Cisco ASA 5580 Guide De Démarrage
  1. Manuels
  2. Marques
  3. Cisco Manuels
  4. Matériel réseau
  5. ASA 5580
  6. Guide de démarrage
Cisco ASA 5580 Guide De Démarrage

Cisco ASA 5580 Guide De Démarrage

Masquer les pouces
Table des Matières

Publicité

Liens rapides

Télécharger ce manuel
Cisco ASA 5580
Guide de démarrage
Version logicielle 8.3
Siège social aux États-Unis
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, CA 95134-1706
États-Unis
http://www.cisco.com
Tél. : + 1 408 526-4000
800 553-NETS (6387)
Fax : + 1 408 527-0883
Numéro de commande client : DOC-78-19547-01
Numéro de référence du texte : 78-19547-01

Publicité

Table des Matières
loading

Manuels Connexes pour Cisco ASA 5580

Sommaire des Matières pour Cisco ASA 5580

  • Page 1 Cisco ASA 5580 Guide de démarrage Version logicielle 8.3 Siège social aux États-Unis Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134-1706 États-Unis http://www.cisco.com Tél. : + 1 408 526-4000 800 553-NETS (6387) Fax : + 1 408 527-0883 Numéro de commande client : DOC-78-19547-01...
  • Page 2 DCE, Flip Channels, Flip for Good, Flip Mino, Flipshare (Design), Flip Ultra, Flip Video, Flip Video (Design), Instant Broadband et Welcome to the Human Network sont des marques commerciales ; Changing the Way We Work, Live, Play, and Learn, Cisco Capital, Cisco Capital (Design),...

  • Page 3: Table Des Matières

    Configuration du serveur de sécurité adaptatif C H A P I T R E À propos de la configuration par défaut Utilisation de l'interface de ligne de commande pour la configuration Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...
  • Page 4 C H A P I T R E À propos du VPN SSL sans client Observations concernant la sécurité des connexions VPN SSL sans client Exemple de réseau avec accès VPN SSL basé sur navigateur Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...
  • Page 5 Scénario : configuration du VPN d'accès à distance IPsec C H A P I T R E Exemple de topologie réseau VPN d'accès à distance IPsec Implémentation du scénario VPN d'accès à distance IPsec Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...
  • Page 6 Spécification de l'exception de traduction de l'adresse et contrôle de séparation des flux 8-13 Vérification des configurations VPN d'accès à distance 8-15 Étapes suivantes 8-17 Obtention d'une licence 3DES/AES A N N E X E Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

  • Page 7: Avant De Commencer

    5580 » Effectuer la configuration initiale du Chapitre 4, « Configuration du serveur serveur de sécurité adaptatif de sécurité adaptatif » Guide de configuration des serveurs de sécurité Cisco utilisant l'ASDM Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...
  • Page 8 Travailler sur le système au jour le jour Référence des commandes de la gamme Cisco ASA 5500 Messages de journalisation système de la gamme Cisco ASA 5500 Guide de configuration des serveurs de sécurité Cisco utilisant l'ASDM Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

  • Page 9: Optimisation Du Débit De L'asa 5580

    C H A P I T R E Optimisation du débit de l'ASA 5580 Le modèle Cisco ASA 5580 a été conçu pour fournir un débit maximal, lorsqu'il est configuré selon les instructions fournies dans ce chapitre. Ce chapitre comprend les sections suivantes : Interfaces réseau, page 2-1...

  • Page 10: À Propos Des Interfaces Réseau

    Interfaces réseau À propos des interfaces réseau L'ASA 5580 est doté de deux ports réseau Gigabit Ethernet intégrés et de neuf logements d'extension. Les ports réseau sont numérotés de 0 à 4, de haut en bas. Les numéros des logements d'extension sont incrémentés de droite à gauche.

  • Page 11: Cartes D'extension

    Logement d'extension PCI Express non enfichable à chaud x4 Logement d'extension PCI Express non enfichable à chaud x8 Logement d'extension PCI Express non enfichable à chaud x4 Logement d'extension PCI Express non enfichable à chaud x8 Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...
  • Page 12 Chapitre 2 Optimisation du débit de l'ASA 5580 Interfaces réseau Figure 2-2 Logements d'extension d'interface 1, 3 Alimentation 4, 5, 7 Ventilateurs Panneau de diagnostic Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

  • Page 13: Cartes Pci Prises En Charge

    Chapitre 2 Optimisation du débit de l'ASA 5580 Interfaces réseau Cartes PCI prises en charge L'ASA 5580 prend en charge les cartes PCI suivantes : Carte PCI cuivre Gigabit Ethernet 4 ports • Fournit quatre interfaces 10/100/1000BASE-T, qui autorisent un maximum de 24 interfaces Gigabit Ethernet.

  • Page 14: Optimisation Des Performances

    E/S. L'ASA 5580 présente deux ponts E/S et les logements E/S se connectent à l'un des deux bus E/S. Les adaptateurs des logements 3, 4, 5 et 6 figurent sur un pont E/S et les logements 7 et 8, sur l'autre pont E/S.
  • Page 15 TX, qui nécessitent un équilibrage de la charge. Les ports 1 Gigabit sont dotés d'une boucle RX et d'une boucle TX uniquement ; l'équilibrage de la charge n'est donc pas nécessaire. Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

  • Page 16: Étapes Suivantes

    PCI-E x8 PCI-E x4 PCI-E x8 PCI-E x4 PCI-X 100 MHz CONSOLE MGMT0/1 MGMT0/0 Données entrantes et sortantes Étapes suivantes Passez au Chapitre 3, « Installation de l'ASA 5580 » Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

  • Page 17: Installation De L'asa 5580

    Lisez les mises en garde figurant dans le document Informations relatives à la Avertissement conformité et à la sécurité, pour la gamme Cisco ASA 5500 et respectez les consignes de sécurité pendant l'installation. Seul le personnel spécialisé et qualifié doit installer, remplacer ou faire Attention l’entretien de cet équipement...

  • Page 18: Vérification Du Contenu Du Coffret

    En plus des éléments illustrés à la Figure 3-1, le serveur de sécurité adaptatif de la gamme ASA 5580 est fourni avec un système de rails en kit. Le kit de système de rails contient les éléments suivants : •...

  • Page 19: Installation Du Châssis

    (CA ou CC.) Pour ce faire, repérez le disjoncteur sur le panneau de commande du circuit CC, placez-le dans la position OFF, puis placez la poignée de commutation du disjoncteur du circuit dans la position OFF. Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

  • Page 20: Montage Sur Bâti Du Châssis

    Insérez le rail latéral du châssis sur le goujon en appuyant, puis faites glisser le rail latéral du châssis en arrière jusqu'à enclenchement, comme illustré à la Figure 3-2. Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...
  • Page 21 Répétez l'étape 1 pour chaque rail latéral du châssis. Étape 2 Pour retirer le rail latéral du châssis, soulevez le verrou, puis faites glisser le rail Étape 3 vers l'avant, comme illustré à la Figure 3-3. Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...
  • Page 22 72,39 cm (28,5 po), retirez la vis se trouvant à l'intérieur de l'assemblage à glissières avant de passer à l'étape 5, comme illustré à la Figure 3-4. Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...
  • Page 23 Chapitre 3 Installation de l'ASA 5580 Installation du châssis Figure 3-4 Vis située à l'intérieur de l'assemblage à glissières < 2 8 . 5 ” Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...
  • Page 24 à l'intérieur du bâti et emboîtez-les. Ajustez l'assemblage à glissières en longueur pour qu'il s'ajuste au bâti. Le verrou à ressort verrouille l'assemblage à glissières en place. Figure 3-5 Fixation de l'assemblage à glissières Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...
  • Page 25 Retirez les huit goujons à trous de montage carrés ou ronds sur chaque assemblage à glissières à l'aide d'un tournevis standard, comme illustré à la Figure 3-6. Vous devrez peut-être utiliser des pinces pour tenir l'écrou de Remarque retenue. Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...
  • Page 26 Alignez le support de l'assemblage à glissières sur les trous de montage du bâti, installez deux vis (en haut et en bas) sur chaque extrémité de l'assemblage à glissières, comme illustré à la Figure 3-7. Guide de démarrage de la gamme Cisco ASA 5580 3-10 78-19547-01...
  • Page 27 Figure 3-7 Alignement du support Répétez ce processus pour chaque assemblage à glissières. Étendez les assemblages à glissières hors du bâti, comme illustré à la Figure 3-8. Étape 6 Guide de démarrage de la gamme Cisco ASA 5580 3-11 78-19547-01...
  • Page 28 à la Figure 3-9. Guide de démarrage de la gamme Cisco ASA 5580 3-12 78-19547-01...
  • Page 29 Figure 3-9 Alignement des rails latéraux du châssis Cisc o IPS 427 0 SER Intr usio n Prev enti on Sen sor Guide de démarrage de la gamme Cisco ASA 5580 3-13 78-19547-01...

  • Page 30: Ports Et Voyants Del

    Ports et voyants DEL du panneau arrière, page 3-18 • Voyants DEL de la front panel Figure 3-10 illustre les voyants DEL de la front panel du serveur de sécurité adaptatif. Guide de démarrage de la gamme Cisco ASA 5580 3-14 78-19547-01...
  • Page 31 Intrusion Prevention Sensor DEL actif DEL Management 0/0 DEL système DEL Management 0/1 DEL d'indication d'état Alimentation Tableau 3-1 décrit les commutateurs et indicateurs situés en front panel de l'ASA 5580. Guide de démarrage de la gamme Cisco ASA 5580 3-15 78-19547-01...
  • Page 32 Indique l'état du port de gestion : MGMT0/0 Vert - connexion au réseau • Vert clignotant - connexion avec activité sur le • réseau Éteint - aucune connexion réseau • Guide de démarrage de la gamme Cisco ASA 5580 3-16 78-19547-01...
  • Page 33 Pour obtenir plus d'informations sur le port de gestion, reportez-vous à section relative à la commande management-only dans le document Référence des commandes de la gamme Cisco ASA 5500. Guide de démarrage de la gamme Cisco ASA 5580 3-17 78-19547-01...

  • Page 34: Ports Et Voyants Del Du Panneau Arrière

    PCI-X 100 MHz CONSOLE MGMT0/1 MGMT0/0 Alimentation Logement réservé Logements d'extension Exemple d'un logement occupé d'interface Alimentation Logement réservé Tournevis Torx T-15 Port de console Ports USB 10 Ports de gestion Guide de démarrage de la gamme Cisco ASA 5580 3-18 78-19547-01...
  • Page 35 (port de gestion, port d'une carte interface Gigabit Ethernet, port d'une carte d'interface fibre 10 Gigabit Ethernet ou port d'une carte d'interface fibre Gigabit Ethernet). Guide de démarrage de la gamme Cisco ASA 5580 3-19 78-19547-01...
  • Page 36 (10/100/1000) ; cependant, les cartes d'interface Gigabit Ethernet allument un voyant DEL orange lorsqu'une liaison de 1 000 Mbits/s est négociée. Tableau 3-3 décrit les indicateurs d'alimentation. Guide de démarrage de la gamme Cisco ASA 5580 3-20 78-19547-01...

  • Page 37: Connexion Des Câbles D'interface

    à un port de console, mais ils acceptent uniquement un trafic destiné « to-the-box » (contrairement à un trafic « through-the-box »). Management0/0 (MGMT0/0) est le port de commande et de contrôle. Guide de démarrage de la gamme Cisco ASA 5580 3-21 78-19547-01...
  • Page 38 Pour obtenir plus d'informations sur cette commande, reportez-vous à la commande management-only décrite dans le document Référence des commandes de la gamme Cisco ASA 5500. Repérez un câble Ethernet doté d'un connecteur RJ-45 à chaque extrémité. Connectez un connecteur RJ-45 au port Management0/0, comme illustré à la Figure 3-13.
  • Page 39 1 bit d'arrêt et contrôle de flux = matériel. Connectez le connecteur d'adaptateur RJ-45-to-DB-9 au port de console, puis connectez l'autre extrémité du connecteur DB-9 sur votre ordinateur, comme illustré à la Figure 3-14. Guide de démarrage de la gamme Cisco ASA 5580 3-23 78-19547-01...
  • Page 40 (simulateur de modem) Port série DB-9 d'ordinateur Connectez les ports cuivre et fibre Ethernet à utiliser pour les connexions réseau. Étape 4 Ceux-ci sont disponibles dans les logements 3 à 8. Guide de démarrage de la gamme Cisco ASA 5580 3-24 78-19547-01...
  • Page 41 Chapitre 3 Installation de l'ASA 5580 Connexion des câbles d'interface Par défaut, ces logements sont disponibles sur l'ASA 5580. Vous pouvez acheter des packs pour les options d'adaptateur E/S. Voir aussi Optimisation des performances Chapitre 2, « Optimisation du débit de l'ASA 5580 ».

  • Page 42: Étapes Suivantes

    MGM T 0/0 A R R I È R Mettez le châssis sous tension. Étape 6 Étapes suivantes Passez au Chapitre 4, « Configuration du serveur de sécurité adaptatif » Guide de démarrage de la gamme Cisco ASA 5580 3-26 78-19547-01...

  • Page 43: Configuration Du Serveur De Sécurité Adaptatif

    Ce chapitre décrit la configuration initiale du serveur de sécurité adaptatif. Cette configuration peut s'effectuer depuis un navigateur à l'aide de l'ASDM (Adaptive Security Device Manager) de Cisco ou via l'interface de ligne de commande (CLI). Les procédures décrites dans le présent chapitre permettent de configurer le serveur de sécurité...

  • Page 44: À Propos De La Configuration Par Défaut

    À propos de la configuration par défaut À propos de la configuration par défaut Chaque serveur de sécurité adaptatif de Cisco est livré avec une configuration par défaut permettant un démarrage rapide. La configuration par défaut du ASA 5580 serveur de sécurité adaptatif concerne les éléments suivants : L'interface de gestion, Management 0/0.

  • Page 45: Utilisation De L'asdm (Adaptive Security Device Manager) Pour La Configuration

    Étapes de préparation pour utiliser l'ASDM, page 4-4 Collecte d'informations pour la configuration initiale, page 4-4 • Installation de l'utilitaire d'application d'ASDM, page 4-5 • Lancement d'ASDM via un navigateur Web, page 4-8 • Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

  • Page 46: Étapes De Préparation Pour Utiliser L'asdm

    Collectez les informations suivantes pour l'assistant de démarrage de l'ASDM : Un nom d'hôte unique pour identifier le serveur de sécurité adaptatif sur votre • réseau. Le nom de domaine. • Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

  • Page 47: Installation De L'utilitaire D'application D'asdm

    Java et JavaScript dans votre navigateur Web et en accédant à ASDM à distance à partir de votre PC. Cette procédure décrit comment paramétrer votre système pour exécuter l'ASDM en local. Pour installer l'utilitaire d'application d'ASDM, procédez comme suit : Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...
  • Page 48 Lorsque l'assistant InstallShield apparaît, suivez les instructions pour installer l'utilitaire d'application d'ASDM. Démarrez l'utilitaire d'application d'ASDM de Cisco à partir de votre bureau. Étape 2 Une boîte de dialogue apparaît. Guide de démarrage de la gamme Cisco ASA 5580...
  • Page 49 Si un message de sécurité vous invite à accepter un certificat, cliquez sur Yes Étape 6 (Oui). Le serveur de sécurité adaptatif vérifie l'existence d'une mise à jour et le cas échéant, la télécharge automatiquement. Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

  • Page 50: Lancement D'asdm Via Un Navigateur Web

    N'oubliez pas de saisir le « s » de « https » sinon la connexion échoue. HTTPS Remarque (HTTP over SSL) fournit une connexion sécurisée entre votre navigateur et le serveur de sécurité adaptatif. La fenêtre principale de l'ASDM apparaît. Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

  • Page 51: Exécution De L'assistant De Démarrage D'asdm

    Properties > ICMP Rules (Configuration > Propriétés > Règles ICMP). Ajoutez une entrée pour l'interface externe. Configurez l'adresse IP sur 0.0.0.0, le masque réseau à 0.0.0.0 et l'action à rejeter. Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

  • Page 52: Étapes Suivantes

    VPN site à site site » Configurer le serveur de sécurité adaptatif pour Chapitre 8, « Scénario : configuration du VPN un VPN d'accès à distance d'accès à distance IPsec » Guide de démarrage de la gamme Cisco ASA 5580 4-10 78-19547-01...

  • Page 53: Scénario : Configuration De Connexions Pour Un Client Vpn Anyconnect De Cisco

    Ce chapitre comprend les sections suivantes : • À propos des connexions client VPN SSL, page 5-1 Obtention du logiciel client VPN AnyConnect de Cisco, page 5-2 • Exemple de topologie utilisant des clients VPN SSL AnyConnect, page 5-3 •...

  • Page 54: Obtention Du Logiciel Client Vpn Anyconnect De Cisco

    Le serveur de sécurité adaptatif obtient le logiciel client VPN AnyConnect à partir du site Web de Cisco. Ce chapitre fournit des instructions pour configurer le VPN SSL avec l'assistant de configuration. Le logiciel VPN SSL de Cisco peut être téléchargé...

  • Page 55: Exemple De Topologie Utilisant Des Clients Vpn Ssl Anyconnect

    Chapitre 5 Scénario : configuration de connexions pour un client VPN AnyConnect de Cisco Exemple de topologie utilisant des clients VPN SSL AnyConnect Exemple de topologie utilisant des clients VPN SSL AnyConnect Figure 5-1 illustre un serveur de sécurité adaptatif configuré pour accepter des requêtes de clients et établir des connexions SSL à...

  • Page 56: Informations À Garder À Portée De Main

    Chapitre 5 Scénario : configuration de connexions pour un client VPN AnyConnect de Cisco Implémentation du scénario VPN SSL de Cisco Configuration du serveur de sécurité adaptatif pour le client VPN • AnyConnect de Cisco, page 5-5 Spécification de l'interface VPN SSL, page 5-6 •...

  • Page 57: Configuration Du Serveur De Sécurité Adaptatif Pour Le Client Vpn Anyconnect De Cisco

    Chapitre 5 Scénario : configuration de connexions pour un client VPN AnyConnect de Cisco Implémentation du scénario VPN SSL de Cisco Configuration du serveur de sécurité adaptatif pour le client VPN AnyConnect de Cisco Pour commencer le processus de configuration, procédez comme suit : Dans la fenêtre ASDM principale, sélectionnez SSL VPN Wizard (Assistant...

  • Page 58: Spécification De L'interface Vpn Ssl

    Chapitre 5 Scénario : configuration de connexions pour un client VPN AnyConnect de Cisco Implémentation du scénario VPN SSL de Cisco Spécification de l'interface VPN SSL À l'étape 2 de l'assistant VPN SSL, procédez comme suit : Spécifiez un nom de connexion auquel les utilisateurs distants se connectent.

  • Page 59: Spécification D'une Méthode D'authentification Utilisateur

    Chapitre 5 Scénario : configuration de connexions pour un client VPN AnyConnect de Cisco Implémentation du scénario VPN SSL de Cisco Spécification d'une méthode d'authentification utilisateur À l'étape 3 de l'assistant VPN SSL, procédez comme suit : Si vous utilisez un serveur AAA ou un groupe de serveurs pour l'authentification, Étape 1...

  • Page 60: Spécification D'une Politique De Groupe

    Chapitre 5 Scénario : configuration de connexions pour un client VPN AnyConnect de Cisco Implémentation du scénario VPN SSL de Cisco Dans cette boîte de dialogue, spécifiez ce qui suit : Un nom de groupe de serveurs – Le protocole d'authentification à utiliser (RADIUS, TACACS, SDI, NT, –...

  • Page 61: Configuration Du Client Vpn Anyconnect De Cisco

    Chapitre 5 Scénario : configuration de connexions pour un client VPN AnyConnect de Cisco Implémentation du scénario VPN SSL de Cisco Cliquez sur Next (Suivant). Étape 3 L'étape 5 de l'assistant VPN SSL apparaît. Comme cette étape ne concerne pas les Étape 4...
  • Page 62 Pour obtenir la dernière version du logiciel, cliquez sur Download Latest AnyConnect VPN client (Télécharger le dernier client VPN AnyConnect), depuis le site Web de cisco.com. Le logiciel client est alors téléchargé sur votre PC. Cliquez sur Next (Suivant) pour continuer.

  • Page 63: Vérification De La Configuration Vpn D'accès À Distance

    Chapitre 5 Scénario : configuration de connexions pour un client VPN AnyConnect de Cisco Implémentation du scénario VPN SSL de Cisco Vérification de la configuration VPN d'accès à distance À l'étape 7 de l'assistant VPN SSL, vérifiez les paramètres de configuration, pour vous assurer qu'ils sont corrects.

  • Page 64: Étapes Suivantes

    Chapitre 5 Scénario : configuration de connexions pour un client VPN AnyConnect de Cisco Étapes suivantes Étapes suivantes Si vous ne déployez le serveur de sécurité adaptatif que pour prendre en charge des connexions VPN AnyConnect, vous avez terminé la configuration initiale. Par ailleurs, vous pouvez envisager de réaliser l'une des étapes suivantes.

  • Page 65: Scénario : Connexions Vpn Ssl Sans Client

    Internet. Notamment : Les sites Web internes • Les applications Web • Les partages de fichier FTP et NT/Active Directory • Les proxy e-mail, y compris POP3S, IMAP4S et SMTPS • Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

  • Page 66: Observations Concernant La Sécurité Des Connexions Vpn Ssl Sans Client

    De même, le serveur de sécurité adaptatif n'effectue aucune validation de certificat CA fiable. Les utilisateurs ne peuvent donc pas analyser le certificat d'un serveur Web SSL avant de communiquer avec lui. Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

  • Page 67: Exemple De Réseau Avec Accès Vpn Ssl Basé Sur Navigateur

    Exemple de réseau avec accès VPN SSL basé sur navigateur Figure 6-1 illustre un serveur de sécurité adaptatif configuré pour accepter des demandes de connexions VPN SSL sur Internet via un navigateur Web. Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...
  • Page 68 Spécification d'une méthode d'authentification des utilisateurs, page 6-8 Spécification d'une politique de groupe, page 6-10 • Création d'une liste de signets pour les utilisateurs distants, page 6-11 • Vérification de la configuration, page 6-15 • Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

  • Page 69: Informations À Garder À Portée De Main

    VPN SSL apparaît. Certificat numérique • L'ASA 5580 génère un certificat auto-signé par défaut. Pour améliorer la sécurité et éliminer les messages d'avertissement du navigateur, vous pouvez envisager d'acheter un certificat VPN SSL reconnu comme étant fiable avant de placer le système dans un environnement de production.

  • Page 70: Implémentation Du Scénario Vpn Ssl Sans Client

    Dans cet écran, procédez comme suit : Étape 2 Cochez la case d'option Browser-based SSL VPN (Web VPN) (VPN SSL basé sur navigateur (VPN Web)). Cliquez sur Next (Suivant) pour continuer. Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

  • Page 71: Spécification De L'interface Vpn Ssl

    SSL apparaît. Dans la liste déroulante Certificate (Certificat), sélectionnez le certificat que le Étape 3 serveur de sécurité adaptatif envoie à l'utilisateur distant pour authentifier le serveur de sécurité adaptatif. Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

  • Page 72: Spécification D'une Méthode D'authentification Des Utilisateurs

    Chapitre 6 Scénario : connexions VPN SSL sans client Implémentation du scénario VPN SSL sans client L'ASA 5580 génère un certificat auto-signé par défaut. Pour améliorer la sécurité Remarque et éliminer les messages d'avertissement du navigateur, vous pouvez envisager d'acheter un certificat VPN SSL reconnu comme étant fiable avant de placer le système dans un environnement de production.
  • Page 73 Le protocole d'authentification à utiliser (TACACS, SDI, NT, Kerberos, – LDAP) L'adresse IP du serveur AAA – L'interface duserveur de sécurité adaptatif – La clé secrète à utiliser pour communiquer avec le serveur AAA – Cliquez sur OK. Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

  • Page 74: Spécification D'une Politique De Groupe

    Cochez la case d'option Modify an existing group policy(Modifier une politique de groupe existante), puis sélectionnez un groupe à partir de la liste déroulante. Guide de démarrage de la gamme Cisco ASA 5580 6-10 78-19547-01...

  • Page 75: Création D'une Liste De Signets Pour Les Utilisateurs Distants

    À l'étape 5 de l'assistant VPN SSL, spécifiez les URL devant apparaître sur la page du portail VPN en procédant comme suit : Pour spécifier une liste de signets existante, sélectionnez-la dans la liste Étape 1 déroulante Bookmark List (Liste de signets). Guide de démarrage de la gamme Cisco ASA 5580 6-11 78-19547-01...
  • Page 76 Pour ajouter une nouvelle liste ou modifier une liste existante, cliquez sur Manage (Gérer). La boîte de dialogue Configure GUI Customization Objects (Configurer les objets de personnalisation de l'interface) apparaît. Guide de démarrage de la gamme Cisco ASA 5580 6-12 78-19547-01...
  • Page 77 Étape 2 Pour modifier une liste de signets existante, sélectionnez la liste, puis cliquez sur Edit (Modifier). La boîte de dialogue Add Bookmark List (Ajouter une liste de signets) apparaît. Guide de démarrage de la gamme Cisco ASA 5580 6-13 78-19547-01...
  • Page 78 Choisissez le nom de la liste de signets de ce groupe VPN dans la liste déroulante Étape 10 Bookmark List (Liste de signets). Cliquez sur Next (Suivant) pour continuer. Étape 11 Guide de démarrage de la gamme Cisco ASA 5580 6-14 78-19547-01...

  • Page 79: Vérification De La Configuration

    (Fichier). Sinon, ASDM vous invite à enregistrer les modifications de configuration de manière permanente lorsque vous quittez l'application. Si vous n'enregistrez pas les modifications de configuration, l'ancienne configuration sera appliquée au prochain démarrage du périphérique. Guide de démarrage de la gamme Cisco ASA 5580 6-15 78-19547-01...

  • Page 80: Étapes Suivantes

    Chapitre 5, « Scénario : configuration de connexions pour un client VPN AnyConnect de Cisco » Configurer un VPN site à site Chapitre 7, « Scénario : configuration du VPN site à site » Guide de démarrage de la gamme Cisco ASA 5580 6-16 78-19547-01...

  • Page 81: Scénario : Configuration Du Vpn Site À Site

    Configuration de l'autre extrémité de la connexion VPN, page 7-13 • Étapes suivantes, page 7-14 • Exemple de topologie réseau d'un VPN site à site Figure 7-1 illustre un exemple de tunnel VPN entre deux serveur de sécurité adaptatif. Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

  • Page 82: Implémentation Du Scénario Site À Site

    à distance, qui paraissent dans la Figure 7-1. Cette section comprend les rubriques suivantes : Informations à garder à portée de main, page 7-3 • Configuration du VPN site à site, page 7-3 • Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

  • Page 83: Informations À Garder À Portée De Main

    Les sections suivantes fournissent des instructions détaillées pour chaque étape de la configuration. Configuration du serveur de sécurité sur le site local Dans ce scénario, le serveur de sécurité adaptatif du premier site est appelé Remarque Serveur de sécurité 1. Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...
  • Page 84 VPN ou d'autres périphériques prenant en charge la connectivité IPsec site à site. Dans la liste déroulante VPN tunnel Interface (Interface tunnel VPN), sélectionnez Outside (Externe) comme interface activée du tunnel VPN actuel. Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...
  • Page 85 Saisissez l'adresse IP de l'homologue (l'adresse IP du Serveur de sécurité 2, soit Étape 1 dans ce scénario, 209.165.200.236) ainsi qu'un nom de groupe de tunnel (par exemple, « Cisco »). Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...
  • Page 86 • case d'option Pre-Shared Key (Clé pré-partagée), puis saisissez une clé pré-partagée (par exemple, « Cisco »). Cette clé est utilisée pour les négociations IPsec entre les serveur de sécurité adaptatif. Lorsque vous utilisez une authentification de clé pré-partagée, le Remarque nom du groupe de tunnel doit être l'adresse IP de l'homologue.
  • Page 87 Sélectionnez le type de cryptage (DES/3DES/AES), l'algorithme Étape 1 d'authentification (MD5/SHA) et le groupe Diffie-Hellman (1/2/5), utilisés par la plate-forme serveur de sécurité adaptatif lors d'une association de sécurité IKE. Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...
  • Page 88 Serveur de sécurité 1. Les non-correspondances de cryptage sont une cause courante d'échecs de tunnel VPN et peuvent ralentir le processus. Cliquez sur Next (Suivant) pour continuer. Étape 2 Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...
  • Page 89 (PFS)) pour préciser si vous souhaitez utiliser la parfaite confidentialité de transmission, puis indiquez la taille des numéros à utiliser dans la liste déroulante Diffie-Hellman Group (Groupe Diffie-Hellman) pour générer les clés IPsec Phase 2. Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

  • Page 90: Spécification Des Réseaux Et Des Hôtes

    Saisissez l'adresse IP des réseaux distants devant être protégés ou non, ou cliquez Étape 2 sur le bouton de points de suspension (...) pour effectuer votre sélection à partir d'une liste d'hôtes et de réseaux. Guide de démarrage de la gamme Cisco ASA 5580 7-10 78-19547-01...
  • Page 91 (PAT), vérifiez la case Exempt ASA side host network from address translation et choisissez l'interface interne dans la liste déroulante. Cliquez sur Next (Suivant) pour continuer. Étape 4 Guide de démarrage de la gamme Cisco ASA 5580 7-11 78-19547-01...

  • Page 92: Affichage Des Attributs Du Vpn Et Finalisation De La Procédure À L'aide De L'assistant

    Si vous n'enregistrez pas les modifications de configuration, l'ancienne configuration sera appliquée au prochain démarrage du périphérique. Ainsi se termine le processus de configuration du Serveur de sécurité 1. Guide de démarrage de la gamme Cisco ASA 5580 7-12 78-19547-01...

  • Page 93: Configuration De L'autre Extrémité De La Connexion Vpn

    Pour obtenir des informations sur la vérification et le dépannage de la configuration d'un VPN site à site, consultez la section « Dépannage du Serveur de sécurité » du document Guide de configuration de la gamme Cisco ASA 5500 utilisant l'interface CLI.

  • Page 94: Étapes Suivantes

    • debug crypto isakmp sa. • Consultez également le document Référence des commandes de la gamme Cisco ASA 5500 pour obtenir des informations détaillées sur chacune de ces commandes. Étapes suivantes Si vous déployez le serveur de sécurité adaptatif uniquement dans un environnement VPN site à...

  • Page 95: Scénario : Configuration Du Vpn D'accès À Distance Ipsec

    VPN et pour établir des connexions IPsec avec des clients VPN, tels qu'un logiciel Easy VPN de Cisco ou des clients matériel sur Internet. Guide de démarrage de la gamme Cisco ASA 5580...

  • Page 96: Implémentation Du Scénario Vpn D'accès À Distance Ipsec

    Configuration d'un VPN d'accès à distance IPsec, page 8-4 • Sélection des types de client VPN, page 8-5 • • Spécification du nom de groupe du tunnel VPN et méthode d'authentification, page 8-6 Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

  • Page 97: Informations À Garder À Portée De Main

    Adresses IP des serveurs WINS primaires et secondaires – Nom de domaine par défaut – Liste des adresses IP pour les réseaux, groupes et hôtes locaux devant – être accessibles aux clients distants authentifiés. Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

  • Page 98: Configuration D'un Vpn D'accès À Distance Ipsec

    Étape 2 Cochez la case d'option Remote Access (Accès distant). Dans la liste déroulante, sélectionnez Outside (Externe) comme interface activée pour les tunnels VPN entrants. Cliquez sur Next (Suivant) pour continuer. Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

  • Page 99: Sélection Des Types De Client Vpn

    à ce serveur de sécurité adaptatif. Pour ce scénario, cochez la case d'option Cisco VPN Client (Client VPN Cisco). Vous pouvez également utiliser tout autre produit distant Easy VPN de Cisco. Cliquez sur Next (Suivant) pour continuer. Étape 2 Guide de démarrage de la gamme Cisco ASA 5580...

  • Page 100: Spécification Du Nom De Groupe Du Tunnel Vpn Et Méthode D'authentification

    Pour utiliser une clé pré-partagée statique pour l'authentification, cochez la • case d'option Pre-Shared Key (Clé pré-partagée) puis saisissez une clé pré-partagée (par exemple, « Cisco »). Cette clé est utilisée pour les négociations IPsec. Pour utiliser des certificats numériques pour l'authentification, cochez la case •...

  • Page 101: Spécification D'une Méthode D'authentification Des Utilisateurs

    Scénario : configuration du VPN d'accès à distance IPsec Implémentation du scénario VPN d'accès à distance IPsec Saisissez un nom de groupe de tunnel (par exemple, « Cisco ») pour l'ensemble Étape 2 des utilisateurs qui se servent d'attributs client et de paramètres de connexion communs pour se connecter à...
  • Page 102 Authenticate using a AAA server group (Authentifier via un groupe de serveurs AAA) ou cliquez sur New (Nouveau) pour ajouter un nouveau groupe de serveurs AAA. Cliquez sur Next (Suivant) pour continuer. Étape 3 Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

  • Page 103: Configuration Des Comptes Utilisateurs (Facultatif)

    Pour ajouter un nouvel utilisateur, saisissez un nom d'utilisateur et un mot de Étape 1 passe, puis cliquez sur Add (Ajouter). Lorsque vous avez ajouté de nouveaux utilisateurs, cliquez sur Next (Suivant) Étape 2 pour continuer. Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

  • Page 104: Configuration De Pools D'adresse

    Pool Name (Nom du pool). Vous pouvez également cliquer sur New (Nouveau) pour créer un nouveau pool d'adresses. La boîte de dialogue Add IP Pool (Ajouter Pool ID) apparaît. Guide de démarrage de la gamme Cisco ASA 5580 8-10 78-19547-01...

  • Page 105: Configuration Des Attributs Du Client

    Easy VPN lorsqu'une connexion est établie. Vérifiez que vous avez saisi des valeurs correctes sinon, les clients distants ne pourront pas utiliser les noms DNS pour la résolution ou l'utilisation du réseau Windows. Guide de démarrage de la gamme Cisco ASA 5580 8-11 78-19547-01...

  • Page 106: Configuration De La Politique Ike

    ; il s'agit également d'une méthode d'authentification qui permet de garantir l'identité des homologues. Dans la plupart des cas, les valeurs par défaut ASDM suffisent pour établir des tunnels VPN sécurisés. Guide de démarrage de la gamme Cisco ASA 5580 8-12 78-19547-01...

  • Page 107: Spécification De L'exception De Traduction De L'adresse Et Contrôle De Séparation Des Flux

    Le contrôle de séparation des flux (split tunneling) permet aux clients IPsec distants d'envoyer des paquets, sous certaines conditions, dans un tunnel IPsec en format crypté ou vers une interface réseau en format texte. Guide de démarrage de la gamme Cisco ASA 5580 8-13 78-19547-01...
  • Page 108 Enable Split Tunneling (Activer le contrôle de séparation des flux). Le contrôle de séparation des flux permet au trafic extérieur aux réseaux configurés d'être envoyé directement vers Internet et non via un tunnel VPN crypté. Guide de démarrage de la gamme Cisco ASA 5580 8-14 78-19547-01...

  • Page 109: Vérification Des Configurations Vpn D'accès À Distance

    Vérification des configurations VPN d'accès à distance À l'étape 10 de l'assistant VPN, vérifiez les attributs de configuration du nouveau tunnel VPN. La configuration affichée doit être similaire à la suivante : Guide de démarrage de la gamme Cisco ASA 5580 8-15 78-19547-01...
  • Page 110 ASDM vous invite à enregistrer les modifications de configuration de manière permanente lorsque vous quittez l'application. Si vous n'enregistrez pas les modifications de configuration, l'ancienne configuration sera appliquée au prochain démarrage du périphérique. Guide de démarrage de la gamme Cisco ASA 5580 8-16 78-19547-01...

  • Page 111: Étapes Suivantes

    Pour établir des tunnels VPN cryptés de bout en bout et permettre ainsi aux employés en déplacement ou au télétravailleurs de bénéficier d'une connectivité sécurisée, faites l'acquisition du logiciel client VPN de Cisco. Pour obtenir plus d'informations sur le client VPN de Cisco Systems, consultez l'URL suivante : http://www.cisco.com/en/US/products/sw/secursw/ps2308/index.html Si vous déployez le serveur de sécurité...
  • Page 112 Chapitre 8 Scénario : configuration du VPN d'accès à distance IPsec Étapes suivantes Guide de démarrage de la gamme Cisco ASA 5580 8-18 78-19547-01...

  • Page 113: Obtention D'une Licence 3Des/Aes

    A N N E X E Obtention d'une licence 3DES/AES L'ASA 5580 de Cisco est livré avec une licence DES qui fournit le cryptage. Vous pouvez obtenir une licence 3DES/AES fournissant la technologie de cryptage permettant d'activer des fonctionnalités spécifiques, telles que la gestion à...
  • Page 114 0xffd8624e 0x1234abcd. Où « 0x » est facultatif ; toutes les valeurs sont censées être hexadécimales. Remarque Il est inutile de recharger la configuration, si vous réduisez le nombre de fonctionnalités sous licence. Guide de démarrage de la gamme Cisco ASA 5580 78-19547-01...

Table des Matières