SlideShare une entreprise Scribd logo
1  sur  176
Formation Cisco ASA
Formation ASA niveau intermédiaire
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Présentation générale
Figure qui montre des modèles de pare feu 55XX
Formation Cisco ASA
Présentation formateur
▪ Béchir Béjaoui - consultant et formateur indépendant
▪ Mail: me780411@gmail.com
▪ LinkedIn : https://www.linkedin.com/in/bejaoui-06b2452b/
Formation Cisco ASA
Le plan de la formation
▪ Les chapitres
Chapitre 0: Chapitre introductif
Chapitre I: La configuration des règles NAT sous ASA
Chapitre II: La configuration des VLANs sous ASA
Chapitre III: La configuration des interfaces sous ASA
Chapitre IV: La configuration du routage sous ASA
Chapitre V: Le Bilan
Formation Cisco ASA
Prérequis
▪ Il sera recommandé de voir la formation Vos premiers pas avec le pare feu ASA
▪ Il est recommandé d’être familier aux autres produits Cisco routeurs et commutateurs
▪ Avoir des connaissances relatives à l’utilisation et à la configuration des logiciels de
simulation
• Cisco Packet Tracer
• GNS 3
• Le logiciel de virtualisation Virtual Box,
• Le logiciel de virtualisation VMware
• Le logiciel de virtualisation QEMU
Formation Cisco ASA
Public concerné
▪ Les personnes ayant des connaissances de niveau intermédiaire en terme de réseau, comme les
étudiants ou encore les stagiaires au sein des entreprises, ce pendant, ils ont déjà une première idée
sur le pare feu ASA
▪ Les personnes qui ont débutés déjà leur carrière en IT et qui veulent passer la certification CCNA
sécurité
▪ Les personnes ayant un niveau d’expertise en domaine IT autre que CISCO tel que les infrastructures
Windows, Linux , Juniper et Huawei et qui veulent avoir des connaissances en terme de configuration
et de gestion des pare feu Cisco ASA
Formation Cisco ASA
Objectifs visés
▪ Le principal objectif de cette formation et de vous assurer faire découvrir les techniques de configuration du
pare feu ASA
▪ Après avoir suivi cette formation vous serez sensé de connaître
• La différence entre les deux principaux mode de configuration des règles NAT
• La gestion des VLANs et leur connexion à internet dans un contexte de protection du pare feu ASA
• La capacité de gérer et de configurer les interfaces d’un pare feu ASA
• La capacité de distinguer les divers modes de configuration des interfaces
• La capacité de distinguer entre le mode routé et le mode transparent
• La capacité de configurer le pare feu pour jouer le rôle d’un routeur
Formation Cisco ASA
Vos premiers pas avec Cisco ASA
Formation Cisco ASA
Rappel sur la notion NAT
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Introduction de la notion NAT
▪ Les types de NAT
Formation Cisco ASA
Introduction de la notion NAT
▪ NAT est l’acronyme de « Network Access Translation »
▪ NAT est une alternative de solution vis-à-vis à la limitation et de pénurie des adresses IPV4 utilisées à
travers le monde
▪ Il faut rappeler qu’il existe deux champs d’applications des adresses IP à savoir, le réseau privé et le
réseau public
▪ Si les mêmes adresses seront utilisées dans les deux champs, il y aura une pénurie rapide de stock
d’adresses IP « 232 adresses » utilisées à travers le monde
▪ Par conséquent, IANA « Internet Assigned Numbers Authority » à précisé trois rangées d’adresses à
usage privées qui sont utilisées dans les réseaux internes et des adresses à usage publique utilisées au
niveau des réseaux publiques
Formation Cisco ASA
Introduction de la notion NAT
▪ Les adresses privées font partie des intervalles
• Entre 10.0.0.0 et 10.255.255.255 faisant partie de la classe A
• Entre 172.16.0.0 et 172.16.31.255.255 faisant partie de la classe B
• Entre 192.168.0.0 et 192.168.255.255 faisant partie de la classe C
▪ Pour que ces adresses puissent sortir sur le réseau public, elles doivent être traduites en adresses
publiques, de même pour que les hôtes situés aux réseaux public puissent y pénétrer dans les réseaux
privés il doivent passer par le processus inverse de traduction
Formation Cisco ASA
Les types de NAT
▪ Il existe 4 formes de NAT
• NAT dynamique :
Traduit un intervalle d'adresses privées en un groupe d’adresses routables sur le réseau de
destination. Chaque hôte utilise une adresse différente à chaque fois une traduction est effectuée
Formation Cisco ASA
Les types de NAT
• NAT statique :
Traduit un nombre fixe d'adresses privées en un nombre fixe équivalents adresses publiques. Chaque
hôte utilise la même adresse pour chaque traduction
Formation Cisco ASA
Les types de NAT
• PAT dynamique Port Access Translation dynamique:
Traduit plusieurs adresses privées en une seule adresse IP publique. Ce qui différencie l’usage d’une
adresse par apport à une autre, c’est le faite d’utiliser un port différent
Formation Cisco ASA
Les types de NAT
• PAT statique:
A la différence du PAT dynamique, les ports sont mappés d’une façon fixes aux adresses privées
Formation Cisco ASA
Ce qu’on a vu
▪ Introduction de la notion NAT
▪ Les types de NAT
Formation Cisco ASA
Implémentation de NAT pour ASA
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ L’objet réseau NAT
▪ TWICE NAT ou la configuration NAT manuelle
▪ La table NAT et ordre de priorité
Formation Cisco ASA
L’objet réseaux NAT
▪ Avant de commencer, il faut bien distinguer entre deux familles de IOS de ASA ceux qui font partie de la
version avant ASA 8(3) et ceux qui font partie des générations d’après exemple ASA 8(4) et ASAv
▪ Si on tient compte des nouvelles versions de ASA IOS, il faut considérer deux techniques d’implémentation de
NAT à savoir, celle via l’implémentation d’un objet réseaux OBJECT NETWORK ou implémentation auto et
celle appelée TWICE ou implémentation manuelle
▪ La manière la plus simple pour comprendre la différence entre ces deux formes de mise en œuvre de NAT est
que TWICE NAT prend en charge des scénarii NAT plus complexes que OBJECT NETWORK NAT
▪ Pour le cas d’utilisation d’objets réseaux OBJECT NETWORK , il faut créer un objet réseau pour chaque
opération de traduction NAT à part
Formation Cisco ASA
L’objet réseaux NAT
▪ Prenons l’exemple suivant qui est un réseau composé de trois zones à savoir, inside, outside et DMZ, à présent
on démontre comment configurer les objets réseaux NAT pour permettre à la zone inside d’accéder
respectivement à la zone outside et à la zone DMZ :
object network inside-outside
subnet 10.0.0.0 255.0.0.0
nat (insde,outside) dynamic interface
object network inside-dmz
subnet 10.0.0.0 255.0.0.0
nat (insde,DMZ) dynamic interface Figure qui montre trois zones à niveau de sécurité différents
Formation Cisco ASA
TWICE NAT ou la configuration NAT manuelle
▪ A la différence de OBJECT NETWORK TWICE ou configuration manuelle permet la création des objets
séparés de NAT
nat (inside,outside) 1 source dynamic inside-obj outside-obj
destination dynamic inside-obj outside-obj dns
nat (inside,DMZ) 2 source dynamic inside-obj outside-dmz dns
destination dynamic inside-obj outside-obj dns
▪ La configuration manuelle ou TWICE donne la liberté de configurer la source et la destination de la règle NAT
La zone interne:
object network inside-obj
subnet 10.0.0.0 255.0.0.0
exit
La zone démilitarisée:
object network dmz-obj
subnet 172.16.0.0 255.255.0.0
exit
La zone externe:
object network outside-obj
subnet 192.168.0.0 255.0.0.0
exit
Formation Cisco ASA
TWICE NAT ou la configuration NAT manuelle
▪ Pour bien comprendre la différence entre les deux mécanismes, en cas de OBJECT NETWORK, c’est la
règle NAT qui joue le rôle du paramètre et pour le cas de TWICE c’est l’objet réseau qui joue le rôle de
paramètre
▪ La configuration manuelle ou TWICE est beaucoup plus flexible du faite de l’utilisation des objets et des
groupes d’objets comme paramètres pour configurer la règle NAT contrairement au cas de OBJECT
NETWORK
▪ Le mot clé source et destination marquent l’utilisation de la configuration manuelle ou TWICE qui
couple les deux mécanismes de traduction dans les deux sens
▪ Le nombre qui précède le mot clé source indique l’ordre d’exécution ou la priorité de la règle NAT en
question
Formation Cisco ASA
La table NAT et ordre de priorité
▪ En cas d’exécution de plusieurs processus NAT TWICE et OBJECT NETWORK en même temps, le pare feu
ASA suit un ordre de priorité bien définit
▪ ASA utilise une table NAT composée de trois sections numérotées de 1 à 3, la section 1 contient les
processus NAT prioritaires, en suite la section 2 contient les processus NAT moins prioritaires et en fin la
section 3 contient les règles NAT les moins prioritaires des trois sections
▪ Les sections 1 et 3 sont consacrées pour la TWICE tandis que la section 2 est consacrée à OBJECT
NETWORK
▪ Lors de la définition des règles NAT il faut garder à l’esprit qu’en cas de configuration manuelle TWICE les
règles doivent être ordonnées manuellement par l’administrateur
Formation Cisco ASA
La table NAT et ordre de priorité
▪ Dans un contexte TWICE, l’administrateur doit ordonner les règles NAT des plus spécifiques aux plus
généralisées pour avoir un fonctionnement cohérent du pare feu, une fois les règles sont définies elles sont
ajoutées au niveau de la section 1
▪ Les sections 2 et 3 si elles existent, elles ne seront évaluées sauf si l’évaluation de la section 1 n’a pas abouti
à la règle recherchée par le pare feu lors de sont essai d’exécution du processus NAT pour une source et une
destination bien déterminées
▪ En section 2, les règles NAT de OBJECT NETWORK sont définit, leurs ordonnancements sont effectués par le
pare feu et non pas l’administrateur dans ce cas
▪ Le pare feu ASA utilise deux critères pour le classement des règles NAT, le premier critère est que les règles
NAT statiques l’emportent sur les règles NAT dynamiques et les règles PAT l’emportent sur les règles NAT
Formation Cisco ASA
La table NAT et ordre de priorité
▪ D’autre part, le deuxième critère d’ordonnancement est que les réseaux définit au niveau des OBJECT
NETWORK dont le préfixe de masque est le plus long sont priorisés aux réseaux définit au niveau des
OBJECT NETWORK dont le préfixe de masque est le plus court
▪ En section 3 l’administrateur doit définir les règles les plus généralisées de TWICE au niveau de cette section,
l’administrateur force le placement des règles généralisées en redéfinissant les règles avec le mot clé after-
auto. Le mot clé after auto veut dire les règles qui viennent après les règles de la section 2 auto ordonnées
Formation Cisco ASA
La table NAT et ordre de priorité
Figure qui montre la table NAT
Formation Cisco ASA
Ce qu’on a vu
▪ L’objet réseau NAT
▪ TWICE NAT ou la configuration NAT manuelle
▪ La table NAT et ordre de priorité
Formation Cisco ASA
Configuration de NAT en mode objet réseau
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Exemple de configuration de NAT statique
▪ Exemple de configuration de NAT dynamique
▪ Exemple de configuration de NAT destination
Formation Cisco ASA
Exemple de configuration de NAT statique
▪ Voici un exemple de configuration de NAT statique Peer to Peer
object network TRADUIT
host 1.1.1.32  Adresse aléatoire dans la plage des adresses traduites
object network NAT_STATIQUE
host REEL
nat (inside,outside) static TRADUIT
▪ Voici un exemple de configuration de NAT statique Range to Range
object network TRADUIT_INTERVAL
range 1.1.1.32 1.1.1.35  Rangé d’adresses aléatoires dans la plage des adresses traduites
object network NAT_STATIQUE_INTERVAL
range 192.168.0.1 192.168.0.4  Rangé d’adresses réelles à traduire
nat (inside,outside) static TRADUIT_INTERVAL
Formation Cisco ASA
Exemple de configuration de NAT dynamique
▪ Voici un exemple de configuration de NAT dynamique
object network TRADUIT_INTERVAL_DYN
range 1.1.1.96 1.1.1.98  Rangé d’adresses aléatoires dans la plage des adresses traduites
object network NAT_DYNAMIQUE
host 192.168.0.1  Adresse réelle à traduire
nat (inside,outside) dynamic TRADUIT_INTERVAL_DYN
Formation Cisco ASA
Exemple de configuration de NAT destination
▪ Nous utilisons ce genre de NAT pour que les hôtes de la zone outside puissent se connecter à des hôtes dans
la zone inside
▪ Une étape nécessaire à faire avant tout, outre que la configuration des politiques d’inspection IMAP, il faut
absolument appliquer une ACL permettant les flux en provenance de la zone outside d’y pénétrer à l’intérieur
access-list OUT_IN permit any ip 192.168.0.100 255.255.255.0
Access-group OUT_IN in interface outside
▪ Voici un exemple de configuration de NAT dynamique
object network DESTINATION
host 1.1.1.1  Adresse issue de la zone outside
nat (out,in) static 192.168.0.1  Adresse vers la quelle le hôte 1.1.1.1 va être orienté
Formation Cisco ASA
Exemple de configuration de NAT destination
▪ Nous finissons par obtenir cette table NAT
Figure qui montre la table de NAT
Formation Cisco ASA
Ce qu’on a vu
▪ Exemple de configuration de NAT statique
▪ Exemple de configuration de NAT dynamique
▪ Exemple de configuration de NAT destination
Formation Cisco ASA
Configuration de NAT en mode TWICE
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Exemple de configuration de NAT statique
▪ Exemple de configuration de NAT dynamique
▪ Exemple de configuration de NAT destination
Formation Cisco ASA
Exemple de configuration de NAT statique
▪ Voici un exemple de configuration de NAT statique Peer to Peer
nat (inside,outside) 2 source static REEL TRADUIT
▪ Voici un exemple de configuration de NAT statique Range to Range
nat (inside,outside) 2 source static REEL_INTERVAL TRADUIT_INTERVAL
object network REEL
host 192.168.0.1
object network TRADUIT
host 1.1.1.35
object network REEL_INTERVAL
host 192.168.0.1
object network TRADUIT_INTERVAL
host 1.1.1.35
Formation Cisco ASA
Exemple de configuration de NAT dynamique
▪ Voici un exemple de configuration de NAT dynamique
nat (inside,outside) 4 source dynamic REEL TRADUIT_INTERVAL
▪ Pour forcer cette règle de faire partie de la section 3 il faut utiliser le mot clé after-auto
nat (inside,outside) after-auto 1 source dynamic REEL TRADUIT_INTERVAL
Formation Cisco ASA
Exemple de configuration de NAT destination
▪ Nous utilisons ce genre de NAT pour que les hôtes de la zone outside puissent se connecter à des hôtes dans
la zone inside
▪ Une étape nécessaire à faire avant tout, outre que la configuration des politiques d’inspection IMAP, il faut
absolument appliquer une ACL permettant les flux en provenance de la zone outside d’y pénétrer à l’intérieur
access-list OUT_IN permit any ip 192.168.0.100 255.255.255.0
Access-group OUT_IN in interface outside
▪ Voici un exemple de configuration de NAT dynamique
nat (outside,inside) 1 source static TRADUIT REEL
Formation Cisco ASA
Exemple de configuration de NAT destination
▪ Nous finissons par obtenir cette table NAT
Figure qui montre la table de NAT
Formation Cisco ASA
Ce qu’on a vu
▪ Exemple de configuration de NAT statique
▪ Exemple de configuration de NAT dynamique
▪ Exemple de configuration de NAT destination
Formation Cisco ASA
Gestion des règles NAT avec ASDM
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Gestion des règles NAT avec ASDM
Formation Cisco ASA
Ce qu’on a vu
▪ Gestion des règles NAT avec ASDM
Formation Cisco ASA
Configuration de PAT-POOL en TWICE
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Configuration de PAT-POOL en TWICE
Formation Cisco ASA
Configuration de PAT-POOL en TWICE
▪ Voici à présent la topologie que nous allons utiliser pour configurer PAT-POOL pour accéder un service WEB
et service FTP depuis une zone externe vers une zone interne
Figure relative à la topologie utilisée pour tester le PAT-POOL
Formation Cisco ASA
Configuration de PAT-POOL en TWICE
▪ Voici la configuration de PAT/PATPOOL relative à la topologie qui permet la machine physique en zone
outside d’ y accéder aux services de la machine nommée seven située en zone inside
▪ Il faut commencer par créer les objets réseaux suivants:
object network ip21
host 1.1.1.21
object network ip80
host 1.1.1.80
▪ Il faut commencer par créer les objets service suivants:
object service ftp
service tcp destination eq 21
object service http
service tcp destination eq 80
Formation Cisco ASA
Configuration de PAT-POOL en TWICE
▪ En suite il faut définir les règles NAT en utilisant PAT-POOL pour désigner chaque trafic à sa propre
destination basée sur le port:
nat (inside,outside) source dynamic any pat-pool ip21 service ftp ftp
nat (inside,outside) source dynamic any pat-pool ip23 service telnet telnet
nat (inside,outside) source dynamic any pat-pool ip80 service http http
Formation Cisco ASA
Ce qu’on a vu
▪ Configuration de PAT-POOL en TWICE
Formation Cisco ASA
Les outils de dépannage et de contrôle NAT
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Les outils de dépannage et de contrôle NAT
Formation Cisco ASA
Les outils de dépannage et de contrôle NAT
▪ Il existe plusieurs outils de dépannage et de contrôle du processus et des règles NAT au niveau du pare
feu ASA à savoir
• show nat / show nat detail :
Permet d’ afficher la table NAT en trois sections
Figure qui montre la sortie de la commande show nat detail
Formation Cisco ASA
Les outils de dépannage et de contrôle NAT
• show xlate/ clear xlate:
✓ La commande show xlate permet le traçage des processus NAT lancés à l’instant de son
exécution, la sortie xlate peut être persistée en cas d’utilisation d’un serveur Syslog
✓ La commande clear xlate permet d’effacer la trace dernièrement générée par xlate
Figure qui montre la sortie de la commande show xlate
Formation Cisco ASA
Les outils de dépannage et de contrôle NAT
• show conn:
Permet de tracer les connexions établies entre deux Peer à un intervalle de temps donné
Figure qui montre la sortie de la commande show conn avec ses différentes options
Formation Cisco ASA
Les outils de dépannage et de contrôle NAT
• show cpu/memory:
Permet de voir les niveaux de consommation des ressources en terme de mémoire et cpu
Figure qui montre les sorties de commandes show memory et show cpu avec leurs options
Formation Cisco ASA
Les outils de dépannage et de contrôle NAT
• debug:
✓ C’est un outil de traçage polyvalent et très informatif, souvent utilisé lorsqu’il s’agit d’anomalie
ambigüe au niveau des configurations
✓ Il permet de tracer tout genre de trafique lancé chacun à part, cependant, il est gourmant en terme de
consommation des ressources, par conséquent, il ne faut pas en abuser
✓ Exemple d’utilisation dans le contexte de débogage du processus NAT est la commande debug nat
✓ Un autre exemple d’utilisation debug icmp pour tracer les requêtes ICMP
Formation Cisco ASA
Les outils de dépannage et de contrôle NAT
• Packet-tracer:
✓ A la différence de la commande debug généralisée, cet outils est plus spécifique au débogage de NAT, il
est utilisé en mode ligne de commande ou encode en mode graphique sous ASDM
✓ Le packet-tracer génère un journal qui décrit les différentes étapes de déroulement du processus NAT en
indiquant le niveau de blocage s’il y on a et il précise la source de blocage
✓ Voici quelques exemples de cas d’utilisation de packet-tracer en mode ligne de commande
packet-tracer input inside tcp 192.168.0.1 2323 10.0.0.1 23
packet-tracer input inside icmp 192.168.0.1 0 0 10.0.0.1
Remarque: Cliquez ce lien pour plus de détails concernant les types ICMP et leur utilisation
Formation Cisco ASA
Les outils de dépannage et de contrôle NAT
Entrer au niveau de la
section Firewall sous la
section Configuration
Sélectionner la deuxième
ligne à droite Nat Rules
Sélectionner la règle NAT
à analyser dans la liste
Cliquer le bouton Packet
Trace
1
2
3
4
1
2
3
4
Figure qui montre l’usage de packet tracer en mode graphique
Formation Cisco ASA
Les outils de dépannage et de contrôle NAT
Figure qui montre le paramétrage de packet tracer
1 2
3
4 Sélectionner la zone
source du lancement de
trafic
Sélectionner le type de
paquet analysé
Sélectionner l’adresse IP
source et destination ainsi
que le port utilisé
Cliquer le bouton Start
1
2
3
4
Formation Cisco ASA
Ce qu’on a vu
▪ Les outils de dépannage et de contrôle NAT
Formation Cisco ASA
Rappel sur la notion des VLANs
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Définition des VLANs
▪ Les types de VLANs
▪ La notion de jonctions
▪ Le protocole Spanning Tree
Formation Cisco ASA
Définition des VLANs
▪ VLAN est l’acronyme de Virtual LAN, le VLAN étant définit comme une division virtuelle ou logique des hôtes en
groupes ou en réseaux locaux virtuels
▪ Les VLANs font partie de la couche de liaison de données du model OSI, par analogie, ils sont équivalents aux sous-
réseaux du protocole IP qui fait partie de la couche réseau du model OSI
▪ Les VLANs se basent sur quatre principes
• L’indépendance de la dimension physique
• La sécurité
• La flexibilité
• La réduction du domaine de diffusion
Formation Cisco ASA
Les types des VLANs
▪ VLAN par défaut:
• Lors du premier démarrage du commutateur tous les ports font partie de ce VLAN, c'est techniquement le
VLAN 1, ce VLAN ne peut pas être supprimé du commutateur.
▪ VLAN de données:
• Il s'agit du VLAN standard qui assure le transport des données qui sont transmises au niveau du réseau local
▪ VLAN natif:
• Le VLAN natif est un concept unique de la norme 802.1Q.
• Le trafic appartenant au VLAN natif n'est pas marqué c’est-à-dire le TAG n’est pas utilisé dans ce cas.
• Il est à noter que le VLAN 1 qui est le VLAN par défaut est un VLAN natif.
▪ VLAN de Voix:
Le VLAN vocal se distingue du VLAN des données par le faite que dans ce cas les politiques QoS sont
appliquées à fin de donner la priorité aux trafic liés aux voix
Formation Cisco ASA
Les types des VLANs
▪ VLAN de gestion:
• Ce VLAN assure la transmission du trafic sensible de point de vue du contrôle
• Certains des protocoles utilisés sur ce VLAN sont FTP, TFTP, Telnet, SSH, SCP et bien d’autres types de
trames
▪ VLANs spéciaux:
• Ces VLAN sont essentiellement utilisés pour des cas spéciaux sur le réseau local
• Un exemple d'un VLAN spécial serait VLAN 0, est utilisé lorsque le commutateur doit envoyer des
trames à priorité élevée mais il ne sait pas vers quel destination doivent être envoyées
▪ VLANs réservés:
• Il existe des VLANs réservés en interne à fin de les utiliser sur d'autres environnements
comme FDDI, Token Ring.
• Les VLANs spécifiques utilisés pour ces deux types de réseaux font partie de l’intervalle 1002 à 1005
Formation Cisco ASA
La notion de jonction
▪ Une jonction est définie comme le lien entre deux équipements plus précisément des commutateurs
▪ Chaque trame est orientée vers son VLAN de destination appropriée
▪ Les deux commutateurs entrent en communication via des ports spécialement configurés appelés des ports de
jonction
▪ Le port de jonction est un type spécial de port qui servira seulement au transport des trames des divers VLANs entre
les commutateurs physiques
▪ Les deux commutateurs doivent avoir leurs ports qui assurent la jonction configurés de la même manière, c’est-à-dire
il utilisent le même type d’encapsulation
▪ Pour distinguer les trames faisant partie des différents VLANs, il y a deux normes employées à savoir:
• la norme propriétaire de CISCO ISL « Inter Switch Link »
• la norme standard 802.1 Q utilisée par les autres les concurrents ainsi que CISCO
Formation Cisco ASA
La notion de jonction
▪ La norme ISL « Inter Switch Link » utilise une technique d’encapsulation de la trame avant sont envoi
▪ La norme 802.1 Q injecte un TAG qui est un segment constitué de trois parties comme le montre la figure
Formation Cisco ASA
La notion de jonction
▪ La norme ISL « Inter Switch Link » utilise une technique d’encapsulation de la trame avant sont envoi
▪ La norme 802.1 Q injecte un TAG qui est un segment constitué de trois parties comme le montre la figure
Formation Cisco ASA
Le protocole Spanning Tree
▪ C’est un protocole qui prévient un ensemble de commutateurs montés en boucle d’envoyer les trames dans un cycle
de transmission infini en bloquant certains ports au niveau du boucle
▪ Les réseaux commutés de type Ethernet doivent avoir un chemin unique entre deux points
▪ Il existe une variété de ce protocole qui est le Rapid Spanning Tree Protocol qui la plus utilisé en raison de sa
performance
Cette figure montre une topologie de commutateurs en boucle
Formation Cisco ASA
Ce qu’on a vu
▪ Définition des VLANs
▪ Les types de VLANs
▪ La notion de jonctions
▪ Le protocole Spanning Tree
Formation Cisco ASA
Scénario1-Connexion des VLANs à Internet
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Scénario1: Connexion des VLANs à Internet
Formation Cisco ASA
La connexion des VLANs à Internet
Voici à présent la topologie relative à notre scénario
La topologie relative au scénario
Formation Cisco ASA
Ce qu’on a vu
▪ Scénario1: Connexion des VLANs à Internet
Formation Cisco ASA
Scénario1-Connexion des VLANs à Internet
Configuration du commutateur
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Scénario1: Configuration du commutateur
Formation Cisco ASA
Configuration du commutateur
Voici à présent la topologie relative à notre scénario
La topologie relative au scénario
Formation Cisco ASA
Configuration du commutateur
Configurer le commutateur qui lie le réseau interne au pare feu ASA
La configuration de VLAN 100:
vlan 100
name VLAN100
int vlan 100
ip address 192.168.0.1 255.255.255.0
no shutdown
La configuration de VLAN 200:
vlan 200
name VLAN200
ip address 192.168.1.1 255.255.255.0
no shutdown
La configuration de ethernet 0/0:
e 0/0:
no switchport
ip address 172.16.1.2 255.255.255.252
La configuration du routage par défaut
ip route 0.0.0.0 0.0.0.0 172.16.1.1
L’affectation des interfaces de test au VLAN
e 0/1:
Switchport access vlan 100
e 0/2:
Switchport access vlan 200
Formation Cisco ASA
Ce qu’on a vu
▪ Scénario1: Configuration du commutateur
Formation Cisco ASA
Scénario1-Connexion des VLANs à Internet
Configuration du pare feu avec CLI
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Scénario1: Configuration du pare feu
Formation Cisco ASA
Configuration du pare feu
Configurer le pare feu ASA pour qu’il aille deux zones une interne inside et autre externe outside, il faut également
configurer les politiques IMAP pour permettre le déroulement du trafic Web et ICMP ainsi que les mécanismes de NAT
et les routages nécessaires
La configuration l’interface outside:
interface GigabitEthernet0
nameif outside
security-level 0
ip address 200.0.0.100 255.255.255.0
no shutdown
La configuration de l’interface inside:
interface GigabitEthernet1
nameif inside
security-level 100
ip address 172.16.1.2 255.255.0.0
no shutdown
La configuration de NAT
object network LAN
subnet 172.16.1.0 255.255.255.0
nat (inside,outside) dynamic interface
object network VLAN100
subnet 192.168.0.0 255.255.255.0
nat (inside,outside) dynamic interface
object network VLAN200
subnet 192.168.1.0 255.255.255.0
nat (inside,outside) dynamic interface
Formation Cisco ASA
Configuration du pare feu
Configurer le pare feu ASA pour qu’il aille deux zones une interne inside et autre externe outside, il faut également
configurer les politiques IMAP pour permettre le déroulement du trafic Web et ICMP ainsi que les mécanismes de NAT
et les routages nécessaires
La configuration du routage par défaut:
route outside 0.0.0.0 0.0.0.0 200.0.0.1
route inside 192.168.100.0 255.255.255.0 172.16.0.2
route inside 192.168.200.0 255.255.255.0 172.16.0.2
La configuration des politiques d’inspection globales:
class-map global-class
match default-inspection-traffic
policy-map GLOBAL
class global-class
inspect icmp
inspect dns
inspect http
service-policy GLOBAL global
Formation Cisco ASA
Ce qu’on a vu
▪ Scénario1: Configuration du pare feu
Formation Cisco ASA
Scénario2-Configuration du pare feu ASA
avec ASDM
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Scénario2: Configuration du pare feu avec la ligne
avec ASDM
Formation Cisco ASA
Configuration du pare feu ASA avec ASDM
▪ La même configuration des sous interfaces et des VLANs sera assurée cette fois ci à l’aide de ASDM
Figure qui montre la topologie du scénario1
Formation Cisco ASA
Configuration du pare feu ASA avec ASDM
▪ Voici à présent la configuration au niveau du pare feu:
La configuration de l’interface GigabiteEthernet 1.10:
vlan 10
nameif hotes
security-level 100
ip address 192.168.10.1 255.255.255.0
no shutdown
La configuration de l’interface GigabitEthernet 1.20:
vlan 20
nameif serveurs
security-level 100
ip address 192.168.20.1 255.255.255.0
No shutdown
Formation Cisco ASA
Ce qu’on a vu
▪ Scénario2: Configuration du pare feu avec la ligne de
commande CLI
Formation Cisco ASA
Scénario1-Configuration du commutateur
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Scénario1: Configuration du commutateur
Formation Cisco ASA
Configuration Inter VLAN avec ASA
La dernière étape consiste à configurer les commutateur qui doit être de type IOU et le test de la topologie
Figure qui montre la topologie du scénario 1
Formation Cisco ASA
Configuration Inter VLAN avec ASA
Voici à présent la configuration au niveau du commutateur:
La configuration de l’interface Ethernet 0/0:
interface Ethernet0/0
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10,20
switchport mode trunk
La configuration de l’interface Ethernet 0/1:
interface Ethernet0/1
switchport access vlan 10
La configuration de l’interface Ethernet 0/2:
interface Ethernet0/2
switchport access vlan 20
La configuration du VLAN 100:
int vlan 100
ip address 192.168.10.1
no shutdown
La configuration du VLAN 200:
int vlan 200
ip address 192.168.20.1
no shutdown
Formation Cisco ASA
Ce qu’on a vu
▪ Scénario1: Configuration du commutateur
Formation Cisco ASA
Scénario2-Configuration des interfaces
Redondantes-Présentation
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Scénario2: Configuration d’une connexion à internet
redondante
Formation Cisco ASA
Configuration d’une connexion à internet redondante
▪ Le scénario consiste à utiliser la redondance des interfaces pour assurer la connexion à internet
Figure qui montre la topologie du scénario 2
Formation Cisco ASA
Ce qu’on a vu
▪ Scénario2: Configuration d’une connexion à internet
redondante
Formation Cisco ASA
Scénario2-Configuration du routeur
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Scénario2: Configuration du routeur
Formation Cisco ASA
Configuration du routeur
La première étape consiste à configurer les routeur qui doit assurer la connexion à internet
Figure qui montre la topologie du scénario 2
Formation Cisco ASA
Configuration du routeur
Voici à présent la configuration au niveau du commutateur:
La configuration de l’interface Ethernet 0/0:
interface Ethernet0/0
no shutdown
ip address 192.168.137.2 255.255.255.0
ip nat outside
exit
La configuration de l’interface Ethernet 0/1:
no shutdown
ip address 10.0.0.1 255.0.0.0
ip nat inside
exit
La configuration du dernier ressort
ip route 0.0.0.0 0.0.0.0 192.168.137.1
La configuration ACL
access-list 1 permit 10.0.0.0 0.255.255.255
ip nat inside source list 1 interface ethernet 0/0 overload
Formation Cisco ASA
Ce qu’on a vu
▪ Scénario2: Configuration du routeur
Formation Cisco ASA
Scénario2-Configuration du pare feu ASA
avec CLI
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Scénario2: Configuration du pare feu avec la ligne de
commande CLI
Formation Cisco ASA
Configuration du pare feu ASA avec CLI
▪ Cette étape consiste à configurer le pare feu ASA à l’aide de la ligne de commande
Figure qui montre la topologie du scénario 2
Formation Cisco ASA
Configuration du pare feu ASA avec CLI
▪ Voici à présent la configuration au niveau du pare feu:
L’activation des interfaces membres :
interface g 0
no shut
interface g 1
no shutdown
interface g 2
no shut
interface g 3
no shutdown
Configuration de l’interface redondante externe:
interface redundant 1
member-interface g 0
member-interface g 1
nameif outside
security-level 0
ip address 10.0.0.10 255.255.255.0
exit
Configuration de l’interface redondante interne:
interface redundant 2
member-interface g 2
member-interface g 3
nameif inside
ip address 192.168.20.0 10 255.255.255.0
exit
Formation Cisco ASA
Configuration du pare feu ASA avec CLI
▪ Voici à présent la configuration au niveau du pare feu:
Configuration du routage par défaut au niveau asa :
Route outside 0 0 interface <@IP du FAI>
Remarque: Pour connaître l’adresse IP du FAI, il suffit
de la chercher au site https://cmyip.com/
Configuration de NAT:
object network net-192.168.20
subnet 192.168.20.0 255.255.255.0
nat (inside,outside) dynamic interface
Configuration d’inspection de ICMP:
class-map global-class
match default-inspection-traffic
policy-map GLOBAL
class global-class
inspect icmp
service-policy GLOBAL global
Formation Cisco ASA
Ce qu’on a vu
▪ Scénario2: Configuration du pare feu avec la ligne de
commande CLI
Formation Cisco ASA
Scénario2-Configuration du pare feu ASA
avec ASDM
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Scénario2: Configuration du pare feu avec ASDM
Formation Cisco ASA
Configuration du routeur ASA avec ASDM
▪ Cette étape consiste à configurer le pare feu ASA à l’aide de la ligne de commande
Figure qui montre la topologie du scénario 2
Formation Cisco ASA
Configuration du routeur ASA avec ASDM
▪ Voici à présent la configuration au niveau du pare feu:
L’activation des interfaces membres :
interface g 0
no shut
interface g 1
no shutdown
interface g 2
no shut
interface g 3
no shutdown
Configuration de l’interface redondante externe:
interface redundant 1
member-interface g 0
member-interface g 1
nameif outside
security-level 0
ip address 10.0.0.10 255.255.255.0
exit
Configuration de l’interface redondante interne:
interface redundant 2
member-interface g 2
member-interface g 3
nameif inside
ip address 192.168.20.1 255.255.255.0
exit
Formation Cisco ASA
Configuration Inter VLAN avec ASA
▪ Voici à présent la configuration au niveau du pare feu:
Configuration du routage par défaut au niveau asa :
Route outside 0 0 interface <@IP du FAI>
Remarque: Pour connaître l’adresse IP du FAI, il suffit
de la chercher au site https://cmyip.com/
Configuration de NAT:
object network net-192.168.20
subnet 192.168.20.0 255.255.255.0
nat (inside,outside) dynamic interface
Configuration d’inspection de ICMP:
class-map global-class
match default-inspection-traffic
policy-map GLOBAL
class global-class
inspect icmp
service-policy GLOBAL global
Formation Cisco ASA
Ce qu’on a vu
▪ Scénario2: Configuration du pare feu avec ASDM
Formation Cisco ASA
Configuration de Ether Channel
sous ASA avec CLI
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Configuration de Ether Channel sous ASA avec CLI
▪ Présentation des commandes de contrôle et dépannage
Formation Cisco ASA
Configuration de Ether Channel sous ASA avec CLI
Figure qui montre la connexion Ether Channel entre le pare feu ASA et deux commutateurs IOU
Formation Cisco ASA
Configuration de Ether Channel sous ASA avec CLI
▪ Voici à présent la configuration du Ether Channel au niveau du commutateur:
▪ Voici à présente la configuration du pare feu ASA, il faut tout d’abord ajouter les interface au Port-Channel
corréspendant
▪
int gigabitehternet 0
no shutdown
channel-group 1 mode on
int gigabitehternet 1
no shutdown
channel-group 1 mode on
int ehternet 0/0
no shutdown
switchport trunk encapsulation dot1q
switchport mode trunk
duplex full
channel-group 1 mode on
int ehternet 0/1
no shutdown
switchport trunk encapsulation dot1q
switchport mode trunk
duplex full
channel-group 1 mode on
Formation Cisco ASA
Présentation des outils de contrôle et de dépannage
▪ Ensuite, il faut configurer le Port-Channel en question en l’attribuant le nom et l’adresse IP et vérifier
sont état
interface port-channel 1
nameif ehterchannelzone
security-level 100
ip address 192.168.137.2 255.255.255.0
exit
▪ Il est possible de vérifier l’état du Ether Channel de part est d’autre de la connexion à savoir côté
commutateur et côté pare feu ASA
COMMUTATEUR:
show ip arp <interface>
show int et0/0 | in MAC
show port-channel <indice> brief
show port-channel <indice> load-balance
show port-channel summary
PARE FEU ASA:
show run interface <interface>
show interfaces <interface> | include line protocol
show ip int brief | include Port
show etherchannel summary | begin Group
show etherchannel <indice> detail
Formation Cisco ASA
Ce qu’on a vu
▪ Configuration de Ether Channel sous ASA avec CLI
▪ Présentation des commandes de contrôle et dépannage
Formation Cisco ASA
Connexion des interfaces de
même niveau de sécurité
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Connexion des interfaces de même niveau de sécurité
Formation Cisco ASA
Connexion des interfaces de même niveau de sécurité
Voici à présent la topologie utilisée pour notre cas d’établissement de connectivité de deux interface ayant le même
niveau de sécurité
Figure qui montre la connexion de deux interfaces de même niveau de sécurité
Formation Cisco ASA
Connexion des interfaces de même niveau de sécurité
▪ Voici à présent la configuration du Ether Channel au niveau du commutateur:
▪ En suite, il faut configurer un routage par défaut de side1 vers side2
route side1 0 0 172.16.0.1
▪ Enfin, il faut permettre la circulation du trafic à travers la commande
same-security-level permit inter-interface
int gigabitethernet 0/0
no shutdown
nameif side1
ip address 192.168.0.1
security-level 100
int gigabitethernet 0/1
no shutdown
nameif side2
ip address 172.16.0.1
security-level 100
Formation Cisco ASA
Ce qu’on a vu
▪ Connexion des interfaces de même niveau de sécurité
Formation Cisco ASA
Rappel sur la notion du routage
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ La définition de la notion du routage
▪ Le routage statique
▪ Le routage dynamique
Formation Cisco ASA
La définition de la notion du routage
▪Le routage est le processus d’acheminement de trafic entre deux ou plusieurs réseaux
différents
Représentation d’une topologie qui montre un routage de deux réseaux différents
Formation Cisco ASA
Le routage statique
▪ Il y a trois types de routages qui sont respectivement:
• Le routage statique:
✓ Le routage statique est configuré manuellement par un administrateur réseau en ajoutant des
entrées dans la table de routage.
✓ Les itinéraires statiques sont fixes et ne changent pas si le réseau est modifié ou reconfiguré.
✓ Ce genre de routage est utilisé au niveau des réseaux de petite taille, car il est plus rapide que les
autres types de routage
✓ La syntaxe utilisée pour le routage statique prend la forme suivante
ip route <@réseau de destination> <@masque> <@IP saut suivant>
ip route <@réseau de destination> <@masque> <interface saut suivant>
Formation Cisco ASA
Le routage statique
• Le routage par défaut:
✓ Le routage par défaut peut être considéré comme une sous catégorie de routage statique où le
réseau de destination ainsi que le masque sont formés d’une suite de 0 et l’itinéraire du dernier
ressort est représenté par une adresse IP bien particulière
✓ Ce genre de routage est utilisé essentiellement pour des raisons de test et de dépannage
✓ La syntaxe utilisée pour le routage par défaut prend la forme suivante
ip route 0.0.0.0 0.0.0.0 <@IP saut suivant>
ip route 0.0.0.0 0.0.0.0 <interface saut suivant>
Formation Cisco ASA
Le routage statique
▪ Voici à présent une représentation d’une table de routage qui montre la coexistence des deux types de
routage à savoir le routage statique et celui par défaut
Figure qui montre une table de routage
Formation Cisco ASA
Le routage dynamique
▪ Le routage dynamique est une technique de routage automatiquement via des algorithmes et protocoles
bien définit
▪ Dans le cas du routage dynamique, les routeurs sélectionnent les chemins en fonction des changements de
mise à jour en réseau en temps réel.
▪ Le protocole du routage fonctionnant sur le routeur est responsable de la création, de la maintenance et
de la mise à jour de la table de routage d’une façon dynamique.
▪ Le routage dynamique utilise plusieurs algorithmes et protocoles dont les plus populaires sont Routing
Information Protocol « RIP », Open Shortest Path First « OSPF » et Enhnaced Interior Gateway
Routing Protocol « EIGRP ».
Formation Cisco ASA
Le routage dynamique
▪Les protocoles dynamiques permettent :
• Le partage des informations entre les divers routeurs interconnectés
• La mise à jour les tables de routage
• La détermination des meilleurs chemins
• La découverte des réseaux distants
• Le choix de la meilleure alternative en cas où le meilleur chemin n’est pas disponible
Formation Cisco ASA
Ce qu’on a vu
▪ La définition de la notion du routage
▪ Le routage statique
▪ Le routage dynamique
Formation Cisco ASA
Mode routé vs mode transparent
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Comparaison mode routé et mode transparent
▪ Configuration du mode transparent
Formation Cisco ASA
Comparaison mode routé et mode transparent
▪ IL existe deux modes offerts dans le cadre d’un pare feu ASA:
• Le mode routé
• Le mode transparent
▪ Pour le mode routé, le pare feu ASA joue le rôle du routeur entre le réseau interne et le réseau externe outre que son
rôle de filtrage des flux entrants et sortants
Figure qui montre le mode routé du pare feu ASA
Formation Cisco ASA
Comparaison mode routé et mode transparent
▪ Le mode transparent:
• Pour le mode transparent, le pare feu ASA n’assure pas le routage
• Une seule adresse sera attribuée pour représenter l’ensemble des interfaces activées qui doit faire partie de la même
plage du réseau interne il s’agit d’une interface virtuelle BVI « Bridge Virtual Interface »
• Le pare feu est considéré comme équipement niveau 2 faisant partie de la couche liaison
• Le par feu sera transparent pour les réseaux externes y compris les auteurs d’attaques
Figure qui montre le mode transparent du pare feu ASA
Formation Cisco ASA
Configuration du mode transparent
▪ Exemple de configuration du mode transparent:
Configuration de l’interface virtuelle
Interface BVI1
Ip address 10.0.0.254
firewall transparent
Configuration de l’interface gigabitethernet 0
interface gigabitethernet 0
no shutdown
nameif outside
bridge-group 1
Configuration de l’interface gigabitethernet 1
interface gigabitethernet 1
no shutdown
nameif inside
bridge-group 1
▪ Il est toujours possible de vérifier le mode adopté soit routé ou transparent à l’aide de la commande
show firewall
Formation Cisco ASA
Configuration du mode transparent
▪ Il ne faut pas oublier de configurer les politiques d’inspections IMAP qui correspondent au besoin pour que le pare feu
puisse laisser circuler le trafic en cas de test de connectivité en utilisant des requêtes ICMP par exemple, il faut configurer
les politiques d’inspection
Configuration des politiques d’inspections
class-map inspection_default
match default-inspection-traffic
inspect icmp
inspect icmp error
service-policy global_policy global
Formation Cisco ASA
Ce qu’on a vu
▪ Comparaison mode routé et mode transparent
▪ Configuration du mode transparent
Formation Cisco ASA
ASA et le routage statique
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Présentation de la topologie
▪ Configuration des modes de routage statiques
Formation Cisco ASA
Les modes de routages statiques
▪ Voici à présent la topologie relative à la configuration du routage statique sous le pare feu ASA
Figure qui représente la topologie de routage statique
Formation Cisco ASA
Les modes de routages statiques
▪ Voici à présent les configurations des deux routeurs R1 et R2 ainsi que le pare feu ASA pour établir un routage statique
par défaut vers la zone outside et un routage statique vers la zone inside
Configuration du pare feu ASA
Configuration du routage
Configuration de interface gigabitethernet 0
int gigabitethernet 0
nameif outside
ip add 192.168.1.100 255.255.255.0
no shut
exit
Configuration de interface gigabitethernet 1
int gigabitethernet 1
nameif inside
ip add 10.10.10.100 255.255.255.0
no shut
exit
Configuration routage statique par défaut
!routage par défaut vers outside
route outside 0 0 192.168.1.1
Configuration du routage statique
!routage par défaut vers inside
route inside 10.20.20.0 255.255.255.0 10.10.10.1
Formation Cisco ASA
Les modes de routages statiques
Configuration des routeurs R1 et R2
Configuration de interface ethernet 0/0 de R1
int ethernet 0/0
no shut
ip address 10.10.10.1 255.255.255.0
exit
Configuration de interface loopback 0 de R1
int lo0
ip address 10.20.20.1 255.255.255.255
exit
Configuration de interface ethernet 0/0 de R2
int ethernet 0/0
no shut
ip address 192.168.1.1 255.255.255.0
exit
Configuration de interface loopback 0 de R2
int lo0
ip add 192.168.2.2 255.255.255.255
exit
Formation Cisco ASA
Ce qu’on a vu
▪ Présentation de la topologie
▪ Configuration des modes de routage statiques
Formation Cisco ASA
ASA et le routage RIP
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Configuration du routage dynamique RIP
Formation Cisco ASA
Configuration du routage dynamique RIP
▪ Voici à présent la topologie relative à la configuration du routage RIP version 2 sous le pare feu ASA
Figure qui représente la topologie de routage dynamique RIP version 2
Formation Cisco ASA
Configuration du routage dynamique RIP
▪ Il faut configurer les interfaces au niveau du routeur R1
Configuration des interfaces ethernet 0/0 et ethernet 0/1:
▪ En suite, il faut configurer le mode de routage RIP version 2
router rip
version 2
no auto-summary
network 10.0.0.0
network 192.168.0.0
int ethernet 0/0
no shutdown
ip address 192.168.0.1 255.255.255.0
int ethernet 0/1
no shutdown
ip address 10.10.10.1 255.255.255.0
Formation Cisco ASA
Configuration du routage dynamique RIP
▪ Au niveau du pare feu ASA, il faut configurer l’ interface qui lie ce premier au routeur R1 :
Configuration interfaces:
int g 1
nameif rip
security-level 100
ip add 192.168.0.100 255.255.255.0
no shutdown
▪ Il est possible de bloquer les messages Hello envoyés dans le cadre d’échange d’informations de routage et de mise à jour
de la table de routage pour des raisons de sécurité à travers la commande passive-interface suivie par le nom de
l’interface du pare feu ASA au niveau de la porté de routage qu’on veut pas quelle participe dans les échanges des
messages Hello
▪ En suite, il faut configurer le protocole de routage RIP version2 sous ASA
router rip
version 2
no auto-summary
network 10.0.0.0
network 192.168.0.0
Formation Cisco ASA
Ce qu’on a vu
▪ Configuration du routage dynamique RIP
Formation Cisco ASA
ASA et le routage EIGRP
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Configuration du routage dynamique EIGRP
Formation Cisco ASA
Configuration du routage dynamique EIGRP
▪ Voici à présent la topologie relative à la configuration du routage EIGRP sous le pare feu ASA
Figure qui représente la topologie de routage dynamique EIGRP
Formation Cisco ASA
Configuration du routage dynamique EIGRP
▪ Il faut configurer les interfaces au niveau du routeur R1
Configuration des interfaces ethernet 0/0 et ethernet 0/1:
▪ En suite, il faut configurer le mode de routage EIGRP
router rip
version 2
no auto-summary
network 10.0.0.0
network 192.168.0.0
int ethernet 0/0
no shutdown
ip address 192.168.0.1 255.255.255.0
int ethernet 0/1
no shutdown
ip address 10.10.10.1 255.255.255.0
Formation Cisco ASA
Configuration du routage dynamique EIGRP
▪ Au niveau du pare feu ASA, il faut configurer l’ interface qui lie ce premier au routeur R1 :
Configuration interfaces:
int gigabitethernet 1
nameif rip
security-level 100
ip add 192.168.0.100 255.255.255.0
no shutdown
▪ Il est possible de bloquer les messages Hello envoyés dans le cadre d’échange d’informations de routage et de mise à jour
de la table de routage pour des raisons de sécurité à travers la commande passive-interface suivie par le nom de
l’interface du pare feu ASA au niveau de la porté de routage qu’on veut pas quelle participe dans les échanges des
messages Hello
▪ En suite, il faut configurer le protocole de routage RIP version2 sous ASA
router eigrp version 1
no auto-summary
network 192.168.0.0
Formation Cisco ASA
Ce qu’on a vu
▪ Configuration du routage dynamique EIGRP
Formation Cisco ASA
ASA et le routage OSPF
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Configuration du routage dynamique OSPF
Formation Cisco ASA
Configuration du routage dynamique OSPF
▪ Voici à présent la topologie relative à la configuration du routage OSPF sous le pare feu ASA
Figure qui représente la topologie de routage dynamique OSPF
Formation Cisco ASA
Configuration du routage dynamique OSPF
▪ Il faut configurer les interfaces au niveau du routeur R1
Configuration des interfaces ethernet 0/0 et ethernet 0/1:
▪ En suite, il faut configurer le mode de routage OSPF
router ospf 1
network 10.0.0.0 0.0.0.255 area 0
network 192.168.0.0 0.0.0.255 area 0
int ethernet 0/0
no shutdown
ip address 192.168.0.1 255.255.255.0
int ethernet 0/1
no shutdown
ip address 10.10.10.1 255.255.255.0
Formation Cisco ASA
Configuration du routage dynamique OSPF
▪ Au niveau du pare feu ASA, il faut configurer l’ interface qui lie ce premier au routeur R1 :
Configuration interfaces:
int g 1
nameif ospf
security-level 100
ip add 192.168.0.100 255.255.255.0
no shutdown
▪ Il est possible de bloquer les messages Hello envoyés dans le cadre d’échange d’informations de routage et de mise à jour
de la table de routage pour des raisons de sécurité à travers la commande passive-interface suivie par le nom de
l’interface du pare feu ASA qu’on veut pas quelle participe dans les échanges des messages Hello
▪ En suite, il faut configurer le protocole de routage RIP version2 sous ASA
router ospf 1
network 10.0.0.0 0.0.0.255 area 0
network 192.168.0.0 0.0.0.255 area 0
Formation Cisco ASA
Ce qu’on a vu
▪ Configuration du routage dynamique OSPF
Formation Cisco ASA
Le Bilan
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le Bilan de la formation
▪ Les chapitres
Chapitre 0: Chapitre introductif
Chapitre I: La configuration des règles NAT sous ASA
Chapitre II: La configuration des VLANs sous ASA
Chapitre III: La configuration des interfaces sous ASA
Chapitre IV: La configuration du routage sous ASA
Chapitre V: Le Bilan
Formation Cisco ASA
Le plan de la formation
▪ Les chapitres
Chapitre 0: Chapitre introductif
Chapitre I: La configuration des règles NAT sous ASA
Implémentation de NAT pour ASA
Configuration de NAT en Objet réseau
Configuration de NAT en TWICE
Gestion des règles NAT avec ASDM
Configuration de PATPOOL en TWICE
Les outils de dépannage et de contrôle NAT
Présentation de la formation
Formation Cisco ASA
Le plan de la formation
▪ Les chapitres
Chapitre II: La configuration des VLANs sous ASA
Rappel sur la notion des VLANs
Scénario1-Connection des VLANs à Internet-Présentation
Scénario1-Configration du Commutateur
Scénario1-Configration du pare feu-Ligne de commande
Scénario1-Configration du pare feu-ASDM
Formation Cisco ASA
Le plan de la formation
▪ Les chapitres
Chapitre III: La configuration des interfaces sous ASA
Présentation des interfaces sous ASA
Scénario1-Configration des sous interfaces-Présentation
Scénario1-Configration du pare feu ASA-Ligne de commande
Scénario1-Configration du pare feu ASA-ASDM
Scénario1-Configration du Commutateur
Formation Cisco ASA
Le plan de la formation
▪ Les chapitres
Chapitre III: La configuration des interfaces sous ASA
Scénario2-Configuration des interfaces redondantes-Présentation
Scénario2-Configration du Routeur
Scénario2-Configration du pare feu ASA-Ligne de commande
Scénario2-Configration du pare feu ASA-ASDM
Configuration de Ether Channel sous ASA
Connexion des interfaces de même niveau de sécurité
Formation Cisco ASA
Le plan de la formation
▪ Les chapitres
Chapitre IV: La configuration du routage ASA
Rappel sur la notion du routage
Mode routé, Mode transparent
ASA et routage statique
ASA et routage RIP
ASA et routage EIGRP
ASA et routage OSPF
Formation Cisco ASA
Le plan de la formation
▪ Les chapitres
Chapitre V: Le Bilan
Le Bilan

Contenu connexe

Tendances

Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléCharif Khrichfa
 
Alphorm.com formation-GNS3
Alphorm.com formation-GNS3Alphorm.com formation-GNS3
Alphorm.com formation-GNS3Alphorm
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...Alphorm
 
Administration réseaux sous linux cours 1
Administration réseaux sous linux   cours 1Administration réseaux sous linux   cours 1
Administration réseaux sous linux cours 1Stephen Salama
 
Rapport mise en place d'un sevrer VPN .
   Rapport mise en place d'un sevrer VPN .   Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .Mouad Lousimi
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPNCharif Khrichfa
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Windows server 2012 r2
Windows server 2012 r2Windows server 2012 r2
Windows server 2012 r2Ousmane BADJI
 
Cours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de NagiosCours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de NagiosErwan 'Labynocle' Ben Souiden
 
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseauxProjet administration-sécurité-réseaux
Projet administration-sécurité-réseauxRabeb Boumaiza
 
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIMise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIPapa Cheikh Cisse
 
Supervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec NagiosSupervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec Nagioschristedy keihouad
 
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa Bamoussa Bamba
 
L'automatisation dans les reseaux d'entrerprise
L'automatisation dans les reseaux d'entrerpriseL'automatisation dans les reseaux d'entrerprise
L'automatisation dans les reseaux d'entrerpriseCisco Canada
 
Alphorm.com Formation Nouveautés Windows Server 2016
Alphorm.com Formation Nouveautés Windows Server 2016Alphorm.com Formation Nouveautés Windows Server 2016
Alphorm.com Formation Nouveautés Windows Server 2016Alphorm
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de PfsenseIsmail Rachdaoui
 

Tendances (20)

Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
 
Alphorm.com formation-GNS3
Alphorm.com formation-GNS3Alphorm.com formation-GNS3
Alphorm.com formation-GNS3
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
 
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...
 
Administration réseaux sous linux cours 1
Administration réseaux sous linux   cours 1Administration réseaux sous linux   cours 1
Administration réseaux sous linux cours 1
 
Rapport mise en place d'un sevrer VPN .
   Rapport mise en place d'un sevrer VPN .   Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Windows server 2012 r2
Windows server 2012 r2Windows server 2012 r2
Windows server 2012 r2
 
Cours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de NagiosCours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de Nagios
 
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseauxProjet administration-sécurité-réseaux
Projet administration-sécurité-réseaux
 
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIMise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
 
Nagios 3
Nagios 3Nagios 3
Nagios 3
 
Supervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec NagiosSupervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec Nagios
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
 
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
 
Supervision
SupervisionSupervision
Supervision
 
L'automatisation dans les reseaux d'entrerprise
L'automatisation dans les reseaux d'entrerpriseL'automatisation dans les reseaux d'entrerprise
L'automatisation dans les reseaux d'entrerprise
 
Alphorm.com Formation Nouveautés Windows Server 2016
Alphorm.com Formation Nouveautés Windows Server 2016Alphorm.com Formation Nouveautés Windows Server 2016
Alphorm.com Formation Nouveautés Windows Server 2016
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de Pfsense
 

Similaire à Support formation vidéo : Cisco ASA, configuration

Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)
Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)
Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)SmartnSkilled
 
AWS Paris Summit 2014 - T3 - Evolution des architectures VPC
AWS Paris Summit 2014 - T3 - Evolution des architectures VPCAWS Paris Summit 2014 - T3 - Evolution des architectures VPC
AWS Paris Summit 2014 - T3 - Evolution des architectures VPCAmazon Web Services
 
ITN_Module_6.pptx
ITN_Module_6.pptxITN_Module_6.pptx
ITN_Module_6.pptxserieux1
 
Dcicn formation-introduction-aux-reseaux-data-center-cisco
Dcicn formation-introduction-aux-reseaux-data-center-ciscoDcicn formation-introduction-aux-reseaux-data-center-cisco
Dcicn formation-introduction-aux-reseaux-data-center-ciscoCERTyou Formation
 
ITN_Module_10.pptx
ITN_Module_10.pptxITN_Module_10.pptx
ITN_Module_10.pptxserieux1
 
Sn71 g formation-san-mise-en-oeuvre-et-installation-avec-travaux-pratiques
Sn71 g formation-san-mise-en-oeuvre-et-installation-avec-travaux-pratiquesSn71 g formation-san-mise-en-oeuvre-et-installation-avec-travaux-pratiques
Sn71 g formation-san-mise-en-oeuvre-et-installation-avec-travaux-pratiquesCERTyou Formation
 
ITN_Module_8.pptx
ITN_Module_8.pptxITN_Module_8.pptx
ITN_Module_8.pptxserieux1
 
Cl800 g formation-ibm-db2-9-8-purescale-implementation-et-controle-pour-les-a...
Cl800 g formation-ibm-db2-9-8-purescale-implementation-et-controle-pour-les-a...Cl800 g formation-ibm-db2-9-8-purescale-implementation-et-controle-pour-les-a...
Cl800 g formation-ibm-db2-9-8-purescale-implementation-et-controle-pour-les-a...CERTyou Formation
 
Dcict formation-introduction-aux-technologies-cisco-data-center
Dcict formation-introduction-aux-technologies-cisco-data-centerDcict formation-introduction-aux-technologies-cisco-data-center
Dcict formation-introduction-aux-technologies-cisco-data-centerCERTyou Formation
 
Dcufi formation-mettre-en-oeuvre-cisco-data-center-unified-fabric
Dcufi formation-mettre-en-oeuvre-cisco-data-center-unified-fabricDcufi formation-mettre-en-oeuvre-cisco-data-center-unified-fabric
Dcufi formation-mettre-en-oeuvre-cisco-data-center-unified-fabricCERTyou Formation
 
Dcnx5 k formation-mettre-en-oeuvre-les-cisco-nexus-5000-et-2000
Dcnx5 k formation-mettre-en-oeuvre-les-cisco-nexus-5000-et-2000Dcnx5 k formation-mettre-en-oeuvre-les-cisco-nexus-5000-et-2000
Dcnx5 k formation-mettre-en-oeuvre-les-cisco-nexus-5000-et-2000CERTyou Formation
 
DEVASC_Module_7 - Infrastructure & automatisation.pptx
DEVASC_Module_7 - Infrastructure & automatisation.pptxDEVASC_Module_7 - Infrastructure & automatisation.pptx
DEVASC_Module_7 - Infrastructure & automatisation.pptxTasnimBenAmmar
 
CN_Chapitre1_Conception hiérarchique de réseau.pptx
CN_Chapitre1_Conception hiérarchique de réseau.pptxCN_Chapitre1_Conception hiérarchique de réseau.pptx
CN_Chapitre1_Conception hiérarchique de réseau.pptxFerielBio1
 
Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011Boubaker KHERFALLAH
 
Presentation DMZ - GUERITEY
Presentation DMZ - GUERITEYPresentation DMZ - GUERITEY
Presentation DMZ - GUERITEYSbastienGuritey
 

Similaire à Support formation vidéo : Cisco ASA, configuration (20)

Ccna4
Ccna4Ccna4
Ccna4
 
Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)
Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)
Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)
 
AWS Paris Summit 2014 - T3 - Evolution des architectures VPC
AWS Paris Summit 2014 - T3 - Evolution des architectures VPCAWS Paris Summit 2014 - T3 - Evolution des architectures VPC
AWS Paris Summit 2014 - T3 - Evolution des architectures VPC
 
isa serveur
isa serveurisa serveur
isa serveur
 
ITN_Module_6.pptx
ITN_Module_6.pptxITN_Module_6.pptx
ITN_Module_6.pptx
 
Dcicn formation-introduction-aux-reseaux-data-center-cisco
Dcicn formation-introduction-aux-reseaux-data-center-ciscoDcicn formation-introduction-aux-reseaux-data-center-cisco
Dcicn formation-introduction-aux-reseaux-data-center-cisco
 
ITN_Module_10.pptx
ITN_Module_10.pptxITN_Module_10.pptx
ITN_Module_10.pptx
 
Sn71 g formation-san-mise-en-oeuvre-et-installation-avec-travaux-pratiques
Sn71 g formation-san-mise-en-oeuvre-et-installation-avec-travaux-pratiquesSn71 g formation-san-mise-en-oeuvre-et-installation-avec-travaux-pratiques
Sn71 g formation-san-mise-en-oeuvre-et-installation-avec-travaux-pratiques
 
Résumé vlsm et cidr
Résumé vlsm et cidrRésumé vlsm et cidr
Résumé vlsm et cidr
 
ITN_Module_8.pptx
ITN_Module_8.pptxITN_Module_8.pptx
ITN_Module_8.pptx
 
Cl800 g formation-ibm-db2-9-8-purescale-implementation-et-controle-pour-les-a...
Cl800 g formation-ibm-db2-9-8-purescale-implementation-et-controle-pour-les-a...Cl800 g formation-ibm-db2-9-8-purescale-implementation-et-controle-pour-les-a...
Cl800 g formation-ibm-db2-9-8-purescale-implementation-et-controle-pour-les-a...
 
Dcict formation-introduction-aux-technologies-cisco-data-center
Dcict formation-introduction-aux-technologies-cisco-data-centerDcict formation-introduction-aux-technologies-cisco-data-center
Dcict formation-introduction-aux-technologies-cisco-data-center
 
Cahier des charges
Cahier des charges Cahier des charges
Cahier des charges
 
Dcufi formation-mettre-en-oeuvre-cisco-data-center-unified-fabric
Dcufi formation-mettre-en-oeuvre-cisco-data-center-unified-fabricDcufi formation-mettre-en-oeuvre-cisco-data-center-unified-fabric
Dcufi formation-mettre-en-oeuvre-cisco-data-center-unified-fabric
 
Dcnx5 k formation-mettre-en-oeuvre-les-cisco-nexus-5000-et-2000
Dcnx5 k formation-mettre-en-oeuvre-les-cisco-nexus-5000-et-2000Dcnx5 k formation-mettre-en-oeuvre-les-cisco-nexus-5000-et-2000
Dcnx5 k formation-mettre-en-oeuvre-les-cisco-nexus-5000-et-2000
 
DEVASC_Module_7 - Infrastructure & automatisation.pptx
DEVASC_Module_7 - Infrastructure & automatisation.pptxDEVASC_Module_7 - Infrastructure & automatisation.pptx
DEVASC_Module_7 - Infrastructure & automatisation.pptx
 
Ccna4
Ccna4Ccna4
Ccna4
 
CN_Chapitre1_Conception hiérarchique de réseau.pptx
CN_Chapitre1_Conception hiérarchique de réseau.pptxCN_Chapitre1_Conception hiérarchique de réseau.pptx
CN_Chapitre1_Conception hiérarchique de réseau.pptx
 
Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011
 
Presentation DMZ - GUERITEY
Presentation DMZ - GUERITEYPresentation DMZ - GUERITEY
Presentation DMZ - GUERITEY
 

Plus de SmartnSkilled

Formation : Comment rendre une réunion efficace ?
Formation : Comment rendre une réunion efficace ?Formation : Comment rendre une réunion efficace ?
Formation : Comment rendre une réunion efficace ?SmartnSkilled
 
Support cours : Les Data Sciences avec Python Langage - Partie II
Support cours : Les Data Sciences avec Python Langage - Partie IISupport cours : Les Data Sciences avec Python Langage - Partie II
Support cours : Les Data Sciences avec Python Langage - Partie IISmartnSkilled
 
Support tutoriel : Initiation à SAP ERP
Support tutoriel : Initiation à SAP ERPSupport tutoriel : Initiation à SAP ERP
Support tutoriel : Initiation à SAP ERPSmartnSkilled
 
Support formation : Construire et administrer vos conteneurs avec Docker
Support formation : Construire et administrer vos conteneurs avec DockerSupport formation : Construire et administrer vos conteneurs avec Docker
Support formation : Construire et administrer vos conteneurs avec DockerSmartnSkilled
 
Support formation : Maîtriser la comptabilité des opérations de fin d'exercice
Support formation : Maîtriser la comptabilité des opérations de fin d'exerciceSupport formation : Maîtriser la comptabilité des opérations de fin d'exercice
Support formation : Maîtriser la comptabilité des opérations de fin d'exerciceSmartnSkilled
 
Support cours : Comment rédiger un rapport ?
Support cours : Comment rédiger un rapport ?Support cours : Comment rédiger un rapport ?
Support cours : Comment rédiger un rapport ?SmartnSkilled
 
Support formation : Maîtriser les Data Sciences avec Python Language - Partie I
Support formation : Maîtriser les Data Sciences avec Python Language - Partie ISupport formation : Maîtriser les Data Sciences avec Python Language - Partie I
Support formation : Maîtriser les Data Sciences avec Python Language - Partie ISmartnSkilled
 
Support cours : Rédigez vos emails professionnels
Support cours : Rédigez vos emails professionnelsSupport cours : Rédigez vos emails professionnels
Support cours : Rédigez vos emails professionnelsSmartnSkilled
 
Support cours : Les phares du marketing
Support cours : Les phares du marketingSupport cours : Les phares du marketing
Support cours : Les phares du marketingSmartnSkilled
 
Support formation : La négociation commerciale coté vendeur
Support formation : La négociation commerciale coté vendeurSupport formation : La négociation commerciale coté vendeur
Support formation : La négociation commerciale coté vendeurSmartnSkilled
 
Support cours : Initiation à SAP ERP
Support cours : Initiation à SAP ERPSupport cours : Initiation à SAP ERP
Support cours : Initiation à SAP ERPSmartnSkilled
 
Tutoriel : Online English Expertise
Tutoriel : Online English ExpertiseTutoriel : Online English Expertise
Tutoriel : Online English ExpertiseSmartnSkilled
 
Formation : Mettre en place une stratégie commerciale
Formation : Mettre en place une stratégie commercialeFormation : Mettre en place une stratégie commerciale
Formation : Mettre en place une stratégie commercialeSmartnSkilled
 
Support cours : Cours d'Espagnol Débutant (A1-A2)
Support cours : Cours d'Espagnol Débutant (A1-A2)Support cours : Cours d'Espagnol Débutant (A1-A2)
Support cours : Cours d'Espagnol Débutant (A1-A2)SmartnSkilled
 
Support Tutoriel : Online English Expertise
Support Tutoriel : Online English ExpertiseSupport Tutoriel : Online English Expertise
Support Tutoriel : Online English ExpertiseSmartnSkilled
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSmartnSkilled
 
Support Tutoriel : Art oratoire et prise de parole en public
Support Tutoriel : Art oratoire et prise de parole en publicSupport Tutoriel : Art oratoire et prise de parole en public
Support Tutoriel : Art oratoire et prise de parole en publicSmartnSkilled
 
Support formation en ligne: L'estime de soi
Support formation en ligne: L'estime de soiSupport formation en ligne: L'estime de soi
Support formation en ligne: L'estime de soiSmartnSkilled
 
Support formation vidéo : Les phares du marketing
Support formation vidéo : Les phares du marketingSupport formation vidéo : Les phares du marketing
Support formation vidéo : Les phares du marketingSmartnSkilled
 
Support formation en ligne: La conduite des entretiens individuels
Support formation en ligne: La conduite des entretiens individuelsSupport formation en ligne: La conduite des entretiens individuels
Support formation en ligne: La conduite des entretiens individuelsSmartnSkilled
 

Plus de SmartnSkilled (20)

Formation : Comment rendre une réunion efficace ?
Formation : Comment rendre une réunion efficace ?Formation : Comment rendre une réunion efficace ?
Formation : Comment rendre une réunion efficace ?
 
Support cours : Les Data Sciences avec Python Langage - Partie II
Support cours : Les Data Sciences avec Python Langage - Partie IISupport cours : Les Data Sciences avec Python Langage - Partie II
Support cours : Les Data Sciences avec Python Langage - Partie II
 
Support tutoriel : Initiation à SAP ERP
Support tutoriel : Initiation à SAP ERPSupport tutoriel : Initiation à SAP ERP
Support tutoriel : Initiation à SAP ERP
 
Support formation : Construire et administrer vos conteneurs avec Docker
Support formation : Construire et administrer vos conteneurs avec DockerSupport formation : Construire et administrer vos conteneurs avec Docker
Support formation : Construire et administrer vos conteneurs avec Docker
 
Support formation : Maîtriser la comptabilité des opérations de fin d'exercice
Support formation : Maîtriser la comptabilité des opérations de fin d'exerciceSupport formation : Maîtriser la comptabilité des opérations de fin d'exercice
Support formation : Maîtriser la comptabilité des opérations de fin d'exercice
 
Support cours : Comment rédiger un rapport ?
Support cours : Comment rédiger un rapport ?Support cours : Comment rédiger un rapport ?
Support cours : Comment rédiger un rapport ?
 
Support formation : Maîtriser les Data Sciences avec Python Language - Partie I
Support formation : Maîtriser les Data Sciences avec Python Language - Partie ISupport formation : Maîtriser les Data Sciences avec Python Language - Partie I
Support formation : Maîtriser les Data Sciences avec Python Language - Partie I
 
Support cours : Rédigez vos emails professionnels
Support cours : Rédigez vos emails professionnelsSupport cours : Rédigez vos emails professionnels
Support cours : Rédigez vos emails professionnels
 
Support cours : Les phares du marketing
Support cours : Les phares du marketingSupport cours : Les phares du marketing
Support cours : Les phares du marketing
 
Support formation : La négociation commerciale coté vendeur
Support formation : La négociation commerciale coté vendeurSupport formation : La négociation commerciale coté vendeur
Support formation : La négociation commerciale coté vendeur
 
Support cours : Initiation à SAP ERP
Support cours : Initiation à SAP ERPSupport cours : Initiation à SAP ERP
Support cours : Initiation à SAP ERP
 
Tutoriel : Online English Expertise
Tutoriel : Online English ExpertiseTutoriel : Online English Expertise
Tutoriel : Online English Expertise
 
Formation : Mettre en place une stratégie commerciale
Formation : Mettre en place une stratégie commercialeFormation : Mettre en place une stratégie commerciale
Formation : Mettre en place une stratégie commerciale
 
Support cours : Cours d'Espagnol Débutant (A1-A2)
Support cours : Cours d'Espagnol Débutant (A1-A2)Support cours : Cours d'Espagnol Débutant (A1-A2)
Support cours : Cours d'Espagnol Débutant (A1-A2)
 
Support Tutoriel : Online English Expertise
Support Tutoriel : Online English ExpertiseSupport Tutoriel : Online English Expertise
Support Tutoriel : Online English Expertise
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiques
 
Support Tutoriel : Art oratoire et prise de parole en public
Support Tutoriel : Art oratoire et prise de parole en publicSupport Tutoriel : Art oratoire et prise de parole en public
Support Tutoriel : Art oratoire et prise de parole en public
 
Support formation en ligne: L'estime de soi
Support formation en ligne: L'estime de soiSupport formation en ligne: L'estime de soi
Support formation en ligne: L'estime de soi
 
Support formation vidéo : Les phares du marketing
Support formation vidéo : Les phares du marketingSupport formation vidéo : Les phares du marketing
Support formation vidéo : Les phares du marketing
 
Support formation en ligne: La conduite des entretiens individuels
Support formation en ligne: La conduite des entretiens individuelsSupport formation en ligne: La conduite des entretiens individuels
Support formation en ligne: La conduite des entretiens individuels
 

Dernier

M2i Webinar - CPF 2024 : une stratégie pour booster les performances RH
M2i Webinar - CPF 2024 : une stratégie pour booster les performances RHM2i Webinar - CPF 2024 : une stratégie pour booster les performances RH
M2i Webinar - CPF 2024 : une stratégie pour booster les performances RHM2i Formation
 
Newsletter SPW Agriculture en province du Luxembourg du 10-04-24
Newsletter SPW Agriculture en province du Luxembourg du 10-04-24Newsletter SPW Agriculture en province du Luxembourg du 10-04-24
Newsletter SPW Agriculture en province du Luxembourg du 10-04-24BenotGeorges3
 
Copilot your everyday AI companion- OFFICE 365-
Copilot your everyday AI companion- OFFICE 365-Copilot your everyday AI companion- OFFICE 365-
Copilot your everyday AI companion- OFFICE 365-Majida Antonios, M.Ed.
 
Calendrier de la semaine du 8 au 12 avril
Calendrier de la semaine du 8 au 12 avrilCalendrier de la semaine du 8 au 12 avril
Calendrier de la semaine du 8 au 12 avrilfrizzole
 
Chana Orloff.pptx Sculptrice franco-ukranienne
Chana Orloff.pptx Sculptrice franco-ukranienneChana Orloff.pptx Sculptrice franco-ukranienne
Chana Orloff.pptx Sculptrice franco-ukranienneTxaruka
 
La Base unique départementale - Quel bilan, au bout de 5 ans .pdf
La Base unique départementale - Quel bilan, au bout de 5 ans .pdfLa Base unique départementale - Quel bilan, au bout de 5 ans .pdf
La Base unique départementale - Quel bilan, au bout de 5 ans .pdfbdp12
 
Bibdoc 2024 - Sobriete numerique en bibliotheque et centre de documentation.pdf
Bibdoc 2024 - Sobriete numerique en bibliotheque et centre de documentation.pdfBibdoc 2024 - Sobriete numerique en bibliotheque et centre de documentation.pdf
Bibdoc 2024 - Sobriete numerique en bibliotheque et centre de documentation.pdfAtelier Canopé 37 - Tours
 
L'Unité de Spiritualité Eudiste se joint à toute l'Église Universelle et en p...
L'Unité de Spiritualité Eudiste se joint à toute l'Église Universelle et en p...L'Unité de Spiritualité Eudiste se joint à toute l'Église Universelle et en p...
L'Unité de Spiritualité Eudiste se joint à toute l'Église Universelle et en p...Unidad de Espiritualidad Eudista
 
0234567778999876554345678898765566.15.ppt
0234567778999876554345678898765566.15.ppt0234567778999876554345678898765566.15.ppt
0234567778999876554345678898765566.15.pptessiben
 
Aux origines de la sociologie : du XIXème au début XX ème siècle
Aux origines de la sociologie : du XIXème au début XX ème siècleAux origines de la sociologie : du XIXème au début XX ème siècle
Aux origines de la sociologie : du XIXème au début XX ème siècleAmar LAKEL, PhD
 
Bibdoc 2024 - Les intelligences artificielles en bibliotheque.pdf
Bibdoc 2024 - Les intelligences artificielles en bibliotheque.pdfBibdoc 2024 - Les intelligences artificielles en bibliotheque.pdf
Bibdoc 2024 - Les intelligences artificielles en bibliotheque.pdfAtelier Canopé 37 - Tours
 

Dernier (12)

M2i Webinar - CPF 2024 : une stratégie pour booster les performances RH
M2i Webinar - CPF 2024 : une stratégie pour booster les performances RHM2i Webinar - CPF 2024 : une stratégie pour booster les performances RH
M2i Webinar - CPF 2024 : une stratégie pour booster les performances RH
 
Newsletter SPW Agriculture en province du Luxembourg du 10-04-24
Newsletter SPW Agriculture en province du Luxembourg du 10-04-24Newsletter SPW Agriculture en province du Luxembourg du 10-04-24
Newsletter SPW Agriculture en province du Luxembourg du 10-04-24
 
Copilot your everyday AI companion- OFFICE 365-
Copilot your everyday AI companion- OFFICE 365-Copilot your everyday AI companion- OFFICE 365-
Copilot your everyday AI companion- OFFICE 365-
 
Calendrier de la semaine du 8 au 12 avril
Calendrier de la semaine du 8 au 12 avrilCalendrier de la semaine du 8 au 12 avril
Calendrier de la semaine du 8 au 12 avril
 
Chana Orloff.pptx Sculptrice franco-ukranienne
Chana Orloff.pptx Sculptrice franco-ukranienneChana Orloff.pptx Sculptrice franco-ukranienne
Chana Orloff.pptx Sculptrice franco-ukranienne
 
La Base unique départementale - Quel bilan, au bout de 5 ans .pdf
La Base unique départementale - Quel bilan, au bout de 5 ans .pdfLa Base unique départementale - Quel bilan, au bout de 5 ans .pdf
La Base unique départementale - Quel bilan, au bout de 5 ans .pdf
 
Bibdoc 2024 - Sobriete numerique en bibliotheque et centre de documentation.pdf
Bibdoc 2024 - Sobriete numerique en bibliotheque et centre de documentation.pdfBibdoc 2024 - Sobriete numerique en bibliotheque et centre de documentation.pdf
Bibdoc 2024 - Sobriete numerique en bibliotheque et centre de documentation.pdf
 
L'Unité de Spiritualité Eudiste se joint à toute l'Église Universelle et en p...
L'Unité de Spiritualité Eudiste se joint à toute l'Église Universelle et en p...L'Unité de Spiritualité Eudiste se joint à toute l'Église Universelle et en p...
L'Unité de Spiritualité Eudiste se joint à toute l'Église Universelle et en p...
 
0234567778999876554345678898765566.15.ppt
0234567778999876554345678898765566.15.ppt0234567778999876554345678898765566.15.ppt
0234567778999876554345678898765566.15.ppt
 
Aux origines de la sociologie : du XIXème au début XX ème siècle
Aux origines de la sociologie : du XIXème au début XX ème siècleAux origines de la sociologie : du XIXème au début XX ème siècle
Aux origines de la sociologie : du XIXème au début XX ème siècle
 
Bulletin des bibliotheques Burkina Faso mars 2024
Bulletin des bibliotheques Burkina Faso mars 2024Bulletin des bibliotheques Burkina Faso mars 2024
Bulletin des bibliotheques Burkina Faso mars 2024
 
Bibdoc 2024 - Les intelligences artificielles en bibliotheque.pdf
Bibdoc 2024 - Les intelligences artificielles en bibliotheque.pdfBibdoc 2024 - Les intelligences artificielles en bibliotheque.pdf
Bibdoc 2024 - Les intelligences artificielles en bibliotheque.pdf
 

Support formation vidéo : Cisco ASA, configuration

  • 1. Formation Cisco ASA Formation ASA niveau intermédiaire Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 2. Formation Cisco ASA Présentation générale Figure qui montre des modèles de pare feu 55XX
  • 3. Formation Cisco ASA Présentation formateur ▪ Béchir Béjaoui - consultant et formateur indépendant ▪ Mail: me780411@gmail.com ▪ LinkedIn : https://www.linkedin.com/in/bejaoui-06b2452b/
  • 4. Formation Cisco ASA Le plan de la formation ▪ Les chapitres Chapitre 0: Chapitre introductif Chapitre I: La configuration des règles NAT sous ASA Chapitre II: La configuration des VLANs sous ASA Chapitre III: La configuration des interfaces sous ASA Chapitre IV: La configuration du routage sous ASA Chapitre V: Le Bilan
  • 5. Formation Cisco ASA Prérequis ▪ Il sera recommandé de voir la formation Vos premiers pas avec le pare feu ASA ▪ Il est recommandé d’être familier aux autres produits Cisco routeurs et commutateurs ▪ Avoir des connaissances relatives à l’utilisation et à la configuration des logiciels de simulation • Cisco Packet Tracer • GNS 3 • Le logiciel de virtualisation Virtual Box, • Le logiciel de virtualisation VMware • Le logiciel de virtualisation QEMU
  • 6. Formation Cisco ASA Public concerné ▪ Les personnes ayant des connaissances de niveau intermédiaire en terme de réseau, comme les étudiants ou encore les stagiaires au sein des entreprises, ce pendant, ils ont déjà une première idée sur le pare feu ASA ▪ Les personnes qui ont débutés déjà leur carrière en IT et qui veulent passer la certification CCNA sécurité ▪ Les personnes ayant un niveau d’expertise en domaine IT autre que CISCO tel que les infrastructures Windows, Linux , Juniper et Huawei et qui veulent avoir des connaissances en terme de configuration et de gestion des pare feu Cisco ASA
  • 7. Formation Cisco ASA Objectifs visés ▪ Le principal objectif de cette formation et de vous assurer faire découvrir les techniques de configuration du pare feu ASA ▪ Après avoir suivi cette formation vous serez sensé de connaître • La différence entre les deux principaux mode de configuration des règles NAT • La gestion des VLANs et leur connexion à internet dans un contexte de protection du pare feu ASA • La capacité de gérer et de configurer les interfaces d’un pare feu ASA • La capacité de distinguer les divers modes de configuration des interfaces • La capacité de distinguer entre le mode routé et le mode transparent • La capacité de configurer le pare feu pour jouer le rôle d’un routeur
  • 8. Formation Cisco ASA Vos premiers pas avec Cisco ASA
  • 9. Formation Cisco ASA Rappel sur la notion NAT Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 10. Formation Cisco ASA Le plan ▪ Introduction de la notion NAT ▪ Les types de NAT
  • 11. Formation Cisco ASA Introduction de la notion NAT ▪ NAT est l’acronyme de « Network Access Translation » ▪ NAT est une alternative de solution vis-à-vis à la limitation et de pénurie des adresses IPV4 utilisées à travers le monde ▪ Il faut rappeler qu’il existe deux champs d’applications des adresses IP à savoir, le réseau privé et le réseau public ▪ Si les mêmes adresses seront utilisées dans les deux champs, il y aura une pénurie rapide de stock d’adresses IP « 232 adresses » utilisées à travers le monde ▪ Par conséquent, IANA « Internet Assigned Numbers Authority » à précisé trois rangées d’adresses à usage privées qui sont utilisées dans les réseaux internes et des adresses à usage publique utilisées au niveau des réseaux publiques
  • 12. Formation Cisco ASA Introduction de la notion NAT ▪ Les adresses privées font partie des intervalles • Entre 10.0.0.0 et 10.255.255.255 faisant partie de la classe A • Entre 172.16.0.0 et 172.16.31.255.255 faisant partie de la classe B • Entre 192.168.0.0 et 192.168.255.255 faisant partie de la classe C ▪ Pour que ces adresses puissent sortir sur le réseau public, elles doivent être traduites en adresses publiques, de même pour que les hôtes situés aux réseaux public puissent y pénétrer dans les réseaux privés il doivent passer par le processus inverse de traduction
  • 13. Formation Cisco ASA Les types de NAT ▪ Il existe 4 formes de NAT • NAT dynamique : Traduit un intervalle d'adresses privées en un groupe d’adresses routables sur le réseau de destination. Chaque hôte utilise une adresse différente à chaque fois une traduction est effectuée
  • 14. Formation Cisco ASA Les types de NAT • NAT statique : Traduit un nombre fixe d'adresses privées en un nombre fixe équivalents adresses publiques. Chaque hôte utilise la même adresse pour chaque traduction
  • 15. Formation Cisco ASA Les types de NAT • PAT dynamique Port Access Translation dynamique: Traduit plusieurs adresses privées en une seule adresse IP publique. Ce qui différencie l’usage d’une adresse par apport à une autre, c’est le faite d’utiliser un port différent
  • 16. Formation Cisco ASA Les types de NAT • PAT statique: A la différence du PAT dynamique, les ports sont mappés d’une façon fixes aux adresses privées
  • 17. Formation Cisco ASA Ce qu’on a vu ▪ Introduction de la notion NAT ▪ Les types de NAT
  • 18. Formation Cisco ASA Implémentation de NAT pour ASA Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 19. Formation Cisco ASA Le plan ▪ L’objet réseau NAT ▪ TWICE NAT ou la configuration NAT manuelle ▪ La table NAT et ordre de priorité
  • 20. Formation Cisco ASA L’objet réseaux NAT ▪ Avant de commencer, il faut bien distinguer entre deux familles de IOS de ASA ceux qui font partie de la version avant ASA 8(3) et ceux qui font partie des générations d’après exemple ASA 8(4) et ASAv ▪ Si on tient compte des nouvelles versions de ASA IOS, il faut considérer deux techniques d’implémentation de NAT à savoir, celle via l’implémentation d’un objet réseaux OBJECT NETWORK ou implémentation auto et celle appelée TWICE ou implémentation manuelle ▪ La manière la plus simple pour comprendre la différence entre ces deux formes de mise en œuvre de NAT est que TWICE NAT prend en charge des scénarii NAT plus complexes que OBJECT NETWORK NAT ▪ Pour le cas d’utilisation d’objets réseaux OBJECT NETWORK , il faut créer un objet réseau pour chaque opération de traduction NAT à part
  • 21. Formation Cisco ASA L’objet réseaux NAT ▪ Prenons l’exemple suivant qui est un réseau composé de trois zones à savoir, inside, outside et DMZ, à présent on démontre comment configurer les objets réseaux NAT pour permettre à la zone inside d’accéder respectivement à la zone outside et à la zone DMZ : object network inside-outside subnet 10.0.0.0 255.0.0.0 nat (insde,outside) dynamic interface object network inside-dmz subnet 10.0.0.0 255.0.0.0 nat (insde,DMZ) dynamic interface Figure qui montre trois zones à niveau de sécurité différents
  • 22. Formation Cisco ASA TWICE NAT ou la configuration NAT manuelle ▪ A la différence de OBJECT NETWORK TWICE ou configuration manuelle permet la création des objets séparés de NAT nat (inside,outside) 1 source dynamic inside-obj outside-obj destination dynamic inside-obj outside-obj dns nat (inside,DMZ) 2 source dynamic inside-obj outside-dmz dns destination dynamic inside-obj outside-obj dns ▪ La configuration manuelle ou TWICE donne la liberté de configurer la source et la destination de la règle NAT La zone interne: object network inside-obj subnet 10.0.0.0 255.0.0.0 exit La zone démilitarisée: object network dmz-obj subnet 172.16.0.0 255.255.0.0 exit La zone externe: object network outside-obj subnet 192.168.0.0 255.0.0.0 exit
  • 23. Formation Cisco ASA TWICE NAT ou la configuration NAT manuelle ▪ Pour bien comprendre la différence entre les deux mécanismes, en cas de OBJECT NETWORK, c’est la règle NAT qui joue le rôle du paramètre et pour le cas de TWICE c’est l’objet réseau qui joue le rôle de paramètre ▪ La configuration manuelle ou TWICE est beaucoup plus flexible du faite de l’utilisation des objets et des groupes d’objets comme paramètres pour configurer la règle NAT contrairement au cas de OBJECT NETWORK ▪ Le mot clé source et destination marquent l’utilisation de la configuration manuelle ou TWICE qui couple les deux mécanismes de traduction dans les deux sens ▪ Le nombre qui précède le mot clé source indique l’ordre d’exécution ou la priorité de la règle NAT en question
  • 24. Formation Cisco ASA La table NAT et ordre de priorité ▪ En cas d’exécution de plusieurs processus NAT TWICE et OBJECT NETWORK en même temps, le pare feu ASA suit un ordre de priorité bien définit ▪ ASA utilise une table NAT composée de trois sections numérotées de 1 à 3, la section 1 contient les processus NAT prioritaires, en suite la section 2 contient les processus NAT moins prioritaires et en fin la section 3 contient les règles NAT les moins prioritaires des trois sections ▪ Les sections 1 et 3 sont consacrées pour la TWICE tandis que la section 2 est consacrée à OBJECT NETWORK ▪ Lors de la définition des règles NAT il faut garder à l’esprit qu’en cas de configuration manuelle TWICE les règles doivent être ordonnées manuellement par l’administrateur
  • 25. Formation Cisco ASA La table NAT et ordre de priorité ▪ Dans un contexte TWICE, l’administrateur doit ordonner les règles NAT des plus spécifiques aux plus généralisées pour avoir un fonctionnement cohérent du pare feu, une fois les règles sont définies elles sont ajoutées au niveau de la section 1 ▪ Les sections 2 et 3 si elles existent, elles ne seront évaluées sauf si l’évaluation de la section 1 n’a pas abouti à la règle recherchée par le pare feu lors de sont essai d’exécution du processus NAT pour une source et une destination bien déterminées ▪ En section 2, les règles NAT de OBJECT NETWORK sont définit, leurs ordonnancements sont effectués par le pare feu et non pas l’administrateur dans ce cas ▪ Le pare feu ASA utilise deux critères pour le classement des règles NAT, le premier critère est que les règles NAT statiques l’emportent sur les règles NAT dynamiques et les règles PAT l’emportent sur les règles NAT
  • 26. Formation Cisco ASA La table NAT et ordre de priorité ▪ D’autre part, le deuxième critère d’ordonnancement est que les réseaux définit au niveau des OBJECT NETWORK dont le préfixe de masque est le plus long sont priorisés aux réseaux définit au niveau des OBJECT NETWORK dont le préfixe de masque est le plus court ▪ En section 3 l’administrateur doit définir les règles les plus généralisées de TWICE au niveau de cette section, l’administrateur force le placement des règles généralisées en redéfinissant les règles avec le mot clé after- auto. Le mot clé after auto veut dire les règles qui viennent après les règles de la section 2 auto ordonnées
  • 27. Formation Cisco ASA La table NAT et ordre de priorité Figure qui montre la table NAT
  • 28. Formation Cisco ASA Ce qu’on a vu ▪ L’objet réseau NAT ▪ TWICE NAT ou la configuration NAT manuelle ▪ La table NAT et ordre de priorité
  • 29. Formation Cisco ASA Configuration de NAT en mode objet réseau Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 30. Formation Cisco ASA Le plan ▪ Exemple de configuration de NAT statique ▪ Exemple de configuration de NAT dynamique ▪ Exemple de configuration de NAT destination
  • 31. Formation Cisco ASA Exemple de configuration de NAT statique ▪ Voici un exemple de configuration de NAT statique Peer to Peer object network TRADUIT host 1.1.1.32  Adresse aléatoire dans la plage des adresses traduites object network NAT_STATIQUE host REEL nat (inside,outside) static TRADUIT ▪ Voici un exemple de configuration de NAT statique Range to Range object network TRADUIT_INTERVAL range 1.1.1.32 1.1.1.35  Rangé d’adresses aléatoires dans la plage des adresses traduites object network NAT_STATIQUE_INTERVAL range 192.168.0.1 192.168.0.4  Rangé d’adresses réelles à traduire nat (inside,outside) static TRADUIT_INTERVAL
  • 32. Formation Cisco ASA Exemple de configuration de NAT dynamique ▪ Voici un exemple de configuration de NAT dynamique object network TRADUIT_INTERVAL_DYN range 1.1.1.96 1.1.1.98  Rangé d’adresses aléatoires dans la plage des adresses traduites object network NAT_DYNAMIQUE host 192.168.0.1  Adresse réelle à traduire nat (inside,outside) dynamic TRADUIT_INTERVAL_DYN
  • 33. Formation Cisco ASA Exemple de configuration de NAT destination ▪ Nous utilisons ce genre de NAT pour que les hôtes de la zone outside puissent se connecter à des hôtes dans la zone inside ▪ Une étape nécessaire à faire avant tout, outre que la configuration des politiques d’inspection IMAP, il faut absolument appliquer une ACL permettant les flux en provenance de la zone outside d’y pénétrer à l’intérieur access-list OUT_IN permit any ip 192.168.0.100 255.255.255.0 Access-group OUT_IN in interface outside ▪ Voici un exemple de configuration de NAT dynamique object network DESTINATION host 1.1.1.1  Adresse issue de la zone outside nat (out,in) static 192.168.0.1  Adresse vers la quelle le hôte 1.1.1.1 va être orienté
  • 34. Formation Cisco ASA Exemple de configuration de NAT destination ▪ Nous finissons par obtenir cette table NAT Figure qui montre la table de NAT
  • 35. Formation Cisco ASA Ce qu’on a vu ▪ Exemple de configuration de NAT statique ▪ Exemple de configuration de NAT dynamique ▪ Exemple de configuration de NAT destination
  • 36. Formation Cisco ASA Configuration de NAT en mode TWICE Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 37. Formation Cisco ASA Le plan ▪ Exemple de configuration de NAT statique ▪ Exemple de configuration de NAT dynamique ▪ Exemple de configuration de NAT destination
  • 38. Formation Cisco ASA Exemple de configuration de NAT statique ▪ Voici un exemple de configuration de NAT statique Peer to Peer nat (inside,outside) 2 source static REEL TRADUIT ▪ Voici un exemple de configuration de NAT statique Range to Range nat (inside,outside) 2 source static REEL_INTERVAL TRADUIT_INTERVAL object network REEL host 192.168.0.1 object network TRADUIT host 1.1.1.35 object network REEL_INTERVAL host 192.168.0.1 object network TRADUIT_INTERVAL host 1.1.1.35
  • 39. Formation Cisco ASA Exemple de configuration de NAT dynamique ▪ Voici un exemple de configuration de NAT dynamique nat (inside,outside) 4 source dynamic REEL TRADUIT_INTERVAL ▪ Pour forcer cette règle de faire partie de la section 3 il faut utiliser le mot clé after-auto nat (inside,outside) after-auto 1 source dynamic REEL TRADUIT_INTERVAL
  • 40. Formation Cisco ASA Exemple de configuration de NAT destination ▪ Nous utilisons ce genre de NAT pour que les hôtes de la zone outside puissent se connecter à des hôtes dans la zone inside ▪ Une étape nécessaire à faire avant tout, outre que la configuration des politiques d’inspection IMAP, il faut absolument appliquer une ACL permettant les flux en provenance de la zone outside d’y pénétrer à l’intérieur access-list OUT_IN permit any ip 192.168.0.100 255.255.255.0 Access-group OUT_IN in interface outside ▪ Voici un exemple de configuration de NAT dynamique nat (outside,inside) 1 source static TRADUIT REEL
  • 41. Formation Cisco ASA Exemple de configuration de NAT destination ▪ Nous finissons par obtenir cette table NAT Figure qui montre la table de NAT
  • 42. Formation Cisco ASA Ce qu’on a vu ▪ Exemple de configuration de NAT statique ▪ Exemple de configuration de NAT dynamique ▪ Exemple de configuration de NAT destination
  • 43. Formation Cisco ASA Gestion des règles NAT avec ASDM Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 44. Formation Cisco ASA Le plan ▪ Gestion des règles NAT avec ASDM
  • 45. Formation Cisco ASA Ce qu’on a vu ▪ Gestion des règles NAT avec ASDM
  • 46. Formation Cisco ASA Configuration de PAT-POOL en TWICE Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 47. Formation Cisco ASA Le plan ▪ Configuration de PAT-POOL en TWICE
  • 48. Formation Cisco ASA Configuration de PAT-POOL en TWICE ▪ Voici à présent la topologie que nous allons utiliser pour configurer PAT-POOL pour accéder un service WEB et service FTP depuis une zone externe vers une zone interne Figure relative à la topologie utilisée pour tester le PAT-POOL
  • 49. Formation Cisco ASA Configuration de PAT-POOL en TWICE ▪ Voici la configuration de PAT/PATPOOL relative à la topologie qui permet la machine physique en zone outside d’ y accéder aux services de la machine nommée seven située en zone inside ▪ Il faut commencer par créer les objets réseaux suivants: object network ip21 host 1.1.1.21 object network ip80 host 1.1.1.80 ▪ Il faut commencer par créer les objets service suivants: object service ftp service tcp destination eq 21 object service http service tcp destination eq 80
  • 50. Formation Cisco ASA Configuration de PAT-POOL en TWICE ▪ En suite il faut définir les règles NAT en utilisant PAT-POOL pour désigner chaque trafic à sa propre destination basée sur le port: nat (inside,outside) source dynamic any pat-pool ip21 service ftp ftp nat (inside,outside) source dynamic any pat-pool ip23 service telnet telnet nat (inside,outside) source dynamic any pat-pool ip80 service http http
  • 51. Formation Cisco ASA Ce qu’on a vu ▪ Configuration de PAT-POOL en TWICE
  • 52. Formation Cisco ASA Les outils de dépannage et de contrôle NAT Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 53. Formation Cisco ASA Le plan ▪ Les outils de dépannage et de contrôle NAT
  • 54. Formation Cisco ASA Les outils de dépannage et de contrôle NAT ▪ Il existe plusieurs outils de dépannage et de contrôle du processus et des règles NAT au niveau du pare feu ASA à savoir • show nat / show nat detail : Permet d’ afficher la table NAT en trois sections Figure qui montre la sortie de la commande show nat detail
  • 55. Formation Cisco ASA Les outils de dépannage et de contrôle NAT • show xlate/ clear xlate: ✓ La commande show xlate permet le traçage des processus NAT lancés à l’instant de son exécution, la sortie xlate peut être persistée en cas d’utilisation d’un serveur Syslog ✓ La commande clear xlate permet d’effacer la trace dernièrement générée par xlate Figure qui montre la sortie de la commande show xlate
  • 56. Formation Cisco ASA Les outils de dépannage et de contrôle NAT • show conn: Permet de tracer les connexions établies entre deux Peer à un intervalle de temps donné Figure qui montre la sortie de la commande show conn avec ses différentes options
  • 57. Formation Cisco ASA Les outils de dépannage et de contrôle NAT • show cpu/memory: Permet de voir les niveaux de consommation des ressources en terme de mémoire et cpu Figure qui montre les sorties de commandes show memory et show cpu avec leurs options
  • 58. Formation Cisco ASA Les outils de dépannage et de contrôle NAT • debug: ✓ C’est un outil de traçage polyvalent et très informatif, souvent utilisé lorsqu’il s’agit d’anomalie ambigüe au niveau des configurations ✓ Il permet de tracer tout genre de trafique lancé chacun à part, cependant, il est gourmant en terme de consommation des ressources, par conséquent, il ne faut pas en abuser ✓ Exemple d’utilisation dans le contexte de débogage du processus NAT est la commande debug nat ✓ Un autre exemple d’utilisation debug icmp pour tracer les requêtes ICMP
  • 59. Formation Cisco ASA Les outils de dépannage et de contrôle NAT • Packet-tracer: ✓ A la différence de la commande debug généralisée, cet outils est plus spécifique au débogage de NAT, il est utilisé en mode ligne de commande ou encode en mode graphique sous ASDM ✓ Le packet-tracer génère un journal qui décrit les différentes étapes de déroulement du processus NAT en indiquant le niveau de blocage s’il y on a et il précise la source de blocage ✓ Voici quelques exemples de cas d’utilisation de packet-tracer en mode ligne de commande packet-tracer input inside tcp 192.168.0.1 2323 10.0.0.1 23 packet-tracer input inside icmp 192.168.0.1 0 0 10.0.0.1 Remarque: Cliquez ce lien pour plus de détails concernant les types ICMP et leur utilisation
  • 60. Formation Cisco ASA Les outils de dépannage et de contrôle NAT Entrer au niveau de la section Firewall sous la section Configuration Sélectionner la deuxième ligne à droite Nat Rules Sélectionner la règle NAT à analyser dans la liste Cliquer le bouton Packet Trace 1 2 3 4 1 2 3 4 Figure qui montre l’usage de packet tracer en mode graphique
  • 61. Formation Cisco ASA Les outils de dépannage et de contrôle NAT Figure qui montre le paramétrage de packet tracer 1 2 3 4 Sélectionner la zone source du lancement de trafic Sélectionner le type de paquet analysé Sélectionner l’adresse IP source et destination ainsi que le port utilisé Cliquer le bouton Start 1 2 3 4
  • 62. Formation Cisco ASA Ce qu’on a vu ▪ Les outils de dépannage et de contrôle NAT
  • 63. Formation Cisco ASA Rappel sur la notion des VLANs Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 64. Formation Cisco ASA Le plan ▪ Définition des VLANs ▪ Les types de VLANs ▪ La notion de jonctions ▪ Le protocole Spanning Tree
  • 65. Formation Cisco ASA Définition des VLANs ▪ VLAN est l’acronyme de Virtual LAN, le VLAN étant définit comme une division virtuelle ou logique des hôtes en groupes ou en réseaux locaux virtuels ▪ Les VLANs font partie de la couche de liaison de données du model OSI, par analogie, ils sont équivalents aux sous- réseaux du protocole IP qui fait partie de la couche réseau du model OSI ▪ Les VLANs se basent sur quatre principes • L’indépendance de la dimension physique • La sécurité • La flexibilité • La réduction du domaine de diffusion
  • 66. Formation Cisco ASA Les types des VLANs ▪ VLAN par défaut: • Lors du premier démarrage du commutateur tous les ports font partie de ce VLAN, c'est techniquement le VLAN 1, ce VLAN ne peut pas être supprimé du commutateur. ▪ VLAN de données: • Il s'agit du VLAN standard qui assure le transport des données qui sont transmises au niveau du réseau local ▪ VLAN natif: • Le VLAN natif est un concept unique de la norme 802.1Q. • Le trafic appartenant au VLAN natif n'est pas marqué c’est-à-dire le TAG n’est pas utilisé dans ce cas. • Il est à noter que le VLAN 1 qui est le VLAN par défaut est un VLAN natif. ▪ VLAN de Voix: Le VLAN vocal se distingue du VLAN des données par le faite que dans ce cas les politiques QoS sont appliquées à fin de donner la priorité aux trafic liés aux voix
  • 67. Formation Cisco ASA Les types des VLANs ▪ VLAN de gestion: • Ce VLAN assure la transmission du trafic sensible de point de vue du contrôle • Certains des protocoles utilisés sur ce VLAN sont FTP, TFTP, Telnet, SSH, SCP et bien d’autres types de trames ▪ VLANs spéciaux: • Ces VLAN sont essentiellement utilisés pour des cas spéciaux sur le réseau local • Un exemple d'un VLAN spécial serait VLAN 0, est utilisé lorsque le commutateur doit envoyer des trames à priorité élevée mais il ne sait pas vers quel destination doivent être envoyées ▪ VLANs réservés: • Il existe des VLANs réservés en interne à fin de les utiliser sur d'autres environnements comme FDDI, Token Ring. • Les VLANs spécifiques utilisés pour ces deux types de réseaux font partie de l’intervalle 1002 à 1005
  • 68. Formation Cisco ASA La notion de jonction ▪ Une jonction est définie comme le lien entre deux équipements plus précisément des commutateurs ▪ Chaque trame est orientée vers son VLAN de destination appropriée ▪ Les deux commutateurs entrent en communication via des ports spécialement configurés appelés des ports de jonction ▪ Le port de jonction est un type spécial de port qui servira seulement au transport des trames des divers VLANs entre les commutateurs physiques ▪ Les deux commutateurs doivent avoir leurs ports qui assurent la jonction configurés de la même manière, c’est-à-dire il utilisent le même type d’encapsulation ▪ Pour distinguer les trames faisant partie des différents VLANs, il y a deux normes employées à savoir: • la norme propriétaire de CISCO ISL « Inter Switch Link » • la norme standard 802.1 Q utilisée par les autres les concurrents ainsi que CISCO
  • 69. Formation Cisco ASA La notion de jonction ▪ La norme ISL « Inter Switch Link » utilise une technique d’encapsulation de la trame avant sont envoi ▪ La norme 802.1 Q injecte un TAG qui est un segment constitué de trois parties comme le montre la figure
  • 70. Formation Cisco ASA La notion de jonction ▪ La norme ISL « Inter Switch Link » utilise une technique d’encapsulation de la trame avant sont envoi ▪ La norme 802.1 Q injecte un TAG qui est un segment constitué de trois parties comme le montre la figure
  • 71. Formation Cisco ASA Le protocole Spanning Tree ▪ C’est un protocole qui prévient un ensemble de commutateurs montés en boucle d’envoyer les trames dans un cycle de transmission infini en bloquant certains ports au niveau du boucle ▪ Les réseaux commutés de type Ethernet doivent avoir un chemin unique entre deux points ▪ Il existe une variété de ce protocole qui est le Rapid Spanning Tree Protocol qui la plus utilisé en raison de sa performance Cette figure montre une topologie de commutateurs en boucle
  • 72. Formation Cisco ASA Ce qu’on a vu ▪ Définition des VLANs ▪ Les types de VLANs ▪ La notion de jonctions ▪ Le protocole Spanning Tree
  • 73. Formation Cisco ASA Scénario1-Connexion des VLANs à Internet Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 74. Formation Cisco ASA Le plan ▪ Scénario1: Connexion des VLANs à Internet
  • 75. Formation Cisco ASA La connexion des VLANs à Internet Voici à présent la topologie relative à notre scénario La topologie relative au scénario
  • 76. Formation Cisco ASA Ce qu’on a vu ▪ Scénario1: Connexion des VLANs à Internet
  • 77. Formation Cisco ASA Scénario1-Connexion des VLANs à Internet Configuration du commutateur Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 78. Formation Cisco ASA Le plan ▪ Scénario1: Configuration du commutateur
  • 79. Formation Cisco ASA Configuration du commutateur Voici à présent la topologie relative à notre scénario La topologie relative au scénario
  • 80. Formation Cisco ASA Configuration du commutateur Configurer le commutateur qui lie le réseau interne au pare feu ASA La configuration de VLAN 100: vlan 100 name VLAN100 int vlan 100 ip address 192.168.0.1 255.255.255.0 no shutdown La configuration de VLAN 200: vlan 200 name VLAN200 ip address 192.168.1.1 255.255.255.0 no shutdown La configuration de ethernet 0/0: e 0/0: no switchport ip address 172.16.1.2 255.255.255.252 La configuration du routage par défaut ip route 0.0.0.0 0.0.0.0 172.16.1.1 L’affectation des interfaces de test au VLAN e 0/1: Switchport access vlan 100 e 0/2: Switchport access vlan 200
  • 81. Formation Cisco ASA Ce qu’on a vu ▪ Scénario1: Configuration du commutateur
  • 82. Formation Cisco ASA Scénario1-Connexion des VLANs à Internet Configuration du pare feu avec CLI Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 83. Formation Cisco ASA Le plan ▪ Scénario1: Configuration du pare feu
  • 84. Formation Cisco ASA Configuration du pare feu Configurer le pare feu ASA pour qu’il aille deux zones une interne inside et autre externe outside, il faut également configurer les politiques IMAP pour permettre le déroulement du trafic Web et ICMP ainsi que les mécanismes de NAT et les routages nécessaires La configuration l’interface outside: interface GigabitEthernet0 nameif outside security-level 0 ip address 200.0.0.100 255.255.255.0 no shutdown La configuration de l’interface inside: interface GigabitEthernet1 nameif inside security-level 100 ip address 172.16.1.2 255.255.0.0 no shutdown La configuration de NAT object network LAN subnet 172.16.1.0 255.255.255.0 nat (inside,outside) dynamic interface object network VLAN100 subnet 192.168.0.0 255.255.255.0 nat (inside,outside) dynamic interface object network VLAN200 subnet 192.168.1.0 255.255.255.0 nat (inside,outside) dynamic interface
  • 85. Formation Cisco ASA Configuration du pare feu Configurer le pare feu ASA pour qu’il aille deux zones une interne inside et autre externe outside, il faut également configurer les politiques IMAP pour permettre le déroulement du trafic Web et ICMP ainsi que les mécanismes de NAT et les routages nécessaires La configuration du routage par défaut: route outside 0.0.0.0 0.0.0.0 200.0.0.1 route inside 192.168.100.0 255.255.255.0 172.16.0.2 route inside 192.168.200.0 255.255.255.0 172.16.0.2 La configuration des politiques d’inspection globales: class-map global-class match default-inspection-traffic policy-map GLOBAL class global-class inspect icmp inspect dns inspect http service-policy GLOBAL global
  • 86. Formation Cisco ASA Ce qu’on a vu ▪ Scénario1: Configuration du pare feu
  • 87. Formation Cisco ASA Scénario2-Configuration du pare feu ASA avec ASDM Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 88. Formation Cisco ASA Le plan ▪ Scénario2: Configuration du pare feu avec la ligne avec ASDM
  • 89. Formation Cisco ASA Configuration du pare feu ASA avec ASDM ▪ La même configuration des sous interfaces et des VLANs sera assurée cette fois ci à l’aide de ASDM Figure qui montre la topologie du scénario1
  • 90. Formation Cisco ASA Configuration du pare feu ASA avec ASDM ▪ Voici à présent la configuration au niveau du pare feu: La configuration de l’interface GigabiteEthernet 1.10: vlan 10 nameif hotes security-level 100 ip address 192.168.10.1 255.255.255.0 no shutdown La configuration de l’interface GigabitEthernet 1.20: vlan 20 nameif serveurs security-level 100 ip address 192.168.20.1 255.255.255.0 No shutdown
  • 91. Formation Cisco ASA Ce qu’on a vu ▪ Scénario2: Configuration du pare feu avec la ligne de commande CLI
  • 92. Formation Cisco ASA Scénario1-Configuration du commutateur Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 93. Formation Cisco ASA Le plan ▪ Scénario1: Configuration du commutateur
  • 94. Formation Cisco ASA Configuration Inter VLAN avec ASA La dernière étape consiste à configurer les commutateur qui doit être de type IOU et le test de la topologie Figure qui montre la topologie du scénario 1
  • 95. Formation Cisco ASA Configuration Inter VLAN avec ASA Voici à présent la configuration au niveau du commutateur: La configuration de l’interface Ethernet 0/0: interface Ethernet0/0 switchport trunk encapsulation dot1q switchport trunk allowed vlan 10,20 switchport mode trunk La configuration de l’interface Ethernet 0/1: interface Ethernet0/1 switchport access vlan 10 La configuration de l’interface Ethernet 0/2: interface Ethernet0/2 switchport access vlan 20 La configuration du VLAN 100: int vlan 100 ip address 192.168.10.1 no shutdown La configuration du VLAN 200: int vlan 200 ip address 192.168.20.1 no shutdown
  • 96. Formation Cisco ASA Ce qu’on a vu ▪ Scénario1: Configuration du commutateur
  • 97. Formation Cisco ASA Scénario2-Configuration des interfaces Redondantes-Présentation Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 98. Formation Cisco ASA Le plan ▪ Scénario2: Configuration d’une connexion à internet redondante
  • 99. Formation Cisco ASA Configuration d’une connexion à internet redondante ▪ Le scénario consiste à utiliser la redondance des interfaces pour assurer la connexion à internet Figure qui montre la topologie du scénario 2
  • 100. Formation Cisco ASA Ce qu’on a vu ▪ Scénario2: Configuration d’une connexion à internet redondante
  • 101. Formation Cisco ASA Scénario2-Configuration du routeur Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 102. Formation Cisco ASA Le plan ▪ Scénario2: Configuration du routeur
  • 103. Formation Cisco ASA Configuration du routeur La première étape consiste à configurer les routeur qui doit assurer la connexion à internet Figure qui montre la topologie du scénario 2
  • 104. Formation Cisco ASA Configuration du routeur Voici à présent la configuration au niveau du commutateur: La configuration de l’interface Ethernet 0/0: interface Ethernet0/0 no shutdown ip address 192.168.137.2 255.255.255.0 ip nat outside exit La configuration de l’interface Ethernet 0/1: no shutdown ip address 10.0.0.1 255.0.0.0 ip nat inside exit La configuration du dernier ressort ip route 0.0.0.0 0.0.0.0 192.168.137.1 La configuration ACL access-list 1 permit 10.0.0.0 0.255.255.255 ip nat inside source list 1 interface ethernet 0/0 overload
  • 105. Formation Cisco ASA Ce qu’on a vu ▪ Scénario2: Configuration du routeur
  • 106. Formation Cisco ASA Scénario2-Configuration du pare feu ASA avec CLI Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 107. Formation Cisco ASA Le plan ▪ Scénario2: Configuration du pare feu avec la ligne de commande CLI
  • 108. Formation Cisco ASA Configuration du pare feu ASA avec CLI ▪ Cette étape consiste à configurer le pare feu ASA à l’aide de la ligne de commande Figure qui montre la topologie du scénario 2
  • 109. Formation Cisco ASA Configuration du pare feu ASA avec CLI ▪ Voici à présent la configuration au niveau du pare feu: L’activation des interfaces membres : interface g 0 no shut interface g 1 no shutdown interface g 2 no shut interface g 3 no shutdown Configuration de l’interface redondante externe: interface redundant 1 member-interface g 0 member-interface g 1 nameif outside security-level 0 ip address 10.0.0.10 255.255.255.0 exit Configuration de l’interface redondante interne: interface redundant 2 member-interface g 2 member-interface g 3 nameif inside ip address 192.168.20.0 10 255.255.255.0 exit
  • 110. Formation Cisco ASA Configuration du pare feu ASA avec CLI ▪ Voici à présent la configuration au niveau du pare feu: Configuration du routage par défaut au niveau asa : Route outside 0 0 interface <@IP du FAI> Remarque: Pour connaître l’adresse IP du FAI, il suffit de la chercher au site https://cmyip.com/ Configuration de NAT: object network net-192.168.20 subnet 192.168.20.0 255.255.255.0 nat (inside,outside) dynamic interface Configuration d’inspection de ICMP: class-map global-class match default-inspection-traffic policy-map GLOBAL class global-class inspect icmp service-policy GLOBAL global
  • 111. Formation Cisco ASA Ce qu’on a vu ▪ Scénario2: Configuration du pare feu avec la ligne de commande CLI
  • 112. Formation Cisco ASA Scénario2-Configuration du pare feu ASA avec ASDM Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 113. Formation Cisco ASA Le plan ▪ Scénario2: Configuration du pare feu avec ASDM
  • 114. Formation Cisco ASA Configuration du routeur ASA avec ASDM ▪ Cette étape consiste à configurer le pare feu ASA à l’aide de la ligne de commande Figure qui montre la topologie du scénario 2
  • 115. Formation Cisco ASA Configuration du routeur ASA avec ASDM ▪ Voici à présent la configuration au niveau du pare feu: L’activation des interfaces membres : interface g 0 no shut interface g 1 no shutdown interface g 2 no shut interface g 3 no shutdown Configuration de l’interface redondante externe: interface redundant 1 member-interface g 0 member-interface g 1 nameif outside security-level 0 ip address 10.0.0.10 255.255.255.0 exit Configuration de l’interface redondante interne: interface redundant 2 member-interface g 2 member-interface g 3 nameif inside ip address 192.168.20.1 255.255.255.0 exit
  • 116. Formation Cisco ASA Configuration Inter VLAN avec ASA ▪ Voici à présent la configuration au niveau du pare feu: Configuration du routage par défaut au niveau asa : Route outside 0 0 interface <@IP du FAI> Remarque: Pour connaître l’adresse IP du FAI, il suffit de la chercher au site https://cmyip.com/ Configuration de NAT: object network net-192.168.20 subnet 192.168.20.0 255.255.255.0 nat (inside,outside) dynamic interface Configuration d’inspection de ICMP: class-map global-class match default-inspection-traffic policy-map GLOBAL class global-class inspect icmp service-policy GLOBAL global
  • 117. Formation Cisco ASA Ce qu’on a vu ▪ Scénario2: Configuration du pare feu avec ASDM
  • 118. Formation Cisco ASA Configuration de Ether Channel sous ASA avec CLI Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 119. Formation Cisco ASA Le plan ▪ Configuration de Ether Channel sous ASA avec CLI ▪ Présentation des commandes de contrôle et dépannage
  • 120. Formation Cisco ASA Configuration de Ether Channel sous ASA avec CLI Figure qui montre la connexion Ether Channel entre le pare feu ASA et deux commutateurs IOU
  • 121. Formation Cisco ASA Configuration de Ether Channel sous ASA avec CLI ▪ Voici à présent la configuration du Ether Channel au niveau du commutateur: ▪ Voici à présente la configuration du pare feu ASA, il faut tout d’abord ajouter les interface au Port-Channel corréspendant ▪ int gigabitehternet 0 no shutdown channel-group 1 mode on int gigabitehternet 1 no shutdown channel-group 1 mode on int ehternet 0/0 no shutdown switchport trunk encapsulation dot1q switchport mode trunk duplex full channel-group 1 mode on int ehternet 0/1 no shutdown switchport trunk encapsulation dot1q switchport mode trunk duplex full channel-group 1 mode on
  • 122. Formation Cisco ASA Présentation des outils de contrôle et de dépannage ▪ Ensuite, il faut configurer le Port-Channel en question en l’attribuant le nom et l’adresse IP et vérifier sont état interface port-channel 1 nameif ehterchannelzone security-level 100 ip address 192.168.137.2 255.255.255.0 exit ▪ Il est possible de vérifier l’état du Ether Channel de part est d’autre de la connexion à savoir côté commutateur et côté pare feu ASA COMMUTATEUR: show ip arp <interface> show int et0/0 | in MAC show port-channel <indice> brief show port-channel <indice> load-balance show port-channel summary PARE FEU ASA: show run interface <interface> show interfaces <interface> | include line protocol show ip int brief | include Port show etherchannel summary | begin Group show etherchannel <indice> detail
  • 123. Formation Cisco ASA Ce qu’on a vu ▪ Configuration de Ether Channel sous ASA avec CLI ▪ Présentation des commandes de contrôle et dépannage
  • 124. Formation Cisco ASA Connexion des interfaces de même niveau de sécurité Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 125. Formation Cisco ASA Le plan ▪ Connexion des interfaces de même niveau de sécurité
  • 126. Formation Cisco ASA Connexion des interfaces de même niveau de sécurité Voici à présent la topologie utilisée pour notre cas d’établissement de connectivité de deux interface ayant le même niveau de sécurité Figure qui montre la connexion de deux interfaces de même niveau de sécurité
  • 127. Formation Cisco ASA Connexion des interfaces de même niveau de sécurité ▪ Voici à présent la configuration du Ether Channel au niveau du commutateur: ▪ En suite, il faut configurer un routage par défaut de side1 vers side2 route side1 0 0 172.16.0.1 ▪ Enfin, il faut permettre la circulation du trafic à travers la commande same-security-level permit inter-interface int gigabitethernet 0/0 no shutdown nameif side1 ip address 192.168.0.1 security-level 100 int gigabitethernet 0/1 no shutdown nameif side2 ip address 172.16.0.1 security-level 100
  • 128. Formation Cisco ASA Ce qu’on a vu ▪ Connexion des interfaces de même niveau de sécurité
  • 129. Formation Cisco ASA Rappel sur la notion du routage Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 130. Formation Cisco ASA Le plan ▪ La définition de la notion du routage ▪ Le routage statique ▪ Le routage dynamique
  • 131. Formation Cisco ASA La définition de la notion du routage ▪Le routage est le processus d’acheminement de trafic entre deux ou plusieurs réseaux différents Représentation d’une topologie qui montre un routage de deux réseaux différents
  • 132. Formation Cisco ASA Le routage statique ▪ Il y a trois types de routages qui sont respectivement: • Le routage statique: ✓ Le routage statique est configuré manuellement par un administrateur réseau en ajoutant des entrées dans la table de routage. ✓ Les itinéraires statiques sont fixes et ne changent pas si le réseau est modifié ou reconfiguré. ✓ Ce genre de routage est utilisé au niveau des réseaux de petite taille, car il est plus rapide que les autres types de routage ✓ La syntaxe utilisée pour le routage statique prend la forme suivante ip route <@réseau de destination> <@masque> <@IP saut suivant> ip route <@réseau de destination> <@masque> <interface saut suivant>
  • 133. Formation Cisco ASA Le routage statique • Le routage par défaut: ✓ Le routage par défaut peut être considéré comme une sous catégorie de routage statique où le réseau de destination ainsi que le masque sont formés d’une suite de 0 et l’itinéraire du dernier ressort est représenté par une adresse IP bien particulière ✓ Ce genre de routage est utilisé essentiellement pour des raisons de test et de dépannage ✓ La syntaxe utilisée pour le routage par défaut prend la forme suivante ip route 0.0.0.0 0.0.0.0 <@IP saut suivant> ip route 0.0.0.0 0.0.0.0 <interface saut suivant>
  • 134. Formation Cisco ASA Le routage statique ▪ Voici à présent une représentation d’une table de routage qui montre la coexistence des deux types de routage à savoir le routage statique et celui par défaut Figure qui montre une table de routage
  • 135. Formation Cisco ASA Le routage dynamique ▪ Le routage dynamique est une technique de routage automatiquement via des algorithmes et protocoles bien définit ▪ Dans le cas du routage dynamique, les routeurs sélectionnent les chemins en fonction des changements de mise à jour en réseau en temps réel. ▪ Le protocole du routage fonctionnant sur le routeur est responsable de la création, de la maintenance et de la mise à jour de la table de routage d’une façon dynamique. ▪ Le routage dynamique utilise plusieurs algorithmes et protocoles dont les plus populaires sont Routing Information Protocol « RIP », Open Shortest Path First « OSPF » et Enhnaced Interior Gateway Routing Protocol « EIGRP ».
  • 136. Formation Cisco ASA Le routage dynamique ▪Les protocoles dynamiques permettent : • Le partage des informations entre les divers routeurs interconnectés • La mise à jour les tables de routage • La détermination des meilleurs chemins • La découverte des réseaux distants • Le choix de la meilleure alternative en cas où le meilleur chemin n’est pas disponible
  • 137. Formation Cisco ASA Ce qu’on a vu ▪ La définition de la notion du routage ▪ Le routage statique ▪ Le routage dynamique
  • 138. Formation Cisco ASA Mode routé vs mode transparent Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 139. Formation Cisco ASA Le plan ▪ Comparaison mode routé et mode transparent ▪ Configuration du mode transparent
  • 140. Formation Cisco ASA Comparaison mode routé et mode transparent ▪ IL existe deux modes offerts dans le cadre d’un pare feu ASA: • Le mode routé • Le mode transparent ▪ Pour le mode routé, le pare feu ASA joue le rôle du routeur entre le réseau interne et le réseau externe outre que son rôle de filtrage des flux entrants et sortants Figure qui montre le mode routé du pare feu ASA
  • 141. Formation Cisco ASA Comparaison mode routé et mode transparent ▪ Le mode transparent: • Pour le mode transparent, le pare feu ASA n’assure pas le routage • Une seule adresse sera attribuée pour représenter l’ensemble des interfaces activées qui doit faire partie de la même plage du réseau interne il s’agit d’une interface virtuelle BVI « Bridge Virtual Interface » • Le pare feu est considéré comme équipement niveau 2 faisant partie de la couche liaison • Le par feu sera transparent pour les réseaux externes y compris les auteurs d’attaques Figure qui montre le mode transparent du pare feu ASA
  • 142. Formation Cisco ASA Configuration du mode transparent ▪ Exemple de configuration du mode transparent: Configuration de l’interface virtuelle Interface BVI1 Ip address 10.0.0.254 firewall transparent Configuration de l’interface gigabitethernet 0 interface gigabitethernet 0 no shutdown nameif outside bridge-group 1 Configuration de l’interface gigabitethernet 1 interface gigabitethernet 1 no shutdown nameif inside bridge-group 1 ▪ Il est toujours possible de vérifier le mode adopté soit routé ou transparent à l’aide de la commande show firewall
  • 143. Formation Cisco ASA Configuration du mode transparent ▪ Il ne faut pas oublier de configurer les politiques d’inspections IMAP qui correspondent au besoin pour que le pare feu puisse laisser circuler le trafic en cas de test de connectivité en utilisant des requêtes ICMP par exemple, il faut configurer les politiques d’inspection Configuration des politiques d’inspections class-map inspection_default match default-inspection-traffic inspect icmp inspect icmp error service-policy global_policy global
  • 144. Formation Cisco ASA Ce qu’on a vu ▪ Comparaison mode routé et mode transparent ▪ Configuration du mode transparent
  • 145. Formation Cisco ASA ASA et le routage statique Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 146. Formation Cisco ASA Le plan ▪ Présentation de la topologie ▪ Configuration des modes de routage statiques
  • 147. Formation Cisco ASA Les modes de routages statiques ▪ Voici à présent la topologie relative à la configuration du routage statique sous le pare feu ASA Figure qui représente la topologie de routage statique
  • 148. Formation Cisco ASA Les modes de routages statiques ▪ Voici à présent les configurations des deux routeurs R1 et R2 ainsi que le pare feu ASA pour établir un routage statique par défaut vers la zone outside et un routage statique vers la zone inside Configuration du pare feu ASA Configuration du routage Configuration de interface gigabitethernet 0 int gigabitethernet 0 nameif outside ip add 192.168.1.100 255.255.255.0 no shut exit Configuration de interface gigabitethernet 1 int gigabitethernet 1 nameif inside ip add 10.10.10.100 255.255.255.0 no shut exit Configuration routage statique par défaut !routage par défaut vers outside route outside 0 0 192.168.1.1 Configuration du routage statique !routage par défaut vers inside route inside 10.20.20.0 255.255.255.0 10.10.10.1
  • 149. Formation Cisco ASA Les modes de routages statiques Configuration des routeurs R1 et R2 Configuration de interface ethernet 0/0 de R1 int ethernet 0/0 no shut ip address 10.10.10.1 255.255.255.0 exit Configuration de interface loopback 0 de R1 int lo0 ip address 10.20.20.1 255.255.255.255 exit Configuration de interface ethernet 0/0 de R2 int ethernet 0/0 no shut ip address 192.168.1.1 255.255.255.0 exit Configuration de interface loopback 0 de R2 int lo0 ip add 192.168.2.2 255.255.255.255 exit
  • 150. Formation Cisco ASA Ce qu’on a vu ▪ Présentation de la topologie ▪ Configuration des modes de routage statiques
  • 151. Formation Cisco ASA ASA et le routage RIP Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 152. Formation Cisco ASA Le plan ▪ Configuration du routage dynamique RIP
  • 153. Formation Cisco ASA Configuration du routage dynamique RIP ▪ Voici à présent la topologie relative à la configuration du routage RIP version 2 sous le pare feu ASA Figure qui représente la topologie de routage dynamique RIP version 2
  • 154. Formation Cisco ASA Configuration du routage dynamique RIP ▪ Il faut configurer les interfaces au niveau du routeur R1 Configuration des interfaces ethernet 0/0 et ethernet 0/1: ▪ En suite, il faut configurer le mode de routage RIP version 2 router rip version 2 no auto-summary network 10.0.0.0 network 192.168.0.0 int ethernet 0/0 no shutdown ip address 192.168.0.1 255.255.255.0 int ethernet 0/1 no shutdown ip address 10.10.10.1 255.255.255.0
  • 155. Formation Cisco ASA Configuration du routage dynamique RIP ▪ Au niveau du pare feu ASA, il faut configurer l’ interface qui lie ce premier au routeur R1 : Configuration interfaces: int g 1 nameif rip security-level 100 ip add 192.168.0.100 255.255.255.0 no shutdown ▪ Il est possible de bloquer les messages Hello envoyés dans le cadre d’échange d’informations de routage et de mise à jour de la table de routage pour des raisons de sécurité à travers la commande passive-interface suivie par le nom de l’interface du pare feu ASA au niveau de la porté de routage qu’on veut pas quelle participe dans les échanges des messages Hello ▪ En suite, il faut configurer le protocole de routage RIP version2 sous ASA router rip version 2 no auto-summary network 10.0.0.0 network 192.168.0.0
  • 156. Formation Cisco ASA Ce qu’on a vu ▪ Configuration du routage dynamique RIP
  • 157. Formation Cisco ASA ASA et le routage EIGRP Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 158. Formation Cisco ASA Le plan ▪ Configuration du routage dynamique EIGRP
  • 159. Formation Cisco ASA Configuration du routage dynamique EIGRP ▪ Voici à présent la topologie relative à la configuration du routage EIGRP sous le pare feu ASA Figure qui représente la topologie de routage dynamique EIGRP
  • 160. Formation Cisco ASA Configuration du routage dynamique EIGRP ▪ Il faut configurer les interfaces au niveau du routeur R1 Configuration des interfaces ethernet 0/0 et ethernet 0/1: ▪ En suite, il faut configurer le mode de routage EIGRP router rip version 2 no auto-summary network 10.0.0.0 network 192.168.0.0 int ethernet 0/0 no shutdown ip address 192.168.0.1 255.255.255.0 int ethernet 0/1 no shutdown ip address 10.10.10.1 255.255.255.0
  • 161. Formation Cisco ASA Configuration du routage dynamique EIGRP ▪ Au niveau du pare feu ASA, il faut configurer l’ interface qui lie ce premier au routeur R1 : Configuration interfaces: int gigabitethernet 1 nameif rip security-level 100 ip add 192.168.0.100 255.255.255.0 no shutdown ▪ Il est possible de bloquer les messages Hello envoyés dans le cadre d’échange d’informations de routage et de mise à jour de la table de routage pour des raisons de sécurité à travers la commande passive-interface suivie par le nom de l’interface du pare feu ASA au niveau de la porté de routage qu’on veut pas quelle participe dans les échanges des messages Hello ▪ En suite, il faut configurer le protocole de routage RIP version2 sous ASA router eigrp version 1 no auto-summary network 192.168.0.0
  • 162. Formation Cisco ASA Ce qu’on a vu ▪ Configuration du routage dynamique EIGRP
  • 163. Formation Cisco ASA ASA et le routage OSPF Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 164. Formation Cisco ASA Le plan ▪ Configuration du routage dynamique OSPF
  • 165. Formation Cisco ASA Configuration du routage dynamique OSPF ▪ Voici à présent la topologie relative à la configuration du routage OSPF sous le pare feu ASA Figure qui représente la topologie de routage dynamique OSPF
  • 166. Formation Cisco ASA Configuration du routage dynamique OSPF ▪ Il faut configurer les interfaces au niveau du routeur R1 Configuration des interfaces ethernet 0/0 et ethernet 0/1: ▪ En suite, il faut configurer le mode de routage OSPF router ospf 1 network 10.0.0.0 0.0.0.255 area 0 network 192.168.0.0 0.0.0.255 area 0 int ethernet 0/0 no shutdown ip address 192.168.0.1 255.255.255.0 int ethernet 0/1 no shutdown ip address 10.10.10.1 255.255.255.0
  • 167. Formation Cisco ASA Configuration du routage dynamique OSPF ▪ Au niveau du pare feu ASA, il faut configurer l’ interface qui lie ce premier au routeur R1 : Configuration interfaces: int g 1 nameif ospf security-level 100 ip add 192.168.0.100 255.255.255.0 no shutdown ▪ Il est possible de bloquer les messages Hello envoyés dans le cadre d’échange d’informations de routage et de mise à jour de la table de routage pour des raisons de sécurité à travers la commande passive-interface suivie par le nom de l’interface du pare feu ASA qu’on veut pas quelle participe dans les échanges des messages Hello ▪ En suite, il faut configurer le protocole de routage RIP version2 sous ASA router ospf 1 network 10.0.0.0 0.0.0.255 area 0 network 192.168.0.0 0.0.0.255 area 0
  • 168. Formation Cisco ASA Ce qu’on a vu ▪ Configuration du routage dynamique OSPF
  • 169. Formation Cisco ASA Le Bilan Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 170. Formation Cisco ASA Le Bilan de la formation ▪ Les chapitres Chapitre 0: Chapitre introductif Chapitre I: La configuration des règles NAT sous ASA Chapitre II: La configuration des VLANs sous ASA Chapitre III: La configuration des interfaces sous ASA Chapitre IV: La configuration du routage sous ASA Chapitre V: Le Bilan
  • 171. Formation Cisco ASA Le plan de la formation ▪ Les chapitres Chapitre 0: Chapitre introductif Chapitre I: La configuration des règles NAT sous ASA Implémentation de NAT pour ASA Configuration de NAT en Objet réseau Configuration de NAT en TWICE Gestion des règles NAT avec ASDM Configuration de PATPOOL en TWICE Les outils de dépannage et de contrôle NAT Présentation de la formation
  • 172. Formation Cisco ASA Le plan de la formation ▪ Les chapitres Chapitre II: La configuration des VLANs sous ASA Rappel sur la notion des VLANs Scénario1-Connection des VLANs à Internet-Présentation Scénario1-Configration du Commutateur Scénario1-Configration du pare feu-Ligne de commande Scénario1-Configration du pare feu-ASDM
  • 173. Formation Cisco ASA Le plan de la formation ▪ Les chapitres Chapitre III: La configuration des interfaces sous ASA Présentation des interfaces sous ASA Scénario1-Configration des sous interfaces-Présentation Scénario1-Configration du pare feu ASA-Ligne de commande Scénario1-Configration du pare feu ASA-ASDM Scénario1-Configration du Commutateur
  • 174. Formation Cisco ASA Le plan de la formation ▪ Les chapitres Chapitre III: La configuration des interfaces sous ASA Scénario2-Configuration des interfaces redondantes-Présentation Scénario2-Configration du Routeur Scénario2-Configration du pare feu ASA-Ligne de commande Scénario2-Configration du pare feu ASA-ASDM Configuration de Ether Channel sous ASA Connexion des interfaces de même niveau de sécurité
  • 175. Formation Cisco ASA Le plan de la formation ▪ Les chapitres Chapitre IV: La configuration du routage ASA Rappel sur la notion du routage Mode routé, Mode transparent ASA et routage statique ASA et routage RIP ASA et routage EIGRP ASA et routage OSPF
  • 176. Formation Cisco ASA Le plan de la formation ▪ Les chapitres Chapitre V: Le Bilan Le Bilan