Guide de l'Utilisateur de Cisco SDM Express

Embed Size (px)

Citation preview

Sige socialCisco Systems, Inc.170 West Tasman DriveSan Jose, CA 95134-1706tats-Unishttp://www.cisco.comTl. :408 526-4000+1 800 553-NETS (6387)Tlcopie : 408 526-4100Guide de lutilisateur de Cisco SDM ExpressNumro de commande client : Numro de srie du texte : OL-7141-04LES SPCIFICATIONS ET LES INFORMATIONS CONCERNANT LES PRODUITS DCRITS DANS CE MANUEL PEUVENT TRE MODIFIES SANS PRAVIS. TOUTES LES DCLARATIONS, INFORMATIONS ET RECOMMANDATIONS FIGURANT DANS CE MANUEL SONT CENSES TRES EXACTES, MAIS SONT PRSENTES SANS GARANTIE DAUCUNE SORTE, EXPLICITE OU IMPLICITE. LES UTILISATEURS ASSUMENT LA PLEINE ET ENTIRE RESPONSABILIT DE LUTILISATION DES PRODUITS.LA LICENCE LOGICIELLE ET LA GARANTIE LIMITE DES PRODUITS DACCOMPAGNEMENT SONT PRSENTES DANS LES NOTICES INFORMATIVES ACCOMPAGNANT LE PRODUIT. ELLES SONT FOURNIES ICI TITRE DE RFRENCE. SI VOUS NE TROUVEZ PAS LA LICENCE DU LOGICIEL OU LA GARANTIE LIMITE, CONTACTEZ VOTRE REPRSENTANT CISCO QUI VOUS EN FOURNIRA UNE COPIE.Limplmentation Cisco de la compression den-ttes TCP est une adaptation dun programme dvelopp par lUniversit de Californie, Berkeley (UCB) dans le cadre de la version publique du systme dexploitation UNIX dUCB. Tous droits rservs. Copyright 1981, Regents of the University of California. MALGR LES DIVERSES GARANTIES EXPOSES ICI, TOUS LES DOCUMENTS, FICHIERS ET LOGICIELS DES DIFFRENTS FOURNISSEURS SONT PROPOSS TELS QUELS AVEC LEURS VENTUELS DFAUTS. CISCO ET LES FOURNISSEURS SUSNOMMS DCLINENT TOUTE RESPONSABILIT, IMPLICITE OU EXPLICITE, CONCERNANT, SANS QUE CETTE LISTE SOIT EXHAUSTIVE, LA QUALIT MARCHANDE DES PRODUITS, LEUR ADAPTATION UNE UTILISATION PARTICULIRE,LA NON-TRANSGRESSION OU TOUT AUTRE PROBLME CONSCUTIF UNE VENTE, UN USAGE OU UNE PRATIQUE COMMERCIALE.CISCO OU SES REPRSENTANTS NE POURRONT, EN AUCUN CAS, TRE TENUS POUR RESPONSABLES DES DOMMAGES INDIRECTS, SPCIAUX, CONSCUTIFS OU INDUITS, Y COMPRIS, SANS QUE CETTE LISTE SOIT EXHAUSTIVE, LES PERTES DE PROFIT, PERTES OU ENDOMMAGEMENT DES DONNES, CONSCUTIFS LUTILISATION OU LINCAPACIT DUTILISATION DE CE MANUEL, MME SI CISCO OU SES REPRSENTANTS ONT T INFORMS DE LVENTUALIT DUNE DEMANDE DE DOMMAGES ET INTRTS.Toutes les adresses IP utilises dans le prsent document sont des adresses fictives. Tous les exemples, sorties daffichage de commandes et images du prsent document sont uniquement utiliss titre indicatif. Toute utilisation dadresses IP relles dans les illustrations est involontaire et nest que pure concidence.Guide de l'utilisateur de Cisco SDM Express 2007 Cisco Systems, Inc. Tous droits rservs.CCIP, CCSP, le logo Cisco reprsentant une flche, la marque Cisco Powered Network, Cisco Unity, Follow Me Browsing, FormShare et StackWise sont des marques de Cisco Systems, Inc. ; Changing the Way We Work, Live, Play, and Learn et iQuick Study sont des marques de service de Cisco Systems, Inc. ; Aironet, ASIST, BPX, Catalyst, CCDA, CCDP, CCIE, CCNA, CCNP, Cisco, le logo Cisco Certified Internetwork Expert, Cisco IOS, le logo Cisco IOS , Cisco Press, Cisco Systems, Cisco Systems Capital, le logo Cisco Systems, Empowering the Internet Generation, Enterprise/Solver, EtherChannel, EtherSwitch, Fast Step, GigaStack, Internet Quotient, IOS, IP/TV, iQ Expertise, le logo iQ, iQ Net Readiness Scorecard, LightStream, Linksys, MeetingPlace, MGX, MICA, le logo Networkers, Networking Academy, Network Registrar, Packet, PIX, Post-Routing, Pre-Routing, RateMUX, Registrar, ScriptShare, SlideCast, SMARTnet, StrataView Plus, Stratm, SwitchProbe, TeleRouter, The Fastest Way to Increase Your Internet Quotient, TransPath et VCO sont des marques dposes de Cisco Systems, Inc. et/ou de ses entreprises affilies aux tats-Unis et dans d`autres pays. Toutes les autres marques cites dans ce document ou sur le site Web appartiennent leurs propritaires respectifs. L`utilisation du terme partenaire n`implique aucunement une relation de partenariat entre Cisco et une autre entreprise. (0304R)iGuide de lutilisateur de Cisco SDM ExpressOl-7141-04Ta b l e d e s m a t i r e sCisco SDMExpress 1Bienvenue 1Configuration de base 2Dimensionnement du routeur 4Dploiement partir dune unit USB 5Acheminement partir du flash USB 6Slection de fichier 7Configuration de linterface sans fil 8Configuration de linterface LAN 8Configuration du serveur DHCP 10Internet (WAN) : Interface Ethernet12Internet (WAN) : Dtection auto dencapsulation 13Internet (WAN) : Encapsulation indique par lutilisateur 14Slection dune interface WAN 17Connexion srie 18Paramtres de la configuration Relais de trame 20Internet (WAN) : Options avances 21Informations du serveur CNS 21Configuration du pare-feu 23Paramtres de scurit 24Synthse 26Aide complmentaire 27Cisco Router and Security Device Manager 27Table des matiresiiGuide de lutilisateur de Cisco SDM ExpressOl-7141-04Cisco Network Services 27Paramtres de scurit 28Dsactiver SNMP 29Dsactiver le service Finger 29Dsactiver le service PAD 30Dsactiver le service TCP Small Servers 30Dsactiver le service UDP Small Servers 31Dsactiver le service IP Bootp Server 32Dsactiver le service IP Ident 32Dsactiver CDP 33Dsactiver le routage dIP source 33Activer le service de cryptage des mots de passe 34Activer la commutation Netflow 34Activer le maintien des connexions TCP pour les sessions Telnet entrantes 35Activer le maintien des connexions TCP pour les sessions Telnet sortantes 35Activer les numros de squence et les horodatages sur les dbogages 35Activer IP CEF 36Dfinir lintervalle de planification 36Dfinir lallocation de planification 37Dfinir la dure de TCP Synwait 37Activer la connexion 38Activer Unicast RPF sur toutes les interfaces externes 38Dsactiver les messages ARP 39Dsactiver la redirection dIP 39Dsactiver le Proxy IP ARP 40Dsactiver la diffusion dIP dirige 40Dsactiver le service MOP 41Dsactiver les IP injoignables 41iiiGuide de lutilisateur de Cisco SDM ExpressOl-7141-04SommaireDsactiver la rponse au masque IP 42Dfinir la longueur minimum du mot de passe pour quil ne dpasse pas 6 caractres 43Dfinir le nombre dchecs didentification pour quil ne dpasse pas 3 tentatives de ridentification 43Dfinir la bannire 44Activer les paramtres Telnet 44Activer SSH pour laccs au routeur 45Boutons Cisco SDMExpress 46Reconnexion au routeur lissue de la configuration initiale 47Test de votre connexion WAN (Internet) 48Conseils de dpannage pour SDP 49Mode dition de Cisco SDM Express 1Prsentation 1Configuration de base 3Modification dun nom dutilisateur 4LAN 5Sans fil 5WAN : impossible de configurer linterface WAN 5Aucun WAN disponible 6Supprimer la connexion 6Pare-feu 6NAT 7Ajouter ou modifier une rgle de conversion dadresse 8Routage 10Paramtres de scurit 10Outils 12Ping 13Table des matiresivGuide de lutilisateur de Cisco SDM ExpressOl-7141-04Mettre jour SDM depuis Cisco.com 14Connexion CCO 14Mettre jour SDM depuis un PC local 15Mettre jour SDM depuis le CD 15Proprits de la date et de lheure 16Valeurs par dfaut 17Reconfiguration de votre PC avec une adresse IP statique ou dynamique 18Fonction non disponible 20CH A P I T R E1-1Cisco SDM ExpressOL-7141-041Cisco SDMExpressLa fentre Cisco SDM Express vous guide tout au long de la configuration de base du routeur. Une fois cette configuration de base effectue, le routeur est disponible sur le LAN et dispose dune connexion WAN et dun pare-feu.BienvenueCet assistant vous permet de dfinir une configuration de base pour effectuer les oprations suivantes : Nommer le routeur. Spcifier un nom dutilisateur et des mots de passe. Le routeur peut tre configur manuellement laide de lassistant Cisco SDM Express. Vous pouvez galement fournir au routeur un fichier de configuration charg partir dune unit USB ou dun priphrique flash USB, de SDP (Secure Device Provisioning) ou de Cisco Network Services, si pris en charge par la version de Cisco IOS. Si vous utilisez Cisco Network Services pour configurer votre routeur, vous pouvez spcifier les paramtres Cisco Network Services qui permettront au routeur de prendre contact avec le serveur Cisco Network Services pour obtenir de celui-ci une configuration. Modifier ladresse IP du LAN par dfaut, dfinie en usine.Cette tche est contourne si SDP ou Cisco Network Services est slectionn pour le dploiement du routeur.Chapitre 1Cisco SDMExpressConfiguration de base1-2Cisco SDM ExpressOL-7141-04 Crer un pool dadresses DHCP pour le LAN.Cette tche est contourne si SDP ou Cisco Network Services est slectionn pour le dploiement du routeur. Entrez les noms des serveurs DNS et le nom de domaine de votre entreprise. Consultez votre administrateur rseau ou votre fournisseur daccs Internet pour obtenir ces informations.Cette tche est contourne si SDP ou Cisco Network Services est slectionn pour le dploiement du routeur. Crer une connexion WAN. Crer un pare-feu pour les connexions LAN et WAN. Configurer des paramtres qui amliorent les performances et la scurit du rseau.Pour configurer des interfaces supplmentaires et procder des rglages de configuration plus avancs, utilisez Cisco Router and Security Device Manager (Cisco SDM). Pour plus dinformations, reportez-vous Cisco Router and Security Device Manager.Configuration de baseLa fentre Configuration de base vous permet de nommer le routeur que vous configurez, de spcifier le nom de domaine de votre entreprise et de contrler laccs Cisco SDM Express, Cisco Router and Security Device Manager et linterface de ligne de commande.Champ Nom dhteIndiquez le nom que vous souhaitez attribuer au routeur.Champ Nom de domaineEntrez le nom de domaine de votre entreprise. Un exemple de nom de domaine pourrait tre cisco.com, mais il est possible que votre nom de domaine se termine par un suffixe diffrent, comme .org ou .net.1-3Cisco SDM ExpressOL-7141-04Chapitre 1Cisco SDMExpressConfiguration de baseChamps Nom dutilisateur et Mot de passeDfinissez le nom dutilisateur et le mot de passe des utilisateurs de Cisco SDM Express et de Telnet. Remarque Le nom dutilisateur et le mot de passe dfinis dans cette fentre sont ceux que vous saisirez dsormais dans Cisco SDM Express (jusqu leur prochaine modification). Le mot de passe doit tre difficile trouver pour une tierce personne mais facile retenir.Champ Nom dutilisateurSaisissez un nom dutilisateur dans ce champ. Champ Entrez un nouveau mot de passeSaisissez le nouveau mot de passe dans ce champ. Ce mot de passe doit contenir au moins 6 caractres.Champ Confirmer le mot de passeConfirmez le nouveau mot de passe en le retapant.Champ Activer le mot de passe secretLa fonction Mot de passe secret dactivation permet de contrler laccs en mode privilgi EXEC par les utilisateurs qui se connectent au routeur via Telnet ou le port de console. En mode EXEC privilgi, les utilisateurs peuvent modifier la configuration du routeur et ont accs des commandes qui ne sont pas accessibles autrement. Entrez le mot de passe secret dans le champ Entrez un nouveau mot de passe, puis confirmez-le dans le champ Confirmer le mot de passe. Ce mot de passe doit contenir au moins 6 caractres.Remarque Le mot de passe doit tre difficile trouver pour une tierce personne mais vous devez pouvoir vous en souvenir facilement. Sachez que ce mot de passe est illisible dans le fichier de configuration, car stock sous forme crypte.Chapitre 1Cisco SDMExpressDimensionnement du routeur1-4Cisco SDM ExpressOL-7141-04Dimensionnement du routeurCette fentre contient les options disponibles pour le dimensionnement du routeur. Certaines de ces fonctions sont visibles uniquement si elles sont prises en charge par votre version de Cisco IOS. SDM ExpressSlectionnez cette option pour utiliser Cisco SDM Express manuellement pour le dploiement du routeur.Unit USB ou flash USBSlectionnez cette option si vous disposez dune unit USB ou dun priphrique flash associ au routeur et ayant le fichier de configuration adquat.Remarque Si les deux sont connects au routeur, Cisco SDM Express utilise lunit USB. Si vous souhaitez utiliser le priphrique flash USB connect au routeur, toutes les units USB doivent tre supprimes du routeur avant dexcuter Cisco SDM Express.Secure Device ProvisioningSlectionnez SDP (Secure Device Provisioning) si votre administrateur rseau vous a donn les instructions pour dployer votre routeur avec SDP.Vrifiez les lments suivants avant de slectionner loption SDP : Le routeur et le serveur SDP sont relis par une connexion IP. Votre navigateur Web prend en charge JavaScript. Si vous slectionnez SDP, une nouvelle fentre de navigateur souvre automatiquement lissue de lexcution de lassistant Cisco SDM Express. Cette nouvelle fentre dispose dun assistant qui vous guide pour dployer votre routeur avec SDP.Pour plus dinformations sur SDP (en anglais), cliquez sur le lien suivant :http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/products_feature_guide09186a008028afbd.html#wp10433321-5Cisco SDM ExpressOL-7141-04Chapitre 1Cisco SDMExpressDploiement partir dune unit USBServeur CNSSi votre fournisseur daccs vous a fourni les informations du serveur Cisco Network Services, choisissez cette option. Pour plus dinformations, reportez-vous Cisco Network Services.Dploiement partir dune unit USBCette fentre vous permet de dployer votre routeur avec un fichier de configuration CCCD charg partir dune unit USB connecte votre routeur. Les CCCD sont des fichiers de configuration de dmarrage chargs sur des units USB laide du logiciel TMS. Remarque Cette fentre est uniquement disponible si une unit USB est connecte votre routeur. Si les deux sont connects au routeur, Cisco SDM Express utilise lunit USB. Si vous souhaitez utiliser le priphrique flash USB connect au routeur, toutes les units USB doivent tre supprimes du routeur avant dexcuter Cisco SDM Express.Si vous dployez votre routeur avec un fichier de configuration CCCD, le fichier est fusionn avec la configuration en cours et fait galement partie de la configuration de dmarrage.Attention Cisco SDM ne vrifie pas la validit des fichiers de configuration utiliss pour dployer votre routeur. Vrifiez quils contiennent les paramtres adquats.Pour dployer votre routeur partir dune unit USB, procdez comme suit :tape 1 Slectionnez le nom de lunit USB dans le menu droulant Nom de lunit.tape 2 Slectionnez Spcifiez le priphrique et le PIN et entrez le PIN dans le champ PIN de lunit si vous ne souhaitez pas utiliser le PIN par dfaut pour vous connecter lunit USB.Si vous slectionnez Spcifiez le priphrique et le PIN par dfaut, le PIN par dfaut 1234567890 est utilis pour se connecter lunit USB.Chapitre 1Cisco SDMExpressAcheminement partir du flash USB1-6Cisco SDM ExpressOL-7141-04tape 3 Cliquez sur Connexion pour vous connecter lunit USB.Si vous ne pouvez pas vous connecter lunit USB, le routeur ne peut pas tre dploy partir de celle-ci. Cliquez sur le bouton Prcdent et slectionnez une autre mthode de dploiement du routeur.tape 4 Cliquez sur Prvisualiser CCCD pour afficher le contenu du fichier dans le panneau infrieur.Acheminement partir du flash USBCette fentre vous permet de dployer votre routeur avec un fichier de configuration charg partir dun priphrique flash USB connect votre routeur. Cette fentre est uniquement disponible si un priphrique flash USB est connect votre routeur.Si vous dployez votre routeur avec un fichier de configuration, le fichier est fusionn avec la configuration en cours et fait galement partie de la configuration de dmarrage.Attention Cisco SDM ne vrifie pas la validit des fichiers de configuration utiliss pour dployer votre routeur. Vrifiez quils contiennent les donnes adquates.Pour dployer votre routeur partir dun priphrique flash USB, procdez comme suit :tape 1 Entrez le nom du fichier de configuration, avec le chemin complet dans le champ Nom du fichier ou cliquez sur Parcourir pour ouvrir la fentre de slection du fichier.Le fichier doit avoir lextension .cfg ou le nom de fichier doit tre un fichier CCCD. Les fichiers CCCD sont des fichiers de configuration de dmarrage.tape 2 Cliquez sur Aperu fichier pour afficher le contenu du fichier dans le panneau infrieur.1-7Cisco SDM ExpressOL-7141-04Chapitre 1Cisco SDMExpressAcheminement partir du flash USBSlection de fichierCette fentre vous permet de charger un fichier partir de votre routeur. Seuls les fichiers systme DOSFS sont affichs dans cette fentre.Le ct gauche de la fentre affiche un arbre droulant reprsentant le systme de rpertoire sur la mmoire flash du routeur Cisco et sur les priphriques USB connects sur le routeur.Le ct droit de la fentre affiche une liste des noms de fichiers et des rpertoires trouvs dans le rpertoire indiqu dans le ct gauche de la fentre. Sont galement affiches, la taille de chaque fichier en octets ainsi que la date et lheure de la dernire modification des fichiers et des rpertoires.Choisissez un fichier charger dans la liste sur le ct droit de la fentre. En dessous de la liste des fichiers se trouve le champ Nom de fichier contenant le chemin entier du fichier indiqu.Remarque Si un fichier de configuration est choisi pour dployer votre routeur, le fichier doit tre un fichier CCCD ou avoir une extension .cfg.NomCliquez sur Nom pour classer les fichiers et les rpertoires par ordre alphabtique. Cliquez nouveau sur Nom pour inverser lordre.TailleCliquez sur Taille pour classer les fichiers et les rpertoires par taille. Les rpertoires ont toujours une taille de zro octet mme sils ne sont pas vides. Cliquez nouveau sur Taille pour inverser lordre.Heure modifieCliquez sur Heure modifie pour classer les fichiers et les rpertoires selon la date et lheure de leur dernire modification. Cliquez nouveau sur Heure modifie pour inverser lordre.Chapitre 1Cisco SDMExpressConfiguration de linterface sans fil1-8Cisco SDM ExpressOL-7141-04Configuration de linterface sans filPour configurer linterface sans fil du routeur, cliquez sur Oui. Cisco SDM Express configure le routeur pour raccorder le trafic sans fil linterface LAN. Cliquez sur Non si vous ne souhaitez pas configurer linterface sans fil. Vous pouvez toujours configurer les paramtres dinterface LAN si vous cliquez sur Non.Cisco SDM Express vous permet de configurer une seule interface sans fil. Sil y a des interfaces sans fil supplmentaires sur votre routeur, utilisez lapplication sans fil pour les configurer.Configuration de linterface LANCette fentre vous permet de configurer ladresse IP et le masque de sous-rseau de linterface Ethernet du LAN.Si vous devez modifier ladresse IP et les informations de sous-rseau de linterface Ethernet du rseau LAN lissue de lexcution de lAssistant Cisco SDM Express, vous pouvez redmarrer Cisco SDM Express, cliquer sur LAN et modifier ladresse en consquence.Liste Interface/Raccordement linterfaceSi le routeur possde plusieurs interfaces LAN, celles-ci saffichent dans cette liste. Slectionnez linterface LAN configurer.Si le routeur possde une interface sans fil et si vous avez cliqu sur Oui dans la fentre Configuration de linterface sans fil, cette liste est libelle Raccordement linterface. Slectionnez linterface laquelle vous souhaitez raccorder le trafic sans fil.Champ Adresse IPSaisissez ladresse IP de linterface LAN en sparant chaque nombre par un point. Il peut sagir dune adresse IP prive si vous prvoyez dutiliser la conversion dadresse rseau (NAT) ou la conversion dadresse de port (PAT). Remarque Notez cette adresse par crit. lissue de lexcution de lassistant Cisco SDM Express et aprs avoir redmarr le routeur, utilisez cette adresse pour excuter Cisco SDM Express. Nutilisez pas ladresse fournie dans le guide de dmarrage rapide du routeur.1-9Cisco SDM ExpressOL-7141-04Chapitre 1Cisco SDMExpressConfiguration de linterface LANChamp Masque de sous-rseauIndiquez le masque de sous-rseau du rseau. Demandez cette valeur votre administrateur rseau ou votre fournisseur daccs. Le masque de sous-rseau permet au routeur de dterminer quelle partie de ladresse IP correspond au rseau et quelle partie correspond au sous-rseau. La valeur du masque de sous-rseau dtermine galement le nombre dhtes pouvant tre prsents dans le LAN auquel ce routeur est connect.Champ Bits de sous-rseauVous pouvez galement indiquer le nombre de bits utiliss pour dfinir la partie rseau et la partie sous-rseau de ladresse IP. Il est possible que votre administrateur rseau ou votre fournisseur daccs vous fournisse le masque de sous-rseau sous cette forme.Champs Paramtres sans filAu cours de la configuration initiale, ces champs saffichent si le routeur possde une interface sans fil et si vous avez cliqu sur Oui dans la fentre Configuration de linterface sans fil. Si vous modifiez une configuration, ces champs apparaissent si vous avez effectu des rglages sans fil au cours de la configuration initiale. Le trafic sans fil sera raccord cette interface LAN.Saisissez un identificateur de jeu de services (SSID) pour ce trafic sans fil. La valeur de SSID est un identifiant unique utilis par les priphriques de rseau sans fil pour tablir et maintenir la connectivit sans fil.Remarque La modification dune valeur SSID configure met fin la connexion sans fil.Si vous modifiez une configuration LAN lissue de lexcution de lAssistant Cisco SDM Express et si vous souhaitez configurer des paramtres sans fil avancs, cliquez sur Sans fil dans la barre Catgorie.Boutons Actualiser, Appliquer les modifications, Annuler les modificationsCes boutons sont visibles si vous modifiez une configuration initiale. Pour plus dinformations, cliquez sur Boutons Cisco SDM Express.Chapitre 1Cisco SDMExpressConfiguration du serveur DHCP1-10Cisco SDM ExpressOL-7141-04Configuration du serveur DHCPLe protocole DHCP (Dynamic Host Configuration Protocol) est un type simple dadressage utilis lorsque ladressage statique nest pas ncessaire ou lorsque vous navez pas besoin dutiliser des numros de port pour des services particuliers. DHCP alloue dynamiquement une adresse IP un hte ds sa connexion au rseau et la lui retire ds quil se dconnecte. Ainsi, les adresses sont rutilisables partir du moment o les htes nen ont plus besoin. Utilisez DHCP pour attribuer des adresses des ressources (des PC, par exemple) dans votre rseau interne. Case cocher Activer le serveur DHCP sur linterface de rseau localCochez cette case pour autoriser le routeur attribuer des adresses IP prives des priphriques sur le rseau LAN. Lorsque cette case est coche, le serveur DHCP assigne des adresses IP des htes pour une priode dune journe. Si vous cochez cette case, vous devez entrer des valeurs dans les champs Adresse IP de dbut et Adresse IP de fin.Champ Adresse IP de dbutCisco SDM Express entre dans ce champ ladresse la plus basse de la plage dadresses IP, en fonction de ladresse et du masque de sous-rseau que vous avez attribus linterface LAN. Vous pouvez remplacer cette valeur par une valeur suprieure si vous souhaitez rduire le pool dadresses DHCP, mais cette adresse doit appartenir au mme sous-rseau que ladresse de linterface LAN. Sinon, Cisco SDM Express affiche un message prcisant que ladresse nest pas correcte.Champ Adresse IP de finCisco SDM Express entre dans ce champ ladresse la plus leve de la plage dadresses IP, en fonction de ladresse IP et du masque de sous-rseau que vous avez attribus linterface LAN. Vous pouvez remplacer cette valeur par une valeur infrieure si vous souhaitez rduire le pool dadresses DHCP, mais cette adresse doit appartenir au mme sous-rseau que ladresse de linterface LAN. Sinon, Cisco SDM Express affiche un message prcisant que ladresse nest pas correcte.1-11Cisco SDM ExpressOL-7141-04Chapitre 1Cisco SDMExpressConfiguration du serveur DHCPChamp Nom de domaineCe champ est visible une fois que vous avez termin la configuration initiale. Vous pouvez spcifier le nom de domaine de votre entreprise. Un exemple de nom de domaine pourrait tre cisco.com, mais il est possible que votre nom de domaine se termine par un suffixe diffrent, comme .org ou .net.Case cocher Importer toutes les options DHCP dans la base de donnes du serveur DHCPCe champ est visible une fois que vous avez termin la configuration initiale. Cochez cette option si vous souhaitez importer les paramtres doption DHCP dans la base de donnes du serveur DHCP et envoyer galement ces informations aux clients DHCP sur le rseau LAN lorsquils demandent une adresse IP.Champ DNS principalSaisissez ladresse IP du serveur DNS principal utilis par le routeur. Cette adresse IP vous est fournie par votre administrateur rseau ou votre fournisseur daccs.Le serveur DNS principal est le serveur contact en premier par le routeur lorsquil tente de rsoudre une adresse IP.Champ DNS secondaireSaisissez ladresse IP du serveur DNS secondaire utilis par le routeur (si un tel serveur est disponible). Cette adresse IP vous est fournie par votre administrateur rseau ou votre fournisseur daccs.Saisissez ladresse IP du serveur DNS secondaire utilis par le routeur si le serveur principal nest pas disponible.Case cocher Utiliser ces valeurs DNS pour les clients DHCPCette case est disponible si un serveur DHCP est activ sur linterface LAN. Cochez-la si vous souhaitez que les clients DHCP du routeur puissent utiliser les serveurs DNS dont vous saisissez les adresses IP dans cette fentre.Boutons Actualiser, Appliquer les modifications, Annuler les modificationsCes boutons sont visibles si vous modifiez une configuration initiale. Pour plus dinformations, reportez-vous Boutons Cisco SDM Express.Chapitre 1Cisco SDMExpressInternet (WAN) : Interface Ethernet1-12Cisco SDM ExpressOL-7141-04Internet (WAN) : Interface Ethernet Utilisez cette fentre pour configurer une interface WAN Ethernet.Case cocher Activer PPPoESi votre fournisseur daccs requiert que le routeur utilise PPPoE, cochez cette case pour activer lencapsulation PPPoE. Dans le cas contraire, dcochez-la. Cette case nest pas disponible si votre routeur excute une version de Cisco IOS ne prenant pas en charge lencapsulation PPPoE.Liste des types dadresseSlectionnez lune des options suivantes :Option Adresse IP statiqueSi vous choisissez une adresse IP statique, entrez ladresse IP et le masque de sous-rseau ou les bits de sous-rseau dans les champs proposs. Option Dynamique (Client DHCP)Si vous choisissez Dynamique, le routeur loue une adresse IP partir dun serveur DHCP distant. Entrez le nom du serveur DHCP qui va attribuer les adresses.Option IP non numroteSlectionnez IP non numrote si vous souhaitez que linterface partage une adresse IP dj attribue une autre interface. Choisissez ensuite linterface ayant ladresse IP que linterface en cours de configuration doit utiliser. Si loption Activer PPPoE nest pas slectionne, cette option nest pas disponible.Easy IP (IP Ngocie)Slectionnez Easy IP (IP Ngocie) si le routeur obtient une adresse IP suite une ngociation dadresse PPP/IPCP. Si loption Activer PPPoE nest pas slectionne, cette option nest pas disponible.Case cocher Type dauthentificationCochez la case correspondant au type dauthentification utilis par votre fournisseur daccs. Si vous ne le connaissez pas, cochez les deux cases : le routeur essaie les deux types dauthentification. Lune de ces tentatives doit aboutir. Lauthentification CHAP est plus sre que lauthentification PAP.1-13Cisco SDM ExpressOL-7141-04Chapitre 1Cisco SDMExpressInternet (WAN) : Dtection auto dencapsulationChamp Nom dutilisateurLe nom dutilisateur vous est fourni par votre fournisseur daccs Internet ou par votre administrateur rseau. Il est utilis pour lauthentification CHAP et/ou PAP.Champ Mot de passeEntrez le mot de passe tel quil vous a t fourni par votre fournisseur daccs. Les mots de passe sont sensibles la casse. Par exemple, le mot de passe test est diffrent du mot de passe Test .Champ Confirmer le mot de passeTapez nouveau le mot de passe indiqu dans le champ prcdent.Boutons Actualiser, Appliquer les modifications, Annuler les modificationsCes boutons sont visibles si vous modifiez une configuration initiale. Pour plus dinformations, cliquez sur Boutons Cisco SDM Express.Internet (WAN) : Dtection auto dencapsulationCisco SDM Express prend en charge la dtection automatique sur les routeurs SB 106, SB 107, Cisco 836 et Cisco 837. Cependant, si vous configurez un routeur Cisco 837 fonctionnant avec la version 12.3(8)T ou 12.3(8.3)T de Cisco IOS la fonction de dtection automatique nest pas prise en charge.Cliquez sur le bouton Dtection auto pour que Cisco SDM Express dcouvre le type dencapsulation. Si Cisco SDM Express aboutit, il indique automatiquement le type dencapsulation ainsi que dautres paramtres de configuration.Si Cisco SDM Express nest pas capable de dtecter le type dencapsulation, vous devez spcifier les types dencapsulation et dauthentification en cliquant sur Indiqu par lutilisateur.Chapitre 1Cisco SDMExpressInternet (WAN) : Encapsulation indique par lutilisateur1-14Cisco SDM ExpressOL-7141-04Icne tat et bouton Activer ou DsactiverLicne tat saffiche lorsque vous utilisez Cisco SDM Express pour modifier une configuration initiale. Licne reprsentant une flche vers le haut indique que linterface est en service. Licne reprsentant une flche vers le bas indique que linterface est arrte.Le bouton Activer ou Dsactiver est disponible lorsque vous utilisez Cisco SDM Express pour modifier une configuration initiale. Si une interface slectionne est active, vous pouvez utiliser le bouton Dsactiver pour larrter. Si une interface slectionne est arrte, vous pouvez utiliser le bouton Activerpour lactiver.Internet (WAN) : Encapsulation indique par lutilisateurCette fentre vous permet de configurer une interface WAN lors de la dfinition de lencapsulation.Icne tat et bouton Activer ou DsactiverLicne tat saffiche lorsque vous utilisez Cisco SDM Express pour modifier une configuration initiale. Licne reprsentant une flche vers le haut indique que linterface est en service. Licne reprsentant une flche vers le bas indique que linterface est arrte.Le bouton Activer ou Dsactiver est disponible lorsque vous utilisez Cisco SDM Express pour modifier une configuration initiale. Si une interface slectionne est active, vous pouvez utiliser le bouton Dsactiver pour larrter. Si une interface slectionne est arrte, vous pouvez utiliser le bouton Activerpour lactiver.1-15Cisco SDM ExpressOL-7141-04Chapitre 1Cisco SDMExpressInternet (WAN) : Encapsulation indique par lutilisateurListe EncapsulationLes encapsulations disponibles pour une interface ADSL, G.SHDSL ou ADSL sur RNIS sont rpertories dans le tableau ci-dessous.Champ Identificateur de chemin virtuelSaisissez la valeur du VPI (Identificateur de chemin virtuel) qui vous a t fournie par votre administrateur rseau ou votre fournisseur daccs. Le VPI est utilis dans le routage et la commutation ATM pour identifier le chemin utilis par un certain nombre de connexions. Champ Identificateur de circuit virtuelSaisissez la valeur du VCI (Identificateur de circuit virtuel) qui vous a t fournie par votre administrateur rseau ou votre fournisseur daccs. Le VCI est utilis dans le routage et la commutation ATM pour identifier une connexion dans un chemin quelle peut partager avec dautres connexions.Encapsulation DescriptionPPPoE Offre une encapsulation Point-to-Point Protocol over Ethernet. Une sous-interface ATM et une interface de numroteur sont cres lorsque vous configurez PPPoE sur une interface ATM. Ces interfaces logiques seront visibles dans la fentre Synthse.Loption radio PPPoE est dsactive si votre routeur excute une version de Cisco IOS ne prenant pas en charge lencapsulation PPPoE.PPPoA Offre une encapsulation Point-to-Point Protocol over ATM (AAL5 SNAP et AAL5 MUX). Loption radio PPPoA est dsactive si votre routeur excute une version de Cisco IOS ne prenant pas en charge lencapsulation PPPoA.Routage RFC 1483avec AAL5 SNAPCette option est disponible si vous avez slectionn une interface ATM. Une sous-interface ATM est cre lorsque vous configurez une connexion RFC 1483. Cette sous-interface apparat dans la fentre Synthse.Routage RFC 1483 avec AAL5 MUXCette option est disponible si vous avez slectionn une interface ATM. Une sous-interface ATM est cre lorsque vous configurez une connexion RFC 1483. Cette sous-interface apparat dans la fentre Synthse.Chapitre 1Cisco SDMExpressInternet (WAN) : Encapsulation indique par lutilisateur1-16Cisco SDM ExpressOL-7141-04Liste des types dadresseSlectionnez lune des options suivantes : Adresse IP statique : si vous choisissez une adresse IP statique, saisissez ladresse IP et le masque de sous-rseau ou les bits de sous-rseau dans les champs proposs. Dynamique (Client DHCP) : si vous choisissez Dynamique, le routeur loue une adresse IP partir dun serveur DHCP distant. Entrez le nom du serveur DHCP qui va attribuer les adresses. IP non numrote : slectionnez cette option si vous souhaitez que linterface partage une adresse IP qui a dj t affecte une autre interface. Choisissez ensuite linterface ayant ladresse IP que linterface en cours de configuration doit utiliser. Easy IP (IP Ngocie) : slectionnez Easy IP (IP Ngocie) pour que le routeur obtienne une adresse IP via la ngociation dadresse PPP/IPCP. Adresse IP de la connexion distante au bureau centralSi vous configurez une connexion G.SHDSL, saisissez ladresse IP de la passerelle laquelle la liaison est connecte. Cette adresse IP vous est communique par votre fournisseur daccs ou votre administrateur rseau. La passerelle correspond au systme auquel le routeur doit se connecter pour accder Internet ou au WAN de votre entreprise.Case cocher Type dauthentification Cochez la case correspondant au type dauthentification utilis par votre fournisseur daccs. Si vous ne le connaissez pas, cochez les deux cases : le routeur essaie les deux types dauthentification. Lune de ces tentatives doit aboutir. Lauthentification CHAP est plus sre que lauthentification PAP.Champ Nom dutilisateurEntrez le nom dutilisateur qui vous est fourni par votre fournisseur daccs Internet ou par votre administrateur rseau. Il est utilis pour lauthentification CHAP et/ou PAP.Champ Mot de passeEntrez le mot de passe tel quil vous a t fourni par votre fournisseur daccs. Les mots de passe sont sensibles la casse. Par exemple, le mot de passe test est diffrent du mot de passe Test .1-17Cisco SDM ExpressOL-7141-04Chapitre 1Cisco SDMExpressSlection dune interface WANChamp Confirmer le mot de passeTapez nouveau le mot de passe indiqu dans le champ prcdent.Boutons Actualiser, Appliquer les modifications, Annuler les modificationsCes boutons sont visibles si vous modifiez une configuration initiale. Pour plus dinformations, cliquez sur Boutons Cisco SDM Express.Slection dune interface WANCisco SDM Express vous permet de configurer une connexion WAN. Si votre routeur possde plusieurs interfaces WAN, slectionnez celle que vous souhaitez configurer dans cette fentre. Slectionnez linterface configurer dans la liste, cliquez sur Ajouter une connexion et configurez la connexion dans la bote de dialogue qui saffiche.Remarque Si vous ne configurez pas de connexion WAN, vous ne pouvez pas configurer de pare-feu, de routage, de Cisco Network Services ou de SDP.Boutons Ajouter une connexion, Modifier, SupprimerLe bouton Ajouter une connexion est activ si aucune configuration WAN nest encore configure. Les boutons Modifier et Supprimer sont activs si au moins une connexion WAN a t configure.Pour configurer une interface, slectionnez-la et cliquez sur Ajouter uneconnexion. Si ce bouton est dsactiv, vous pouvez configurer des connexions WAN supplmentaires laide de Cisco SDM ou supprimer une connexion configure et en configurer une nouvelle.Pour modifier une configuration existante, slectionnez linterface et cliquez sur Modifier.Pour supprimer une configuration, slectionnez linterface et cliquez sur Supprimer.Chapitre 1Cisco SDMExpressSlection dune interface WAN1-18Cisco SDM ExpressOL-7141-04Bouton Activer ou DsactiverCe bouton est disponible lorsque vous utilisez Cisco SDM Express pour modifier une configuration initiale. Si une interface slectionne est active, vous pouvez utiliser le bouton Dsactiver pour larrter. Si une interface slectionne est arrte, vous pouvez utiliser le bouton Activer pour lactiver.Liste dinterfacesLa liste dinterfaces contient le nom, ladresse IP et le type dinterface pour toutes les interfaces WAN. Si aucune adresse IP na t configure pour une interface, le texte Aucune adresse IP saffiche.Remarque Si vous navez pas configur linterface LAN par dfaut avec la nouvelle adresse dans la fentre Configuration de linterface LAN, elle est rpertorie dans cette fentre et peut tre configure en tant quinterface WAN.Bouton ActualiserCes boutons sont visibles si vous modifiez une configuration initiale. Pour plus dinformations, cliquez sur Boutons Cisco SDM Express.Connexion srieUtilisez cette fentre pour crer ou modifier une connexion srie.Liste EncapsulationSlectionnez lencapsulation pour cette connexion. Si vous procdez la modification dune connexion, vous ne pouvez pas modifier le type dencapsulation dans cette fentre. Vous devez supprimer la connexion, puis en crer une nouvelle avec le type dencapsulation souhait. Relais de trame : protocole de lindustrie des tlcommunications, applicable la couche de liaison commute, capable de grer plusieurs circuits virtuels en utilisant lencapsulation HDLC entre les priphriques connects.1-19Cisco SDM ExpressOL-7141-04Chapitre 1Cisco SDMExpressSlection dune interface WAN HDLC : abrviation de High-Level Data Link Control. Protocole de niveau binaire de la couche de liaison synchrone dvelopp par lISO (International Standards Organization), qui prconise une mthode dencapsulation des donnes sur les liaisons srie synchrones utilisant les caractres de trame et les sommes de contrle. PPP : protocole point point.Dtails sur lauthentificationSi vous slectionnez lencapsulation PPP, vous pouvez fournir les informations dauthentification que votre fournisseur daccs Internet est susceptible dexiger. Nom dutilisateur : entrez exactement le nom dutilisateur tel quil vous a t fourni par votre fournisseur daccs Internet ou par votre administrateur rseau. Il est utilis pour lauthentification CHAP et/ou PAP. Mot de passe : entrez le mot de passe tel quil vous a t fourni par votre fournisseur daccs. Les mots de passe sont sensibles la casse. Par exemple, le mot de passe test est diffrent du mot de passe Test . Confirmer le mot de passe : tapez nouveau le mot de passe indiqu dans le champ prcdent.Liste des types dadresse Adresse IP statique : disponible avec les types dencapsulation Relais de trame, PPP et HDLC. Si vous choisissez une adresse IP statique, entrez ladresse IP et le masque de sous-rseau ou les bits de sous-rseau dans les champs proposs. IP non numrote : disponible avec les types dencapsulation Relais de trame, PPP et HDLC. Slectionnez IP non numrote si vous souhaitez que linterface partage une adresse IP dj attribue une autre interface. Choisissez ensuite linterface ayant ladresse IP que linterface en cours de configuration doit utiliser. IP Ngocie : disponible uniquement avec le type dencapsulation PPP. Slectionnez Easy IP (IP Ngocie) si le routeur obtient une adresse IP suite une ngociation dadresse PPP/IPCP.Chapitre 1Cisco SDMExpressSlection dune interface WAN1-20Cisco SDM ExpressOL-7141-04Champs Adresse IP et Masque de sous-rseauSi vous slectionnez Adresse IP statique, indiquez dans ces champs ladresse IP et les masques de sous-rseau.Lien Paramtres de la configuration Relais de tramePour obtenir une description des champs DLCI, LMI et Utiliser lencapsulation de relais de trame IETF, reportez-vous Paramtres de la configuration Relais de trame.Paramtres de la configuration Relais de trameChamp DLCIEntrez dans ce champ lidentification DLCI (Data Link Connection Identifier). Ce numro doit tre unique pour tous les DLCI utiliss sur cette interface. Le DLCI fournit une identification de relais de trame unique pour cette connexion.En cas de modification dune connexion existante, ce champ nest pas disponible. Si vous devez modifier le DLCI, supprimez la connexion et recrez-la nouveau.Champ Type LMIRenseignez-vous auprs de votre fournisseur daccs pour connatre les types de LMI (Local Management Interface) utiliser. Le type de LMI correspond au protocole utilis pour surveiller la connexion :Option ANSIAnnexe D dfinie par la norme ANSI (American National Standards Institute) T1.617.Option CiscoType LMI dfini conjointement par Cisco Systems et trois autres socits.Option UIT-T Q.933UIT-T Q.933 Annexe A.Option AutodtectionValeur par dfaut. Ce paramtre permet au routeur de dtecter le type LMI utilis pour communiquer avec le commutateur, et dutiliser ce type. Si lautodtection choue, le routeur utilise le type LMI Cisco.1-21Cisco SDM ExpressOL-7141-04Chapitre 1Cisco SDMExpressInternet (WAN) : Options avancesCase cocher Utiliser lencapsulation de relais de trame IETFCochez cette case pour utiliser lencapsulation IETF (Internet Engineering Task Force). Cette option est utilise pour se connecter des routeurs non fabriqus par Cisco. Cochez cette case si vous utilisez cette interface pour vous connecter des routeurs non fabriqus par Cisco.Internet (WAN) : Options avancesCette fentre vous permet de spcifier un routage statique par dfaut et dactiver la conversion NAT sur le rseau.Case cocher Crer le routage par dfautUn routage statique par dfaut spcifie une adresse IP ou une interface vers laquelle le routeur envoie le trafic lorsque celui-ci est li un rseau que le routeur ne connat pas. Si vous slectionnez Utiliser cette interface comme interface deTransmission, le routeur envoie ce type de trafic vers une interface WAN que vous configurez. Si vous slectionnez Adresse IP de relais suivant, indiquez ladresse vers laquelle vous souhaitez que le routeur transfre ce type de trafic.Ces champs ne saffichent pas si vous avez slectionn une interface WAN avec une adresse IP dynamique.Informations du serveur CNSCette fentre apparat si vous avez configur une connexion WAN et choisi de dployer le routeur laide de loption Cisco Network Services. Elle vous permet de saisir les informations du serveur Cisco Network Services fournies par votre fournisseur daccs. Entrez ladresse IP et les informations de connexion des serveurs Cisco Network Services pour que Cisco SDM Express puisse tlcharger les informations de configuration de votre routeur.Champ Entrez le nom dhte/ladresse IP du serveur CNSVous devez entrer soit une adresse IP ou un nom dhte du serveur Cisco Network Services sur votre rseau. Si vous indiquez un nom dhte, vous devez prciser ladresse IP dun serveur DNS capable de rsoudre le nom dhte en une adresse IP. Chapitre 1Cisco SDMExpressInformations du serveur CNS1-22Cisco SDM ExpressOL-7141-04Champ Entrez la chane didentification du CNSSaisissez lID de priphrique requis pour tlcharger le fichier de configuration depuis le serveur Cisco Network Services.Champ Entrez le mot de passe du CNSSaisissez le mot de passe utilis pour se connecter au serveur Cisco Network Services avec lID utilisateur saisie prcdemment.Champ DNS principalSaisissez ladresse IP du serveur DNS principal utilis par le routeur. Cette adresse IP vous est fournie par votre administrateur rseau ou votre fournisseur daccs.Le serveur DNS principal est le serveur contact en premier par le routeur lorsquil tente de rsoudre une adresse IP.Remarque Si vous indiquez un nom dhte pour identifier un serveur Cisco Network Services dans le champ Entrez ladresse IP/nom dhte du serveur CNS, vous devez saisir ladresse IP dun serveur DNS dans le champ DNS principal.Champ DNS secondaireSaisissez ladresse IP du serveur DNS secondaire utilis par le routeur (si un tel serveur est disponible). Cette adresse IP vous est fournie par votre administrateur rseau ou votre fournisseur daccs.Saisissez ladresse IP du serveur DNS secondaire utilis par le routeur si le serveur principal nest pas disponible.1-23Cisco SDM ExpressOL-7141-04Chapitre 1Cisco SDMExpressConfiguration du pare-feuConfiguration du pare-feuLa fentre Configuration du pare-feu vous permet de laisser Cisco SDM Express configurer un pare-feu sur vos interfaces WAN et LAN. Vous pouvez appliquer un pare-feu pendant la configuration initiale ou utiliser Cisco SDM Express pour lappliquer aprs avoir attribu au routeur sa configuration initiale.Si vous laissez Cisco SDM Express configurer le pare-feu, vous pouvez modifier la configuration du pare-feu ultrieurement laide de la fonction de configuration de stratgie de pare-feu de Cisco SDM. Remarque Cette fonction est disponible si la version de Cisco IOS excute sur le routeur prend en charge le jeu de fonctions du pare-feu. La fentre Configuration du pare-feu ne saffiche pas si vous navez pas configur dinterface WAN.Le pare-feu assure votre rseau les protections suivantes : Appliquez les rgles daccs par dfaut linterface interne et linterface externe : Cisco SDM Express cre et applique une liste de rgles daccs par dfaut qui, entre autres, autorisent les trafics DNS et HTTP, et bloquent lespace dadresses IP prives. Appliquez une rgle dinspection par dfaut linterface externe Cisco SDM Express : SDM cre et applique une liste de rgles dinspection par dfaut. Activez la rmission en sens inverse de la source (Unicast RPF) sur linterface externe : La fonction IP Unicast RPF permet au routeur de comparer ladresse source de chaque paquet celle de linterface via laquelle le paquet est entr dans le routeur. Si le chemin daccs linterface dentre ne correspond pas ladresse source indique dans la table de routage, le paquet est supprim. Cette vrification de ladresse source permet dempcher lusurpation dadresse IP.Si vous choisissez de laisser Cisco SDMExpress configurer le pare-feu, vous pouvez modifier la configuration de pare-feu ultrieurement laide de Cisco SDM. Si vous prfrez ne pas avoir de pare-feu configur, vous pourrez en configurer un plus tard laide de Cisco SDMExpress ou de Cisco SDM. Pour plus dinformations, reportez-vous la section Cisco Router and Security Device Manager.Chapitre 1Cisco SDMExpressParamtres de scurit1-24Cisco SDM ExpressOL-7141-04Paramtres de scuritCette fentre vous permet de dsactiver les fonctions actives par dfaut dans le logiciel Cisco IOS et qui peuvent gnrer des risques pour la scurit ou qui forcent le routeur envoyer des messages trop volumineux pour la mmoire disponible. Laissez ces cases coches sauf si vos besoins sont diffrents. Cette rubrique daide vous dirige vers les descriptions de chacun des paramtres de scurit que Cisco SDM Express ralise.Vous pouvez utiliser Cisco SDM Express pour modifier les paramtres de scurit dfinis dans cette fentre une fois la configuration initiale termine. Si vous souhaitez modifier lun des paramtres de ces groupes de paramtres dcrits dans cette rubrique daide, vous pouvez le faire laide de Cisco SDM. Pour plus dinformations, reportez-vous la section Cisco Router and Security Device Manager.Case cocher Dsactiver les services SNMP sur le routeurCochez cette case pour dsactiver le service SNMP sur le routeur. Pour savoir pourquoi SNMP doit tre dsactiv, reportez-vous Dsactiver SNMP.Case cocher Dsactiver les services entranant des risques pour la scuritCochez cette case pour dsactiver les services suivants sur le routeur. Pour savoir pourquoi ces services doivent tre dsactivs, cliquez sur les liens ci-dessous : Dsactiver le service Finger Dsactiver le service PAD Dsactiver le service TCP Small Servers Dsactiver le service UDP Small Servers Dsactiver le service IP Bootp Server Dsactiver le service IP Ident Dsactiver CDP Dsactiver le routage dIP source Dsactiver les messages ARP Dsactiver la redirection dIP Dsactiver le Proxy IP ARP1-25Cisco SDM ExpressOL-7141-04Chapitre 1Cisco SDMExpressParamtres de scurit Dsactiver la diffusion dIP dirige Dsactiver le service MOP Dsactiver les IP injoignables Dsactiver la rponse au masque IPCase cocher Activer les services renforant la scurit sur le routeur/le rseauCochez cette case pour activer sur le routeur les fonctions et services amliorant la scurit. Pour plus dinformations sur ces services et fonctions, cliquez sur les liens ci-dessous : Activer la commutation Netflow Activer le maintien des connexions TCP pour les sessions Telnet entrantes Activer le maintien des connexions TCP pour les sessions Telnet sortantes Activer les numros de squence et les horodatages sur les dbogages Activer IP CEF Dfinir lintervalle de planification Dfinir lallocation de planification Dfinir la dure de TCP Synwait Activer la connexion Activer Unicast RPF sur toutes les interfaces externesCase cocher Renforcer la scurit sur laccs au routeurCochez cette case pour mettre en uvre sur le routeur des configurations renforant la scurit. Pour plus dinformations sur ces services et fonctions, cliquez sur les liens ci-dessous : Dfinir la longueur minimum du mot de passe pour quil ne dpasse pas 6 caractres Dfinir le nombre dchecs didentification pour quil ne dpasse pas 3 tentatives de ridentification Dfinir la bannire Activer les paramtres Telnet Activer SSH pour laccs au routeurChapitre 1Cisco SDMExpressSynthse1-26Cisco SDM ExpressOL-7141-04Case cocher Crypter les mots de passeCochez cette case pour activer le cryptage des mots de passe. Pour plus dinformations, reportez-vous Activer le service de cryptage des mots de passe.Case cocher Synchroniser les paramtres dhorodatage du routeur avec ceux du PCActive par dfaut. Si vous ne souhaitez pas attribuer au routeur les paramtres de date et dheure du PC sur lequel vous excutez Cisco SDM Express, dcochez cette case.SynthseLa fentre Synthse vous montre les modifications que vous avez apportes la configuration du routeur. Si vous souhaitez apporter des modifications supplmentaires, cliquez sur Prcdent pour revenir la fentre approprie.Cliquez sur Terminer pour enregistrer les donnes que vous avez saisies dans le fichier de configuration du routeur. Remarque Lorsque vous cliquez sur Terminer, vous perdez la connexion au routeur si vous avez donn linterface LAN une nouvelle adresse IP comme il vous a t recommand de le faire. Pour rtablir la connexion au routeur, vous devez vrifier que le PC appartient toujours au mme sous-rseau que le routeur, puis saisir la nouvelle adresse IP donne linterface LAN. Pour plus dinformations, reportez-vous Reconnexion au routeur lissue de la configuration initiale.1-27Cisco SDM ExpressOL-7141-04Chapitre 1Cisco SDMExpressAide complmentaireAide complmentaireLes rubriques daide suivantes fournissent des informations complmentaires.Cisco Router and Security Device ManagerUne fois que vous avez utilis Cisco SDM Express pour attribuer votre routeur une configuration de base, vous pouvez utiliser Cisco Router and Security Device Manager (Cisco SDM) pour configurer des connexions supplmentaires, affiner les configurations ralises laide de Cisco SDM Express et paramtrer des fonctions avances telles que les rseaux privs virtuels (RPV) et les certificats numriques.Cisco SDM est peut-tre install sur votre routeur ou vous avez peut-tre reu un CD que vous pouvez utiliser pour installer Cisco SDM sur votre PC ou sur votre routeur. Si vous avez tlcharg Cisco SDM partir de Cisco.com, vous pouvez utiliser le programme dinstallation pour installer Cisco SDM sur votre PC ou routeur.Pour dmarrer Cisco SDM, cliquez sur Cisco SDM dans le menu Outils.Cisco Network ServicesSi votre fournisseur daccs vous a fourni les informations du serveur Cisco Network Services, choisissez cette option. Lorsque vous slectionnez cette option, lassistant Cisco SDM Express collecte des informations sur votre serveur Cisco Network Services, puis affiche les fentres vous permettant de configurer la connexion WAN au serveur Cisco Network Services et de tlcharger cette configuration. Si votre fournisseur daccs ne vous a pas fourni les informations du serveur Cisco Network Services ou si vous souhaitez configurer le routeur laide de Cisco SDM Express, ne slectionnez pas cette option.Chapitre 1Cisco SDMExpressAide complmentaire1-28Cisco SDM ExpressOL-7141-04Vous ne pouvez pas utiliser Cisco Network Services dans les cas suivants : Aucune interface WAN nest installe sur votre routeur ou Cisco SDM Express ne prend pas en charge linterface WAN installe sur votre routeur. Cisco SDM Express doit pouvoir configurer une interface WAN pour que le routeur puisse tlcharger le fichier de configuration Cisco Network Services. Si Cisco SDM Express ne parvient pas configurer une interface WAN, il affiche un message derreur indiquant que vous ne pouvez pas utiliser Cisco Network Services. Si aucune interface WAN nest installe sur le routeur et que vous souhaitez tout de mme utiliser Cisco Network Services, cliquez sur Annuler pour quitter lassistant Dmarrage et fermez Cisco SDM Express. Ensuite, installez une carte dinterface WAN prise en charge par Cisco SDM Express, redmarrez Cisco SDM Express et slectionnez Serveur CNS (Cisco Network Services server) dans lassistant Dmarrage.Pour consulter la liste des cartes dinterface prises en charge par Cisco SDM, reportez-vous aux Notes sur la version de SDM (en anglais) ladresse :http://www.cisco.com/go/sdm Vous navez pas slectionn cette option, vous avez configur une interface LAN et une interface WAN laide de Cisco SDM Express, puis vous tes revenu la fentre Dimensionnement du routeur et avez slectionn Serveur CNS. Si vous souhaitez utiliser Cisco Network Services, cliquez sur Annulerpour quitter lassistant Dmarrage et fermez Cisco SDM Express. Redmarrez ensuite Cisco SDM Express et slectionnez Serveur CNS dans la fentre Dimensionnement du routeur.Paramtres de scuritLes rubriques suivantes dcrivent les paramtres de scurit que Cisco SDM Express peut dfinir.1-29Cisco SDM ExpressOL-7141-04Chapitre 1Cisco SDMExpressAide complmentaireDsactiver SNMPCisco SDM Express dsactive le protocole SNMP (Simple Network Management Protocol) lorsque cest possible. SNMP est un protocole rseau qui permet de rcuprer et denvoyer des donnes sur les performances et processus du rseau. Il est largement utilis pour surveiller les routeurs et en modifier la configuration. Cependant, la version 1 de ce protocole, la plus rpandue, prsente un risque de scurit pour les raisons suivantes : Il utilise des chanes dauthentification (mots de passe) appeles chanes communautaires qui sont stockes et envoyes sur le rseau au format texte. En majorit, les versions SNMP mises en uvre envoient ces chanes maintes reprises dans le cadre dune interrogation priodique. Il sagit dun protocole de transaction bas sur des datagrammes, pouvant facilement faire lobjet dusurpation.Dans la mesure o SNMP permet de rcuprer une copie de la table de routage du rseau, ainsi que dautres informations sensibles concernant le rseau, nous vous recommandons de dsactiver SNMP si votre rseau ne le requiert pas. Cisco SDM Express envoie une demande de dsactivation de SNMP.La configuration transmise au routeur pour dsactiver SNMP est la suivante :no snmp-serverDsactiver le service FingerCisco SDM Express dsactive le service Finger lorsque cest possible. Ce service permet didentifier les utilisateurs connects un priphrique rseau. Bien que ces informations ne soient pas trs sensibles, elles peuvent parfois tre utiles un pirate.De plus, le service Finger peut tre utilis dans un type particulier dattaque par dni de service, appel Finger of death, qui implique lenvoi dune demande Finger un ordinateur chaque minute, et ce indfiniment.La configuration transmise au routeur pour dsactiver le service Finger est la suivante :no service fingerVous pouvez annuler ce correctif laide de la fonction Audit de scurit de SDM. Pour plus dinformations, cliquez sur Cisco Router and Security Device Manager.Chapitre 1Cisco SDMExpressAide complmentaire1-30Cisco SDM ExpressOL-7141-04Dsactiver le service PADCisco SDM Express dsactive toutes les commandes dassembleur/dsassembleur de paquets (PAD) et les connexions entre des priphriques PAD et des serveurs daccs, lorsque cest possible.La configuration transmise au routeur pour dsactiver le service PAD est la suivante :no service padVous pouvez annuler ce correctif laide de la fonction Audit de scurit de Cisco SDM. Pour connatre la procdure, reportez-vous laide en ligne de laudit de scurit dans Cisco SDM. Pour plus dinformations, cliquez sur Cisco Router and Security Device Manager.Dsactiver le service TCP Small ServersCisco SDM Express dsactive les Small Services lorsque cest possible. Par dfaut, les priphriques Cisco qui excutent Cisco IOS version 11.3 ou antrieure offrent les Small Services suivants : echo, chargen et discard. Les Small Services sont dsactivs par dfaut dans le logiciel Cisco IOS version 12.0 et ultrieure. Ces services, et plus particulirement leurs versions UDP (User Datagram Protocol), sont rarement utiliss des fins lgitimes, mais ils permettent de lancer des attaques par dni de service, ainsi que dautres attaques, qui autrement seraient bloques par le filtrage des paquets.Par exemple, un pirate peut envoyer un paquet DNS (Domain Name System) en lui donnant une fausse adresse source dun serveur DNS qui, dans le cas contraire, serait inaccessible, et en lui attribuant le port source dun service DNS (port 53). Si un tel paquet tait envoy au port de rponse UDP du routeur, ce dernier enverrait un paquet DNS au serveur en question. Aucun contrle de liste daccs sortant ne serait appliqu ce paquet, car il serait considr comme gnr localement par le routeur lui-mme.Bien que les utilisations abusives des Small Services puissent tre en majorit vites ou affaiblies par des listes daccs anti-usurpation, il est recommand de dsactiver ces services dans un routeur faisant partie dun pare-feu ou jouant un rle important dans la scurit du rseau. Comme ces services sont rarement utiliss, la meilleure stratgie consiste les dsactiver sur tous les routeurs.1-31Cisco SDM ExpressOL-7141-04Chapitre 1Cisco SDMExpressAide complmentaireLa configuration transmise au routeur pour dsactiver le service TCP Small Servers est la suivante :no service tcp-small-serversVous pouvez annuler ce correctif laide de la fonction Audit de scurit de Cisco SDM. Pour connatre la procdure, reportez-vous laide en ligne de laudit de scurit dans Cisco SDM. Pour plus dinformations, cliquez sur Cisco Router and Security Device Manager.Dsactiver le service UDP Small ServersCisco SDM Express dsactive les Small Services lorsque cest possible. Par dfaut, les priphriques Cisco qui excutent Cisco IOS version 11.3 ou antrieure offrent les Small Services suivants : echo, chargen et discard. Les Small Services sont dsactivs par dfaut dans le logiciel Cisco IOS version 12.0 et ultrieure. Ces services, et plus particulirement leurs versions UDP, sont rarement utiliss des fins lgitimes, mais ils permettent de lancer des attaques par dni de service, ainsi que dautres attaques, qui autrement seraient bloques par le filtrage des paquets.Par exemple, un pirate peut envoyer un paquet DNS en lui donnant une fausse adresse source dun serveur DNS qui, dans le cas contraire, serait inaccessible, et en lui attribuant le port source dun service DNS (port 53). Si un tel paquet tait envoy au port de rponse UDP du routeur, ce dernier enverrait un paquet DNS au serveur en question. Aucun contrle de liste daccs sortant ne serait appliqu ce paquet, car il serait considr comme gnr localement par le routeur lui-mme.Bien que les utilisations abusives des Small Services puissent tre en majorit vites ou affaiblies par des listes daccs anti-usurpation, il est recommand de dsactiver ces services dans un routeur faisant partie dun pare-feu ou qui joue un rle important dans la scurit du rseau. Comme ces services sont rarement utiliss, la meilleure stratgie consiste les dsactiver sur tous les routeurs.La configuration transmise au routeur pour dsactiver UDP Small Servers est la suivante :no service udp-small-serversVous pouvez annuler ce correctif laide de la fonction Audit de scurit de Cisco SDM. Pour connatre la procdure, reportez-vous laide en ligne de laudit de scurit dans Cisco SDM. Pour plus dinformations, cliquez sur Cisco Router and Security Device Manager.Chapitre 1Cisco SDMExpressAide complmentaire1-32Cisco SDM ExpressOL-7141-04Dsactiver le service IP Bootp ServerCisco SDM Express dsactive le service Bootstrap Protocol (BOOTP) lorsque cest possible. BOOTP autorise les routeurs et les ordinateurs configurer automatiquement au dmarrage les informations Internet ncessaires partir dun serveur central, y compris le tlchargement du logiciel Cisco IOS. Par consquent, un pirate peut potentiellement utiliser BOOTP pour tlcharger une copie du logiciel Cisco IOS du routeur.De plus, le service BOOTP est vulnrable aux attaques par dni de service. Il doit donc tre dsactiv ou filtr par un pare-feu.La configuration transmise au routeur pour dsactiver le service BOOTP est la suivante :no ip bootp serverVous pouvez annuler ce correctif laide de la fonction Audit de scurit de Cisco SDM. Pour connatre la procdure, reportez-vous laide en ligne de laudit de scurit dans Cisco SDM. Pour plus dinformations, cliquez sur Cisco Router and Security Device Manager.Dsactiver le service IP IdentCisco SDM Express dsactive le support didentification lorsque cest possible. Le support didentification vous permet dinterroger un port TCP pour lidentifier. Cette fonction permet un protocole non scuris de signaler lidentit dun client qui tablit une connexion TCP et de lhte qui rpond cette connexion. Avec le support didentification, vous pouvez vous connecter un port TCP sur un hte, envoyer une chane de caractres simple pour demander des informations, et recevoir une chane de caractres simple en rponse.Il est dangereux dautoriser un systme dun segment directement connect savoir que le routeur est un priphrique Cisco, et dterminer le numro de modle et la version du logiciel Cisco IOS excute. Ces informations peuvent tre exploites pour crer des attaques contre le routeur.La configuration transmise au routeur pour dsactiver le service IP Ident est la suivante :no ip identdVous pouvez annuler ce correctif laide de la fonction Audit de scurit de Cisco SDM. Pour connatre la procdure, reportez-vous laide en ligne de laudit de scurit dans Cisco SDM. Pour plus dinformations, cliquez sur Cisco Router and Security Device Manager.1-33Cisco SDM ExpressOL-7141-04Chapitre 1Cisco SDMExpressAide complmentaireDsactiver CDPCisco SDM Express dsactive le protocole CDP (Cisco Discovery Protocol) lorsque cest possible. Cisco Discovery Protocol est un protocole propritaire utilis par les routeurs Cisco pour sidentifier entre eux sur un segment de LAN. Son inconvnient est quil permet un systme dun segment directement connect, dapprendre que le routeur est un priphrique Cisco, den dterminer le numro de modle et didentifier la version du logiciel Cisco IOS excute. Ces informations peuvent tre exploites pour crer des attaques contre le routeur. La configuration transmise au routeur pour dsactiver Cisco Discovery Protocol est la suivante :no cdp runVous pouvez annuler ce correctif laide de la fonction Audit de scurit de Cisco SDM. Pour connatre la procdure, reportez-vous laide en ligne de laudit de scurit dans Cisco SDM. Pour plus dinformations, cliquez sur Cisco Router and Security Device Manager.Dsactiver le routage dIP sourceCisco SDM Express dsactive le routage dIP source lorsque cest possible. Le protocole IP prend en charge les options de routage source qui permettent lexpditeur dun datagramme IP de contrler le routage du datagramme vers sa destination finale, et gnralement, litinraire suivi par la rponse. Ces options sont rarement utilises des fins lgitimes dans les rseaux. Certaines anciennes versions dIP ne grent pas les paquets routs par la source correctement. Il est possible de bloquer les machines qui excutent ces versions en leur envoyant des datagrammes avec des options de routage source.La dsactivation du routage dIP source empche un routeur Cisco de transmettre un paquet IP contenant une option de routage source.La configuration transmise au routeur pour dsactiver le routage dIP source est la suivante :no ip source-routeVous pouvez annuler ce correctif laide de la fonction Audit de scurit de Cisco SDM. Pour connatre la procdure, reportez-vous laide en ligne de laudit de scurit dans Cisco SDM. Pour plus dinformations, cliquez sur Cisco Router and Security Device Manager.Chapitre 1Cisco SDMExpressAide complmentaire1-34Cisco SDM ExpressOL-7141-04Activer le service de cryptage des mots de passeCisco SDM Express active le cryptage des mots de passe lorsque cest possible. Le cryptage des mots de passe permet au logiciel CiscoIOS de crypter les mots de passe, les secrets CHAP (Challenge Handshake Authentication Protocol) et des donnes similaires qui sont enregistres dans son fichier de configuration. Ainsi, vous empchez quiconque de lire les mots de passe, notamment lorsque des personnes regardent la drobe ce que tape un administrateur.La configuration transmise au routeur pour activer le cryptage des mots de passe est la suivante :service password-encryptionVous pouvez annuler ce correctif laide de la fonction Audit de scurit de Cisco SDM. Pour connatre la procdure, reportez-vous laide en ligne de laudit de scurit dans Cisco SDM. Pour plus dinformations, cliquez sur Cisco Router and Security Device Manager.Activer la commutation NetflowCisco SDM Express active la commutation Netflow lorsque cest possible. La commutation Netflow est une fonction Cisco IOS qui amliore les performances de routage, tout en utilisant des listes de contrles daccs (ACL) et dautres fonctions qui crent et amliorent la scurit du rseau. Netflow identifie les flux de paquets de rseau en fonction des adresses IP source et cible et des numros de port TCP. Il compare ensuite le premier paquet dun flux aux ACL et dautres contrles de scurit, au lieu dutiliser chaque paquet du flux. Ceci amliore les performances en vous permettant dutiliser lensemble des fonctions de scurit du routeur.La configuration transmise au routeur pour activer Netflow est la suivante :ip route-cache flowVous pouvez annuler ce correctif laide de la fonction Audit de scurit de Cisco SDM. Pour connatre la procdure, reportez-vous laide en ligne de laudit de scurit dans Cisco SDM. Pour plus dinformations, cliquez sur Cisco Router and Security Device Manager.1-35Cisco SDM ExpressOL-7141-04Chapitre 1Cisco SDMExpressAide complmentaireActiver le maintien des connexions TCP pour les sessions Telnet entrantesCisco SDM Express active le maintien des connexions TCP pour les sessions Telnet entrantes et sortantes, lorsque cest possible. Lorsque cette protection est active, le routeur gnre priodiquement des messages de maintien, ce qui lui permet de dtecter et de supprimer les connexions Telnet interrompues.La configuration transmise au routeur pour activer le maintien des connexions TCP pour les sessions Telnet entrantes est la suivante :service tcp-keepalives-inVous pouvez annuler ce correctif laide de la fonction Audit de scurit de Cisco SDM. Pour connatre la procdure, reportez-vous laide en ligne de laudit de scurit dans Cisco SDM. Pour plus dinformations, cliquez sur Cisco Router and Security Device Manager.Activer le maintien des connexions TCP pour les sessions Telnet sortantesCisco SDM Express active le maintien des connexions TCP pour les sessions Telnet entrantes et sortantes, lorsque cest possible. Lorsque cette protection est active, le routeur gnre priodiquement des messages de maintien, ce qui lui permet de dtecter et de supprimer les connexions Telnet interrompues.La configuration transmise au routeur pour activer le maintien des connexions TCP pour les sessions Telnet sortantes est la suivante :service tcp-keepalives-outVous pouvez annuler ce correctif laide de la fonction Audit de scurit de Cisco SDM. Pour connatre la procdure, reportez-vous laide en ligne de laudit de scurit dans Cisco SDM. Pour plus dinformations, cliquez sur Cisco Router and Security Device Manager.Activer les numros de squence et les horodatages sur les dbogagesCisco SDM Express active les numros de squence et les horodatages sur tous les messages de dpannage et de journal lorsque cest possible. Les horodatages sur les messages de dpannage et de journal indiquent la date et lheure auxquelles le message a t gnr. Les numros de squence indiquent lordre dans lequel les messages ayant des horodatages identiques ont t gnrs. Connatre lheure et la squence de gnration des messages est trs important pour diagnostiquer des attaques potentielles.Chapitre 1Cisco SDMExpressAide complmentaire1-36Cisco SDM ExpressOL-7141-04La configuration transmise au routeur pour activer les horodatages et les numros de squence est la suivante :service timestamps debug datetime localtime show-timezone msecservice timestamps log datetime localtime show-timeout msecservice sequence-numbersActiver IP CEFCisco SDM Express active Cisco Express Forwarding (CEF) ou Distributed Cisco Express Forwarding lorsque cest possible. Comme il nest pas ncessaire de crer des entres de cache lorsque le trafic commence atteindre de nouvelles destinations, Cisco Express Forwarding se comporte de manire plus prvisible que les autres modes lorsque des volumes importants de trafic sont envoys de nombreuses destinations. Les routeurs configurs en mode Cisco Express Forwarding offrent une meilleure protection contre les attaques par inondation, que les routeurs utilisant le cache traditionnel.La configuration transmise au routeur pour activer Cisco Express Forwarding est la suivante :ip cefDfinir lintervalle de planificationCisco SDMExpress configure lintervalle de planification sur le routeur lorsque cest possible. Lorsquun routeur commute rapidement un grand nombre de paquets, il est possible que le routeur rponde si lentement aux interruptions des interfaces de rseau que plus aucun travail nest possible. Cette situation peut tre due une inondation trs rapide de paquets. Elle peut bloquer laccs administratif au routeur, ce qui est trs dangereux lorsque le priphrique est soumis des attaques. Lajustement de lintervalle de planification garantit un accs administratif permanent au routeur, ce dernier excutant les processus systme aprs lintervalle configur mme lorsque lunit centrale est utilise 100 %.La configuration transmise au routeur pour ajuster lintervalle de planification est la suivante :scheduler interval 5001-37Cisco SDM ExpressOL-7141-04Chapitre 1Cisco SDMExpressAide complmentaireDfinir lallocation de planificationSur les routeurs qui ne prennent pas en charge la commande scheduler interval,Cisco SDM Express configure la commande scheduler allocate lorsque cest possible. Lorsquun routeur commute rapidement un grand nombre de paquets, il est possible que le routeur rponde si lentement aux interruptions des interfaces de rseau que plus aucun travail nest possible. Cette situation peut tre due certaines inondations trs rapides de paquets. Elle peut bloquer laccs administratif au routeur, ce qui est trs dangereux lorsque le priphrique est soumis des attaques. La commande scheduler allocate garantit quun pourcentage des processus de lunit centrale reste disponible pour les activits autres que la commutation de rseau, comme les processus dadministration.La configuration transmise au routeur pour dfinir le pourcentage dallocation de planification est la suivante :scheduler allocate 4000 1000Dfinir la dure de TCP SynwaitCisco SDMExpress dfinit la dure de TCP Synwait 10 secondes, lorsque cest possible. Cette dure est trs utile pour contrer les attaques par inondation SYN, une forme dattaque par dni de service. Pour tre tablie, une connexion TCP requiert une ngociation en trois phases. Lexpditeur envoie une demande de connexion, le destinataire renvoie un accus de rception, puis lexpditeur renvoie lacceptation de laccus de rception. Une fois cette ngociation en trois phases termine, la connexion est tablie et le transfert de donnes peut commencer. Une attaque par inondation SYN envoie des demandes de connexion rptes un hte, sans renvoyer lacceptation des accuss de rception qui permettent dtablir la connexion, crant ainsi de plus en plus de connexions incompltes sur lhte. Comme le tampon des connexions incompltes est gnralement plus petit que celui des connexions tablies, lhte peut tre submerg et dsactiv. La dfinition dune dure de TCP Synwait de 10 secondes entrane linterruption dune connexion incomplte aprs 10 secondes, empchant la cration de connexions incompltes sur lhte.La configuration transmise au routeur pour dfinir une dure de TCP Synwait de 10 secondes est la suivante :ip tcp synwait-time Chapitre 1Cisco SDMExpressAide complmentaire1-38Cisco SDM ExpressOL-7141-04Activer la connexionCisco SDM Express active la journalisation avec des horodates et des numros de squence, lorsque cest possible. Dans la mesure o elle fournit des informations dtailles sur les vnements du rseau, la journalisation est indispensable pour identifier les vnements de scurit et y rpondre. Les horodatages et les numros de squence fournissent des informations sur la date, lheure et la squence de survenance des vnements rseau.La configuration transmise au routeur pour activer et configurer la journalisation la suivante (remplacez et par les valeurs appropries saisies dans Cisco SDM Express) :logging console criticallogging trap debugginglogging buffered logging Activer Unicast RPF sur toutes les interfaces externesCisco SDM Express active Unicast Reverse Path Forwarding (RPF) sur toutes les interfaces qui se connectent Internet, lorsque cest possible. RPF permet au routeur de comparer ladresse source de chaque paquet celle de linterface via laquelle le paquet est entr dans le routeur. Si le chemin daccs linterface dentre ne correspond pas ladresse source indique dans la table de routage, le paquet est supprim. Cette vrification de ladresse source permet dempcher lusurpation dadresse IP.Ceci ne fonctionne que lorsque le routage est symtrique. Si le rseau est conu de sorte que le trafic entre un hte A et un hte B puisse suivre un itinraire diffrent de celui emprunt par le trafic entre lhte B et lhte A, le contrle choue systmatiquement et la communication entre les deux htes est impossible. Ce type de routage asymtrique est courant sur Internet. Vrifiez que votre rseau nutilise pas le routage asymtrique avant dactiver cette fonction.De plus, unicast RPF ne peut tre activ que lorsque le mode IP Cisco Express Forwarding est activ. Cisco SDM Express vrifie dans la configuration du routeur si IP Cisco Express Forwarding est activ. Si tel nest pas le cas, Cisco SDM Express recommande de lactiver. Si vous acceptez, il lactive. Si IP Cisco Express Forwarding nest pas activ par Cisco SDM Express ou par un autre moyen, unicast RPF reste dsactiv.1-39Cisco SDM ExpressOL-7141-04Chapitre 1Cisco SDMExpressAide complmentairePour activer unicast RPF, la configuration suivante est transmise au routeur pour chaque interface qui se connecte hors du rseau priv (remplacez par lidentifiant de linterface) :interface ip verify unicast reverse-pathDsactiver les messages ARPCisco SDM Express dsactive les demandes ARP (Address Resolution Protocol) lorsque cest possible. Une demande ARP gratuite est une diffusion ARP dans laquelle les adresses MAC source et cible sont identiques. Essentiellement, elle permet un hte dinformer le rseau sur son adresse IP. Un message ARP usurp peut endommager le stockage des informations de mappage du rseau et gnrer des dysfonctionnements du rseau.Pour dsactiver les messages ARP, la configuration suivante est transmise au routeur :no ip gratuitous-arpsVous pouvez annuler ce correctif laide de la fonction Audit de scurit de Cisco SDM. Pour connatre la procdure, reportez-vous laide en ligne de laudit de scurit dans Cisco SDM. Pour plus dinformations, cliquez sur Cisco Router and Security Device Manager.Dsactiver la redirection dIPCisco SDM Express dsactive les messages ICMP (Internet Message Control Protocol) lorsque cest possible. ICMP prend en charge le trafic IP en relayant les informations sur les chemins, les routages et les conditions du rseau. Les messages de redirection ICMP ordonnent un nud dextrmit dutiliser un routeur particulier pour accder une destination donne. Dans un rseau IP fonctionnant correctement, un routeur nenvoie des redirections quaux htes de ses propres sous-rseaux, aucun nud dextrmit nenvoie jamais de redirection et aucune redirection ne transite par plus dun relais de rseau. Toutefois, un pirate peut contourner ces rgles. Dailleurs, certaines attaques sont bases sur cette mthode. La dsactivation des redirections ICMP na aucun impact oprationnel sur le rseau et limine le risque li ce type dattaque.La configuration transmise au routeur pour dsactiver les messages de redirection ICMP est la suivante :no ip redirectsChapitre 1Cisco SDMExpressAide complmentaire1-40Cisco SDM ExpressOL-7141-04Dsactiver le Proxy IP ARPCisco SDM Express dsactive le proxy ARP (Address Resolution Protocol) lorsque cest possible. Le rseau utilise le protocole ARP pour convertir les adresses IP en adresses MAC. Normalement, ARP est confin un LAN, mais un routeur peut se comporter comme un proxy pour les demandes ARP, rendant ainsi ces dernires disponibles sur plusieurs segments du LAN. Dans la mesure o le proxy ARP franchit la barrire de scurit du LAN, il est recommand de ne lutiliser quentre deux LAN ayant un niveau de scurit gal, et uniquement lorsque la situation lexige.La configuration transmise au routeur pour dsactiver le proxy ARP est la suivante :no ip proxy-arpVous pouvez annuler ce correctif laide de la fonction Audit de scurit de Cisco SDM. Pour connatre la procdure, reportez-vous laide en ligne de laudit de scurit dans Cisco SDM. Pour plus dinformations, cliquez sur Cisco Router and Security Device Manager.Dsactiver la diffusion dIP dirigeCisco SDM Express dsactive les diffusions dIP diriges lorsque cest possible. Une diffusion dIP dirige est un datagramme qui est envoy ladresse de diffusion dun sous-rseau auquel la machine mettrice nest pas directement lie. La diffusion dirige est achemine via le rseau en tant que paquet individuel, jusquau sous-rseau cible o il est converti en une diffusion de couche de liaison. De par la nature de larchitecture de ladressage IP, seul le dernier routeur de la chane, celui qui est connect directement au sous-rseau cible, peut identifier une diffusion dirige de manire incontestable. Les diffusions diriges sont parfois utilises des fins lgitimes, mais rarement hors du secteur des services financiers.Les diffusions dIP diriges sont utilises notamment dans les attaques de dni de service, dites smurf, particulirement rpandues, mais galement dans dautres attaques. Dans une attaque de type smurf, le pirate envoie des demandes de rponse ICMP depuis une adresse source falsifie une adresse de diffusion dirige, quoi tous les htes du sous-rseau cible rpondent en envoyant des rponses la source falsifie. En envoyant un flux continu de telles demandes, le pirate peut gnrer un flux bien plus important de rponses, et ainsi submerger totalement lhte dont ladresse est falsifie.1-41Cisco SDM ExpressOL-7141-04Chapitre 1Cisco SDMExpressAide complmentaireLa dsactivation des diffusions dIP diriges entrane la suppression des diffusions diriges qui seraient autrement dcomposes en diffusions de couche de liaison sur cette interface.La configuration transmise au routeur pour dsactiver les diffusions dIP diriges est la suivante :no ip directed-broadcastVous pouvez annuler ce correctif laide de la fonction Audit de scurit de Cisco SDM. Pour connatre la procdure, reportez-vous laide en ligne de laudit de scurit dans Cisco SDM. Pour plus dinformations, cliquez sur Cisco Router and Security Device Manager.Dsactiver le service MOPCisco SDM Express dsactive le protocole MOP (Maintenance Operations Protocol) sur toutes les interfaces Ethernet, lorsque cest possible. Ce protocole permet de transmettre des informations de configuration au routeur lorsquil communique avec des rseaux DECNet. Il est vulnrable diverses attaques.La configuration transmise au routeur pour dsactiver le service MOP sur les interfaces Ethernet est la suivante :no mop enabledVous pouvez annuler ce correctif laide de la fonction Audit de scurit de Cisco SDM. Pour connatre la procdure, reportez-vous laide en ligne de laudit de scurit dans Cisco SDM. Pour plus dinformations, cliquez sur Cisco Router and Security Device Manager.Dsactiver les IP injoignablesCisco SDM Express dsactive les messages dhte ICMP (Internet Message Control Protocol) injoignables lorsque cest possible. ICMP prend en charge le trafic IP en relayant les informations sur les chemins, les routages et les conditions du rseau. Les messages dhte ICMP injoignable sont envoys si un routeur reoit un paquet de non-diffusion qui utilise un protocole inconnu ou un paquet ne pouvant pas atteindre sa destination finale car ne connaissant pas le routage utiliser pour y accder. Ces messages peuvent tre utiliss par un pirate pour accder aux informations de mappage dun rseau.Chapitre 1Cisco SDMExpressAide complmentaire1-42Cisco SDM ExpressOL-7141-04La configuration transmise au routeur pour dsactiver les messages dhte ICMP injoignable est la suivante :int no ip unreachablesVous pouvez annuler ce correctif laide de la fonction Audit de scurit de Cisco SDM. Pour connatre la procdure, reportez-vous laide en ligne de laudit de scurit dans Cisco SDM. Pour plus dinformations, cliquez sur Cisco Router and Security Device Manager.Dsactiver la rponse au masque IPCisco SDM Express dsactive les messages de rponse au masque ICMP (Internet Message Control Protocol) lorsque cest possible. ICMP prend en charge le trafic IP en relayant les informations sur les chemins, les routages et les conditions du rseau. Des messages de rponse au masque ICMP sont envoys lorsquun priphrique rseau doit connatre le masque de sous-rseau dun sous-rseau particulier dans un rseau interconnect. Ces messages sont envoys au priphrique qui demande des informations aux priphriques qui les dtiennent. Ces messages peuvent tre utiliss par un pirate pour accder aux informations de mappage dun rseau.La configuration transmise au routeur pour dsactiver les messages de rponse au masque ICMP est la suivante :no ip mask-replyVous pouvez annuler ce correctif laide de la fonction Audit de scurit de Cisco SDM. Pour connatre la procdure, reportez-vous laide en ligne de laudit de scurit dans Cisco SDM. Pour plus dinformations, cliquez sur Cisco Router and Security Device Manager.1-43Cisco SDM ExpressOL-7141-04Chapitre 1Cisco SDMExpressAide complmentaireDfinir la longueur minimum du mot de passe pour quil ne dpasse pas 6 caractresCisco SDM Express configure votre routeur pour quil require un mot de passe dune longueur minimale de 6 caractres, lorsque cest possible. Lune des mthodes utilises par les pirates pour dcouvrir les mots de passe consiste essayer toutes les combinaisons de caractres possibles. Plus les mots de passe sont longs, plus les combinaisons de caractres sont nombreuses, ce qui complique considrablement la tche des pirates.Cette modification de configuration requiert que chaque mot de passe sur le routeur (utilisateur, activation, secret, console, AUX, tty et vty) ait une longueur minimale de 6 caractres. Elle nest effectue que si la version de Cisco IOS excute sur le routeur prend en charge la fonction de longueur minimale des mots de passe.La configuration transmise au routeur est la suivante :security passwords min-length Dfinir le nombre dchecs didentification pour quil ne dpasse pas 3 tentatives de ridentificationCisco SDM Express configure votre routeur pour quil verrouille laccs aprs 3 tentatives infructueuses de connexion, lorsque cest possible. Lune des mthodes permettant de dcouvrir des mots de passe, appele attaque dictionnaire, consiste utiliser un logiciel qui tente de se connecter en utilisant chaque mot dun dictionnaire. Cette configuration entrane le verrouillage du routeur pendant une dure de 15 secondes aprs 3 tentatives de connexion infructueuses, assurant ainsi une protection efficace contre les attaques de ce type. Outre le blocage de laccs au routeur, cette configuration gnre un message de journal aprs 3 tentatives de connexion infructueuses, avertissant ladministrateur quun utilisateur tente de se connecter sans y parvenir.La configuration transmise au routeur pour verrouiller laccs au routeur aprs 3 tentatives de connexion infructueuses est la suivante :security authentication failure rate Chapitre 1Cisco SDMExpressAide complmentaire1-44Cisco SDM ExpressOL-7141-04Dfinir la bannireCisco SDM Express configure une bannire de texte lorsque cest possible. Dans certains pays, la procdure dengagement de poursuites civiles ou pnales contre les utilisateurs qui sintroduisent dans vos systmes a t simplifie si vous affichez une bannire informant les intrus quils ne sont pas autoriss pntrer dans vos systmes. Dans dautres, il est interdit de surveiller les activits des utilisateurs non autoriss sauf si vous les avez avertis de votre intention de les surveiller. La bannire est une des mthodes permettant dofficialiser cette notification.La configuration transmise au routeur pour crer une bannire est la suivante (remplacez , et par les valeurs appropries saisies dans Cisco SDM Express :banner ~Accs rservCe systme est la proprit de .Dconnectez-vous IMMEDIATEMENT si vous ntes pas un utilisateur autoris.Contactez au .~Activer les paramtres TelnetCisco SDM Express scurise les lignes console, AUX, vty et tty en mettant en uvre les configurations suivantes, lorsque cest possible : Il configure les commandes transport input et transport output pour dfinir les protocoles pouvant tre utiliss pour se connecter ces lignes. Il dfinit un dlai dattente EXEC de 10 minutes sur les lignes console et AUX, entranant la dconnexion de ladministrateur de ces lignes aprs 10 minutes dinactivit.La configuration transmise au routeur pour dfinir une dure de TCP Synwait de 10 secondes est la suivante :!line console 0transport output telnetexec-timeout 10login local1-45Cisco SDM ExpressOL-7141-04Chapitre 1Cisco SDMExpressAide complmentaire!line AUX 0transport output telnetexec-timeout 10login local!line vty .transport input telnetlogin localActiver SSH pour laccs au routeurSi la version de Cisco IOS excute sur le routeur est une crypto-image (une image utilisant le cryptage DES 56 bits et soumise des restrictions dexportation), Cisco SDM Express met en uvre les configurations suivantes pour scuriser laccs Telnet, lorsque cest possible : Il active Secure Shell (SSH) pour laccs Telnet. SSH renforce considrablement laccs Telnet. Il dfinit un dlai dattente SSH de 60 secondes, entranant larrt des connexions SSH incompltes aprs 60 secondes. Il autorise jusqu deux tentatives de connexion SSH infructueuses avant de verrouiller laccs au routeur.La configuration transmise au routeur pour scuriser laccs et les fonctions de transfert de fichiers est la suivante :ip ssh time-out 60ip ssh authentication-retries 2!line vty 0 4transport input ssh Chapitre 1Cisco SDMExpressAide complmentaire1-46Cisco SDM ExpressOL-7141-04Boutons Cisco SDMExpressBouton AideCliquez sur le bouton Aide pour ouvrir une nouvelle fentre de navigation et afficher des informations sur la fentre Cisco SDM Express affiche. Bouton propos deCliquez sur propos de pour afficher une fentre contenant les informations de version de Cisco SDM Express. Cliquez sur Informations sur lelogiciel/matriel dans cette fentre pour afficher les informations suivantes.Informations sur le matriel : Type du modle de routeur Mmoire totale du routeur Capacit totale de la mmoire Flash du routeur Source du dmarrage du routeur, (par exemple : flash)Un schma de la configuration matrielle est galement fourni.Informations sur le logiciel : Nom du logiciel Cisco IOS que le routeur excute Version du logiciel Cisco IOS Les jeux de fonctions, tels que Pare-feu et VPN, pris en charge par le logiciel Cisco IOS Version de Cisco SDM ExpressBouton QuitterAprs avoir termin la configuration initiale, cliquez sur le bouton Quitter pour fermer Cisco SDM Express. Bouton ActualiserCes boutons sont visibles si vous modifiez une configuration initiale. Cliquez sur le bouton Actualiser pour actualiser les donnes du routeur dans Cisco SDM Express.1-47Cisco SDM ExpressOL-7141-04Chapitre 1Cisco SDMExpressAide complmentaireBouton Appliquer les modificationsCes boutons sont visibles si vous modifiez une configuration initiale. Cliquez sur le bouton Appliquer les modifications pour valider les modifications que vous avez apportes au routeur. Bouton Annuler les modificationsCes boutons sont visibles si vous modifiez une configuration initiale. Cliquez sur le bouton Annuler les modifications pour annuler toutes les modifications effectues.Reconnexion au routeur lissue de la configuration initialeSi vous avez donn linterface LAN une nouvelle adresse IP comme recommand, vous allez perdre la connexion au routeur une fois que vous validerez la configuration.Suivez cette procdure pour vous reconnecter au routeur aprs avoir effectu la configuration initiale avec Cisco SDM Express.tape 1 Placez le PC sur le mme sous-rseau que linterface LAN du routeur. Si vous avez configur le routeur comme serveur DHCP, vous devez configurer le PC pour quil obtienne une adresse IP automatiquement, puis ouvrir une fentre de commande dans laquelle vous saisissez la commande ipconfig /release suivie de la commande ipconfig /renew. Si le routeur nest pas configur comme serveur DHCP, vous devez attribuer au PC une adresse IP statique appartenant au mme sous-rseau que le routeur. Par exemple, si vous avez chang ladresse IP du rseau local en 10.20.20.1 avec un masque de sous-rseau 255.255.255.224, vous devez donner votre PC une adresse IP entre 10.20.20.2 et 10.20.20.30 et utiliser la mme valeur de sous-rseau.tape 2 Si vous avez configur une autre interface LAN que linterface par dfaut, veillez connecter votre PC linterface LAN configure. Par exemple, si vou