Centre de Recherche sur les Matériaux à Haute Température

- Home - News - Conseils - SécuritéMise à jour  -  Liens  -  Accès  -

 Centre de Recherche sur les Matériaux à Haute Température

Scénario de gestion de réseau privé virtuel Windows 2000 (article Microsoft)

Résumé   < 1 2 >

Le fait d’utiliser des réseaux publics et privés en vue de créer une connexion réseau s’appelle "réseau privé virtuel" (de l'anglais VPN, Virtual Private Network). Dans ce scénario, la société fictive Electronic a déployé les technologies de réseau privé virtuel Windows 2000 Point-to-Point Tunneling Protocol (PPTP) et L2TP (Layer 2 Tunneling Protocol) en vue de créer des solutions de connectivité d’accès distant sécurisées entre les succursales et les partenaires commerciaux. Ce livre blanc décrit la conception et la configuration du réseau privé virtuel de la société Electronic et l’infrastructure de connexion d’accès distant.

Sommaire

Introduction

Ce livre blanc décrit la façon dont les scénarios de réseaux privés virtuels standard sont configurés pour une société fictive avec le système d’exploitation Windows 2000. Même si la configuration de votre réseau est différente de celles qui sont décrites dans ce livre, vous pouvez toujours appliquer les concepts de base des réseaux privés virtuels à votre environnement réseau.

Le fait d’utiliser des réseaux publics et privés en vue de créer une connexion réseau est décrit par le terme de "réseau privé virtuel" (de l'anglais VPN, Virtual Private Network).

Un réseau privé virtuel (VPN) est l’extension d’un réseau privé qui inclut les liaisons avec des réseaux partagés ou publics tels qu’Internet. Avec un réseau VPN, vous pouvez transmettre des données entre deux ordinateurs par le biais d’un réseau partagé ou public en émulant une liaison privée point à point. La mise en place d'un réseau privé virtuel consiste à créer et à configurer un réseau privé virtuel.

Pour émuler une liaison point à point, les données sont encapsulées ou enroulées, avec un en-tête contenant les informations de routage et permettant aux données de traverser le réseau partagé ou public pour atteindre son point d’arrêt. Pour émuler une liaison privée, les données sont cryptées en vue d’assurer leur confidentialité. Les paquets qui sont interceptés sur le réseau partagé ou public sont indéchiffrables sans les clés de cryptage. La liaison dans laquelle les données privées sont encapsulées et cryptées est une connexion de réseau privé virtuel (VPN).

Electronic est une société fictive de conception et de fabrication de composants électroniques dont le siège social se situe à New York et dont les succursales et partenaires de distribution se trouvent aux Etats-Unis. Electronic a mis en œuvre une solution VPN avec le système d’exploitation Windows 2000 pour connecter les utilisateurs d’accès distant, les succursales et les partenaires commerciaux.

Le serveur VPN installé au siège de la société procure à la fois des connexions VPN d’accès distant et de routeur à routeur PPTP et L2TP. En outre, le serveur VPN fournit le routage des paquets vers des emplacements d’intranet et d’Internet.

Basés sur la configuration commune du serveur VPN, les scénarios de réseau privé virtuel suivants sont décrits :

  • Accès distant au VPN pour les employés.
  • Accès à la demande pour les succursales.
  • Accès permanent pour les succursales.
  • Extranet pour les partenaires commerciaux.
  • Accès à distance et réseaux VPN avec authentification RADIUS.

Les exemples de société, d’organisation, de produit, de personne et d’événement décrits dans ce document sont fictifs. Toute ressemblance avec une société, une organisation, un produit, une personne ou un événement réel est fortuite.

Configuration commune pour le serveur de réseau privé virtuel (VPN)

Pour déployer une solution de réseau privé virtuel (VPN) pour la société Electronic, l’administrateur réseau procède à une analyse et prend des décisions relatives à sa conception :

  • configuration du réseau ;
  • configuration des stratégies d’accès distant ;
  • configuration des domaines ;
  • configuration de la sécurité.

Configuration du réseau

Les éléments principaux de la configuration réseau sont présentés ci-dessous :

  • L’intranet de la société Electronic utilise le réseau privé 172.16.0.0 avec le masque de sous-réseau 255.240.0.0 ainsi que le réseau privé 192.168.0.0 avec le masque de sous-réseau 255.255.0.0. Les segments de réseau du siège social utilisent les sous-réseaux de 172.16.0.0 et les succursales utilisent les sous-réseaux de 192.168.0.0.

     
  • L’ordinateur serveur VPN est directement relié à Internet à l’aide d’une liaison WAN dédiée T3 (également intitulée DS-3).

     
  • L’adresse IP de la carte WAN sur Internet est 207.46.130.1. Celle-ci est attribuée à Electronic par le fournisseur de services Internet (ISP). Sur Internet, l’adresse IP de la carte WAN est connue sous le nom de domaine vpn.electronic.microsoft.com.

     
  • Le serveur VPN est directement relié à un segment du réseau intranet qui contient un routeur se connectant au reste de l’intranet du siège social d’Electronic. Le segment de réseau intranet possède l’ID de réseau IP 172.31.0.0 avec le masque de sous-réseau 255.255.0.0.

     
  • Le serveur VPN est configuré avec un pool d’adresses IP statiques attribuables aux clients d’accès distant et aux routeurs appelants, formant un sous-ensemble du segment de réseau intranet (un pool d’adresses sur le sous-réseau).

La figure 1 présente la configuration réseau du serveur VPN d’Electronic.

 

Configuration réseau du serveur VPN d’Electronic

Figure 1 Configuration réseau du serveur VPN d’Electronic.

Basée sur la configuration réseau de l’intranet du siège social de la société Electronic, la configuration du serveur VPN est la suivante :

  1. Installation du matériel sur le serveur VPN.
    La carte réseau utilisée pour la connexion au segment d’intranet et la carte WAN utilisée pour la connexion à Internet sont installées conformément aux instructions du fabricant. Une fois que les pilotes sont installés et opérationnels, les deux cartes apparaissent comme des connexions locales dans le dossier Connexions réseau et accès à distance.

     
  2. Configuration TCP/IP sur les cartes LAN (réseau local) et WAN (réseau étendu).
    Pour la carte LAN, l'adresse IP 172.31.0.1 avec le masque de sous-réseau 255.255.0.0 est configurée. Pour la carte WAN, l'adresse IP 207.46.130.1 avec le masque de sous-réseau 255.255.255.255 est configurée. Aucune passerelle par défaut n’est configurée pour les cartes. Les adresses des serveurs DNS et WINS sont également configurées.

     
  3. Installation du Service de routage et d’accès distant
    L’Assistant Installation du serveur de routage et d’accès distant est exécuté. Dans l’Assistant, l’option Serveur configuré manuellement est sélectionnée. Pour plus d’informations, reportez-vous à la procédure de l’annexe A, "Activer le Service de routage et d'accès distant".

    Une fois que l’Assistant a terminé, un pool d’adresses IP statiques contenant l'adresse IP de début 172.31.255.1 et l'adresse IP de fin 172.31.255.254 est configurée. Un pool d’adresses statiques est créé pour 253 clients VPN maximum.

    Pour plus d’informations, reportez-vous à la procédure de l’annexe A, "Créer un pool d’adresses IP statiques".

    La méthode d’authentification par défaut des connexions d’accès distant et à la demande consiste à utiliser l’authentification Windows, laquelle est appropriée dans cette configuration contenant un seul serveur VPN. Pour plus d’informations sur l’utilisation de l’authentification RADIUS pour Electronic, reportez-vous à la section "Accès à distance et VPNS avec authentification RADIUS" de ce livre blanc. Pour plus d’informations sur l’utilisation de l’authentification Windows et RADIUS, reportez-vous à la rubrique "Authentification ou autorisation" dans l’Aide de Windows 2000 Server.

  4. Activation de la méthode d’authentification EAP (Protocole d’authentification extensible).
    Pour activer l’utilisation des clients VPN d’accès distant basés sur des cartes à puce et les routeurs d’appel basés sur des certificats, l’administrateur réseau active le protocole d’authentification extensible (EAP) sur le serveur VPN.

    Pour plus d’informations, reportez-vous à la procédure de l’annexe A, "Activer le protocole EAP".

  5. Configuration des itinéraires statiques sur le serveur VPN en vue d’atteindre les emplacements intranet et Internet.
    Pour atteindre les emplacements intranet, un itinéraire statique est configuré avec les paramètres suivants :
    • Interface : La carte LAN reliée à l’intranet
    • Destination : 172.16.0.0
    • Masque de réseau : 255.240.0.0
    • Passerelle : 172.31.0.2
    • Valeur métrique : 1

    Cet itinéraire statique simplifie le routage en récapitulant toutes les destinations sur l’intranet d’Electronic. Grâce à l’utilisation de cet itinéraire statique, le serveur VPN n’a pas besoin d’être configuré avec un protocole de routage tel que RIP ou OSPF. Pour plus d’informations sur les concepts fondamentaux du routage, reportez-vous au livre blanc "Principes du routage Unicast" Aller sur le site américain, ainsi qu'à l'Aide de Windows 2000 Server.

    Pour atteindre les emplacements Internet, un itinéraire statique est configuré avec les paramètres suivants :

    • Interface : La carte WAN reliée à Internet
    • Destination : 0.0.0.0
    • Masque de réseau : 0.0.0.0
    • Passerelle : 0.0.0.0
    • Valeur métrique : 1

    Cet itinéraire statique récapitule toutes les destinations sur Internet. Cet itinéraire permet au serveur VPN de répondre à une connexion VPN de client d’accès distant ou de routeur à la demande, n’importe où sur Internet.

    Remarque :Comme la carte WAN crée une connexion point à point vers le fournisseur de services Internet (ISP), vous pouvez saisir n’importe quelle adresse de passerelle. L’adresse de passerelle 0.0.0.0 est un exemple. 0.0.0.0 correspond à l’adresse IP non renseignée.

  6. Augmentation du nombre de ports PPTP et L2TP.
    Par défaut, seuls les cinq ports L2TP et les cinq ports PPTP sont activés pour les connexions VPN. Le nombre de ports L2TP et PPTP s’élève à 253. Pour plus d’informations, reportez-vous à la procédure de l’annexe A, "Ajouter des ports PPTP ou L2TP".

     
  7. Configuration des filtres de paquets PPTP et L2TP sur IPSec.
    Les filtres de paquets PPTP et L2TP sur IPSec sont configurés sur la carte WAN qui se connecte à Internet. Pour éviter que le serveur VPN n’émette ou ne reçoive de trafic sur son interface Internet, hormis le trafic PPTP ou L2TP sur IPSec issu des routeurs de succursale ou des clients d’accès distant, les filtres d’entrée et de sortie PPTP et L2TP sur IPSec doivent être configurés sur l’interface Internet. Comme le routage IP est activé sur l’interface Internet, si vous ne configurez pas les filtres L2TP sur IPSec et PPTP sur l’interface Internet du serveur VPN, tout trafic reçu sur l’interface Internet sera routé, et le trafic Internet indésirable sera potentiellement envoyé sur l’intranet. Pour plus d’informations, reportez-vous aux procédures de l’annexe A, "Ajouter des filtres de paquets PPTP" et "Ajouter des filtres de paquets L2TP “. Pour plus d’informations sur le filtrage de paquets IP, reportez-vous à l'Aide de Windows 2000 Server et au Kit de ressources Microsoft Windows 2000 Server Guide Internet.

     
  8. Paramétrage du numéro de téléphone pour les périphériques PPTP et L2TP.
    Pour pouvoir configurer des stratégies d’accès distant qui limitent les connexions VPN des utilisateurs d’Internet, les propriétés de port des périphériques Miniport WAN (PPTP) et Miniport WAN (L2TP) sont modifiées avec l’adresse IP de l’interface Internet du serveur VPN dans le champ Numéro de téléphone pour ce périphérique. Pour plus d’informations, reportez-vous à la procédure de l’annexe A, "Définir un numéro de téléphone sur un périphérique".

     
  9. Configuration d'un itinéraire statique sur le routeur d’intranet en vue d’atteindre toutes les succursales.
    Pour atteindre les emplacements des succursales à partir du routeur d’intranet, un itinéraire statique est configuré avec les paramètres suivants :
    • Interface : la carte LAN reliée à l’intranet
    • Destination : 192.168.0.0
    • Masque de réseau : 255.255.0.0
    • Passerelle : 172.31.0.1
    • Valeur métrique : 1

    Cet itinéraire statique simplifie le routage en récapitulant toutes les destinations des succursales d’Electronic.

Configuration de la stratégie d’accès distant

Electronic a migré vers un domaine en mode natif Windows 2000 et l’administrateur réseau d’Electronic a opté pour un modèle administratif de stratégies d'accès. L’autorisation d’accès distant sur tous les comptes d’utilisateur est définie sur Contrôler l’accès via la Stratégie d’accès distant. L’obtention d’autorisation d’accès distant pour les tentatives de connexion est contrôlée par le paramètre d’autorisation d’accès distant sur la première stratégie d’accès distant correspondante. Les stratégies d’accès distant sont utilisées pour appliquer différents paramètres de connexion VPN en fonction de l’appartenance aux groupes, et la stratégie d’accès distant par défaut intitulée Permet l'accès si l'autorisation d'entrée est activée est supprimée.

Pour plus d’informations, reportez-vous à la rubrique "Modèles administratifs de stratégie d'accès distant" dans l'Aide de Windows 2000 Server.

Configuration des domaines

Pour tirer parti de la possibilité d’appliquer différents paramètres de connexion à différents types de connexion VPN, les groupes Windows 2000 suivants sont créés :

  • VPN_Users
    Utilisés pour les connexions VPN d’accès distant

     
  • VPN_Routers
    Utilisés pour les connexions VPN de routeur à routeur des succursales d’Electronic.

     
  • VPN_Partners
    Utilisés pour les connexions VPN de routeur à routeur des partenaires commerciaux d’Electronic.

     

Remarque Tous les utilisateurs et les groupes de ce scénario sont créés dans le domaine Active Directory™ electronic.microsoft.com .

Configuration de la sécurité

Pour activer les connexions L2TP sur IPSec et l’utilisation des cartes à puce par les clients d’accès distant, le domaine Electronic est configuré pour attribuer automatiquement des certificats à tous les membres du domaine.

Pour plus d’informations, reportez-vous à la procédure figurant à l’Annexe A, "Configurer l’attribution automatique de certificats".

Accès distant au VPN pour les employés

L’accès distant pour les employés d’Electronic est déployé au moyen des connexions VPN d’accès distant sur Internet, en fonction des paramètres configurés dans la section "Configuration commune pour le serveur de réseau privé virtuel (VPN)" plus haut dans ce livre blanc, et des paramètres supplémentaires suivants.

La figure 2 présente le serveur VPN d’Electronic qui fournit les connexions VPN d’accès distant.

 

Serveur VPN d’Electronic fournissant des connexions VPN d’accès distant

Figure 2 Le serveur VPN d’Electronic fournissant des connexions VPN d’accès distant

Configuration du domaine

Pour chaque employé qui a accès au réseau VPN :

  • Dans les propriétés d’appels entrants du compte d’utilisateur, l'autorisation d'accès distant est définie sur Contrôler l’accès via la Stratégie d’accès distant.

     
  • Le compte d’utilisateur est ajouté au groupe d’utilisateurs VPN_Users Windows 2000.

Configuration de la stratégie d’accès distant

Pour définir les paramètres d’authentification et de cryptage destinés aux clients VPN d’accès distant, la stratégie d’accès distant suivante est créée :

  • Nom de la stratégie : lients VPN d’accès distant

    Conditions :

    • NAS-Port-Type est défini sur Virtual (VPN).
    • Windows-Groups est défini sur VPN_Users.
    • Called-Station-ID est défini sur 207.46.130.1.

       
  • Autorisation est défini sur Accorder l’autorisation d’accès distant.

    Paramètres de profil

    • Onglet Authentification : Protocole d’authentification extensible (EAP) est sélectionné et Carte à puce ou autre certificat est configuré pour utiliser le certificat de poste installé. Authentification cryptée Microsoft version 2 (MS-CHAP v2) et Authentification cryptée Microsoft (MS-CHAP) sont également sélectionnés.
    • Onglet Cryptage : Cryptage renforcé et Maximal sont les seules options sélectionnées.

Remarque La condition Called-Station-ID est définie sur l’adresse IP de l’interface Internet pour le serveur VPN. Seuls les tunnels lancés à partir d’Internet sont autorisés. Les tunnels lancés à partir de l’intranet d’Electronic ne sont pas autorisés. Les utilisateurs d’Electronic nécessitant l’accès à Internet à partir de l’intranet d’Electronic doivent passer par le serveur proxy d’Electronic (non illustré), où l’accès à Internet est contrôlé et surveillé.

Configuration des clients d’accès distant basée sur le protocole PPTP

L’Assistant Création d'une nouvelle connexion est utilisé sur les ordinateurs client en vue de créer une connexion VPN avec le paramètre suivant :

  • Nom d’hôte ou adresse IP : vpn.electronic.microsoft.com

Les paramètres de connexion VPN sont modifiés comme suit :

  • Dans l’onglet Réseau, l’option Type du serveur d'accès à distance appelé est définie sur Point-to-Point Tunneling Protocol (PPTP). Cela permet d’accroître les performances de connexion. Quand l’option Type du serveur d'accès à distance appelé est définie surAutomatique, une association de sécurité (SA) IPSec pour une connexion L2TP est d’abord tentée. En configurant la connexion avec PPTP, l’association de sécurité IPSec pour une connexion L2TP n’est pas tentée.

Configuration des clients d’accès distant basée sur le protocole L2TP

L’ordinateur d’accès distant se connecte au domaine d’Electronic au moyen d’une connexion réseau local (LAN) à l’intranet d’Electronic et reçoit un certificat par le biais de l’enregistrement automatique. Ensuite, l’Assistant Création d'une nouvelle connexion permet de créer une connexion VPN avec le paramètre suivant :

  • Nom d’hôte ou adresse IP : vpn.electronic.microsoft.com

Les paramètres de connexion VPN sont modifiés comme suit :

  • Sur l’onglet Réseau, l’option Type du serveur d'accès à distance appelé est définie sur Protocole L2TP (Layer 2 Tunneling Protocol). Quand l’option Type du serveur d'accès à distance appelé est définie sur Automatique, une association de sécurité IPSec pour une connexion L2TP est d’abord tentée. Si cette association n’aboutit pas, une connexion PPTP est alors tentée. Dans ce cas, l’administrateur réseau d’Electronic ne souhaite pas que les clients d’accès distant qui sont en mesure d’établir une connexion L2TP reviennent à la connexion PPTP.

Succursale à la demande

Les succursales de Portland et de Dallas de la société Electronic sont connectées au siège social au moyen de connexions VPN de routeur à routeur à la demande. Les bureaux de Portland et de Dallas ont peu d’employés, et ceux-ci ont des besoins d’accès ponctuels au siège social. Les routeurs Windows 2000 des bureaux de Portland et de Dallas sont équipés d’une carte RNIS qui appelle un fournisseur de services Internet local pour accéder à Internet, puis une connexion VPN de routeur à routeur s’établit sur Internet. Si la connexion VPN est inactive cinq minutes durant, les routeurs des succursales mettent fin à la connexion VPN.

Le siège social de Dallas utilise l’ID de réseau IP 192.168.28.0 avec le masque de sous-réseau 255.255.255.0. La succursale de Portland utilise l’ID de réseau IP 192.168.4.0 avec le masque de sous-réseau 255.255.255.0.

Pour simplifier la configuration, la connexion VPN est une connexion unilatérale qui est toujours à l’initiative du routeur de la succursale. Pour plus d’informations, reportez-vous à la rubrique intitulée "Connexions à la demande en sens unique” dans l'Aide de Windows 2000 Server.

La figure 3 présente le serveur VPN d’Electronic qui fournit les connexions de succursale à la demande.

 

Serveur VPN d’Electronic qui fournit des connexions de succursales à la demande

Figure 3 Le serveur VPN d’Electronic qui fournit des connexions de succursales à la demande

Pour déployer des connexions VPN de routeur à routeur à la demande en vue de connecter les succursales de Portland et de Dallas au siège social, en fonction des paramètres configurés dans la section intitulée "Configuration commune pour le serveur de réseau privé virtuel (VPN)" de ce livre blanc, les paramètres supplémentaires suivants sont configurés.

Configuration des domaines

Pour la connexion VPN au bureau de Dallas, le compte d’utilisateur VPN_Dallas est créé avec les paramètres suivants :

  • Mot de passe nY7W{q8~=z3.

     
  • Dans les propriétés d’appels entrants du compte VPN_Dallas, l’autorisation d’accès distant est définie sur Contrôler l’accès via la Stratégie d’accès distant et l’itinéraire statique 192.168.28.0 avec le masque de sous-réseau 255.255.255.0 est ajouté.

     
  • Dans les propriétés du compte VPN_Dallas, l’option de compte Le mot de passe n’expire jamais est sélectionnée.

     
  • Le compte VPN_Dallas est ajouté au groupe VPN_Routers.

Pour la connexion VPN au bureau de Portland, le compte d’utilisateur VPN_Portland est créé avec les paramètres suivants :

  • Mot de passe P*4s=wq!Gx1.

     
  • Dans les propriétés d’appels entrants du compte VPN_Portland, l’autorisation d’accès distant est définie sur Contrôler l’accès via la Stratégie d’accès distant et l’itinéraire statique 192.168.4.0 avec le masque de sous-réseau 255.255.255.0 est ajouté.

     
  • Dans les propriétés du compte VPN_Portland, l’option Le mot de passe n’expire jamais est sélectionnée.

     
  • Le compte VPN_Portland est ajouté au groupe VPN_Routers.

Configuration de stratégie d’accès distant

Pour définir les paramètres d’authentification et de cryptage des routeurs VPN, la stratégie d’accès distant suivante est créée :

  • Nom de la stratégie : routeurs VPN.

    Conditions :

    • NAS-Port-Type est défini sur Virtual (VPN)
    • Windows-Groups est défini sur VPN_Routers
    • Called-Station-ID est défini sur 207.46.130.1

       
  • Autorisation est défini sur Accorder l’autorisation d’accès distant.

     
  • Paramètres de profil :

     
  • Onglet Authentification: Protocole d’authentification extensible (EAP) est sélectionné et Carte à puce ou autre certificat est configuré pour utiliser le certificat de poste installé. Authentification cryptée Microsoft version 2 (MS-CHAP v2) est également sélectionné.

     
  • Onglet Cryptage: Cryptage renforcé et Maximal sont les seules options sélectionnées.

Remarque L’option Called-Station-ID est définie sur l’adresse IP de l’interface Internet pour le serveur VPN. Seuls les tunnels lancés à partir d’Internet sont autorisés. Les tunnels lancés à partir de l’intranet d’Electronic ne sont pas autorisés. Les utilisateurs d’Electronic nécessitant l’accès à Internet à partir de l’intranet d’Electronic doivent passer par le serveur proxy d’Electronic (non illustré), où l’accès à Internet est contrôlé et surveillé.

Les sections suivantes décrivent une connexion de succursale à la demande basée sur le protocole PPTP pour le bureau de Dallas, et une connexion de succursale à la demande basée sur le protocole L2TP pour le bureau de Portland.

Succursale à la demande basée sur le protocole PPTP

La succursale de Dallas est une succursale basée sur le protocole PPTP qui utilise un routeur Windows 2000 pour créer une connexion VPN de routeur à routeur, à la demande, avec le serveur VPN de New-York, si nécessaire. Si la connexion est établie et qu’elle reste inactive pendant cinq minutes, elle sera interrompue.

Pour déployer une connexion VPN vers le siège social, de routeur à routeur, à la demande et unilatérale, en fonction des paramètres configurés dans les sections intitulées "Configuration commune pour le serveur de réseau privé virtuel (VPN)" et "Succursale à la demande" de ce livre blanc, les paramètres suivants sont configurés sur le routeur de Dallas.

Interface de connexion à la demande pour connexion au fournisseur de services Internet (ISP)

Pour connecter le routeur du bureau de Dallas à Internet au moyen d’un fournisseur de services Internet local (ISP), une interface de connexion à la demande est créée par le biais de l’Assistant Interface de numérotation à la demande avec les paramètres suivants :

  • Nom de l’interface
    ISP

     
  • Type de connexion
    L’option Se connecter en utilisant un modem, une carte RNIS ou un autre périphérique physique est sélectionnée.

     
  • Sélectionner un périphérique
    Le périphérique RNIS approprié est sélectionné.

     
  • Numéro de téléphone ou adresse
    Numéro de téléphone du fournisseur de services Internet pour le bureau de Dallas.

     
  • Protocoles et sécurité
    La case" Router les paquets IP sur cette interface" est cochée.

     
  • Informations d’identification des appels sortants
    Nom d’utilisateur : nom de compte fournisseur de services Internet du bureau de Dallas
    Mot de passe : mot de passe du compte fournisseur de services Internet du bureau de Dallas

    Confirmer le mot de passe : mot de passe du compte du fournisseur de services Internet du bureau de Dallas

Pour exécuter l’Assistant Interface numérotation à la demande, cliquez avec le bouton droit sur Interfaces de routage, puis sur Nouvelle interface de numérotation à la demande.

Pour connecter le routeur du bureau de Dallas au serveur VPN au moyen d’une connexion VPN de routeur à routeur sur Internet, une interface de connexion à la demande est créée par le biais de l’Assistant Interface de numérotation à la demande avec les paramètres suivants :

  • Nom de l’interface
    CorpHQ

     
  • Type de connexion
    L’option Se connecter en utilisant le réseau privé virtuel (VPN) est sélectionnée.

     
  • Type de VPN
    L’option Protocole Point to Point Tunneling Protocol (PPTP) est sélectionnée.

     
  • Adresse de destination
    207.46.130.1

     
  • Protocoles et sécurité
    La case Router les paquets IP sur cette interface est cochée.

     
  • Informations d'identification des appels sortants
    Nom d’utilisateur : VPN_Dallas
    Domaine : electronic.microsoft.com
    Mot de passe : nY7W{q8~=z3
    Confirmer le mot de passe : nY7W{q8~=z3

Itinéraire statique pour le siège social et les succursales

Pour que tous les emplacements de l’intranet d’entreprise soient accessibles, l’itinéraire statique suivant est configuré :

  • Interface : CorpHQ
  • Destination : 172.16.0.0
  • Masque de réseau : 255.240.0.0
  • Valeur métrique : 1

Pour que toutes les succursales d’Electronic soient accessibles, l’itinéraire statique suivant est configuré :

  • Interface : CorpHQ
  • Destination : 192.168.0.0
  • Masque de réseau : 255.255.0.0
  • Valeur métrique : 1

Itinéraire statique pour le serveur VPN d’Electronic

Pour créer la connexion au fournisseur de services Internet de Dallas quand la connexion VPN de routeur à routeur doit être établie, l’itinéraire statique suivant est configuré :

  • Interface : ISP
  • Destination : 207.46.130.1
  • Masque de réseau : 255.255.255.255
  • Valeur métrique : 1

Filtres de paquets PPTP sur l’interface de connexion à la demande au fournisseur de services Internet

Afin que seul le trafic PPTP soit autorisé sur la connexion à Internet, les filtres de paquets PPTP sont configurés sur l’interface de connexion à la demande au fournisseur de services Internet. Pour plus d’informations, reportez-vous à la procédure de l’annexe A, "Ajouter des filtres de paquets PPTP".

Succursale à la demande basée sur le protocole L2TP

La succursale de Portland est basée sur le protocole L2TP qui utilise un routeur Windows 2000 en vue de créer une connexion VPN de routeur à routeur à la demande avec le serveur VPN de New-york, si nécessaire. Si la connexion est établie et qu’elle reste inactive cinq minutes durant, elle sera interrompue.

Pour déployer une connexion L2TP vers le siège social, unilatérale, à la demande et de routeur à routeur, en fonction des paramètres configurés dans les sections "Configuration commune pour le serveur de réseau privé virtuel (VPN)" et "Succursale à la demande" de ce livre blanc, les paramètres suivants sont configurés sur le routeur de Portland :

Configuration des certificats

Le routeur de Portland a été configuré par l’administrateur réseau d’Electronic alors qu’il était matériellement connecté à l’intranet d’Electronic, puis envoyé au site de Portland. Alors que le routeur de Portland était connecté à l’intranet d’Electronic, un certificat d’ordinateur fut installé à l’aide de l’enregistrement automatique.

Interface de connexion à la demande au fournisseur de services Internet (ISP)

Pour connecter le routeur du bureau de Portland à Internet au moyen d’un fournisseur de services Internet local, une interface de connexion à la demande est créée par le biais de l’Assistant Interface numérotation à la demande avec les paramètres suivants :

  • Nom de l’interface
    ISP

     
  • Type de connexion
    L’option Se connecter en utilisant un modem, une carte RNIS ou un autre périphérique physique est sélectionnée.

     
  • Sélectionner un périphérique
    Le périphérique RNIS approprié est sélectionné.

     
  • Numéro de téléphone ou adresse
    Numéro de téléphone du fournisseur de services Internet pour le bureau de Portland.

     
  • Protocoles et sécurité
    La case Router les paquets IP sur cette interface est cochée.

     
  • Informations d’identification des appels sortants
    Nom d’utilisateur : nom du compte de fournisseur de services Internet (ISP) du bureau de Portland.
    Mot de passe : mot de passe du compte de fournisseur de services Internet (ISP) du bureau de Portland.
    Confirmer le mot de passe : mot de passe du compte de fournisseur de services Internet (ISP) du bureau de Portland.

Pour connecter le routeur du bureau de Portland au serveur VPN au moyen d’une connexion VPN de routeur à routeur sur Internet, une interface de connexion à la demande est créée par le biais de l’Assistant Interface numérotation à la demande avec les paramètres suivants :

  • Nom de l’interface
    CorpHQ

     
  • Type de connexion
    L’option Se connecter en utilisant le réseau privé virtuel (VPN) est sélectionnée.

     
  • Type de VPN
    L’option Protocole L2TP (Layer 2 Tunneling Protocol) est sélectionnée.

     
  • Adresse de destination
    207.46.130.1

     
  • Protocoles et sécurité
    La case Router les paquets IP sur cette interface est cochée.

     
  • Informations d’identification des appels sortants
    Nom d’utilisateur : VPN_Portland
    Domaine : electronic.microsoft.com
    Mot de passe : P*4s=wq!Gx1
    Confirmer le mot de passe : P*4s=wq!Gx1

Itinéraire statique pour le siège social et les succursales

Pour que tous les emplacements de l’intranet d’entreprise soient accessibles, l’itinéraire statique suivant est configuré :

  • Interface : CorpHQ
  • Destination : 172.16.0.0
  • Masque de réseau : 255.240.0.0
  • Valeur métrique : 1

Pour que tous les emplacements des succursales d’Electronic soient accessibles, l’itinéraire statique suivant est configuré :

  • Interface : CorpHQ
  • Destination : 192.168.0.0
  • Masque de réseau : 255.255.0.0
  • Valeur métrique : 1

Itinéraire statique pour le serveur VPN d’Electronic

Pour créer la connexion au fournisseur de services Internet (ISP) quand la connexion VPN de routeur à routeur doit être établie, l’itinéraire statique suivant est configuré :

  • Interface : ISP
  • Destination : 207.46.130.1
  • Masque de réseau : 255.255.255.255
  • Valeur métrique : 1

Filtres de paquets L2TP sur IPSec sur l’interface de connexion à la demande au fournisseur de services Internet (ISP)

Afin que seul le trafic L2TP sur IPSec soit autorisé sur la connexion à Internet, les filtres de paquets L2TP sur IPSec sont configurés sur l’interface de connexion à la demande au fournisseur de services Internet (ISP). Pour plus d’informations, reportez-vous à la procédure de
Page Up Updated 24 septembre, 2003 Hervé Chaudret
C.N.R.S.

-   Home   -  News   -   Conseils   -   Sécurité   -   Mise à jour   -   Liens   -   Accès   -

 C.N.R.S.