Astuts Cisco

Le cours le plus dtaill sur le Pare-Feu
REDA GHANE
22:26
PARE-FEUX
1-Architecture de base :
Un domaine protger : un
rseau internet
- Un rseau dentreprise/personnel que lon veut
protger .
- Vis vis dun rseau externe dou des intrus sont
suceptibles de conduire des attaques.
Pare feu :
- Install en un point de passage obligatoire entre le
rseau protger (interne) et un rseau non scuritaire
(externe).
- Cest un ensemble de diffrents composants matriels
et logiciels qui contrlent le traffic intrieur/extrieur
selon une politique de scurit.
- Le pare-feu comporte assez souvent un seul logiciel,
mais on peut avoir aussi un ensemble complexe
comportant plusieurs filtres, plusieurs
passerelles, plusieurs sous rseaux .
2- Le possible et l'impossible (parefeux) :

Ce que peut faire un pare-feux :
- Etre un guichet de scurit: un point central de contrle

de scurit plutt que de multiples contrles dans
diffrents logiciels clients ou serveurs.
- Appliquer une politique de contrle daccs.
- Enregistrer le traffic: construire des journaux de
scurit.
- Appliquer une dfense en profondeur (multiples parefeux).
Ce que ne peut pas faire un pare-feux :

- Protger contre les utilisateurs internes (selon leurs
droits).
- Protger un rseau dun traffic qui ne passe pas par
le pare-feu (exemple de modems additionnels)
- Protger contre les virus.
- Protger contre des menaces imprvues (hors
politique).
- Etre gratuit et se configurer tout seul.
3-Filtrage des paquets et des

segments:
- Concerne le trafic chang aux niveaux IP (paquets)

et TCP/UDP (segments).
- Ensemble de rgles autorisant ou refusant un
transfert combinant la plupart des informations
disponibles dans les messages : adresses sources
destination, indicateurs
- En fait : dfinition dune politique de scurit
capacits.
- Solution implante de nombreux emplacements
dans les rseaux: ordinateurs clients ou serveurs,
routeurs filtrants (screening router), quipements
ddis.
- Avantages : solution peu coteuse et simple agissant
sur tous les types de communications.
- Inconvnients :
Des rgles de filtrage correctes et bien adaptes aux
besoins peuvent tre difficiles tablir.
On nagit quaux niveaux 3 et 4.
4- Architecture de parefeu avec routeur filtrant

(screening router )
5- Filtrage Applicatif ( proxy ) :

Proxy de scurit : analyse du trafic chang au
niveau application (niveau 7) pour appliquer une
politique de scurit spcifique de chaque application.
Un serveur proxy est ncessaire : pour chaque
protocole dapplication SMTP, FTP, HTTP, ... parce quil
faut interprter les messages de faon diffrente pour
chaque application.
Contrle des droits : implique que chaque usager
soit authentifi.
Avantage : on peut intervenir de manire fine sur
chaque zone des charges utiles transportes au niveau
applicatif.
Inconvnient : solution coteuse car il faut dfinir des
droits complexes.
6- Hote double rseau :

Terminologie : Hte double rseau ,En anglais Dual
homed host.
Dfinition : Un hte qui possde au moins deux
interfaces rseaux (qui interconnecte au moins deux
rseaux).
Proprit:
- Si un hte connecte deux sous rseaux.
- Et sil nest pas configur en routeur.
- Il est impossible un paquet de passer dun rseau

lautre sans tre trait au niveau applicatif.
- Cest un proxy incontournable.
7- Bastion :
Dfinition : Un hte expos au rseau externe (rendu
accessible de lextrieur par la dfinition de la politique
de scurit). Il constitue un point de contact entre rseau
externe et rseau interne.
Serveur pour un ensemble de services prdfinis :
- Service toile (HTTP), service de noms (DNS), service

de messagerie .
- Le bastion peut agir en rendant directement le service
concern.
- Le bastion peut agir en relayant les requtes vers
dautres serveurs aprs avoir effectu
un contrle daccs applicatif (proxy-serveur).
- Le bastion doit tre incontournable pour lensemble
des services prvus .
Le bastion peut servir dans la dtection dintrusion:
- Analyse des communications pour dtecter des
attaques : IDS(Intrusion Detection System).
- Fonction pot de miel (Honeypot) : un service semblant
attractif pour un attaquant et qui nest en ralit quun
pige pour dtecter lattaquant .
Architecture de pare-feu avec routeur

filtrant et bastion
8- DMZ : Zone dmilitarise (rseau

expos)
Dfinition : Une partie dun pare-feu qui est un sousrseau.Ce sous rseau plac en passerelle entre un
rseau protger et un rseau externe non protg .
Proprits vises : La zone dmilitarize est plus
ouverte sur le rseau externe que le rseau interne.
Elle dessert les systmes exposs lextrieur
:principalement les bastions .
Architecture de pare-feu avec DMZ
9- Filtrage des paquets et des

segements :
Structure dun datagramme IP avec un segement
TCP
Protocole de niveau liaison (PPP, niveau mac):

-Zone protocole utilisateur (dmultiplexage): IP, IPX
-Zones adresses: Adresses Ethernet IEEE802,
(permettent de dterminer la source et la destination sur
la liaison donc lentre ou la sortie).
Protocole IP:
- Adresses source et destination.
- Drapeaux (Flags): en particulier ceux qui concernent
la fragmentation.
- Le type de protocole destinataire: TCP, UDP, ICMP, ...
- Analyse des zones dextension par exemple en routage

par la source => Demande de destruction de ces
datagrammes car utilisation possible du routage par la
source en attaque.
Protocole TCP:
Numros de port source et destination: permet
destimer quel est le service concern dans la mesure
ou lon respecte lutilisation des
numros bien connus => Il est toujours possible pour un
attaquant dusurper un numro de port.
Drapeaux de contrle (flags).
ACK: positionn sauf dans le premier segment
(utilisation possible pour bloquer des connexions).
SYN: positionn dans les deux premiers segments
(permet didentifier
les connexions).
RST: fermeture non ngocie de connexion.
Protocole d'application :
- Analyse non ralise par les filtres de paquets mais par
les proxys serveurs.
- Lapplication filtre doit tre trs stabilise.
10- Les principaux services internet

controler :
Le courrier lectronique SMTP Simple Mail Transfer
Protocol .
Le transfert de fichiers FTP File Transfer Protocol et
laccs.
NFS Network File System.
Les accs distance protocoles telnet, rlogin, ssh.
La toile HTTP Hypertext Transfer Protocol.
Les informations sur les utilisateurs: finger.
Les services de conferences CUseeMe, Netmeeting,
Lannuaire des noms de domaine DNS Domain Name

Service.
Ladministration de rseau SNMP Simple Network
Management Protocol.
La synchronisation dhorloges NTP Network Time
Protocol.
Les systmes multi fentres X-Windows.
Les systmes dimpressions LPR/LPD Line Printing .
Les nouvelles (news) NNTP Network News Transfer

Protocol .
11- Les trois tapes du filtrage :

Etape 1:
Dfinir abstraitement la politique de scurit : ce qui
est autoris et ce qui est interdit
Choisir une politique densemble:
Solution 1) Tout ce qui nest pas explicitement autoris
est interdit.
Solution 2) Tout ce qui nest pas explicitement interdit est
autoris.
Enoncer des rgles :
Exemple de rgle 1) Autoriser un hte intrene
recevoirdu courrier lectronique de toute provenance
parceque cest un serveur de courrier smtp.
Exemple de rgle 2) Interdire un hte externe prcis
denvoyer du courrier SMTP un serveur de courrier
interne parcequil est en liste noire.
Etape 2:
Traduire la politique de scurit en des rgles
prcises concernant des communications IP
Rgles concernant des datagrammes IP : adresses

source/destination,
protocole utilisateur TCP port source/destination,
indicateurs TCP, autres.
Exemple 1) Rgle interdisant tout par dfaut
Exemple 2) Rgle autorisant la reception du courrier

par un serveur .
Exemple 3)Rgle interdisant lmission par un serveur

de courrier suspect
Etape 3:
Rentrer les rgles dans un pare-feu rel en utilisant
la
syntaxe et la smantique de linterface de loutil.
Smantique la plus frquente : exploitation des

rgles dans lordre.
La premire rgle satisfaite provoque lautorisation

de la transmission ou la destruction du
datagramme.
En fait un pare-feu interprte un programme qui est
une suite de: si(condition sur datagramme) alors
action (autoriser/interdire).
Exemple : Liste ordonne des rgles prcdentes.
Transformer les rgles dans la syntaxe du pare-feu

disponible . Exemple : Syntaxe de rgle avec le
pare-feu LINUX (iptables).
[root@ firewall]#iptables A FORWARD p smtp d

192.168.0.10 j ACCEPT
12- Affiner les rgles de filtrageUtilisation des indicateurs : ACK
Exemple dutilisation dindicateurs (flags) TCP.

Besoin frquent : autoriser la connexion dun client
interne sur un serveur interne (ou externe) mais
refuser la connexion dun client externe sur le mme

serveur interne.
Une solution : lutilisation de lindicateur ACK en
TCP.
Rappel : Fonctionnement de lACK.
- ACK prsent dans pratiquement tous les segments

sauf le premier (exception les segments RST quon peut
autoriser explicitement).
- Il suffit de bloquer un segment sans ACK pour interdire
la mise en place donc lexistence dune connexion
13- Filtrage avec indicateur ACK TCP :

Premire politique : un client autoris peut utiliser
un service de numro de port bien connu ou quil
soit.
La premire rgle autorise certains htes slectionns
(possiblement tout mon domaine) communiquer avec
un service distant (interne ou externe) de numro de
port bien connu (not ici service-tcp, par ex 80).
Seconde politique : un site externe ne peut
commencer unecommunication avec un serveur
interne sur le port bien connu mais il peut continuer
une communication qui a t initialise.
La seconde rgle autorise tous les htes de linternet
(internes ou externes) qui utilisent le numro de port
bien connu communiquer condition que le bit ACK
soit positionn => on autorise en fait les rponses par un
serveur une communication initialise en interne.
14- Les avnatages et les inconvnients

des filtres de paquets :
Avantages
Un filtre de paquets peut protger en un seul

dispositif tout un rseau dentreprise.
La mise en place du filtre peut tre ralise par
lquipe systme indpendamment des usagers qui
grent les postes clients ou serveurs.
Les filtres de paquets sont trs rpondus dans tous
les routeurs sous forme de logiciels filtres logiciels
libres ou propritaires.
Inconvenience
Le filtrage de paquets pose des problmes

de mise en oeuvre.
- Rgles difficiles dfinir.

- Rgles difficiles assembler en une suite cohrente.
- Fonctionnalits des filtres dont on dispose spcifiques
ou incompltes ou difficiles comprendre.
Certains protocoles applicatifs posent

des problmes pour le filtrage
Exemples : utilisation de ports allous dynamiquement.
Les filtres de paquets ne prennent pas

en compte les donnes des applications
Exemple: filtrer sur le nom dun usager dans un accs

distant ou dans un transfert de fichier.Ncessit de
mettre en oeuvre des proxys.
Fin de cours
Source : Networkingeek http://www.networkingeek.com/2014/02/CoursPareFeu.html#ixzz30211GvFJ
Frame Relay (relais de trames) en dtails !

REDA GHANE
29
21:33
Frame Relay
Frame Relay est un protocole de rseau tendu qui agit au niveau des
couches.physique et liaison de donnes du modle OSI.
Ce protocole est utilis par les fournisseurs daccs pour transmettre des
signaux-vocaux et numriques entre rseaux locaux par lintermdiaire dun
rseau tendu.
Frame Relay est un protocole de rseau tendu trs rpandu car il est de faible
cot par rapport aux lignes ddies et dune grande flexibilit.
A la fin des annes 70, des sites distants taient gnralement relis en
utilisant le protocole X. 25. Ce protocole permettait dobtenir une connexion
trs fiable sur des infrastructures cbles non fiables grce un contrle de
flux et derreurs.
Frame Relay, le remplaant de X.25, demande moins de temps de traitement
que X.25 car il ne fournit pas de corrections derreurs. La propagation des
donnes est donc trs rapide.Lorsque Frame Relay est utilis pour connecter
des rseaux locaux, le DTE sur chacun des rseaux est un routeur, le
commutateur Frame Relay est un DCE.
Circuits virtuels
Un circuit virtuel dsigne une connexion logique entre deux DTE par un rseau
Frame Relay. On distingue deux types de circuits virtuels :
le circuit virtuel commu (SCV)
le circuit virtuel permanent (PVC)
Un circuit virtuel peut passer par un nombre quelconque de commutateurs du
rseau Frame Relay.
Un circuit virtuel est identifi par un indicateur de connexion de liaison de

donnes appel DLCI. Il est gnralement attribu par le fournisseur de service
Frame Relay et a uniquement une signification locale.
Le DLCI est stock dans le champ dadresse de chaque trame indiquant ainsi
o la trame doit tre achemine. La valeur dun DLCI varie entre 16 et 1007.
Le rseau Frame Relay est statistiquement multiplex. Cela signifie quil ne
transmet quune trame la fois, mais que plusieurs connexions logiques
peuvent coexister sur la mme ligne physique. Ainsi, chaque point dextrmit
ne ncessite quune ligne daccs et une interface.
Encapsulation Frame Relay

Frame Relay reoit un paquet de la couche rseau. Il lui adjoint un champ
dadresse et une somme de contrle. Finalement, des champs dindicateur de
dbut et de fin de trame sont ajouts. La trame est alors passe la couche
physique.
Le champ dadresse contient le DLCI (les FECN, BECN et DE). La somme de
contrle est calcule puis insre dans la trame par la source. Le destinataire
recalcule le FCS. Si les rsultats sont identiques, il traite la trame, sinon il
labandonne.
TopologiesFrame Relay
On distingue trois types de topologie :
en toile
maillage global
maillage partiel
Mappage des adresses Frame Relay

Afin denvoyer des donnes laide du protocole Frame-Relay, le routeur doit
connaitre la relation entre le DLCI local et ladresse de couche 3 de la
destination.
Il existe deux types de mappage :
mappage dynamique
mappage statique
Le mappage dynamique utilise linverse ARP pour rsoudre ladresse IP du
saut suivant en une valeur DLCI locale. Il stocke ces informations dans sa table
de mappage.
Pour voir le contenu de cette table : show frame-relay map.
Sur les routeurs Cisco lARP inverse est activ par dfaut.
Le mappage statique est utilis lorsquun routeur ne prend pas en charge

linverse ARP ou quun rseau Frame-Relay est constitu dune topologie en
toile.
Interface de supervision locale (LMI)

La LMI (Local Management Interface) est un mcanisme de test dactivit qui
fournit des informations sur les connexions Frame Relay entre le routeur DTE
et le switch Frame Relay (DCE). Si le reseau ne fournit pas les informations
demandes, le routeur peut considrer la connexion comme coupe.
Le switch et le routeur doivent utiliser le mme LMI. Il existe diffrents types
dinterfaces LMI, incompatibles entre elles :
cisco
ansi
q933a
Depuis lIOS Cisco 11.2, le routeur dtecte automatiquement la LMI utilise par
le switch et configure son interface en fonction.
On configure le LMI avec la commande : frame-relay lmi-type [cisco | ansi |
q933]
Utilisation de la LMI et de lARP inverse pour le

mappage des adresses
Le routeur (DTE) se connecte au rseau Frame-Relay et envoie une LMI. Le
rseau rpond par un message dtat LMI donnant des-informations sur les
circuits virtuels configurs sur la liaison.
Le routeur doit alors mapper ces circuits virtuels des adresses de couche 3.
Pour ce faire, il envoie un message ARP inverse sur chaque circuit virtuel. Il
peut alors effectuer le mappage. Il profite aussi lors de lenvoi de son message
pour envoyer son adresse rseau afin que le routeur distant puisse aussi
effectuer son propre mappage.
Configuration de base de Frame Relay (mappage

dynamique)
Pour configurer une interface srie avec le protocole Frame Relay :
R1(config)#interface serial 0/0
R1(config-if)#ip address ad IP masque reseau
On configure lencapsulation :
R1(config-if)#encapsulation frame-relay [ietf | cisco]
Rappelons que le type dencapsulation Frame-Relay par dfaut est cisco. Le
type dencapsulation ietf sutilise lorsque le routeur distant nest pas cisco.Les
routeurs dextrmit doivent utiliser la mme encapsulation frame-relay.
Finalement la configuration du lmi est automatique, donc facultative.
Pour vrifier la configuration : R1(config)# show interfaces serial 0/0
Configuration dun mappage statique Frame Relay

Dans ce cas on tablit manuellement le mappage entre ladresse rseau du
routeur distant et le numro DLCI local.
On commence par dsactiver linverse-map :
R1(config-if)# no frame-relay inverse-arp
R1(config-if)# frame-relay map ad IP numero DLCI [broadcast|cisco|ietf ]
Remarques :
1. Il faut utiliser ietf si le routeur auquel on se connecte nest pas de type cisco.
2. Le rseau Frame Relay est un rseau NBMA (non-broadcast multiaccess).
Cela signifie quil ne prend pas en charge par dfaut la diffusion et la
multidiffusion. Lors de lutilisation de protocoles de routage, le mot-cl
broadcast permet cette diffusion ou multidiffusion sur le circuit virtuel
permanent.
Dcoupage d'horizon
Un rseau Frame-Relay est de type NBMA et possde gnralement une
topologie en toile. Un protocole de routage vecteur de distance utilise la
technique du dcoupage dhorizon pour viter les boucles de routage.
Rappel : le dcoupage dhorizon empche quune mise jour de routage reue
sur une interface physique ne soit retransmise par la mme interface. Dans le
cas dun rseau toile cela signifie que les mises jour ne peuvent pas tre
achemines sur tout le rseau.
Plusieurs solutions se prsentent :
dsactivation du dcoupage dhorizon
global
utilisation de sous-interfaces
topologie à maillage
Sous-interfaces Frame Relay

Frame Relay peut partitionner une interface physique en plusieurs interfaces
virtuelles ou sous-interfaces, chacune est associe un circuit virtuel
permanent. Une sous interface peut tre configure en mode point point ou
multipoint.
Point point : Une sous-interface point point tablit une connexion par
circuit virtuel permanent une interface physique ou une sous-interface dun
routeur distant.
Chaque paire de routeurs point point rside sur son propre rseau et chaque
sous-interface point point ne dispose que dun DLCI. Dans ce cas, le
dcoupage dhorizon nintervient pas.
Multipoint : une seule sous-interface tablit plusieurs connexions de circuit
virtuel permanent plusieurs interfaces physiques ou sous-interfaces sur des
routeurs distants. Tous les circuits virtuels multipoint appartiennent au mme
sous rseau. Dans ce cas, le decoupage dhorizon intervient.
La commande encapsulation frame-relay sapplique linterface physique, les
autres lments de configuration sappliquent (ad IP, DLCI) aux sousinterfaces.
Configuration de sous-interfaces Frame Relay point

point
Prenons lexemple cidessous et configurons linterface srie S0 du routeur
R1.
Sur linterface physique, on indique le type dencapsulation :
R1(config-if)# encapsulation frame-relay
On configure alors les sous-interfaces logiques en indiquant le numro de
DLCI pour des raisons dorganisation. Premire sous interface logique :
R1(config-if)# int S0.102 point-to-point
On indique alors son adresse IP ainsi que son DLCI :
R1(config-if)# ip address 10.1.1.2 255.255.255.252
R1(config-if)# frame-relay interface-dlci 102

Seconde sous interface logique :
R1(config-if)# int S0.103 point-to-point
On indique alors son adresse IP ainsi que son DLCI :
R1(config-if)# ip address 10.1.1.5 255.255.255.252
R1(config-if)# frame-relay interface-dlci 103
Finalement, on effectue lactivation des sous-interfaces depuis linterface
physique
avec la commande no shutdown.
Configuration du Switch Frame-Relay

On commence par activer la commande Frame-Relay sur le routeur lui
permettant de transfrer des trames sur la base des DLCI
entrant : SFR(config)#frame-relay switching
Sur linterface choisie on modifie le type dencapsulation :
SFR(config)#interface S0/0
SFR(config-if)#encapsulation frame-relay
On indique alors que linterface est de type DCE :
SFR(config-if)#frame-relay intf-type dce
SFR(config-if)#clock-rate vitesse
On configure alors le Switch Frame-Relay pour quil transfre le trafic entrant
ici sur linterface S0/0 ayant le DLCI x vers par exemple linterface S0/1 ayant le
DLCI y. On cre ainsi le premier PVC :
SFR(config-if)#frame-relay route x interface serial 0/1 y
SFR(config-if)#no shutdown
On cre alors le second PVC pour le retour :
SFR(config)#interface S0/1
SFR(config-if)#encapsulation frame-relay
SFR(config-if)#frame-relay intf-type dce
SFR(config-if)#clock-rate vitesse
SFR(config-if)#frame-relay routey interface serial 0/0 x
SFR(config-if)#no shutdown
On vrifie la configuration avec la commande : show frame-relay pvc.
Paiement de Frame Relay
Un client achte un service Frame Relay un fournisseur de services. Pour

comprendre le paiement dun tel service, il est ncessaire de connaitre les
notions
suivantes :
dbit daccs ou vitesse du port
dbit de donnes garanti (CIR)
Dbit daccs ou vitesse du port : dbit auquel le circuit accde au rseau
Frame Relay. La vitesse du port est cadence par le switch Frame Relay.
CIR : correspond à la quantite de donns que le rseau Frame Relay reoit du
circuit daccs. Ce dbit est garanti par le fournisseur de services.
Frame Relay met la disposition des clients tout capacit inutilise du rseau
appele rafales suprieures leur CIR, en gnral gratuitement.
Un client paie donc pour une connexion Frame Relay :
daccs
frais dquipement dabonn

circuit virtuel permanent
dbit
CIR
Les fournisseurs font parfois de la surrservation en vendant plus de bande

passante que disponible, en supposant que tous les clients nutilisent pas en
permanence toute la bande passante quils ont loues. Il peut en rsulter des
problmes de trafic.
Rafales
Les circuits physique du rseau Frame Relay sont partags entre les abonns.
Il arrive quun surplus de bande passante soit disponible. Un client peut
envoyer alors gratuitement en rafales des donnes excdant son CIR. la dure
des rafales doit etre de quelques secondes.
Les termes suivants permettent de decrire les debits de rafale :
dbit garanti en rafale ou CBIR
excès ou BE
dbit garanti en
Le CIBR est un dbit ngoci par le client en plus du CIR. La dure dune rafale
doit tre courte, sinon le client doit acheter plus de CIR.
Le BE correspond la bande passante disponible au dessus du CBIR jusquau
dbit daccs de la liaison. Ce surplus de dbit nest pas ngoci. Les trames
transmises ` ce debit sont très sujettes à labandon.
Contrle de flux Frame Relay

Frame Relay utilise des mcanismes dencombrement simples comme :
notification explicite dencombrement au destinataire ou FECN.

notification explicite dencombrement à la source ou BECN.
Les notifications explicites dencombrement sont indiques par un bit dans
lentte de la trame. le routeur dtecte lencombrement et arrete la
transmission jusqu ce que la situation normale soit rtablie.
Les trames qui arrivent au switch Frame Relay sont mises en file dattente.
Lors dune accumulation excessive de trames, le switch signale le problme
aux routeurs laide des bits de notification explicite dencombrement :
les quipements en aval sont informs de la file dattente en
configurant le bit FECN.
les quipements en amont sont informs de la file dattente en
configurant le bit BECN.
Lentte de trame contient galement un bit d'ligibilit la suppression (DE).
Les trames dont le bit est 1 sont considres comme moins importantes et
peuvent tre abandonnes pendant une priode dencombrement.
Les rgles logiques sont appliques :
si la trame entrante ne dpasse pas le CIBR, la trame passe.
si la trame entrante dpasse le CIBR, son bit DE est fix 1.
si la trame entrante dpasse le CIBR augmente du BE, elle est
abandonne.
La configuration de PAP et CHAP sur un

routeur cisco
REDA GHANE
7
18:36
Commandes de configuration PPP

Pour configurer une interface srie avec le protocole PPP :
R1#configure terminal
R1(config-if)#encapsulation ppp
Pour configurer la compression sur PPP :
R1(config-if)#compress [predictor | stac]
Pour specifier le seuil de qualite de la liaison :
R1(config-if)#ppp quality pourcentage
Si le pourcentage de la qualit de la liaison nest pas maintenu, alors la liaison
est dsactive.
Pour quilibrer le charge sur plusieurs liaisons :
R1(config-if)#ppp multilink
Protocole d'authentification PAP

PAP est un protocole bidirectionnel ayant lieu en deux tapes et qui nutilise
pas le chiffrement : les noms dutilisateur et mot de passe sont envoys en
clair. Sils ont accepts, la connexion est autorise. Lauthentification a lieu
une seule fois.
Le nom dhte dun routeur doit correspondre au nom dutilisateur configur
sur lautre routeur.
Configuration de PAP
Configuration sur le routeur R1 :
Router#configure terminal
Router(config)#hostname R1
R1(config)#username R2 password cisco2
R1(config-if)#ppp authentication pap
R1(config-if)#ppp pap sent-username R1 password cisco1
R2(config)#username R1 password cisco1
R2(config-if)#ppp authentication pap
R2(config-if)#ppp pap sent-username R2 password cisco2
Protocole dauthentification CHAP

Le protocole PAP procde une seule authentification lors de ltablissement
de la connexion,le protocole CHAP effectue des vrifications rgulires
pendant lexistence de la liaison.
Le routeur R1 souhaite tablir une connexion CHAP avec le routeur R2. Une
fois ltablissement de la liaison termine, un change en trois tapes a lieu :
Demande CHAP : R1 demande une confirmation R2.
Rponse CHAP : R2 rpond en envoyant son nom dutilisateur et son mot de
passe R1.
Plus prcisment : R2 rpond par une valeur hache en MD5, bas sur le mot
de passe et le message de demande de confirmation.
Finalisation CHAP : R1 compare ceux-ci avec ceux de sa base de donnes.
Sils sont identiques, il accepte la connexion, sinon il la refuse. Plus
prcisment : R1 compare la rponse hache avec son proche calcul de la
valeur hache attendue.
Configuration de CHAP

R1(config)#username R2 password cisco
R1(config-if)#ppp authentication chap
R2(config)#username R1 password cisco
R2(config-if)#ppp authentication chap
Source :
Networkingeek http://www.networkingeek.com/2014/03/ConfigurationCHAP-PAP.html#ixzz3022JfjUJ
6 Outils pour un administrateur rseau sur

Windows Server
REDA GHANE
18:08
11
Il existe plusieurs outils gratuits pour contrler, administrer et scuriser un

rseau d'entreprise sous windows server . Aujourd'hui on vous propose 6
outils trs importants pour les administrateurs des rseaux...
1- Desktop Central :
Desktop central fournir un grand nombre d'outils d'administration de windows

et windows server et mme l'ordinateur personnel , la gestion des taches
distance , l'accs aux rseaux de type (LAN) , ouvrir fermeture des session
distance , calculer l'espace vide sur le disque dur distance .
Tlcharger l'outil : Cliquer Ici
2- Remote Desktop Manager :
Cet outil vous permet de rassembler un grand nombre de types de connectivit

et de services fournis distance du manire centralis avec ses mots de
passes.
Cet outil peut augmenter la vitesse de rponse et la scurit du rseau , et
utilise le protocole de communication distance RDP -RemoteFX et Microsoft (
Azure ) et Microsoft ( Hyper- V ) et bien d'autres .. et prend en charge les
mthodes de communication travers le ( FTP , FTPS , SFTP ) dans les
navigateurs Internet Explorer, Mozilla Firefox ...
Pour Tlcharger l'outil : Cliquer Ici
3- Core configurator
Certains versions de windwos server dispose seulement de la ligne commande

( Command Line Interface CLI ) ces serveur sont nomms "Core edition of
windows server" et sont apparus pour la premire fois avec Windows Server
2008 , et ils existent maintenant sur toutes les versions de windows server.
Cet outil nous offre un interface graphique (Graphical User Interface GUI) pour
contrler et grer la configuration de windows server sans utiliser la ligne de
commande .
Tlcharger l'outil : http://coreconfig.codeplex.com/
4- Active Directory Best Practice Analyzer
Cet outil est disponible avec le programme package d'installation pour

Windows Server partir de la version WS2008 . Il analyse les paramtres
d'active directory et le reste des autres paramtres sert examiner si
ces paramtres correspondent aux meilleures pratiques recommandes
par Microsoft.
Cet outil est utilis pour aider dfinir les solutions de scurit et la
performance de l'Active Directory. et pour savoir plus d'informations sur cet
outils cliquez sur le lien suivant : http://msexchangeteam.in/active-directorybest-practices-analyzer-in-windows-server-2008-r2
5- Active Directory Explorer :
Un programme pour la visualisation et l'dition Active Directory permet aussi

de visualiser la base de donnes AD , faire des "SnapShot " de l'tat
du serveur un moment donn et cr des sites favoris et enregistrer des
recherches avances.
Il nous permet aussi de modifier les autorisations ... et pour plus d'information
sur cet outils visitez le lien : https://ra5downloads.phpnuke.org/en/c159927/active-directory-explorer-free-download-
full-review
6- Viewfinity local admin discovery
Cette fonctionnalit permettra le travail d'une enqute exhaustive de tous les

utilisateurs du rseau pour savoir lequel d'entre ces utilisateurs a les droits
d'admin pour annuler tous les pouvoirs ou privilges donns un utilisateurs
et qui le mrite pas afin d'viter les failles de scurit ou les virus .
Peut galement customiser la recherche par l'unit d'organisation (UO)ou un
utilisateur spcifique . Cet outil permet aussi de diviser les rsultats en
catgories et classes et d'enlever facilement les comptes utilisateurs
indsirables de groupe administratif . Pour en savoir plus sur cet outil visitez le
lien : http://viewfinity-local-admin-discovery.software.informer.com/2.0/
Les 9 conseils avant et

pendant lexamen CCNA
Une demande revient rgulirement par email (cyril@reussirsonccna.fr) sur les

conseils savoir pendant les rvisions et lors du jour J afin de limiter la casse et optimiser
au mieux le rendement de ses capacits intellectuelles.
Alors je vous arrte tout de suite
je ne vais pas vous recommander tel ou
tel mdicament plus ou moins douteux que lon trouve sur Internet et curieusement
non autoris en France et dautres pays.
Voici une petite liste non exhaustive de conseils sur votre prparation lexamen.
Avant le jour J
Avant le jour de lexamen on se dit toujours quon pensera au jour J plus tard. Ce qui en
soit est une bonne ide pour ne pas rajouter du stress pendant les rvisions surtout si
vous tes dans un chapitre assez compliqu, comme le rsum de route
Cependant, voici quelques conseils sur la prparation avant le jour J de lexamen qui sont
importants mes yeux:
pas la peine de rviser 12h

par jour, cela ne sert rien sur le long terme. Ce mode de rvision intense sert
uniquement pour la dernire ligne droite. Par exemple la dernire semaine, l vous
pouvez stimuler votre cerveau pour rafrachir des chapitres vu il y a bien longtemps.
Donc rvisez de manire modr, sans acharnement mais dans la continuit et
la dure (pas la peine de me demander si 10 minutes par jour cest suffisant il vous
faudra 10 ans pour tout assimiler et dans 10 ans le CCNA aura dj chang plusieurs
fois de version
).
dormez et dormez bien. Conseil banal mais oh! combien important. Je veux dire
ne faites pas du Yo-Yo avec votre sommeil, cest dire un jour vous vous couchez
21h et un autre jour 3h du matin, surtout lors de la dernire semaine. Un sommeil
long et constant est surement une des cls du succs Si vous ne me croyez
pas, faites le test suivant: aprs une nuit courte, chronomtrez vous sur 10
questions en calcul binaire. Faites le mme test aprs une nuit normale vous verrez
la diffrence sur le temps que votre cerveau a mis et sur le taux de bonnes rponses.
rafrachissez votre mmoire pendant
vos rvisions, pas la fin. Il
est impratif que rgulirement vous
consacriez
du
temps
revoir
vos fiches synthses. Je vous conseille de lire cet article qui en parle plus en
profondeur: Cliquez-ici
sortez ! oui sortez, voyez vos amis, aller au bar, au cin, faites du sport faites
une activit rgulire qui
permet votre
cerveaude dcompresser! Le sport
est une trs bonne activit pour dcrocher mentalement et physiquement.
Voyons maintenant un peu les conseils pour le jour J
Le jour J
Voici quelques conseils pour que vous soyez dans les meilleures conditions le jour de
lexamen:
1.
il
faut
arriver
bien en
avance au centre de certification. Arriver pile lheure ou en retard est une source de
stress des plus horribles et vous mettrez facilement 20 minutes faire redescendre la
pression. Profitez-en aussi pour aller aux toilettes
2.
prenez 2 pices didentits avec vous (carte didentit, passeport, permis de

conduire). Certains centres demandent 2 pices didentit et ils ne plaisantent pas.
3.
asseyez-vous devant lcran de lordinateur et mettez vous dans la tte quevotre
objectif nest pas davoir le CCNA mais de lavoir avec le plus de points
possibles ! chouer nest pas une option pour vous.
4.
la premire fois quon passe un examen Cisco, on ne fait pas attention mais
les 10 premires minutes sont ddies un tutorielpour expliquer le droulement
de lexamen. Prenez votre temps pour bien comprendre, ce temps nest
pas dcompt de lexamen. Les indications sont trs importantes surtout pour les TP
car les crans dnonc, daccs la console CLI et de rponse ne sont pas forcement
au mme endroit !
5.
dernire chose: une fois la question valide vous ne pouvez plus revenir
en arrire, contrairement certaines tests blanc ou dautres constructeurs. Donc
avant de cliquer sur SUIVANT, relisez rapidement une dernire fois votre rponse.
Et vous, quels seraient vos conseils pour les lecteurs de ce blog qui souhaitent passer le
CCNA?
--- EXAMEN GRATUIT ---
Cblage sriel, modules et interfaces !

REDA GHANE
17:05
Cblage sriel, modules et interfaces

Il n'est pas inutile de connatre les gammes des routeurs
Cisco et le 'hardware' que l'on manipule en laboratoire.
1. Cbles DTE ou DCE ?
Le ct DCE sriel est celui qui est situ du ct
du fournisseur de service. En gnral, c'est le modem
lui-mme ou l'unit CSU/DSU. Il est toujours du genre
femelle. Le modem donne la frquence de
synchronisation de la ligne. Dans nos configurations de
laboratoire, on appelle cela le "clock rate" exprim en
bits par seconde. Le ct DTE est le ct client, qui se
connecte d'une interface serielle du routeur vers le
modem. Il est toujo
urs du genre mle. Voici une reprsentation des

diffrents standards utiliss :
Chaque standard physique a ses limites en terme de

distance et de vitesse.
2. Les interfaces du routeur :

Les routeurs professionels partir de la gamme 1700
(et, anciennement 1600) disposent d'emplacements
pour des WIC (Wan Interface Card) qui dotent les
machines d'interfaces de communication. Les cbles
DCE/DTE se connectent ces interfaces. En voici
quelques illustrations :
3. Les modules :
La gamme des routeurs 2600/3600 sont des routeurs
modulaires. En plus du chassis, ils disposent
d'emplacements larges appels des "slots" dans
lesquels on peut insrer des "modules", qui disposent
d'interfaces intgres et, le cas chant, d'emplacement
pour des WIC. Avec ce type de machine, les interfaces
s'numrent de la faon suivante :
nom_interface numro_slot/numro_interface
Serial 1/2
La numration commence toujours de droite gauche et
de bas en haut. A noter que le slot intgr au chassis est
toujours le premier. Il est donc le numro zro. En voici
quelques illustrations :
Routeur Cisco 3660

Par contre la gamme des routeurs 1700 ("rackables" ou
non) ne respecte pas la rgle d'numration des
2600/3600. D'ailleurs, n'tant pas modulaires, ces
routeurs dnomment simplement par le nom et le
numro de l'interface
Routeur Cisco 1720

Source : Networkingeek http://www.networkingeek.com/2014/02/cablageserial-modules-interfaces.html#ixzz3023foNLW
Qu'est-ce qu'un [HOTSPOT] ?

REDA GHANE
02:38
Qu'est-ce qu'un hotspot?
Un hotspot est un point d'accs internet wifi (ou autre)

destin un usage public. Il contient un portail captif qui
authentifie les utilisateurs du hotspot et autorise l'accs
internet si les rgles du hotspot sont respectes.
Comment a marche?
L'utilisateur se connecte par wifi sur le hotspot avec un
ordinateur, pda, ou tout autre matriel wifi muni
d'un navigateur internet. Lorsque l'utilisateur n'est pas

encore authentifi, toute requte vers un site web sera
automatiquement redirig vers le site du hotspot (appel
portail). Cette redirection est faite par un logiciel de
portail captif, situ sur le point d'accs wifi (ou cot).
WorldSpot.net fournit le portail du hotspot qui permet
aux utilisateurs de s'authentifier, et vrifie que les rgles
d'accs sont respectes. Par exemple, le propritaire du
hotspot peut exiger que tous les utilisateurs du hotspot
fournissent un email valide afin de les identifier. Ceux ci
doivent alors s'inscrire et fournir une adresse email qui
est vrifie afin que WorldSpot.net puisse donner au
point d'accs l'autorisation de connexion internet, avec
la possibilit de spcifier quelques restrictions comme
par exemple le temps de connexion, volume ou dbit
maximum. WorldSpot.net fournit aussi l'historique
d'accs de votre hotspot avec les volumes de transfert
de chaque utilisateur.
Comment configurer votre hotspot ?
Mettre en place un hotspot est trs simple et totalement
gratuit si vous possedez un materiel compatible.
WorldSpot.net est compatible avec un logiciel de portail
captif open-source nomm coovachilli, qui
fonctionne sous n'importe quel routeur compatible linux
ou PC.
Nous pouvons, si vous le souhaitez, vous fournir un
routeur prconfigur avec le firmware WorldSpot.net.
Merci de nous contacter pour les tarifs.
Toutefois, Il vous est aussi possible d'acheter le routeur

par vous mme et mettre jour vous mme le firmware.
Plusieurs firmwares sont possibles, mais la solution
recommande est d'utiliser le firmware WorldSpot.net
qui est la solution la plus simple installer, entirement
pilotable distance, et qui se met jour
automatiquement.
Une autre possibilit est d'installer le firmware CoovaAP
dans votre routeur compatible. C'est un firmware gratuit
pour routeur trs simple utiliser, incluant un lot de
fonctionnalits poustouflantes dont notamment
chillispot (portail captif). Avec CoovaAP la procdure
d'installation simplifie s'effectue sans diter aucun
fichier, ni taper une seule ligne de commande, l'interface
web/http suffit!
L'autre alternative (non recommande) est DD-WRT,
firmware gratuit aussi. DD-WRT utilise une version
plus ancienne de chillispot mais il possde une
compatibilit materielle plus large. Veuillez suivre la
procdure d'installation d'un hotspot avec DD-WRT.
Si vous avez les comptences, vous pouvez aussi
choisir d'utiliser un autre firmware linux gratuit (comme
openwrt), ou un PC sous linux.
Une fois que vous avez install chillispot, inscrivez vous
simplement sur WorldSpot.net, cliquez sur le lien fourni
dans l'e-mail de validation, et vous pourrez alors crer
votre hotspot en lui donnant simplement un nom.
Une fois cr, cliquez sur 'Afficher les infos de config' et

vous obtiendrez tous les paramtres de configuration de
chillispot que vous pourrez configurer dans l'interface
web de configuration de DD-WRT.
N'oubliez pas de configurer votre hotspot et de crer une
classe d'accs.
Redmarrez votre routeur, et vous devriez alors pouvoir
vous connecter votre hotspot et le tester!
Source : Networkingeek http://www.networkingeek.com/2013/11/qu-quhotspot.html#ixzz3023wCind
comment configurer un switch cisco en

utilisant l'interface web ?
REDA GHANE
21:20
comment configurer un switch cisco en

utilisant une interface web ?
pour configurer n'importe quel quipement

cisco via une interface web il y a le
logiciel Cisco SDM (Security
Device Manager)
Etape 1: Activer le HTTP sur ton switch en
entrant les commandes suivantes en mode de
configuration globale:
Router# configure terminal
Router(config)# ip http server
Router(config)# ip http secure-server
Router(config)# ip http authentication
local
Etape 2: Crer un compte utilisateur et
dfinit le niveau de privilge en 15, et
remplacer "username" et "password" par les
chanes que tu souhaite utiliser:
Router(config)# username "username"
privilege 15 secret 0 "password"

Tu utilisera ce nom d'utilisateur et mot
de passe pour te connecter SDM.
Etape 3: Configurez SSH et Telnet pour la
connexion locale avec un niveau de
privilge de 15:
Router(config)# line
Router(config-line)#
telnet ssh
Etape 4: Tlcharger
SDM . Cliquez-Ici
vty 0 4
privilege level 15
login local
transport input
exit
le logiciel
Finalement : il faut que te tape dans ton

navigateur WEB l'adresse IP d'une
interface de ton switch
Source :
Networkingeek http://www.networkingeek.com/2014/02/ConfigSwitchInterfaceWeb.html#ixzz3024ZHHPG
Mis jours IOS d'un routeur CISCO

REDA GHANE
00:43
Aujourdhui , je vous montre comment faire la mis jours IOS d'un routeur
CISCO pour les dbutants et mmes les professionnels mais avant de
commencer on doit mettre en considration plusieurs choses :
Savoir le modle et le numro de matriel :
Pour effectuer cette opration on tape la commande : show version
Savoir l'espace disponible sur la mmoire Flash :

On doit mettre en considration la taille de flash et de systme IOS qu'on veut
l'installer . Tapez la commande : show flash
Aprs avoir effectuer les 2 premiers oprations , on est besoin d'un serveur
FTP ou TFTP vous pouvez le tlcharger depuis ce lien : Serveur FTP-TFTP
Aprs avoir tlcharger le logiciel TFTP, on va ajouter le chemin o on va

enregistrer les fichiers ( Current Directory ) , et on ajoute aussi l'adresse IP du
port connect avec le routeur ( Server Interface ) .
Maintenant , Vous allez sur le router et taper les commandes suivantes :
- Copy tftp: flash : Pour copier les fichiers depuis le serveur TFTP vers le
flash.
- 192.168.1.2
: L'adresse IP de serveur TFTP .
- c1841-advipservicesk9-mz.124-15.T1.bin : Le nom de nouveau systme
IOS.
Le chargement d'IOS commence aprs avoir taper les commandes
prcdentes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Maintenant, on va afficher le contenue de flash par la commande : show flash
Vous avez constater qu'il y a 2 systme ISO , le systme avec l'indice (4) c'est
le premier systme et le 2me avec l'indice (5) c'est le nouveau systme qu'on
a charg prcdemment .
Supprimer l'ancien systme (4) c1841-ipbasek9-mz.124-12.bin avec la
commande :
Finalement, on tape la commande reload pour redmarrer et recharger le router

.
Bravo ! Maintenant vous tes capable de faire la mis jours IOS vos routeurs
CISCO .
Source : Networkingeek http://www.networkingeek.com/2014/03/UpgrageCisco-IOS.html#ixzz30253pbft
Les mthodes de transmission par un

commutateur
REDA GHANE
3
18:37
Dans ce cours , on vous prsente les 3 mthodes de

transmission d'un commutateur , chaque mthode a sa
propre caractristiques , son avantages et son
inconvnients ...
1- Commutation par stockage et

retransmission (store & forward) :
Un commutateur Store and Forward reoit la trame
entire, calcule le contrle par redondance cyclique
(CRC) et vrifie la longueur de la trame . Si le CRC et la
longueur de la trame sont admis , le commutateur
recherche l'adresse de destination qui dtermine
l'interface de sortie. La trame est ensuite achemine par
le port appropri.
2- Commutation Fast-Forward :
Ce mode de commutation offre le niveau de latence le
plus faible. La commutation Fast-Forward transmet un
paquet immdiatement aprs la lecture de ladresse de
destination. Du fait que le mode de commutation FastForward entame la transmission avant la rception du
paquet tout entier, il peut arriver que des paquets
relays comportent des erreurs.
3- Commutation Fragment-Free :
En mode de commutation Fragment-Free, le
commutateur stocke les 64 premiers octets de la
trame avant la transmission.
La commutation Fragment-Free peut tre considre
comme un compromis entre la commutation Store
and Forward et la commutation cut-through. La raison
pour laquelle la commutation Fragment-Free stocke
uniquement les 64 premiers octets de la trame est que la
plupart des erreurs et des collisions sur le
rseau surviennent pendant ces 64 premiers octets.
La commutation Fragment-Free procde un petit
contrle derreur sur les 64 premiers octets de la trame
afin de sassurer quaucune collision ne sest produite
lors de la transmission de la trame .
MERCI POUR VOTRE ATTENTION !
Source :
Networkingeek http://www.networkingeek.com/2014/02/methodes-detransmission-switch.html#ixzz3025i7Fke
Connecter 2 routeur avec la technologie

CISCO EzVPN
REDA GHANE
00:33
La technologie Cisco EzVPN ?
Simplifier les dploiements de VPN pour les bureaux distants et les

tltravailleurs . Bas sur le Framework client Cisco Unified, la solution Cisco
Easy VPN centralise la gestion de VPN de tous vos priphriques Cisco VPN ,
rduisant ainsi la complexit de la gestion des dploiements VPN . La solution
Cisco Easy VPN permet d'intgrer des priphriques distants VPN dans un
dploiement unique et d'une politique cohrente et la mthode de gestion des
cls , ce qui simplifie l'administration du site distant .
Avant de commencer la configuration, on doit choisir lesquelles de ces 2
mthodes doit tres utilis . La premire c'est la mthode classique ,
l'utilisation des ordinateurs autoriss d'utiliser la service VPN et nous les
connectons avec l'autre cot qui jouera le rle de serveur (comme le routeur ,
le pare-feu) .
La deuxime mthode, c'est la mthode qu'on va voir dans notre cours
aujourd'hui . On va utiliser 2 routeur principales , le premier jouera le rle de
serveur et le deuxime jouera le rle de client pour former un rseau
client/server .
Pourquoi choisir la deuxime mthode ?
Pour s'assurer que le groupe autoris utiliser le service
de VPN l'utilise seulement pour le travail, et non de faire d'autres activits ...
et les soumettre sous la politiques de la scurit de routeur .
On commence la configuration ! Sur le routeur "Serveur " on va ajouter AAA

Model pour documenter le groupe qui utilisera le service
de VPN et dterminer aussi leurs autorisations .
Utiliser le cryptage
Activer l' IP SEC
Ajouter crypto map sur l'antivirus connect internet
Aprs avoir configurer le routeur serveur , on passe maintenant

sur le routeur client pour le configurer .
Pour activer le cryptage , il faut spcifi le WAN INTERFACE :
On va trouv un problme avec les quipement qui utilisent la couche 3

(rseau) comme : Switch virtual interface/Physical .
interface fastethernet 0/3
description ANY L3 LAN interface
crypto ipsec client ezvpn ez inside
Aprs avoir effectuer toutes ces configuration au niveau de client et serveur,
on va s'assurer que tous se passe bien en utilisant les commandes suivantes :
Bravo ! On a terminer la configuration et les deux routeurs sont connects

entre eux avec la technologie CISCO EzVPN !
Source : Networkingeek http://www.networkingeek.com/2014/03/CISCOEzVPN.html#ixzz3026Pv2rp
Les adresses IP prive et NAT

REDA GHANE
18:04
Dans ce cours , je vous prsente les adresse IP prive

et la tchnologie NAT .
Adresse IP Prive :
Les adresse IP se sont des adresses logique qui permet

un ordinateur de se connecter un reseau LAN ou
WAN . elles sont compos de 32 bit sur 4 octets .
Les adresses IP sont regroup 2 grand catgorie :
1- IP Public : ce sont les adresses IP routable utilis
sur internet (wan) , on connait un ordinateur connect
l'internet partir de son adresse IP public , cette
drnire est donne pour le client par le fournisseur
d'accs (FAI ) .
2- IP Prive : par contre les adresses IP routable
(Public ) les adresse IP prives sont des adresses
local ,ce veut dire reconnue seulement dans le
rseau local .
2 ordinateur se trouve dans le mme reseau
(workgroup) ou bien dans le mme domaine (server) , ils
vont communiquer avec l'adresse IP prive bien sur .
2 ordinateur qui se trouve pas dans le mme reseau ,
par exemple le premier se trouve Paris et le deuxime
se trouve Madrid , bien sur l'adresse utilis pour la
connexion entre ces 2 PC c'est l'adresse Public .
les adresses Prives existent dans 3 classe A-B-C :
Classe A : 10.0.0.0 /8
Classe B : 172.16.0.0 /12
Classe C : 192.168.0.0 /16
Tchnologie NAT :
Suposant , on a un rseau qui contient un router Switch - et des ordinateurs . ces derniers bien sur sont
connus dans ce rseau par ces adresse IP prives et
MAC .
un ordinateur de ce rseau veut envoyer des donnes
(DATA) un autre ordinateur situ dans un rseau
diffrent . comme on a dja vu il a besoin d'une
adresse IP public , pour cette raison le routeur utilise par
dfaut la technologie NAT pour traduire les adresses IP
prives en adresse IP public routable pour envoyer ce
paquet .
La traducions des adresses se fait par diffrente
manire , Statique (une adresse prives vers une
adresse public ) configur par l'administrateur de routeur
, Dynamique ( un groupe d'adresse prive traduit en
adresse public en se basant sur une POOL d'adresse )
et finalement par PAT ( plusieurs adresse IP prives
traduisent en une seule adresse IP public mais en sa
basant sur les numros de port de chaque machine ).
Je vous prsente aussi ce video qui parle des adresses
IP prives et la tchnologie NAT ( c'est trs intressent )
.
Source : Networkingeek http://www.networkingeek.com/2014/01/lesadresses-ip-privee-et-nat.html#ixzz3027yzB9J
10 conseils pour scuriser un routeur

CISCO
REDA GHANE
5
02:47
1- Le systme d'exploitation IOS :

Comme n'importe quel systme d'exploitation android-windows ..etc il existe
les failles de scurit qui peuvent provoquer des grands problmes au
systme, pour viter ou bien corriger ce problme il faut mettre une mis jours
votre IOS , comment a se passe ? c'est facile on dj expliquer sur le site la
manire utilise pour mettre jours l'IOS (Mis jours IOS d'un routeur
CISCO ) .
2- Scuriser l'accs au console , ligne auxiliaire et

ligne VTY :
Scuriser la ligne console
Scuriser la ligne auxiliaire
Scuriser la ligne VTY
3- Choisir un mot de passe fort pour le routeur :

Pour scuriser le routeur , il est conseill de mettre un mot de passe
fort (codes, 10 chiffres et des alphabets non rpts ) pour viter le problme
de piratage .
Maintenant on doit crypter tous les mots de passe sur le routeur :
4- Utiliser le cl de cryptage RSA :
Pour s'assurer que les commandes saisies sont cryptes, et pour activer la
service on utilise les commandes suivantes :
hostname R1
ip domain-name Networkingeek.com
crypto key generate rsa
Aprs, on choisit le type de la cl utilise dans le cryptage, choisissez 1024 ou
2048, parce que la longueur de la cl est directement proportionnelle sa
force!
5- Quelques services actives par dfaut reprsente

un danger :
Comme vous savez , plusieurs services sont actives par dfaut sur les
quipement CISCO, ce qui pourrait tre exploit par des pirates pour recueillir
des informations sur le rseau et l'exemple le plus frappant c'est
l'outil Yersinia qui est utilise pour collecter des informations sur le protocole
CDP via internet .Par consquent, nous prfrons de fermer les services
inutiles pour viter des problmes de scurit et en mme temps allger la
charge sur le routeur .
Maintenant je vous montre quelques commande qui permet
de fermer certaines services non utilise :
6- Dmarrer certaines services non actives par

dfaut :
On va activer TCP-keepalives pour contrler le trafic qui circule sur le
routeur .
On va activer aaussi la service timestamps pour enregistrer toutes les

actions qui se produisent dans le routeur .
7- Controler les enregistrements stocks sur

routeur :
8-Activation de la service AAA :
9-ACL ( Access Control List ) :

Pour contrler le mouvement de la bande
passante et dposer tous mouvements violation et contrefaon.
10- Des procdures supplmentaires :

- Dsactiver les adresse Bogon qui sont des de fausses adresses
IP existent sur Internet, Il est d'usage que les fournisseurs de
services Internet et les grandes entreprises bloquent ces adresses par
des ACL ou BGP blackholing ou Null Routing Toutes ces options sont
utilises pour un seul but, darrter l'utilisation des ces adresse pour les
clients ou les employs, dans le but d'viter les menaces qui pourraient venir
travers.
- Suppression d'IPv4 et IPv6 Martians qui sont Publis par la
Socit Internet pour les numros attribus (IANA).
- Application de Verify unicast reverse-path sur les rseaux de petites et
moyens tailles
Il existe aussi des logiciels qui permettent de scuriser le routeur
comme : Router Administration Tool et Cisco AutoSecure et Border Router
Security Tool
Source : Networkingeek http://www.networkingeek.com/2014/03/10conseils-pour-securiser-RouterCisco.html#ixzz30299ZqV3
Le cours le plus dtaill sur le VTP (Virtual

Trunking Protocol)
REDA GHANE
19:28
1. Introduction
Les premiers VLAN taient difficiles mettre en uvre sur les rseaux. La
plupart des VLAN taient dfinis sur chaque commutateur, ce qui signifie que
la cration de VLAN sur un rseau tendu tait une tche complexe. Chaque
fabricant de commutateur avait une conception diffrente de la mise en place
des VLAN sur leurs commutateurs, ce qui compliquait davantage le processus.
Le concept dagrgation de VLAN a t dvelopp pour rsoudre ces
problmes.
Le mcanisme dagrgation de VLAN permet de dfinir de nombreux VLAN au
sein dune socit en ajoutant des tiquettes spciales aux trames pour
identifier le VLAN auquel elles appartiennent. Cet tiquetage permet de
nombreux VLAN dtre transfrs sur un backbone commun ou sur une
agrgation. Lagrgation de VLAN est standardise laide du protocole
dagrgation IEEE 802.1Q aujourdhui largement utilis. Le protocole ISL (InterSwitch Link) de Cisco est un protocole dagrgation propritaire qui peut tre
mis en uvre dans la plupart des rseaux Cisco.
Lagrgation de VLAN utilise des trames tiquetes pour permettre le transport
de plusieurs VLAN sur un large rseau commut par le biais de backbones
partags. La configuration et la mise jour manuelles du protocole VTP (VLAN
Trunking Protocol) sur de nombreux commutateurs est un vrai dfi. VTP

prsente un avantage: une fois quun rseau a t configur avec VTP, la
plupart des tches de configuration VLAN sont automatiques
2.Agrgation (Trunking)
2.1.1 Historique de l'agrgation
L'apparition de l'agrgation (trunking) remonte aux origines des technologies
radio et de tlphonie. Dans les technologies radio, une agrgation est une
ligne de communication simple qui transporte plusieurs canaux de signaux
radio.
Dans lindustrie de la tlphonie, le concept dagrgation est associ au canal
ou la voie de communication tlphonique entre deux points. Lun de ces
deux points est gnralement le central tlphonique. Des agrgations
partages peuvent galement tre cres pour la redondance entre centraux
tlphoniques.
Le concept utilis par les industries de la radio et de la tlphonie a ensuite t
adopt pour les communications de donnes. Dans un rseau de
communication, une liaison de backbone entre un rpartiteur principal et un
rpartiteur intermdiaire en est un exemple. Un backbone est compos dun
certain nombre dagrgations.
Actuellement, le mme principe dagrgation est appliqu aux technologies de
commutation de rseaux. Une agrgation est une connexion physique et
logique entre deux commutateurs par lesquels le trafic rseau est achemin.
2.1.2 Concepts d'agrgation
Comme nous lavons indiqu prcdemment, une agrgation est une
connexion physique et logique entre deux commutateurs par lesquels le trafic
rseau est achemin. Il sagit dun canal de transmission simple entre deux
points. Ces points sont gnralement des centres de commutation.
Dans le contexte dun environnement de commutation VLAN, une agrgation
de VLAN est une liaison point--point physique ou logique qui prend en charge
plusieurs VLAN. Lobjectif dune agrgation de VLAN est d'conomiser des
ports lors de la cration dune liaison entre deux units contenant des VLAN
La figure illustre deux VLAN rpartis sur deux commutateurs (Sa et Sb).
Chaque commutateur utilise deux liaisons physiques, de sorte que chaque port
transporte le trafic dun VLAN unique. Il sagit de la mthode la plus simple de

mise en uvre dune communication VLAN entre commutateurs, mais elle
noffre pas une volutivit suffisante.
Lajout dun troisime VLAN ncessiterait lutilisation de deux ports

additionnels, un pour chaque commutateur connect. Cette configuration est
galement inefficace en termes de partage de charges. De plus, le trafic sur
certains VLAN peut ne pas justifier une liaison ddie. Le concept d'agrgation
de VLAN consiste regrouper plusieurs liaisons virtuelles sur une liaison
physique unique en permettant la transmission du trafic de plusieurs VLAN sur
un cble unique entre les commutateurs.
Une agrgation est semblable un rseau autoroutier. Les routes avec
diffrents points de dpart et darrive partagent une autoroute principale
pendant quelques kilomtres, puis se divisent pour atteindre leurs
destinations. Cette mthode est plus conomique que la cration dune route
complte du dbut la fin pour chaque destination existante ou nouvelle
2.1.3 Fonctionnement d'une agrgation de VLAN
Les tables de commutation aux deux extrmits de lagrgation peuvent tre
utilises pour prendre des dcisions de transmission sur la base des adresses
MAC de destination des trames. Lorsque le nombre de VLAN circulant sur
lagrgation augmente, les dcisions de transmission deviennent plus difficiles
grer. Le processus de prise de dcision est ralenti car le traitement de tables
de commutation volumineuses prend plus de temps.
Des protocoles dagrgation ont t dvelopps pour grer efficacement le
transfert de trames de diffrents VLAN sur une liaison physique unique. Les
protocoles dagrgation dfinissent un consensus pour la distribution de
trames aux ports associs aux deux extrmits de lagrgation.
Actuellement, il existe deux types de mcanismes dagrgation: le filtrage des
trames et ltiquetage des trames. Ltiquetage des trames a t adopt par
lIEEE comme mcanisme dagrgation standard.
Les protocoles dagrgation qui utilisent un mcanisme dtiquetage des

trames affectent un identifiant aux trames pour faciliter leur gestion et
permettre un acheminement plus rapide des trames.
La liaison physique unique entre les deux commutateurs est capable de
transporter le trafic pour nimporte quel VLAN. Pour cela, chaque trame
envoye sur la liaison est tiquete afin didentifier le VLAN auquel elle
appartient. Il existe plusieurs systmes dtiquetage. Les systmes
dtiquetage les plus courants pour les segments Ethernet sont rpertoris cidessous:
ISL (Inter-Switch Link) Protocole propritaire de Cisco
802.1Q Norme IEEE plus particulirement traite dans cette
section
2.1.4
VLAN et agrgation
Des protocoles ou des rgles spcifiques sont utiliss pour mettre en uvre
une agrgation. Lagrgation fournit une mthode efficace de
distribution des ID de VLAN aux autres commutateurs.
Lutilisation de ltiquetage de trames comme mcanisme dagrgation
standard, par opposition au filtrage de trames, fournit une solution plus
volutive au dploiement VLAN. Selon la norme IEEE 802.1Q, ltiquetage de
trames est la meilleure faon de mettre en uvre des LAN virtuels.
La mthode dtiquetage des trames VLAN a t dveloppe spcialement pour
les communications commutes. Cette mthode place un identificateur unique
dans len-tte de chaque trame au moment o celle-ci est achemine dans le
backbone du rseau. Lidentificateur est interprt et examin par chaque
commutateur avant tout broadcast ou transmission dautres commutateurs,
routeurs ou quipements de station d'extrmit. Lorsque la trame quitte le
backbone du rseau, le commutateur retire lidentificateur avant de transmettre
la trame la station dextrmit cible. Ltiquetage des trames est effectu au
niveau de la couche 2; il ncessite des temps de traitement ou d'administration
peu importants.
Il est important de comprendre qu'un lien multi-VLAN n'appartient aucun

VLAN spcifique. Un lien multi-VLAN doit servir de canal pour les VLAN entre
les commutateurs et les routeurs.
ISL est un protocole qui met jour les informations VLAN au fur et mesure
du transfert du trafic entre les commutateurs. Avec ISL, une trame Ethernet est
encapsule avec un en-tte contenant un ID de VLAN
2.1.5 Mise en oeuvre de l'agrgation de VLAN
Pour crer ou configurer une agrgation de VLAN sur un commutateur base
de commandes Cisco IOS, configurez d'abord le port en mode d'agrgation de
VLAN puis spcifiez lencapsulation dagrgation laide des commandes
suivantes:
Vrifiez que le mcanisme d'agrgation a t configur et contrlez les
paramtres en utilisant les commandes show interfacesFa0/
[num_port] ou show interfacestrunk en mode privilgi sur le commutateur.
3. VTP (Virtual Trunking Protocol)

3.1.1 Concepts VTP
Le rle de VTP est de maintenir la cohrence de la configuration VLAN sur un domaine
dadministration rseau commun. VTP est un protocole de messagerie qui utilise les
trames dagrgation de couche 2 pour grer lajout, la suppression et lattribution de
nouveaux noms aux VLAN sur un domaine unique. De plus, VTP autorise les
changements centraliss qui sont communiqus tous les autres commutateurs du
rseau.
Les messages VTP sont encapsuls dans des trames de protocole Cisco ISL (InterSwitch Link) ou IEEE 802.1Q, puis transmis sur des liens multi-VLAN aux autres
units. Dans les trames IEEE 802.1Q, un champ sur 4 octets est ajout pour tiqueter
les trames. Les deux formats transportent lID du VLAN.
Alors que les ports de commutateur sont normalement affects un seul VLAN, les
ports multi-VLAN transportent, par dfaut, les trames de tous les VLAN.
3.1.2 Fonctionnement de VTP

Un domaine VTP est compos dun ou de plusieurs quipements
interconnects qui partagent le mme nom de domaine VTP. Un commutateur
ne peut appartenir qu un seul domaine VTP. Lorsquun message VTP est
transmis aux autres commutateurs du rseau, il est encapsul dans une trame
de protocole dagrgation comme ISL ou IEEE 802.1Q.
La figure illustre lencapsulation gnrale pour VTP lintrieur dune trame

ISL. Len-tte VTP varie en fonction du type de message VTP, mais quatre
lments sont gnralement inclus dans tous les messages VTP:
Version du protocole VTP: version 1 ou 2
Type de message VTP: indique lun des quatre types
Longueur du nom de domaine de gestion: indique la taille du nom

qui suit
Nom du domaine de gestion: nom configur pour le domaine de
gestion
Les commutateurs VTP excutent lun des trois modes suivants:
Serveur
Client
Transparent
Les serveurs VTP peuvent crer, modifier et supprimer un VLAN et des

paramtres de configuration VLAN pour lensemble du domaine. Les serveurs
VTP enregistrent les informations de configuration VLAN dans la mmoire
NVRAM du commutateur. Les serveurs VTP envoient des messages VTP par
tous les ports multi-VLAN.
Les clients VTP ne peuvent pas crer, modifier ou supprimer des informations
VLAN. Ce mode est utile pour les commutateurs qui manquent de mmoire
pour stocker de grandes tables dinformations VLAN. Le seul rle des clients
VTP est de traiter les modifications VLAN et denvoyer des messages VTP par
tous les ports multi-VLAN.
Les commutateurs en mode transparent VTP transmettent des annonces VTP
mais ignorent les informations contenues dans le message. Un commutateur
transparent ne modifie pas sa base de donnes lors de la rception de mises
jour et il nenvoie pas de mises jour indiquant une modification apporte
son tat VLAN. Except pour la transmission dannonces VTP, le protocole VTP
est dsactiv sur un commutateur transparent.
Les VLAN dtects au sein des annonces servent de notification pour indiquer
au commutateur qu'un trafic transportant les nouveaux ID de VLAN peut tre
attendu.
Dans la figure, le commutateur C transmet une entre de base de donnes VTP

avec des ajouts ou des suppressions aux commutateurs A et B. La base de
donnes de configuration dispose dun numro de rvision qui est incrment
de un. Un numro de rvision de configuration suprieur indique que les
informations VLAN envoyes sont plus rcentes que la copie stocke. Chaque
fois quun commutateur reoit une mise jour avec un numro de rvision de
configuration suprieur, il remplace les informations stockes par les
nouvelles informations envoyes dans la mise jour VTP. Le commutateur F
ne traite pas la mise jour, car il appartient un autre domaine. Avec ce
processus de remplacement, lorsque le VLAN nexiste pas dans la nouvelle
base de donnes, il est supprim du commutateur. En outre, VTP met jour sa
propre configuration dans la mmoire NVRAM.
La commande erase startup-configuration efface les commandes de
configuration en mmoire NVRAM, lexception du numro de rvision de la
base de donnes VTP. Pour redfinir le numro de rvision de configuration
sur zro, le commutateur doit tre redmarr.
3.1.3 Mise en oeuvre de VTP
Grce VTP, chaque commutateur annonce sur les ports multi-VLAN, son
domaine de gestion, son numro de rvision de configuration, les VLAN quil
connat et les paramtres correspondants. Ces trames dannonce sont
envoyes une adresse multicast, de sorte que toutes les units voisines
puissent recevoir les trames. Toutefois, les trames ne sont pas transmises au
moyen des procdures de pontage habituelles. Toutes les units du mme
domaine de gestion acquirent des informations sur les nouveaux VLAN
configurs dans lunit mettrice. Un nouveau VLAN doit tre cr et configur
sur une unit uniquement dans le domaine de gestion. Toutes les autres units
du mme domaine de gestion apprennent automatiquement les informations.
Les annonces sur les VLAN par dfaut sont bases sur les types de mdia. Les
ports utilisateur ne doivent pas tre configurs en tant quagrgations VTP.
Chaque annonce commence par le numro de rvision de configuration 0.
Lorsque des modifications sont apportes, le numro de rvision de la
configuration augmente de un (n + 1). Le numro de rvision continue
daugmenter jusquau numro 2 147 483 648. Une fois ce numro atteint, le
compteur est remis zro.
Il existe deux types dannonce VTP:
les demandes manant de clients qui rclament des informations
au dmarrage;
Les rponses des serveurs.
Il existe trois types de message VTP:

les demandes dannonce;
les annonces de type rsum;
les annonces de type sous-ensemble.
Avec les demandes dannonce, les clients demandent des informations VLAN
et le serveur rpond avec des annonces de type rsum ou sous-ensemble.
Par dfaut, les commutateurs serveur et client Catalyst mettent des annonces
de type rsum toutes les cinq minutes. Les serveurs indiquent aux
commutateurs voisins ce quils pensent tre le numro de rvision VTP actuel.
Si les noms de domaine correspondent, le serveur ou client rcepteur compare
le numro de rvision de la configuration. Si le numro de rvision dans
lannonce est suprieur celui qui figure actuellement dans le commutateur
rcepteur, ce dernier met une demande dannonce pour les nouvelles
informations VLAN.
Les annonces de type sous-ensemble contiennent des informations dtailles
sur les VLAN, telles que le type de version VTP, le nom du domaine et les
champs associs, ainsi que le numro de rvision de la configuration. Les
vnements suivants peuvent crer ces annonces:
Cration ou suppression dun VLAN
Arrt ou activation dun VLAN
Modification du nom dun VLAN
Modification de la MTU dun VLAN
Les annonces peuvent contenir toutes ou une partie des informations
suivantes :
Nom du domaine de gestion. Les annonces contenant des noms
diffrents sont ignores.
Numro de rvision de la configuration. Un numro suprieur
reflte une configuration plus rcente.
Algorithme MD5. MD5 est la cl envoye avec VTP lorsquun mot
de passe a t affect. Si la cl ne correspond pas, la mise jour
est ignore.
Identit de lunit de mise jour. Il sagit de lidentit du
commutateur qui envoie lannonce de type rsum VTP.
3.1.4 Configuration de VTP

Les tches de base suivantes doivent tre effectues avant de configurer le
protocole VTP et les VLAN sur le rseau.
1. Dterminez le numro de la version de VTP qui sera utilise.
2. Indiquez si ce commutateur sera un membre dun domaine de
gestion existant ou si un nouveau domaine doit tre cr. Si un
domaine de gestion existe, dterminez son nom et son mot de
passe.
3. Choisissez un mode VTP pour le commutateur.
Deux versions diffrentes de VTP sont disponibles: la version 1 et la version 2.
Les deux versions ne peuvent pas fonctionner ensemble. Si un commutateur
est configur dans un domaine pour VTP version 2, tous les commutateurs du
mme domaine doivent ltre aussi. VTP version 1 est la valeur par dfaut. La
version 2 de VTP peut tre mise en uvre si certaines des fonctions quelle
offre ne sont pas proposes dans la version 1. La fonction la plus couramment
utilise est la prise en charge VLAN Token Ring.
Pour configurer la version de VTP sur un commutateur base de commandes
Cisco IOS, passez dabord en mode base de donnes VLAN.
Utilisez la commande suivante pour changer le numro de version de VTP:
Switch#vlan database
Switch(vlan)#vtp v2-mode
Si le commutateur install est le premier commutateur du rseau, crez le
domaine de gestion. Si le domaine de gestion a t scuris, configurez un mot
de passe.
Pour crer un domaine de gestion, utilisez la commande suivante:
Switch(vlan)#vtp domain cisco
Le nom du domaine peut comporter entre 1 et 32 caractres. Le mot de passe
peut comporter entre 8 et 64 caractres.
Pour ajouter un client VTP un domaine VTP existant, vrifiez toujours que
son numro de rvision de configuration VTP est infrieur celui des autres
commutateurs du domaine VTP. Utilisez la commande show vtp status. Les
commutateurs dun domaine VTP utilisent toujours la configuration VLAN du
commutateur qui porte le numro de rvision de configuration VTP le plus
lev. Si un commutateur est ajout et sil porte un numro de rvision
suprieur celui du domaine VTP, il peut effacer toutes les informations VLAN
du serveur et du domaine VTP.
Choisissez un des trois modes VTP disponibles pour le commutateur. Sil
sagit du premier commutateur du domaine de gestion et que dautres
commutateurs vont tre ajouts, dfinissez le mode sur serveur. Les autres
commutateurs seront en mesure dacqurir des informations VLAN de ce
commutateur. Il doit y avoir au moins un serveur.
Des VLAN peuvent tre crs, supprims et renomms volont sans que le
commutateur transmette les modifications aux autres commutateurs. Si un
grand nombre de personnes configurent des units au sein du rseau, il est
possible que deux VLAN avec deux significations diffrentes mais le mme
identifiant soient crs.
Pour dfinir le mode appropri du commutateur base de commandes Cisco
IOS, utilisez la commande suivante: Switch(vlan)#vtp {client | server |
transparent}
La figure prsente les informations affiches par la commande show vtp

status. Cette commande permet de vrifier les paramtres de configuration
VTP sur un commutateur base de commandes Cisco IOS.
4. Routage entre VLAN
Un LAN virtuel est un ensemble logique dunits ou dutilisateurs qui peuvent

tre regroups par fonction, par service ou par application, quel que soit leur
emplacement physique.
La configuration dun LAN virtuel est effectue au niveau du commutateur par

le biais dun logiciel. La mise en uvre de VLAN simultans peut ncessiter
lutilisation dun logiciel spcial fourni par le fabricant du commutateur. Le
regroupement de ports et dutilisateurs en communauts
dintrt, appeles organisations VLAN, peut tre ralis par lutilisation dun
seul commutateur ou de manire plus efficace sur des commutateurs
connects au sein de lentreprise. En regroupant les ports et les utilisateurs de
multiples commutateurs, les LAN virtuels peuvent stendre aux
infrastructures dun immeuble ou des immeubles interconnects. Les VLAN
participent lutilisation efficace de la bande passante, car ils partagent le
mme domaine de broadcast ou rseau de couche 3. Les VLAN optimisent
l'utilisation de la bande passante. Les VLAN se disputent la mme bande
passante, bien que les besoins en bande passante varient considrablement
selon le groupe de travail ou le service. Voici quelques remarques sur la
configuration dun VLAN:
Un commutateur cre un domaine de broadcast.
Les LAN virtuels aident grer les domaines de broadcast.
Les LAN virtuels peuvent tre dfinis sur des groupes de ports,
des utilisateurs ou des protocoles.
Les commutateurs LAN et le logiciel dadministration rseau
fournissent un mcanisme permettant de crer des VLAN.
Les VLAN aident contrler la taille des domaines de broadcast et localiser
le trafic. Les VLAN sont associs des rseaux individuels. Ainsi, les units
rseau dans des VLAN diffrents ne peuvent pas communiquer directement
sans lintervention dune unit de routage de couche 3.
Lorsquun nud dun VLAN doit communiquer avec un nud dun autre VLAN,
un routeur est ncessaire pour acheminer le trafic entre les VLAN. Sans unit
de routage, le trafic entre VLAN est impossible.
4.1.1 Introduction au routage entre VLAN
Lorsquun hte dun domaine de broadcast souhaite communiquer avec un
hte dun autre domaine de broadcast, un routeur doit tre utilis.
Le port 1 dun commutateur fait partie du VLAN 1 et le port 2, du VLAN 200. Si

tous les ports de commutateur faisaient partie du VLAN 1, les htes connects
ces ports pourraient communiquer. Dans ce cas, nanmoins, les ports
appartiennent des VLAN diffrents, le VLAN 1 et le VLAN 200.
Un routeur doit tre utilis pour que les htes des diffrents VLAN
communiquent.
Le principal avantage du routage est sa facult faciliter les changes sur les
rseaux, notamment sur les grands rseaux. Bien que lInternet en soit
lexemple le plus flagrant, cela est vrai pour tout type de rseau, et notamment
pour un grand backbone de campus. tant donn que les routeurs empchent
la propagation des broadcasts et utilisent des algorithmes de transmission
plus intelligents que les ponts et les commutateurs, ils permettent dutiliser
plus efficacement la bande passante. En mme temps, ils permettent une
slection de chemin optimale et flexible. Par exemple, il est trs facile de
mettre en uvre lquilibrage de charge sur plusieurs chemins dans la plupart
des rseaux lors du routage. Dun autre ct, lquilibrage de charge de
couche 2 peut tre trs difficile concevoir, mettre en uvre et mettre
jour.
Lorsquun VLAN stend sur plusieurs quipements, une agrgation est
utilise pour interconnecter les quipements. Lagrgation transporte le trafic
de plusieurs VLAN. Par exemple, une agrgation peut connecter un
commutateur un autre commutateur, au routeur entre les VLAN ou un
serveur avec une carte NIC spciale utilise pour prendre en charge les
agrgations.
Noubliez pas que quand un hte dun VLAN veut communiquer avec un hte
dun autre VLAN, un routeur est ncessaire.
4.1.2 Interfaces physiques et logiques
Dans une situation traditionnelle, un rseau avec quatre VLAN ncessite quatre
connexions physiques entre le commutateur et le routeur externe.
Avec larrive de technologies comme ISL (Inter-Switch Link), les concepteurs
de rseau ont commenc utiliser des liens multi-VLAN pour connecter des
routeurs des commutateurs. Bien que les technologies dagrgation comme

ISL, 802.1Q, 802.10 ou LANE (mulation LAN) puissent tre utilises, les
approches bases sur Ethernet comme ISL et 802.1Q sont plus frquentes.
Le protocole Cisco ISL ainsi que la norme IEEE multifournisseur 802.1Q sont
utiliss pour runir des VLAN en une agrgation sur des liaisons Fast
Ethernet.
La ligne continue dans lexemple fait rfrence la liaison physique unique
entre le commutateur Catalyst et le routeur. Il sagit de linterface physique qui
connecte le routeur au commutateur.
Lorsque le nombre de VLAN augmente sur un rseau, lapproche physique
consistant utiliser une interface de routeur par VLAN devient vite limite en
termes dvolutivit. Les rseaux contenant de nombreux VLAN doivent utiliser
le mcanisme dagrgation de VLAN pour affecter plusieurs VLAN une
interface de routeur unique.
Les lignes en pointill dans lexemple correspondent aux liaisons logiques qui
fonctionnent sur cette liaison physique par le biais de sous-interfaces. Le
routeur peut prendre en charge de nombreuses interfaces logiques sur des
liaisons physiques individuelles. Par exemple, l'interface Fast Ethernet
FastEthernet 1/0 pourrait supporter trois interfaces virtuelles s'appelant
FastEthernet 1/0.1, 1/0.2 et 1/0.3.
Le principal avantage de l'utilisation d'un lien multi-VLAN est la rduction du
nombre de ports de routeur et de commutateur utiliss. Cela permet non
seulement de raliser une conomie financire, mais peut galement rduire la
complexit de la configuration. Par consquent, lapproche qui consiste relier
des routeurs par une agrgation peut voluer vers un plus grand nombre de
VLAN quune conception base sur une liaison par VLAN.
4.1.3 Sparation des interfaces physiques en sous-interfaces
Une sous-interface est une interface logique au sein dune interface physique,
telle que linterface Fast Ethernet dun routeur.
Plusieurs sous-interfaces peuvent coexister sur une seule interface physique.

Chaque sous-interface prend en charge un VLAN et dispose dune adresse IP
affecte. Pour que plusieurs units dun mme VLAN communiquent, les
adresses IP de toutes les sous-interfaces mailles doivent tre sur le mme
rseau ou sous-rseau. Par exemple, si la sous-interface FastEthernet 0/0.1 a
ladresse IP 192.168.1.1, alors 192.168.1.2, 192.168.1.3 et 192.1.1.4 sont les
adresses IP des units connectes la sous-interface FastEthernet0/0.1.
Pour le routage entre VLAN avec sous-interfaces, une sous-interface doit tre
cre pour chaque VLAN.
La section suivante voque les commandes ncessaires la cration de sousinterfaces et lapplication dun protocole dagrgation et dune adresse IP
chaque sous-interface.
4.1.4 Configuration du routage entre des VLAN
Cette section prsente les commandes ncessaires pour configurer un routage
inter-VLAN entre un routeur et un commutateur. Avant de mettre en uvre ces
commandes, il est ncessaire de vrifier sur chaque routeur et commutateur le
type dencapsulation VLAN pris en charge. Les commutateurs Catalyst 2950
acceptent les agrgations 802.1Q depuis le lancement de la plate-forme
logicielle Cisco IOS version 12.0(5.2)WC(1), mais ils ne prennent pas en charge
les agrgations ISL (Inter-Switch Link). Pour que le routage entre VLAN
fonctionne correctement, tous les routeurs et commutateurs concerns

doivent accepter la mme encapsulation.
Sur un routeur, une interface peut tre logiquement divise en plusieurs sousinterfaces virtuelles. Les sous-interfaces fournissent une solution flexible pour
le routage de plusieurs flux de donnes via une interface physique unique.
Pour dfinir des sous-interfaces sur une interface physique, effectuez les
tches suivantes:
Identifiez linterface.
Dfinissez lencapsulation VLAN.
Attribuez une adresse IP linterface.
Pour identifier linterface, utilisez la commande interface en mode de
configuration globale. Router(config)#interface fastethernetnumro-port.
numro-sous-interface
La variable numro-port identifie linterface physique tandis que la
variable numro-sous-interface identifie linterface virtuelle.
Le routeur doit tre capable de communiquer avec le commutateur laide dun
protocole dagrgation standardis. Cela signifie que les deux units
interconnectes doivent se comprendre mutuellement. Dans lexemple, 802.1Q
est utilis. Pour dfinir lencapsulation VLAN, saisissez la commande
encapsulation en mode de configuration dinterface. Router(configsubif)#encapsulation dot1Qnumro-vlan
La variable numro-vlan identifie le VLAN pour lequel la sous-interface
achemine le trafic. Un ID de VLAN est ajout la trame uniquement lorsque
celle-ci est destine un rseau non local. Chaque paquet VLAN transporte lID
du VLAN dans son en-tte.
Pour affecter ladresse IP la sous-interface, entrez la commande suivante en
mode de configuration dinterface.
Router(config-subif)#ip addressadresse-ip masque-sous-rseau
Les variables adresse-ip et masque-sous-rseau correspondent au masque et
ladresse rseau sur 32 bits de linterface.
Dans lexemple, le routeur a trois sous-interfaces configures sur linterface
Fast Ethernet 0/0. Ces trois sous-interfaces sont identifies par 0/0.1, 0/0.2 et
0/0.3. Toutes les interfaces sont encapsules pour 802.1Q. Linterface 0/0.1
achemine les paquets du VLAN 1, tandis que linterface 0/0.2 achemine les
paquets du VLAN 20 et linterface 0/0.3, ceux du VLAN 30.
Source :
Networkingeek http://www.networkingeek.com/2014/03/VTP.html#ixzz302
A4wIkt
La Solution de "USB est protg en

criture"
REDA GHANE
22:54
Il existe plusieurs mthodes pour rsoudre

le problme USB est protg en criture ,
on va utilis la technique d'diteur de
registre , on commence :
1- Ecrivez dans la barre de

recherche windows : regedit
( excuter le)
2- Dplacer vous sur le chemin suivant :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSe
t\Control\StorageDevicePolicies
3- Clique droit sur "WriteProtect" , et

cliquer sur "Modify"
4- Si vous avez trouver dans cette

case 1 vous la remplacez par 0
et cliquez sur "ok"
5- Finalement, fermer l'diteur de

registre et rebrancher nouveau votre
cl USB .
Source : Networkingeek http://www.networkingeek.com/2014/02/usb-is-writeprotected.html#ixzz302BX9yak

Astuts Cisco

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Astuts Cisco

Diunggah oleh

Hak Cipta:

Format Tersedia

Le cours le plus dtaill sur le Pare-Feu

2- Le possible et l'impossible (parefeux) :

- Etre un guichet de scurit: un point central de contrle

Ce que ne peut pas faire un pare-feux :

3-Filtrage des paquets et des

- Concerne le trafic chang aux niveaux IP (paquets)

4- Architecture de parefeu avec routeur filtrant

5- Filtrage Applicatif ( proxy ) :

6- Hote double rseau :

- Il est impossible un paquet de passer dun rseau

- Service toile (HTTP), service de noms (DNS), service

Architecture de pare-feu avec routeur

8- DMZ : Zone dmilitarise (rseau

Architecture de pare-feu avec DMZ

9- Filtrage des paquets et des

Protocole de niveau liaison (PPP, niveau mac):

- Analyse des zones dextension par exemple en routage

10- Les principaux services internet

Lannuaire des noms de domaine DNS Domain Name

Les nouvelles (news) NNTP Network News Transfer

11- Les trois tapes du filtrage :

Rgles concernant des datagrammes IP : adresses

Exemple 2) Rgle autorisant la reception du courrier

Exemple 3)Rgle interdisant lmission par un serveur

Smantique la plus frquente : exploitation des

La premire rgle satisfaite provoque lautorisation

Transformer les rgles dans la syntaxe du pare-feu

[root@ firewall]#iptables A FORWARD p smtp d

12- Affiner les rgles de filtrageUtilisation des indicateurs : ACK

Exemple dutilisation dindicateurs (flags) TCP.

refuser la connexion dun client externe sur le mme

- ACK prsent dans pratiquement tous les segments

13- Filtrage avec indicateur ACK TCP :

14- Les avnatages et les inconvnients

Un filtre de paquets peut protger en un seul

Le filtrage de paquets pose des problmes

- Rgles difficiles dfinir.

Certains protocoles applicatifs posent

Exemples : utilisation de ports allous dynamiquement.

Les filtres de paquets ne prennent pas

Exemple: filtrer sur le nom dun usager dans un accs

Frame Relay (relais de trames) en dtails !

Un circuit virtuel est identifi par un indicateur de connexion de liaison de

Encapsulation Frame Relay

Mappage des adresses Frame Relay

Le mappage statique est utilis lorsquun routeur ne prend pas en charge

Interface de supervision locale (LMI)

Utilisation de la LMI et de lARP inverse pour le

Configuration de base de Frame Relay (mappage

Configuration dun mappage statique Frame Relay

Sous-interfaces Frame Relay

Configuration de sous-interfaces Frame Relay point

R1(config-if)# frame-relay interface-dlci 102

Configuration du Switch Frame-Relay

Paiement de Frame Relay

Un client achte un service Frame Relay un fournisseur de services. Pour

frais dquipement dabonn

Les fournisseurs font parfois de la surrservation en vendant plus de bande

Contrle de flux Frame Relay

notification explicite dencombrement au destinataire ou FECN.

La configuration de PAP et CHAP sur un

Commandes de configuration PPP

Protocole d'authentification PAP

Protocole dauthentification CHAP