docims internet - SFR Business
download 
Plainte Transcription
ims internet - SFR Business
IMS INTERNET /Paramétrage de l’offre / Gateway Cisco IMS INTERNET Paramétrage de l’offre Gateway CISCO Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 1 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco SOMMAIRE 1. Introduction 1.1 OBJECTIFS DU DOCUMENT 1.2 VERSIONS INSTALLÉES 2. Connectique physique 3. Configuration du VPN 3030 4. Configuration du Client VPN 4.0 4.1 INSTALLATION DU C LIENT VPN 4.0 4.2 C ONFIGURATION DU C LIENT VPN 4.0 Référence DRS/DTS/DCRT/CID/04 078 Edition 3 3 3 3 4 24 24 27 Date de Diffusion Page 05/04/04 Page 2 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco 1. Introduction 1.1 Objectifs du document Ce document fait suite à l’installation de l’architecture de sécurité correspondant au projet VPN. Ce rapport d’installation constitue une référence quant à l’installation et la configuration initiale de l’architecture qui a été mise en place, et peut être utilisé dans l’intention de réinstaller une des composantes de la solution. 1.2 Versions installées Voici les différentes versions des produits qui ont été utilisés pour la maquette : • • Cisco VPN Concentrator 3030 o Model : VPN Concentrator 3030 o Software version : 4.00 du 15 avril 2003 Cisco VPN Client o Cisco VPN Client v4.00 du 15 avril 2003 2. Connectique physique Private Intf = Interface privée (lan interne) Public Intf = Interface publique (terminaison des tunnels VPN) External Intf = Interface dmz Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 3 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco 3. Configuration du VPN 3030 Cette section décrit les principales étapes de la configuration du concentrateur VPN 3030. 3.1.1 Installation et configuration minimale par le port Console Afin de configurer les boîtiers, il faut connecter le port Console sur le port série d’un équipement informatique disposant d’une émulation type VT100 paramétrée comme suit : 8 bits de donnée, pas de parité, un bit de stop, débit à 9600 bauds Allumer alors le concentrateur VPN 3030. A l’invite saisir le couple login/password (par défaut : admin/admin respectivement). Le menu suivant apparaît alors : Boot-ROM Initializing... Boot configured 128Mb of RAM. ... Loading image .......... Verifying image checksum ........... Active image loaded and verified... Starting loaded image... Starting power-up diagnostics... ... pSH+ Copyright (c) Integrated Systems, Inc., 1992. Cisco Systems, Inc./VPN 3000 Concentrator Version 3.6.5.Rel Nov 07 2002 16:55:00 Features: Initializing VPN 3000 Concentrator ... Initialization Complete...Waiting for Network... 1 04/24/2003 09:05:02.520 SEV=1 EVENT/37 RPT=1 Reset Reason : 15 (Powerup-Reset) Login: admin Password: Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 4 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco Réglage de l’horloge interne (heure/date/fuseau): Welcome to Cisco Systems VPN 3000 Concentrator Series Command Line Interface Copyright (C) 1998-2002 Cisco Systems, Inc. -- : Set the time on your device. The correct time is very important, -- : so that logging and accounting entries are accurate. -- : Enter the system time in the following format: -- : HH:MM:SS. Example 21:30:00 for 9:30 PM > Time Quick -> [ 09:13:29 ] -- : Enter the date in the following format. -- : MM/DD/YYYY Example 06/12/1999 for June 12th 1999. > Date Quick -> [ 04/24/2003 ] -- : Set the time zone on your device. The correct time zone is very -- : important so that logging and accounting entries are accurate. -- : Enter the time zone using the hour offset from GMT: Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 5 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco -- : -12 : Kwajalein -- : -8 : PST -- : -- : -11 : Samoa Alaska -10 : Hawaii -7 : MST -4 : Atlantic 0 : GMT -6 : CST -9 : -5 : EST -3 : Brasilia Azores -2 : Mid-Atlantic -1 : +1 : Paris Kuwait +2 : Cairo +3 : -- : +4 : Abu Dhabi +5 : Karachi Bangkok +6 : Almaty +7 : -- : +8 : Singapore +9 : Tokyo +10 : Sydney Solomon Is. +11 : -- : +12 : Marshall Is. > Time Zone Quick -> [ 1 ] +1 1) Enable Daylight Savings Time Support 2) Disable Daylight Savings Time Support Quick -> [ 1 ] Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 6 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco Paramétrage des adresses IP des interfaces privée et publique : This table shows current IP addresses. Intf Status IP Address/Subnet Mask Address MAC -----------------------------------------------------------------------------Ether1-Pri|Not Configured| 0.0.0.0/0.0.0.0 | Ether2-Pub|Not Configured| 0.0.0.0/0.0.0.0 | Ether3-Ext|Not Configured| 0.0.0.0/0.0.0.0 | -----------------------------------------------------------------------------DNS Server(s): DNS Server Not Configured DNS Domain Name: Default Gateway: Default Gateway Not Configured ** An address is required for the private interface. ** > Enter IP Address Quick Ethernet 1 -> [ 0.0.0.0 ] 192.168.1.178 Waiting for Network Initialization... > Enter Subnet Mask Quick Ethernet 1 -> [ 255.255.255.0 ] 1) Ethernet Speed 10 Mbps 2) Ethernet Speed 100 Mbps 3) Ethernet Speed 10/100 Mbps Auto Detect Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 7 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco Quick Ethernet 1 -> [ 3 ] 1) Enter Duplex - Half/Full/Auto 2) Enter Duplex - Full Duplex 3) Enter Duplex - Half Duplex Quick Ethernet 1 -> [ 1 ] > MTU (68 - 1500) Quick Ethernet 1 -> [ 1500 ] 1) Modify Ethernet 1 IP Address (Private) 2) Modify Ethernet 2 IP Address (Public) 3) Modify Ethernet 3 IP Address (External) 4) Save changes to Config file 5) Continue 6) Exit Quick -> 2 This table shows current IP addresses. Intf Status IP Address/Subnet Mask Address MAC -----------------------------------------------------------------------------Ether1-Pri| UP | 192.168.1.178/255.255.255.0 00.90.A4.00.4C.68 | Ether2-Pub|Not Configured| 0.0.0.0/0.0.0.0 | Ether3-Ext|Not Configured| 0.0.0.0/0.0.0.0 | -----------------------------------------------------------------------------Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 8 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco DNS Server(s): DNS Server Not Configured DNS Domain Name: Default Gateway: Default Gateway Not Configured > Enter IP Address Quick Ethernet 2 -> [ 0.0.0.0 ] 195.115.96.178 > Enter Subnet Mask Quick Ethernet 2 -> [ 255.255.255.0 ] 255.255.255.224 1) Ethernet Speed 10 Mbps 2) Ethernet Speed 100 Mbps 3) Ethernet Speed 10/100 Mbps Auto Detect Quick Ethernet 2 -> [ 3 ] 1) Enter Duplex - Half/Full/Auto 2) Enter Duplex - Full Duplex 3) Enter Duplex - Half Duplex Quick Ethernet 2 -> [ 1 ] > MTU (68 - 1500) Quick Ethernet 2 -> [ 1500 ] 1) Modify Ethernet 1 IP Address (Private) 2) Modify Ethernet 2 IP Address (Public) 3) Modify Ethernet 3 IP Address (External) Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 9 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco 4) Save changes to Config file 5) Continue 6) Exit Quick -> 4 1) Modify Ethernet 1 IP Address (Private) 2) Modify Ethernet 2 IP Address (Public) 3) Modify Ethernet 3 IP Address (External) 4) Save changes to Config file 5) Continue 6) Exit Quick -> 6 Done Login: A partir de ce point, la configuration peut être effectuée par l’interface Web. Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 10 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco 3.1.2 Configuration par l’interface Web 1.1.1.1 Paramètres globaux Au moyen d’un navigateur HTML, il suffit de se connecter sur l’adresse IP de l’interface privée configurée précédemment. L’utilisateur est « admin » et le mot de pass e « admin » La page d’accueil suivante s’affiche, on sélectionne « start Quick Configuration » : Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 11 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco Paramétrage du System Name, du DNS Server et du domaine et de la gateway par défaut On décoche « PPTP » et « L2TP », on ne laisse qu’IPSec Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 12 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco Création du pool d’adresses IP qui sera utilisé par les clients VPN : Les authentifications des clients VPN seront effectuées à partir la base d’utilisateurs interne au concentrateur (possibilité de choisir aussi Radius, NT Domain ou SDI (SecureID)) Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 13 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco Création de l’utilisateur « user01 » : Création d’un groupe pour l’utilisateur « user01 » Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 14 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco Changement du mot de passe par défaut « admin » en « ciscovp » La configuration de base est terminée, on sauvegarde en cliquant « Save needed » Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 15 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 16 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco On va dans « Monitoring / System Status » afin de vérifier la version de software installée : il s’agit d’une 3.6.5, nous allons donc faire un update et passer à la version 4.0 On installe la version 4.0 par « Administration / Software Update / Concentrator » : Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 17 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco La mise à jour s’est déroulé correctement, il nous reste à rebooter le concentrateur pour activer la nouvelle version : Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 18 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco Lors du reboot, si l’on regarde sur la console, on peut voir que la nouvelle version a bien été prise en compte : Rebooting VPN 3000 Concentrator now. Resetting System... Boot-ROM Initializing... Boot configured 128Mb of RAM. ... Loading image .......... Verifying image checksum ........... Active image loaded and verified... Starting loaded image... Starting power-up diagnostics... ... pSH+ Copyright (c) Integrated Systems, Inc., 1992. Cisco Systems, Inc./VPN 3000 Concentrator Version 4.0.Rel Apr 10 2003 09:53:20 Features: Initializing VPN 3000 Concentrator ... Waiting for CAPI initialization to complete... Initialization Complete...Waiting for Network... 1 04/24/2003 09:58:29.240 SEV=1 EVENT/37 RPT=1 Reset Reason : 2 (Hardware-Reset) Login: 6 04/24/2003 09:58:30.310 SEV=3 IP/1 RPT=1 IP Interface 1 status changed to Link Up. Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 19 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco 7 04/24/2003 09:58:30.330 SEV=3 IP/1 RPT=2 IP Interface 2 status changed to Link Up. 8 04/24/2003 09:58:30.960 SEV=3 IP/2 RPT=1 IP Interface 1 status changed to Link Down. 9 04/24/2003 09:58:30.960 SEV=3 IP/2 RPT=2 IP Interface 2 status changed to Link Down. 10 04/24/2003 09:58:31.960 SEV=3 IP/1 RPT=3 IP Interface 1 status changed to Link Up. Login: admin Password: Welcome to Cisco Systems VPN 3000 Concentrator Series Command Line Interface Copyright (C) 1998-2003 Cisco Systems, Inc. 1) Configuration 2) Administration 3) Monitoring 4) Save changes to Config file 5) Help Information Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 20 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco 6) Exit vpn3000: Main -> 3 1) Routing Table 2) Event Log 3) System Status 4) Sessions 5) General Statistics 6) Dynamic Filters 7) Back vpn3000: Monitor -> 3 System Status ------------VPN Concentrator Type: 3030 Serial Number: Bootcode Rev: Cisco Systems, Inc./VPN 3000 Concentrator Series Version 2.5.Rel Jun 21 2000 18:57:52 Software Rev: Cisco Systems, Inc./VPN 3000 Concentrator Version 4.0.Rel Apr 10 2003 09:53:20 Up For 0:00:28 Up Since 04/24/2003 09:58:20 RAM Size: 128 MB (Memory Status: Green) Fan Fan 1 Fan 2 | | Temperature CPU Cage --------------------------------------3689 RPM Référence DRS/DTS/DCRT/CID/04 078 3709 RPM Edition 35C/95F 36C/96F Date de Diffusion Page 05/04/04 Page 21 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco 1) Refresh System Status 2) View Card Status 3) View LED Status 4) View Memory Status 5) Back vpn3000: Status -> Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 22 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco _ Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 23 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco 4. Configuration du Client VPN 4.0 Cette section décrit la procédure d’installation et de configuration du client VPN 4.0 Cisco. 4.1 Installation du Client VPN 4.0 Lancer le fichier « vpnclient-win-is-4.0.Rel-k9.exe », c’est une archive auto-extractible : une foi s décompacté dans un répertoire, il suffit de cliquer « setup.exe » et la fenêtre suivante s’affiche : Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 24 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco On choisit le répertoire de destination et le groupe pour placer les icônes Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 25 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 26 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco Il reste à redémarrer le poste client pour terminer l’installation : 4.2 Configuration du Client VPN 4.0 Double-cliquer sur l’icône Cisco VPN Client pour lancer l’application : Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 27 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco On créé un profil de connexion en cliquant « New » sur la fenêtre principale : Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 28 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco On renseigne l’adresse du concentrateur VPN ainsi que le groupe d’authentification précédemment créé sur ce dernier : On va maintenant tester la connexion avec ce profil, on sélectionne notre profil « test vpn cegetel » et on clique « Connect » Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 29 Dernière impression le 10/05/04 14:26 IMS INTERNET /Paramétrage de l’offre / Gateway Cisco On s’authentifie avec « user01 » : La connexion est OK, le tunnel IPSec est « monté » : On fait un clic droit sur le cadenas jaune et on choisit « Statistics » afin d’avoir des informations sur la connexion en cours : Référence DRS/DTS/DCRT/CID/04 078 Edition Date de Diffusion Page 05/04/04 Page 30 Dernière impression le 10/05/04 14:26
