Project labos Cisco anne 2012-2013

Rapport Cisco
Project Labos

Groupe Seydou &Andelai

ID : 150535 & 145691
Anne 2012-2013

Project labos Cisco anne 2012-2013

Sommaire
PRESENTATION..P3
FIREWALLP4
IPSP8
VPN P10
ACLP16
AAAP18
VLAN..P20
IPV6P23
CONCLUSION..P40
Partie Technique

FIREWALL..P25
IPS .P26
ACLP28
AAAP30
VLAN..P32
IPV6P38

Project labos Cisco anne 2012-2013

PRESENTATION :
Aujourdhui, internet est la plus grande source dinformation au monde. En effet,
toute grande entreprise ayant un accs internet, est en possession dinformations
prives, peuvent tre victimes de Cyber Attaques.
En gnrale, le but des attaques sur un rseau informatique est dinterrompre le
fonctionnement de celui-ci, dintercepter les informations importantes, mais aussi
modifier lintgrit des informations.
Afin dviter les risques dattaques, il faut garantir une scurit du rseau
informatique de lentreprise et le rendre moins vulnrable.
De nos jours, on ne peut plus seulement se contenter de vrifier lidentit des
personnes voulant se connecter au rseau de lentreprise, il faut galement vrifier que
la machine est saine, et pour cela, des solutions efficaces ont tmises en place par
Cisco afin de garantir la scurit des rseaux informatiques des entreprises.
La scurit du rseau va au-del dune simple audit de vulnrabilit des machines
connect au rseau afin de dtecter les intrusions. Cest un moyen dappliquer des
politiques de scurittous les quipements sans impacter leur productivit.
Une solution efficace doit comprendre ces critres de base:
-

Lidentification et lauthentification : identifier lutilisateur afin de lui donner

une politique de scuritpar groupe ou par fonction.
Laudit de vulnrabilit et contrle de conformit : sassurer que la machine
remplis bien les critres avant de permettre une connexion.
Quarantaine et mise jour : Les machines qui ne sont pas conformes sont isol
pour une remise a niveau (mise a jour etc.)
Administration et configuration : les fonctions de scurits doivent tre faciles
cres et a administres.

Il existe une multitude de solution Cisco remplissant ces critres, ces solutions
peuvent tre soit matriels, soit logiciels. Elles ne seront pas toutes tudies cependant
une solution matrielle qui est le serveur de scuritde la gamme Cisco ASA 5500
comportant trois Solutions logicielles qui sont le Firewall, lIPS, le VPN SSL ou alors
le filtrage de contenu(Anti-X). A travers cette tude, nous verrons comment les
serveurs de scuritde la gamme Cisco ASA offrent plus de puissances et de services
de scurit nouvelle gnration pour La scurit des applications web.

Project labos Cisco anne 2012-2013

LA SECURITE DES APPLICATIONS

I-

FIREWALL

La scurit est une notion qui est au cur de lentreprise. Elle est pourtant
expose des risques dattaques car elle est en possession de postes
informatiques qui permet la communication entre lentreprise et le reste
du monde. Dans une entreprise, les employs doivent pouvoir schanger
des informations et fournir un travail dquipe, mais cet change
dinformation reprsente un risque pour lentreprise et peut-tre un frein
si le rseau informatique est endommag cause des attaques.
Pour garantir une scuritcontre ses attaques, Cisco a pris en compte un
composant essentiel qui est la base du rseau, le firewall.

Reprsentation dun firewall : source http://upload.wikimedia.org/wikipedia/commons/thumb/5/5b/Firewal

l.png/300px-Firewall.png
1- Utilitet faiblesse :
Le firewall dont le nom en franais est pare-feu , est un dispositif qui a
pour but de filtrer toutes les informations entrantes et sortantes dun
rseau informatique, de dtecter les tentatives dintrusions et de parer les
intrusions le mieux possible. Il peut tre intgr dans le matriel
informatique comme Cisco ou Nortel. Comme son nom lindique, le parefeu est en effet une barrire qui empche la propagation dun incendie
(virus), il permet dviter la compromission dune ou de plusieurs
4

Project labos Cisco anne 2012-2013

machines du systme ne se rpande. Le firewall permet aussi de limiter

laccs dun utilisateur sur le rseau extrieur et ainsi empcher la sortie
de certaines informations du rseau local. En effet, dans une entreprise
les employs mcontents peuvent tre la cause dune fuite dinformation
grce au chang de fichier ou alors tre distraits par la multitude
dactivit disponible sur internet, ce qui peut entrainer une baisse de la
productivit chez ces employs. Installer un firewall limitant ou
interdisant laccs aux services permet lentreprise de grer ces activits
sur le rseau.
Le firewall propose un bon contrle du trafic du rseau, offrant ainsi aux
entreprises lopportunit dutiliser le rseau de la faon pour laquelle ils
lont prvu, toute en limitant laccs au service.
Malgrcet avantage de pouvoir scuriser le rseau en limitant les accs,
le firewall nest pas capable de grer tout seul larchitecture de
lentreprise car il prsente des faiblesses dues au dveloppement des
communications comme le HTTP (HyperText Transfer protocole), un
protocole de communication client-serveur dont la couche de transport est
le TCP et dont chaque attaque est diffrente lune de lautre, tant donn
que le bug se situe dans la requte envoye au serveur et que cette requte
est considr comme normal pour le systme du firewall. Prenons
lexemple dun navigateur (client HTTP) qui envoie une demande a une
serveur (HTTP) afin daffich la page que lon veux lire. Le code http est
considr comme valide pour firewall et ne ncessite pas
dauthentification de ce fait la page demand est accessible publiquement
et renvoie donc la page demander sans avoir dinformation concrte sur
lmetteur de la demande a par son adresse IP. Il lui est donc quasiment
impossible de voir la menace. A cause de ce genre de faille de scurit,
les entreprises se doivent de procder un certain nombre danalyses
avant de cre une infrastructure informatique.

2- Action pour la mise en place dun firewall :

Avant toute chose un administrateur rseau doit ce poser les bonnes
questions et procda une analyse. En fonction de cette analyse, il pourra
savoir quoi protger et si il savre utile dinstaller un firewall, o le
placer et comment le paramtrer. On peut prendre lexemple dune
5

Project labos Cisco anne 2012-2013

machine compromise qui se repend sur le rseau et qui va en direction

des serveurs stratgiques ; Installer un firewall en entrsur ces serveurs
pourra grce au filtrage du firewall, empcher le virus de les atteindre.
Sur un rseau informatique il est important de conna
tre la position des
diffrents filtreurs de contenu.
Il existe trois diffrents types de filtrages :
- Le filtrage Simple (Stateless)
- Le filtrage de paquet avec tat (Stateful)
- Le filtrage applicatif (pare feu de type proxy)
1.2.1-

Le filtrage Simple (Stateless) :

Le principe du filtrage simple consiste accorder ou refuser le passage

dun paquet en se basant sur ladresse IP de source et ladresse IP de
destination, le numro de port (un port est numro associun service ou
une application rseau) source et de destination et le type de paquet
(UDP, TCP, etc.).
Lavantage de ce type de filtrage de paquet est quil gnralement rapide
mettre en place, une seul rgle permet de bannir une source spcifique
et quand il est associau NAT, il est plus facile de protger les adresses
IP des clients du rseau interne.
Linconvenant de ce type de filtrage est quil ne prend pas en compte la
couche application, de ce fait-il ne pas assurer la scuritde services tel
que le PUT et le GET dans le FTP, il noffre donc pas de service http. Il
ne garde pas dinformation concernant les connexions qui ont t tablies,
il ne gre pas les authentifications, il ne peut pas manipuler les
informations contenues dans les paquets et il a peu ou pas de contrle sur
le trafic du rseau.
1.2.2- Le filtrage de paquet avec tat (Stateful) :
La diffrence entre le filtrage de paquet simple et le filtrage de paquet
avec tat rside dans le fait quil prend en compte la validit des paquets
prcdents. De ce fait, il garde en mmoire toutes les informations de
chaque connexion du dbut jusqu'la fin et le firewall ne sera plus dans
lobligation de suivre les rgles dfinit par ladministrateur, mais
galement par rapport de la session :
6

Project labos Cisco anne 2012-2013

- NEW : Un client envoi sa requte.

- ESTABLISHED : Connexion dj initie. Elle suit une
connexion NEW
- RELATED : Peur tre une nouvelle connexion, mais elle
reprsente un rapport direct avec une connexion djconnue.
Grce au firewall a tat, les anomalie li au protocole TCP sont plus
facile a dceler et lapplication des rgles est possible sans lire les ACL
car lensemble des paquets appartenant a une connexion active seront
accepts et les connexions sont garder dans une table tats de connexions.
Linconvenant est quil peut restreindre les accs que pour les protocoles
TCP, il ne peut contrler les protocoles de niveau suprieur, il noffre pas
non plus de services supplmentaires lier au http et il est difficile de tester
lefficacit des rgles deny et any .
1.2.3- Filtrage applicatif (pare-feu de type proxy):
Le filtrage applicatif comme son nom lindique fonctionne sur la couche
7 (Application) du modle OSI. La plupart des firewalls disposent dun
service de proxy ; un systme adaptqui gre le trafic pour un protocole
particulier. Chaque protocole dispose dun module spcifique celui-ci.
Par exemple, le protocole HTTP sera filtrpar un processus de proxy
HTTP. De plus, le filtrage applicatif permet dutiliser lauthentification.
Ce type de firewall permet alors deffectuer une analyse beaucoup plus
fine des informations circulant sur le rseau. Les paquets en provenance
de lextrieur sont analys, et seul les paquets bien forms, ou reformer
(si possible) seront transmis ou rejetsi il est vraiment dform.
Chaque proxy ncessite deux excutable gnralement implmenter en un
seul excutable : un serveur proxy et un client proxy. Le Serveur proxy
tant le serveur finale pour le client du rseau interne et le client proxy
qui joue le rle dintermdiaire entre le serveur externe et le client.
Toutes les communications vers un service extrieur sont envoyes par le
client proxy pour ne pas quil y est de communication direct entre le
rseau interne et le rseau externe. Le proxy sera donc un client pour les
services extrieurs tout comme le client du rseau est un client pour le
proxy.
7

Project labos Cisco anne 2012-2013

En bref, les avantages du filtrage applicatif comprennent les services

proxy permettant le renforcement des protocoles de haut niveau comme le
http et le FTP, il tient a jours le trafic du rseau (les information
concernant les donnes transitant).
On peut voir que chacune de ces Solution offre ses avantages et ses
inconvenant, il nexiste donc pas de Solution spcifique permettant au
Firewall seul de gr la scurit de toute linfrastructure. Idalement, en
ce qui concerne les Firewall, le plus simple sera de mettre en place un
filtrage applicatif puis de le prcder dun filtrage Stateful. Cependant il
faut savoir quune solution fonctionnant un moment finira par prsenter
des failles. Il est donc ncessaire davoir un suivie permanent afin de voir
les faiblesses qui ne sont pas gret celle qui sont apparues rcemment
grce a un autre outil logiciel : lIPS (Intrusion Preventio System) sur
lequel nous allons revenir par la suite.
Il est important dinstaller un systme de Fireproof pour lquilibrage des
charges entre les firewall. En effet, au cas ou un firewall venait tomber
il serait ncessaire davoir une unit de scurit en plus qui reprendrait le
service.
La mise en place dun tel dispositif peut prendre entre deux et neuf mois
selon le type darchitecture, selon les fonctionnalits values, le niveau
d'valuation et la rsistance des mcanismes viss. Le commanditaire de
l'valuation est tenu de fournir tous les documents ncessaires, tels que le
dossier
de
conception,
les
plans
de
test
etc.
L'valuation est effectue et facture au commanditaire conformment
aux conditions commerciales ngocies l'avance, par l'un des centres
d'valuation agrs. Le suivi de l'valuation et la dlivrance du certificat
par l'organisme de certification (DCSSI) sont gratuits.
II-

IPS (Intrusion prevention system):

Lintrusion prvention system (IPS), est une solution logicielle similaire

lIDS qui permet aux ordinateurs ( travers la surveillance des drivers,
des processus, etc.) et au rseau (a travers des mesures comme terminer
une session TCP) dtre protg dune exploitation potentielle. A part le
firewall, aucun autre appareil nexerce de contrle daccs. De ce fait,
pour protger le rseau des failles de scurit concernant la couche
8

Project labos Cisco anne 2012-2013

applicative des firewalls, il faut installer une surveillance du rseau avec

un systme de dtection en ligne.
Il existe deux types dIPS qui permettent la surveillance du rseau : les
HIPS (Host-based Intrusion Prevention System), et les NIPS (Network
Intrusion
Prevention
System).
LIPS augmente donc considrablement les capacits des technologies
des pare-feu car il exerce un contrle ax sur le contenue dune
application plutt que sur ladresse IP, ou les ports.

1- HIPS (Host-based Intrusion Prevention System) :

HIPS est un outil ncessaire pour les entreprises et les clients ayant une
connexion domicile car il ajoute un niveau de protection afin
dempcher toute intrusion dactivit nuisible sur un priphrique gr.
Lutilisateur est protg des vulnrabilits du rseau lier la couche
applicative et contre les attaques connue ou inconnue. Quand il ya une
attaque, lutilisateur est expos une attaque lier la couche 7.
Cependant, ni le firewall, ni le NIPS et ni lIDS ne sont en mesure de
bloqu cette attaque ou lanc une alerte pour avertir lutilisateur dun
comportement non autoris, contrairement au HIPS qui surveille en
continu les processus, les fichiers, les applications et les registres afin de
dtectle moindre comportement non autoris.
Loutil HIPS protge les serveurs et les stations de travail en plaant un
logiciel entre le Kernel (noyau du systme dexploitation). A laide de
rgle qui lui sont prdtermines bases sur le comportement des attaques
de programmes malveillants (virus). Il value les demandes daccs au
rseau (anti-spyware), les tentatives dcritures et de lectures sur la
mmoire ou toute tentative daccs une application (software firewalls)
spcifique et agit en fonction du comportement de chacune dentre elle.
On peut prendre lexemple dun fichier qui tente dcrire sur un registre
systme ; laction pourrait tre bloqu si le comportement de ce fichier est
suspect et marqucomme potentiellement dangereux.
Lavantage du HIPS est quil nest pas ncessaire davoir plusieurs
applications de scurit travaillant ensemble pour protger un pc car
lHIPS regroupe des fonctionnalits permettant de scuriser celui-ci en
9

Project labos Cisco anne 2012-2013

vrifiant le comportement dune entit. Par exemple McAfee est un HIPS

regroupant
ces
fonctionnalits.
Cisco a ten mesure de concevoir un HIPS offrant une protection de la
menace pour les serveurs, les ordinateurs de bureau a travers un logiciel
nommCisco Scurity Agent.

2- NIPS (Network Intrusion Prevention System) :

III-

VPN

Laccs scuriser du rseau dune entreprise a distance est devenu une

exigence pour toute les entreprises modernes. Le fait est, que toutes les
entreprises daujourdhui fonctionnent grce changes dinformations
comme les e-mail et lutilisation dapplications Web. Il arrive que les
entreprises utilisent ces moyens afin de communiquer avec une de ces
filiales, un client, ou alors une personne loigne. Les donnes chang
sur le rseau sont moins vulnrables quand elle sont en interne que
lorsquelles circulent sur internet car le chemin qui va dun point A un
point B nest pas prdfinie. Ils peuvent donc parcourir un rseau
appartenant un autre oprateur pour arriver leurs destinations. Un
utilisateur pourrait dtourner ces informations et nuire lentreprise. Un
rseau fiable sur lequel toutes les informations circulent en scurit est
donc ncessaire. Pour cela, il faut parvenir a chiffr les informations
circulant sur le rseau et en utilisant des technologies dauthentifications.
Pour garantir la fiabilitdu rseau, les entreprises on recours un outil
permettant aux utilisateurs de pourvoir se connecter en toute scuritvia
des bureaux distant : le VPN. Il est loutil indispensable pour tout
entreprises voulant avoir un niveau de scurit leve pour fournir une
connexion de site a site au a distance. Il inclut deux protocoles
augmentant considrablement sa porte sans tendre normment
linfrastructure : le VPN SSL et le VPN IPSec. La mise en place dun de
ces protocoles recours au pralable une tude de linfrastructure afin de
savoir quel niveau de protection appliquer.

10

Project labos Cisco anne 2012-2013

Reprsentation dun VPN : source - http://www.lolokai.com/wpcontent/uploads/2012/03/Capture-decran-2012-03-23-a-22.04.15300x79.png

1- VNP SSL :
Le VPN SSL est une technologie rcente fournissant les mmes services
que lIPSec, avec plus de flexibilit. Il offre une capacit daccs
distance en utilisant la fonction SSL qui est dj construite dans les
navigateurs web modernes pour tablir une connexion VPN distance,
permettant ainsi un gain de productivit.
Lavantage du VPN SSL est quil offre une scurit entre le rseau
interne et les utilisateurs distants car il a la possibilit dutiliser deux
protocoles le SSL et le TLS ces fonction existe dans tout les navigateurs
modernes, contrairement l'accs distance de scurittechnologie VPN
traditionnel de IPSec (IP), ce qui ncessite l'installation d'un logiciel
client IPSec sur un ordinateur client avant que la connexion ne peut tre
tablie, les utilisateurs n'ont gnralement pas besoin d'installer un
logiciel client pour utiliser SSL VPN. En consquence, SSL VPN est
galement connu comme "sans client VPN" ou "Web VPN .
11

Project labos Cisco anne 2012-2013

Un avantage SSL VPN pour les utilisateurs finaux est dans le domaine de
la scuritde la connexion sortante. Dans la plupart des environnements,
sortant HTTP (HTTPS) Scurisation du trafic, qui est galement bassur
SSL, n'est pas bloqu. Cela signifie que mme si un environnement local
particulier ne permet pas de sessions VPN IPSec sortants (telle restriction
n'est pas rare), SSL VPN est probable sans cette restriction.
Les risques de scurit du VPN SSL sont surtout lier au fait quil ya
beaucoup dordinateurs distant qui peuvent accds au rseau de
lentreprise grce a des machine publiques. En effet, ces machines
peuvent tre en absence de logiciel de scuritcomme les logiciel antivirus par exemple. Une personne peu partir en laissant une session
ouverte ce qui rend facilite la connexion sur le rseau de lentreprise puis
de procder a une attaque via un Cheval de Troie par exemple, qui a pour
but de sattaquer aux ressources internes. Les machines publiques
peuvent tre vulnrable au enregistreur de frappe si elles ne sont pas dans
les normes de scurit de votre organisation. Cela facilit la rcolte
dinformation des hackers qui souhaite attaquer un organisme.
Avant dimplmenter un VPN SSL une analyse dtailler des mesures de
scurit doit tre fait, afin dattnuer les risques et de savoir quel
approche est la plus appropri pour lentreprise.
Apres le dploiement SSL, lutilisateur doit se conformer aux politiques
de scurit daccs distance grce a une authentification forte est une
priorit absolue. En gnral, on commence par la mise en uvre des
techniques d'authentification. En outre, votre organisation doit galement
indiquer clairement quels types d'exigences de scuritd'accueil doivent
tre respectes (par exemple, pare-feu personnel, antivirus, correctifs ou
patches de scurit).
La vrification de lIdentit de lhte permet aprs une connexion de
lutilisateur via le TPM (Trusted Platform Module) dtre authentifi. On
peut faire confiance a lutilisateur aprs sont authentification cependant il
est prudent de savoir qui sest connect et do car un ordinateur
dentreprise peut avoir les politiques de scurits adquat pour accder au
rseau contrairement au ordinateur externe a lentreprise. De ce fait le
VPN SSL vous offre la possibilit de savoir lidentit de lhte distant en

12

Project labos Cisco anne 2012-2013

vrifiant les paramtres prdfinis de lappareil (authentification de

lappareil).
Quand un utilisateur accde au rseau de lentreprise, il devient une
extension de lentreprise. La scurit de l'hte afin de protger ce
dispositif d'extrmitest vitale de protger la fois les donnes rsidant
sur l'hte et la connexion votre rseau interne. Votre infrastructure VPN
SSL devrait tre en mesure de valider la posture de scuritde l'hte en
examinant version du logiciel antivirus, pare-feu personnel, des mises
jour de service, les niveaux de correctifs de scurit, et des scripts
personnaliss ventuellement supplmentaires et les fichiers. Cette
validation est essentielle pour assurer la conformitavec les politiques et
les normes de scuritde l'entreprise.
Les codes malveillants tels que les enregistreurs de frappe peut tre
dtecte avant qu'un utilisateur dmarre une session VPN. Derniers
produits VPN SSL offrent ces fonctionnalits de scurit. Ils permettent
de dtecter enregistreur de frappe avant une session de connexion de
l'utilisateur est effectue. Soyez conscient, toutefois, que les diffrents
fournisseurs peuvent offrir des degrs divers de russite et d'efficacit, et
la plupart sont impuissantes face des enregistreurs de frappe base sur le
matriel.
En conclusion, pour rduire les risques lier aux ordinateurs distants,
Cisco envisager d'imposer des restrictions de scurit
supplmentaires. Une option (bassur les paramtres de scuritde l'hte
de l'ordinateur distant) est d'exiger des sessions VPN SSL partir de
certaines adresses IP source pr-approuvs et restreindre l'accs une
liste limite de ressources car, si l'ordinateur distant ne rpond pas aux
exigences de scurit, une autre option (bas sur le priphrique de
l'ordinateur distant identifier) est de restreindre fortement l'accs un
nombre minimal d'applications / ressources, si lordinateur distant ne peut
pas tre reconnue comme faisant partie de lentreprise. La Formation des
utilisateurs et sensibilisation des utilisateurs sur la scurit fait partie
intgrante de l'effort global de scurit d'une organisation. Des
campagnes de sensibilisation la scuritSSL VPN utilisateurs peuvent
se concentrer sur les points suivants:

13

Project labos Cisco anne 2012-2013

- Atelier de sensibilisation sur les raisons de VPN en gnral et SSL

VPN en particulier les risques de scurits prsentes sur votre
organisation
- Dcourager l'utilisation des terminaux publics qui ne rpondent pas
vos normes et politiques de scurit d'entreprise Encourager les
utilisateurs
- Exercer des mesures de scurit, telles que terminer des sessions VPN et
de compensation documents / informations avant de quitter un ordinateur
public.
- Conseiller les utilisateurs sur le fait quil faut de faire attention aux
dtails de l'URL et d'examiner le certificat du serveur (via le petit cadenas
en or dans le coin du navigateur web, par exemple) pour se prmunir
contre les attaques par un intermdiaire, l'intercepteur.

2- VPN IPsec :
LIPSec permet davoir un accs au rseau local dun autre site travers
une protection et une authentification des paquets circulant sur le rseau.
La mise en uvre de IPSec ce fait sur les routeurs Cisco pour leur offre
les fonctionnalits suivantes :
- La confidentialitdes donnes : lexpditeur IPSec peut crypter les
paquets avant de les transmettre sur le rseau publique.
- Lintgrit des donnes : le rcepteur IPSec authentifie les paquets
envoyer par lexpditeur IPSec pour sassurer que les donnes
nont pas t altres lors de leur transmission.
- Lorigine des donnes dauthentification : le rcepteur IPsec peut
authentifier la source du paquet IPsec transmis. Ce service dpend
du service de lintgrit des donnes.
- LAntireplay : le rcepteur IPsec peut dtecter et rejeter les paquets
renvoyer.
IPSec est un ensemble de normes ouvertes qui assure la confidentialit
des donnes, l'intgritdes donnes et l'authentification de donnes entre
pairs participant la couche IP. LIPSec peut tre utilis pour protger un

14

Project labos Cisco anne 2012-2013

ou plusieurs flux de donnes entre pairs IPSec. Il se compose de deux

protocoles principaux suivants:

Authentication Header (AH)

Encapsulation Security Payload (ESP)

Authentication Header (AH) assure l'authentification et l'intgrit des

datagrammes transmis entre deux systmes.
Il y parvient en appliquant une fonction de hachage unidirectionnelle
clau datagramme pour crer un condensde message. Si une partie du
datagramme est modifie pendant le transport, il sera dtect par le
rcepteur quand il excute la mme fonction de hachage sens unique sur
le datagramme et compare la valeur de l'empreinte du message que
l'expditeur a fourni. Le hachage unidirectionnel implique galement
l'utilisation d'un secret partag entre les deux systmes, ce qui signifie
que l'authenticitne peut tre garantie.
AH peut galement appliquer la protection Antireplay en exigeant qu'un
hte rcepteur mette le bit de rptition dans l'en-tte pour indiquer que le
paquet a t vu. Sans cette protection, un attaquant pourrait tre en
mesure de renvoyer le mme paquet plusieurs reprises: par exemple,
pour envoyer un paquet qui contient "retirer 100 $ du compte de X.
LEncapsulation Security Payload (ESP) est un protocole de scurit
utilis pour assurer la confidentialit (chiffrement), l'authentification de
l'origine des donnes, l'intgrit, le service de antireplay option et la
confidentialit limite des flux de trafic en battant l'analyse des flux de
trafic. Il assure la confidentialiten effectuant le chiffrement au niveau de
la couche de paquets IP.
ESP permet de se protger contre les attaques de type :
-

Espionnage et autres divulgations d'information

rejeux (optionnel)

analyse de trafic (optionnel)

IPSec est comme nous l'avons vu un assemblage de plusieurs protocoles

et mcanismes ce qui le rend techniquement trs complexe. IPSec est
15

Project labos Cisco anne 2012-2013

d'autre part en constante volution car il est soutenu par une grande
population technique et scientifique. Cependant, il est bon de savoir par
exemple qu'IPSec ne permet pas d'authentifier les personnes et ne peut
donc pas servir scuriser des transactions. De ce point de vue, ce n'est
pas un concurrent de SSL.

ACL (access control list)

Les ACL permettent de filtrer les accs entre les diffrents rseaux ou de
filtrer les accs au routeur lui mme.
Les paramtres controls sont:

Adresse source
Adresse destination
Protocole utilis
Numro de port

Les acls peuvent tre appliques sur le traffic entrant ou sortant. Il y a

deux actions: soit le traffic est interdit, soit le traffic est autoris.
Les acls sont prises en compte de faon squentielle. Il faut donc placer
les instructions les plus prcises en premier et l'instruction la plus
gnrique en dernier.
Par dfaut, tout le traffic est interdit.
Diffrence entre les acls standards et tendues
L'ACL standard filtre uniquement sur les adresses IP sources. Elle est de
la forme:
access-list numro-de-la-liste {permit|deny} {host|source sourcewildcard|any}
Le numro de l'acl standard est compris entre 1 et 99 ou entre 1300 et
1999.
L'ACL tendue filtre sur les adresses source et destination, sur le
protocole et le numro de port.
Elle est de la forme:
access-list numro de la liste {deny|permit} protocole source masquesource [operateur [port]] destination masque-destination [operateur
[port]][established][log]
Quelques oprateurs:
16

Project labos Cisco anne 2012-2013

eq : gal
neq : diffrent
gt : plus grand que
lt : moins grand que

Le numro de l'acl standard est compris entre 100 et 199 ou entre 2000 et
2699.
Il est possible de nommer les acls. Dans ce cas, on prcisera dans la
commande si ce sont des acls standards ou tendues.
Notion de maque gnrique (wildcard mask)
Les acls utilisent un masque permettant de selectionner des plages
d'adresses.
Fonctionnement:
En binaire, seuls les bits de l'adresse qui correspondent au bit 0 du
masque sont vrifis.
Par exemple, avec 172.16.2.0 0.0.255.255, la partie vrifie par le routeur
sera 172.16
Sur le couple suivant: 0.0.0.0 0.0.0.0, toutes les adresses sont concernes
(any). Sur ce couple: 192.168.2.3 255.255.255.255, on vrifie uniquement
l'hote ayant l'IP 192.168.2.3 (host)

17

Project labos Cisco anne 2012-2013

Prsentation AAA
Le contrle d'accs est le moyen de contrler qui est autorisaccder au
serveur de rseau et les services qu'ils sont autoriss utiliser une fois
qu'ils ont accs. Authentification, autorisation et comptabilitdes services
de scuritde rseau (AAA) constituent le cadre principal travers lequel
vous pouvez dfinir le contrle d'accs sur votre routeur ou un serveur
d'accs.
A propos des services de scuritAAA
AAA est un cadre architectural pour la configuration d'un ensemble de
trois fonctions de scuritindpendantes d'une manire cohrente. AAA
fournit une faon modulaire de fournir les services suivants:

Authentification fournit la mthode d'utilisateurs, y compris

l'identification dialogue de connexion et mot de passe, le dfi et la
rponse, support de messagerie, et, selon le protocole de scuritque
vous choisissez, le chiffrement.
L'authentification est la faon dont un utilisateur est identifiavant
d'tre autorisaccder au rseau, et des services de rseau. Vous
configurez l'authentification AAA en dfinissant une liste nomme de
mthodes d'authentification, et en appliquant ensuite cette liste
diverses interfaces. La liste de mthode dfinit les types
d'authentification effectuer et l'ordre dans lequel elles seront
excutes; elle doit tre applique une interface spcifique avant tout
des mthodes d'authentification dfinies sera effectue. La seule
exception est la liste de la mthode par dfaut (qui est nomm
"default"). La liste de la mthode par dfaut est automatiquement
applique toutes les interfaces si aucune autre liste de mthode est
dfinie. Une liste de mthode dfinie remplace la liste de la mthode
par dfaut.
Toutes les mthodes d'authentification, sauf pour l'authentification,
passe la ligne locale, et permettre, doivent tre dfinis par AAA. Pour
plus d'informations sur la configuration de toutes les mthodes
d'authentification, y compris celles mises en uvre en dehors des
services de scuritAAA, reportez-vous au chapitre Configuration
de l'authentification."

Autorisation, fournit la mthode pour le contrle d'accs distance, y

compris l'autorisation d'un temps ou d'une autorisation pour chaque
service, liste de comptes par utilisateur et le profil, le soutien du
groupe d'utilisateurs, et le soutien des IP, IPX, ARA, et Telnet.
18

Project labos Cisco anne 2012-2013

Autorisation AAA fonctionne par l'assemblage d'un ensemble

d'attributs qui dcrivent ce que l'utilisateur est autoriseffectuer. Ces
attributs sont compares aux informations contenues dans une base de
donnes pour un utilisateur donnet le rsultat est renvoyAAA
pour dterminer les capacits et les restrictions relles de
l'utilisateur. La base de donnes peut tre situlocalement sur le
serveur d'accs ou routeur ou elle peut tre hberge distance sur un
serveur RADIUS ou TACACS + scurit. Serveurs de scurit
distance, tels que RADIUS et TACACS +, autoriser les utilisateurs
des droits spcifiques en associant attribut-valeur (AV) paires, qui
dfinissent les droits l'utilisateur appropri. Toutes les mthodes
d'autorisation doivent tre dfinis par AAA.
Comme pour l'authentification, vous pouvez configurer l'autorisation
AAA en dfinissant une liste nomme de mthodes d'autorisation, et
en appliquant ensuite cette liste diverses interfaces. Pour plus
d'informations sur la configuration d'autorisation l'aide AAA,
reportez-vous au chapitre Configuration de l'autorisation."

Comptabilit-fournit la mthode pour la collecte et l'envoi

d'informations sur le serveur de scuritutilispour la facturation, de
l'audit et de reporting, tels que l'identitdes utilisateurs, dbut et de fin,
les commandes excutes (comme PPP), le nombre de paquets et le
nombre d'octets.
Comptabilitvous permet de suivre les services utilisateurs accdent
ainsi que le montant des ressources du rseau qu'ils
consomment. Lorsque la comptabilitAAA est active, le serveur
l'activitdes utilisateurs de rapports d'accs au rseau pour le serveur
RADIUS ou TACACS + scurit(selon la mthode de scuritque
vous avez mis en uvre) sous la forme d'enregistrements
comptables. Chaque enregistrement comptable est constitude paires
comptables AV et sont stockes sur le serveur de contrle d'accs. Ces
donnes peuvent ensuite tre analyses pour la gestion du rseau, la
facturation des clients et / ou d'audit. Toutes les mthodes comptables
doivent tre dfinies par AAA. Comme pour l'authentification et
l'autorisation, vous configurez comptabilitAAA en dfinissant une
liste nomme de mthodes comptables, et en appliquant ensuite cette
liste diverses interfaces. Pour plus d'informations sur la
configuration de la comptabiliten utilisant AAA, reportez-vous au
chapitre "Configuration de la comptabilit."
Dans de nombreuses circonstances, AAA utilise des protocoles tels que
RADIUS, TACACS +, ou Kerberos pour administrer ses fonctions de
scurit. Si votre routeur ou serveur d'accs agit comme un serveur
d'accs au rseau, AAA est le moyen par lequel vous tablissez la
19

Project labos Cisco anne 2012-2013

communication entre votre serveur d'accs au rseau et votre RADIUS,

TACACS +, ou un serveur de scuritKerberos.
Bien AAA est la principale mthode (et recommand) pour le contrle
d'accs, le logiciel Cisco IOS fournit des fonctionnalits supplmentaires
pour le contrle d'accs simple qui sont en dehors du champ d'application
de AAA, comme l'authentification, l'authentification par mot de passe en
ligne nom d'utilisateur local, et activer l'authentification par mot de
passe. Toutefois, ces caractristiques ne fournissent pas le mme degrde
contrle d'accs qui est possible en utilisant AAA.
AAA offre les avantages suivants:

Augmentation de la flexibilitet de contrle de la configuration de

l'accs

volutivit
Mthodes d'authentification standardiss, tels que RADIUS,
TACACS +, et Kerberos
Les systmes de sauvegarde multiples

VLAN (Virtual Local Area Network)

La plupart de chaque rseau d'entreprise utilise aujourd'hui le concept de
rseaux locaux virtuels (VLAN). avant de Comprhension VLAN, vous
devez avoir une comprhension trs prcise de la dfinition d'un LAN.
Bien que vous pouvez penser et dfinir le terme rseaupartir de
nombreux points de vue, une perspective en particulier vous aidera
comprendre les VLAN: Un fil constitude tous les dispositifs dans le
mme domaine de diffusion. Sans VLAN, un commutateur considre
toutes les interfaces du commutateur d'tre dans la mme mission
domaine. En d'autres termes, tous les appareils connects sont dans le
mme rseau local. (Commutateurs Cisco accomplir cela en mettant
toutes les interfaces en VLAN 1 par dfaut). Avec des VLAN, un
commutateur peut mettre des interfaces en un seul domaine de diffusion
et certains dans une autre base sur quelques simples configuration.
Essentiellement, le commutateur cre plusieurs domaines de diffusion en
mettant un peu interfaces dans un rseau local virtuel et d'autres
interfaces vers d'autres rseaux locaux virtuels. ces individuel domaines
de diffusion crs par l'interrupteur sont appels rseaux locaux virtuels.
Ainsi, au lieu de tous les ports d'un commutateur formant un seul
domaine de diffusion, le commutateur spare eux en grand nombre, selon
la configuration. C'est vraiment aussi simple que cela.Les deux figures
20

Project labos Cisco anne 2012-2013

suivantes comparent deux rseaux locaux dans le but d'expliquer un peu

plus sur VLAN.
Principe de fonctionnement du vlan par port
Un tag de 4 octet est ajoutla trame ethernet. Ce tag comprend entre
autre l'identifiant de VLAN. Ainsi, la trame sera transmise uniquement
aux ports appartenant au vlan identifidans la trame.
Type de configuration des ports des switchs Cisco
Le port est configuren mode access ou en mode trunk.
Le mode access est utilispour la connexion terminale d'un priphrique
(pc, imprimante, serveur, ...) appartenant un seul vlan. Le
mode trunk est utilisdans le cas ou plusieurs vlans doivent circuler sur
un mme lien. C'est par exemple le cas de la liaison entre deux switchs ou
bien le cas d'un serveur ayant une interface appartenant plusieurs vlans.
Cas particulier de la connexion d'un tlphone IP suivi d'un PC sur un
port
Dans le cas de l'utilisation d'un ordinateur connectun tlphone IP (ce
dernier tant connectun port du switch), le port aura deux vlans (un
vlan ddiau rseau donne et un vlan ddiau rseau voix). Le port sera
configuren gnral en mode access, une commande sera ajoute pour la
configuration du vlan voix (voice vlan).
VLAN non affectun port et prsent sur le switch
Des vlans peuvent tre crs sur un switch et n'tre affects aucun port.
C'est le cas du vlan de management (une adresse IP sera configure sur ce
vlan).
Un switch qui sert de liaison aura galement les vlans qui doivent le
traverser dclardans sa configuration.
Communication entre les vlans
La communication entre les vlans est possible en passant par un routeur
ou un switch de niveau 3 (switch-routeur).
Selon l'utilisation, il peut tre conseillde filtrer les rseaux au minimum
au moyen d'ACLs (access control list).
VLAN natif: Le vlan appel"natif" est le vlan par dfaut du switch (en
gnral le vlan 1). Sans configuration, tous les ports du switch sont placs
dans ce VLAN. Ce vlan n'est pas marqumme si il passe sur une liaison
trunk.

21

Project labos Cisco anne 2012-2013

Configuration type d'un switch:

La liaison entre les switchs est en mode trunk.

Les autres ports des switchs sont en mode access.
Le vlan ddiaux tlphones sera galement configursur tous les
ports en plus de leur vlan data respectif.
Un vlan ddil'administration et la supervision du switch sera
cr. L'adresse IP de supervision du switch sera associe ce vlan.

22

Project labos Cisco anne 2012-2013

IPV6
IPv6 a tcrpour palier aux limitations de l'IPv4 actuellement utilis:
nombre d'adresses augment(on passe d'adresses sur 32 bits 128
bits) qui permettent d'viter le NAT (il y a suffisamment
d'adresses IPv6 pour chaque priphrique)
mobilitamliore (mobile IP RFC-compliant)
adressage hirarchique
apporte
des fonction d'autoconfiguration (~ plug and
play) ; standart stateless autoconfiguration ~ DHCP : un PC qui
boot sur un rseau envoie un RS (Router Sollicitation) ; ce dernier
lui rpond par un RA (Router Advertisement) qui contient le
prfixe du rseau ainsi que la dure de vie de ce prfixe.
headers simplifis avec systme d'extension (moins de champs : 5
en IPv6 contre 12 en IPv4) (par contre header 2x suprieur : 40
octets contre 20 en IPv4)
supprime le broadcast
IPsec mandatory (natif)
une interface rseau IPv6 possde plusieurs adresses, au moins :
une loopback (::1/128)
une adresse locale (FE80::)
Diffrents moyens de compatibilitIPv4 et IPv6 :

dual tack
tunnels 6to4 (prfix rserv= 2002:) encapsule le paquet IPv6 dans
un paquet IPv4 de protocole type = 41
translation d'adresse
Les adresses sur 128 bits s'crivent en 8 champs de 16 bits, en criture
hexadcimale :

2031:0000:130F:0000:0000:09C0:876A:130B, mais l'criture peut

tre simplifie en :
2031:0:130F::9C0:876A:130B
::/0 est la route par dfaut
::/128 est une adresse non-spcifie
Les types d'adresses :

unicast
global
23

Project labos Cisco anne 2012-2013

lien local (FE80::/10, porte limite = IP non routable), autoattribue en fonction de l'@ MAC de l'interface, ce qui permet
de dcouvrir le routeur, les voisins, etc
multicast (FF00::/8 FFFF::/8)
anycast : one-to-the-nearest, destinataire au plus prs (ex : pour
un AS multi-homed) : adresse unicast globale attribue plusieurs
interfaces
Dcomposition d'une adresse : de gauche droite (des bits de poids fort
ceux de poids faible) :

/23 : registry
/32 : ISP prefix
/48 : site prefix
/64 : subnet prefix
le reste : interface ID

24

Project labos Cisco anne 2012-2013

PARTIE Technique
Firewall
Les paquets ne sont inspects par le firewall que s'ils ne sont pas
explicitement bloqus dans l'ACL de l'interface.
ip inspect name FW tcp
!
interface fa0/0
ip access-groupe 101 in
ip inspect FW in
Pour activer les alertes en temps rel avec un syslog :
logging on
logging host 10.0.0.111
ip inspect audit-trail
no ip inspect alert-off
Inspection avance pour certains protocoles :
ip inspect name FW smtp alert on audit-trail on timeout 300
ip inspect name FW ftp alert on audit-trail on timeout 300
Le paramtre timeout indique le temps de vie d'une session idle (san
trafic) avant d'tre supprime.
La SDM dispose d'un assistant simplifiant la configuration du firewall.
Vrifs :
show ip inspect session
debug ip inspect [..]

25

Project labos Cisco anne 2012-2013

IPS
Create an IOS IPS configuration
R1#mkdir ipsdir
R1(config)#ip ips config location ipsdir
Create an IPS rule.
R1(config)#ip ips name iosips
Enable logging.
R1(config)#service timestamps log datetime msec
R1(config)#logging on
R1(config)#logging 192.168.1.50
R1(config)#ip ips notify log
Configure IOS IPS to use the signature categories.
R1(config)#ip ips signature-category
R1(config-ips-category)#category all
R1(config-ips-category-action)#retired true
R1(config-ips-category)#category ios_ips basic
R1(config-ips-category-action)#retired false
Apply the IPS rule to an interface.
R1(config)#int fa0/0
R1(config-if)#ip ips iosips out

Modify the Signature

R1(config)#ip ips signature-definition

26

Project labos Cisco anne 2012-2013

R1(config-sigdef)#signature 2004 0
R1(config-sigdef-sig)#status
R1(config-sigdef-sig-status)#retired false
R1(config-sigdef-sig-status)#enabled true
R1(config-sigdef-sig-status)#exit
R1(config-sigdef-sig)#engine
R1(config-sigdef-sig-engine)#event-action produce-alert

27

Project labos Cisco anne 2012-2013

ACL
Cration d'une entre d'une access-list
Dans l'exemple:

On autorise la machine 192.168.2.12 se connecter via ssh toutes

les machines du rseau 192.168.3.0/24,
On autorise les rponses DNS en provenance de la machine
192.168.2.30,
On autorise les paquets entrants pour les connexions tcp tablies,
Enfin on supprime le reste du traffic qui va apparaitre dans les logs.

R2(config)#ip access-list extended reseau-secretariat

R2(config-ext-nacl)#permit tcp host 192.168.2.12 gt 1023 192.168.3.0
0.0.0.255 eq 22
R2(config-ext-nacl)#permit udp host 192.168.2.30 eq 53 192.168.3.0
0.0.0.255 gt 1023
R2(config-ext-nacl)#permit tcp any any established
R2(config-ext-nacl)#deny ip any any log
Application de la liste d'accs une interface
R2(config)#int fa1/1
R2(config-if)#ip access-group reseau-secretariat out
R2(config-if)#
Affichage de la configuration de l'interface
R2#sh run int fa1/1
Building configuration...
Current configuration : 136 bytes
!
interface FastEthernet1/1
ip address 192.168.3.2 255.255.255.0
28

Project labos Cisco anne 2012-2013

ip access-group reseau-secretariat out

duplex auto
speed auto
end
R2#
Affichage de la liste de contrle
R2#show access-lists reseau-secretariat
Extended IP access list reseau-secretariat
10 permit tcp host 192.168.2.1 gt 1023 192.168.3.0 0.0.0.255 eq 22
20 permit tcp any any established
30 deny ip any any log
R2#
Suppression d'une acl
R2(config)#no ip access-list extended reseau-secretariat
R2(config)#end
Suppression de l'association de la liste de contrle une interface
R2(config)#int fa1/1
R2(config-if)#no ip access-group reseau-secretariat out
R2(config-if)#

29

Project labos Cisco anne 2012-2013

AAA
Mise en place :
aaa new-model
radius-server host 10.0.0.111
radius-server key <secretkey>
TACACS+
Le TACACS+ ressemble au RADIUS ceci prs qu'il est propritaire
Cisco et utilise tcp/49. Lui aussi associe chaque compte zro ou
plusieurs AV. On peut s'en servir pour identifier un utilisateur et
appliquer un profil rseau (ses VLAN/ACL/adresse IP/droits persos).
TACACS+ permet :
de chiffrer tout le contenu des transactions
Mise en place :

aaa new-model
tacacs-server host 10.0.0.111
tacacs-server key <secretkey>
aaa authentication
Crer une mthode d'authentification par dfaut :
aaa authentication login default group tacacs+ local
Elle utilisera en premier lieu le serveur TACACS+ ; si ce dernier ne
rpond pas on essaie dans la base locale. S'il renvoie une erreur
d'authentification le routeur ne recherche pas dans la base locale. On peut
lister jusqu'4 mthodes parmi celles-ci :enable, group, krb5, line, local,
local-case, none.
Pour crer un groupe, applicable sur une ou plusieurs interfaces, on
remplace default par un nom :
aaa authentication login ma_liste group tacacs+ local
Puis on l'applique sur une ou des interfaces :

30

Project labos Cisco anne 2012-2013

line vty 0 4
login authentication ma_liste
aaa authorization
Pour dfinir les droits associs un compte.
aaa authorization exec default group radius local none
aaa accounting
L'accounting permet d'auditer et de facturer un compte utilisateur.
aaa accouting exec default start-stop group tacacs+
Cette commande permet de logger chaque dbut et fin de processus lanc
par n'importe quel profil (default) du groupe tacacs+.
Vrifs
debug aaa authentication
debug aaa authorization
debug aaa accounting

31

Project labos Cisco anne 2012-2013

Vlan
Ajout de vlan
Cration du vlan 2 puis des vlans 3 5
2960-RG(config)#vlan 2
2960-RG(config-vlan)#name administration
2960-RG(config-vlan)#ex
2960-RG(config)#vlan 3,4,5
2960-RG(config-vlan)#ex
2960-RG(config)#
Suppression d'un vlan
2960-RG(config)#no vlan 2
Affichage des vlans ainsi que des affectations de port
2960-RG#show vlan
VLAN Name Status Ports
---- -------------------------------- --------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Gi0/1
2 administration active
3 VLAN0003 active
4 VLAN0004 active Fa0/5, Fa0/6, Fa0/7, Fa0/8
5 VLAN0005 active
10 VLAN0010 active Fa0/1
1002 fddi-default act/unsup
1003 token-ring-default act/unsup

32

Project labos Cisco anne 2012-2013

Affectation d'un port un vlan

Dans l'exemple ci-dessous le port est configuren mode access
puis il est placdans le vlan 3.
Pour un switch srie 2950, 2960, 3750
2960-RG(config)#interface fastEthernet 0/1
2960-RG(config-if)#switchport mode access
2960-RG(config-if)#switchport access vlan 3
2960-RG(config-if)#ex
2960-RG(config)#
L'exemple suivant prsente la configuration des ports 5 8 en
mode access, puis configurs avec le vlan 4
2960-RG(config)#interface range fastEthernet 0/5-8
2960-RG(config-if-range)#switchport mode access
2960-RG(config-if-range)#switchport access vlan 4
2960-RG(config-if-range)#end
2960-RG#
Pour un switch srie 6500
6500(config)#interface gi 0/2
6500(config-if-range)#switchport
6500(config-if-range)#switchport mode access
6500(config-if-range)#switchport access vlan 4
6500(config-if-range)#end
6500#

33

Project labos Cisco anne 2012-2013

Configuration d'un port en mode trunk (par exemple une connexion

entre deux switch)
Pour un switch srie 2950 et 3750
3750(config)#interface gigabitEthernet 1/0/1
3750(config)#switchport trunk encapsulation dot1q
3750(config-if)#switchport mode trunk
3750(config-if)#
Pour un switch srie 2960
2960-RG(config)#interface gigabitEthernet 1/0/1
2960-RG(config-if)#switchport mode trunk
2960-RG(config-if)#
Pour un switch srie 6500
6500(config)#interface gigabitEthernet 1/0/1
6500(config-if)#switchport
6500(config-if)#switchport trunk encapsulation dot1q
6500(config-if)#switchport mode trunk
6500(config-if)#
Filtrage des vlans sur un port uplink
Pour les swiths srie 2950, 2960, 3750, 6500 (dans l'exemple, on autorise
les vlans 2,3 et 10 a tre transports sur le lien).
2960-RG(config)#interface gigabitEthernet 1/0/1
2960-RG(config-if)#switchport trunk allowed vlan add 2,3,10
2960-RG(config-if)#

34

Project labos Cisco anne 2012-2013

Pour interdire un vlan de passer par le lien trunk (dans l'exemple, le

vlan3):
2960-RG(config-if)#switchport trunk allowed vlan remove 3
2960-RG(config-if)#
Pour supprimer la commande de filtrage:
2960-RG(config-if)#no switchport trunk allowed vlan
2960-RG(config-if)#
Configuration d'un vlan ddila tlphonie
Le protocole cdp doit pralablement tre activ.
2960-RG(config)#vlan 10
2960-RG(config-vlan)#name voip
2960-RG(config-vlan)#ex
2960-RG(config)#int fastEthernet 0/1
2960-RG(config)#switchport voice vlan 10
Suppression de la configuration d'un port
Comme d'habitude, il suffit de mettre la commande no devant les
commandes entres prcdemment.
Par exemple:
2960-RG(config)#int fastEthernet 0/1
2960-RG(config-if)#no switchport access vlan
2960-RG(config-if)#no switchport mode acc
2960-RG(config-if)#end

35

Project labos Cisco anne 2012-2013

Configuration du protocole VTP (Vlan Transport Protocol) en mode

transparent
Le protocole VTP permet la configuration automatique de vlan entre des
serveurs VTP et des clients sur un mme domaine VTP.
Pour utiliser uniquement la base locale de vlan sur nos commutateurs, on
configure VTP en mode transparent.
Switch(config)#vtp domain mondomaine
Changing VTP domain name from NULL to mondomaine
Switch(config)#
Switch(config)#vtp mode transparent
Device mode already VTP Transparent for VLANS.
Switch(config)#vtp password passdomaine
Setting device VTP password to passdomaine
Switch(config)#vtp version 2
Switch(config)#^Z
Switch#
Switch#show vtp status
VTP Version capable : 1 to 3
VTP version running : 2
VTP Domain Name : mondomaine
VTP Pruning Mode : Disabled
VTP Traps Generation : Disabled
Device ID : 0012.dbab.4321
Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00

Feature VLAN:
VTP Operating Mode : Transparent
36

Project labos Cisco anne 2012-2013

Maximum VLANs supported locally : 1005

Number of existing VLANs : 19
Configuration Revision : 0
MD5 digest : 0x1D 0x52 0x66 0xAA 0xD8 0xAA 0x30 0xFF
0x6C 0xCA 0xB0 0x6F 0x5C 0xF3 0x9D 0xCC
Switch#
Commande nonegociate
Le protocole DTP (Dynamic Trunking Protocol) permet deux
commutateurs qui sont connects ensemble de monter un lien trunk
automatiquement sous certaines conditions (par exemple la connexion
d'un port configurpar dfaut en dynamic auto vers un port trunk). En
gnral, il vaut mieux dsactiver cette possibilit.
On dsactive donc cette option sur tous les ports access et trunk.
Switch(config)#interface range fastEthernet 1/0/1 - 10
Switch(config-if-range)#switchport nonegotiate
Vrification sur une interface:
Switch#show interfaces fa1/0/2 switchport
Name: Fa1/0/2
Switchport: Enabled
Administrative Mode: static access
Operational Mode: down
Administrative Trunking Encapsulation: negotiate
Negotiation of Trunking: Off
Access Mode VLAN: 2 (VLAN0002)

IPv6

37

Project labos Cisco anne 2012-2013

Router(config)#ipv6 unicast-routing
Assigner une addresse IPv6 globale unicast l'interface se0/1 :
Router(config-if)#ipv6 address 2001:0410:0002:10::/64 eui-64
eui-64 indique l'autocompltion par le routeur : on ne lui fournit que le
masque rseau (les 64 premiers bits de l'addresse) et il calcule son IP par
rapport son adresse MAC.
On crer l'interface loopback 2 et on lui assigne une adresse globale
unicast :
Router(config-if)#ipv6 address 2001:410:2:3::/64 eui-64
Router#sh ipv6 int | include line protocol
Serial0/1 is up, line protocol is up
Loopback2 is up, line protocol is up
Protocoles de routage
RIPng (RFC 2080)
OSPFv3 (RFC 2740)
IS-IS for IPv6
MP-BGP4 (RFC 2545/2858)
EIGRP for IPv6
Pour activer le routage IPv6 :
ipv6 unicast-routing
RIPng
Mise en place du RIP New Generation (RIPv6)
On active RIPng avec le label (process name) cisco.
Router(config)#ipv6 router rip cisco
Et sur chaque interface qui doit participer au routage cisco :
Router(config)#int se0/1
Router(config-if)#ipv6 rip cisco enable
38

Project labos Cisco anne 2012-2013

Router(config)#int loopback 2
Router(config-if)#ipv6 rip cisco enable

39

Project labos Cisco anne 2012-2013

CONCLUSION :

On peut voir qu travers toutes ces solutions les serveurs de scurit

adaptatifs de la gamme Cisco ASA 5500, offrent une grande technologie
de pare-feu scuris et de protection des VPN contre les menaces. En
effet, la gamme Cisco ASA 5500 est la premire qui offre des solutions
VPN SSL et IPSec protgpar les technologies de pare-feu du march.
Les services de protections des contenues sont a la pointe de lindustrie
offrant des solutions de protection contre les virusm les logiciels espions
les courrier indsirables, ainsi que les blocages de fichiers et le filtrage
dURL.
La prvention dintrusion est une fonctionnalit que toutes les entreprises
doivent avoir car elle permet de bloquer une grande liste de menaces
comme les vers et attaques sur la couche applicative ou au niveau du
systme dexploitation.
Le service multifonction de gestion et de surveillance est utilisable de
manire intuitive grce au gestionnaire Cisco ASDM (Adaptative
Security Device Manager).
Grce cette solution, la rduction des frais de dploiement et
dexploitation sont rduits et le coup dacquisition que ce soit dans le
cadre dun premier dploiement ou alors une gestion au jour le jour.

40