Sécurisez votre réseau grâce au firewall CISCO ASA !
Après avoir suivi cette formation, vous serez sensé de connaître :
- La différence entre les deux principaux modes de configuration des règles NAT,
- La gestion des VLANs et leur connexion à internet dans un contexte de protection du pare feu ASA,
- La capacité de gérer et de configurer les interfaces d’un pare feu ASA,
- La capacité de distinguer les divers modes de configuration des interfaces,
- La capacité de distinguer entre le mode routé et le mode transparent,
- La capacité de configurer le pare feu pour jouer le rôle d’un routeur.
Suivez la formation vidéo par ici :
https://www.smartnskilled.com/tutoriel/formation-en-ligne-cisco-asa-configuration
4. Formation Cisco ASA
Le plan de la formation
▪ Les chapitres
Chapitre 0: Chapitre introductif
Chapitre I: La configuration des règles NAT sous ASA
Chapitre II: La configuration des VLANs sous ASA
Chapitre III: La configuration des interfaces sous ASA
Chapitre IV: La configuration du routage sous ASA
Chapitre V: Le Bilan
5. Formation Cisco ASA
Prérequis
▪ Il sera recommandé de voir la formation Vos premiers pas avec le pare feu ASA
▪ Il est recommandé d’être familier aux autres produits Cisco routeurs et commutateurs
▪ Avoir des connaissances relatives à l’utilisation et à la configuration des logiciels de
simulation
• Cisco Packet Tracer
• GNS 3
• Le logiciel de virtualisation Virtual Box,
• Le logiciel de virtualisation VMware
• Le logiciel de virtualisation QEMU
6. Formation Cisco ASA
Public concerné
▪ Les personnes ayant des connaissances de niveau intermédiaire en terme de réseau, comme les
étudiants ou encore les stagiaires au sein des entreprises, ce pendant, ils ont déjà une première idée
sur le pare feu ASA
▪ Les personnes qui ont débutés déjà leur carrière en IT et qui veulent passer la certification CCNA
sécurité
▪ Les personnes ayant un niveau d’expertise en domaine IT autre que CISCO tel que les infrastructures
Windows, Linux , Juniper et Huawei et qui veulent avoir des connaissances en terme de configuration
et de gestion des pare feu Cisco ASA
7. Formation Cisco ASA
Objectifs visés
▪ Le principal objectif de cette formation et de vous assurer faire découvrir les techniques de configuration du
pare feu ASA
▪ Après avoir suivi cette formation vous serez sensé de connaître
• La différence entre les deux principaux mode de configuration des règles NAT
• La gestion des VLANs et leur connexion à internet dans un contexte de protection du pare feu ASA
• La capacité de gérer et de configurer les interfaces d’un pare feu ASA
• La capacité de distinguer les divers modes de configuration des interfaces
• La capacité de distinguer entre le mode routé et le mode transparent
• La capacité de configurer le pare feu pour jouer le rôle d’un routeur
11. Formation Cisco ASA
Introduction de la notion NAT
▪ NAT est l’acronyme de « Network Access Translation »
▪ NAT est une alternative de solution vis-à-vis à la limitation et de pénurie des adresses IPV4 utilisées à
travers le monde
▪ Il faut rappeler qu’il existe deux champs d’applications des adresses IP à savoir, le réseau privé et le
réseau public
▪ Si les mêmes adresses seront utilisées dans les deux champs, il y aura une pénurie rapide de stock
d’adresses IP « 232 adresses » utilisées à travers le monde
▪ Par conséquent, IANA « Internet Assigned Numbers Authority » à précisé trois rangées d’adresses à
usage privées qui sont utilisées dans les réseaux internes et des adresses à usage publique utilisées au
niveau des réseaux publiques
12. Formation Cisco ASA
Introduction de la notion NAT
▪ Les adresses privées font partie des intervalles
• Entre 10.0.0.0 et 10.255.255.255 faisant partie de la classe A
• Entre 172.16.0.0 et 172.16.31.255.255 faisant partie de la classe B
• Entre 192.168.0.0 et 192.168.255.255 faisant partie de la classe C
▪ Pour que ces adresses puissent sortir sur le réseau public, elles doivent être traduites en adresses
publiques, de même pour que les hôtes situés aux réseaux public puissent y pénétrer dans les réseaux
privés il doivent passer par le processus inverse de traduction
13. Formation Cisco ASA
Les types de NAT
▪ Il existe 4 formes de NAT
• NAT dynamique :
Traduit un intervalle d'adresses privées en un groupe d’adresses routables sur le réseau de
destination. Chaque hôte utilise une adresse différente à chaque fois une traduction est effectuée
14. Formation Cisco ASA
Les types de NAT
• NAT statique :
Traduit un nombre fixe d'adresses privées en un nombre fixe équivalents adresses publiques. Chaque
hôte utilise la même adresse pour chaque traduction
15. Formation Cisco ASA
Les types de NAT
• PAT dynamique Port Access Translation dynamique:
Traduit plusieurs adresses privées en une seule adresse IP publique. Ce qui différencie l’usage d’une
adresse par apport à une autre, c’est le faite d’utiliser un port différent
16. Formation Cisco ASA
Les types de NAT
• PAT statique:
A la différence du PAT dynamique, les ports sont mappés d’une façon fixes aux adresses privées
19. Formation Cisco ASA
Le plan
▪ L’objet réseau NAT
▪ TWICE NAT ou la configuration NAT manuelle
▪ La table NAT et ordre de priorité
20. Formation Cisco ASA
L’objet réseaux NAT
▪ Avant de commencer, il faut bien distinguer entre deux familles de IOS de ASA ceux qui font partie de la
version avant ASA 8(3) et ceux qui font partie des générations d’après exemple ASA 8(4) et ASAv
▪ Si on tient compte des nouvelles versions de ASA IOS, il faut considérer deux techniques d’implémentation de
NAT à savoir, celle via l’implémentation d’un objet réseaux OBJECT NETWORK ou implémentation auto et
celle appelée TWICE ou implémentation manuelle
▪ La manière la plus simple pour comprendre la différence entre ces deux formes de mise en œuvre de NAT est
que TWICE NAT prend en charge des scénarii NAT plus complexes que OBJECT NETWORK NAT
▪ Pour le cas d’utilisation d’objets réseaux OBJECT NETWORK , il faut créer un objet réseau pour chaque
opération de traduction NAT à part
21. Formation Cisco ASA
L’objet réseaux NAT
▪ Prenons l’exemple suivant qui est un réseau composé de trois zones à savoir, inside, outside et DMZ, à présent
on démontre comment configurer les objets réseaux NAT pour permettre à la zone inside d’accéder
respectivement à la zone outside et à la zone DMZ :
object network inside-outside
subnet 10.0.0.0 255.0.0.0
nat (insde,outside) dynamic interface
object network inside-dmz
subnet 10.0.0.0 255.0.0.0
nat (insde,DMZ) dynamic interface Figure qui montre trois zones à niveau de sécurité différents
22. Formation Cisco ASA
TWICE NAT ou la configuration NAT manuelle
▪ A la différence de OBJECT NETWORK TWICE ou configuration manuelle permet la création des objets
séparés de NAT
nat (inside,outside) 1 source dynamic inside-obj outside-obj
destination dynamic inside-obj outside-obj dns
nat (inside,DMZ) 2 source dynamic inside-obj outside-dmz dns
destination dynamic inside-obj outside-obj dns
▪ La configuration manuelle ou TWICE donne la liberté de configurer la source et la destination de la règle NAT
La zone interne:
object network inside-obj
subnet 10.0.0.0 255.0.0.0
exit
La zone démilitarisée:
object network dmz-obj
subnet 172.16.0.0 255.255.0.0
exit
La zone externe:
object network outside-obj
subnet 192.168.0.0 255.0.0.0
exit
23. Formation Cisco ASA
TWICE NAT ou la configuration NAT manuelle
▪ Pour bien comprendre la différence entre les deux mécanismes, en cas de OBJECT NETWORK, c’est la
règle NAT qui joue le rôle du paramètre et pour le cas de TWICE c’est l’objet réseau qui joue le rôle de
paramètre
▪ La configuration manuelle ou TWICE est beaucoup plus flexible du faite de l’utilisation des objets et des
groupes d’objets comme paramètres pour configurer la règle NAT contrairement au cas de OBJECT
NETWORK
▪ Le mot clé source et destination marquent l’utilisation de la configuration manuelle ou TWICE qui
couple les deux mécanismes de traduction dans les deux sens
▪ Le nombre qui précède le mot clé source indique l’ordre d’exécution ou la priorité de la règle NAT en
question
24. Formation Cisco ASA
La table NAT et ordre de priorité
▪ En cas d’exécution de plusieurs processus NAT TWICE et OBJECT NETWORK en même temps, le pare feu
ASA suit un ordre de priorité bien définit
▪ ASA utilise une table NAT composée de trois sections numérotées de 1 à 3, la section 1 contient les
processus NAT prioritaires, en suite la section 2 contient les processus NAT moins prioritaires et en fin la
section 3 contient les règles NAT les moins prioritaires des trois sections
▪ Les sections 1 et 3 sont consacrées pour la TWICE tandis que la section 2 est consacrée à OBJECT
NETWORK
▪ Lors de la définition des règles NAT il faut garder à l’esprit qu’en cas de configuration manuelle TWICE les
règles doivent être ordonnées manuellement par l’administrateur
25. Formation Cisco ASA
La table NAT et ordre de priorité
▪ Dans un contexte TWICE, l’administrateur doit ordonner les règles NAT des plus spécifiques aux plus
généralisées pour avoir un fonctionnement cohérent du pare feu, une fois les règles sont définies elles sont
ajoutées au niveau de la section 1
▪ Les sections 2 et 3 si elles existent, elles ne seront évaluées sauf si l’évaluation de la section 1 n’a pas abouti
à la règle recherchée par le pare feu lors de sont essai d’exécution du processus NAT pour une source et une
destination bien déterminées
▪ En section 2, les règles NAT de OBJECT NETWORK sont définit, leurs ordonnancements sont effectués par le
pare feu et non pas l’administrateur dans ce cas
▪ Le pare feu ASA utilise deux critères pour le classement des règles NAT, le premier critère est que les règles
NAT statiques l’emportent sur les règles NAT dynamiques et les règles PAT l’emportent sur les règles NAT
26. Formation Cisco ASA
La table NAT et ordre de priorité
▪ D’autre part, le deuxième critère d’ordonnancement est que les réseaux définit au niveau des OBJECT
NETWORK dont le préfixe de masque est le plus long sont priorisés aux réseaux définit au niveau des
OBJECT NETWORK dont le préfixe de masque est le plus court
▪ En section 3 l’administrateur doit définir les règles les plus généralisées de TWICE au niveau de cette section,
l’administrateur force le placement des règles généralisées en redéfinissant les règles avec le mot clé after-
auto. Le mot clé after auto veut dire les règles qui viennent après les règles de la section 2 auto ordonnées
30. Formation Cisco ASA
Le plan
▪ Exemple de configuration de NAT statique
▪ Exemple de configuration de NAT dynamique
▪ Exemple de configuration de NAT destination
31. Formation Cisco ASA
Exemple de configuration de NAT statique
▪ Voici un exemple de configuration de NAT statique Peer to Peer
object network TRADUIT
host 1.1.1.32 Adresse aléatoire dans la plage des adresses traduites
object network NAT_STATIQUE
host REEL
nat (inside,outside) static TRADUIT
▪ Voici un exemple de configuration de NAT statique Range to Range
object network TRADUIT_INTERVAL
range 1.1.1.32 1.1.1.35 Rangé d’adresses aléatoires dans la plage des adresses traduites
object network NAT_STATIQUE_INTERVAL
range 192.168.0.1 192.168.0.4 Rangé d’adresses réelles à traduire
nat (inside,outside) static TRADUIT_INTERVAL
32. Formation Cisco ASA
Exemple de configuration de NAT dynamique
▪ Voici un exemple de configuration de NAT dynamique
object network TRADUIT_INTERVAL_DYN
range 1.1.1.96 1.1.1.98 Rangé d’adresses aléatoires dans la plage des adresses traduites
object network NAT_DYNAMIQUE
host 192.168.0.1 Adresse réelle à traduire
nat (inside,outside) dynamic TRADUIT_INTERVAL_DYN
33. Formation Cisco ASA
Exemple de configuration de NAT destination
▪ Nous utilisons ce genre de NAT pour que les hôtes de la zone outside puissent se connecter à des hôtes dans
la zone inside
▪ Une étape nécessaire à faire avant tout, outre que la configuration des politiques d’inspection IMAP, il faut
absolument appliquer une ACL permettant les flux en provenance de la zone outside d’y pénétrer à l’intérieur
access-list OUT_IN permit any ip 192.168.0.100 255.255.255.0
Access-group OUT_IN in interface outside
▪ Voici un exemple de configuration de NAT dynamique
object network DESTINATION
host 1.1.1.1 Adresse issue de la zone outside
nat (out,in) static 192.168.0.1 Adresse vers la quelle le hôte 1.1.1.1 va être orienté
34. Formation Cisco ASA
Exemple de configuration de NAT destination
▪ Nous finissons par obtenir cette table NAT
Figure qui montre la table de NAT
35. Formation Cisco ASA
Ce qu’on a vu
▪ Exemple de configuration de NAT statique
▪ Exemple de configuration de NAT dynamique
▪ Exemple de configuration de NAT destination
37. Formation Cisco ASA
Le plan
▪ Exemple de configuration de NAT statique
▪ Exemple de configuration de NAT dynamique
▪ Exemple de configuration de NAT destination
38. Formation Cisco ASA
Exemple de configuration de NAT statique
▪ Voici un exemple de configuration de NAT statique Peer to Peer
nat (inside,outside) 2 source static REEL TRADUIT
▪ Voici un exemple de configuration de NAT statique Range to Range
nat (inside,outside) 2 source static REEL_INTERVAL TRADUIT_INTERVAL
object network REEL
host 192.168.0.1
object network TRADUIT
host 1.1.1.35
object network REEL_INTERVAL
host 192.168.0.1
object network TRADUIT_INTERVAL
host 1.1.1.35
39. Formation Cisco ASA
Exemple de configuration de NAT dynamique
▪ Voici un exemple de configuration de NAT dynamique
nat (inside,outside) 4 source dynamic REEL TRADUIT_INTERVAL
▪ Pour forcer cette règle de faire partie de la section 3 il faut utiliser le mot clé after-auto
nat (inside,outside) after-auto 1 source dynamic REEL TRADUIT_INTERVAL
40. Formation Cisco ASA
Exemple de configuration de NAT destination
▪ Nous utilisons ce genre de NAT pour que les hôtes de la zone outside puissent se connecter à des hôtes dans
la zone inside
▪ Une étape nécessaire à faire avant tout, outre que la configuration des politiques d’inspection IMAP, il faut
absolument appliquer une ACL permettant les flux en provenance de la zone outside d’y pénétrer à l’intérieur
access-list OUT_IN permit any ip 192.168.0.100 255.255.255.0
Access-group OUT_IN in interface outside
▪ Voici un exemple de configuration de NAT dynamique
nat (outside,inside) 1 source static TRADUIT REEL
41. Formation Cisco ASA
Exemple de configuration de NAT destination
▪ Nous finissons par obtenir cette table NAT
Figure qui montre la table de NAT
42. Formation Cisco ASA
Ce qu’on a vu
▪ Exemple de configuration de NAT statique
▪ Exemple de configuration de NAT dynamique
▪ Exemple de configuration de NAT destination
43. Formation Cisco ASA
Gestion des règles NAT avec ASDM
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
48. Formation Cisco ASA
Configuration de PAT-POOL en TWICE
▪ Voici à présent la topologie que nous allons utiliser pour configurer PAT-POOL pour accéder un service WEB
et service FTP depuis une zone externe vers une zone interne
Figure relative à la topologie utilisée pour tester le PAT-POOL
49. Formation Cisco ASA
Configuration de PAT-POOL en TWICE
▪ Voici la configuration de PAT/PATPOOL relative à la topologie qui permet la machine physique en zone
outside d’ y accéder aux services de la machine nommée seven située en zone inside
▪ Il faut commencer par créer les objets réseaux suivants:
object network ip21
host 1.1.1.21
object network ip80
host 1.1.1.80
▪ Il faut commencer par créer les objets service suivants:
object service ftp
service tcp destination eq 21
object service http
service tcp destination eq 80
50. Formation Cisco ASA
Configuration de PAT-POOL en TWICE
▪ En suite il faut définir les règles NAT en utilisant PAT-POOL pour désigner chaque trafic à sa propre
destination basée sur le port:
nat (inside,outside) source dynamic any pat-pool ip21 service ftp ftp
nat (inside,outside) source dynamic any pat-pool ip23 service telnet telnet
nat (inside,outside) source dynamic any pat-pool ip80 service http http
54. Formation Cisco ASA
Les outils de dépannage et de contrôle NAT
▪ Il existe plusieurs outils de dépannage et de contrôle du processus et des règles NAT au niveau du pare
feu ASA à savoir
• show nat / show nat detail :
Permet d’ afficher la table NAT en trois sections
Figure qui montre la sortie de la commande show nat detail
55. Formation Cisco ASA
Les outils de dépannage et de contrôle NAT
• show xlate/ clear xlate:
✓ La commande show xlate permet le traçage des processus NAT lancés à l’instant de son
exécution, la sortie xlate peut être persistée en cas d’utilisation d’un serveur Syslog
✓ La commande clear xlate permet d’effacer la trace dernièrement générée par xlate
Figure qui montre la sortie de la commande show xlate
56. Formation Cisco ASA
Les outils de dépannage et de contrôle NAT
• show conn:
Permet de tracer les connexions établies entre deux Peer à un intervalle de temps donné
Figure qui montre la sortie de la commande show conn avec ses différentes options
57. Formation Cisco ASA
Les outils de dépannage et de contrôle NAT
• show cpu/memory:
Permet de voir les niveaux de consommation des ressources en terme de mémoire et cpu
Figure qui montre les sorties de commandes show memory et show cpu avec leurs options
58. Formation Cisco ASA
Les outils de dépannage et de contrôle NAT
• debug:
✓ C’est un outil de traçage polyvalent et très informatif, souvent utilisé lorsqu’il s’agit d’anomalie
ambigüe au niveau des configurations
✓ Il permet de tracer tout genre de trafique lancé chacun à part, cependant, il est gourmant en terme de
consommation des ressources, par conséquent, il ne faut pas en abuser
✓ Exemple d’utilisation dans le contexte de débogage du processus NAT est la commande debug nat
✓ Un autre exemple d’utilisation debug icmp pour tracer les requêtes ICMP
59. Formation Cisco ASA
Les outils de dépannage et de contrôle NAT
• Packet-tracer:
✓ A la différence de la commande debug généralisée, cet outils est plus spécifique au débogage de NAT, il
est utilisé en mode ligne de commande ou encode en mode graphique sous ASDM
✓ Le packet-tracer génère un journal qui décrit les différentes étapes de déroulement du processus NAT en
indiquant le niveau de blocage s’il y on a et il précise la source de blocage
✓ Voici quelques exemples de cas d’utilisation de packet-tracer en mode ligne de commande
packet-tracer input inside tcp 192.168.0.1 2323 10.0.0.1 23
packet-tracer input inside icmp 192.168.0.1 0 0 10.0.0.1
Remarque: Cliquez ce lien pour plus de détails concernant les types ICMP et leur utilisation
60. Formation Cisco ASA
Les outils de dépannage et de contrôle NAT
Entrer au niveau de la
section Firewall sous la
section Configuration
Sélectionner la deuxième
ligne à droite Nat Rules
Sélectionner la règle NAT
à analyser dans la liste
Cliquer le bouton Packet
Trace
1
2
3
4
1
2
3
4
Figure qui montre l’usage de packet tracer en mode graphique
61. Formation Cisco ASA
Les outils de dépannage et de contrôle NAT
Figure qui montre le paramétrage de packet tracer
1 2
3
4 Sélectionner la zone
source du lancement de
trafic
Sélectionner le type de
paquet analysé
Sélectionner l’adresse IP
source et destination ainsi
que le port utilisé
Cliquer le bouton Start
1
2
3
4
63. Formation Cisco ASA
Rappel sur la notion des VLANs
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
64. Formation Cisco ASA
Le plan
▪ Définition des VLANs
▪ Les types de VLANs
▪ La notion de jonctions
▪ Le protocole Spanning Tree
65. Formation Cisco ASA
Définition des VLANs
▪ VLAN est l’acronyme de Virtual LAN, le VLAN étant définit comme une division virtuelle ou logique des hôtes en
groupes ou en réseaux locaux virtuels
▪ Les VLANs font partie de la couche de liaison de données du model OSI, par analogie, ils sont équivalents aux sous-
réseaux du protocole IP qui fait partie de la couche réseau du model OSI
▪ Les VLANs se basent sur quatre principes
• L’indépendance de la dimension physique
• La sécurité
• La flexibilité
• La réduction du domaine de diffusion
66. Formation Cisco ASA
Les types des VLANs
▪ VLAN par défaut:
• Lors du premier démarrage du commutateur tous les ports font partie de ce VLAN, c'est techniquement le
VLAN 1, ce VLAN ne peut pas être supprimé du commutateur.
▪ VLAN de données:
• Il s'agit du VLAN standard qui assure le transport des données qui sont transmises au niveau du réseau local
▪ VLAN natif:
• Le VLAN natif est un concept unique de la norme 802.1Q.
• Le trafic appartenant au VLAN natif n'est pas marqué c’est-à-dire le TAG n’est pas utilisé dans ce cas.
• Il est à noter que le VLAN 1 qui est le VLAN par défaut est un VLAN natif.
▪ VLAN de Voix:
Le VLAN vocal se distingue du VLAN des données par le faite que dans ce cas les politiques QoS sont
appliquées à fin de donner la priorité aux trafic liés aux voix
67. Formation Cisco ASA
Les types des VLANs
▪ VLAN de gestion:
• Ce VLAN assure la transmission du trafic sensible de point de vue du contrôle
• Certains des protocoles utilisés sur ce VLAN sont FTP, TFTP, Telnet, SSH, SCP et bien d’autres types de
trames
▪ VLANs spéciaux:
• Ces VLAN sont essentiellement utilisés pour des cas spéciaux sur le réseau local
• Un exemple d'un VLAN spécial serait VLAN 0, est utilisé lorsque le commutateur doit envoyer des
trames à priorité élevée mais il ne sait pas vers quel destination doivent être envoyées
▪ VLANs réservés:
• Il existe des VLANs réservés en interne à fin de les utiliser sur d'autres environnements
comme FDDI, Token Ring.
• Les VLANs spécifiques utilisés pour ces deux types de réseaux font partie de l’intervalle 1002 à 1005
68. Formation Cisco ASA
La notion de jonction
▪ Une jonction est définie comme le lien entre deux équipements plus précisément des commutateurs
▪ Chaque trame est orientée vers son VLAN de destination appropriée
▪ Les deux commutateurs entrent en communication via des ports spécialement configurés appelés des ports de
jonction
▪ Le port de jonction est un type spécial de port qui servira seulement au transport des trames des divers VLANs entre
les commutateurs physiques
▪ Les deux commutateurs doivent avoir leurs ports qui assurent la jonction configurés de la même manière, c’est-à-dire
il utilisent le même type d’encapsulation
▪ Pour distinguer les trames faisant partie des différents VLANs, il y a deux normes employées à savoir:
• la norme propriétaire de CISCO ISL « Inter Switch Link »
• la norme standard 802.1 Q utilisée par les autres les concurrents ainsi que CISCO
69. Formation Cisco ASA
La notion de jonction
▪ La norme ISL « Inter Switch Link » utilise une technique d’encapsulation de la trame avant sont envoi
▪ La norme 802.1 Q injecte un TAG qui est un segment constitué de trois parties comme le montre la figure
70. Formation Cisco ASA
La notion de jonction
▪ La norme ISL « Inter Switch Link » utilise une technique d’encapsulation de la trame avant sont envoi
▪ La norme 802.1 Q injecte un TAG qui est un segment constitué de trois parties comme le montre la figure
71. Formation Cisco ASA
Le protocole Spanning Tree
▪ C’est un protocole qui prévient un ensemble de commutateurs montés en boucle d’envoyer les trames dans un cycle
de transmission infini en bloquant certains ports au niveau du boucle
▪ Les réseaux commutés de type Ethernet doivent avoir un chemin unique entre deux points
▪ Il existe une variété de ce protocole qui est le Rapid Spanning Tree Protocol qui la plus utilisé en raison de sa
performance
Cette figure montre une topologie de commutateurs en boucle
72. Formation Cisco ASA
Ce qu’on a vu
▪ Définition des VLANs
▪ Les types de VLANs
▪ La notion de jonctions
▪ Le protocole Spanning Tree
79. Formation Cisco ASA
Configuration du commutateur
Voici à présent la topologie relative à notre scénario
La topologie relative au scénario
80. Formation Cisco ASA
Configuration du commutateur
Configurer le commutateur qui lie le réseau interne au pare feu ASA
La configuration de VLAN 100:
vlan 100
name VLAN100
int vlan 100
ip address 192.168.0.1 255.255.255.0
no shutdown
La configuration de VLAN 200:
vlan 200
name VLAN200
ip address 192.168.1.1 255.255.255.0
no shutdown
La configuration de ethernet 0/0:
e 0/0:
no switchport
ip address 172.16.1.2 255.255.255.252
La configuration du routage par défaut
ip route 0.0.0.0 0.0.0.0 172.16.1.1
L’affectation des interfaces de test au VLAN
e 0/1:
Switchport access vlan 100
e 0/2:
Switchport access vlan 200
82. Formation Cisco ASA
Scénario1-Connexion des VLANs à Internet
Configuration du pare feu avec CLI
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
84. Formation Cisco ASA
Configuration du pare feu
Configurer le pare feu ASA pour qu’il aille deux zones une interne inside et autre externe outside, il faut également
configurer les politiques IMAP pour permettre le déroulement du trafic Web et ICMP ainsi que les mécanismes de NAT
et les routages nécessaires
La configuration l’interface outside:
interface GigabitEthernet0
nameif outside
security-level 0
ip address 200.0.0.100 255.255.255.0
no shutdown
La configuration de l’interface inside:
interface GigabitEthernet1
nameif inside
security-level 100
ip address 172.16.1.2 255.255.0.0
no shutdown
La configuration de NAT
object network LAN
subnet 172.16.1.0 255.255.255.0
nat (inside,outside) dynamic interface
object network VLAN100
subnet 192.168.0.0 255.255.255.0
nat (inside,outside) dynamic interface
object network VLAN200
subnet 192.168.1.0 255.255.255.0
nat (inside,outside) dynamic interface
85. Formation Cisco ASA
Configuration du pare feu
Configurer le pare feu ASA pour qu’il aille deux zones une interne inside et autre externe outside, il faut également
configurer les politiques IMAP pour permettre le déroulement du trafic Web et ICMP ainsi que les mécanismes de NAT
et les routages nécessaires
La configuration du routage par défaut:
route outside 0.0.0.0 0.0.0.0 200.0.0.1
route inside 192.168.100.0 255.255.255.0 172.16.0.2
route inside 192.168.200.0 255.255.255.0 172.16.0.2
La configuration des politiques d’inspection globales:
class-map global-class
match default-inspection-traffic
policy-map GLOBAL
class global-class
inspect icmp
inspect dns
inspect http
service-policy GLOBAL global
88. Formation Cisco ASA
Le plan
▪ Scénario2: Configuration du pare feu avec la ligne
avec ASDM
89. Formation Cisco ASA
Configuration du pare feu ASA avec ASDM
▪ La même configuration des sous interfaces et des VLANs sera assurée cette fois ci à l’aide de ASDM
Figure qui montre la topologie du scénario1
90. Formation Cisco ASA
Configuration du pare feu ASA avec ASDM
▪ Voici à présent la configuration au niveau du pare feu:
La configuration de l’interface GigabiteEthernet 1.10:
vlan 10
nameif hotes
security-level 100
ip address 192.168.10.1 255.255.255.0
no shutdown
La configuration de l’interface GigabitEthernet 1.20:
vlan 20
nameif serveurs
security-level 100
ip address 192.168.20.1 255.255.255.0
No shutdown
91. Formation Cisco ASA
Ce qu’on a vu
▪ Scénario2: Configuration du pare feu avec la ligne de
commande CLI
94. Formation Cisco ASA
Configuration Inter VLAN avec ASA
La dernière étape consiste à configurer les commutateur qui doit être de type IOU et le test de la topologie
Figure qui montre la topologie du scénario 1
95. Formation Cisco ASA
Configuration Inter VLAN avec ASA
Voici à présent la configuration au niveau du commutateur:
La configuration de l’interface Ethernet 0/0:
interface Ethernet0/0
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10,20
switchport mode trunk
La configuration de l’interface Ethernet 0/1:
interface Ethernet0/1
switchport access vlan 10
La configuration de l’interface Ethernet 0/2:
interface Ethernet0/2
switchport access vlan 20
La configuration du VLAN 100:
int vlan 100
ip address 192.168.10.1
no shutdown
La configuration du VLAN 200:
int vlan 200
ip address 192.168.20.1
no shutdown
98. Formation Cisco ASA
Le plan
▪ Scénario2: Configuration d’une connexion à internet
redondante
99. Formation Cisco ASA
Configuration d’une connexion à internet redondante
▪ Le scénario consiste à utiliser la redondance des interfaces pour assurer la connexion à internet
Figure qui montre la topologie du scénario 2
100. Formation Cisco ASA
Ce qu’on a vu
▪ Scénario2: Configuration d’une connexion à internet
redondante
103. Formation Cisco ASA
Configuration du routeur
La première étape consiste à configurer les routeur qui doit assurer la connexion à internet
Figure qui montre la topologie du scénario 2
104. Formation Cisco ASA
Configuration du routeur
Voici à présent la configuration au niveau du commutateur:
La configuration de l’interface Ethernet 0/0:
interface Ethernet0/0
no shutdown
ip address 192.168.137.2 255.255.255.0
ip nat outside
exit
La configuration de l’interface Ethernet 0/1:
no shutdown
ip address 10.0.0.1 255.0.0.0
ip nat inside
exit
La configuration du dernier ressort
ip route 0.0.0.0 0.0.0.0 192.168.137.1
La configuration ACL
access-list 1 permit 10.0.0.0 0.255.255.255
ip nat inside source list 1 interface ethernet 0/0 overload
107. Formation Cisco ASA
Le plan
▪ Scénario2: Configuration du pare feu avec la ligne de
commande CLI
108. Formation Cisco ASA
Configuration du pare feu ASA avec CLI
▪ Cette étape consiste à configurer le pare feu ASA à l’aide de la ligne de commande
Figure qui montre la topologie du scénario 2
109. Formation Cisco ASA
Configuration du pare feu ASA avec CLI
▪ Voici à présent la configuration au niveau du pare feu:
L’activation des interfaces membres :
interface g 0
no shut
interface g 1
no shutdown
interface g 2
no shut
interface g 3
no shutdown
Configuration de l’interface redondante externe:
interface redundant 1
member-interface g 0
member-interface g 1
nameif outside
security-level 0
ip address 10.0.0.10 255.255.255.0
exit
Configuration de l’interface redondante interne:
interface redundant 2
member-interface g 2
member-interface g 3
nameif inside
ip address 192.168.20.0 10 255.255.255.0
exit
110. Formation Cisco ASA
Configuration du pare feu ASA avec CLI
▪ Voici à présent la configuration au niveau du pare feu:
Configuration du routage par défaut au niveau asa :
Route outside 0 0 interface <@IP du FAI>
Remarque: Pour connaître l’adresse IP du FAI, il suffit
de la chercher au site https://cmyip.com/
Configuration de NAT:
object network net-192.168.20
subnet 192.168.20.0 255.255.255.0
nat (inside,outside) dynamic interface
Configuration d’inspection de ICMP:
class-map global-class
match default-inspection-traffic
policy-map GLOBAL
class global-class
inspect icmp
service-policy GLOBAL global
111. Formation Cisco ASA
Ce qu’on a vu
▪ Scénario2: Configuration du pare feu avec la ligne de
commande CLI
114. Formation Cisco ASA
Configuration du routeur ASA avec ASDM
▪ Cette étape consiste à configurer le pare feu ASA à l’aide de la ligne de commande
Figure qui montre la topologie du scénario 2
115. Formation Cisco ASA
Configuration du routeur ASA avec ASDM
▪ Voici à présent la configuration au niveau du pare feu:
L’activation des interfaces membres :
interface g 0
no shut
interface g 1
no shutdown
interface g 2
no shut
interface g 3
no shutdown
Configuration de l’interface redondante externe:
interface redundant 1
member-interface g 0
member-interface g 1
nameif outside
security-level 0
ip address 10.0.0.10 255.255.255.0
exit
Configuration de l’interface redondante interne:
interface redundant 2
member-interface g 2
member-interface g 3
nameif inside
ip address 192.168.20.1 255.255.255.0
exit
116. Formation Cisco ASA
Configuration Inter VLAN avec ASA
▪ Voici à présent la configuration au niveau du pare feu:
Configuration du routage par défaut au niveau asa :
Route outside 0 0 interface <@IP du FAI>
Remarque: Pour connaître l’adresse IP du FAI, il suffit
de la chercher au site https://cmyip.com/
Configuration de NAT:
object network net-192.168.20
subnet 192.168.20.0 255.255.255.0
nat (inside,outside) dynamic interface
Configuration d’inspection de ICMP:
class-map global-class
match default-inspection-traffic
policy-map GLOBAL
class global-class
inspect icmp
service-policy GLOBAL global
118. Formation Cisco ASA
Configuration de Ether Channel
sous ASA avec CLI
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
119. Formation Cisco ASA
Le plan
▪ Configuration de Ether Channel sous ASA avec CLI
▪ Présentation des commandes de contrôle et dépannage
120. Formation Cisco ASA
Configuration de Ether Channel sous ASA avec CLI
Figure qui montre la connexion Ether Channel entre le pare feu ASA et deux commutateurs IOU
121. Formation Cisco ASA
Configuration de Ether Channel sous ASA avec CLI
▪ Voici à présent la configuration du Ether Channel au niveau du commutateur:
▪ Voici à présente la configuration du pare feu ASA, il faut tout d’abord ajouter les interface au Port-Channel
corréspendant
▪
int gigabitehternet 0
no shutdown
channel-group 1 mode on
int gigabitehternet 1
no shutdown
channel-group 1 mode on
int ehternet 0/0
no shutdown
switchport trunk encapsulation dot1q
switchport mode trunk
duplex full
channel-group 1 mode on
int ehternet 0/1
no shutdown
switchport trunk encapsulation dot1q
switchport mode trunk
duplex full
channel-group 1 mode on
122. Formation Cisco ASA
Présentation des outils de contrôle et de dépannage
▪ Ensuite, il faut configurer le Port-Channel en question en l’attribuant le nom et l’adresse IP et vérifier
sont état
interface port-channel 1
nameif ehterchannelzone
security-level 100
ip address 192.168.137.2 255.255.255.0
exit
▪ Il est possible de vérifier l’état du Ether Channel de part est d’autre de la connexion à savoir côté
commutateur et côté pare feu ASA
COMMUTATEUR:
show ip arp <interface>
show int et0/0 | in MAC
show port-channel <indice> brief
show port-channel <indice> load-balance
show port-channel summary
PARE FEU ASA:
show run interface <interface>
show interfaces <interface> | include line protocol
show ip int brief | include Port
show etherchannel summary | begin Group
show etherchannel <indice> detail
123. Formation Cisco ASA
Ce qu’on a vu
▪ Configuration de Ether Channel sous ASA avec CLI
▪ Présentation des commandes de contrôle et dépannage
124. Formation Cisco ASA
Connexion des interfaces de
même niveau de sécurité
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
126. Formation Cisco ASA
Connexion des interfaces de même niveau de sécurité
Voici à présent la topologie utilisée pour notre cas d’établissement de connectivité de deux interface ayant le même
niveau de sécurité
Figure qui montre la connexion de deux interfaces de même niveau de sécurité
127. Formation Cisco ASA
Connexion des interfaces de même niveau de sécurité
▪ Voici à présent la configuration du Ether Channel au niveau du commutateur:
▪ En suite, il faut configurer un routage par défaut de side1 vers side2
route side1 0 0 172.16.0.1
▪ Enfin, il faut permettre la circulation du trafic à travers la commande
same-security-level permit inter-interface
int gigabitethernet 0/0
no shutdown
nameif side1
ip address 192.168.0.1
security-level 100
int gigabitethernet 0/1
no shutdown
nameif side2
ip address 172.16.0.1
security-level 100
128. Formation Cisco ASA
Ce qu’on a vu
▪ Connexion des interfaces de même niveau de sécurité
129. Formation Cisco ASA
Rappel sur la notion du routage
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
130. Formation Cisco ASA
Le plan
▪ La définition de la notion du routage
▪ Le routage statique
▪ Le routage dynamique
131. Formation Cisco ASA
La définition de la notion du routage
▪Le routage est le processus d’acheminement de trafic entre deux ou plusieurs réseaux
différents
Représentation d’une topologie qui montre un routage de deux réseaux différents
132. Formation Cisco ASA
Le routage statique
▪ Il y a trois types de routages qui sont respectivement:
• Le routage statique:
✓ Le routage statique est configuré manuellement par un administrateur réseau en ajoutant des
entrées dans la table de routage.
✓ Les itinéraires statiques sont fixes et ne changent pas si le réseau est modifié ou reconfiguré.
✓ Ce genre de routage est utilisé au niveau des réseaux de petite taille, car il est plus rapide que les
autres types de routage
✓ La syntaxe utilisée pour le routage statique prend la forme suivante
ip route <@réseau de destination> <@masque> <@IP saut suivant>
ip route <@réseau de destination> <@masque> <interface saut suivant>
133. Formation Cisco ASA
Le routage statique
• Le routage par défaut:
✓ Le routage par défaut peut être considéré comme une sous catégorie de routage statique où le
réseau de destination ainsi que le masque sont formés d’une suite de 0 et l’itinéraire du dernier
ressort est représenté par une adresse IP bien particulière
✓ Ce genre de routage est utilisé essentiellement pour des raisons de test et de dépannage
✓ La syntaxe utilisée pour le routage par défaut prend la forme suivante
ip route 0.0.0.0 0.0.0.0 <@IP saut suivant>
ip route 0.0.0.0 0.0.0.0 <interface saut suivant>
134. Formation Cisco ASA
Le routage statique
▪ Voici à présent une représentation d’une table de routage qui montre la coexistence des deux types de
routage à savoir le routage statique et celui par défaut
Figure qui montre une table de routage
135. Formation Cisco ASA
Le routage dynamique
▪ Le routage dynamique est une technique de routage automatiquement via des algorithmes et protocoles
bien définit
▪ Dans le cas du routage dynamique, les routeurs sélectionnent les chemins en fonction des changements de
mise à jour en réseau en temps réel.
▪ Le protocole du routage fonctionnant sur le routeur est responsable de la création, de la maintenance et
de la mise à jour de la table de routage d’une façon dynamique.
▪ Le routage dynamique utilise plusieurs algorithmes et protocoles dont les plus populaires sont Routing
Information Protocol « RIP », Open Shortest Path First « OSPF » et Enhnaced Interior Gateway
Routing Protocol « EIGRP ».
136. Formation Cisco ASA
Le routage dynamique
▪Les protocoles dynamiques permettent :
• Le partage des informations entre les divers routeurs interconnectés
• La mise à jour les tables de routage
• La détermination des meilleurs chemins
• La découverte des réseaux distants
• Le choix de la meilleure alternative en cas où le meilleur chemin n’est pas disponible
137. Formation Cisco ASA
Ce qu’on a vu
▪ La définition de la notion du routage
▪ Le routage statique
▪ Le routage dynamique
138. Formation Cisco ASA
Mode routé vs mode transparent
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
139. Formation Cisco ASA
Le plan
▪ Comparaison mode routé et mode transparent
▪ Configuration du mode transparent
140. Formation Cisco ASA
Comparaison mode routé et mode transparent
▪ IL existe deux modes offerts dans le cadre d’un pare feu ASA:
• Le mode routé
• Le mode transparent
▪ Pour le mode routé, le pare feu ASA joue le rôle du routeur entre le réseau interne et le réseau externe outre que son
rôle de filtrage des flux entrants et sortants
Figure qui montre le mode routé du pare feu ASA
141. Formation Cisco ASA
Comparaison mode routé et mode transparent
▪ Le mode transparent:
• Pour le mode transparent, le pare feu ASA n’assure pas le routage
• Une seule adresse sera attribuée pour représenter l’ensemble des interfaces activées qui doit faire partie de la même
plage du réseau interne il s’agit d’une interface virtuelle BVI « Bridge Virtual Interface »
• Le pare feu est considéré comme équipement niveau 2 faisant partie de la couche liaison
• Le par feu sera transparent pour les réseaux externes y compris les auteurs d’attaques
Figure qui montre le mode transparent du pare feu ASA
142. Formation Cisco ASA
Configuration du mode transparent
▪ Exemple de configuration du mode transparent:
Configuration de l’interface virtuelle
Interface BVI1
Ip address 10.0.0.254
firewall transparent
Configuration de l’interface gigabitethernet 0
interface gigabitethernet 0
no shutdown
nameif outside
bridge-group 1
Configuration de l’interface gigabitethernet 1
interface gigabitethernet 1
no shutdown
nameif inside
bridge-group 1
▪ Il est toujours possible de vérifier le mode adopté soit routé ou transparent à l’aide de la commande
show firewall
143. Formation Cisco ASA
Configuration du mode transparent
▪ Il ne faut pas oublier de configurer les politiques d’inspections IMAP qui correspondent au besoin pour que le pare feu
puisse laisser circuler le trafic en cas de test de connectivité en utilisant des requêtes ICMP par exemple, il faut configurer
les politiques d’inspection
Configuration des politiques d’inspections
class-map inspection_default
match default-inspection-traffic
inspect icmp
inspect icmp error
service-policy global_policy global
144. Formation Cisco ASA
Ce qu’on a vu
▪ Comparaison mode routé et mode transparent
▪ Configuration du mode transparent
145. Formation Cisco ASA
ASA et le routage statique
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
146. Formation Cisco ASA
Le plan
▪ Présentation de la topologie
▪ Configuration des modes de routage statiques
147. Formation Cisco ASA
Les modes de routages statiques
▪ Voici à présent la topologie relative à la configuration du routage statique sous le pare feu ASA
Figure qui représente la topologie de routage statique
148. Formation Cisco ASA
Les modes de routages statiques
▪ Voici à présent les configurations des deux routeurs R1 et R2 ainsi que le pare feu ASA pour établir un routage statique
par défaut vers la zone outside et un routage statique vers la zone inside
Configuration du pare feu ASA
Configuration du routage
Configuration de interface gigabitethernet 0
int gigabitethernet 0
nameif outside
ip add 192.168.1.100 255.255.255.0
no shut
exit
Configuration de interface gigabitethernet 1
int gigabitethernet 1
nameif inside
ip add 10.10.10.100 255.255.255.0
no shut
exit
Configuration routage statique par défaut
!routage par défaut vers outside
route outside 0 0 192.168.1.1
Configuration du routage statique
!routage par défaut vers inside
route inside 10.20.20.0 255.255.255.0 10.10.10.1
149. Formation Cisco ASA
Les modes de routages statiques
Configuration des routeurs R1 et R2
Configuration de interface ethernet 0/0 de R1
int ethernet 0/0
no shut
ip address 10.10.10.1 255.255.255.0
exit
Configuration de interface loopback 0 de R1
int lo0
ip address 10.20.20.1 255.255.255.255
exit
Configuration de interface ethernet 0/0 de R2
int ethernet 0/0
no shut
ip address 192.168.1.1 255.255.255.0
exit
Configuration de interface loopback 0 de R2
int lo0
ip add 192.168.2.2 255.255.255.255
exit
150. Formation Cisco ASA
Ce qu’on a vu
▪ Présentation de la topologie
▪ Configuration des modes de routage statiques
151. Formation Cisco ASA
ASA et le routage RIP
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
153. Formation Cisco ASA
Configuration du routage dynamique RIP
▪ Voici à présent la topologie relative à la configuration du routage RIP version 2 sous le pare feu ASA
Figure qui représente la topologie de routage dynamique RIP version 2
154. Formation Cisco ASA
Configuration du routage dynamique RIP
▪ Il faut configurer les interfaces au niveau du routeur R1
Configuration des interfaces ethernet 0/0 et ethernet 0/1:
▪ En suite, il faut configurer le mode de routage RIP version 2
router rip
version 2
no auto-summary
network 10.0.0.0
network 192.168.0.0
int ethernet 0/0
no shutdown
ip address 192.168.0.1 255.255.255.0
int ethernet 0/1
no shutdown
ip address 10.10.10.1 255.255.255.0
155. Formation Cisco ASA
Configuration du routage dynamique RIP
▪ Au niveau du pare feu ASA, il faut configurer l’ interface qui lie ce premier au routeur R1 :
Configuration interfaces:
int g 1
nameif rip
security-level 100
ip add 192.168.0.100 255.255.255.0
no shutdown
▪ Il est possible de bloquer les messages Hello envoyés dans le cadre d’échange d’informations de routage et de mise à jour
de la table de routage pour des raisons de sécurité à travers la commande passive-interface suivie par le nom de
l’interface du pare feu ASA au niveau de la porté de routage qu’on veut pas quelle participe dans les échanges des
messages Hello
▪ En suite, il faut configurer le protocole de routage RIP version2 sous ASA
router rip
version 2
no auto-summary
network 10.0.0.0
network 192.168.0.0
159. Formation Cisco ASA
Configuration du routage dynamique EIGRP
▪ Voici à présent la topologie relative à la configuration du routage EIGRP sous le pare feu ASA
Figure qui représente la topologie de routage dynamique EIGRP
160. Formation Cisco ASA
Configuration du routage dynamique EIGRP
▪ Il faut configurer les interfaces au niveau du routeur R1
Configuration des interfaces ethernet 0/0 et ethernet 0/1:
▪ En suite, il faut configurer le mode de routage EIGRP
router rip
version 2
no auto-summary
network 10.0.0.0
network 192.168.0.0
int ethernet 0/0
no shutdown
ip address 192.168.0.1 255.255.255.0
int ethernet 0/1
no shutdown
ip address 10.10.10.1 255.255.255.0
161. Formation Cisco ASA
Configuration du routage dynamique EIGRP
▪ Au niveau du pare feu ASA, il faut configurer l’ interface qui lie ce premier au routeur R1 :
Configuration interfaces:
int gigabitethernet 1
nameif rip
security-level 100
ip add 192.168.0.100 255.255.255.0
no shutdown
▪ Il est possible de bloquer les messages Hello envoyés dans le cadre d’échange d’informations de routage et de mise à jour
de la table de routage pour des raisons de sécurité à travers la commande passive-interface suivie par le nom de
l’interface du pare feu ASA au niveau de la porté de routage qu’on veut pas quelle participe dans les échanges des
messages Hello
▪ En suite, il faut configurer le protocole de routage RIP version2 sous ASA
router eigrp version 1
no auto-summary
network 192.168.0.0
165. Formation Cisco ASA
Configuration du routage dynamique OSPF
▪ Voici à présent la topologie relative à la configuration du routage OSPF sous le pare feu ASA
Figure qui représente la topologie de routage dynamique OSPF
166. Formation Cisco ASA
Configuration du routage dynamique OSPF
▪ Il faut configurer les interfaces au niveau du routeur R1
Configuration des interfaces ethernet 0/0 et ethernet 0/1:
▪ En suite, il faut configurer le mode de routage OSPF
router ospf 1
network 10.0.0.0 0.0.0.255 area 0
network 192.168.0.0 0.0.0.255 area 0
int ethernet 0/0
no shutdown
ip address 192.168.0.1 255.255.255.0
int ethernet 0/1
no shutdown
ip address 10.10.10.1 255.255.255.0
167. Formation Cisco ASA
Configuration du routage dynamique OSPF
▪ Au niveau du pare feu ASA, il faut configurer l’ interface qui lie ce premier au routeur R1 :
Configuration interfaces:
int g 1
nameif ospf
security-level 100
ip add 192.168.0.100 255.255.255.0
no shutdown
▪ Il est possible de bloquer les messages Hello envoyés dans le cadre d’échange d’informations de routage et de mise à jour
de la table de routage pour des raisons de sécurité à travers la commande passive-interface suivie par le nom de
l’interface du pare feu ASA qu’on veut pas quelle participe dans les échanges des messages Hello
▪ En suite, il faut configurer le protocole de routage RIP version2 sous ASA
router ospf 1
network 10.0.0.0 0.0.0.255 area 0
network 192.168.0.0 0.0.0.255 area 0
169. Formation Cisco ASA
Le Bilan
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
170. Formation Cisco ASA
Le Bilan de la formation
▪ Les chapitres
Chapitre 0: Chapitre introductif
Chapitre I: La configuration des règles NAT sous ASA
Chapitre II: La configuration des VLANs sous ASA
Chapitre III: La configuration des interfaces sous ASA
Chapitre IV: La configuration du routage sous ASA
Chapitre V: Le Bilan
171. Formation Cisco ASA
Le plan de la formation
▪ Les chapitres
Chapitre 0: Chapitre introductif
Chapitre I: La configuration des règles NAT sous ASA
Implémentation de NAT pour ASA
Configuration de NAT en Objet réseau
Configuration de NAT en TWICE
Gestion des règles NAT avec ASDM
Configuration de PATPOOL en TWICE
Les outils de dépannage et de contrôle NAT
Présentation de la formation
172. Formation Cisco ASA
Le plan de la formation
▪ Les chapitres
Chapitre II: La configuration des VLANs sous ASA
Rappel sur la notion des VLANs
Scénario1-Connection des VLANs à Internet-Présentation
Scénario1-Configration du Commutateur
Scénario1-Configration du pare feu-Ligne de commande
Scénario1-Configration du pare feu-ASDM
173. Formation Cisco ASA
Le plan de la formation
▪ Les chapitres
Chapitre III: La configuration des interfaces sous ASA
Présentation des interfaces sous ASA
Scénario1-Configration des sous interfaces-Présentation
Scénario1-Configration du pare feu ASA-Ligne de commande
Scénario1-Configration du pare feu ASA-ASDM
Scénario1-Configration du Commutateur
174. Formation Cisco ASA
Le plan de la formation
▪ Les chapitres
Chapitre III: La configuration des interfaces sous ASA
Scénario2-Configuration des interfaces redondantes-Présentation
Scénario2-Configration du Routeur
Scénario2-Configration du pare feu ASA-Ligne de commande
Scénario2-Configration du pare feu ASA-ASDM
Configuration de Ether Channel sous ASA
Connexion des interfaces de même niveau de sécurité
175. Formation Cisco ASA
Le plan de la formation
▪ Les chapitres
Chapitre IV: La configuration du routage ASA
Rappel sur la notion du routage
Mode routé, Mode transparent
ASA et routage statique
ASA et routage RIP
ASA et routage EIGRP
ASA et routage OSPF
176. Formation Cisco ASA
Le plan de la formation
▪ Les chapitres
Chapitre V: Le Bilan
Le Bilan