Installation et Configuration

Installation et Configuration
PPE1 : Tolérance de
panne
Installation et Configuration
1|Page
Vincent ALEXELINE
Installation et Configuration
SOMMAIRE
1. Schéma - page 3
2. Routeur page 4 - 10
3. Présentation du firewall : NetASQ U250 page 12
4. Configuration page 13 -16
5. Test de redondance page 17 - 19
2|Page
Vincent ALEXELINE
Installation et Configuration
SCHEMA
3|Page
Vincent ALEXELINE
Installation et Configuration
ROUTEUR
Qu’est-ce qu’un routeur ?
Un routeur est un élément intermédiaire dans un réseau informatique assurant le
routage des paquets entre réseaux indépendants. Ce routage est réalisé selon un
ensemble de règles formant la table de routage.
C'est un équipement de couche 3 par rapport au modèle OSI. Il ne doit pas être confondu
avec un commutateur.
La fonction de routage traite les adresses IP en fonction de leur adresse réseau définie
par le masque de sous-réseaux et les redirige selon l'algorithme de routage et sa table
associée.
Ces protocoles de routage sont mis en place selon l'architecture de notre réseau et les
liens de communication inter sites et inter réseaux.
Les protocoles de routages permettent l'échange des informations à l'intérieur d'un
système autonome. On retient les protocoles suivants :

états de lien, ils s'appuient sur la qualité et les performances du média de
communication qui les séparent. Ainsi chaque routeur est capable de dresser une
carte de l'état du réseau pour utiliser la meilleure route : OSPF (Open Shortest
Path First)

vecteur de distance, chaque routeur communique aux autres routeurs la distance
qui les sépare. Ils élaborent intelligemment une cartographie de leurs voisins sur
le réseau : RIP (Routing Information Protocol)

hybride des deux premiers, comme EIGRP (Enhanced Interior Gateway Routing
Protocol)
4|Page
Vincent ALEXELINE
Installation et Configuration
CISCO 2000
MODEM : CISCO 2000
Mode intégré : non
PORTS :
Portes LAN : 1
PROPRIETES DE RESEAU :
Firewall : non
Réseau local sans fil : non
Standard WLAN : non
Support DHCP : oui
Support NAT : oui
Vitesse max réseau : 100
Vitesse max de ruéseau sans fil : aucun
VoIP : oui
TYPE :
Interne ou externe : Externe
Type : routeur/passerelle
5|Page
Vincent ALEXELINE
Installation et Configuration
CONFIGURATION ROUTEUR
Les routeurs CISCO peuvent être manageable par interface web ou par commande CLI,
dans notre cas nous utiliserons les commandes CLI.
Initialiser, le routeur porte le nom « ROUTEUR » par défaut. Afin de garder une
meilleure visibilité sur les matériels nous allons le modifier en « R1 ».
ROUTEUR>en
ROUTEUR>conf t
ROUTEUR>hostname R1
R1>exit
Les commandes suivantes vont permettre d’associer l’adresse IP 192.168.1.10/24 à
l’interface FastEthernet 0/0.
Il est important de finir par la commande « no shutdown » sui a pour fonctionnalité de
d’activé le port après sa configuration.
La première chose à faire lorsque l’on configure du NAT, quel qu’en soit le type,
c’est d’indiquer au routeur où se situe le réseau privé et où se situe le réseau
publique.
Le NAT ne prend effet que lorsque qu’un paquet est routé d’une interface
« inside » (côté privé) vers une interface « outside » (côté publique) et vice-versa.
Dans notre cas, les interfaces Fa0/0 sont du côté privé et seront déclarées comme
« inside », l’interface F0/1 par contre, étant du côté publique, sera configurée
comme « outside ».
6|Page
Vincent ALEXELINE
Installation et Configuration
interface FastEthernet0/0
ip address 192.168.1.10 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
interface FastEthernet0/1
ip address 10.0.0.200 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
Pour finir on va associer l’adresse IP 10.0.0.200/24 au port FastEthernet 0/1 et activé.
Puis mettre en place la fonction NAT (Network address translation),
7|Page
Vincent ALEXELINE
Installation et Configuration
ip nat inside source list 10 interface FastEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 10.0.0.254
!
access-list 10 permit 192.168.1.0 0.0.0.255
La commande :

ip nat inside source list 10 interface FastEthernet0/1 overload
On instruit donc ici le routeur de créer dynamiquement une translation pour les
paquets arrivant sur une interface « inside » routés par une interface « outside »
dont l’adresse IP source correspond à l’ACL 1 et de remplacer l’IP source par une
de celles transitant sur le port FastEthernet 0/1.
Attention, s’il y a plus de machine dans le réseau privé que d’adresses publiques
disponibles, il faut alors rajouter le mot clé « overload » à la commande.

ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 10.0.0.254
Dans la commande suivante, le réseau à atteindre est le réseau 10.0.0.254/24 et
l'interface utilisée pour joindre le réseau est ethernet 1/0.
On peut aussi utiliser l'adresse IP du prochain routeur.

access-list 10 permit 192.168.1.0 0.0.0.255
Les ACL servent à filtrer le flux des paquets transitant par le routeur. Ici on permet tous
les paquets du réseau 192.168.1.0 à transiter par le routeur.
8|Page
Vincent ALEXELINE
Installation et Configuration
ROUTEUR BACKUP (R2) :
On fera la même chose pour le routeur secours R2.
ROUTEUR>en
ROUTEUR>conf t
ROUTEUR>hostn R2
R2>exit
interface FastEthernet0/0
description LAN
ip address 192.168.2.10 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
interface FastEthernet0/1
ip address 10.0.0.201 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
ip nat inside source list 10 interface FastEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 10.0.0.254
access-list 10 permit 192.168.2.0 0.0.0.255
9|Page
Vincent ALEXELINE
Installation et Configuration
FIREWALL
Un pare-feu (appelé aussi coupe-feu, garde-barrière ou firewall en anglais), est un
système permettant de protéger un ordinateur ou un réseau d'ordinateurs des intrusions
provenant d'un réseau tiers (notamment internet). Le pare-feu est un système
permettant de filtrer les paquets de données échangés avec le réseau, il s'agit ainsi d'une
passerelle filtrante comportant au minimum les interfaces réseau suivante :


une interface pour le réseau à protéger (réseau interne) ;
une interface pour le réseau externe.
Le système firewall est un système logiciel, reposant parfois sur un matériel réseau
dédié, constituant un intermédiaire entre le réseau local (ou la machine locale) et un ou
plusieurs réseaux externes. Il est possible de mettre un système pare-feu sur n'importe
quelle machine et avec n'importe quel système pourvu que :



La machine soit suffisamment puissante pour traiter le traffic ;
Le système soit sécurisé ;
Aucun autre service que le service de filtrage de paquets ne fonctionne sur le
serveur.
Dans le cas où le système pare-feu est fourni dans une boîte noire « clé en main », on
utilise le terme d'« appliance ».
Un système pare-feu contient un ensemble de règles prédéfinies permettant :



D'autoriser la connexion (allow) ;
De bloquer la connexion (deny) ;
De rejeter la demande de connexion sans avertir l'émetteur (drop).
L'ensemble de ces règles permet de mettre en oeuvre une méthode de filtrage
dépendant de la politique de sécurité adoptée par l'entité. On distingue
habituellement deux types de politiques de sécurité permettant :


soit d'autoriser uniquement les communications ayant été explicitement
autorisées :
soit d'empêcher les échanges qui ont été explicitement interdits.
La première méthode est sans nul doute la plus sûre, mais elle impose toutefois
une définition précise et contraignante des besoins en communication.
10 | P a g e
Vincent ALEXELINE
Installation et Configuration
PRESENATION DU FIREW ALL : NETASQ U250
PERFORMANCES
. Débit Firewall + IPS (Mbps) : 850
. Débit VPN IPSec (AES) : 190
. Interfaces 10/100/1000 : 6
. Interfaces 10/100 : . Connexions simultanées : 400 000
. Nouvelles connexions par seconde : 8 500
RESEAU – SPECIFICATION
. VLANs 802.1Q : 128
. Tunnels VPN IPSec : 1 000
. Tunnels VPN SSL : 512
. Nb. Max règles de filtrage : 8 000
. Clients PPTP simultanés : 96
. Redondances de liens WAN : 8
. Routage par politique : Oui
FIREWALL - PREVENTION D'INTRUSION
. Moteur de prévention d'intrusion ASQ : Oui
. Analyse des protocoles : Oui
. Signatures de protection contextuelles : Oui
. Protection VoIP : Oui
. Management des risques - SEISMO : Option
11 | P a g e
Vincent ALEXELINE
Installation et Configuration
CONFIGURATION
Par défaut le firewall est configurable via l’adresse suivante :
http://10.0.0.254/admin
Une fois sur l’interface nous allons définir les interfaces.
-
Clic sur l’onlget mes favoris
Interface
Ajouter un objet
Pour commencer il faut établir une adresse à l’interface dans le même plan d’adressage
pour le WAN-R1 (routeur principal)

192.168.1.9
Nous avons attribué l’interface suivante pour l’interface FastEthernet 0/0
-
192.168.1.10
12 | P a g e
Vincent ALEXELINE
Installation et Configuration
Même chose pour le routeur WAN-R2 (routeur secours) :
192.168.2.9
Avec un adresse 192.168.2.10 sur l’interface FastEthernet 0/0
Une fois les interfaces ajoutés on ajoutera le test de ping continue (1/secondes), nous lui
indiqueront d’établir des ping vers 8.8.8.8 adresse DNS de Google.
Ce choix est définit car il est casi impossible que les services DNS Google soit
interrompu.
13 | P a g e
Vincent ALEXELINE
Installation et Configuration
Une fois cette étape accompli, ce diriger dans l’onglet « filtrage »
Dans un premier cas on va bloquer (Any) puis laisser passer tous flux du réseau
Penser à bien activer grâce au bouton « on » ( « off »)
Pour finir nous allons nater les paquets venant du réseaux vers le routeur .
14 | P a g e
Vincent ALEXELINE
Installation et Configuration
NAT :
Le mécanisme de translation d'adresses (en anglais Network Address
Translation noté NAT) a été mis au point afin de répondre à la pénurie
d'adresses IP avec le protocole IPv4 (le protocole IPv6 répondra à terme à ce
problème).
En effet, en adressage IPv4 le nombre d'adresses IP routables (donc uniques sur
la planète) n'est pas suffisant pour permettre à toutes les machines nécessitant
d'être connectées à internet de l'être.
Le principe du NAT consiste donc à utiliser une adresse IP routable (ou un
nombre limité d'adresses IP) pour connecter l'ensemble des machines du réseau
en réalisant, au niveau de la passerelle de connexion à internet, une translation
(littéralement une « traduction ») entre l'adresse interne (non routable) de la
machine souhaitant se connecter et l'adresse IP de la passerelle.
Ici on utilise donc les adressages des interfaces pour le connecter à l’ensemble des
machines LAN.
15 | P a g e
Vincent ALEXELINE
Installation et Configuration
TEST DE REDONDANCE
A l’aide d’un ping vers Google en continue, on constate l’activité du routage à avoir
internet.
-
Ping 8.8.8.8 -t
Lien coupé WAN-R1 : On constate bien que l’état de connectivité à basculer vers le
deuxième routeur secours.
16 | P a g e
Vincent ALEXELINE
Installation et Configuration
Pour s’assurer, des tests de ping ont été réaliser. Grâce à la commande « tracert 8.8.8.8 »,
on allons voir par où sorte les packet
Et que la connexion est passé du coté routeur WAN-R2 (secours) .
17 | P a g e
Vincent ALEXELINE
Installation et Configuration
Si l’on remet le lien interrompu alors il reprend son rôle qui est de routeur principale,
passant le routeur secours en stanby sans impacte sur la connexion.
18 | P a g e
Vincent ALEXELINE

Download Report