Cours Sur Les VPN Et La Sécurité Des Liaisons WAN

INTERNATIONAL CENTER FOR TRAINING AND SCIENTIFIC RESEARCH
SEMINAIRE DE FORMATION
Février à Avril 2021, au Siège de ICTSR, Dakar
Référence : Cisco CCNA version 6
Thème:
SECURITE DES RESEAUX INFORMATIQUES
Dr. SOIDRIDINE Moussa Moindze (Mbaba Imrane)

Téléphones ICTSR:
CEO & Président of ICTSR
Expert and Consultant in Computer Security & Cyber-security, (+221) 33 867 47 35 / 77 221 55 43 /
Telecommunication/Communication & Networking engineering and 77 596 40 58 / 77 144 85 71
ICT4D
E-mail : contact@ictsr.org
smoindze@ictsr.org, moindze1@gmail.com, (+221) 77 221 55 43 Site web : www.ictsr.org
Watsapp : +221 77 697 60 04
Facebook : ICTSR Center
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 1
Adresse : Avenue Bourguiba, Poste jet d'eau, Villa No39 - 2e Étage ; Grand Dakar
Fev-Avril 2021 1
Sécurisation des connexion distantes
pour interconnecter des succursales
CCNA Routing and Switching
Connecting Networks v6.0

Sections et objectifs
 3.1 Connexions d'accès distant
• Sélectionnez les technologies d'accès distant à haut-débit pour répondre aux besoins de l'entreprise.
• Comparer les options de ⁪connexion haut débit ⁪à distance pour les petites et moyennes entreprises.
• Sélectionner une solution haut débit appropriée pour des caractéristiques de réseau données.
 3.2 PPPoE
• Configuration d'un routeur Cisco avec PPPoE

• Expliquer le fonctionnement de PPPoE.
• Mettre en œuvre une connexion PPPoE basique sur un routeur client.
 3.3 VPN
• Expliquez comment les VPN sécurisent la connectivité de site à site et d'accès distant.
• Décrire les avantages de la technologie VPN.
• Décrire les VPN de site à site et d'accès à distance
Sections et objectifs (suite)
 3.4 GRE
• Mise en œuvre d'un tunnel GRE

• Expliquer l'objectif et les bénéfices des tunnels GRE.
• Dépanner un tunnel GRE de site à site.
3.1 Connexions d'accès distant
Connexions à haut débit
Qu'est-ce qu'un système de câblage ?
 Le système de câblage utilise un
câble coaxial qui transporte les
signaux de radiofréquence (RF)
sur le réseau.
 Les systèmes de câblage
fournissent un accès Internet haut
débit, la télévision par câble
numérique et un service
téléphonique aux particuliers.
 Ils utilisent des réseaux hybrides
fibre-coaxial (HFC) pour
transmettre les données à haut
débit.
Composants de câblage
 Deux types d'équipements sont requis pour envoyer des signaux en amont et en aval sur
un système de câblage :
• Système CMTS au niveau de la tête de réseau du câblo-opérateur. La tête de réseau est un
routeur avec des bases de données, qui fournit des services Internet aux abonnés par câble.
• Modem câble chez l'abonné.
Qu'est-ce que la technologie DSL ?
 Une ligne d'abonné numérique (DSL) est un
moyen de fournir des connexions haut débit
sur des fils de cuivre installés.
 La technologie ADSL (DSL asymétrique) offre
à l'utilisateur une bande passante pour le
téléchargement supérieure à celle du
transfert d'informations dans la direction
opposée.
 La technologie SDSL (DSL symétrique)
Cette figure représente une allocation de bande passante
fournit la même capacité dans les deux sens. sur un fil en cuivre pour la ligne ADSL. La zone libellée
POTS (Plain Old Telephone System) identifie l'intervalle de
 Pour un service ADSL satisfaisant, la fréquence utilisé par le service téléphonique. La zone
longueur de la boucle locale doit être étiquetée ADSL représente l'espace de fréquences utilisé
par les signaux DSL en amont et en aval.
inférieure à 5,46 km.
Connexions DSL
 La connexion DSL est configurée entre l'équipement
d'abonné (CPE) et le multiplexeur d'accès DSL
(DSLAM) installé au central téléphonique (CO).
 Principaux composants d'une connexion DSL :

• Émetteur-récepteur : généralement le modem d'un
routeur qui connecte l'ordinateur du télétravailleur à la
ligne DSL.
• DSLAM : situé au niveau du central téléphonique (CO)
de l'opérateur, ce périphérique combine des
connexions DSL individuelles d'abonnés en une liaison
haute capacité vers un FAI.
 L'avantage de la technologie DSL par rapport à la
technologie du câble est qu'elle n'est pas un support
partagé. Chaque utilisateur bénéficie d'une connexion
directe et distincte au multiplexeur DSLAM.
Connexion sans fil
 Les trois principales technologies sans fil à haut débit :
• Wi-Fi municipal : la plupart des réseaux sans fil
municipaux utilisent un réseau maillé de points d'accès
interconnectés, comme illustré dans la figure.
• Cellulaire/mobile : les téléphones mobiles utilisent les
ondes radio pour communiquer par l'intermédiaire des
tours de téléphonie mobile voisines. Les débits des
réseaux cellulaires continuent à augmenter. Le réseau
LTE catégorie 10 prend en charge jusqu'à 450 Mbit/s en
téléchargement et 100 Mbit/s en chargement.
• Internet par satellite : utilisé dans des lieux où l'accès
Internet par voie terrestre n'est pas disponible. La
principale exigence en matière d'installation est que
l'antenne ait une vision dégagée sur l'Équateur.
Remarque : la technologie WiMax a été en grande partie
remplacée par la technologie LTE pour l'accès mobile et le
câble ou la DSL pour l'accès fixe.
Sélectionner une connexion haut débit
Comparaison des solutions haut débit
 Facteurs à prendre en compte dans le choix d'une
solution haut débit :
• Câble : bande passante partagée entre de nombreux
utilisateurs, faible débit de données lors des pics
d'activité.
• DSL : bande passante limitée et variable selon la distance
(par rapport au central téléphonique du FAI).
• Fibre optique jusqu'au domicile : requiert l'installation
de la fibre optique directement jusqu'au domicile.
• Cellulaire/mobile : nombreux problèmes de couverture.
• Réseau Wi-Fi maillé : la plupart des municipalités ne
disposent pas d'un réseau maillé.
• Satellite : technologie onéreuse, capacité limitée par
abonné.
3.2 PPPoE
Présentation de PPPoE
Motivation de PPPoE
 Le protocole PPP peut être utilisé sur
l'ensemble des liaisons série, y compris celles Trames PPP sur une connexion Ethernet
créées à l'aide de modems analogiques à
ligne commutée et de modems RNIS.
 Les FAI utilisent souvent le protocole PPP en

tant que protocole de liaisons de données sur
les connexions haut débit.
• Les FAI peuvent l'utiliser pour attribuer une
seule adresse IPv4 publique à chacun de leurs
clients.
• Le protocole PPP prend en charge
l'authentification CHAP.
 Les liaisons Ethernet ne prennent pas en

charge le protocole PPP de manière native.
• Le protocole PPPoE (PPP over Ethernet)
fournit une solution à ce problème.
Présentation de PPPoE
Concepts de PPPoE
 Le protocole PPPoE crée un tunnel PPP sur une connexion Ethernet.
 Cela permet l'envoi des trames PPP sur le câble Ethernet vers le FAI à partir du routeur
du client.
Mise en œuvre de PPPoE
Configuration de PPPoE
 Pour créer le tunnel PPP, une interface de
numérotation doit être configurée.
• Utilisez la commande interface dialer numéro
 Il faut ensuite configurer l'authentification PPP
CHAP. Utilisez les commandes ppp chap
hostname nom et ppp chap password mot de
passe.
 L'interface Ethernet physique connectée au modem

DSL est ensuite activée à l'aide de la commande de
configuration d'interface pppoe enable.
 L'interface de numérotation est liée à l'interface

Ethernet à l'aide des commandes de configuration
d'interface dialer pool et pppoe-client.
 La valeur MTU doit être définie sur 1492 pour

prendre en charge les en-têtes PPPoE.
Vérification de PPPoE
 Utilisez les commandes suivantes pour
vérifier la configuration de PPPoE :
• show ip interface brief : vérifie l'adresse IPv4
attribuée automatiquement.
• show interface dialer : vérifie la valeur de
l'unité de transmission maximale (MTU) et
l'encapsulation PPP.
• show ip route
• show pppoe session : affiche les informations
concernant les sessions PPPoE actives.
Dépannage de PPPoE
 Voici les causes possibles des problèmes
liés à PPPoE :
• Échec du processus de négociation PPP
• Échec du processus d'authentification
PPP
• Échec de l'ajustement de la taille de
segment maximale TCP
Négociation PPPoE
 Utilisez la commande debug ppp negotiation pour tester la négociation PPP.
 Voici quatre causes possibles de défaillance de la négociation PPP :
• Aucune réponse du périphérique distant.

• Protocole LCP (Link Control Protocol) non ouvert.
• Échec de l'authentification.
• Échec du protocole IPCP (IP Control Protocol).
Authentification PPPoE
 Vérifiez que le nom d'utilisateur et le mot de passe CHAP sont corrects à l'aide de la
commande debug ppp negotiation.
Taille de MTU en PPPoE Taille de segment maximale ajustée avec en-tête PPPoE
 La valeur MTU prise en charge par

PPPoE est 1 492 octets seulement,
afin d'accueillir l'en-tête PPPoE
supplémentaire de 8 octets.
 Utilisez la commande show running-
config pour vérifier la valeur MTU en
PPPoE.
 La commande d'interface ip tcp
adjust-mss taille-max-segment permet
d'empêcher l'abandon de sessions TCP
en ajustant la valeur MSS au moment
de la connexion TCP en trois étapes.
3.3 Tunnel VPN (Virtual Path
Network)
Notions fondamentales concernant les VPN
Présentation des réseaux privés virtuels (VPN)
 Un VPN est un réseau privé créé par
tunneling sur un réseau public,
généralement Internet.
 L'implémentation sécurisée de VPN avec
chiffrement, tels que des VPN IPsec,
correspond à ce qu'on entend
habituellement par réseau privé virtuel.
 La mise en œuvre d'un VPN requiert une
passerelle VPN qui peut être un routeur,
un pare-feu ou un périphérique Cisco ASA
(Adaptive Security Appliance).
Avantages des réseaux privés virtuels
 Les avantages d'un VPN sont les suivants :
• Réduction des coûts : les VPN permettent aux
entreprises d'utiliser des technologies haut débit
économiques, telles que la DSL, pour connecter
des bureaux et des utilisateurs distants au site
principal.
• Évolutivité : les entreprises peuvent ajouter des
volumes importants de capacité sans effectuer
de gros investissements en matière
d'infrastructure.
• Compatibilité avec la technologie haut débit :
les collaborateurs mobiles et les télétravailleurs
bénéficient d'une connectivité haut débit.
• Sécurité : les VPN peuvent utiliser des
protocoles de chiffrement et d'authentification
avancés.
Types de VPN
VPN site à site
 Les VPN site à site connectent entre eux des réseaux entiers. Ils peuvent par exemple connecter
un réseau de filiale au réseau du siège d'une entreprise.
 Dans un VPN de site à site, les hôtes finaux envoient et reçoivent le trafic TCP/IP normal par
l'intermédiaire d'une « passerelle » VPN.
 La passerelle VPN se charge de l'encapsulation et du chiffrement du trafic sortant.
Types de VPN
VPN d'accès à distance
 Un VPN d'accès à distance est
particulièrement adapté pour les
télétravailleurs, les collaborateurs
mobiles et le trafic Extranet.
 Il permet de modifier les informations
de manière dynamique et peut être
activé ou désactivé.
 Il est utilisé pour connecter des hôtes

individuels devant accéder en toute
sécurité au réseau de leur entreprise
via Internet.
 Un logiciel client VPN doit être installé
sur le périphérique de l'utilisateur
mobile.
Types de VPN
DMVPN
 DMVPN (Dynamic Multipoint VPN) est une
solution logicielle Cisco permettant de créer
plusieurs VPN.
 DMVPN s'appuie sur les technologies suivantes :
• Next Hop Resolution Protocol (NHRP) : le
protocole NHRP crée une base de données de
mappage distribuée regroupant les adresses IP
publiques de tous les rayons du tunnel.
• Tunnels mGRE (Multipoint Generic Routing
Encapsulation) : une interface de tunnel mGRE
permet à une seule interface GRE de prendre en
charge plusieurs tunnels IPsec.
• Chiffrement IPsec (IP Security) : sécurise le
transport de données privées sur les réseaux
publics.
Types de VPN
Types de VPN
3.4 Tunnel GRE(Generic
Routing Encapsulation)
Présentation de GRE
Introduction au protocole GRE
 Le protocole GRE (Generic Routing
Encapsulation) est un protocole de tunneling
VPN de site à site non sécurisé.
 Développé par Cisco.
 Le protocole GRE gère le transport du trafic IP

multidiffusion et multiprotocole entre deux sites
ou plus
 Une interface de tunnel prend en charge un

en-tête pour chacun des éléments suivants :
• Un protocole encapsulé (ou protocole passager),
tel que IPv4 ou IPv6.
• Un protocole d'encapsulation (ou protocole
porteur), tel que GRE.
• Un protocole de transport, tel que le protocole IP.
Caractéristiques du protocole GRE
 Il est défini en tant que norme IETF (RFC 2784).
 Dans l'en-tête IP externe, 47 est défini dans le

champ de protocole.
 L'encapsulation GRE utilise un champ de type de

protocole dans l'en-tête GRE afin de prendre en
charge l'encapsulation de n'importe quel protocole
OSI de couche 3.
 La GRE est sans état.
 Le protocole GRE n'inclut aucun mécanisme de

sécurité fort.
 L'en-tête GRE, avec l'en-tête IP de tunneling,

crée un minimum de 24 octets de surcharge
supplémentaire pour les paquets qui transitent par
le tunnel.
Mise en œuvre de GRE
Configuration de GRE
 La configuration d'un tunnel GRE s'effectue en
cinq étapes :
• Étape 1. Créez une interface de tunnel à l'aide de
la commande interface tunnel numéro.
• Étape 2. Configurez une adresse IP pour
l'interface du tunnel. (Généralement une adresse
privée)
• Étape 3. Spécifiez l'adresse IP source du tunnel.
• Étape 4. Spécifiez l'adresse IP de destination du
tunnel.
• Étape 5. (Facultatif) Spécifiez le mode de tunnel
GRE en tant que mode d'interface de tunnel.
Remarque : les commandes tunnel source et

tunnel destination référencent l'adresse IP des
interfaces physiques préconfigurées.
Vérification de GRE
 Utilisez la commande show ip interface
brief pour vérifier que l'interface du tunnel
est opérationnelle.
 Utilisez la commande show interface
tunnel pour vérifier l'état du tunnel.
 Utilisez la commande show ip ospf

neighbor pour vérifier qu'une contiguïté
OSPF est établie sur l'interface du tunnel.
Résolution des problèmes liés à GRE
 Les problèmes de fonctionnalité GRE sont
généralement dus à une ou plusieurs des
erreurs suivantes :
• Les adresses IP d'interface du tunnel ne se
trouvent pas sur le même réseau ou bien les
masques de sous-réseau ne correspondent
pas. Utiliser la commande show ip interface
brief.
• Les interfaces de la source et/ou de la
destination du tunnel ne sont pas configurées
avec l'adresse IP correcte ou sont à l'état
désactivé. Utiliser la commande show ip
interface brief.
• Le routage statique ou dynamique n'est pas
correctement configuré. Utilisez la commande
show ip route ou show ip ospf neighbor.
INTERNATIONAL CENTER FOR TRAINING AND SCIENTIFIC RESEARCH
SEMINAIRE DE FORMATION
Février à Avril 2021, au Siège de ICTSR, Dakar
Référence : Cisco CCNA version 6
Thème:
SECURITE DES RESEAUX INFORMATIQUES
Dr. SOIDRIDINE Moussa Moindze (Mbaba Imrane)

Téléphones ICTSR:
CEO & Président of ICTSR
Expert and Consultant in Computer Security & Cyber-security, (+221) 33 867 47 35 / 77 221 55 43 /
Telecommunication/Communication & Networking engineering and 77 596 40 58 / 77 144 85 71
ICT4D
E-mail : contact@ictsr.org
smoindze@ictsr.org, moindze1@gmail.com, (+221) 77 221 55 43 Site web : www.ictsr.org
Watsapp : +221 77 697 60 04
Facebook : ICTSR Center
Adresse : Avenue Bourguiba, Poste jet d'eau, Villa No39 - 2e Étage ; Grand Dakar
Fev-Avril 2021 39

Cours Sur Les VPN Et La Sécurité Des Liaisons WAN

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cours Sur Les VPN Et La Sécurité Des Liaisons WAN

Transféré par

Droits d'auteur :

Formats disponibles

INTERNATIONAL CENTER FOR TRAINING AND SCIENTIFIC RESEARCH

Dr. SOIDRIDINE Moussa Moindze (Mbaba Imrane)

CCNA Routing and Switching

Connecting Networks v6.0

• Configuration d'un routeur Cisco avec PPPoE

• Mise en œuvre d'un tunnel GRE

 Principaux composants d'une connexion DSL :

 Les FAI utilisent souvent le protocole PPP en

 Les liaisons Ethernet ne prennent pas en

 L'interface Ethernet physique connectée au modem

 L'interface de numérotation est liée à l'interface

 La valeur MTU doit être définie sur 1492 pour

 Voici quatre causes possibles de défaillance de la négociation PPP :

• Aucune réponse du périphérique distant.

 La valeur MTU prise en charge par

 Il est utilisé pour connecter des hôtes

 Développé par Cisco.

 Le protocole GRE gère le transport du trafic IP

 Une interface de tunnel prend en charge un

 Dans l'en-tête IP externe, 47 est défini dans le

 L'encapsulation GRE utilise un champ de type de

 La GRE est sans état.

 Le protocole GRE n'inclut aucun mécanisme de

 L'en-tête GRE, avec l'en-tête IP de tunneling,

Remarque : les commandes tunnel source et

 Utilisez la commande show ip ospf

Dr. SOIDRIDINE Moussa Moindze (Mbaba Imrane)

Vous aimerez peut-être aussi