Guide de L'utilisateur de Cisco SDM Express

Sige social
Cisco Systems, Inc.

170 West Tasman Drive
San Jose, CA 95134-1706
tats-Unis
http://www.cisco.com
Tl. : 408 526-4000
+1 800 553-NETS (6387)
Tlcopie : 408 526-4100
Guide de lutilisateur de Cisco SDM
Express
Numro de commande client :
Numro de srie du texte : OL-7141-04
LES SPCIFICATIONS ET LES INFORMATIONS CONCERNANT LES PRODUITS DCRITS DANS CE MANUEL PEUVENT TRE
MODIFIES SANS PRAVIS. TOUTES LES DCLARATIONS, INFORMATIONS ET RECOMMANDATIONS FIGURANT DANS CE
MANUEL SONT CENSES TRES EXACTES, MAIS SONT PRSENTES SANS GARANTIE DAUCUNE SORTE, EXPLICITE OU
IMPLICITE. LES UTILISATEURS ASSUMENT LA PLEINE ET ENTIRE RESPONSABILIT DE LUTILISATION DES PRODUITS.
LA LICENCE LOGICIELLE ET LA GARANTIE LIMITE DES PRODUITS DACCOMPAGNEMENT SONT PRSENTES DANS LES
NOTICES INFORMATIVES ACCOMPAGNANT LE PRODUIT. ELLES SONT FOURNIES ICI TITRE DE RFRENCE. SI VOUS NE
TROUVEZ PAS LA LICENCE DU LOGICIEL OU LA GARANTIE LIMITE, CONTACTEZ VOTRE REPRSENTANT CISCO QUI VOUS EN
FOURNIRA UNE COPIE.
Limplmentation Cisco de la compression den-ttes TCP est une adaptation dun programme dvelopp par lUniversit de Californie, Berkeley
(UCB) dans le cadre de la version publique du systme dexploitation UNIX dUCB. Tous droits rservs. Copyright 1981, Regents of the
University of California.
MALGR LES DIVERSES GARANTIES EXPOSES ICI, TOUS LES DOCUMENTS, FICHIERS ET LOGICIELS DES DIFFRENTS
FOURNISSEURS SONT PROPOSS TELS QUELS AVEC LEURS VENTUELS DFAUTS. CISCO ET LES FOURNISSEURS
SUSNOMMS DCLINENT TOUTE RESPONSABILIT, IMPLICITE OU EXPLICITE, CONCERNANT, SANS QUE CETTE LISTE SOIT
EXHAUSTIVE, LA QUALIT MARCHANDE DES PRODUITS, LEUR ADAPTATION UNE UTILISATION PARTICULIRE,LA
NON-TRANSGRESSION OU TOUT AUTRE PROBLME CONSCUTIF UNE VENTE, UN USAGE OU UNE PRATIQUE COMMERCIALE.
CISCO OU SES REPRSENTANTS NE POURRONT, EN AUCUN CAS, TRE TENUS POUR RESPONSABLES DES DOMMAGES
INDIRECTS, SPCIAUX, CONSCUTIFS OU INDUITS, Y COMPRIS, SANS QUE CETTE LISTE SOIT EXHAUSTIVE, LES PERTES DE
PROFIT, PERTES OU ENDOMMAGEMENT DES DONNES, CONSCUTIFS LUTILISATION OU LINCAPACIT DUTILISATION DE
CE MANUEL, MME SI CISCO OU SES REPRSENTANTS ONT T INFORMS DE LVENTUALIT DUNE DEMANDE DE
DOMMAGES ET INTRTS.
Toutes les adresses IP utilises dans le prsent document sont des adresses fictives. Tous les exemples, sorties daffichage de commandes et images
du prsent document sont uniquement utiliss titre indicatif. Toute utilisation dadresses IP relles dans les illustrations est involontaire et nest
que pure concidence.
Guide de l'utilisateur de Cisco SDM Express
2007 Cisco Systems, Inc. Tous droits rservs.
CCIP, CCSP, le logo Cisco reprsentant une flche, la marque Cisco Powered Network, Cisco Unity, Follow Me Browsing, FormShare et StackWise sont
des marques de Cisco Systems, Inc. ; Changing the Way We Work, Live, Play, and Learn et iQuick Study sont des marques de service de Cisco Systems,
Inc. ; Aironet, ASIST, BPX, Catalyst, CCDA, CCDP, CCIE, CCNA, CCNP, Cisco, le logo Cisco Certified Internetwork Expert, Cisco IOS, le logo Cisco
IOS , Cisco Press, Cisco Systems, Cisco Systems Capital, le logo Cisco Systems, Empowering the Internet Generation, Enterprise/Solver, EtherChannel,
EtherSwitch, Fast Step, GigaStack, Internet Quotient, IOS, IP/TV, iQ Expertise, le logo iQ, iQ Net Readiness Scorecard, LightStream, Linksys,
MeetingPlace, MGX, MICA, le logo Networkers, Networking Academy, Network Registrar, Packet, PIX, Post-Routing, Pre-Routing, RateMUX,
Registrar, ScriptShare, SlideCast, SMARTnet, StrataView Plus, Stratm, SwitchProbe, TeleRouter, The Fastest Way to Increase Your Internet Quotient,
TransPath et VCO sont des marques dposes de Cisco Systems, Inc. et/ou de ses entreprises affilies aux tats-Unis et dans dàutres pays.
Toutes les autres marques cites dans ce document ou sur le site Web appartiennent leurs propritaires respectifs. Lùtilisation du terme partenaire
nìmplique aucunement une relation de partenariat entre Cisco et une autre entreprise. (0304R)
i
Guide de lutilisateur de Cisco SDM Express
Ol-7141-04
Ta b l e d e s m a t i r e s
Cisco SDMExpress 1
Bienvenue 1
Configuration de base 2
Dimensionnement du routeur 4
Dploiement partir dune unit USB 5
Acheminement partir du flash USB 6
Slection de fichier 7
Configuration de linterface sans fil 8
Configuration de linterface LAN 8
Configuration du serveur DHCP 10
Internet (WAN) : Interface Ethernet 12
Internet (WAN) : Dtection auto dencapsulation 13
Internet (WAN) : Encapsulation indique par lutilisateur 14
Slection dune interface WAN 17
Connexion srie 18
Paramtres de la configuration Relais de trame 20
Internet (WAN) : Options avances 21
Informations du serveur CNS 21
Configuration du pare-feu 23
Paramtres de scurit 24
Synthse 26
Aide complmentaire 27
Cisco Router and Security Device Manager 27
Table des matires
ii
Ol-7141-04
Cisco Network Services 27
Dsactiver SNMP 29
Dsactiver le service Finger 29
Dsactiver le service PAD 30
Dsactiver le service TCP Small Servers 30
Dsactiver le service UDP Small Servers 31
Dsactiver le service IP Bootp Server 32
Dsactiver le service IP Ident 32
Dsactiver CDP 33
Dsactiver le routage dIP source 33
Activer le service de cryptage des mots de passe 34
Activer la commutation Netflow 34
Activer le maintien des connexions TCP pour les sessions Telnet
entrantes 35
Activer le maintien des connexions TCP pour les sessions Telnet
sortantes 35
Activer les numros de squence et les horodatages sur les
dbogages 35
Activer IP CEF 36
Dfinir lintervalle de planification 36
Dfinir lallocation de planification 37
Dfinir la dure de TCP Synwait 37
Activer la connexion 38
Activer Unicast RPF sur toutes les interfaces externes 38
Dsactiver les messages ARP 39
Dsactiver la redirection dIP 39
Dsactiver le Proxy IP ARP 40
Dsactiver la diffusion dIP dirige 40
Dsactiver le service MOP 41
Dsactiver les IP injoignables 41
iii
Ol-7141-04
Sommaire
Dsactiver la rponse au masque IP 42
Dfinir la longueur minimum du mot de passe pour quil ne dpasse pas
6 caractres 43
Dfinir le nombre dchecs didentification pour quil ne dpasse pas 3
tentatives de ridentification 43
Dfinir la bannire 44
Activer les paramtres Telnet 44
Activer SSH pour laccs au routeur 45
Boutons Cisco SDMExpress 46
Reconnexion au routeur lissue de la configuration initiale 47
Test de votre connexion WAN (Internet) 48
Conseils de dpannage pour SDP 49
Mode dition de Cisco SDM Express 1
Prsentation 1
Configuration de base 3
Modification dun nom dutilisateur 4
LAN 5
Sans fil 5
WAN : impossible de configurer linterface WAN 5
Aucun WAN disponible 6
Supprimer la connexion 6
Pare-feu 6
NAT 7
Ajouter ou modifier une rgle de conversion dadresse 8
Routage 10
Outils 12
Ping 13
Table des matires
iv
Ol-7141-04
Mettre jour SDM depuis Cisco.com 14
Connexion CCO 14
Mettre jour SDM depuis un PC local 15
Mettre jour SDM depuis le CD 15
Proprits de la date et de lheure 16
Valeurs par dfaut 17
Reconfiguration de votre PC avec une adresse IP statique ou dynamique 18
Fonction non disponible 20
CH A P I T R E
1-1
Cisco SDM Express
OL-7141-04
1
Cisco SDMExpress
La fentre Cisco SDM Express vous guide tout au long de la configuration de
base du routeur. Une fois cette configuration de base effectue, le routeur est
disponible sur le LAN et dispose dune connexion WAN et dun pare-feu.
Bienvenue
Cet assistant vous permet de dfinir une configuration de base pour effectuer les
oprations suivantes :
Nommer le routeur.
Spcifier un nom dutilisateur et des mots de passe.
Le routeur peut tre configur manuellement laide de lassistant Cisco
SDM Express. Vous pouvez galement fournir au routeur un fichier de
configuration charg partir dune unit USB ou dun priphrique flash
USB, de SDP (Secure Device Provisioning) ou de Cisco Network Services,
si pris en charge par la version de Cisco IOS.
Si vous utilisez Cisco Network Services pour configurer votre routeur, vous
pouvez spcifier les paramtres Cisco Network Services qui permettront au
routeur de prendre contact avec le serveur Cisco Network Services pour
obtenir de celui-ci une configuration.
Modifier ladresse IP du LAN par dfaut, dfinie en usine.
Cette tche est contourne si SDP ou Cisco Network Services est slectionn
pour le dploiement du routeur.
Chapitre 1 Cisco SDMExpress
Configuration de base
1-2
Cisco SDM Express
OL-7141-04
Crer un pool dadresses DHCP pour le LAN.
Entrez les noms des serveurs DNS et le nom de domaine de votre entreprise.
Consultez votre administrateur rseau ou votre fournisseur daccs Internet
pour obtenir ces informations.
Crer une connexion WAN.
Crer un pare-feu pour les connexions LAN et WAN.
Configurer des paramtres qui amliorent les performances et la scurit du
rseau.
Pour configurer des interfaces supplmentaires et procder des rglages de
configuration plus avancs, utilisez Cisco Router and Security Device Manager
(Cisco SDM). Pour plus dinformations, reportez-vous Cisco Router and
Security Device Manager.
La fentre Configuration de base vous permet de nommer le routeur que vous
configurez, de spcifier le nom de domaine de votre entreprise et de contrler
laccs Cisco SDM Express, Cisco Router and Security Device Manager et
linterface de ligne de commande.
Champ Nom dhte
Indiquez le nom que vous souhaitez attribuer au routeur.
Champ Nom de domaine
Entrez le nom de domaine de votre entreprise. Un exemple de nom de domaine
pourrait tre cisco.com, mais il est possible que votre nom de domaine se termine
par un suffixe diffrent, comme .org ou .net.
1-3
Cisco SDM Express
OL-7141-04
Champs Nom dutilisateur et Mot de passe
Dfinissez le nom dutilisateur et le mot de passe des utilisateurs de
Cisco SDM Express et de Telnet.
Remarque Le nom dutilisateur et le mot de passe dfinis dans cette fentre sont ceux que
vous saisirez dsormais dans Cisco SDM Express (jusqu leur prochaine
modification). Le mot de passe doit tre difficile trouver pour une tierce
personne mais facile retenir.
Champ Nom dutilisateur
Saisissez un nom dutilisateur dans ce champ.
Champ Entrez un nouveau mot de passe
Saisissez le nouveau mot de passe dans ce champ. Ce mot de passe doit contenir
au moins 6 caractres.
Champ Confirmer le mot de passe
Confirmez le nouveau mot de passe en le retapant.
Champ Activer le mot de passe secret
La fonction Mot de passe secret dactivation permet de contrler laccs en mode
privilgi EXEC par les utilisateurs qui se connectent au routeur via Telnet ou le
port de console. En mode EXEC privilgi, les utilisateurs peuvent modifier la
configuration du routeur et ont accs des commandes qui ne sont pas accessibles
autrement. Entrez le mot de passe secret dans le champ Entrez un nouveau mot
de passe, puis confirmez-le dans le champ Confirmer le mot de passe. Ce mot
de passe doit contenir au moins 6 caractres.
Remarque Le mot de passe doit tre difficile trouver pour une tierce personne mais vous
devez pouvoir vous en souvenir facilement. Sachez que ce mot de passe est
illisible dans le fichier de configuration, car stock sous forme crypte.
Dimensionnement du routeur
1-4
Cisco SDM Express
OL-7141-04
Dimensionnement du routeur
Cette fentre contient les options disponibles pour le dimensionnement du
routeur. Certaines de ces fonctions sont visibles uniquement si elles sont prises en
charge par votre version de Cisco IOS.
SDM Express
Slectionnez cette option pour utiliser Cisco SDM Express manuellement pour le
dploiement du routeur.
Unit USB ou flash USB
Slectionnez cette option si vous disposez dune unit USB ou dun priphrique
flash associ au routeur et ayant le fichier de configuration adquat.
Remarque Si les deux sont connects au routeur, Cisco SDM Express utilise lunit USB.
Si vous souhaitez utiliser le priphrique flash USB connect au routeur, toutes
les units USB doivent tre supprimes du routeur avant dexcuter
Cisco SDM Express.
Secure Device Provisioning
Slectionnez SDP (Secure Device Provisioning) si votre administrateur rseau
vous a donn les instructions pour dployer votre routeur avec SDP.
Vrifiez les lments suivants avant de slectionner loption SDP :
Le routeur et le serveur SDP sont relis par une connexion IP.
Votre navigateur Web prend en charge JavaScript.
Si vous slectionnez SDP, une nouvelle fentre de navigateur souvre
automatiquement lissue de lexcution de lassistant Cisco SDM Express. Cette
nouvelle fentre dispose dun assistant qui vous guide pour dployer votre routeur
avec SDP.
Pour plus dinformations sur SDP (en anglais), cliquez sur le lien suivant :
http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/products_feature_gui
de09186a008028afbd.html#wp1043332
1-5
Cisco SDM Express
OL-7141-04
Dploiement partir dune unit USB
Serveur CNS
Si votre fournisseur daccs vous a fourni les informations du serveur Cisco
Network Services, choisissez cette option. Pour plus dinformations,
reportez-vous Cisco Network Services.
Dploiement partir dune unit USB
Cette fentre vous permet de dployer votre routeur avec un fichier de
configuration CCCD charg partir dune unit USB connecte votre routeur.
Les CCCD sont des fichiers de configuration de dmarrage chargs sur des units
USB laide du logiciel TMS.
Remarque Cette fentre est uniquement disponible si une unit USB est connecte votre
routeur. Si les deux sont connects au routeur, Cisco SDM Express utilise lunit
USB. Si vous souhaitez utiliser le priphrique flash USB connect au routeur,
toutes les units USB doivent tre supprimes du routeur avant dexcuter
Cisco SDM Express.
Si vous dployez votre routeur avec un fichier de configuration CCCD, le fichier
est fusionn avec la configuration en cours et fait galement partie de la
configuration de dmarrage.
Attention Cisco SDM ne vrifie pas la validit des fichiers de configuration utiliss pour
dployer votre routeur. Vrifiez quils contiennent les paramtres adquats.
Pour dployer votre routeur partir dune unit USB, procdez comme suit :
tape 1 Slectionnez le nom de lunit USB dans le menu droulant Nom de lunit.
tape 2 Slectionnez Spcifiez le priphrique et le PIN et entrez le PIN dans le champ
PIN de lunit si vous ne souhaitez pas utiliser le PIN par dfaut pour vous
connecter lunit USB.
Si vous slectionnez Spcifiez le priphrique et le PIN par dfaut, le PIN par
dfaut 1234567890 est utilis pour se connecter lunit USB.
Acheminement partir du flash USB
1-6
Cisco SDM Express
OL-7141-04
tape 3 Cliquez sur Connexion pour vous connecter lunit USB.
Si vous ne pouvez pas vous connecter lunit USB, le routeur ne peut pas tre
dploy partir de celle-ci. Cliquez sur le bouton Prcdent et slectionnez une
autre mthode de dploiement du routeur.
tape 4 Cliquez sur Prvisualiser CCCD pour afficher le contenu du fichier dans le
panneau infrieur.
Cette fentre vous permet de dployer votre routeur avec un fichier de
configuration charg partir dun priphrique flash USB connect votre
routeur. Cette fentre est uniquement disponible si un priphrique flash USB est
connect votre routeur.
Si vous dployez votre routeur avec un fichier de configuration, le fichier est
fusionn avec la configuration en cours et fait galement partie de la
configuration de dmarrage.
Attention Cisco SDM ne vrifie pas la validit des fichiers de configuration utiliss pour
dployer votre routeur. Vrifiez quils contiennent les donnes adquates.
Pour dployer votre routeur partir dun priphrique flash USB, procdez
comme suit :
tape 1 Entrez le nom du fichier de configuration, avec le chemin complet dans le champ
Nom du fichier ou cliquez sur Parcourir pour ouvrir la fentre de slection du
fichier.
Le fichier doit avoir lextension .cfg ou le nom de fichier doit tre un fichier
CCCD. Les fichiers CCCD sont des fichiers de configuration de dmarrage.
tape 2 Cliquez sur Aperu fichier pour afficher le contenu du fichier dans le panneau
infrieur.
1-7
Cisco SDM Express
OL-7141-04
Slection de fichier
Cette fentre vous permet de charger un fichier partir de votre routeur. Seuls les
fichiers systme DOSFS sont affichs dans cette fentre.
Le ct gauche de la fentre affiche un arbre droulant reprsentant le systme de
rpertoire sur la mmoire flash du routeur Cisco et sur les priphriques USB
connects sur le routeur.
Le ct droit de la fentre affiche une liste des noms de fichiers et des rpertoires
trouvs dans le rpertoire indiqu dans le ct gauche de la fentre. Sont
galement affiches, la taille de chaque fichier en octets ainsi que la date et
lheure de la dernire modification des fichiers et des rpertoires.
Choisissez un fichier charger dans la liste sur le ct droit de la fentre. En
dessous de la liste des fichiers se trouve le champ Nom de fichier contenant le
chemin entier du fichier indiqu.
Remarque Si un fichier de configuration est choisi pour dployer votre routeur, le fichier doit
tre un fichier CCCD ou avoir une extension .cfg.
Nom
Cliquez sur Nom pour classer les fichiers et les rpertoires par ordre alphabtique.
Cliquez nouveau sur Nom pour inverser lordre.
Taille
Cliquez sur Taille pour classer les fichiers et les rpertoires par taille. Les
rpertoires ont toujours une taille de zro octet mme sils ne sont pas vides.
Cliquez nouveau sur Taille pour inverser lordre.
Heure modifie
Cliquez sur Heure modifie pour classer les fichiers et les rpertoires selon la
date et lheure de leur dernire modification. Cliquez nouveau sur Heure
modifie pour inverser lordre.
Configuration de linterface sans fil
1-8
Cisco SDM Express
OL-7141-04
Configuration de linterface sans fil
Pour configurer linterface sans fil du routeur, cliquez sur Oui. Cisco SDM Express
configure le routeur pour raccorder le trafic sans fil linterface LAN. Cliquez sur
Non si vous ne souhaitez pas configurer linterface sans fil. Vous pouvez toujours
configurer les paramtres dinterface LAN si vous cliquez sur Non.
Cisco SDM Express vous permet de configurer une seule interface sans fil. Sil y
a des interfaces sans fil supplmentaires sur votre routeur, utilisez lapplication
sans fil pour les configurer.
Configuration de linterface LAN
Cette fentre vous permet de configurer ladresse IP et le masque de sous-rseau
de linterface Ethernet du LAN.
Si vous devez modifier ladresse IP et les informations de sous-rseau de
linterface Ethernet du rseau LAN lissue de lexcution de lAssistant
Cisco SDM Express, vous pouvez redmarrer Cisco SDM Express, cliquer sur
LAN et modifier ladresse en consquence.
Liste Interface/Raccordement linterface
Si le routeur possde plusieurs interfaces LAN, celles-ci saffichent dans cette
liste. Slectionnez linterface LAN configurer.
Si le routeur possde une interface sans fil et si vous avez cliqu sur Oui dans la fentre
Configuration de linterface sans fil, cette liste est libelle Raccordement linterface.
Slectionnez linterface laquelle vous souhaitez raccorder le trafic sans fil.
Champ Adresse IP
Saisissez ladresse IP de linterface LAN en sparant chaque nombre par un point.
Il peut sagir dune adresse IP prive si vous prvoyez dutiliser la conversion
dadresse rseau (NAT) ou la conversion dadresse de port (PAT).
Remarque Notez cette adresse par crit. lissue de lexcution de lassistant
Cisco SDM Express et aprs avoir redmarr le routeur, utilisez cette adresse
pour excuter Cisco SDM Express. Nutilisez pas ladresse fournie dans le guide
de dmarrage rapide du routeur.
1-9
Cisco SDM Express
OL-7141-04
Configuration de linterface LAN
Champ Masque de sous-rseau
Indiquez le masque de sous-rseau du rseau. Demandez cette valeur votre
administrateur rseau ou votre fournisseur daccs. Le masque de sous-rseau
permet au routeur de dterminer quelle partie de ladresse IP correspond au rseau
et quelle partie correspond au sous-rseau. La valeur du masque de sous-rseau
dtermine galement le nombre dhtes pouvant tre prsents dans le LAN auquel
ce routeur est connect.
Champ Bits de sous-rseau
Vous pouvez galement indiquer le nombre de bits utiliss pour dfinir la partie
rseau et la partie sous-rseau de ladresse IP. Il est possible que votre
administrateur rseau ou votre fournisseur daccs vous fournisse le masque de
sous-rseau sous cette forme.
Champs Paramtres sans fil
Au cours de la configuration initiale, ces champs saffichent si le routeur possde
une interface sans fil et si vous avez cliqu sur Oui dans la fentre Configuration
de linterface sans fil. Si vous modifiez une configuration, ces champs
apparaissent si vous avez effectu des rglages sans fil au cours de la
configuration initiale. Le trafic sans fil sera raccord cette interface LAN.
Saisissez un identificateur de jeu de services (SSID) pour ce trafic sans fil. La
valeur de SSID est un identifiant unique utilis par les priphriques de rseau
sans fil pour tablir et maintenir la connectivit sans fil.
Remarque La modification dune valeur SSID configure met fin la connexion sans fil.
Si vous modifiez une configuration LAN lissue de lexcution de lAssistant
Cisco SDM Express et si vous souhaitez configurer des paramtres sans fil
avancs, cliquez sur Sans fil dans la barre Catgorie.
Boutons Actualiser, Appliquer les modifications, Annuler les modifications
Ces boutons sont visibles si vous modifiez une configuration initiale. Pour plus
dinformations, cliquez sur Boutons Cisco SDM Express.
Configuration du serveur DHCP
1-10
Cisco SDM Express
OL-7141-04
Le protocole DHCP (Dynamic Host Configuration Protocol) est un type simple
dadressage utilis lorsque ladressage statique nest pas ncessaire ou lorsque
vous navez pas besoin dutiliser des numros de port pour des services
particuliers. DHCP alloue dynamiquement une adresse IP un hte ds sa
connexion au rseau et la lui retire ds quil se dconnecte. Ainsi, les adresses
sont rutilisables partir du moment o les htes nen ont plus besoin. Utilisez
DHCP pour attribuer des adresses des ressources (des PC, par exemple) dans
votre rseau interne.
Case cocher Activer le serveur DHCP sur linterface de rseau local
Cochez cette case pour autoriser le routeur attribuer des adresses IP prives
des priphriques sur le rseau LAN. Lorsque cette case est coche, le serveur
DHCP assigne des adresses IP des htes pour une priode dune journe. Si vous
cochez cette case, vous devez entrer des valeurs dans les champs Adresse IP de
dbut et Adresse IP de fin.
Champ Adresse IP de dbut
Cisco SDM Express entre dans ce champ ladresse la plus basse de la plage
dadresses IP, en fonction de ladresse et du masque de sous-rseau que vous avez
attribus linterface LAN. Vous pouvez remplacer cette valeur par une valeur
suprieure si vous souhaitez rduire le pool dadresses DHCP, mais cette adresse
doit appartenir au mme sous-rseau que ladresse de linterface LAN. Sinon,
Cisco SDM Express affiche un message prcisant que ladresse nest pas correcte.
Champ Adresse IP de fin
Cisco SDM Express entre dans ce champ ladresse la plus leve de la plage
dadresses IP, en fonction de ladresse IP et du masque de sous-rseau que vous
avez attribus linterface LAN. Vous pouvez remplacer cette valeur par une
valeur infrieure si vous souhaitez rduire le pool dadresses DHCP, mais cette
adresse doit appartenir au mme sous-rseau que ladresse de linterface LAN.
Sinon, Cisco SDM Express affiche un message prcisant que ladresse nest pas
correcte.
1-11
Cisco SDM Express
OL-7141-04
Ce champ est visible une fois que vous avez termin la configuration initiale.
Vous pouvez spcifier le nom de domaine de votre entreprise. Un exemple de nom
de domaine pourrait tre cisco.com, mais il est possible que votre nom de domaine
se termine par un suffixe diffrent, comme .org ou .net.
Case cocher Importer toutes les options DHCP dans la base de donnes du serveur DHCP
Ce champ est visible une fois que vous avez termin la configuration initiale.
Cochez cette option si vous souhaitez importer les paramtres doption DHCP
dans la base de donnes du serveur DHCP et envoyer galement ces informations
aux clients DHCP sur le rseau LAN lorsquils demandent une adresse IP.
Champ DNS principal
Saisissez ladresse IP du serveur DNS principal utilis par le routeur. Cette
adresse IP vous est fournie par votre administrateur rseau ou votre fournisseur
daccs.
Le serveur DNS principal est le serveur contact en premier par le routeur
lorsquil tente de rsoudre une adresse IP.
Champ DNS secondaire
Saisissez ladresse IP du serveur DNS secondaire utilis par le routeur (si un tel
serveur est disponible). Cette adresse IP vous est fournie par votre administrateur
rseau ou votre fournisseur daccs.
Saisissez ladresse IP du serveur DNS secondaire utilis par le routeur si le
serveur principal nest pas disponible.
Case cocher Utiliser ces valeurs DNS pour les clients DHCP
Cette case est disponible si un serveur DHCP est activ sur linterface LAN.
Cochez-la si vous souhaitez que les clients DHCP du routeur puissent utiliser les
serveurs DNS dont vous saisissez les adresses IP dans cette fentre.
dinformations, reportez-vous Boutons Cisco SDM Express.
Internet (WAN) : Interface Ethernet
1-12
Cisco SDM Express
OL-7141-04
Internet (WAN) : Interface Ethernet
Utilisez cette fentre pour configurer une interface WAN Ethernet.
Case cocher Activer PPPoE
Si votre fournisseur daccs requiert que le routeur utilise PPPoE, cochez cette
case pour activer lencapsulation PPPoE. Dans le cas contraire, dcochez-la.
Cette case nest pas disponible si votre routeur excute une version de Cisco IOS
ne prenant pas en charge lencapsulation PPPoE.
Liste des types dadresse
Slectionnez lune des options suivantes :
Option Adresse IP statique
Si vous choisissez une adresse IP statique, entrez ladresse IP et le masque de
sous-rseau ou les bits de sous-rseau dans les champs proposs.
Option Dynamique (Client DHCP)
Si vous choisissez Dynamique, le routeur loue une adresse IP partir dun serveur
DHCP distant. Entrez le nom du serveur DHCP qui va attribuer les adresses.
Option IP non numrote
Slectionnez IP non numrote si vous souhaitez que linterface partage une
adresse IP dj attribue une autre interface. Choisissez ensuite linterface ayant
ladresse IP que linterface en cours de configuration doit utiliser. Si loption
Activer PPPoE nest pas slectionne, cette option nest pas disponible.
Easy IP (IP Ngocie)
Slectionnez Easy IP (IP Ngocie) si le routeur obtient une adresse IP suite
une ngociation dadresse PPP/IPCP. Si loption Activer PPPoE nest pas
slectionne, cette option nest pas disponible.
Case cocher Type dauthentification
Cochez la case correspondant au type dauthentification utilis par votre
fournisseur daccs. Si vous ne le connaissez pas, cochez les deux cases : le routeur
essaie les deux types dauthentification. Lune de ces tentatives doit aboutir.
Lauthentification CHAP est plus sre que lauthentification PAP.
1-13
Cisco SDM Express
OL-7141-04
Internet (WAN) : Dtection auto dencapsulation
Le nom dutilisateur vous est fourni par votre fournisseur daccs Internet ou par
votre administrateur rseau. Il est utilis pour lauthentification CHAP et/ou PAP.
Champ Mot de passe
Entrez le mot de passe tel quil vous a t fourni par votre fournisseur daccs.
Les mots de passe sont sensibles la casse. Par exemple, le mot de passe test
est diffrent du mot de passe Test .
Tapez nouveau le mot de passe indiqu dans le champ prcdent.
Internet (WAN) : Dtection auto dencapsulation
Cisco SDM Express prend en charge la dtection automatique sur les routeurs SB
106, SB 107, Cisco 836 et Cisco 837. Cependant, si vous configurez un routeur
Cisco 837 fonctionnant avec la version 12.3(8)T ou 12.3(8.3)T de Cisco IOS la
fonction de dtection automatique nest pas prise en charge.
Cliquez sur le bouton Dtection auto pour que Cisco SDM Express dcouvre le
type dencapsulation. Si Cisco SDM Express aboutit, il indique automatiquement
le type dencapsulation ainsi que dautres paramtres de configuration.
Si Cisco SDM Express nest pas capable de dtecter le type dencapsulation, vous
devez spcifier les types dencapsulation et dauthentification en cliquant sur
Indiqu par lutilisateur.
Internet (WAN) : Encapsulation indique par lutilisateur
1-14
Cisco SDM Express
OL-7141-04
Icne tat et bouton Activer ou Dsactiver
Licne tat saffiche lorsque vous utilisez Cisco SDM Express pour modifier une
configuration initiale. Licne reprsentant une flche vers le haut indique que
linterface est en service. Licne reprsentant une flche vers le bas indique que
linterface est arrte.
Le bouton Activer ou Dsactiver est disponible lorsque vous utilisez
Cisco SDM Express pour modifier une configuration initiale. Si une interface
slectionne est active, vous pouvez utiliser le bouton Dsactiver pour larrter.
Si une interface slectionne est arrte, vous pouvez utiliser le bouton Activer
pour lactiver.
Internet (WAN) : Encapsulation indique par
lutilisateur
Cette fentre vous permet de configurer une interface WAN lors de la dfinition
de lencapsulation.
Icne tat et bouton Activer ou Dsactiver
Licne tat saffiche lorsque vous utilisez Cisco SDM Express pour modifier une
configuration initiale. Licne reprsentant une flche vers le haut indique que
linterface est en service. Licne reprsentant une flche vers le bas indique que
linterface est arrte.
Le bouton Activer ou Dsactiver est disponible lorsque vous utilisez
Cisco SDM Express pour modifier une configuration initiale. Si une interface
slectionne est active, vous pouvez utiliser le bouton Dsactiver pour larrter.
Si une interface slectionne est arrte, vous pouvez utiliser le bouton Activer
pour lactiver.
1-15
Cisco SDM Express
OL-7141-04
Liste Encapsulation
Les encapsulations disponibles pour une interface ADSL, G.SHDSL ou ADSL sur
RNIS sont rpertories dans le tableau ci-dessous.
Champ Identificateur de chemin virtuel
Saisissez la valeur du VPI (Identificateur de chemin virtuel) qui vous a t fournie
par votre administrateur rseau ou votre fournisseur daccs. Le VPI est utilis
dans le routage et la commutation ATM pour identifier le chemin utilis par un
certain nombre de connexions.
Champ Identificateur de circuit virtuel
Saisissez la valeur du VCI (Identificateur de circuit virtuel) qui vous a t fournie
par votre administrateur rseau ou votre fournisseur daccs. Le VCI est utilis
dans le routage et la commutation ATM pour identifier une connexion dans un
chemin quelle peut partager avec dautres connexions.
Encapsulation Description
PPPoE Offre une encapsulation Point-to-Point Protocol over Ethernet. Une
sous-interface ATM et une interface de numroteur sont cres lorsque vous
configurez PPPoE sur une interface ATM. Ces interfaces logiques seront visibles
dans la fentre Synthse.
Loption radio PPPoE est dsactive si votre routeur excute une version de
Cisco IOS ne prenant pas en charge lencapsulation PPPoE.
PPPoA Offre une encapsulation Point-to-Point Protocol over ATM (AAL5 SNAP et
AAL5 MUX). Loption radio PPPoA est dsactive si votre routeur excute une
version de Cisco IOS ne prenant pas en charge lencapsulation PPPoA.
Routage RFC 1483
avec AAL5 SNAP
Cette option est disponible si vous avez slectionn une interface ATM. Une
sous-interface ATM est cre lorsque vous configurez une connexion RFC 1483.
Cette sous-interface apparat dans la fentre Synthse.
Routage RFC 1483
avec AAL5 MUX
Cette option est disponible si vous avez slectionn une interface ATM. Une
sous-interface ATM est cre lorsque vous configurez une connexion RFC 1483.
Cette sous-interface apparat dans la fentre Synthse.
1-16
Cisco SDM Express
OL-7141-04
Slectionnez lune des options suivantes :
Adresse IP statique : si vous choisissez une adresse IP statique, saisissez
ladresse IP et le masque de sous-rseau ou les bits de sous-rseau dans les
champs proposs.
Dynamique (Client DHCP) : si vous choisissez Dynamique, le routeur loue
une adresse IP partir dun serveur DHCP distant. Entrez le nom du serveur
DHCP qui va attribuer les adresses.
IP non numrote : slectionnez cette option si vous souhaitez que
linterface partage une adresse IP qui a dj t affecte une autre interface.
Choisissez ensuite linterface ayant ladresse IP que linterface en cours de
configuration doit utiliser.
Easy IP (IP Ngocie) : slectionnez Easy IP (IP Ngocie) pour que le
routeur obtienne une adresse IP via la ngociation dadresse PPP/IPCP.
Adresse IP de la connexion distante au bureau central
Si vous configurez une connexion G.SHDSL, saisissez ladresse IP de la
passerelle laquelle la liaison est connecte. Cette adresse IP vous est
communique par votre fournisseur daccs ou votre administrateur rseau. La
passerelle correspond au systme auquel le routeur doit se connecter pour accder
Internet ou au WAN de votre entreprise.
Case cocher Type dauthentification
Cochez la case correspondant au type dauthentification utilis par votre
fournisseur daccs. Si vous ne le connaissez pas, cochez les deux cases : le routeur
essaie les deux types dauthentification. Lune de ces tentatives doit aboutir.
Lauthentification CHAP est plus sre que lauthentification PAP.
Entrez le nom dutilisateur qui vous est fourni par votre fournisseur daccs
Internet ou par votre administrateur rseau. Il est utilis pour lauthentification
CHAP et/ou PAP.
Champ Mot de passe
Entrez le mot de passe tel quil vous a t fourni par votre fournisseur daccs.
Les mots de passe sont sensibles la casse. Par exemple, le mot de passe test
est diffrent du mot de passe Test .
1-17
Cisco SDM Express
OL-7141-04
Slection dune interface WAN
Tapez nouveau le mot de passe indiqu dans le champ prcdent.
Cisco SDM Express vous permet de configurer une connexion WAN. Si votre
routeur possde plusieurs interfaces WAN, slectionnez celle que vous souhaitez
configurer dans cette fentre. Slectionnez linterface configurer dans la liste,
cliquez sur Ajouter une connexion et configurez la connexion dans la bote de
dialogue qui saffiche.
Remarque Si vous ne configurez pas de connexion WAN, vous ne pouvez pas configurer de
pare-feu, de routage, de Cisco Network Services ou de SDP.
Boutons Ajouter une connexion, Modifier, Supprimer
Le bouton Ajouter une connexion est activ si aucune configuration WAN nest
encore configure. Les boutons Modifier et Supprimer sont activs si au moins
une connexion WAN a t configure.
Pour configurer une interface, slectionnez-la et cliquez sur Ajouter une
connexion. Si ce bouton est dsactiv, vous pouvez configurer des connexions
WAN supplmentaires laide de Cisco SDM ou supprimer une connexion
configure et en configurer une nouvelle.
Pour modifier une configuration existante, slectionnez linterface et cliquez sur
Modifier.
Pour supprimer une configuration, slectionnez linterface et cliquez sur Supprimer.
1-18
Cisco SDM Express
OL-7141-04
Bouton Activer ou Dsactiver
Ce bouton est disponible lorsque vous utilisez Cisco SDM Express pour modifier
une configuration initiale. Si une interface slectionne est active, vous pouvez
utiliser le bouton Dsactiver pour larrter. Si une interface slectionne est
arrte, vous pouvez utiliser le bouton Activer pour lactiver.
Liste dinterfaces
La liste dinterfaces contient le nom, ladresse IP et le type dinterface pour toutes
les interfaces WAN. Si aucune adresse IP na t configure pour une interface,
le texte Aucune adresse IP saffiche.
Remarque Si vous navez pas configur linterface LAN par dfaut avec la nouvelle adresse
dans la fentre Configuration de linterface LAN, elle est rpertorie dans cette
fentre et peut tre configure en tant quinterface WAN.
Bouton Actualiser
Connexion srie
Utilisez cette fentre pour crer ou modifier une connexion srie.
Liste Encapsulation
Slectionnez lencapsulation pour cette connexion. Si vous procdez la
modification dune connexion, vous ne pouvez pas modifier le type
dencapsulation dans cette fentre. Vous devez supprimer la connexion, puis en
crer une nouvelle avec le type dencapsulation souhait.
Relais de trame : protocole de lindustrie des tlcommunications, applicable
la couche de liaison commute, capable de grer plusieurs circuits virtuels
en utilisant lencapsulation HDLC entre les priphriques connects.
1-19
Cisco SDM Express
OL-7141-04
HDLC : abrviation de High-Level Data Link Control. Protocole de niveau
binaire de la couche de liaison synchrone dvelopp par lISO (International
Standards Organization), qui prconise une mthode dencapsulation des
donnes sur les liaisons srie synchrones utilisant les caractres de trame et
les sommes de contrle.
PPP : protocole point point.
Dtails sur lauthentification
Si vous slectionnez lencapsulation PPP, vous pouvez fournir les informations
dauthentification que votre fournisseur daccs Internet est susceptible dexiger.
Nom dutilisateur : entrez exactement le nom dutilisateur tel quil vous a
t fourni par votre fournisseur daccs Internet ou par votre administrateur
rseau. Il est utilis pour lauthentification CHAP et/ou PAP.
Mot de passe : entrez le mot de passe tel quil vous a t fourni par votre
fournisseur daccs. Les mots de passe sont sensibles la casse. Par exemple,
le mot de passe test est diffrent du mot de passe Test .
Confirmer le mot de passe : tapez nouveau le mot de passe indiqu dans
le champ prcdent.
Adresse IP statique : disponible avec les types dencapsulation Relais de trame,
PPP et HDLC. Si vous choisissez une adresse IP statique, entrez ladresse IP et
le masque de sous-rseau ou les bits de sous-rseau dans les champs proposs.
IP non numrote : disponible avec les types dencapsulation Relais de
trame, PPP et HDLC. Slectionnez IP non numrote si vous souhaitez que
linterface partage une adresse IP dj attribue une autre interface.
Choisissez ensuite linterface ayant ladresse IP que linterface en cours de
configuration doit utiliser.
IP Ngocie : disponible uniquement avec le type dencapsulation PPP.
Slectionnez Easy IP (IP Ngocie) si le routeur obtient une adresse IP suite
une ngociation dadresse PPP/IPCP.
1-20
Cisco SDM Express
OL-7141-04
Champs Adresse IP et Masque de sous-rseau
Si vous slectionnez Adresse IP statique, indiquez dans ces champs ladresse IP
et les masques de sous-rseau.
Lien Paramtres de la configuration Relais de trame
Pour obtenir une description des champs DLCI, LMI et Utiliser lencapsulation de
relais de trame IETF, reportez-vous Paramtres de la configuration Relais de trame.
Paramtres de la configuration Relais de trame
Champ DLCI
Entrez dans ce champ lidentification DLCI (Data Link Connection Identifier). Ce
numro doit tre unique pour tous les DLCI utiliss sur cette interface. Le DLCI
fournit une identification de relais de trame unique pour cette connexion.
En cas de modification dune connexion existante, ce champ nest pas disponible.
Si vous devez modifier le DLCI, supprimez la connexion et recrez-la nouveau.
Champ Type LMI
Renseignez-vous auprs de votre fournisseur daccs pour connatre les types de
LMI (Local Management Interface) utiliser. Le type de LMI correspond au
protocole utilis pour surveiller la connexion :
Option ANSI
Annexe D dfinie par la norme ANSI (American National Standards Institute) T1.617.
Option Cisco
Type LMI dfini conjointement par Cisco Systems et trois autres socits.
Option UIT-T Q.933
UIT-T Q.933 Annexe A.
Option Autodtection
Valeur par dfaut. Ce paramtre permet au routeur de dtecter le type LMI utilis
pour communiquer avec le commutateur, et dutiliser ce type. Si lautodtection
choue, le routeur utilise le type LMI Cisco.
1-21
Cisco SDM Express
OL-7141-04
Internet (WAN) : Options avances
Case cocher Utiliser lencapsulation de relais de trame IETF
Cochez cette case pour utiliser lencapsulation IETF (Internet Engineering Task
Force). Cette option est utilise pour se connecter des routeurs non fabriqus par
Cisco. Cochez cette case si vous utilisez cette interface pour vous connecter des
routeurs non fabriqus par Cisco.
Internet (WAN) : Options avances
Cette fentre vous permet de spcifier un routage statique par dfaut et dactiver
la conversion NAT sur le rseau.
Case cocher Crer le routage par dfaut
Un routage statique par dfaut spcifie une adresse IP ou une interface vers
laquelle le routeur envoie le trafic lorsque celui-ci est li un rseau que le routeur
ne connat pas. Si vous slectionnez Utiliser cette interface comme interface de
Transmission, le routeur envoie ce type de trafic vers une interface WAN que vous
configurez. Si vous slectionnez Adresse IP de relais suivant, indiquez ladresse
vers laquelle vous souhaitez que le routeur transfre ce type de trafic.
Ces champs ne saffichent pas si vous avez slectionn une interface WAN avec
une adresse IP dynamique.
Informations du serveur CNS
Cette fentre apparat si vous avez configur une connexion WAN et choisi de
dployer le routeur laide de loption Cisco Network Services. Elle vous permet
de saisir les informations du serveur Cisco Network Services fournies par votre
fournisseur daccs. Entrez ladresse IP et les informations de connexion des
serveurs Cisco Network Services pour que Cisco SDM Express puisse tlcharger
les informations de configuration de votre routeur.
Champ Entrez le nom dhte/ladresse IP du serveur CNS
Vous devez entrer soit une adresse IP ou un nom dhte du serveur Cisco Network
Services sur votre rseau. Si vous indiquez un nom dhte, vous devez prciser
ladresse IP dun serveur DNS capable de rsoudre le nom dhte en une adresse IP.
Informations du serveur CNS
1-22
Cisco SDM Express
OL-7141-04
Champ Entrez la chane didentification du CNS
Saisissez lID de priphrique requis pour tlcharger le fichier de configuration
depuis le serveur Cisco Network Services.
Champ Entrez le mot de passe du CNS
Saisissez le mot de passe utilis pour se connecter au serveur Cisco Network
Services avec lID utilisateur saisie prcdemment.
Champ DNS principal
Saisissez ladresse IP du serveur DNS principal utilis par le routeur. Cette adresse IP
vous est fournie par votre administrateur rseau ou votre fournisseur daccs.
Le serveur DNS principal est le serveur contact en premier par le routeur
lorsquil tente de rsoudre une adresse IP.
Remarque Si vous indiquez un nom dhte pour identifier un serveur Cisco Network
Services dans le champ Entrez ladresse IP/nom dhte du serveur CNS, vous
devez saisir ladresse IP dun serveur DNS dans le champ DNS principal.
Champ DNS secondaire
Saisissez ladresse IP du serveur DNS secondaire utilis par le routeur (si un tel
serveur est disponible). Cette adresse IP vous est fournie par votre administrateur
rseau ou votre fournisseur daccs.
Saisissez ladresse IP du serveur DNS secondaire utilis par le routeur si le
serveur principal nest pas disponible.
1-23
Cisco SDM Express
OL-7141-04
Configuration du pare-feu
Configuration du pare-feu
La fentre Configuration du pare-feu vous permet de laisser Cisco SDM Express
configurer un pare-feu sur vos interfaces WAN et LAN. Vous pouvez appliquer un
pare-feu pendant la configuration initiale ou utiliser Cisco SDM Express pour
lappliquer aprs avoir attribu au routeur sa configuration initiale.
Si vous laissez Cisco SDM Express configurer le pare-feu, vous pouvez modifier
la configuration du pare-feu ultrieurement laide de la fonction de
configuration de stratgie de pare-feu de Cisco SDM.
Remarque Cette fonction est disponible si la version de Cisco IOS excute sur le
routeur prend en charge le jeu de fonctions du pare-feu.
La fentre Configuration du pare-feu ne saffiche pas si vous navez pas
configur dinterface WAN.
Le pare-feu assure votre rseau les protections suivantes :
Appliquez les rgles daccs par dfaut linterface interne et linterface
externe : Cisco SDM Express cre et applique une liste de rgles daccs par
dfaut qui, entre autres, autorisent les trafics DNS et HTTP, et bloquent
lespace dadresses IP prives.
Appliquez une rgle dinspection par dfaut linterface externe
Cisco SDM Express : SDM cre et applique une liste de rgles dinspection
par dfaut.
Activez la rmission en sens inverse de la source (Unicast RPF) sur
linterface externe : La fonction IP Unicast RPF permet au routeur de
comparer ladresse source de chaque paquet celle de linterface via laquelle
le paquet est entr dans le routeur. Si le chemin daccs linterface dentre
ne correspond pas ladresse source indique dans la table de routage, le
paquet est supprim. Cette vrification de ladresse source permet
dempcher lusurpation dadresse IP.
Si vous choisissez de laisser Cisco SDMExpress configurer le pare-feu, vous pouvez
modifier la configuration de pare-feu ultrieurement laide de Cisco SDM. Si vous
prfrez ne pas avoir de pare-feu configur, vous pourrez en configurer un plus tard
laide de Cisco SDMExpress ou de Cisco SDM. Pour plus dinformations,
reportez-vous la section Cisco Router and Security Device Manager.
Paramtres de scurit
1-24
Cisco SDM Express
OL-7141-04
Paramtres de scurit
Cette fentre vous permet de dsactiver les fonctions actives par dfaut dans le
logiciel Cisco IOS et qui peuvent gnrer des risques pour la scurit ou qui
forcent le routeur envoyer des messages trop volumineux pour la mmoire
disponible. Laissez ces cases coches sauf si vos besoins sont diffrents. Cette
rubrique daide vous dirige vers les descriptions de chacun des paramtres de
scurit que Cisco SDM Express ralise.
Vous pouvez utiliser Cisco SDM Express pour modifier les paramtres de scurit
dfinis dans cette fentre une fois la configuration initiale termine. Si vous
souhaitez modifier lun des paramtres de ces groupes de paramtres dcrits dans
cette rubrique daide, vous pouvez le faire laide de Cisco SDM. Pour plus
dinformations, reportez-vous la section Cisco Router and Security Device
Manager.
Case cocher Dsactiver les services SNMP sur le routeur
Cochez cette case pour dsactiver le service SNMP sur le routeur. Pour savoir
pourquoi SNMP doit tre dsactiv, reportez-vous Dsactiver SNMP.
Case cocher Dsactiver les services entranant des risques pour la scurit
Cochez cette case pour dsactiver les services suivants sur le routeur. Pour savoir
pourquoi ces services doivent tre dsactivs, cliquez sur les liens ci-dessous :
Dsactiver le service Finger
Dsactiver le service PAD
Dsactiver le service TCP Small Servers
Dsactiver le service UDP Small Servers
Dsactiver le service IP Bootp Server
Dsactiver le service IP Ident
Dsactiver CDP
Dsactiver le routage dIP source
Dsactiver les messages ARP
Dsactiver la redirection dIP
Dsactiver le Proxy IP ARP
1-25
Cisco SDM Express
OL-7141-04
Paramtres de scurit
Dsactiver la diffusion dIP dirige
Dsactiver le service MOP
Dsactiver les IP injoignables
Dsactiver la rponse au masque IP
Case cocher Activer les services renforant la scurit sur le routeur/le rseau
Cochez cette case pour activer sur le routeur les fonctions et services amliorant
la scurit. Pour plus dinformations sur ces services et fonctions, cliquez sur les
liens ci-dessous :
Activer la commutation Netflow
Activer le maintien des connexions TCP pour les sessions Telnet entrantes
Activer le maintien des connexions TCP pour les sessions Telnet sortantes
Activer les numros de squence et les horodatages sur les dbogages
Activer IP CEF
Dfinir lintervalle de planification
Dfinir lallocation de planification
Dfinir la dure de TCP Synwait
Activer la connexion
Activer Unicast RPF sur toutes les interfaces externes
Case cocher Renforcer la scurit sur laccs au routeur
Cochez cette case pour mettre en uvre sur le routeur des configurations
renforant la scurit. Pour plus dinformations sur ces services et fonctions,
cliquez sur les liens ci-dessous :
Dfinir la longueur minimum du mot de passe pour quil ne dpasse pas 6
caractres
Dfinir le nombre dchecs didentification pour quil ne dpasse pas 3
tentatives de ridentification
Dfinir la bannire
Activer les paramtres Telnet
Activer SSH pour laccs au routeur
Synthse
1-26
Cisco SDM Express
OL-7141-04
Case cocher Crypter les mots de passe
Cochez cette case pour activer le cryptage des mots de passe. Pour plus
dinformations, reportez-vous Activer le service de cryptage des mots de passe.
Case cocher Synchroniser les paramtres dhorodatage du routeur avec ceux du PC
Active par dfaut. Si vous ne souhaitez pas attribuer au routeur les paramtres de
date et dheure du PC sur lequel vous excutez Cisco SDM Express, dcochez
cette case.
Synthse
La fentre Synthse vous montre les modifications que vous avez apportes la
configuration du routeur. Si vous souhaitez apporter des modifications
supplmentaires, cliquez sur Prcdent pour revenir la fentre approprie.
Cliquez sur Terminer pour enregistrer les donnes que vous avez saisies dans le
fichier de configuration du routeur.
Remarque Lorsque vous cliquez sur Terminer, vous perdez la connexion au routeur si vous
avez donn linterface LAN une nouvelle adresse IP comme il vous a t
recommand de le faire. Pour rtablir la connexion au routeur, vous devez vrifier
que le PC appartient toujours au mme sous-rseau que le routeur, puis saisir la
nouvelle adresse IP donne linterface LAN. Pour plus dinformations,
reportez-vous Reconnexion au routeur lissue de la configuration initiale.
1-27
Cisco SDM Express
OL-7141-04
Aide complmentaire
Aide complmentaire
Les rubriques daide suivantes fournissent des informations complmentaires.
Cisco Router and Security Device Manager
Une fois que vous avez utilis Cisco SDM Express pour attribuer votre routeur
une configuration de base, vous pouvez utiliser Cisco Router and Security Device
Manager (Cisco SDM) pour configurer des connexions supplmentaires, affiner
les configurations ralises laide de Cisco SDM Express et paramtrer des
fonctions avances telles que les rseaux privs virtuels (RPV) et les certificats
numriques.
Cisco SDM est peut-tre install sur votre routeur ou vous avez peut-tre reu un CD
que vous pouvez utiliser pour installer Cisco SDM sur votre PC ou sur votre routeur.
Si vous avez tlcharg Cisco SDM partir de Cisco.com, vous pouvez utiliser le
programme dinstallation pour installer Cisco SDM sur votre PC ou routeur.
Pour dmarrer Cisco SDM, cliquez sur Cisco SDM dans le menu Outils.
Cisco Network Services
Si votre fournisseur daccs vous a fourni les informations du serveur Cisco
Network Services, choisissez cette option. Lorsque vous slectionnez cette
option, lassistant Cisco SDM Express collecte des informations sur votre serveur
Cisco Network Services, puis affiche les fentres vous permettant de configurer
la connexion WAN au serveur Cisco Network Services et de tlcharger cette
configuration. Si votre fournisseur daccs ne vous a pas fourni les informations
du serveur Cisco Network Services ou si vous souhaitez configurer le routeur
laide de Cisco SDM Express, ne slectionnez pas cette option.
Aide complmentaire
1-28
Cisco SDM Express
OL-7141-04
Vous ne pouvez pas utiliser Cisco Network Services dans les cas suivants :
Aucune interface WAN nest installe sur votre routeur ou
Cisco SDM Express ne prend pas en charge linterface WAN installe sur
votre routeur. Cisco SDM Express doit pouvoir configurer une interface
WAN pour que le routeur puisse tlcharger le fichier de configuration Cisco
Network Services. Si Cisco SDM Express ne parvient pas configurer une
interface WAN, il affiche un message derreur indiquant que vous ne pouvez
pas utiliser Cisco Network Services. Si aucune interface WAN nest installe
sur le routeur et que vous souhaitez tout de mme utiliser Cisco Network
Services, cliquez sur Annuler pour quitter lassistant Dmarrage et fermez
Cisco SDM Express. Ensuite, installez une carte dinterface WAN prise en
charge par Cisco SDM Express, redmarrez Cisco SDM Express et
slectionnez Serveur CNS (Cisco Network Services server) dans lassistant
Dmarrage.
Pour consulter la liste des cartes dinterface prises en charge par Cisco SDM,
reportez-vous aux Notes sur la version de SDM (en anglais) ladresse :
http://www.cisco.com/go/sdm
Vous navez pas slectionn cette option, vous avez configur une interface
LAN et une interface WAN laide de Cisco SDM Express, puis vous tes
revenu la fentre Dimensionnement du routeur et avez slectionn Serveur
CNS. Si vous souhaitez utiliser Cisco Network Services, cliquez sur Annuler
pour quitter lassistant Dmarrage et fermez Cisco SDM Express.
Redmarrez ensuite Cisco SDM Express et slectionnez Serveur CNS dans
la fentre Dimensionnement du routeur.
Paramtres de scurit
Les rubriques suivantes dcrivent les paramtres de scurit que
Cisco SDM Express peut dfinir.
1-29
Cisco SDM Express
OL-7141-04
Aide complmentaire
Dsactiver SNMP
Cisco SDM Express dsactive le protocole SNMP (Simple Network Management
Protocol) lorsque cest possible. SNMP est un protocole rseau qui permet de
rcuprer et denvoyer des donnes sur les performances et processus du rseau.
Il est largement utilis pour surveiller les routeurs et en modifier la configuration.
Cependant, la version 1 de ce protocole, la plus rpandue, prsente un risque de
scurit pour les raisons suivantes :
Il utilise des chanes dauthentification (mots de passe) appeles chanes
communautaires qui sont stockes et envoyes sur le rseau au format texte.
En majorit, les versions SNMP mises en uvre envoient ces chanes
maintes reprises dans le cadre dune interrogation priodique.
Il sagit dun protocole de transaction bas sur des datagrammes, pouvant
facilement faire lobjet dusurpation.
Dans la mesure o SNMP permet de rcuprer une copie de la table de routage du
rseau, ainsi que dautres informations sensibles concernant le rseau, nous vous
recommandons de dsactiver SNMP si votre rseau ne le requiert pas.
Cisco SDM Express envoie une demande de dsactivation de SNMP.
La configuration transmise au routeur pour dsactiver SNMP est la suivante :
no snmp-server
Cisco SDM Express dsactive le service Finger lorsque cest possible. Ce service
permet didentifier les utilisateurs connects un priphrique rseau. Bien que
ces informations ne soient pas trs sensibles, elles peuvent parfois tre utiles un
pirate.
De plus, le service Finger peut tre utilis dans un type particulier dattaque par
dni de service, appel Finger of death, qui implique lenvoi dune demande
Finger un ordinateur chaque minute, et ce indfiniment.
La configuration transmise au routeur pour dsactiver le service Finger est la
suivante :
no service finger
Vous pouvez annuler ce correctif laide de la fonction Audit de
scurit de SDM. Pour plus dinformations, cliquez sur Cisco Router
and Security Device Manager.
Aide complmentaire
1-30
Cisco SDM Express
OL-7141-04
Cisco SDM Express dsactive toutes les commandes
dassembleur/dsassembleur de paquets (PAD) et les connexions entre des
priphriques PAD et des serveurs daccs, lorsque cest possible.
La configuration transmise au routeur pour dsactiver le service PAD est la
suivante :
no service pad
Vous pouvez annuler ce correctif laide de la fonction Audit de scurit de
Cisco SDM. Pour connatre la procdure, reportez-vous laide en ligne de
laudit de scurit dans Cisco SDM. Pour plus dinformations, cliquez sur
Cisco Router and Security Device Manager.
Cisco SDM Express dsactive les Small Services lorsque cest possible. Par
dfaut, les priphriques Cisco qui excutent Cisco IOS version 11.3 ou
antrieure offrent les Small Services suivants : echo, chargen et discard. Les
Small Services sont dsactivs par dfaut dans le logiciel Cisco IOS version 12.0
et ultrieure. Ces services, et plus particulirement leurs versions UDP (User
Datagram Protocol), sont rarement utiliss des fins lgitimes, mais ils
permettent de lancer des attaques par dni de service, ainsi que dautres attaques,
qui autrement seraient bloques par le filtrage des paquets.
Par exemple, un pirate peut envoyer un paquet DNS (Domain Name System) en
lui donnant une fausse adresse source dun serveur DNS qui, dans le cas contraire,
serait inaccessible, et en lui attribuant le port source dun service DNS (port 53).
Si un tel paquet tait envoy au port de rponse UDP du routeur, ce dernier
enverrait un paquet DNS au serveur en question. Aucun contrle de liste daccs
sortant ne serait appliqu ce paquet, car il serait considr comme gnr
localement par le routeur lui-mme.
Bien que les utilisations abusives des Small Services puissent tre en majorit
vites ou affaiblies par des listes daccs anti-usurpation, il est recommand de
dsactiver ces services dans un routeur faisant partie dun pare-feu ou jouant un
rle important dans la scurit du rseau. Comme ces services sont rarement
utiliss, la meilleure stratgie consiste les dsactiver sur tous les routeurs.
1-31
Cisco SDM Express
OL-7141-04
Aide complmentaire
La configuration transmise au routeur pour dsactiver le service TCP Small
Servers est la suivante :
no service tcp-small-servers
Cisco SDM Express dsactive les Small Services lorsque cest possible. Par
dfaut, les priphriques Cisco qui excutent Cisco IOS version 11.3 ou
antrieure offrent les Small Services suivants : echo, chargen et discard. Les
Small Services sont dsactivs par dfaut dans le logiciel Cisco IOS version 12.0
et ultrieure. Ces services, et plus particulirement leurs versions UDP, sont
rarement utiliss des fins lgitimes, mais ils permettent de lancer des attaques
par dni de service, ainsi que dautres attaques, qui autrement seraient bloques
par le filtrage des paquets.
Par exemple, un pirate peut envoyer un paquet DNS en lui donnant une fausse
adresse source dun serveur DNS qui, dans le cas contraire, serait inaccessible, et
en lui attribuant le port source dun service DNS (port 53). Si un tel paquet tait
envoy au port de rponse UDP du routeur, ce dernier enverrait un paquet DNS au
serveur en question. Aucun contrle de liste daccs sortant ne serait appliqu ce
paquet, car il serait considr comme gnr localement par le routeur lui-mme.
Bien que les utilisations abusives des Small Services puissent tre en majorit
vites ou affaiblies par des listes daccs anti-usurpation, il est recommand de
dsactiver ces services dans un routeur faisant partie dun pare-feu ou qui joue un
rle important dans la scurit du rseau. Comme ces services sont rarement
utiliss, la meilleure stratgie consiste les dsactiver sur tous les routeurs.
La configuration transmise au routeur pour dsactiver UDP Small Servers est la
suivante :
no service udp-small-servers
Aide complmentaire
1-32
Cisco SDM Express
OL-7141-04
Cisco SDM Express dsactive le service Bootstrap Protocol (BOOTP) lorsque
cest possible. BOOTP autorise les routeurs et les ordinateurs configurer
automatiquement au dmarrage les informations Internet ncessaires partir dun
serveur central, y compris le tlchargement du logiciel Cisco IOS. Par
consquent, un pirate peut potentiellement utiliser BOOTP pour tlcharger une
copie du logiciel Cisco IOS du routeur.
De plus, le service BOOTP est vulnrable aux attaques par dni de service. Il doit
donc tre dsactiv ou filtr par un pare-feu.
La configuration transmise au routeur pour dsactiver le service BOOTP est la
suivante :
no ip bootp server
Cisco SDM Express dsactive le support didentification lorsque cest possible.
Le support didentification vous permet dinterroger un port TCP pour
lidentifier. Cette fonction permet un protocole non scuris de signaler
lidentit dun client qui tablit une connexion TCP et de lhte qui rpond cette
connexion. Avec le support didentification, vous pouvez vous connecter un port
TCP sur un hte, envoyer une chane de caractres simple pour demander des
informations, et recevoir une chane de caractres simple en rponse.
Il est dangereux dautoriser un systme dun segment directement connect
savoir que le routeur est un priphrique Cisco, et dterminer le numro de
modle et la version du logiciel Cisco IOS excute. Ces informations peuvent
tre exploites pour crer des attaques contre le routeur.
La configuration transmise au routeur pour dsactiver le service IP Ident est la
suivante :
no ip identd
1-33
Cisco SDM Express
OL-7141-04
Aide complmentaire
Dsactiver CDP
Cisco SDM Express dsactive le protocole CDP (Cisco Discovery Protocol)
lorsque cest possible. Cisco Discovery Protocol est un protocole propritaire
utilis par les routeurs Cisco pour sidentifier entre eux sur un segment de LAN.
Son inconvnient est quil permet un systme dun segment directement
connect, dapprendre que le routeur est un priphrique Cisco, den dterminer
le numro de modle et didentifier la version du logiciel Cisco IOS excute. Ces
informations peuvent tre exploites pour crer des attaques contre le routeur.
La configuration transmise au routeur pour dsactiver Cisco Discovery Protocol
est la suivante :
no cdp run
Cisco SDM Express dsactive le routage dIP source lorsque cest possible.
Le protocole IP prend en charge les options de routage source qui permettent
lexpditeur dun datagramme IP de contrler le routage du datagramme vers sa
destination finale, et gnralement, litinraire suivi par la rponse. Ces options
sont rarement utilises des fins lgitimes dans les rseaux. Certaines anciennes
versions dIP ne grent pas les paquets routs par la source correctement. Il est
possible de bloquer les machines qui excutent ces versions en leur envoyant des
datagrammes avec des options de routage source.
La dsactivation du routage dIP source empche un routeur Cisco de transmettre
un paquet IP contenant une option de routage source.
La configuration transmise au routeur pour dsactiver le routage dIP source est
la suivante :
no ip source-route
Aide complmentaire
1-34
Cisco SDM Express
OL-7141-04
Activer le service de cryptage des mots de passe
Cisco SDM Express active le cryptage des mots de passe lorsque cest possible.
Le cryptage des mots de passe permet au logiciel CiscoIOS de crypter les mots de
passe, les secrets CHAP (Challenge Handshake Authentication Protocol) et des
donnes similaires qui sont enregistres dans son fichier de configuration. Ainsi,
vous empchez quiconque de lire les mots de passe, notamment lorsque des
personnes regardent la drobe ce que tape un administrateur.
La configuration transmise au routeur pour activer le cryptage des mots de passe
est la suivante :
service password-encryption
Cisco SDM Express active la commutation Netflow lorsque cest possible. La
commutation Netflow est une fonction Cisco IOS qui amliore les performances de
routage, tout en utilisant des listes de contrles daccs (ACL) et dautres fonctions
qui crent et amliorent la scurit du rseau. Netflow identifie les flux de paquets
de rseau en fonction des adresses IP source et cible et des numros de port TCP. Il
compare ensuite le premier paquet dun flux aux ACL et dautres contrles de
scurit, au lieu dutiliser chaque paquet du flux. Ceci amliore les performances
en vous permettant dutiliser lensemble des fonctions de scurit du routeur.
La configuration transmise au routeur pour activer Netflow est la suivante :
ip route-cache flow
1-35
Cisco SDM Express
OL-7141-04
Aide complmentaire
Cisco SDM Express active le maintien des connexions TCP pour les sessions
Telnet entrantes et sortantes, lorsque cest possible. Lorsque cette protection est
active, le routeur gnre priodiquement des messages de maintien, ce qui lui
permet de dtecter et de supprimer les connexions Telnet interrompues.
La configuration transmise au routeur pour activer le maintien des connexions
TCP pour les sessions Telnet entrantes est la suivante :
service tcp-keepalives-in
Cisco SDM Express active le maintien des connexions TCP pour les sessions
Telnet entrantes et sortantes, lorsque cest possible. Lorsque cette protection est
active, le routeur gnre priodiquement des messages de maintien, ce qui lui
permet de dtecter et de supprimer les connexions Telnet interrompues.
La configuration transmise au routeur pour activer le maintien des connexions
TCP pour les sessions Telnet sortantes est la suivante :
service tcp-keepalives-out
Cisco SDM Express active les numros de squence et les horodatages sur tous
les messages de dpannage et de journal lorsque cest possible. Les horodatages
sur les messages de dpannage et de journal indiquent la date et lheure auxquelles
le message a t gnr. Les numros de squence indiquent lordre dans lequel
les messages ayant des horodatages identiques ont t gnrs. Connatre lheure
et la squence de gnration des messages est trs important pour diagnostiquer
des attaques potentielles.
Aide complmentaire
1-36
Cisco SDM Express
OL-7141-04
La configuration transmise au routeur pour activer les horodatages et les numros
de squence est la suivante :
service timestamps debug datetime localtime show-timezone msec
service timestamps log datetime localtime show-timeout msec
service sequence-numbers
Activer IP CEF
Cisco SDM Express active Cisco Express Forwarding (CEF) ou Distributed
Cisco Express Forwarding lorsque cest possible. Comme il nest pas ncessaire
de crer des entres de cache lorsque le trafic commence atteindre de nouvelles
destinations, Cisco Express Forwarding se comporte de manire plus prvisible
que les autres modes lorsque des volumes importants de trafic sont envoys de
nombreuses destinations. Les routeurs configurs en mode Cisco Express
Forwarding offrent une meilleure protection contre les attaques par inondation,
que les routeurs utilisant le cache traditionnel.
La configuration transmise au routeur pour activer Cisco Express Forwarding est
la suivante :
ip cef
Cisco SDMExpress configure lintervalle de planification sur le routeur lorsque cest
possible. Lorsquun routeur commute rapidement un grand nombre de paquets, il est
possible que le routeur rponde si lentement aux interruptions des interfaces de rseau
que plus aucun travail nest possible. Cette situation peut tre due une inondation
trs rapide de paquets. Elle peut bloquer laccs administratif au routeur, ce qui est trs
dangereux lorsque le priphrique est soumis des attaques. Lajustement de
lintervalle de planification garantit un accs administratif permanent au routeur, ce
dernier excutant les processus systme aprs lintervalle configur mme lorsque
lunit centrale est utilise 100 %.
La configuration transmise au routeur pour ajuster lintervalle de planification est
la suivante :
scheduler interval 500
1-37
Cisco SDM Express
OL-7141-04
Aide complmentaire
Sur les routeurs qui ne prennent pas en charge la commande scheduler interval,
Cisco SDM Express configure la commande scheduler allocate lorsque cest
possible. Lorsquun routeur commute rapidement un grand nombre de paquets, il
est possible que le routeur rponde si lentement aux interruptions des interfaces
de rseau que plus aucun travail nest possible. Cette situation peut tre due
certaines inondations trs rapides de paquets. Elle peut bloquer laccs
administratif au routeur, ce qui est trs dangereux lorsque le priphrique est
soumis des attaques. La commande scheduler allocate garantit quun
pourcentage des processus de lunit centrale reste disponible pour les activits
autres que la commutation de rseau, comme les processus dadministration.
La configuration transmise au routeur pour dfinir le pourcentage dallocation de
planification est la suivante :
scheduler allocate 4000 1000
Cisco SDMExpress dfinit la dure de TCP Synwait 10 secondes, lorsque cest
possible. Cette dure est trs utile pour contrer les attaques par inondation SYN, une
forme dattaque par dni de service. Pour tre tablie, une connexion TCP requiert
une ngociation en trois phases. Lexpditeur envoie une demande de connexion, le
destinataire renvoie un accus de rception, puis lexpditeur renvoie lacceptation de
laccus de rception. Une fois cette ngociation en trois phases termine, la
connexion est tablie et le transfert de donnes peut commencer. Une attaque par
inondation SYN envoie des demandes de connexion rptes un hte, sans renvoyer
lacceptation des accuss de rception qui permettent dtablir la connexion, crant
ainsi de plus en plus de connexions incompltes sur lhte. Comme le tampon des
connexions incompltes est gnralement plus petit que celui des connexions tablies,
lhte peut tre submerg et dsactiv. La dfinition dune dure de TCP Synwait de
10 secondes entrane linterruption dune connexion incomplte aprs 10 secondes,
empchant la cration de connexions incompltes sur lhte.
La configuration transmise au routeur pour dfinir une dure de TCP Synwait de
10 secondes est la suivante :
ip tcp synwait-time <10>
Aide complmentaire
1-38
Cisco SDM Express
OL-7141-04
Cisco SDM Express active la journalisation avec des horodates et des numros de
squence, lorsque cest possible. Dans la mesure o elle fournit des informations
dtailles sur les vnements du rseau, la journalisation est indispensable pour
identifier les vnements de scurit et y rpondre. Les horodatages et les
numros de squence fournissent des informations sur la date, lheure et la
squence de survenance des vnements rseau.
La configuration transmise au routeur pour activer et configurer la journalisation
la suivante (remplacez <taille du tampon de journal> et <adresse IP du serveur
de journalisation> par les valeurs appropries saisies dans Cisco SDM Express) :
logging console critical
logging trap debugging
logging buffered <taille du tampon de journal>
logging <adresse IP du serveur de journalisation>
Activer Unicast RPF sur toutes les interfaces externes
Cisco SDM Express active Unicast Reverse Path Forwarding (RPF) sur toutes les
interfaces qui se connectent Internet, lorsque cest possible. RPF permet au
routeur de comparer ladresse source de chaque paquet celle de linterface via
laquelle le paquet est entr dans le routeur. Si le chemin daccs linterface
dentre ne correspond pas ladresse source indique dans la table de routage,
le paquet est supprim. Cette vrification de ladresse source permet dempcher
lusurpation dadresse IP.
Ceci ne fonctionne que lorsque le routage est symtrique. Si le rseau est conu
de sorte que le trafic entre un hte A et un hte B puisse suivre un itinraire
diffrent de celui emprunt par le trafic entre lhte B et lhte A, le contrle
choue systmatiquement et la communication entre les deux htes est
impossible. Ce type de routage asymtrique est courant sur Internet. Vrifiez que
votre rseau nutilise pas le routage asymtrique avant dactiver cette fonction.
De plus, unicast RPF ne peut tre activ que lorsque le mode IP Cisco Express
Forwarding est activ. Cisco SDM Express vrifie dans la configuration du
routeur si IP Cisco Express Forwarding est activ. Si tel nest pas le cas,
Cisco SDM Express recommande de lactiver. Si vous acceptez, il lactive. Si IP
Cisco Express Forwarding nest pas activ par Cisco SDM Express ou par un
autre moyen, unicast RPF reste dsactiv.
1-39
Cisco SDM Express
OL-7141-04
Aide complmentaire
Pour activer unicast RPF, la configuration suivante est transmise au routeur pour
chaque interface qui se connecte hors du rseau priv (remplacez <interface externe>
par lidentifiant de linterface) :
interface <interface externe>
ip verify unicast reverse-path
Cisco SDM Express dsactive les demandes ARP (Address Resolution Protocol)
lorsque cest possible. Une demande ARP gratuite est une diffusion ARP dans
laquelle les adresses MAC source et cible sont identiques. Essentiellement, elle
permet un hte dinformer le rseau sur son adresse IP. Un message ARP usurp
peut endommager le stockage des informations de mappage du rseau et gnrer
des dysfonctionnements du rseau.
Pour dsactiver les messages ARP, la configuration suivante est transmise au routeur :
no ip gratuitous-arps
Cisco SDM Express dsactive les messages ICMP (Internet Message Control
Protocol) lorsque cest possible. ICMP prend en charge le trafic IP en relayant les
informations sur les chemins, les routages et les conditions du rseau. Les
messages de redirection ICMP ordonnent un nud dextrmit dutiliser un
routeur particulier pour accder une destination donne. Dans un rseau IP
fonctionnant correctement, un routeur nenvoie des redirections quaux htes de
ses propres sous-rseaux, aucun nud dextrmit nenvoie jamais de redirection
et aucune redirection ne transite par plus dun relais de rseau. Toutefois, un pirate
peut contourner ces rgles. Dailleurs, certaines attaques sont bases sur cette
mthode. La dsactivation des redirections ICMP na aucun impact oprationnel
sur le rseau et limine le risque li ce type dattaque.
La configuration transmise au routeur pour dsactiver les messages de redirection
ICMP est la suivante :
no ip redirects
Aide complmentaire
1-40
Cisco SDM Express
OL-7141-04
Cisco SDM Express dsactive le proxy ARP (Address Resolution Protocol)
lorsque cest possible. Le rseau utilise le protocole ARP pour convertir les
adresses IP en adresses MAC. Normalement, ARP est confin un LAN, mais un
routeur peut se comporter comme un proxy pour les demandes ARP, rendant ainsi
ces dernires disponibles sur plusieurs segments du LAN. Dans la mesure o le
proxy ARP franchit la barrire de scurit du LAN, il est recommand de ne
lutiliser quentre deux LAN ayant un niveau de scurit gal, et uniquement
lorsque la situation lexige.
La configuration transmise au routeur pour dsactiver le proxy ARP est la
suivante :
no ip proxy-arp
Cisco SDM Express dsactive les diffusions dIP diriges lorsque cest possible.
Une diffusion dIP dirige est un datagramme qui est envoy ladresse de
diffusion dun sous-rseau auquel la machine mettrice nest pas directement lie.
La diffusion dirige est achemine via le rseau en tant que paquet individuel,
jusquau sous-rseau cible o il est converti en une diffusion de couche de liaison.
De par la nature de larchitecture de ladressage IP, seul le dernier routeur de la
chane, celui qui est connect directement au sous-rseau cible, peut identifier une
diffusion dirige de manire incontestable. Les diffusions diriges sont parfois
utilises des fins lgitimes, mais rarement hors du secteur des services
financiers.
Les diffusions dIP diriges sont utilises notamment dans les attaques de dni de
service, dites smurf, particulirement rpandues, mais galement dans dautres
attaques. Dans une attaque de type smurf, le pirate envoie des demandes de
rponse ICMP depuis une adresse source falsifie une adresse de diffusion
dirige, quoi tous les htes du sous-rseau cible rpondent en envoyant des
rponses la source falsifie. En envoyant un flux continu de telles demandes,
le pirate peut gnrer un flux bien plus important de rponses, et ainsi submerger
totalement lhte dont ladresse est falsifie.
1-41
Cisco SDM Express
OL-7141-04
Aide complmentaire
La dsactivation des diffusions dIP diriges entrane la suppression des
diffusions diriges qui seraient autrement dcomposes en diffusions de couche
de liaison sur cette interface.
La configuration transmise au routeur pour dsactiver les diffusions dIP diriges
est la suivante :
no ip directed-broadcast
Cisco SDM Express dsactive le protocole MOP (Maintenance Operations
Protocol) sur toutes les interfaces Ethernet, lorsque cest possible. Ce protocole
permet de transmettre des informations de configuration au routeur lorsquil
communique avec des rseaux DECNet. Il est vulnrable diverses attaques.
La configuration transmise au routeur pour dsactiver le service MOP sur les
interfaces Ethernet est la suivante :
no mop enabled
Dsactiver les IP injoignables
Cisco SDM Express dsactive les messages dhte ICMP (Internet Message
Control Protocol) injoignables lorsque cest possible. ICMP prend en charge le
trafic IP en relayant les informations sur les chemins, les routages et les
conditions du rseau. Les messages dhte ICMP injoignable sont envoys si un
routeur reoit un paquet de non-diffusion qui utilise un protocole inconnu ou un
paquet ne pouvant pas atteindre sa destination finale car ne connaissant pas le
routage utiliser pour y accder. Ces messages peuvent tre utiliss par un pirate
pour accder aux informations de mappage dun rseau.
Aide complmentaire
1-42
Cisco SDM Express
OL-7141-04
La configuration transmise au routeur pour dsactiver les messages dhte ICMP
injoignable est la suivante :
int <toutes les interfaces>
no ip unreachables
Dsactiver la rponse au masque IP
Cisco SDM Express dsactive les messages de rponse au masque ICMP (Internet
Message Control Protocol) lorsque cest possible. ICMP prend en charge le
trafic IP en relayant les informations sur les chemins, les routages et les
conditions du rseau. Des messages de rponse au masque ICMP sont envoys
lorsquun priphrique rseau doit connatre le masque de sous-rseau dun
sous-rseau particulier dans un rseau interconnect. Ces messages sont envoys
au priphrique qui demande des informations aux priphriques qui les
dtiennent. Ces messages peuvent tre utiliss par un pirate pour accder aux
informations de mappage dun rseau.
La configuration transmise au routeur pour dsactiver les messages de rponse au
masque ICMP est la suivante :
no ip mask-reply
1-43
Cisco SDM Express
OL-7141-04
Aide complmentaire
Dfinir la longueur minimum du mot de passe pour quil ne dpasse pas 6
caractres
Cisco SDM Express configure votre routeur pour quil require un mot de passe
dune longueur minimale de 6 caractres, lorsque cest possible. Lune des
mthodes utilises par les pirates pour dcouvrir les mots de passe consiste
essayer toutes les combinaisons de caractres possibles. Plus les mots de passe
sont longs, plus les combinaisons de caractres sont nombreuses, ce qui
complique considrablement la tche des pirates.
Cette modification de configuration requiert que chaque mot de passe sur le
routeur (utilisateur, activation, secret, console, AUX, tty et vty) ait une longueur
minimale de 6 caractres. Elle nest effectue que si la version de Cisco IOS
excute sur le routeur prend en charge la fonction de longueur minimale des mots
de passe.
La configuration transmise au routeur est la suivante :
security passwords min-length <6>
Dfinir le nombre dchecs didentification pour quil ne dpasse pas 3 tentatives
de ridentification
Cisco SDM Express configure votre routeur pour quil verrouille laccs aprs 3
tentatives infructueuses de connexion, lorsque cest possible. Lune des mthodes
permettant de dcouvrir des mots de passe, appele attaque dictionnaire, consiste
utiliser un logiciel qui tente de se connecter en utilisant chaque mot dun
dictionnaire. Cette configuration entrane le verrouillage du routeur pendant une
dure de 15 secondes aprs 3 tentatives de connexion infructueuses, assurant ainsi
une protection efficace contre les attaques de ce type. Outre le blocage de laccs
au routeur, cette configuration gnre un message de journal aprs 3 tentatives de
connexion infructueuses, avertissant ladministrateur quun utilisateur tente de se
connecter sans y parvenir.
La configuration transmise au routeur pour verrouiller laccs au routeur aprs
3 tentatives de connexion infructueuses est la suivante :
security authentication failure rate <3>
Aide complmentaire
1-44
Cisco SDM Express
OL-7141-04
Dfinir la bannire
Cisco SDM Express configure une bannire de texte lorsque cest possible. Dans
certains pays, la procdure dengagement de poursuites civiles ou pnales contre
les utilisateurs qui sintroduisent dans vos systmes a t simplifie si vous
affichez une bannire informant les intrus quils ne sont pas autoriss pntrer
dans vos systmes. Dans dautres, il est interdit de surveiller les activits des
utilisateurs non autoriss sauf si vous les avez avertis de votre intention de les
surveiller. La bannire est une des mthodes permettant dofficialiser cette
notification.
La configuration transmise au routeur pour crer une bannire est la suivante
(remplacez <nom de socit>, <adresse lectronique de ladministrateur> et
<numro de tlphone de ladministrateur> par les valeurs appropries saisies
dans Cisco SDM Express :
banner ~
Accs rserv
Ce systme est la proprit de <nom de socit>.
Dconnectez-vous IMMEDIATEMENT si vous ntes pas un utilisateur
autoris.
Contactez <adresse lectronique de ladministrateur> au <numro de
tlphone de ladministrateur>.
~
Activer les paramtres Telnet
Cisco SDM Express scurise les lignes console, AUX, vty et tty en mettant en
uvre les configurations suivantes, lorsque cest possible :
Il configure les commandes transport input et transport output pour
dfinir les protocoles pouvant tre utiliss pour se connecter ces lignes.
Il dfinit un dlai dattente EXEC de 10 minutes sur les lignes console et
AUX, entranant la dconnexion de ladministrateur de ces lignes aprs
10 minutes dinactivit.
La configuration transmise au routeur pour dfinir une dure de TCP Synwait de
10 secondes est la suivante :
!
line console 0
transport output telnet
exec-timeout 10
login local
1-45
Cisco SDM Express
OL-7141-04
Aide complmentaire
!
line AUX 0
transport output telnet
exec-timeout 10
login local
!
line vty .
transport input telnet
login local
Activer SSH pour laccs au routeur
Si la version de Cisco IOS excute sur le routeur est une crypto-image
(une image utilisant le cryptage DES 56 bits et soumise des restrictions
dexportation), Cisco SDM Express met en uvre les configurations suivantes
pour scuriser laccs Telnet, lorsque cest possible :
Il active Secure Shell (SSH) pour laccs Telnet. SSH renforce
considrablement laccs Telnet.
Il dfinit un dlai dattente SSH de 60 secondes, entranant larrt des
connexions SSH incompltes aprs 60 secondes.
Il autorise jusqu deux tentatives de connexion SSH infructueuses avant de
verrouiller laccs au routeur.
La configuration transmise au routeur pour scuriser laccs et les fonctions de
transfert de fichiers est la suivante :
ip ssh time-out 60
ip ssh authentication-retries 2
!
line vty 0 4
transport input ssh
Aide complmentaire
1-46
Cisco SDM Express
OL-7141-04
Boutons Cisco SDMExpress
Bouton Aide
Cliquez sur le bouton Aide pour ouvrir une nouvelle fentre de navigation et
afficher des informations sur la fentre Cisco SDM Express affiche.
Bouton propos de
Cliquez sur propos de pour afficher une fentre contenant les informations
de version de Cisco SDM Express. Cliquez sur Informations sur le
logiciel/matriel dans cette fentre pour afficher les informations suivantes.
Informations sur le matriel :
Type du modle de routeur
Mmoire totale du routeur
Capacit totale de la mmoire Flash du routeur
Source du dmarrage du routeur, (par exemple : flash)
Un schma de la configuration matrielle est galement fourni.
Informations sur le logiciel :
Nom du logiciel Cisco IOS que le routeur excute
Version du logiciel Cisco IOS
Les jeux de fonctions, tels que Pare-feu et VPN, pris en charge par le logiciel
Cisco IOS
Version de Cisco SDM Express
Bouton Quitter
Aprs avoir termin la configuration initiale, cliquez sur le bouton Quitter pour
fermer Cisco SDM Express.
Bouton Actualiser
Ces boutons sont visibles si vous modifiez une configuration initiale. Cliquez
sur le bouton Actualiser pour actualiser les donnes du routeur dans
Cisco SDM Express.
1-47
Cisco SDM Express
OL-7141-04
Aide complmentaire
Bouton Appliquer les modifications
Ces boutons sont visibles si vous modifiez une configuration initiale. Cliquez sur
le bouton Appliquer les modifications pour valider les modifications que vous
avez apportes au routeur.
Bouton Annuler les modifications
Ces boutons sont visibles si vous modifiez une configuration initiale. Cliquez sur
le bouton Annuler les modifications pour annuler toutes les modifications
effectues.
Reconnexion au routeur lissue de la configuration initiale
Si vous avez donn linterface LAN une nouvelle adresse IP comme
recommand, vous allez perdre la connexion au routeur une fois que vous
validerez la configuration.
Suivez cette procdure pour vous reconnecter au routeur aprs avoir effectu la
configuration initiale avec Cisco SDM Express.
tape 1 Placez le PC sur le mme sous-rseau que linterface LAN du routeur.
Si vous avez configur le routeur comme serveur DHCP, vous devez
configurer le PC pour quil obtienne une adresse IP automatiquement, puis
ouvrir une fentre de commande dans laquelle vous saisissez la commande
ipconfig /release suivie de la commande ipconfig /renew.
Si le routeur nest pas configur comme serveur DHCP, vous devez attribuer
au PC une adresse IP statique appartenant au mme sous-rseau que le
routeur. Par exemple, si vous avez chang ladresse IP du rseau local en
10.20.20.1 avec un masque de sous-rseau 255.255.255.224, vous devez
donner votre PC une adresse IP entre 10.20.20.2 et 10.20.20.30 et utiliser la
mme valeur de sous-rseau.
tape 2 Si vous avez configur une autre interface LAN que linterface par dfaut, veillez
connecter votre PC linterface LAN configure. Par exemple, si vous avez configur
FE 0/1 et non pas FE 0/0 comme interface LAN, connectez votre PC FE 0/1.
Aide complmentaire
1-48
Cisco SDM Express
OL-7141-04
tape 3 Aprs avoir configur le PC, reconnectez-le au routeur en saisissant la nouvelle
adresse IP que vous avez attribue linterface LAN du routeur dans le navigateur
(http://nouvelle adresse IP). Par exemple, si vous avez remplac ladresse IP du
rseau local par 10.20.20.1, vous devez saisir http://10.20.20.1 dans le navigateur
Web pour vous reconnecter au routeur.
tape 4 Aprs la reconnexion, vous devez tester votre connexion WAN pour vrifier que
vous pouvez vous connecter Internet.
Pour plus dinformations, reportez-vous Test de votre connexion WAN (Internet).
Test de votre connexion WAN (Internet)
Vous pouvez tester votre connexion Internet en allant sur un site Web distant, tel
que www.cisco.com, avec votre navigateur. Si vous pouvez vous connecter au site
Web distant, votre configuration WAN fonctionne correctement.
Si vous narrivez pas vous connecter un site Web distant, vous pouvez utiliser
Cisco SDM pour rparer la connexion en procdant comme suit :
tape 1 Dans le menu Outils, cliquez sur Cisco SDM pour lancer Cisco SDM.
tape 2 Connectez-vous Cisco SDM et cliquez sur Interfaces et connexions.
tape 3 Cliquez sur longlet Modifier et slectionnez la connexion WAN tester.
tape 4 Cliquez sur Tester la connexion et suivez les instructions lcran. Cisco SDM
tablit un rapport sur les problmes ventuels et actions recommandes.
1-49
Cisco SDM Express
OL-7141-04
Conseils de dpannage pour SDP
Utilisez ces informations avant de procder une inscription laide de Secure
Device Provisioning (SDP) pour prparer la connexion entre le routeur et le
serveur de certificats. Si vous rencontrez des problmes lors de linscription,
suivez les conseils fournis dans cette section pour en dterminer lorigine.
Lorsque vous lancez SDP, vous devez minimiser la fentre du navigateur affichant
cette rubrique daide pour visualiser lapplication Web SDP.
Conseils de dpannage
Ces recommandations impliquent des oprations pralables sur le routeur local et
lautorit de certification (AC) du serveur. Vous devez signaler ces prrequis
ladministrateur du serveur AC. Vrifiez les points suivants :
Le routeur local et le serveur AC sont relis par une connexion IP. Le routeur
local doit tre capable de sonder le serveur de certificats avec succs et
rciproquement.
Ladministrateur du serveur AC utilise un navigateur Web prenant en charge
JavaScript.
Ladministrateur du serveur AC possde des privilges dactivation sur le
routeur local.
Le pare-feu du routeur local autorise le trafic en provenance et destination
du serveur de certificats.
Si un pare-feu est configur sur le Petitionar (Ptitionnaire) et/ou sur le
Registrar (Registraire), vous devez vous assurer quil autorise le trafic HTTP
ou HTTPS sortant sur le PC partir duquel lapplication SDM/SDP est
invoque.
Pour plus dinformations sur SDP (en anglais), cliquez sur le lien suivant :
http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/products_feature_gui
de09186a008028afbd.html#wp1043332
1-50
Cisco SDM Express
OL-7141-04
CH A P I T R E
2-1
Cisco SDM Express
OL-7141-04
2
Mode dition de Cisco SDM Express
Les crans ddition de SDM Express vous permettent dapporter des
modifications vos configurations LAN et WAN et vos divers paramtres
(pare-feu, NAT, PAT, routage et scurit).
Prsentation
La fentre Prsentation affiche des informations de base sur les configurations
LAN, WAN et de pare-feu du routeur.
Icnes
En service. Linterface est en service.
Actif. Le pare-feu est actif.
Hors service. Linterface est arrte.
Inactif. Le pare-feu est inactif.
Chapitre 2 Mode dition de Cisco SDM Express
Prsentation
2-2
Cisco SDM Express
OL-7141-04
Champs LAN
Les champs LAN affichent des informations sur linterface, ladresse IP et le
serveur DHCP concernant la connexion au rseau local (LAN).
Interface : nom de linterface du rseau local LAN. Par exemple, Fast
Ethernet 0. Si SDM Express ne peut pas identifier les interfaces LAN du
routeur, il affiche dans ce champ le nombre dinterfaces LAN configures.
Masque/IP : adresse IP suivie du nombre de bits de sous-rseau, qui
reprsente le masque de sous-rseau. Les adresses IP du rseau LAN
proviennent souvent de la plage dadresses IP prives. Par exemple, une
adresse IP 10.10.10.1 utilisant un masque de sous-rseau 255.255.255.0 sera
reprsente comme suit : 10.10.10.1/24.
Serveur DHCP : soit Configur soit Non configur.
Pool DHCP : si un serveur DHCP a t configur, ce champ contient la plage
dadresses IP disponibles pour les clients DHCP. Par exemple, si linterface LAN
est configure avec une adresse IP dans le rseau 10.10.10.0, le pool DHCP peut
tre configur avec une plage dadresses de 10.10.10.1 10.10.10.254.
Si SDM Express ne peut pas identifier les interfaces LAN sur le routeur, il affiche
le nombre total dinterfaces LAN prises en charge et le nombre total dinterfaces
LAN configures.
Champs Internet (WAN)
Les champs Internet affichent des informations sur linterface WAN, le type de
connexion WAN configure et les informations du masque de sous-rseau de
ladresse IP.
Interface : nom de linterface WAN, par exemple ATM 0/1. Si SDM Express
ne peut pas identifier les interfaces WAN sur le routeur, il affiche dans ce
champ le nombre dinterfaces WAN configures.
Type de connexion : type de connexion WAN, par exemple ADSL ou
G.SHDSL.
Masque/IP : adresse IP suivie du nombre de bits de sous-rseau, qui
reprsente le masque de sous-rseau. Par exemple, une adresse IP
172.16.33.15 utilisant un masque de sous-rseau 255.255.255.0 sera
reprsente comme suit : 172.16.33.15/24.
Si SDM Express ne peut pas identifier les interfaces WAN sur le routeur, il affiche
le nombre total dinterfaces WAN prises en charge et le nombre total dinterfaces
WAN configures.
2-3
Cisco SDM Express
OL-7141-04
Champs Pare-feu
Type de pare-feu : Cisco SDM Express par dfaut, Personnalis ou Aucun.
Interne : adresse IP de linterface interne ou approuve.
Externe : type de connexion de linterface Internet.
Cette fentre affiche les comptes utilisateur configurs sur le routeur et vous
permet de modifier le mot de passe secret dactivation. Le mot de passe secret
dactivation doit tre utilis pour accder au mode dactivation de linterface de
ligne de commande IOS.
Si vous souhaitez ajouter ou retirer des comptes utilisateur, vous pouvez le faire
laide de Cisco Router and Security Device Manager (SDM).
Boutons Modifier/Supprimer
Utilisez ces boutons pour grer les comptes utilisateur sur le routeur. Vous pouvez
modifier et supprimer des comptes utilisateur existants. Si vous devez crer un
nouveau compte utilisateur, vous pouvez utiliser SDM. Pour plus dinformations,
Remarque Les boutons Modifier et Supprimer sont dsactivs lorsquun compte utilisateur
cr laide de loption Afficher est slectionn.
Champs Nom d'utilisateur/Mot de passe de connexion/Le mot de passe est crypt
Cette zone rpertorie les comptes utilisateur sur le routeur.
Champ Activer le mot de passe secret
Saisissez le nouveau mot de passe dans ces champs. Veillez prendre note de ce
mot de passe. Il est stock sous forme crypte sur le routeur et ne peut pas tre lu.
2-4
Cisco SDM Express
OL-7141-04
Champ Nom dhte
Vous pouvez modifier le nom dhte du routeur si vous le souhaitez.
Vous pouvez modifier le nom de domaine configur du routeur.
Boutons Actualiser/Appliquer les modifications/Annuler les modifications
Modification dun nom dutilisateur
Modifiez un compte utilisateur dans les champs affichs dans cette fentre.
Modifiez le nom dutilisateur dans ce champ.
Champ Mot de passe
Entrez ou modifiez le mot de passe dans ce champ.
Retapez le mot de passe dans le champ Confirmer le mot de passe. Si les mots
de passe saisis ne correspondent pas, un message derreur saffiche lorsque vous
cliquez sur OK.
Lorsque vous cliquez sur OK, les informations concernant le compte nouveau ou
modifi saffichent dans la fentre Configurer les comptes utilisateur pour
Telnet/SSH.
Case cocher Crypter le mot de passe avec un algorithme de hachage MD5
Il sagit dun champ en lecture seule qui affiche le paramtre en vigueur pour le
cryptage de mot de passe MD5. Une coche indique que le mot de passe est crypt
laide de lalgorithme MD5 (Message Digest 5).
2-5
Cisco SDM Express
OL-7141-04
LAN
LAN
Case cocher Raccorder/Ne pas raccorder linterface LAN linterface sans fil
Si votre routeur possde une interface sans fil, vous pouvez acheminer le trafic du
rseau sans fil vers votre rseau LAN Ethernet. Si vous souhaitez acheminer ainsi le
trafic et partager lespace des adresses entre le rseau LAN Ethernet sur votre routeur
et le rseau sans fil, cliquez sur Raccorder linterface LAN linterface sans fil.
Champs Configuration de linterface LAN
Vous pouvez modifier dans ces champs ladresse IP et le masque de sous-rseau
de linterface LAN. Pour plus dinformations sur les champs dadresse IP et de
masque de sous-rseau, reportez-vous Champ Adresse IP.
Sans fil
La fentre Sans fil saffiche lorsque votre routeur possde une interface sans fil.
Si vous devez configurer des paramtres sans fil avancs, cliquez sur Lancer
application sans fil.
Bouton Actualiser
Ce bouton est visible si vous modifiez une configuration initiale. Pour plus
WAN : impossible de configurer linterface WAN
Cette fentre saffiche lorsque SDM Express ne parvient pas configurer
linterface que vous avez choisie en tant quinterface WAN. Cela peut se produire
si linterface que vous avez slectionne nest pas prise en charge par SDM
Express ou si elle possde une configuration partielle qui a t saisie via
linterface de la ligne de commande.
Vous pouvez slectionner une autre interface configurer ou vous connecter au
routeur et supprimer les instructions de configuration relatifs linterface
configurer. Dans la section Outils, slectionnez Telnet, connectez-vous au routeur
et accdez au mode de configuration. Utilisez linterface de la ligne de commande
pour supprimer les instructions de configuration. Revenez ensuite SDM Express
et configurez linterface WAN.
Aucun WAN disponible
2-6
Cisco SDM Express
OL-7141-04
Aucun WAN disponible
Cette fentre saffiche lorsque SDM Express ne parvient pas dtecter dinterface
WAN sur votre routeur.
Supprimer la connexion
Lorsque vous supprimez une connexion, il est possible que des commandes de
configuration associes soient conserves dans la configuration ou supprimes
avec la connexion. Cliquez sur Afficher dtails pour afficher ces associations.
Cliquez sur Masquer dtails pour masquer les informations dassociation.
Cliquez sur Suppression automatique de toutes les associations si vous souhaitez
que SDM Express supprime les associations paralllement la connexion.
Cliquez sur Je supprimerai les associations plus tard si vous souhaitez
supprimer les associations vous-mme.
Pour supprimer vous-mme les associations, cliquez sur Telnet dans le menu
Outils, connectez-vous au routeur et saisissez la commande enable pour accder
au mode dactivation. Ensuite, supprimez les commandes de configuration
associes en entrant la forme no de la commande. Par exemple, si la commande
ip tcp adjust mss est associe la connexion, saisissez :
no ip tcp adjust mss
Pare-feu
Utilisez cette fentre pour activer un pare-feu si vous ne lavez pas activ pendant
la configuration initiale ou pour le dsactiver dans le cas contraire. Si limage
Cisco IOS excute sur le routeur ne prend pas en charge la fonction du pare-feu,
vous ne pourrez pas activer un pare-feu de base sur ce routeur. Vous ne pourrez
pas utiliser SDM Express pour activer un pare-feu de base si votre routeur est un
routeur modulaire avec plusieurs interfaces LAN ou WAN.
Pour obtenir une description des capacits dun routeur de base, reportez-vous
Configuration du pare-feu.
Boutons Activer le pare-feu/Dsactiver le pare-feu
Utilisez ces boutons pour ajouter ou supprimer la configuration de pare-feu de base.
2-7
Cisco SDM Express
OL-7141-04
NAT
Fentre Impossible de configurer le pare-feu
Si SDM Express ne parvient pas vous laisser configurer un pare-feu, la fentre
Impossible de configurer le pare-feu saffiche. Les raisons possibles cela sont
les suivantes :
Le routeur est un routeur port fixe et il ny a pas prcisment une interface
LAN et une interface WAN configures.
Le routeur est un routeur modulaire ou il existe plus de deux interfaces
configures.
Un pare-feu et/ou des listes de contrle daccs ont t appliqus votre
routeur laide dautres outils.
Bouton Actualiser
NAT
Si les priphriques du LAN possdent des adresses prives, vous pouvez les
autoriser partager une mme adresse IP publique en utilisant la conversion
dadresses rseau (NAT). La NAT utilise les numros de port pour identifier les
htes et les services dhte que vous souhaitez rendre disponibles.
Cliquez sur Activer NAT pour utiliser la conversion dadresses rseau sur le routeur.
Impossible de configurer NAT
Si vous tes en mode dition de SDM Express, cette fentre apparat lorsque SDM
Express ne peut pas vous aider configurer NAT. SDM Express est incapable de
vous aider configurer NAT pour les raisons suivantes.
Le routeur est un routeur port fixe et il ny a pas prcisment une interface
LAN et une interface WAN configures.
Le routeur est un routeur modulaire ou il existe plus de deux interfaces
configures.
NAT est dj configur sur une interface.
NAT
2-8
Cisco SDM Express
OL-7141-04
Bouton Ajouter
Cliquez sur ce bouton pour ajouter une nouvelle rgle NAT.
Bouton Modifier
Cliquez sur ce bouton pour modifier la rgle NAT choisie.
Bouton Actualiser
Ajouter ou modifier une rgle de conversion dadresse
Cette fentre vous permet dentrer ou de modifier les informations concernant la
conversion des adresses IP dun serveur.
Adresse IP prive
Saisissez ladresse IP utilise par le serveur sur votre rseau interne. Cette adresse
IP ne peut pas tre utilise de manire externe, sur Internet par exemple.
Adresse IP publique
Slectionnez Adresse IP de linterface WAN pour utiliser ladresse IP de
linterface WAN du routeur. Ladresse IP configure de linterface WAN apparat
sur la droite. Vous pouvez galement slectionner Nouvelle adresse IP et entrer
ladresse IP du serveur.
2-9
Cisco SDM Express
OL-7141-04
NAT
Type de serveur
Dans le menu droulant, slectionnez lun des types de serveurs suivants :
Serveur Web
Hte HTTP utilisant HTML ou des pages WWW.
Serveur de messagerie
Serveur SMTP pour lenvoi de messages sur Internet.
Autre
Le serveur nest pas un serveur Web ou de messagerie et ncessite une
conversion de port pour fonctionner. Si vous slectionnez cette option, le
champ Port traduit et le menu droulant Protocole deviennent accessibles.
Si vous ne slectionnez pas de type de serveur, tout le trafic destin ladresse IP
publique choisie sera rout vers le serveur et aucune conversion de port ne sera
effectue.
Port dorigine
Entrez le numro de port utilis par le serveur pour accepter les requtes de
service en provenance du rseau interne.
Port traduit
Entrez le numro de port utilis par le serveur pour accepter les requtes de
service en provenance dInternet.
Protocole
Slectionnez TCP ou UDP comme protocole utiliser par le serveur pour les ports
convertis et dorigine.
Routage
2-10
Cisco SDM Express
OL-7141-04
Routage
La fentre Routage vous permet de modifier un routage par dfaut existant lorsque
des changements de configuration indiquent quil est recommand de le modifier.
Par exemple, si vous avez modifi une adresse IP statique dune interface WAN,
il est possible que vous deviez aussi changer ladresse IP de la passerelle par
dfaut.
Case cocher Activer
Cochez cette case pour activer un routage par dfaut. Si un routage par dfaut a
dj t dfini, cette case sera coche. Si vous la dsactivez, le routage par dfaut
sera dsactiv.
Champ Acheminement (relais suivant)
Vous pouvez prciser une interface de routeur ou une adresse IP comme relais
suivant. Si vous cliquez sur Interface, slectionnez linterface dans la liste
droulante. Si vous cliquez sur Adresse IP, saisissez ladresse IP.
Paramtres de scurit
Cette fentre vous permet de dsactiver les fonctions actives par dfaut dans le
logiciel Cisco IOS, mais qui peuvent gnrer des risques pour la scurit ou qui
forcent le routeur envoyer des messages trop volumineux pour la mmoire
disponible. Laissez ces cases non coches sauf si vos besoins sont diffrents.
Si vous autorisez SDM Express raliser ces rglages et si vous souhaitez
modifier ultrieurement lun des paramtres dcrits dans ces groupes de
paramtres, vous pouvez le faire laide de SDM. Pour plus dinformations,
2-11
Cisco SDM Express
OL-7141-04
Paramtres de scurit
Case cocher Slectionner tout (recommand par Cisco)
En cliquant sur Slectionner tout, vous pouvez mettre en uvre tous les
paramtres de scurit dans cette fentre. Si vous souhaitez modifier ultrieurement
les paramtres de scurit, vous pouvez le faire laide de Cisco SDM.
Case cocher Dsactiver les services entranant des risques pour la scurit
Cochez cette case pour dsactiver les services suivants sur le routeur. Pour savoir
pourquoi ces services doivent tre dsactivs, cliquez sur les liens ci-dessous :
Dsactiver CDP
Dsactiver les IP injoignablesDsactiver la rponse au masque IP
Case cocher Activer les services renforant la scurit sur le routeur/le rseau
Cochez cette case pour activer sur le routeur les fonctions et services amliorant
la scurit. Pour plus dinformations sur ces services et fonctions, cliquez sur les
liens ci-dessous :
Outils
2-12
Cisco SDM Express
OL-7141-04
Activer IP CEF
Case cocher Crypter les mots de passe
Cochez cette case pour activer le cryptage des mots de passe. Pour plus
dinformations, reportez-vous Activer le service de cryptage des mots de passe.
Case cocher Synchroniser avec lhorloge de mon PC local
Cliquez sur ce bouton pour synchroniser votre routeur avec lhorloge de votre PC local.
Outils
SDM Express dispose dun certain nombre doutils que vous pouvez utiliser.
Option de sondage
Cliquez dessus pour ouvrir une fentre dans laquelle vous pouvez indiquer la source
et la destination du sondage. Pour plus d'informations, reportez-vous Ping.
Option Telnet
Affiche la bote de dialogue Telnet de Windows, qui vous permet de vous
connecter au routeur et daccder linterface de ligne de commande de Cisco
IOS laide du protocole Telnet.
2-13
Cisco SDM Express
OL-7141-04
Outils
Option Cisco SDM
Permet de lancer Cisco Router and Security Device Manager (SDM). SDM vous
permet de raliser des configurations avances.
Option Mise jour du logiciel
SDM Express peut vous aider mettre jour le logiciel de configuration sur votre
routeur. Vous pouvez effectuer la mise jour partir de Cisco.com ou, si vous
avez tlcharg le fichier SDM.zip sur votre PC, laide de ce dernier. Pour plus
dinformations, cliquez sur lun des liens suivants.
Mettre jour SDM depuis Cisco.com
Mettre jour SDM depuis un PC local
Mettre jour SDM depuis le CD
Ping
Cette fentre vous permet de sonder un priphrique homologue. Vous pouvez
slectionner la source et la destination de lopration de sondage. Vous pouvez tre
amen sonder un homologue distant aprs avoir reconfigur une connexion WAN.
Champ Source
Slectionnez ou entrez ladresse IP source de la commande Sonder. Si ladresse
que vous souhaitez utiliser ne figure pas dans la liste, entrez-en une autre dans ce
champ. La commande de sondage peut provenir de nimporte quelle interface du
routeur. Par dfaut, la commande Ping provient de linterface externe connecte
au priphrique distant.
Champ Destination
Slectionnez ladresse IP que vous souhaitez sonder. Si ladresse que vous
souhaitez utiliser ne figure pas dans la liste, entrez-en une autre dans ce champ.
Outils
2-14
Cisco SDM Express
OL-7141-04
Pour sonder un homologue distant :
Spcifiez la source et la destination, puis cliquez sur Sonder. Lisez le rsultat de
la commande Ping pour dterminer si elle a abouti.
Pour effacer le rsultat de la commande Ping :
Cliquez sur Effacer.
Mettre jour SDM depuis Cisco.com
Vous pouvez mettre jour SDM Express et SDM directement partir de
Cisco.com. SDM vrifie les versions disponibles sur Cisco.com et vous informe
si une version plus rcente que celle utilise sur le routeur est disposition. Vous
pouvez ensuite mettre jour SDM laide de lassistant de mise jour.
Pour mettre jour SDM partir de Cisco.com :
tape 1 Slectionnez Mettre jour SDM depuis Cisco.com dans le menu Outils. Cette
option dmarre lassistant de mise jour.
tape 2 Utilisez cet assistant pour rcuprer les fichiers de SDM et les copier sur votre
routeur.
Connexion CCO
Afin daccder cette page Web, vous devez fournir une connexion CCO et un
mot de passe. Donnez un nom dutilisateur et un mot de passe, puis cliquez
sur OK.
Si vous ne disposez pas dune connexion CCO et dun mot de passe, vous pouvez
les obtenir en ouvrant un navigateur Web et en vous rendant sur le site Web de
Cisco ladresse suivante :
http://www.cisco.com
Lors de louverture de la page Web, cliquez sur Sinscrire et donnez les
informations ncessaires lobtention dun nom dutilisateur et dun mot de
passe. Puis essayez nouveau cette opration.
2-15
Cisco SDM Express
OL-7141-04
Outils
Mettre jour SDM depuis un PC local
Vous pouvez mettre jour SDM laide du fichier SDM.zip que vous avez
tlcharg depuis Cisco.com. SDM fournit un assistant de mise jour qui va
copier les fichiers ncessaires sur le routeur.
Pour mettre jour SDM depuis le PC utilis pour excuter SDM, procdez comme
suit :
tape 1 Tlchargez le fichier sdm-vnn.zip ladresse suivante :
http://www.cisco.com/cgi-bin/tablebuild.pl/sdm
Si plusieurs fichiers zip SDM sont disponibles, choisissez celui dont le numro de
version est le plus lev.
tape 2 Utilisez lassistant de mise jour pour copier les fichiers de SDM depuis votre PC
sur votre routeur.
Mettre jour SDM depuis le CD
Si vous disposez du CD de SDM, vous pouvez lutiliser pour mettre jour SDM
sur votre routeur. Pour ce faire, procdez comme suit :
tape 1 Introduisez le CD de SDM dans le lecteur de CD du PC.
tape 2 Slectionnez Mettre jour SDM depuis le CD et cliquez sur Mettre jour le
logiciel dans la fentre Instructions gnrales aprs avoir lu le texte.
tape 3 SDM vous permet de reprer le fichier SDM-Updates.xml sur le CD. Une fois le
fichier repr, cliquez sur Ouvrir.
tape 4 Suivez les instructions de lassistant dinstallation.
Proprits de la date et de lheure
2-16
Cisco SDM Express
OL-7141-04
Proprits de la date et de lheure
Utilisez cette fentre pour dfinir la date et lheure du routeur. Vous pouvez laisser
SDM Express synchroniser ces paramtres sur ceux du PC ou les dfinir
manuellement.
Case cocher Synchroniser avec lhorloge de mon PC local
Cochez cette case pour que SDM Express synchronise la date et lheure du routeur
sur ceux du PC.
Case cocher Synchroniser
Cliquez sur ce bouton pour laisser SDM Express effectuer la synchronisation.
SDM Express najuste la date et lheure que lorsque vous cliquez sur
Synchroniser ; il ne les resynchronise pas automatiquement sur la date et
lheure du PC lors des sessions suivantes. Ce bouton est dsactiv si vous
navez pas coch Synchroniser avec lhorloge de mon PC local.
Remarque Vous devez effectuer les rglages Fuseau horaire et Heure dt sur le PC avant
de lancer SDM Express pour que ce dernier reoive les paramtres corrects
lorsque vous cliquez sur Synchroniser.
Champs Modifier la date et lheure
Utilisez cette zone pour dfinir la date et lheure manuellement. Vous pouvez
choisir le mois et lanne dans les listes droulantes, et slectionner le jour du
mois dans le calendrier. Les champs de la zone Heure requirent des valeurs au
format 24 heures. Vous pouvez choisir le fuseau horaire GMT (Greenwich Mean
Time) ou une des villes principales de votre fuseau horaire.
Si vous souhaitez que le routeur bascule automatiquement entre lheure dt et
lheure dhiver, cochez la case Ajuster automatiquement lhorloge en fonction
du changement dheure.
Bouton Appliquer
Cliquez sur ce bouton pour appliquer la date et lheure configures dans les
champs Date, Heure et Fuseau horaire.
2-17
Cisco SDM Express
OL-7141-04
Valeurs par dfaut
Valeurs par dfaut
Vous pouvez rtablir les rglages dusine sur le routeur et enregistrer cette
configuration dans un fichier rutilisable ultrieurement. Si vous avez modifi
ladresse IP du LAN du routeur (10.10.10.1), vous perdez la connexion entre le
routeur et le PC car ladresse IP 10.10.10.1 est rtablie lors de la rinitialisation.
Remarque La fonction Rtablir les rglages dusine nest pas prise en charge sur les routeurs
Cisco 3620, 3640, 3640A et 7000.
tape 1 : Enregistrez la configuration en cours sur le PC.
Enregistrez la configuration en cours du routeur sur le PC maintenant afin de
pouvoir la restaurer sur votre routeur en cas de besoin. Utilisez le bouton
Parcourir pour slectionner le rpertoire dans lequel stocker la configuration.
tape 2 : Consignez ces tapes par crit, puis rinitialisez le routeur.
Comme vous perdrez le contact avec le routeur lorsque vous cliquerez sur
Rinitialiser, vous devez savoir comment vous allez vous reconnecter aprs la
rinitialisation du routeur.
a) Affectez au PC une adresse IP sur le rseau 10.10.10.0.
Configurez votre PC pour le placer sur le sous-rseau 10.10.10.0. En fonction du
routeur, vous devez configurer le PC de sorte quil obtienne une adresse IP
automatiquement ou en lui attribuant une adresse IP statique sur le sous-rseau
10.10.10.0.
Si votre routeur figure dans le tableau suivant, configurez votre PC pour quil
obtienne une adresse IP automatiquement. Pour savoir comment procder,
reportez-vous Reconfiguration de votre PC avec une adresse IP statique ou
dynamique.
Si vous possdez lun de ces routeurs, configurez le PC afin quil obtienne une adresse IP
automatiquement.
SB10x, Cisco 83x, 85x, 87x, 1701, 1710, 1711, 1712, 180x et 181x.
Valeurs par dfaut
2-18
Cisco SDM Express
OL-7141-04
Si votre routeur est rpertori dans le tableau suivant, affectez votre PC une
adresse IP sur le sous-rseau 10.10.10.0, entre 10.10.10.2 et 10.10.10.6 et utilisant
le masque de sous-rseau 255.255.255.248. Reportez-vous la section
Reconfiguration de votre PC avec une adresse IP statique ou dynamique pour
connatre la procdure suivre.
b) Pointez votre navigateur sur http(s)://10.10.10.1.
Aprs la rinitialisation, le routeur possde ladresse IP par dfaut dorigine de
10.10.10.1 : cest donc celle-ci que vous devez utiliser pour vous reconnecter.
c) Connectez-vous de nouveau SDM Express avec le nom dutilisateur cisco et le mot
de passe cisco.
Le nom dutilisateur et le mot de passe ont galement repris leur valeur initiale,
que vous devez utiliser pour vous connecter SDM Express.
Bouton Actualiser
Reconfiguration de votre PC avec une adresse IP statique ou
dynamique
Le processus dattribution dune adresse IP statique un PC ou de configuration
du PC pour quil obtienne automatiquement une adresse IP varie lgrement selon
la version de Microsoft Windows installe sur le PC.
Remarque Ne reconfigurez pas le PC avant davoir rinitialis le routeur.
Si vous possdez lun de ces routeurs, affectez votre PC une adresse IP statique sur le sous-rseau
10.10.10.0.
Cisco 1721, 1751, 1760, 1841, 2600XM, 2691, 28xx, 36xx, 37xx et 38xx.
2-19
Cisco SDM Express
OL-7141-04
Valeurs par dfaut
Microsoft Windows NT
Dans le Panneau de configuration, double-cliquez sur licne Rseau pour
afficher la fentre du mme nom. Cliquez sur Protocoles, slectionnez la
premire entre Protocole TCP/IP puis cliquez sur Proprits. Dans la fentre
Proprits, slectionnez la carte Ethernet utilise pour cette connexion. Cliquez
sur Obtenir une adresse IP automatiquement pour obtenir une adresse IP
dynamique.
Pour utiliser une adresse IP statique, cliquez sur Utiliser ladresse IP suivante.
Saisissez ladresse IP 10.10.10.2 ou toute autre adresse suprieure 10.10.10.1
dans le sous-rseau 10.10.10.0. Entrez le sous-rseau 255.255.255.248. Les
autres champs peuvent tre laisss vides. Cliquez sur OK.
Microsoft Windows ME
Dans le Panneau de configuration, double-cliquez sur licne Rseau pour
afficher la fentre du mme nom. Double-cliquez sur lentre Protocole TCP/IP
associe la carte Ethernet utilise pour cette connexion, afin dafficher les
Proprits de TCP/IP. Dans longlet Adresse IP, cliquez sur Obtenir une adresse
IP automatiquement pour obtenir une adresse IP dynamique.
Microsoft Windows 2000
Dans le Panneau de configuration, slectionnez Connexions rseau et accs
distance/Connexion au rseau local. Slectionnez la carte Ethernet dans le
champ Se connecter en utilisant. Slectionnez Protocole Internet et cliquez sur
Proprits. Cliquez sur Obtenir une adresse IP automatiquement pour obtenir
une adresse IP dynamique.
Fonction non disponible
2-20
Cisco SDM Express
OL-7141-04
Microsoft Windows XP
Cliquez sur Dmarrer et slectionnez Paramtres, Connexions rseau, puis la
connexion au rseau local que vous allez utiliser. Cliquez sur Proprits,
slectionnez Protocole Internet (TCP/IP) et cliquez sur le bouton Proprits.
Cliquez sur Obtenir une adresse IP automatiquement pour obtenir une
adresse IP dynamique.
Fonction non disponible
Cette fentre saffiche lorsque la fonction que vous essayez de configurer nest
pas disponible. Cela peut se produire lorsque limage IOS ou le matriel du
routeur ne prend pas en charge la fonction concerne.
IN-1
Cisco SDM Express
OL-7141-04
I N D E X
A
adresse IP
dynamique 12, 16
ngocie 12, 16
non numrote 12, 16
adresse IP dynamique 12, 16
B
bannire, configuration 44
bannire de texte, configuration 44
BOOTP, dsactivation 32
C
CDP, dsactivation 33
CEF, activation 36
CHAP 12, 16
D
demandes ARP, dsactivation 39
DHCP 12, 16
diffusions dIP diriges, dsactivation 40
DLCI 20
dure TCP Synwait 37
E
encapsulation
IETF 21
PPPoE 15
routage RFC 1483 15
encapsulation IETF 21
H
horodatages, activation 35
I
intervalle de planification 36
J
journalisation
activation 38
activation des numros de squence et des
horodatages 35
Index
IN-2
Cisco SDM Express
OL-7141-04
L
LMI 20
M
message de maintien des connexions TCP,
activation 35
messages dhte ICMP injoignable,
dsactivation 41
messages de redirection ICMP,
dsactivation 39
messages de rponse au masque ICMP,
dsactivation 42
mots de passe
activation du cryptage 34
dfinition dune longueur minimale 43
N
NetFlow, activation 34
numros de squence, activation 35
P
PAP 12, 16
PPPoE 15
proxy ARP, dsactivation 40
R
relais de trame
DLCI 20
encapsulation IETF 21
type LMI 20
routage dIP source, dsactivation 33
routage RFC 1483 15
S
scheduler allocate 37
SDP
dpannage 49
service Finger, dsactivation 29
service IP Ident, dsactivation 32
service MOP, dsactivation 41
service PAD, dsactivation 30
SNMP, dsactivation 29
SSH
activation 45
T
TCP Small Servers, dsactivation 30
U
UDP Small Servers, dsactivation 31
IN-3
Cisco SDM Express
OL-7141-04
Index
unicast RPF, activation 38
Index
IN-4
Cisco SDM Express
OL-7141-04

Guide de L'utilisateur de Cisco SDM Express

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Guide de L'utilisateur de Cisco SDM Express

Diunggah oleh

Hak Cipta:

Format Tersedia

Sige social

Cisco Systems, Inc.

Anda mungkin juga menyukai