Beruflich Dokumente
Kultur Dokumente
04-04-2007
Une entreprise peut avoir besoin d’une connexion WAN entre deux sites.
Dans certains cas (liaison de secours ou liaison WAN pas cher) nous pouvons utiliser un tunnel IPSEC.
IPSEC est une technologie VPN qui fonctionne sur la couche3 du model OSI. C’est aussi un standard
IETF, ce qui signifie que nous pouvons l’utiliser entre des équipements de différents fabricants.
IPSEC est un “framework” qui spécifie plusieurs protocoles a utiliser afin de fournir un standard de
sécurité.
Authentication Header : AH
AH fournit de l’authentification de la donnée. Il est peut utilisé , ESP étant plus efficace et cryptant le
tout.
Plus tard dans notre configuration nous utiliserons ESP puisqu’il permet de crypter les données en
utilisant DES, 3DES ou AES. AH ne permet pas cela
Les VPN IPSEC utilisent le protocole IKE afin d’établir une communication sécurisé entre deux « peers
» a travers un réseaux non sécurisé. IKE utilise l’algorithme de DIFFIE-HELLMAN afin d’échange des
clés symétriques entre deux « peers » et de configurer les paramètres de sécurités associé au VPN. IKE
utilise le port UDP 500 et envoie des « keepalive » toutes les 10 secondes.
IKE:
- Elimine le besoin de spécifier manuellement tous les paramètres de sécurités sur chaque « peer ».
- Permet de configuré une durée de vie pour le SA (security association) de IPSEC .Une SA est un «
ensemble de contrat de sécurité ».
- Permet de changer les clés d’encryptions pendant la session IPSEC.
- Permet de fournir des services « anti-replay ».
- Supporte l’architecture PKI.
- Permet une authentification dynamique de chaque peer.
Apres ces quelques explications nous allons voir comment configurer un VPN IPSEC.
Nous avons deux sites (Paris et Chine). Nous avons déjà une connexion WAN qui fonctionne entre les
deux sites. Nous souhaitons configurer une connexion VPN entre PARIS et CHINE qui servira de
connexion de secours. Nous décidons d’utiliser notre connexion Internet qui coûte moins cher qu’une
connexion ISDN. Mais pour cela nous devons crypter notre trafic.
Voici les différentes étapes de configuration :
Nous devrons exécuter ces étapes de configurations sur les routeurs de PARIS et CHINE.
Nous utiliserons la commande suivante afin d’activer le moteur « software » au cas ou notre routeur ne
disposerait pas de moteur « hardware ».
Dans cet article nous utiliserons une « clé partagé » (Pre Shared Key) pour l’authentification. Elle doit
être associer à un « peer » distant qui utilise la même « clé partagé ». (Ici la PSK est labo-cisco).
Nous allons maintenant utiliser les paramètres suivant pour notre VPN sur les deux routeurs:
Authentication mode : Pre shared key (Nous pouvons aussi utiliser des « Username & Password »,
OTP, ou des certificats).
Hash Method : SHA (md5 or sha)
Encryption type : AES 192 (DES est par défaut , l’encryption AES peut utiliser de 128 à 256 bits )
Diffie-Hellman group à utiliser : 1 or 2 (group 1 est basé sur 768-bit et group 2 est basé sur 1024 bits).
Lifetime of the exchanged key : Nous utiliserons 3600 pour 1 heure.( Par défaut le compteur est à 86400
seconds = 1 journée )
Configuration:
CHINA (config)#crypto ipsec transform-set TSET esp-aes 192
PARIS (config)#crypto ipsec transform-set TSET esp-aes 192
Apres avoir entré cette commande nous avons un nouveau mode de configuration ou nous pouvons
configurer notre VPN en mode « Transport » ou « Tunnel »
Le mode « Tunnel » encryptera tout le « datagram » (y compris les IP sources et destination, gênant
ainsi la QOS) alors que le mode « Transport » encryptera seulement la donnée présente dans le
paquets IP (peut poser un problème de sécurité car une personne malveillante peut ainsi voir les vrai IP
sources et destination de chaque paquet IP).
CHINA(config)#mode tunnel
PARIS(config)#mode tunnel
Configurer une ACL qui spécifiera quel trafic peut/doit emprunter le VPN
Ici nous allons autoriser le traffic depuis le lan de PARIS vers le lan de CHINE.
Il faut utiliser une ACL étendue.
Sur Chine :
Et sur Paris :
PARIS(config)#access-list 101 permit ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
Configurer la « crypto-map »
Une « crypto-map » est comme un profil, qui va associer les ACL (crypto-ACL) , « transform-set »
configuré précédemment avec l’adresse IP du « peer » distant.
Et sur Paris :
PARIS (config-crypto-map)#crypto map VPN-2-Remote 10 ipsec-isakmp
match address 101
PARIS (config-crypto-map)#set peer 192.168.0.1
PARIS (config-crypto-map)#set transform-set TSET
Comme nous pouvons le voir dans la table de routage tout trafic provenant du LAN 10.0.1.0/21 vers
10.0.2.0/24 utilisera la liaison WAN principale.
Si celle-ci est inutilisable, rien ne se passera même si nous avons configuré le VPN IPSEC sur les deux
routeurs.
Nous pouvons ajouter une route statique flottante (AD plus grande que l’AD de RIP) qui peut ainsi
relayer la liaison principale arrête de fonctionner.
Il suffit de tapper:
Maintenant nous allons tester la route statique flottante quand la liaison principale est non utilisable.
Faisons un autre « traceroute » afin de confirmer que nous utilisons bien notre VPN.
CONFIGURATION DE RADIUS SUR ROUTEUR CISCO
31-03-2007
Page 1 sur 3
RADIUS (Remote Authentication Dial-In User Service) est un protocole client-serveur permettant
de centraliser des données d'authentification. RADIUS est supporté par toutes les plateformes
CISCO.
Dans cet article nous allons voir comment configurer un routeur Cisco afin qu'il puisse
communiquer avec un serveur RADIUS sur le réseau. Dans un premier temps nous verrons
comment identifier les environnements appropriés et inappropriés à l'utilisation de ce system de
sécurité. Ensuite nous verrons son fonctionnement. Puis nous traiterons de la configuration de
RADIUS à l'aide du jeu de commandes AAA (Authentication, Authorization and Accounting). Enfin
nous proposerons deux exemples de configuration.
NB : Afin de les changements prennent effet, ne pas oublier d'utiliser la commande copy
running-config startup-config.
2/ Fonctionnement de RADIUS
L'utilisateur est invité à rentrer son nom d'utilisateur et son mot de passe.
Le nom d'utilisateur et le mot de passe sont encrypté et envoyés à travers le réseau au
serveur RADIUS
L'utilisateur reçoit l'une des réponses suivantes de la part du serveur RADIUS :
28-03-2007
Page 1 sur 4
Cette article vous guidera pas à pas pour configurer un VPN sur un PIX.
INTRODUCTION:
Les réseaux privés virtuels (VPN) permettent d'interconnecter des réseaux
géographiquement éloignés en passant par le réseau public d'Internet. Les VPN fournissent une
solution fiable, à faible coût et permettent une administration plus aisé que les WAN
traditionnelles basées sur du Frame-relay ou des connexions par modems. Les VPN maintiennent
une sécurité identique aux réseaux privés et permettent ainsi aux utilisateurs d'accéder aux
ressources de leur entreprise depuis n'importe quel endroit muni d'Internet.
L'utilisation des VPN de type accès distant (remote access) fait partie d'une nouvelle
dynamique de travail puisque cela permet aux salariés d'une entreprise, par exemple, de se
connecter au réseau interne de l'entreprise depuis leur domicile. Cependant, comme toute
connexion à distance, cela pose certains problèmes de sécurité puisque les communications
passent par Internet : les pare-feux de la gamme Cisco, les PIX, offrent la possibilité de palier à ce
problème en utilisant des algorithmes de cryptage connus pour leur efficacité : AES, 3DES, MD5,
...
Un PIX Firewall peut être configuré tel un Easy VPN Server, c'est-à-dire que l'on va le
configurer de manière à ce qu'il contienne des règles VPN qui vont être envoyé à de multiples
dispositifs clients VPN : l'avantage est que l'on va configurer un seul PIX (qui va agir tel un
serveur) et donc centraliser les différentes règles VPN.
Cependant, un Easy VPN Server ne va accepter des connexions que de dispositifs clients
qu'il supporte, qui peuvent être de type logiciel ou de type matériel. En voici la liste :
clients logiciels : ces clients sont directement connectés au PIX faisant office d’Easy VPN Server par le
biais d’Internet, et requièrent l’installation d’un logiciel spécifique :
clients matériels : un Easy VPN Server est capable d’accepter la connexion de multiples clients
matériels dont voici la liste :
Pour chaque type de client, il y a donc une configuration spécifique puisque chacun d'eux
ne va pas utiliser le même type de connexion, d'authentification ou de sécurité. Le PIX Easy VPN
Server va ainsi être configuré en fonction du ou des clients. Voici une liste non exhaustive des
types de configurations :
Bien entendu il en existe d'autres mais les principales sont celles citées ci-dessus.
Nous allons nous intéresser aux clients de types logiciels avec l'utilisation de clés pré-
partagées (pre-shared keys) : notre exemple va couvrir l'eXtended Authentification (Xauth) pour
l'authentification des utilisateurs, le protocole IKE pour assigner des adresses IP, un serveur
RADIUS pour donner l'autorisation aux utilisateurs d'accéder à certains services, ainsi qu'une clé
pré-partagée pour l'authentification IKE.
CONFIGURATION DE NAT
18-01-2007
Page 1 sur 3
Configuration de la translation d'adresse sur un routeur Cisco
Le NAT vous permet d’utiliser des adresses IP privées sur votre LAN et de translater ces adresses afin de les
rendre accessible depuis un réseau public comme Internet.
Le réseau privé est définit sur l’interface intérieure et l’adresse publique sur l’interface extérieure de votre
routeur.
Dans sa forme la plus simple, le NAT statique, une adresse privée unique est redirigée, vers une adresse
publique unique. La forme la plus utilisée de Nat est un groupe d’adresse privées translate en une seule et
unique adresse publique. Cette forme de Nat est appelée « overloading ».
Le routeur principal (mainrtr) est connecté au LAN par l’interface Ethernet 0 (172.13.10.1/16), donc E0 sera
l’interface intérieure et E1 l’interface connectée à Internet (207.194.10.198/16).
Le routeur distant (remotrtr) est connecté au réseau local par l’interface E0 (172.25.10.1/24) et à Internet par
l’interface E1 (207.194.10.199).
Nous voulons que le routeur principal convertisse les adresses privées du Lan sur l’adresse 207.194.10.198,
étant donné que c’est la seule IP autorisée à envoyer des données au travers du tunnel IPSEC. Cela fournir de
plus un accès Internet au Lan, mais cela n’est pas notre objectif principal.
Nous voulons également que le routeur distant convertisse les adresses privées de son Lan sur l’adresse
207.194.10.199.
18-01-2007
Page 1 sur 2
Se connecter à un dispositif Cisco via son port console afin de pouvoir l’administrer 1 -
Introduction
Nous allons voir comment se connecter a un routeur Cisco sous GNU/Linux via le port serie
(COM).
2 - BIOS et Noyau
Il faut tout d'abord vérifier que le port série est actif au niveau du BIOS.
Puis configurez si nécessaire le noyau afin qu'il supporte le port série, pour cela rendez vous
dans le répertoire des sources de votre noyau (les noyaux de base livrés avec les distributions
l'active par defaut) :
# cd /usr/src/linux
# make menuconfig
Rendez-vous dans le menu Device Drivers -> Character devices -> Serial drivers
Copiez l'image de votre nouveau noyau dans /boot et configurez votre BootLoader.
LES IP HELPER-ADDRESS
Écrit par GUILLEMOT Erwan
18-01-2007
Page 1 sur 3
Comment remplacer l’addresse de broadcast par une adresse unicast
1. Introduction
L’ip helper address remplace l’addresse de broadcast par une adresse unicast
Configurée au niveau de l’interface pour le trafic entrant
Rappelons que l’un des premiers buts des routeurs est de bloquer les domaines de broadcast.
Mais il est peut être inconvénient de devoir implémenter des serveurs (par exemple DHCP) sur
chaque segment réseau.
Cette fonctionnalité permet de faire transiter des trames (paquets) de broadcast au travers d’un
routeur.
Syntaxe :
1. Introduction
Cet article a pour but de vous permettre de récupérer le ou les mot(s) de passe d’un PIX pour
les versions logicielles jusqu'à 6.3.
Cette procédure présente l’avantage de ne pas écraser la configuration, simplement de
changer les mots de passe tout en gardant la configuration existante, les authentifications
Telnet ou AAA Serveur pourront aussi être enlevées.
Pour information :
Si vous avez configuré une authentification AAA et que votre serveur d’authentification est en
panne vous pouvez essayer de vous connecter avec la configuration initiale du Telnet avec
comme login : « pix » et comme password : « password »
Si il n’y a pas de mot de passe configuré, essayez simplement avec comme login : « pix »
username pix
Si un mot de passe est configuré et que vous ne le connaissez pas alors vous devez continuer la
procédure de récupération de mot de passe suivante.
CREER UN ETHERCHANNEL
18-01-2007
Page 1 sur 3
Un etherchannel permet d’augmenter significativement la bande passante de votre backbone.
1 Introduction
· L’adresse IP source
· L’adresse IP destination
Un agrégat de 8 liens FastEthernet ne fournit donc pas 1,6GB/s (en full-duplex) mais redistribue
le trafic selon des méthodes de load-balancing.
Les ports de l’agrégat doivent avoir les mêmes caractéristiques (même vitesse, même VLAN et
être en mode trunk s’il doit redistribuer le trafic des différents VLANs.
CONFIGURER VTP
18-01-2007
Page 1 sur 3
VTP (VLAN Trunking Protocol) échange des trames de configuration de VLANs entre des
commutateurs d’un groupe (domaine VTP)
1. Introduction
VTP (VLAN Trunking Protocol) échange des trames de configuration de VLANs entre des
commutateurs d’un groupe (domaine VTP). Ces trames renseignent les différents commutateurs
sur la création, la suppression, le changement de nom et d’autres informations sur les VLANs.
Cela permet de configurer les VLANs sur un seul commutateur, et ce dernier grâce à VTP
transférera ces informations aux autres commutateurs du même domaine.
· Server :
Permet de créer, supprimer ou modifier les informations des VLANs. Ce commutateur enverra
aux autres ces informations. C’est le mode par défaut d’un commutateur.
· Client :
· Transparent :
En VTP version 1, le commutateur transparent ne relaie pas les informations VTP et ne les
applique pas. En VTP version 2, le commutateur relaie les informations mais ne les applique pas.
1.Introduction
DHCP (Dynamic Host Configuration Protocol) permet aux utilisateurs d’obtenir automatiquement
une configuration IP lors du démarrage des services réseaux. Ces informations sont envoyées
aux stations hôtes par le serveur DHCP. En général c’est un serveur distinct qui joue le rôle
DHCP Server. Cependant sur des réseaux de petites tailles, il est possible de faire d’un routeur
un serveur DHCP afin d’économiser les coûts inhérents à l’achat d’un serveur dédié.
2.Configuration
La première étape consiste à créer un pool d’adresse. Les adresses IP attribuées aux clients
seront prises parmi les adresses libres du pool. La commande est la suivante ip dhcp pool
nom_du_pool
On rentre alors en mode de configuration du pool DHCP. On peut créer plusieurs pool sur un
routeur.
Ensuite on indique la plage d’adresse présente dans le pool à l’aide de la commande network
réseau masque
On peut spécifier jusqu’à 8 serveurs DNS. Pour la durée du bail, on rentre successivement le
nombre de jours, le nombre d’heures et le nombre de minutes. Dans cet exemple, le client aura
un bail d’un jour, 4 heures et 30 minutes. La commande lease infinite permet d’attribuer un bail
éternel.
Par défaut le service DHCP est activé sur les routeurs le supportant. Si on souhaite le désactiver,
il faut taper la commande no service dhcp. Pour le réactiver : service dhcp
Finalement, on pourra exclure des adresses du pool, afin que le serveur n’attribue pas ces
adresses (par exemple les adresses des serveurs).
18-01-2007
Page 2 sur 2
3.Vérification
Pour voir les baux d’adresses qui ont été attribués par le routeur, il faut taper la commande show
ip dhcp binding
Finalement, on peut aussi visualiser en temps réel les opérations du serveur DHCP en tapant la
commande debug ip dhcp server events
18-01-2007
Page 1 sur 5
Configurez le protocole NTP sur vos dispositifs réseaux.
1. Introduction
Il fonctionne via le port UDP 123 (bien que le port TCP 123 soit aussi réservé pour le protocole
NTP) et sert à se connecter à des serveurs qui eux, en théorie, sont connectés à une horloge
atomique. Cela permet d’avoir une synchronisation quasi-parfaite entre vos dispositifs.
Nous allons voir dans cette article comment configurer un dispositif afin d’utiliser le protocole
NTP, que ce soit pour agir en tant que serveur NTP ou simplement pour synchroniser votre
appareil.
TOR
Écrit par PAPIN Nicolas
18-01-2007
Page 1 sur 3
"The Onion Router" Créer un réseau sécurisé
Il existe de plus en plus sur Internet des soucis d’anonymats et de confidentialité des données
personnelles. Est-il possible aujourd’hui d’utiliser le réseau public mondial, de façon
sécurisée et anonyme ? C’est ce que TOR propose de faire.
1 – L’anonymat
Comment se passent aujourd’hui les communications passant par le réseau public (Internet) ?
Avec tout protocole routé, les en-têtes des paquets identifient l’adresse source et destination. Il
est donc possible d’intercepter un message, de trouver de qui il provient, à qui il est destiné et de
savoir les routes empruntées tout au long du cheminement.
Même en ajoutant du chiffrage, le contenu du message sera codé, mais cette route restera
décelable.
La question peut alors se poser, qui à un réel besoin d’anonymat sur Internet ?
En premier lieu les gouvernements, les données sensibles ont besoin d’êtres échangées sur des
réseaux sécurisés. L’utilisation de l’anonymat pour un gouvernement peut être comprise pour le
rassemblement d’informations sur des sites sensibles, les réseaux des armées, les coalitions
internationales…
· Qu’achetez-vous sur Internet, quels livres lisez-vous, la musique que vous écoutez...
Bien sur tout cela peut paraître sorti d’un film d’espionnage mais cela peut devenir au fil des
années une réalité. Par exemple pour une société peu scrupuleuse, c’est un moyen de se
renseigner des habitudes d’achat d’internautes et donc une forme de violation de la vie privée.
Il faut donc un moyen de trouver un chemin dédié et sécurisé entre l’émetteur et le récepteur.
VLAN
18-01-2007
Page 1 sur 6
Configuration d'un routage inter-VLAN Introduction et rappels
Cet article a pour but d'expliquer et d'établir une configuration de routage inter-VLAN.
Un VLAN peut être assimilé à un domaine de broadcast. Typiquement, dans une configuration de
VLAN, chaque VLAN comprend son propre sous-réseau. Sans équipement de couche 3, il est
donc impossible pour les terminaux d'un VLAN de communiquer avec les terminaux d'un autre
VLAN.
Le VLAN Trunking Protocol (VTP) est nécessaire si l'on veut étendre une configuration de VLAN
sur plusieurs commutateurs.Un trunk est nécessaire pour une connexion entre deux
commutateurs traitant des VLANs. Ce trunk représente un canal par lequel transitent les trames
des différents VLANs d'un commutateur à un autre. Pour que les commutateurs "sachent" à quel
VLAN appartient une trame, un étiquetage est nécessaire. C'est pourquoi on utilise un protocole
d'étiquetage : ISL (Cisco) ou 802.1q (IEEE). Nous utiliserons ici le 802.1q qui est le protocole
utilisé par défaut.
Le protocole SNMP (Simple Network Management Protocol) est très utilisé dans le milieu de
l’administration réseau.
Le recueil de ces informations permet d’être informé à tout moment de ce qui se passe sur le
réseau et permet de réagir rapidement en cas de problème sur celui-ci, notamment en
permettant le management à distance des différents équipements réseaux utilisant le
protocole SNMP.
Afin d’éviter tout détournement d’information ou contrôle non autorisé sur ces divers
équipements, il est également possible d’instaurer des mesures de sécurité permettant de
s’assurer que seules des personnes autorisées puissent consulter ces bases d’informations
et interagir avec ces équipements.
18-01-2007
Page 1 sur 4
Configuration Wi-Fi du routeur Linksys WRT55AG 1. Description du matériel utilisé
Nous allons utiliser le modèle Linksys WRT55AG de Cisco qui réalise des opérations de
routage avec 4 ports full duplex 10/100 Mbps et point d’accès Wi-Fi aux normes 802.11a
802.11b 802.11g. Le WEP (Wireless Equivalent Privacy) y est présent pour sécuriser votre Wi-
Fi.
2.Installation
Si vous ne pouvez pas brancher votre modem sur le routeur, vous pouvez néanmoins l’utiliser en
tant que commutateur et point d accès Wi-Fi tout en partageant Internet par le biais de votre
ordinateur.
Il vous suffira de brancher l’ordinateur partageant Internet sur un des ports 10/100 du routeur.
ROUTES STATIQUES
18-01-2007
Page 1 sur 7
Configuration des routes statiques, routes flottantes et leur distribution. 1.Introduction
D’un côté, l’administrateur réseau peut recourir vers la simplicité en utilisant les routes
statiques. Cela est un choix légitime pour des petits réseaux qui peuvent être facilement
contrôlés de près. Un petit système autonome (AS) est souvent connecté à son ISP par le
biais des routes statiques pour la même raison, qu’est la simplicité. Effectivement, mettre en
place des routes statiques est une configuration moins onéreuse par rapport à la mise en
place de BGP et/ou la redistribution entre des protocoles de routage.
De l’autre côté, les routes statiques peuvent être utilisées pour la sécurité supplémentaire du
réseau. Lorsqu’une liaison tombe en panne, un autre chemin pourrait être pris, indiqué par la
route statique.
Pour trouver la meilleure route, un routeur compare l’adresse de destination du paquet avec les
adresses réseau de sa table de routage.
Les routes statiques représentent des réseaux distants, éloignés par un saut au moins.
Lorsque la table de routage est créée manuellement, les routes sont dites statiques. La
configuration de la métrique et de la distance administrative est laissée à l’administrateur.
ROUTES STATIQUES
18-01-2007
Page 2 sur 7
2.Route statique
Pour configurer une route statique, la commande ip route est utilisée à partir du mode de
configuration globale :
Mot-clé Description
préfixe L’adresse IP du réseau distant
masque Le masque du réseau distant
prochain_saut L’adresse IP du prochain saut
int_type int_num L’interface de sortie (décrite par le type et
le numéro)
distance Distance administrative
tag Marqueur utilisé pour la redistribution de
routes
permanent Ne jamais effacer la route (même si
l’interface tombe)
Voici un exemple de configuration simple des routes statiques. Trois routeurs RTA, RTB et RTC
sont connectés en série :
Figure 1 – Topologie simple
Pour lier ces trois routeurs, il faut placer une route statique sur les routeurs de bord. Attention, il
est important de définir pour tous les routeurs tous leurs réseaux distants. Dans le cas contraire,
on court le risque d’avoir des équipements qui reçoivent des paquets, mais ne savent pas
comment les renvoyer vers la source.
Dans l’exemple, présenté ci-dessus, le réseau distant pour le routeur RTA est 20.0.0.0/8 et le
prochain saut menant vers ce réseau est 10.0.0.2/8. Alors la configuration est :
Le routeur RTB est directement connecté aux deux autres. La configuration pour le routeur RTC
est :
Il serait parfaitement légitime de spécifier l’interface de sortie (interface ethernet 0) menant vers
le réseau distant, en lieu de l’adresse IP du prochain saut. Cependant, spécifier l’adresse du
prochain saut est la méthode plus précise, et plus sûre.
Pour comprendre le fonctionnement des routes statiques configurées avec l’interface sortante,
considérons l’exemple suivant.
DHCP SNOOPING
19-01-2007
Page 1 sur 5
Le DHCP Snooping est une solution de sécurité permettant d’empêcher les attaques utilisant
des serveurs DHCP pirates au sein d’un réseau.
1. Introduction
Cependant il est possible qu’une personne mal intentionnée puisse exécuter sur son
ordinateur un serveur DHCP afin de distribuer aux utilisateurs des configurations réseaux
spécifiques qui serviront à des fins malicieuses.
Pour palier à ces problèmes de sécurité, Cisco a mis en place une solution permettant de
déterminer au sein des équipements les plus proches des utilisateurs (commutateurs) les
serveurs qui sont seulement autorisés à diffuser des configurations DHCP au sein du réseau.
Cette solution nommée « DHCP Snooping » vous sera présentée à travers cet article en vous
présentant tout d’abord la théorie puis les commandes vous permettant d’implémenter cette
solution au sein d’un réseau.
Introduction
Cet article a pour but de présenter la configuration d'un lien point à point entre deux routeurs sur
des interfaces RNIS de deux manières différentes. Le tout avec sur chaque routeur une seule
interface de BASE (BRI 0). La première configuration met en place des profils d'appels (dialer)
que l'on nommera par la suite Dialer profile tandis que la deuxième met en place des mappages
directement sur l'interface RNIS du routeur concerné, on dénommera cette configuration Dialer
Map. Voici ci-dessous le schéma logique de configuration entre les deux routeurs :
CONFIGURATION HSRP
19-01-2007
Page 1 sur 4
Configuration du protocole HSRP
HSRP (Hot Standby Routing Protocol ) est un protocole propriétaire crée par Cisco et très
utilisé aujourd’hui dans nos LAN.
De ce protocole est dérivé VRRP (Virtual Router Redundancy Protocol), normalisé et utilisé
chez la plupart des autres constructeurs (Nokia, Alcatel..)
En pratique, HSRP permet qu’un routeur de secours (ou spare) prenne immédiatement, de façon
transparente, le relais dès qu’un problème physique apparaît.
Cet article décrit tout d’abord le fonctionnement puis la configuration à effectuer.
18-01-2007
Page 1 sur 2
Procédures de recuperation de mot de passe oublié
Cet article à pur but d’expliquer la procédure à suivre quand on a malheureusement perdu les
mots de passe d’un routeur Cisco 2600. Cette procédure présente l’avantage de ne pas
écraser la configuration, simplement de changer les mots de passe tout en gardant la
configuration existante. La connexion doit se faire par un câble console.
Nous nous trouvons dans l’impossibilité de rentrer dans le mode privilégié du routeur.
La solution décrite dans la procédure est de redémarrer en mode ROM, avec l’image minimaliste
afin de changer la valeur du registre de configuration.
Il faut ensuite redémarrer le routeur avec l’interrupteur et appuyer sur la touche CTRL et
« Pause » ou « Break » au clavier dans les 30 secondes après le démarrage. L’écran suivant doit
alors apparaître :
Nous sommes alors avec l’image minimaliste, très peu de commandes sont disponibles.
La valeur normale du registre de configuration est : 0X2102, nous allons pour ignorer la
configuration passer cette valeur en confreg 0X2142 :
Puis on redémarre avec la commande reset, cette valeur du registre de configuration permet
d’ignorer la copie du fichier de configuration de sauvegarde dans le fichier de configuration
active. Autrement dit, d’ignorer les mots de passe.
Après redémarrage le routeur demande si l’on veut rentrer dans le mode SETUP, répondre « no »
à cette question.
La prochaine étape est de rentrer dans le mode privilégié avec cette configuration « vierge » :
Aucun mot de passe ne nous est demandé car la configuration est vierge.
LE PROTOCOLE EIGRP
18-01-2007
Page 1 sur 4
Configuration du protocole EIGRP
Introduction
Il s’agit en effet d’une évolution du protocole propriétaire de Cisco, l’IGRP. Il a la particularité d’allier la connectivité à
états de liens et à vecteur de distance :il est hybride.
Enhanced IGRP garde en mémoire toutes les tables de routages de ces voisins, ce qui permet rapidement de s'adapter à
une route alternative. Si aucune route appropriée existe, alors il va demander à ses voisin de lui en découvrir une et va
propager les demandes jusqu'à ce qu'une route soit trouvée.
De plus, il ne fait pas de mise à jour périodique des ses tables, mais envoie de partielles mises à jour lorsque la distance pour
une route change. La propagation de ces mises à jour est uniquement effectuée vers les routeurs qui ont besoin de ces
informations. Ce qui fait que Enhanced IGRP consomme beaucoup moins la bande passante que IGRP.
La première étape consiste à configurer les règles IKE sur les 2 routeurs. Les règles IKE précisent le type
d’encryption et de découpage à utiliser ainsi que le type d’authentification qui sera implémenté. Les paramètres
doivent impérativement être les mêmes sur les 2 routeurs.
18-01-2007
Page 1 sur 7
Dans cet article, vous apprendrez à configurer les routeurs de ce domaine de routage, afin de
permettre la connectivité de tous les ordinateurs.
Dans cet article, vous apprendrez à configurer les routeurs de ce domaine de routage, afin de permettre la connectivité de
tous les ordinateurs.
L’ interface S0 de tous les routeurs sont la partie ETCD (Équipement de communication de données, il fournit le signal de
synchronisation).
L’interface S1 de tous les routeurs sont la partie ETTD (Équipement terminal de traitement de données, il utilise
généralement la signalisation de synchronisation générée par l'ETCD).
Lorsque vous connectez les routeurs entre eux, apportez une attention particulière au sens du câble. Ce dernier a une
extrémité ETCD et une extrémité ETTD.
L’interface E0 de tous les routeurs est connectée à un concentrateur et permet de connecter vos périphériques.
La configuration que nous allons créer est basé sur la topologie suivante, le protocole utilisé pour faire communiquer les
routeurs sera le protocole RIP :
RECUPERATION DE MOT DE PASSE
18-01-2007
Page 1 sur 4
Retrouvez les procédures de changement de mot de passe oublié sur tous les routeurs Cisco
L’oubli du mot de passe d’un routeur est un vrai handicap, c’est pourquoi les routeurs CISCO permettent la récupération
de ce dernier.
La procédure étant relativement simple, il est indispensable que ce genre de périphérique soit installé dans un local
technique fermant à clé.
2.Dès les premières secondes du démarrage, appuyez simultanément sur Ctrl et Pause.
LE REGISTRE DE CONFIGURATION
18-01-2007
Page 1 sur 4
Le registre de configuration
1) Généralités
Le registre de configuration a une taille de 16 bits, et s’exprime sous la forme d’une valeur hexadécimale.
Depuis IOS, en utilisant la commande config-register {valeur} dans le mode de configuration globale.
Depuis le mode RXBoot, accessible en utilisant la combinaison de Break avant les 60 secondes qui suivent le
démarrage à froid du routeur (en général Ctrl-Pause). La commande permettant de modifier la valeur dépend du type de
dispositif sur lequel on se trouve.
La valeur par défaut du registre de configuration est 0x2102.
18-01-2007
Page 1 sur 2
La bannière est le texte qui vous accueille lorsque vous vous connectez au routeur
La bannière est le texte qui vous accueille lorsque vous vous connectez au routeur.
Pour créer votre bannière, il suffit de rentrer en mode de configuration globale de votre routeur :
18-01-2007
la commande clock vous permet de configurer la date et l'heure sur votre routeur Cisco
la commande clock vous permet de configurer la date et l'heure sur votre routeur Cisco :
LA COMMANDE SHOW
18-01-2007
La commande show est tres efficace pour le monitoring et le dépannage La commande show est tres
efficace pour le monitoring et le dépannage. Vous pouvez l'utiliser pour executer toute une série de fonctions :
Le tableau suivant présente les usages les plus courants de la commande show :
affiche les listes de controles d'accès configurés sur le routeur ainsi que les interaces auxquelles
show access-lists
elles se rapportent
show buffers affiche l'état du tampon du routeur
show clock affiche les paramêtres horaires du routeur
affiche différentes statistiques pour l'interface concernée comme par exemple le type de média
show <interface>
raccordé
show DECnet static affiche les routes statiques configurées
show flash affiche la version de lIOS utilisés par le roueur ainsi que que ma quantoté de mémoire flash utilisée
show flash all affiche la quantité de mémoire flash utilisée
show interfaces affiche les statisques ainsi que les caractéristiques de toutes les interfaces du routeur
show interfaces
affiche un aperçu des protocoles voyagant au travers des interfaces
accounting
show ip arp affiche la table arp du routeur
show ip OSPF
affiche le statut d'ospf sur l'interface concernée
<interface>
show ip route affiche la table de routage IP
show IPX interfaces affiche l'état des interfaces IPX ainsi que leur adresse MAC
show ip protocols affiche les information de routage
show ip traffic affiche les statistique de traffic passant par le routeur
show ipx servers affiche les serveurs que le routeur connait
show line affiche les lignes actives du routeur
show log affiche les logs du routeur ( il convient d'activer les logs au préalable)
show memory affiche l'état de la mémoire du routeur
show running-config affiche la configuration stockée en RAM, utilisée par le routeur en fonctionnement
show startup-config affiche la configuration stockée en NVRAM, utilisée par le routeur au démarrage
show tcp affiche les connections TCP
affiche le uptime du routeur, la version de l'IPS, la séquence de boot ainsi que les caractéristiques
show version
physiques du routeur
Il existe un nombre incroyables d'autres options pour la commande show, pour les connaîtres, utilisez l'aide du routeur en
tapant la commande : "show ?".
Il est important de rappeller que les options disponibles différent en fonction du mode ou l'utilisateur se trouve.
18-01-2007
En fonction des méthodes que vous utilisez pour vous connecter à votre routeur Cisco, les
flêches ou autre moyen de navigation usuels peuvent fonctionner de manière aléatoire En fonction
des méthodes que vous utilisez pour vous connecter à votre routeur Cisco, les flêches
ou autre moyen de navigation usuels peuvent fonctionner de manière aléatoire.
Voici la liste des raccourcis claviers vous permettant de naviguer dans la configuration de votre équipement Cisco :
Esc < affiche la première commande situé dans l'historique des commandes
Esc > affiche la dernière commande situé dans l'historique des commandes
Esc b déplace le curseur d'un mot en arrière
Esc c selectionne le mot après le curseur
Esc d efface le mot après le curseur
Esc f avance le curseur d'un mot
Esc i Tab
Esc l passe le mot placé après le curseur en minuscules
Esc u passe le mot placé après le curseur en majuscules
Esc y colle le tampon
Esc Del efface le mot placé avant le curseur
ACL
18-01-2007
Page 1 sur 4
Les Listes de Contrôle d’Accès
1- Définition
Une liste de contrôle d’accès est une collection d’instructions permettant d’autoriser ou de refuser des paquets en
fonction d’un certain nombre de critères, tels que :
-L'adresse d'origine
-L'adresse de destination
-Le numéro de port.
-Les protocoles de couches supérieures
-D’autres paramètres (horaires par exemple)
Les listes de contrôle d'accès permettent à un administrateur de gérer le trafic et d'analyser des paquets particuliers.
Les ACLs sont associées à une interface du routeur, et tout trafic acheminé par cette interface est vérifié afin d'y déceler
certaines conditions faisant partie de la liste de contrôle d'accès.
Les ACL peuvent être créées pour tous les protocoles routés. Il faut donc définir une liste de contrôle d'accès dans le cas de
chaque protocole activé dans une interface pour contrôler le flux de trafic acheminé par cette interface.
Dans le cas de certains protocoles, il faut créer une liste de contrôle d'accès pour
filtrer le trafic entrant et une pour le trafic sortant.
Lorsque le routeur détermine s'il doit acheminer ou bloquer un paquet, la plate-forme logicielle Cisco IOS examine le paquet
en fonction de chaque instruction de condition dans l'ordre dans lequel les instructions ont été créées.
Si le paquet arrivant à l’interface du routeur satisfait à une condition, il est autorisé ou refusé (suivant l’instruction) et les
autres instructions ne sont pas vérifiés.
18-01-2007
Page 1 sur 4
Sauvegardez et deployez vos fichiers de configuration de routeur
Introduction :
Une fois la configuration de nos routeurs terminée, il est important de stocker ces fichiers de configuration. En effet, sur
les réseaux critiques il est souvent nécessaire de posséder des routeurs de rechange préconfigurés pour opérer à un
remplacement rapide en cas de panne. Pour cela, on peut importer et exporter les configurations sur des serveurs TFTP.
Serveur TFTP :
TFTP, pour Trivial File Transfer Protocol , est un protocole de la pile TCP/IP qui permet l’échange d’informations entre les
nœuds. Comme l’indique son nom, ce protocole est simplifié par rapport au protocole FTP et ne permet pas l’authentification
des utilisateurs.
Vous trouverez aisément un serveur TFTP sur Internet, en voici un exemple à www.solarwinds.net
Dans cet exemple, l’adresse du serveur est 192.168.10.222 (adresse de la machine sur laquelle est installé le serveur TFTP).
18-01-2007
Page 1 sur 4
Configuration du routage IPX sur les réseaux Novell
Préambule :
Depuis le début des années 80, le système d’exploitation Netware de Novell offre de nombreuses application de client-
serveur. Avec plus de 5 millions de réseaux et 50 millions d’utilisateurs, Netware, et plus précisément la pile de protocole
IPX/SPX, reste un élément incontournable de l’administration réseau.
Cet article traitera essentiellement de la configuration du routage Novell, et ne s’intéressera pas en détail aux protocoles liés
à la pile IPX/SPX (IPX, SPX, SAP, NLSP, RIP).
L’adressage IPX :
L’adressage IPX permet, comme l’adressage IP, d’obtenir un système hiérarchique, offrant ainsi aux administrateurs les
bases de la conception LAN.
Ces adresses occupent 80 bits : 32 bits (en caractères hexadécimaux) définissant le numéro de réseau choisit par
l’administrateur et 48 bits pour la partie représentant le nœud qui correspondent à l’adresse MAC de l’hôte.
L’avantage de l’utilisation de l’adresse MAC pour la partie hôte du nœud est que le protocole ARP (gourmand en ressources
réseau) devient inutile et donc inutilisé.
Préambule : Les routeurs Cisco utilisent le système d’exploitation IOS pour gérer les opérations propres au routage et à la
configuration du dispositif. Vous pouvez être amené à réparer une version défectueuse d’IOS ou à installer une version
plus récente sur votre routeur.
Démarrez votre serveur TFTP. Vous pouvez télécharger un serveur TFTP gratuit à l’adresse suivante :
www.solarwinds.net
Le routeur vous demande l’adresse du serveur, dans ce cas : 192.168.10.222. Ensuite, vous devez rentrer le nom du fichier
que vous voulez uploader. (Le routeur vous propose le nom du fichier IOS installé).
Pour terminer, vous devez indiquer un nom pour le fichier qui sera stocké sur le serveur.
RIP
18-01-2007
Page 1 sur 2
Configuration du protocole RIP
1) Description
RIP (Routing Information Protocol) est relativement ancien, mais est encore couramment utilisé. Il s’agit d’un IGP (Interior
Gateway Protocol) créé pour être utilisé dans de petits réseaux homogènes, et est un protocole de routage à vecteur de
distance.
RIP utilise le protocole UDP en diffusion (Broadcast) pour échanger l’information de routage.
Caractéristiques principales :
a) Activation de RIP
Il faut maintenant indiquer quels sont les réseaux directement connectés au routeur interagiront au niveau des mises à jour.
Ceci inclus les réseaux sur lesquels le routeur enverra les paquets de mise à jour ainsi que les réseaux qui seront inclus dans
les mises à jour. Il faut utiliser la commande network {réseau}, depuis le mode de configuration du protocole de routage.
Il est possible d’émettre ces mises à jour vers des destinataires uniques en utilisant la commande neighbor {IP}, dans le
mode de configuration du protocole de routage.
Les métriques des entrées apprises par RIP ont généralement pour valeur le cumul de celles présentes dans le paquet de mise
à jour avec la métrique du lien entre le routeur local et celui qui a envoyé la mise à jour.
La commande offset-list [acl] {in | out} {valeur} [{type} {numéro}] du mode de configuration du protocole de routage
configure ce système d’incrémentation :
CONFIGURATION CHAP
18-01-2007
Page 1 sur 3
Configuration du protocole CHAP
1 - Introduction
La configuration du protocole CHAP sur les routeurs Cisco assure une protection maximale grâce à l’utilisation de la
méthode défi-réponse. Le fait de répéter cette méthode au cours des connexions permet de limiter le temps d’exposition à
une quelconque attaque. La méthode d’authentification CHAP dépend d’un secret que seul l’authentificateur connaît.
Dans cet exemple de configuration, nous disposons de deux routeurs nommés respectivement « Dessus » et « Dessous ». Le
principe de ce protocole CHAP consiste à configurer sur chaque routeur un compte qui autorisera l’autre à s’y connecter
ACL IPX
18-01-2007
Page 1 sur 6
Configuration de listes d’accès avec le protocole IPX
Le protocole IPX est un protocole de couche 3 non orienté connexion. Ainsi, il n’utilise pas de système d’accusé de
réception pour chaque paquet et définit les adresses de réseau et de nœud.
Ce protocole fonctionne de manière similaire à TCP/IP sous réserve qu'un routeur multi protocole soit installé.
Pour activer le routage avec IPX il faut utiliser la commande IPX routing en mode de configuration globale
- le numéro de réseau : attribué par l'administrateur réseau, comprend jusqu'à huit chiffres hexadécimaux.
l'adresse MAC d'une interface réseau. L'utilisation de l'adresse MAC dans l'adresse logique IPX élimine
- le numéro de nœud : généralement l'adresse MAC d'une interface réseau du nœud d'extrémité
exemple :
Note : Les interfaces série utilisent l'adresse MAC de l'interface Ethernet comme adresse de nœud IPX.
A l’instar de TCP/IP, IPX utilise des plages de numéros pour classer les différents types de liste de contrôle d’accès :
Type Plage
ACL IPX Standard 800-899
ACL IPX Etendue 900-999
ACL IPX SAP 1000-1099
Note :Les ACL ont besoin d'un numéro unique pour être identifiées.
Le numéro 833 définit une liste d'accès IPX standard qui autorise les paquets provenant du réseau 4a1d.000.0c56.de34 vers
le réseau 4acb. N'oubliez pas qu'une seule liste de contrôle d'accès est permise par port, par protocole et par direction.
Note : Toutes les ACL sont configurées par défaut avec un « DENY ALL » implicite et tous les masques représentés en binaire
avec ip sont représentés en hexadécimal avec ipx.
19-01-2007
Page 1 sur 6
Configuration d'EAP-TLS sur l'AP 1200 Cisco
Introduction :
Les réseaux sans fil, ou WLAN (pour Wireless LAN), réussissent à conjuguer tous les
avantages d’un réseau filaire traditionnel comme Ethernet ou Token Ring mais sans la
limitation des câbles.
La mobilité est maintenant l’attrait principal pour les entreprises, la possibilité d’étendre son
réseau LAN existant selon les besoins de l’organisation.
Le média utilisé par les WLANs est l’air et particulièrement des fréquences radio à 2,4 GHz et 5
GHz.
On parle de "réseaux sans fil" mais la plupart du temps, ces réseaux sont intégrés aux LANs
traditionnels, juste considérés comme une extension à l’existant. Aujourd’hui, grâce à des
normalisations de l’IEEE et du "Wi-Fi Alliance", les équipements sans fil sont standardisés et
compatibles, ce qui explique l’engouement croissant pour ce type de réseau de moins en moins
coûteux.
L’Access Point (ou point d’accès) est une station qui transmet et reçoit des données dans un
réseau local sans fil (WLAN). Un AP peut servir de point d'interconnections entre le WLAN et un
réseau fixe de fil. Chaque point d'accès peut servir plusieurs utilisateurs dans un secteur défini
de réseau. Lorsque l’utilisateur se déplace au delà de la couverture d'un point d'accès, il est
automatiquement reconnecté sur le prochain AP.
Dans cet article nous allons expliquer de façon la plus précise possible la configuration d’un AP
de type 1200 Cisco. Pour cela, nous verrons dans un premier temps une configuration de base
pour ensuite configurer l’EAP-TLS avec certificat Radius sur un Windows 2003.
• Un nom de système
• Un SSID (Service Set Identifier) pour le réseau radio
• Une adresse IP unique (si l’AP n’utilise pas le serveur DHCP)
• Une passerelle par défaut et masque de sous réseau (si l’AP n’est pas sur le même sous
réseau que le PC d’administration)
• Un nom de communauté SNMP et le fichier SNMP attribué (si SNMP est utilisé)
Pour passer en mode privilégié sur l’AP, le mot de passe par défaut est : Cisco
Il existe 2 interfaces permettant de configurer son AP, Pour administrer l’AP, le nom d’utilisateur
par défaut est « Cisco » avec le mot de passe « Cisco » :
Dans cet article, nous resterons en mode Web, mais les commandes existent en CLI et sont
similaires à tous les matériels Cisco
http://www.cisco.com/univercd/cc/td/doc/product/wireless/airo1100/accsspts/i1237ja/cr1237ja/cr37main.ht
m
Nous allons commencer tout d’abord par quelques paramètres de base sur la page Express
Setup :
Cette page permet de régler
plusieurs paramètres tels que :
Hostname
Protocole serveur configuré
Adresse IP
Masque
Passerelle
Communauté SNMP
Il faut savoir que par défaut, la borne se met en 10.0.0.1 et fait un DHCP pour les clients. Dans le
cadre d’un petit réseau domestique par exemple.
Par contre il y a également la possibilité que la borne prenne une IP sur une plage définie par
l’administrateur afin de rejoindre un LAN existant. Il faut toujours garder à l’esprit que ce type de
borne n’est pas routeur, elle fonctionne au niveau 2 du modèle OSI et donc ne pourra pas traiter
deux réseaux différents.
La configuration basique est surtout sur l’interface Radio, nous allons utiliser quelques options
de cette page (Network Interfaces, Radio0) :
Ci-dessus, les réglages sont par défaut.
Pour le débit (Data Rates) toutes les vitesses sont listées, on peut les rendre obligatoires
(Require), simplement les activer (Enable) ou les désactiver (Disable).
- Best Range : La meilleure portée, les plus petites vitesses seront sélectionnées afin que le
client puisse capter le plus loin possible. Ce choix de la portée se fera au détriment du débit.
- Best Throughput : Le meilleur débit. Les plus grandes vitesses seront sélectionnées afin
que les clients aient un accès rapide. Ce choix du débit se fera au détriment de la portée.
Pour notre configuration basique, les réglages par défaut sont satisfaisants.
Channel :
La sélection du canal d’émission est très importante, aujourd’hui de nombreux points d’accès
sont présents.
Le mieux est tout d’abord de vérifier la bande de fréquences avec un PC WIFI équipé par exemple
avec netstumbler (http://www.netstumbler.com/ ) .
Il y a 13 Channels autorisés en France, ce qui signifie que le choix est assez limité.
Astuce : La technologie utilisée répand le signal sur plusieurs canaux alentours. Il est fortement
conseillé de choisir un canal libre d’au moins 3 à 4 canaux autour (Exemple Canal 1, 5, 9 et 13)
sont parfaitement espacés pour ne pas avoir de perturbations)
<<Précédent - Suivant>>
Pour mettre en place notre architecture WLAN sécurisée les composants suivant sont requis:
Mise en place d'un domaine Active Directory sous Windows 2003 Server
Pour transformer un serveur autonome en serveur de domaine Active Directory, il suffit de lancer
la commande dcpromo.
Nous installons ici un contrôleur de domaine pour un nouveau domaine, dans une nouvelle forêt
Active Directory.
Active Directory se base sur DNS pour la résolution de nom, un serveur DNS doit donc être
configuré pour le nouveau domaine.
Il faut ensuite indiquer le nom pleinement qualifié du nouveau domaine. Dans notre exemple le
nom du domaine sera Azatar.lan.
Le nom NetBIOS du nouveau domaine sera donc AZATAR.
Il faut ensuite spécifier l'emplacement de la base de données Active Directory ainsi que
l'emplacement des fichiers de log.
Il faut ensuite spécifier l'emplacement du dossier Sysvol. Le dossier sysvol contient les fichiers
du domaine commun à tous les contrôleurs de domaine.
La configuration du domaine Active Directory est presque fini, cliquez sur suivant pour créer le
domaine.
Une fois l'installation terminée, le serveur doit être redémarré.
CONFIGURATION AP 1200 CISCO AVEC EAP-TLS
Écrit par PAPIN Nicolas
19-01-2007
Page 4 sur 6
Index de l'article
Installation du serveur de l'autorité de Configuration AP 1200 Cisco avec EAP-TLS
certificat racine
Page 2
Le serveur de l'autorité de certificat va distribuer les Page 3
certificats X509, qui seront utilisés pour
l'authentification des clients wireless. Pour Page 4
fonctionner, le serveur de l'autorité de certificat
Page 5
nécessite les services IIS (Internet Information Server).
Pour installer IIS, il suffit de se rendre dans le menu Page 6
"Add/Remove windows components" situé dans le
menu "Add/Remove programs" dans le panneau de configuration.
L'installation du service de certificats se fait de la même manière.
Il faut désormais spécifier m'emplacement de la base de donnée pour l'autorité de certificat ainsi
que l'emplacement des fichiers de log.
Installation et configuration du serveur RADIUS
Il faut maintenant installer le service Microsoft Internet Authentication Service (IAS), il suffit de se
rendre dans le menu "Add/Remove windows components" situé dans le menu "Add/Remove
programs" dans le panneau de configuration. Puis aller dans le menu "Networking services".
Nous allons créer un groupe de sécurité global et un utilisateur dans Active Directory, cet
utilisateur nous servira d'utilisateur test. Pour se faire il faut se rendre dans le menu "Active
Directory Users and Computers".
Il faut ensuite ajouter cet utilisateur au groupe de sécurité global "AzatarWireless".
Notre politique d'accès distant est défini pour les accès de type wireless.
On autorise l'accès à notre groupe de sécurité global "AzatarWireless"
Sélectionnez les certificats comme type EAP pour cette politique de sécurité
On peut éditer notre stratégie d'accès pour en vérifier les propriétés
Comme spécifié précédemment le type EAP est "smart Card or other certificate"
Cliquez sur "Edit", on s'aperçoit alors que le certificat correspond à notre autorité de certificat
créé précédemment.
CONFIGURATION AP 1200 CISCO AVEC EAP-TLS
Écrit par PAPIN Nicolas
19-01-2007
Page 5 sur 6
Index de l'article
Configuration du Client Wireless Configuration AP 1200 Cisco avec EAP-TLS
Page 5
Le client wireless doit se connecter au site web du
serveur d'autorité de certificat afin d'installer le Page 6
certificat. Pour se faire il doit entrer l'url suivante dans
un explorateur web: http://192.168.0.254/certsrv
Il faut ensuite cliquer sur "install this CA certificate Chain", afin d'approuver cette autorité de
certificat.
Il faut ensuite revenir à la page principale afin d'installer un certificat utilisateur en cliquant sur
"Request a certificate"
Sélectionnez ensuite un certificat utilisateur.
Il ne reste plus qu'à installer le certificat sur le client wireless, en cliquant sur "Install this
Certificate"
Configuration de la borne
SSID Manager:
Figure 13: Security/SSID Manager
Comme "Authentication Settings" il faut spécifier "Open Authentication with Mac Authentication
and EAP" ainsi que "Network EAP with MAC Authentication".
Encryption Manager:
Figure 14: Security/Encryption Manager
Advanced Security:
Figure 16: Security/Advenced Security
Nous avons reglé l’authentification pour prendre en compte les adresses MAC. Dans le Menu
"Security/Adavanced Security ", il faut spécifier les adresses MAC des clients pour
l'authentification basée sur les adresses MAC.
Server ManP°MM/ager:
Figure 15: Security/Server Manager
Dans le Menu "Security/Server Manager", il faut spécifier l'adresse IP ainsi que le secret partagé
du serveur RADIUS.