Fiche applicative WeOS manuel_simplifié - rev c

Fiche_Applicative_WeOS-Manuel_Simplifié - Rev C.doc - 06/04/2011

WESTERMO DATA COMMUNICATIONS SARL ( http://www.westermo.fr ) 9 – 11 Chemin de Chilly / 91160 CHAMPLAN Tel : 01 69 10 21 00 / Fax : 01 69 10 21 01 e-mail : [email protected] Page: 1 / 37

WeOS Manuel Simplifié



A. Table de matières.

WEOS 1

MANUEL SIMPLIFIE 1

A. TABLE DE MATIERES. 2

B. REVISION DOCUMENT. 5

C. INTRODUCTION 6

C.1. PRESENTATION WEOS 6

D. MISE EN ŒUVRE 7

D.1.1. INTERFACE WEB 7D.1.2. INTERPRETEUR DE COMMANDE (CLI) 7

E. CONFIGURATION USINE 9

E.1. PREMIERE MISE SOUS TENSION 9E.2. MODIFICATION ADRESSE IP PAR DEFAUT 9E.2.1. UTILITAIRE IP CONFIG-TOOL 9E.2.2. PAGES DE CONFIGURATION WEB 9Modification Adresse IP 9Modification Adresse Passerelle (Gateway) 9E.2.3. AVEC L’INTERPRETEUR DE COMMANDE (CLI) 10Modification adresse IP 10Modification Adresse Passerelle (Gateway) 10E.3. RECHARGEMENT DE LA CONFIGURATION USINE 11E.3.1. RECHARGEMENT AUTOMATIQUE A L’AIDE DE 2 CABLES DROIT ETHERNET STANDARD 11E.3.2. RECHARGEMENT DEPUIS LES PAGES WEB DE CONFIGURATION 11E.3.3. RECHARGEMENT DEPUIS L’INTERPRETEUR DE COMMANDE CLI 12

F. CONFIGURATION BASIQUE 12

F.1. INTERFACE D’ADMINISTRATION WEB 12F.1.1. ONGLET HOME 12F.1.2. ONGLET CONFIGURATION 12F.1.3. ONGLET STATISTICS 12F.1.4. ONGLET MAINTENANCE 13F.1.5. ONGLET TOOLS 13F.1.6. LOGOUT 13F.1.7. HELP 13



F.2. INTERPRETEUR DE LIGNE DE COMMANDE (CLI) 15Contexte administrateur d’exécution 16Contexte Configuration Globale 16Exemple de base pour accéder au contexte de configuration du VLAN1. 16

G. DECLARATION ET CONFIGURATION D’UN VLAN 17

G.1. DECLARATION AVEC L’INTERFACE D’ADMINISTRATION WEB 17G.2. DECLARATION AVEC L’INTERPRETEUR DE COMMANDE CLI 19Description Architecture Application 19G.2.1. DECLARATION RESEAU A ET B 20Affectation par VLAN 20G.2.2. AFFECTATION DES ADDRESSES RESEAU A ET B 21

H. CONFIGURATION REDONDANCE FRNT 22

H.1. DECLARATION AVEC L’INTERFACE D’ADMINISTRATION WEB 22H.2. DECLARATION AVEC L’INTERPRETEUR DE COMMMANDE CLI 22

I. CONFIGURATION ROUTAGE STATIQUE 23

I.1. DECLARATION D’UNE ROUTE STATIQUE : 23

J. CONFIGURATION ROUTAGE DYNAMIQUE OSPF 24

K. CONFIGURATION FIREWALL 25

Filtrage du trafic IP Access Rules (1024 Règles) 25Translation adresse réseau NAT (32 redirections) 25Port Forwarding NATP (256 Redirections) 25K.1. REDIRECTION NATP (PORT FORWARDING) 25K.1.1. DECLARATION AVEC LE CLI 25K.2. TRANSLATION ADRESSE RESEAU (NAT) 25K.2.1. DECLARATION AVEC LE CLI 25K.3. FILTRAGE DU TRAFIC IP ( AUTORISER OU BLOQUER ) 26

L. FONCTIONNALITES SPECIFIQUES FALCON 27

L.1. PARAMETRE PAR DEFAUT ET CONFIGURATION IP VIA LES PAGES WEB: 27L.2. ACTIVER ET PARAMETRER LA PARTIE DSL: 27L.2.1. ACTIVER LE PORT DSL 27L.2.2. PARAMETRER LA PARTIE DSL 27L.2.3. PARAMETRER LE DNS: 27Accéder internet via un VLAN. 27L.3. CONFIGURATION D’UN VPN ENTRE UN FALCON ET UN ROUTER 3G MRD-310/33O 28L.3.1. CONFIGURATION DU FALCON VIA LES PAGES WEB 28L.3.2. CONFIGURATION DU MRD-330: 28L.4. CONFIGURATION D’UN VPN ENTRE DEUX FALCON 29L.4.1. PARAMETRAGE DU FALCON EN MODE REPONDEUR VIA LES PAGES WEB 29L.4.2. PARAMETRAGE DU FALCON EN MODE INITIATOR 30



M. VPN ENTRE 2 SOUS RESEAU AVEC UN LYNX+ ET THE GREENBOW (CLIENT VPN) 32

M.1. CONFIGURATION DU LYNX+ VIA LES PAGES WEB : 32M.1.1. CONFIGURATION DU FIREWALL (SECURITE) : 33M.1.2. CONFIGURATION DU VPN: 33M.2. CONFIGURATION DU CLIENT VPN THE GREENBOW : 34M.2.1. CONFIGURATION DE LA PHASE 1 : 34M.2.2. CONFIGURATION PHASE 2 : 36



B. Révision document.

Rév Date Par Descriptif

A 15/11 /2010 JMA Document initial

B 16/03/2011 JMA Mise à jour et complément C 06/04/2011 JMA Ajout rechargement Profile Usine



C. Introduction

C.1. Présentation WeOS

WeOS est l’acronyme de « Westermo Operating System » : c’est un système d’exploitation conçu et développé par notre société afin de répondre aux besoins des réseaux industriels d’aujourd’hui et de demain. WeOS va devenir notre plateforme logicielle standard pour nos routeurs et nos switches. Il est déjà en fonction pour notre gamme de routeurs industriels Redfox et pour notre dernier né, le routeur Ethernet industriel SHDSL DDW-225. Les fonctionnalités telles que VLAN, filtrage IGMP, VPN et redondance ont été intégrées et assurent aux produits WESTERMO de fonctionner dans des réseaux d’automatisme et d’infrastructure de plus en plus complexes. L’une des missions premières de WESTERMO est de rendre aisée la communication de données industrielles (Industrial Data Communications ‘Made Easy’). C’est la raison pour laquelle d’importants efforts ont été consacrés pour rendre l’OS WeOS facile à utiliser. L’interface Web Internet (GUI) vous permet d’installer la plupart des nombreuses configurations communes en quelques minutes seulement : l’anneau FRNT, le VLAN ou le pare-feu de base en quelques clics ! L’OS est également capable d’être paramétrer pour des applications plus rigoureuses nécessitant l’interface « ligne de Commande » (CLI) qui a été développée aussi intuitivement que possible. Points phare : • VLAN et filtrage IGMP • VPN et SNMP v3 • Routage statique et pare-feu • Facilité de configurations (GUI et CLI) • Mises à niveau permanentes



D. Mise en œuvre

D.1.1. Interface Web Pour accéder aux pages Web de configuration, il suffit d’ouvrir la page d’accueil d’authentification en ouvrant l’explorateur Ethernet à l’adresse IP correspondante.

Identification par défaut :

Username admin Password : westermo

D.1.2. Interpréteur de commande (CLI) Pour accéder à l’interpréteur de commande WeOS , 2 solutions sont disponible :

1. Connexion au port console du routeur à l’aide du câble de diagnostique Westermo : 1211-2027. Connecter le PC au port console et ouvrir un logiciel d’émulation de terminal (type Hyper-terminal) Console Port Parameter Setting

Vitesse: 115200 bits/s Data bits 8 Stop bits 1 Parity Off Flow control Off

2. Connexion au port Ethernet du routeur et ouvrir une session sécurisé avec le protocole SSH à l’aide d’un

utilitaire logiciel gratuit d’émulation Telnet/SSH du domaine ouvert (PUTTY). Il est téléchargeable à l’adresse suivante :

http://www.chiark.greenend.org.uk/~sgtatham/putty/ L’ouverture de session se fait avec les identifiants par défaut :



Identification par défaut :

Username admin Password : westermo

login as: admin [email protected]'s password: .--.--.--.-----.-----.------.-----.-.--.--------.-----. | | | | -__|__ --|_ _| -__| _| . . | _ | http://www.westermo.com \__/\__/|_____|_____| |__| |_____|__| |__|__|__|_____| [email protected] Robust Industrial Data Communications -- Made Easy \\/ Westermo WeOS v4.4.0-rc4 cricket/4.4.x@19138 -- Oct 28 16:38 CEST 2010 Type: 'help' for help with commands, 'exit' to logout or leave a context. falcon:/#>



E. Configuration Usine

E.1. Première Mise sous tension

La configuration du Switch par défaut est la suivante :

• Fonction Switch/Routeur : Switch /routeur administrable • Adresse IP 192.168.2.200 • Masque 255.255.255.0 • Passerelle désactivée • Tous les ports Ethernet sont accessibles • VLAN VLAN 1 global d’administration pour tous les ports • Firewall désactivé • RSTP activé

E.2. Modification Adresse IP par défaut

E.2.1. Utilitaire IP Config-Tool Utilitaire Windows fournit sur le CD accompagnant le produit. Une fonction Scan for Devices vous permet de détecter votre Switch/routeur quelque soit son adresse IP. La description détaillée d’IP Config-Tool figure dans les annexes.

E.2.2. Pages de configuration Web Ouvrir la session administrateur par défaut Aller dans suite dans l’onglet suivant :

Modification Adresse IP Configuration Network (IP) Interface Vlan1 Editer la configuration en cliquant sur l’icône « Crayon » Modifier l’adresse IP et le masque de sous réseau Cliquer sur Apply Modifier ensuite l’adresse IP de votre PC avec une adresse compatible que vous venez de déclarer dans le

switch pour retrouver la session de configuration en cours

Modification Adresse Passerelle (Gateway) Configuration Network (IP) Global Settings Editer la configuration en cliquant sur l’icône « Crayon » Saisir l’adresse IP de passerelle dans le champ Default Gateway Cliquer sur Apply



E.2.3. Avec l’interpréteur de commande (CLI) Ouvrir une session administrateur dans le CLI

Suivre ensuite la procédure indiquée ci-dessous :

Modification adresse IP .--.--.--.-----.-----.------.-----.-.--.--------.-----. | | | | -__|__ --|_ _| -__| _| . . | _ | http://www.westermo.com \__/\__/|_____|_____| |__| |_____|__| |__|__|__|_____| [email protected] Robust Industrial Data Communications -- Made Easy \\/ Westermo WeOS v4.4.0-rc4 cricket/4.4.x@19138 -- Oct 28 16:38 CEST 2010 Type: 'help' for help with commands, 'exit' to logout or leave a context. falcon:/#> conf ouvre le contexte configuration falcon:/config/#> iface vlan1 inet static contexte configuration interface VLAN 1 falcon:/config/iface-vlan1/#> address 192.168.100.199/24 saisir la nouvelle adresse IP avec le masque

de sous réseau: • /32= 255.255.255.255 • /24 = 255.255.255.0 • /16= 255.255.0.0 • /8=255.0.0.0

falcon:/config/iface-vlan1/#> show visualisation de la configuration IP Vlan 1 Name : vlan1 Admin Mode : UP IP Address : 192.168.100.199/24 MAC Address: AUTO MTU : AUTO (1500) Primary : No Management : ssh http https ipconfig snmp falcon:/config/iface-vlan1/#> end fermeture interface Vlan1 falcon:/config/#> end fermeture contexte configuration Configuration activated. Remember "copy run start" to save to flash (NVRAM).

NE PAS OUBLIER DE SAUVEGARDER VOTRE CONFIGURATION : copy run start

falcon:/#>

Modification Adresse Passerelle (Gateway)

falcon:/#> conf ouvre le contexte configuration falcon:/config/#> ip configuration interface IP falcon:/config/ip/#> default-gateway 192.168.100.199 saisir l’adresse Passerelle falcon:/config/ip/#> end fermeture contexte configuration IP falcon:/config/#> end fermeture context configuration Configuration activated. Remember "copy run start" to save to flash (NVRAM).

NE PAS OUBLIER DE SAUVEGARDER VOTRE CONFIGURATION : copy run start

falcon:/#>



E.3. Rechargement de la configuration usine

E.3.1. Rechargement automatique à l’aide de 2 câbles droit Ethernet standard • Se procurer 2 câbles Ethernet Standard • Coupez l’alimentation de l’équipement • Débrancher touts les câbles Ethernet existant • Connectez 2 câbles Ethernet en direct (pas de Switch ni de Hub)comme indiqué ci-dessous :

o Lynx+ : Raccorder les ports Eth 3 et 10 Premier câble Raccorder les ports Eth 6 et 7 Deuxième câble

o Falcon / Wolverine DDW-22X : Raccorder les ports Eth 1 et 4 Premier câble Raccorder les ports Eth 3 et 2 Deuxième câble

o RedFox (un seul câble necessaire) Raccorder les ports Eth 1/1 et 1/2 Premier câble

• Mettre l’équipement sous tension • Vérifier que le témoin d’alimentation ON clignote (Prêt pour rechargement usine) • A partir de ce moment 2 options sont possibles (pendant 30 secondes)

o Débrancher un des câbles Ethernet Confirme le rechargement du profile usine o NE PAS COUPER L’ALIMENTATION AU COURS DE CETTE OPERATION

Arrêt du clignotement de la led ON Initialisation du rechargement profile usine (attendre 1 minute environ) Le système va ensuite redémarrer avec cette nouvelle configuration.

o Ne rien faire le système annule cette opération et démarre normalement

E.3.2. Rechargement depuis les pages Web de configuration • Ouvrir la session Administrateur • Ensuite ouvrir la page de rechargement profile usine comme suit :



E.3.3. Rechargement depuis l’interpréteur de commande CLI • Ouvrir une session administrateur avec le CLI • Suivre la procédure ci-dessous.

1. Restore factory default (to running configuration) redfox:/#> copy factory-config running-config Using default factory.cfg found in firmware image. Stopping Syslog daemon ..................................... [ OK ] Starting Syslog daemon ..................................... [ OK ] redfox:/#> 2. Store running configuration to startup configuration redfox:/#> copy running-config startup-config redfox:/#>

F. Configuration basique

F.1. Interface d’administration Web

Interface pour la configuration des principales fonctions du switch routeur.

F.1.1. Onglet Home Informations générales sur le Switch routeur

F.1.2. Onglet configuration Permet d’accéder à l’ensemble des paramètres se configuration

F.1.3. Onglet Statistics Informations statistiques sur les débits des différents ports de communications



F.1.4. Onglet Maintenance • Sauvegarde et restauration de la configuration, • Mise à jour du Firmware • Fonction monitoring des ports. • Personnalisation du mot de passe administrateur • Visualisation des journaux d’évènements (Logs)

F.1.5. Onglet Tools • Ping • Traceroute • IPConfig Tool

F.1.6. Logout Fermeture de la session en cours

F.1.7. Help Aide en ligne interactive a tout moment en fonction de la page de configuration active





F.2. Interpréteur de ligne de commande (CLI)

Interface linge de commande permettant d’accéder aux fonctions de routage étendues qui ne sont pas disponible sur l’interface d’administration Web.

La structure hiérarchique du CLI est organisée en plusieurs niveaux. Lorsqu’une session avec les privilèges administrateur est ouverte l’utilisateur est dirigé vers le contexte administrateur. Les 2 principaux niveaux nécessaires pour configurer un switch routeur sont :



Contexte administrateur d’exécution C’est le premier niveau d’accès de l’interpréteur de commande (CLI). Permet d’exécuter un ensemble de fonctions de visualisation des paramètres de configuration en cours, statistiques d’utilisation des ports de communications, gestion des fichiers de configuration et mise à jour des firmware) Accès aux différents niveaux de sous menu du système WeOS.

Contexte Configuration Globale Accès depuis le contexte administrateur d’exécution (Admin Exec) Configuration de l’ensemble des paramètres globaux du switch routeur. Accès aux différents sous menu et contextes de configuration des interfaces et protocoles. Comme : Ports,vlan ;routing, redondance,FRNT etc…

Exemple de base pour accéder au contexte de configuration du VLAN1. *********************************************************************** login as: admin [email protected]'s password: .--.--.--.-----.-----.------.-----.-.--.--------.-----. | | | | -__|__ --|_ _| -__| _| . . | _ | http://www.westermo.com \__/\__/|_____|_____| |__| |_____|__| |__|__|__|_____| [email protected] Robust Industrial Data Communications -- Made Easy \\/ Westermo WeOS v4.4.0-rc4 cricket/4.4.x@19138 -- Oct 28 16:38 CEST 2010 Type: 'help' for help with commands, 'exit' to logout or leave a context. falcon:/#> config falcon:/config/#> vlan 1 falcon:/config/vlan-1/#> show VLAN ID : 1 Status : Enabled Name : vlan1 Channel : 0 Priority : Disabled Untagged : U:eth 1-4 Tagged : T: Forbid : F: IGMP : Disabled falcon:/config/vlan-1/#> ************************************************************************



G. Déclaration et Configuration d’un VLAN

G.1. Déclaration avec l’interface d’administration Web

Dans WeOS tous les ports Ethernet sont rattachés au VLAN 1 qui est le VLAN d’administration. Chaque Vlan possède son propre domaine de diffusion et donc son trafic est logiquement isolé des autres

VLAN.

Déclaration d’un nouveau VLAN Cette déclaration se fait en 2 étapes : • La déclaration du VLAN avec association des ports Ethernet correspondant.



Déclaration du VLAN2 pour lesquels les ports Ethernet 3 et 4 sont attachés en mode Untagged (sans

étiquettes).

Chaque changement de configuration est pris en compte directement par WeOS. Paramétrage de l’interface réseau associé au VLAN.

Chaque VLAN est associé a un identifiant (VID) et à un ou plusieurs port Ethernet pour lesquels on active

ou pas la transmission des étiquettes VLAN (Tagged/Untagged) Pour chaque VLAN une interface réseau associée est crée. Cette interface réseau peut comporter une adresse IP permettant une administration à distance. Il est également possible de router le trafic entre les VLAN en fonctions des règles et critères associés.



G.2. Déclaration avec l’interpréteur de commande CLI

Description Architecture Application

Routage entre deux réseaux 1 Routeur WeOS

Reseau A = IP 192.168.100.0 Masque : 255.255.255.0 Gateway : 192.168.100.150 Port ETH affecté : 1/1 et 1/2 Reseau B : Addr IP = 192.168.20.0 Masque : 255.255.255.0 Gateway : 192.168.20.150 Port ETH affecté : 1/3 et 1/4



G.2.1. Déclaration Réseau A et B

Affectation par VLAN Réseau A VLAN1 port ETH 1/1 et 1/2 La configuration par défaut affecte tous les ports ETH au VLAN 1 Réseau B VLAN2 port ETH 1/3 et 1/4 La déclaration consiste à créer un VLAN2 pour lequel on va affecter les 2 ports ETH ci-dessus falcon:/#> conf ouvre le contexte configuration falcon:/config/#> vlan contexte vlan falcon:/config/vlans/#> show affiche les vlan en cours VID Name Adm. Untagged/Tagged ---- ---------------- ---- --------------------------------------------------- 1 vlan1 UP U:eth 1-4 les ports eth 1 à 4 sont attachés au vlan1 T:

U = Untagged (pas d’étiquette vlan) / T = Tagged (étiquette vlan active) falcon:/config/vlans/#> end fermeture du contexte vlan en cours falcon:/config/#> vlan 2 déclaration du vlan2 Creating new VLAN vid:2 with name: vlan2 Création du vlan 2 falcon:/config/vlan-2/#> untagged eth 3, eth 4 Affectation des ports eth3 et eth4 Moving untagged port Eth 3 from vid 1 to vid 2. Déplacement de eth3 de vlan1 vers vlan2 Moving untagged port Eth 4 from vid 1 to vid 2. Déplacement de eth4 de vlan1 vers vlan2 falcon:/config/vlan-2/#> falcon:/config/vlan-2/#> end fermeture contexte vlan falcon:/config/#> show vlan statut des vlan en cours VID Name Adm. Untagged/Tagged ---- ---------------- ---- --------------------------------------------------- 1 vlan1 UP U:eth 1, eth 2 T: 2 vlan2 UP U:eth 3, eth 4 T: falcon:/config/#>



G.2.2. Affectation des addresses réseau A et B Réseau A VLAN1 IP 192.168.100.150

falcon:/#> config falcon:/config/#> iface vlan1 falcon:/config/iface-vlan1/#> address 192.168.100.199/24 Déclaration adresse IP falcon:/config/iface-vlan1/#> falcon:/config/iface-vlan1/#> show affiche le statut du vlan1 Name : vlan1 Admin Mode : UP IP Address : 192.168.100.199/24 MAC Address: AUTO MTU : AUTO (1500) Primary : No Management : ssh http https ipconfig snmp falcon:/config/iface-vlan1/#> end falcon:/config/#> end

Configuration activated. Remember "copy run start" to save to flash (NVRAM). NE PAS OUBLIER DE SAUVEGARDER VOTRE CONFIGURATION : copy run start falcon:/#> Réseau B VLAN2 IP 192.168.20.150 Idem que pour le réseau A ci-dessus falcon:/#> config falcon:/config/#> iface vlan2 falcon:/config/iface-vlan2/#> show Name : vlan2 Admin Mode : UP IP Address : DISABLED MAC Address: AUTO MTU : AUTO (1500) Primary : No Management : ssh http https ipconfig snmp falcon:/config/iface-vlan2/#> address 192.168.20.150 falcon:/config/iface-vlan2/#> show Name : vlan2 Admin Mode : UP IP Address : 192.168.20.150/24 MAC Address: AUTO MTU : AUTO (1500) Primary : No Management : ssh http https ipconfig snmp falcon:/config/iface-vlan2/#> end falcon:/config/#> end

Configuration activated. Remember "copy run start" to save to flash (NVRAM). NE PAS OUBLIER DE SAUVEGARDER VOTRE CONFIGURATION : copy run start falcon:/#>



H. Configuration Redondance FRNT

H.1. Déclaration avec l’interface d’administration Web

La configuration d’un anneau redondant FRNT nécessite la déclaration d’un Switch qui fera office de maître dans la gestion de la redondance. Ce switch sera déclarer comme Focal point. Tous les autres switch appartenant à cet anneau redondant seront déclaré comme Client.

H.2. Déclaration avec l’interpréteur de commmande CLI

A venir



I. Configuration Routage Statique

I.1. Déclaration d’une route statique :

Réseau : 192.168.20.0 Masque sous réseau : 255.255.255.0 Passerelle (Gateway) : 192.168.100.150

La déclaration des routes statiques est réalisée uniquement avec le CLI dans le contexte de configuration

interface IP *********************************************************************** falcon:/#> conf ouverture contexte configuration falcon:/config/#> falcon:/config/#> ip ouverture config interface IP falcon:/config/ip/#> show route ) affiche statut des routes statiques No static routes setup aucune route statique existante falcon:/config/ip/#> route 192.168.20.0/24 192.168.100.150 déclaration route statique falcon:/config/ip/#> show route affiche le statut des routes statiques Network Netmask Gateway Device Metric ============================================================== 192.168.20.0 255.255.255.0 192.168.100.150 - N/A falcon:/config/ip/#> end falcon:/config/#> end Configuration activated. Remember "copy run start" to save to flash (NVRAM). NE PAS OUBLIER DE SAUVEGARDER VOTRE CONFIGURATION : copy run start falcon:/#>



J. Configuration routage dynamique OSPF La configuration du routage OSPF est uniquement disponible à partir de l’interpréteur de commande (CLI) Activation de la redondance OSPF dans le contexte Routing. Déclaration ensuite des différents sous réseau pour les routeurs adjacents Dans l’exemple ci-dessous nous avons activé OSPF puis déclarer un sous réseau avec un routeur adjacent. ******************************************************************** falcon:/#> login as: admin [email protected]'s password: .--.--.--.-----.-----.------.-----.-.--.--------.-----. | | | | -__|__ --|_ _| -__| _| . . | _ | http://www.westermo.com \__/\__/|_____|_____| |__| |_____|__| |__|__|__|_____| [email protected] Robust Industrial Data Communications -- Made Easy \\/ Westermo WeOS v4.4.0-rc4 cricket/4.4.x@19138 -- Oct 28 16:38 CEST 2010 Type: 'help' for help with commands, 'exit' to logout or leave a context. falcon:/#> conf falcon:/config/#> rout falcon:/config/router/#> ospf Activating OSPF with default settings, type 'abort' to cancel. falcon:/config/router/ospf/#> show Router ID : Auto Passive interfaces : Disabled Neighbor(s) : Redistribute connected: Disabled Redistribute static : Disabled Redistribute RIP : Disabled Distribute default : Never Network(s) : falcon:/config/router/ospf/#> network 192.168.100.199/24 area 0 falcon:/config/router/ospf/#> show Router ID : Auto Passive interfaces : Disabled Neighbor(s) : Redistribute connected: Disabled Redistribute static : Disabled Redistribute RIP : Disabled Distribute default : Never Network(s) : 192.168.100.199/24 area 0.0.0.0 falcon:/config/router/ospf/#> *********************************************************************



K. Configuration Firewall La fonction Firewall permet de gérer les flux de trafic entrant et sortant du switch routeur. Il comporte les fonctions suivantes :

Filtrage du trafic IP Access Rules (1024 Règles) Régles du filtrage pour contrôle du trafic IP

Interface entrante In interface Interface sortante Out interface

Protocole protocol Adresse IP source Source IP addr

Adresse IP destination Destination IP addr Port destination Destination port

Translation adresse réseau NAT (32 redirections) Redirection du trafic entre deux interfaces réseau

Port Forwarding NATP (256 Redirections) Redirection d’un port service Réseau vers une adresse et un port IP réseau interne

K.1. Redirection NATP (port forwarding)

Redirection du port 9000 vers un serveur Web interne avec IP : 192.168.100.20 proto TCP

K.1.1. Déclaration avec le CLI falcon:/#> conf falcon:/config/#> ip falcon:/config/ip/#> fire falcon:/config/ip/firewall/#> port-forward in ppp0:9000 dst 192.168.100.20:80 proto tcp falcon:/config/ip/firewall/#> show port-forward 001 port-forward in ppp0:9000 dst 192.168.100.20:80 proto tcp falcon:/config/ip/firewall/#>end falcon:/config/#> end Configuration activated. Remember "copy run start" to save to flash (NVRAM).

NE PAS OUBLIER DE SAUVEGARDER VOTRE CONFIGURATION : copy run start falcon:/#>

K.2. Translation adresse réseau (NAT)

A venir

K.2.1. Déclaration avec le CLI



En cours de rédaction

K.3. Filtrage du trafic IP ( autoriser ou bloquer )

En cours de rédaction



L. FONCTIONNALITES SPECIFIQUES FALCON

L.1. Paramètre par défaut et Configuration IP via les pages web:

Référence chapitres E et F.

L.2. Activer et paramétrer la partie DSL:

Info LED DSL: Si la LED DSL clignote orange et vert, il n’y a pas de synchronisation LED DSL vert fixe: synchronisation DSL Après la synchronisation DSL se connecter via les pages web:

L.2.1. Activer le port DSL Configuration network IP interface Sur cet onglet on peut vérifier l’état des VLAN: VLAN 1 qui est le VLAN administratif 192.168.2.200 par défaut et le VLAN 1006 qui est le VLAN pour l’interface WAN. Vous pouvez modifier l’adresse IP en cliquant sur le crayon. Pour activer l’accès WAN du port DSL il faut cliquer sur le crayon du VLAN 1006 et ensuite sélectionner si votre adresse de votre port DSL est «static ou Dynamics», dans le même onglet vous pouvez sécuriser votre connexion dans la partie Management services. Après avoir validé votre VLAN 1006 vous obtenez l’adresse «static ou Dynamics» de votre connexion.

L.2.2. Paramétrer la partie DSL Dans l’onglet Home basic set up, Il faut sélectionner le mode router dans l’onglet WAN MODE Ensuite sélectionner le mode pppOe, pour configurer votre port DSL. DSL Port settings: Dans le mode vous avez le choix entre l’ADSL et le VDSL. Pour les autres paramètres il faut connaître par avance la configuration de votre abonnement ADSL ou VDSL. Exemple: pour le mode ADSL:

L.2.3. Paramétrer le DNS: Pour pouvoir joindre le Falcon a distance nous pouvons configurer un DDNS. Configuration Network IP DDNS Dans cet onglet il faut renseigner votre login et votre mot de passe du compte perso créée sur le site dyndns.com

Accéder internet via un VLAN. Configuration Firewall Nat Pour accéder internet il faut d’abord activer le Firewall et ensuite crée un NAT entre le VLAN et le pppo. Exemple: On veut que le VLAN 1 soit connecté sur internet: On clique sur new vlan et ensuite il faut le configurer comme indiqué ci-dessous. Internal interface: VLAN 1 External interface: pppo Apply



L.3. Configuration d’un VPN entre un FALCON et un Router 3G MRD-310/33O

L.3.1. Configuration du Falcon via les pages web Dans l’onglet Configuration VPN IPSEC Il faut cocher la case pour activer la fonction IP sec Ensuite cliquer sur New IP sec Tunnel Dans la première partie de la configuration du tunnel Edit IP sec Tunnel 1: Instance Number 1 «ce numéro identifie le tunnel VPN» La case enabled doit être coché et vous devez choisir le rôle du Falcon ici on va le mettre en mode responder. Dans la deuxième partie Network: Outbound interface il faut sélectionner default gateway Remote Peer il est coché Dans l’onglet Local subnet il faut mettre l’adresse réseau de votre VLAN sélectionner ici c’est 192.168.2.200 et subnet Mask: 255.255.255.0 Dans l’onglet Remote Subnet il faut l’adresse réseau du routeur distant. Ici c’est 192.168.50.199 Et 255.255.255.0 Dead Peer Detection clear DPD Delay 30 DPD Timeout 120 Dans la troisième partie Security: Il faut cocher le mode Aggressive IKE Encryption: AES128 Authentication: SHA1 DH-Group: DH2(1024) Secret: mysecret (le mot de passe est arbitraire) Local ID: Type: Name (DNS/User) ID: falcon Peer ID (les identifiants du routeur distants) Type: Name (DNS/User) ID: mrd330 ESP Encryption: AES128 Authentication: SHA1 APPLY Après avoir fait un apply il faut faire un restart de l’IP sec.

L.3.2. Configuration du MRD-330: VPN IP sec General IP sec configuration Cochez la case enabled pour activer la fonction IP sec et update pour enregistrer Ensuite cliquez sur Add new tunnel General configuration Label: Falcon (le nom de votre connexion VPN) Operating mode: Tunnel Functional mode: Initiator Next



Local Interface: WLS Remote host: adresse IP public du Falcon si l’adresse est fixe sinon on peut mettre le dyndns du Falcon. Next Phase 1 Configuration Authentication Mode: Preshared Key Negotiation mode: Aggressive mode Pre-shared key: il faut cocher la case et écrire ce que vous avez enregistré dans le Falcon dans notre exemple c’est mysecret. Remote ID: @falcon (dans le MRD-3X0 il faut toujours rajouter @ avant le l’ID du falcon. Local ID:@mrd-330 Phase 1 Encryption Ike proposal: AES 128; SHA1; Dh Grp 2 (1024) Ike lifetime (ms): 60 Next Phase 2 Configurations: Authentication Mode: None Phase 2 Encryption: ESP Proposal: AES128; SHA1 Perfect forward secrecy & group: il faut cocher cet onglet et sélectionner Dh 2 Grp (1024) Key lifetime (ms): 480 Next Tunnel Options: Init rekeying, margin (mins) & fuzz: il faut cocher cet onglet et garder les valeurs par défauts 10 et 100. Dead peer detection: Activer cette option et garder les valeurs par défaut Action on failure: clear Delay and time out (sec): 30; 120 Next Tunnel networks La case enabled est cochée par default Dans l’onglet Local sélectionneé Lan Subnet Dans l’onglet Remote sélectionné Specify subnet et dans la colonne address: 192.168.2.0/24 ce qui correspond à l’adresse IP du réseau du Falcon avec un subnet Mask de 255.255.255.0 Next Le tunnel VPN est créer il faut faire un reboot du MRD-330 ou 310 et un reboot du Falcon. Le VPN est monté.

L.4. Configuration d’un VPN entre deux Falcon

L.4.1. Paramétrage du Falcon en mode répondeur via les pages web Dans l’onglet Configuration VPN IPSEC Il faut cocher la case pour activer la fonction IP sec Ensuite cliquer sur New IP sec Tunnel

Dans la première partie de la configuration du tunnel Edit IP sec Tunnel 1: Instance Number 1 «ce numéro identifie le tunnel VPN» La case enabled doit être coché et vous devez choisir le rôle du Falcon ici on va le mettre en mode responder. Dans la deuxième partie Network: Outbound interface il faut sélectionner default gateway Remote Peer il est coché



Dans l’onglet Local subnet il faut mettre l’adresse réseau de votre VLAN sélectionner ici c’est 192.168.2.0 et subnet Mask: 255.255.255.0 Dans l’onglet Remote Subnet il faut l’adresse réseau du routeur distant. Ici c’est 192.168.10.0 Et 255.255.255.0 pour le subnet Mask Dead Peer Detection clear DPD Delay 30 DPD Timeout 120 Dans la troisième partie Security: Il faut cocher le mode Aggressive IKE Encryption: AES128 Authentication: SHA1 DH-Group: DH2(1024) Secret: mysecret (le mot de passe est arbitraire) Local ID: Type: Name (DNS/User) ID: falconresponder Peer ID (les identifiants du routeur distants) Type: Name (DNS/User) ID: falconinitiator ESP Encryption: AES128 Authentication: SHA1 APPLY Après avoir fait un apply il faut faire un restart de l’IP sec.

L.4.2. Paramétrage du Falcon en mode initiator Dans l’onglet Configuration VPN IPSEC Il faut cocher la case pour activer la fonction IP sec Ensuite cliquer sur New IP sec Tunnel

Dans la première partie de la configuration du tunnel Edit IP sec Tunnel 1: Instance Number 2 «ce numéro identifie le tunnel VPN» La case enabled doit être coché et vous devez choisir le rôle du Falcon ici on va le mettre en mode initiator. Dans la deuxième partie Network: Outbound interface il faut sélectionner default gateway Remote Peer il faut insérer l’adresse IP fixe public du Falcon distant ou le dyndns si cette adresse IP public n’est pas fixe. Dans l’onglet Local subnet il faut mettre l’adresse réseau de votre VLAN sélectionner ici c’est 192.168.10.0 et subnet Mask: 255.255.255.0 Dans l’onglet Remote Subnet il faut l’adresse réseau du routeur distant. Ici c’est 192.168.2.0 Et 255.255.255.0 pour le subnet Mask Dead Peer Detection RESTART DPD Delay 30 DPD Timeout 120 Dans la troisième partie Security: Il faut cocher le mode Aggressive IKE Encryption: AES128 Authentication: SHA1



DH-Group: DH2(1024) Secret: mysecret (le mot de passe est arbitraire) Local ID: Type: Name (DNS/User) ID: falconinitiator Peer ID (les identifiants du routeur distants) Type: Name (DNS/User) ID: falconresponder ESP Encryption: AES128 Authentication: SHA1 APPLY Après avoir fait un apply il faut faire un restart de l’IP sec.



M. VPN entre 2 sous réseau avec un Lynx+ et The Greenbow (client VPN)

M.1. Configuration du Lynx+ via les pages web :

Configuration du lynx+ à partir des paramètres par défaut L’adresse IP par défaut du lynx+ : 192.168.2.200

Configuration des 2 réseaux : Cliquez sur Configuration VLAN New VLAN votre VLAN 1 est le Vlan par défaut. Et le Vlan2 sera le réseau distant que vous voulez joindre à distance. Vous pouvez choisir les ports qui

correspondent au Vlan 2 .Voir schéma ci-dessous : Ici pour se connecter sur le VLAN 2 il faut se brancher sur les ports 7 et 10.

Après avoir créé le vlan2 vous devez configurer son adressage réseau, il suffit de cliquer sur Vlan2 dans la

colonne Interface et le configurer comme indiqué ci-dessous :



M.1.1. Configuration du Firewall (sécurité) : Cliquez sur Firewall common cocher enabled et Apply pour enregistrer .

M.1.2. Configuration du VPN: Configuration VPN IPSEC Activer la fonction IPSEC et cliquez sur Apply pour enregistrer comme indiqué ci-dessous:

Ensuite cliquez sur New IP Sec Tunnel

1. Vous devez être en mode Responder 2. L’interface de sortie est le VLAN 1, c’est le réseau où vous êtes connecté en local pour joindre le réseau

vlan2. 3. Local subnet : l’adresse du réseau vlan2. 4. remote subnet : adresse réseau fictive (le choix est arbitraire ici on a choisi de mettre 192.168.5.5) 5. secret : c’est la clé pré-partagée (bien retenir la clé pour la suite de la configuration)



6. les ID sont aussi arbitraire Les autres paramètres sont à configurer comme indiqué ci-dessous. Cliquez sur Apply.

M.2. Configuration du Client VPN The Greenbow :

M.2.1. Configuration de la phase 1 : Faire un clique droit sur root et sélectionner Nouvelle Phase 1 comme indiqué ci-dessous :



Dans la phase 1 :

Nom : Nommez votre phase 1 Interface : l’adresse IP de votre PC (où est installé Greenbow) Adresse routeur distant : L’adresse IP du Vlan où est connecté le PC Greenbow ici c’est le VLAN1 La clé partagée est la même que celle que vous avez enregistré dans le lynx+ Les paramètres du IKE sont les même que dans le lynx+ Comme indiqué ci-dessous :

Cliquez sur P1 avancé pour configurer les ID que vous avez enregistrés dans le lynx+ Comme indiqué ci-dessous :



Apres avoir modifié les paramètres cliquez sur Sauver et Appliquer

M.2.2. Configuration Phase 2 : Tout d’abord clique droit sur Gateway pour ajouter la phase 2 Comme indiqué ci-dessous :

Nom : Tunnel1 Adresse du client VPN : c’est l’adresse IP fictive que l’on a enregistré dans le lynx+ Les autres paramètres sont à configurer comme indiqué ci-dessous : (rien a modifier dan P2 avancé)



Cliquez sur Sauver et Appliquer. Avant d’ouvrir le Tunnel il faut cliquez sur l’onglet console sur Reset IKE Dés que le reset est terminé vous pouvez Ouvrir votre Tunnel et joindre vos appareils qui sont sur le réseau distant. Ne pas oublier de configurer la passerelle dans vos appareils qui sont sur le réseau VLAN 2 et sur le réseau VLAN1.

Date post:	17-Aug-2015
Category:	Education
Upload:	fabian-vandendyck
View:	27 times
Download:	3 times

Fiche applicative WeOS manuel_simplifié - rev c

Education