Le cours le plus dtaill sur le Pare-Feu
Le cours le plus dtaill sur le Pare-Feu
REDA GHANE INCLUDEPICTURE
"http://lh5.googleusercontent.com/-jqH7n9NcrCI/AAAAAAAAAAI/AAAAAAAAAL4/D6baXV728T0/s30-c/photo.jpg"
\* MERGEFORMATINET
22:267PARE-FEUX
1-Architecture de base :
Un domaine protger : un rseau internet
- Un rseau dentreprise/personnel que lon veut protger .
- Vis vis dun rseau externe dou des intrus sont suceptibles de
conduire desattaques.
Pare feu :
- Install en unpoint de passageobligatoire entre le rseau
protger (interne)et un rseau non scuritaire (externe).
-Cest un ensemble de diffrents composantsmatriels et
logicielsqui contrlentle traffic intrieur/extrieur selon une
politique de scurit.
-Le pare-feu comporte assez souvent un seul logiciel, mais on
peut avoir aussiun ensemble complexe comportant plusieurs filtres,
plusieurs passerelles,plusieurs sous rseaux .
2- Le possible et l'impossible (pare-feux) :
Ce que peut faire un pare-feux :
- Etre un guichet de scurit: un point central de contrle
descurit plutt que de multiples contrles dans diffrentslogiciels
clients ou serveurs.
-Appliquer une politique de contrle daccs.
- Enregistrer le traffic: construire des journaux de scurit.
- Appliquer une dfense en profondeur (multiples pare-feux).
Ce que ne peut pas faire un pare-feux :
-Protger contre les utilisateurs internes (selon leurs
droits).
-Protger un rseau dun traffic qui ne passe pas par lepare-feu
(exemple de modems additionnels)
- Protger contre les virus.
-Protger contre des menaces imprvues (hors politique).
-Etre gratuit et se configurer tout seul.
3-Filtrage des paquets et des segments:
-Concerne le trafic changaux niveaux IP (paquets) etTCP/UDP
(segments).
-Ensemble de rgles autorisant ou refusant un transfertcombinant
la plupart des informations disponibles dansles messages : adresses
sources destination, indicateurs
-En fait :dfinition dune politique de scurit capacits.
-Solution implante de nombreux emplacements dansles
rseaux:ordinateurs clients ou serveurs, routeurs
filtrants(screening router), quipements ddis.
-Avantages :solution peu coteuse et simple agissant sur tousles
types de communications.
-Inconvnients :Des rgles de filtrage correctes et bien adaptes
aux besoins peuventtre difficiles tablir.On nagit quaux niveaux 3
et 4.
4- Architecture de pare-feu avec routeur filtrant (screening
router )
5- Filtrage Applicatif ( proxy ) :
Proxy de scurit :analyse du trafic chang au niveauapplication
(niveau 7) pour appliquer une politique de scuritspcifique de
chaque application.
Un serveur proxy est ncessaire :pour chaque
protocoledapplication SMTP, FTP, HTTP, ...parce quil
fautinterprterles messages de faondiffrente pour
chaqueapplication.
Contrle des droits :implique que chaque usager
soitauthentifi.
Avantage :on peut intervenir de manire fine sur chaquezone des
charges utiles transportes au niveau applicatif.
Inconvnient :solution coteuse car il faut dfinirdes
droitscomplexes.
6- Hote double rseau :
Terminologie :Hte double rseau,En anglais Dual homedhost.
Dfinition :Un hte qui possde au moins deux interfaces rseaux
(quiinterconnecte au moins deux rseaux).
Proprit:
-Si un hte connecte deux sous rseaux.-Et sil nest pas configur
en routeur.-Il est impossible un paquet de passer dun rseau lautre
sans tre trait au niveau applicatif.-Cest un proxy
incontournable.
7- Bastion :
Dfinition :Un hte expos au rseau externe (rendu accessible de
lextrieur par ladfinition de la politique de scurit).Il constitue
un point de contact entre rseau externe et rseau interne.
Serveur pour un ensemble de services prdfinis :
-Service toile (HTTP), service de noms (DNS), service de
messagerie .-Le bastion peut agir en rendant directement le service
concern.-Le bastion peut agir en relayant les requtes vers dautres
serveursaprs avoir effectu uncontrledaccs applicatif
(proxy-serveur).-Le bastion doit tre incontournable pour lensemble
des services prvus .
Le bastion peut servir dans la dtection dintrusion:-Analyse des
communicationspour dtecter des attaques : IDS(Intrusion Detection
System).
-Fonction pot de miel (Honeypot) :un service semblant attractif
pourun attaquant et qui nest en ralit quun pige pour dtecter
lattaquant .
Architecture de pare-feu avec routeur filtrant et bastion
8- DMZ : Zone dmilitarise (rseau expos)
Dfinition :Une partie dun pare-feu qui est un sous-rseau.Ce sous
rseau plac en passerelle entre un rseau protger et un rseau externe
non protg .
Proprits vises :La zone dmilitarize est plus ouverte surle
rseauexterneque le rseau interne.Elle dessert les systmes exposs
lextrieur :principalement les bastions .
Architecture de pare-feu avec DMZ
9- Filtrage des paquets et des segements :
Structure dun datagramme IP avec un segement TCP
Protocole de niveau liaison (PPP, niveau mac):
-Zone protocole utilisateur (dmultiplexage): IP, IPX
-Zones adresses: Adresses Ethernet IEEE802, (permettent
dedterminer la source et la destination sur la liaison donclentre
ou la sortie).Protocole IP:
-Adresses source et destination.
- Drapeaux (Flags): en particulier ceux qui concernent
lafragmentation.
-Le type de protocole destinataire: TCP, UDP, ICMP, ...-Analyse
des zones dextension par exemple en routage parla source =>
Demande de destruction de ces datagrammescar utilisation possible
du routage par la source en attaque.
Protocole TCP:Numros de port source et destination:permet
destimer quel est le service concern dans la mesure ou lon respecte
lutilisation desnumros bien connus => Il est toujours possible
pour un attaquant dusurper un numro de port.Drapeaux de contrle
(flags).ACK:positionn sauf dans le premier segment (utilisation
possible pour bloquer des connexions).SYN:positionn dans les deux
premiers segments (permet didentifierles connexions).RST:fermeture
non ngocie de connexion.Protocole d'application :- Analyse non
ralise par les filtres de paquets mais par les proxys
serveurs.-Lapplication filtre doit tre trs stabilise.10- Les
principaux services internet controler :
Le courrier lectronique SMTPSimple Mail Transfer Protocol .
Le transfert de fichiers FTPFile Transfer Protocol et laccs.
NFSNetwork File System.
Les accs distanceprotocoles telnet, rlogin, ssh.
La toileHTTP Hypertext Transfer Protocol.
Les informations sur les utilisateurs:finger.
Les services de conferencesCUseeMe, Netmeeting,
Lannuaire des noms de domaine DNSDomain NameService.
Ladministration de rseau SNMPSimple NetworkManagement
Protocol.
La synchronisation dhorloges NTPNetwork Time Protocol.
Les systmes multi fentres X-Windows.
Les systmes dimpressionsLPR/LPD Line Printing .
Les nouvelles (news) NNTPNetwork News Transfer Protocol .11- Les
trois tapes du filtrage :Etape 1:Dfinir abstraitement la politique
de scurit :ce qui est autoris et ce qui est interditChoisir une
politique densemble:Solution 1) Tout ce qui nest pas explicitement
autoris est interdit.Solution 2) Tout ce qui nest pas explicitement
interdit est autoris.Enoncer des rgles :Exemple de rgle 1)Autoriser
un hte intrene recevoirdu courrier lectronique de toute provenance
parceque cest un serveur de courrier smtp.Exemple de rgle
2)Interdire un hte externe prcis denvoyer du courrier SMTP un
serveur de courrier interne parcequil est en liste noire.Etape
2:Traduire la politique de scurit en des rgles prcisesconcernant
des communications IP Rgles concernant des datagrammes IP :
adresses source/destination,protocole utilisateur TCP port
source/destination, indicateurs TCP, autres. Exemple 1) Rgle
interdisant tout par dfaut
Exemple 2) Rgle autorisant la reception du courrier par un
serveur .
Exemple 3)Rgle interdisant lmission par un serveur de courrier
suspect
Etape 3:Rentrer les rgles dans un pare-feu rel en utilisant
lasyntaxe et la smantique de linterface de loutil. Smantique la
plus frquente : exploitation des rgles dans lordre. La premire rgle
satisfaite provoque lautorisation de la transmission ou la
destruction du datagramme. En fait un pare-feu interprte un
programme qui est une suite de: si(condition sur datagramme) alors
action (autoriser/interdire). Exemple : Liste ordonne des rgles
prcdentes.
Transformer les rgles dans la syntaxe du pare-feu disponible .
Exemple : Syntaxe de rgle avec le pare-feu LINUX (iptables).
[root@ firewall]#iptables A FORWARD p smtp d 192.168.0.10 j
ACCEPT12- Affiner les rgles de filtrage-Utilisation des indicateurs
: ACK Exemple dutilisation dindicateurs(flags) TCP. Besoin frquent
:autoriser la connexion dun client interne sur un serveur interne
(ou externe) mais refuser la connexion dun client externe sur le
mme serveur interne.
Une solution :lutilisation de lindicateur ACK en TCP.
Rappel :Fonctionnement de lACK.
- ACK prsent dans pratiquement tous lessegments sauf le premier
(exception lessegments RST quon peut autoriserexplicitement).- Il
suffit de bloquer un segment sansACK pour interdire la mise en
placedonc lexistence dune connexion13-Filtrage avec indicateur ACK
TCP :Premire politique : un client autoris peut utiliser un service
denumro de port bien connu ou quil soit. La premire rgle autorise
certains htes slectionns (possiblement toutmon domaine) communiquer
avec un service distant (interne ouexterne) de numro de port bien
connu (not ici service-tcp, par ex 80).Seconde politique : un site
externe ne peut commencer unecommunication avec un serveur interne
sur le port bien connu maisil peut continuer une communication qui
a t initialise. La seconde rgle autorise tous les htes de linternet
(internes ouexternes) qui utilisent le numro de port bien connu
communiquer condition que le bit ACK soit positionn => on
autorise en fait lesrponses par un serveur une communication
initialise en interne.
14- Les avnatages et les inconvnients des filtres de paquets
:Avantages: Un filtre de paquets peut protger en un seul dispositif
tout un rseau dentreprise.
La mise en place du filtre peut tre ralise par lquipe systme
indpendamment des usagers qui grent les postes clients ou
serveurs.
Les filtres de paquets sont trs rpondus dans tous les routeurs
sous forme de logiciels filtres logiciels libres ou
propritaires.
Inconvenience: Le filtrage de paquets pose des problmes demise
en oeuvre.- Rgles difficiles dfinir.- Rgles difficiles assembler en
une suite cohrente.- Fonctionnalits des filtres dont on dispose
spcifiques ou incompltes ou difficiles comprendre. Certains
protocoles applicatifs posent desproblmes pour le filtrageExemples
: utilisation de ports allous dynamiquement. Les filtres de paquets
ne prennent pas encompte les donnes des applicationsExemple:
filtrer sur le nom dun usager dans un accsdistant ou dans un
transfert de fichier.Ncessit de mettre en oeuvre des proxys.Fin de
cours
Source :
Networkingeekhttp://www.networkingeek.com/2014/02/Cours-PareFeu.html#ixzz30211GvFJFrame
Relay (relais de trames) en dtails !
REDA GHANE21:3329
Frame Relay
Frame Relay est un protocole de rseau tendu qui agit au niveau
des couches.physique et liaison de donnes du modle OSI.Ce protocole
est utilis par les fournisseurs daccs pour transmettre des
signaux-vocaux et numriques entre rseaux locaux par lintermdiaire
dun rseau tendu.Frame Relay est un protocole de rseau tendu trs
rpandu car il est de faible cot par rapport aux lignes ddies et
dune grande flexibilit.
A la fin des annes 70, des sites distants taient gnralement
relis en utilisant le protocole X. 25. Ce protocole permettait
dobtenir une connexion trs fiable sur des infrastructures cbles non
fiables grce un contrle de flux et derreurs.Frame Relay, le
remplaant de X.25, demande moins de temps de traitement que X.25
car il ne fournit pas de corrections derreurs. La propagation des
donnes est donc trs rapide.Lorsque Frame Relay est utilis pour
connecter des rseaux locaux, le DTE sur chacun des rseaux est un
routeur, le commutateur Frame Relay est un DCE.
Circuits virtuels
Un circuit virtuel dsigne une connexion logique entre deux DTE
par un rseau Frame Relay. On distingue deux types de circuits
virtuels :
le circuit virtuel commu (SCV) le circuit virtuel permanent
(PVC)
Un circuit virtuel peut passer par un nombre quelconque de
commutateurs du rseau Frame Relay.
Un circuit virtuel est identifi par un indicateur de connexion
de liaison de donnes appel DLCI. Il est gnralement attribu par le
fournisseur de service Frame Relay et a uniquement une
signification locale.
Le DLCI est stock dans le champ dadresse de chaque trame
indiquant ainsi o la trame doit tre achemine. La valeur dun DLCI
varie entre 16 et 1007.
Le rseau Frame Relay est statistiquement multiplex. Cela
signifie quil ne transmet quune trame la fois, mais que plusieurs
connexions logiques peuvent coexister sur la mme ligne physique.
Ainsi, chaque point dextrmit ne ncessite quune ligne daccs et une
interface.
Encapsulation Frame Relay
Frame Relay reoit un paquet de la couche rseau. Il lui adjoint
un champ dadresse et une somme de contrle. Finalement, des champs
dindicateur de dbut et de fin de trame sont ajouts. La trame est
alors passe la couche physique.
Le champ dadresse contient le DLCI (les FECN, BECN et DE). La
somme de contrle est calcule puis insre dans la trame par la
source. Le destinataire recalcule le FCS. Si les rsultats sont
identiques, il traite la trame, sinon il labandonne.
TopologiesFrame Relay
On distingue trois types de topologie :
en toile maillage global maillage partiel
Mappage des adresses Frame Relay
Afin denvoyer des donnes laide du protocole Frame-Relay, le
routeur doit connaitre la relation entre le DLCI local et ladresse
de couche 3 de la destination.
Il existe deux types de mappage : mappage dynamique mappage
statique
Le mappage dynamique utilise linverse ARP pour rsoudre ladresse
IP du saut suivant en une valeur DLCI locale. Il stocke ces
informations dans sa table de mappage.Pour voir le contenu de cette
table :show frame-relay map.Sur les routeurs Cisco lARP inverse est
activ par dfaut.Le mappage statique est utilis lorsquun routeur ne
prend pas en charge linverse ARP ou quun rseau Frame-Relay est
constitu dune topologie en toile.
Interface de supervision locale (LMI)
La LMI (Local Management Interface) est un mcanisme de test
dactivit qui fournit des informations sur les connexions Frame
Relay entre le routeur DTE et le switch Frame Relay (DCE). Si le
reseau ne fournit pas les informations demandes, le routeur peut
considrer la connexion comme coupe.
Le switch et le routeur doivent utiliser le mme LMI. Il existe
diffrents types dinterfaces LMI, incompatibles entre elles :
ciscoansiq933a
Depuis lIOS Cisco 11.2, le routeur dtecte automatiquement la LMI
utilise par le switch et configure son interface en fonction.On
configure le LMI avec la commande :frame-relay lmi-type [cisco |
ansi |q933]
Utilisation de la LMI et de lARP inverse pour le mappage des
adressesLe routeur (DTE) se connecte au rseau Frame-Relay et envoie
une LMI. Le rseau rpond par un message dtat LMI donnant
des-informations sur les circuits virtuels configurs sur la
liaison.
Le routeur doit alors mapper ces circuits virtuels des adresses
de couche 3. Pour ce faire, il envoie un message ARP inverse sur
chaque circuit virtuel. Il peut alors effectuer le mappage. Il
profite aussi lors de lenvoi de son message pour envoyer son
adresse rseau afin que le routeur distant puisse aussi effectuer
son propre mappage.
Configuration de base de Frame Relay (mappage dynamique)Pour
configurer une interface srie avec le protocole Frame Relay
:R1(config)#interface serial 0/0R1(config-if)#ip address ad IP
masque reseau
On configure lencapsulation :R1(config-if)#encapsulation
frame-relay [ietf | cisco]Rappelons que le type dencapsulation
Frame-Relay par dfaut est cisco. Le type dencapsulation ietf
sutilise lorsque le routeur distant nest pas cisco.Les routeurs
dextrmit doivent utiliser la mme encapsulation frame-relay.
Finalement la configuration du lmi est automatique, donc
facultative.
Pour vrifier la configuration :R1(config)# show interfaces
serial 0/0
Configuration dun mappage statique Frame Relay
Dans ce cas on tablit manuellement le mappage entre ladresse
rseau du routeur distant et le numro DLCI local.
On commence par dsactiver linverse-map :R1(config-if)# no
frame-relay inverse-arpR1(config-if)# frame-relay map ad IP numero
DLCI [broadcast|cisco|ietf ]Remarques :1.Il faut utiliser ietf si
le routeur auquel on se connecte nest pas de type cisco.2.Le rseau
Frame Relay est un rseau NBMA (non-broadcast multiaccess). Cela
signifie quil ne prend pas en charge par dfaut la diffusion et la
multidiffusion. Lors de lutilisation de protocoles de routage, le
mot-cl broadcast permet cette diffusion ou multidiffusion sur le
circuit virtuel permanent.
Dcoupage d'horizonUn rseau Frame-Relay est de type NBMA et
possde gnralement une topologie en toile. Un protocole de routage
vecteur de distance utilise la technique du dcoupage dhorizon pour
viter les boucles de routage.Rappel :le dcoupage dhorizon empche
quune mise jour de routage reue sur une interface physique ne soit
retransmise par la mme interface. Dans le cas dun rseau toile cela
signifie que les mises jour ne peuvent pas tre achemines sur tout
le rseau.Plusieurs solutions se prsentent : dsactivation du
dcoupage dhorizontopologie `a maillage globalutilisation de
sous-interfaces
Sous-interfaces Frame Relay
Frame Relay peut partitionner une interface physique en
plusieurs interfaces virtuelles ou sous-interfaces, chacune est
associe un circuit virtuel permanent. Une sous interface peut tre
configure en mode point point ou multipoint.
Point point :Une sous-interface point point tablit une connexion
par circuit virtuel permanent une interface physique ou une
sous-interface dun routeur distant.
Chaque paire de routeurs point point rside sur son propre rseau
et chaque sous-interface point point ne dispose que dun DLCI. Dans
ce cas, le dcoupage dhorizon nintervient pas.
Multipoint :une seule sous-interface tablit plusieurs connexions
de circuit virtuel permanent plusieurs interfaces physiques ou
sous-interfaces sur des routeurs distants. Tous les circuits
virtuels multipoint appartiennent au mme sous rseau. Dans ce cas,
le decoupage dhorizon intervient.La commandeencapsulation
frame-relaysapplique linterface physique, les autres lments de
configuration sappliquent (ad IP, DLCI) aux sous-interfaces.
Configuration de sous-interfaces Frame Relay point point
Prenons lexemple cidessous et configurons linterface srie S0 du
routeur R1.
Sur linterface physique,on indique le type dencapsulation
:R1(config-if)# encapsulation frame-relayOn configure alors les
sous-interfaces logiques en indiquant le numro de DLCI pour des
raisons dorganisation.Premire sous interface logique
:R1(config-if)# int S0.102 point-to-pointOn indique alors son
adresse IP ainsi que son DLCI :R1(config-if)# ip address 10.1.1.2
255.255.255.252R1(config-if)# frame-relay interface-dlci 102Seconde
sous interface logique :R1(config-if)# int S0.103
point-to-point
On indique alors son adresse IP ainsi que son DLCI
:R1(config-if)# ip address 10.1.1.5 255.255.255.252R1(config-if)#
frame-relay interface-dlci 103Finalement, on effectue lactivation
des sous-interfaces depuis linterface physiqueavec la commandeno
shutdown.
Configuration du Switch Frame-Relay
On commence par activer la commande Frame-Relay sur le routeur
lui permettant de transfrer des trames sur la base des DLCI entrant
:SFR(config)#frame-relay switchingSur linterface choisie on modifie
le type dencapsulation:SFR(config)#interface
S0/0SFR(config-if)#encapsulation frame-relayOn indique alors que
linterface est de type DCE :SFR(config-if)#frame-relay intf-type
dceSFR(config-if)#clock-rate vitesse
On configure alors le Switch Frame-Relay pour quil transfre le
trafic entrant ici sur linterface S0/0 ayant le DLCI x vers par
exemple linterface S0/1 ayant le DLCI y. On cre ainsi le premier
PVC :
SFR(config-if)#frame-relay route x interface serial 0/1
ySFR(config-if)#no shutdown
On cre alors le second PVC pour le retour:SFR(config)#interface
S0/1SFR(config-if)#encapsulation
frame-relaySFR(config-if)#frame-relay intf-type
dceSFR(config-if)#clock-rate vitesseSFR(config-if)#frame-relay
routey interface serial 0/0 xSFR(config-if)#no shutdown
On vrifie la configuration avec la commande :show frame-relay
pvc.
Paiement de Frame Relay
Un client achte un service Frame Relay un fournisseur de
services. Pour comprendre le paiement dun tel service, il est
ncessaire de connaitre les notionssuivantes :
dbit daccs ou vitesse du port dbit de donnes garanti (CIR)
Dbit daccs ou vitesse du port : dbit auquel le circuit accde au
rseau Frame Relay. La vitesse du port est cadence par le switch
Frame Relay.CIR :correspond `a la quantite de donns que le rseau
Frame Relay reoit du circuit daccs. Ce dbit est garanti par le
fournisseur de services.Frame Relay met la disposition des clients
tout capacit inutilise du rseau appele rafales suprieures leur CIR,
en gnral gratuitement.
Un client paie donc pour une connexion Frame Relay :
frais dquipement dabonndbit daccscircuit virtuel permanentCIRLes
fournisseurs font parfois de la surrservation en vendant plus de
bande passante que disponible, en supposant que tous les clients
nutilisent pas en permanence toute la bande passante quils ont
loues. Il peut en rsulter des problmes de trafic.
RafalesLes circuits physique du rseau Frame Relay sont partags
entre les abonns. Il arrive quun surplus de bande passante soit
disponible. Un client peut envoyer alors gratuitement en rafales
des donnes excdant son CIR. la dure des rafales doit etre de
quelques secondes.
Les termes suivants permettent de decrire les debits de rafale
:
dbit garanti en rafale ou CBIRdbit garanti en exc`es ou BE
LeCIBRest un dbit ngoci par le client en plus du CIR. La dure
dune rafale doit tre courte, sinon le client doit acheter plus de
CIR.LeBEcorrespond la bande passante disponible au dessus du CBIR
jusquau dbit daccs de la liaison. Ce surplus de dbit nest pas
ngoci. Les trames transmises ` ce debit sont tr`es sujettes `a
labandon.
Contrle de flux Frame RelayFrame Relay utilise des mcanismes
dencombrement simples comme :
notification explicite dencombrement au destinataire ou
FECN.notification explicite dencombrement `a la source ou BECN.
Les notifications explicitesdencombrement sont indiques par un
bit dans lentte de la trame. le routeur dtecte lencombrement et
arrete la transmission jusqu ce que la situation normale soit
rtablie.
Les trames qui arrivent au switch Frame Relay sont mises en file
dattente. Lors dune accumulation excessive de trames, le switch
signale le problme aux routeurs laide des bits de notification
explicite dencombrement :
les quipements en aval sont informs de la file dattente en
configurant le bit FECN.les quipements en amont sont informs de la
file dattente en configurant le bit BECN.
Lentte de trame contient galement un bit d'ligibilit la
suppression (DE). Les trames dont le bit est 1 sont considres comme
moins importantes et peuvent tre abandonnes pendant une priode
dencombrement.
Les rgles logiques sont appliques :
si la trame entrante ne dpasse pas le CIBR, la trame passe.si la
trame entrante dpasse le CIBR, son bit DE est fix 1.si la trame
entrante dpasse le CIBR augmente du BE, elle est abandonne.
La configuration de PAP et CHAP sur un routeur cisco
REDA GHANE18:367
Commandes de configuration PPP
Pour configurer une interface srie avec le protocole PPP
:R1#configure terminalR1(config)#interface serial
0/0R1(config-if)#encapsulation ppp
Pour configurer la compression sur PPP :R1(config-if)#compress
[predictor | stac]Pour specifier le seuil de qualite de la liaison
:R1(config-if)#ppp quality pourcentage
Si le pourcentage de la qualit de la liaison nest pas maintenu,
alors la liaison est dsactive.Pour quilibrer le charge sur
plusieurs liaisons :R1(config-if)#ppp multilink
Protocole d'authentification PAP
PAP est un protocole bidirectionnel ayant lieu en deux tapes et
qui nutilise pas le chiffrement : les noms dutilisateur et mot de
passe sont envoys en clair. Sils ont accepts, la connexion est
autorise. Lauthentification a lieu une seule fois.Le nom dhte dun
routeur doit correspondre au nom dutilisateur configur sur lautre
routeur.
Configuration de PAP
Configuration sur le routeur R1 :Router#configure
terminalRouter(config)#hostname R1R1(config)#username R2 password
cisco2R1(config)#interface serial 0/0R1(config-if)#encapsulation
pppR1(config-if)#ppp authentication papR1(config-if)#ppp pap
sent-username R1 password cisco1Configuration sur le routeur R2
:Router#configure terminalRouter(config)#hostname
R2R2(config)#username R1 password cisco1R2(config)#interface serial
0/0R2(config-if)#encapsulation pppR2(config-if)#ppp authentication
papR2(config-if)#ppp pap sent-username R2 password cisco2
Protocole dauthentification CHAPLe protocole PAP procde une
seule authentification lors de ltablissement de la connexion,le
protocole CHAP effectue des vrifications rgulires pendant
lexistence de la liaison.
Le routeur R1 souhaite tablir une connexion CHAP avec le routeur
R2. Une fois ltablissement de la liaison termine, un change en
trois tapes a lieu :Demande CHAP :R1 demande une confirmation
R2.Rponse CHAP :R2 rpond en envoyant son nom dutilisateur et son
mot de passe R1.Plus prcisment :R2 rpondpar une valeur hache en
MD5, bas sur le mot de passe et le message de demande de
confirmation.Finalisation CHAP :R1 compare ceux-ci avec ceux de sa
base de donnes. Sils sont identiques, il accepte la connexion,
sinon il la refuse. Plus prcisment : R1 compare la rponse hache
avec son proche calcul de la valeur hache attendue.
Configuration de CHAPConfiguration sur le routeur R1
:Router#configure terminalRouter(config)#hostname
R1R1(config)#username R2 password ciscoR1(config)#interface serial
0/0R1(config-if)#encapsulation pppR1(config-if)#ppp authentication
chapConfiguration sur le routeur R2 :Router#configure
terminalRouter(config)#hostname R2R2(config)#username R1 password
ciscoR2(config)#interface serial 0/0R2(config-if)#encapsulation
pppR2(config-if)#ppp authentication chap
Source :
Networkingeekhttp://www.networkingeek.com/2014/03/Configuration-CHAP-PAP.html#ixzz3022JfjUJ6
Outils pour un administrateur rseau sur Windows Server
REDA GHANE18:0811Il existe plusieurs outils gratuits pour
contrler, administrer et scuriser un rseau d'entreprise sous
windows server. Aujourd'hui on vous propose 6 outils trs importants
pour les administrateurs des rseaux...
1-Desktop Central :
Desktop centralfournir un grand nombre d'outils d'administration
de windows et windows server et mme l'ordinateur personnel , la
gestion des taches distance ,l'accs auxrseaux de type(LAN) , ouvrir
fermeture des session distance , calculer l'espace vide sur le
disque dur distance .Tlcharger l'outil :Cliquer Ici
2-Remote Desktop Manager :
Cet outil vous permet de rassembler un grand nombre de types de
connectivit et de services fournis distance du manire centralis
avec ses mots de passes.Cet outil peut augmenter la vitesse de
rponse et la scurit du rseau , et utilisele protocole de
communication distanceRDP -RemoteFXetMicrosoft ( Azure )etMicrosoft
( Hyper- V )et bien d'autres ..et prend en charge les mthodes de
communication travers le(FTP , FTPS , SFTP )dans les navigateurs
Internet Explorer, Mozilla Firefox ...Pour Tlcharger l'outil
:Cliquer Ici
3- Core configurator
Certains versions de windwos server dispose seulement de la
ligne commande ( Command Line Interface CLI ) ces serveur sont
nomms"Core edition of windows server"et sontapparus pour lapremire
foisavec WindowsServer 2008 , et ils existent maintenant sur toutes
les versions de windows server.Cet outil nous offre un interface
graphique(Graphical User Interface GUI) pour contrler et grer la
configuration de windows server sans utiliser la ligne de commande
.Tlcharger l'outil :http://coreconfig.codeplex.com/
4-Active Directory Best Practice Analyzer
Cet outilest disponible avec leprogramme package
d'installationpour Windows Server partir de la version WS2008 .Il
analyseles paramtres d'active directory et le reste
desautresparamtressertexaminer si cesparamtres correspondent
auxmeilleures pratiquesrecommandes parMicrosoft.Cet outil est
utilispour aider dfinir les solutions de scurit etla performance de
l'Active Directory. et pour savoir plus d'informations sur cet
outils cliquez sur le lien suivant
:http://msexchangeteam.in/active-directory-best-practices-analyzer-in-windows-server-2008-r2
5-Active Directory Explorer:
Un programmepour la visualisationet l'ditionActive
Directorypermetaussi devisualiserla base de donnesAD , faire des
"SnapShot"del'tat duserveur un moment donnetcr des
sitesfavorisetenregistrerdes recherches avances.Il nous permet
aussi de modifier les autorisations ... et pour plus d'information
sur cet outils visitez le lien
:https://ra5-downloads.phpnuke.org/en/c159927/active-directory-explorer-free-download-full-review6-Viewfinity
local admin discovery
Cette fonctionnalit permettrale travaild'une
enquteexhaustivedetous les utilisateursdu rseaupour savoirlequel
d'entre ces utilisateurs a les droits d'adminpour annulertous les
pouvoirsouprivilges donns un utilisateurs et qui le mrite pasafin
d'viterles failles de scurit ou les virus .Peut galement
customiserla recherchepar l'unit d'organisation (UO)ouun
utilisateur spcifique.Cet outilpermet aussi de diviserles
rsultatsen catgories etclasseset d'enlever facilement les comptes
utilisateurs indsirables de groupe administratif .Pour en
savoirplus sur cet outil visitez le lien
:http://viewfinity-local-admin-discovery.software.informer.com/2.0/
Les 9 conseils avant et pendant lexamen CCNA
Une demande revientrgulirementpar email([email protected])
sur les conseils savoir pendant lesrvisionset lors du jour J afin
de limiter la casse et optimiser au mieux le rendement de ses
capacitsintellectuelles.
Alors je vousarrtetout de suiteje ne vais pas vous recommander
tel ou telmdicament plus ou moins douteux que lon trouvesur
Internetet curieusement nonautorisen France et dautres pays.
Voici unepetite listenon exhaustive de conseils sur
votreprparation lexamen.
Avant le jour J
Avant le jour de lexamen on se dit toujours quon pensera au jour
J plus tard. Ce qui en soit est une bonneidepour ne pasrajouter du
stresspendant lesrvisionssurtout si voustesdans un chapitre
assezcompliqu, comme lersumde routeCependant, voici quelques
conseils sur laprparationavant le jour J de lexamen qui sont
importants mes yeux:
pas la peine derviser12h par jour, cela ne sert rien sur lelong
terme. Ce mode dervisionintense sert uniquement pour ladernireligne
droite. Par exemple laderniresemaine, l vous pouvez stimuler votre
cerveau pourrafrachirdes chapitres vu il y a bien longtemps.
Doncrvisez demaniremodr, sans acharnement mais dans lacontinuitet
ladure(pas la peine de me demander si 10 minutes par jour cest
suffisant il vous faudra 10 anspour toutassimiler et dans 10 ans le
CCNA auradjchangplusieurs foisde version).
dormez etdormez bien. Conseil banal mais oh! combien important.
Je veux dire ne faites pas du Yo-Yo avec votre sommeil, cest dire
un jour vous vous couchez 21h et un autre jour 3h du matin, surtout
lors de laderniresemaine. Un sommeil long et constant est surement
une desclsdusuccs Si vous ne me croyez pas,faites le test
suivant:aprsune nuit courte,chronomtrezvous sur 10 questions en
calcul binaire. Faites lemmetestaprsune nuit normale vous verrez
ladiffrencesur le temps que votre cerveau a mis et sur le taux de
bonnesrponses.
rafrachissezvotremmoirependant vosrvisions, pas la fin. Il
estimpratifquergulirementvous consacriez du temps revoir
vosfichessynthses. Je vous conseille de lire cet article qui en
parle plus en profondeur:Cliquez-ici sortez !oui sortez, voyez vos
amis, aller au bar, aucin, faites du sport faites
uneactivitrgulirequi permet votre cerveaudedcompresser! Lesport
estunetrsbonneactivitpour dcrochermentalementet physiquement.
Voyons maintenant un peu les conseils pour le jour J
Le jour JVoici quelques conseils pour que vous soyez dans les
meilleures conditions le jour de lexamen:
1.
il faut arriver bienen avanceaucentre de certification. Arriver
pile lheure ou en retard est une source de stress des plus
horribles et vous mettrez facilement20 minutesfaire redescendre la
pression.Profitez-en aussi pour aller aux toilettes2.
prenez2picesdidentitsavec vous (cartedidentit, passeport, permis de
conduire). Certains centres demandent 2picesdidentitet ils ne
plaisantent pas.
3. asseyez-vous devantlcrande lordinateur et mettez vous dans
lattequevotre objectifnest pas davoir le CCNA mais de lavoir avec
le plus de points possibles !chouernest pas une option pour
vous.
4. lapremirefois quon passe un examen Cisco, on ne fait pas
attention mais
les10premiresminutessontddiesuntutorielpourexpliquerledroulementde
lexamen. Prenez votre temps pour bien comprendre, ce tempsnest
pasdcomptde lexamen. Les indications sonttrsimportantes surtout
pour les TP car lescransdnonc,daccs la console CLI et derponsene
sont pas forcement aummeendroit !
5. dernirechose: une fois la questionvalidevous ne pouvez plus
revenir enarrire, contrairement certaines tests blanc ou dautres
constructeurs. Donc avant de cliquer sur SUIVANT, relisez
rapidement unedernirefois votrerponse.
Et vous, quels seraientvos conseilspour les lecteurs de ce blog
qui souhaitent passer le CCNA?
Haut du formulaire
--- EXAMEN GRATUIT ---
Bas du formulaire
Cblage sriel, modules et interfaces !
REDA GHANE17:05
Cblage sriel, modules et interfaces
Il n'est pas inutile de connatre les gammes desrouteurs Ciscoet
le 'hardware' que l'on manipule en laboratoire.
1. Cbles DTE ou DCE ?Le ct DCE sriel est celui qui est situ du
ct dufournisseur de service. En gnral, c'est le modem lui-mme ou
l'unit CSU/DSU. Il est toujours du genre femelle. Le modem donne la
frquence de synchronisation de la ligne. Dans nos configurations de
laboratoire, on appelle cela le "clock rate" exprim en bits par
seconde. Le ct DTE est le ct client, qui se connecte d'une
interface serielle du routeur vers le modem. Il est toujours du
genre mle. Voici une reprsentation des diffrents standards utiliss
:
Chaque standard physique a ses limites en terme de distance et
de vitesse.
2. Les interfaces du routeur :Les routeurs professionels partir
de la gamme 1700 (et, anciennement 1600) disposent d'emplacements
pour des WIC (Wan Interface Card) qui dotent les machines
d'interfaces de communication. Les cbles DCE/DTE se connectent ces
interfaces. En voici quelques illustrations :
3. Les modules :
La gammedes routeurs2600/3600 sont des routeurs modulaires. En
plus du chassis, ils disposent d'emplacements larges appels des
"slots" dans lesquels on peut insrer des "modules", qui disposent
d'interfaces intgres et, le cas chant, d'emplacement pour des WIC.
Avec ce type de machine, les interfaces s'numrent de la faon
suivante :
nom_interface numro_slot/numro_interfaceSerial 1/2
La numration commence toujours de droite gauche et de bas en
haut. A noter que le slot intgr au chassis est toujours le premier.
Il est donc le numro zro. En voici quelques illustrations :
Routeur Cisco 3660Par contre la gamme des routeurs 1700
("rackables" ou non) ne respecte pas la rgle d'numration des
2600/3600. D'ailleurs, n'tant pas modulaires, ces routeurs dnomment
simplement par le nom et le numro de l'interface
Routeur Cisco 1720
Source :
Networkingeekhttp://www.networkingeek.com/2014/02/cablage-serial-modules-interfaces.html#ixzz3023foNLWQu'est-ce
qu'un [HOTSPOT] ?
REDA GHANE02:38
Qu'est-ce qu'un hotspot?
Un hotspotest un point d'accsinternet wifi(ou autre) destin un
usage public. Il contient un portail captif qui authentifie les
utilisateurs du hotspot et autorisel'accs internetsi les rgles du
hotspot sont respectes.
Comment a marche?
L'utilisateur se connecte par wifi sur le hotspot avec un
ordinateur, pda, ou tout autre matriel wifi muni d'unnavigateur
internet. Lorsque l'utilisateurn'est pas encoreauthentifi, toute
requte vers un site web sera automatiquement redirig vers le site
du hotspot (appel portail). Cette redirection est faite par un
logiciel de portail captif, situ sur le point d'accs wifi (ou
cot).
WorldSpot.net fournit le portail du hotspot qui permet aux
utilisateurs de s'authentifier, et vrifie que les rgles d'accs sont
respectes. Par exemple, le propritaire du hotspot peut exiger que
tous les utilisateurs du hotspot fournissent un email valide afin
de les identifier. Ceux ci doivent alors s'inscrire et fournir une
adresse email qui est vrifie afin que WorldSpot.net puisse donner
au point d'accs l'autorisation de connexion internet, avec la
possibilit de spcifier quelques restrictions comme par exemple le
temps de connexion, volume ou dbit maximum. WorldSpot.net fournit
aussi l'historique d'accs de votre hotspot avec les volumes de
transfert de chaque utilisateur.
Comment configurer votre hotspot ?
Mettre en place un hotspot est trs simple et totalement gratuit
si vous possedez un materiel compatible. WorldSpot.net est
compatible avec un logiciel de portail captif open-source nomm
coovachilli,qui fonctionnesous n'importe quel routeur compatible
linux ou PC.
Nous pouvons, si vous le souhaitez, vous fournir un routeur
prconfigur avec le firmware WorldSpot.net. Merci de nous contacter
pour les tarifs.
Toutefois, Il vous est aussi possible d'acheter le routeur par
vous mme et mettre jour vous mme le firmware.
Plusieurs firmwares sont possibles, mais la solution recommande
est d'utiliser le firmware WorldSpot.net qui est la solution la
plus simple installer, entirement pilotable distance, et qui se met
jour automatiquement.
Une autre possibilit est d'installer le firmware CoovaAP dans
votre routeur compatible. C'est un firmware gratuit pour routeur
trs simple utiliser, incluant un lot de fonctionnalits
poustouflantes dont notamment chillispot (portail captif). Avec
CoovaAP la procdure d'installation simplifie s'effectue sans diter
aucun fichier, ni taper uneseule lignede commande, l'interface
web/http suffit!
L'autre alternative (non recommande) est DD-WRT, firmware
gratuit aussi. DD-WRT utilise uneversion plusancienne de chillispot
mais il possde une compatibilit materielle plus large. Veuillez
suivre la procdure d'installation d'un hotspot avec DD-WRT.
Si vous avez les comptences, vous pouvez aussi choisir
d'utiliser un autre firmware linux gratuit (comme openwrt), ou un
PC sous linux.
Une fois que vous avez install chillispot, inscrivez vous
simplement sur WorldSpot.net, cliquez sur le lien fourni dans
l'e-mail de validation, et vous pourrez alors crer votre hotspot en
lui donnant simplement un nom.
Une fois cr, cliquez sur 'Afficher les infos de config' et vous
obtiendrez tous les paramtres de configuration de chillispot que
vous pourrez configurer dans l'interface web de configuration de
DD-WRT.
N'oubliez pas de configurer votre hotspot et de crer une classe
d'accs.
Redmarrez votre routeur, et vous devriez alors pouvoir vous
connecter votre hotspot et le tester!
Source :
Networkingeekhttp://www.networkingeek.com/2013/11/qu-qu-hotspot.html#ixzz3023wCindcomment
configurer un switch cisco en utilisant l'interface web ?
REDA GHANE21:20
comment configurer un switch cisco en utilisant une interface
web ?
pour configurer n'importe quel quipement cisco via une interface
web il y a le logiciel Cisco SDM (Security DeviceManager)
Etape 1:Activer le HTTP sur ton switch en entrant les commandes
suivantes en mode de configuration globale:
Router#configure terminalRouter(config)#ip http
serverRouter(config)#ip http secure-serverRouter(config)#ip http
authentication local
Etape 2:Crer un compte utilisateur et dfinit le niveau
deprivilgeen15, et remplacer "username" et "password" par les
chanes que tu souhaite utiliser:
Router(config)#username "username" privilege 15 secret 0
"password"
Tu utilisera ce nom d'utilisateur etmot de passepour te
connecter SDM.
Etape 3:Configurez SSH et Telnet pour la connexion locale avec
un niveau de privilge de 15:
Router(config)#line vty 0 4Router(config-line)#privilege level
15Router(config-line)#login localRouter(config-line)#transport
input telnet sshRouter(config-line)#exit
Etape 4:Tlcharger le logiciel SDM .Cliquez-Ici
Finalement :il faut que te tape dans ton navigateur WEB
l'adresse IP d'une interface de ton switch
Source :
Networkingeekhttp://www.networkingeek.com/2014/02/ConfigSwitch-InterfaceWeb.html#ixzz3024ZHHPGMis
jours IOS d'un routeur CISCO
REDA GHANE00:43
Aujourdhui , je vous montre comment faire la mis jours IOS d'un
routeur CISCO pour les dbutants et mmes les professionnelsmais
avant de commencer on doit mettre enconsidration plusieurs choses
:
Savoir le modle et le numro de matriel :
Pour effectuer cette opration on tape la commande :show
version
Savoir l'espace disponible sur la mmoire Flash :
On doit mettre en considration la taille de flash et de systme
IOS qu'on veut l'installer . Tapez la commande :show flash
Aprs avoir effectuer les 2 premiers oprations , on est besoin
d'un serveur FTP ou TFTP vous pouvez le tlcharger depuis ce lien
:Serveur FTP-TFTP
Aprs avoir tlcharger le logiciel TFTP, on va ajouter le chemin o
on va enregistrer les fichiers (Current Directory) , et on ajoute
aussi l'adresse IP du port connect avec le routeur (Server
Interface) .
Maintenant , Vous allez sur le router et taper les commandes
suivantes :
- Copy tftp: flash : Pour copier les fichiers depuis le serveur
TFTP vers le flash. - 192.168.1.2 :L'adresse IP de serveur TFTP .
-c1841-advipservicesk9-mz.124-15.T1.bin :Le nom de nouveau systme
IOS.
Le chargement d'IOS commence aprs avoir taper les commandes
prcdentes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Maintenant, on va afficher le contenue de flash par la commande
:show flash
Vous avez constater qu'il y a 2 systme ISO , le systme avec
l'indice (4) c'est le premier systme et le 2me avec l'indice (5)
c'est le nouveau systme qu'on a charg prcdemment .
Supprimerl'ancien systme (4)c1841-ipbasek9-mz.124-12.bin avec la
commande :
Finalement, on tape la commandereloadpour redmarrer et recharger
le router .
Bravo !Maintenant vous tes capable de faire la mis jours IOS vos
routeurs CISCO .
Source :
Networkingeekhttp://www.networkingeek.com/2014/03/Upgrage-Cisco-IOS.html#ixzz30253pbftLes
mthodes de transmission par un commutateur
REDA GHANE18:373
Dans ce cours , on vous prsente les 3 mthodes de transmission
d'un commutateur , chaque mthode a sa propre caractristiques , son
avantages et son inconvnients ...
1- Commutation par stockage et retransmission (store &
forward) :
Un commutateur Store and Forward reoit la trame entire, calcule
lecontrlepar redondance cyclique (CRC) et vrifie lalongueur de la
trame . Si le CRC et la longueur de la trame sont admis , le
commutateur recherche l'adresse de destination qui dtermine
l'interface de sortie. La trame est ensuite achemine par le port
appropri.
2- Commutation Fast-Forward :
Ce mode de commutation offre le niveau de latence le plus
faible.La commutationFast-Forwardtransmet un paquet immdiatement
aprs la lecture de ladresse de destination. Du fait que le mode de
commutationFast-Forwardentame la transmission avant la rception du
paquet tout entier, il peut arriver que des paquets relays
comportent des erreurs.
3- Commutation Fragment-Free :En mode de commutation
Fragment-Free, le commutateur stocke les64premiers octets de la
trameavant la transmission.La commutation Fragment-Free peut tre
considre comme un compromis entre la commutation Store andForward
et la commutation cut-through. La raison pour laquelle la
commutation Fragment-Free stocke uniquement les 64premiers octets
de la trame est que la plupartdes erreursetdes collisionssurle
rseausurviennent pendant ces 64premiers octets.La commutation
Fragment-Freeprocde un petit contrle derreur sur les 64premiers
octets de la trame afin de sassurer quaucune collision ne sest
produite lors de la transmission de la trame .
MERCI POUR VOTRE ATTENTION !
Source :
Networkingeekhttp://www.networkingeek.com/2014/02/methodes-de-transmission-switch.html#ixzz3025i7FkeConnecter
2 routeur avec la technologie CISCO EzVPN
REDA GHANE00:337
La technologie Cisco EzVPN ?
Simplifier les dploiements de VPN pour les bureaux distants et
les tltravailleurs .Bas sur le Framework client Cisco Unified, la
solution Cisco Easy VPN centralise la gestion de VPN de tous vos
priphriques Cisco VPN , rduisant ainsi la complexit de la gestion
des dploiements VPN .La solution Cisco Easy VPN permet d'intgrer
des priphriques distants VPN dans un dploiement unique et d'une
politique cohrente et la mthode de gestion des cls , ce qui
simplifie l'administration du site distant .
Avant de commencer la configuration, on doit choisir lesquelles
de ces 2 mthodes doit tres utilis .La premirec'est la mthode
classique , l'utilisation des ordinateurs autoriss d'utiliser la
service VPN et nous les connectons avec l'autre cot qui jouera le
rle de serveur (comme le routeur , le pare-feu) .La deuximemthode,
c'est la mthode qu'on va voir dans notre cours aujourd'hui . On va
utiliser 2 routeur principales , le premier jouera le rle de
serveur et le deuxime jouera le rle de client pour former un rseau
client/server .
Pourquoi choisir la deuxime mthode ?Pour s'assurer quele
groupeautoris utiliser le service deVPNl'utiliseseulementpour le
travail, et nonde faired'autresactivits... etles soumettresousla
politiques de la scurit de routeur .
On commence la configuration ! Sur le routeur "Serveur " on va
ajouterAAA Model pourdocumenterle groupequi utiliserale service
deVPNetdtermineraussileurs autorisations.
Utiliserle cryptage
Activer l'IP SEC
Ajoutercrypto mapsur l'antivirus connect internet
Aprs avoir configurer le routeur serveur , on passe maintenant
sur le routeur client pour le configurer .
Pour activerle cryptage, il faut spcifi leWAN INTERFACE :
On va trouv un problme avec les quipement qui utilisent la
couche 3 (rseau) comme :Switch virtual interface/Physical .
interface fastethernet 0/3description ANY L3 LAN interfacecrypto
ipsec client ezvpn ez insideAprs avoir effectuer toutes ces
configuration au niveau de client et serveur, on va s'assurer que
tous se passe bien en utilisant les commandes suivantes :
Bravo !On a terminer la configuration et les deux routeurs sont
connects entre eux avec la technologieCISCO EzVPN !
Source :
Networkingeekhttp://www.networkingeek.com/2014/03/CISCO-EzVPN.html#ixzz3026Pv2rpLes
adresses IP prive et NAT
REDA GHANE18:044
Dans ce cours , je vous prsente les adresse IP prive et la
tchnologie NAT .
Adresse IP Prive :
Les adresse IP se sont des adresses logique qui permet un
ordinateur de se connecter un reseau LAN ou WAN . elles sont compos
de 32 bit sur 4 octets .
Les adresses IP sont regroup 2 grand catgorie :
1- IP Public :ce sont les adresses IP routable utilis sur
internet (wan) , on connait un ordinateur connect l'internet partir
de son adresse IP public , cette drnire est donne pour le client
par le fournisseur d'accs (FAI ) .
2- IP Prive :par contre les adresses IP routable (Public ) les
adresse IP prives sont des adresses local ,ce veut dire reconnue
seulement dansle rseaulocal .
2 ordinateur se trouve dans le mme reseau (workgroup) ou bien
dans le mme domaine (server) , ils vont communiquer avec l'adresse
IP prive bien sur .2 ordinateur qui se trouve pas dans le mme
reseau , par exemple le premier se trouve Paris et le deuxime se
trouve Madrid , bien sur l'adresse utilis pour la connexion entre
ces 2 PC c'est l'adresse Public .
les adresses Prives existent dans 3 classe A-B-C :
Classe A : 10.0.0.0 /8Classe B : 172.16.0.0 /12Classe C :
192.168.0.0 /16
Tchnologie NAT :
Suposant , on a un rseau qui contient un router - Switch - etdes
ordinateurs. ces derniers bien sur sont connus dans ce rseau par
ces adresse IP prives et MAC .un ordinateur de ce rseau veut
envoyer des donnes (DATA) un autre ordinateur situ dans un rseau
diffrent . comme on a dja vu il abesoin d'une adresseIP public ,
pour cette raison le routeur utilise par dfaut la technologie NAT
pour traduire les adresses IP prives en adresse IP public routable
pour envoyer ce paquet .La traducions des adresses se fait par
diffrente manire ,Statique(une adresse prives vers une adresse
public ) configur par l'administrateur de routeur ,Dynamique( un
groupe d'adresse prive traduit en adresse public en se basant sur
une POOL d'adresse ) et finalement parPAT( plusieurs adresse IP
prives traduisent en une seule adresse IP public mais en sa basant
sur les numros de port de chaque machine ).
Je vous prsente aussi ce video qui parle des adresses IP prives
et la tchnologie NAT ( c'est trs intressent ) .
Source :
Networkingeekhttp://www.networkingeek.com/2014/01/les-adresses-ip-privee-et-nat.html#ixzz3027yzB9J10
conseils pour scuriser un routeur CISCO
REDA GHANE02:475
1- Le systme d'exploitation IOS :
Comme n'importe quel systme d'exploitation android-windows ..etc
il existe les failles de scurit qui peuvent provoquer des grands
problmes au systme, pour viter ou bien corriger ce problme il faut
mettre une mis jours votre IOS , comment a se passe ? c'est facile
on dj expliquer sur le site la manire utilise pour mettre jours
l'IOS(Mis jours IOS d'un routeur CISCO ) .
2- Scuriser l'accs au console , ligne auxiliaire et ligne VTY
:Scuriser la ligne console
Scuriser la ligne auxiliaire
Scuriser la ligne VTY
3- Choisir un mot de passe fort pour le routeur :
Pour scuriser le routeur , il est conseill de mettreun mot de
passe fort(codes, 10 chiffres et des alphabets non rpts ) pour
viter le problme de piratage .Maintenant on doitcryptertous les
mots de passe sur le routeur :
4- Utiliser le cl de cryptage RSA :
Pour s'assurer que les commandes saisies sont cryptes, et pour
activer la service on utilise les commandes suivantes :
hostname R1ip domain-name Networkingeek.comcrypto key generate
rsaAprs, on choisit le type de la cl utilise dans le cryptage,
choisissez 1024 ou 2048,parce quelalongueur de la clest directement
proportionnelle sa force!
5- Quelques services actives par dfaut reprsente un danger :
Comme vous savez , plusieurs services sont actives par dfaut sur
les quipement CISCO, ce quipourrait tre exploitpar des pirates
pourrecueillir des informations surle rseauetl'exemple le plus
frappantc'est l'outilYersiniaqui est utilise pour collecter des
informations sur le protocole CDP via internet .Par consquent,
nousprfronsde fermerles services inutilespour viterdes problmes de
scurit eten mmetempsallgerla charge sur lerouteur.Maintenant je
vous montre quelques commande qui permet defermercertaines services
non utilise :
6- Dmarrer certaines services non actives par dfaut :On va
activerTCP-keepalivespour contrlerle traficqui circule sur le
routeur .
On va activer aaussi la servicetimestamps pour enregistrertoutes
les actionsqui se produisentdans le routeur .
7- Controler les enregistrements stocks sur routeur :
8-Activation de la service AAA :
9-ACL ( Access Control List ) :Pourcontrler le
mouvementdelabande
passanteetdposertousmouvementsviolationetcontrefaon.
10- Des procdures supplmentaires :
- Dsactiver les adresseBogonqui sont desde fausses adresses
IPexistentsur Internet,Il est d'usageque lesfournisseurs de
servicesInternetet les grandes entreprises bloquent ces adresses
par desACLouBGP blackholingouNull RoutingToutes ces optionssont
utilisespour un seul but,darrter l'utilisation des ces adresse
pourles clientsou les employs,dans le but d'viterles menacesqui
pourraient venir travers.
-Suppression d'IPv4etIPv6Martiansqui sont Publispar la
SocitInternetpourles numros attribus(IANA).
- Application deVerify unicast reverse-pathsur les rseaux de
petites et moyens tailles
Il existe aussi des logiciels qui permettent de scuriser le
routeur comme :Router Administration TooletCisco AutoSecure
etBorder Router Security Tool
Source :
Networkingeekhttp://www.networkingeek.com/2014/03/10-conseils-pour-securiser-RouterCisco.html#ixzz30299ZqV3Le
cours le plus dtaill sur le VTP (Virtual Trunking Protocol)
REDA GHANE19:286
1.IntroductionLes premiers VLAN taient difficiles mettre en uvre
sur les rseaux. La plupart des VLAN taient dfinis sur chaque
commutateur, ce qui signifie que la cration de VLAN sur un rseau
tendu tait une tche complexe. Chaque fabricant de commutateur avait
une conception diffrente de la mise en place des VLAN sur leurs
commutateurs, ce qui compliquait davantage le processus. Le concept
dagrgation de VLAN a t dvelopp pour rsoudre ces problmes.
Le mcanisme dagrgation de VLAN permet de dfinir de nombreux VLAN
au sein dune socit en ajoutant des tiquettes spciales aux trames
pour identifier le VLAN auquel elles appartiennent. Cet tiquetage
permet de nombreux VLAN dtre transfrs sur un backbone commun ou sur
une agrgation. Lagrgation de VLAN est standardise laide du
protocole dagrgation IEEE 802.1Q aujourdhui largement utilis. Le
protocole ISL (Inter-Switch Link) de Cisco est un protocole
dagrgation propritaire qui peut tre mis en uvre dans la plupart des
rseaux Cisco.
Lagrgation de VLAN utilise des trames tiquetes pour permettre le
transport de plusieurs VLAN sur un large rseau commut par le biais
de backbones partags. La configuration et la mise jour manuelles du
protocole VTP (VLAN Trunking Protocol) sur de nombreux commutateurs
est un vrai dfi. VTP prsente un avantage: une fois quun rseau a t
configur avec VTP, la plupart des tches de configuration VLAN sont
automatiques
2.Agrgation (Trunking)2.1.1 Historique de
l'agrgationL'apparition de l'agrgation (trunking) remonte aux
origines des technologies radio et de tlphonie. Dans les
technologies radio, une agrgation est une ligne de communication
simple qui transporte plusieurs canaux de signaux radio.Dans
lindustrie de la tlphonie, le concept dagrgation est associ au
canal ou la voie de communication tlphonique entre deux points. Lun
de ces deux points est gnralement le central tlphonique. Des
agrgations partages peuvent galement tre cres pour la redondance
entre centraux tlphoniques.
Le concept utilis par les industries de la radio et de la
tlphonie a ensuite t adopt pour les communications de donnes. Dans
un rseau de communication, une liaison de backbone entre un
rpartiteur principal et un rpartiteur intermdiaire en est un
exemple. Un backbone est compos dun certain nombre dagrgations.
Actuellement, le mme principe dagrgation est appliqu aux
technologies de commutation de rseaux. Une agrgation est une
connexion physique et logique entre deux commutateurs par lesquels
le trafic rseau est achemin.
2.1.2 Concepts d'agrgationComme nous lavons indiqu prcdemment,
une agrgation est une connexion physique et logique entre deux
commutateurs par lesquels le trafic rseau est achemin. Il sagit dun
canal de transmission simple entre deux points. Ces points sont
gnralement des centres de commutation.Dans le contexte dun
environnement de commutation VLAN, une agrgation de VLAN est une
liaison point--point physique ou logique qui prend en charge
plusieurs VLAN. Lobjectif dune agrgation de VLAN est d'conomiser
des ports lors de la cration dune liaison entre deux units
contenant des VLAN
La figureillustre deux VLAN rpartis sur deux commutateurs (Sa et
Sb). Chaque commutateur utilise deux liaisons physiques, de sorte
que chaque port transporte le trafic dun VLAN unique. Il sagit de
la mthode la plus simple de mise en uvre dune communication VLAN
entre commutateurs, mais elle noffre pas une volutivit
suffisante.
Lajout dun troisime VLAN ncessiterait lutilisation de deux ports
additionnels, un pour chaque commutateur connect. Cette
configuration est galement inefficace en termes de partage de
charges. De plus, le trafic sur certains VLAN peut ne pas justifier
une liaison ddie. Le concept d'agrgation de VLAN consiste regrouper
plusieurs liaisons virtuelles sur une liaison physique unique en
permettant la transmission du trafic de plusieurs VLAN sur un cble
unique entre les commutateurs.
Une agrgation est semblable un rseau autoroutier.Les routes avec
diffrents points de dpart et darrive partagent une autoroute
principale pendant quelques kilomtres, puis se divisent pour
atteindre leurs destinations. Cette mthode est plus conomique que
la cration dune route complte du dbut la fin pour chaque
destination existante ou nouvelle
2.1.3 Fonctionnement d'une agrgation de VLANLes tables de
commutation aux deux extrmits de lagrgation peuvent tre utilises
pour prendre des dcisions de transmission sur la base des adresses
MAC de destination des trames. Lorsque le nombre de VLAN circulant
sur lagrgation augmente, les dcisions de transmission deviennent
plus difficiles grer. Le processus de prise de dcision est ralenti
car le traitement de tables de commutation volumineuses prend plus
de temps.Des protocoles dagrgation ont t dvelopps pour grer
efficacement le transfert de trames de diffrents VLAN sur une
liaison physique unique. Les protocoles dagrgation dfinissent un
consensus pour la distribution de trames aux ports associs aux deux
extrmits de lagrgation.Actuellement, il existe deux types de
mcanismes dagrgation: le filtrage des trames et ltiquetage des
trames. Ltiquetage des trames a t adopt par lIEEE comme mcanisme
dagrgation standard.
Les protocoles dagrgation qui utilisent un mcanisme dtiquetage
des trames affectent un identifiant aux trames pour faciliter leur
gestion et permettre un acheminement plus rapide des trames.La
liaison physique unique entre les deux commutateurs est capable de
transporter le trafic pour nimporte quel VLAN. Pour cela, chaque
trame envoye sur la liaison est tiquete afin didentifier le VLAN
auquel elle appartient. Il existe plusieurs systmes dtiquetage. Les
systmes dtiquetage les plus courants pour les segments Ethernet
sont rpertoris ci-dessous: ISL(Inter-Switch Link) Protocole
propritaire de Cisco 802.1Q Norme IEEE plus particulirement traite
dans cette section2.1.4 VLAN et agrgationDes protocoles ou des
rgles spcifiques sont utiliss pour mettre en uvre une agrgation.
Lagrgation fournit une mthode efficace de distribution des ID de
VLAN aux autres commutateurs.Lutilisation de ltiquetage de trames
comme mcanisme dagrgation standard, par opposition au filtrage de
trames, fournit une solution plus volutive au dploiement VLAN.
Selon la norme IEEE 802.1Q, ltiquetage de trames est la meilleure
faon de mettre en uvre des LAN virtuels.La mthode dtiquetage des
trames VLAN a t dveloppe spcialement pour les communications
commutes. Cette mthode place un identificateur unique dans len-tte
de chaque trame au moment o celle-ci est achemine dans le backbone
du rseau. Lidentificateur est interprt et examin par chaque
commutateur avant tout broadcast ou transmission dautres
commutateurs, routeurs ou quipements de station d'extrmit. Lorsque
la trame quitte le backbone du rseau, le commutateur retire
lidentificateur avant de transmettre la trame la station dextrmit
cible. Ltiquetage des trames est effectu au niveau de la couche 2;
il ncessite des temps de traitement ou d'administration peu
importants.
Il est important de comprendre qu'un lien multi-VLAN
n'appartient aucun VLAN spcifique. Un lien multi-VLAN doit servir
de canal pour les VLAN entre les commutateurs et les routeurs.ISL
est un protocole qui met jour les informations VLAN au fur et
mesure du transfert du trafic entre les commutateurs. Avec ISL, une
trame Ethernet est encapsule avec un en-tte contenant un ID de
VLAN
2.1.5 Mise en oeuvre de l'agrgation de VLAN
Pour crer ou configurer une agrgation de VLAN sur un commutateur
base de commandes Cisco IOS, configurez d'abord le port en mode
d'agrgation de VLAN puis spcifiez lencapsulation dagrgation laide
des commandes suivantes:
Vrifiez que le mcanisme d'agrgation a t configur et contrlez les
paramtres en utilisant les
commandesshowinterfacesFa0/[num_port]oushow interfacestrunken mode
privilgi sur le commutateur.3.VTP (Virtual Trunking Protocol)3.1.1
Concepts VTPLe rle de VTP est de maintenir la cohrence de la
configuration VLAN sur un domaine dadministration rseau commun. VTP
est un protocole de messagerie qui utilise les trames dagrgation de
couche 2 pour grer lajout, la suppression et lattribution de
nouveaux noms aux VLAN sur un domaine unique. De plus, VTP autorise
les changements centraliss qui sont communiqus tous les autres
commutateurs du rseau.Les messages VTP sont encapsuls dans des
trames de protocole Cisco ISL (Inter-Switch Link) ou IEEE 802.1Q,
puis transmis sur des liens multi-VLAN aux autres units. Dans les
trames IEEE 802.1Q, un champ sur 4octets est ajout pour tiqueter
les trames. Les deux formats transportent lID du VLAN.
Alors que les ports de commutateur sont normalement affects un
seul VLAN, les ports multi-VLAN transportent, par dfaut, les trames
de tous les VLAN.3.1.2 Fonctionnement de VTPUn domaine VTP est
compos dun ou de plusieurs quipements interconnects qui partagent
le mme nom de domaine VTP. Un commutateur ne peut appartenir qu un
seul domaine VTP.Lorsquun message VTP est transmis aux autres
commutateurs du rseau, il est encapsul dans une trame de protocole
dagrgation comme ISL ou IEEE 802.1Q.
La figure illustre lencapsulation gnrale pour VTP lintrieur dune
trame ISL. Len-tte VTP varie en fonction du type de message VTP,
mais quatre lments sont gnralement inclus dans tous les messages
VTP: Version du protocole VTP: version 1 ou 2 Type de message VTP:
indique lun des quatre types Longueur du nom de domaine de gestion:
indique la taille du nom qui suit Nom du domaine de gestion: nom
configur pour le domaine de gestion Les commutateurs VTP excutent
lun des trois modes suivants:
Serveur
Client
Transparent
Les serveurs VTP peuvent crer, modifier et supprimer un VLAN et
des paramtres de configuration VLAN pour lensemble du domaine. Les
serveurs VTP enregistrent les informations de configuration VLAN
dans la mmoire NVRAM du commutateur. Les serveurs VTP envoient des
messages VTP par tous les ports multi-VLAN.Les clients VTP ne
peuvent pas crer, modifier ou supprimer des informations VLAN. Ce
mode est utile pour les commutateurs qui manquent de mmoire pour
stocker de grandes tables dinformations VLAN. Le seul rle des
clients VTP est de traiter les modifications VLAN et denvoyer des
messages VTP par tous les ports multi-VLAN.Les commutateurs en mode
transparent VTP transmettent des annonces VTP mais ignorent les
informations contenues dans le message. Un commutateur transparent
ne modifiepas sa base de donnes lors de la rception de mises jour
et il nenvoie pas de mises jour indiquant une modification apporte
son tat VLAN. Except pour la transmission dannonces VTP, le
protocole VTP est dsactiv sur un commutateur transparent.Les VLAN
dtects au sein des annonces servent de notification pour indiquer
au commutateur qu'un trafic transportant les nouveaux ID de VLAN
peut tre attendu.
Dans la figure, le commutateurC transmet une entre de base de
donnes VTP avec des ajouts ou des suppressions aux commutateurs A
et B. La base de donnes de configuration dispose dun numro de
rvision qui est incrment de un. Un numro de rvision de
configuration suprieur indique que les informations VLAN envoyes
sont plus rcentes que la copie stocke. Chaque fois quun commutateur
reoit une mise jour avec un numro de rvision de configuration
suprieur, il remplace les informations stockes par les nouvelles
informations envoyes dans la mise jour VTP. Le commutateur F ne
traite pas la mise jour, car il appartient un autre domaine. Avec
ce processus de remplacement, lorsque le VLAN nexiste pas dans la
nouvelle base de donnes, il est supprim du commutateur. En outre,
VTP met jour sa propre configuration dans la mmoire NVRAM.La
commandeerase startup-configurationefface les commandes de
configuration en mmoire NVRAM, lexception du numro de rvision de la
base de donnes VTP. Pour redfinir le numro de rvision de
configuration sur zro, le commutateur doit tre redmarr.3.1.3 Mise
en oeuvre de VTPGrce VTP, chaque commutateur annonce sur les ports
multi-VLAN, son domaine de gestion, son numro de rvision de
configuration, les VLAN quil connat et les paramtres
correspondants. Ces trames dannonce sont envoyes une adresse
multicast, de sorte que toutes les units voisines puissent recevoir
les trames. Toutefois, les trames ne sont pas transmises au moyen
des procdures de pontage habituelles. Toutes les units du mme
domaine de gestion acquirent des informations sur les nouveaux VLAN
configurs dans lunit mettrice. Un nouveau VLAN doit tre cr et
configur sur une unit uniquement dans le domaine de gestion. Toutes
les autres units du mme domaine de gestion apprennent
automatiquement les informations.Les annonces sur les VLAN par
dfaut sont bases sur les types de mdia. Les ports utilisateur ne
doivent pas tre configurs en tant quagrgations VTP.Chaque annonce
commence par le numro de rvision de configuration 0. Lorsque des
modifications sont apportes, le numro de rvision de la
configuration augmente de un (n + 1). Le numro de rvision continue
daugmenter jusquau numro 2147483648. Une fois ce numro atteint, le
compteur est remis zro.Il existe deux types dannonce VTP: les
demandes manant de clients qui rclament des informations au
dmarrage; Les rponses des serveurs.Il existe trois types de message
VTP: les demandes dannonce; les annonces de type rsum; les annonces
de type sous-ensemble.Avec les demandes dannonce, les clients
demandent des informations VLAN et le serveur rpond avec des
annonces de type rsum ou sous-ensemble.Par dfaut, les commutateurs
serveur et client Catalyst mettent des annonces de type rsum toutes
les cinq minutes. Les serveurs indiquent aux commutateurs voisins
ce quils pensent tre le numro de rvision VTP actuel. Si les noms de
domaine correspondent, le serveur ou client rcepteur compare le
numro de rvision de la configuration. Si le numro de rvision dans
lannonce est suprieur celui qui figure actuellement dans le
commutateur rcepteur, ce dernier met une demande dannonce pour les
nouvelles informations VLAN.Les annonces de type sous-ensemble
contiennent des informations dtailles sur les VLAN, telles que le
type de version VTP, le nom du domaine et les champs associs, ainsi
que le numro de rvision de la configuration. Les vnements suivants
peuvent crer ces annonces: Cration ou suppression dun VLAN Arrt ou
activation dun VLAN Modification du nom dun VLAN Modification dela
MTUdun VLANLes annonces peuvent contenir toutes ou une partie des
informations suivantes : Nom du domaine de gestion. Les annonces
contenant des noms diffrents sont ignores. Numro de rvision de la
configuration. Un numro suprieur reflte une configuration plus
rcente. Algorithme MD5. MD5 est la cl envoye avec VTP lorsquun mot
de passe a t affect. Si la cl ne correspond pas, la mise jour est
ignore. Identit de lunit de mise jour. Il sagit de lidentit du
commutateur qui envoie lannonce de type rsum VTP.3.1.4
Configuration de VTPLes tches de base suivantes doivent tre
effectues avant de configurer le protocole VTP et les VLAN sur le
rseau.1. Dterminez le numro de la version de VTP qui sera
utilise.2. Indiquez si ce commutateur sera un membre dun domaine de
gestion existant ou si un nouveau domaine doit tre cr. Si un
domaine de gestion existe, dterminez son nom et son mot de passe.3.
Choisissez un mode VTP pour le commutateur.Deux versions diffrentes
de VTP sont disponibles: la version 1 et la version 2. Les deux
versions ne peuvent pas fonctionner ensemble. Si un commutateur
estconfigur dans un domaine pour VTP version2, tous les
commutateurs du mme domaine doivent ltre aussi. VTP version 1 est
la valeur par dfaut. La version 2 de VTP peut tre mise en uvre si
certaines des fonctions quelle offre ne sont pas proposes dans la
version1. La fonction la plus couramment utilise est la prise en
charge VLAN Token Ring.Pour configurer la version de VTP sur un
commutateur base de commandes Cisco IOS, passez dabord en mode base
de donnes VLAN.Utilisez la commande suivante pour changer le numro
de version de VTP:Switch#vlan databaseSwitch(vlan)#vtp v2-modeSi le
commutateur install est le premier commutateur du rseau, crez le
domaine de gestion. Si le domaine de gestion a t scuris, configurez
un mot de passe.Pour crer un domaine de gestion, utilisez la
commande suivante:Switch(vlan)#vtp domain ciscoLe nom du domaine
peut comporter entre 1 et 32 caractres. Le mot de passe peut
comporter entre 8 et 64 caractres.Pour ajouter un client VTP un
domaine VTP existant, vrifiez toujours que son numro de rvision de
configuration VTP est infrieur celui des autres commutateurs du
domaine VTP. Utilisez la commandeshow vtp status. Les commutateurs
dun domaine VTP utilisent toujours la configuration VLAN du
commutateur qui porte le numro de rvision de configuration VTP le
plus lev. Si un commutateur est ajout et sil porte un numro de
rvision suprieur celui du domaine VTP, il peut effacer toutes les
informations VLAN du serveur et du domaine VTP.Choisissez un des
trois modes VTP disponibles pour le commutateur. Sil sagit du
premier commutateur du domaine de gestion et que dautres
commutateurs vont tre ajouts, dfinissez le mode sur serveur. Les
autres commutateurs seront en mesure dacqurir des informations VLAN
de ce commutateur. Il doit y avoir au moins un serveur.Des VLAN
peuvent tre crs, supprims et renomms volont sans que le commutateur
transmette les modifications aux autres commutateurs. Si un grand
nombre de personnes configurent des units au sein du rseau, il est
possible que deux VLAN avec deux significations diffrentes mais le
mme identifiant soient crs.Pour dfinir le mode appropri du
commutateur base de commandes Cisco IOS, utilisez la commande
suivante:Switch(vlan)#vtp {client | server | transparent}
La figure prsente les informations affiches par la commandeshow
vtp status. Cette commande permet de vrifier les paramtres de
configuration VTP sur un commutateur base de commandes Cisco
IOS.4.Routage entre VLAN
Un LAN virtuel est un ensemble logique dunits ou dutilisateurs
qui peuvent tre regroups par fonction, par service ou par
application, quel que soit leur emplacement physique.La
configuration dun LAN virtuel est effectue au niveau du commutateur
par le biais dun logiciel. La mise en uvre de VLAN simultans peut
ncessiter lutilisation dun logiciel spcial fourni par le fabricant
du commutateur. Le regroupement de ports et dutilisateurs en
communauts dintrt,appelesorganisations VLAN, peut tre ralis par
lutilisation dun seul commutateur ou de manire plus efficace sur
des commutateurs connects au sein de lentreprise. En regroupant les
ports et les utilisateurs de multiples commutateurs, les LAN
virtuels peuvent stendre aux infrastructures dun immeuble ou des
immeubles interconnects. Les VLAN participent lutilisation efficace
de la bande passante, car ils partagent le mme domaine de broadcast
ou rseau de couche3. Les VLAN optimisent l'utilisation de la bande
passante. Les VLAN se disputent la mme bande passante, bien que les
besoins en bande passante varient considrablement selon le groupe
de travail ou le service. Voici quelques remarques sur la
configuration dun VLAN: Un commutateur cre un domaine de broadcast.
Les LAN virtuels aident grer les domaines de broadcast. Les LAN
virtuels peuvent tre dfinis sur des groupes de ports, des
utilisateurs ou des protocoles. Les commutateurs LAN et le logiciel
dadministration rseau fournissent un mcanisme permettant de crer
des VLAN.Les VLAN aident contrler la taille des domaines de
broadcast et localiser le trafic. Les VLAN sont associs des rseaux
individuels. Ainsi, les units rseau dans des VLAN diffrents ne
peuvent pas communiquer directement sans lintervention dune unit de
routage de couche3.Lorsquun nud dun VLAN doit communiquer avec un
nud dun autre VLAN, un routeur est ncessaire pour acheminer le
trafic entre les VLAN. Sans unit de routage, le trafic entre VLAN
est impossible.4.1.1 Introduction au routage entre VLANLorsquun hte
dun domaine de broadcast souhaite communiquer avec un hte dun autre
domaine de broadcast, un routeur doit tre utilis.
Le port 1 dun commutateur fait partie du VLAN1 et le port 2, du
VLAN 200.Si tous les ports de commutateur faisaient partie du VLAN
1, les htes connects ces ports pourraient communiquer. Dans ce cas,
nanmoins, les ports appartiennent des VLAN diffrents, le VLAN 1 et
le VLAN 200.
Un routeur doit tre utilis pour que les htes des diffrents VLAN
communiquent.Le principal avantage du routage est sa facult
faciliter les changes sur les rseaux, notamment sur les grands
rseaux. Bien que lInternet en soit lexemple le plus flagrant, cela
est vrai pour tout type de rseau, et notamment pour un grand
backbone de campus. tant donn que les routeurs empchent la
propagation des broadcasts et utilisent des algorithmes de
transmission plus intelligents que les ponts et les commutateurs,
ils permettent dutiliser plus efficacement la bande passante. En
mme temps, ils permettent une slection de chemin optimale et
flexible. Par exemple, il est trs facile de mettre en uvre
lquilibrage de charge sur plusieurs chemins dans la plupart des
rseaux lors du routage. Dun autre ct, lquilibrage de charge de
couche2 peut tre trs difficile concevoir, mettre en uvre et mettre
jour.
Lorsquun VLAN stend sur plusieurs quipements, une agrgation est
utilise pour interconnecter les quipements. Lagrgation transporte
le trafic de plusieurs VLAN. Par exemple, une agrgation peut
connecter un commutateur un autre commutateur, au routeur entre les
VLAN ou un serveur avec une carte NIC spciale utilise pour prendre
en charge les agrgations.Noubliez pas que quand un hte dun VLAN
veut communiquer avec un hte dun autre VLAN, un routeur est
ncessaire.
4.1.2 Interfaces physiques et logiquesDans une situation
traditionnelle, un rseau avec quatre VLAN ncessite quatre
connexions physiques entre le commutateur et le routeur
externe.Avec larrive de technologies comme ISL (Inter-Switch Link),
les concepteurs de rseau ont commenc utiliser des liens multi-VLAN
pour connecter des routeurs des commutateurs.Bien que les
technologies dagrgation comme ISL, 802.1Q, 802.10 ou LANE (mulation
LAN) puissent tre utilises, les approches bases sur Ethernet comme
ISL et 802.1Q sont plus frquentes.
Le protocole Cisco ISL ainsi que la norme IEEE multifournisseur
802.1Q sont utiliss pour runir des VLAN en une agrgation sur des
liaisons Fast Ethernet.La ligne continue dans lexemple fait rfrence
la liaison physique unique entre le commutateur Catalyst et le
routeur. Il sagit de linterface physique qui connecte le routeur au
commutateur.
Lorsque le nombre de VLAN augmente sur un rseau, lapproche
physique consistant utiliser une interface de routeur par VLAN
devient vite limite en termes dvolutivit. Les rseaux contenant de
nombreux VLAN doivent utiliser le mcanisme dagrgation de VLAN pour
affecter plusieurs VLAN une interface de routeur unique.Les lignes
en pointill dans lexemple correspondent aux liaisons logiques qui
fonctionnent sur cette liaison physique par le biais de
sous-interfaces. Le routeur peut prendre en charge de nombreuses
interfaces logiques sur des liaisons physiques individuelles. Par
exemple, l'interface Fast Ethernet FastEthernet 1/0 pourrait
supporter trois interfaces virtuelles s'appelant FastEthernet
1/0.1, 1/0.2 et 1/0.3.
Le principal avantage de l'utilisation d'un lien multi-VLAN est
la rduction du nombre de ports de routeur et de commutateur
utiliss. Cela permet non seulement de raliser une conomie
financire, mais peut galement rduire la complexit de la
configuration. Par consquent, lapproche qui consiste relier des
routeurs par une agrgation peut voluer vers un plus grand nombre de
VLAN quune conception base sur une liaison par VLAN.
4.1.3 Sparation des interfaces physiques en sous-interfaces
Une sous-interface est une interface logique au sein dune
interface physique, telle que linterface Fast Ethernet dun
routeur.
Plusieurs sous-interfaces peuvent coexister sur une seule
interface physique.Chaque sous-interface prend en charge un VLAN et
dispose dune adresse IP affecte. Pour que plusieurs units dun mme
VLAN communiquent, les adresses IP de toutes les sous-interfaces
mailles doivent tre sur le mme rseau ou sous-rseau. Par exemple, si
la sous-interface FastEthernet 0/0.1 a ladresse IP 192.168.1.1,
alors 192.168.1.2, 192.168.1.3 et 192.1.1.4 sont les adresses IP
des units connectes la sous-interface FastEthernet0/0.1.
Pour le routage entre VLAN avec sous-interfaces, une
sous-interface doit tre cre pour chaque VLAN.
La section suivante voque les commandes ncessaires la cration de
sous-interfaces et lapplication dun protocole dagrgation et dune
adresse IP chaque sous-interface.
4.1.4 Configuration du routage entre des VLANCette section
prsente les commandes ncessaires pour configurer un routage
inter-VLAN entre un routeur et un commutateur. Avant de mettre en
uvre ces commandes, il est ncessaire de vrifier sur chaque routeur
et commutateur le type dencapsulation VLAN pris en charge. Les
commutateurs Catalyst 2950 acceptent les agrgations 802.1Q depuis
le lancement de la plate-forme logicielle Cisco IOS version
12.0(5.2)WC(1), mais ils ne prennent pas en charge les agrgations
ISL (Inter-Switch Link). Pour que le routage entre VLAN fonctionne
correctement, tous les routeurs et commutateurs concerns doivent
accepter la mme encapsulation.Sur un routeur, une interface peut
tre logiquement divise en plusieurs sous-interfaces virtuelles. Les
sous-interfaces fournissent une solution flexible pour le routage
de plusieurs flux de donnes via une interface physique unique. Pour
dfinir des sous-interfaces sur une interface physique, effectuez
les tches suivantes: Identifiez linterface. Dfinissez
lencapsulation VLAN. Attribuez une adresse IP linterface.Pour
identifier linterface, utilisez la commande interface en mode de
configuration globale.Router(config)#interface
fastethernetnumro-port. numro-sous-interfaceLa variablenumro-port
identifie linterface physique tandis que la
variablenumro-sous-interface identifie linterface virtuelle.Le
routeur doit tre capable de communiquer avec le commutateur laide
dun protocole dagrgation standardis. Cela signifie que les deux
units interconnectes doivent se comprendre mutuellement. Dans
lexemple, 802.1Q est utilis. Pour dfinir lencapsulation VLAN,
saisissez la commande encapsulation en mode de configuration
dinterface.Router(config-subif)#encapsulation dot1Qnumro-vlanLa
variablenumro-vlan identifie le VLAN pour lequel la sous-interface
achemine le trafic. Un ID de VLAN est ajout la trame uniquement
lorsque celle-ci est destine un rseau non local. Chaque paquet VLAN
transporte lID du VLAN dans son en-tte.Pour affecter ladresse IP la
sous-interface, entrez la commande suivante en mode de
configuration dinterface.Router(config-subif)#ip addressadresse-ip
masque-sous-rseauLes variables adresse-ip et masque-sous-rseau
correspondent au masque et ladresse rseau sur 32 bits de
linterface.Dans lexemple, le routeur a trois sous-interfaces
configures sur linterface Fast Ethernet 0/0. Ces trois
sous-interfaces sont identifies par 0/0.1, 0/0.2 et 0/0.3. Toutes
les interfaces sont encapsules pour 802.1Q. Linterface 0/0.1
achemine les paquets du VLAN 1, tandis que linterface 0/0.2
achemine les paquets du VLAN 20 et linterface 0/0.3, ceux du VLAN
30.
Source :
Networkingeekhttp://www.networkingeek.com/2014/03/VTP.html#ixzz302A4wIktLa
Solution de "USB est protg en criture"
REDA GHANE22:544
Il existe plusieurs mthodes pourrsoudre le problmeUSB est protg
en criture, on va utilis la technique d'diteur de registre , on
commence :
1-Ecrivez dans labarre de recherchewindows : regedit ( excuter
le)
2-Dplacer vous sur le chemin suivant
:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies
3-Clique droit sur "WriteProtect" , et cliquer sur "Modify"
4-Si vous avez trouver dans cette case1vous la remplacez par0et
cliquez sur "ok"
5-Finalement, fermer l'diteur de registre et rebrancher nouveau
votre cl USB .
Source :
Networkingeekhttp://www.networkingeek.com/2014/02/usb-is-write-protected.html#ixzz302BX9yak
