Edit: Ce sera pas avant la fin de l’année cause les centres de certifications sont fermés pendant les vacances de noël… Mais début janvier ce sera fait

Voilà ce qui va bientôt arriver:

http://img109.imageshack.us/img109/6951/topoc.png

http://pastebin.com/m3896a7f3

http://img706.imageshack.us/img706/6919/lolix.png

http://img138.imageshack.us/img138/4610/lol2v.png

http://img138.imageshack.us/img138/7408/lol3.png

Salut à tous, ayant assisté à la conférence cisco experience days à Lyon mercredi 3 décembre, je fais un petit compte rendu de ce que j’y ai appris. Pour ceux qui ne savent pas ce que c’est, allez vite voir le site http://www.cisco.com/web/FR/events/ExperienceDays/index.html peut être que ce n’est pas encore passez prêt de chez vous, c’est gratuit, et y’a même un buffet (gratuit lui aussi), le midi, des cadeaux a gagner, bref c’est pas le but principal, mais l’effort est toutefois à saluer. J’ai assisté aux conférence « borderless network » et « Datacenter ». Mon seul regret à été que sur 3 sessions, 2 seulement ont eu lieu, donc j’ai pas pu voir la session « Architecture ». Il y avait aussi du green IT, nouvelles experiences utilisateurs…

Vous trouverez des infos sur les sessions auxquelles j’ai participé dans la suite de l’article…

Read more…

feedback:

http://forum.labo-cisco.com/feedback-bcmsn-t12113.html

A venir ISCW, puis par la suite peut être IPS, j’ai une cargaison qui arrive tout droit d’ebay USA

Salut à toutes et à tous, un petit article pour vous annoncer la venue d’un nouveau forum cisco, créé par alex de madrouter que je connais bien, ainsi que certaines personnes qui y sont déjà inscrites, donc niveau qualité des réponses pas de soucis à se faire.

J’y ferai un tour aussi de temps en temps.
Celui ci sera pour sur plus disponible que celui du labo-cisco.

ça se passe par ici:

http://forum.madrouter.com/

Voici un petit article sur les différents protocoles de redondance niveau 3 que l’on dispose sur du cisco. Le but étant biensur de permettre la redondance de routeur, typiquement de passerelles WAN.

Voici, en guise d’introduction, une comparaison sommaire de ces 3 protocoles:

• HSRP : Propriétaire cisco, créé en 1994, Active/Standby Failover
• VRRP : Créé par l’IETF en 1999 (donc compatible multi vendeurs), identique à HSRP (toutefois VRRP utilise des timers plus petit par défaut le rendant plus rapide)
• GLBP : Propriétaire cisco, créé en 2005, permets le failover Active/Active pour faire du load-balancing.

Topologie

Pour le pingeur, c’est un petit outil home made tiré d’une source que j’ai modifiée. Voici l’exécutable avec la source: pingeur

Read more…

Voilà je viens de passer SNAF, petit feedback ici:

http://forum.labo-cisco.com/feedback-snaf-642-524-t12008.html#45368

A venir SNAA, IPS, mais avant BCMSN et ISCW (un peu de ccnp ne fait jamais de mal)

Voilà le second contest ! Ce coup-ci on s’attaque au Remote VPN.
Edit: Alors, personne ne trouve ?
La topologie est toute simple, il s’agit d’un routeur (R1), dont l’interface F0/0 à l’IP 192.0.0.1 qui est utilisée pour se connecter en remote VPN. (pensez à modifier la ligne F0/0= dans le fichier.net).
Petit indice: Debug Crypto ISAKMP.

Bon puisque personne ne trouve, ou n’a testé, je donne la solution:

La commande debug crypto isakmp indiquais pre-shared auth, avec tous les bons paramètres, mais malgré tout le SA proposal était refusé. En fait, même si je déclare mon groupe ISAKMP en local (avec la clé du groupe), le routeur ne vas pas faire d’auth local, tant que je ne créérais pas une liste aaa auth login toto local, et que je ne l’affecterai pas au profile ISAKMP. Voilà si vous avez des questions…

ipsec_cnt2_rvpn

Le run conf (inclus dans le fichier .net):

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
memory-size iomem 15
no network-clock-participate slot 1
no network-clock-participate wic 0
ip cef
!
!
!
!
!
!
!
!
!
crypto isakmp policy 666
 encr aes 256
 authentication pre-share
 group 2
!
crypto isakmp client configuration group VPNUSERS
 key cisco
 domain network.lan
 pool vpnpool
crypto isakmp profile RVPN
 match identity group VPNUSERS
 client configuration address respond
 virtual-template 1
!
!
crypto ipsec transform-set VPN esp-aes esp-sha-hmac
!
crypto ipsec profile VPNVTI
 set transform-set VPN
!
!
!
!
!
interface Loopback0
 no ip address
!
interface FastEthernet0/0
 ip address 192.0.0.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Virtual-Template1 type tunnel
 ip unnumbered FastEthernet0/0
 tunnel source FastEthernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile VPNVTI
!
ip local pool vpnpool 192.168.0.1 192.168.0.254
!
!
ip http server
no ip http secure-server
!
!
!
!
!
control-plane
!
!
!
!
line con 0
line aux 0
line vty 0 4
 login
!
!
end

Voilà, même tarif, le premier qui trouve gagne… De la notoriété sur mon blog (c’est quand même 2000 Visites par mois )

Certains on peut être déjà eu à installer Cisco Secure Access Control Server (CS ACS Pour les intimes), et certains on peut être déjà rencontré ce problème: lors du lancement de la page admin (127.0.0.1:2002), une page blanche s’affiche. Si vous allez dans la source, vous verrez une balise meta refresh = 127.0.0.1:xxxx (le port étant dynamique). Vous pouvez copier cette adresse pour accéder à la page d’admin, mais cela vient du fait que les politiques de sécurité de IE bloque le meta refresh. A partir de la, deux possibilités:

• Installer un autre navigateur (chrome, firefox, opera,…)
• Aller dans outils/Options internet/onglet security, cliquer sur internet, puis paramètres personnalisés, et chercher la partie meta refresh dans autres (vers le milieu de la liste), et autorisez le.

Voilà, have fun !

Cet article va monter le detail d’une configuration remote vpn sur un asa. De nombreuses notions ont déjà été abordée sur mon article sur le remote VPN avec des routeurs, aussi je ne m’étendrai pas forcément dessus, le but ici est de comprendre la méthode de configuration. Certains préfèreront peut être ASDM, pourquoi pas, mais il est beaucoup plus simple pour le débogage d’utiliser la CLI. A ce propos, le déboguage sur un asa se fait via plusieurs niveaux de verbosité.
ciscoasa#debug crypto isakmp {1-255}
Par défaut à 1, vous n’aurez quasiment pas d’informations. A 100 c’est un peu plus bavard, et à 255 c’est trop bavard (on a les dumps des paquets etc…), cependant, il n’existe pas de niveau intermédiaire (ou je ne les ai pas trouvé), et le niveau 255 est le seul qui fasse apparaitre les SA proposal envoyé par le client distant. Bref, je préfère le débogage sur un bon vieux routeur

Read more…

Voici un nouvel article expliquant la mise en place d’une solution de redondance avec réplication des connexions pour du remote VPN IPSEC (rien que ça vous me direz), et le tout en utilisant des routeurs IOS (je ferai sans doute un article sur les VPNs cluster sur les firewall asa). Les techniques utilisées sont SLB (server farm load balancing) qui permets de load balancer tout type de trafic et SSP/SSO pour la réplication des SA ISAKMP/IPSEC.

Topologie étudiéeTopologie étudiée

Read more…