CONFIGURATION D'UN VPN-IPSEC POUR ROUTEUR CISCO

04-04-2007

Une entreprise peut avoir besoin d’une connexion WAN entre deux sites.
Dans certains cas (liaison de secours ou liaison WAN pas cher) nous pouvons utiliser un tunnel IPSEC.
IPSEC est une technologie VPN qui fonctionne sur la couche3 du model OSI. C’est aussi un standard
IETF, ce qui signifie que nous pouvons l’utiliser entre des équipements de différents fabricants.

Les VPN IPSEC permettent :

Une authentification de chaque paquet IP.
Une vérification de l’intégrité des données de chaque paquet.
De rendre confidentiels les données de chaque paquets IP.

IPSEC est un “framework” qui spécifie plusieurs protocoles a utiliser afin de fournir un standard de
sécurité.

Les protocoles spécifiés par IPSEC sont :

Internet Key Exchange : IKE

IKE va nous permettre de négocier des paramètres de sécurités et créer les clés d’authentification
utilisée par le VPN. IKE va permettre d’établir un échange de clé de manière sécurisé sur un réseau «
non sécurisé ».

Encapsulating Security Payload: ESP

Le plus utilisé par IPSEC, ESP va encrypté les données. ESP protége également contre des attaques
basées sur du traffics « replayed ».

Authentication Header : AH
AH fournit de l’authentification de la donnée. Il est peut utilisé , ESP étant plus efficace et cryptant le
tout.

Plus tard dans notre configuration nous utiliserons ESP puisqu’il permet de crypter les données en
utilisant DES, 3DES ou AES. AH ne permet pas cela

Les VPN IPSEC utilisent le protocole IKE afin d’établir une communication sécurisé entre deux « peers
» a travers un réseaux non sécurisé. IKE utilise l’algorithme de DIFFIE-HELLMAN afin d’échange des
clés symétriques entre deux « peers » et de configurer les paramètres de sécurités associé au VPN. IKE
utilise le port UDP 500 et envoie des « keepalive » toutes les 10 secondes.

IKE:
- Elimine le besoin de spécifier manuellement tous les paramètres de sécurités sur chaque « peer ».
- Permet de configuré une durée de vie pour le SA (security association) de IPSEC .Une SA est un «
ensemble de contrat de sécurité ».
- Permet de changer les clés d’encryptions pendant la session IPSEC.
- Permet de fournir des services « anti-replay ».
- Supporte l’architecture PKI.
- Permet une authentification dynamique de chaque peer.

Apres ces quelques explications nous allons voir comment configurer un VPN IPSEC.

Nous avons deux sites (Paris et Chine). Nous avons déjà une connexion WAN qui fonctionne entre les
deux sites. Nous souhaitons configurer une connexion VPN entre PARIS et CHINE qui servira de
connexion de secours. Nous décidons d’utiliser notre connexion Internet qui coûte moins cher qu’une
connexion ISDN. Mais pour cela nous devons crypter notre trafic.
Voici les différentes étapes de configuration :

1. Définir les règles de sécurité ISAKMP

2. Configurer les « transform set »
3. Configurer une ACL qui spécifiera quel trafic peut/doit emprunter le VPN.
4. Configurer une « Crypto-map »
5. Appliquer la « Crypto-map » sur l’interface
6. Configurer une ACL si besoin sur l’interface « outside » (en option)

Nous devrons exécuter ces étapes de configurations sur les routeurs de PARIS et CHINE.

Définir une règle de sécurité ISAKMP

Nous devons d’abord activer le moteur « isakmp »en utilisant la commande :

CHINA(config)# crypto isakmp enable

PARIS(config)# crypto isakmp enable

Nous utiliserons la commande suivante afin d’activer le moteur « software » au cas ou notre routeur ne
disposerait pas de moteur « hardware ».

CHINA (config)# crypto engine software ipsec

PARIS (config)# crypto engine software ipsec

Dans cet article nous utiliserons une « clé partagé » (Pre Shared Key) pour l’authentification. Elle doit
être associer à un « peer » distant qui utilise la même « clé partagé ». (Ici la PSK est labo-cisco).

CHINA (config)#crypto isakmp key labo-cisco address 192.168.0.6

PARIS(config)# crypto isakmp key labo-cisco address 192.168.0.1

Nous allons maintenant utiliser les paramètres suivant pour notre VPN sur les deux routeurs:

Authentication mode : Pre shared key (Nous pouvons aussi utiliser des « Username & Password »,
OTP, ou des certificats).
Hash Method : SHA (md5 or sha)
Encryption type : AES 192 (DES est par défaut , l’encryption AES peut utiliser de 128 à 256 bits )
Diffie-Hellman group à utiliser : 1 or 2 (group 1 est basé sur 768-bit et group 2 est basé sur 1024 bits).
Lifetime of the exchanged key : Nous utiliserons 3600 pour 1 heure.( Par défaut le compteur est à 86400
seconds = 1 journée )

Donc au final nous configurerons nos routeurs comme cela :

CHINA(config)#crypto isakmp policy 1

CHINA (config-isakmp)# encr aes 192
CHINA (config-isakmp)# authentication pre-share
CHINA (config-isakmp)# group 2

PARIS(config)#crypto isakmp policy 1

PARIS (config-isakmp)# encr aes 192
PARIS (config-isakmp)# authentication pre-share
PARIS (config-isakmp)# group 2

Configuration des « transform-set »

Une « transform set » est une combinaison d’algorithme et protocoles de sécurité « acceptable » .
Les « peers » essairont de trouver la meilleurs combinaison possible selon les configurations et
capacité de chaque point de chute du VPN en se basant sur les « transform set » disponible

Configuration:
CHINA (config)#crypto ipsec transform-set TSET esp-aes 192
PARIS (config)#crypto ipsec transform-set TSET esp-aes 192

* TSET est le nom du « transform-set » situé sur le routeur (portée locale)

* “esp-aes” précise que nous allons encrypter en utilisant ESP et AES.
* “192” est le nombre de bits utiliser pour le cryptage.

Apres avoir entré cette commande nous avons un nouveau mode de configuration ou nous pouvons
configurer notre VPN en mode « Transport » ou « Tunnel »
Le mode « Tunnel » encryptera tout le « datagram » (y compris les IP sources et destination, gênant
ainsi la QOS) alors que le mode « Transport » encryptera seulement la donnée présente dans le
paquets IP (peut poser un problème de sécurité car une personne malveillante peut ainsi voir les vrai IP
sources et destination de chaque paquet IP).

Ici nous allons utiliser le mode « Tunnel » :

CHINA(config)#mode tunnel
PARIS(config)#mode tunnel

Configurer une ACL qui spécifiera quel trafic peut/doit emprunter le VPN

Ici nous allons autoriser le traffic depuis le lan de PARIS vers le lan de CHINE.
Il faut utiliser une ACL étendue.

Sur Chine :

CHINE (config)#access-list 101 permit ip 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255

Et sur Paris :
PARIS(config)#access-list 101 permit ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
Configurer la « crypto-map »

Une « crypto-map » est comme un profil, qui va associer les ACL (crypto-ACL) , « transform-set »
configuré précédemment avec l’adresse IP du « peer » distant.

Sur CHINA nous entrerons les commandes suivante :

CHINA(config-crypto-map)#crypto map VPN-2-MAIN 10 ipsec-isakmp

match address 101
CHINA (config-crypto-map)#set peer 192.168.0.6
CHINA(config-crypto-map)#set transform-set TSET

Et sur Paris :
PARIS (config-crypto-map)#crypto map VPN-2-Remote 10 ipsec-isakmp
match address 101
PARIS (config-crypto-map)#set peer 192.168.0.1
PARIS (config-crypto-map)#set transform-set TSET

Appliquer la « Crypto-map » sur l’interface

PARIS(config-if)#crypto map VPN-2-Remote

CHINE(config-if)#crypto map VPN-2-MAIN

Voici la maquette utilisée pour tester cette configuration :

La version d' IOS utilisé est la 12.4(1).

Comme nous pouvons le voir dans la table de routage tout trafic provenant du LAN 10.0.1.0/21 vers
10.0.2.0/24 utilisera la liaison WAN principale.
Si celle-ci est inutilisable, rien ne se passera même si nous avons configuré le VPN IPSEC sur les deux
routeurs.
Nous pouvons ajouter une route statique flottante (AD plus grande que l’AD de RIP) qui peut ainsi
relayer la liaison principale arrête de fonctionner.

Il suffit de tapper:

PARIS(config)#ip route 10.0.1.0 255.255.255.0 192.168.0.1 140

CHINE(config)#ip route 10.0.2.0 255.255.255.0 192.168.0.6 140

Nous pouvons tester cela:

Sur l’ordinateur A nous faisons un « traceroute » vers l’ordinateur B :

Maintenant nous allons tester la route statique flottante quand la liaison principale est non utilisable.

Faisons un autre « traceroute » afin de confirmer que nous utilisons bien notre VPN.
CONFIGURATION DE RADIUS SUR ROUTEUR CISCO

31-03-2007
Page 1 sur 3
RADIUS (Remote Authentication Dial-In User Service) est un protocole client-serveur permettant
de centraliser des données d'authentification. RADIUS est supporté par toutes les plateformes
CISCO.

Dans cet article nous allons voir comment configurer un routeur Cisco afin qu'il puisse
communiquer avec un serveur RADIUS sur le réseau. Dans un premier temps nous verrons
comment identifier les environnements appropriés et inappropriés à l'utilisation de ce system de
sécurité. Ensuite nous verrons son fonctionnement. Puis nous traiterons de la configuration de
RADIUS à l'aide du jeu de commandes AAA (Authentication, Authorization and Accounting). Enfin
nous proposerons deux exemples de configuration.

NB : Afin de les changements prennent effet, ne pas oublier d'utiliser la commande copy
running-config startup-config.

1/ Quand utiliser l'authentification RADIUS?

1.1/ Les environnements appropriés à l'utilisation de RADIUS :

Les réseaux comportant de multiples serveurs d'accès.

Les réseaux utilisant déjà RADIUS

Les réseaux dans lesquels un client ne peut accéder qu'à un seul service.
Les réseaux qui requièrent un compteur de ressources.

1.2/ Les environnements inappropriés à l'utilisation de RADIUS :

Les environnements d'accès multi protocoles.

Radius ne supporte pas les protocoles suivants : AppleTalk Remote Access Protocol
(ARA), NetBIOS Frame Control Protocol (NBFCP), NetWare Asynchronous Services Interface
(NASI), X.25 PAD connections.
Les réseaux utilisant une variété de services.

2/ Fonctionnement de RADIUS

Lorsqu'un utilisateur tente de se connecter et de s'authentifier à un serveur d'accès utilisant

RADIUS, les étapes suivantes se produisent:

L'utilisateur est invité à rentrer son nom d'utilisateur et son mot de passe.
Le nom d'utilisateur et le mot de passe sont encrypté et envoyés à travers le réseau au
serveur RADIUS
L'utilisateur reçoit l'une des réponses suivantes de la part du serveur RADIUS :

ACCEPT (l'utilisateur est authentifié)

REJECT (l'utilisateur est invité à retaper son nom d'utilisateur et mot de passe ou bien
l'accès est refusé)
 CHALLENGE (des données supplémentaires sont collectées chez l'utilisateur)
CHANGE PASSEWORD (l'utilisateur est invité à choisir un nouveau mot de passe)

CONFIGURATION D’UN VPN SITE-A-SITE SUR UN PIX

28-03-2007
Page 1 sur 4
Cette article vous guidera pas à pas pour configurer un VPN sur un PIX.

INTRODUCTION:
Les réseaux privés virtuels (VPN) permettent d'interconnecter des réseaux
géographiquement éloignés en passant par le réseau public d'Internet. Les VPN fournissent une
solution fiable, à faible coût et permettent une administration plus aisé que les WAN
traditionnelles basées sur du Frame-relay ou des connexions par modems. Les VPN maintiennent
une sécurité identique aux réseaux privés et permettent ainsi aux utilisateurs d'accéder aux
ressources de leur entreprise depuis n'importe quel endroit muni d'Internet.
L'utilisation des VPN de type accès distant (remote access) fait partie d'une nouvelle
dynamique de travail puisque cela permet aux salariés d'une entreprise, par exemple, de se
connecter au réseau interne de l'entreprise depuis leur domicile. Cependant, comme toute
connexion à distance, cela pose certains problèmes de sécurité puisque les communications
passent par Internet : les pare-feux de la gamme Cisco, les PIX, offrent la possibilité de palier à ce
problème en utilisant des algorithmes de cryptage connus pour leur efficacité : AES, 3DES, MD5,
...

Un PIX Firewall peut être configuré tel un Easy VPN Server, c'est-à-dire que l'on va le
configurer de manière à ce qu'il contienne des règles VPN qui vont être envoyé à de multiples
dispositifs clients VPN : l'avantage est que l'on va configurer un seul PIX (qui va agir tel un
serveur) et donc centraliser les différentes règles VPN.
Cependant, un Easy VPN Server ne va accepter des connexions que de dispositifs clients
qu'il supporte, qui peuvent être de type logiciel ou de type matériel. En voici la liste :

clients logiciels : ces clients sont directement connectés au PIX faisant office d’Easy VPN Server par le
biais d’Internet, et requièrent l’installation d’un logiciel spécifique :

<!--[if !supportLists]--><!--[endif]-->Cisco VPN Client version 3.x

Cisco VPN 3000 Client version 2.5

clients matériels : un Easy VPN Server est capable d’accepter la connexion de multiples clients
matériels dont voici la liste :

<!--[if !supportLists]-->PIX 501 / 506 / 506E

<!--[if !supportLists]-->Cisco VPN 3002
<!--[if !supportLists]-->Certains routeurs de la gamme Cisco dont l’IOS supporte le VPN comme les
séries 800 ou 1700

Pour chaque type de client, il y a donc une configuration spécifique puisque chacun d'eux
ne va pas utiliser le même type de connexion, d'authentification ou de sécurité. Le PIX Easy VPN
Server va ainsi être configuré en fonction du ou des clients. Voici une liste non exhaustive des
types de configurations :

utilisation de l'eXtended Authentification (Xauth)

utilisation d'IKE pour les Easy VPN Remote Devices (clients)
 utilisation d'une clé pré-partagée (pre-shared key) pour les Easy VPN Remote Devices
utilisation de certificats pour les Easy VPN Remote Devices
utilisation de PPTP pour l'accès à distance

Bien entendu il en existe d'autres mais les principales sont celles citées ci-dessus.

Nous allons nous intéresser aux clients de types logiciels avec l'utilisation de clés pré-
partagées (pre-shared keys) : notre exemple va couvrir l'eXtended Authentification (Xauth) pour
l'authentification des utilisateurs, le protocole IKE pour assigner des adresses IP, un serveur
RADIUS pour donner l'autorisation aux utilisateurs d'accéder à certains services, ainsi qu'une clé
pré-partagée pour l'authentification IKE.

CONFIGURATION DE NAT

18-01-2007
Page 1 sur 3
Configuration de la translation d'adresse sur un routeur Cisco

Le NAT vous permet d’utiliser des adresses IP privées sur votre LAN et de translater ces adresses afin de les
rendre accessible depuis un réseau public comme Internet.

Le réseau privé est définit sur l’interface intérieure et l’adresse publique sur l’interface extérieure de votre
routeur.

Dans sa forme la plus simple, le NAT statique, une adresse privée unique est redirigée, vers une adresse
publique unique. La forme la plus utilisée de Nat est un groupe d’adresse privées translate en une seule et
unique adresse publique. Cette forme de Nat est appelée « overloading ».

Etape 1 : définition des interfaces pour le NAT

Le routeur principal (mainrtr) est connecté au LAN par l’interface Ethernet 0 (172.13.10.1/16), donc E0 sera
l’interface intérieure et E1 l’interface connectée à Internet (207.194.10.198/16).

Le routeur distant (remotrtr) est connecté au réseau local par l’interface E0 (172.25.10.1/24) et à Internet par
l’interface E1 (207.194.10.199).

Nous voulons que le routeur principal convertisse les adresses privées du Lan sur l’adresse 207.194.10.198,
étant donné que c’est la seule IP autorisée à envoyer des données au travers du tunnel IPSEC. Cela fournir de
plus un accès Internet au Lan, mais cela n’est pas notre objectif principal.

Nous voulons également que le routeur distant convertisse les adresses privées de son Lan sur l’adresse
207.194.10.199.

A partir du moment ou l’on mappe plusieurs adresses, nous utilisons l’overloading.

SE CONNECTER A UN ROUTEUR CISCO SOUS GNU/LINUX

18-01-2007
Page 1 sur 2
Se connecter à un dispositif Cisco via son port console afin de pouvoir l’administrer 1 -
Introduction
Nous allons voir comment se connecter a un routeur Cisco sous GNU/Linux via le port serie
(COM).

2 - BIOS et Noyau
Il faut tout d'abord vérifier que le port série est actif au niveau du BIOS.

Puis configurez si nécessaire le noyau afin qu'il supporte le port série, pour cela rendez vous
dans le répertoire des sources de votre noyau (les noyaux de base livrés avec les distributions
l'active par defaut) :

# cd /usr/src/linux
# make menuconfig

Rendez-vous dans le menu Device Drivers -> Character devices -> Serial drivers

Cochez les options :

8250/16550 and compatible serial support
Console on 8250/16550 and compatible serial port

Compilez votre noyau (version 2.6.x):

# make
# make modules_install

Copiez l'image de votre nouveau noyau dans /boot et configurez votre BootLoader.

LES IP HELPER-ADDRESS
Écrit par GUILLEMOT Erwan
18-01-2007
Page 1 sur 3
Comment remplacer l’addresse de broadcast par une adresse unicast

1. Introduction

L’ip helper address remplace l’addresse de broadcast par une adresse unicast
Configurée au niveau de l’interface pour le trafic entrant

Rappelons que l’un des premiers buts des routeurs est de bloquer les domaines de broadcast.

Mais il est peut être inconvénient de devoir implémenter des serveurs (par exemple DHCP) sur
chaque segment réseau.

Cette fonctionnalité permet de faire transiter des trames (paquets) de broadcast au travers d’un
routeur.

Syntaxe :

R(config-if)#ip helper-address 192.168.10.254<br>

RECUPERATION DE MOTS DE PASSE SUR UN PIX

Écrit par BENAROCH David
18-01-2007
Page 1 sur 5
Procédures de recuperation de mot de passe oublié

1. Introduction

Cet article a pour but de vous permettre de récupérer le ou les mot(s) de passe d’un PIX pour
les versions logicielles jusqu'à 6.3.
Cette procédure présente l’avantage de ne pas écraser la configuration, simplement de
changer les mots de passe tout en gardant la configuration existante, les authentifications
Telnet ou AAA Serveur pourront aussi être enlevées.

Pour information :
Si vous avez configuré une authentification AAA et que votre serveur d’authentification est en
panne vous pouvez essayer de vous connecter avec la configuration initiale du Telnet avec
comme login : « pix » et comme password : « password »

username pix enable password password

Si il n’y a pas de mot de passe configuré, essayez simplement avec comme login : « pix »

username pix

Si un mot de passe est configuré et que vous ne le connaissez pas alors vous devez continuer la
procédure de récupération de mot de passe suivante.
CREER UN ETHERCHANNEL

18-01-2007
Page 1 sur 3
Un etherchannel permet d’augmenter significativement la bande passante de votre backbone.

1 Introduction

Un etherchannel permet d’augmenter significativement la bande passante de votre backbone.

Il permet d’agréger jusqu’à 8 liens physiques FastEthernet ou GigabitEthernet et d’en faire un
seul lien logique. Le trafic est redistribué ensuite entre les liens physiques selon différentes
méthodes :

· L’adresse IP source

· L’adresse IP destination

· Un XOR entre les adresses IP sources et destination

· L’adresse MAC source

· L’adresse MAC destination

· Un XOR entre les adresses MAC source et destination

· Le numéro de port source

· Le numéro de port destination

· Un XOR entre les numéros de port source et destination

Un agrégat de 8 liens FastEthernet ne fournit donc pas 1,6GB/s (en full-duplex) mais redistribue
le trafic selon des méthodes de load-balancing.

Les ports de l’agrégat doivent avoir les mêmes caractéristiques (même vitesse, même VLAN et
être en mode trunk s’il doit redistribuer le trafic des différents VLANs.

CONFIGURER VTP

18-01-2007
Page 1 sur 3
VTP (VLAN Trunking Protocol) échange des trames de configuration de VLANs entre des
commutateurs d’un groupe (domaine VTP)

1. Introduction

VTP (VLAN Trunking Protocol) échange des trames de configuration de VLANs entre des
commutateurs d’un groupe (domaine VTP). Ces trames renseignent les différents commutateurs
sur la création, la suppression, le changement de nom et d’autres informations sur les VLANs.

Cela permet de configurer les VLANs sur un seul commutateur, et ce dernier grâce à VTP
transférera ces informations aux autres commutateurs du même domaine.

2. Les modes VTP

Un commutateur sur lequel est activé VTP peut être en 3 modes :

· Server :

Permet de créer, supprimer ou modifier les informations des VLANs. Ce commutateur enverra
aux autres ces informations. C’est le mode par défaut d’un commutateur.

· Client :

Accepte les modifications reçues du serveur et les applique.

· Transparent :

En VTP version 1, le commutateur transparent ne relaie pas les informations VTP et ne les
applique pas. En VTP version 2, le commutateur relaie les informations mais ne les applique pas.

CONFIGURER UN SERVEUR DHCP SUR VOTRE MATERIEL CISCO

18-01-2007
Page 1 sur 2
DHCP (Dynamic Host Configuration Protocol) permet aux utilisateurs d’obtenir
automatiquement une configuration IP lors du démarrage des services réseaux

1.Introduction

DHCP (Dynamic Host Configuration Protocol) permet aux utilisateurs d’obtenir automatiquement
une configuration IP lors du démarrage des services réseaux. Ces informations sont envoyées
aux stations hôtes par le serveur DHCP. En général c’est un serveur distinct qui joue le rôle
DHCP Server. Cependant sur des réseaux de petites tailles, il est possible de faire d’un routeur
un serveur DHCP afin d’économiser les coûts inhérents à l’achat d’un serveur dédié.

2.Configuration

La première étape consiste à créer un pool d’adresse. Les adresses IP attribuées aux clients
seront prises parmi les adresses libres du pool. La commande est la suivante ip dhcp pool
nom_du_pool

On rentre alors en mode de configuration du pool DHCP. On peut créer plusieurs pool sur un
routeur.

Ensuite on indique la plage d’adresse présente dans le pool à l’aide de la commande network
réseau masque

Le routeur attribuera alors des adresses de 192.168.10.1 à 192.168.10.254

On va ensuite rentrer les paramètres concernant la passerelle par défaut, les serveurs DNS, les
serveurs WINS, le nom de domaine du client, et la durée du bail.

On peut spécifier jusqu’à 8 serveurs DNS. Pour la durée du bail, on rentre successivement le
nombre de jours, le nombre d’heures et le nombre de minutes. Dans cet exemple, le client aura
un bail d’un jour, 4 heures et 30 minutes. La commande lease infinite permet d’attribuer un bail
éternel.

Par défaut le service DHCP est activé sur les routeurs le supportant. Si on souhaite le désactiver,
il faut taper la commande no service dhcp. Pour le réactiver : service dhcp

Finalement, on pourra exclure des adresses du pool, afin que le serveur n’attribue pas ces
adresses (par exemple les adresses des serveurs).

La commande est ip dhcp excluded-address adresse_ip_debut adresse-ip-fin

Attention, cette commande doit être rentrée en mode de configuration globale.

CONFIGURER UN SERVEUR DHCP SUR VOTRE MATERIEL CISCO

18-01-2007
Page 2 sur 2

3.Vérification

Pour voir les baux d’adresses qui ont été attribués par le routeur, il faut taper la commande show
ip dhcp binding

Vérification sur le poste utilisateur :

On peut aussi visualiser les statistiques du serveur DHCP en tapant la commande show ip dhcp
server statistics

Finalement, on peut aussi visualiser en temps réel les opérations du serveur DHCP en tapant la
commande debug ip dhcp server events

La première ligne correspond à un ipconfig/release (libération du bail) sur un poste utilisateur,la

seconde correspond à un ipconfig/renew (redemande de bail).
PROTOCOLE NTP

18-01-2007
Page 1 sur 5
Configurez le protocole NTP sur vos dispositifs réseaux.

1. Introduction

Le protocole NTP ou Network Time Protocol, est un protocole destiné à synchroniser

différentes machines entre elles.

Il fonctionne via le port UDP 123 (bien que le port TCP 123 soit aussi réservé pour le protocole
NTP) et sert à se connecter à des serveurs qui eux, en théorie, sont connectés à une horloge
atomique. Cela permet d’avoir une synchronisation quasi-parfaite entre vos dispositifs.

Nous allons voir dans cette article comment configurer un dispositif afin d’utiliser le protocole
NTP, que ce soit pour agir en tant que serveur NTP ou simplement pour synchroniser votre
appareil.

Les commandes de configuration NTP se rentrent en mode de configuration globale.

TOR
Écrit par PAPIN Nicolas
18-01-2007
Page 1 sur 3
"The Onion Router" Créer un réseau sécurisé

Il existe de plus en plus sur Internet des soucis d’anonymats et de confidentialité des données
personnelles. Est-il possible aujourd’hui d’utiliser le réseau public mondial, de façon
sécurisée et anonyme ? C’est ce que TOR propose de faire.

1 – L’anonymat

Comment se passent aujourd’hui les communications passant par le réseau public (Internet) ?

Avec tout protocole routé, les en-têtes des paquets identifient l’adresse source et destination. Il
est donc possible d’intercepter un message, de trouver de qui il provient, à qui il est destiné et de
savoir les routes empruntées tout au long du cheminement.

Même en ajoutant du chiffrage, le contenu du message sera codé, mais cette route restera
décelable.

La question peut alors se poser, qui à un réel besoin d’anonymat sur Internet ?

En premier lieu les gouvernements, les données sensibles ont besoin d’êtres échangées sur des
réseaux sécurisés. L’utilisation de l’anonymat pour un gouvernement peut être comprise pour le
rassemblement d’informations sur des sites sensibles, les réseaux des armées, les coalitions
internationales…

En seconde place, l’internaute moyen, l’utilisateur lambda :

· Vers où envoyez vous vos mèls (et donc à qui) ?

· Sur quels sites vous rendez vous ?

· Où travaillez-vous ? D’où venez-vous ?

· Qu’achetez-vous sur Internet, quels livres lisez-vous, la musique que vous écoutez...

Bien sur tout cela peut paraître sorti d’un film d’espionnage mais cela peut devenir au fil des
années une réalité. Par exemple pour une société peu scrupuleuse, c’est un moyen de se
renseigner des habitudes d’achat d’internautes et donc une forme de violation de la vie privée.

Il faut donc un moyen de trouver un chemin dédié et sécurisé entre l’émetteur et le récepteur.

VLAN

18-01-2007
Page 1 sur 6
Configuration d'un routage inter-VLAN Introduction et rappels

Cet article a pour but d'expliquer et d'établir une configuration de routage inter-VLAN.

Bref rappel sur les VLANs et le VTP

Un VLAN peut être assimilé à un domaine de broadcast. Typiquement, dans une configuration de
VLAN, chaque VLAN comprend son propre sous-réseau. Sans équipement de couche 3, il est
donc impossible pour les terminaux d'un VLAN de communiquer avec les terminaux d'un autre
VLAN.

Le VLAN Trunking Protocol (VTP) est nécessaire si l'on veut étendre une configuration de VLAN
sur plusieurs commutateurs.Un trunk est nécessaire pour une connexion entre deux
commutateurs traitant des VLANs. Ce trunk représente un canal par lequel transitent les trames
des différents VLANs d'un commutateur à un autre. Pour que les commutateurs "sachent" à quel
VLAN appartient une trame, un étiquetage est nécessaire. C'est pourquoi on utilise un protocole
d'étiquetage : ISL (Cisco) ou 802.1q (IEEE). Nous utiliserons ici le 802.1q qui est le protocole
utilisé par défaut.

CONFIGURATION DU PROTOCOLE SNMP

18-01-2007
Page 1 sur 13
SNMP (Simple Network Management Protocol) très utilisé dans l’administration réseau 1.
Introduction

Le protocole SNMP (Simple Network Management Protocol) est très utilisé dans le milieu de
l’administration réseau.

En effet, il permet de simplifier grandement la maintenance des réseaux en fournissant aux

administrateurs la possibilité d’obtenir de nombreuses informations sur des équipements
présents sur le réseau tels que des serveurs, des routeurs ou encore des commutateurs.

Le recueil de ces informations permet d’être informé à tout moment de ce qui se passe sur le
réseau et permet de réagir rapidement en cas de problème sur celui-ci, notamment en
permettant le management à distance des différents équipements réseaux utilisant le
protocole SNMP.

De plus, ce protocole fonctionne suivant un mode « client / serveur » ce qui permet à un

administrateur de n’obtenir les informations recueillies par les équipements réseaux que
lorsqu’il en fait la demande ou lorsqu’une alerte aura été déclenchée.

Afin d’éviter tout détournement d’information ou contrôle non autorisé sur ces divers
équipements, il est également possible d’instaurer des mesures de sécurité permettant de
s’assurer que seules des personnes autorisées puissent consulter ces bases d’informations
et interagir avec ces équipements.

CONFIGURATION WI-FI LINKSYS WRT55AG

18-01-2007
Page 1 sur 4
Configuration Wi-Fi du routeur Linksys WRT55AG 1. Description du matériel utilisé

Nous allons utiliser le modèle Linksys WRT55AG de Cisco qui réalise des opérations de
routage avec 4 ports full duplex 10/100 Mbps et point d’accès Wi-Fi aux normes 802.11a
802.11b 802.11g. Le WEP (Wireless Equivalent Privacy) y est présent pour sécuriser votre Wi-
Fi.

2.Installation

2.1 Dans le cas d’un modem Câble/ADSL avec un port RJ45

Branchez votre modem sur le routeur à l’aide d’un RJ45 sur le port WAN (le port séparé des 4
ports 10/100) pour obtenir une topologie correspondant à ce schéma.

2.2 Pour les autres types de modem

Si vous ne pouvez pas brancher votre modem sur le routeur, vous pouvez néanmoins l’utiliser en
tant que commutateur et point d accès Wi-Fi tout en partageant Internet par le biais de votre
ordinateur.

Il vous suffira de brancher l’ordinateur partageant Internet sur un des ports 10/100 du routeur.

Votre topologie sera désormais de la forme :

ROUTES STATIQUES

18-01-2007
Page 1 sur 7
Configuration des routes statiques, routes flottantes et leur distribution. 1.Introduction

Le routage statique précéda le routage dynamique. Il faut savoir qu’aujourd’hui, un

administrateur réseau ne déploie pas uniquement le routage dynamique. En effet, les deux
types de routages sont combinés. Par ailleurs, le routage statique est la solution optimale
dans certains cas.

D’un côté, l’administrateur réseau peut recourir vers la simplicité en utilisant les routes
statiques. Cela est un choix légitime pour des petits réseaux qui peuvent être facilement
contrôlés de près. Un petit système autonome (AS) est souvent connecté à son ISP par le
biais des routes statiques pour la même raison, qu’est la simplicité. Effectivement, mettre en
place des routes statiques est une configuration moins onéreuse par rapport à la mise en
place de BGP et/ou la redistribution entre des protocoles de routage.

De l’autre côté, les routes statiques peuvent être utilisées pour la sécurité supplémentaire du
réseau. Lorsqu’une liaison tombe en panne, un autre chemin pourrait être pris, indiqué par la
route statique.

L’activité d’un routeur se résume par deux fonctionnalités principales:

Trouver la meilleure route

Commuter le paquet sur l’interface appropriée

Pour trouver la meilleure route, un routeur compare l’adresse de destination du paquet avec les
adresses réseau de sa table de routage.

Les routes statiques représentent des réseaux distants, éloignés par un saut au moins.

Lorsque la table de routage est créée manuellement, les routes sont dites statiques. La
configuration de la métrique et de la distance administrative est laissée à l’administrateur.

ROUTES STATIQUES

18-01-2007
Page 2 sur 7
2.Route statique

Pour configurer une route statique, la commande ip route est utilisée à partir du mode de
configuration globale :

Router(config)#ip route préfixe masque { prochain_saut | int_type int_num } [ distance ] [ tag ]

[ permanent ]

Mot-clé Description
préfixe L’adresse IP du réseau distant
masque Le masque du réseau distant
prochain_saut L’adresse IP du prochain saut
int_type int_num L’interface de sortie (décrite par le type et
le numéro)
distance Distance administrative
tag Marqueur utilisé pour la redistribution de
routes
permanent Ne jamais effacer la route (même si
l’interface tombe)

2.1.Route Statique : Exemple 1

Voici un exemple de configuration simple des routes statiques. Trois routeurs RTA, RTB et RTC
sont connectés en série :
 Figure 1 – Topologie simple

Pour lier ces trois routeurs, il faut placer une route statique sur les routeurs de bord. Attention, il
est important de définir pour tous les routeurs tous leurs réseaux distants. Dans le cas contraire,
on court le risque d’avoir des équipements qui reçoivent des paquets, mais ne savent pas
comment les renvoyer vers la source.

Dans l’exemple, présenté ci-dessus, le réseau distant pour le routeur RTA est 20.0.0.0/8 et le
prochain saut menant vers ce réseau est 10.0.0.2/8. Alors la configuration est :

RTA(config)#ip route 20.0.0.0 255.0.0.0 10.0.0.2

Le routeur RTB est directement connecté aux deux autres. La configuration pour le routeur RTC
est :

RTC(config)#ip route 10.0.0.0 255.0.0.0 20.0.0.1

Il serait parfaitement légitime de spécifier l’interface de sortie (interface ethernet 0) menant vers
le réseau distant, en lieu de l’adresse IP du prochain saut. Cependant, spécifier l’adresse du
prochain saut est la méthode plus précise, et plus sûre.

Pour comprendre le fonctionnement des routes statiques configurées avec l’interface sortante,
considérons l’exemple suivant.

DHCP SNOOPING

19-01-2007
Page 1 sur 5
Le DHCP Snooping est une solution de sécurité permettant d’empêcher les attaques utilisant
des serveurs DHCP pirates au sein d’un réseau.

1. Introduction

Le protocole DHCP permet de fournir dynamiquement une configuration réseau à un

ordinateur, dont par exemple une adresse IP pour lui permettre de communiquer sur le réseau.

Cependant il est possible qu’une personne mal intentionnée puisse exécuter sur son
ordinateur un serveur DHCP afin de distribuer aux utilisateurs des configurations réseaux
spécifiques qui serviront à des fins malicieuses.

Pour palier à ces problèmes de sécurité, Cisco a mis en place une solution permettant de
déterminer au sein des équipements les plus proches des utilisateurs (commutateurs) les
serveurs qui sont seulement autorisés à diffuser des configurations DHCP au sein du réseau.

Cette solution nommée « DHCP Snooping » vous sera présentée à travers cet article en vous
présentant tout d’abord la théorie puis les commandes vous permettant d’implémenter cette
solution au sein d’un réseau.

Introduction
Cet article a pour but de présenter la configuration d'un lien point à point entre deux routeurs sur
des interfaces RNIS de deux manières différentes. Le tout avec sur chaque routeur une seule
interface de BASE (BRI 0). La première configuration met en place des profils d'appels (dialer)
que l'on nommera par la suite Dialer profile tandis que la deuxième met en place des mappages
directement sur l'interface RNIS du routeur concerné, on dénommera cette configuration Dialer
Map. Voici ci-dessous le schéma logique de configuration entre les deux routeurs :

CONFIGURATION HSRP

19-01-2007
Page 1 sur 4
Configuration du protocole HSRP

HSRP (Hot Standby Routing Protocol ) est un protocole propriétaire crée par Cisco et très
utilisé aujourd’hui dans nos LAN.

De ce protocole est dérivé VRRP (Virtual Router Redundancy Protocol), normalisé et utilisé
chez la plupart des autres constructeurs (Nokia, Alcatel..)

En pratique, HSRP permet qu’un routeur de secours (ou spare) prenne immédiatement, de façon
transparente, le relais dès qu’un problème physique apparaît.
Cet article décrit tout d’abord le fonctionnement puis la configuration à effectuer.

RECUPERATION DE MOTS DE PASSE SUR UN 2600

18-01-2007
Page 1 sur 2
Procédures de recuperation de mot de passe oublié

Cet article à pur but d’expliquer la procédure à suivre quand on a malheureusement perdu les
mots de passe d’un routeur Cisco 2600. Cette procédure présente l’avantage de ne pas
écraser la configuration, simplement de changer les mots de passe tout en gardant la
configuration existante. La connexion doit se faire par un câble console.

Nous nous trouvons dans l’impossibilité de rentrer dans le mode privilégié du routeur.

La solution décrite dans la procédure est de redémarrer en mode ROM, avec l’image minimaliste
afin de changer la valeur du registre de configuration.

Il faut ensuite redémarrer le routeur avec l’interrupteur et appuyer sur la touche CTRL et
« Pause » ou « Break » au clavier dans les 30 secondes après le démarrage. L’écran suivant doit
alors apparaître :

Nous sommes alors avec l’image minimaliste, très peu de commandes sont disponibles.

Nous allons nous intéresser au registre de configuration.

La valeur normale du registre de configuration est : 0X2102, nous allons pour ignorer la
configuration passer cette valeur en confreg 0X2142 :

Puis on redémarre avec la commande reset, cette valeur du registre de configuration permet
d’ignorer la copie du fichier de configuration de sauvegarde dans le fichier de configuration
active. Autrement dit, d’ignorer les mots de passe.

Après redémarrage le routeur demande si l’on veut rentrer dans le mode SETUP, répondre « no »
à cette question.
La prochaine étape est de rentrer dans le mode privilégié avec cette configuration « vierge » :

Aucun mot de passe ne nous est demandé car la configuration est vierge.

LE PROTOCOLE EIGRP

18-01-2007
Page 1 sur 4
Configuration du protocole EIGRP
Introduction

EIGRP : ou Enhanced IGRP

Il s’agit en effet d’une évolution du protocole propriétaire de Cisco, l’IGRP. Il a la particularité d’allier la connectivité à
états de liens et à vecteur de distance :il est hybride.

Enhanced IGRP garde en mémoire toutes les tables de routages de ces voisins, ce qui permet rapidement de s'adapter à
une route alternative. Si aucune route appropriée existe, alors il va demander à ses voisin de lui en découvrir une et va
propager les demandes jusqu'à ce qu'une route soit trouvée.
De plus, il ne fait pas de mise à jour périodique des ses tables, mais envoie de partielles mises à jour lorsque la distance pour
une route change. La propagation de ces mises à jour est uniquement effectuée vers les routeurs qui ont besoin de ces
informations. Ce qui fait que Enhanced IGRP consomme beaucoup moins la bande passante que IGRP.

CONFIGURATION D’UN VPN IPSEC

É
18-01-2007
Page 1 sur 7
Configuration d'un VPN entre 2 routeurs Cisco

Créez un VPN IPSEC entre 2 LAN avec 2 routeurs Cisco

Nous disposons de 2 routeurs Cisco :

· Sur le site principal, un 2620 (mainrtr) avec 2 interfaces Ethernet :

o Une connectée au LAN interne (adresse IP 172.23.10.1/16)

o L’autre est utilisée pour se connecter à Internet (adresse IP 207.194.10.198/24).

· Sur le site distant, un 1751 (remotertr) avec 2 interfaces Ethernet :

o Une connectée au LAN interne (adresse IP 172.25.10.1/16)

o L’autre connecté à Internet (adresse 207.194.10.199/24).

La première étape consiste à configurer les règles IKE sur les 2 routeurs. Les règles IKE précisent le type
d’encryption et de découpage à utiliser ainsi que le type d’authentification qui sera implémenté. Les paramètres
doivent impérativement être les mêmes sur les 2 routeurs.

CONFIGURATION DE BASE D'UN ROUTEUR

18-01-2007
Page 1 sur 7
Dans cet article, vous apprendrez à configurer les routeurs de ce domaine de routage, afin de
permettre la connectivité de tous les ordinateurs.

Dans cet article, vous apprendrez à configurer les routeurs de ce domaine de routage, afin de permettre la connectivité de
tous les ordinateurs.

L’ interface S0 de tous les routeurs sont la partie ETCD (Équipement de communication de données, il fournit le signal de
synchronisation).

L’interface S1 de tous les routeurs sont la partie ETTD (Équipement terminal de traitement de données, il utilise
généralement la signalisation de synchronisation générée par l'ETCD).

Lorsque vous connectez les routeurs entre eux, apportez une attention particulière au sens du câble. Ce dernier a une
extrémité ETCD et une extrémité ETTD.

L’interface E0 de tous les routeurs est connectée à un concentrateur et permet de connecter vos périphériques.

La configuration que nous allons créer est basé sur la topologie suivante, le protocole utilisé pour faire communiquer les
routeurs sera le protocole RIP :
RECUPERATION DE MOT DE PASSE

18-01-2007
Page 1 sur 4
Retrouvez les procédures de changement de mot de passe oublié sur tous les routeurs Cisco

L’oubli du mot de passe d’un routeur est un vrai handicap, c’est pourquoi les routeurs CISCO permettent la récupération
de ce dernier.

La procédure étant relativement simple, il est indispensable que ce genre de périphérique soit installé dans un local
technique fermant à clé.

1.Commencez par éteindre le routeur, attendez quelques secondes avant de le rallumer.

2.Dès les premières secondes du démarrage, appuyez simultanément sur Ctrl et Pause.

Le message « user abort » apparaît, puis la ligne de commande devient boot#.

LE REGISTRE DE CONFIGURATION

18-01-2007
Page 1 sur 4
Le registre de configuration

1) Généralités

Le registre de configuration a une taille de 16 bits, et s’exprime sous la forme d’une valeur hexadécimale.

On peut modifier sa valeur :

Depuis IOS, en utilisant la commande config-register {valeur} dans le mode de configuration globale.
Depuis le mode RXBoot, accessible en utilisant la combinaison de Break avant les 60 secondes qui suivent le
démarrage à froid du routeur (en général Ctrl-Pause). La commande permettant de modifier la valeur dépend du type de
dispositif sur lequel on se trouve.
La valeur par défaut du registre de configuration est 0x2102.

Ce registre a pour principal but d’établir le comportement d’un routeur :

 Bits 0 à 3 : Champ d’amorçage.
Bit 4 : Démarrage rapide (sur les routeurs 7000).
Bit 5 : Vitesse de la ligne console supérieure à 9600 Bauds.
Bit 6 : Ignorer le fichier de configuration de sauvegarde (en NVRAM).
Bit 7 : OEM.
Bit 8 : Combinaison de Break après chargement d’IOS.
Bit 9 : Utilisation du bootstrap secondaire.
Bit 10 : Broadcast IP avec tout à zéro.
Bits 11 & 12 : Vitesse de la ligne console.
Bit 13 : Utiliser l’image par défaut en ROM si échec du démarrage réseau.
Bit 14 : Broadcasts IP n’ont pas de numéros de réseau.
Bit 15 : Activer les messages de diagnostics et ignorer le contenu de la NVRAM.

PERSONNALISEZ VOTRE ROUTEUR EN CREANT UNE BANNIERE

18-01-2007
Page 1 sur 2
La bannière est le texte qui vous accueille lorsque vous vous connectez au routeur

La bannière est le texte qui vous accueille lorsque vous vous connectez au routeur.

Pour créer votre bannière, il suffit de rentrer en mode de configuration globale de votre routeur :

Une fois dans ce mode, vous rentrez les paramètres suivants :

L’expression motd ! indique que le caractère qui va mettre fin à la saisie de votre bannière est le point d’exclamation. On
aurait pu mettre n’importe quel autre caractère.

CONFIGURATIONDES PARAMETRES HORAIRES DE VOTRE ROUTEUR CISCO

18-01-2007

la commande clock vous permet de configurer la date et l'heure sur votre routeur Cisco

la commande clock vous permet de configurer la date et l'heure sur votre routeur Cisco :

clock set hh:mm:ss dd month yyyy

cette commande paramêtre la date et l'heure sur votre routeur
ex : clock set 18:40:00 25 PAR 2002

clock timezone XXX O

cette commande vous permet de spécifier au routeur la zone horaire ou le routeur se trouve (EST,CST,MST,PST)
ex : clock timezone CST °

clock summer-time XXX recurring

cette commande paramêtres les paramêtres liés à l'heure d'été
ex : clock summer-time EST recurring

service timestamps log datetime localtime show-timezone

cette commande affiche toutes les entrées du routeur contenue dans la table de log avec la date, l'heure

LA COMMANDE SHOW

18-01-2007

La commande show est tres efficace pour le monitoring et le dépannage La commande show est tres
efficace pour le monitoring et le dépannage. Vous pouvez l'utiliser pour executer toute une série de fonctions :

Monitoring du routeur pendant l'installation et pendant sa production

Isolation des problèmes d'interface, de média ou d'application
Determiner la charge du réseau
Determiner l'état des serveurs, client ou encore des routeurs voisins

Le tableau suivant présente les usages les plus courants de la commande show :

affiche les listes de controles d'accès configurés sur le routeur ainsi que les interaces auxquelles
show access-lists
elles se rapportent
show buffers affiche l'état du tampon du routeur
show clock affiche les paramêtres horaires du routeur
affiche différentes statistiques pour l'interface concernée comme par exemple le type de média
show <interface>
raccordé
show DECnet static affiche les routes statiques configurées
show flash affiche la version de lIOS utilisés par le roueur ainsi que que ma quantoté de mémoire flash utilisée
show flash all affiche la quantité de mémoire flash utilisée
show interfaces affiche les statisques ainsi que les caractéristiques de toutes les interfaces du routeur
show interfaces
affiche un aperçu des protocoles voyagant au travers des interfaces
accounting
show ip arp affiche la table arp du routeur
show ip OSPF
affiche le statut d'ospf sur l'interface concernée
<interface>
show ip route affiche la table de routage IP
show IPX interfaces affiche l'état des interfaces IPX ainsi que leur adresse MAC
show ip protocols affiche les information de routage
show ip traffic affiche les statistique de traffic passant par le routeur
show ipx servers affiche les serveurs que le routeur connait
show line affiche les lignes actives du routeur
show log affiche les logs du routeur ( il convient d'activer les logs au préalable)
show memory affiche l'état de la mémoire du routeur
show running-config affiche la configuration stockée en RAM, utilisée par le routeur en fonctionnement
show startup-config affiche la configuration stockée en NVRAM, utilisée par le routeur au démarrage
show tcp affiche les connections TCP
affiche le uptime du routeur, la version de l'IPS, la séquence de boot ainsi que les caractéristiques
show version
physiques du routeur

Il existe un nombre incroyables d'autres options pour la commande show, pour les connaîtres, utilisez l'aide du routeur en
tapant la commande : "show ?".
Il est important de rappeller que les options disponibles différent en fonction du mode ou l'utilisateur se trouve.

LES RACCOURCIS CLAVIERS

18-01-2007

En fonction des méthodes que vous utilisez pour vous connecter à votre routeur Cisco, les
flêches ou autre moyen de navigation usuels peuvent fonctionner de manière aléatoire En fonction
des méthodes que vous utilisez pour vous connecter à votre routeur Cisco, les flêches
ou autre moyen de navigation usuels peuvent fonctionner de manière aléatoire.

Voici la liste des raccourcis claviers vous permettant de naviguer dans la configuration de votre équipement Cisco :

Backspace efface le caractére a gauche du curseur

Tab complétion de la commande
? aide
Ctrl A déplace le curseur en début de ligne
Ctrl B recule d'un caractère
Ctrl D efface le caractère situé sur le curseur
Ctrl E déplace le curseur en fin de ligne
Ctrl H efface le caractère à gauche du curseur
Ctrl I completion de la commande
Ctrl K efface tous les caractères jusqu'à la fin de la ligne
Ctrl L réaffiche la ligne en cours (utile si le Debug d'affiche pendant la saisie)
Ctrl N affiche la ligne suivante dans l'historique des commandes
Ctrl P affiche la ligne précedente dans l'historique des commandes
Ctrl R réaffiche la ligne en cours (utile si le Debug d'affiche pendant la saisie)
Ctrl T transpose les caractères
Ctrl U efface les caractères jusqu'à la fin de la ligne et les place dans un tampon
Ctrl W efface le mot précédent
Ctrl X efface les caractères jusqu'au début de la ligne et les place dans un tampon
Ctrl Y insert le tampon dans la ligne de commande

Esc < affiche la première commande situé dans l'historique des commandes
Esc > affiche la dernière commande situé dans l'historique des commandes
Esc b déplace le curseur d'un mot en arrière
Esc c selectionne le mot après le curseur
Esc d efface le mot après le curseur
Esc f avance le curseur d'un mot
Esc i Tab
Esc l passe le mot placé après le curseur en minuscules
Esc u passe le mot placé après le curseur en majuscules
Esc y colle le tampon
Esc Del efface le mot placé avant le curseur

ACL

18-01-2007
Page 1 sur 4
Les Listes de Contrôle d’Accès

1- Définition

Une liste de contrôle d’accès est une collection d’instructions permettant d’autoriser ou de refuser des paquets en
fonction d’un certain nombre de critères, tels que :

-L'adresse d'origine
-L'adresse de destination
-Le numéro de port.
-Les protocoles de couches supérieures
-D’autres paramètres (horaires par exemple)

Les listes de contrôle d'accès permettent à un administrateur de gérer le trafic et d'analyser des paquets particuliers.
Les ACLs sont associées à une interface du routeur, et tout trafic acheminé par cette interface est vérifié afin d'y déceler
certaines conditions faisant partie de la liste de contrôle d'accès.
Les ACL peuvent être créées pour tous les protocoles routés. Il faut donc définir une liste de contrôle d'accès dans le cas de
chaque protocole activé dans une interface pour contrôler le flux de trafic acheminé par cette interface.

Dans le cas de certains protocoles, il faut créer une liste de contrôle d'accès pour
filtrer le trafic entrant et une pour le trafic sortant.

2- Vérification des paquets

Lorsque le routeur détermine s'il doit acheminer ou bloquer un paquet, la plate-forme logicielle Cisco IOS examine le paquet
en fonction de chaque instruction de condition dans l'ordre dans lequel les instructions ont été créées.
Si le paquet arrivant à l’interface du routeur satisfait à une condition, il est autorisé ou refusé (suivant l’instruction) et les
autres instructions ne sont pas vérifiés.

Si un paquet ne correspond à aucune instruction dans l’ACL, le paquet est jeté.

Ceci est le résultat de l’instruction implicite deny any à la fin de chaque ACL.

SAUVEGARDER LES CONFIGURATIONS DE ROUTEUR SUR UN

SERVEUR TFTP

18-01-2007
Page 1 sur 4
Sauvegardez et deployez vos fichiers de configuration de routeur

Introduction :

Une fois la configuration de nos routeurs terminée, il est important de stocker ces fichiers de configuration. En effet, sur
les réseaux critiques il est souvent nécessaire de posséder des routeurs de rechange préconfigurés pour opérer à un
remplacement rapide en cas de panne. Pour cela, on peut importer et exporter les configurations sur des serveurs TFTP.

Serveur TFTP :

TFTP, pour Trivial File Transfer Protocol , est un protocole de la pile TCP/IP qui permet l’échange d’informations entre les
nœuds. Comme l’indique son nom, ce protocole est simplifié par rapport au protocole FTP et ne permet pas l’authentification
des utilisateurs.

Vous trouverez aisément un serveur TFTP sur Internet, en voici un exemple à www.solarwinds.net
Dans cet exemple, l’adresse du serveur est 192.168.10.222 (adresse de la machine sur laquelle est installé le serveur TFTP).

LE ROUTAGE NOVELL IPX

18-01-2007
Page 1 sur 4
Configuration du routage IPX sur les réseaux Novell

Préambule :

Depuis le début des années 80, le système d’exploitation Netware de Novell offre de nombreuses application de client-
serveur. Avec plus de 5 millions de réseaux et 50 millions d’utilisateurs, Netware, et plus précisément la pile de protocole
IPX/SPX, reste un élément incontournable de l’administration réseau.

Cet article traitera essentiellement de la configuration du routage Novell, et ne s’intéressera pas en détail aux protocoles liés
à la pile IPX/SPX (IPX, SPX, SAP, NLSP, RIP).

L’adressage IPX :

L’adressage IPX permet, comme l’adressage IP, d’obtenir un système hiérarchique, offrant ainsi aux administrateurs les
bases de la conception LAN.

Ces adresses occupent 80 bits : 32 bits (en caractères hexadécimaux) définissant le numéro de réseau choisit par
l’administrateur et 48 bits pour la partie représentant le nœud qui correspondent à l’adresse MAC de l’hôte.

Exemple d’adresse IPX : 435B20C2. 00 . 30 . AB . 02 . 23

L’avantage de l’utilisation de l’adresse MAC pour la partie hôte du nœud est que le protocole ARP (gourmand en ressources
réseau) devient inutile et donc inutilisé.

CHANGER VOTRE VERSION D’IOS

18-01-2007
Page 1 sur 3
Sauvegardez et mettez à jour vos images IOS

Préambule : Les routeurs Cisco utilisent le système d’exploitation IOS pour gérer les opérations propres au routage et à la
configuration du dispositif. Vous pouvez être amené à réparer une version défectueuse d’IOS ou à installer une version
plus récente sur votre routeur.

Pour cela, procédez comme suit :

Enregistrer une version IOS valide sur un serveur TFTP :

Démarrez votre serveur TFTP. Vous pouvez télécharger un serveur TFTP gratuit à l’adresse suivante :
www.solarwinds.net

En mode privilégié, tapez copy flash tftp.

Le routeur vous demande l’adresse du serveur, dans ce cas : 192.168.10.222. Ensuite, vous devez rentrer le nom du fichier
que vous voulez uploader. (Le routeur vous propose le nom du fichier IOS installé).

Pour terminer, vous devez indiquer un nom pour le fichier qui sera stocké sur le serveur.

RIP

18-01-2007
Page 1 sur 2
Configuration du protocole RIP

1) Description

RIP (Routing Information Protocol) est relativement ancien, mais est encore couramment utilisé. Il s’agit d’un IGP (Interior
Gateway Protocol) créé pour être utilisé dans de petits réseaux homogènes, et est un protocole de routage à vecteur de
distance.

RIP utilise le protocole UDP en diffusion (Broadcast) pour échanger l’information de routage.

Les mises à jour de routage sont envoyées toutes les 30 secondes.

 Si un routeur ne reçoit aucune mise à jour d’un autre routeur dans un délai de 180 secondes, il marque les routes
desservies par le routeur ne répondant pas comme inutilisables.
S’il n’y a toujours aucune mise à jour après 240 secondes, le protocole RIP enlève toutes les entrées dans sa table de
routage correspondant au routeur qui ne répond pas.

Caractéristiques principales :

La métrique qu’utilise RIP est le nombre de sauts (Hop count).

Chaque entrée dans la table de routage apprise par RIP a une distance administrative de 120.
Un réseau directement connecté a une métrique de 0, alors qu’un réseau inaccessible aura une métrique de 16.

2) Configuration du protocole RIP

a) Activation de RIP

La commande router rip, dans le mode de configuration globale, permet :

De passer en mode de configuration du protocole de routage.

D’activer le protocole RIP.

Il faut maintenant indiquer quels sont les réseaux directement connectés au routeur interagiront au niveau des mises à jour.
Ceci inclus les réseaux sur lesquels le routeur enverra les paquets de mise à jour ainsi que les réseaux qui seront inclus dans
les mises à jour. Il faut utiliser la commande network {réseau}, depuis le mode de configuration du protocole de routage.

b) Mises à jour unicast

Par défaut, les mises à jour sont diffusées (Broadcast).

Il est possible d’émettre ces mises à jour vers des destinataires uniques en utilisant la commande neighbor {IP}, dans le
mode de configuration du protocole de routage.

c) Offsets de métriques de routage

Les métriques des entrées apprises par RIP ont généralement pour valeur le cumul de celles présentes dans le paquet de mise
à jour avec la métrique du lien entre le routeur local et celui qui a envoyé la mise à jour.

Il est possible de rajouter un mécanisme d’incrémentation sélectif de ces métriques.

La commande offset-list [acl] {in | out} {valeur} [{type} {numéro}] du mode de configuration du protocole de routage
configure ce système d’incrémentation :

[acl] : Nom ou numéro d’ACL, afin de limiter l’offset-list (Paramètre optionnel).

{in | out} : L’offset-list sera appliquée lors de la réception (in) ou de l’émission (out) d’un paquet de mise à jour.
{valeur} : Nombre qui sera ajouté aux métriques concernées.
[{type} {numéro}] : L’offset-list peut aussi être appliquée sur une interface spécifique (Paramètre optionnel).

CONFIGURATION CHAP

18-01-2007
Page 1 sur 3
Configuration du protocole CHAP

1 - Introduction

La configuration du protocole CHAP sur les routeurs Cisco assure une protection maximale grâce à l’utilisation de la
méthode défi-réponse. Le fait de répéter cette méthode au cours des connexions permet de limiter le temps d’exposition à
une quelconque attaque. La méthode d’authentification CHAP dépend d’un secret que seul l’authentificateur connaît.

Dans cet exemple de configuration, nous disposons de deux routeurs nommés respectivement « Dessus » et « Dessous ». Le
principe de ce protocole CHAP consiste à configurer sur chaque routeur un compte qui autorisera l’autre à s’y connecter

ACL IPX

18-01-2007
Page 1 sur 6
Configuration de listes d’accès avec le protocole IPX

Introduction Rappel sur le protocole IPX

Le protocole IPX est un protocole de couche 3 non orienté connexion. Ainsi, il n’utilise pas de système d’accusé de
réception pour chaque paquet et définit les adresses de réseau et de nœud.

Ce protocole fonctionne de manière similaire à TCP/IP sous réserve qu'un routeur multi protocole soit installé.

Pour activer le routage avec IPX il faut utiliser la commande IPX routing en mode de configuration globale

La structure d'adressage IPX de Novell comprend deux parties :

- le numéro de réseau : attribué par l'administrateur réseau, comprend jusqu'à huit chiffres hexadécimaux.

Le numéro de nœud IPX comprend 12 chiffres hexadécimaux. Ce numéro correspond habituellement à

l'adresse MAC d'une interface réseau. L'utilisation de l'adresse MAC dans l'adresse logique IPX élimine

la nécessité d'utiliser le protocole ARP (Address Resolution Protocol).

- le numéro de nœud : généralement l'adresse MAC d'une interface réseau du nœud d'extrémité

exemple :

4a1d (numéro de réseau 8 chiffres en hexadécimal)

0000.0c56.de34 (numéro de noeud 12 chiffres en hexadécimal)

Adresse entière : 4a1d.000.0c56.de34

Note : Les interfaces série utilisent l'adresse MAC de l'interface Ethernet comme adresse de nœud IPX.

A l’instar de TCP/IP, IPX utilise des plages de numéros pour classer les différents types de liste de contrôle d’accès :

Type Plage
ACL IPX Standard 800-899
ACL IPX Etendue 900-999
ACL IPX SAP 1000-1099

Note :Les ACL ont besoin d'un numéro unique pour être identifiées.

Exemple : access-list 833 permit 4a1d.000.0c56.de34 0.0.0.fff 4acb

Le numéro 833 définit une liste d'accès IPX standard qui autorise les paquets provenant du réseau 4a1d.000.0c56.de34 vers
le réseau 4acb. N'oubliez pas qu'une seule liste de contrôle d'accès est permise par port, par protocole et par direction.

Note : Toutes les ACL sont configurées par défaut avec un « DENY ALL » implicite et tous les masques représentés en binaire
avec ip sont représentés en hexadécimal avec ipx.

CONFIGURATION AP 1200 CISCO AVEC EAP-TLS

19-01-2007
 Page 1 sur 6
Configuration d'EAP-TLS sur l'AP 1200 Cisco

Introduction :
Les réseaux sans fil, ou WLAN (pour Wireless LAN), réussissent à conjuguer tous les
avantages d’un réseau filaire traditionnel comme Ethernet ou Token Ring mais sans la
limitation des câbles.

La mobilité est maintenant l’attrait principal pour les entreprises, la possibilité d’étendre son
réseau LAN existant selon les besoins de l’organisation.

Le média utilisé par les WLANs est l’air et particulièrement des fréquences radio à 2,4 GHz et 5
GHz.

On parle de "réseaux sans fil" mais la plupart du temps, ces réseaux sont intégrés aux LANs
traditionnels, juste considérés comme une extension à l’existant. Aujourd’hui, grâce à des
normalisations de l’IEEE et du "Wi-Fi Alliance", les équipements sans fil sont standardisés et
compatibles, ce qui explique l’engouement croissant pour ce type de réseau de moins en moins
coûteux.

L’Access Point (ou point d’accès) est une station qui transmet et reçoit des données dans un
réseau local sans fil (WLAN). Un AP peut servir de point d'interconnections entre le WLAN et un
réseau fixe de fil. Chaque point d'accès peut servir plusieurs utilisateurs dans un secteur défini
de réseau. Lorsque l’utilisateur se déplace au delà de la couverture d'un point d'accès, il est
automatiquement reconnecté sur le prochain AP.

Dans cet article nous allons expliquer de façon la plus précise possible la configuration d’un AP
de type 1200 Cisco. Pour cela, nous verrons dans un premier temps une configuration de base
pour ensuite configurer l’EAP-TLS avec certificat Radius sur un Windows 2003.

1/ Configuration de base d’un AP :

Avant de configurer son AP, il faut déterminer ou recueillir les informations suivantes :

• Un nom de système
• Un SSID (Service Set Identifier) pour le réseau radio
• Une adresse IP unique (si l’AP n’utilise pas le serveur DHCP)
• Une passerelle par défaut et masque de sous réseau (si l’AP n’est pas sur le même sous
réseau que le PC d’administration)
• Un nom de communauté SNMP et le fichier SNMP attribué (si SNMP est utilisé)

Pour passer en mode privilégié sur l’AP, le mot de passe par défaut est : Cisco

Il existe 2 interfaces permettant de configurer son AP, Pour administrer l’AP, le nom d’utilisateur
par défaut est « Cisco » avec le mot de passe « Cisco » :

• Page d’accueil de la CLI (command-line interface), connexion console ou telnet :

• Page d’accueil de l’interface http (recommandé) – IOS GUI (Graphical User Interface),
adresse par défaut http://10.0.0.1 :

Dans cet article, nous resterons en mode Web, mais les commandes existent en CLI et sont
similaires à tous les matériels Cisco

http://www.cisco.com/univercd/cc/td/doc/product/wireless/airo1100/accsspts/i1237ja/cr1237ja/cr37main.ht
m

Nous allons commencer tout d’abord par quelques paramètres de base sur la page Express
Setup :
Cette page permet de régler
plusieurs paramètres tels que :

Hostname
Protocole serveur configuré
Adresse IP
Masque
Passerelle
Communauté SNMP

Puis, pour chaque interface Radio de

l’AP :

SSID (nous choisirons « Labo-

cisco »)
Broadcast SSID (permet aux
stations ne spécifiant pas de SSID
de se connecter sur l’AP)

Nous retrouvons le paramétrage de l’adressage IP dans cette page :

Il faut savoir que par défaut, la borne se met en 10.0.0.1 et fait un DHCP pour les clients. Dans le
cadre d’un petit réseau domestique par exemple.

Par contre il y a également la possibilité que la borne prenne une IP sur une plage définie par
l’administrateur afin de rejoindre un LAN existant. Il faut toujours garder à l’esprit que ce type de
borne n’est pas routeur, elle fonctionne au niveau 2 du modèle OSI et donc ne pourra pas traiter
deux réseaux différents.

La configuration basique est surtout sur l’interface Radio, nous allons utiliser quelques options
de cette page (Network Interfaces, Radio0) :
Ci-dessus, les réglages sont par défaut.

Il convient toutefois de vérifier 2 paramètres, le débit et les canaux.

Pour le débit (Data Rates) toutes les vitesses sont listées, on peut les rendre obligatoires
(Require), simplement les activer (Enable) ou les désactiver (Disable).

Explication des boutons :

- Best Range : La meilleure portée, les plus petites vitesses seront sélectionnées afin que le
client puisse capter le plus loin possible. Ce choix de la portée se fera au détriment du débit.

- Best Throughput : Le meilleur débit. Les plus grandes vitesses seront sélectionnées afin
que les clients aient un accès rapide. Ce choix du débit se fera au détriment de la portée.

- Default : Laisse les paramètres en réglage d’usine.

Pour notre configuration basique, les réglages par défaut sont satisfaisants.

Channel :

La sélection du canal d’émission est très importante, aujourd’hui de nombreux points d’accès
sont présents.
 Le mieux est tout d’abord de vérifier la bande de fréquences avec un PC WIFI équipé par exemple
avec netstumbler (http://www.netstumbler.com/ ) .

Il y a 13 Channels autorisés en France, ce qui signifie que le choix est assez limité.

Astuce : La technologie utilisée répand le signal sur plusieurs canaux alentours. Il est fortement
conseillé de choisir un canal libre d’au moins 3 à 4 canaux autour (Exemple Canal 1, 5, 9 et 13)
sont parfaitement espacés pour ne pas avoir de perturbations)

La configuration peut également se faire avec le « Least Congested Frequency », la borne va

alors scanner les canaux pour sélectionner le moins chargé. Cette option permet que le choix du
canal soit dynamique même si de nouveaux AP environnants apparaissent.

Notre configuration Radio est terminée.

<<Précédent - Suivant>>

2/ Configuration sécurisée avec EAP-TLS :

Cet exemple sera à travers une société inventée « AZATAR »

Pour mettre en place notre architecture WLAN sécurisée les composants suivant sont requis:

• Un serveur RADIUS, Microsoft Internet Authentication Service (IAS)

• Un serveur de certificat, Autorité de certificat
• Un serveur IIS
• Un domaine Active Directory

Mise en place d'un domaine Active Directory sous Windows 2003 Server

Pour transformer un serveur autonome en serveur de domaine Active Directory, il suffit de lancer
la commande dcpromo.
Nous installons ici un contrôleur de domaine pour un nouveau domaine, dans une nouvelle forêt
Active Directory.
Active Directory se base sur DNS pour la résolution de nom, un serveur DNS doit donc être
configuré pour le nouveau domaine.

Il faut ensuite indiquer le nom pleinement qualifié du nouveau domaine. Dans notre exemple le
nom du domaine sera Azatar.lan.
Le nom NetBIOS du nouveau domaine sera donc AZATAR.

Il faut ensuite spécifier l'emplacement de la base de données Active Directory ainsi que
l'emplacement des fichiers de log.
Il faut ensuite spécifier l'emplacement du dossier Sysvol. Le dossier sysvol contient les fichiers
du domaine commun à tous les contrôleurs de domaine.

La configuration du domaine Active Directory est presque fini, cliquez sur suivant pour créer le
domaine.
Une fois l'installation terminée, le serveur doit être redémarré.
CONFIGURATION AP 1200 CISCO AVEC EAP-TLS
Écrit par PAPIN Nicolas
19-01-2007
Page 4 sur 6
Index de l'article
Installation du serveur de l'autorité de Configuration AP 1200 Cisco avec EAP-TLS
certificat racine
Page 2
Le serveur de l'autorité de certificat va distribuer les Page 3
certificats X509, qui seront utilisés pour
l'authentification des clients wireless. Pour Page 4
fonctionner, le serveur de l'autorité de certificat
Page 5
nécessite les services IIS (Internet Information Server).
Pour installer IIS, il suffit de se rendre dans le menu Page 6
"Add/Remove windows components" situé dans le
menu "Add/Remove programs" dans le panneau de configuration.
L'installation du service de certificats se fait de la même manière.

Notre serveur de certificat sera configuré comme "Autorité Racine d'entreprise"

Nous allons choisir AzatarCertificat, comme nom d'autorité de certificat.

Il faut désormais spécifier m'emplacement de la base de donnée pour l'autorité de certificat ainsi
que l'emplacement des fichiers de log.
Installation et configuration du serveur RADIUS

Il faut maintenant installer le service Microsoft Internet Authentication Service (IAS), il suffit de se
rendre dans le menu "Add/Remove windows components" situé dans le menu "Add/Remove
programs" dans le panneau de configuration. Puis aller dans le menu "Networking services".

Configuration du serveur Microsoft Windows 2003 Server Enterprise

Nous allons créer un groupe de sécurité global et un utilisateur dans Active Directory, cet
utilisateur nous servira d'utilisateur test. Pour se faire il faut se rendre dans le menu "Active
Directory Users and Computers".
Il faut ensuite ajouter cet utilisateur au groupe de sécurité global "AzatarWireless".

Il faut maintenant configurer le service Microsoft Internet Authentication Service (IAS).

La première étape est de déclarer nos bornes wireless en tant que "Client RADIUS" et de spécifier
le secret partagé.
Il faut maintenant définir une stratégie d'accès distant.
Donnez un nom à votre stratégie d'accès distant.

Notre politique d'accès distant est défini pour les accès de type wireless.
On autorise l'accès à notre groupe de sécurité global "AzatarWireless"

Sélectionnez les certificats comme type EAP pour cette politique de sécurité
On peut éditer notre stratégie d'accès pour en vérifier les propriétés
Comme spécifié précédemment le type EAP est "smart Card or other certificate"

Cliquez sur "Edit", on s'aperçoit alors que le certificat correspond à notre autorité de certificat
créé précédemment.
CONFIGURATION AP 1200 CISCO AVEC EAP-TLS
Écrit par PAPIN Nicolas
19-01-2007
Page 5 sur 6
Index de l'article
Configuration du Client Wireless Configuration AP 1200 Cisco avec EAP-TLS

Il faut maintenant installer le certificat sur le client ceci Page 2

peut être fait avec une disquette ou via le réseau filaire Page 3
existant. Dans notre exemple nous supposons que le
client est relié au réseau filaire de l'entreprise. Page 4

Page 5
Le client wireless doit se connecter au site web du
serveur d'autorité de certificat afin d'installer le Page 6
certificat. Pour se faire il doit entrer l'url suivante dans
un explorateur web: http://192.168.0.254/certsrv

Il faut s'authentifier avec le compte utilisateur "UserWireless"

Une fois logué, nous avons accès à la page principale, il faut dans un premier temps ajouter
l'autorité principale de confiance. Pour se faire il faut cliquer sur "Download a CA certificate,
certificate chain, or CRL"

Il faut ensuite cliquer sur "install this CA certificate Chain", afin d'approuver cette autorité de
certificat.
Il faut ensuite revenir à la page principale afin d'installer un certificat utilisateur en cliquant sur
"Request a certificate"
Sélectionnez ensuite un certificat utilisateur.
Il ne reste plus qu'à installer le certificat sur le client wireless, en cliquant sur "Install this
Certificate"
Configuration de la borne

L’adresse IP sera la même que dans notre configuration basique :

SSID Manager:
 Figure 13: Security/SSID Manager

Dans le menu "Security/SSID Manager", il faut définir un SSID.

Comme "Authentication Settings" il faut spécifier "Open Authentication with Mac Authentication
and EAP" ainsi que "Network EAP with MAC Authentication".

Encryption Manager:
 Figure 14: Security/Encryption Manager

Dans le menu "Security/Encryption Manager", il faut spécifier "Cipher TKIP+WEP128bit" et fournir

une clef d'encryptions. Cette clé servira au moment de l’authentification mais ne sera pas à saisir
sur le client.

Advanced Security:
 Figure 16: Security/Advenced Security

Nous avons reglé l’authentification pour prendre en compte les adresses MAC. Dans le Menu
"Security/Adavanced Security ", il faut spécifier les adresses MAC des clients pour
l'authentification basée sur les adresses MAC.

Server ManP°MM/ager:
 Figure 15: Security/Server Manager

Dans le Menu "Security/Server Manager", il faut spécifier l'adresse IP ainsi que le secret partagé
du serveur RADIUS.