IMS INTERNET Paramétrage de l offre Gateway Nortel Contivity Edition : Référence : DRS/DTS/DCRT/CID/04 080
SOMMAIRE 1. Introduction 3 1.1 OBJECTIFS DU DOCUMENT 3 1.2 VERSIONS INSTALLÉES 3 2. Connectique physique 3 3. Configuration du CES 1010 4 4. Configuration du Client CES 16 4.1 INSTALLATION DU C LIENT CES 16 4.2 CONFIGURATION DU CLIENT CES 17 DRS/DTS/DCRT/CID/04 080 05/04/04 Page 2 sur 19
1. Introduction 1.1 Objectifs du document IMS INTERNET /Paramétrage de l offre / Gateway Nortel Contivity Ce document décrit la configuration à mettre en place pour un accès distant sur la gateway VPN Nortel contivity. Ce rapport d installation constitue une référence quant à l installation et la configuration initiale de l architecture qui a été mise en place, et peut être utilisé dans l intention de réinstaller une des composantes de la solution. 1.2 Versions installées Voici les différentes versions des produits qui ont été utilisés pour la maquette : Nortel Contivity Extranet Switch (CES) o Model : CES 1010 o Software version : 4.75.100 Nortel CES Client o CES Client v4.65d 2. Connectique physique LAN 0 = Interface privée LAN 1 = Interface public (par défaut) DRS/DTS/DCRT/CID/04 080 05/04/04 Page 3 sur 19
3. Configuration du CES 1010 IMS INTERNET /Paramétrage de l offre / Gateway Nortel Contivity Cette section décrit les principales étapes de la configuration CES 1010. 3.1.1 Installation et configuration minimale par le port Console Afin de configurer les boîtiers, il faut connecter le port Console en façade du CES 1010, sur le port série d un équipement informatique disposant d une émulation type VT100 paramétrée comme suit : 8 bits de donnée, pas de parité, un bit de stop, débit à 9600 bauds Attention : utiliser le câble fourni avec le boîtier par Nortel. Allumer alors le boîtier Nortel. A l invite saisir le couple login/password (par défaut : admin/setup respectivement). Le menu suivant apparaît alors : Main Menu: System is currently in NORMAL mode. 1) Interfaces 2) Administrator 3) Default Private Route Menu 4) Default Public Route Menu 5) Create A User Control Tunnel(IPsec) Profile 6) Restricted Management Mode FALSE 7) Allow HTTP Management TRUE 8) Firewall Options 9) Shutdown B) System Boot Options P) Configure Serial Port C) Controlled Crash L) Command Line Interface R) Reset System to Factory Defaults E) Exit, Save and Invoke Changes Please select a menu choice (1-9,B,P,C,L,R,E): DRS/DTS/DCRT/CID/04 080 05/04/04 Page 4 sur 19
Sélectionner l option 1 puis 0 pour configurer l interface Ethernet Private LAN : Please select a menu choice (1-9,B,P,C,L,R,E): 1 - Interface Menu 0) Slot 0, Port 1, Private LAN Management IP Address = 192.168.1.79, ( Subnet Mask = 255.255.255.0 ) Interface IP Address = 192.168.1.179 Subnet Mask = 255.255.255.0 Speed/Duplex = AutoNegotiate 1) Slot 1, Port 1, Public LAN IP Address = 195.115.96.179 Subnet Mask = 255.255.255.224 Speed/Duplex = AutoNegotiate R) Return to the Main Menu Please select a menu choice: 0 Renseigner les champs suivants : Management IP Address* : adresse IP pour l administration du boîtier via l interface Web Interface IP Address* : adresse IP de l interface physique pour la transmission du trafic utilisateur Subnet Mask : sous-réseau associé aux deux adresses précédentes Speed/Duplex : vitesse et mode duplex du port (*) : La «Management IP Address» et l «Interface IP Address» appartiennent au même sous-réseau IP. A partir de ce point, la configuration peut être effectuée par l interface Web. DRS/DTS/DCRT/CID/04 080 05/04/04 Page 5 sur 19
3.1.2 Configuration par l interface Web IMS INTERNET /Paramétrage de l offre / Gateway Nortel Contivity 1.1.1.1 Paramètres globaux Au moyen d un navigateur HTML, il suffit de se connecter sur l adresse IP d administration («Management IP Address») configurée sur le boîtier. L utilisateur est «admin» et le mot de passe celui qui a été saisi précédemment. La page d accueil suivante s affiche : DRS/DTS/DCRT/CID/04 080 05/04/04 Page 6 sur 19
Sélectionner Manage switch : 1.1.1.1.1 System / Identity Important : Toute modification appliquée par le bouton Ok ou Apply sera automatiquement sauvegardée toutes les minutes. DRS/DTS/DCRT/CID/04 080 05/04/04 Page 7 sur 19
1.1.1.1.2 System / LAN Configuration des interfaces physiques du boîtier (adresses IP, filtres). Pour configurer, la vitesse et le mode duplex d une interface cliquer sur Configure. Pour paramétrer, la configuration IP et appliquer un filtre particulier, cliquer sur Edit. DRS/DTS/DCRT/CID/04 080 05/04/04 Page 8 sur 19
1.1.1.1.3 System / Date & Time Cet écran permet de régler l horloge interne de l équipment : 1.1.1.1.4 Services / Available Activation / désactivation des services : Sur la plate-forme de tests, IPSEC n est activé que sur sur l interface publique du CES 1010. Côté privé, seul le protocole HTTP est activé pour l administration via l interface Web. DRS/DTS/DCRT/CID/04 080 05/04/04 Page 9 sur 19
1.1.1.1.5 Services / IPSEC Activation / désactivation des services IPSEC. Seuls les services IPSEC activés sur cet écran pourront être utilisés pour la définition des tunnels IPSEC (caractéristiques des goupes utilisateurs nomades ou des tunnels site à site). Pour les besoins de la maquette, tous les services IPSEC sont activés sur le boitier. La restriction de services s effectue au niveau des paramètres de groupes utilisateurs (voir paragraphe suivant). DRS/DTS/DCRT/CID/04 080 05/04/04 Page 10 sur 19
1.1.1.2 Création des profils utilisateurs nomades IMS INTERNET /Paramétrage de l offre / Gateway Nortel Contivity La créations des profils utilisateurs se déroule en plusieurs étapes : Création et des groupes utilisateurs. Les utilisateurs appartenant au même groupe ont les mêmes caractéristiques en terme de paramètres de connectivity et IPSEC. Création comptes utilisateurs nomades. Sur la plate-forme de tests, les comptes utilisateurs ne sont pas déportés sur un serveur externe (RADIUS ou LDAP). Ils sont hébergés dans la base LDAP interne du CES 1010. Chaque utilisateur est associé à un groupe. Les écrans suivants illustrent la création d un groupe puis la création d un utilisateur associé à ce groupe. Sous Profiles / Groups, cliquer sur Add, l écran suivant s affiche : Note :Le groupe en cours de création hérite des caractéristiques du groupe parent. DRS/DTS/DCRT/CID/04 080 05/04/04 Page 11 sur 19
Sous Profiles / Users, cliquer sur Add User, l écran suivant s affiche : Note 1 :L utilisateur en cours de création hérite des caractéristiques du groupe auquel il appartient. Note 2 :L adresse IP peut être assignée statiquement ou dynamiquement à l aide d un «IP Pool». 1.1.1.3 Définition des caractéristiques des profils utilisateurs nomades Sous Profiles / Groups, éditer les caractéristiques d un goupe en cliquant sur Edit : DRS/DTS/DCRT/CID/04 080 05/04/04 Page 12 sur 19
1.1.1.3.1 Profiles / Groups / Edit / Connectivity Cliquer sur Configure pour modifier un paramètre hérité du groupe parent. Cet écran permet de configurer les paramètres de connectivité (Règles d admission des connexions, filtres, QoS, «Idle Timeout»). S il n y a pas de trafic pendant la durée de l «Idle Time out» (par défaut : 15 minutes), le tunnel IPSEC se coupe. 1.1.1.3.2 Profiles / Groups / Edit / IPSEC DRS/DTS/DCRT/CID/04 080 05/04/04 Page 13 sur 19
Cet écran permet la configuration des paramètres IPSEC des connexions des utilisateurs membre du groupe. Sur la plate-forme de tests, les connexions sont authentifiés (section Authentication) par simple couples login/password. Plusieurs modes de chiffrement (section Encryption) ont été testées L activation de la fonction «Perfect Forward Secrecy» permet de générés des SA non dérivées des précédentes. Le timer «Rekey Timeout» spécifie l intervalle de temps entre les renégociations des SA IPSEC. Les champs précédés d un * n ont d impact que sur le client CES Nortel. La fonction «NAT Traversal» correspond à l encapsulation d IPSEC dans UDP pour les flux «Internet Pro» (ports supportés : entre 1025 et 49151). 1.1.1.4 Définition de l «IP Pool» DRS/DTS/DCRT/CID/04 080 05/04/04 Page 14 sur 19
DRS/DTS/DCRT/CID/04 080 05/04/04 Page 15 sur 19
4. Configuration du Client CES IMS INTERNET /Paramétrage de l offre / Gateway Nortel Contivity Cette section décrit la procédure d installation et de configuration du client CES. 4.1 Installation du Client CES Lancer le fichier eac465d.exe, la fenêtre suivante s affiche : Lire les instructions qui s affichent à l écran et cliquer sur Yes ou Apply sur chacune des fenêtres suivantes : DRS/DTS/DCRT/CID/04 080 05/04/04 Page 16 sur 19
Redémarrer le poste client pour terminer l installation.. 4.2 Configuration du Client CES Double-cliquer sur l icône Contivity VPN Client pour lan cer l application : DRS/DTS/DCRT/CID/04 080 05/04/04 Page 17 sur 19
Répondre Non à la question ci-dessus. Ensuite, renseigner le formulaire comme suit : Cliquer sur le bouton Connect pour lancer la connexion. DRS/DTS/DCRT/CID/04 080 05/04/04 Page 18 sur 19
Cliquer droit sur l icône Nortel en bas à gauche de l écran pour afficher l état de la connexion : DRS/DTS/DCRT/CID/04 080 05/04/04 Page 19 sur 19