Fiche applicative WeOS - iline - Rev B.doc - 22/05/2012

Transcription

1 infos@westermo.fr Page: 1 / 48

2 1. Table de matières. 1. Table de matières Révision document Avant-propos - Conventions Description d un réseau Débits et supports de transmission Autour d Ethernet et de IP Adressage IP Type d adresses 7 4. Mise en oeuvre Configuration usine Accès Interfaces Web/CLI Configuration de base Sauvegarde Commutation FRNT 12 Fast Reconfiguration Network Topology 12 WeOS prend en charge les topologies en «anneaux redondants» avec le protocole propriétaire FRNT. Ce protocole permet au sein d un anneau constitué de plusieurs commutateurs (jusqu à 200) d avoir un temps de convergence de 20ms maximum quelque soit la charge du réseau Principe Configuration Vérification RSTP 14 Rapid Spanning Tree Protocol (RSTP) Principe Configuration Cohabitation des protocols FRNT et RSTP Routage Routage statique RIP OSPF Redistribution des routes VRRP Principe 20 infos@westermo.fr Page: 2 / 48

3 Configuration GRE Principe 23 GRE (Generic Routing Encapsulation) est un protocole de tunnel permettant de transmettre des informations de protocole de couche réseau à travers un réseau intermédiaire. Ceci est réalisable en encapsulant le protocole de couche 3 dans un paquet. 23 Des exemples d application du GRE sont : permettre la communication entre 2 réseaux IPv6 distants à travers un réseau IPv4 ou bien faire passer des paquets multicast de protocole de routage dynamique tel que OSPF à travers un WAN. 23 Le principal inconvénient d un tunnel GRE est qu il n est pas sécurisé. Pour établir une sécurité du GRE, il sera nécessaire d utiliser un VPN. Par contre, il possède le grand avantage de pouvoir transporter du flux multicast. 23 GRE utilise une interface virtuelle dît interface tunnel Configuration Sécurité et management VLAN Principe Liaison d aggrégation VLAN ou VLAN trunking Routage inter-vlan Configuration Filtrage MAC/IP et serveur Radius Configuration VPN Principe Configuration Firewall et NAT Principe Configuration Le système des alarmes Principe Configuration SNMP Principe Configuration Tableau des variables Supervision d une variable SNMP La vérification par le journal des évènements 48 infos@westermo.fr Page: 3 / 48

4 2. Révision document. Rév Date Par Descriptif B 09/05/2012 NN Document Original infos@westermo.fr Page: 4 / 48

5 3.1. Description d un réseau 3. Avant-propos - Conventions Un réseau est un ensemble d équipements interconnectés qui communiquent entre eux via différents protocoles et assurent la transmission d information d un hôte à un autre. Il existe plusieurs types de réseau selon son étendu géographique : LAN ou Local Area Network : représente le réseau dît local car limité à une zone telle un bureau ou un immeuble MAN ou Metropolitan Area Network : décrit le réseau formé de plusieurs LAN, par exemple le réseau d un campus universitaire WAN ou Wide Area Network : représente le réseau étendu tel Internet qui occupe une large zone géographique Suivant le type de réseau auquel vous êtes confronté, les débits et le support de transmission peuvent varier Débits et supports de transmission Les débits vont de pair avec le support sur lequel sont transmises les données et la distance qui sépare les différents nœuds du réseau. Le tableau suivant donne un aperçu des vitesses de transmission autorisées : Support Technologie Débit Air Radio, WIFI 11 à 300 Mbps Cuivre Paire torsadée, Ethernet 10 à 1000 Mbps Fibre optique Fibre monomode et multimode, Ethernet 1 à 10 Gbps Une étude sur le choix de la technologie du support de transmission devra être réalisée selon le type de trafic à acheminer et le nombre d équipements à connecter Autour d Ethernet et de IP Les réseaux sont décrits par un modèle représenté par la pile de protocole TCP/IP (Transmission Control Protocol/Internet Protocol). Celui-ci est caractérisé par 4 couches qui délimitent chaque processus composant une transmission. Les protocoles de TCP/IP les plus déployés dans les réseaux d aujourd hui sont Ethernet et IP. Le protocole Ethernet définit les caractéristiques physiques des câbles et les processus d échange entre hôtes au niveau d un LAN. Cette technologie permet une grande souplesse de mise en œuvre infos@westermo.fr Page: 5 / 48

6 notamment grâce à l auto-négociation du débit et du mode duplex. Le protocole IP permet d attribuer des identifiants appelées adresses IP à des hôtes de manière à ce qu ils puissent communiquer à travers des réseaux de type MAN ou WAN Adressage IP Une adresse IP est une combinaison de 4 chiffres séparés par des points qui identifie un équipement sur un réseau. Chaque nombre représente une valeur binaire de 8 bits appelé octet. L adresse en est un exemple. Le tableau suivant illustre une décomposition de la valeur 192 en binaire : = = = = = = = = Vous pouvez remarquer que les 2 premiers bits qui sont à 1 correspondent aux valeurs 128 et 64 puisque 192 = Ainsi, l adresse donne en binaire : = De la même manière, il est possible d identifier un réseau avec une adresse IP. Ainsi, l équipement peut se trouver sur le réseau L appartenance d un hôte à un réseau se fait par l intermédiaire d un masque. Celui-ci permet de calculer l adresse d un réseau à partir d une adresse d hôte. Par exemple, avec un masque de donne un réseau de L opération est un ET logique appliqué à la valeur binaire. Pour rappel, 1 ET 1 = 1, 1 ET 0 = 0 ET 0 = 0. Le tableau suivant montre pour le premier octet le calcul correspondant : Le ET logique est fait entre la 2 e et la 4 e ligne. La 5 e ligne donne le résultat en binaire et la 6 e en décimale. infos@westermo.fr Page: 6 / 48

7 3.5. Type d adresses Il existe 2 types d adresses IP : publique et privée. Les adresses IP publiques sont des adresses enregistrées c est-à-dire qu elles sont attribuées moyennant finance par l organisme ICANN (Internet Corporation for Assigned Names and Numbers). Elles permettent aux équipements d être identifiés sur Internet. Les adresses IP privées sont des adresses utilisables dans le cadre d un LAN ou un MAN/WAN privé. Elles ne sont pas routables c est-à-dire qu elles ne sont jamais vues depuis l extérieur. Il est très fortement déconseillé d utiliser des adresses publiques comme adresses privées! W.W.W Réseau Internet Utilise des adresses IP publiques Réseau LAN privé Utilise des adresses IP privées Réseau LAN privé Utilise des adresses IP privées Les 3 classes d adresses privées que vous pouvez utiliser dans le plan d adressage de votre réseau sont les suivantes : Classe A 1ere IP : Dernière IP : IP disponibles : Classe B 1ere IP : Dernière IP : IP disponibles : Classe C 1ere IP : Dernière IP : IP disponibles : infos@westermo.fr Page: 7 / 48

8 4.1. Configuration usine 4. Mise en oeuvre Tous les exemples de configuration présentés dans ce document ont été réalisés sur un équipement Westermo en configuration "Usine" (Factory Default). L'adresse IP par défaut est Pour pouvoir reproduire ces configurations, nous vous conseillons de remettre vos appareils dans leur état par défaut. Pour cela, il y a deux solutions : Via l interface web : Maintenance > Factory Reset, cliquer sur Reset Manuellement, en connectant des câbles de manière croisée comme illustré dans les schémas suivants : Une fois que vous avez effectué ce câblage, éteignez et rallumer l appareil. Lorsque le voyant ON se met à clignoter, enlever les câbles Accès Interfaces Web/CLI Comme mentionné au paragraphe précédent, les équipements Westermo peuvent être accessible pour leur configuration grâce à l interface web. Pour cela, taper dans votre navigateur web l adresse IP de l appareil. Un login vous sera demandé : Username = admin, Password = westermo, par défaut. Une fois rentré, l interface web se présentera comme suit : infos@westermo.fr Page: 8 / 48

9 Une deuxième manière de pouvoir configurer l appareil passe par l interface en ligne de commande ou CLI (Command Line Interface). Avec un émulateur de terminal, vous pouvez accéder à l équipement. La configuration en ligne de commande apporte une liste de fonctionnalités plus exhaustive que sur l interface web. Vous pouvez employer un utilitaire comme Putty. infos@westermo.fr Page: 9 / 48

10 4.3. Configuration de base Par défaut, tous les équipements Westermo ont le protocole RSTP d activer. Cela permet de garantir qu une boucle fait accidentellement par l utilisateur ne rende indisponible l appareil par tempête de broadcast (broadcast storm). Le parefeu (firewall) est activé sur les routeurs Falcon et désactivé sur les autres équipements Westermo. En configuration de base, tous les ports sont dans le VLAN1 qui est celui d administration. Il est conseillé de procéder à la configuration de base suivante lors du premier démarrage de l équipement : Configuration > Identity : vous renseignez le nom de l appareil (hostname), le lieu où il se trouve (location) et le nom de la personne chargée de son administration (contact) Configuration > Network > Global : cliquer sur l icône Edit représentée par le crayon Default Gateway : si l équipement est utilisé comme commutateur et si le LAN doit communiquer avec un autre réseau, il sera nécessaire de paramétrer une adresse de passerelle infos@westermo.fr Page: 10 / 48

11 Remote NTP Server : le serveur NTP (Network Time Protocol) permet la synchronisation de l horloge de l équipement Timezone : choisissez Europe/Paris si vous êtes situés en France Name Server 1 / 2 : indiquez les serveurs DNS pour la résolution de nom Remarque : si vous utilisez le routeur Falcon pour la connexion ADSL, il est inutile de remplir les champs default gateway et name server puisque ce sera l équipement de votre FAI qui les communiquera automatiquement lors de la première connexion. Maintenance > Password : il est très fortement conseillé de modifier le mot de passe par défaut afin de renforcer la sécurité de votre réseau 4.4. Sauvegarde et mise à jour de l OS Lorsque vous avez fini de configurer votre équipement, vous pouvez sauvegarder le fichier de configuration courant. Ceci permet de redémarrer sur cette configuration lors d une panne ou bien de la charger sur un nouvel appareil. Ce fichier de configuration est modifiable en format texte afin de permettre le déploiement d une configuration à partir d un seul fichier sur un grand nombre d équipements. Maintenance > Backup & Restore : cliquez sur Backup, un fichier backup.cfg sera créé dans le répertoire Téléchargements (Download). Pour charger un fichier de configuration sauvegardée, cliquer sur Parcourir et aller sur le répertoire où il se trouve et faites Restore Les équipements Westermo bénéficient des mises à jour gratuites du système d exploitation WeOS qui leur permettent des fonctionnalités plus poussées tout en améliorer leurs compétences déjà présentes. Le fichier image de l OS est dans le formalisme suivant : la première lettre indique l équipement (f, l, r, w pour falcon, lynx, redfox et wolverine respectivement), la deuxième lettre w pour WeOS et suivi du numéro de la version sans le point. Par exemple, fw481.img est le fichier image de WeOS pour les routeurs falcon pour la version Maintenance > F/W Upgrade : vous pouvez charger la nouvelle version de WeOS à partir de votre PC en cliquant sur Parcourir dans la rubrique File Upload Upgrade ou bien si elle est présente sur un serveur FTP/TFTP en indiquant le nom du fichier image sans l extension et l adresse du serveur infos@westermo.fr Page: 11 / 48

12 5. Commutation 5.1. FRNT Fast Reconfiguration Network Topology WeOS prend en charge les topologies en «anneaux redondants» avec le protocole propriétaire FRNT. Ce protocole permet au sein d un anneau constitué de plusieurs commutateurs (jusqu à 200) d avoir un temps de convergence de 20ms maximum quelque soit la charge du réseau Principe Dans un anneau FRNT, un commutateur est configuré en Focal Point et les autres sont appelés Member. Le focal point possède un port en mode bloqué pour éviter de créer une boucle logique. En cas de défaillance de lien, ce port est mis directement en mode transmission. infos@westermo.fr Page: 12 / 48

13 Configuration La configuration présentée ci-dessous est réalisée sur les équipements WeOS car le protocole FRNT n est disponible que sur cette gamme. Interface Web Configuration > FRNT : par défaut, FRNT n est pas activé mais vous pouvez activez le protocole en cochant Enabled. Tous les commutateurs sont Focal Point par défaut mais vous devez n en choisir qu un en décochant tous les autres. Enfin, vous devez sélectionner les ports (M et N) qui participent à la conception de l anneau FRNT. Vous devez configurer chacun des commutateurs avant de réaliser le branchement. Remarque : pour les versions antérieures à WeOS4.8, vous devez vous assurer d avoir bien branché le port M d un commutateur avec le port N du commutateur voisin. Interface CLI falcon:/#> configure terminal falcon:/config/#> frnt 1 falcon:/config/frnt/#> focal-point falcon:/config/frnt/#> ring-ports 3,7 //active FRNT //configure le commutateur en Focal Point //sélectionne les ports 3 et 7 dans la conception de l anneau FRNT Vérification En fonctionnement normal, le voyant FRNT est vert clignotant pour le focal point et vert fixe pour les member. Le port bloqué sur le focal point est indiqué en voyant orange. Lorsqu une défaillance de lien se produit, le voyant FRNT est rouge clignotant pour le focal point et rouge fixe pour les member. Le port bloqué devient alors passant. Au niveau de l interface Web, vous pouvez visualiser l état FRNT en allant sur Status > FRNT. Un message en rouge sera affiché pour indiquer que l anneau FRNT est rompu. Remarque : la création d un anneau FRNT engendre automatique la création d une alarme. En cas de coupure de liaison, le message frnt link broken sera affiché sur Status > Summary. La variable SNMP frntv0ringstatus donne l état de l anneau FRNT et les valeurs qu elle peut prendre sont 1 (fonctionnement normal) et 2 (anneau rompu). Les variables frntv0port1state et frntv0port2state indique l état des ports dans la configuration FRNT. infos@westermo.fr Page: 13 / 48

14 5.2. RSTP Rapid Spanning Tree Protocol (RSTP) Le protocole RSTP (IEEE 802.1w) est une évolution du protocole STP (IEEE 802.1d) qui améliore le temps de convergence. Il définit de nouveaux rôles pour les ports qui peuvent passer directement en mode de transmission sans passer par une phase d apprentissage après un changement de topologie. Les 2 protocoles peuvent cohabiter dans le même réseau Principe Le protocole permet un fonctionnement immédiat sans configuration préalable. Une fois le câblage et l alimentation effectués, le réseau est tout de suite opérationnel. Dans le processus RSTP, les commutateurs connectés élisent un commutateur racine (root bridge) à partir duquel partent les liaisons vers tous les segments du réseau. L élection se fait sur la base d un identifiant BID (bridge ID) formé d une priorité et de l adresse MAC pour chaque commutateur. La valeur la plus faible du BID sélectionne le commutateur comme étant racine pour l arbre Spanning-Tree. En fonctionnement normal, tous les ports du commutateur racine sont en mode de transmission (forwarding). Pour une boucle physique donnée, RSTP mettra un des ports d un commutateur en état bloqué (blocking). Cette configuration automatique permet d éviter les boucles logiques qui engendrent des problèmes tels que les tempêtes de broadcast ou la diffusion de copies multiples. Un exemple de réseau redondant faisant appel au protocole RSTP est donné ci-dessous. infos@westermo.fr Page: 14 / 48

15 La topologie est formée par une boucle centrale et de 4 boucles périphériques. Pour chaque boucle, un port est mis en mode bloqué. Il est possible de choisir le commutateur racine en attribuant une valeur de priorité basse, ce que nous verrons dans le prochain chapitre Configuration Configuration WeOS Interface Web La configuration RSTP par défaut des commutateurs WeOS est la suivante : Configuration > RSTP RSTP est activé (Enable) mais vous pouvez le désactiver en décochant la case pour mettre en œuvre par exemple un autre protocole de redondance la priorité est de 8 par défaut ; en choisissant une priorité plus faible, vous pouvez forcer un commutateur à devenir racine infos@westermo.fr Page: 15 / 48

16 les compteurs Max Age, Hello Time et Forward Delay sont respectivement de 20, 2 et 15s ; ils participent au protocole STP et il est déconseillé de les modifier Status > Port Dans cette rubrique, vous pouvez vérifier l état des ports qui sont en mode transmission (Forwarding) ou en mode bloqué (Blocking) Interface CLI falcon:/#> configure terminal falcon:/config/#> spanning-tree falcon:/config/spanning-tree/#> priority 0 falcon:/config/spanning-tree/#> show falcon:/config/spanning-tree/#> stp-port eth3 //force le commutateur à devenir racine //montre la configuration RSTP falcon:/config/spanning-tree/stp-port-eth3/#> path-cost //définit le coût de la liaison à partir du port eth3 Remarque : Fixer un coût faible permet de choisir cette liaison comme liaison active dans la configuration RSTP. Configuration iline Interface Web La configuration RSTP par défaut des commutateurs I Line est la suivante : Network Redundancy > RSTP RSTP est activé (Enable) mais vous pouvez le désactiver en validant l option Disable pour mettre en œuvre par exemple un autre protocole de redondance la priorité est de par défaut ; en choisissant une priorité plus faible, vous pouvez forcer un commutateur à devenir racine les compteurs Max Age, Hello Time et Forward Delay sont respectivement de 20, 2 et 15s ; ils participent au protocole STP et il est déconseillé de les modifier Network Redundancy > RSTP Information Le BID du commutateur racine est indiqué ; vous pouvez être alors informé de son adresse MAC et de sa priorité L état des ports du commutateur est affiché : forwarding ou blocking Interface CLI infos@westermo.fr Page: 16 / 48

17 Switch> en Switch# configure terminal Switch(config)# spanning-tree enable //active RSTP sur le commutateur Switch(config)# spanning-tree priority 0 //fixe la priorité RSTP à Cohabitation des protocols FRNT et RSTP Les protocoles FRNT et RSTP peuvent cohabiter dans le même réseau. Dans cette configuration, chaque protocole se charge de gérer son domaine de commutateurs. Un commutateur peut appartenir à la fois à un domaine FRNT et un domaine RSTP. Ce sont ces ports qui permettent de préciser l appartenance à un domaine ce qui oblige le port de n être configuré que pour un seul protocole. Par défaut, le protocole FRNT est prioritaire dans la configuration des ports par rapport au protocole RSTP. Un exemple de topologie possible utilisant à la fois les protocoles FRNT et RSTP est donné cidessous. infos@westermo.fr Page: 17 / 48

18 Cette architecture fait appel à 3 anneaux FRNT reliés entre eux par une double liaison constituant une boucle RSTP. infos@westermo.fr Page: 18 / 48

19 6.1. Routage statique 6. Routage La configuration des routes statiques se fait grâce au CLI et se présente de la manière suivante : falcon:/#> conf t falcon:/config/#> ip route / //définit la route vers le réseau de masque qui passé par le prochain routeur falcon:/config/#> leave //active la configuration 6.2. RIP RIP (Routing Information Protocol) est un protocole de routage dynamique à vecteur de distance. Il prend comme paramètre de sélection de la meilleure route pour un réseau de destination la métrique (distance) en terme de routeurs franchis ou sauts durant l itinéraire (next hop). Les 2 principales limitations sont le nombre de sauts restreint à 15 (16 signifie que le réseau est injoignable) et le fait qu il ne prend pas en compte les caractéristiques de la ligne. Il convient par conséquent aux petits réseaux. Il existe 2 versions de RIP : RIPv1 et RIPv2. RIPv1 est de type classful c est-à-dire qu il ne supporte que les masques standards et diffuse les mises à jour par broadcast. RIPv2 est de type classless c est-à-dire qu il supporte les masques de longueur variable et diffuse ses mises à jour par multicast avec l adresse La configuration se fait de la manière suivante : falcon:/#> conf t falcon:/config/#> router rip falcon:/config/router/rip/#> version 2 //choix de la version, préférez la version 2 falcon:/config/router/rip/#> network vlan1 //définit l interface qui participe aux échanges RIP falcon:/config/router/rip/#> leave //active la configuration 6.3. OSPF OSPF (Open Shortest Path First) est un protocole de routage dynamique à état de liens. Il prend comme paramètre de sélection de la meilleure route pour un réseau de destination les caractéristiques de la liaison à savoir la bande passante. Il n est pas limité au nombre de saut. Il existe 2 versions utilisées de nos jours : OSPFv2 (le plus déployé) et OSPFv3 (compatible avec les réseaux IPv6). OSPF est de type classless et supporte donc les masques de longueur variable et infos@westermo.fr Page: 19 / 48

20 diffuse ses mises à jour par multicast avec l adresse Il est possible de déployer OSPF sur de grands réseaux. Dans ce cas, il sera nécessaire de définir des zones d administration pour les sites afin de mieux répartir la charge de gestion du réseau. Ces zones sont appelées Area. L area 0 ou correspond à la dorsale du réseau ou backbone. La configuration se fait de la manière suivante : falcon:/#> conf t falcon:/config/#> router ospf falcon:/config/router/ospf/#> network /24 area 0 falcon:/config/router/rip/#> leave //définit l interface qui participe aux échanges OSPF //active la configuration 6.4. Redistribution des routes La redistribution permet de fusionner un réseau RIP et un réseau OSPF. Pour cela, un routeur intermédiaire et commun aux domaines RIP et OSPF est choisi pour traduire les routes apprises d un protocole et les transférer au domaine de l autre protocole et vice versa. La configuration se fait de la manière suivante : falcon:/#> conf t falcon:/config/#> router ospf falcon:/config/router/ospf/#> redistribute rip metric //traduit les routes apprises par RIP et leur donne une métrique OSPF falcon:/config/router/ospf/#> redistribute connected //traduit les routes directement connectées au routeur intermédiaire du domaine RIP falcon:/config/router/ospf/#> end falcon:/config/router/#> router rip falcon:/config/router/rip/#> redistribute ospf //traduit les routes apprises par OSPF falcon:/config/router/rip/#> redistribute connected // traduit les routes directement connectées au routeur intermédiaire du domaine OSPF 6.5. VRRP Principe infos@westermo.fr Page: 20 / 48

21 VRRP (Virtual Routing Redundancy Protocol) est un protocole pour le redondance des routeurs. Il utilise une adresse IP et une adresse MAC virtuelles. Un routeur dît Master est configuré avec une priorité haute par rapport au routeur dît Backup servant de secours au cas où le Master tombe. Le routeur en fonctionnement dans le processus VRRP possède les adresses IP et MAC virtuelles. L adresse MAC est toujours du format E XX où XX indique l instance (ou groupe) VRRP en hexadécimal. Chaque instance VRRP est représentée par un identifiant appelé Virtual Router ID. En cas de défaillance du routeur Master, le routeur backup qui a la priorité VRRP la plus haute prendra la place. Il la conservera même lorsque l ancien Master deviendra de nouveau opérationnel. Si plusieurs routeurs backup ont même priorité, celui ayant l adresse IP la plus grande deviendra Master. Dans le cas où un routeur backup est élu Master, un autre routeur backup de plus grande priorité qui vient d être disponible peut prendre sa place grâce à l option de préemption. Celle-ci est donc nécessaire lorsque l ancien Master veut reprendre sa place. Les annonces VRRP diffusées en multicast sur l adresse permettent au routeur Master de déclarer son état et sa priorité. La figure ci-dessus montre une topologie formée de 3 routeurs sur lesquels est configuré une instance VRRP. Le groupe ou instance (VRID : Virtual Router ID) VRRP est 10 et l adresse IP virtuelle (VIP) est Les routeurs R1, R2 et R3 font partie du même groupe. Le routeur R1 est élu Master en raison de sa priorité de 150 supérieure à celle des autres routeurs. L option de préemption (Preempt) est activée sur R1 de manière à ce qu il puisse récupérer sa place de Master une fois remis opérationnel. Il possède donc les adresses IP et MAC virtuelles. Les PC du LAN vont alors envoyer leurs requêtes à R1 par l adresse de passerelle Si infos@westermo.fr Page: 21 / 48

22 R1 tombe, les 2 autres routeurs peuvent alors servir de secours. Dans notre cas, la priorité de R2 et de R3 étant la même, ce sera R3 qui deviendra Master car il possède l adresse IP la plus grande Configuration Configuration > Network(IP) >VRRP Cliquer sur New pour créer une nouvelle instance VRRP : Interface : indique l interface du routeur sur lequel va activer VRRP Virtual Router ID : représente le numéro du groupe ou instance VRRP Virtual Address : représente l adresse virtuelle utilisée par le routeur Master Advertisement Interval (s) : indique la période en seconde des annonces VRRP, 1s par défaut Priority : paramètre la valeur de la priorité, 100 par défaut Preemption : active (Enabled) ou désactive (Disabled) la préemption Preemption Delay (s) : indique le délai en seconde avant que la préemption ne soit active Dynamic Priority Vous pouvez faire un ajustement de la valeur de la priorité en fonction d un évènement (voir Chap. 7.5, Le système des alarmes). Lorsqu une alarme est déclenchée, VRRP ajuste la valeur initiale de la priorité du routeur : Track Trigger : activé, il permet de vérifier l état d un paramètre dont la valeur pourrait déclencher une alarme et engendrerait le réajustement de la priorité Priority Adjustment : indique la valeur de réajustement de la priorité, par exemple -50 si vous souhaitez diminuer la priorité de 50 lorsqu un évènement vient de se produire infos@westermo.fr Page: 22 / 48

23 6.6. GRE Principe GRE (Generic Routing Encapsulation) est un protocole de tunnel permettant de transmettre des informations de protocole de couche réseau à travers un réseau intermédiaire. Ceci est réalisable en encapsulant le protocole de couche 3 dans un paquet. Des exemples d application du GRE sont : permettre la communication entre 2 réseaux IPv6 distants à travers un réseau IPv4 ou bien faire passer des paquets multicast de protocole de routage dynamique tel que OSPF à travers un WAN. Le principal inconvénient d un tunnel GRE est qu il n est pas sécurisé. Pour établir une sécurité du GRE, il sera nécessaire d utiliser un VPN. Par contre, il possède le grand avantage de pouvoir transporter du flux multicast. GRE utilise une interface virtuelle dît interface tunnel Configuration Configuration > VPN & Tunnel > GRE Cliquer sur New pour créer une nouvelle instance GRE. Instance ID : indique le numéro de l instance Enabled : active le protocole GRE lorsqu il est coché Local IP Address : adresse virtuelle local du tunnel GRE Remote IP Address : adresse virtuelle distante du tunnel GRE Fixed TTL : si l option Inherit est choisie, l interface GRE reprendra la valeur du TTL de l interface de sortie ; dans le cas contraire (No Inherit), il est possible d appliquer une valeur Outbound Interface : interface de sortie du tunnel GRE infos@westermo.fr Page: 23 / 48

24 7. Sécurité et management 7.1. VLAN Dans un réseau formé par un agrégat de commutateurs, les flux provenant des applications des hôtes peuvent être dirigés vers l ensemble des nœuds du réseau. Afin de sectoriser les trafics, il est possible d associer certains ports des commutateurs à un groupe appelé VLAN. Cette configuration logique du réseau a l avantage de sécuriser l accès aux ressources puisque les utilisateurs d un VLAN n ont pas accès aux ressources d un autre VLAN Principe Un VLAN (Virtual LAN) est un réseau virtuel qui rassemble un ensemble de ports de commutateur dît membre du groupe VLAN. Sur ces ports, sont connectés certains hôtes et certaines ressources que nous souhaitons dissocier. Dans le schéma ci-dessus, 4 VLAN ont été créés pour les différents départements d une entreprise. Par exemple, le VLAN1 correspond au secteur Ventes et regroupe les hôtes qui sont connectés aux ports eth2 et eth3 du commutateur. Si un hôte connecté au port eth6 (i.d. appartenant au VLAN2) souhaitait communiquer avec les hôtes du VLAN1, il ne pourrait pas. Chaque VLAN correspond à un réseau et constitue donc un domaine de broadcast. Pour permettre la communication entre les VLAN, un routeur sera donc nécessaire. infos@westermo.fr Page: 24 / 48

25 Certains équipements Westermo sont des commutateurs de niveau 3 c est-à-dire qu ils ont des fonctions de routage. L équipement est capable de router entre les différents réseaux VLAN créés dessus. En revanche, dans le cas de simples commutateurs, il sera nécessaire d utiliser un routeur pour établir une communication entre les hôtes de VLAN différents Liaison d aggrégation VLAN ou VLAN trunking Lorsque plusieurs VLAN sont créés au sein d un ensemble de commutateurs (appelé Switch Fabric), une liaison connectant 2 commutateurs sert de canal de transmission pour un groupe de VLAN. Afin d identifier à quel VLAN provient le trafic, chaque trame est étiquetée c est-àdire qu elle est encapsulée avec un en-tête possédant un identifiant VID (VLAN ID). Le protocole utilisé est IEEE 802.1q. Dans le réseau ci-dessus, des liaisons d aggrégation VLAN sont utilisées pour transporter le trafic de tous les VLAN. Lorsque PC1 envoie un message à PC2, le premier commutateur encapsule les trames avec l identifiant VID correspondant au VLAN bleu. Ces trames traversent le Switch Fabric et sont reconnues de part cet identifiant par tous les commutateurs. Le dernier commutateur détache l en-tête VID et restitue les trames à l hôte PC2. Les ports constituant la liaison d aggrégation VLAN entre les commutateurs sont mis en mode étiquetage ou «tagged» et ceux qui sont directement connectés aux hôtes sont en mode désencapsulé ou «untagged». infos@westermo.fr Page: 25 / 48

26 Routage inter-vlan Les VLAN étant des réseaux isolés, le seul moyen pour permettre une communication entre eux est d utiliser un routeur. Une fois configuré pour reconnaître l étiquetage VLAN, celui-ci est capable de transmettre les paquets d un VLAN à l autre. La configuration est connue sous le nom de «router on the stick» et se présente sous le schéma suivant : Dans cette topologie, les liens inter-commutateurs et le lien entre le routeur R1 et le commutateur S2 sont des liaisons d aggrégation VLAN. Celles-ci transportent le trafic des 4 VLAN. Par exemple, lorsqu un hôte du VLAN2 connecté au commutateur S1 souhaite communiquer avec un hôte du VLAN4 connecté à S3, les trames seront étiquetées VLAN2 mais l adresse IP de destination appartient au VLAN4. Le routeur R1 reçoit ces trames et désencapsule l en-tête VLAN2. L adresse IP l informe que le destinataire appartient au VLAN4. R1 va alors étiqueter les trames avec une en-tête VLAN4 et les retransmet à S2 qui les enverra à S3 jusqu au destinataire. La configuration dans les routeurs Westermo se fait donc en choisissant un port (ici, fa1 de R1) pour créer la liaison d aggrégation VLAN avec l un des commutateurs du réseau. Sur cette interface, seront créés autant de VLAN avec les mêmes VID que possèdent le réseau des commutateurs (par exemple dans notre cas 4 VLAN avec les VID 1, 2, 3 et 4). L interface devra être en mode «tagged» pour permettre le ré-étiquetage des trames. infos@westermo.fr Page: 26 / 48

27 Configuration Configuration WeOS Interface Web Configuration>VLAN>VLANs Le tableau vous montre tous les VLAN présents dans le commutateur. Créer un nouveau VLAN en cliquant sur New VLAN. Entrer un numéro VID pour identifier le nouveau VLAN. Vous pouvez laisser le numéro attribué par défaut. Vous pouvez entrer un nom (par exemple, Ventes). Choisissez les ports qui seront membres du VLAN en cochant les options Tagged ou Untagged suivant les cas : si un port est utilisé pour créer une liaison d aggrégation VLAN (entre commutateurs), vous devrez choisir l option Tagged pour ce port. Si le port est relié directement à un hôte, l option Untagged sera prise. Cliquer sur Apply pour valider. Configuration «Router on the stick» pour le routage inter-vlan Sur le routeur : Créer autant de VLAN que le réseau des commutateurs avec les mêmes VID Pour chaque VLAN, choisir le même port en mode Tagged qui servira pour établir la liaison d aggrégation VLAN Attribuer une adresse IP pour chaque VLAN en correspondance avec les adresses réseau présents dans les VLAN des commutateurs Exemple : Le réseau des commutateurs possèdent 4 VLAN dont les adresses réseau sont : /24 pour VLAN /24 pour VLAN /24 pour VLAN /24 pour VLAN4 Sur le routeur, il faudra alors attribuer à l interface les adresses : /24 pour VLAN /24 pour VLAN /24 pour VLAN /24 pour VLAN4 En supposant que ces adresses ne sont pas utilisées par les hôtes des différents VLAN. Pour permettre le routage inter-vlan, il est important de vérifier que votre firewall est désactivé. Interface CLI infos@westermo.fr Page: 27 / 48

28 falcon:/#> configure terminal falcon:/config/#> vlan 2 falcon:/config/vlan-2/#> enable falcon:/config/vlan-2/#> name Ventes falcon:/config/vlan-2/#> untagged eth1,eth2,eth4 falcon:/config/vlan-2/#> tagged eth3 La configuration ci-dessus permet de créer un nouveau VLAN avec un VID de 2. Les ports qui lui sont rattachés sont Eth1 à Eth4. Eth3 est relié à un autre commutateur pour créer une liaison d aggrégation tandis que les autres sont directement connectés aux hôtes. Configuration i-line Interface Web VLAN>VLAN Configuration Management VLAN ID: entrer une valeur de VID puis cliquer sur Apply pour choisir le VLAN de gestion. Static VLAN : création d un nouveau VLAN en renseignant un numéro d identifiant VID et le nom; par exemple, VID=10 et Name=Comptabilité. Cliquer sur Add pour créer le VLAN. Static VLAN Configuration : chaque VLAN créé sera affiché dans ce tableau où il est question de définir l encapsulation VLAN avec les modes tagged (T) ou untagged (U) pour chaque port c est-à-dire le mode d étiquetage du trafic sortant de l interface (egress port). VLAN>VLAN Port Configuration Affectation des ports membres aux VLAN : entrer la valeur du VID du VLAN (ici appelé PVID) auquel vous souhaitez que chaque port soit affecté. Sécurité pour le trafic entrant : il est possible de définir le type de trames autorisées avec Admit All pour les trames non étiquetées et Tag Only pour les trames étiquetées. De même, vous pouvez activer les règles de filtrage MAC du trafic entrant pour ce port avec Ingress Filtering sur Enable. Une fois activée, seuls les hôtes dont l adresse MAC est autorisée pourront se connecter à ce port. La configuration se fait dans Security>Port Security où vous ajouter les adresses MAC autorisées. Interface CLI infos@westermo.fr Page: 28 / 48

29 Switch> en Switch# conf t Switch(conf)# int fa2 Switch(conf-if)# switchport access vlan 3 Switch(conf)# int fa3 Switch(conf-if)# switchport trunk allowed vlan add 2,3,4 Switch(conf)# int fa4 Switch(config-if)# switchport trunk native vlan 2 //met l interface fa2 en mode untagged pour le vlan3 //met l interface fa3 en mode tagged (aggregation VLAN) //ajoute l interface fa4 au vlan Filtrage MAC/IP et serveur Radius La sécurité des accès aux équipements réseau est permise grâce à des règles de filtrage. Le paramètre testé peut être soit une adresse MAC soit une adresse IP. Par exemple, l hôte qui n aura pas une adresse IP enregistrée dans la liste des adresses autorisées ne pourra pas se connecter à l équipement Configuration Configuration WeOS Interface Web Configuration>AAA>MAC Auth Cliquer sur New List pour créer une liste d adresses MAC autorisées : vous pouvez donner une description pour l adresse MAC. Le format de l adresse doit être AA :BB :CC :DD :EE :FF. Enfin sélectionner le port sur lequel vous voulez appliquer le filtrage. Interface CLI falcon:/#> conf t falcon:/config/#> aaa mac-auth 0 //définit une instance (ici n 0) au filtrage MAC falcon:/config/aaa/mac-auth-0/#> mac match 18:03:73:db:cb:75 limit eth4 //autorise l adresse MAC 18:03:73:db:cb:75 pour le port eth4 falcon:/config/aaa/mac-auth-0/#> enable //active le filtrage MAC infos@westermo.fr Page: 29 / 48

30 falcon:/config/aaa/mac-auth-0/#> show //affiche la liste des addresses MAC autorisées Configuration i-line Interface Web Filtrage MAC Security>Port Security Port Security State : choix du port sur lequel vous voulez appliquer la règle de filtrage, activer avec l option Enable puis cliquer sur Apply. Add Port Security Entry : entrer l adresse MAC autorisée, le VID du VLAN dans lequel cette adresse se trouve et le port d accès. Par exemple : port 2, VID=3, aaaa.bbbb.cccc. Vous pouvez définir plusieurs adresses MAC pour un port. Chaque port peut permettre jusqu à 10 adresses MAC. Port Security List : le tableau est un récapitulatif des adresses MAC que vous avez autorisées en correspondance avec les ports. Choisissez All pour afficher toutes les adresses par port ou ne sélectionner qu un port en particulier. Pour enlever une adresse MAC de la liste autorisée, sélectionner la et cliquer sur Remove. Filtrage IP Security>IP Security IP Security : activer le filtrage IP en cochant Enable puis cliquer sur Apply. Vous devez faire cette commande en dernier après avoir entré les différentes adresses IP. Add Security IP : entrer l adresse IP autorisée puis cliquer sur Add. Cette adresse aura accès au commutateur par n importe quel port. Le maximum d adresses IP autorisées est de 10. Security IP List : le tableau permet de vérifier la liste des adresses IP autorisées que vous avez entrées. Pour enlever une adresse IP de la liste autorisée, sélectionner la et cliquer sur Remove. Interface CLI Filtrage MAC Switch> en infos@westermo.fr Page: 30 / 48

31 Switch# conf t Switch(config)# mac-address-table static aaaa.bbbb.cccc vlan 1 interface fa1 //ajoute l adresse MAC aaaa.bbbb.cccc sur la liste des adresses autorisées pour le port fa1 Switch(config)# interface fa1 Switch(config-if)# switchport port-security Switch# show mac-address-table static //active le filtrage MAC sur le port fa1 //affiche la liste des addresses MAC autorisées Filtrage IP Switch> en Switch# conf t Switch(config)# ip security //active le filtrage IP Switch(config)# ip security host //autorise l adresse IP Switch# show ip security //affiche la liste des adresses IP autorisées 7.3. VPN Un VPN (Virtual Private Network) est l ensemble formé par des réseaux LAN privés interconnectés entre eux par une liaison virtuelle sécurisée. Cette liaison s appuie en général sur un réseau public existant tel qu Internet Principe Une connexion VPN permet à des sites souvent distants géographiquement de communiquer de manière sécurisée. Alors qu ils empruntent une partie du réseau public, ces réseaux privés constituent grâce à cette liaison un réseau privé virtuel d où le nom de VPN. Le protocole utilisé est appelé IPSec (IP Security) et fait appel au principe du tunnel. Pour rappel, une adresse IP privée n étant pas routable sur Internet, celle-ci doit être «cachée». Le tunnel VPN permet ce masquage de l adresse IP privée. Authentification des utilisateurs infos@westermo.fr Page: 31 / 48

32 Confidentialité des données : les données sont cryptées avant d être envoyées et décryptées une fois reçues avant d être restituées à leur destinataire. Intégrité des données : il s agit de s assurer que les données n ont pas été modifiées. L algorithme de hachage applique une formule mathématique aux données. La valeur obtenue (HMAC : Hash Message Authentication Code) est envoyée avec les données. Une fois reçues, le routeur pair applique le même algorithme aux données reçues et compare la valeur qu il obtient avec celle présent dans le paquet IP. Des valeurs identiques assurent que les données n ont pas été modifiées. Ce mode de cryptage permet de se protéger des attaques venant d Internet. Il existe 3 architectures de VPN : VPN (architecture) site à site ou passerelle à passerelle : ce type de VPN est utilisé pour protéger la communication entre 2 réseaux VPN (application) hôte à passerelle : il permet à un hôte situé sur un réseau non sécurisé d avoir accès aux ressources de l entreprise telles que le service mail et le web VPN (utilisateur) accès distant : ce VPN autorise un hôte à contrôler à distance un système qui emploie des protocoles non sécurisés Le protocole IPSec est la combinaison d un protocole pour les paquets et d un protocole pour les services. Pour le premier, il existe 2 protocoles majeurs : ESP (Encapsulation Security Payload) et AH (Authentication Header). Pour le deuxième, il s agit du protocole IKE (Internet Key Exchange). Les protocoles ESP et AH sont incompatibles avec les équipements qui font du NAT. Dans le cas de ESP, il est possible d activer la fonction NAT-T qui encapsule le paquet ESP en UDP avec le port 4500 afin qu il ne soit pas rejeté par l équipement NAT. La méthode du DPD (Dead Peer Detection) permet de détecter la présence de la paire IPSec. Un message DPD est envoyé périodiquement. Choix de configuration VPN Fonction de hachage : permet de générer une emprunte à partir d une clé, préférer le SHA-1 (Secure Hash Algorithm 1) qui est plus sûr que le MD5 (Message Digest Algorithm 5) car dans le cas du MD5, 2 messages (mot de passe) peuvent générer la même signature. Le SHA-2 est encore plus sûr infos@westermo.fr Page: 32 / 48

33 infos@westermo.fr Page: 33 / 48

34 Configuration Configuration>VPN & Tunnel>IPSec IPSec NAT Traversal (NAT-T) : valider cette fonction lorsque le VPN doit passer par un équipement intermédiaire qui fait du NAT MTU Override : Tunnel, cliquer sur New IPSec Tunnel Network Security Instance Number : identifie l instance VPN, les équipements Westermo permettent de configurer jusqu à 25 instances VPN. Le nombre de tunnel VPN ouvert simultanément varie selon le type de trafic et les modes de cryptage employés Enabled : active le protocole IPSec Role : le routeur peut être définit soit comme Initiator (celui qui émet les requêtes IKE et IPSec) soit comme Responder (celui qui reçoit ces requêtes) Outbound Interface : définit l interface par laquelle vont être émises ou et reçues les requêtes IKE et IPSec Remote Peer : Any pour Responder, il faudra renseigner l adresse IP publique de la paire distante lorsque le routeur est en Initiator Local Subnet (Address/Mask) : sous-réseau du site local Remote Subnet (Address/Mask) : sous-réseau du site distant Dead Peer Detection : Clear pour Responder, Restart pour Initiator DPD Delay : représente la période des messages DPD qui permettent de vérifier la présence de la paire distante ; par défaut, 30s DPD Timeout : représente la temps de retenue avant de considérer que la paire est tombée ; par défaut, 120s Aggressive Mode : décocher la case pour passer en mode Main IKE : définit les paramètres de configuration pour la phase 1, en automatique ou en manuel Authentication Method : définit la méthode pour l authentification des paires soit en PSK soit en certificat Secret (PSK) : si vous avez choisi PSK, veuillez rentrer une valeur dans ce champ infos@westermo.fr Page: 34 / 48

35 Local ID Type : paramètre un identifiant pour la paire local, soit en automatique soit en manuel Remote ID Type : paramètre un identifiant pour la paire distante, soit en automatique soit en manuel ESP : définit les paramètres de configuration pour la phase 2, en automatique ou en manuel PFS : permet de remplacer le secret partagé obtenu par le DH group de la phase 1 IKE lifetime(s) : durée de vie du tunnel sécurisé de la phase 1 ; par défaut, 3600s soit 1h SA lifetime(s) : durée de vie du tunnel de la phase 2 ; par défaut, 28800s soit 8h 7.4. Firewall et NAT Principe Ces 2 fonctions participent à la sécurité d un réseau par le contrôle du trafic entrant et sortant. Le rôle du firewall est de bloquer tous les paquets qui transitent à travers un routeur. Aussi, pour permettre certains trafics de franchir un firewall, il est nécessaire de créer des règles d autorisation (Packet Filter). Ces règles peuvent prendre comme paramètres de test le type de protocole de transport (UDP ou TCP), l adresse IP et le numéro de port. Vous pouvez par exemple permettre le service FTP à certains hôtes et bloquer tous les autres, n autoriser qu une seule personne à se connecter en HTTPS sur une machine local ou bloquer toutes les requêtes d accès à distance provenant d un réseau en particulier. Une alternative au filtrage de paquets est la redirection de port qui autorise l accès à des services tels que HTTP et FTP présents sur un machine du LAN. Dans l exemple ci-dessous, une redirection du service Web (port 80) vers le serveur du LAN est configurée sur le routeur. Ainsi, une requête http vers l adresse publique du routeur est renvoyé directement vers le serveur. Le serveur Web «possède» alors l adresse IP du routeur pour sa communication vers l extérieur. infos@westermo.fr Page: 35 / 48

36 Nous voyons donc que la requête est initiée par le PC sur l adresse publique et le port 80 du routeur. En temps normal, c est le routeur qui est censé répondre. Mais en raison de la présence de la règle de redirection, ce sera l équipement dont l adresse aura été enregistrée dans cette règle qui prendra en charge la requête. En outre, la fonction NAT (Network Address Translation) permet de renforcer la sécurité en modifiant l adresse IP source d un paquet provenant d un réseau dont nous souhaitons exposer le moins possible à l extérieur (Internet). Dans le processus de nattage, le routeur remplace l adresse IP source du paquet envoyé par un hôte par l adresse IP de l interface de sortie qui mène au réseau de destination. Ceci a pour effet de camoufler l identité de l hôte source en faisant croire que la requête est issue du routeur. Dans les équipements WeOS, la fonction NAPT (Network Address and Port Translation) reprend les bases du NAT en ajoutant la possibilité à plusieurs hôtes d initier leurs requêtes en même temps à travers une seule adresse IP d interface. Ceci est réalisable grâce à un numéro de port qui identifie la source de chaque message. Ainsi, vu de l extérieur, les requêtes de ces différents hôtes sembleront toujours venir du routeur. infos@westermo.fr Page: 36 / 48

37 Dans le schéma ci-dessus, les machines PC1, PC2 et PC3 veulent accéder au serveur qui se trouve sur Internet. Un numéro de port est affecté par machine et l identifie dans les échanges avec le serveur. Aussi, le serveur répondra à PC1 par l adresse sur le port Une dernière fonction de NAT appelé le NAT 1-to-1 permet d utiliser une adresse de destination fictive à la place de celle de l hôte que nous souhaitons joindre. Cette adresse de destination est une adresse IP qui fait office d adresse intermédiaire ce qui permet au réseau de destination d être caché sous celle-ci. infos@westermo.fr Page: 37 / 48

38 L illustration ci-dessus montre un exemple de NAT 1-to-1 qui permet de voiler entièrement les réseaux de part et d autre du routeur grâce aux règles 1 et 2. La machine Server peut être aussi perçue comme faisant partie du réseau avec l adresse à travers la règle Configuration Interface web Configuration>Firewall>Common Par défaut, le firewall est activé pour tous les équipements. Il est possible de le désactiver en décochant la case Enabled puis en cliquant sur Apply Configuration>Firewall>NAT Par défaut, une règle de NAPT du VLAN1 vers le VLAN1006 est présente et permet donc de changer l adresse IP source d un paquet provenant d un équipement du VLAN1 par l adresse IP de l interface du VLAN1006 (ligne DSL). Pour créer une nouvelle règle de NAT, cliquer sur New NAT Rule. Type : choississez entre NAPT et NAT 1-to-1 Incoming Interface : sélectionner l interface connectée au réseau auquel vous souhaitez appliquer le NAT Source Address (NAPT) : permet de définir le bloc d adresses que vous souhaité natter infos@westermo.fr Page: 38 / 48

39 Destination Interface (NAPT) : sélectionner l interface par laquelle sera vu le réseau natté Destination Address (NAT 1-to-1) : spécifie l adresse IP de destination à natter New Destination Address (NAT 1-to-1) : correspond à l adresse de l interface (physique ou virtuelle) par laquelle le réseau natté de destination est vu Automatic Packet Filter Rule : créé la règle de filtrage en correspondance avec la règle de NAT Proxy ARP (NAT 1-to-1) : en validant cette option, l interface du routeur répondra aux requêtes ARP par son adresse MAC pour un réseau de destination distant. Il est alors possible d utiliser comme adresse de nattage une adresse du réseau local. Dans cette configuration, l hôte source aura l impression qu il communique avec un autre hôte du LAN alors que l hôte en question se trouve sur un réseau différent Configuration>Firewall>Port Forwarding La redirection de port permet de faire transiter des services spécifiques à travers le firewall du routeur vers une machine du LAN. Créer une nouvelle règle de redirection de port en cliquant sur New Forwarding Rule. Protocol : spécifie le protocole de transport UDP, TCP Incoming Interface : interface de réception des paquets sur laquelle la redirection des ports sera activée Incoming Destination Port : permet de choisir le service à rediriger. Une liste déroulante est disponible. Si le service n est pas présent dans cette liste, vous devrez renseigner le(s) numéro(s) de port Source Address : permet de spécifier l hôte (single) ou le réseau (subnet) source émetteur des paquets Destination Address : indique l adresse de l hôte sur lequel sera redirigé le service New Destination Port : renseigne le service sollicité sur l hôte soit avec la liste déroulante soit avec le(s) numéro(s) de port Configuration>Firewall>Packet Filter Créer une nouvelle règle de filtrage en cliquant sur New Filter Rule. Policy : indique l action à suivre lors du traitement des paquets, allow pour autoriser et deny pour refuser Position (Order) : chaque paquet sera inspecté afin de vérifier s il y a une correspondance avec l une des règles de filtrage suivant l ordre défini In Interface : choix de l interface du trafic entrant Out Interface : choix de l interface du trafic sortant Protocol : spécifie le protocole de transport ou de routage à filtrer Source Address : permet de spécifier l hôte (single) ou le réseau (subnet) source émetteur des paquets Destination Address : permet de spécifier l hôte (single) ou le réseau (subnet) destinataire des paquets Destination Port(s) : précise le service à filtrer grâce à une liste déroulante ou à un numéro de port infos@westermo.fr Page: 39 / 48