Fiche applicative WeOS - iline - Rev B.doc - 22/05/2012

Documents pareils
DIFF AVANCÉE. Samy.

Application Note. WeOS Création de réseaux et de réseaux virtuels VLAN

Les réseaux /24 et x0.0/29 sont considérés comme publics

Mise en route d'un Routeur/Pare-Feu

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Présentation du modèle OSI(Open Systems Interconnection)

Plan du Travail. 2014/2015 Cours TIC - 1ère année MI 30

OneAccess 16xx EAD Ethernet Access Device / 1.0 / AH / Public

! "# Exposé de «Nouvelles Technologies Réseaux»

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

Présentation et portée du cours : CCNA Exploration v4.0

Programme formation pfsense Mars 2011 Cript Bretagne

Contrôleur de communications réseau. Guide de configuration rapide DN

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Les Virtual LAN. F. Nolot. Master 1 STIC-Informatique 1

Configuration du matériel Cisco. Florian Duraffourg

Plan. Programmation Internet Cours 3. Organismes de standardisation

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Les réseaux des EPLEFPA. Guide «PfSense»

DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site

Présentation et portée du cours : CCNA Exploration v4.0

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Pare-feu VPN sans fil N Cisco RV120W

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

L3 informatique Réseaux : Configuration d une interface réseau

Un équipement (clé USB, disque dur, imprimante, etc.) est connecté au port USB.

Bravo! Vous venez d acquérir un routeur large bande à 4 ports Conceptronic C100BRS4H.

Configuration des VLAN

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

LAB : Schéma. Compagnie C / /24 NETASQ

1 PfSense 1. Qu est-ce que c est

Mise en place des réseaux LAN interconnectés en

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

DESCRIPTION DU CONCOURS QUÉBÉCOIS INFORMATIQUE (GESTION DE RÉSEAUX)

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

pfsense Manuel d Installation et d Utilisation du Logiciel

Exercice Packet Tracer : Configuration de base des réseaux locaux virtuels

VLAN Trunking Protocol. F. Nolot

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

Travaux pratiques IPv6

ALOHA Load Balancer 2.5. Guide de démarrage rapide. EXCELIANCE ALOHA 2.5 Guide de démarrage rapide 30/01/2008 1/17

CENTRALE TELESURVEILLANCE VIA INTERNET WEB

TP : STATION BLANI 2000 SIMULATION DU RESEAU INFORMATIQUE

Date : 08/02/12 SISR1 tp.topologie.reseau.wan Durée : 2 h

Internet Protocol. «La couche IP du réseau Internet»

SL200. Manuel de l'utilisateur

Les Virtual LAN. F. Nolot 2008

Les réseaux de campus. F. Nolot

La qualité de service (QoS)

NOTIONS DE RESEAUX INFORMATIQUES

le nouveau EAGLEmGuard est arrivé. Dissuasion maximum pour tous les pirates informatiques:

Cisco RV220W Network Security Firewall

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Pour configurer le Hitachi Tecom AH4021 afin d'ouvrir les ports pour "chatserv.exe", vous devez suivre la proc

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Firewall ou Routeur avec IP statique

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Cisco RV220W Network Security Firewall

Administration de Réseaux d Entreprises

Fonctions Réseau et Télécom. Haute Disponibilité

2. DIFFÉRENTS TYPES DE RÉSEAUX

LES RESEAUX VIRTUELS VLAN

comment paramétrer une connexion ADSL sur un modemrouteur

Le service IPv4 multicast pour les sites RAP

Master d'informatique 1ère année. Réseaux et protocoles. Architecture : les bases

Introduction. Adresses

Administration du WG302 en SSH par Magicsam

Le protocole VTP. F. Nolot 2007

Documentation : Réseau

Les clés d un réseau privé virtuel (VPN) fonctionnel

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

TP5 VOIP résidentiel étendu Page 1 sur 7 Lp Ampere CLAVAUD

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Configuration du modem D-Link ADSL2+

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Mise en place d'un Réseau Privé Virtuel

Westermo i-line MRI-128-F4G / MRI-128-F4G/DC

Mise en service d un routeur cisco

Administration Avancée de Réseaux d Entreprises (A2RE)

TP 6 : Wifi Sécurité

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Configuration de Serveur 2003 en Routeur

RX3041. Guide d'installation rapide

CONVERTISSEUR RS 232/485 NOTICE

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

Utilisation des ressources informatiques de l N7 à distance

INTRUSION SUR INTERNET

Manuel version expert

Configuration des routes statiques, routes flottantes et leur distribution.

Devoir Surveillé de Sécurité des Réseaux

Table des matières Nouveau Plan d adressage... 3

GENERALITES. COURS TCP/IP Niveau 1

WGW PBX. Guide de démarrage rapide

Transcription:

e-mail : infos@westermo.fr Page: 1 / 48

1. Table de matières. 1. Table de matières. 2 2. Révision document. 4 3. Avant-propos - Conventions 5 3.1. Description d un réseau 5 3.2. Débits et supports de transmission 5 3.3. Autour d Ethernet et de IP 5 3.4. Adressage IP 6 3.5. Type d adresses 7 4. Mise en oeuvre 8 4.1. Configuration usine 8 4.2. Accès Interfaces Web/CLI 8 4.3. Configuration de base 10 4.4. Sauvegarde 11 5. Commutation 12 5.1. FRNT 12 Fast Reconfiguration Network Topology 12 WeOS prend en charge les topologies en «anneaux redondants» avec le protocole propriétaire FRNT. Ce protocole permet au sein d un anneau constitué de plusieurs commutateurs (jusqu à 200) d avoir un temps de convergence de 20ms maximum quelque soit la charge du réseau. 12 5.1.1. Principe 12 5.1.2. Configuration 13 5.1.3. Vérification 13 5.2. RSTP 14 Rapid Spanning Tree Protocol (RSTP) 14 5.2.1. Principe 14 5.2.2. Configuration 15 5.3. Cohabitation des protocols FRNT et RSTP 17 6. Routage 19 6.1. Routage statique 19 6.2. RIP 19 6.3. OSPF 19 6.4. Redistribution des routes 20 6.5. VRRP 20 6.5.1. Principe 20 e-mail : infos@westermo.fr Page: 2 / 48

6.5.2. Configuration 22 6.6. GRE 23 6.6.1. Principe 23 GRE (Generic Routing Encapsulation) est un protocole de tunnel permettant de transmettre des informations de protocole de couche réseau à travers un réseau intermédiaire. Ceci est réalisable en encapsulant le protocole de couche 3 dans un paquet. 23 Des exemples d application du GRE sont : permettre la communication entre 2 réseaux IPv6 distants à travers un réseau IPv4 ou bien faire passer des paquets multicast de protocole de routage dynamique tel que OSPF à travers un WAN. 23 Le principal inconvénient d un tunnel GRE est qu il n est pas sécurisé. Pour établir une sécurité du GRE, il sera nécessaire d utiliser un VPN. Par contre, il possède le grand avantage de pouvoir transporter du flux multicast. 23 GRE utilise une interface virtuelle dît interface tunnel. 23 6.6.2. Configuration 23 7. Sécurité et management 24 7.1. VLAN 24 7.1.1. Principe 24 7.1.2. Liaison d aggrégation VLAN ou VLAN trunking 25 7.1.3. Routage inter-vlan 26 7.1.4. Configuration 27 7.2. Filtrage MAC/IP et serveur Radius 29 7.2.1. Configuration 29 7.3. VPN 31 7.3.1. Principe 31 7.3.2. Configuration 34 7.4. Firewall et NAT 35 7.4.1. Principe 35 7.4.2. Configuration 38 7.5. Le système des alarmes 40 7.5.1. Principe 40 7.5.2. Configuration 40 7.6. SNMP 40 7.6.1. Principe 40 7.6.2. Configuration 43 7.6.3. Tableau des variables 47 7.6.4. Supervision d une variable SNMP 48 7.7. La vérification par le journal des évènements 48 e-mail : infos@westermo.fr Page: 3 / 48

2. Révision document. Rév Date Par Descriptif B 09/05/2012 NN Document Original e-mail : infos@westermo.fr Page: 4 / 48

3.1. Description d un réseau 3. Avant-propos - Conventions Un réseau est un ensemble d équipements interconnectés qui communiquent entre eux via différents protocoles et assurent la transmission d information d un hôte à un autre. Il existe plusieurs types de réseau selon son étendu géographique : LAN ou Local Area Network : représente le réseau dît local car limité à une zone telle un bureau ou un immeuble MAN ou Metropolitan Area Network : décrit le réseau formé de plusieurs LAN, par exemple le réseau d un campus universitaire WAN ou Wide Area Network : représente le réseau étendu tel Internet qui occupe une large zone géographique Suivant le type de réseau auquel vous êtes confronté, les débits et le support de transmission peuvent varier. 3.2. Débits et supports de transmission Les débits vont de pair avec le support sur lequel sont transmises les données et la distance qui sépare les différents nœuds du réseau. Le tableau suivant donne un aperçu des vitesses de transmission autorisées : Support Technologie Débit Air Radio, WIFI 11 à 300 Mbps Cuivre Paire torsadée, Ethernet 10 à 1000 Mbps Fibre optique Fibre monomode et multimode, Ethernet 1 à 10 Gbps Une étude sur le choix de la technologie du support de transmission devra être réalisée selon le type de trafic à acheminer et le nombre d équipements à connecter. 3.3. Autour d Ethernet et de IP Les réseaux sont décrits par un modèle représenté par la pile de protocole TCP/IP (Transmission Control Protocol/Internet Protocol). Celui-ci est caractérisé par 4 couches qui délimitent chaque processus composant une transmission. Les protocoles de TCP/IP les plus déployés dans les réseaux d aujourd hui sont Ethernet et IP. Le protocole Ethernet définit les caractéristiques physiques des câbles et les processus d échange entre hôtes au niveau d un LAN. Cette technologie permet une grande souplesse de mise en œuvre e-mail : infos@westermo.fr Page: 5 / 48

notamment grâce à l auto-négociation du débit et du mode duplex. Le protocole IP permet d attribuer des identifiants appelées adresses IP à des hôtes de manière à ce qu ils puissent communiquer à travers des réseaux de type MAN ou WAN. 3.4. Adressage IP Une adresse IP est une combinaison de 4 chiffres séparés par des points qui identifie un équipement sur un réseau. Chaque nombre représente une valeur binaire de 8 bits appelé octet. L adresse 192.168.10.1 en est un exemple. Le tableau suivant illustre une décomposition de la valeur 192 en binaire : 192 2 7 = 128 2 6 = 64 2 5 = 32 2 4 = 16 2 3 = 8 2 2 = 4 2 1 = 2 2 0 = 1 1 1 0 0 0 0 0 0 Vous pouvez remarquer que les 2 premiers bits qui sont à 1 correspondent aux valeurs 128 et 64 puisque 192 = 128 + 64. Ainsi, l adresse 192.168.10.1 donne en binaire : 192.168.10.1 = 11000000.10101000.00001010.00000001 De la même manière, il est possible d identifier un réseau avec une adresse IP. Ainsi, l équipement 192.168.10.1 peut se trouver sur le réseau 192.168.10.0. L appartenance d un hôte à un réseau se fait par l intermédiaire d un masque. Celui-ci permet de calculer l adresse d un réseau à partir d une adresse d hôte. Par exemple, 192.168.10.1 avec un masque de 255.255.255.0 donne un réseau de 192.168.10.0. L opération est un ET logique appliqué à la valeur binaire. Pour rappel, 1 ET 1 = 1, 1 ET 0 = 0 ET 0 = 0. Le tableau suivant montre pour le premier octet le calcul correspondant : 192 1 1 0 0 0 0 0 0 255 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 192 Le ET logique est fait entre la 2 e et la 4 e ligne. La 5 e ligne donne le résultat en binaire et la 6 e en décimale. e-mail : infos@westermo.fr Page: 6 / 48

3.5. Type d adresses Il existe 2 types d adresses IP : publique et privée. Les adresses IP publiques sont des adresses enregistrées c est-à-dire qu elles sont attribuées moyennant finance par l organisme ICANN (Internet Corporation for Assigned Names and Numbers). Elles permettent aux équipements d être identifiés sur Internet. Les adresses IP privées sont des adresses utilisables dans le cadre d un LAN ou un MAN/WAN privé. Elles ne sont pas routables c est-à-dire qu elles ne sont jamais vues depuis l extérieur. Il est très fortement déconseillé d utiliser des adresses publiques comme adresses privées! W.W.W Réseau Internet Utilise des adresses IP publiques Réseau LAN privé Utilise des adresses IP privées Réseau LAN privé Utilise des adresses IP privées Les 3 classes d adresses privées que vous pouvez utiliser dans le plan d adressage de votre réseau sont les suivantes : Classe A 1ere IP : 10.0.0.1 Dernière IP : 10.255.255.254 IP disponibles : 16 777 214 Classe B 1ere IP : 172.16.0.1 Dernière IP : 172.31.255.254 IP disponibles : 1 048 574 Classe C 1ere IP : 192.168.0.1 Dernière IP : 192.168.255.254 IP disponibles : 65534 e-mail : infos@westermo.fr Page: 7 / 48

4.1. Configuration usine 4. Mise en oeuvre Tous les exemples de configuration présentés dans ce document ont été réalisés sur un équipement Westermo en configuration "Usine" (Factory Default). L'adresse IP par défaut est 192.168.2.200 Pour pouvoir reproduire ces configurations, nous vous conseillons de remettre vos appareils dans leur état par défaut. Pour cela, il y a deux solutions : Via l interface web : Maintenance > Factory Reset, cliquer sur Reset Manuellement, en connectant des câbles de manière croisée comme illustré dans les schémas suivants : Une fois que vous avez effectué ce câblage, éteignez et rallumer l appareil. Lorsque le voyant ON se met à clignoter, enlever les câbles. 4.2. Accès Interfaces Web/CLI Comme mentionné au paragraphe précédent, les équipements Westermo peuvent être accessible pour leur configuration grâce à l interface web. Pour cela, taper dans votre navigateur web l adresse IP de l appareil. Un login vous sera demandé : Username = admin, Password = westermo, par défaut. Une fois rentré, l interface web se présentera comme suit : e-mail : infos@westermo.fr Page: 8 / 48

Une deuxième manière de pouvoir configurer l appareil passe par l interface en ligne de commande ou CLI (Command Line Interface). Avec un émulateur de terminal, vous pouvez accéder à l équipement. La configuration en ligne de commande apporte une liste de fonctionnalités plus exhaustive que sur l interface web. Vous pouvez employer un utilitaire comme Putty. e-mail : infos@westermo.fr Page: 9 / 48

4.3. Configuration de base Par défaut, tous les équipements Westermo ont le protocole RSTP d activer. Cela permet de garantir qu une boucle fait accidentellement par l utilisateur ne rende indisponible l appareil par tempête de broadcast (broadcast storm). Le parefeu (firewall) est activé sur les routeurs Falcon et désactivé sur les autres équipements Westermo. En configuration de base, tous les ports sont dans le VLAN1 qui est celui d administration. Il est conseillé de procéder à la configuration de base suivante lors du premier démarrage de l équipement : Configuration > Identity : vous renseignez le nom de l appareil (hostname), le lieu où il se trouve (location) et le nom de la personne chargée de son administration (contact) Configuration > Network > Global : cliquer sur l icône Edit représentée par le crayon Default Gateway : si l équipement est utilisé comme commutateur et si le LAN doit communiquer avec un autre réseau, il sera nécessaire de paramétrer une adresse de passerelle e-mail : infos@westermo.fr Page: 10 / 48

Remote NTP Server : le serveur NTP (Network Time Protocol) permet la synchronisation de l horloge de l équipement Timezone : choisissez Europe/Paris si vous êtes situés en France Name Server 1 / 2 : indiquez les serveurs DNS pour la résolution de nom Remarque : si vous utilisez le routeur Falcon pour la connexion ADSL, il est inutile de remplir les champs default gateway et name server puisque ce sera l équipement de votre FAI qui les communiquera automatiquement lors de la première connexion. Maintenance > Password : il est très fortement conseillé de modifier le mot de passe par défaut afin de renforcer la sécurité de votre réseau 4.4. Sauvegarde et mise à jour de l OS Lorsque vous avez fini de configurer votre équipement, vous pouvez sauvegarder le fichier de configuration courant. Ceci permet de redémarrer sur cette configuration lors d une panne ou bien de la charger sur un nouvel appareil. Ce fichier de configuration est modifiable en format texte afin de permettre le déploiement d une configuration à partir d un seul fichier sur un grand nombre d équipements. Maintenance > Backup & Restore : cliquez sur Backup, un fichier backup.cfg sera créé dans le répertoire Téléchargements (Download). Pour charger un fichier de configuration sauvegardée, cliquer sur Parcourir et aller sur le répertoire où il se trouve et faites Restore Les équipements Westermo bénéficient des mises à jour gratuites du système d exploitation WeOS qui leur permettent des fonctionnalités plus poussées tout en améliorer leurs compétences déjà présentes. Le fichier image de l OS est dans le formalisme suivant : la première lettre indique l équipement (f, l, r, w pour falcon, lynx, redfox et wolverine respectivement), la deuxième lettre w pour WeOS et suivi du numéro de la version sans le point. Par exemple, fw481.img est le fichier image de WeOS pour les routeurs falcon pour la version 4.81. Maintenance > F/W Upgrade : vous pouvez charger la nouvelle version de WeOS à partir de votre PC en cliquant sur Parcourir dans la rubrique File Upload Upgrade ou bien si elle est présente sur un serveur FTP/TFTP en indiquant le nom du fichier image sans l extension et l adresse du serveur e-mail : infos@westermo.fr Page: 11 / 48

5. Commutation 5.1. FRNT Fast Reconfiguration Network Topology WeOS prend en charge les topologies en «anneaux redondants» avec le protocole propriétaire FRNT. Ce protocole permet au sein d un anneau constitué de plusieurs commutateurs (jusqu à 200) d avoir un temps de convergence de 20ms maximum quelque soit la charge du réseau. 5.1.1. Principe Dans un anneau FRNT, un commutateur est configuré en Focal Point et les autres sont appelés Member. Le focal point possède un port en mode bloqué pour éviter de créer une boucle logique. En cas de défaillance de lien, ce port est mis directement en mode transmission. e-mail : infos@westermo.fr Page: 12 / 48

5.1.2. Configuration La configuration présentée ci-dessous est réalisée sur les équipements WeOS car le protocole FRNT n est disponible que sur cette gamme. Interface Web Configuration > FRNT : par défaut, FRNT n est pas activé mais vous pouvez activez le protocole en cochant Enabled. Tous les commutateurs sont Focal Point par défaut mais vous devez n en choisir qu un en décochant tous les autres. Enfin, vous devez sélectionner les ports (M et N) qui participent à la conception de l anneau FRNT. Vous devez configurer chacun des commutateurs avant de réaliser le branchement. Remarque : pour les versions antérieures à WeOS4.8, vous devez vous assurer d avoir bien branché le port M d un commutateur avec le port N du commutateur voisin. Interface CLI falcon:/#> configure terminal falcon:/config/#> frnt 1 falcon:/config/frnt/#> focal-point falcon:/config/frnt/#> ring-ports 3,7 //active FRNT //configure le commutateur en Focal Point //sélectionne les ports 3 et 7 dans la conception de l anneau FRNT 5.1.3. Vérification En fonctionnement normal, le voyant FRNT est vert clignotant pour le focal point et vert fixe pour les member. Le port bloqué sur le focal point est indiqué en voyant orange. Lorsqu une défaillance de lien se produit, le voyant FRNT est rouge clignotant pour le focal point et rouge fixe pour les member. Le port bloqué devient alors passant. Au niveau de l interface Web, vous pouvez visualiser l état FRNT en allant sur Status > FRNT. Un message en rouge sera affiché pour indiquer que l anneau FRNT est rompu. Remarque : la création d un anneau FRNT engendre automatique la création d une alarme. En cas de coupure de liaison, le message frnt link broken sera affiché sur Status > Summary. La variable SNMP frntv0ringstatus donne l état de l anneau FRNT et les valeurs qu elle peut prendre sont 1 (fonctionnement normal) et 2 (anneau rompu). Les variables frntv0port1state et frntv0port2state indique l état des ports dans la configuration FRNT. e-mail : infos@westermo.fr Page: 13 / 48

5.2. RSTP Rapid Spanning Tree Protocol (RSTP) Le protocole RSTP (IEEE 802.1w) est une évolution du protocole STP (IEEE 802.1d) qui améliore le temps de convergence. Il définit de nouveaux rôles pour les ports qui peuvent passer directement en mode de transmission sans passer par une phase d apprentissage après un changement de topologie. Les 2 protocoles peuvent cohabiter dans le même réseau. 5.2.1. Principe Le protocole permet un fonctionnement immédiat sans configuration préalable. Une fois le câblage et l alimentation effectués, le réseau est tout de suite opérationnel. Dans le processus RSTP, les commutateurs connectés élisent un commutateur racine (root bridge) à partir duquel partent les liaisons vers tous les segments du réseau. L élection se fait sur la base d un identifiant BID (bridge ID) formé d une priorité et de l adresse MAC pour chaque commutateur. La valeur la plus faible du BID sélectionne le commutateur comme étant racine pour l arbre Spanning-Tree. En fonctionnement normal, tous les ports du commutateur racine sont en mode de transmission (forwarding). Pour une boucle physique donnée, RSTP mettra un des ports d un commutateur en état bloqué (blocking). Cette configuration automatique permet d éviter les boucles logiques qui engendrent des problèmes tels que les tempêtes de broadcast ou la diffusion de copies multiples. Un exemple de réseau redondant faisant appel au protocole RSTP est donné ci-dessous. e-mail : infos@westermo.fr Page: 14 / 48

La topologie est formée par une boucle centrale et de 4 boucles périphériques. Pour chaque boucle, un port est mis en mode bloqué. Il est possible de choisir le commutateur racine en attribuant une valeur de priorité basse, ce que nous verrons dans le prochain chapitre. 5.2.2. Configuration Configuration WeOS Interface Web La configuration RSTP par défaut des commutateurs WeOS est la suivante : Configuration > RSTP RSTP est activé (Enable) mais vous pouvez le désactiver en décochant la case pour mettre en œuvre par exemple un autre protocole de redondance la priorité est de 8 par défaut ; en choisissant une priorité plus faible, vous pouvez forcer un commutateur à devenir racine e-mail : infos@westermo.fr Page: 15 / 48

les compteurs Max Age, Hello Time et Forward Delay sont respectivement de 20, 2 et 15s ; ils participent au protocole STP et il est déconseillé de les modifier Status > Port Dans cette rubrique, vous pouvez vérifier l état des ports qui sont en mode transmission (Forwarding) ou en mode bloqué (Blocking) Interface CLI falcon:/#> configure terminal falcon:/config/#> spanning-tree falcon:/config/spanning-tree/#> priority 0 falcon:/config/spanning-tree/#> show falcon:/config/spanning-tree/#> stp-port eth3 //force le commutateur à devenir racine //montre la configuration RSTP falcon:/config/spanning-tree/stp-port-eth3/#> path-cost 20000 //définit le coût de la liaison à partir du port eth3 Remarque : Fixer un coût faible permet de choisir cette liaison comme liaison active dans la configuration RSTP. Configuration iline Interface Web La configuration RSTP par défaut des commutateurs I Line est la suivante : Network Redundancy > RSTP RSTP est activé (Enable) mais vous pouvez le désactiver en validant l option Disable pour mettre en œuvre par exemple un autre protocole de redondance la priorité est de 32768 par défaut ; en choisissant une priorité plus faible, vous pouvez forcer un commutateur à devenir racine les compteurs Max Age, Hello Time et Forward Delay sont respectivement de 20, 2 et 15s ; ils participent au protocole STP et il est déconseillé de les modifier Network Redundancy > RSTP Information Le BID du commutateur racine est indiqué ; vous pouvez être alors informé de son adresse MAC et de sa priorité L état des ports du commutateur est affiché : forwarding ou blocking Interface CLI e-mail : infos@westermo.fr Page: 16 / 48

Switch> en Switch# configure terminal Switch(config)# spanning-tree enable //active RSTP sur le commutateur Switch(config)# spanning-tree priority 0 //fixe la priorité RSTP à 0 5.3. Cohabitation des protocols FRNT et RSTP Les protocoles FRNT et RSTP peuvent cohabiter dans le même réseau. Dans cette configuration, chaque protocole se charge de gérer son domaine de commutateurs. Un commutateur peut appartenir à la fois à un domaine FRNT et un domaine RSTP. Ce sont ces ports qui permettent de préciser l appartenance à un domaine ce qui oblige le port de n être configuré que pour un seul protocole. Par défaut, le protocole FRNT est prioritaire dans la configuration des ports par rapport au protocole RSTP. Un exemple de topologie possible utilisant à la fois les protocoles FRNT et RSTP est donné cidessous. e-mail : infos@westermo.fr Page: 17 / 48

Cette architecture fait appel à 3 anneaux FRNT reliés entre eux par une double liaison constituant une boucle RSTP. e-mail : infos@westermo.fr Page: 18 / 48

6.1. Routage statique 6. Routage La configuration des routes statiques se fait grâce au CLI et se présente de la manière suivante : falcon:/#> conf t falcon:/config/#> ip route 150.150.150.0/24 10.10.10.2 //définit la route vers le réseau 150.150.150.0 de masque 255.255.255.0 qui passé par le prochain routeur 10.10.10.2 falcon:/config/#> leave //active la configuration 6.2. RIP RIP (Routing Information Protocol) est un protocole de routage dynamique à vecteur de distance. Il prend comme paramètre de sélection de la meilleure route pour un réseau de destination la métrique (distance) en terme de routeurs franchis ou sauts durant l itinéraire (next hop). Les 2 principales limitations sont le nombre de sauts restreint à 15 (16 signifie que le réseau est injoignable) et le fait qu il ne prend pas en compte les caractéristiques de la ligne. Il convient par conséquent aux petits réseaux. Il existe 2 versions de RIP : RIPv1 et RIPv2. RIPv1 est de type classful c est-à-dire qu il ne supporte que les masques standards et diffuse les mises à jour par broadcast. RIPv2 est de type classless c est-à-dire qu il supporte les masques de longueur variable et diffuse ses mises à jour par multicast avec l adresse 224.0.0.9. La configuration se fait de la manière suivante : falcon:/#> conf t falcon:/config/#> router rip falcon:/config/router/rip/#> version 2 //choix de la version, préférez la version 2 falcon:/config/router/rip/#> network vlan1 //définit l interface qui participe aux échanges RIP falcon:/config/router/rip/#> leave //active la configuration 6.3. OSPF OSPF (Open Shortest Path First) est un protocole de routage dynamique à état de liens. Il prend comme paramètre de sélection de la meilleure route pour un réseau de destination les caractéristiques de la liaison à savoir la bande passante. Il n est pas limité au nombre de saut. Il existe 2 versions utilisées de nos jours : OSPFv2 (le plus déployé) et OSPFv3 (compatible avec les réseaux IPv6). OSPF est de type classless et supporte donc les masques de longueur variable et e-mail : infos@westermo.fr Page: 19 / 48

diffuse ses mises à jour par multicast avec l adresse 224.0.0.5. Il est possible de déployer OSPF sur de grands réseaux. Dans ce cas, il sera nécessaire de définir des zones d administration pour les sites afin de mieux répartir la charge de gestion du réseau. Ces zones sont appelées Area. L area 0 ou 0.0.0.0 correspond à la dorsale du réseau ou backbone. La configuration se fait de la manière suivante : falcon:/#> conf t falcon:/config/#> router ospf falcon:/config/router/ospf/#> network 192.168.10.0/24 area 0 falcon:/config/router/rip/#> leave //définit l interface qui participe aux échanges OSPF //active la configuration 6.4. Redistribution des routes La redistribution permet de fusionner un réseau RIP et un réseau OSPF. Pour cela, un routeur intermédiaire et commun aux domaines RIP et OSPF est choisi pour traduire les routes apprises d un protocole et les transférer au domaine de l autre protocole et vice versa. La configuration se fait de la manière suivante : falcon:/#> conf t falcon:/config/#> router ospf falcon:/config/router/ospf/#> redistribute rip metric 24000 //traduit les routes apprises par RIP et leur donne une métrique OSPF falcon:/config/router/ospf/#> redistribute connected //traduit les routes directement connectées au routeur intermédiaire du domaine RIP falcon:/config/router/ospf/#> end falcon:/config/router/#> router rip falcon:/config/router/rip/#> redistribute ospf //traduit les routes apprises par OSPF falcon:/config/router/rip/#> redistribute connected // traduit les routes directement connectées au routeur intermédiaire du domaine OSPF 6.5. VRRP 6.5.1. Principe e-mail : infos@westermo.fr Page: 20 / 48

VRRP (Virtual Routing Redundancy Protocol) est un protocole pour le redondance des routeurs. Il utilise une adresse IP et une adresse MAC virtuelles. Un routeur dît Master est configuré avec une priorité haute par rapport au routeur dît Backup servant de secours au cas où le Master tombe. Le routeur en fonctionnement dans le processus VRRP possède les adresses IP et MAC virtuelles. L adresse MAC est toujours du format 00-00-5E-00-01-XX où XX indique l instance (ou groupe) VRRP en hexadécimal. Chaque instance VRRP est représentée par un identifiant appelé Virtual Router ID. En cas de défaillance du routeur Master, le routeur backup qui a la priorité VRRP la plus haute prendra la place. Il la conservera même lorsque l ancien Master deviendra de nouveau opérationnel. Si plusieurs routeurs backup ont même priorité, celui ayant l adresse IP la plus grande deviendra Master. Dans le cas où un routeur backup est élu Master, un autre routeur backup de plus grande priorité qui vient d être disponible peut prendre sa place grâce à l option de préemption. Celle-ci est donc nécessaire lorsque l ancien Master veut reprendre sa place. Les annonces VRRP diffusées en multicast sur l adresse 224.0.0.18 permettent au routeur Master de déclarer son état et sa priorité. La figure ci-dessus montre une topologie formée de 3 routeurs sur lesquels est configuré une instance VRRP. Le groupe ou instance (VRID : Virtual Router ID) VRRP est 10 et l adresse IP virtuelle (VIP) est 192.168.10.100. Les routeurs R1, R2 et R3 font partie du même groupe. Le routeur R1 est élu Master en raison de sa priorité de 150 supérieure à celle des autres routeurs. L option de préemption (Preempt) est activée sur R1 de manière à ce qu il puisse récupérer sa place de Master une fois remis opérationnel. Il possède donc les adresses IP et MAC virtuelles. Les PC du LAN vont alors envoyer leurs requêtes à R1 par l adresse de passerelle 192.168.10.100. Si e-mail : infos@westermo.fr Page: 21 / 48

R1 tombe, les 2 autres routeurs peuvent alors servir de secours. Dans notre cas, la priorité de R2 et de R3 étant la même, ce sera R3 qui deviendra Master car il possède l adresse IP la plus grande. 6.5.2. Configuration Configuration > Network(IP) >VRRP Cliquer sur New pour créer une nouvelle instance VRRP : Interface : indique l interface du routeur sur lequel va activer VRRP Virtual Router ID : représente le numéro du groupe ou instance VRRP Virtual Address : représente l adresse virtuelle utilisée par le routeur Master Advertisement Interval (s) : indique la période en seconde des annonces VRRP, 1s par défaut Priority : paramètre la valeur de la priorité, 100 par défaut Preemption : active (Enabled) ou désactive (Disabled) la préemption Preemption Delay (s) : indique le délai en seconde avant que la préemption ne soit active Dynamic Priority Vous pouvez faire un ajustement de la valeur de la priorité en fonction d un évènement (voir Chap. 7.5, Le système des alarmes). Lorsqu une alarme est déclenchée, VRRP ajuste la valeur initiale de la priorité du routeur : Track Trigger : activé, il permet de vérifier l état d un paramètre dont la valeur pourrait déclencher une alarme et engendrerait le réajustement de la priorité Priority Adjustment : indique la valeur de réajustement de la priorité, par exemple -50 si vous souhaitez diminuer la priorité de 50 lorsqu un évènement vient de se produire e-mail : infos@westermo.fr Page: 22 / 48

6.6. GRE 6.6.1. Principe GRE (Generic Routing Encapsulation) est un protocole de tunnel permettant de transmettre des informations de protocole de couche réseau à travers un réseau intermédiaire. Ceci est réalisable en encapsulant le protocole de couche 3 dans un paquet. Des exemples d application du GRE sont : permettre la communication entre 2 réseaux IPv6 distants à travers un réseau IPv4 ou bien faire passer des paquets multicast de protocole de routage dynamique tel que OSPF à travers un WAN. Le principal inconvénient d un tunnel GRE est qu il n est pas sécurisé. Pour établir une sécurité du GRE, il sera nécessaire d utiliser un VPN. Par contre, il possède le grand avantage de pouvoir transporter du flux multicast. GRE utilise une interface virtuelle dît interface tunnel. 6.6.2. Configuration Configuration > VPN & Tunnel > GRE Cliquer sur New pour créer une nouvelle instance GRE. Instance ID : indique le numéro de l instance Enabled : active le protocole GRE lorsqu il est coché Local IP Address : adresse virtuelle local du tunnel GRE Remote IP Address : adresse virtuelle distante du tunnel GRE Fixed TTL : si l option Inherit est choisie, l interface GRE reprendra la valeur du TTL de l interface de sortie ; dans le cas contraire (No Inherit), il est possible d appliquer une valeur Outbound Interface : interface de sortie du tunnel GRE e-mail : infos@westermo.fr Page: 23 / 48

7. Sécurité et management 7.1. VLAN Dans un réseau formé par un agrégat de commutateurs, les flux provenant des applications des hôtes peuvent être dirigés vers l ensemble des nœuds du réseau. Afin de sectoriser les trafics, il est possible d associer certains ports des commutateurs à un groupe appelé VLAN. Cette configuration logique du réseau a l avantage de sécuriser l accès aux ressources puisque les utilisateurs d un VLAN n ont pas accès aux ressources d un autre VLAN. 7.1.1. Principe Un VLAN (Virtual LAN) est un réseau virtuel qui rassemble un ensemble de ports de commutateur dît membre du groupe VLAN. Sur ces ports, sont connectés certains hôtes et certaines ressources que nous souhaitons dissocier. Dans le schéma ci-dessus, 4 VLAN ont été créés pour les différents départements d une entreprise. Par exemple, le VLAN1 correspond au secteur Ventes et regroupe les hôtes qui sont connectés aux ports eth2 et eth3 du commutateur. Si un hôte connecté au port eth6 (i.d. appartenant au VLAN2) souhaitait communiquer avec les hôtes du VLAN1, il ne pourrait pas. Chaque VLAN correspond à un réseau et constitue donc un domaine de broadcast. Pour permettre la communication entre les VLAN, un routeur sera donc nécessaire. e-mail : infos@westermo.fr Page: 24 / 48

Certains équipements Westermo sont des commutateurs de niveau 3 c est-à-dire qu ils ont des fonctions de routage. L équipement est capable de router entre les différents réseaux VLAN créés dessus. En revanche, dans le cas de simples commutateurs, il sera nécessaire d utiliser un routeur pour établir une communication entre les hôtes de VLAN différents. 7.1.2. Liaison d aggrégation VLAN ou VLAN trunking Lorsque plusieurs VLAN sont créés au sein d un ensemble de commutateurs (appelé Switch Fabric), une liaison connectant 2 commutateurs sert de canal de transmission pour un groupe de VLAN. Afin d identifier à quel VLAN provient le trafic, chaque trame est étiquetée c est-àdire qu elle est encapsulée avec un en-tête possédant un identifiant VID (VLAN ID). Le protocole utilisé est IEEE 802.1q. Dans le réseau ci-dessus, des liaisons d aggrégation VLAN sont utilisées pour transporter le trafic de tous les VLAN. Lorsque PC1 envoie un message à PC2, le premier commutateur encapsule les trames avec l identifiant VID correspondant au VLAN bleu. Ces trames traversent le Switch Fabric et sont reconnues de part cet identifiant par tous les commutateurs. Le dernier commutateur détache l en-tête VID et restitue les trames à l hôte PC2. Les ports constituant la liaison d aggrégation VLAN entre les commutateurs sont mis en mode étiquetage ou «tagged» et ceux qui sont directement connectés aux hôtes sont en mode désencapsulé ou «untagged». e-mail : infos@westermo.fr Page: 25 / 48

7.1.3. Routage inter-vlan Les VLAN étant des réseaux isolés, le seul moyen pour permettre une communication entre eux est d utiliser un routeur. Une fois configuré pour reconnaître l étiquetage VLAN, celui-ci est capable de transmettre les paquets d un VLAN à l autre. La configuration est connue sous le nom de «router on the stick» et se présente sous le schéma suivant : Dans cette topologie, les liens inter-commutateurs et le lien entre le routeur R1 et le commutateur S2 sont des liaisons d aggrégation VLAN. Celles-ci transportent le trafic des 4 VLAN. Par exemple, lorsqu un hôte du VLAN2 connecté au commutateur S1 souhaite communiquer avec un hôte du VLAN4 connecté à S3, les trames seront étiquetées VLAN2 mais l adresse IP de destination appartient au VLAN4. Le routeur R1 reçoit ces trames et désencapsule l en-tête VLAN2. L adresse IP l informe que le destinataire appartient au VLAN4. R1 va alors étiqueter les trames avec une en-tête VLAN4 et les retransmet à S2 qui les enverra à S3 jusqu au destinataire. La configuration dans les routeurs Westermo se fait donc en choisissant un port (ici, fa1 de R1) pour créer la liaison d aggrégation VLAN avec l un des commutateurs du réseau. Sur cette interface, seront créés autant de VLAN avec les mêmes VID que possèdent le réseau des commutateurs (par exemple dans notre cas 4 VLAN avec les VID 1, 2, 3 et 4). L interface devra être en mode «tagged» pour permettre le ré-étiquetage des trames. e-mail : infos@westermo.fr Page: 26 / 48

7.1.4. Configuration Configuration WeOS Interface Web Configuration>VLAN>VLANs Le tableau vous montre tous les VLAN présents dans le commutateur. Créer un nouveau VLAN en cliquant sur New VLAN. Entrer un numéro VID pour identifier le nouveau VLAN. Vous pouvez laisser le numéro attribué par défaut. Vous pouvez entrer un nom (par exemple, Ventes). Choisissez les ports qui seront membres du VLAN en cochant les options Tagged ou Untagged suivant les cas : si un port est utilisé pour créer une liaison d aggrégation VLAN (entre commutateurs), vous devrez choisir l option Tagged pour ce port. Si le port est relié directement à un hôte, l option Untagged sera prise. Cliquer sur Apply pour valider. Configuration «Router on the stick» pour le routage inter-vlan Sur le routeur : Créer autant de VLAN que le réseau des commutateurs avec les mêmes VID Pour chaque VLAN, choisir le même port en mode Tagged qui servira pour établir la liaison d aggrégation VLAN Attribuer une adresse IP pour chaque VLAN en correspondance avec les adresses réseau présents dans les VLAN des commutateurs Exemple : Le réseau des commutateurs possèdent 4 VLAN dont les adresses réseau sont : 192.168.10.0/24 pour VLAN1 192.168.20.0/24 pour VLAN2 192.168.30.0/24 pour VLAN3 192.168.40.0/24 pour VLAN4 Sur le routeur, il faudra alors attribuer à l interface les adresses : 192.168.10.1/24 pour VLAN1 192.168.20.1/24 pour VLAN2 192.168.30.1/24 pour VLAN3 192.168.40.1/24 pour VLAN4 En supposant que ces adresses ne sont pas utilisées par les hôtes des différents VLAN. Pour permettre le routage inter-vlan, il est important de vérifier que votre firewall est désactivé. Interface CLI e-mail : infos@westermo.fr Page: 27 / 48

falcon:/#> configure terminal falcon:/config/#> vlan 2 falcon:/config/vlan-2/#> enable falcon:/config/vlan-2/#> name Ventes falcon:/config/vlan-2/#> untagged eth1,eth2,eth4 falcon:/config/vlan-2/#> tagged eth3 La configuration ci-dessus permet de créer un nouveau VLAN avec un VID de 2. Les ports qui lui sont rattachés sont Eth1 à Eth4. Eth3 est relié à un autre commutateur pour créer une liaison d aggrégation tandis que les autres sont directement connectés aux hôtes. Configuration i-line Interface Web VLAN>VLAN Configuration Management VLAN ID: entrer une valeur de VID puis cliquer sur Apply pour choisir le VLAN de gestion. Static VLAN : création d un nouveau VLAN en renseignant un numéro d identifiant VID et le nom; par exemple, VID=10 et Name=Comptabilité. Cliquer sur Add pour créer le VLAN. Static VLAN Configuration : chaque VLAN créé sera affiché dans ce tableau où il est question de définir l encapsulation VLAN avec les modes tagged (T) ou untagged (U) pour chaque port c est-à-dire le mode d étiquetage du trafic sortant de l interface (egress port). VLAN>VLAN Port Configuration Affectation des ports membres aux VLAN : entrer la valeur du VID du VLAN (ici appelé PVID) auquel vous souhaitez que chaque port soit affecté. Sécurité pour le trafic entrant : il est possible de définir le type de trames autorisées avec Admit All pour les trames non étiquetées et Tag Only pour les trames étiquetées. De même, vous pouvez activer les règles de filtrage MAC du trafic entrant pour ce port avec Ingress Filtering sur Enable. Une fois activée, seuls les hôtes dont l adresse MAC est autorisée pourront se connecter à ce port. La configuration se fait dans Security>Port Security où vous ajouter les adresses MAC autorisées. Interface CLI e-mail : infos@westermo.fr Page: 28 / 48

Switch> en Switch# conf t Switch(conf)# int fa2 Switch(conf-if)# switchport access vlan 3 Switch(conf)# int fa3 Switch(conf-if)# switchport trunk allowed vlan add 2,3,4 Switch(conf)# int fa4 Switch(config-if)# switchport trunk native vlan 2 //met l interface fa2 en mode untagged pour le vlan3 //met l interface fa3 en mode tagged (aggregation VLAN) //ajoute l interface fa4 au vlan2 7.2. Filtrage MAC/IP et serveur Radius La sécurité des accès aux équipements réseau est permise grâce à des règles de filtrage. Le paramètre testé peut être soit une adresse MAC soit une adresse IP. Par exemple, l hôte qui n aura pas une adresse IP enregistrée dans la liste des adresses autorisées ne pourra pas se connecter à l équipement. 7.2.1. Configuration Configuration WeOS Interface Web Configuration>AAA>MAC Auth Cliquer sur New List pour créer une liste d adresses MAC autorisées : vous pouvez donner une description pour l adresse MAC. Le format de l adresse doit être AA :BB :CC :DD :EE :FF. Enfin sélectionner le port sur lequel vous voulez appliquer le filtrage. Interface CLI falcon:/#> conf t falcon:/config/#> aaa mac-auth 0 //définit une instance (ici n 0) au filtrage MAC falcon:/config/aaa/mac-auth-0/#> mac match 18:03:73:db:cb:75 limit eth4 //autorise l adresse MAC 18:03:73:db:cb:75 pour le port eth4 falcon:/config/aaa/mac-auth-0/#> enable //active le filtrage MAC e-mail : infos@westermo.fr Page: 29 / 48

falcon:/config/aaa/mac-auth-0/#> show //affiche la liste des addresses MAC autorisées Configuration i-line Interface Web Filtrage MAC Security>Port Security Port Security State : choix du port sur lequel vous voulez appliquer la règle de filtrage, activer avec l option Enable puis cliquer sur Apply. Add Port Security Entry : entrer l adresse MAC autorisée, le VID du VLAN dans lequel cette adresse se trouve et le port d accès. Par exemple : port 2, VID=3, aaaa.bbbb.cccc. Vous pouvez définir plusieurs adresses MAC pour un port. Chaque port peut permettre jusqu à 10 adresses MAC. Port Security List : le tableau est un récapitulatif des adresses MAC que vous avez autorisées en correspondance avec les ports. Choisissez All pour afficher toutes les adresses par port ou ne sélectionner qu un port en particulier. Pour enlever une adresse MAC de la liste autorisée, sélectionner la et cliquer sur Remove. Filtrage IP Security>IP Security IP Security : activer le filtrage IP en cochant Enable puis cliquer sur Apply. Vous devez faire cette commande en dernier après avoir entré les différentes adresses IP. Add Security IP : entrer l adresse IP autorisée puis cliquer sur Add. Cette adresse aura accès au commutateur par n importe quel port. Le maximum d adresses IP autorisées est de 10. Security IP List : le tableau permet de vérifier la liste des adresses IP autorisées que vous avez entrées. Pour enlever une adresse IP de la liste autorisée, sélectionner la et cliquer sur Remove. Interface CLI Filtrage MAC Switch> en e-mail : infos@westermo.fr Page: 30 / 48

Switch# conf t Switch(config)# mac-address-table static aaaa.bbbb.cccc vlan 1 interface fa1 //ajoute l adresse MAC aaaa.bbbb.cccc sur la liste des adresses autorisées pour le port fa1 Switch(config)# interface fa1 Switch(config-if)# switchport port-security Switch# show mac-address-table static //active le filtrage MAC sur le port fa1 //affiche la liste des addresses MAC autorisées Filtrage IP Switch> en Switch# conf t Switch(config)# ip security //active le filtrage IP Switch(config)# ip security host 192.168.10.21 //autorise l adresse IP 192.1683.10.21 Switch# show ip security //affiche la liste des adresses IP autorisées 7.3. VPN Un VPN (Virtual Private Network) est l ensemble formé par des réseaux LAN privés interconnectés entre eux par une liaison virtuelle sécurisée. Cette liaison s appuie en général sur un réseau public existant tel qu Internet. 7.3.1. Principe Une connexion VPN permet à des sites souvent distants géographiquement de communiquer de manière sécurisée. Alors qu ils empruntent une partie du réseau public, ces réseaux privés constituent grâce à cette liaison un réseau privé virtuel d où le nom de VPN. Le protocole utilisé est appelé IPSec (IP Security) et fait appel au principe du tunnel. Pour rappel, une adresse IP privée n étant pas routable sur Internet, celle-ci doit être «cachée». Le tunnel VPN permet ce masquage de l adresse IP privée. Authentification des utilisateurs e-mail : infos@westermo.fr Page: 31 / 48

Confidentialité des données : les données sont cryptées avant d être envoyées et décryptées une fois reçues avant d être restituées à leur destinataire. Intégrité des données : il s agit de s assurer que les données n ont pas été modifiées. L algorithme de hachage applique une formule mathématique aux données. La valeur obtenue (HMAC : Hash Message Authentication Code) est envoyée avec les données. Une fois reçues, le routeur pair applique le même algorithme aux données reçues et compare la valeur qu il obtient avec celle présent dans le paquet IP. Des valeurs identiques assurent que les données n ont pas été modifiées. Ce mode de cryptage permet de se protéger des attaques venant d Internet. Il existe 3 architectures de VPN : VPN (architecture) site à site ou passerelle à passerelle : ce type de VPN est utilisé pour protéger la communication entre 2 réseaux VPN (application) hôte à passerelle : il permet à un hôte situé sur un réseau non sécurisé d avoir accès aux ressources de l entreprise telles que le service mail et le web VPN (utilisateur) accès distant : ce VPN autorise un hôte à contrôler à distance un système qui emploie des protocoles non sécurisés Le protocole IPSec est la combinaison d un protocole pour les paquets et d un protocole pour les services. Pour le premier, il existe 2 protocoles majeurs : ESP (Encapsulation Security Payload) et AH (Authentication Header). Pour le deuxième, il s agit du protocole IKE (Internet Key Exchange). Les protocoles ESP et AH sont incompatibles avec les équipements qui font du NAT. Dans le cas de ESP, il est possible d activer la fonction NAT-T qui encapsule le paquet ESP en UDP avec le port 4500 afin qu il ne soit pas rejeté par l équipement NAT. La méthode du DPD (Dead Peer Detection) permet de détecter la présence de la paire IPSec. Un message DPD est envoyé périodiquement. Choix de configuration VPN Fonction de hachage : permet de générer une emprunte à partir d une clé, préférer le SHA-1 (Secure Hash Algorithm 1) qui est plus sûr que le MD5 (Message Digest Algorithm 5) car dans le cas du MD5, 2 messages (mot de passe) peuvent générer la même signature. Le SHA-2 est encore plus sûr e-mail : infos@westermo.fr Page: 32 / 48

e-mail : infos@westermo.fr Page: 33 / 48

7.3.2. Configuration Configuration>VPN & Tunnel>IPSec IPSec NAT Traversal (NAT-T) : valider cette fonction lorsque le VPN doit passer par un équipement intermédiaire qui fait du NAT MTU Override : Tunnel, cliquer sur New IPSec Tunnel Network Security Instance Number : identifie l instance VPN, les équipements Westermo permettent de configurer jusqu à 25 instances VPN. Le nombre de tunnel VPN ouvert simultanément varie selon le type de trafic et les modes de cryptage employés Enabled : active le protocole IPSec Role : le routeur peut être définit soit comme Initiator (celui qui émet les requêtes IKE et IPSec) soit comme Responder (celui qui reçoit ces requêtes) Outbound Interface : définit l interface par laquelle vont être émises ou et reçues les requêtes IKE et IPSec Remote Peer : Any pour Responder, il faudra renseigner l adresse IP publique de la paire distante lorsque le routeur est en Initiator Local Subnet (Address/Mask) : sous-réseau du site local Remote Subnet (Address/Mask) : sous-réseau du site distant Dead Peer Detection : Clear pour Responder, Restart pour Initiator DPD Delay : représente la période des messages DPD qui permettent de vérifier la présence de la paire distante ; par défaut, 30s DPD Timeout : représente la temps de retenue avant de considérer que la paire est tombée ; par défaut, 120s Aggressive Mode : décocher la case pour passer en mode Main IKE : définit les paramètres de configuration pour la phase 1, en automatique ou en manuel Authentication Method : définit la méthode pour l authentification des paires soit en PSK soit en certificat Secret (PSK) : si vous avez choisi PSK, veuillez rentrer une valeur dans ce champ e-mail : infos@westermo.fr Page: 34 / 48

Local ID Type : paramètre un identifiant pour la paire local, soit en automatique soit en manuel Remote ID Type : paramètre un identifiant pour la paire distante, soit en automatique soit en manuel ESP : définit les paramètres de configuration pour la phase 2, en automatique ou en manuel PFS : permet de remplacer le secret partagé obtenu par le DH group de la phase 1 IKE lifetime(s) : durée de vie du tunnel sécurisé de la phase 1 ; par défaut, 3600s soit 1h SA lifetime(s) : durée de vie du tunnel de la phase 2 ; par défaut, 28800s soit 8h 7.4. Firewall et NAT 7.4.1. Principe Ces 2 fonctions participent à la sécurité d un réseau par le contrôle du trafic entrant et sortant. Le rôle du firewall est de bloquer tous les paquets qui transitent à travers un routeur. Aussi, pour permettre certains trafics de franchir un firewall, il est nécessaire de créer des règles d autorisation (Packet Filter). Ces règles peuvent prendre comme paramètres de test le type de protocole de transport (UDP ou TCP), l adresse IP et le numéro de port. Vous pouvez par exemple permettre le service FTP à certains hôtes et bloquer tous les autres, n autoriser qu une seule personne à se connecter en HTTPS sur une machine local ou bloquer toutes les requêtes d accès à distance provenant d un réseau en particulier. Une alternative au filtrage de paquets est la redirection de port qui autorise l accès à des services tels que HTTP et FTP présents sur un machine du LAN. Dans l exemple ci-dessous, une redirection du service Web (port 80) vers le serveur du LAN est configurée sur le routeur. Ainsi, une requête http vers l adresse publique du routeur est renvoyé directement vers le serveur. Le serveur Web «possède» alors l adresse IP du routeur pour sa communication vers l extérieur. e-mail : infos@westermo.fr Page: 35 / 48

Nous voyons donc que la requête est initiée par le PC sur l adresse publique et le port 80 du routeur. En temps normal, c est le routeur qui est censé répondre. Mais en raison de la présence de la règle de redirection, ce sera l équipement dont l adresse aura été enregistrée dans cette règle qui prendra en charge la requête. En outre, la fonction NAT (Network Address Translation) permet de renforcer la sécurité en modifiant l adresse IP source d un paquet provenant d un réseau dont nous souhaitons exposer le moins possible à l extérieur (Internet). Dans le processus de nattage, le routeur remplace l adresse IP source du paquet envoyé par un hôte par l adresse IP de l interface de sortie qui mène au réseau de destination. Ceci a pour effet de camoufler l identité de l hôte source en faisant croire que la requête est issue du routeur. Dans les équipements WeOS, la fonction NAPT (Network Address and Port Translation) reprend les bases du NAT en ajoutant la possibilité à plusieurs hôtes d initier leurs requêtes en même temps à travers une seule adresse IP d interface. Ceci est réalisable grâce à un numéro de port qui identifie la source de chaque message. Ainsi, vu de l extérieur, les requêtes de ces différents hôtes sembleront toujours venir du routeur. e-mail : infos@westermo.fr Page: 36 / 48

Dans le schéma ci-dessus, les machines PC1, PC2 et PC3 veulent accéder au serveur qui se trouve sur Internet. Un numéro de port est affecté par machine et l identifie dans les échanges avec le serveur. Aussi, le serveur répondra à PC1 par l adresse 10.30.56.31 sur le port 11000. Une dernière fonction de NAT appelé le NAT 1-to-1 permet d utiliser une adresse de destination fictive à la place de celle de l hôte que nous souhaitons joindre. Cette adresse de destination est une adresse IP qui fait office d adresse intermédiaire ce qui permet au réseau de destination d être caché sous celle-ci. e-mail : infos@westermo.fr Page: 37 / 48

L illustration ci-dessus montre un exemple de NAT 1-to-1 qui permet de voiler entièrement les réseaux de part et d autre du routeur grâce aux règles 1 et 2. La machine Server peut être aussi perçue comme faisant partie du réseau 192.168.10.0 avec l adresse 192.168.10.100 à travers la règle 3. 7.4.2. Configuration Interface web Configuration>Firewall>Common Par défaut, le firewall est activé pour tous les équipements. Il est possible de le désactiver en décochant la case Enabled puis en cliquant sur Apply Configuration>Firewall>NAT Par défaut, une règle de NAPT du VLAN1 vers le VLAN1006 est présente et permet donc de changer l adresse IP source d un paquet provenant d un équipement du VLAN1 par l adresse IP de l interface du VLAN1006 (ligne DSL). Pour créer une nouvelle règle de NAT, cliquer sur New NAT Rule. Type : choississez entre NAPT et NAT 1-to-1 Incoming Interface : sélectionner l interface connectée au réseau auquel vous souhaitez appliquer le NAT Source Address (NAPT) : permet de définir le bloc d adresses que vous souhaité natter e-mail : infos@westermo.fr Page: 38 / 48

Destination Interface (NAPT) : sélectionner l interface par laquelle sera vu le réseau natté Destination Address (NAT 1-to-1) : spécifie l adresse IP de destination à natter New Destination Address (NAT 1-to-1) : correspond à l adresse de l interface (physique ou virtuelle) par laquelle le réseau natté de destination est vu Automatic Packet Filter Rule : créé la règle de filtrage en correspondance avec la règle de NAT Proxy ARP (NAT 1-to-1) : en validant cette option, l interface du routeur répondra aux requêtes ARP par son adresse MAC pour un réseau de destination distant. Il est alors possible d utiliser comme adresse de nattage une adresse du réseau local. Dans cette configuration, l hôte source aura l impression qu il communique avec un autre hôte du LAN alors que l hôte en question se trouve sur un réseau différent Configuration>Firewall>Port Forwarding La redirection de port permet de faire transiter des services spécifiques à travers le firewall du routeur vers une machine du LAN. Créer une nouvelle règle de redirection de port en cliquant sur New Forwarding Rule. Protocol : spécifie le protocole de transport UDP, TCP Incoming Interface : interface de réception des paquets sur laquelle la redirection des ports sera activée Incoming Destination Port : permet de choisir le service à rediriger. Une liste déroulante est disponible. Si le service n est pas présent dans cette liste, vous devrez renseigner le(s) numéro(s) de port Source Address : permet de spécifier l hôte (single) ou le réseau (subnet) source émetteur des paquets Destination Address : indique l adresse de l hôte sur lequel sera redirigé le service New Destination Port : renseigne le service sollicité sur l hôte soit avec la liste déroulante soit avec le(s) numéro(s) de port Configuration>Firewall>Packet Filter Créer une nouvelle règle de filtrage en cliquant sur New Filter Rule. Policy : indique l action à suivre lors du traitement des paquets, allow pour autoriser et deny pour refuser Position (Order) : chaque paquet sera inspecté afin de vérifier s il y a une correspondance avec l une des règles de filtrage suivant l ordre défini In Interface : choix de l interface du trafic entrant Out Interface : choix de l interface du trafic sortant Protocol : spécifie le protocole de transport ou de routage à filtrer Source Address : permet de spécifier l hôte (single) ou le réseau (subnet) source émetteur des paquets Destination Address : permet de spécifier l hôte (single) ou le réseau (subnet) destinataire des paquets Destination Port(s) : précise le service à filtrer grâce à une liste déroulante ou à un numéro de port e-mail : infos@westermo.fr Page: 39 / 48

7.5. Le système des alarmes 7.5.1. Principe Les équipements sont pourvus d un système d alarme qui permet de déclencher une action suite à un évènement. Le paramètre déclencheur (Trigger) peut être une défaillance de lien, une surchauffe, un problème d alimentation ou un échec de connectivité. 7.5.2. Configuration Interface web Configuration>Alarm>Triggers Il s agit ici de définir le paramètre déclencheur. Par défaut, une alarme est configurée pour la défaillance d un anneau FRNT. Pour créer une nouvelle alarme, cliquer sur New Trigger. Class : choix du paramètre déclencheur à surveiller parmi lesquels la défaillance de lien (link-alarm), la surchauffe de l équipement (temperature), l alimentation (power) ou la connectivité (ping) Severity : indique le degré de sévérité de l alarme ; par défaut, c est le mode Warning qui est configuré et permet d afficher un message d alerte en rouge lorsque l alarme devient active. Le mode Notice définit le fonctionnement normal (alarme inactive) Condition : indique pour quel état du paramètre déclencheur activer l alarme Action : définit l action à prendre en cas d alarme activée, choississez le numéro de l action que vous avez configurée Configuration>Alarm>Actions Par défaut, l action 1 est configurée et a pour effet en cas d alarme activée de renvoyer un message SNMP, d afficher l évènement dans le log, de modifier la couleur des voyants led et de créer un signal électrique de sortie. Vous pouvez créer une nouvelle action en cliquant sur New Action et de choisir l effet à réaliser. 7.6. SNMP 7.6.1. Principe Le protocole utilisé dans la supervision d un réseau s appelle SNMP (Simple Network Management Protocol). Dans le processus SNMP, un superviseur (manager) est installé sur un serveur et des clients (agents) situés sur les équipements réseaux communiquent des informations sur différents états de leur configuration au superviseur. e-mail : infos@westermo.fr Page: 40 / 48

Ces informations sont des objets administrables (Managed Objects) gérés par SNMP tels que des paramètres de configuration ou des informations matérielles. Ils sont identifiés par un OID (Object Identifier) et sont classés dans une base de données appelée MIB (Management Information Base) dont la structure est arborescente. Chaque type d équipement a une MIB qui lui est propre, maintenue par l agent et a une partie spécifique à chaque constructeur. Il existe 2 MIB publiques normalisées : MIB1 et MIB2. Dans cet échange manager/agents, SNMP récupère les objets souhaités afin de les visualiser et les administrer dans la MIB correspondante à l équipement. SNMP utilise le port 161/UDP des agents pour leur demander les informations. Le paramètre de sécurité Community (public ou private par défaut) sert de mot de passe pour des droits de privilèges (mode lecture seule ou lecture/écriture). Il est envoyé en clair entre l agent et le superviseur. Un système d alerte (trap) peut être configuré afin de signaler au manager qu un évènement s est produit. SNMP utilise alors le port 162/UDP du manager pour récupérer ces messages d alerte. e-mail : infos@westermo.fr Page: 41 / 48

Il existe 3 versions de SNMP. SNMPv2 est une version améliorée de SNMPv1 qui implémente la demande unique d information sur un ensemble de variables (GetBulkRequest). La troisième version SNMPv3 apporte des fonctions de sécurité en termes de confidentialité (DES), d intégrité et d authentification (MD5 ou SHA1). En outre, il existe des logiciels de supervision réseau qui intègrent la possibilité de dessiner la topologie en collectant les informations issues du protocole LLDP (Link Layer Discovery Protocol). Pour activer le protocole LLDP, aller dans Monitor & Diag > Topology Discovery sur la gamme I-Line et. e-mail : infos@westermo.fr Page: 42 / 48

La capture d écran ci-dessus illustre une demande d information sur une variable d OID 1.3.6.1.2.1.1.5.0 par requête/réponse SNMP. 7.6.2. Configuration Configuration WeOS Interface Web Configuration>SNMP La première configuration appelée SNMP correspond aux versions 1 et 2 de SNMP. Elle permet d utiliser un mot de passe pour les droits de lecture seule (read community) et de lecture-écriture (write community). Il est de même possible de configurer un mot de passe pour le système d alerte entre le superviseur et l agent (trap community). Dans ce cas, 2 adresses de serveur (trap host address) pourront être renseignées pour la récupération de ces messages d alerte. La deuxième configuration appelée SNMPv3 users correspond au paramétrage de la version 3 de SNMP. Il sera possible d attribuer des droits pour un utilisateur donné. e-mail : infos@westermo.fr Page: 43 / 48

La sécurité sera permise grâce à une authentification et au cryptage des données transmises. Enfin, un OID pourra être affectée à cette configuration pour permettre d identifier les différentes autorisations. Type>ro user Username>westermo Auth>MD5 Auth Passphrase>*** Crypto>DES Crypto Passphrase>*** OID Tree>12345 //type de droits //nom de l utilisateur autorisé //type de cryptage de la clé d authentification //clé d authentification //type de cryptage pour les données (confidentialité) //clé de confidentialité Interface CLI falcon:/config/#>snmp-server falcon:/config/snmp/#>rocommunity public falcon:/config/snmp/#>rwcommunity private falcon:/config/snmp/#>trapcommunity public falcon:/config/snmp/#>host 192.168.10.150 //active SNMP //mot de passe pour les droits de lecture seule //mot de passe pour les droits de lectureécriture //mot de passe pour le système des alertes //adresse du serveur de trap falcon:/config/snmp/#>rouser westermo auth md5 *** crypto des *** oid 12345 Configuration I-Line Interface Web SNMP>SNMP Configuration Par défaut, les mots de passe (Community String) pour les droits de lecture seule et de lecture/écriture sont respectivement public et private. Si vous décidiez de les modifier, il faudra que vous indiquiez à votre serveur SNMP les mêmes mots de passe pour pouvoir accéder à la base de données. SNMP>SNMP V3 Profile Dans cette rubrique, vous pouvez configurer l authentification pour identifier le ou les utilisateurs. Vous devrez renseigner son nom et le niveau de cryptage de la clé (MD5 e-mail : infos@westermo.fr Page: 44 / 48

ou SHA). De même, il est possible d ajouter une clé pour la confidentialité des paquets. Faites un profil pour chaque utilisateur autorisé. User Name>westermo Security Level>Authentication and Privacy Authentication Level>MD5 //type de cryptage de la clé d authentification Authentication Password>*** //clé d authentification DES Encryption Password>*** //clé de confidentialité SNMP>SNMP Traps La capture d un évènement peut être configurée. L équipement envoie alors un message au serveur SNMP. SNMP Trap>Enable SNMP Trap Server IP>192.168.10.150 Community>public Version>V1 Interface CLI Systeme Name> enable Systeme Name# configure terminal Systeme Name(config)# snmp-server community lectureseule ro Systeme Name(config)# snmp-server community lectureecriture rw Systeme Name(config)# snmp-server user westermo group1 v3 priv md5 *** des *** Systeme Name(config)# snmp-server enable trap Systeme Name(config)# snmp-server host 192.168.10.150 Systeme Name(config)# snmp-server community trap public Tables MIB. Les produits i-line sont livrés avec deux tables MIB. La première est spécifique à la référence utilisées > WESTERMO-MDI-110-F3G-MIB.my > WESTERMO-MDI-110-F3-MIB.my > WESTERMO-MDI-112-F4G-MIB.my > WESTERMO-MDI-118-F2G-MIB.my La seconde est générale à l'ensemble de la gamme. > WESTERMO-OID-MIB.my e-mail : infos@westermo.fr Page: 45 / 48

Il faudra systématiquement charger la table générale en plus de la table spécifique dans le driver SNMP/OPC ou dans l'explorateur de MIB pour avoir accès aux variables i-line Configuration du serveur OPC SNMP. La table MIB de chacun des switch ne comprend pas l'ensemble des variables nécessaires à superviser chaque port de manière distinct. Il faudra créer dans le serveur OPC des tag pour chaque port en fonction d'un tag "exemple". e-mail : infos@westermo.fr Page: 46 / 48

7.6.3. Tableau des variables Nom Lecture / Ecriture Valeur Description systemname.0 L chaine de caractère nom du commutateur systemlocation.0 L chaine de caractère localisation contact du responsable systemcontact.0 L chaine de caractère technique systemdescr.0 L chaine de caractère caractéristiques systemfwver.0 L chaine de caractère type et numéro de version systemmacaddress.0 L chaine de caractère adresse MAC switchsettingsystemname.0 L/E chaine de caractère configuration du nom switchsettingsystemlocation.0 L/E chaine de caractère configuration du nom de la localisation switchsettingsystemcontact.0 L/E chaine de caractère configuration du nom du responsable technique portstatusindex.1 L nombre entier numéro de l'interface portstatustype.1 L 100BaseTX(1), 1000BaseT(2), 100BaseFX(3), 1000BaseSX(4), 1000BaseLX(5), other(6), notpresent(7) type de l'interface portstatuslink.1 L up(1), down(2) état de la liaison portstatusstate.1 L enabled(1), disabled(2) état de l'interface portstatusspeedduplex.1 L autonegotiation(1), 10MbpsHalfDuplex(2), 10MbpsFullDuplex(3), 100MbpsHalfDuplex(4), 100MbpsFullDuplex(5) vitesse de l'interface sfpvender.1 L chaine de caractère nom du fournisseur sfpwavelength.1 L nombre entier longueur d'onde utilisée sfpdistance.1 L nombre entier distance maximale admise rstpstatus.0 L/E stp(1), rstp(2), disabled(3) état du protocole RSTP rstppriority.0 L/E nombre entier priorité RSTP rstpperportinfostate.1 rstpperportinforole.1 L L nonstp(1), learning(2), forwarding(3), disabled(4), blocking(5), unknown(6) disabled(1), root(2), designated(3), alternated(4), backup(5), nonstp(6), unknown(7) rstprootbridgeinformationbridgeid.1 L chaine de caractère rstprootbridgeinformationrootpriority.1 L nombre entier état RSTP de l'interface rôle RSTP de l'interface adresse MAC du commutateur racine priorité RSTP du commutateur racine e-mail : infos@westermo.fr Page: 47 / 48

7.6.4. Supervision d une variable SNMP L exemple ci-dessous montre la liste des variables faisant référence à l état de chaque port. A partir de la variable "PortStatusLink", il faut créer l'ensemble des variables nécessaires pour superviser tous les ports. Variable OID Remarque PortStatusLink.1.3.6.1.4.1.16177.1.300.4.3.2.1.1.3[1] Variable "Exemple" PortStatusLink_Port1.1.3.6.1.4.1.16177.1.300.4.3.2.1.1.3.1 Variable spécifique créée manuellement PortStatusLink_Port2.1.3.6.1.4.1.16177.1.300.4.3.2.1.1.3.2 // PortStatusLink_Port3.1.3.6.1.4.1.16177.1.300.4.3.2.1.1.3.3 // PortStatusLink_Port4.1.3.6.1.4.1.16177.1.300.4.3.2.1.1.3.4 // PortStatusLink_Port5.1.3.6.1.4.1.16177.1.300.4.3.2.1.1.3.5 // PortStatusLink_Port6.1.3.6.1.4.1.16177.1.300.4.3.2.1.1.3.6 // PortStatusLink_Port7.1.3.6.1.4.1.16177.1.300.4.3.2.1.1.3.7 // PortStatusLink_Port8.1.3.6.1.4.1.16177.1.300.4.3.2.1.1.3.8 // PortStatusLink_Port9.1.3.6.1.4.1.16177.1.300.4.3.2.1.1.3.9 // PortStatusLink_Port10.1.3.6.1.4.1.16177.1.300.4.3.2.1.1.3.10 // 7.7. La vérification par le journal des évènements e-mail : infos@westermo.fr Page: 48 / 48

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back