffusion de la vidéo par la commande Play

{{action|Quant le flux est en cours de diffusion, lancer le trafic de fond en portant la bande passante occupée par le flux à 4M : }

# iperf –c adresse_PC_Client –u –b 8m –t 10 –p 5000


Question.jpg
Que constatez vous ? Quelle est la qualité de la réception ?




Etape 3 : Mise en place de DiffServ

Stylo.png
Les applications utilisées dans ce TP ne savent pas marquer la classe de service dans les paquets qu’ils envoient. Quel mécanisme faudra-t-il donc employer ?




Le marquage

Dans cette section, vous allez mettre en place les filtres qui permettront d'attribuer la marque aux paquets.

Red arrow.png Taper dans le shell console du CISCO :

Router# configure terminal
Router(config)#access-list 110 permit udp any any eq 5000
Router(config)#access-list 111 permit udp any any eq 5001
Router(config)#access-list 112 permit udp any any eq 5002
Router(config)#exit
Router#write
Building configuration...
Router#show configuration
[OK]
Question.jpg
Quelles sont les valeurs des champs permettant d'identifier un flux ?




Red arrow.png Lancez Wireshark (mode root) sur le PC Client et configurer la capture pour ne voir que les paquets IP de l'interface eth0

Red arrow.png Lancez trois flux de charge du PC Serveur vers le PC Client respectivement sur les ports 5000, 5001 et 5002 et complétez le tableaux suivant :

{{{9}}}
Flux envoyé sur le port Valeur du champ DSCP Classe de service du paquet
5000





5001





5002





Mise en place du marquage

Maintenant que l’identification des paquets est faite, il faut configurer les classes de services. Pour ce TP nous configurerons 3 classes :

  • UDP pour le trafic de streaming vidéo
  • TCP pour le trafic TCP
  • Background pour le trafic de charge
  • Par défault, tous les autres trafics seront Best Effort

Red arrow.png Tapez dans le shell console du CISCO :

Router# configure terminal
Router(config)#class-map Background
Router(config-cmap)#match access-group 110
Router((config-cmap)# exit
Router(config)#class-map UDP
Router(config-cmap)#match access-group 111
Router((config-cmap)# exit
Router(config)#class-map TCP
Router(config-cmap)#match access-group 112
Router((config-cmap)# end
Router#write
Building configuration...
Router#show configuration
[OK]

Red arrow.png Configurez le marquage en définissant une politique de service :

Router# configure terminal
Router(config)#policy-map Marquage
Router(config-pmap)#class TCP
Router((config-pmap-c)# set dscp ? 
Router((config-pmap-c)# set dscp af11 
Router((config-pmap-c)# exit
Router(config-pmap)#class UDP
Router((config-pmap-c)# set dscp af21 
Router((config-pmap-c)# exit
Router(config-pmap)#class Background
Router((config-pmap-c)# set dscp af31 
Router((config-pmap-c)# exit
Router((config-cmap)# exit
Router(config)#interface fastEthernet 0/0
Router(config-if)#service-policy output Marquage
Router(config-if)#exit
Router(config)#exit
Router#write
Building configuration...
Router#show configuration
[OK]

Red arrow.png Vérifiez avec Wireshark que la configuration est efficace. Complétez le tableau :

{{{9}}}
Flux envoyé sur le port Valeur du champ DSCP Classe de service du paquet
5000





5001





5002





Étape 4 : La mise en conformité des flux

La mise en conformité d’un flux permet de décrire le comportement nominal du flux et d’indiquer les actions à faire en cas de dépassement de volume du flux. Chez CISCO cela se fait en définissant un CAR : « Committed Access Rate »

Red arrow.png Configurez le CAR :

Router# configure terminal
Router(config)#policy-map CAR
Router(config-pmap)#class TCP
Router((config-pmap-c)# police 500000 
Router((config-pmap-c-police)# conform-action set-dscp-transmit af11 
Router((config-pmap-c-police)# exceed-action set-dscp-transmit af12 
Router((config-pmap-c-police)# violate-action set-dscp-transmit af13
Router((config-pmap-c-police)# exit
Router(config-pmap)#class UDP
Router((config-pmap-c)# police 2000000 
Router((config-pmap-c-police)# conform-action set-dscp-transmit af21 
Router((config-pmap-c-police)# exceed-action set-dscp-transmit af22 
Router((config-pmap-c-police)# violate-action set-dscp-transmit af23
Router((config-pmap-c-police)# exit
Router(config-pmap)#class Background
Router((config-pmap-c)# police 200000 
Router((config-pmap-c-police)# conform-action set-dscp-transmit af31 
Router((config-pmap-c-police)# exceed-action set-dscp-transmit af32 
Router((config-pmap-c-police)# violate-action set-dscp-transmit af33
Router((config-pmap-c-police)# exit
Router(config-pmap-c)#exit
Router(config-pmap)#exit
Router(config)#interface fastEthernet 0/1
Router(config-if)#no service-policy input Marquage
Router(config-if)# no rate-limit input 5000000 500000 1000000 conform-action transmit exceed-action drop
Router(config-if)#service-policy input CAR
Router(config-if)#exit
Router(config)#exit
Router#write
Building configuration...
Router#show configuration
[OK]

Red arrow.png Refaites un test et regardez le résultat avec Wireshark

Question.jpg
Que constatez vous ?




Étape 5 : La politique de service

Après avoir défini et configuré les classes, il faut configurer la différentiation de service c’est à dire les services spécifiques qui seront offerts à chaque classe par l’intermédiaire d’une politique de service.

Red arrow.png Configurez la politique de service

Router# configure terminal
Router(config)#policy-map QoS
Router(config-pmap)#class TCP
Router((config-pmap-c)#bandwidth percent 10 
Router(config-pmap-c)#exit
Router(config-pmap)#class UDP
Router((config-pmap-c)#bandwidth percent 75 
Router(config-pmap-c)#exit
Router(config-pmap)#class Background
Router((config-pmap-c)#bandwidth percent 5 
Router(config-pmap-c)#exit
Router(config-pmap)#exit
Router(config)#interface fastEthernet 0/1
Router(config-if)#service-policy output QoS
Router(config-if)#exit
Router(config)#exit
Router#write
Building configuration...
Router#show configuration
[OK]
Question.jpg
Que constatez vous ?




La raison de ceci est donnée par le constructeur : « The default maximum reservable bandwidth value of 75 percent is designed to leave sufficient bandwidth for overhead traffic, such as routing protocol updates and Layer 2 keepalives. It also covers Layer 2 overhead for packets matching defined traffic classes or the class-default class. »

http://www.cisco.com/en/US/tech/tk543/tk757/technologies_tech_note09186a0080103eae.shtml

« By default, 75 percent of the interface bandwidth can be used for fancy queueing. If this percentage needs to be changed, the max reserved bandwidth command can be used to specify the amount of bandwidth that is allocated to fancy queueing. The formula for calculating the available bandwidth is:

Available Bandwidth = (max reserved bandwidth * interface bandwidth) - (sum of priority classes)

This formula is used only if the policy map is configured and also the policy map should be applied to the corresponding interfaces. If the policy map is not configured, the formula to calculate the available bandwidth is:

Available Bandwidth = (max reserved bandwidth * interface bandwidth)» http://www.cisco.com/warp/public/121/max_reserved.html

Red arrow.png Configurez la politique de service

Router# configure terminal
Router(config)#interface fastEthernet 0/1
Router(config-if)#max-reserved-bandwidth 95
Router(config-if)#exit
Router(config)#policy-map QoS
Router(config-pmap)#class TCP
Router((config-pmap-c)#bandwidth percent 10 
Router(config-pmap-c)#exit
Router(config-pmap)#class UDP
Router((config-pmap-c)#bandwidth percent 75 
Router(config-pmap-c)#exit
Router(config-pmap)#class Background
Router((config-pmap-c)#bandwidth percent 5 
Router(config-pmap-c)#exit
Router(config-pmap)#exit
Router(config)#interface fastEthernet 0/1
Router(config-if)#service-policy output QoS
Router(config-if)#exit
Router(config)#exit
Router#write
Building configuration...
Router#show configuration
[OK]

Red arrow.png Refaites le test d’envoi de streaming vidéo avec du trafic de charge iperf en concurrence

Question.jpg
Que constatez vous ?
  • Pour le streaming ?




  • Avec Wireshark ?




  • Avec iperf ?




Étape 6 : Le contrôle de congestion dans les files d’attentes

Stylo.png
Quel mécanisme est utilisé dans les files d’attente pour gérer la congestion ? Que doit faire ce mécanisme ?


Stylo.png
Comment cela va-t-il se traduire pour les différents types de paquets marqués qui vont passer dans la file d’attente ?



Remise à zéro des bancs

Red arrow.png Déconnectez tous les câbles réseaux entre les équipements et la baie de brassage.

Red arrow.png Sur le routeur et le commutateur, effacez les configurations avec la commande suivante :

Switch#write erase
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] <return>
[OK]
Erase of nvram: complete
Switch#
3d23h: %SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram
Switch#reload

System configuration has been modified. Save? [yes/no]: no
Proceed with reload? [confirm]<return>
...
Would you like to terminate autoinstall? [yes]: yes


        --- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]: no
Switch>

Red arrow.png Eteignez les PCs avec la commande :

# shutdown

Broadcast message from root@pc-b27-21 (pts/3) (Mon Aug 11 17:44:28 2008): 

The system is going down for reboot NOW!
Outils personnels