Académique Documents
Professionnel Documents
Culture Documents
Acces Au Reseau Etendu CCNA 4
Acces Au Reseau Etendu CCNA 4
étendu
CCNA 4
Préparé par : Tarek Abbes
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 1
Sommaire
1. Présentation des réseaux étendus
2. Protocole PPP
3. Protocole Frame Relay
4. Sécurité du réseau
5. Listes de contrôle d’accès
6. Services de télétravail
7. Services d’adressage IP
8. Dépannage du réseau
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 2
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Accès au réseau
étendu
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 3
Objectifs
Architecture d’entreprise Cisco qui fournit des services
intégrés sur un réseau d’entreprise
Principaux concepts de la technologie WAN
Sélection de la technologie de réseau étendu adaptée
aux diverses exigences de l’entreprise.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 4
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Réseau étendu (WAN)
• Réseau de communication de données qui fonctionne au-
delà de la portée géographique d’un réseau local.
• Il transporte généralement divers types de trafic, tels que la
voix, des données et des images vidéo.
• Une entreprise doit s’abonner auprès d’un fournisseur de
services de réseau étendu
• Il utilise les installations fournies par un fournisseur de
services, ou opérateur, tel qu’une compagnie de téléphone
ou de câble, pour connecter :
• les sites d’une organisation entre eux,
• les sites d’une organisation à d’autres organisations,
• à des services externes
• à des utilisateurs distants.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 5
Branch office
Central office
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 6
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Évolution d’une l’entreprise
Petit bureau (réseau local unique) (A)
• Un seul local (1 LAN) + Service voix sur IP + DSL + Service d’hébergement (au
lieu d’avoir ses serveurs FTP et E-mail)
Campus (plusieurs réseaux locaux) (B)
• Autres locaux + Administrateurs + extranet (pour fournir des infos de projet à des
clients spécifiques)
Agence (réseau étendu) (C)
• Présences dans d’autres villes + 1 centre de calcul (contient des serveurs et
bases de données du groupe)
ville proche : lignes spécialisées louées d’un FS
Autres pays : Internet (~ problème de sécurité)
Distribué (Global) (D)
• Déménager certaines installations dans des régions moins chères
• Télétravail
• Applications Web (conférences Web, apprentissage en ligne, outils de
collaboration) pour augmenter la productivité et réduire les coûts
• Services convergés et sécurité de la connectivité + VPN
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 7
(A)
(B)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 8
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Evolution du réseau d’une entreprise (2/2)
(C)
(D)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 9
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Évolution du modèle de réseau (2/2)
Les réseaux deviennent complexes & gestion coûteuse
difficile à maintenir et gérer
pannes et les performances insuffisantes du réseau
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 11
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 12
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Feuille de route
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 13
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 14
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Exemple de topologie
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 15
Normes
Terminologies
Périphériques
Protocoles de la couche liaison de données
Commutation WAN
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 16
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Vue d’ensemble de la technologie de
réseau étendu
Les opérations Wan concernent les couches 1 et 2.
Normes : ISO, TIA (Telecommunication Industry Association),
EIA (Electronic Industries Alliance)
• Méthodes de livraison de la couche physique
• Exigences de la couche liaison de données (adressage physique,
contrôle de flux, encapsulation, …).
Protocoles:
• Couche 1 OSI : propriétés électriques, mécaniques, opérationnelles
et fonctionnelles pour bénéficier des services offerts par un
fournisseur de services
• Couche 2 OSI : encapsulation des données (trame) et mécanismes
de transfert des trames résultantes
• Différentes technologies : relais de trames, ATM, HDLC.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 17
POP
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 18
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Terminologie de couche physique du WAN
Équipement d’abonné (CPE) : périphériques et câblage interne chez l’abonné
Équipement de communication de données (DCE) ou ETCD: équipement de
communication de données qui place des données sur la boucle locale.
Équipement terminal de traitement de données (ETTD) : périphérique de
client qui transmet des données depuis le réseau d’un client vers le WAN
Point de démarcation :
point établi dans un bâtiment (boitier) pour séparer (au niveau de la boucle locale)
l’équipement du client de celui du fournisseur de services
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 19
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 20
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Périphériques de réseau étendu
Modem : module (et démodule) le signal d’opérateur analogique pour coder des infos
numériques. Divers types : analogique, câble ou DSL
CSU/DSU (Sur les lignes numériques: T1, T3, etc.) :
• CSU : terminaison du signal numérique. Il garantit l’intégrité de la connexion (correction des
erreurs, surveillance de ligne, etc.)
• DSU convertit les trames de ligne de système multiplex T en trames du LAN.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 21
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 22
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Connecteurs de câble d’un réseau étendu
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 23
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Commutation et utilisation des protocoles de
liaison de données
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 25
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 26
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Commutation dans le réseau étendu
Commutation de circuits (RTPC et RNIS)
• Etablir un circuit (ou canal) dédié entre les nœuds et les terminaux avant
la communication
• Méthode coûteuse (allocation de circuit de capacité fixe)
• Le chemin emprunté par le circuit peut être partagé pour supporter un
certain nombre de conversations (multiplexage temporel TDM)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 27
Circuit virtuel
Circuit logique établi au sein d’un réseau entre deux
périphériques réseau.
o Circuit virtuel permanent (PVC) :
• constitué du mode transfert de données.
• consomme moins de BP lors de l’établissement et fermeture du
circuit (+)
• augmente le coût en raison de sa continuité de service (-)
• pour des transmissions constantes
o Circuit virtuel commuté (SVC) :
• 3 phases: établissement et fermeture du circuit, transfert données
• pour des transmissions de données intermittentes
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 28
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Connexion à un réseau à commutation de
paquets
Connexion à un réseau à commutation de paquets :
Via la boucle locale vers le point de présence (POP) du
fournisseur
Boucle locale peut être une ligne dédiée (plus courte d’une LS
entre sites, peut être sous-dimensionnée en cas d’utilisation non
simultanée)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 29
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 30
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Options de liaison de connexion dédiée
Plusieurs capacités, le prix dépend de la BP et la distance
Requiert un port série d’un routeur, une unité CSU/DSU et le circuit
provenant du FS
(+) Permet d’éviter la latence et la gigue entre les points d’extrémité.
(+) Offre une disponibilité constante, essentielle pour la VOIP,…
(-) Généralement plus coûteuses que les services partagés (FR…)
(-) la capacité du LS n’est pas toujours exploitée
(-) chaque point d’extrémité requiert une interface physique séparée
sur le routeur (coût )
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 31
Capacité des LS
(usa)
(europe)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 32
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Options de connexion à commutation de circuits
Tarifs fondés sur la distance, l’heure du jour et la durée de l’appel.
Utilise des Modems, des lignes analogiques (RTCP) ou numérique
(RNIS)
(+) simplicité, disponibilité et faible coût d’implémentation.
(-) faibles débits (~voip), temps de connexion relativement long
RNIS (Réseau numérique à intégration de services) offre des
connexions commutées de plus haute capacité sur la boucle locale sur :
• Des canaux Bearer à 64 Kbits/s (B) pour transporter la voix ou les données
• Un canal delta de signalisation (D) pour la configuration de la communication et
à d’autres fonctions.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 33
Interfaces RNIS
Interface de base RNIS (BRI) :
• destiné aux utilisateurs individuels et aux petites entreprises
• 2 canaux B à 64 Kbits/s et 1 canal D à 16 Kbits/s.
• Le canal D est sous utilisé (peu de canaux B à contrôler) l’exploiter
pour transporter des données à bas débit (connexions X.25 à 9,6 Kbits/s)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 34
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Options de connexion à commutation de paquets
: X25
X.25 est un protocole traditionnel de
couche réseau qui fournit aux abonnés
une adresse réseau (X.121)
Le circuit virtuel commuté obtenu est
identifié par un numéro de canal.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 35
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Options de connexion à commutation de paquets
(~cellules) : ATM
Modem câble
• Très répandu dans les zones urbaines pour distribuer la TV.
• BP plus importante que la boucle locale téléphonique conventionnelle.
• Le bureau local de télévision câblée, appelé tête de réseau câblé, comprend le
système informatique et les bases de données pour fournir l’accès Internet.
• Le composant le plus important situé au niveau de la tête de réseau est le
système de terminaison du modem câble (CMTS), qui envoie et reçoit des signaux
numériques du modem câble sur un réseau câblé
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 38
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Options de connexion Internet (suite …)
Sans fil à large bande
• Spectre des radiofréquences sans licence
• Avant, l’accès sans fil est limité à une portée locale (moins de 30 mètres).
• Récemment, diverses améliorations
• WiFi municipal : réseaux sans fil au niveau des municipalités.
• WiMAX (IEEE 802.16) vitesses plus élevées, grandes distances et un
nombre d’utilisateurs plus important % au WIFI
• Internet par satellite :
• Pour des zones rurales où les connexions câblées ou DSL ne sont
pas disponibles.
• Vitesse Upload environ 1/10e de celle du download ,qui est de
500 Kbits/s.
• Requiert une antenne parabolique, deux modems (downlink et
uplink), et des câbles coaxiaux reliant l’antenne au modem.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 39
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Technologie de réseau privé virtuel
Site à site
Accès à
distance
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 41
Metro Ethernet
Technologie de réseau en rapide évolution qui étend
Ethernet aux réseaux publics gérés par des sociétés de
télécommunications.
Avantages :
• Réduction des dépenses et d’administration : support des
données, et des signaux vocaux et vidéo sur une seule et
même infrastructure.
• Intégration simplifiée avec les réseaux existants : connexion
facile au LAN réduction des coûts et durée d’installation.
• Productivité d’entreprise améliorée : support d’applications IP
(VOIP, Streaming, Video Broadcast), souvent difficiles à
implémenter sur des réseaux TDM ou FR.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 42
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Réseau Metro Ethernet
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 43
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 44
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Sélection d’une connexion de liaison de réseau
étendu
Option Avantages Inconvénients Exemples de
protocoles
Ligne louée Sécurité optimale Coûteuse PPP, HDLC,
SDLC, HNAS
Commutation de Moins coûteuse Établissement de PPP, RNIS
circuits la communication
Commutation de Support partagé X.25, Relais de
paquets sur une liaison trames
Relais de cellules Idéale pour Les surcharges ATM
l’utilisation simulée peuvent être
de voix et de importantes.
données
Internet Connexion la Sécurité Réseau privé
moins coûteuse, minimale virtuel, DSL,
disponible modem câble,
globalement sans fil
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 45
Summary
A WAN is defined as
- A data communications network that operates beyond the
geographic scope of a LAN
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 46
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Summary
Cisco Enterprise Architecture
–This is an expansion of the hierarchical model that further divides
the enterprise network into
•Physical areas
•Logical areas
•Functional areas
Selecting the appropriate WAN technology requires
considering some of the following:
–WAN’s purpose
–Geographic scope of WAN
–Traffic requirements
–If WAN uses a public or private infrastructure
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 47
Accès au réseau
étendu
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 48
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Objectifs
Décrire les concepts fondamentaux de la
communication série point à point ;
Décrire les concepts essentiels du protocole PPP ;
Configurer l’encapsulation PPP ;
Expliquer et configurer l’authentification PAP et CHAP.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 49
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 50
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Introduction PPP
PPP : Point to Point Protocol
Fournit des connexions réseau local vers réseau étendu
multi-protocoles : TCP/IP, IPX et AppleTalk.
Utilisé sur plusieurs supports : paire torsadée, des lignes à
fibre optique et des transmissions par satellite.
Assure le transport de plusieurs liaisons ATM, FR, RNIS et
optiques.
Permet d’authentifier des connexions en utilisant le
protocole d’authentification du mot de passe (PAP) ou le
protocole d’authentification à échanges confirmés
(Challenge Handshake Authentication Protocol, CHAP).
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 51
Connexion série/parallèle
Connexion série:
• les informations circulent sur un fil, un bit de données à la fois.
• Connecteur série à 9 broches, un fil pour chaque direction d’envoi, d’autres
pour le contrôle (flux d’informations,..).
Connexion parallèle
• Envoi des bits sur plusieurs fils simultanément.
• Connecteur parallèle à 25 broches de votre PC, 8 fils porteurs de données
acheminent 8 bits simultanément dans une direction.
• (+) : plus rapide (8x)
• (-) : câblage plus complexe
• (-) : distorsion d’horloge (certains bits arrivent à destination plus tard que les
autres). Un verrou est utilisé pour stocker des informations dans des
systèmes logiques séquentiels.
• (-): interférence: les signaux peuvent se perturber mutuellement.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 52
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Normes de communication série
RS-232 – (ou récemment RS-422 et RS-423)
• Disponible sur la plupart des ordinateurs
• Connecteurs de 9 broches à 25 broches
• Des périphériques réseau utilisent des connecteurs RJ-45 respectant RS-232.
V.35
• Pour des échanges de données synchrones et à haut débit
• Utilisée généralement entre des modem et multiplexeur et sur routeurs vers des
unités DSU connectés à des opérateurs T1
• Utilisée pour connectivité haut débit entre ETTD et ETCD
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 53
RS-232
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Schéma d’une interface avec Rs-232
DTE--DCE DTE--DTE
full NULL MODEM (connexion directe de
2 DTE, sans modems)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 55
Multiplexage temporel
Le multiplexage temporel partage le temps de transmission
disponible sur un support en attribuant des tranches de
temps aux utilisateurs.
Exemple de multiplexage temporel synchrone: T1/E1 et les
lignes téléphoniques RNIS
Un multiplexeur d’entrée (MUX) accepte les données
provenant de périphériques reliés par recherche
séquentielle, puis transmet les données de façon continue.
• La technique d’entrelacement de bits conserve le nombre et la
séquence de bits pour chaque transmission spécifique
Un multiplexeur de sortie assemble le flux de multiplexage
temporel pour reconstituer les flux de données d’entrée, en
se basant uniquement sur la durée d’arrivée de chaque bit.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 56
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Multiplexage temporel
TS plus petit
Transmission plus rapide
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 57
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 58
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Exemples de multiplexage temporel
RNIS
• L’accès de base (BRI) RNIS comporte 3 canaux, à savoir deux
canaux B à 64 Kbits/s (B1 et B2) et un canal D à 16 Kbits/s.
1 1 8 1 1 1 1 1 8 1 1 1 8 1 1 1 8 1 1 1 En
bit
F L B1 E D A Fa N B2 E D M B1 E D S B2 E D L
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 59
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 60
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Multiplexage PDH
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 61
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 62
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Multiplexage SDH/SONET : STM1 vs. OC1
La trame de base (STM-1) d’un signal SDH est représentée
sous la forme de 9 rangés.
• Chaque rangée comporte 270 octets dont les 9 premiers, appelés
TOH (Tansport Overhaed), contiennent des fanions et des
informations d’erreurs de trames.
• Les 261 octets restant contiennent
• décalage (pour adapter en temps et en longueur le format des
paquets),
• POH (Path Overhaed, pour caractériser le service transporté)
• paquets de données (des conteneurs virtuels)
La trame de base OC-1 d’un signal SONET (Synchronous
Optical NETwork – USA) est composée de 9 rangées de 90
octets avec 3 octets de contrôle.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 63
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 64
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
C
A
B
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 65
Point de démarcation
Point de délimitation entre la partie du réseau appartenant à
la compagnie de téléphone et celle du client.
• Définition utile suite à l’opération de dégroupage (compagnies de
téléphone ne monopolisent pas la boucle locale mais autorisent
d’autres fournisseurs d’offrir des équipements et des services)
Peut se situer après (USA) ou avant (autres pays) le NTU
(Network Terminating Unit)
Appartient à
l’abonnée CPE
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 66
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
ETTD et DCE
ETTD :
• Equipement d’abonné, généralement un routeur
• Il peut s’agir également d’un terminal, d’un ordinateur, d’une
imprimante ou d’un télécopieur s’il se connecte directement au
réseau du fournisseur de services.
DCE
• généralement un modem ou une unité CSU/DSU
• sert à convertir les données utilisateur de l’ETTD en une forme
compatible avec la liaison de transmission du fournisseur de
services de réseau étendu.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 67
Jonction
Il existe 2 types de câblage des connecteurs RS-232: (1)
entre ETTD et ETCD ou (2) entre ETTD et ETTD.
L’interface ETTD/DCE d’une norme particulière définit les
spécifications
• Mécanique/physique - Nombre de broches et type de connecteur
• Électrique - Niveaux de tension pour 0 et 1
• Fonctionnelle - signification à chacune des lignes de transmission
de l’interface
• Procédurale - séquence d’événements pour la transmission des
données
L’interface ETTD/ETTD définit un modem null (pas de DCE)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 68
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Câbles série
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 70
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Protocoles d’encapsulation de réseau WAN
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 71
Encapsulation HDLC
Norme = ISO 13239
Protocole de couche 2 OSI, synchrone, orienté-bit
Fournit des services avec connexion et sans
connexion.
HDLC utilise un délimiteur de trame.
cHDLC : version HDLC de Cisco qui prend en charge
plusieurs protocoles.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 72
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Format de Trame HDLC • Protocole : type de
protocole encapsulé
dans la trame
(0x0800 pour IP).
• Données :
comprend une unité
d’informations de
chemin (PIU) ou des
informations
d’identification
d’échange (XID).
• Séquence de
Indicateur : 0111.1110 (il faut faire la transparence) contrôle de trame
(FCS) : Le calcul
Adresse - Le champ d’adresse comprend l’adresse CRC est de
HDLC de la station secondaire (nœud contrôlé par nouveau effectué
un autre nœud primaire). Cette adresse peut
contenir une adresse spécifique, une adresse de dans le récepteur
groupe ou une adresse de diffusion. pour détecter les
erreurs.
Contrôle : (voir suite)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 73
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Trames HDLC de type « I »
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 75
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Trame HDLC de type « U »
Trames de la gestion de la connexion.
Se basent sur 5 bits MMMMM (ordre croissant des bits)
Trame d'établissement de la connexion (commande) :
SABM ("Set asynchronous balanced mode") [11100]
SABME ("Set asynchronous balanced mode extended") [11110]
SARM [11000]
SARME [11010]
SNRM [00001]
SNRME [11011]
Trame de libération de la connexion (commande) :
DISC ("Disconnection") [00010]
Trame de confirmation (réponse) :
UA ("Unnumbered acknowledgment")[00110]
Trame de récupération des erreurs (réponse) :
FRMR ("Frame reject") [10001]
Trame d'indication de connexion libérée
DM ("Disconnected mode") [11 000]
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 77
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 78
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Dépannage d’une interface série (1/5)
#show interface serial renvoie un des cinq états
possibles signalant un problème
• L’interface série x est désactivée [down] et le protocole de
ligne est désactivé [down]
Le routeur ne capte aucun signal de CD (Carrier Detect),
ce qui signifie que le CD n’est pas actif.
Un problème est survenu chez le FS du WAN.
Le câblage est défectueux ou incorrect.
Une défaillance matérielle est survenue (CSU/DSU).
vérifier les LEDs, le câble, le port du routeur, contacter
FS du LS pour éventuel problème de sa part
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 79
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 80
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Dépannage d’une interface série (3/5)
L’interface série x est activée et le protocole de ligne
est activé [up], en boucle [up (looped)]
Il y a une boucle dans le circuit.
Si vous trouvez une entrée loopback, utilisez la commande de
configuration d’interface no loopback pour éliminer la boucle.
Sinon, examinez les unités CSU/DSU pour déterminer si elles
sont configurées en mode de boucle manuelle, désactivez le.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 81
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 82
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Dépannage d’une interface série (5/5)
L’interface série x est désactivée pour des raisons
d’administration [administratively down] et le
protocole de ligne est désactivé [down]
La configuration du routeur inclut la commande de
configuration d’interface shutdown.
Il existe une adresse IP dupliquée. up, up (connected)
show running-config no shutdown ou modifier @IP
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 83
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 84
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Présentation du protocole PPP
HDLC est la méthode d’encapsulation série par défaut
cHDLC est la version Cisco de HDLC
PPP n’est pas propriétaire
PPP est utile en cas de connexion avec un routeur non Cisco
PPP encapsule des trames de données (couche 2)
PPP établit une connexion directe au moyen de câbles série, de
lignes téléphoniques, de lignes agrégées (connexion physique et
logique entre 2 commutateurs ATM), de téléphones portables, de
liaisons radio spécialisées ou de liaisons à fibres optiques.
Fonctionnalités en + de PPP (% HDLC): gestion de qualité de la
liaison, authentification (PAP, CHAP)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 85
Composants de PPP
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 86
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Architecture PPP
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 87
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 88
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Couche LCP (Link Control Protocol)
Il permet d’établir, de configurer et de tester la connexion de
liaison de données.
Il négocie également et configure des options de contrôle
sur la liaison de données de réseau étendu, qui sont gérées
par les protocoles NCP.
Il fournit la configuration automatique des interfaces à
chaque extrémité :
• gérer les limites variables de taille de paquets ;
• détecter les erreurs de configuration courantes ;
• mettre fin à la liaison ;
• déterminer si une liaison fonctionne correctement ou présente
des défaillances.
PPP utilise aussi LCP pour s’accorder automatiquement sur
des formats d’encapsulation (authentification, compression,
détection des erreurs) dès que la liaison est établie.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 89
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 90
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Structure de trame PPP
Contrôle : 0x03
Protocole:
• De 8000 à BFFF : NCPs (8021 :IPCP, 8029 : Appletalk Control Protocol 802b :
Novell IPX Control Protocol)
• De C000 à FFFF (C021 : LCP, C023 : PAP, C025 : Link Quality Report (LQR))
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 91
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 92
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Fonctionnement de LCP
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 93
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 94
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Négociation de la liaison LCP
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 95
Paquet LCP
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Options de configuration PPP
Présentation de NCP
LCP NCP approprié
IPCP négocie 2 options :
• Compression - négocier un algorithme pour compresser des
en-têtes TCP et IP, et économiser de la bande passante. La
compression d’en-tête TCP/IP Van Jacobson réduit la taille
des en-têtes TCP/IP à 3 octets minimum.
• Adresse IP - Permet au périphérique demandeur de spécifier
une adresse IP à utiliser pour le routage IP sur la liaison PPP,
ou de demander une adresse IP pour le répondeur.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 98
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Processus NCP
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 99
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 100
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Commandes de configuration PPP
Activation du protocole PPP sur une interface B
(config-if)#encapsulation ppp (doit précéder les autres cmds)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 101
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 102
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Dépannage de l’encapsulation PPP
debug ppp {authentication | packet | negotiation | error |
compression | cbcp}
Paramètre Affichage
Packet paquets PPP envoyés et reçus
Negotiation paquets PPP transmis lors du démarrage de PPP et lors de
la négociation des options
error erreurs de protocole et les statistiques d’erreur associées à
la négociation et à l’utilisation de la connexion PPP
authentication échanges de paquets CHAP ou PAP
compression informations spécifiques de l’échange de connexions PPP
via MPPC (Microsoft Point-to-Point Compression)
cbcp erreurs de protocole et les statistiques d’erreur associées
aux négociations de connexion PPP via MSCB (Microsoft
Callback Control Protocol)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 103
Exemples de débougage
Nom de la procédure : s send; r receve; lqr rapport de qualité
output Id proto LQM Boucle si i=o
Ouverture LCP
pourcentage d’erreur
maximal acceptable
Configuration
avec 75%
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 104
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Protocoles d’authentification PPP
La phase d’authentification d’une session PPP est
facultative.
PAP est un processus bidirectionnel très simple. Le
nom d’utilisateur et mot de passe sont envoyés en texte
clair.
CHAP est plus sécurisé que le protocole PAP. Il
implique un échange en trois étapes d’un secret
partagé.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 105
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 106
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Protocole d’authentification à échanges confirmés (CHAP)
R3 veut authentifier R1
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 107
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 108
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Exemple CHAP
Paramètre Rôle
chap Active CHAP sur une interface série.
pap Active PAP sur une interface série.
chap pap exécute l’authentification CHAP avant PAP
pap chap exécute l’authentification PAP avant CHAP
if-needed Utilisé avec TACACS et XTACACS. N’exécute pas l’authentification
(Facultatif) CHAP ou PAP si l’utilisateur a déjà fourni une authentification
nom-liste Utilisé avec AAA/TACACS+. Spécifie le nom d’une liste de méthodes
(Facultatif) TACACS+. Les listes sont créées grâce à la commande aaa
authentication ppp.
default Utilisé avec AAA/TACACS+
(Facultatif)
callin Authentification sur les appels entrants (reçus) uniquement.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 110
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Exemples de configuration PAP
A B
B A
CHAP
ITE PC v4.0 Mot de passes chap doivent être les même 111
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 112
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Summary
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 113
Summary
PPP authentication
–PAP
•2 way handshake
–CHAP
•3 way handshake
–Use debug ppp authentication to confirm authentication
configuration
PPP configuration
–Done on a serial interface
After PPP configuration, use show interfaces command to
display:
–LCP state
–NCP state
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 114
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Accès au réseau
étendu
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 115
Objectifs
Décrire les concepts fondamentaux de la technologie
Frame Relay : fonctionnement, exigences de mise en
œuvre, mappages et LMI
Configurer un circuit virtuel permanent (PVC) Frame
Relay et configurer un mappage Frame Relay statique
Décrire les concepts avancés de la technologie Frame
Relay : sous interface, BP, contrôle de flux
Configurer un circuit virtuel permanent Frame Relay
avancé et dépanner une configuration Frame Relay.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 116
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Introduction
FR était destiné aux interfaces RNIS, en tant que
version simplifiée du protocole X.25.
Actuellement, les fournisseurs d’accès aux réseaux
utilisent FR comme technique d’encapsulation de
signaux vocaux et numériques.
Chaque utilisateur final obtient une ligne privée (ou
louée) connectée à un nœud du réseau Frame Relay.
Frame Relay est répandus dans le WAN grâce à son
faible coût par rapport aux lignes dédiées et sa
configuration simple.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 117
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 118
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Réseau étendu Frame Relay
Un réseau WAN comporte au minimum 3 composants, 2 ETTD de
chaque site connectés au central téléphonique local (DCE)
FR demande moins de temps de traitement que le X.25 (moins de
fonctionnalités, ex : pas de correction d’erreur).
FR est efficace en volume et en vitesse, en réunissant les fonctions
des couches 2 et 3 en un seul protocole
• Couche 2: FR permet d’accéder à un réseau, il délimite et fournit les trames
dans l’ordre approprié et détecte les erreurs par CRC.
• Couche 3 : FR fournit plusieurs liaisons logiques sur un même circuit physique
et permet au réseau d’acheminer les données
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 120
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Fonctionnement du protocole Frame Relay
POP
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 121
Circuits virtuels
FR partage la bande passante entre plusieurs
utilisateurs grâce aux circuits virtuels.
Un site quelconque peut donc communiquer avec
n’importe quel autre site sans utiliser plusieurs lignes
physiques dédiées.
2 types :
• CVP (fonctionne en modes DATA TRANSFER et IDLE)
• CVC (modes CALL SETUP, DATA TRANSFER, IDLE, CALL
TERMINATION)
Les circuits virtuels sont identifiés par (DLCI).
Les DLCI Frame Relay ont une signification locale.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 122
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Utilisation des DLCI
DLCI UTILISATION
0 Etablissement de circuits (Q.933)
1-15 Réservés
16-1007 DLCI utilisateurs (PVC-SVC)
1008-1018 Réservés
1019-1022 Multicast
1023 Signalisation de congestion (CLLM ou LMI) et états de liens
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 123
DLCI 102
signif. local
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 124
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Circuits virtuels multiples
Le réseau Frame Relay est statistiquement multiplexé.
Un FRAD ou le routeur connecté au réseau FR peut
être connecté à plusieurs périphériques finaux par
différents circuits virtuels.
Les différents circuits virtuels d’une même ligne
physique sont distincts du fait qu’ils sont identifiés par
leur propre DLCI.
chaque extrémité ne nécessite qu’une ligne d’accès
et une interface
Plus économique qu’un maillage des lignes d’accès.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 125
Chicago
17
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 126
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Encapsulation de Frame Relay
Rq: 2-PCI défini par la norme ITU Q.922-A relative aux services Bearer,
intitulée LAPF (Link Access Procedure for Frame Relay, LAPF).
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 127
Partial Mesh
Topology
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 128
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Topologie en étoile (Hub and Spoke)
L’emplacement du concentrateur est généralement
choisi en fonction du moindre coût de ligne louée.
Avec une topologie en étoile pour Frame Relay, chaque
site distant dispose d’une liaison d’accès au nuage
Frame Relay avec un seul circuit virtuel.
1 seul CV
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 129
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 130
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Topologie à maillage partiel
Dans le cas de grands réseaux, le maillage global est
rarement abordable
Il ne s’agit pas d’un problème de coût en matériel, mais
bien de nombre de circuits virtuels dont la limite
théorique est de 1000 par liaison.
En pratique, la limite est inférieure à cette valeur
théorique.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 131
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 132
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
IARP
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 133
Mappage dynamique
Le mappage dynamique s’appuie sur l’ARP inverse
Le routeur FR envoie des demandes d’ARP inverse sur son
circuit virtuel permanent pour détecter l’adresse de protocole
du périphérique distant
Le routeur utilise les réponses obtenues pour compléter une
table de mappage d’adresse en DLCI sur le routeur Frame
Relay ou sur le serveur d’accès.
Le routeur établit et entretient cette table de mappage qui
contient toutes les demandes d’ARP inverse résolues, y
compris les entrées de mappage statique et dynamique.
Rq: sur un routeur Cisco, ARP inverse est activé par défaut
pour tous les protocoles activés sur l’interface physique.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 134
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Mappage statique
L’utilisateur peut décider de remplacer le protocole de
résolution inverse dynamique par un mappage manuel
statique
• un routeur situé de l’autre côté d’un réseau Frame Relay ne
prend pas en charge IARP
• un réseau Frame Relay dans une topologie en étoile.
• Il n’y a pas de connectivité entre les routeurs situés sur les
rayons, la résolution d’adresse inverse ne fonctionnerait
pas entre eux.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 135
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 136
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Interface de supervision locale (LMI)
Cisco, DEC, Northern Telecom et StrataCom
constituèrent un consortium afin d’étendre le protocole
Frame Relay LMI « interface de supervision locale ».
LMI intègre un mécanisme de test d’activité
Chaque 10 secondes, le périphérique final interroge le
réseau
• Si le réseau ne fournit pas les informations demandées la
connexion est coupée.
• Si le réseau fournit une réponse à la demande FULL
STATUS, informations d’état sur les DLCI attribués à la
ligne en question.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 137
Statistique LMI
Type de LMI
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 138
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Interface LMI Vs. encapsulation
LMI = messages utilisés entre l’ETTD (R1) et le DCE.
• Entre le commutateur et son routeur
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 139
Extensions LMI
Messages d’état des circuits virtuels : informations sur l’intégrité
des CV signalant périodiquement la suppression ou la création des
CVP ( éviter l’envoi de données à des trous noirs)
Multidiffusion : permet à un émetteur de transmettre une même
trame à plusieurs destinataires.
Adressage global : donne une signification globale plutôt que locale
aux identificateurs DLCI, ce qui permet de les utiliser pour désigner
une interface spécifique du réseau Frame Relay.
Contrôle de flux simple : assure un mécanisme de contrôle de flux
XON/XOFF. Cette extension concerne les périphériques dont les
couches supérieures ne peuvent pas utiliser les bits de notification
d’encombrement.
Les extensions LMI se réservent certains identificateurs DLCI
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 140
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Types d’interfaces LMI
Cisco : extension LMI d’origine ;
Ansi : norme ANSI T1.617 annexe D ;
q933a : norme ITU Q933 annexe A.
Mutuellement incompatibles !!
Détection automatique du type de LMI pris en charge par le
DCE FR depuis la version 11.2 de l’IOS
Définir le type de LMI :
(config-if)# frame-relay lmi-type [cisco | ansi | q933a]
(config-if)#keepalive …. # éviter le dépassement de temps lors
des échanges d’état entre le routeur et le commutateur
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 141
Les messages LMI sont contenus dans une variante des trames LAPF.
Le champ d’adresse contient l’un des identificateurs DLCI réservés.
Il est suivi des champs de contrôle (IE non numéroté=0x3), d’indicateur
de protocole (LMI 0x8) et de référence d’appel (0x0), qui restent
inchangés.
Le quatrième champ dans la partie donnés indique le type de message
LMI (Status-inquiry message, Status message ..)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 142
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Exemple LMI
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 143
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 144
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Utilisation de l’interface LMI et de l’ARP
inverse pour le mappage des adresses (2/2)
Etape 2: connaitre les adresses réseaux (pour chaque
proto de niveau 3)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 145
Tâches facultatives
• Configurer l’interface LMI (type)
• Configurer les circuits virtuels commutés Frame Relay
(commutation)
• Configurer le formatage du trafic Frame Relay (type)
• Personnaliser Frame Relay selon les besoins du réseau client
(bandwith, CIR, ..)
• Surveiller et maintenir les connexions Frame Relay (show..)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 146
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Activation de l’encapsulation Frame Relay
Définition de l’adresse IP sur l’interface :
(config-if)# ip address @ mask
Config de l’encapsulation :
(config-if)# encapsulation frame-relay [cisco | ietf]
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 147
Les réseaux Frame Relay, ATM et X.25 sont des réseaux à accès
multiple sans diffusion (NBMA)
Certains protocoles de routage (RIP, EIGRP et OSPF) requérir des
options de configurations supplémentaires pour leur prise en charge
sur des réseaux NBMA.
Le mot clé broadcast permet la diffusion et la multidiffusion sur le
circuit virtuel permanent. En réalité, il est converti en monodiffusion de
sorte que les autres nœuds reçoivent les mises à jour du routage.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 148
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Exemple de configuration
Configuration R1
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 149
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 150
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Diffusion dans FR
Un réseau FR fournit une connectivité de type NBMA
Les nuages NBMA présentent généralement une
topologie en étoile (« Hub and Spoke »).
Sur un routeur, de nombreux circuits virtuels
permanents aboutissent à une seule interface
R1 doit répliquer les paquets de diffusion, tels que les
mises à jour du routage, sur chaque circuit virtuel
permanent, pour atteindre les routeurs distants
consommation BP et latence
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 151
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Sous-interfaces Frame Relay
FR peut partitionner une interface physique en
plusieurs interfaces virtuelles appelées sous-interfaces
il est possible de configurer une sous-interface FR
pour chaque CVP connecté à une interface physique
série
2 modes possibles
• Point à point
• Multipoint
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 153
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 154
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Sous interface FR en mode multipoint
Une seule sous-interface établit plusieurs connexions
de CVP à plusieurs interfaces physiques ou sous-
interfaces sur des routeurs distants.
Les Sous-interfaces multipoint dans des topologies à
maillage partiel et global :
• Les sous-interfaces agissent en tant que réseaux NBMA, elles
ne résolvent donc pas le problème de découpage d’horizon.
• Elles économisent l’espace d’adressage, car elles n’utilisent
qu’un seul sous-réseau.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 155
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 156
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Paiement de Frame Relay
3 éléments définissent le coût FR pour un abonnée:
• Débit d’accès ou vitesse du port : coût de la liaison d’accès de l’ETTD au
DCE (entre client et fournisseur de services). Le coût de cette liaison est
facturé en fonction de la vitesse de port négociée et installée.
• Circuit virtuel permanent
• Débit de données garanti (CIR)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 157
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 158
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Rafales de FR
Les trames dans les limites du CIR négocié ne sont pas sujettes à
l’abandon (DE = 0).
La transmission en rafale permet à des périphériques d’emprunter,
sans frais supplémentaire, de la BP à d’autres qui n’en ont pas
besoin temporairement (mais DE=1)
Terminologies
• Débit garanti en rafale (CBIR ou Committed Burst Information Rate) :
débit négocié en plus du CIR pour transmettre de courtes rafales (moins
de 3 à 4s).
• Débit garanti en excès (Be ou Excess Burst) : BP disponible au-dessus
du CBIR jusqu’au débit d’accès de la liaison.
• Ce surplus de débit n’est pas négocié.
• Des trames peuvent être transmises mais très probablement
abandonnées.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 159
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 160
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Rafales de FR
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 161
Rafales de FR
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 162
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Utilisation du bit DE
Le commutateur FR du FS applique les règles logiques
selon que le CIR est dépassé ou non pendant les
périodes d’encombrement:
• si la trame entrante ne dépasse pas le CIR, la trame passe ;
• si une trame entrante dépasse le CIR, son bit DE est fixé à 1
• si une trame entrante dépasse le CBIR, elle est abandonnée.
Champ adresse
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 163
Les ETTD qui reçoivent des trames avec des bits ECN sont censés
réduire le flux de trames.
Si l’encombrement se produit sur une agrégation interne, les ETTD
peuvent recevoir une notification, même s’ils ne sont pas à l’origine de
l’encombrement.
Même les périphériques ETTD peuvent fixer la valeur du bit DE à 1
pour indiquer qu’une trame a moins d’importance que les autres
trames.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 164
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Configuration de sous-interfaces FR
Les sous-interfaces apportent une solution aux limitations
des réseaux FR en permettant de subdiviser un réseau à
maillage partiel en un certain nombre de sous-réseaux à
maillage global plus petits.
Exemple:
• R1(config-if)#interface serial 0/0/0.num [point-to-point | multipoint]
• R1(config-subif)#frame-relay interface-dlci 103
Rq:
• Il est nécessaire parfois d’enregistrer la configuration et de
recharger le routeur pour avoir le résultat attendu !
Rq:
• Avec le protocole IP, les sous-interfaces point à point peuvent
être utilisées sans numéro, ce qui réduit la charge d’adressage
(cmd: ip unnumbered ….)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 165
Etapes de configuration
Étape 1. Supprimez l’adresse de couche réseau attribuée à l’interface
physique.
• Si cette dernière comporte une adresse, les sous-interfaces ne reçoivent pas de trames.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 166
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Exemple de configuration
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 167
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 168
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Vérification du fonctionnement de FR (2/4)
Examiner certaines statistiques (recherchez les
éléments « Invalid » différents de zéro trouver les
problème de communication FR)
• show frame-relay lmi
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 169
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 170
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Vérification du fonctionnement de FR (4/4)
Vérifier que la cmd "frame-relay inverse-arp" a résolu
des @ IP distante en un DLCI local Afficher les
entrées de mappage actuelles ainsi que des
informations sur les connexions
• show frame-relay map Val. du champ Diffusion est
100=0x64 adresse activée sur CVP
CVP active
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 172
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Dépannage de configuration Frame Relay
Les messages d’états LMI dans IE de type 0
Lorsqu’une ARP inverse est demandée, le routeur met à jour sa
table de mappage en utilisant 3 états de connexion LMI possibles
(voir #show frame-relay map)
• « ACTIVE » le circuit fonctionne de bout en bout (entre 2 ETTD)
• « INACTIVE » connexion au commutateur sans qu’un ETTD distant ait été détecté à l’autre
extrémité
• « DELETED » l’ETTD est configuré pour un DLCI non valide pour cette interface.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 173
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 174
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Summary
Frame relay is the most widely used WAN technology
because it:
–Provides greater bandwidth than leased line
–Reduces cost because it uses less equipment
–Easy to implement
Frame relay is associated with layer 2 of the OSI model
and encapsulates data packets in a frame relay frame
Frame relay is configured on virtual circuits
–These virtual circuits may be identified by a DLCI
Frame relay uses inverse ARP to map DLCI to IP
addresses
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 175
Summary
Configuring frame relay requires
–Enable frame relay encapsulation
–Configuring either static or dynamic mapping
–Considering split horizon problems that develop when multiple
VCs are placed on a single physical interface
Factor affecting frame relay configuration
–How service provider has their charging scheme set up
Frame relay flow control
–DE
–FECN
–BECN
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 176
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Summary
The following commands can be used to help verify
frame relay configuration
–Show interfaces
–Show frame-relay lmi
–Show frame-relay pvc ###
–Show frame-relay map
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 177
Accès au réseau
étendu
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 178
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Objectifs
Identifier les menaces de sécurité dans les réseaux des
entreprises ;
Décrire les méthodes permettant de faire face aux menaces
de sécurité dans ces réseaux ;
Configurer la sécurité de base d’un routeur ;
Désactiver les interfaces et les services non utilisés du
routeur ;
Utiliser la fonction de verrouillage de Cisco SDM ;
Gérer des fichiers et des images logicielles à l’aide du
système de fichier intégré (IFS) de Cisco IOS.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 179
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 180
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Types d’attaquant
Fouineur (white hat) : découvrir les vulnérabilités sans usage
abusif)
Bidouilleur (hacker) : expert en programmation ; accéder aux
ressources de manière non autorisée avec mal intension
Pirate (black hat) : profiter des connaissances des SI pour accéder
d’une manière non autorisé dans un but personnel ou lucratif
Pirate informatique (cracker) : =black hat
Pirate téléphonique (phreaker)
Spammeur : envoyer des mails non sollicités et en masse
Hameçonneur (phisher) : se baser sur le mail ou web au autre
pour tromper des utilisateurs et voler des données sensibles
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 181
Scénario d’attaque
1. Analyse d’empreinte (reconnaissance).
2. Enumération des informations.
3. Manipulation des utilisateurs pour obtenir un accès.
4. Escalade des privilèges.
5. Collecte d’autres mots de passe et secrets.
6. Installation de portes dérobées.
7. Exploitation du système compromis
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 182
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Types de délits informatiques
Accès abusif au réseau par des Accès abusif à un réseau sans fil
personnes autorisées
Intrusion dans un système
Virus
Fraude financière
Vol d’équipement mobile
Interception de mots de passe
Hameçonnage où une organisation est
usurpée par l’expéditeur Enregistrement des frappes
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 183
Réseau ouvert/restrictif/fermé
Réseau ouvert : Réseau restrictif : Réseau fermé :
•Plus difficile à • Pas de connexion à des
•Facile à configurer
configurer et à réseaux publics.
et à gérer •Pas de menaces
gérer
•Accès facile des externes (les menaces
•Accès plus difficile
utilisateurs finaux internes sont possibles)
des utilisateurs
aux ressources du •Le plus difficile à
finaux aux
réseau configurer et à gérer
ressources du
•Accès le plus difficile
•Frais de réseau
aux ressources du
sécurisation les •Frais de
réseau pour les
moins élevés sécurisation plus
utilisateurs finaux
élevés
•Frais de sécurisation les
plus élevés
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Développement d’une stratégie (politique)
de sécurité
Constitue la première étape qu’une organisation doit entreprendre
« une stratégie de sécurité est une déclaration formelle des règles
qui doivent être respectées par les personnes qui ont accès aux
ressources technologiques et aux données vitales de l’entreprise »
RFC 2196
Une stratégie de sécurité vise les buts suivants :
• informer les utilisateurs, le personnel et les responsables de leur
obligation de protéger les données vitales et les ressources
technologiques de l’entreprise ;
• spécifier les mécanismes permettant de respecter ces exigences ;
• fournir une base de référence à partir de laquelle acquérir, configurer et
auditer les systèmes informatiques pour qu’ils soient conformes à la
stratégie.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 185
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Vulnérabilités
= Degré de faiblesse inhérent à tout réseau ou
périphérique
• Faiblesses technologiques
• Faiblesses de configuration
• Faiblesses dans la stratégie de sécurité
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 187
Faiblesses technologiques
Vulnérabilité du protocole TCP/IP
• FTP, HTTP, ICMP, SNMP et SMTP non sécurisés
• TCP est vulnérable (SYN Flood, détournement,..)
Vulnérabilité des systèmes d’exploitation
• Les OS présentent des failles, corrigées par des correctifs
• Problèmes annoncés par CERT
Vulnérabilité des équipements réseau
• Manque de protection des mdp,
• Manque d’authentification,
• Failles des protocoles de routage
• Ouvertures dans les fw
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 188
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Faiblesses de configuration
Comptes utilisateurs non sécurisés
• Transmission en clair des mdp
Comptes système avec mots de passe faciles à deviner
Services Internet mal configurés
• Autorisation des scripts, qui peuvent être malveillants
Paramètres par défaut non sécurisés dans les produits
logiciels
Équipement réseau mal configuré
• ACL mal écrite, communauté par défaut SNMP, protocole de
routage non sécurisé
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 189
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 190
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Menaces pour l’infrastructure physique
4 catégories :
• Menaces matérielles entraînant des dommages physiques
aux équipements
• Menaces environnementales dues aux variations extrêmes de
la température ou du taux d’humidité.
• Menaces électriques provenant d’une absence, baisse ou
une pointe de tension et d’une alimentation non filtrée (bruit)
• Menaces de maintenance au manque de pièces de rechange
critiques, à un mauvais câblage et à un mauvais étiquetage.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 191
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 192
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Menaces envers les réseaux
Menaces non organisées (non structurées)
• Individus inexpérimentés qui utilisent des outils de piratage à emploi facile
Menaces organisées (structurées)
•Individus isolés ou en groupes, motivés et techniquement compétents.
•Souvent impliqués dans des cas de fraude ou de vol signalés
•Utilisent des technique de piratage très complexe (il faut des enquêteurs
très spécialisés)
Menaces externes :
Individus ou organisations agissant depuis l’extérieur d’une entreprise
Tentent de pénétrer dans un réseau à partir d’Internet ou de serveurs
d’accès commuté.
Gravité variables selon que l’assaillant est un amateur ou expert
Menaces internes
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 193
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 194
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Types d’attaques d’un réseau
4 catégories principales:
• Reconnaissance :
• OS, adresses, services, vulnérabilités, etc.
• Gain d’accès :
• via un moyen de piratage, un script ou un outil exploitant une
vulnérabilité connue de l’OS et des applications
• Déni de services :
• désactiver ou altérer un réseau, des systèmes ou des services
• Logiciels malveillants :
• Des vers, virus et chevaux de Troie pour endommager ou altérer un
système, se reproduire ou empêcher l’accès à des réseaux, systèmes
ou services
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 195
Attaques de reconnaissance
Plusieurs formes:
• Demandes d’informations Internet (nslookup et whois),
Balayages ping, Balayages de ports, Analyseurs de paquets
(écoute électronique)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 196
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Attaques d’accès (AA)
exploitent des vulnérabilités connues dans les services
d’authentification, les services FTP et les services Web
Diverses formes:
• Attaque de mot de passe,
• Exploitation de confiance,
• redirection de port,
• l’homme du milieu
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 197
Parades
• définir des mots de passe complexes et longs
• limiter les échecs de connexion.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 198
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Attaque par exploitation de confiance (AA)
Exemple de scénario
• Un hôte interne protégé par un pare-feu partage une relation
de confiance avec un autre hôte externe
Exploitation de l’hôte externe puis de la relation de confiance
pour accéder à l’hôte interne
Parades:
• Déployer des VLAN privés dans des segments de services
publics comportant plusieurs serveurs publics.
• Limiter la confiance à des protocoles spécifiques
• Se baser sur une authentification par des éléments autres que
l’adresse IP.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 199
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 200
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Principe des VLAN privés
Un VLAN privé est un VLAN primaire découpé en plusieurs VLAN
secondaires.
VLAN primaire : VLAN d'origine, utilisé pour envoyer les trames
« descendantes » vers tous les VLAN secondaires.
VLAN secondaires : possèdent un numéro de VLAN et peuvent être
• Isolé:
• les ports du VLAN isolé peuvent atteindre le VLAN primaire, mais aucun
autre VLAN secondaire.
• les hôtes du même VLAN isolé ne peuvent pas communiquer entre eux.
• Il n'est possible d'avoir qu'un seul VLAN isolé au sein d'un VLAN privé.
• Communauté :
• les ports d'un même VLAN communautaire peuvent communiquer entre eux
et avec le VLAN primaire.
• Ils ne peuvent pas communiquer avec d'autres VLAN secondaires.
• Il peut y avoir plusieurs VLAN communautaires au sein d'un VLAN privé.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 201
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 202
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 203
MUX VLAN
• similaire à un Cisco VLAN privé,
• fournit une isolation du trafic de la couche entre des ports de
VLAN.
• Types de ports: Subordinate separate port (isolated port),
Subordinate group port (community port) et MUX VLAN port
(promiscuous port).
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 204
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Mux vlan
Host A can ping Host B and Host C; Host
B and Host C can also ping Host A.
Host A can ping Host D and Host E; Host
D and Host E can also ping Host A.
Host B and Host C can ping each other.
Host D and Host E cannot ping each
other.
Host B and Host C are isolated from Host
D and Host E, that is, they cannot ping
each other.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 205
Super-VLAN
• VLAN aggregation is also known as super-VLAN.
• A super-VLAN contains multiple sub-VLANs.
• Each sub-VLAN is a broadcast domain. Sub-VLANs are
separated in Layer 2.
• Layer 3 interfaces can be configured in a-super VLAN, but
cannot be configured in a sub-VLAN.
• When a user in a sub-VLAN needs to communicate at Layer 3,
the IP address of a Layer 3 interface in the super-VLAN is
used as the gateway IP address.
• Multiple sub-VLANs share one IP network segment, saving IP
addresses.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 206
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Super-VLAN
Interface 1 of the switch connects to
Host1, Interface 2 to Host2, Interface
3 to Host3, and Interface 4 to Host4.
Host1 and Host2 belong to sub-VLAN
2.
Host3 and Host4 belong to sub-VLAN
3.
Sub-VLAN 2 and sub-VLAN 3 belong
to super-VLAN 4.
The default gateway IP address of
Host1 to Host4 is 100.1.1.1.
Proxy ARP enables VLAN 2 to
communicate with VLAN 3 through
Layer 3.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 207
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 208
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
QinQ encapsulation
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 209
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Attaque par redirection de port (AA)
Variante de l’exploitation de confiance
Se baser sur un hôte compromis (dans DMZ) pour faire
passer, au travers d’un pare-feu, un trafic qui serait
normalement bloqué.
Parades
• Modèles de confiance
appropriés
• IDS pour
surveiller/empêcher des
utilitaires de redirection sur
le DMZ
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 211
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Attaques DoS
Empêcher l’utilisation d’un service par les personnes autorisées en
épuisant les ressources du système.
Diverses formes
• Surcharge des ressources
• Espace disque, bande passante, tampons, …
• Inondation de paquets ping (Smurf)
• Inondation de paquets (bombe UDP – eg: attaque Fraggle=echo-chargen)
• Données mal formées
• Paquets surdimensionnés (ping fatal ou ping of death)
• Chevauchement de paquets (WinNuke= tcp/139 + URG)
• Données non traitées (Teardrop) (teardrop1 : fragment contenu dans un
autre, Teardrop2 : taille de fragment différente de la taille indiquée)
• Bombe de courrier
• Applet hostile:
• code Java, JavaScript ou ActiveX qui détruit ou monopolise les ressources
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 213
Attaques Ddos
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 214
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Attaques de programmes malveillants
Diverses formes :
• Ver : exécute un code et se reproduit seul dans la mémoire de
l’ordinateur infecté ( infecter rapidement d’autres machines)
• Virus : code malveillant intégré dans un autre programme afin
d’exécuter des fonctions indésirables sur l’ordinateur
• Cheval de Troie : ressemble à une application normale, alors
qu’il s’agit d’un instrument d’attaque.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 215
Vers
Programmes autonomes qui attaquent un système en tentant
d’exploiter une vulnérabilité spécifique
Phases d’attaque
• Exploitation de la vulnérabilité : un ver s’installe en exploitant les
vulnérabilités,
• Propagation : le ver s’y reproduit, et sélectionne d’autres cibles.
• Charge : une fois l’hôte infecté, l’assaillant peut y accéder. Il peut exploiter
une faille locale pour augmenter son privilège.
Solutions:
• Confinement : limiter la diffusion du ver
• Inoculation : chercher les machines vulnérables et appliquer les correctifs
• Quarantaine: Déconnectez ou bloquez les machines infectées du réseau
• Traitement : nettoyez tous les systèmes infectés
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 216
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Virus et chevaux de Troie
Virus :
• Logiciel malveillant intégré à un autre programme pour exécuter
des fonctions indésirables.
• Nécessite un mécanisme de livraison (vecteur de transmission),
comme un fichier zip ou exécutable joint à un courriel, pour
transmettre son code
• Se distingue fondamentalement du ver par le fait qu’une
interaction humaine est nécessaire pour le propager.
Cheval de Troie :
• Logiciel conçu pour ressembler à une application normale, alors
qu’il s’agit d’un instrument d’attaque.
Solution : Anti-virus
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 217
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 218
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Sécurité basée sur les hôtes et les serveurs
Durcissement des périphériques
• Enlever les comptes par défaut, désactivation des services inutiles, restreindre
l’accès aux ressources aux personnes autorisées, etc.
Logiciel antivirus
• Détection par signature, surveillance des processus suspects (saisie de
données, appels systèmes, ports)
Pare-feu personnel
• Surveillance de la connexion internet par RTC, DSL, câble…
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 219
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 220
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Appareils et applications de sécurité courants
Un FW n’est désormais plus suffisant pour sécuriser un réseau
adopter une approche intégrant pare-feu, prévention contre les
intrusions et réseau privé virtuel.
Une approche intégrée comprend en général:
• Contrôle de menaces: régule les accès au réseau, isole les systèmes
infectés, empêche les intrusions et protège les biens
• Sécurisation des communications: VPN
• Contrôle d’accès au réseau (NAC)
Périphériques Cisco
• Routeurs Cisco à services intégrés (ISR), Cisco ASA (Adaptive Security
Appliance ) 55xx, IPS 42xx, Cisco NAC, Agent de sécurité Cisco (CSA)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 222
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Étapes de la roue de sécurité
1. Mise en œuvre des solutions suivantes : 3. Test
• Protection contre les menaces • Tester de manière
• Inspection dynamique et filtrage des paquets proactive les mesures
de sécurité.
• Systèmes de prévention contre les intrusions
• Vérification les
• Correction des vulnérabilités solutions de des
• Désactivation des services inutiles étapes 1 & 2
(sécurisation, audit,
• Sécurisation de la connectivité : VPN, détection d’intrusion)
confiance et identité, authentification,
Respect de la stratégie de sécurité • Outils : SATAN,
Nessus ou Nmap
2. Surveillance
4. Amélioration
• Passive : IDS nécessite moins de
présence que les méthodes actives • Analyse des données
collectées pendant les
• Active : audit des fichiers journaux des hôtes phases de
surveillance et de test
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 223
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 224
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Fonctions d’une stratégie de sécurité
Protéger les personnes et les informations.
Définir les règles de comportement des utilisateurs, des
administrateurs système, de la direction et du
personnel de sécurité.
Autoriser le personnel de sécurité à surveiller et à
effectuer des sondages et des enquêtes.
Définir les conséquences des violations et les applique.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 225
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 226
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Autres éléments d’une stratégies de sécurité
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 227
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 228
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Sécurisation du routeur
Sécurité physique
• Local fermé à clé, régulation température et humidité, UPS, stock
de rechange, mémoire suffisante meilleur support du DoS ou
de nouveaux services de sécurité
Mise à jour du logiciel IOS du routeur (version stable)
Sauvegarde de la configuration du routeur et de l’IOS
(serveur TFTP)
Durcissement du routeur
• Renforcer et personnaliser l’accès au routeur
• Routage sécurisé
• Éliminer les services inutiles
• Journalisation,….
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 229
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Gestion de la sécurité des routeurs
Définir des mots de passe fort
Par défaut, IOS affiche les mots de passe en texte clair (option 0)
Il existe 2 types de chiffrement du mot de passe
• Chiffrement simple, type 7 : codage Vigenère
• Réalisé par « service password-encryption »
• Chiffrement complexe, type 5 : hachage MD5, plus sûr.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 231
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 232
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Contrôle des lignes VTY
Par défaut, VTY est configurée pour accepter n’importe quel type de
connexion à distance.
Pour autoriser uniquement SSH
• (config-line)# no transport input
• (config-line)#transport input ssh
The remote terminal user gains access to a server across a network thanks to an
autocommand telnet in the configuration of Router 2.
If, however, Router 2 is reloaded for any reason, the terminal will not be able to get
back into the server.
•The user will see a "Connection refused by remote host" message
Solution 2 : Turn on TCP keepalives on both routers (so that one router will notice
when the connection to the other router goes away)
• Router1(config)# service tcp-keepalives-in
• Router1(config)# service tcp-keepalives-out
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 234
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Mise en œuvre du protocole SSH
Les images IOS (K8 et K9) prennent en charge SSH (tcp/22)
Les routeurs agissent en tant que client ou serveur SSH
SSH sécurise les communications (authentification et chiffrement)
Configuration de la sécurité SSH
• Définir le nom d’hôte et le domaine: (config)# ip domain-name
• Créer les clés : (config)# crypto key generate rsa //(clés 1024 bits)
• Authentification locale ((config-line)#login local) qui nécessite la création de compte :
(config)#username … secret ….
• Autoriser ssh sur vty: (config-line)#transport input ssh
Client SSH sur une machine: intégré dans OS, PuTTY ou TeraTerm
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 235
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 236
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Services de routeur vulnérables
Les routeurs Cisco prennent en charge un grand nombre de
services
• Désactiver les services inutiles
• Restreindre les services utiles aux personnes autorisées
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 238
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Sécurisation des interfaces
Désactiver les interfaces non utilisées: shutdown
Éviter le smurf:no ip directed-broadcast
Éviter le releyage à la volée: no ip proxy-arp
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 239
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 240
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Exemple d’attaque de routage
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 241
Configurer les
protocoles
d’authentification
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 242
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Authentification de routage EIGRP et OSPF
EIGRP
(similaire au RIP)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 243
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 244
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Présentation de Cisco SDM
Outil Web de gestion des périphériques facile à utiliser
• Configurer les fonctions LAN, WAN et sécurité sur les routeurs
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 246
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Prise en charge de Cisco SDM
Créez un compte
utilisateur avec
niveau de privilège 15
Configurez SSH et
Telnet
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 247
Zone Configuration
Overview
Interfaces and
Connections,
Firewall
Policies, VPN,
Routing,
Intrusion
prevention et
zone view
running config
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 248
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Zone About Your Router
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 249
Rq:
SDM n’utilise pas toutes les
fonctions de Cisco AutoSecure
( il faut vérifier le niveau de
sécurité après avoir lancer le
verrouillage)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 250
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Mise à jour des images logicielle Cisco IOS
Utile pour résoudre des vulnérabilités connues, inclure de
nouvelles fonctions et augmenter les performances
Avant la migration, vérifier l’espace disponible Flash, tester la
communication routeur-terminal, arrêter les interfaces
inutilisées, sauvegarder l’ancien IOS
Gestion et exploitation de l’IOS en 4 phases
• Planification : définir les objectifs, identifier les ressources, définir
le profil matériel et logiciel, créer un calendrier de migration
• Conception : choisir les nouvelles versions IOS
• Mise en œuvre : programmation et exécution de la migration.
• Exploitation : surveillance de la migration. Si elle est bonne,
résilier les anciennes copies de sauvegarde IOS.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 251
Assistance Cisco
Sur le site Cisco.com et sans mot de passe
• Cisco IOS Reference Guide
• Documents techniques sur le logiciel Cisco IOS : info des versions IOS.
• Software Center : centre de téléchargement du logiciel Cisco IOS (~mdp)
• Cisco IOS Software Selector : application Web pour rechercher les
fonctions requises pour une technologie donnée.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 252
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Gestion des images logicielles Cisco IOS
Un attaquant qui accède au routeur, peut
• altérer ou supprimer des fichiers de configuration.
• charger des IOS incompatibles ou compromis
• supprimer l’image IOS.
nécessité d’enregistrer, sauvegarder et restaurer les
configurations et les images IOS.
IFS = SGF sur les périphériques Cisco IOS (Cisco
Integrated File System)
• Permet de créer des répertoires, déplacer des fichiers, etc.
#show file systems : afficher tous les systèmes de fichiers,
taille, espace disponible, type, etc.
#copy tftp … : Copie à partir d’une source distante
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 253
Par défaut
Amorçable
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 254
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Conventions de nom du fichier IOS
5 parties : platfome, jeu de fonctions, 2ème partie:
emplacement, version et extension • « ipbase » image des
interréseaux IP de base
• i : jeu de fonctions IP.
• j : jeu de fonctions pour
entreprises (tous protocoles).
• s : jeu de fonctions PLUS
(mise en file d’attente, …).
• 56i : chiffrement DES à 56 bits
de l’IPsec.
• o3: système de détection des
intrusions / pare-feu.
• k2 : désigne le chiffrement
3DES à 168 bits de l’IPsec.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 255
Rq: Cisco IOS est doté d’une fonction qui assure la résilience
(#secure boot-image + #secure boot-config) : créer des copies de
secours, utiles en cas d’échec de la migration ou en cas d’attaque
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 256
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Sauvegarde et mise à niveau de l’image IOS
Sauvegarde
• Ping serveur TFTP + vérifier espace DD + copy flash: tftp:
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 257
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 258
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Dépannage des configurations Cisco IOS
Show : statique, faible surcharge, recueillir des faits
Debug: dynamique, surcharge élevée, observer des
processus
Rq: il est possible rediriger les sorties vers un serveur
syslog
• logging ip-address
Ajouter un horodatage aux messages:
• service timestamps debug datetime localtime msec
Afficher les sorties debug sur vty (accès via telnet,ssh)
• logging monitor
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 259
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 260
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Procédure de récupération du mot de
passe d’un routeur
1. Redémarrer le routeur avec son 8. Tapez #show running-config
interrupteur
9. Vous voyez à présent les mots de passe
2. Appuyez sur la touche crtl +Pause
(enable, enable secret, vty, console) soit
ROMmon
en clair, soit sous forme chiffrée.
3. Tapez confreg 0x2142. Le routeur
ignore la configuration de démarrage. 10.Tapez (config)#enable
4. Tapez reset redémarrage secretmot_de_passe pour changer le
mot de passe « enable secret ».
5. Eviter le mode setup
11.Tapez (config)#config-register 0x2102
6. Tapez enable à la suite de l’invite
Router 12.Tapez copy running-config startup-
7. Tapez copy startup-config running- config pour confirmer vos modifications
config (attention l’inverse efface
votre configuration)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 261
Summary
Security Threats to an Enterprise network include:
–Unstructured threats
–Structured threats
–External threats
–Internal threats
Methods to lessen security threats consist of:
–Device hardening
–Use of antivirus software
–Firewalls
–Download security updates
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 262
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Summary
Basic router security involves the following:
–Physical security
–Update and backup IOS
–Backup configuration files
–Password configuration
–Logging router activity
Accès au réseau
étendu
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 264
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Objectifs
Expliquer comment les listes de contrôle d’accès permettent
de sécuriser un réseau pour une agence d’entreprise de
taille moyenne (branch office)
Configurer des listes de contrôle d’accès standard sur un
réseau pour une agence d’entreprise de taille moyenne
Configurer les listes de contrôle d’accès étendues sur un
réseau pour une agence d’entreprise de taille moyenne
Décrire les listes de contrôle d’accès complexes sur un
réseau pour une agence d’entreprise de taille moyenne :
ACL dynamiques, réflexives et basées sur le temps,
vérification et dépannage des ACL
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 265
Conversation TCP
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Numéros de ports de la conversation TCP
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 267
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 268
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Exemple de filtrage de paquets
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 269
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Règle des trois P
Configurer une ACL par protocole, par direction et
par interface.
• Une ACL par protocole (exemple : IP ou IPX)
• Une ACL par direction (exemple : IN ou OUT)
• Une ACL par interface (exemple : FastEthernet0/0)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 271
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 272
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Fonctionnement des ACL (1/2)
ACL entrantes
(Inbound ACLs) :
les paquets ACL entrante
entrants sont
traités avant d’être
routés vers
l’interface de
sortie.
ACL sortantes
(Outbound
ACLs) : les
paquets sont
routés vers
l’interface de sortie
puis traités par le
biais de la ACL
sortante.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 273
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 274
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Routage et processus ACL sur un routeur
1. Vérification de l’adresse MAC destination (MAC routeur ou de diffusion)
2. Dé-encapsulation du paquet et recherche d’une ACL sur l’interface
d’entrée.
3. En cas de correspondance, le paquet est accepté ou refusé + routage
vers l’interface de sortie
4. Recherche d’une ACL sur l’interface de sortie
5. En cas de correspondance, le paquet est accepté ou refusé
6. En l’absence d’une ACL ou si le paquet est accepté, ce dernier est
encapsulé dans une nouvelle trame et acheminé vers le périphérique
suivant.
Rq: l’action par défaut est « refus » il est recommandé d’inclure dans
ACL des instructions explicites pour autoriser le routage dynamique
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 275
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 276
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
More details about (ACL, NAT & routing) order
Inside-to-Outside Outside-to-Inside
•If IPSec then check input access list •If IPSec then check input access list
•decryption - for CET (Cisco Encryption •decryption - for CET or IPSec
Technology) or IPSec
•check input access list •check input access list
•check input rate limits •check input rate limits
•input accounting •input accounting
•redirect to web cache •redirect to web cache
•policy routing •NAT outside to inside (global to local
•routing translation)
•NAT inside to outside (local to global •policy routing
translation) •routing
•crypto (check map and mark for •crypto (check map and mark for
encryption) encryption)
•check output access list •check output access list
•inspect (Context-based Access Control •inspect CBAC
(CBAC))
•TCP intercept •TCP intercept
•encryption •encryption
•Queueing
ITE PC v4.0
•Queueing
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 277
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 278
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Types de ACL Cisco
ACL standard
• Autoriser et refuser le trafic en provenance d’adresses IP
source (adresse destination et ports n’ont aucune incidence)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 279
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 280
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Numérotation et attribution d’un nom aux ACL
ACL numérotée :
• (1 à 99) et (1300 à 1999) : ACL IP standard
• (100 à 199) et (2000 à 2699) : ACL IP étendue
• Les numéros 200 à 1299 sont ignorés pour les ACL
numérotées car ils sont utilisés par d’autres protocoles (600 à
699 : AppleTalk, 800 à 899 : IPX)
ACL nommée :
• Affecter un nom en indiquant celui de la liste de contrôle
d’accès.
• Les noms peuvent comporter des caractères alphanumériques
(de pref. MAJUSCULES).
• Les espaces et les caractères de ponctuation sont interdis.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 281
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 282
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Exemple 1 de positionnement des ACL
Placer l’acl sur S0/0/1 (évite le routage sur R3) ou de préférence sur Fa0/1 (nécessaire s’il existe F0/2)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 283
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 284
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Directives générales sur la création des ACL
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 285
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 286
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Masque générique des ACL
Le masque détermine la portion d’une adresse IP
source ou de destination à appliquer
• Bit 0 : vérifier la valeur du bit correspondant dans l’adresse.
• Bit 1 : ignorer la valeur du bit correspondant dans l’adresse
• Masque générique= 255.255.255.255 – masque classique
Autoriser l’accès réseau à 14 utilisateurs dans le sous-
réseau 192.168.3.32 /28 masque=0.0.0.15
Rq:
• L’option host remplace le masque 0.0.0.0.
• L’option any remplace une adresse IP et le masque
255.255.255.255
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 287
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 288
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Exemple 1 d’application d’une ACL standard
1) Autoriser uniquement le
transfert du trafic sur s0/0/0
à partir du réseau source
192.168.10.0
2) Refuser l’accès
uniquement à PC1. les
autres hôtes sont autorisés
2
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 289
Autoriser les
réseaux
192.168.10.0 et
192.168.11.0 à
accéder aux
lignes VTY 0 - 4.
L’accès aux
lignes VTY est
refusé à tous les
autres réseaux
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 290
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Édition des ACL numérotées
Les règles sont ajoutées dans leur ordre de saisie à la
fin de la liste de contrôle d’accès
Il n’existe aucune fonction d’édition intégrée permettant
de modifier des règles (ordre, valeur, action, …) dans
une ACL
Astuce
• Afficher, copier et coller la ACL existante via show running-
config
• Utiliser un éditeur de texte, tel que le Bloc-notes pour modifier
l’ACL
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 291
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 292
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Contrôle et vérification des ACL
#show access-lists [num | nom]
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 293
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 294
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
ACL étendues
Permet un filtrage plus précis du trafic
Numérotées (100..199+2000..2699) ou nommées
Filtrer en fonction de adr src port src adr dest port dst
action
En 2 étapes : création activation sur une interface
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 296
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Exemple 1 d’application de ACL étendues aux
interfaces
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 297
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 298
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Création de ACL étendues nommées
La création de
ACL étendues
nommées est
quasiment
identique à
celle des ACL
standard
nommées
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 299
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 300
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
ACL dynamiques (verrou ou Lock-and-key)
La fonction de verrou est disponible pour le trafic IP uniquement.
Elle dépend de Telnet, l’authentification (locale ou distante) et des
ACL étendues.
Un utilisateur désire accéder un hôte protégé par un verrou
• Il se connecte à Telnet et s’authentifie (locale ou distante) (ACL étendue)
• La connexion Telnet dévient ensuite non nécessaire, une règle est
ajoutée dans une ACL étendue autorisant le trafic de l’utilisateur pendant
une période de temps (possibilité de période IDLE et absolute Timeout)
Utilisation
• Un admin octroie le droit d’accès pour un utilisateur distant (connecté via
Intenet) pour atteindre un hôte du réseau interne
• Donner à un ensemble d’hôtes du réseau interne, la possibilité de se
connecter à un hôte distant après avoir réussi une authentification via un
serveur AAA, TACACS+
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 301
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Avantages des ACL dynamiques
Mécanisme d’authentification des utilisateurs ;
Gestion simplifiée sur les inter-réseaux de grande taille ;
Réduction du traitement des ACL sur un routeur
Limitation des éventuelles infractions du réseau par des
pirates informatiques ;
Création d’un accès utilisateur dynamique via un pare-
feu, sans compromettre les autres restrictions de
sécurité configurées.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 303
ACL réflexives
ACL nommée
Le routeur examine le trafic sortant. Lorsqu’il détecte une nouvelle
connexion, il ajoute une entrée à une ACL provisoire pour autoriser
les réponses.
Comportement similaire à « permit established » mais plus efficace
• fonctionne également pour les protocoles UDP et ICMP,
• established vérifie que les bits ACK ou RST mais ignore adr. Src. ou Dest.
• established ne fonctionne pas avec les applications qui modifient de manière
dynamique le port source pour le trafic de session
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Exemple d’ACL réflexives
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 305
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 306
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Exemple d’ACL basée sur le temps
Étape 1. Définissez la
plage horaire
Étape 2. Appliquez la plage
horaire à l’ACL
Étape 3. Appliquez l’ACL à
l’interface.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 307
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Dépannage des erreurs courantes relatives
aux ACL
But: refuserTelnet sortant
Erreur:
192.168.10.0/24 peut
utiliser Telnet (interdite)
vers 192.168.30.0/24
Cause: port src au lieu
dst
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 309
Application:
« in » sur
S0/0/0 de R1
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 310
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Summary
An Access List (ACL) is:
A series of permit and deny statements that are used to filter traffic
Standard ACL
–Identified by numbers 1 - 99 and 1300 - 1999
–Filter traffic based on source IP address
Extended ACL
–Identified by number 100 -199 & 2000 - 2699
–Filter traffic based on
•Source IP address
•Destination IP address
•Protocol
•Port number
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 311
Summary
Named ACL
–Used with IOS 11.2 and above
–Can be used for either standard or extended ACL
ACL’s use Wildcard Masks (WCM)
–Described as the inverse of a subnet mask
•Reason
–0 check the bit
–1 ignore the bit
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 312
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Summary
Implementing ACLs
–1st create the ACL
–2nd place the ACL on an interface
•Standard ACL are placed nearest the destination
•Extended ACL are placed nearest the source
Use the following commands for verifying & troubleshooting an ACL
–Show access-list
–Show interfaces
–Show run
Complex ACL
–Dynamic ACL
–Reflexive ACL
–Time based ACL
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 313
Accès au réseau
étendu
Chapitre 6: Services de
télétravail
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 314
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Objectifs
Décrire les besoins d’une entreprise pour fournir les services
adaptés aux télétravailleurs
Décrire les besoins des télétravailleurs et l’architecture
recommandée pour fournir les services relatifs au télétravail
Expliquer comment les services à large bande passante
élargissent les réseaux des entreprises
Décrire l’importance de la technologie du réseau privé virtuel
Décrire comment optimiser la technologie du réseau privé
virtuel pour fournir des services sécurisés
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 315
Introduction au télétravail
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 316
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Avantages du Télétravail
Avantages organisationnels :
• Continuité opérationnelle (en cas de catastrophe, intempérie, etc.)
• Temps de réponse accéléré
• Accès sécurisé, fiable et gérable aux informations
• Intégration rentable des données, des communications vidéo et
vocales et des applications
• Productivité, satisfaction et fidélisation accrues des télétravailleurs
Avantages sociaux :
• Meilleures opportunités d’emploi pour les groupes marginalisés
• Déplacements réduits et limitation du stress lié aux transports
Avantages écologiques :
• Réduction des émissions du CO2
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 317
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 318
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Solution du télétravailleur
Les entreprises doivent identifier des moyens rentables,
fiables et sécurisés pour connecter et offrir ses ressources
(sur son site) à des particuliers dans:
• Petit bureau ou bureau à domicile (Small Office / Home Office ou
SOHO),
• Autres sites distants.
Le télétravail nécessite les composants suivants :
• Composants du bureau à domicile: ordinateur, accès large
bande ou commuté (en cas de déplacement), routeur ou logiciel
client VPN, Point d’accès, …
• Composants du siège : routeur, concentrateur VPN, application
de sécurité multifonction, authentification, solution de gestion, …
• Composants de téléphonie IP d’entreprise en option
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 319
connexions de
site à site
Technologies WAN
de couche 2
VPN -IPSEC
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Méthodes de connexion des télétravailleurs
3 technologies de connexion à distance pour prendre en
charge les services des télétravailleurs
• Technologies privées et traditionnelles de WAN de couche 2,
telles que FR, ATM et LS (La sécurité de ces connexions
dépend du FS)
• Réseaux privés virtuels (VPN) IPsec garantissent une
connectivité évolutive et souple (couche 3)
• Connexions de site à site pour une connexion à distance, fiable,
rapide et sécurisée (la plus courante, associée à un accès à
distance à large bande, pour établir un VPN sur le réseau
Internet public).
Rq: Large Bande si D > 200Kb/s dans au moins un sens.
Technologie DSL, Fibre, câble, satellite, sans fil.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 321
Composants Composants
VOIP du siège
Composants du
bureau à domicile
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Services à large bande
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 323
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 324
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Câble
Le système de câblage utilise un câble coaxial qui transmet des
signaux de radiofréquence (RF) sur le réseau.
CATV signifiait à l’origine « antenne de télévision commune ». Ce
type de transmission partageait les signaux de télévision.
Les câblo-opérateurs utilisent des antennes paraboliques pour
capter les signaux de télévision + amplificateurs en cascade
placés en série pour compenser la perte de signaux
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 325
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 326
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Ondes radioélectriques
Appelées RF, Spectre électromagnétique entre 1 Kilo-
hertz (kHz) à 1 Téra-hertz environ.
Le câble utilise une partie des fréquences RF. La
transmission est simultanée dans toutes les directions.
La portion RF utilisée est subdivisée en BP:
• En aval (descendante): tête de réseau abonné; bande large
RF de 810 MHz.
• En amont (voie de retour ou inverse): abonné tête de
réseau, bande large RF de 37 MHz.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 327
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 328
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
DOCSIS
Norme de certification pour les périphériques des fournisseurs en
équipements câblés (modems câble CM et Système de terminaison
du modem câble CMTS).
DOCSIS concerne les couches physiques et MAC.
DOCSIS définit les exigences en termes d’interface RF pour un
système de données sur câble.
Les fournisseurs en équipements câblés doivent demander leur
certification à CableLabs.
Diverses normes TV ce qui influe sur les variantes DOCSIS
• NTSC : Amérique du Nord et certaines régions du Japon
• PAL : Europe, d’Asie, Australie, Brésil et Argentine
• SECAM : France, qlq pays d’Europe de l’Est.
Couche MAC
• Méthode d’accès déterministe :
Accès multiple par répartition dans le temps (TDMA)
Accès multiple par répartition de code synchrone (S-
CDMA version propriétaire de CDMA élaborée par
Terayon Corporation et destinée à la transmission de
données sur des réseaux de câbles coaxiaux).
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 330
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Equipements et réseau par câble
2 types d’équipements
• Système de terminaison du modem câble, ou CMTS, à la tête de réseau du
câblo-opérateur
= routeur avec des BD, qui fournit des services Internet aux abonnés.
Support du câble et la fibre optique (pour +BP)
• Modem câble, ou CM, du côté des abonnés.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 331
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 332
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Gestion de congestion dans CATV
Octroyer un canal télévisé supplémentaire pour les
données haut débit ( double la BP en aval)
Réduire le nombre d’abonnés desservis sur chaque
segment, via les démarches :
• Sous-diviser le réseau en rapprochant les POP
• Utiliser de plus en plus la fibre optique sur des distances plus
grandes
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 333
Ligne DSL
Connexion entre l’abonné et le central téléphonique.
Technologie permettant de fournir une bande à haut
débit sur des lignes en cuivre standard.
Fréquences de transmission élevées (jusqu’à 1 MHz).
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 334
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Fournisseur de transport DSL
Modifications relativement minimes à l’infrastructure des
compagnies de téléphone pour supporter des vitesses élevées
2 Types DSL
• ligne numérique à paire asymétrique (ADSL)– Fréq: 20 kHz à 1 MHz
• ligne numérique à paire symétrique (SDSL)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 335
Technologies xDSL
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 336
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Connexion DSL
Émetteur-récepteur (Modem DSL): équipé d’un câble USB ou Ethernet, peut être intégré à
routeur de petite taille avec plusieurs ports de commutation pour les bureaux à domicile
Avantages DSL
Le support n’est pas partagé comme dans CATV (
L’ajout de nouveaux utilisateurs n’entrave pas les
performances à moins que les connexions (DSLAM-
FAI) ou (FAI-Internet) soient saturées
Services POTS + données (la séparation s’effectue via
un microfiltre ou un répartiteur)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 338
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Microfiltre Cisco EZ-DSL
Répartiteur DSL
Périphérique passif. En cas de panne de
courant, le trafic vocal passe.
Se trouve
• au central (sépare le trafic POTS du trafic de
données vers DSLAM)
Ou
• Site du client : sur le périphérique de l’interface
réseau, ce qui nécessite la venue d’un
technicien se déplace
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 340
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Accès à large bande sans fil
Avant, l’accès sans fil dans une zone petite (30 m du AP
ou du routeur sans fil + connexion Internet filaire)
De nos jours, grâce au chevauchement des AP, la
couverture peut atteindre plusieurs kilomètres carrés.
Avantages de la connexion sans fil:
• Absence installation de connexions réseau filaires
• Mobilité
• d’augmenter la flexibilité et la productivité des télétravailleurs
En règle générale, les équipements du télétravailleur
fonctionnent en 2,4 GHz (conforme normes IEEE
802.11b,g, e)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 341
Déploiement à domicile
Un seul routeur sans fil
réseaux sans fil
municipaux
Connexion
par satellite
Wimax
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 342
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Topologies des accès à large bande sans fil
Déploiement à domicile avec un routeur sans fil unique
modèle Hub and Spoke
Réseaux sans fil municipaux : topologie maillée ; fiable (un
nœud peut remplacer un autre en panne) ; déploiement
rapide, facile et pas chère (moins de câbles) ;
WiMAX : connexion rapide sur de longues distances de
diverses manières : point à point, point à multipoint.
Services Internet par satellite : zones où l’accès Internet au
sol n’est pas disponible. Divers manières: multidiffusion
unidirectionnelle, retour terrestre unidirectionnel,
Bidirectionnel
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 343
WiMAX
Worldwide Interoperability for Microwave Access; IEEE 802.16
Vitesse : 70 Mb/s, porté: 50 km ; BP avec ou sans licence (2 à 6 GHz)
%WIFI : + (Vitesse ; distance ; utilisateurs)
Peut remplacer les réseaux municipaux sans fil
Deux composants principaux
• Station tour : même concept que BTS ; couverture: jusqu’à 7,5KM²
• Récepteur WIMAX : taille et la forme d’une carte PCMCIA, ou intégré dans
un périphérique sans fil
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 344
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Services Internet par satellite
Utilisation : zones rurales, installations provisoires en
déplacement constant.
3 manières de connexion à Internet par satellite :
• multidiffusion unidirectionnelle : distribution vidéo, audio et la
distribution de données à multidiffusion IP (pas d’interactivité)
• retour terrestre unidirectionnel : Upload via des modems,
réception en satellite)
• Bidirectionnel : envoyer les données par satellite vers un
concentrateur, qui à son tour envoie à Internet.
• L’antenne parabolique doit être bien positionnée (vers
l’Équateur où il existe bcq satellites en orbite) pour éviter
interférence
• Upload 1/10ème du (download= ~de 500 Kbit/s).
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 345
VPN
Déf: Réseau étendu privé établi en créant des liaisons
permanentes (tunnels) spécialisées (authentification +
chiffrement) entre réseaux d'entreprises à travers des
réseaux publics afin de répondre aux besoins en partage
des ressources de ses utilisateurs
L’utilisation d’un réseau public (Internet) est bcq moins cher
qu’une connexion dédiée de couche 2 (LS)
Utile pour connecter les agences, les bureaux à domicile, les
sites de leurs partenaires commerciaux et les télétravailleurs
distants à une partie ou à tout leur réseau
Deux opérations principales: encapsulation + chiffrement
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 346
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Connexions VPN
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 348
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Types de réseau privé virtuel
Site à site
Accès distant
A
B
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 349
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 350
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
VPN accès à distance (remote access)
Pour se connecter à l’entreprise, les employées
utilisent :
• (Avant) des réseaux commutés ( frais pour les appels
longue distance et interurbains); (possibilité de callback)
• (mnt), Internet, avec des VPN et des connexions large bande
VPN accès disant utiles pour connecter des
télétravailleurs, utilisateurs mobiles et consommateurs
sur Extranet.
Chaque hôte dispose généralement d’un logiciel client
vpn (ou d’une application web) qui chiffre le trafic avant
de l’envoyer sur Internet à la passerelle à la périphérie
du réseau cible.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 351
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 352
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Caractéristiques des VPN sécurisés
Les VPN ont recours à des techniques de chiffrement
avancées et à la transmission tunnel pour que les
entreprises puissent établir des connexions réseau
privées sécurisées de bout en bout sur Internet.
Assurent les attributs de sécurité
• Confidentialité des données,
• Intégrité des données,
• Authentification.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 353
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 354
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Encapsulation des paquets dans le tunnel VPN
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 355
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 356
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Chiffrement symétrique
Exemple : DES, 3DES, AES
Nécessitent une clé partagée secrète pour chiffrer et
déchiffrer
Distribution de clé est une opération essentielle et
critique
• Courriel, courrier, livraison chrono
• Chiffrement asymétrique (plus efficace)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 357
Chiffrement asymétrique
Plusieurs clés pour procéder au chiffrement et au
déchiffrement.
Impossible de déduire une clé à partir d’une autre
Chiffrement à clé publique = variante du chiffrement
asymétrique qui associe 2 clés privée et publique.
• L’expéditeur partage sa clé publique avec le destinataire.
• L’expéditeur utilise la clé privée pour chiffrer le message.
• Le destinataire utilise la clé publique pour déchiffrer le message.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 358
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Hachage
VPN utilise un algorithme « code d’authentification des
messages avec hachages et clés » (HMAC) pour vérifier
l’intégrité et l’authenticité d’un message
L’expéditeur du message utilise HMAC pour produire une
valeur en condensant la clé secrète et le texte du message.
Le code d’authentification du message est envoyé avec le
message.
Le destinataire recalcule le code d’authentification du
message pour vérifier l’intégrité, s’il y a correspondance des
codes.
La puissance cryptographique de la fonction HMAC dépend
de la fonction de hachage sous-jacente, la taille et la qualité
de la clé, ainsi que de la taille condensat.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 359
Algorithmes HMAC
Message Digest 5 (MD5)
• Utilise une clé secrète partagée de 128 bits.
• Algorithme de hachage HMAC-MD5.
• Sortie de hachage de 128 bits.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 360
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Authentification VPN
Il est nécessaire d’authentifier le périphérique à l’autre extrémité du
tunnel
Il existe 2 méthodes d’authentification des homologues :
Clé pré-partagée (PSK)
• Clé PSK entrée manuellement à chaque extrémité
• À chaque extrémité, la clé PSK est associée à d’autres informations pour
constituer la clé d’authentification.
• Se base sur des algorithmes cryptographiques à clé symétrique.
Signature RSA
• Echange de certificats numériques pour authentifier les homologues.
• Le périphérique local calcule un hachage et le chiffre avec sa clé privée.
• L’extrémité distante déchiffre le hachage reçu et recalcule le hachage.
• En cas de correspondance signature authentique.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 361
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 362
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
IPSec en mode transport
VPN Server B
Workstation A
Internet
Security Security
gateway 1 gateway 2
encrypted
A B data
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 363
VPN Server B
A B data
Workstation A
Internet
Security Security
source destination gateway 1 gateway 2
A B data encrypted
1 2 A B data
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 364
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Modes IPSec
Mode Transport Mode nesting
tunnel transport
Mode Tunnel
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 365
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 366
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Algorithmes de chiffrement et d’authentification
DES : chiffrer et déchiffrer les données du paquet.
3DES : puissance de chiffrement importante % DES 56 bits.
AES : chiffrement plus puissant, en fonction de la longueur
de clé utilisée, ainsi qu’un débit accéléré.
MD5 : authentifier les données du paquet à l’aide d’une clé
secrète partagée de 128 bits.
SHA-1 : authentifier les données du paquet à l’aide d’une clé
secrète partagée de 160 bits.
DH : Etablir une clé secrète partagée pour le chiffrement et
les algorithmes de hachage sur un canal de communication
non sécurisé.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 367
Cadre IPSEC
Étape 1
Étape 2
Étape 3
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 368
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Configuration VPN (site à site) -- central
Routeur
Linksys WRVS4400N
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 369
Routeur
Linksys
WRVS4400N
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 370
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Configuration VPN (accès à distance) -- client
Profile:
site
central
User:
BobV
Pwd:
cisco123
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 371
Summary
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 372
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Summary
Broadband services used
–Cable
• transmits signal in either direction simultaneously
–DSL
• requires minimal changes to existing telephone
infrastructure
• delivers high bandwidth data rates to customers
–Wireless
• increases mobility
• wireless availability via:
» municipal WiFi
» WiMax
» satellite internet
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 373
Summary
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 374
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Accès au réseau
étendu
Chapitre 7: Services
d’adressage IP
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 375
Objectifs
Configurer et dépanner le protocole DHCP dans un
réseau d’entreprise
Configurer et dépanner la fonction NAT sur un routeur
Cisco
Expliquer IPv6
Décrire les stratégies de transition pour la mise en
œuvre de IPv6
configurer, vérifier et dépanner RIPng pour IPv6
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 376
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Introduction
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 377
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 378
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Fonctionnement du protocole DHCP
3 mécanismes d’allocation d’adresses
• Allocation manuelle : l’administrateur attribue une @IP
préallouée au client. DHCP communique cette @ au périphérique
• Allocation automatique : DHCP attribue de façon automatique
et permanente (pas de bail) une @IP statique à un périphérique à
partir d’un pool d’adresses
• Allocation dynamique : DHCP attribue, ou loue, de façon
automatique et dynamique une @IP à partir d’un pool d’adresses
pour une durée limitée définie par le serveur ou jusqu’à ce que le
client indique au serveur DHCP qu’il n’a plus besoin de cette @.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 379
Allocation dynamique
udp/67 udp/68
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 380
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Étapes de l’allocation dynamique
Etape 1 : l’hôte diffuse (en L2 & L3) DHCPDISCOVER vers le serveur
Etape 2 : Le serveur DHCP trouve une adresse IP disponible à louer,
crée une entrée ARP (@MAC de l’hôte demandeur, @IP louée), puis
transmet DHCPOFFER (le msg peut parfois être diffusé).
Etape 3 : Le client renvoie DHCPREQUEST dans 2 cas.
• Emettre le bail et confirmer @ IP allouée (refus implicite d’autres @)
• Renouveler et vérifier le bail
Etape 4 : Le serveur vérifie les informations sur le bail, crée une entrée
ARP pour le bail du client, puis transmet DHCPACK.
RQ: DHCPACK est une copie du message DHCPOFFER (type de champ ≠)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 381
Protocole BOOTP
Bootstrap (BOOTP), RFC 951, prédécesseur DHCP
BOOTP permet d’envoyer des configurations d’adresse
et d’amorçage pour les terminaux sans disque.
BOOTP DHCP
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Format du message DHCP
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 383
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 384
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Explication des champs du msg DHCP (2/2)
Adresse IP du client : si le client connait son @IP
Votre adresse IP : @IP attribuée par le serveur
Adresse IP du serveur : @IP du serveur que le client doit utiliser dans l’étape
suivante du processus de bootstrap (peut être différente du serveur envoyant
la réponse)
Adresse IP de la passerelle : utile si client et serveur DHCP sur 2 réseaux ≠
( agents de relais DHCP)
Adresse matérielle du client
Nom du serveur
Nom du fichier de démarrage : dans DHCPDISCOVER: nom du fichier de
démarrage demandé. Dans DHCPOFFER : répertoire et nom du fichier
Options : de taille variable, plusieurs paramètres possibles
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 385
Message DHCPDISCOVER
• Le serveur note que le champ GIADDR est vide, ce qui signifie que le
client est sur le même segment.
• Le client définit le CIADDR uniquement lorsqu’il a déjà confirmé et il
utilise l’adresse IP
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 386
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Message DHCPRESPONSE
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 387
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 388
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Exemple de configuration DHCP
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 389
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 390
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Manipulation du serveur DHCP (2/2)
Assurer que les messages sont
reçus ou envoyés par le routeur :
#show ip dhcp server
statistics.
Afficher le pool DHCP: # show
ip dhcp pool
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 391
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 392
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Relais DHCP
• PC1 essaie
d’avoir une @IP
• ipconfig
/release pour
libérer son @
0.0.0.0
• ipconfig /renew
pour solliciter
une autre @
Pas d’@ ou
169.254.x.x
(Automatic
Private IP
Addressing)
Solution: configurer la fonction
« ip helper-address» sur le routeur
agent de relais DHCP
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 393
Fonction « ip helper-address »
Elle s’applique sur l’interface qui n’a pas le service
voulu
Elle permet de transférer des paquets reçus en
diffusion vers une autre adresse située dans un autre rx
Elle transfère par défaut huit services UDP
Time (37); TACACS (49) ; DNS (53) ; BOOTP/DHCP server
and client (67/68) ; TFTP (69) ; NetBios (137/138)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 394
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Configuration d’un serveur DHCP à l’aide de SDM
(Cisco Device Manager)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 395
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 396
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Etape 1: Résolution des
conflits d’adresses IP
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 397
Etapes 2, 3, 4 et 5 du dépannage
Étape 2: vérification de la connectivité physique
#show interface interface, confirmer que l’interface GTW du client
(routeur) est opérationnelle
Étape 3: test de la connectivité du réseau en utilisant des
adresses statiques
Si le client ne peut pas atteindre une ressource réseau avec une
@ IP statique, alors le problème ne vient pas de DHCP
Étape 4: vérification de la configuration du switch
Si un commutateur se trouve entre le client et le serveur DHCP,
vérifier que le port STP PortFast est activé et que l’agrégation
(Trunk) est désactivé
Etape 5 : déterminer si les clients DHCP obtiennent
l’adresse IP du bon sous réseau
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 398
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Autres opérations de dépannage
Vérification de la configuration du relais DHCP/BOOTP du
routeur
#show running-config
ip helper-address ...
pas de « no service dhcp »
Vérification de la réception par le routeur des requêtes DHCP
• configurer une acl pour le résultat du débogage :
(config)#access-list 100 permit ip host 0.0.0.0 host 255.255.255.255
• + #debug ip packet detail 100
Vérification de la réception et du transfert par le routeur de la
requête DHCP
• #debug ip dhcp server packet
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 399
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 400
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Fonctions NAT
Ne pas gaspiller les adresses IP publics en autorisant
les réseaux à utiliser des adresses IP privées.
Traduire les adresses non routables, privées et internes
en adresses routables publiques.
Ajouter un niveau de confidentialité et de sécurité à un
réseau (empêche les réseaux externes de voir les
adresses IP internes)
Terminologie
• Réseau interne : ensemble des réseaux soumis à la traduction.
• Réseau externe : toutes les autres adresses.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 401
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Mappage dynamique et statique
NAT dynamique : utilise un pool d’adresses publiques
et les attribue selon la méthode du premier arrivé,
premier servi.
NAT statique : utilise un mappage biunivoque des
adresses locales et globales ; ces mappages restent
constants.
• Utile pour les serveurs Web ou les hôtes qui doivent disposer
d’une adresse permanente, accessible depuis Internet.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 403
Surcharge NAT
Surcharge NAT = traduction d’adresses de port = PAT
Mappe plusieurs adresses IP privées à une seule adresse IP publique ou
à quelques adresses (utile quand le FAI attribue une adresse public)
PAT s’assure que les clients utilisent sur le réseau externe un numéro de
port source différent pour chaque session client avec un serveur
Lors du retour, le port source devient port de destination déterminer
l’adresse privée du client
+ de sécurité (le port dest doit être déjà vu)
PAT essaye de conserver le même port source d’origine dans les réseaux
interne et externe. A défaut, il attribue le premier port disponible de son
groupe dans les plages 0-511, 512-1023 ou 1024-65535
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 404
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Fonctionnement du PAT
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 405
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 406
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Inconvénients de la fonction NAT
Performances dégradées (Frais du NAT: recherche table, modif.
entête IP, TCP, UDP CRC)
Fonctionnalités de bout en bout affectées (certaines applications (ex.
signatures numériques) échouent)
Traçabilité IP de bout en bout perdue (modifier les en-têtes n’arrange
pas les contrôles d’intégrité effectués par IPsec et autres protocoles
de tunnelisation)
Etablissement de connexions TCP perturbé.
• Si le routeur NAT ne fait pas un effort spécifique, les paquets entrants
n’atteignent pas leur destination.
• Certains protocoles acceptent une instance NAT (ex. FTP en mode passif),
mais échouent si NAT dans les deux systèmes
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 408
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Exemple de configuration du NAT statique
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 409
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 410
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Exemple de configuration du NAT dynamique
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 411
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 412
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Configurer la surcharge NAT avec une
adresse IP unique
Etape 1 : Définissez une liste d’accès standard autorisant les adresses
qui doivent être traduites.
Router(config)#access-list num-acl permit source [masque-générique-src]
Etape 2 : Établissez une source dynamique de traduction, en spécifiant la
liste d’accès définie à l’étape précédente.
Router(config)#ip nat inside source list num-acl interface NOM_INTERFACE
overload
Etape 3 : Spécifiez l’interface interne.
Router(config)#interface type numéro
Router(config-if)#ip nat inside
Etape 4 : Spécifiez l’interface externe.
Router(config-if)#interface type numéro
Router(config-if)#ip nat outside
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 413
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 414
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Configurer la surcharge NAT avec
plusieurs adresses IP
Similaire au NAT avec pool. La seule différence est + overload
Etape 1 : Définissez une liste d’accès standard autorisant les adresses
qui doivent être traduites.
Router(config)#access-list num-acl permit source [masque-générique-src]
Etape 2 : Spécifiez l’adresse globale, en tant que pool
Router(config)#ip nat pool nom ip-début ip-fin {netmask masque-réseau |
prefix-length longueur-préfixe}.
Etape 3 : Établissez la traduction de surcharge.
Router {config}#ip nat inside source list num-acl pool nom overload.
Etape 4 : Spécifiez l’interface interne.
Router(config)#interface type numéro ; Router(config-if)#ip nat inside
Etape 5 : Spécifiez l’interface externe.
Router(config-if)#interface type numéro ; Router(config-if)#ip nat outside
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 415
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 416
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Transfert de port
La fonction NAT n’autorise pas les requêtes provenant
de l’extérieur (il faut qu’il ait déjà des requêtes
sortantes)
Sol: Le transfert de port (= transmission tunnel)
correspond au transfert du port réseau d’un nœud
réseau à un autre.
un utilisateur externe atteint un port sur une @ IP
privée via un routeur compatible NAT (utile pour un
trafic peer-to peer, un serveur web interne, …)
Pour des raisons de sécurité, le transfert de port est
désactivé par défaut
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 417
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 418
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Vérification de NAT et de la surcharge NAT
#show ip nat translations
Ajoutez l’instruction verbose à la commande pour afficher des
informations supplémentaire
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 419
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 420
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Exemples de statistiques NAT
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 421
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 422
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Débogage NAT
Cmd: #debug ip nat [detailed]
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 423
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 424
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Blocs d’adresses IPv4 attribués jusqu’à 2007
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 425
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 426
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Adressage IPv6 avancé
Accessibilité et souplesse globales
Agrégation
Multi-hébergement (Un hôte peut se connecter à plusieurs
FAI)
Configuration automatique pouvant inclure des adresses
MAC
Plug-and-play pour plus de périphériques.
Ré adressage public – privée de Bout en bout sans NAT
(Les réseaux peer to peer sont plus faciles à déployer)
Mécanismes simplifiés pour la renumérotation et la
modification des adresses.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 427
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 428
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
En-tête simple IPv6
Efficacité du routage Performances et évolutivité du
débit de transmission
Aucune diffusion et donc aucun risque de tempêtes de
diffusion (mais les nœuds supportent le multicast)
Aucune somme de contrôle
Systèmes d’en-têtes d’extension simplifiés et plus
efficaces.
Étiquetage de flux
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 429
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 430
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Détails de l’entête IPv6
Entête suivant :
0 Proche en proche ; 6 TCP ; 17 UDP ; 41 IPv6 ; 43 Routage ; 44
Fragmentation ; 50 Confidentialité ; 51 Authentification ; 58 ICMPv6
; 59 Fin des en-têtes ; 60 Destination
Champ «Longueur » : uniquement des données utiles
(≠Ipv4). Si taille très grande val =0 + option jumbogramme
de l'extension de « proche en proche »
Etiquette de flux : numéro unique (traitement routeur, RSVP)
Classe: codée sur 8 bits, permet la différentiation de services
Limite de sauts ≡ TTL
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 431
Approches de transition
Problème: communication entre un hôte IPv6 et un hôte
IPv4.
Deux approches sont possibles pour permettre la
communication :
•la double pile.
o doter les hôtes IPv4 à la fois d'adresses IPv6 et IPv4 de façon à
leur permettre de communiquer aussi bien avec les hôtes IPv4 et
IPv6.
o îles IPv6 sont interconnectées par des tunnels IPv6 sur IPv4.
•les traducteurs de protocoles : sur plusieurs niveaux
o réseau (NAT-PT, NAT64), transport (TRT, RFC 3142) ou applicatif
(DNS-ALG, RFC 2766).
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 432
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Richesse de la transition d’IPv6
Double pile (conseillé !)
Doter les hôtes IPv4, et les serveurs en particulier, à la fois d'adresses
IPv6 et IPv4 de façon à leur permettre de communiquer aussi bien avec
les hôtes IPv4 et IPv6
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 434
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Richesse de la transition d’IPv6
Double pile (conseillé !)
Doter les hôtes IPv4, et les serveurs en particulier, à la fois
d'adresses IPv6 et IPv4 de façon à leur permettre de communiquer
aussi bien avec les hôtes IPv4 et IPv6
Adressage IPv6
Il y a 8 blocs de 16 bits, séparés par (:)
Les zéros de tête dans un bloc sont facultatifs
Des champs successifs de zéros ne peuvent être
représentés par :: qu’une seule fois par adresse
3 types : unicast, multicast et anycast (un seul des éléments
du groupe).
Exemple :
• 2031:0000:130F:0000:0000:09C0:876A:130B ≡
2031:0:130f::9c0:876a:130b
• FF01:0:0:0:0:0:0:1 ≡ FF01::1
• 0:0:0:0:0:0:0:1 ≡ ::1
• 0:0:0:0:0:0:0:0 ≡ ::
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 436
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Adresse de monodiffusion globale IPv6
Le format d’@ IPv6 permet l’agrégation de manière
ascendante jusqu’au FAI.
Les @ de monodiffusion globales commencent par 001 (≡
2000::/3 2……/4 ou 3 …../4)
Les @ de monodiffusion globales attribuées par l’IANA
comprennent
• un préfixe de routage global de 48 bits (/48)
• un ID de sous-réseau de 16 bits (/49 à /64)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 437
TLA : Top Level Aggregator ; res = reserve ; NLA : Next Level Aggregator ;
SLA : Site Level Aggregator
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Adresses particulières
Adresses réservées
::/8 ; Réservées par l’IETF pour divers usages (1/256 des @),
Adresses privées
• FE80::/9, divisée en 2 types
• Adresses locales-sites (semblable à RFC 1918) ≡ FEC0::/10
• Adresses de monodiffusion de liaison locale : ≡ FE80::/10 ;
nouveau concept, étendu inférieur au site local – uniquement le
lien physique- pour la configuration auto de l’adresse et la
détection des voisins
Adresse indéterminée
≡ :: ; @ src de d’un équipement pendant son initialisation
Adresse de bouclage
0:0:0:0:0:0:0:1 ; associée à une interface virtuelle (loopback).
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 439
Adresses multicast
Préfixe FF00::/8
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 440
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Gestion des adresses IPv6
Statique
• Attribution statique à l’aide d’un ID d’interface manuel
• Attribution statique à l’aide d’un ID d’interface EUI-64
Dynamique
• Configuration automatique sans état
• Le système de configuration automatique a été créé pour
permettre la mise en réseau plug-and-play des
périphériques IPv6
• DHCP pour IPv6 (DHCPv6)
• DHCPv6 permet aux serveurs DHCP de transmettre les
paramètres de configuration, tels que les adresses réseau
IPv6, aux nœuds IPv6
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 441
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 442
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Attribution de l’ID d’interface EUI-64
Adresse IPv6=préfixe sous réseau (manuel) + ID
interface
ID interface (64bits)= @MAC + 0xFFFE (au milieu)
Cmd: (config-if)#ipv6 address 2001:DB8:2222:7272::/64 eui-64
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 443
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Transmission tunnel
Tunnel manuel
Tunnel 6to4
• Connexion des îlots IPv6 via un réseau IPv4 (Internet)
• Appliquer de façon dynamique un préfixe IPv6 unique et valide à chaque
îlot IPv6 ( déployer IPv6 sans récupération d’@ d’un FAI ou registre)
Tunnel Teredo
• technologie de transition à IPv6 qui offre une transmission tunnel d’hôte à
hôte automatique plutôt que la transmission tunnel vers une passerelle.
(utile si l’hôte se trouve derrière un NAT IPv4)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 445
• En IPv6
• Le réseau (hôtes)
ne nécessite • En IPv4
qu’une seule • La machine nécessite
adresse IPv4 et en plus une adresse
une passerelle IPv4. Elle se charge de
l’encapsulation
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 446
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Tunnel 6to4 - principe
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 447
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 448
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Tunnel 6to4 - Relais 6to4
Tunnel ISATAP
communication en IPv6 au travers d’un
réseau IPv4 de deux machines entre
elles, ou de deux routeurs entre eux,
ou encore d’une machine et d’un
routeur
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
ISATAP
Principe
ISATAP est l'équivalent interne de 6to4 (externe). Alors que
6to4 fournit une connectivité IPv6 vers l'extérieur, ISATAP
fournit une connectivité IPv6 vers l'intérieur. C'est utile si
certains des routeurs de votre réseau Intranet/local ne
supportent pas IPv6.
Adressage
Avec ISATAP, les 64 premiers bits de l'adresse IPv6 sont
choisis. Les bits 64 à 95 sont égaux à 0000:5ffe. Enfin, les bits
96 à 127 représente l'adresse IPv4 de destination (bout du
tunnel).
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 451
Tunnel Teredo
Encapsuler des paquets IPv6 dans
des messages UDP en IPv4
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Teredo
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 453
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 454
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Double pile Cisco IOS
Méthode d’intégration dans laquelle un nœud
a une mise en œuvre et une connectivité à un
réseau IPv4 et IPv6.
Une API est intégrée aux applications
logicielles afin de convertir IPv4 en IPv6, et
inversement.
Le nœud à double pile choisit la pile à utiliser
en fonction de l’adresse de destination du
paquet.
Un nœud à double pile doit privilégier l’IPv6
lorsque celui-ci est disponible.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 455
Si Tunnel configuré
manuellement ≡ liaison
permanente entre 2
ITE PC v4.0
doms IPv6
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 456
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Considérations sur le routage IPv6
IPv6 utilise le routage vers le plus long le préfixe.
IPv6 utilise des versions modifiées des protocoles de
routage (structures d’en-tête, @ IPv6 plus longues).
La taille supérieure de l’espace d’adressage est suffisante
pour permettre aux organisations de définir un préfixe
unique pour l’ensemble de leur réseau.
IPv6 apporte des modification au routage sur 3 plans:
• Contrôle (~signalisation): interaction du routeur avec les
éléments du réseau
• Données : transfert de paquets d’une interface physique ou
logique à une autre
• Services avancés: filtrage des paquets, QoS, chiffrement, NAT
et statistique …
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 457
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 458
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Modif. plan de contrôle dans le routage IPv6
Taille de l’adresse IPv6 :
+ traitement des @ (2 cycles UC 64 bits/@)
Adresses de nœuds IPv6 multiples :
un nœud peut utiliser plusieurs @ + traitement lors de la
découverte de voisins
Protocoles de routage IPv6 :
préfixes de taille plus grande + (données et traitement) des
mises à jour de routage
Taille de la table de routage :
espace d’adressage plus grand, + de réseau, Internet plus
grande + table de routage volumineuse
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 459
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 460
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Protocole de routage RIPng
RIPng depuis Cisco IOS version 12.2(2)T
Caractéristiques IPv4 similaires :
• Vecteur de distance, max 15 sauts, découpage d’horizon et
empoisonnement inverse
• Basé sur RIPv2
Caractéristiques mises à jour pour IPv6 :
• Préfixe IPv6, adresse IPv6 de tronçon suivant
• @ multidiffusion FF02::9
• Acheminement avec IPv6
• UDP port 521
• Nom: RIPng !
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 461
MAC: 0260:3E47:1530
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 462
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Résolution de noms Cisco IOS pour IPv6
Définir un nom statique pour les adresses IPv6.
• RouterX(config)#ipv6 host nom [port] adr-ipv6 [{adr-ipv6} ...]
• Jusqu’à 4 adresses pour le même hôte
• « port » : port Telnet à utiliser pour l’hôte correspondant.
• RouterX(config)#ipv6 host router1 3ffe:b00:ffff:b::1
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 463
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 464
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Exemple de configuration RIPng
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 465
Vérification RIPng
Commande Fonction
show ipv6 interface Etat des interfaces configurées pour IPv6
show ipv6 interface brief Etat résumé
show ipv6 neighbors Informations de cache de la détection de voisins IPv6
show ipv6 protocols Paramètres et l’état actuel des processus de protocole de routage
actif IPv6.
show ipv6 rip Informations sur les processus de protocole RIP IPv6 en cours.
show ipv6 route Table de routage IPv6 actuelle.
show ipv6 routers Informations d’annonce de routage IPv6 reçues d’autres routeurs.
show ipv6 static uniquement les routes IPv6 statiques
show ipv6 static uniquement les informations de routes statiques relatives à
2001:db8:5555:0/16 l’adresse donnée
show ipv6 static uniquement les informations de routes statiques avec l’interface
interface serial 0/0 spécifiée comme interface sortante
show ipv6 static detail entrée plus détaillée pour les routes statiques IPv6
show ipv6 traffic
ITE PC v4.0 statistiques du trafic IPv6
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 466
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Dépannage de RIPng
Commande Fonction
clear ipv6 rip Supprime les routes de la table de routage RIP IPv6 et, si
elles sont installées, les routes de la table de routage IPv6.
clear ipv6 route * Supprime toutes les routes de la table de routage IPv6.
clear ipv6 route Supprime cette route spécifique de la table de routage IPv6.
2001:db8:c18:3::/64
clear ipv6 traffic Réinitialise les compteurs de trafic IPv6.
debug ipv6 packet Affiche les messages de débogage pour les paquets IPv6.
debug ipv6 rip Affiche les messages de débogage pour les transactions de
routage RIP IPv6.
debug ipv6 routing Affiche les messages de débogage pour les mises à jour de
la table de routage IPv6 et les mises à jour de la mémoire
cache de route.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 467
Summary
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 468
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Summary
DHCP Relay
Concept of using a router configured to listen for
DHCP messages from DHCP clients and then
forwards those messages to servers on different
subnets
Troubleshooting DHCP
–Most problems arise due to configuration errors
–Commands to aid troubleshooting
•Show ip dhcp
•Show run
•debug
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 469
Summary
Private IP addresses
–Class A = 10.x.x.x
–Class B = 172.16.x.x – 172.31.x.x
–Class C = 192.168.x.x
Network Address Translation (NAT)
–A means of translating private IP addresses to public IP addresses
–Type s of NAT
•Static
•Dynamic
–Some commands used for troubleshooting
•Show ip nat translations
•Show ip nat statistics
•Debug ip nat
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 470
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Summary
IPv6
–A 128 bit address that uses colons to separate entries
–Normally written as 8 groups of 4 hexadecimal digits
IPv6 Tunneling
–An IPV6 packet is encapsulated within another protocol
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 471
Summary
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 472
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Accès au réseau
étendu
Chapitre 8: Dépannage du
réseau
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 473
Objectifs
Établir et documenter une ligne de base du réseau
Décrire les différentes méthodologies et les différents
outils de dépannage
Décrire les problèmes qui se produisent couramment
lors de la mise en œuvre d’un réseau étendu
Identifier et résoudre les problèmes qui se produisent
couramment lors de la mise en œuvre d’un réseau
d’entreprise
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 474
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Documentation réseau
Diagramme logique du réseau + informations détaillées
sur chaque composant
Documentation sauvegardée sous forme de copie
papier ou sur le réseau sur un site Web protégé
La documentation réseau inclut les composants :
• Table de configuration du réseau (matériel et logiciels utilisés)
• Table de configuration du système d’extrémité (serveur,
console admin, station de travail, …)
• Diagramme topologique du réseau
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 475
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 476
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Documentation système d’extrémité
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 477
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 478
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Commandes utiles pour le processus de
documentation du réseau
ping :
tester la connectivité avec les périphériques avant de se connecter
telnet:
se connecter à distance à un périphérique afin d’accéder à des
informations de configuration.
show ip interface brief :
afficher l’état actif ou inactif et l’adresse IP de toutes les interfaces d’un
périphérique.
show ip route
afficher la table de routage (connaître les voisins connectés directement,
routes apprises, protocoles de routage, …).
show cdp neighbor detail:
infos a propos des périphériques voisins Cisco connectés directement.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 479
Des
périphériques
non encore
documentés ?
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 480
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Importance d’une ligne de base du réseau
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 481
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 482
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Planification de la première ligne de base
Étape 1. Choix des types de données à collecter
Sélectionner les variables qui représentent les stratégies définies
Utilisation des interfaces et de l’unité centrale
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 484
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Mesure des données de performances
réseau
Utilisation de logiciels sophistiqués d’administration des réseaux
Exemple: module SuperAgent de Fluke Network permet aux
administrateurs de créer et de revoir automatiquement des
rapports grâce aux références intelligentes.
La ligne de base peut demander à la fois un recueil manuel des
données et l’utilisation de simples inspecteurs de protocole réseau.
Exemples de commandes ios : show version, interface, ip
interface, ip route, arp, running-config, port, vlan, ..
show tech-support : (~cron) exécute des commandes show et
propose de nombreuses pages de résultat détaillé destinées à être
envoyées à l’assistance technique.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 485
Exemple d’outils
WhatsUp Gold
SuperAgent
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 486
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Approche générale du dépannage
• Fiable mais
lente
• Non fiable
• Difficilement
applicable
• Peut être rapide
• Compromis :
réduire le temps
(M1) et limiter la
confusion (M2)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 487
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 488
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Procédures générales de dépannage (1/2)
=chercher les
cause
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 490
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Processus de dépannage
Collecter des
Définir le problème Analyse
informations
Elimination
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 491
Signaler le
problème
Vérifier le problème
Définir le problème
Définir le problème
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 492
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Collecter les informations
Collecter les
Analyse
informations
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 493
Documentation
Interprétation &
Etalon Elimination
analyse
Recherche
Expérience
Analyse
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 494
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Elimination des causes
Hypothèses
Analyse
Elimination
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 495
Déterminer la
Faire monter Tester les hypothèses
responsabilité
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 496
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Tester les hypothèses proposées
Proposer des Définir une
hypothèses solution
Evaluer l'impact
Implémenter la
solution
Vérifier la
Roll back Problème résolu
solution
Méthodes de dépannage
Si une couche
Début fonctionne
possible correctement,
pour Divide il est de même
and conquer pour les
couches
inférieures
Début conseillée lorsque le
ascendante problème est physique
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 498
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Choix de la méthode de dépannage
1
3 4 5
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 500
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Commandes pour le recueil des symptômes
ping {hôte | adresse-ip}
traceroute {destination}
telnet {hôte | adresse-ip}
show ip interface brief
show ip route
show running-config interface
debug …
show protocols
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 501
Posez des questions en rapport avec le problème. Qu’est-ce qui ne fonctionne pas ?
Utilisez chaque question pour éliminer ou découvrir Y-a-t-il un rapport entre ce qui fonctionne
d’éventuels problèmes. et ce qui ne fonctionne pas ?
Adaptez le niveau de langage pour que l’utilisateur Ce qui ne fonctionne pas, est-ce que ça
puisse comprendre. fonctionnait avant ?
Demandez à l’utilisateur de vous indiquer le Quand est-ce que vous vous êtes aperçu
moment où le problème a été détecté pour la du problème pour la première fois ?
première fois.
Quelque chose d’inhabituel s’est-il passé depuis la Qu’est-ce qui a changé depuis la dernière
dernière fois que cela fonctionnait ? fois que cela fonctionnait ?
Demandez à l’utilisateur de recréer le problème, si Pouvez-vous reproduire le problème ?
cela est possible.
Déterminez la séquence des événements qui se Quand exactement le problème s’est-il
sont produits avant que le problème n’apparaisse. produit ?
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 502
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Outils de dépannage (1/2)
Outils NMS : CiscoView, HP Openview, Solar Winds et
WhatsUp Gold
Bases de connaissances : informations sur le
matériel et les logiciels Cisco (procédures de
dépannage, guides de mise en œuvre, livres blancs…)
Outils de création d’une ligne de base: outils de
création d’une ligne de base (SolarWinds LANsurveyor
fluke network, et CyberGauge)
Analyseurs de protocole : wireshark, etc.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 503
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 504
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Communications dans un réseau étendu
Un fournisseur d’accès ou un opérateur télécom est généralement
propriétaire des liaisons de données qui constituent un WAN.
Les liaisons sont mises à la disposition des abonnés contre
paiement et sont utilisées pour interconnecter LAN ou se
connecter à distance.
Les réseaux étendus transportent divers types de trafic. Une
bonne conception doit fournir la capacité et les temps de transfert
correspondant aux besoins de l’entreprise.
Les routeurs déterminent le chemin le plus approprié vers la
destination et transfèrent les paquets à la couche liaison de
données appropriée en vue de les livrer sur la connexion physique.
Les routeurs peuvent également effectuer une gestion par qualité
de service (QS), qui alloue des priorités aux différents flux de
trafic.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 505
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 506
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Étapes de la conception d’un WAN
1.Établir les points d’extrémité source et de
destination qui se connecteront via le réseau
étendu.
2.Pour chaque paire de points d’extrémité et pour
chaque type de trafic, recueillir des informations sur
les caractéristiques du trafic (délai, gigue, BP,..)
3.Décider de la topologie = fct (zone géographique,
disponibilité, besoin QoS, …)
4.Estimation de la BP requise. Le trafic sur les liaisons
peut présenter d’autres besoins latence et de gigue.
5.Choisir la technologie de liaison adéquate.
6.Évaluation des coûts : installation, exploitation et
maintenance
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 507
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 508
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Étape 3 : Considérations sur la topologie
du réseau étendu
Opérations requises:
• Sélectionner un motif ou une configuration d’interconnexion pour les liaisons
entre les divers sites
• Sélectionner les technologies permettant à ces liaisons de répondre aux
besoins de l’entreprise à un coût raisonnable
Motif d’interconnexion
• Plusieurs choix: étoile, maillage global, maillage partiel, hiérarchique
• Étoile: utile lorsque l’entreprise se développe en créant de nouvelles filiales
connectées au siège
• Hiérarchique: offre une meilleure évolutivité recommandée lorsque :
• de nombreux sites doivent être reliés
• le trafic du réseau reproduit la structure de l’entreprise, divisé en régions,
zones et filiales.
• Il existe un service central mais la connexion directe est impossible
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 509
Motifs d’interconnexion
Connexion d’accès
(FR, LS, Commutées)
en fct volume
et type trafic
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 510
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Technologie de connexions WAN
Un WAN privé typique utilise une combinaison de technologies
(commuté, FR, LS), choisies en fonction du type et du volume
de trafic.
FR facilite le maillage pour la redondance, sans demander
l’ajout de connexions physiques supplémentaires.
Les technologies qui demandent l’établissement d’une
connexion (RTC, RNIS, X.25), ne sont pas adaptées aux WAN
qui nécessitent une faible latence. (PVC en FR est rapide)
Les liaisons de distribution peuvent être de type FR ou ATM et
le cœur du réseau peut être une LS ou ATM.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 511
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 512
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Tableau comparatif des technologies WAN
Technologie facturation Débit binaire type Autres infos
Ligne louée Distance, capacité Jusqu’à 45 Mbits/s Capacité fixe
(E3/T3) permanente
Service Distance, durée 33-56 kbits/s Accès commuté,
téléphonique connexion lente
RNIS Distance, durée 64 ou 128 kbits/s Accès commuté,
jusqu’à 2 Mbits/s, PRI connexion lente
X.25 Volume Jusqu’à 48 kbit/s Commuté, capacité fixe
ATM Capacité Jusqu’à 155 kbits/s Capacité variable
permanente
Frame Relay Capacité Jusqu’à 1,5 Mbits/s Capacité variable
permanente
DSL Abonnement Jusqu’à 3 Mbits/s Internet partagé actif en
mensuel permanence
Metro Ethernet Abonnement Jusqu’à 500 Mbits/s Couverture
mensuel géographique limitée
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 513
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 514
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Problèmes courants avec la mise en œuvre
d’un réseau étendu
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 515
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 516
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Étude de cas : dépannage d’un réseau
étendu du point de vue d’un FAI
Types de question :
1. Y a-t-il un changement avant que ce problème ne survienne ? Si oui, quoi ?
2. Avez-vous mis hors tension puis sous tension le routeur, le commutateur,
l’ordinateur et le serveur ? Seriez-vous d’accord pour le refaire pendant que je
suis au téléphone avec vous ?
3. Y-a-t-il eu une coupure de courant, une baisse de tension ou la foudre est-elle
tombée à proximité récemment ?
4. Vos ordinateurs sont-ils équipés de logiciels antivirus à jour ?
De plus :
• Demandez aux clients de vous envoyer par télécopie ou par courriel le schéma de leur
réseau.
• Aidez les clients à isoler les différentes parties d’Internet.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 517
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 518
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Diagramme logique du réseau
Il indique comment les données sont transférées sur le réseau.
Les périphériques sont représentés par des symboles.
Il peut comprendre les informations suivantes :
• les identificateurs de périphériques ;
• l’adresse IP et le sous-réseau ;
• les identificateurs d’interfaces ;
• le type de connexion ;
• le DLCI pour les circuits virtuels ;
• les réseaux privés virtuels de site à site ;
• les protocoles de routage ;
• les routes statiques ;
• les protocoles liaison de données ;
• les technologies de réseau étendu utilisées.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 519
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Causes des problèmes au niveau de la
couche physique
Problèmes d’alimentation Erreurs de configuration
de l’interface (liaison
Défauts matériels (cartes défectueuses:
série configurée
jabber, émission non contrôlée, trame courte,…)
asynchrone, freq horloge,
Défauts de câblage (légère déconnexion, source horloge, interface
mauvais câble, connecteur –sale pour FO, inactive)
courbure, …)
Dépassement des
Atténuation (câble long, oxydé, …) limites de conception
(débit moyen supérieur au
Bruit (4 types: impulsif –pointe de tension,
maximum autorisé par la
blanc ou aléatoire –plusieurs sources, config…)
paradiaphonie (du même câble), paradiaphonie
étrangère-autre câble, gros moteur…) Surcharge de l’UC (due
au volume du trafic)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 521
7 & 8 défectueux
Show…
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 522
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Symptômes des problèmes sur la couche
liaison de données
Le dépannage sur la couche 2 peut s’avérer difficile.
La configuration et le fonctionnement de ces protocoles sont
indispensables
Symptômes:
• Pas de fonctionnalité ni de connectivité au niveau de la
couche réseau ou à un niveau supérieur
• Les performances réseau sont inférieures à la ligne de base
(trames abandonnées, trames suivent un chemin non logique-
prob stp)
• Nombre excessif de diffusions (applis mal configurées ou
programmées, dom diffusion très grand, boucles,..)
• Messages sur la console (équipement envoie msg si trame
incompréhensibles, échec à un test d’activité, …)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 523
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 524
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Dépannage de la couche 2 – PPP
Difficile car les outils de dépannage de couche 3 (ping)
ne sont pas disponibles
Procédure
• Étape 1. Vérifiez que l’encapsulation utilisée aux deux
extrémités est correcte (show interfaces serial).
• Étape 2. Confirmez que les négociations LCP (Link Control
Protocol) ont abouti en recherchant dans le résultat le
message LCP Open (show interfaces serial)
• Étape 3. Vérifiez l’authentification aux deux extrémités de la
liaison (debug ppp authentication).
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 525
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 526
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Dépannage de la couche 2 - Boucles STP
Vérifier le fonctionnement du protocole STP (show
spanning-tree) -- pour activer: spanning-treeid-vlan.
Procédure:
• Étape 1. Déterminez l’existence d’une boucle STP avec les
symptômes (perte de connectivité, charge UC, charge BP,
différence % à la ligne de base, msg syslog de boucle ou ré-
apprentissage d’@ MAC, nbre échecs +)
• Étape 2. Identifiez la topologie (étendue) de la boucle.
• Étape 3. Cassez la boucle. Arrêtez ou déconnectez les ports
impliqués les uns après les autres.
• Étape 4. Déterminez et corrigez la cause de la boucle (vérifier si
un switch connait la racine stp, son port racine, BPDU reçus et
envoyés)
• Étape 5. Restaurez la redondance.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 527
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 528
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Dépannage de problèmes sur la couche 3
Il n’existe pas de modèle unique permettant de résoudre les
problèmes de couche 3
Il faut suivre un processus méthodique pour isoler et corriger la
panne
• Problèmes généraux de réseau : modification récente dans le réseau,
• Problèmes de connectivité : problème alimentation, surchauffe
• Problèmes de voisinage : problèmes avec les routeurs formant la relation
de voisinage.
• Base de données topologique : assurez-vous que la table est correcte et,
par exemple, que des entrées ne sont pas manquantes ou inattendues.
• Table de routage : Assurez-vous que la table de routage est correcte et,
par exemple, que des routes ne sont pas manquantes ou inattendues.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 529
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 530
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Problèmes courants de liste d’accès
Ces problèmes de configuration se produisent souvent dans l’un
des huit domaines
• Sélection du flux de trafic : mauvaise application de l’ACL
• Ordre des éléments du contrôle d’accès
• Instruction implicite « deny all » :
• Adresses et masques génériques (rq: trafic entrant : ACL NAT,
trafic sortant : NAT ACL)
• Sélection du protocole de couche transport (TCP ou UDP ou 2)
• Ports source et de destination
• Utilisation du mot clé established (si il est appliqué à tort sur une ACL
sortante)
• Protocoles rares (peut y avoir des problèmes pour des protocoles
moins habituels que TCP et UDP, de vpn ou chiffrement par exemple)
Dépannage: ajouter le mot clé log
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 531
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Symptômes des problèmes de couche
application
Protocoles couramment utilisés : Telnet, HTTP, FTP,
TFTP, SMTP, POP, SNMP, DNS et NFS.
Symptômes
• L'utilisateur se plaint des faibles performances des
applications
• Message d'erreur des applications
• Message d'erreur sur la console
• message du fichier journal système
• alarmes du système d'administration de réseaux
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 533
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 534
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Résolution des problèmes de couche
application
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 535
Summary
Network Baseline
How a network is expected to perform under normal conditions
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 536
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Summary
3 stages of the troubleshooting process
–Gather symptoms
–Isolate problem
–Correct problem
3 main methods for troubleshooting a network
–Bottom up
–Top down
–Divide & conquer
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 537
Summary
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 538
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Summary
Common WAN implementation issues include
–QoS
–Reliability
–Security
–Latency
–Confidentiality
–Public or Private
Using a layered approach to troubleshooting aids in
isolating and solving the problem
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 539
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 540
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Icons: Cisco Products
Router-
NetFlow 100BaseT
Color and Server
Router Hub
subdued with
PC Router
Router Workgroup
CDDI/
w/Silicon Director
Si
Software- FDDI
Switch
Based Router on Concentrator
File Server
Protocol
PC Adapter Card
Translator SwitchProbe
Gateway
Si Si
Terminal
Cisco
Server Workgroup Switch
Hub
Color/Subdued ATM
Router
Comm
Server Cisco 1000 Small Hub
ATM
(10BaseT Hub)
Tag Switch
Router
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 541
IP
LAN2LAN Switch
Standard MicroWeb
and Old Channel- Server
(Some Prefer) Attached
Router
Tag Router
ISDN Switch
Switch Switch
VIP
Processor
Cache
Multi- Broadband
Director
Switch Router
Device
PC with
NetFlow/
Software
ATM Router
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 542
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Icons: IBM
Cluster
IBM
Controller/3174
Mainframe
(Desktop Model,
Not Used Much)
IBM Mini
IBM
(AS400)
Mainframe
with FEP
FEP
(Front End
Processor)
Cluster
Controller/
3274 or 3174
(Most Common
Type)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 543
Icons: WAN
DSU/CSU
Network Distributed
(Add Text in
Cloud, Director
Powerpoint)
Dark
WAN
Network Local Centri
Cloud, Director Firewall
Gold
MUX
PIX Right
Network
and Left
Cloud,
White
PBX/
Switch NAT
Hub
Gray and
Network Blue
Cloud, PBX
Standard (Small)
Color
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 544
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Icons: LAN
Web Cluster
Printer ATM/FastGb
Workstation Etherswitch
(Sun)
PC
Mac
Monitor Repeater
LAN2LAN
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 545
Icons: Media
Token Rings,
Token with and without
Ring Text
and Subdued
Line: Serial (Use Thicker where There Is Space)
FDDI
Line: Ethernet
(Use Thicker where There Is Space)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 546
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Icons: Buildings
Government Headquarters,
Regular,
Subdued,
and Blue
House, Regular
University
and Blue
UNIVERSITY
Telecommuter
House (Color and
Subdued) Medium
Small
Building,
Business
Regular,
Subdued,
Home Office and Blue
Branch
Office,
Regular,
Subdued,
and Blue
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 547
Icons: People
End User,
Running Man Running Woman CiscoWorks
(Color and
Subdued)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 548
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr
Icons: Multimedia/Voice/Phone
Camera Microphone
Phone Phone
PC/Video
Ethernet
Phone 2
Phone
Polycom Camera
Speaker
PC/Video
Phone-Appliance Phone
Feature
Pager
Headphones
Fax/
Phone
Cell Fax
Phone
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 549
Icons: Miscellaneous
Firewall,
Diskette Satellite
Horizontal and
(3.5" Floppy) Dish
Vertical,
Subdued
Satellite
Breakout Box
Lock
MAU
Host
Key
PAD
Lock and Key
Database,
Relational
Modem
BBS
(Bulletin
Board
System)
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 550
Copyright © 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.
Presentation_ID.scr