Manuel du propriétaire | ZyXEL PRESTIGE 652HW Manuel utilisateur

Prestige 652H/HW
Routeur ADSL sécurisé/LAN sans fil
Guide de prise en main
Version 3.40
Mai 2003
Prestige 652H/HW
Sommaire
1
2
3
4
5
6
Présentation du Prestige ........................................................................................................... 3
Matériel...................................................................................................................................... 3
2.1
Connexions sur le panneau arrière ...................................................................................... 4
2.2
Insertion d’une carte de LAN sans fil PCMCIA ................................................................. 5
2.3
Voyants du panneau avant .................................................................................................. 6
Configuration de l’adresse IP de votre ordinateur ................................................................ 7
3.1
Windows 2000/NT/XP........................................................................................................ 8
3.2
Vérification/mise à jour de l’adresse IP de votre ordinateur ............................................... 9
3.3
Test de la connexion au Prestige ......................................................................................... 9
Configuration de votre Prestige ............................................................................................... 9
4.1
Accès à votre Prestige via Configurateur Web.................................................................... 9
4.2
Boutons courants des commandes d’écrans ...................................................................... 11
4.3
Accès Internet à l’aide de l’assistant ................................................................................. 11
4.4
Tester votre connexion Internet......................................................................................... 17
Configuration avancée ............................................................................................................ 17
5.1
Configuration du LAN sans fil.......................................................................................... 17
5.2
Configuration de la sécurité LAN sans fil......................................................................... 20
5.3
Configuration de l’authentification IEEE 802.1X............................................................. 21
5.4
A propos de la base locale de données utilisateurs et le RADIUS .................................... 22
5.5
Aperçu de la traduction d'adresses réseau ......................................................................... 24
5.6
Configuration du serveur SUA.......................................................................................... 25
5.7
A propos du Firewall......................................................................................................... 26
5.8
Configuration du Firewall ................................................................................................. 27
5.9
Configuration des adresses d’expéditeur et de destination................................................ 31
5.10 A propos de VPN .............................................................................................................. 32
5.11 Fenêtre sommaire .............................................................................................................. 33
5.12 Configuration des règles VPN........................................................................................... 35
5.13 Visualisation du moniteur SA ........................................................................................... 40
5.14 perçu de l’UPnP ................................................................................................................ 41
5.15 Configuration de l’UPnP................................................................................................... 42
Dépannage ............................................................................................................................... 43
2
Prestige 652H/HW
1 Présentation du Prestige
Le routeur ADSL Prestige 652H/HW est le périphérique multifonctions idéal pour la connexion de
petits réseaux à Internet via ADSL. Les fonctionnalités clés du Prestige sont les suivantes : firewall,
VPN, LAN sans fil, NAT, administration à distance et UPnP. Reportez-vous à votre Manuel
d’utilisation pour plus de détails sur toutes les fonctionnalités du Prestige.
Vous devez posséder un compte Internet déjà configuré et avoir reçu la plupart des informations
suivantes.
INFORMATIONS COMPTE INTERNET
L’adresse IP du WAN de votre périphérique (si donnée) : __________________
L’adresse IP du serveur DNS (si donnée) : Primaire________________, Secondaire_______________
VPI (Virtual Path Identifier) Identificateur de trajet virtuel : ____________
VCI (Virtual Channel Identifier) Identificateur de voie virtuelle : ____________
Multiplexage (basé sur VC ou LLC) :
VC
LLC
Encapsulation :
RFC 1483
ENET ENCAP
Adresse IP de la passerelle de l’encapsulation Ethernet : ____________________
PPPoA
Nom d'utilisateur : ____________
PPPoE
Nom du service : ____________
Nom d'utilisateur : ____________
2 Matériel
3
Mot de passe : ____________
Mot de passe : ____________
Prestige 652H/HW
2.1 Connexions sur le panneau arrière
Figure 1 Connexions matérielles du Prestige
Tableau 1 Description du panneau arrière du Prestige
INDICATION
DESCRIPTION
1.
DSL
Connexion à une prise de téléphone à l'aide du câble téléphonique fourni.
2.
LAN 1/DMZ-4
Connexion à un ordinateur / un hub externe à l'aide du câble Ethernet.Connection du
port DMZ aux serveurs que vous voulez faire visible de l'extérieur.
3.
POWER
Connexion à une source d'alimentation à l'aide du adaptateur secteur approprié
(consultez votre manuel d'utilisation).
Une fois les connexions établies, branchez le bloc d’alimentation à la prise et appuyez sur le bouton
d’alimentation pour activer le Prestige.
Le voyant PWR s’allume. Le voyant SYS clignote pendant les tests système et s’allume en continu si les tests
sont réussis. Un voyant LAN s’allume si un port LAN est correctement connecté.
Interrupteur
Connectez juste ce port si vous souhaitez configurer le Prestige en utilisant le SMT via le
4
Prestige 652H/HW
Tableau 1 Description du panneau arrière du Prestige
INDICATION
CON/AUX
DESCRIPTION
port console ou paramétrer une connexion WAN de secours; reportez-vous au Guide
d’Utilisateur pour plus de détails.
Positionnez cet interrupteur sur “CON” pour utiliser le port CON/AUX comme un port
console pour la configuration et la gestion locales du routeur. Connectez un embout du
câble console de 9 broches mâle sur le port console du Prestige et l’autre embout sur
un port série (COM1, COM2 ou autre port COM) de votre ordinateur. Votre ordinateur
doit être équipé d’un logiciel de communication (tel que HyperTerminal) configuré en:
émulation de terminal VT100, aucune parité, 8 bits de données, 1 bit d’arrêt, aucun
contrôle de flux et vitesse du port de 9600 bps.
Positionnez cet interrupteur sur “AUX” pour utiliser le port CON/AUX comme une
connexion WAN auxiliaire de secours. Utilisez le convertisseur CON/AUX intégré, avec
le câble console pour connecter le port CON/AUX à votre modem ou TA.
RESET
Vous ne devez utiliser ce bouton que si vous avez oublié le mot de passe du Prestige. Il
rétablit les paramètres par défaut du Prestige (le mot de passe est 1234, l’adresse IP du
LAN 192.168.1.1 etc.; reportez-vous au Manuel d’utilisation pour plus de détails).
2.2 Insertion d’une carte de LAN sans fil PCMCIA
Vous avez besoin d’une carte PCMCIA de LAN sans fil série ZyAIR pour ajouter des
fonctionnalités facultatives du LAN sans fil.
1. Eteignez le Prestige.
Ne jamais insérer ou retirer une carte LAN sans fil lorsque le Prestige est
en marche.
2. Recherchez l’emplacement portant l’indication LAN sans fil sur le Prestige.
3. Avec son connecteur à broches face à l’emplacement et le côté du voyant face vers le haut,
glissez la carte du LAN sans fil ZyAIR dans l’emplacement.
Ne jamais forcer, plier ou tordre la carte du LAN sans fil dans
l’emplacement.
4. Mettez en marche le Prestige. Le voyant WLAN doit s’allumer.
5
Prestige 652H/HW
2.3 Voyants du panneau avant
Figure 2 Panneau avant du Prestige
Reportez-vous au tableau suivant pour plus de descriptions détaillées sur les voyants.
Tableau 2 Description des voyants du panneau avant
VOYANT
COULEUR
PWR
Vert
SYS
LAN
1/DMZ-4
DESCRIPTION
Allumé
Le Prestige est alimenté.
Éteint
Le Prestige n’est pas alimenté.
Allumé
Le Prestige fonctionne correctement.
Clignotant
Le Prestige redémarre.
Éteint
Le système n'est pas prêt ou n’a pas fonctionné correctement.
Rouge
Allumé
L’alimentation du Prestige est trop basse.
Vert
Allumé
La connexion Ethernet de 10 Mbps au Prestige fonctionne
correctement.
Clignotant
Le Prestige envoie/reçoit des données.
Éteint
La connexion Ethernet au Prestige n’atteint pas 10 Mbps.
Allumé
La connexion Ethernet de 100 Mbpsau Prestige fonctionne
correctement.
Clignotant
Le Prestige envoie/reçoit des données.
Éteint
La connexion Ethernet au Prestige n’atteint pas 100 Mbps.
Allumé
La liaison sans fil est prête.
Éteint
La liaison sans fil n'est pas prête ou a échoué.
Clignotant
Le Prestige envoie/reçoit des données via le WLAN.
Allumé
Il y a une problème avec la carte PCMCIA sans fils
Vert
Orange
WLAN
ÉTAT
Vert
Rouge
6
Prestige 652H/HW
Tableau 2 Description des voyants du panneau avant
VOYANT
COULEUR
DSL
Vert
ACT/PPP
CON/AUX
ÉTAT
DESCRIPTION
Allumé
Le Prestige est parfaitement connecté à un DSLAM.
Clignotant
Le Prestige initialise la ligne DLS.
Éteint
La liaison DSL est en panne.
Allumé
Le Prestige est connecter en PPP(PPPOA ou PPPOE)
Clignotant
Le Prestige envoie/reçoit des données.
Éteint
Le système est prêt mais n’envoie/ne reçoit pas de données.
Vert
Clignotant
Le Prestige envoie/reçoit des données.non-PPP
Verte
Off
Le lien CON/AUX n’est pas prêt,
On
L’interrupteur CON/AUX est positionné sur CON :mode console.
Off
Le lien CON/AUX n’est pas prêt, ou a échoué.
On
L’interrupteur CON/AUX est positionné sur AUX et le port CON/AUX a
une connexion Internet via un modem à numérotation automatique.
Orange
Orange
3 Configuration de l’adresse IP de votre
ordinateur
Ignorez cette section si votre ordinateur est déjà configuré pour accepter
une adresse IP dynamique. Ceci est la valeur par défaut pour la plupart des
nouveaux ordinateurs.
Le Prestige est déjà configuré pour assigner à votre ordinateur une adresse IP. Utilisez cette section
pour configurer votre ordinateur afin de recevoir une adresse IP ou lui assigner une adresse IP fixe
dans la plage 192.168.1.2 à 192.168.1.254 avec un masque de sous-réseau de 255.255.255.0. Ceci
est nécessaire pour garantir une communication correcte entre votre ordinateur et le Prestige.
Une carte Ethernet et le protocole TCP/IP doivent être installés sur votre ordinateur. TCP/IP doit
déjà être installé sur les ordinateurs utilisant Windows NT/2000/XP, Macintosh OS 7 et les systèmes
d'exploitation postérieurs.
7
Prestige 652H/HW
3.1 Windows 2000/NT/XP
1.
Dans Windows XP, cliquez sur Démarrer, Panneau de configuration. Dans Windows 2000/NT, cliquez sur
Démarrer, Paramètres, Panneau de configuration.
2.
Dans Windows XP, cliquez sur Connexions réseau.
Dans Windows 2000/NT, cliquez sur Connexions réseau et accès à distance.
3.
Cliquez avec le bouton droit de la souris sur Connexion au réseau local puis cliquez sur Propriétés.
4.
Sélectionnez Protocole Internet (TCP/IP) (dans l'onglet Général dans Win XP), puis cliquez sur Propriétés.
5.
L’écran Propriétés de protocole Internet (TCP/IP) s’affiche
(l'onglet Général dans Windows XP).
- Pour assigner à votre ordinateur une adresse IP dynamique,
cliquez sur Obtenir une adresse IP automatiquement.
Si vous connaissez les adresse(s) IP du serveur DNS, tapezles dans les champs Serveur DNS préféré et/ou Serveur
DNS auxiliaire.
- Pour configurer une adresse IP fixe, cliquez sur Utiliser
l’adresse IP suivante et remplissez les champs Adresse IP
(choisissez-en une de 192.168.1.2 à 192.168.1.254), Masque
de sous-réseau (255.255.255.0) et Passerelle par défaut
(192.168.1.1).
Puis entrez vos adresse(s) IP de serveur(s) DNS dans les
champs Serveur DNS préféré et/ou Serveur DNS auxiliaire.
Si vous disposez de plus de deux serveurs DNS, cliquez sur
Avancé, l’onglet DNS puis configurez-les à l’aide de Ajouter.
6.
Cliquez sur Avancé. Supprimez des passerelles installées
auparavant dans l’onglet Paramètres IP puis cliquez sur OK
pour revenir à l’écran Propriétés de Protocole Internet
(TCP/IP).
7.
Cliquez sur OK pour fermer la fenêtre Propriétés de
Protocole Internet (TCP/IP) .
8.
Cliquez sur OK pour fermer la fenêtre Propriétés de
Connexion au réseau local.
8
Prestige 652H/HW
3.2 Vérification/mise à jour de l’adresse IP de votre
ordinateur
1.
Dans l’ordinateur, cliquez sur Démarrer, (Tous) Programmes, Accessoires puis Invite de commandes.
2.
Dans la fenêtre Invite de commandes, tapez "ipconfig" puis appuyez sur ENTRÉE pour vérifier que
l’adresse IP de votre ordinateur soit dans la plage correcte (192.168.1.2 à 192.168.1.254) avec le masque
de sous-réseau 255.255.255.0. Ceci est nécessaire à la communication avec le Prestige.
Reportez-vous à votre Manuel d’utilisation pour la configuration détaillée des adresses IP dans les
autres systèmes d’exploitation des ordinateurs Macintosh et sous Windows.
3.3 Test de la connexion au Prestige
1.
Cliquez sur Démarrer, (Tous) Programmes, Accessoires puis Invite de commandes.
2.
Dans la fenêtre Invite de commandes, tapez "ping” suivi d’un espace et l’adresse IP du Prestige
(192.168.1.1 est la valeur par défaut).
3.
Appuyez sur ENTRÉE et l’écran suivant s’affiche.
C:\>ping 192.168.1.1
Pinging 192.168.1.1 with 32 bytes of data:
Reply
Reply
Reply
Reply
from
from
from
from
192.168.1.1:
192.168.1.1:
192.168.1.1:
192.168.1.1:
bytes=32
bytes=32
bytes=32
bytes=32
time=10ms
time<10ms
time<10ms
time<10ms
TTL=254
TTL=254
TTL=254
TTL=254
Ping statistics for 192.168.1.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 10ms, Average = 2ms
Votre ordinateur peut désormais communiquer avec le Prestige à l’aide du port LAN.
4 Configuration de votre Prestige
Ce guide de prise en main explique l’utilisation du configurateur Web
uniquement. Reportez-vous à votre manuel d’utilisation pour plus
d’informations d’arrière-plan sur les fonctionnalités du Prestige et la
configuration parmi le SMT (System Management Terminal).
4.1 Accès à votre Prestige via Configurateur Web
1. Lancez votre navigateur Web. Entrez "192.168.1.1" comme adresse de site Web.
9
Prestige 652H/HW
Adresse de site Web.
Figure 3 Saisie de l’adresse IP du LAN de Prestige dans Internet Explorer
2. Une fenêtre Taper un mot de passe réseau s’affiche. Entrez le nom d’utilisateur (“admin” est
la valeur par défaut), mot de passe (“1234” est la valeur par défaut) et cliquez sur OK.
Nom d’utilisateur par
défaut.
Figure 4 Configurateur Web : Ecran Mot de passe
3. Vous devez maintenant apercevoir l’écran Plan du site du configurateur Web.
Cliquez sur Assistant Installation afin d’afficher une série d’écrans pour une première
configuration de votre Prestige.
Cliquez sur un lien sous Configuration avancée pour configurer les paramètres avancés du
Prestige.
Cliquez sur un lien sous Maintenance pour consulter les statistiques de performance du
Prestige, télécharger le microprogramme et sauvegarder, restaurer ou télécharger un fichier
de configuration.
Cliquez sur Déconnexion dans le panneau de navigation après avoir terminé une session
d’administration du Prestige.
10
Prestige 652H/HW
ASSISTANT
Panneau de
navigation
DÉCONNEXION
Figure 5 Configurateur Web : Ecran Plan du site
Le Prestige vous déconnecte automatiquement en cas d’inactivité pendant
cinq minutes; appuyez sur ENTRÉE pour vous reconnecter.
4.2 Boutons courants des commandes d’écrans
Le tableau suivant indique les boutons de commandes courants situés sur bon nombre d’écrans du
configurateur Web.
Précédent
Cliquez sur Précédent pour retourner à l'écran précédent.
Appliquer
Cliquez sur Appliquer pour enregistrer vos modifications dans le Prestige.
Restaurer/Annuler
Cliquez sur Restaurer ou Annuler pour commencer une nouvelle configuration de
cet écran.
4.3 Accès Internet à l’aide de l’assistant
Utilisez les écrans Assistant Installation pour configurer votre système pour les paramètres d’accès
Internet et remplir les champs avec les informations du tableau INFORMATIONS COMPTE
INTERNET.
1. Dans l’écran Plan du site, cliquez sur Assistant Installation pour afficher le premier écran de
l’assistant.
11
Prestige 652H/HW
Dans la zone de liste déroulante Mode,
sélectionnez Routing (par défaut) si votre ISP
permet à plusieurs ordinateurs de partager un
compte Internet. Sinon, sélectionnez Bridge.
Sélectionnez le type d’encapsulation utilisé par
votre ISP dans la zone de liste déroulante
Encapsulation. Les choix varient selon ce que
vous sélectionnez dans le champ Mode.
Sélectionnez la méthode de multiplexage
utilisée par votre ISP dans la zone de liste
déroulante Multiplex.
Entrez les numéros corrects du VPI (Virtual
Path Identifier) et du VCI (Virtual Channel
Identifier) fournis par votre ISP dans les
champs VPI et VCI. Il se peut que ces champs
soient déjà configurés.
Figure 6 Ecran 1 de l’assistant
Cliquez sur Suivant.
2. Le deuxième écran de l’assistant varie selon le mode et le type d’encapsulation utilisés. Tous
les écrans affichés sont en mode routage. Configurez les champs et cliquez sur Suivant pour
continuer.
12
Prestige 652H/HW
Si votre ISP donne le nom de votre
fournisseur de services PPPoE, entrez-le
dans le champ Nom du service.
Entrez le nom d’utilisateur et le mot de
passe exactement comme ils ont été
assignés par votre ISP.
Sélectionnez Obtenir automatiquement
une adresse IP si vous possédez une
adresse IP dynamique; sinon, sélectionnez
Adresse IP fixe et tapez l’adresse IP
assigné par votre ISP dans la zone de texte
ci-dessous.
Sélectionnez Connexion sur demande
lorsque que vous ne voulez pas que la
connexion soit permanente et spécifiez un
délai d’inactivité (en secondes) dans le
champ Délai d’inactivité max.
Figure 7 Connexion Internet avec PPPoE
Sélectionnez Reconnexion automatique lorsque vous voulez que votre connexion soit permanente. Le Prestige
essaiera de rétablir automatiquement la connexion en cas de déconnexion.
Dans la zone de liste déroulante NAT (Traduction d’adresses réseau), sélectionnez Uniquement SUA, Tout
ou Sans. Reportez-vous à la section Traduction d’adresses réseau pour plus d’informations.
Entrez l’adresse IP fournie par votre ISP
dans le champ Adresse IP.
Le champ Adresse IP
n’est pas disponible
pour le mode pont.
Reportez-vous à la figure 7 pour une
description du champ NAT(Traduction
d’adresses réseau).
Figure 8 Connexion Internet avec RFC 1483
13
Prestige 652H/HW
Dans le champ Passerelle ENET ENCAP,
entrez l’adresse IP de la passerelle fournie
par votre ISP.
Reportez-vous à la figure 7 pour d’autres
descriptions de champs.
Figure 9 Connexion Internet avec ENET ENCAP
Reportez-vous à la figure 7 pour les
descriptions de champs.
Les champs Adresse IP
et NAT (Traduction
d’adresses réseau) ne
sont pas disponibles
pour le mode Bridge.
Figure 10 Connexion Internet avec PPPoA
3. Vérifiez les paramètres dans l’écran affiché ensuite. Pour changer les informations du LAN sur
le Prestige, cliquez sur Modifier la configuration LAN. Sinon, cliquez sur Enregistrer les
paramètres pour enregistrer la configuration et passez à l’étape 5.
14
Prestige 652H/HW
Figure 11 Ecran 3 de l’assistant
4. Si vous voulez changer les paramètres LAN de votre Prestige, cliquez sur Modifier la
configuration LAN pour afficher l’écran tel qu’il apparaît ensuite.
15
Prestige 652H/HW
Entrez l'adresse IP de votre Prestige en
notation décimale séparée par des points
dans le champ Adresse IP LAN. Par
exemple, 192.168.1.1 (paramètres par
défaut).
Si vous changez
l’adresse IP LAN du
Prestige, vous devez
utiliser la nouvelle
adresse IP si vous
voulez accéder de
nouveau au
configurateur Web.
Figure 12 Assistant : Configuration LAN
Entrez un masque de sous-réseau en notation décimale séparée par des points dans le champ Masque de
sous-réseau LAN.
Dans la zone de liste déroulante Serveur DHCP, sélectionnez Activé pour permettre à votre Prestige d’assigner
des adresses IP, une passerelle par défaut IP et des serveurs DNS aux systèmes informatiques qui prennent en
charge le client DHCP. Sélectionnez Désactivé pour désactiver le serveur DHCP.
Lors de l’utilisation du serveur DHCP, définissez les éléments suivants :
Spécifiez la première des adresses contiguës du groupe d'adresses IP dans le champ Début du groupe
d’adresse IP.
Spécifiez la taille ou le décompte du groupe d'adresses IP dans le champ Taille du groupe d’adresses IP client.
Entrez les adresse(s) IP des serveur(s) DNS dans les champs Serveur DNS primaire et/ou Serveur DNS
secondaire.
5. Le Prestige teste automatiquement la connexion aux ordinateur(s) connectés aux ports LAN.
Pour tester la connexion entre le Prestige et l’ISP, cliquez sur Démarrer le diagnostic. Sinon,
cliquez sur Revenir au Menu principal pour retourner à l’écran Plan du site.
16
Prestige 652H/HW
Figure 13 Ecran 4 de l’assistant
4.4 Tester votre connexion Internet
Lancez votre navigateur Web et allez à www.zyxel.com. L’accès Internet ne représente que le début.
Reportez-vous au Manuel d’utilisation pour de plus amples informations sur la gamme complète des
fonctionnalités du Prestige. Si vous ne pouvez pas accéder à Internet, ouvrez à nouveau le
configurateur pour confirmer que les paramètres Internet configurés dans l’Assistant Installation
sont corrects.
5 Configuration avancée
Cette section décrit la configuration de certains paramètres avancés du Prestige.
5.1 Configuration du LAN sans fil
Un LAN sans fil (WLAN) offre un système flexible de communications de données que vous
pouvez utiliser pour accéder à différents services (Internet, E-mail, services de l’imprimante, etc.)
sur le réseau câblé sans infrastructure supplémentaire de câblage réseau onéreuse. En effet, un
environnement de LAN sans fil vous permet de rester connecté au réseau câblé tout en vous
déplaçant dans la zone desservie.
L'écran WLAN est disponible seulement si une carte WLAN est installée.
17
Prestige 652H/HW
Pour configurer des paramètres sans fil, cliquez sur Configuration avancée, LAN sans fil puis
cliquez sur la liaison Sans fil.
Figure 14 LAN sans fil : Sans fil
Le tableau suivant décrit les champs dans cet écran.
Tableau 3 LAN sans fil : Sans fil
INDICATION
DESCRIPTION
ESSID
(Extended Service Set IDentity) L’ESSID est un nom unique pour identifier le Prestige dans le
LAN sans fil. Tous les clients sans fil s’associant à un point d’accès (le Prestige) doivent
posséder le même ESSID. Entrez un nom descriptif (jusqu’à 32 caractères ASCII 7 bits
imprimables).
ESSID caché
Sélectionnez Oui pour masquer l’ESSID afin qu’un client sans fil ne puisse pas obtenir l’ESSID
grâce à une recherche passive.
Sélectionnez Non pour afficher l’ESSID afin qu’un client sans fil puisse obtenir l’ESSID grâce à
une recherche passive.
18
Prestige 652H/HW
Tableau 3 LAN sans fil : Sans fil
INDICATION
Canal ID
DESCRIPTION
La plage de fréquences radio utilisée par les appareils sans fil IEEE 802.11b est appelée un
canal. Définissez la fréquence/le canal de fonctionnement selon votre région spécifique.
Sélectionnez un canal dans la zone de liste déroulante. Les PA (points d’accès) adjacents, avec
des zones desservies chevauchantes, doivent utiliser des canaux différents pour réduire la
diaphonie. Ceci se produit lorsque les signaux radio d’autres points d’accès chevauchent et
interfèrent avec un autre facteur susceptible d’affecter la performance.
Seuil RTS/CTS Sélectionnez cette option pour permettre au seuil RTS (Request To Send) Demande
d’émission/CTS (Clear To Send) Prêt à émettre de réduire les collisions. Entrez une valeur entre
0 et 2432. La valeur par défaut est 2432.
La demande d’émission est le seuil (nombre d’octets) pour permettre l’établissement de liaison
RTS/CTS. Les données avec une taille de trame supérieure à cette valeur effectuent
l’établissement de liaison RTS/CTS. La définition de cet attribut pour qu’il soit supérieur à la
taille maximum de MSDU (MAC Service Data Unit) désactive l’établissement de liaison
RTS/CTS.
Seuil de
fragmentation
Le seuil de fragmentation est la taille du fragment de données maximum pouvant être envoyée.
Encryptage
WEP
WEP (Wired Equivalent Privacy) crypte les trames de données avant de les transmettre sur le
réseau sans fil.
Sélectionner Désactiver permet la communication entre tous les ordinateurs sans fil et les
points d’accès sans cryptage de données.
Sélectionnez WEP 64 bits ou WEP 128 bits puis configurez les clés dans les champs fournis
pour activer le cryptage des données.
Clé 1 à clé 4
Les clés WEP sont utilisées pour crypter les données. Le Prestige et les clients sans fil doivent
utiliser la même clé WEP pour la transmission des données.
Si vous choisissez WEP 64 bits, entrez 5 caractères (chaîne ASCII) ou 10 caractères
hexadécimaux ("0-9", "A-F").
Si vous choisissez WEP 128 bits, entrez 13 caractères (chaîne ASCII) ou 26 caractères
hexadécimaux ("0-9", "A-F").
Ne sélectionnez qu’une clé à activer n’importe quand.
19
Prestige 652H/HW
Les clients sans fil et le Prestige doivent utiliser le même ESSID, la même
identification de canal et clé de encryptage WEP (si WEP est activé) pour
une communication sans fil.
5.2 Configuration de la sécurité LAN sans fil
Pour une sécurité supplémentaire, configurez votre Prestige de sorte à vérifier l’adresse MAC de
l’appareil du client sans fil avec une liste d’adresses MAC autorisées ou refusées.
Pour configurer la liste des adresses MAC pour le LAN sans fil, cliquez sur Configuration avancée
dans le panneau de navigation, Sans fil puis cliquez sur la liaison Filtre MAC.
Figure 15 LAN sans fil : Filtre Adresse MAC
20
Prestige 652H/HW
Le tableau suivant décrit les champs dans cet écran.
Tableau 4 LAN sans fil : Filtre d'adresses MAC
CHAMP
Activer
DESCRIPTION
Sélectionnez Oui dans la zone de liste déroulante pour permettre le filtrage des adresses MAC.
Définissez l’action du filtre pour la liste des adresses MAC dans le tableau Adresse MAC.
Sélectionnez Refuser l’association pour bloquer l’accès au routeur ; les adresses MAC non
listées auront l’accès autorisé au routeur.
Action
Sélectionnez Autoriser l’association pour permettre l’accès au routeur ; les adresses MAC non
listées auront l’accès refusé au routeur.
Adresse MAC
5.3
Entrez la liste des adresses MAC dans ce tableau.
Configuration de l’authentification IEEE 802.1X
Vous pouvez paramétrer le Prestige et votre réseau pour identifier un client sans fil avant que le
client sans fil puisse communiquer avec le Prestige et le réseau câblé auquel le Prestige est connecté.
Votre Prestige supporte le standard IEEE 802.1x qui fonctionne avec IEEE 802.11 pour améliorer
l’authentification d’utilisateur.
Pour changer les paramètres de l’authentification de votre Prestige, cliquez sur
LAN sans fil
802.1x , La fenêtre s’ouvre, comme indiqué.
Figure 16 Authentification 802.1X du LAN sans fil
Le tableau suivant décrit les champs de cette fenêtre.
21
Prestige 652H/HW
Tableau 5 Authentification 802.1X du LAN sans fil
ETIQUETTE
Activer
DESCRIPTION
Sélectionnez Authentification requise,acces non autorisé,aucune Authentification
requise à partir de la zone de liste déroulante.
Sélectionnez Authentification requise pour identifier tous les clients sans fil avant qu’il
puisse accéder au réseau câblé.
Sélectionnez ,aucune Authentification requise pour permettre à tous les clients sans
fil d’accéder à votre réseau sans fil sans authentification.
Sélectionnez accès non autorisé pour interdire tous les clients sans fil d’accéder à
votre réseau câblé.
Période de réauthentification
Précisez l’intervalle de temps entre lequel l’authentification du serveur RADIUS vérifie
les utilisateurs sans fil connectés au réseau.
Ce champ est activé seulement si vous sélectionnez le contrôle d’authentification en
Auto.
Bases de données
d'authentification
Ce champ n'est activé que lorsque vous sélectionnez Authentification requise dans le
champ Contrôle de port sans fil.
Sélectionnez Base de données des utilisateurs locale uniquement pour que le
Prestige vérifie juste la base de données des utilisateurs intégrée au Prestige pour le
nom d'utilisateur et le mot de passe d'un client.
Sélectionnez Uniquement RADIUS pour que le Prestige vérifie juste la base de
données des utilisateurs sur le serveur RADIUS spécifié.
Sélectionnez BD locale d'abord puis RADIUS pour que le Prestige vérifie d'abord la
base de données des utilisateurs du Prestige pour le nom d'utilisateur et le mot de
passe d'un client. Si aucune correspondance n'est trouvée, la base de données des
utilisateurs sur le serveur RADIUS spécifié est alors vérifiée.
Sélectionnez RADIUS d'abord puis BD locale pour que le Prestige vérifie d'abord la
base de données des utilisateurs sur le serveur RADIUS spécifié pour le nom
d'utilisateur et le mot de passe d'un client. Si aucune correspondance n'est trouvée, la
base de données des utilisateurs sur le Prestige est alors vérifiée.
5.4
A propos de la base locale de données utilisateurs et
le RADIUS
Le EAP est un protocole d’authentification destiné d’origine à parcourir la trame PPP (Point-toPoint Protocol) afin de supporter les multiples types de l’authentification d’utilisateur. Le RADIUS
est basé sur un modèle client-seveur qui supporte l’authentification, l’autorisation et la répartition.
Le point d’accès (Prestige) est le client et le serveur RADIUS. Le RADIUS est un simple échange
22
Prestige 652H/HW
de paquets sur lequel votre Prestige agit comme des messages différés entre le client sans fil et le
serveur RADIUS du réseau. Afin d’assurer la sécurité du réseau, le point d’accès et le serveur
RADIUS utilisent une clé secrète partagée, laquelle est un mot de passe, que tous les deux
connaissent. La clé n’est pas envoyée via le réseau. En plus de la clé partagée, l’information
échangée du mot de passe est aussi cryptée pour protéger le réseau de l’accès non autorisé. En
utilisant le EAP pour interagir avec un serveur RADIUS compatible EAP, le point d’accès aide un
client sans fil et un serveur RADIUS de réaliser l’authentification mutuelle.
Pour identifier les utilisateurs sans fil sans interaction sur un serveur RADIUS du réseau, vous
pouvez stocker localement les profiles des utilisateurs.
Le Prestige vérifie premièrement la base locale de données utilisateurs, puis il utilise la base de
données utilisateurs sur le serveur RADIUS pour identifier les clients sans fil. Pour changer la liste
locale des utilisateurs de votre Prestige, cliquez sur LAN SANS FIl, puis sur l’onglet Utilisateur
local de la base de données.
Si vous activez l’authentification EAP, vous devez préciser la base locale de données utilisateurs ou
le serveur externe pour l’authentification de l’utilisateur distant. Pour paramétrer la base locale de
données utilisateurs de votre Prestige, cliquez sur LAN sans fil
Base de données des
utilisateurs locaux.
Figure 17 Base de données des utilisateurs locaux
Pour paramétrer le serveur RADIUS de votre Prestige, cliquez sur LAN sans fil
23
RADIUS
Prestige 652H/HW
Figure 18 RADIUS
5.5
Aperçu de la traduction d'adresses réseau
NAT (Network Address Translation - NAT, RFC 1631) est la traduction de l’adresse IP d’un hôte
dans un paquet. Par exemple, l’adresse source d’un paquet sortant, utilisée à l’intérieur d’un seul
réseau, devient une adresse IP différente connue dans un autre réseau.
Si vous possédez une seule adresse IP publique, sélectionnez Uniquement SUA dans l’écran
NAT-Mode (voir Figure 16). Si vous disposez de plusieurs adresses IP publiques, vous pouvez
utiliser tous les types de mises en correspondance (reportez-vous au manuel d’utilisateur pour plus
de détails).
NAT prend en charge cinq types de mises en correspondance IP/port. Ce sont :
1.
Une adresse sur une : Le mode Une adresse sur une permet de faire correspondre une
adresse IP locale avec une adresse IP globale. Notez que les numéros de ports ne changent
pas pour un type de mise en correspondance NAT Une adresse sur une.
2.
Plusieurs adresses sur une : Le mode Plusieurs adresses sur une permet de faire
correspondre plusieurs adresses IP locales avec une adresse IP globale.
3.
Plusieurs adresses sur plusieurs partagées : Le mode Plusieurs adresses sur plusieurs
partagées permet de faire correspondre plusieurs adresses IP locales avec des adresses IP
globales partagées.
4.
Plusieurs adresses sur plusieurs univoques : Le mode Plusieurs adresses sur plusieurs
univoques permet de faire correspondre une adresse IP locale avec des adresses IP globales
uniques.
24
Prestige 652H/HW
5.
5.6
Serveur : Ce type vous permet de spécifier des serveurs intérieurs de différents services
derrière le NAT accessibles au monde extérieur.
Configuration du serveur SUA
Une table de correspondance du serveur SUA est une liste des serveurs (derrière NAT sur le LAN)
intérieurs, par exemple, Web ou FTP, que vous pouvez montrer au monde extérieur même si SUA
fait apparaître l’ensemble de votre réseau intérieur comme un ordinateur unique au monde extérieur.
1. Dans le menu principal, cliquez sur Configuration avancée puis sur NAT pour afficher l’écran
NAT - Mode. Sélectionnez Uniquement SUA.
Figure 19 NAT: Mode
2. Cliquez sur Modifier les détails.
25
Prestige 652H/HW
Figure 20 Serveur SUA/NAT
Le tableau suivant décrit les champs dans cet écran.
Tableau 6 Serveur SUA/NAT
INDICATION
DESCRIPTION
Nº de port de
début
Tapez un numéro de port dans ce champ. Pour router uniquement un port, tapez à nouveau
le numéro du port dans le champ Port de fin. Pour router une série de ports, tapez le
numéro du port de début ici et le numéro de port de fin dans le champ Port de fin.
Nº de port de
fin
Tapez un numéro de port dans ce champ. Pour router uniquement un port, tapez le numéro
du port dans le champ Port de début ci-dessus puis tapez-le à nouveau dans ce champ.
Pour router une série de ports, tapez le numéro du dernier port dans une série qui
commence par le numéro de port dans le champ Port de début.
Adresse IP
Entrez l’adresse IP du serveur intérieur ici.
5.7
A propos du Firewall
Le firewall du Prestige est un firewall stateful inspection et il est destiné pour protéger contre les
attaques DoS (Denial of Service) lorsqu’il est activé. Le but de Prestige est de permettre à un LAN
(Local Area Network) privé de rester en sécurité pendant les connexions à l’Internet. Le Prestige
peut être utilisé pour empêcher le vol, la destruction et la modification des données, aussi bien le
26
Prestige 652H/HW
journal d’événements qui peut être important pour la sécurité de votre réseau. Le Prestige a aussi la
fonction du filtrage de paquets.
Une fois activé, le firewall autorise tout le trafic vers l’Internet qui provient du LAN, et bloque tout
le trafic vers le LAN qui provient de l’Internet. Autrement dit, le Prestige:
Permettra toutes les sessions en provenance du LAN vers le WAN
Bloquera toutes les sessions en provenance du WAN vers le LAN
Les règles LAN-to-WAN sont les règles du firewall de réseau local vers l’Internet. Par défaut, c’est
de faire suivre tout le trafic de votre réseau local vers l’Internet.
La figure suivante illustre une application de firewall du Prestige.
Figure 21 Application de firewall du Prestige
5.8 Configuration du Firewall
Cliquez sur AVANCE et puis sur FIREWALL pour ouvrir la fenêtre Config. Validez (ou activez)
le firewall en cochant la case Activer le Firewall comme indiqué dans la fenêtre suivante.
27
Prestige 652H/HW
Figure 20 Activer le Firewall
De Menu Principale cliquez sur Configuration avancée puis Firewall et pour ouvrir la fenêtre
Sommaire des règles pour LAN vers WAN ou WAN vers LAN vous aurez la fenêtre suivante.
28
Prestige 652H/HW
Tableau 7 Écran Récapitulatif
ETIQUETTE
DESCRIPTION
L'action par défaut
pour les paquets
ne correspondent
pas aux règles
Utilisez les options pour sélectionner si Bloquer (supprimer) ou Autoriser (permettre le
passage de) les paquets qui se déplacent dans la direction sélectionnée
Journal
d'autorisation par
défaut
Cochez cette case pour créer un log (quand l’action citée ci-dessus est engagée) des
paquets qui se déplacent dans la direction sélectionnée et ne correspondent à aucune
des règles citées au-dessous.
Les champs suivants en lecture seule résument les règles que vous avez créé pour appliquer au trafic circulant
dans la direction sélectionnée des paquets. Les règles de firewall que vous configurez (résumées ci-dessous)
prennent la priorité sur les configurations des actions générales de firewall citées ci-dessus.
No.
C’est le numéro de règle de votre firewall. Le classement de vos règles est important car
les règles sont appliquées à tour de rôle. Le champ Déplacer ci-dessous vous permet de
rénuméroter vos règles.
Adresse de source
Cette zone de liste déroulante affiche les adresses sources ou les plages des adresses
auxquelles cette règle de firewall s’applique. Veuillez noter qu’un champ vide de l’adresse
source ou de destination est équivalent à Any.
Adresse de
destination
Cette zone de liste déroulante affiche les adresses de destination ou les plages des
adresses auxquelles cette règle de firewall s’applique. Veuillez noter qu’un champ vide de
l’adresse source ou de destination est équivalent à Any.
Type de service
Cette zone de liste déroulante affiche les services auxquels cette règle de firewall
s’applique. Veuillez noter qu’un champ vide du type de services est équivalent à Any.
Action
C’est l’action spécifiée pour cette règle-là, soit Bloquer, soit Autoriser. Notez que
Bloquer signifie que le firewall supprime discrètement le paquet.
Journal
Ce champ vous affiche si un journal est créé pour les paquets qui correspondent à la
règle (Match), ne correspondent pas à la règle (Not Match), tous les deux (Both) ou
aucun journal n’est créé (None).
Réorganiser les
règles
Sélectionnez le numéro de règle de votre firewall pour lequel vous voulez établir un
classement. Cliquez sur Déplacer pour déplacer la règle vers le numéro que vous avez
tapé. Le classement de vos règles est important car elles sont appliquées par ordre de
leur numérotation.
vers le numéro
Choisissez le nombre que vous voulez déplacer la règle à.
Déplacer
Le deplacement de la règle
Suivez ces instructions pour créer une nouvelle règle.
1.
Dans l'écran récapitulatif, cliquez sur un numèro, L'écran d'édition règle s'ouvre.
2.
Dans la zone de texte Services disponibles, sélectionnez les services que vous voulez.
Configurez les ports personnalisés pour les services non prédéfinis par le Prestige en
29
Prestige 652H/HW
cliquant sur les boutons Ajouter ou Editer au-dessous de Port personnalisé. Pour une
liste complète des numéros de ports et de services, visitez le site web de l’IANA
(Internet Assigned Number Authority)..
3.
Configurez Adresse de source et Adresse de destination pour la règle
Figure 21 Création/Edition d’une règle de firewall
Le tableau suivant décrit les champs de cette fenêtre.
Tableau 8 Création/Edition d’une règle de firewall
ETIQUETTE
Adresse de source
DESCRIPTION
Cliquez sur Ajouter source pour ajouter une nouvelle adresse, sur Editer source
pour éditer une adresse existante ou sur Supprimer source pour supprimer une
adresse. Reportez-vous au chapitre suivant pour plus d’informations sur l’ajout et
l’édition des adresses sources..
30
Prestige 652H/HW
Tableau 8 Création/Edition d’une règle de firewall
ETIQUETTE
DESCRIPTION
Adresse de destination
Cliquez sur Ajouter dest pour ajouter une nouvelle adresse, sur Editer dest pour
éditer une adresse existante ou sur Supprimer dest pour supprimer une adresse.
Reportez-vous au chapitre suivant pour l’ajout et l’édition des adresses de
destination.
Services
Mettez en surbrillance un service dans la liste Services disponibles à gauche, puis
cliquez sur >> pour l’ajouter à la liste de Services sélectionnés à droite. Pour
déplacer un service, mettez le en surbrillance dans la liste Services sélectionnés à
droite, puis cliquez sur <<.
Services
disponibles/sélectionnés
Modifier le service
disponible
Cliquez sur ce bouton pour actualiser cette fenêtre que vous utilisez pour configurer
un nouveau service personnalisé qui ne se situe pas dans la liste de services
prédéfinis.
Action pour les paquets
correspondants
Que les paquets qui correspondent à cette règle soient bloqués ou autorisés? Faites
votre choix dans la zone de liste déroulante. Notez que Block signifie que le firewall
supprime discrètement le paquet.
Log
Cochez cette case pour les paquets qui correspondent à cette règle.
Alerte
Cochez la case Alerte pour déterminer que cette règle-là génère une alerte lorsque
la règle est adaptée.
Supprimer
Sélectionnez un service personnalisé (indiqué par une “*”) dans la liste Services
disponibles et cliquez sur ce bouton pour déplacer le service.
5.9
Configuration des adresses d’expéditeur et de
destination
Pour ajouter une nouvelle adresse d’expéditeur ou de destination, cliquez sur Ajouter source ou
Ajouter dest dans l’écran suivant. Pour éditer une adresse existante d’expéditeur ou de destination,
sélectionnez-en dans la case et cliquez sur Editer source ou Editer dest dans l’écrant suivant.
L’une ou l’autre action affiche la fenêtre suivante.
31
Prestige 652H/HW
Figure 22 Ajouter/Editer les adresses d’expéditeur et de destination
Le tableau suivant décrit les champs de cette fenêtre.
Tableau 9 Ajouter/Editer les adresses d’expéditeur et de destination
ETIQUETTE
DESCRIPTION
Type d’adresse
Voulez-vous que votre règle soit appliqué aux paquets avec une adresse IP particulière
(unique), une plage des adresses IP (par ex., de 192.168.1.10 à 192.169.1.50), un sousréseau ou aucune adresse IP? Sélectionnez une option dans la zone de liste déroulante.
Adresse IP du
début
Entrez ici l’adresse IP unique ou l’adresse IP de début dans une plage.
Adresse IP de la
fin
Entrez ici l’adresse de fin dans une plage.
Masque de sousréseau
Entrez ici le masque de sous-réseau, si applicable.
5.10 A propos de VPN
Un VPN (Virtual Private Network) fournit des communications sécurisées entre les sites sans les
frais pour les lignes spécialisées site-à-site. Un VPN sécurisé est une combinaison de tunnel, de
cryptage, d’authentification, d’accès contrôlé et de technologies/services de vérification, utilisée
pour l’acheminement du trafic sur Internet ou sur n’importe quel autre réseau manquant de sécurité
qui utilisent l’ensemble de protocoles TCP/IP pour la communication.
La figure suivante fournit un exemple d’une application de VPN.
32
Prestige 652H/HW
Figure 23 Application de VPN
5.11 Fenêtre sommaire
Les adresses IP locales et distantes doivent être statiques.
Cliquez sur Configuration AVANCE VPN Configuration pour ouvrir la fenêtre
Sommaire. C’est un menu en lecture seule de vos règles IPSec (tunnels).
Editez ou créez une règle IPSec en cliquant sur le numéro de règle pour configurer les sous-menus
associés
33
Prestige 652H/HW
Figure 24 Sommaire de VPN
Le tableau suivant décrit les champs de cette fenêtre.
Tableau 10 Sommaire de VPN
ETIQUETTE
DESCRIPTION
No
Le nombre indice de règle VPN
Nom
Ce champ affiche le nom d’identification pour cette règle VPN.
Activer
Ce champ affiche laquelle des règles VPN est active ou inactive. Yes signifie que cette
règle VPN est active. No signifie que cette règle VPN n’est pas active.
Adresse locale
C’est la(les) adresse(s) IP d’ordinateur(s) sur votre réseau local derrière votre Prestige.
La même adresse IP (statique) est affichée deux fois lorsque le champ Type d’adresse
locale dans l’écran Configure-IKE (ou Manual) est configuré en Single Address.
Les adresses IP de début et de fin (statiques), dans l’ensemble des stations sont
affichées lorsque le champ Type d’adresse locale dans l’écran Configure-IKE (ou
Manual) est configuré en Range Address.
Une adresse IP (statique) et un masque de sous-réseau est affiché lorsque le champ
Type d’adresse locale dans l’écran Configure-IKE (ou Manual) est configuré en
Subnet Address.
34
Prestige 652H/HW
Tableau 10 Sommaire de VPN
ETIQUETTE
Adresse distante
DESCRIPTION
C’est la(les) adresse(s) IP d’ordinateur(s) sur le réseau distanat derrière un routeur
distant IPSec.
Ce champ affiche N/A lorsque le champ Adresse du pont sécurisé affiche 0.0.0.0.
Dans ce cas, seulement le routeur distant IPSec peut lancer le VPN.
La même adresse IP (statique) est affichée deux fois lorsque le champ Type d’adresse
distante dans l’écran Configure-IKE (ou Manual) est configuré en Single Address.
Les adresses IP de début et de fin (statiques), dans l’ensemble des stations sont
affichées lorsque le champ Type d’adresse distante dans l’écran Configure-IKE (ou
Manual) est configuré en Range Address.
Une adresse IP (statique) et un masque de sous-réseau sont affichés lorsque le champ
Type d’adresse distante dans l’écran Configure-IKE (ou Manual) est configuré en
Subnet Address.
Encap.
Ce champ affiche le mode Tunnel ou Transport (La sélection par défaut est “Tunnel”).
Algorithme IPSec
Ce champ affiche les protocoles de sécurité utilisés pour un SA.
Tous les deux AH et ESP augmentent les conditions de traitement de Prestige et le
temps d’attente de communications (délai).
Adresse IP de la
passerelle distant
C’est l’adresse IP WAN statique ou l’URL du routeur distant IPSec. Ce champ affiche
0.0.0.0 lorsque vous configurez le champ Adresse du pont sécurisé dans l’écran
Configure-IKE en 0.0.0.0.
5.12 Configuration des règles VPN
Cliquez sur le numéro de règle pour éditer les règles VPN.
35
Prestige 652H/HW
Figure 25 IKE VPN
Le tableau suivant décrit les champs de cette fenêtre.
36
Prestige 652H/HW
Tableau 11 IKE VPN
ETIQUETTE
DESCRIPTION
Activer
Cochez cette case pour activer ce tunnel VPN. Cette option détermine si une règle
VPN est appliquée avant qu’un paquet traverse le firewall.
Connexion Fixe
Sélectionnez soit Yes soit No dans la zone de liste déroulante.
Sélectionnez Yes pour faire que le Prestige réinitialise automatiquement le SA après
que la durée de vie de SA arrive au bout de son délai, même s’il n’y a aucun trafic. Le
routeur distant IPSec doit aussi resté activé en ordre que cette caractéristique
fonctionne.
Nom
Tapez jusqu’à 32 caractères pour identifier cette règle VPN. Vous pouvez utiliser
n’importe quel caractère, incuant les espaces, mais le Prestige élimine les espaces à
droite.
Gestion de clé
Sélectionnez IKE ou Manual Key dans la zone de liste déroulante. Le IKE fournit plus
de protection, donc il est en général recommandé. Le Manual Key est une option utile
pour le dépannage.
Mode négotiation
Sélectionnez Main ou Aggressive dans la zone de liste déroulante. Les multiples
connexions SA via une passerelle sécurisée doivent avoir le même mode de
négociation.
Local
Les adresses IP locales doivent être statiques et correspondre aux adresses IP
distantes configurées dans le routeur distant IPSec.
Les deux SA actifs peuvent avoir la même adresse IP locale ou distante, mais pas les
deux. Vous pouvez configurez les multiples SA entre les mêmes adresses IP locales et
distantes, aussi longtemps que seulement un soit actif en tout temps.
Type d’adresse
Utilisez le menu déroulant pour choisir Single Address, Range Address, ou Subnet
Address. Sélectionnez Single Address pour une adresse IP unique. Sélectionnez
Range Address pour une plage spécifique des adresses IP. Sélectionnez Subnet
Address pour préciser les adresses IP sur un réseau par leur masque de sous-réseau.
Adresse IP de
départ
Lorsque le champ Type d’adresse est configuré en Single Address, entrez une
adresse IP (statique) sur le LAN derrière votre Prestige. Lorsque le champ Type
d’adresse est configuré en Range Address, entrez l’adresse IP de début (statique),
dans un ensemble de stations sur votre LAN derrière votre Prestige. Lorsque le champ
Type d’adresse est configuré en Subnet Address, c’est une adresse IP (statique) sur
le LAN derrière votre Prestige.
Fin/Masque de
sous-réseau
Lorsque le champ Type d’adresse est configuré en Single Address, ce champ est
N/A. Lorsque le champ Type d’adresse est configuré en Range Address, entrez
l’adresse IP de fin (statique), dans un ensemble de stations sur votre LAN derrière votre
Prestige. Lorsque le champ Type d’adresse est configuré en Subnet Address, c’est
un masque de sous-réseau sur le LAN derrière votre Prestige.
37
Prestige 652H/HW
Tableau 11 IKE VPN
ETIQUETTE
Distant
DESCRIPTION
Les adresses IP distantes doivent être statiques et correspondre aux adresses IP
locales configurées dans le routeur distant IPSec. Les champs distants ne sont pas
appliqués lorsque le champ Adresse du pont sécurisé est configuré en 0.0.0.0. Dans
ce cas, seulement le routeur distant IPSec peut lancer le VPN.
Les deux SA actifs ne peuvent pas avoir la(les) même(s) adresse(s) IP locale(s) et
distante(s). Les deux SA actifs peuvent avoir la même adresse IP locale ou distante,
mais pas les deux. Vous pouvez configurez les multiples SA entre les mêmes adresses
IP locales et distantes, aussi longtemps que seulement un soit actif en tout temps.
Type d’adresse
Utilisez le menu déroulant pour choisir Single Address, Range Address, ou Subnet
Address. Sélectionnez Single Address avec une adresse IP unique. Sélectionnez
Range Address pour une plage spécifique des adresses IP. Sélectionnez Subnet
Address pour préciser les adresses IP sur un réseau par leur masque de sous-réseau.
Adresse IP de
départ
Lorsque le champ Type d’adresse est configuré en Single Address, entrez une
adresse IP (statique) sur le réseau derrière le routeur distant IPSec. Lorsque le champ
Type d’adresse est configuré en Range Address, entrez l’adresse IP de début
(statique), dans l’ensemble de stations sur le réseau derrière le routeur distant IPSec.
Lorsque le champ Type d’adresse est configuré en Subnet Address, entrez une
adresse IP (statique) sur le réseau derrière le routeur distant IPSec.
Fin/Masque de
sous-réseau
Lorsque le champ Type d’adresse est configuré en Single Address, ce champ est
N/A. Lorsque le champ Type d’adresse est configuré en Range Address, entrez
l’adresse IP de fin (statique), dans l’ensemble de stations sur le réseau derrière le
routeur distant IPSec. Lorsque le champ Type d’adresse est configuré en Subnet
Address, entrez un masque de sous-réseau sur le réseau derrière le routeur distant
IPSec.
Type ID local
Sélectionnez IP pour identifier ce Prestige par son adresse IP.
Sélectionnez DNS pour identifier ce Prestige par un nom de domaine.
Sélectionnez E-mail pour identifier ce Prestige par une adresse e-mail.
Contenu
Lorsque vous sélectionnez IP dans le champ Type ID local, tapez l’adresse IP de votre
ordinateur ou laisser le champ vide pour avoir le Prestige qu’il utilise automatiquement
sa propre adresse IP.
Lorsque vous sélectionnez DNS dans le champ Type ID local, tapez un nom de
domaine (jusqu’à 31 caractères) par lequel ce Prestige sera identifié.
Lorsque vous sélectionnez E-mail dans le champ Type ID local, tapez une adresse email (jusqu’à 31 caractères) par laquelle ce Prestige sera identifié.
Le nom de domaine ou l’adresse e-mail que vous utilisez dans le champ Contenu sont
utilisés seulement pour l’identification et non pas besoin d’avoir un nom de domaine ou
une adresse e-mail réels.
38
Prestige 652H/HW
Tableau 11 IKE VPN
ETIQUETTE
Mon adresse IP
DESCRIPTION
Entrez l’adresse IP WAN de votre Prestige. Le Prestige utilise son adresse IP WAN
actuelle (statique ou dynamique) dans l’établissement du tunnel VPN si vous laissez ce
champ en 0.0.0.0.
Le tunnel VPN doit être reconstruit, si cette adresse IP change.
Type ID
d’homologues
Sélectionnez IP pour identifier le routeur distant IPSec par son adresse IP.
Sélectionnez DNS pour identifier le routeur distant IPSec par un nom de domaine.
Sélectionnez E-mail pour identifier la routeur distant IPSec par une adresse e-mail.
Contenu
Lorsque vous sélectionnez IP dans le champ Type ID d’homologues, tapez l’adresse
IP de la station avec laquelle vous allez créer la connexion VPN, ou laissez ce champ
vide pour que le Prestige utilise automatiquement l’adresse dans le champ Pont
sécurisé.
Lorsque vous sélectionnez DNS dans le champ Type ID d’homologues, tapez un nom
de domaine (jusqu’à 31 caractères) pour identifier le routeur distant IPSec.
Lorsque vous sélectionnez E-mail dans le champ Type ID d’homologues, tapez une
adresse e-mail (jusqu’à 31 caractères) pour identifier le routeur distant IPSec.
Le nom de domaine ou l’adresse e-mail que vous utilisez dans le champ Contenu sont
utilisés seulement pour l’identification et non pas besoin d’avoir un nom de domaine ou
une adresse e-mail réels. Le nom de domaine aussi ne doit pas correspondre à
l’adresse IP du routeur distant ou à celui-ci que vous configurez dans le champ
Adresse du pont sécurisé ci-dessous.
Adresse de la
passerelle VPN
distante
Tapez l’adresse IP WAN ou l’URL (jusqu’à 31 caractères) du routeur IPSec avec qui
vous créez la connexion VPN. Paramétrez ce champ en 0.0.0.0 si le routeur distant
IPSec a une adresse IP WAN dynamique (le champ Gestion de clé doit être paramétré
en IKE).
Mode
d’encapsulation
Sélectionnez le mode Tunnel ou le mode Transport dans la zone de liste déroulante.
ESP
Sélectionnez l’ESP si vous voulez utiliser l’ESP (Encapsulation Security Payload). Le
protocole ESP (RFC 2406) fournit le cryptage aussi bien que la plupart des services
offerts par AH. Si vous sélectionnez l’ESP ici, vous devez sélectionner les options dans
les champs Algorithme d’encryptage et Algorithm d’autentification (décrits cidessous).
39
Prestige 652H/HW
Tableau 11 IKE VPN
ETIQUETTE
Algorithme
d’encryptage
DESCRIPTION
Sélectionnez DES, 3DES ou NULL dans la zone de liste déroulante.
Lorsque le DES est utilisé pour les communications des données, l’émetteur et le
récepteur doivent connaître tous les deux la même clé secrète qui peut être utilisée
pour crypter et déscripter le message ou générer et vérifier un code d’authentification
du message. L’algorithme de cryptage DES utilise une clé de 56-bit. Le triple DES
(3DES) est une variation de DES qui utilise une clé de 168-bit. En conséquence, le
3DES est plus sécurisé que le DES. Il demande aussi plus de puissance pour le
traitement, entraînant le temps d’attente et la baisse du débit. Sélectionnez NULL pour
paramétrer un tunnel sans le cryptage. Lorsque vous sélectionnez NULL, vous n’entrez
pas une clé de cryptage.
Algorithme
d’authentification
Sélectionnez SHA1 ou MD5 dans la zone de liste déroulante. Le MD5 (Message Digest
5) et le SHA1 (Secure Hash Algorithm) sont les algorithmes dispersés utilisés pour
identifier les données du paquet. L’algorithme SHA1 est en général considéré comme
plus puissant que le MD5, mais il plus lent. Sélectionnez MD5 pour la sécurité minimale
et SHA-1 pour la sécurité maximale.
AH
Sélectionnez AH si vous voulez utiliser l’AH (Authentication Header Protocol). Le
protocole AH (RFC 2402) était destiné pour l’intégrité, l’authentification, l’intégrité
sequentiel (réinsération de résistance), et non-répudiation, mais pas pour la
confidentialité, pour laquelle l’ESP était destiné. Si vous sélectionnez AH ici, vous
devez sélectionner les options dans le champ Algorithme d’authentification (décrit cidessous).
Algorithme
d’authentification
Sélectionnez SHA1 ou MD5 dans la zone de liste déroulante. Le MD5 (Message Digest
5) et le SHA1 (Secure Hash Algorithm) sont les algorithmes dispersés utilisés pour
identifier les données du paquet. L’algorithme SHA1 est en général considéré comme
plus puissnt que le MD5, mais plus lent. Sélectionnez MD5 pour la sécurité minimale et
SHA-1 pour la sécurité maximale.
Clé pré-partagée
Tapez votre clé pré-partagée dans ce champ. Une clé pré-prépartagée identifie un
correspondant pendant une phase 1 de négociation IKE. Elle est appelée "prépartagée" parce que vous devez la partager avec l’autre partie avant que vous puissiez
communiquer avec elle via une connexion sécurisée. Les multiples SA qui se
connectent via une passerelle sécurisée, doivent avoir la même clé pré-partagée.
Avancé
Cliquez sur Avancé pour configurer les paramètres plus détaillés de la gestion de votre
clé IKE.
5.13 Visualisation du moniteur SA
Une Association de sécurité (SA) est un groupe des paramètres de sécurité relatif à un tunnel VPN
spécifique. Cet écran affiche les connexions VPN actives. Utilisez Actualiser pour afficher les
connexions VPN actives. Cet écran est en lecture seul.
Dans le programme de configuration par web, cliquez sur AVANCE VPN et sur l’onglet
Surveillance pour visualiser les Associations de sécurité (SA).
40
Prestige 652H/HW
Figure 26 Surveillance
Lorsqu’il y a du trafic sortant, mais pas du trafic entrant, le SA arrive
automatiquement au bout de son délai dans deux minutes. Un tunnel sans
trafic sortant ou entrant est "au repos" et n’arrive pas au bout de son délai
jusqu’à ce que la période de durée de vie de SA n’expire pas.
5.14 perçu de l’UPnP
Universal Plug and Play (UPnP) est une norme de réseau ouverte répartie qui utilise TCP/IP pour
une connectivité réseau simple de nœuds distants entre des périphériques. Un périphérique UPnP
peut dynamiquement entrer dans un réseau, obtenir une adresse IP, transférer ses fonctionnalités et
apprendre d’autres périphériques du réseau. A son tour, un périphérique peut quitter un réseau
discrètement et automatiquement lorsqu’il n’est plus utilisé.
Tous les périphériques activés par UPnP peuvent communiquer librement entre eux sans
configuration supplémentaire. Désactivez UPnP si ceci n’est pas votre intention.
Windows ME et Windows XP prennent en charge UPnP. Reportez-vous au site Web de Microsoft
pour plus d’informations sur d’autres systèmes d’exploitation de Microsoft.
41
Prestige 652H/HW
S’assurer d’appliquer le correctif de sécurité UPnP de Microsoft avant
d’activer la fonctionnalité UPnP. Se reporter au site Web de Microsoft.
5.15 Configuration de l’UPnP
Cliquez sur Configuration avancée puis sur UPnP pour afficher l’écran UPnP.
Figure 29 UPnP
Le tableau suivant décrit les champs dans cet écran.
Tableau 12 UPnP
CHAMP
DESCRIPTION
Activer le service UPnP
(Universal Plug and Play)
Cochez cette case pour activer UPnP. Gardez à l’esprit que n’importe qui peut
utiliser une application UPnP pour afficher l’écran de connexion du configurateur
sans taper l’adresse IP du Prestige (bien que vous devez toujours taper le mot
de passe pour accéder au configurateur Web).
Permettre aux utilisateurs de
modifier la configuration à
travers le UPnP
Cochez cette case pour permettre aux applications activées par UPnP de
configurer automatiquement le Prestige de sorte qu’elles puissent communiquer
via le Prestige, par exemple en utilisant NAT Transversal. Les applications UPnP
réservent automatiquement un port de routage NAT afin de communiquer avec
un autre périphérique activé par UPnP ; cela vous évite de configurer
manuellement le routage des ports pour l’application activée par UPnP.
Permettre au UPnP de
passer à travers de Firewall
Cochez cette case pour créer une règle qui permet l’acheminement des ports
1900 et 80. Cette case cochée crée aussi une règle de firewall dynamique
chaque fois qu’un port d’acheminement de NAT est réservé à l’UPnP.
Ce paramètre reste actif jusqu’à ce que vous désactiviez l’UPnP ou décochez
cette case.
Décochez cette case pour avoir le firewall qui bloque tous les paquets de
l’application de UPnP (par exemple, paquets MSN) à la place de créer une règle
de firewall pour eux.
42
Prestige 652H/HW
6 Dépannage
Tableau 13 Dépannage
PROBLÈME
ACTION CORRECTIVE
Aucun des voyants
ne s'allume lorsque
vous activez le
Prestige.
Vérifiez que l’adaptateur secteur correct soit bien connecté au Prestige et branché à une
source d'alimentation appropriée. Vérifiez toutes les connexions de câbles.
Impossible d’accéder
au Prestige depuis le
LAN.
Vérifiez la connexion des câbles entre le Prestige et votre ordinateur ou concentrateur.
Reportez-vous à la section Matériel pour plus de détails.
Si les voyants ne s’allument pas, il s'agit probablement d'un problème matériel. Dans ce
cas, contactez votre revendeur local.
Envoyez une requête Ping au Prestige depuis un ordinateur de LAN. Assurez-vous que
la carte réseau Ethernet de votre ordinateur soit installée et fonctionne correctement.
Impossible d’envoyer
la requête ping vers
tout ordinateur du
LAN
Si les voyants du LAN sont tous éteints, vérifiez la connexion des câbles entre le
Prestige et vos ordinateurs sur le LAN.
Impossible d’envoyer
la requête ping vers
tout ordinateur du
WLAN
Assurez-vous que la carte sans fil soit correctement insérée dans le Prestige et que le
voyant WLAN soit allumé.
Vérifiez que l’adresse IP, le masque de sous-réseau du Prestige et les ordinateurs sur le
LAN se trouvent dans la même plage d’adresses IP.
Assurez-vous que la carte sans fil sur le client sans fil fonctionne correctement.
Vérifiez que le Prestige et les client(s) sans fil utilisent le même ESSID, canal et clés
WEP (si le cryptage WEP est activé).
Impossible d’obtenir
une adresse IP WAN
auprès de l’ISP
Vérifiez vos paramètres de l'encapsulation, du multiplexage et VPI/VCI (référez-vous à la
section 4.3).
Vous avez besoin d'un nom d'utilisateur et d'un mot de passe si vous utilisez
l'encapsulation PPPoE ou PPPoA. Assurez-vous que vous avez correctement entré le
Nom de service (Encapsulation PPPoE uniquement), le Nom d'utilisateur et le Mot de
passe (le nom d'utilisateur et le mot de passe sont les cas sensible). Référez-vous à la
section 4.3 pour plus d'information.
L'adresse IP WAN est fournie une fois que l’ISP a vérifié l'adresse MAC, l'hôte et
l'identification de l'utilisateur. Découvrez la méthode de vérification utilisée par votre ISP
et configurez les champs correspondants.
Si l’ISP vérifie l’identification de l’utilisateur, vérifiez votre type de service, nom
d’utilisateur et mot de passe dans l’écran WAN.
Impossible d’accéder
à Internet.
Vérifiez les paramètres de la connexion Internet dans l’écran WAN.
Assurez-vous d’avoir entré le nom d’utilisateur et mot de passe corrects.
Vérifiez que le Prestige et les client(s) sans fil utilisent le même ESSID, canal et clés
WEP (si le cryptage WEP est activé).
43