Blog CCIE

« Ce qu'on obtient en atteignant nos objectifs n'est pas aussi important que ce que l'on devient en les atteignant. » - Zig Ziglar

Archive for octobre, 2011

Protocoles de transition IPv6 : 6to4

with 11 comments

Introduction

Comme vous le savez, nous sommes « à court » d’IPv4 publiques depuis le début de l’année.

Autant dire que cet évènement va, je l’espère, accélérer la transition inéluctable vers une architecture plus portée vers l’IPv6.

Maintenant vous pouvez vous poser la question légitimement, comment passer « en douceur » à l’IPv6 sans forcément bannir IPv4 de votre réseau interne et externe et remettre en question votre architecture entière.

C’est là où les protocoles de transition rentrent en jeu et notamment celui que nous allons voir dans ce post : 6to4.

6to4

Le postulat de ces protocoles de transition reste assez simple. Il s’agit de permettre à du traffic de type IPv6 de passer à travers un réseau IPv4 classique. Cela est rendu possible grâce au routeur qui encapsule notre paquet IPv6 dans la zone de données du paquet IPv4(c’est-à-dire le payload) et ainsi l’envoyer à travers un réseau IPv4 dans perdre aucune information IPv6.

Remarquez que l’on pourra aisément distinguer ce type de paquet grâce au Type 41 dans le header de notre paquet IPv4.

6to4 va vous permettre d’établir des tunnels de type point-to-multipoint de façon totalement dynamique.
La force de cette technologie est de pouvoir par exemple, ajouter 100 routeurs dans votre topologie sans pour autant remettre en cause la configuration de vos routeurs existants puisque tout s’établit de façon dynamique!
Ce protocole utilise la range 2002::/16 pour pouvoir fonctionner.

L’inconvénient principal néanmoins de 6to4 est qu’il ne prend pas en charge les IGP, ce qui n’est pas nécéssairement un problème si vous restez dans un environnement 6to4.

Read the rest of this entry »

Written by Julien BERTON

octobre 4th, 2011 at 11:26

Posted in Lab. time

Mirroring de port avec SPAN & RSPAN

with 7 comments

Aujourd’hui, un client que je suis depuis un moment m’a contacté pour exprimer un besoin assez spécifique: permettre à un IDS de détecter une potentielle tentative d’attaque en général en provenance d’Internet et/ou du routage inter-VLAN en utilisant une solution basée sur Snort.

L’entreprise ne voulant pas faire de frais supplémentaires en achetant des équipements ou extensions IDS/IPS, nous allons devoir respecter cette contrainte et faire avec ce que nous avons, des équipements réseaux Cisco.

Topologie

Voici la topologie type à laquelle nous avons à faire:

RSPAN topology

Le routeur que vous voyez ici a déjà des sous-interfaces de configurées pour assurer le routage inter-VLAN. Il permet également aux hôtes via du NAT de pouvoir accéder à Internet.

De façon assez logique, pour permettre le bon travail de cette solution, il faudra vous assurer que l’IDS recevra systématiquement une copie des trames qui émanent ou sont destinées au routeur(traffic Internet et routage inter-VLAN).

Read the rest of this entry »

Written by Julien BERTON

octobre 2nd, 2011 at 9:57

Posted in Projets

Tagged with , , ,