Mode d'emploi | Cisco Small Business RV Series Routers Manuel utilisateur

Guide d'administration du routeur RV160x
Première publication : 2018-03-07
Dernière modification : 2019-10-13
Americas Headquarters
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, CA 95134-1706
USA
http://www.cisco.com
Tel: 408 526-4000
800 553-NETS (6387)
Fax: 408 527-0883
LES SPÉCIFICATIONS ET INFORMATIONS SUR LES PRODUITS PRÉSENTÉS DANS CE MANUEL PEUVENT ÊTRE MODIFIÉES SANS PRÉAVIS. TOUTES LES DÉCLARATIONS,
INFORMATIONS ET RECOMMANDATIONS PRÉSENTÉES DANS CE MANUEL SONT PRÉSUMÉES EXACTES, MAIS SONT OFFERTES SANS GARANTIE D'AUCUNE SORTE,
EXPRESSE OU IMPLICITE. LES UTILISATEURS SONT ENTIÈREMENT RESPONSABLES DE L'UTILISATION QU'ILS FONT DES PRODUITS.
LA LICENCE LOGICIELLE ET LA GARANTIE LIMITÉE DU PRODUIT SE TROUVENT DANS LA DOCUMENTATION ENVOYÉE AVEC LE PRODUIT ET SONT INTÉGRÉES
À LA PRÉSENTE DOCUMENTATION, PAR RÉFÉRENCE. SI VOUS NE TROUVEZ PAS LA LICENCE LOGICIELLE NI LA GARANTIE LIMITÉE, CONTACTEZ VOTRE
CONSEILLER CISCO POUR EN OBTENIR UNE COPIE.
Les informations suivantes concernent la conformité FCC des périphériques de classe A : Cet équipement a été testé et déclaré conforme aux spécifications pour un périphérique numérique
de classe A, établies dans la partie 15 des réglementations FCC. L'objectif de ces normes est de fournir une protection raisonnable contre toute interférence nuisible lorsque l'équipement est
utilisé dans un environnement commercial. Cet équipement génère, utilise et peut émettre de l'énergie à hautes fréquences nuisible et, s'il n'est pas installé et utilisé selon le manuel d'instruction,
peut provoquer des interférences gênantes pour les communications radio. L'utilisation de cet équipement dans une zone résidentielle est susceptible de provoquer des interférences nuisibles.
Dans ce cas, il incombe aux utilisateurs de corriger les interférences à leurs frais.
Les informations suivantes concernent la conformité FCC des périphériques de classe B : Cet équipement a été testé et déclaré conforme aux spécifications pour un périphérique numérique
de classe B, établies dans la partie 15 des réglementations FCC. L'objectif de ces normes est de fournir une protection raisonnable contre toute interférence nuisible dans une installation
résidentielle. Cet équipement génère, utilise et peut émettre de l'énergie à hautes fréquences nuisible et, s'il n'est pas installé et utilisé selon les instructions, peut provoquer des interférences
gênantes pour les communications radio. Il ne peut toutefois être garanti qu'une installation spécifique ne causera aucune interférence. Si cet équipement provoque des interférences gênantes
pour la réception des ondes de radio ou de télévision, détectables en mettant l'équipement hors tension et sous tension, les utilisateurs peuvent tenter de remédier à ces interférences des façons
suivantes :
• Réorienter ou déplacer l'antenne de réception
• Éloigner l'équipement du récepteur
• Raccorder l'équipement à une prise électrique située sur un circuit différent de celui auquel le récepteur est connecté
• Demander de l'aide à un revendeur ou technicien radio/télévision expérimenté
Toute modification apportée à ce produit sans l'autorisation de Cisco peut annuler l'agrément FCC et vous retirer l'autorisation d'utiliser ce produit.
L'implémentation Cisco de la compression d'en-tête TCP est une adaptation d'un programme développé par l'Université de Californie de Berkeley (UCB), dans le cadre de la version UCB
de domaine public du système d'exploitation UNIX. Tous droits réservés. Copyright © 1981, Regents of the University of California.
PAR DÉROGATION À TOUTE AUTRE GARANTIE, TOUS LES FICHIERS DE DOCUMENT ET LOGICIELS DE CES FOURNISSEURS SONT FOURNIS « EN L'ÉTAT » AVEC
TOUTES LEURS IMPERFECTIONS. CISCO ET LES FOURNISSEURS MENTIONNÉS CI-DESSUS DÉCLINENT TOUTE GARANTIE EXPLICITE OU IMPLICITE Y COMPRIS,
MAIS SANS S'Y LIMITER, TOUTE GARANTIE DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER, D'ABSENCE DE CONTREFAÇON OU TOUTE
AUTRE GARANTIE DÉCOULANT DE PRATIQUES OU DE RÈGLES COMMERCIALES.
EN AUCUN CAS CISCO OU SES FOURNISSEURS NE PEUVENT ÊTRE TENUS RESPONSABLES DES DOMMAGES INDIRECTS, SPÉCIAUX, CONSÉCUTIFS OU ACCESSOIRES,
Y COMPRIS, MAIS SANS S'Y LIMITER, LA PERTE DE PROFITS ET LES PERTES OU DOMMAGES DE DONNÉES DÉCOULANT DE L'UTILISATION OU DE L'INCAPACITÉ
D'UTILISER CE MANUEL, MÊME SI CISCO OU SES FOURNISSEURS ONT ÉTÉ AVISÉS DE LA POSSIBILITÉ DE TELS DOMMAGES.
Toutes les adresses de protocole Internet (IP) et les numéros de téléphone utilisés dans ce document ne prétendent pas représenter des adresses et numéros de téléphone réels. Tous les
exemples, résultats d'affichage de commandes, schémas de topologie de réseau et autres figures compris dans ce document sont donnés à titre indicatif uniquement. Toute utilisation d'adresses
IP ou de numéros de téléphone réels dans un contenu illustratif est involontaire et fortuite.
Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this URL: www.cisco.com
go trademarks. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any
other company. (1721R)
© 2018
Cisco Systems, Inc. Tous droits réservés.
TA B L E D E S M AT I È R E S
CHAPITRE 1
Mise en route 1
Fonctionnalités des routeurs RV160X 1
Mise en route 5
Lancer l'Assistant de configuration 7
Interface utilisateur 8
CHAPITRE 2
État et statistiques 11
Récapitulatif du système 11
Services TCP/IP 14
Trafic sur les ports 14
Statistiques de QoS WAN 15
Afficher les statistiques de QoS de commutation 16
Appareils connectés 16
Table de routage 17
Liaisons DHCP 17
État du réseau VPN 18
Affichage des journaux 20
État du portail captif 20
CHAPITRE 3
Administration 23
Gestion des fichiers 23
Mise à niveau manuelle 24
Mise à jour automatique 24
Mécanisme de reprise automatique du microprogramme 25
Redémarrage 26
Diagnostic 26
Guide d'administration du routeur RV160x
iii
Table des matières
Certificat 27
Importer le certificat 27
Générer un CSR/un certificat 27
Afficher les certificats CA tiers intégrés 28
Gestion de la configuration 28
Copier/enregistrer la configuration 29
CHAPITRE 4
Configuration du système 31
Configuration initiale du routeur 31
Système 33
Heure 33
Journal 34
Serveur de messagerie 35
Syslog Servers distants 36
E-mail 36
Comptes d'utilisateur 37
Service d'authentification à distance 38
Groupes d'utilisateurs 39
Groupes d'adresses IP 40
SNMP 41
Détection Bonjour 42
LLDP 42
Mises à jour automatiques 43
Horaires 43
Gestion des services 44
PnP (Plug and Play) 44
PnP Connect Service 45
Création d'un profil de contrôleur 45
Enregistrement des périphériques 46
CHAPITRE 5
Réseau WAN 47
Paramètres WAN 47
DNS dynamique 50
Transition IPv6 51
Guide d'administration du routeur RV160x
iv
Table des matières
Tunnel IPv6 en IPv4 (6in4) 51
Déploiement IPv6 rapide (6rd) 51
CHAPITRE 6
Réseau local 53
Paramètres des ports 53
Paramètres VLAN 54
Paramètres Option82 56
DHCP statique 57
Configuration 802.1X 58
Annonce de routeur 58
CHAPITRE 7
Sans fil 61
Paramètres de base 61
Sélection bibande simultanée 63
Configuration de la fréquence 2,4 GHz 64
Configuration de la fréquence 5 GHz 65
Paramètres avancés 66
WPS 67
Portail captif 67
Ambassadeur de lobby 69
CHAPITRE 8
Routage 71
Routage statique 71
RIP 72
Proxy IGMP 73
CHAPITRE 9
Pare-feu 75
Paramètres de base 75
Règles d'accès 77
Traduction des adresses réseau 78
NAT statique 79
Redirection de ports 79
Déclenchement de ports 80
NAT conditionnelle 81
Guide d'administration du routeur RV160x
v
Table des matières
Exemples d'utilisation de la fonctionnalité NAT conditionnelle 82
Délai d'expiration de session 85
Hôte DMZ 85
CHAPITRE 10
VPN 87
Assistant de configuration du VPN 87
IPSec VPN 90
Profils IPsec 90
Site à site 92
Connexion VPN site à site 93
Client à site 96
OpenVPN 98
Serveur PPTP 99
Tunnel GRE 100
Intercommunication VPN 101
Allocation des ressources 101
CHAPITRE 11
Sécurité 103
Filtrage de contenu 103
CHAPITRE 12
QoS 105
Classes de trafic 105
Mise en file d'attente WAN 106
Contrôle d'activité WAN 108
Gestion de la bande passante WAN 108
Classification des commutateurs 109
Mise en file d'attente des commutateurs 109
CHAPITRE 13
Documentation connexe 111
Pour en savoir plus 111
Guide d'administration du routeur RV160x
vi
CHAPITRE
1
Mise en route
Cette section explique comment commencer à utiliser l'appareil ; elle comprend les rubriques suivantes :
• Fonctionnalités des routeurs RV160X, à la page 1
• Mise en route, à la page 5
• Lancer l'Assistant de configuration, à la page 7
• Interface utilisateur, à la page 8
Fonctionnalités des routeurs RV160X
Merci d'avoir choisi les routeurs VPN Cisco RV160/RV160W. Ultraperformants, les routeurs VPN Cisco
RV160 et RV160W allient des fonctionnalités professionnelles et des niveaux élevés de sécurité et de fiabilité.
Ces deux modèles sont parfaitement adaptés aux réseaux des petites entreprises et des bureaux à domicile.
• Caractéristiques et avantages
• Le routeur VPN RV160 offre une connectivité filaire
• Le routeur RV160W est un routeur VPN sans fil : 2x2 11ac
• Ports WAN SFP/RJ45
• Commutateur natif à 4 ports
• Ports Gigabit Ethernet hautes performances qui permettent de transférer des fichiers volumineux
entre plusieurs utilisateurs
• Sécurité IP, PPTP et serveur OpenVPN pour assurer la connectivité sécurisée des employés distants
et des différents bureaux
• Sécurité renforcée : pare-feu SPI (inspection dynamique de paquets) éprouvé et cryptage du matériel
• Configuration et utilisation faciles grâce à un Assistant de configuration
• Nouvelle interface utilisateur pour faciliter la configuration et la gestion des appareils
• Conception matérielle actualisée
Spécifications techniques
Guide d'administration du routeur RV160x
1
Mise en route
Fonctionnalités des routeurs RV160X
Description
Spécification
Ethernet WAN
Port Gigabit RJ45/SFP
Ethernet LAN
4 Gigabit Ethernet RJ45
Port console
1 RJ45
Commutateur
Marche/Arrêt
Type de câble
CAT5 ou plus récent
Voyants
Alimentation, VPN, WAN, LAN
Système d'exploitation
Linux
Réseau local
VLAN
16
Sécurité des ports
Oui, 802.1X
IPv6
6rd/6in4 à double pile
Réseau WAN
Client DHCP (Dynamic Host Configuration Protocol),
IP statique, PPPoE (Point-to-Point Protocol over
Ethernet), PPTP, L2TP, pont transparent
WLAN
2x2, 11ac sans fil
Sécurité
Pare-feu
Pare-feu SPI (inspection dynamique de paquets)
Redirection et déclenchement de ports
Prévention du déni de service (DoS)
Contrôle d'accès
Listes de contrôle d'accès IP
Gestion sécurisée
HTTPS, complexité nom d'utilisateur/mot de passe
Privilèges des utilisateurs
Deux niveaux d'accès : Administrateur et Invité
Réseau
Guide d'administration du routeur RV160x
2
Mise en route
Fonctionnalités des routeurs RV160X
Description
Protocoles réseau
Spécification
• Serveur DHCP (Dynamic Host Configuration
Protocol)
• PPPoE (Point-to-Point Protocol over Ethernet)
• PPTP (Point-to-Point Tunneling Protocol)
• L2TP (Layer 2 Tunneling Protocol)
• Proxy DNS
• Agent de relais DHCP
• Proxy IGMP et transfert de multidiffusion
• RSTP (Rapid Spanning Tree Protocol)
• Système de noms de domaine (DNS) dynamique
(TZO, DynDNS, 3322.org, NOIP)
• Traduction d'adresses réseau (NAT), traduction
d'adresses de port (PAT)
• NAT un à un
• Gestion des ports
• Mise en miroir des ports
• DMZ configurable par logiciel sur toutes les
adresses IP LAN
• Passerelles de la couche application (ALG) de
protocole d'initiation de session (SIP)
Protocoles de routage
• Routage statique, proxy IGMP
• Routage dynamique
• RIP v1 et v2
• RIP pour IPv6 (RIPng)
• Routage inter-VLAN
Traduction d'adresses réseau (protocole NAT)
Traduction d'adresses de port (PAT), traduction
d'adresses de port réseau (NPAT)
Redirection de ports, NAT un à un, NAT VPN
transversal, Initiation de session (SIP), Passerelle du
niveau application (ALG), FTP ALG
VPN
VPN IPsec passerelle à passerelle
10 tunnels IPSec
VPN IPsec client à passerelle
10 tunnels IPSec
Guide d'administration du routeur RV160x
3
Mise en route
Fonctionnalités des routeurs RV160X
Description
Spécification
VPN IPsec
Prise en charge de IKEv2, GRE, Hub et Spoke
VPN PPTP
10 tunnels VPN PPTP
OpenVPN
Prise en charge du serveur OpenVPN
Cryptage
3DES, AES avec clés 128, 192 et 256 bits
Intercommunication VPN
Intercommunication IPsec/PPTP/L2TP (protocole de
tunneling de couche 2)
Qualité de service
QoS
• Priorité basée sur les ports 802.1p sur le port
LAN, priorité basée sur les applications sur le
port WAN
• 3 files d'attente
• DSCP (Differentiated Services Code Point, point
de code de services différenciés)
• CoS (Class of Service, classe de service)
• Gestion de la bande passante pour la
hiérarchisation des services
Prise en charge des trames Jumbo
Prise en charge des trames Jumbo sur les ports Gigabit
d'au moins 1 536 Go
Performances
Débit NAT
600 Mbit/s
Sessions simultanées
15 000
Débit du VPN IPsec
50 Mbit/s
Configuration
Interface utilisateur Web
Configuration basée sur le navigateur (HTTP/HTTPS)
Gestion
Interface utilisateur Web, SNMP v3, Bonjour,
Universal Plugand Play (UPnP)
Prise en charge de FindIT pour la surveillance et la
gestion
Comptes rendus d'événements
Local, Syslog, alertes par courriel
Diagnostics du réseau
Ping, Traceroute, recherche DNS
Mises à niveau
Possibilité de mettre à niveau le microprogramme via
l'interface utilisateur du navigateur, un fichier importé
ou exporté, une clé USB ou Cisco FindIT
Heure système
NTP, heure d'été, réglage manuel
Spécifications environnementales
Guide d'administration du routeur RV160x
4
Mise en route
Mise en route
Description
Spécification
Alimentation
RV160 : 12 V CC/1,5 A
RV160W : 12 V CC/2 A
Température de fonctionnement
0 °C to 40 °C (32 °F à 104 °F)
Température de stockage
-20 c to 70 °C (-4 °f à 158 °F)
Humidité de fonctionnement
De 10 à 85 % sans condensation
Humidité - stockage
De 5 à 90 % sans condensation
Certifications
Sécurité :
• UL 60950-1
• CAN/CSA-C22.2 No. 60950-1
• IEC 60950-1
• EN 60950-1
Certifications radio :
• FCC Parties 15.247, 15.407
• RSS-210 (Canada)
• EN 300.328, EN 301.893 (Europe)
• AS/NZS 4268.2003 (Australie et
Nouvelle-Zélande)
EMI et sensibilité (Classe B) :
• FCC Part 15.107 et 15.109
• ICES-003 (Canada)
• EN 301.489-1 et -17 (Europe)
Mise en route
Votre périphérique a été configuré en usine avec des paramètres par défaut optimisés pour de nombreuses
PME. En fonction de vos exigences réseau ou de votre fournisseur d'accès à Internet (FAI), il est néanmoins
possible que vous deviez modifier ces paramètres. Vous pouvez pour cela utiliser l'interface Web, c'est-à-dire
Internet Explorer, Firefox ou Safari (pour Mac) sur un ordinateur.
Pour lancer l'interface Web, procédez comme suit :
Étape 1
Raccordez un ordinateur à l'un des ports LAN numérotés sur le périphérique. Si l'ordinateur est configuré pour être
utilisé comme client DHCP, une adresse IP comprise dans la plage 192.168.1.x est attribuée à l'ordinateur. DHCP
automatise le processus d'affectation d'adresses IP, de masques de sous-réseau, de passerelles par défaut et d'autres
Guide d'administration du routeur RV160x
5
Mise en route
Mise en route
paramètres. Il est nécessaire de configurer les ordinateurs afin qu'ils participent au processus DHCP et obtiennent une
adresse. Pour cela, sélectionnez l'option d'obtention automatique d'une adresse IP dans les propriétés TCP/IP de
l'ordinateur.
Étape 2
Ouvrez une fenêtre de navigateur Web.
Étape 3
Dans la barre d'adresses, saisissez l'adresse IP par défaut du périphérique, à savoir 192.168.1.1. Il est possible qu'un
avertissement s'affiche sur le navigateur indiquant que le site Web n'est pas approuvé. Accédez quand même au site
Web.
Étape 4
Lorsque la page de connexion s'affiche, saisissez le nom d'utilisateur et le mot de passe Cisco par défaut (en minuscules).
Étape 5
Cliquez sur Connexion. La page Mise en route s'affiche. Vous pouvez utiliser les liens disponibles sur cette page et
suivre les instructions à l'écran pour configurer rapidement votre appareil réseau.
Remarque Si vous rencontrez des difficultés lors de la connexion à Internet ou à l'interface Web :
• Vérifiez que votre navigateur Web n'est pas configuré pour fonctionner hors connexion.
• Vérifiez les paramètres de connexion au réseau local de votre adaptateur Ethernet. L'ordinateur doit
obtenir une adresse IP via DHCP. L'ordinateur peut en outre disposer d'une adresse IP statique dans la
plage 192.168.1.x avec la passerelle par défaut définie sur 192.168.1.1 (adresse IP par défaut du
périphérique).
• Vérifiez que vous avez saisi les bons paramètres de configuration Internet dans l'Assistant.
• Réinitialisez le modem et le périphérique en les mettant hors tension. Mettez sous tension le modem
sans l'utiliser pendant environ 2 minutes, puis mettez sous tension l'appareil. Vous devriez maintenant
recevoir une adresse IP WAN.
• Si vous possédez un modem ADSL, demandez à votre fournisseur d'accès à Internet de le placer en
mode pont.
Vous pouvez également utiliser un ordinateur sans fil pour configurer les modèles de routeur RV160W et RV260W.
Lorsque le routeur démarre avec les paramètres par défaut définis en usine, un SSID temporaire est activé. Vous pouvez
vous connecter à ce SSID pour configurer le routeur.
Étape 6
Sur un ordinateur, recherchez le SSID et configurez-le comme décrit ci-après. La connexion sans fil est activée et
l'ordinateur obtient l'adresse dans la plage 192.168.1.x.
• CiscoSB-Setup
• Sécurité : WPA2-PSK
• Clé prépartagée : cisco123
• Canal : Automatique
Étape 7
Accédez à la page Lancer l'Assistant de configuration en suivant les étapes 2 à 5. Une fois sur cette page, suivez les
instructions qui s'affichent. Après avoir transmis la configuration à l'Assistant, le SSID est supprimé et la nouvelle
configuration est appliquée.
Remarque Le SSID temporaire (CiscoSB-Setup) est utilisé uniquement pour l'Assistant de configuration initial. Ne
l'utilisez pas pour transférer le trafic. Pour identifier votre SSID, accédez aux paramètres Wi-Fi de l'ordinateur
et recherchez les réseaux Wi-Fi disponibles dans votre plage.
Guide d'administration du routeur RV160x
6
Mise en route
Lancer l'Assistant de configuration
Lancer l'Assistant de configuration
Suivez les instructions de la page Lancer l'Assistant de configuration pour connaître la procédure de
configuration de l'appareil.
Pour ouvrir cette page, sélectionnez Lancer l'Assistant de configuration dans le volet de navigation et suivez
les instructions à l'écran pour continuer. Contactez votre fournisseur d'accès à Internet (FAI) pour obtenir les
informations nécessaires à la configuration de votre connexion Internet.
Lancer l'Assistant de configuration
Configuration initiale du Lien vers la page Configuration initiale du routeur.
routeur
Assistant de
configuration du VPN
Lien vers la page Assistant d'état du VPN.
Configuration initiale
Modifier le mot de passe Lien vers la page Comptes d'utilisateur, où vous pouvez modifier le mot de
de l'administrateur
passe de l'administrateur et configurer un compte invité.
Configurer les
paramètres WAN
Lien vers la page Paramètres WAN, où vous pouvez modifier les
paramètres WAN.
Configurer les
paramètres LAN
Lien vers la page Appartenance VLAN, où vous pouvez configurer le
réseau VLAN.
Accès rapide
Mettre à niveau le
microprogramme du
routeur
Lien vers la page Gestion de fichiers, où vous pouvez mettre à jour le
microprogramme de l'appareil.
Configurer l'accès pour
la gestion à distance
Lien vers la page Pare-feu > Paramètres de base, où vous pouvez activer les
fonctions de base de l'appareil.
Sauvegarder la
configuration des
appareils
Lien vers la page Gestion de la configuration, où vous pouvez gérer la
configuration du routeur.
État du périphérique
Récapitulatif du système Lien vers la page Récapitulatif du système, qui fournit des informations sur la
configuration IPv4 et IPv6, ainsi que sur l'état du pare-feu de l'appareil.
État du réseau VPN
Lien vers la page État du VPN, qui indique l'état des VPN gérés par cet appareil.
Statistiques des ports
Lien vers la page Trafic sur les ports, qui indique l'état des ports de l'appareil
et le trafic sur les ports.
Statistiques de trafic
Lien vers la page Services TCP/IP, qui indique l'état d'écoute des ports de
l'appareil et l'état de la connexion établie.
Afficher le journal
système
Lien vers la page Afficher les journaux, qui répertorie les journaux sur l'appareil.
Guide d'administration du routeur RV160x
7
Mise en route
Interface utilisateur
Interface utilisateur
L'interface utilisateur est conçue pour faciliter la configuration et la gestion des appareils.
Les icônes de la barre d'outils En-tête sont décrites dans le tableau ci-dessous.
Tableau 1 : Options de la barre d'outils En-tête
Icône
Description
Bouton bascule : situé en haut à gauche de l'en-tête, ce bouton vous permet d'afficher
ou de réduire le volet de navigation.
Sélection de la langue : cette liste déroulante permet de sélectionner la langue de
l'interface utilisateur.
Aide : aide en ligne du routeur.
À propos de : version du microprogramme du routeur.
Déconnexion : cliquez sur ce bouton pour vous déconnecter du routeur.
Légende de l'icône
Ce tableau répertorie les icônes les plus courantes de l'interface utilisateur graphique du routeur et leur
signification.
Ajouter : cliquez sur cette icône pour ajouter une entrée.
Modifier : cliquez sur cette icône pour modifier une entrée.
Supprimer : cliquez sur cette icône pour supprimer une entrée.
Actualiser : cliquez sur cette icône pour actualiser les données.
Guide d'administration du routeur RV160x
8
Mise en route
Interface utilisateur
Réinitialiser les compteurs : cliquez sur cette icône pour remettre les compteurs
à zéro.
Cloner : cliquez sur cette icône pour cloner les paramètres.
Exporter : cliquez sur cette icône pour exporter les configurations.
Importer : cliquez sur cette icône pour importer les configurations.
Fenêtres contextuelles
Certains liens et boutons ouvrent des fenêtres contextuelles contenant des informations détaillées ou les pages
de configuration associées. Si un message d'avertissement concernant la fenêtre contextuelle s'affiche sur
votre navigateur Web, autorisez le contenu bloqué.
Guide d'administration du routeur RV160x
9
Mise en route
Interface utilisateur
Guide d'administration du routeur RV160x
10
CHAPITRE
2
État et statistiques
Cette section décrit l'état et les statistiques de l'appareil. Elle comprend les rubriques suivantes :
• Récapitulatif du système, à la page 11
• Services TCP/IP, à la page 14
• Trafic sur les ports, à la page 14
• Statistiques de QoS WAN, à la page 15
• Afficher les statistiques de QoS de commutation, à la page 16
• Appareils connectés, à la page 16
• Table de routage, à la page 17
• Liaisons DHCP, à la page 17
• État du réseau VPN, à la page 18
• Affichage des journaux, à la page 20
• État du portail captif, à la page 20
Récapitulatif du système
La section Récapitulatif du système vous permet d'obtenir une vue instantanée des paramètres définis sur
votre périphérique. Elle fournit des informations sur le microprogramme du périphérique, le numéro de série,
le trafic sur les ports, l'état du routage, les paramètres du serveur VPN et les réseaux mobiles. Pour afficher
la section Récapitulatif du système, cliquez sur État et statistiques > Récapitulatif du système.
Informations système
• Numéro de série : numéro de série de l'appareil.
• Temps de disponibilité du système : durée active (au format aa-mm-jj, heures et minutes) durant laquelle
le périphérique est resté disponible.
• Heure actuelle : date et heure actuelles.
• VID PID : numéro de version du matériel.
• MAC LAN : adresse MAC du réseau LAN.
• MAC WAN : adresse MAC du réseau WAN.
Guide d'administration du routeur RV160x
11
État et statistiques
Récapitulatif du système
Informations sur le microprogramme
• Version du microprogramme : numéro de version du microprogramme installé sur le routeur.
• Somme de contrôle MD5 du microprogramme : valeur utilisée à des fins de validation des fichiers.
• Paramètres régionaux : localisation définie.
• Version linguistique : version linguistique.
• Somme de contrôle MD5 de la langue : valeur utilisée à des fins de validation du fichier de langue.
État des ports
• ID du port : nom défini et numéro de port.
• Interface : nom de l'interface utilisée pour la connexion.
• État : état de la connexion.
• Vitesse : vitesse de la connexion.
IPv4 et IPv6
Les protocoles IPv4 (Internet Protocol version 4) et IPv6 (Internet Protocol version 6) sont des adresses IP
numériques nécessaires pour assurer la communication entre des appareils Internet. Sans adresses IP, les
ordinateurs ne pourraient pas communiquer ni envoyer de données entre eux. Elles sont donc essentielles à
l'infrastructure Web.
Cette section comprend les options suivantes :
• Adresse IP : adresse IP attribuée à l'interface.
• Passerelle par défaut : passerelle par défaut de l'interface.
• DNS : adresse IP du serveur DNS. Un serveur DNS est un serveur informatique contenant une base de
données d'adresses IP publiques et des noms d'hôte associés.
• DNS dynamique : le système de noms de domaine (DNS) dynamique permet de mettre à jour
automatiquement un serveur de noms dans le DNS, souvent en temps réel, avec la configuration DDNS
active des noms d'hôte ou adresses configurés, ou d'autres informations. Cette option permet d'afficher
l'adresse IP du DDNS correspondant à l'interface et d'indiquer si celle-ci est désactivée ou activée.
• Déconnexion : cliquez sur ce bouton pour vous déconnecter.
• Renouveler : cliquez sur cette option pour renouveler l'adresse IP.
Remarque
• Les boutons Connexion et Déconnexion sont disponibles lorsque le type de connexion WAN est PPTP,
L2TP et PPPoE.
• Le réseau WAN est connecté uniquement si vous reconnectez ou modifiez la configuration WAN après
avoir déconnecté la connexion WAN existante.
Guide d'administration du routeur RV160x
12
État et statistiques
Récapitulatif du système
Statut du réseau sans fil
Cette section affiche l'état du réseau sans fil.
• Radio 1 (2,4 G), Radio 2 (5 G) et Activé : bandes indiquant l'adresse MAC, le mode, le canal et la bande
passante, ainsi que les informations correspondantes.
État du réseau VPN
Cette section affiche l'état des tunnels VPN.
• Type : type de tunnel VPN.
• Actif : indique si le VPN est activé (actif) ou pas.
• Configuré : état du tunnel VPN, que ce dernier soit ou pas configuré.
• Nombre maximal pris en charge : nombre maximal de tunnels pris en charge sur l'appareil.
• Connecté : état du tunnel.
État des paramètres du pare-feu
Cette section affiche l'état du pare-feu.
• Inspection dynamique de paquets (SPI) : état du filtre SPI, à savoir Activé ou Désactivé. Les paquets
légitimes sont uniquement autorisés via le pare-feu. Cette fonction est également appelée « filtrage
dynamique des paquets ».
• DoS (Déni de service) : état du filtre DoS, à savoir Activé ou Désactivé. Une attaque DoS est une tentative
de rendre indisponible une ressource d'ordinateur ou de réseau aux utilisateurs concernés.
• Bloquer la requête WAN : cette fonction permet de compliquer l'accès au réseau pour les utilisateurs
extérieurs en masquant les ports réseau des équipements Internet ; elle permet également d'éviter que
d'autres utilisateurs Internet puissent détecter le réseau ou le tester à l'aide de requêtes Ping.
• Gestion à distance : cette fonction indique si une connexion à distance pour gérer l'appareil est autorisée
ou refusée.
• Règle d'accès : cette fonction indique le nombre de règles d'accès ayant été définies.
État des paramètres du journal
Les journaux permettent d'effectuer le suivi de l'activité du routeur, des échecs de processus, des événements
de pare-feu, des connexions et déconnexions aux appareils WAN, des mises à jour DDNS (DNS dynamique),
des états de connexion du réseau VPN, et de nombreux autres événements se produisant sur le routeur. Les
journaux sont très utiles pour surveiller l'état du routeur et résoudre les problèmes d'intégrité à des moments
particuliers.
• Syslog Server : état des journaux système.
• Journaux par e-mail : état des journaux à envoyer par e-mail.
Guide d'administration du routeur RV160x
13
État et statistiques
Services TCP/IP
Services TCP/IP
La page Services TCP/IP fournit des statistiques sur le protocole, les ports et les adresses IP. Pour afficher la
page Services TCP/IP, cliquez sur État et statistiques > Services TCP/IP.
État d'écoute des ports
Cette section affiche l'état des ports ouverts pour recevoir (écouter) les données.
• Protocole : type de protocole utilisé pour la communication.
• Adresse IP d'écoute : l'adresse IP d'écoute indique l'interface sur laquelle elle écoute.
• Port d'écoute : le port d'écoute fait office de terminal dans un système d'exploitation pour divers types
de communications.
État de la connexion établie
Cette section affiche l'état des ports disposant d'une connexion établie.
• Protocole : type de protocole utilisé pour la communication.
• Adresse IP locale : adresse IP du système.
• Port local : ports d'écoute sur les différents services.
• Adresse externe : adresse IP de l'appareil connecté.
• Port externe : port de l'appareil connecté.
• État : état de connexion de la session.
Trafic sur les ports
La page Trafic sur les ports fournit des statistiques et des renseignements sur l'état des interfaces du périphérique.
Pour afficher la page Trafic sur les ports du périphérique, cliquez sur État et statistiques > Trafic sur les
ports.
Trafic sur les ports
• ID du port : identifiant du port.
• Libellé de port : libellé du port.
• État de la liaison : état de l'interface.
• Paquets reçus : nombre de paquets reçus sur le port.
• Octets reçus : nombre de paquets reçus, mesurés en octets.
• Paquets émis : nombre de paquets envoyés sur le port.
• Octets émis : nombre de paquets envoyés, mesurés en octets.
Guide d'administration du routeur RV160x
14
État et statistiques
Statistiques de QoS WAN
• Erreur de paquet : informations concernant les paquets d'erreurs.
Trafic sans fil
• Nom SSID : détails du nom SSID.
• Nom de la radio : nom de la radio.
• État : état du port (p. ex : port activé, désactivé ou déconnecté).
• Nombre de clients associés : nombre de clients associés sur le réseau sans fil.
• Paquets reçus : nombre de paquets reçus.
• Octets reçus : nombre d'octets reçus.
• Paquets émis : nombre de paquets envoyés.
• Octets émis : nombre d'octets envoyés.
• Paquets de multidiffusion : nombre de paquets de multidiffusion.
• Erreur de paquet : nombre d'erreurs de paquets.
• Paquet rejeté : nombre de paquets rejetés.
• Collisions : nombre de collisions.
Cliquez sur le bouton Actualiser pour actualiser les données, ou sur Réinitialiser pour remettre les compteurs
à zéro.
État des ports
• ID du port : nom défini et numéro de port.
• État de la liaison : état de l'interface.
• Activité du port : état du port (p. ex : port activé, désactivé ou déconnecté).
• État du débit : débit (en Mbit/s) de l'appareil après la négociation automatique.
• État du duplex : mode duplex, à savoir Semi-duplex ou Duplex intégral.
• Négociation automatique : état du paramètre de négociation automatique. Lorsque ce paramètre est
activé (Activé), le mode duplex est détecté. Si la connexion nécessite une détection automatique, la
configuration MDI ou MDIX correspondant à l'autre extrémité de la liaison est automatiquement choisie.
Statistiques de QoS WAN
La page Statistiques de QoS WAN contient des statistiques sur la qualité de service (QoS) WAN sortante et
entrante. Pour afficher la page Statistiques de QoS WAN du périphérique, cliquez sur État et statistiques >
Statistiques de QoS WAN.
• Interface : sélectionnez le nom de l'interface dans la liste déroulante.
• Nom de la stratégie : nom de la stratégie.
Guide d'administration du routeur RV160x
15
État et statistiques
Afficher les statistiques de QoS de commutation
• Description : description des statistiques de QoS WAN.
• Effacer les compteurs : option permettant d'effacer les compteurs.
Statistiques de QoS sortante
• File d'attente : nombre de files d'attente sortantes.
• Classe de trafic : nom de la classe de trafic affectée à la file d'attente.
• Paquets envoyés : nombre de paquets sortants de la classe de trafic envoyés.
• Paquets rejetés : nombre de paquets sortants rejetés.
Statistiques de QoS entrante
• File d'attente : nombre de files d'attente entrantes.
• Classe de trafic : nom de la classe de trafic affectée à la file d'attente.
• Paquets transmis : nombre de paquets entrants de la classe de trafic transmis.
• Paquets rejetés : nombre de paquets entrants rejetés.
Afficher les statistiques de QoS de commutation
La page Afficher les statistiques de QoS de commutation présente des statistiques sur le débit d'envoi des
paquets depuis une file d'attente, et sur le débit de rejet des paquets alloués, conformes ou dépassés. Pour
afficher la page Afficher les statistiques de QoS de commutation, cliquez sur État et statistiques > Afficher
les statistiques de QoS de commutation.
• Effacer les compteurs : toutes les statistiques de la table sont réinitialisées.
Réseau local
• File d'attente : nombre de files d'attente sortantes.
• Port : numéro du port.
• Paquets envoyés : nombre de paquets sortants de la classe de trafic envoyés.
Appareils connectés
La page Appareils connectés répertorie tous les appareils connectés sur le routeur. Pour afficher la page
Appareils connectés, cliquez sur État et statistiques > Appareils connectés.
IPv4
• Nom d'hôte : nom de l'appareil connecté.
• Adresse IPv4 : adresse IP de l'appareil connecté.
Guide d'administration du routeur RV160x
16
État et statistiques
Table de routage
• Adresse MAC : adresse MAC de l'appareil connecté.
• Type : type d'adresse IP de l'appareil connecté.
• Interface : interface à laquelle l'appareil est connecté.
• SSID : nom principal attribué à un réseau sans fil.
IPv6
• Nom d'hôte : nom de l'appareil connecté.
• Adresse IPv6 : adresse IPv6 de l'appareil connecté.
• Adresse MAC : adresse MAC de l'appareil connecté.
• Type : type d'adresse IP de l'appareil connecté.
• Interface : interface à laquelle l'appareil est connecté.
• SSID : nom principal attribué à un réseau sans fil.
Table de routage
Le routage est un processus consistant à déplacer les paquets sur un réseau d'un hôte à un autre. L'état de
routage de ce processus s'affiche dans une table de routage. La table de routage contient des informations sur
la topologie du réseau le plus proche. Pour afficher l'état de routage de l'appareil pour IPv4 et IPv6, cliquez
sur État et statistiques > Table de routage.
Routes IPv4 et IPv6
• Destination : adresse IP et masque de sous-réseau de la connexion.
• Saut suivant : adresse IP du saut suivant.
• Nombre de sauts : nombre d'appareils intermédiaires (tels que des routeurs) par lesquels doivent passer
les données entre la source et la destination.
• Interface : nom de l'interface à laquelle la route est liée.
• Source : source de la route.
Liaisons DHCP
La page Liaisons DHCP fournit des renseignements sur l'adresse IP et l'adresse MAC, la durée d'expiration
du bail et le type de liaison (statique ou dynamique). Pour afficher la page Liaisons DHCP du périphérique,
cliquez sur État et statistiques > Liaisons DHCP. Sélectionnez un nom d'hôte dans la liste et cliquez sur
Ajouter au DHCP statique pour ajouter la liaison à la table de liaisons. Cliquez sur l'icône d'actualisation
pour actualiser les données de la table de liaisons.
La table de liaisons DHCP fournit les renseignements suivants :
• Nom d'hôte : nom de l'hôte.
Guide d'administration du routeur RV160x
17
État et statistiques
État du réseau VPN
• Adresse IPv4/IPv6 : adresse IP attribuée à IPv4 ou IPv6.
• Adresse MAC : adresse MAC de l'adresse IP attribuée au client.
• Expiration du bail : durée du bail du système du client.
• Type : état de connexion (Statique ou Dynamique).
• Action : état d'action des liaisons DHCP.
État du réseau VPN
La page État du VPN indique l'état du tunnel des clients site à site, client à site, OpenVPN et PPTP. Pour
afficher la page État du VPN de l'appareil, cliquez sur État et statistiques > État du VPN.
État du tunnel site à site
• Tunnel(s) utilisé(s) : tunnels VPN en cours d'utilisation.
• Tunnel(s) disponible(s) : tunnels VPN disponibles.
• Tunnel(s) activé(s) : tunnels VPN activés.
• Tunnel(s) défini(s) : tunnels VPN définis.
La table des connexions vous permet d'ajouter, de modifier, de supprimer ou d'actualiser un tunnel Vous
pouvez également cliquer sur Sélection des colonnes affichées pour sélectionner les en-têtes de colonne
affichés dans la table des connexions.
État du tunnel GRE
La Table des connexions fournit les informations suivantes :
• Nom de l'interface : nom de l'interface.
• Adresse IP : adresse IP du tunnel GRE.
• Source : source du tunnel GRE.
• Destination : destination du tunnel GRE.
• Activer : option permettant d'activer le tunnel GRE.
• État : état du tunnel GRE.
État du VPN client à site
Dans ce mode, le client Internet se connecte au serveur pour accéder au réseau d'entreprise ou au réseau LAN
derrière le serveur. Pour une connexion sécurisée, vous pouvez implémenter un VPN client à site. Vous pouvez
afficher toutes les connexions client à tunnel, et ajouter, modifier ou supprimer les connexions dans la table
des connexions
La Table des connexions fournit les informations suivantes :
• Nom du groupe/tunnel : nom du tunnel VPN. Cette information sert uniquement de référence et ne
correspond pas au nom utilisé à l'autre extrémité du tunnel.
Guide d'administration du routeur RV160x
18
État et statistiques
État du réseau VPN
• Connexions : état de la connexion.
• Cryptage/authentification/groupe de phase 2 : type de cryptage
(NULL/DES/3DES/AES-128/AES-192/AES-256), méthode d'authentification (NULL/MD5/SHA1) et
numéro de groupe DH (1/2/5) de phase 2.
• Groupe local : adresse IP et masque de sous-réseau du groupe local.
• Action : état d'action.
État du client OpenVPN
OpenVPN est une application logicielle ouverte qui met en œuvre des techniques VPN et qui permet de créer
des connexions point à point ou site à site sécurisées dans les configurations routées ou pontées, et dans les
environnements d'accès à distance. Vous pouvez afficher l'état du client OpenVPN.
La Table des connexions indique l'état du client OpenVPN. Vous pouvez également ajouter, modifier ou
supprimer les connexions.
• ID de session : identifiant de la session.
• Utilisateur : nom de l'utilisateur.
• IP du client (actuel) : adresse IP du client actuel.
• IP du client (VPN) : adresse IP du client VPN.
• Octets émis : nombre d'octets envoyés.
• Octets reçus : nombre d'octets reçus.
• Durée de connexion : durée de la connexion.
• Action : état d'action.
État du tunnel PPTP
Le protocole PPTP (Point-to-Point Tunneling Protocol - protocole de tunneling point à point) permet de crypter
les données sur 128 bits. Il permet d'assurer la sécurisation des messages envoyés d'un nœud VPN à un autre.
• Tunnel(s) utilisé(s) : tunnels PPTP utilisés pour la connexion VPN.
• Tunnel(s) disponible(s) : tunnels disponibles pour la connexion PPTP.
La Table des connexions indique l'état des tunnels établis. Vous pouvez également connecter ou déconnecter
les connexions.
• ID de session : ID de session de la connexion proposée ou en cours.
• Nom d'utilisateur : nom de l'utilisateur connecté.
• Adresse distante : adresse IP de la connexion distante.
• Adresse IP PPTP : adresse IP du client PPTP.
• Durée de connexion : durée du tunneling.
• Action : connexion ou déconnexion du tunnel.
Guide d'administration du routeur RV160x
19
État et statistiques
Affichage des journaux
Affichage des journaux
La page Afficher les journaux affiche tous les journaux du périphérique. Vous pouvez filtrer ces journaux en
fonction de la catégorie, de la gravité ou d'un mot-clé. Vous pouvez en outre actualiser, effacer et exporter
ces journaux vers un ordinateur ou une clé USB. Pour afficher les journaux du périphérique, procédez comme
suit :
Étape 1
Cliquez sur État et statistiques > Afficher les journaux.
Étape 2
Sous Journaux filtrés par, sélectionnez l'option appropriée.
Catégorie
Cliquez sur l'une des options d'affichage suivantes :
• Tous : tous les journaux s'affichent.
• Catégorie : les journaux de la catégorie sélectionnée s'affichent.
Étape 3
Gravité
Sélectionnez l'une des options disponibles pour afficher les journaux en fonction de leur gravité.
Mot-clé
Saisissez un mot-clé pour afficher les journaux correspondants.
Cliquez sur Afficher les journaux.
Remarque Pour configurer les paramètres de journal, reportez-vous à la section Journal, à la page 34.
Étape 4
Cliquez sur l'une des options suivantes :
• Actualiser : cliquez sur cette option pour actualiser les journaux.
• Effacer les journaux : cliquez sur cette option pour effacer les journaux.
• Exporter les journaux vers un ordinateur : cliquez sur cette option pour exporter les journaux vers un ordinateur.
• Exporter les journaux vers une clé USB : cliquez sur cette option pour exporter les journaux vers un périphérique
de stockage USB.
État du portail captif
Pour utiliser le portail captif, les utilisateurs doivent accepter les conditions générales avant de se connecter
à un réseau d'accès Internet public. Les portails captifs sont généralement destinés aux centres d'affaires,
aéroports, hôtels, cafés et autres sites qui offrent des points d'accès Wi-Fi à leurs utilisateurs.
Vous pouvez afficher l'état du portail captif en sélectionnant État et statistiques > État du portail captif.
Sélectionnez ensuite le SSID dans la liste déroulante ; l'état de connexion de l'utilisateur du portail captif
correspondant au SSID sélectionné s'affiche.
• Nom d'utilisateur : nom de l'utilisateur connecté.
• SSID : nom du réseau.
• Adresse IP : adresse IP fournie par le fournisseur d'accès.
Guide d'administration du routeur RV160x
20
État et statistiques
État du portail captif
• Adresse MAC : masque fourni par le fournisseur d'accès.
• Auth. : passerelle par défaut fournie par le fournisseur d'accès.
• Octets émis : nombre de paquets envoyés, mesurés en octets.
• Octets reçus : nombre de paquets reçus, mesurés en octets.
• Temps restant : durée d'utilisation de l'appareil connecté.
• Arrêter les utilisateurs : passerelle par défaut de l'interface.
Vous pouvez cliquer sur Actualiser pour actualiser les données.
Guide d'administration du routeur RV160x
21
État et statistiques
État du portail captif
Guide d'administration du routeur RV160x
22
CHAPITRE
3
Administration
Cette section décrit les fonctions d'administration du périphérique. Elle contient les rubriques suivantes :
• Gestion des fichiers, à la page 23
• Redémarrage, à la page 26
• Diagnostic, à la page 26
• Certificat, à la page 27
• Gestion de la configuration, à la page 28
Gestion des fichiers
La section Gestion de fichiers vous permet d'obtenir une vue instantanée des paramètres définis sur votre
périphérique. Pour afficher les informations de gestion de fichiers, procédez comme suit :
Étape 1
Cliquez sur Administration> Gestion des fichiers pour afficher les informations suivantes :
Informations système
• Modèle de périphérique : numéro de modèle du périphérique.
• VID PID : PID et numéro VID du routeur.
• Version actuelle du microprogramme : version actuelle du microprogramme.
• Dernière version du microprogramme : dernière version du microprogramme.
• Dernière mise à jour du microprogramme : date de la dernière mise à jour du microprogramme.
Fichier de langue
• Version actuelle : version actuelle du fichier de langue sur le périphérique.
Mise à niveau manuelle
La section Mise à niveau manuelle permet de charger et d'effectuer des mises à niveau vers une version plus récente
de l'image du microprogramme ou du fichier de langue.
Guide d'administration du routeur RV160x
23
Administration
Mise à niveau manuelle
Mise en
garde
Étape 2
Lors d'une mise à niveau du microprogramme, n'essayez pas de vous connecter à Internet, n'éteignez pas
l'appareil, n'arrêtez pas l'ordinateur et n'interrompez surtout pas le processus jusqu'au terme de l'opération.
Ce processus prend environ une minute, redémarrage inclus. L'interruption du processus de mise à niveau à
certains moments de l'écriture de la mémoire flash peut l'endommager et rendre le routeur inutilisable.
Si vous choisissez d'appliquer la mise à niveau à partir de la clé USB, le routeur recherche dans la clé USB le fichier
image du microprogramme dont le nom comporte un ou plusieurs des éléments suivants : PID, adresse MAC et numéro
de série. Si la clé USB contient plusieurs fichiers de microprogramme, le routeur sélectionne celui portant le nom le
plus spécifique, notamment en classant les fichiers par ordre de priorité, du nom le plus détaillé au nom le plus simple.
Mise à niveau manuelle
Pour mettre à niveau le routeur vers une version plus récente du microprogramme :
Étape 1
Cliquez sur Administration> Gestion de fichiers.
Étape 2
Dans la section Mise à niveau manuelle, sélectionnez le type de fichier.
Étape 3
Dans la section Mise à niveau depuis, sélectionnez une option (Cisco.com, PC ou USB).
a) Si vous sélectionnez Cisco.com, cliquez sur Mettre à niveau pour mettre à niveau le microprogramme ou sur
Télécharger sur USB pour enregistrer le fichier image du microprogramme.
b) Si vous sélectionnez PC ou USB, cliquez sur Parcourir pour rechercher le fichier du microprogramme sur votre
ordinateur, puis cliquez sur Mettre à niveau.
Étape 4
Activez l'option Rétablir tous les paramètres/la configuration d'usine pour réinitialiser la configuration et appliquer
les paramètres d'usine.
Étape 5
Cliquez sur Mettre à niveau pour charger l'image sélectionnée sur le routeur.
Mise à jour automatique
Le routeur prend en charge le chargement d'un microprogramme à partir d'une clé USB si celle-ci est raccordée
avant le démarrage du système. Le routeur recherche dans la clé USB le fichier image du microprogramme
dont le nom comporte un ou plusieurs des éléments suivants : PID, adresse MAC et numéro de série. Si la
clé USB contient plusieurs fichiers de microprogramme, le routeur sélectionne celui portant le nom le plus
spécifique, notamment en classant les fichiers par ordre de priorité, du nom le plus détaillé au nom le plus
simple.
• PID-MAC-SN.IMG
• PID-SN.IMG
• PID-MAC.IMG
• PID.IMG
Les fichiers portant d'autres noms sont ignorés. Si la version est ultérieure à la version actuelle, elle est mise
à niveau vers ce fichier image et le système redémarre. Après quoi, le processus de mise à niveau recommence.
Si le routeur ne trouve pas de fichier image plus récent dans l'interface USB1, il effectue une recherche dans
l'interface USB2 en suivant la même logique.
Guide d'administration du routeur RV160x
24
Administration
Mécanisme de reprise automatique du microprogramme
Le routeur peut également charger un fichier de configuration à partir d'une clé USB lors du démarrage du
système.
• Cette fonctionnalité est disponible uniquement lorsque le routeur utilise sa configuration d'origine et qu'il
est mis sous tension après le raccordement d'une
clé USB.
• Le routeur recherche dans la clé USB un fichier de configuration dont le nom comporte un ou plusieurs
des éléments suivants : PID,
adresse MAC et numéro de série. Si la clé USB contient plusieurs fichiers de microprogramme, le routeur
sélectionne
celui portant le nom le plus spécifique, notamment en classant les fichiers par ordre de priorité, du nom
le plus détaillé au nom le plus simple.
• PID-MAC-SN.xml
• PID-SN.xml
• PID-MAC.xml
• PID.xml
Les fichiers portant d'autres noms sont ignorés.
*Mécanisme de reprise automatique du microprogramme
Un mécanisme de reprise est disponible pour que le routeur puisse surmonter les pannes lors d'une recherche
directe dans le système de fichiers racine, ou lorsqu'il est tout simplement impossible d'installer le
microprogramme sur le système de fichiers racine pour des raisons pratiques. Le routeur dispose de deux
images de microprogramme dans la mémoire flash, qui fournissent un mécanisme de reprise automatique afin
que le périphérique puisse basculer automatiquement sur le microprogramme secondaire lorsque le
microprogramme actif est endommagé ou ne démarre pas après cinq tentatives.
Le mécanisme de reprise automatique fonctionne de la façon suivante :
Étape 1
L'appareil démarre avec le microprogramme actif.
Étape 2
Si le microprogramme est endommagé, il bascule automatiquement sur le microprogramme secondaire après cinq
échecs de démarrage.
Étape 3
Si le routeur se bloque et ne démarre pas automatiquement, mettez-le hors tension puis de nouveau sous tension, attendez
30 secondes, puis remettez-le hors tension. Répétez cette opération à 5 reprises pour basculer sur le microprogramme
secondaire ou inactif.
Étape 4
Lorsque le routeur redémarre avec le microprogramme secondaire ou inactif, vérifiez les erreurs de fonctionnement
avec le microprogramme actif.
Étape 5
Rechargez le nouveau microprogramme si nécessaire.
*Remarque - Cette fonctionnalité sera temporairement désactivée à partir du 1er janvier 2020.
Guide d'administration du routeur RV160x
25
Administration
Redémarrage
Redémarrage
Le redémarrage permet aux utilisateurs de redémarrer le périphérique avec des images actives ou inactives.
Pour accéder à la page de redémarrage, procédez de la façon suivante :
Étape 1
Cliquez sur Administration > Redémarrage.
Étape 2
Dans la section Image active après redémarrage, sélectionnez une option (Image active x.x.xx.xx) dans la liste déroulante.
Étape 3
Sélectionnez l'une des options de redémarrage suivantes.
• Redémarrez l'appareil.
• Rétablissez les paramètres d'usine après le redémarrage.
• Rétablissez les paramètres d'usine (notamment les certificats) après le redémarrage.
Étape 4
Cliquez sur Redémarrage pour redémarrer le périphérique.
Diagnostic
Votre routeur comporte plusieurs outils de diagnostic destinés à la résolution des problèmes réseau. Utilisez
les outils de diagnostic suivants pour vérifier l'intégrité globale de votre réseau.
Vous pouvez utiliser l'utilitaire Ping ou Traceroute pour tester la connectivité entre un routeur et un autre
périphérique sur le réseau. Pour cela, procédez comme suit :
Étape 1
Sélectionnez Administration > Diagnostic.
Étape 2
Dans le champ Adresse IP/nom de domaine, saisissez l'adresse IP ou le nom de domaine.
Étape 3
Cliquez sur Ping pour afficher les résultats du test Ping. Ils vous indiquent si le périphérique est accessible. Cliquez
sur Traceroute pour afficher les résultats du test Traceroute.
Étape 4
Pour lancer une recherche DNS, saisissez l'adresse IP ou le nom de domaine dans le champ Effectuer une recherche
DNS, puis cliquez sur Rechercher.
Étape 5
Vous pouvez exporter le rapport de l'assistance technique ; pour cela, sélectionnez l'une des options suivantes :
• Exporter vers un ordinateur : pour exporter le rapport de l'assistance technique vers un ordinateur.
• Exporter vers une clé USB : pour exporter le rapport de l'assistance technique vers une clé USB.
• Envoyer par e-mail à... : pour envoyer le rapport à une adresse e-mail.
Guide d'administration du routeur RV160x
26
Administration
Certificat
Certificat
Les certificats sont essentiels dans le processus de communication. Une autorité de certification (CA) approuvée
permet de s'assurer que le détenteur du certificat est bien celui qu'il prétend être. Sans certificat signé approuvé,
les données sont certes cryptées, mais la personne avec laquelle vous communiquez n'est peut-être pas celle
que vous croyez.
Une liste des certificats contenant les détails de chaque certificat s'affiche sur cette page. Vous pouvez exporter
un certificat autosigné, local et CSR.
Si un certificat de périphérique est importé, il remplace le certificat CSR correspondant.
Les certificats associés au routeur s'affichent dans la table de certificats. Vous pouvez supprimer, exporter,
afficher les détails ou importer un certificat répertorié dans la table de certificats.
Importer le certificat
Pour importer un certificat, procédez comme suit.
Étape 1
Cliquez sur Importer le certificat.
Étape 2
Sélectionnez le type de certificat à importer dans la liste déroulante :
• Certificat CA
• Certificat de périphérique local
• Fichier codé au format PKCS#12
Étape 3
Saisissez le nom du certificat (pour PKCS#12, vous devez saisir un mot de passe).
Étape 4
Dans la section Charger le certificat, sélectionnez Importer depuis un ordinateur, puis cliquez sur Parcourir pour
charger et importer le certificat à partir d'un emplacement spécifique.
Étape 5
Sélectionnez Importer depuis un périphérique USB, puis cliquez sur Actualiser pour charger et importer le certificat
à partir d'une clé USB.
Étape 6
Cliquer sur Charger.
Générer un CSR/un certificat
Pour générer un CSR/certificat, procédez comme suit :
Étape 1
Étape 2
Cliquez sur Générer un CSR/un certificat.
Sélectionnez le type de certificat à générer en choisissant l'une des options suivantes de la liste déroulante :
a) Certificat autosigné : sélectionnez ce certificat et renseignez les champs requis. Vous devez indiquer une durée
de validité, en jours.
b) Certificat CA : sélectionnez ce type de certificat et renseignez les champs requis pour configurer une signature
automatique.
c) Demande de signature de certificat : sélectionnez ce type de certificat et renseignez les champs requis.
Guide d'administration du routeur RV160x
27
Administration
Afficher les certificats CA tiers intégrés
d) Certificat signé par un certificat CA : sélectionnez ce type de certificat et renseignez les champs requis pour faire
signer ce certificat par une autorité de certification.
Étape 3
Saisissez les informations suivantes :
Nom du certificat
Donnez un nom au certificat. Le nom du certificat ne doit pas comporter d'espaces ni
de caractères spéciaux.
Nom de sujet alternatif
(facultatif)
Saisissez un nom et sélectionnez l'un des paramètres suivants : Adresse IP, Nom de
domaine complet ou E-mail.
Nom du pays
Sélectionnez un pays dans la liste déroulante.
Nom du département/région Saisissez le nom du département ou de la région.
Nom de la localité
Saisissez le nom de la localité.
Nom de l'organisation
Saisissez le nom de l'organisation.
Nom de l'unité
d'organisation
Saisissez le nom de l'unité d'organisation.
Nom courant
Saisissez un nom courant.
Adresse e-mail
Saisissez l'adresse e-mail.
Longueur de clé de cryptage Sélectionnez la longueur de la clé de cryptage dans le menu déroulant. Elle doit être
de 512, de 1 024 ou de 2 048.
Durée de validité
Étape 4
Saisissez le nombre de jours (Plage : 1-10 950, Valeur par défaut : 360).
Cliquez sur Générer.
Afficher les certificats CA tiers intégrés
Dans la table de certificats tiers, vous pouvez vérifier les détails des certificats, et exporter ou supprimer un
certificat. Pour afficher des certificats tiers intégrés, procédez comme suit :
Étape 1
Cliquez sur Afficher les certificats CA tiers intégrés.
Étape 2
Sélectionnez un certificat dans la table et cliquez sur Exporter.
Étape 3
Cliquez sur Détails pour afficher les détails du certificat.
Étape 4
Cliquez sur Supprimer pour supprimer le certificat.
Remarque Si vous souhaitez supprimer un certificat CA tiers, veillez à exporter et à enregistrer une copie avant la
suppression au cas où vous souhaitiez récupérer le certificat ultérieurement.
Gestion de la configuration
La page Gestion de la configuration fournit des renseignements sur la configuration des fichiers du routeur.
Guide d'administration du routeur RV160x
28
Administration
Copier/enregistrer la configuration
• Nom du fichier de configuration : cette section indique l'heure de dernière modification.
• Copier/enregistrer la configuration : cette section fournit des renseignements sur la configuration par
défaut de l'appareil utilisant le fichier de configuration de fonctionnement, qui est instable et ne conserve
pas les paramètres entre les redémarrages. Vous pouvez enregistrer ce fichier de configuration de
fonctionnement dans le fichier de configuration de démarrage Copier/enregistrer la configuration, à la
page 29.
• Source : sélectionnez le nom du fichier source dans la liste déroulante.
• Destination : sélectionnez le nom du fichier de destination dans la liste déroulante.
• Désactiver le clignotement de l'icône d'enregistrement : cliquez sur cette option pour désactiver le
clignotement de l'icône.
Copier/enregistrer la configuration
Toutes les configurations actuellement utilisées par le routeur sont contenues dans le fichier de configuration
de fonctionnement. Ce fichier est volatile et il n'est pas conservé lors de redémarrages successifs. Pour conserver
la configuration entre les redémarrages, copiez le fichier de configuration de fonctionnement dans le fichier
de configuration de démarrage une fois toutes les modifications effectuées.
Pour copier le fichier de configuration de fonctionnement, procédez comme suit :
Étape 1
Dans la section Copier/enregistrer la configuration, sélectionnez la source dans la liste déroulante.
Étape 2
Dans la section Destination, sélectionnez l'emplacement de copie du fichier de configuration dans la liste déroulante.
Étape 3
Cliquez sur Appliquer.
Guide d'administration du routeur RV160x
29
Administration
Copier/enregistrer la configuration
Guide d'administration du routeur RV160x
30
CHAPITRE
4
Configuration du système
Cette section décrit la configuration système de l'appareil. Elle comprend les rubriques suivantes :
• Configuration initiale du routeur, à la page 31
• Système, à la page 33
• Heure, à la page 33
• Journal, à la page 34
• E-mail, à la page 36
• Comptes d'utilisateur, à la page 37
• Groupes d'utilisateurs, à la page 39
• Groupes d'adresses IP, à la page 40
• SNMP, à la page 41
• Détection Bonjour, à la page 42
• LLDP, à la page 42
• Mises à jour automatiques, à la page 43
• Horaires, à la page 43
• Gestion des services, à la page 44
• PnP (Plug and Play), à la page 44
Configuration initiale du routeur
Vous pouvez vérifier la connexion et configurer les paramètres de base du routeur sur la page Assistant de
configuration initiale. Suivez les instructions de la page Exécuter l'Assistant de configuration pour connaître
la procédure de configuration du périphérique.
Étape 1
Cliquez sur Configuration système> Configuration initiale du routeur pour accéder à l'Assistant de configuration
du routeur.
Étape 2
Cliquez sur Suivant pour passer à la page Vérification de la connexion. Si votre routeur a détecté une connexion, les
détails de la connexion s'affichent sur cette page.
Étape 3
Cliquez sur Suivant.
Étape 4
La fenêtre contextuelle Configurer le routeur – Sélectionner le type de connexion s'affiche. Sélectionnez votre
type de connexion Internet.
Étape 5
Si vous sélectionnez IP dynamique ou DHCP (recommandé), cliquez sur Suivant.
Étape 6
Si vous sélectionnez Adresse IP statique, cliquez sur Suivant et configurez les paramètres ci-dessous.
Guide d'administration du routeur RV160x
31
Configuration du système
Configuration initiale du routeur
Adresse IP statique
Une adresse IP statique est un numéro (sous forme de notation décimale à points)
qu'un fournisseur d'accès à Internet (FAI) attribue à un ordinateur en tant qu'adresse
permanente sur Internet. Saisissez l'adresse IP statique.
Masque de sous-réseau
Masque utilisé pour déterminer le sous-réseau auquel appartient une adresse IP.
Saisissez le masque de sous-réseau.
IP de passerelle
Interface de routeur connectée à un réseau local qui envoie des paquets. Saisissez
l'adresse IP de la passerelle.
DNS
Un serveur DNS est un ordinateur permettant de résoudre les noms d'hôte en
adresses IP. Saisissez l'adresse IP du DNS.
DNS secondaire (facultatif) Saisissez l'adresse IP du serveur DNS secondaire.
Étape 7
Si vous sélectionnez PPPoE, cliquez sur Suivant et configurez les paramètres ci-dessous.
Nom de compte
Saisissez le nom du compte.
Mot de passe
Saisissez le mot de passe.
Confirmer le mot de passe Confirmez le mot de passe.
Étape 8
Si vous sélectionnez PPTP ou L2TP, cliquez sur Suivant et configurez les paramètres ci-dessous.
Nom de compte
Saisissez le nom du compte.
Mot de passe
Saisissez le mot de passe.
Confirmer le mot de passe Confirmez le mot de passe.
Adresse IP statique
Saisissez l'adresse IP statique.
Masque de sous-réseau
Saisissez le masque de sous-réseau.
IP de passerelle
Saisissez l'adresse IP de la passerelle.
DNS
Saisissez le DNS.
Étape 9
Sélectionnez le fuseau horaire du routeur dans le menu déroulant Fuseau horaire.
Étape 10
Sélectionnez l'une des options suivantes :
• Activer la synchronisation du protocole de temps réseau (NTP) pour configurer automatiquement la date et
l'heure.
• Définir la date et l'heure manuellement pour configurer manuellement la date et l'heure ou les importer depuis
votre ordinateur.
Étape 11
Cliquez sur Suivant.
Étape 12
Dans la section Choisir une adresse MAC, sélectionnez l'une des options suivantes :
• Utiliser l'adresse par défaut (recommandé)
• Utiliser l'adresse de cet ordinateur
• Utiliser cette adresse : saisissez une adresse MAC.
Guide d'administration du routeur RV160x
32
Configuration du système
Système
Étape 13
Cliquez sur Suivant.
Étape 14
Passez en revue les paramètres et cliquez sur Suivant.
Étape 15
Dans la section Activer la sécurité – Définir le mot de passe du routeur, saisissez le mot de passe du routeur, puis
confirmez-le. Vous pouvez cocher la case Désactiver l'application de longueur du mot de passe pour désactiver cette
option.
Étape 16
Cliquez sur Suivant, puis dans le champ Nom du réseau, saisissez le nom à attribuer au réseau.
Étape 17
Cliquez sur Suivant, puis dans la section Activer la sécurité – Sécuriser votre réseau sans fil, sélectionnez le type de
sécurité du réseau parmi les options suivantes :
• Sécurité optimale (WPA2 Personnel – AES)
• Recommandé pour les nouveaux ordinateurs et appareils sans fil. Les appareils sans fil plus anciens risquent
de ne pas prendre en charge cette option. Saisissez une clé de sécurité de 8 à 63 caractères ou 64 chiffres
hexadécimaux, ou utilisez la clé aléatoire proposée lorsque vous sélectionnez cette option.
• Aucune sécurité (déconseillé)
• Aucun paramètre de sécurité supplémentaire n'est nécessaire. Ce mode signifie que toutes les données
transférées de et vers l'appareil ne sont pas chiffrées.
Étape 18
Cliquez sur Enregistrer les paramètres de sécurité pour enregistrer les paramètres de sécurité.
Étape 19
Cliquez sur Imprimer les paramètres de sécurité pour imprimer une copie des paramètres de sécurité du routeur.
Étape 20
Cliquez sur Appliquer.
Système
Attribuez un nom d'hôte et un nom de domaine pour vous assurer que votre appareil est facilement identifiable
par d'autres appareils.
Étape 1
Cliquez sur Configuration système > Système.
Étape 2
Dans le champ Nom d'hôte, saisissez un nom pour identifier l'appareil de façon unique sur le réseau. Par exemple,
Routeur001.
Étape 3
Dans le champ Nom de domaine, indiquez le domaine dans lequel se trouve l'appareil. Par exemple, exemple.com. Si
vous ne connaissez pas le nom du domaine de votre entreprise, contactez votre administrateur réseau.
Étape 4
Cliquez sur Appliquer pour appliquer vos modifications.
Heure
Il est essentiel de configurer l'heure sur un périphérique réseau afin d'horodater chaque journal système et
message d'erreur de façon à contrôler et à synchroniser le transfert de données avec d'autres périphériques
réseau.
Guide d'administration du routeur RV160x
33
Configuration du système
Journal
Vous pouvez configurer le fuseau horaire, indiquer s'il faut ou non prendre en compte l'heure d'été et sélectionner
le serveur NTP (Network Time Protocol) avec lequel synchroniser la date et l'heure.
Pour configurer l'heure et les paramètres du serveur NTP, procédez de la façon suivante :
Étape 1
Cliquez sur Configuration système > Heure.
Étape 2
Fuseau horaire : sélectionnez votre fuseau horaire par rapport au temps universel coordonné (UTC).
Étape 3
Définir la date et l'heure : sélectionnez Auto ou Manuel.
a) Pour Manuel : saisissez la date et l'heure.
Étape 4
Dans la section Serveur NTP : cochez la case Par défaut ou Défini par l'utilisateur, puis saisissez un nom de serveur
NTP qualifié dans les champs Serveur NTP 1 à 4.
Étape 5
Heure d'été : cochez cette case pour activer l'heure d'été. Vous pouvez sélectionner le mode Heure d'été (Par date ou
Récurrent) et saisir les dates de début et de fin. Vous pouvez également spécifier le Décalage dû à l'heure d'été, en
minutes.
Étape 6
Cliquez sur Appliquer.
Journal
L'un des paramètres de base d'un périphérique réseau est son journal système (Syslog), qui permet de consigner
les données propres au périphérique. Vous pouvez définir les instances que doit générer un journal. Dès qu'une
instance définie se produit, un journal indiquant l'heure et l'événement est généré, puis transmis à un Syslog
Server ou envoyé par e-mail. Il est ainsi possible d'utiliser le journal système pour analyser et dépanner un
réseau, mais aussi pour augmenter sa sécurité.
Configuration des paramètres de journal
Pour configurer les paramètres de journal, procédez de la façon suivante :
Étape 1
Cliquez sur Configuration système > Journal.
Étape 2
Sous Paramètre de journal, cochez la case Activer dans la section Journal.
Étape 3
Dans le champ Tampon du journal, indiquez le nombre de Ko (plage : 1 Ko à 4 096 Ko, valeur par défaut : 1 024 Ko).
Étape 4
Gravité : sélectionnez le niveau de sécurité du journal approprié dans la liste déroulante. Ces niveaux sont classés du
plus élevé au plus faible.
Urgence
Niveau 0, qui indique que le système est inutilisable.
Alerte
Niveau 1, qui indique qu'une action immédiate est nécessaire.
Critique
Niveau 2, qui indique que le système se trouve dans un état critique.
Erreur
Niveau 3, qui indique une erreur sur le routeur, notamment qu'un port unique est hors
connexion.
Avertissement
Niveau 4, qui indique qu'un message d'avertissement est consigné lorsque le routeur
fonctionne correctement, mais qu'un problème opérationnel est survenu.
Guide d'administration du routeur RV160x
34
Configuration du système
Serveur de messagerie
Étape 5
Notification
Niveau 5, qui indique une condition normale, mais significative. Une notification est
consignée lorsque le routeur fonctionne correctement, mais qu'une remarque système
a été générée.
Informations
Niveau 6, qui indique une condition qui n'est pas une condition d'erreur, mais nécessite
une gestion spéciale.
Débogage
Niveau 7, qui indique que les messages de débogage contiennent des informations à
utiliser uniquement lors du débogage d'un programme.
Catégorie : sélectionnez Toutes les catégories ou certaines catégories d'événement requises que vous souhaitez consigner
sur le routeur.
Noyau
Journaux impliquant le code du noyau.
Système
Journaux liés au système.
Pare-feu
Journaux liés aux règles de pare-feu, attaques et filtrage de contenu.
Réseau
Journaux liés au réseau.
VPN
Journaux liés au réseau VPN.
OpenVPN
Journaux liés à OpenVPN, y compris aux instances telles que l'échec de l'établissement
du tunnel VPN, l'échec de la passerelle VPN, etc.
Filtrage Web
Journaux liés au filtrage Web.
Utilisateurs
Journaux liés aux utilisateurs du périphérique.
Sans fil
Journaux liés au réseau sans fil.
RV160W
Journaux liés au PnP.
PnP
Étape 6
Dans Enregistrer sur USB automatiquement, cochez la case Activer pour enregistrer les journaux automatiquement.
Serveur de messagerie
Il est possible de configurer le serveur de messagerie sur votre compte de messagerie. Les journaux du serveur
de messagerie sont envoyés régulièrement à l'adresse e-mail spécifiée afin que l'administrateur soit toujours
à jour sur le réseau. Le routeur prend en charge la configuration d'un compte de messagerie SMTP, notamment
les adresses e-mail, le mot de passe, l'algorithme Message-Digest, ainsi que des paramètres facultatifs tels
que le numéro de port du serveur SMTP, SSL, TLS, etc.
Étape 1
Dans la section Syslogs de messagerie, cochez la case Activer pour activer les syslogs de messagerie.
Étape 2
Dans la section Paramètres de messagerie, cliquez sur Lien vers la page de configuration de la messagerie pour
configurer les paramètres de votre messagerie.
Étape 3
Dans la section Objet du courrier électronique, saisissez l'objet.
Guide d'administration du routeur RV160x
35
Configuration du système
Syslog Servers distants
Étape 4
Dans la section Gravité, sélectionnez le niveau de gravité dans la liste déroulante.
Étape 5
Dans la section Consigner la longueur des files d'attente, indiquez une valeur comprise entre 1 et 1000. La valeur
par défaut est 50.
Étape 6
Dans la section Consigner le seuil de temps, sélectionnez le seuil de temps dans la liste déroulante.
Étape 7
Dans la section Alertes électroniques en temps réel, sélectionnez la totalité ou une partie des catégories d'alertes
électroniques que vous souhaitez consigner sur le périphérique.
Étape 8
Cliquez sur Appliquer.
Syslog Servers distants
Un Syslog Server distant permet d'envoyer des messages d'événement à un serveur de journalisation. Il est
possible de configurer les Syslog Servers en spécifiant le nom ou l'adresse IP.
Étape 1
Dans la section Syslog Servers, cochez la case Activer pour activer le Syslog Server.
Étape 2
Dans le champ Syslog Server 1, saisissez l'adresse IP d'un Syslog Server auquel envoyer les messages de journaux.
Étape 3
Dans le champ Syslog Server 2, saisissez l'adresse IP d'un Syslog Server auquel envoyer les messages de journaux.
Étape 4
Cliquez sur Appliquer.
E-mail
Vous pouvez configurer le serveur de messagerie de votre périphérique en fonction de vos besoins.
Configuration du serveur de messagerie
Pour configurer le serveur de messagerie, procédez de la façon suivante :
Étape 1
Sélectionnez Configuration système > E-mail.
Étape 2
Sous Serveur de messagerie, définissez les paramètres suivants :
Serveur SMTP
Saisissez l'adresse du serveur SMTP.
Port SMTP
Saisissez le port SMTP.
Cryptage de l'e-mail
Sélectionnez Aucun ou TLS/SSL comme méthode de cryptage.
Authentification
Sélectionnez le type d'authentification dans la liste déroulante : Aucun, Texte en clair,
MD5 ou Connexion.
Nom d'utilisateur
Saisissez un nom d'utilisateur.
Mot de passe
Saisissez un mot de passe.
Envoyer l'e-mail à 1
Saisissez l'adresse e-mail du destinataire.
Envoyer l'e-mail à 2
Saisissez l'adresse e-mail (facultative) du destinataire.
Guide d'administration du routeur RV160x
36
Configuration du système
Comptes d'utilisateur
Adresse e-mail de
l'expéditeur
Saisissez l'adresse e-mail de l'expéditeur.
Étape 3
Cliquez sur Appliquer et tester la connectivité au serveur de messagerie pour tester la connectivité.
Étape 4
Cliquez sur Effacer pour effacer les paramètres de messagerie actuels.
Étape 5
Cliquez sur Appliquer.
Comptes d'utilisateur
Vous pouvez créer, modifier et supprimer les utilisateurs locaux et les authentifier à l'aide de la base de données
locale pour différents services tels que PPTP, le client VPN et la connexion à l'interface Web graphique (GUI).
Les administrateurs sont ainsi en mesure de contrôler et d'autoriser uniquement les utilisateurs locaux à accéder
au réseau. Vous pouvez en outre configurer le délai d'expiration de la session de connexion Web.
Pour cela, sélectionnez Configuration système > Comptes d'utilisateur et définissez les paramètres suivants
dans la section Délai d'expiration de la session de connexion Web :
Délai d'expiration d'inactivité
d'administrateur
Définissez le nombre de minutes du délai d'expiration d'inactivité.
(Plage : 0 à 1 440, 0 indiquant que le délai n'expire jamais.)
Délai d'expiration d'inactivité d'invité Définissez le nombre de minutes du délai d'expiration d'inactivité
d'invité. (Plage : 0 à 1 440, 0 indiquant que le délai n'expire jamais.)
Délai d'expiration d'inactivité de
l'ambassadeur de lobby
Définissez le nombre de minutes du délai d'expiration d'inactivité
de l'ambassadeur de lobby. (Plage : 0 à 1 440, 0 indiquant que le
délai n'expire jamais.)
Dans la section Complexité des mots de passe de l'utilisateur local, pour créer des utilisateurs locaux et
déterminer la complexité des mots de passe, procédez comme suit :
Étape 1
Cliquez sur Configuration système > Comptes d'utilisateur.
Étape 2
Dans la section Paramètres de complexité des mots de passe, cochez la case Activé et définissez les paramètres suivants :
Longueur minimale du mot de passe Saisissez la longueur minimale du mot de passe pour créer un nouveau mot
de passe. La plage est comprise entre 0 et 64 et la valeur par défaut est 8.
Nombre minimum de classes de
caractères
Saisissez le nombre minimum de caractères à utiliser lors de la création du
nouveau mot de passe. La plage est comprise entre 0 et 4 et la valeur par
défaut est 3. Les quatre classes de caractères sont les suivantes : majuscules,
minuscules, chiffres et caractères spéciaux.
Le nouveau mot de passe doit être
différent du mot de passe actuel
Cochez cette case pour demander à l'utilisateur de saisir un mot de passe
différent lors de l'expiration du mot de passe actuel.
Délai d'expiration du mot de passe
Saisissez le nombre de jours avant l'expiration du mot de passe. (Plage : 0 à
365, 0 indiquant que le mot de passe n'expire jamais.)
Guide d'administration du routeur RV160x
37
Configuration du système
Service d'authentification à distance
Étape 3
Pour ajouter un utilisateur au routeur, cliquez sur Ajouter sous Utilisateurs locaux, puis définissez les paramètres
suivants sur la page Ajouter/modifier le compte d'utilisateur :
Nom d'utilisateur
Saisissez un nom d'utilisateur.
Nouveau mot de passe
Saisissez un mot de passe.
Confirmer le mot de passe Confirmez le mot de passe.
Sélectionnez le groupe dans la liste déroulante.
Groupe
• Administrateur : un utilisateur administrateur dispose d'un accès en lecture et en
écriture au gestionnaire de périphériques, et peut modifier les données de
configuration.
• Invité : un utilisateur invité dispose d'un accès en lecture au gestionnaire de
périphériques.
Étape 4
Cliquez sur Appliquer.
Service d'authentification à distance
Le service d'authentification à distance est un système client-serveur distribué qui protège les réseaux contre
tout accès non autorisé. Dans la mise en œuvre Cisco, les clients RADIUS s'exécutent sur des routeurs Cisco
et envoient des demandes d'authentification à un serveur RADIUS central contenant toutes les informations
sur l'authentification des utilisateurs et l'accès aux services réseau. Le serveur de sécurité RADIUS est identifié
sur la base de son nom d'hôte ou adresse IP, du nom d'hôte et de numéros de port UDP spécifiques, ou de
l'adresse IP et de numéros de port UDP spécifiques.
Pour activer l'authentification des utilisateurs externes à l'aide de RADIUS et LDAP, utilisez le service
d'authentification à distance et sélectionnez Groupe par défaut dans la liste déroulante. Configurez ensuite les
paramètres suivants :
Étape 1
Sous la table des services d'authentification à distance, cliquez sur Ajouter et configurez les paramètres suivants
dans la fenêtre contextuelle Ajouter/modifier le domaine :
Nom
Donnez un nom au domaine.
Type d'authentification
Sélectionnez un type d'authentification dans la liste
déroulante.
• LDAP : protocole LDAP (Lightweight Directory
Access Protocol).
• RADIUS : protocole de mise en réseau qui fournit
un service AAA (authentification, autorisation et
comptabilité) centralisé aux utilisateurs qui utilisent
et se connectent à un service réseau.
• Active Directory : service d'annuaire Windows qui
permet d'utiliser les ressources réseau interconnectées,
complexes et différentes de manière unifiée.
Guide d'administration du routeur RV160x
38
Configuration du système
Groupes d'utilisateurs
Étape 2
Serveur principal
Saisissez l'adresse IP du serveur principal.
Port
Saisissez le port de secours du serveur.
Nom de domaine de base
Saisissez le nom de domaine de base pour lancer la
recherche.
Cliquez sur Appliquer pour enregistrer les paramètres. Cliquez sur Modifier ou sur Supprimer pour modifier ou
supprimer un domaine existant.
Remarque La priorité de la base de données externe est toujours RADIUS/LDAP/AD/Locale. Si vous ajoutez le serveur
RADIUS sur le routeur, le service de connexion Web et d'autres services utilisent la base de données externe
RADIUS pour authentifier l'utilisateur. Il est impossible d'activer la base de données externe uniquement
pour le service de connexion Web et de configurer une autre base de données pour un autre service. Après
avoir créé et activé RADIUS sur le routeur, ce dernier utilise le service RADIUS comme base de données
externe pour la connexion Web, le VPN site à site, le VPN PPTP, OpenVPN, le VPN client à site et 802.1x.
Groupes d'utilisateurs
L'administrateur peut créer des groupes d'utilisateurs pour une série d'utilisateurs qui partagent le même
ensemble de services. Ces groupes d'utilisateurs peuvent être autorisés à accéder à divers services tels que
OpenVPN, VPN PPTP< 802.1x et Portail captif.
Pour créer des groupes d'utilisateurs, procédez comme suit :
Étape 1
Cliquez sur Configuration système > Groupes d'utilisateurs.
Étape 2
Sous Groupes d'utilisateurs, cliquez sur Ajouter pour créer un nouveau groupe d'utilisateurs.
Étape 3
Dans le champ Nom du groupe, saisissez le nom à attribuer à votre groupe.
Étape 4
Sous Liste d'appartenance de l'utilisateur local, cliquez sur Ajouter, puis cochez la case et sélectionnez le groupe
d'utilisateurs souhaité auquel ajouter un nouvel utilisateur.
Étape 5
Sous Services, sélectionnez les services auxquels doivent avoir accès les groupes d'utilisateurs et saisissez les informations
suivantes.
Connexion
Spécifiez les autorisations de connexion Web accordées aux utilisateurs rattachés au
Web/NETCONF/RESTCONF groupe :
• Désactiver : aucun membre du groupe d'utilisateurs ne peut se connecter à
l'utilitaire de configuration à l'aide d'un navigateur Web.
• Lecture seule : les membres du groupe d'utilisateurs peuvent uniquement lire
l'état système après s'être connectés. Ils ne peuvent pas modifier les paramètres.
• Admin : tous les membres du groupe d'utilisateurs disposent de privilèges complets
pour configurer et lire l'état système.
VPN site à site
• Cliquez sur Ajouter pour ouvrir la fenêtre Ajouter une liste de fonctions.
• Sélectionnez un profil dans la liste déroulante et cliquez sur Ajouter.
Guide d'administration du routeur RV160x
39
Configuration du système
Groupes d'adresses IP
• Cliquez sur Ajouter pour ouvrir la fenêtre Ajouter une liste de fonctions.
VPN client à site
• Sélectionnez un profil dans la liste déroulante et cliquez sur Ajouter.
OpenVPN
Cliquez sur Activer pour activer la fonction OpenVPN ou sur Désactiver pour la
désactiver.
Sélectionnez un profil dans la liste déroulante.
Étape 6
VPN PPTP
Cliquez sur Activer pour activer la fonction PPTP ou sur Désactiver pour la désactiver.
802.1x
Cochez la case Autoriser pour autoriser l'authentification 802.1x.
Ambassadeur de lobby
Cliquez sur Activer pour activer la fonction Ambassadeur de lobby ou sur Désactiver
pour la désactiver.
Portail captif
Cliquez sur Ajouter pour ajouter un nouveau portail captif et configurer le SSID et la
bande de fréquences de ce dernier.
Cliquez sur Appliquer.
Remarque 802.1x prend uniquement en charge l'authentification RADIUS. PPTP/L2TP prend en charge RADIUS et la
base de données locale. Si vous choisissez la base de données locale, seul le protocole d'authentification des
mots de passe (PAP) est pris en charge pour l'authentification locale.
Groupes d'adresses IP
Pour configurer et gérer les stratégies de contrôle d'application et le filtrage Web, vous devez configurer des
groupes d'adresses IP. Pour configurer les groupes d'adresses IP, procédez de la façon suivante :
Étape 1
Cliquez sur Configuration système > Groupes d'adresses IP.
Étape 2
Dans Groupes d'adresses IP, cliquez sur Ajouter pour ajouter un groupe, puis saisissez un nom. Pour supprimer un
groupe, cliquez sur Supprimer.
Étape 3
Cliquez sur Ajouter, puis saisissez les informations suivantes.
Type et détails de l'adresse Sélectionnez le type de groupe dans la liste déroulante et saisissez les détails de
l'adresse :
• IP unique : saisissez une adresse IP dans le champ Détails de l'adresse.
• Sous-réseau de l'adresse IP : saisissez une adresse IP dans le champ Détails de
l'adresse.
• Plage d'adresses IP : saisissez une adresse IP dans le champ Détails de l'adresse.
Étape 4
Cliquez sur Appliquer.
Guide d'administration du routeur RV160x
40
Configuration du système
SNMP
SNMP
Le protocole SNMP (Simple Network Management Protocol) est un protocole Internet permettant de collecter
et d'organiser les données sur les appareils gérés connectés aux réseaux IP. Il permet par ailleurs aux
administrateurs de gérer, de surveiller et de recevoir des notifications d'événements critiques lorsque ceux-ci
se produisent sur le réseau. Cet appareil prend en charge v1, v2c et v3.
Il fait office d'agent SNMP qui répond aux commandes SNMP à partir de systèmes de gestion de réseaux
SNMP. Il prend en charge les commandes SNMP standard get/next/set. Il génère également des messages de
filtre pour informer le gestionnaire SNMP des conditions d'alarme qui se produisent, par exemple redémarrages,
cycles d'alimentation et liaisons WAN.
Étape 1
Pour configurer le protocole SNMP du routeur, saisissez les informations suivantes.
SNMP activé
Cochez cette case pour activer le protocole SNMP.
Autoriser l'accès utilisateur Cochez cette case pour autoriser l'utilisateur via Internet.
via Internet
Autoriser l'accès utilisateur Cochez cette case pour autoriser l'accès utilisateur via le VPN.
via le VPN
Version
Sélectionnez la version dans la liste déroulante.
Nom du système
Saisissez le nom du système.
Contact système
Saisissez le nom du contact système.
Emplacement du système
Saisissez l'emplacement du système.
Obtenir une communauté
Saisissez le nom de la communauté.
Définir une communauté
Saisissez le nom de la communauté.
Configuration de filtre
L'utilisation des configurations de filtre vous permet de définir l'adresse source de chaque paquet de filtres SNMP
envoyé par le routeur à une seule adresse, quelle que soit l'interface sortante.
Étape 2
Étape 3
Pour configurer les filtres SNMP, saisissez les informations suivantes.
Communauté de filtre
Saisissez le nom de la communauté de filtre.
Adresse IP du récepteur
d'interruptions
Saisissez l'adresse IP.
Port du récepteur
d'interruptions
Saisissez le numéro de port.
Cliquez sur Appliquer.
Guide d'administration du routeur RV160x
41
Configuration du système
Détection Bonjour
Détection Bonjour
Bonjour est un protocole de détection de services qui identifie les périphériques réseau, notamment les
ordinateurs et les serveurs, sur votre réseau LAN. Lorsque cette fonction est activée, le routeur diffuse
régulièrement des enregistrements du service Bonjour au réseau LAN pour faire connaître son existence.
Remarque
Pour détecter des produits Cisco Small Business, Cisco fournit un utilitaire fonctionnant par le biais d'une
simple barre d'outils dans le navigateur de l'utilisateur, appelé FindIt. L'utilitaire de détection FindIT détecte
les appareils Cisco sur le réseau et fournit des informations de base telles que les numéros de série et les
adresses IP. Pour obtenir plus d'informations et télécharger l'utilitaire de détection FindIT, rendez-vous sur
www.cisco.com/go/findit.
Pour activer la fonction de détection Bonjour, procédez comme suit :
Étape 1
Sélectionnez Configuration système > Détection Bonjour.
Étape 2
Cochez la case Activer pour activer globalement la détection Bonjour (cette fonction est activée par défaut).
Étape 3
Sélectionnez Appliquer.
LLDP
Le protocole LLDP (Link Layer Discovery Protocol) est un protocole non lié à un fournisseur, qui est utilisé
par des appareils réseau pour annoncer leur identité, leurs capacités et leurs voisins sur un réseau local IEEE 802.
Les informations LLDP sont envoyées par l'interface du périphérique à intervalles fixes, sous la forme d'une
trame Ethernet. Chaque trame contient une unité de données LLDP (LLDPDU). Chaque unité LLDPDU est
une série de structures type-longueur-valeur (TLV).
Pour configurer LLDP, procédez de la façon suivante :
Étape 1
Sélectionnez Configuration système > LLDP.
Étape 2
Dans la section LLDP, sélectionnez l'option Activer (qui est activée par défaut).
Étape 3
Dans la Table de paramètres de port LLDP, cochez la case Activer LLDP pour activer le protocole LLDP sur une
interface.
Étape 4
Cliquez sur Appliquer.
Étape 5
La Table des voisins LLDP fournit les renseignements suivants :
• Port local : identifiant du port.
• Sous-type de l'ID du châssis : type d'ID de châssis (adresse MAC, par exemple).
• ID de châssis : identifiant du châssis. Si vous avez choisi l'adresse MAC comme sous-type d'ID de châssis,
l'adresse MAC du routeur s'affiche.
• Sous-type de l'ID du port : type de l'identifiant du port.
Guide d'administration du routeur RV160x
42
Configuration du système
Mises à jour automatiques
• ID du port : identifiant du port.
• Nom du système : nom du routeur.
• Durée de vie : fréquence (en secondes) d'envoi des mises à jour des annonces LLDP.
Étape 6
Cliquez sur Actualiser pour actualiser les données.
Mises à jour automatiques
La mise à niveau vers la dernière version du microprogramme peut vous aider à résoudre les erreurs et autres
problèmes occasionnels sur le routeur. Il est possible que le routeur soit configuré pour vous envoyer des
notifications par e-mail lorsque des mises à jour importantes du microprogramme sont disponibles. Ces
informations peuvent être envoyées à des intervalles spécifiques et pour des types spécifiques d'événements
réseau. Avant de configurer ces notifications, vous devez configurer le serveur de messagerie.
Pour configurer les mises à jour automatiques, procédez comme suit.
Étape 1
Sélectionnez Configuration système > Mises à jour automatiques.
Étape 2
Dans la liste déroulante Intervalle de recherche, sélectionnez la fréquence à laquelle le périphérique doit automatiquement
rechercher des mises à jour du microprogramme. Cliquez sur Rechercher maintenant pour lancer une recherche.
Étape 3
Dans le champ Notifier par, activez l'option Interface Admin ou Envoyer par e-mail à et saisissez l'adresse e-mail.
Les notifications sont envoyées à l'adresse e-mail configurée. Si vous n'avez pas configuré de serveur de messagerie,
cliquez sur le lien dans la note en regard du champ E-mail et configurez le serveur de messagerie.
Étape 4
Sous Mise à jour automatique, vous pouvez sélectionner l'heure à laquelle le microprogramme du système et celui du
modem USB sont automatiquement mis à jour. Vous pouvez en outre choisir de recevoir une notification pour chaque
mise à jour.
Étape 5
Cliquez sur Appliquer.
Horaires
Les périphériques réseau doivent être protégés contre les attaques et virus intentionnels susceptibles de
compromettre la confidentialité, ou d'entraîner l'altération des données ou un déni de service. Il est donc
possible de planifier des horaires afin d'appliquer les règles de pare-feu ou de redirection de ports certains
jours ou à certaines heures de la journée.
Pour configurer les horaires, procédez de la façon suivante :
Étape 1
Sélectionnez Configuration système > Horaires.
Étape 2
Dans Horaires, cliquez sur Ajouter pour créer un nouvel horaire. Vous pouvez modifier ou supprimer un horaire en le
sélectionnant et en cliquant sur Modifier ou Supprimer.
Étape 3
Saisissez un nom pour identifier l'horaire dans la colonne Nom.
Étape 4
Saisissez l'heure de début et l'heure de fin souhaitées.
Guide d'administration du routeur RV160x
43
Configuration du système
Gestion des services
Étape 5
Dans la colonne Jours, cochez la case Tous les jours pour appliquer l'horaire tous les jours de la semaine. Désactivez
cette option pour appliquer l'horaire certains jours uniquement. Sélectionnez ensuite les jours de la semaine auxquels
appliquer l'horaire. Vous pouvez également sélectionner Jours de la semaine ou Week-ends.
Étape 6
Cliquez sur Appliquer.
Gestion des services
La section Gestion des services fournit des renseignements sur la configuration du système. Vous pouvez
ajouter une nouvelle entrée à la liste Gestion des services ou modifier une entrée existante. Pour configurer
la Gestion des services, procédez de la façon suivante :
Étape 1
Cliquez sur Configuration système > Gestion des services.
Étape 2
Dans la Table des services, cliquez sur Ajouter.
Étape 3
Dans le champ Nom, saisissez le nom à attribuer à la gestion des services.
Étape 4
Dans le champ Protocole, sélectionnez le protocole de couche 4 utilisé par le service dans la liste déroulante.
Étape 5
Dans le champ Port de début/Type ICMP/Protocole IP, saisissez le numéro de port, le type ICMP ou le protocole IP.
Étape 6
Dans le champ Port de fin/Code CMP, saisissez le numéro de port.
Étape 7
Cliquez sur Appliquer.
Étape 8
Pour modifier ou supprimer une entrée, sélectionnez l'entrée et cliquez sur Modifier ou sur Supprimer. Apportez les
modifications souhaitées, puis cliquez sur Appliquer.
PnP (Plug and Play)
L'agent Cisco Open Plug-n-Play est une application logicielle exécutée sur un appareil Cisco SMB. Lors de
la mise sous tension d'un appareil, le processus de détection de l'agent Open Plug-n-Play (intégré à l'appareil)
tente de détecter l'adresse du serveur Open Plug-n-Play. L'agent Open Plug-n-Play utilise des méthodes telles
que DHCP, DNS et la détection des services cloud Cisco pour récupérer l'adresse IP du serveur Open
Plug-n-Play. Le processus de déploiement simplifié de l'appareil SMB automatise les tâches opérationnelles
liées au déploiement suivantes :
• Établir la connectivité de réseau initiale de l'appareil.
• Fournir la configuration de l'appareil.
• Fournir les images du logiciel et du microprogramme.
Pour activer ou désactiver Plug and Play, procédez comme suit :
Étape 1
Cliquez sur Configuration système > PnP.
Étape 2
Dans le champ PnP, cochez la case Activer.
Étape 3
Dans la section Transport PnP, sélectionnez une option dans la liste déroulante.
Guide d'administration du routeur RV160x
44
Configuration du système
PnP Connect Service
• Auto : la détection du serveur PnP est téléchargée automatiquement par PnP.
• Statique : sélectionnez et saisissez l'adresse IP/le nom de domaine complet et le numéro de port, puis sélectionnez
le certificat à importer dans la liste déroulante Certificat CA.
Étape 4
Cliquez sur Appliquer.
PnP Connect Service
Plug and Play Connect est un service fourni par Cisco qui est le dernier recours utilisé par un périphérique
compatible Plug and Play réseau pour découvrir le serveur. Pour utiliser Plug and Play Connect pour la
découverte du serveur, vous devez d'abord créer un profil de contrôleur représentant le gestionnaire, puis
enregistrer chacun de vos appareils avec le service Plug and Play Connect.
Pour accéder au service Plug and Play Connect, procédez comme suit:
Étape 1
Dans votre navigateur Web, naviguez jusqu'à https://software.cisco.com.
Étape 2
Cliquez sur le bouton se connecter en haut à droite de l'écran. Connectez-vous avec un identifiant cisco.com associé à
votre compte Cisco Smart Account.
Étape 3
Sélectionnez le lien Plug and Play Connect sous l'en-tête Plug and Play réseau. La page principale du service Plug
and Play Connect s'affiche.
Création d'un profil de contrôleur
Pour créer un profil de contrôleur, procédez comme suit:
Étape 1
Ouvrez la page Web Plug and Play Connect https://software.cisco.com/#module/pnp dans votre navigateur. Si nécessaire,
sélectionnez le compte virtuel correct à utiliser.
Étape 2
Sélectionnez le lien profils de contrôleurs, puis cliquez sur Ajouter un profil.
Étape 3
Sélectionnez un type de contrôleur de serveur PNP dans la liste déroulante. Puis cliquez sur suivant.
Étape 4
Spécifiez un nom, et éventuellement une description pour le profil.
Étape 5
Sous l'en-tête du contrôleur principal, utilisez la liste déroulante fournie pour sélectionner s'il faut spécifier le serveur
par nom ou adresse IP. Renseignez le nom ou les adresses du serveur dans les champs fournis.
Étape 6
Sélectionnez le protocole à utiliser lors de la communication avec le serveur. Il est vivement recommandé d'utiliser le
protocole HTTPS pour assurer l'intégrité du processus de provisionnement.
Étape 7
Si le protocole sélectionné est HTTPS et que le serveur est configuré avec un certificat auto-signé (par défaut) ou qu'il
n'est pas signé par une autorité de certification connue, le certificat utilisé par le serveur doit être téléchargé à l'aide des
contrôles fournis.
Étape 8
Cliquez sur suivant, puis examinez les paramètres avant de cliquer sur Envoyer.
Guide d'administration du routeur RV160x
45
Configuration du système
Enregistrement des périphériques
Enregistrement des périphériques
Certains produits achetés directement auprès de Cisco peuvent être associés à votre compte Smart Cisco au
moment de l'achat, et ceux-ci seront automatiquement ajoutés à Plug and Play Connect. Cependant, la majorité
des produits compatibles Plug and Play de Cisco 100 de la série 500 devront être enregistrés manuellement.
Pour enregistrer les périphériques avec Plug and Play Connect, procédez comme suit:
Étape 1
Ouvrez la page Web Plug-and-Play Connect https://software.cisco.com/#module/pnp dans votre navigateur. Si nécessaire,
sélectionnez le compte virtuel correct à utiliser.
Étape 2
Sélectionnez le lien périphériques, puis cliquez sur Ajouter des périphériques. Vous devrez peut-être être approuvé
pour ajouter manuellement des périphériques à votre compte. Il s'agit d'un processus unique et, si nécessaire, vous serez
avisé par courriel une fois que l'approbation aura été accordée.
Étape 3
Choisissez d'ajouter des périphériques manuellement ou d'ajouter plusieurs périphériques en téléchargeant les détails
au format CSV. Cliquez sur le lien fourni pour télécharger un exemple de fichier CSV. Si vous choisissez de télécharger
un fichier CSV, cliquez sur le bouton Parcourir pour sélectionner le fichier. Puis cliquez sur suivant.
Étape 4
Si vous avez sélectionné pour ajouter des périphériques manuellement, cliquez sur identifier le périphérique. Spécifiez
le numéro de série et l'ID de produit pour l'appareil à ajouter. Sélectionnez un profil de contrôleur dans la liste déroulante.
Entrez éventuellement une description pour cet appareil.
Étape 5
Répétez l'étape 4 jusqu'à ce que vous ayez ajouté tous vos appareils, puis cliquez sur suivant.
Étape 6
Examinez les périphériques que vous avez ajoutés, puis cliquez sur Envoyer.
Guide d'administration du routeur RV160x
46
CHAPITRE
5
Réseau WAN
Un réseau étendu (WAN) est un ensemble de réseaux de télécommunications ou de réseaux informatiques
distribués géographiquement. Ce terme fait la distinction entre un réseau local (LAN) et une structure de
télécommunication plus vaste. Privé ou disponible en location, un réseau étendu permet à une entreprise
d'exécuter efficacement ses tâches quotidiennes, quel que soit son emplacement.
Cette section décrit les fonctions WAN de l'appareil. Elle comprend les rubriques suivantes :
• Paramètres WAN, à la page 47
• DNS dynamique, à la page 50
• Transition IPv6, à la page 51
Paramètres WAN
Vous pouvez configurer deux interfaces physiques WAN et VLAN sur le routeur. Pour configurer les paramètres
WAN, procédez de la façon suivante :
Étape 1
Sélectionnez WAN > Paramètres WAN.
Étape 2
Cliquez sur les onglets libellés et configurez les paramètres IPv4, IPv6 ou les Paramètres avancés.
Étape 3
Pour une connexion IPv4, cliquez sur l'onglet IPv4 ; pour une connexion IPv6, cliquez sur IPv6 et sélectionnez le type
de connexion.
Étape 4
Si IPv4 ou IPv6 utilise DHCP pour la connexion, configurez les paramètres suivants :
Serveur DNS
Sélectionnez Utiliser le serveur DNS fourni via DHCP ou Utiliser les valeurs DNS
suivantes.
DNS statique 1 et 2
Saisissez l'adresse IP du serveur DNS statique principal et du serveur DNS statique
secondaire dans les champs correspondants.
DHCP-PD (IPv6
uniquement)
Sélectionnez cette option pour l'activer et saisissez un nom de préfixe.
Si IPv4 ou IPv6 utilise l'adresse IP statique pour la connexion, configurez les paramètres suivants :
Adresse IP
Saisissez l'adresse IP.
Masque de réseau
Saisissez l'adresse du masque de réseau.
Guide d'administration du routeur RV160x
47
Réseau WAN
Paramètres WAN
Passerelle par défaut
Saisissez l'adresse IP de la passerelle par défaut. La passerelle par défaut est nécessaire
sur cette interface pour participer à l'équilibrage de charge et au basculement
(Multi-WAN).
DNS statique 1 et 2
Saisissez l'adresse IP du serveur DNS statique principal et du serveur DNS statique
secondaire dans les champs correspondants.
Si IPv4 ou IPv6 utilise PPPoE pour la connexion, configurez les paramètres suivants :
Nom d'utilisateur
Nom d'utilisateur que votre FAI vous a attribué.
Mot de passe
Mot de passe que votre FAI vous a attribué.
Afficher le mot de passe
Cochez cette case pour afficher le mot de passe.
Serveur DNS
Sélectionnez Utiliser le serveur DNS fourni via PPPoE ou Utiliser DNS.
DNS statique 1 et 2
Saisissez l'adresse IP du serveur DNS statique principal et du serveur DNS statique
secondaire dans les champs correspondants.
Connexion à la demande
Sélectionnez Connexion à la demande si votre FAI vous facture chaque connexion.
Saisissez la période d'inactivité maximale, en secondes, avant la fin de la connexion
suite à une période d'inactivité. La valeur par défaut est de 5 minutes.
Maintenir actif
Sélectionnez Maintenir actif pour vérifier régulièrement la connexion et la rétablir
lorsque celle-ci est indisponible.
Type d'authentification
Sélectionnez le type d'authentification dans la liste déroulante (Négociation auto, PAP,
CHAP, MS-CHAP, MS-CHAPv2).
Nom du service
Saisissez le nom du service.
Remarque Certains fournisseurs d'accès n'autorisent pas l'envoi de requêtes Ping sur la passerelle par défaut, notamment
pour la connexion PPPoE. Accédez à la page Multi-WAN pour désactiver la fonction « Détection de services
réseau » ou sélectionnez un hôte valide pour la détection. Dans le cas contraire, le trafic ne sera pas redirigé
par le périphérique.
Si IPv4 utilise PPTP pour la connexion, configurez les paramètres suivants :
Affectation des adresses IP Pour DCHP, sélectionnez cette option afin que DHCP fournisse une adresse IP. Pour
IP statique, sélectionnez cette option et fournissez une adresse IP, un masque de réseau
et l'adresse IP de la passerelle par défaut.
Adresse IP/Nom de
domaine complet du
serveur PPTP
Saisissez le nom du serveur.
Nom d'utilisateur
Nom d'utilisateur que votre FAI vous a attribué.
Mot de passe
Mot de passe que votre FAI vous a attribué.
Afficher le mot de passe
Cochez cette case pour afficher le mot de passe.
Serveur DNS
Sélectionnez Utiliser le serveur DNS fourni via PPTP ou Utiliser DNS.
DNS statique 1 et 2
Saisissez l'adresse IP du serveur DNS statique principal et du serveur DNS statique
secondaire dans les champs correspondants.
Guide d'administration du routeur RV160x
48
Réseau WAN
Paramètres WAN
Connexion à la demande
Sélectionnez Connexion à la demande si votre FAI vous facture chaque connexion.
Saisissez la période d'inactivité maximale, en secondes, avant la fin de la connexion
suite à une période d'inactivité. La valeur par défaut est de 5 minutes.
Maintenir actif
Sélectionnez Maintenir actif pour vérifier régulièrement la connexion et la rétablir
lorsque celle-ci est indisponible.
Type d'authentification
Sélectionnez le type d'authentification dans la liste déroulante (Négociation auto, PAP,
CHAP, MS-CHAP, MS-CHAPv2).
Cryptage MPPE
Cochez cette case pour activer le cryptage MPPE.
Si IPv4 utilise L2TP pour la connexion, configurez les paramètres suivants :
Affectation des adresses IP Pour DCHP, sélectionnez cette option afin que DHCP fournisse une adresse IP. Pour
IP statique, sélectionnez cette option et fournissez une adresse IP, un masque de réseau
et l'adresse IP de la passerelle par défaut.
Adresse IP/Nom de
domaine complet du
serveur L2PT
Saisissez le nom du serveur.
Nom d'utilisateur
Nom d'utilisateur que votre FAI vous a attribué.
Mot de passe
Mot de passe que votre FAI vous a attribué.
Afficher le mot de passe
Cochez cette case pour afficher le mot de passe.
Serveur DNS
Sélectionnez Utiliser le serveur DNS fourni via L2TP ou Utiliser DNS.
DNS statique 1 et 2
Saisissez l'adresse IP du serveur DNS statique principal et du serveur DNS statique
secondaire dans les champs correspondants.
Connexion à la demande
Sélectionnez Connexion à la demande si votre FAI vous facture chaque connexion.
Saisissez la période d'inactivité maximale, en secondes, avant la fin de la connexion
suite à une période d'inactivité. La valeur par défaut est de 5 minutes.
Maintenir actif
Sélectionnez Maintenir actif pour vérifier régulièrement la connexion et la rétablir
lorsque celle-ci est indisponible.
Type d'authentification
Sélectionnez le type d'authentification dans la liste déroulante (Négociation auto, PAP,
CHAP, MS-CHAP, MS-CHAPv2).
Si IPv6 utilise SLAAC pour la connexion
Dans la section Paramètres SLAAC, saisissez les informations suivantes :
DNS statique 1 et 2
Saisissez l'adresse IP du serveur DNS statique principal et du serveur DNS statique
secondaire.
DHCP-PD (IPv6
uniquement)
Sélectionnez cette option pour l'activer et saisissez un nom de préfixe.
Étape 5
Cliquez sur Appliquer.
Pour les paramètres avancés
Étape 6
Cliquez sur l'onglet Paramètres avancés et configurez les paramètres suivants :
Guide d'administration du routeur RV160x
49
Réseau WAN
DNS dynamique
Balise VLAN WAN
Cochez cette option pour activer la balise VLAN WAN.
ID de VLAN
Saisissez l'ID du VLAN
Unité maximale de transmission (MTU)
Sélectionnez Auto pour définir la taille automatiquement.
Pour définir manuellement la taille de la MTU, sélectionnez
Manuel et saisissez la taille de la MTU. (Taille en octets
de la plus grande unité de données de protocole que la
couche peut transmettre.)
Clone de l'adresse MAC
Cochez la case Clone d'adresse MAC et saisissez
l'adresse MAC. Cliquez sur Cloner MAC du PC pour
utiliser l'adresse MAC de votre ordinateur comme
adresse MAC clone du périphérique.
Remarque Lorsque vous activez l'option Clone d'adresse MAC, la mise en miroir des ports ne fonctionne pas.
Étape 7
Cliquez sur Appliquer.
DNS dynamique
DDNS (Dynamic Domain Name System) est une méthode permettant de maintenir la liaison entre un nom
de domaine et une adresse IP changeante, dans la mesure où les ordinateurs n'utilisent pas tous des adresses IP
statiques. Le DNS dynamique met automatiquement à jour un serveur dans le DNS avec la configuration
active de ses noms d'hôte, adresses ou autres informations. DDNS permet d'attribuer un nom de domaine fixe
à une adresse IP WAN dynamique.
Pour configurer les stratégies DNS dynamiques, procédez de la façon suivante :
Étape 1
Sélectionnez WAN > DNS dynamique.
Étape 2
Dans la Table de DNS dynamique, sélectionnez l'interface à ajouter à la stratégie DNS dynamique.
Étape 3
Cliquez sur Modifier.
Étape 4
Cochez la case Activer cette stratégie DNS dynamique pour activer la configuration de la stratégie.
Étape 5
Sélectionnez le nom du fournisseur d'accès dans la liste déroulante Fournisseur.
Étape 6
Saisissez le Nom d'utilisateur et le Mot de passe du compte DDNS. Pour afficher le mot de passe, cochez la case
Activer en regard du champ Afficher le mot de passe.
Étape 7
Saisissez le nom complet du périphérique, y compris le nom de domaine dans le champ Nom de domaine complet.
Étape 8
Cochez la case Activer pour recevoir des mises à jour concernant le fournisseur de DNS dynamique, puis sélectionnez
la périodicité.
Étape 9
Cliquez sur Appliquer.
Guide d'administration du routeur RV160x
50
Réseau WAN
Transition IPv6
Transition IPv6
Pour migrer d'IPv4 vers IPv6, vous pouvez utiliser un mécanisme de transition Internet appelé 6in4. 6in4
utilise le tunneling pour encapsuler le trafic IPv6 sur les liaisons IPv4 configurées. Le trafic 6in4 est envoyé
sur la liaison IPv4, qui contient l'en-tête du paquet IPv4, suivi par le paquet IPv6 dont les en-têtes IP adoptent
le protocole IP 41.
Pour configurer la transition IPv6, procédez de la façon suivante :
Étape 1
Sélectionnez WAN > Transition IPv6.
Étape 2
Cochez la case Activer pour activer l'interface du tunnel.
Étape 3
Saisissez une description.
Étape 4
L'interface locale et l'adresse IPv4 locale affichent l'interface sélectionnée.
Étape 5
Cliquez sur Appliquer.
Tunnel IPv6 en IPv4 (6in4)
Pour ajouter le tunnel IPv4 (6in4), saisissez les informations suivantes :
Étape 1
Cliquez sur l'onglet Tunnel IPv6 en IPv4 (6in4).
Étape 2
Saisissez l'adresse IPv4 distante.
Étape 3
Saisissez l'adresse IPv6 locale et la longueur.
Étape 4
Saisissez l'adresse IPv6 distante et la longueur.
Étape 5
Cliquez sur Appliquer.
Déploiement IPv6 rapide (6rd)
Dans la section Déploiement IPv6 rapide (6rd), chaque FAI utilise l'un de ses propres préfixes IPv6 plutôt
que le préfixe spécial 2002::/16 normalisé pour 6to4. Un fournisseur garantit ainsi la disponibilité de ses
hôtes 6rd à partir de tous les hôtes IPv6 natifs pouvant joindre leur réseau IPv6.
Étape 1
Cochez la case Déploiement IPv6 rapide (6rd), puis définissez les paramètres suivants.
Étape 2
Dans la section Mode de communication, cliquez sur Automatiquement depuis DHCP pour utiliser DHCP (option
212) en vue d'obtenir le préfixe 6rd, l'adresse IPv4 du relais et la longueur du masque IPv4.
Étape 3
Vous pouvez également sélectionner Manuel et définir les paramètres 6rd suivants.
a) Saisissez l'adresse IPv4 du relais.
b) Saisissez la longueur du préfixe commun IPv4.
c) Saisissez la longueur du préfixe IPv6. Le réseau IPv6 (sous-réseau) est identifié par le préfixe. Tous les hôtes sur
le réseau possèdent des bits initiaux identiques pour leurs adresses IPv6. Saisissez le nombre de bits initiaux
communs dans les adresses réseau. La valeur par défaut est 64.
Guide d'administration du routeur RV160x
51
Réseau WAN
Déploiement IPv6 rapide (6rd)
Étape 4
Cliquez sur Appliquer.
Guide d'administration du routeur RV160x
52
CHAPITRE
6
Réseau local
Un réseau local (LAN) est un réseau informatique couvrant une zone relativement restreinte, telle qu'un
immeuble de bureaux, une école ou un logement. Les réseaux locaux se caractérisent par leur topologie, leurs
protocoles et leurs appareils. La topologie correspond à la disposition géométrique des appareils dans un
réseau. Les protocoles sont des règles et des spécifications de codage pour l'envoi de données. Ils déterminent
par ailleurs si le réseau utilise une architecture P2P ou client/serveur. Le type de réseau LAN le plus courant
est le réseau Ethernet.
Cette section décrit les fonctions LAN du périphérique. Elle comprend les rubriques suivantes :
• Paramètres des ports, à la page 53
• Paramètres VLAN, à la page 54
• Paramètres Option82, à la page 56
• DHCP statique, à la page 57
• Configuration 802.1X, à la page 58
• Annonce de routeur, à la page 58
Paramètres des ports
La page Paramètres des ports affiche les ports pour la technologie EEE, le contrôle de flux, le mode, la mise
en miroir des ports, les trames Jumbo et l'agrégation de liaisons.
Pour configurer les paramètres des ports, procédez de la façon suivante :
Étape 1
Sélectionnez LAN > Paramètres des ports.
Étape 2
Dans la table Configuration de base par port, configurez les paramètres suivants :
Port
Liste des ports actuellement disponibles sur le routeur.
Libellé de port
Saisissez un libellé de port.
Activer
Cochez la case Activer pour activer les paramètres du port. Si cette option est désactivée,
tous les paramètres définis sur le port sont perdus.
EEE (Energy-Efficient on
Ethernet)
Cochez cette case pour que le port consomme moins d'énergie en période de faible
activité des données.
Guide d'administration du routeur RV160x
53
Réseau local
Paramètres VLAN
Étape 3
Contrôle de flux
Cochez cette case pour activer le contrôle de flux symétrique. Le contrôle de flux permet
d'envoyer et de respecter des trames de pause vers et depuis l'ordinateur LAN connecté
au périphérique.
Mode
Sélectionnez le mode des paramètres de port dans la liste déroulante.
Trames géantes
Les trames Jumbo sont des trames Ethernet dont la charge utile est supérieure à
1 500 octets, ce qui correspond à la limite établie par le standard IEEE 802.3. Les trames
Jumbo peuvent prendre en charge une charge utile de 9 000 octets maximum. Cochez
la case Activer pour activer les trames Jumbo.
Dans la section Configuration de mise en miroir des ports, saisissez les informations suivantes :
Étape 4
Activer
Cochez la case Activer pour activer la configuration de mise en miroir des ports.
Port de destination
Port sur lequel le trafic mis en miroir peut être géré. Sélectionnez l'un des réseaux LAN
(LAN1 à LAN4) dans la liste déroulante.
Port contrôlé
Sélectionnez les ports dont le trafic doit être contrôlé sur le port de destination.
Cliquez sur Appliquer.
Paramètres VLAN
La page Paramètres VLAN permet d'ajouter l'ID de VLAN pour différencier le trafic.
Pour créer de nouveaux VLAN, procédez comme suit :
Étape 1
Sélectionnez LAN > Paramètres VLAN.
Étape 2
Cliquez sur Ajouter pour créer un nouveau VLAN.
Étape 3
Saisissez l'ID de VLAN (plage comprise entre 1 et 4 093) et un nom.
Étape 4
Cochez la case Activé pour activer le routage inter-VLAN et la gestion des périphériques.
Étape 5
Renseignez le champ IPv4 ou IPv6.
Configuration du VLAN pour IPv4
Pour configurer le réseau VLAN pour IPv4, sélectionnez IPv4, puis définissez les paramètres suivants.
Adresse IP
Saisissez l'adresse IPv4.
Masque de sous-réseau
Saisissez le masque de sous-réseau.
Guide d'administration du routeur RV160x
54
Réseau local
Paramètres VLAN
Type DHCP
• Désactivé : le serveur DHCP IPv4 est désactivé sur
le VLAN.
• Serveur
• Durée du bail : saisissez une valeur comprise
entre 5 et 43 200 minutes. La valeur par défaut
est de 1 440 minutes, soit 24 heures.
• Début de plage et Fin de plage : saisissez le
début de plage et fin de plage des adresses IP
pouvant être attribuées de façon dynamique.
• Serveur DNS : sélectionnez cette option pour
utiliser le serveur DNS en tant que proxy ou
depuis le FAI dans la liste déroulante.
• Serveur WINS : saisissez le nom du serveur
WINS.
• Options DHCP
• Option 66 : saisissez l'adresse IP du serveur
TFTP.
• Option 150 : saisissez l'adresse IP d'une
liste de serveurs TFTP.
• Option 67 : saisissez le nom du fichier de
configuration.
• Relais : saisissez l'adresse IPv4 du serveur DHCP
distant pour configurer l'agent de relais DHCP.
Configuration du type DHCP pour IPv6
Pour configurer le mode DHCP pour IPv6, saisissez les informations suivantes :
Préfixe
Saisissez le préfixe IPv6.
Longueur de préfixe
Saisissez la longueur du préfixe IPv6.
Aperçu
Affichez un aperçu de l'adresse IPv6.
Identifiant d'interface
Sélectionnez l'identifiant d'interface approprié.
Guide d'administration du routeur RV160x
55
Réseau local
Paramètres Option82
Type DHCP
• Désactivé : le serveur DHCP IPv6 est désactivé sur
le VLAN.
• Serveur
• Durée du bail : saisissez une valeur comprise
entre 5 et 43 200 minutes. La valeur par défaut
est de 1 440 minutes, soit 24 heures.
• Début de plage et Fin de plage : saisissez les
début de plage et fin de plage des adresses IP
pouvant être attribuées de façon dynamique.
• Serveur DNS : sélectionnez cette option pour
utiliser le serveur DNS en tant que proxy ou
depuis le FAI dans la liste déroulante.
Étape 6
Cliquez sur Appliquer.
Affecter les VLAN aux ports
Le trafic sur le port peut être balisé en appliquant un réseau VLAN spécifique. Ce balisage peut vous aider à différencier
le trafic et à le rediriger. Il n'existe que 16 réseaux VLAN dans le système, et seul un VLAN sur le réseau étendu du
système peut être configuré.
Pour affecter un réseau VLAN à un port, saisissez les informations suivantes.
Étape 7
Sélectionnez l'ID de VLAN approprié.
Étape 8
Cliquez sur Modifier pour affecter un réseau VLAN à un port LAN et définissez les paramètres suivants :
• Non balisé : le port n'est pas balisé dans le réseau VLAN sélectionné. Si le port est en mode d'accès ou de liaison,
le réseau VLAN par défaut est automatiquement exclu lorsque le port non balisé se connecte au VLAN. Sélectionnez
Non balisé dans la liste déroulante pour ne pas baliser le port.
• Balisé : le port est inclus en tant que membre du réseau VLAN sélectionné, et les paquets envoyés à partir de ce
port à destination du réseau VLAN sont balisés avec l'ID de VLAN. Sélectionnez Balisé dans la liste déroulante
pour inclure le port en tant que membre du réseau VLAN sélectionné. Les paquets envoyés à partir de ce port à
destination du réseau VLAN sélectionné sont balisés avec l'ID de VLAN. S'il n'existe aucun VLAN non balisé
sur un port, l'interface se connecte automatiquement au réseau VLAN1.
• Exclu : sélectionnez cette option dans la liste déroulante pour exclure le port du réseau VLAN sélectionné.
Étape 9
Cliquez sur Appliquer.
Paramètres Option82
La configuration DHCP permet de configurer le serveur DHCP pour le relais ou le paramètre Option82 (option
des informations sur l'agent de relais DHCP) pour les clients LAN en vue d'obtenir des adresses IP. Le
serveur DHCP conserve les pools et les baux locaux. Il permet par ailleurs aux clients LAN de se connecter
à un serveur distant en vue d'obtenir des adresses IP.
Guide d'administration du routeur RV160x
56
Réseau local
DHCP statique
Le paramètre Option82 permet à un agent de relais DHCP d'inclure des informations sur lui-même lors de la
redirection des paquets DHCP provenant du client vers le serveur DHCP. Le serveur DHCP peut utiliser ces
informations pour implémenter l'adressage IP ou d'autres stratégies d'attribution des paramètres.
Pour configurer le paramètre Option82, procédez de la façon suivante :
Étape 1
Sélectionnez LAN > Paramètres Option82.
Étape 2
Cliquez sur Ajouter et configurez les options suivantes :
Étape 3
Saisissez les informations suivantes pour configurer le circuit Option82 :
Description
Saisissez la description du client de l'option 82.
ID de circuit
Améliore la sécurité de validation des informations fournies dans l'ID de circuit de
l'option 82. Saisissez l'ID de circuit et son format.
Adresse IP et masque de
sous-réseau
Saisissez l'adresse IP et le masque de sous-réseau du périphérique.
Durée de bail du client
Durée pendant laquelle un utilisateur du réseau est autorisé à se connecter au routeur
avec l'adresse IP actuelle. Saisissez la durée en minutes. Les valeurs valides sont
comprises entre 5 et 43 200 minutes. La valeur par défaut est de 1 440 minutes
(24 heures).
Début de plage et Fin de
plage
Début de plage et fin de plage des adresses IP pouvant être attribuées de façon
dynamique. La plage peut correspondre au nombre maximal d'adresses IP que le serveur
peut attribuer sans chevauchement avec le client PPTP et le client VPN SSL. Par
exemple, si le routeur utilise l'adresse IP LAN par défaut, 192.168.1.1, la valeur de
début doit être 192.168.1.2 ou supérieure.
Serveur DNS
Type de service DNS où l'adresse IP du serveur DNS est acquise.
DNS statique 1 et DNS
statique 2
Adresse IP statique d'un serveur DNS. (Facultatif) Si vous saisissez un deuxième
serveur DNS, le routeur utilise le premier serveur DNS pour répondre à une requête.
WINS
Adresse IP facultative d'un serveur WINS (Windows Internet Naming Service) qui
résout les noms NetBIOS sur les adresses IP. Par défaut, ce champ est vide.
Options DHCP
• Option 66 : saisissez l'adresse IP ou le nom d'hôte d'un serveur TFTP unique.
• Option 150 : saisissez les adresses IP d'une liste de serveurs TFTP.
• Option 67 : saisissez le nom du fichier de démarrage.
Étape 4
Cliquez sur Finish.
DHCP statique
La fonctionnalité DHCP statique permet au serveur DHCP sur votre routeur de toujours affecter la même
adresse IP à un ordinateur spécifique sur votre réseau LAN. Cliquez sur Afficher les appareils connectés
pour afficher les appareils déjà connectés au routeur.
Guide d'administration du routeur RV160x
57
Réseau local
Configuration 802.1X
Pour configurer la fonctionnalité DHCP statique, procédez de la façon suivante :
Étape 1
Cliquez sur LAN > DHCP statique.
Étape 2
Cliquez sur Ajouter.
Étape 3
Saisissez le nom de la description.
Étape 4
Saisissez l'adresse MAC et l'adresse IPv4 statique.
Étape 5
Cochez la case Activé.
Étape 6
Cliquez sur Appliquer pour ajouter les appareils à la liste des adresses IP statiques.
Étape 7
Cliquez sur Importer ou sur Exporter pour utiliser ces détails.
Configuration 802.1X
L'authentification IEEE 802.1X basée sur les ports empêche les périphériques (clients) non autorisés à accéder
au réseau. Ce contrôle d'accès au réseau utilise les caractéristiques d'accès physique aux
infrastructures LAN IEEE 802 pour authentifier et autoriser les appareils connectés à un port LAN prenant
en charge une connexion point à point. Dans ce contexte, un port est un point de liaison unique vers
l'infrastructure LAN.
Pour configurer l'authentification basée sur les ports :
Étape 1
Sélectionnez LAN > Configuration 802.1X.
Étape 2
Sélectionnez l'option Activer l'authentification basée sur les ports pour l'activer.
Étape 3
Sélectionnez l'état d'administration de chaque port dans la liste déroulante.
• Auto : cette option permet d'activer l'authentification basée sur les ports. L'interface bascule entre un état autorisé
ou non autorisé en fonction de l'échange d'authentification entre le périphérique et le client.
• Autorisation forcée : aucune autorisation n'est requise. Au moins un port LAN doit être en mode d'autorisation
forcée.
Étape 4
L'état du port indique l'état de la liaison, qu'elle soit active ou inactive, ainsi que l'état de l'authentification.
Étape 5
Cliquez sur Appliquer.
Annonce de routeur
Le démon RADVD (démon de notification de routeur) est utilisé pour la configuration des paramètres
d'interface, des préfixes, des routes et des annonces. Les hôtes s'appuient sur les routeurs pour faciliter la
communication vers tous les autres hôtes, à l'exception de ceux qui se trouvent sur le réseau local. Les routeurs
envoient régulièrement des messages d'annonce de routeur et y répondent. Lorsque vous activez cette fonction,
les messages sont envoyés régulièrement par le routeur en réponse aux sollicitations. Un hôte utilise ces
informations pour obtenir les préfixes et paramètres du réseau local. La désactivation de cette fonction désactive
Guide d'administration du routeur RV160x
58
Réseau local
Annonce de routeur
la configuration automatique, ce qui implique la configuration manuelle de l'adresse IPv6, du préfixe de
sous-réseau et de la passerelle par défaut sur chaque périphérique.
Pour configurer l'annonce de routeur, procédez de la façon suivante :
Étape 1
Sélectionnez LAN > Annonce de routeur.
Étape 2
Configurez ensuite les paramètres suivants :
Nom de l'interface
Sélectionnez une interface dans la liste déroulante.
Annonce de routeur
Cochez la case Activer pour activer l'annonce de routeur sur le réseau VLAN
sélectionné.
Mode d'annonce
Sélectionnez le mode d'annonce dans la liste déroulante.
• Multidiffusion non sollicitée : ce mode envoie les annonces du routeur à toutes
les interfaces dans le groupe de multidiffusion. Saisissez l'intervalle d'annonce. Il
s'agit du paramètre par défaut.
• Monodiffusion : ce mode envoie les messages d'annonce de routeur uniquement
aux adresses IPv6 connues.
Intervalle d'annonce
Saisissez l'intervalle d'envoi des messages d'annonce de routeur, sur une plage comprise
entre 10 et 1 800 secondes (30 secondes étant la valeur par défaut).
Indicateurs d'annonces
Ce paramètre détermine si les hôtes peuvent utiliser DHCPv6 pour obtenir les adresses IP
et les informations connexes. Sélectionnez l'une des options suivantes :
• Géré : les hôtes utilisent un protocole de configuration administré et avec état
(DHCPv6) pour obtenir des adresses avec état et d'autres informations via DHCPv6.
• Autre : les hôtes utilisent un protocole de configuration administré et avec état
(DHCPv6) pour obtenir d'autres informations non liées aux adresses, notamment
des informations sur le serveur DNS.
Préférence de routeur
Cette mesure de préférence est utilisée dans une topologie de réseau dans laquelle des
hôtes à plusieurs hébergements ont accès à plusieurs routeurs. La préférence de routeur
permet à un hôte de choisir le routeur approprié. Il existe trois mesures de préférence :
Élevé, Moyen et Faible. La valeur par défaut est Élevé. Sélectionnez la préférence
dans la liste déroulante.
Unité maximale de
transmission (MTU)
L'unité de transmission maximale (MTU) correspond à la taille maximale de paquet
pouvant être transmis sur le réseau. Les MTU sont utilisées dans les messages d'annonce
de routeur pour s'assurer que tous les nœuds du réseau utilisent la même valeur de MTU
lorsque la MTU du réseau LAN n'est pas connue. Le paramètre par défaut est de
1 500 octets, qui correspond à la valeur standard pour les réseaux Ethernet. Pour les
connexions PPPoE, la valeur standard est de 1 492 octets. Ce paramètre ne doit pas
être modifié, à moins que votre FAI exige une autre valeur. Saisissez une valeur
comprise entre 1 280 et 1 500.
Durée de vie du routeur
Durée d'existence des messages d'annonce de routeur sur la route, en secondes. Saisissez
la durée en secondes. La valeur par défaut est de 3 600 secondes.
Guide d'administration du routeur RV160x
59
Réseau local
Annonce de routeur
Étape 3
Dans la table des préfixes, cliquez sur Ajouter ou sur Modifier pour ajouter ou modifier un masque de sous-réseau et
saisir l'adresse IPv6, la longueur de préfixe et la durée de vie.
Étape 4
Cliquez sur Appliquer.
Guide d'administration du routeur RV160x
60
CHAPITRE
7
Sans fil
Un réseau local sans fil (WLAN) est une méthode de distribution sans fil qui met en œuvre un système flexible
de communication des données utilisant des ondes de radio haute fréquence ; il inclut souvent un point d'accès
à Internet. Cette mise en œuvre se fait par l'optimisation, plutôt que le remplacement, d'un réseau LAN filaire
au niveau d'un bâtiment ou d'un site. Étant donné que les réseaux WLAN utilisent une fréquence radio pour
transmettre et recevoir les données, ils ne nécessitent pas de connexions filaires. Cela permet aux utilisateurs
de se déplacer dans la zone de couverture tout en conservant une connexion au réseau.
Cette section décrit le réseau WLAN, qui est un type de réseau local utilisant des ondes radio haute fréquence
plutôt que des câbles pour communiquer d'un nœud à l'autre. Elle contient les rubriques suivantes :
• Paramètres de base, à la page 61
• Paramètres avancés, à la page 66
• WPS, à la page 67
• Portail captif, à la page 67
• Ambassadeur de lobby, à la page 69
Paramètres de base
Le périphérique fournit un réseau LAN sans fil (WLAN) avec tous les ports (LAN et WLAN) sur un seul
domaine de diffusion. Le routeur prend en charge 802.11ac et une sélection bibande simultanée (2,4 et 5 GHz).
Selon la radio sélectionnée, vous pouvez sélectionner la fréquence ou le canal pour la transmission et la
réception de données réseau WLAN. La sélection de la largeur de canal appropriée pour chaque radio peut
améliorer le débit WLAN.
Sur la page Paramètres de base, vous pouvez ajouter, modifier ou supprimer les paramètres SSID sans fil, et
sélectionner et configurer les canaux radios. Vous pouvez ajouter jusqu'à quatre réseaux sans fil virtuels
distincts par radio. En d'autres termes, vous ne pouvez pas ajouter plus de huit SSID (c.-à-d., quatre SSID par
radio) ; le bouton Ajouter est grisé lorsque vous atteignez cette limite.
Pour configurer les paramètres SSID sans fil, procédez de la façon suivante :
Étape 1
Sélectionnez Sans fil > Paramètres de base.
Étape 2
Sous la Table des services, cliquez sur Ajouter ou sur Modifier et configurez les paramètres suivants.
Nom SSID
Spécifiez le nom du réseau.
Activer
Cochez la case Activer pour activer le réseau.
Guide d'administration du routeur RV160x
61
Sans fil
Paramètres de base
Appliquer activement à la
fréquence radio
Sélectionnez la bande 2,4 G ou 5 G pour une connexion à un réseau correspondant aux
paramètres réseau et à la bande sélectionnée uniquement. Le SSID est créé sur la
fréquence radio sélectionnée.
Sélectionnez Les deux pour configurer le SSID sur les deux fréquences radio et
connecter ce profil à un réseau disponible correspondant aux paramètres réseau
sélectionnés.
Diffusion SSID
Cochez la case Activer pour activer la diffusion SSID si vous souhaitez autoriser les
clients sans fil de la zone de couverture à détecter ce réseau sans fil lorsqu'ils recherchent
les réseaux disponibles. Désactivez cette fonction si vous ne souhaitez pas faire connaître
le SSID. Lorsque cette fonction est désactivée, le client sans fil peut se connecter à
votre réseau sans fil uniquement s'il fournit le SSID et les informations de sécurité
requises.
Mode de sécurité
Sélectionnez un mode de sécurité pour le réseau parmi les options suivantes :
• Aucun : sélectionnez cette option pour un réseau non sécurisé.
• WEP-64 : sélectionnez le mode de sécurité WEP 64 bits et saisissez une clé WEP
si vous utilisez un équipement ancien qui ne prend pas en charge la sécurité WPA
ou WPA2. La clé WEP est une chaîne comportant 10 caractères hexadécimaux.
• WEP-128 : sélectionnez le mode de sécurité WEP 128 bits et saisissez une clé
WEP si vous utilisez un équipement ancien qui ne prend pas en charge la sécurité
WPA ou WPA2. La clé WEP est une chaîne comportant 26 caractères
hexadécimaux.
• WPA2-Personnel : Sélectionnez le protocole de sécurité Wi-Fi Protected Access
II (WPA2) pour une meilleure sécurité. Si cette option est sélectionnée, saisissez
une phrase de sécurité alphanumérique.
• WPA2-Personal Mixed : Sélectionnez ce protocole de sécurité pour une meilleure
sécurité lorsque vous autorisez des clients WPA et WPA2 à se connecter
simultanément. Si cette option est sélectionnée, saisissez une phrase de sécurité
alphanumérique.
• WPA2-Entreprise : Sélectionnez ce protocole de sécurité pour utiliser
l'authentification de serveur RADIUS. Si cette option est sélectionnée, spécifiez
les paramètres suivants :
• Adresse IP du serveur RADIUS (gère l'authentification client).
• Port du serveur RADIUS (port utilisé pour accéder au serveur RADIUS).
• Secret RADIUS(secret RADIUS partagé).
• WPA2-Enterprise Mixed : Sélectionnez ce protocole de sécurité pour utiliser
l'authentification de serveur RADIUS lorsque vous autorisez des clients WPA et
WPA2 à se connecter simultanément. S'il est sélectionné, spécifiez l'adresse IP
du serveur RADIUS, le port du serveur RADIUS et le secret RADIUS.
Phrase secrète
Saisissez la phrase secrète.
Remarque Si vous utilisez une phrase secrète, cochez la case Afficher la phrase secrète
pour la rendre visible.
Guide d'administration du routeur RV160x
62
Sans fil
Sélection bibande simultanée
PMF (trames de gestion
protégées)
Wi-Fi certified WPA2 avec PMF fournit un niveau de protection WPA2 pour les trames
d'action de gestion monodiffusion et multidiffusion. Sélectionnez l'une des options
suivantes :
• Non requis
• Compatible
• Obligatoire
Isolation sans fil avec SSID Cochez la case Activer pour activer l'isolation sans fil au sein du SSID. Lorsque
l'isolation sans fil est configurée, les clients sans fil ne peuvent pas se voir ou
communiquer entre eux lorsqu'ils sont connectés au même SSID.
Étape 3
WMM
Pour hiérarchiser et placer le trafic en file d'attente en fonction de la catégorie d'accès,
cochez la case Activer afin d'activer les extensions multimédias sans fil (WME).
L'activation de WMM peut entraîner une amélioration du débit, mais aussi du taux
d'erreurs dans un environnement hautes fréquences (RF) saturé.
WPS
Cochez cette case pour activer WPS. Cette option autorise jusqu'à deux modes
d'utilisation : code PIN et bouton de commande. Si cette option est activée, cliquez sur
Configurer et configurez les paramètres WPS dans la fenêtre contextuelle. Pour plus
d'informations sur la configuration de WPS, reportez-vous à la section WPS, à la
page 67.
VLAN
Spécifiez l'ID du VLAN auquel le SSID est mappé. Les appareils connectés à ce réseau
obtiennent des adresses sur ce VLAN. L'ID du VLAN par défaut est 1 ; si tous les
appareils se trouvent sur le même réseau, il est inutile de modifier cette valeur.
Accès par horaire
Spécifiez un horaire si le SSID n'est disponible qu'à certaines heures de la journée ou
certains jours de la semaine. Vous pouvez protéger votre réseau en indiquant à quel
moment les utilisateurs peuvent accéder au réseau, limitant de cette façon son accès.
Filtrage MAC
Vous pouvez utiliser le filtrage MAC pour accorder ou refuser l'accès au réseau sans
fil en fonction de l'adresse MAC (matérielle) de l'appareil qui demande l'accès. Cochez
cette case pour activer le filtrage MAC pour le SSID. Si cette option est activée, cliquez
sur Configurer et spécifiez la liste noire (appareils qui n'auront pas le droit d'accéder)
et la liste blanche (appareils autorisés à accéder) pour le réseau sans fil.
Portail captif
Cochez la case Activer pour activer la vérification du portail captif pour le SSID.
Sélectionnez ensuite un profil de portail dans la liste déroulante. Si cette option est
activée, vous pouvez aussi cliquer sur Nouveau et configurer un nouveau profil.
Reportez-vous à la section Portail captif, à la page 67 pour plus d'informations sur
l'ajout d'un profil de portail captif.
Cliquez sur Appliquer.
Sélection bibande simultanée
Vous pouvez activer ou désactiver les fréquences bibandes, 2,4 GHz et 5 GHz, qui sont prises en charge par
le routeur. Vous pouvez spécifier manuellement le numéro de canal de chaque bande ou effectuer une sélection
Guide d'administration du routeur RV160x
63
Sans fil
Configuration de la fréquence 2,4 GHz
automatique du canal en vue d'appliquer les paramètres correspondants à tous les réseaux sans fil virtuels.
Selon la fréquence radio sélectionnée, le réseau WLAN transmet et reçoit les données sur cette fréquence ou
le canal sélectionné. La sélection de la largeur de canal appropriée pour chaque fréquence peut améliorer le
débit du réseau WLAN.
Configuration de la fréquence 2,4 GHz
Pour configurer la fréquence radio 2,4 GHz, procédez de la façon suivante :
Étape 1
Cliquez sur Sans fil > Paramètres de base > 2,4G.
Étape 2
Cochez la case Radio pour activer la bande 2,4 GHz.
Étape 3
Sélectionnez le mode de bande réseau dans la liste déroulante Mode de réseau sans fil.
Étape 4
Option
Description
B uniquement
Sélectionnez cette option si vous n'avez que des appareils
sans fil de type B sur votre réseau.
G uniquement
Sélectionnez cette option si vous n'avez que des appareils
sans fil de type G sur votre réseau.
N uniquement
Sélectionnez cette option si vous n'avez que des appareils
sans fil de type N sur votre réseau.
Mixte B/G
Sélectionnez cette option si vous n'avez que des appareils
sans fil de type B et G sur votre réseau.
Mixte G/N
Sélectionnez cette option si vous n'avez que des appareils
sans fil de type G et N sur votre réseau.
Mixte B/G/N
Sélectionnez cette option si vous n'avez que des appareils
sans fil de type B, G et N sur votre réseau.
Cliquez sur 20 MHz ou 20/40 MHz pour sélectionner la bande passante du canal.
Remarque Lorsque vous utilisez la radio de diffusion 2,4 GHz, vous devez généralement utiliser un bloc de bande
passante de canal de 20 MHz. Ceci est dû au fait que davantage de canaux sans chevauchement sont disponibles
lors de l'utilisation d'un bloc de 20 MHz (par rapport à un bloc de 40 MHz) ; il est donc peu probable que les
canaux entrent en conflit et provoquent une congestion. Vous pouvez également utiliser le bloc 40 MHz sur
la radio de diffusion 2,4 GHz. Notez toutefois que celui-ci risque d'entraîner une congestion du trafic Wi-Fi ;
par conséquent, nous vous déconseillons son utilisation, notamment si vous vivez dans un immeuble, car il
risque de provoquer des interférences avec d'autres utilisateurs 2,4 GHz. Dans ce cas, il est recommandé de
sélectionner l'option 20/40 MHz.
Étape 5
Sélectionnez le canal principal en cliquant sur la case d'option Inférieur ou Supérieur.
Remarque Vous ne pouvez pas sélectionner de canal principal si vous avez sélectionné Bande passante 20 MHz à l'étape 4
ou Auto dans la liste déroulante.
Étape 6
Sélectionnez le canal sans fil approprié dans le menu déroulant. Vous pouvez choisir Auto. et permettre au système de
sélectionner le canal.
Si vous avez sélectionné Inférieur comme canal principal, vous pouvez sélectionner les canaux 1 à 7. Si vous avez
sélectionné Supérieur, vous pouvez sélectionner les canaux 5 à 11.
Guide d'administration du routeur RV160x
64
Sans fil
Configuration de la fréquence 5 GHz
Étape 7
Pour activer le mode U-APSD (Unscheduled Automatic Power Save Delivery) et permettre aux clients connectés dotés
de la fonctionnalité U-APSD d'économiser de l'énergie, cochez la case U-APSD (économie d'énergie WMM). Ce
mode utilise les mécanismes de 802.11e et de l'ancienne version 802.11 pour économiser de l'énergie et régler la
consommation d'énergie.
Étape 8
Saisissez le nombre maximal de clients associés dans le champ prévu à cet effet.
Étape 9
Cliquez sur Appliquer.
Configuration de la fréquence 5 GHz
Pour configurer la fréquence radio 5 GHz, procédez de la façon suivante :
Étape 1
Cliquez sur Sans fil > Paramètres de base > 5G.
Étape 2
Dans la section Radio, cochez la case Activer pour activer la bande 5 GHz.
Étape 3
Sélectionnez le mode de bande réseau dans la liste déroulante Mode de réseau sans fil.
Étape 4
Option
Description
A uniquement
Sélectionnez cette option si vous n'avez que des appareils
sans fil de type A sur votre réseau.
Mixte N/AC
Sélectionnez cette option si vous n'avez que des appareils
sans fil de type N et AC sur votre réseau.
Mixte A/N/AC
Sélectionnez cette option si vous n'avez que des appareils
sans fil de type A, N et AC sur votre réseau.
Cliquez sur la case d'option 20 MHz, 40 MHz ou 80 MHz pour sélectionner la bande passante du canal.
Remarque Néanmoins, lorsque vous sélectionnez 5 GHz, il est possible d'utiliser des bandes de canaux plus larges pour
augmenter la bande passante. Ainsi, vous pouvez utiliser les bandes 20 MHz, 40 MHz (voire 80 MHz) sur
le canal 5 GHz.
Dans un environnement moins congestionné nécessitant un débit de données plus élevé, il est recommandé
d'utiliser le canal 40 MHz, car il offre 12 canaux sans chevauchement sur la bande 5 GHz.
Étape 5
Sélectionnez le canal principal en cliquant sur Inférieur ou Supérieur.
Remarque Vous pouvez sélectionner un canal principal, uniquement si vous avez sélectionné une bande passante de
40 MHz.
Étape 6
Sélectionnez le canal sans fil approprié dans le menu déroulant. Vous pouvez choisir Auto. et permettre au système de
sélectionner le canal.
Étape 7
Si vous utilisez un équipement alimenté par batterie et souhaitez activer le mode U-APSD, cochez la case U-APSD
(économies d'énergie WMM).
Étape 8
Saisissez le nombre maximal de clients associés à associer simultanément.
Étape 9
Cliquez sur Appliquer.
Guide d'administration du routeur RV160x
65
Sans fil
Paramètres avancés
Paramètres avancés
Pour chaque fréquence, vous pouvez spécifier des paramètres avancés : Rafale de trames, Aucune validation
WMM, Vitesse de base, Vitesse de transmission, Intervalle DTIM, Seuil RTS, etc.
Pour configurer les paramètres avancés sous Sans fil, procédez de la façon suivante :
Étape 1
Cliquez sur Sans fil > Paramètres avancés > 2,4 G ou 5 G.
Étape 2
Configurez ensuite les paramètres suivants :
Rafale de trames
Cochez la case Activer pour activer l'envoi de plusieurs trames avec un écart minimal
entre les trames, ce qui améliore l'efficacité du réseau et réduit la charge.
Aucune validation WMM
Cochez la case Activer pour améliorer le débit. Cette option peut entraîner un taux
d'erreurs plus élevé dans un environnement hautes fréquences (RF) saturé.
Débit de données
Pour Débit de données, cliquez sur Définissez ce paramètre sur la valeur par défaut
pour rétablir les valeurs par défaut des vitesses de base et de transmission.
Vitesse de base
Sélectionnez les paramètres de vitesse de base, c'est-à-dire les vitesses auxquelles la
plate-forme prête pour les services peut transmettre les données. L'appareil annonce sa
vitesse de base aux autres appareils sur le réseau afin qu'ils connaissent les vitesses qui
seront utilisées. La plate-forme prête pour les services annonce également qu'elle
sélectionnera automatiquement la meilleure vitesse de transmission.
Vitesse de transmission
Sélectionnez la vitesse de transmission des données en fonction du débit de votre réseau
sans fil.
Index MCS HT
Sélectionnez les options correspondant au paramètre Index MCS HT pour les débits
Module haute transmission et Index du modèle de codage. Vous pouvez utiliser les
valeurs de l'index MCS en combinaison avec les valeurs de largeur de canal pour
calculer instantanément le débit de données disponible du matériel sans fil.
Mode de protection CTS
Le mode de protection CTS est le mécanisme utilisé par le protocole réseau sans fil
802.11 pour réduire les collisions de trame causées par les problèmes de nœuds masqués.
Par défaut, cette option est définie sur Auto. Pour la désactiver, cliquez sur Désactivé.
Intervalle de balise
Spécifiez le délai entre les transmissions de balise, en millisecondes. Une balise est
une diffusion de paquets depuis l'appareil qui permet de synchroniser le réseau sans
fil. L'heure à laquelle un nœud (un point d'accès, par exemple) doit envoyer une balise
est appelée heure de transmission de balise (TBTT, Target Beacon Transmission Time),
exprimée en unité de temps. La plage est comprise entre 40 et 3 500 millisecondes. La
valeur par défaut est 100.
Intervalle DTIM
Spécifiez l'intervalle de carte DTIM (Delivery Traffic Indication Map). Ce paramètre
informe les clients de la présence de données de multidiffusion/diffusion dans la
mémoire tampon du point d'accès. Il est généré dans le cadre de la balise périodique à
une fréquence définie par l'intervalle DTIM. La plage est comprise entre 1 et 255. La
valeur par défaut est 1.
Guide d'administration du routeur RV160x
66
Sans fil
WPS
Étape 3
Seuil de fragmentation
Saisissez la valeur de fragmentation qui indique la taille maximale d'un paquet au-delà
de laquelle les données sont scindées en plusieurs paquets. Si vous rencontrez une
quantité importante d'erreurs de paquets, essayez d'augmenter légèrement le seuil de
fragmentation. Un réglage trop faible du seuil de fragmentation peut dégrader les
performances du réseau. La plage est comprise entre 256 et 2 346. La valeur par défaut
est 2 346.
Seuil RTS
Dans le champ Seuil RTS, saisissez la taille du seuil RTS. Lorsque la taille d'un paquet
réseau est inférieure au seuil spécifié, le mécanisme RTS/CTS n'est pas enclenché. La
plage est comprise entre 0 et 2347. La valeur par défaut est 2347.
Puissance de transmission
Sélectionnez le volume de données à transmettre dans la liste déroulante.
Cliquez sur Appliquer.
WPS
La Configuration WPS (Wi-Fi Protected Setup) est une fonctionnalité de sécurité réseau qui permet aux clients
sur lesquels WPS est activé de se connecter facilement et en toute sécurité au réseau sans fil. Trois méthodes
de connexion au réseau sans fil sont prises en charge par WPS : bouton de commande WPS, code PIN WPS
sur l'appareil client et code PIN d'appareil généré sur la page de configuration WPS.
Pour configurer WPS :
Étape 1
Cliquez sur Sans fil > WPS. La page Configuration Wi-Fi protégée apparaît.
Étape 2
Sélectionnez le SSID (pour lequel WPS doit être configuré) dans la liste déroulante WPS
Étape 3
Sélectionnez la bande de fréquences (2,4 G, 5 G ou Les deux) dans la liste déroulante des bandes de fréquences.
Étape 4
Configurez le WPS sur les appareils clients de l'une des trois manières suivantes :
a) Cliquez sur WPS sur le client, puis cliquez sur WPS sur la page de configuration WPS.
b) Si votre appareil client a un code PIN WPS, saisissez ce code dans la zone de texte et cliquez sur S'inscrire.
c) Si l'appareil client requiert un code PIN depuis votre routeur, cliquez sur Générer et saisissez le code PIN.
Dans le champ Durée de vie du PIN, sélectionnez la durée de vie de la clé. À l'expiration de cette période, une nouvelle
clé est négociée.
La configuration WPS est terminée.
Portail captif
La fonction Portail captif est disponible uniquement sur les modèles de routeur sans fil ; elle fournit aux clients
un accès contrôlé et authentifié aux ressources réseau sans compromettre la sécurité. Un client se connectant
aux interfaces WLAN est limité à un environnement cloisonné jusqu'à ce qu'il obtienne l'autorisation. Le
portail captif affiche une page Web spéciale pour authentifier les clients avant qu'ils puissent utiliser Internet.
Le client peut résoudre les noms DNS et sites de navigateur Web ajoutés à cet environnement cloisonné.
Guide d'administration du routeur RV160x
67
Sans fil
Portail captif
L'authentification utilise un portail captif qui initie l'authentification. Lorsqu'un client non authentifié tente
de se connecter à une page Web (sur le port 80), la requête est interceptée par un démon et redirigée vers le
portail captif (port UI).
Vous pouvez configurer le portail captif pour chaque réseau sans fil virtuel de votre appareil en l'associant à
un profil de portail. Vous pouvez aussi afficher l'état du portail captif en sélectionnant État et statistiques >
Trafic du portail captif. Reportez-vous à la section Paramètres de base, à la page 61 pour des instructions
sur l'activation d'un profil de portail captif.
Pour créer un profil de portail captif :
Étape 1
Cliquez sur Sans fil > Portail captif.
Étape 2
Sur la page du portail captif, cliquez sur Ajouter sous la Table des profils du portail. Pour modifier un profil de portail
existant, cochez la case correspondante et cliquez sur Modifier.
Étape 3
Sur la page Ajouter un profil pour le portail captif, configurez les paramètres suivants :
Étape 4
Nom du profil
Donnez un nom au profil de portail captif.
Authentification
Indiquez si vous souhaitez activer (Auth.) ou désactiver (Pas d'auth.) l'authentification.
Connexion utilisateur
alternative, redirection
Sélectionnez URL originale ou Une nouvelle URL et saisissez l'URL dans la zone de
texte pour rediriger les utilisateurs vers cette URL après l'authentification.
Délai d'expiration de
session inactive
Définissez la durée de vie de l'authentification en secondes, de 0 à 1 440. 0 indique une
durée indéfinie.
Dans la section Personnalisation de la page du portail, configurez les paramètres suivants :
Couleur de police
Dans la liste déroulante, sélectionnez la couleur de la police pour le texte qui s'affichera
sur la page
Image d'arrière-plan
Cliquez sur Parcourir et sélectionnez l'image à afficher en arrière-plan de la page du
portail.
Nom de la société
Spécifiez le nom de société qui sera affiché.
Logo de l'entreprise
Cliquez sur Parcourir et sélectionnez l'image du logo d'entreprise à afficher.
Message de bienvenue
Saisissez le message de bienvenue à afficher lors de la connexion.
Champ du nom
d'utilisateur
Saisissez le texte à afficher pour le champ du nom d'utilisateur.
Champ du mot de passe
Saisissez le texte à afficher pour le champ du mot de passe.
Nom du bouton de
connexion
Saisissez le texte affiché sur le bouton de connexion.
Message sur les droits
d'auteur
Saisissez le texte standard sur le droit d'auteur associé à votre société.
Message d'erreur à afficher Saisissez le message d'erreur à afficher lorsque la connexion échoue.
lorsque la connexion échoue
Guide d'administration du routeur RV160x
68
Sans fil
Ambassadeur de lobby
Message à afficher lorsque Saisissez le message à afficher lorsque le nombre maximal de connexions est dépassé.
le nombre maximal de
connexions est dépassé.
Afficher le contrat
d'utilisation
Cochez la case Activer pour accepter les conditions d'utilisation.
Titre du contrat
d'utilisation
Saisissez un titre pour le texte du contrat.
Message du contrat
d'utilisation
Saisissez les termes du contrat qui seront affichés.
Étape 5
Cliquez sur Aperçu pour afficher un aperçu des nouveaux paramètres.
Étape 6
Cliquez sur Appliquer.
Ambassadeur de lobby
Un ambassadeur de lobby peut créer et gérer les comptes d'utilisateurs invités sur le routeur sans fil.
L'ambassadeur de lobby dispose de privilèges de configuration limités ; il peut accéder uniquement aux pages
Web utilisées pour gérer les comptes d'invités. L'ambassadeur de lobby peut spécifier le délai d'activité des
comptes d'utilisateurs invités. Une fois ce délai écoulé, les comptes d'utilisateurs invités expirent
automatiquement. Par défaut, la page Ambassadeur de lobby est masquée ou grisée. Pour utiliser cette fonction,
procédez de la façon suivante :
Étape 1
Activez le service Ambassadeur de lobby pour des groupes d'utilisateurs spécifiques dans la page Configuration
système > Groupes d'utilisateurs.
Étape 2
Activez le portail captif sur un SSID, puis sélectionnez le nom du groupe d'authentification.
Étape 3
Sélectionnez ensuite Sans fil > Ambassadeur de lobby.
Étape 4
Dans la section Ajouter un invité, saisissez un nom d'utilisateur dans le champ correspondant ou cliquez sur Générer
automatiquement pour générer automatiquement un nom d'utilisateur.
Étape 5
Dans le champ Mot de passe, saisissez un mot de passe ou cliquez sur Générer automatiquement pour générer
automatiquement un mot de passe.
Étape 6
Dans la section Date d'expiration, sélectionnez les Jours, Heures et Minutes dans le menu déroulant.
Étape 7
Cochez la case d'option Supprimer le compte invité lorsqu'il expire ou Suspendre le compte invité lorsqu'il
expire pour supprimer ou suspendre le compte de l'ambassadeur de lobby.
Étape 8
Dans le champ SSID, saisissez le SSID en sélectionnant les options dans le menu déroulant.
Étape 9
Cliquez sur Ajouter pour ajouter de nouvelles configurations ou sur Réinitialiser pour recommencer.
Étape 10
Pour modifier ou supprimer un ambassadeur de lobby existant, cliquez sur Modifier ou Supprimer sous Invité.
Étape 11
Cliquez sur Appliquer pour enregistrer les paramètres.
Guide d'administration du routeur RV160x
69
Sans fil
Ambassadeur de lobby
Guide d'administration du routeur RV160x
70
CHAPITRE
8
Routage
Le routage est le processus de sélection des chemins d'accès les mieux adaptés dans un réseau. Le routage
dynamique est une technologie de réseau permettant un routage optimal des données. Grâce au routage
dynamique, les routeurs peuvent sélectionner les chemins d'accès en fonction des modifications apportées en
temps réel au réseau logique. Le protocole de routage exécuté sur le routeur est chargé de la création, de la
maintenance et de la mise à jour de la table de routage dynamique lors du routage dynamique.
Cette section décrit les fonctions de routage de l'appareil. Elle comprend les rubriques suivantes :
• Routage statique, à la page 71
• RIP, à la page 72
• Proxy IGMP, à la page 73
Routage statique
Le routage statique est un chemin d'accès fixe configuré manuellement par lequel doit transiter un paquet
pour atteindre sa destination. En cas d'absence de communication entre les routeurs sur la topologie de réseau
actuelle, le routage statique peut être configuré pour communiquer entre les routeurs. Le routage statique
utilise moins de ressources réseau que le routage dynamique, car il ne calcule pas constamment la prochaine
route à prendre.
Pour configurer le routage statique, procédez de la façon suivante :
Étape 1
Sélectionnez Routage > Routage statique.
Étape 2
Pour les routes IPv4, dans la table WAN, cliquez sur Ajouter et configurez les paramètres suivants : Vous pouvez
modifier une route existante en cochant la case correspondante et en cliquant sur Modifier.
Réseau
Saisissez l'adresse IP du sous-réseau de destination auquel vous souhaitez attribuer une
route statique.
Masque
Saisissez le masque de sous-réseau de l'adresse de destination.
Saut suivant
Saisissez l'adresse IP du routeur utilisé en dernier recours.
Nombre de sauts
Saisissez le nombre maximal de sauts (max. 255).
Interface
Sélectionnez l'interface à utiliser pour cette route statique dans le menu déroulant.
Guide d'administration du routeur RV160x
71
Routage
RIP
Étape 3
Pour les routes IPv6, dans la table WAN, cliquez sur Ajouter et configurez les paramètres suivants : Vous pouvez
modifier une route existante en cochant la case correspondante et en cliquant sur Modifier.
Étape 4
Préfixe
Saisissez le préfixe IPv6.
Durée
Saisissez le nombre de bits de préfixe de l'adresse IP.
Saut suivant
Saisissez l'adresse IP du routeur utilisé en dernier recours.
Nombre de sauts
Saisissez le nombre maximal de sauts (max. 255).
Interface
Sélectionnez l'interface à utiliser pour cette route statique dans le menu déroulant.
Cliquez sur Appliquer.
RIP
Le protocole RIP (protocole d'informations de routage) est le protocole IGP standard utilisé sur les réseaux
locaux (LAN). Le protocole RIP assure une grande stabilité du réseau en redirigeant rapidement les paquets
réseau si l'une des connexions réseau est indisponible. Lorsque le protocole RIP est activé, les utilisateurs
subissent peu, voire aucune interruption de service due à un routeur, commutateur ou serveur unique en panne
si les ressources réseau disponibles sont suffisantes.
Pour configurer le protocole RIP, procédez de la façon suivante :
Étape 1
Sélectionnez Routage > RIP.
Étape 2
Pour activer le protocole RIP, activez l'option pour IPv4 ou pour IPv6, ou les deux, et configurez les paramètres
suivants :
Remarque La transmission de l'annonce RIP sur l'interface WAN est automatiquement désactivée si le protocole NAT
est activé.
Interface
Cochez la case Activer dans l'interface correspondante pour recevoir les routes en
amont.
Remarque Cocher la case Activer pour une interface active automatiquement le
protocole RIP version 1, le protocole RIP version 2, le protocole RIPng
(IPv6) et l'authentification pour cette interface. De même, décocher la
case Activer désactive toutes ces options.
RIP version 1
Ce protocole utilise le routage par classe et n'inclut pas les informations ou
l'authentification du sous-réseau.
• Cochez la case Activer pour activer l'envoi et la réception des informations de
routage sur RIP version 1.
• Cochez la case Passif pour désactiver l'envoi des informations de routage sur
RIP version 1.
Remarque La configuration passive est activée uniquement lorsque vous cochez la
case Activer.
Guide d'administration du routeur RV160x
72
Routage
Proxy IGMP
RIP version 2
Ce protocole sans classe utilise la multidiffusion et l'authentification par mot de
passe.
• Cochez la case Activer pour activer l'envoi et la réception des informations de
routage sur RIP version 2.
• Cochez la case Passif pour désactiver l'envoi des informations de routage sur
RIP version 2.
Remarque La configuration passive est activée uniquement lorsque vous cochez la
case Activer.
RIPng (IPv6)
Le protocole RIP de nouvelle génération (RIPng) utilise les paquets UDP (User
Datagram Packets) pour envoyer les informations de routage. Bien que basé sur le
protocole RIP version 2, il est utilisé pour le routage IPv6.
• Cochez la case Activer pour activer le routage RIP IPv6.
• Cochez la case Passif pour désactiver l'envoi de la version RIPng.
Remarque La configuration passive est activée uniquement lorsque vous cochez la
case Activer.
Authentification (cette fonction Cette fonction de sécurité force l'authentification des paquets RIP avant l'échange
n'est pas disponible pour RIPv1) des routes avec les autres routeurs. Cette fonction n'est pas disponible pour RIPv1.
• Cochez la case Activer pour activer l'authentification de façon à ce que l'échange
des routes n'ait lieu qu'avec les routeurs de confiance sur le réseau.
• Mot de passe : sélectionnez le type d'authentification, à savoir Texte en clair
(méthode d'authentification courante) ou MD5 (mécanisme d'authentification
par stimulation/réponse), puis saisissez le mot de passe.
Étape 3
Cliquez sur Appliquer.
Proxy IGMP
IGMP (Internet Group Management Protocol) est un protocole utilisé pour la multidiffusion. Il est activé entre
les routeurs et les hôtes qui appartiennent à des groupes de multidiffusion. Les adresses IP de multidiffusion
sont une plage spéciale d'adresses IP permettant de réduire le trafic sur le réseau. Lorsqu'un groupe de
multidiffusion est affecté à une adresse de multidiffusion, le trafic de multidiffusion de ce groupe est envoyé
à cette adresse IP. Le protocole IGMP peut être utilisé pour les ressources Web et les applications associées
telles que la diffusion en ligne de vidéos et de jeux. Le proxy IGMP permet au routeur d'émettre des messages
IGMP au nom des clients qui se trouvent derrière lui.
Pour activer le proxy IGMP, procédez de la façon suivante :
Étape 1
Sélectionnez Routage > Proxy IGMP.
Étape 2
Sélectionnez l'option Activer le proxy IGMP pour permettre au routeur et aux nœuds de communiquer entre eux.
Guide d'administration du routeur RV160x
73
Routage
Proxy IGMP
Étape 3
Sélectionnez l'interface en amont dans la liste.
Étape 4
Sélectionnez l'interface en aval dans la liste afin que le proxy IGMP puisse recevoir des demandes d'adhésion IGMP.
Étape 5
Cliquez sur Appliquer.
Guide d'administration du routeur RV160x
74
CHAPITRE
9
Pare-feu
Un pare-feu est une fonction désignée permettant d'éviter tout accès non autorisé par le biais de l'analyse du
trafic réseau entrant et sortant. Le pare-feu examine le trafic et filtre les transmissions qui ne respectent pas
les critères de sécurité spécifiés. Le pare-feu décide du type de paquets autorisés ou rejetés. Cette section
décrit le pare-feu de l'appareil. Elle comprend les rubriques suivantes :
• Paramètres de base, à la page 75
• Règles d'accès, à la page 77
• Traduction des adresses réseau, à la page 78
• NAT statique, à la page 79
• Redirection de ports, à la page 79
• Déclenchement de ports, à la page 80
• NAT conditionnelle, à la page 81
• Délai d'expiration de session, à la page 85
• Hôte DMZ, à la page 85
Paramètres de base
La page Paramètres de base vous permet d'activer et de configurer les paramètres de base. Vous pouvez en
outre ajouter des domaines approuvés à cette liste. Pour configurer les paramètres de base, procédez de la
façon suivante :
Étape 1
Cliquez sur Pare-feu > Paramètres de base, puis définissez les paramètres suivants :
Pare-feu
Cochez la case Activer pour activer les paramètres de pare-feu ; décochez la case
Activer pour désactiver cette fonction.
DoS (Déni de service)
Cochez la case Activer pour activer le DoS. Le déni de service permet de bloquer les
attaques suivantes : Ping fatal, Débit de détection d'inondation SYN [max/sec],
Mystification IP, Echo Storm, Saturation ICMP, Saturation UDP et Saturation TCP.
Remarque Le débit de trafic pour les attaques Inondation SYN, Echo Storm et Saturation
ICMP peut être configuré. Les valeurs par défaut sont les suivantes : 128,
15, et 100, respectivement.
Bloquer la requête WAN
Cochez la case Activer pour bloquer les demandes d'écho ICMP à destination du
réseau WAN.
Guide d'administration du routeur RV160x
75
Pare-feu
Paramètres de base
RESTCONF
RESTCONF normalise l'utilisation des techniques REST pour manipuler les données
décrites dans les modèles de données YANG. YANG est un langage de modélisation
destiné à prendre en charge les appareils netconf. Cochez les cases Activer et LAN
et/ou WAN pour activer RESTCONF.
Port RESTCONF
Saisissez le numéro du port RESTCONF. La valeur par défaut est 443.
NETCONF
Le protocole NETCONF définit un mécanisme simple qui permet de gérer un appareil
réseau, de récupérer des informations sur les données de configuration et de charger et
manipuler de nouvelles données de configuration. Cochez les cases Activer et LAN
et/ou WAN pour activer NETCONF.
Port NETCONF
Saisissez le numéro du port NETCONF.
Gestion Web LAN/VPN
Cochez la case Activer pour activer la gestion Web LAN/VPN. Sélectionnez ensuite
HTTP ou HTTPS, puis saisissez le numéro de port dans le champ Port.
Gestion Web à distance
Cochez la case Activer pour activer la gestion Web à distance.
• Sélectionnez HTTP ou HTTPS, puis saisissez le port (par défaut : 443, plage :
1025-65535).
Adresse IP distante
autorisée
Cochez la case Toutes les adresses IP ou Plage d'adresses IPv4 ou IPv6, puis saisissez
un expéditeur et des destinataires pour l'accès à distance.
ALG SIP (passerelle de la
couche application de
protocole d'initiation de
session)
Cochez la case Activer pour autoriser l'ALG SIP. Cette fonction permet de traduire
puis de coder une nouvelle fois dans le paquet les messages SIP qui transitent par un
périphérique configuré avec le mode NAT (Network Address Translation, traduction
des adresses réseau).
Port ALG FTP
Saisissez le numéro de port. La valeur par défaut est 21. Le port ALG FTP traduit les
paquets FTP.
UPnP (Universal Plug and Cochez la case Activer pour activer le protocole UPnP. UPnP est un ensemble de
Play)
protocoles réseau qui permet aux appareils sans fil (ordinateurs, imprimantes, passerelles
Internet, points d'accès Wi-Fi et terminaux mobiles) de se détecter entre eux sur le
réseau et d'établir des services réseau fonctionnels pour le partage de données et les
communications.
Étape 2
Dans la section Restreindre les fonctionnalités Web, configurez les paramètres suivants :
Bloquer Cochez cette case pour restreindre les fonctionnalités Web suivantes :
• Java : bloque la fonctionnalité Web Java.
• Cookies : bloque les cookies.
• ActiveX : bloque ActiveX.
• Accès aux serveurs proxy HTTP : bloque les serveurs proxy HTTP.
Exception Cochez la case Activer pour autoriser uniquement les fonctionnalités Web sélectionnées, telles que Java,
Cookies, ActiveX ou Accès aux serveurs proxy HTTP et restreindre toutes les autres.
Étape 3
Dans la Table des domaines approuvés, activez l'option Nom du domaine pour modifier les paramètres du domaine
existant.
Guide d'administration du routeur RV160x
76
Pare-feu
Règles d'accès
Étape 4
Cliquez sur Ajouter, Modifier ou Supprimer pour ajouter, modifier ou supprimer un domaine.
Étape 5
Cliquez sur Appliquer.
Règles d'accès
Il est possible de configurer des règles pour filtrer les paquets en fonction de paramètres spécifiques tels que
l'adresse IP ou les ports. Pour configurer les règles d'accès, procédez de la façon suivante.
Étape 1
Sélectionnez Pare-feu > Règles d'accès.
Étape 2
Dans la table des règles d'accès IPv4 ou IPv6, cliquez sur Ajouter (ou sélectionnez la ligne et cliquez sur Modifier)
et configurez les paramètres suivants :
État de la règle
Sélectionnez Activer pour activer la règle d'accès spécifique. Désélectionnez cette
option pour la désactiver.
Action
Sélectionnez Autoriser ou Refuser dans la liste déroulante.
Services
• IPv4 : sélectionnez le service auquel appliquer la règle IPv4.
• IPv6 : sélectionnez le service auquel appliquer la règle IPv6.
• Services : sélectionnez le service dans la liste déroulante.
Journal
Sélectionnez une option dans la liste déroulante.
• Toujours : les journaux qui correspondent au paquet répondant aux règles
s'affichent.
• Jamais : aucun journal n'est requis.
Interface source
Sélectionnez l'interface source dans la liste déroulante.
Adresse source
Sélectionnez l'adresse IP source à laquelle la règle est appliquée, puis saisissez les
informations suivantes :
• Toutes : toutes les adresses IP sont sélectionnées.
• Unique : saisissez une adresse IP.
• Sous-réseau : indiquez le sous-réseau d'un réseau.
• Plage IP : saisissez la plage d'adresses IP.
Interface de destination
Sélectionnez l'interface source dans la liste déroulante.
Guide d'administration du routeur RV160x
77
Pare-feu
Traduction des adresses réseau
Adresse de destination
Sélectionnez l'adresse IP de destination à laquelle la règle est appliquée, puis saisissez
les informations suivantes :
• Toutes : toutes les adresses IP sont sélectionnées.
• Unique : saisissez une adresse IP.
• Sous-réseau : indiquez le sous-réseau d'un réseau.
• Plage IP : saisissez la plage d'adresses IP.
Nom de l'horaire
Sélectionnez Toujours, Bureau, Soirée, Marketing ou Heures de travail dans la
liste déroulante pour appliquer la règle de pare-feu. Cliquez ensuite ici pour configurer
les horaires.
Étape 3
Cliquez sur Appliquer.
Étape 4
Cliquez sur Restaurer les valeurs par défaut pour restaurer les paramètres par défaut.
Étape 5
Cliquez sur Gestion des services.
Étape 6
Pour ajouter un service, cliquez sur Ajouter sous la Table des services.
Pour modifier un service, sélectionnez la ligne correspondante et cliquez sur Modifier.
Modifiez les champs correspondants.
Étape 7
La liste peut comporter de nombreux services :
• Nom : nom du service ou de l'application.
• Protocole : sélectionnez un protocole dans la liste déroulante.
• Port de début/Type ICMP/Protocole IP : plage des numéros de port réservés à ce service.
• Port de fin/Code ICMP : dernier numéro de port réservé à ce service.
Étape 8
Cliquez sur Appliquer.
Traduction des adresses réseau
La traduction des adresses réseau (NAT) permet aux réseaux IP privés dotés d'adresses IP non enregistrées
de se connecter au réseau. Le protocole NAT traduit les adresses privées du réseau interne en adresses publiques
avant la redirection des paquets vers le réseau public.
Pour configurer le protocole NAT, procédez de la façon suivante :
Étape 1
Cliquez sur Pare-feu > Traduction des adresses réseau.
Étape 2
Dans la Table NAT, cochez la case Activer NAT pour activer les interfaces dans la liste des interfaces.
Étape 3
Cliquez sur Appliquer.
Guide d'administration du routeur RV160x
78
Pare-feu
NAT statique
NAT statique
La fonctionnalité NAT statique permet de protéger les périphériques LAN contre les détections et les attaques.
La fonctionnalité NAT statique crée une relation qui met en correspondance une adresse IP de réseau WAN
valide avec des adresses IP LAN masquées sur le WAN (Internet) par le mécanisme NAT.
Étape 1
Cliquez sur Pare-feu > NAT statique.
Étape 2
Dans la table NAT statique, cliquez sur Ajouter (ou sélectionnez la ligne et cliquez sur Modifier) et configurez les
paramètres suivants :
Cochez cette case pour activer la fonctionnalité NAT statique.
Activer
Début de la plage IP privée Saisissez l'adresse IP de début de la plage d'adresses IP interne à mettre en
correspondance avec la plage publique.
Début de la plage IP
publique
Saisissez l'adresse IP de début de la plage d'adresses IP interne fournie par le FAI.
Longueur de la plage
Saisissez le nombre d'adresses IP de la plage.
Remarque N'incluez pas l'adresse IP de réseau WAN du routeur dans cette plage.
Remarque La longueur de plage ne doit pas dépasser le nombre d'adresses IP valides.
Pour mettre en correspondance une seule adresse, saisissez 1.
Services
Sélectionnez le nom du service dans la liste déroulante à appliquer à la fonctionnalité
NAT statique.
Interfaces
Sélectionnez le nom de l'interface dans la liste déroulante.
Étape 3
Cliquez sur Gestion des services.
Étape 4
Pour ajouter un service, cliquez sur Ajouter sous la Table des services. Pour modifier ou supprimer un service,
sélectionnez la ligne et cliquez sur Modifier ou sur Supprimer. Modifiez les champs correspondants.
Étape 5
Configurez les services suivants :
• Nom : nom du service ou de l'application.
• Protocole : saisissez le protocole.
• Port de début/Type ICMP/Protocole IP : saisissez la plage des numéros de port réservés à ce service.
• Port de fin/Code CMP : saisissez le dernier numéro de port réservé à ce service.
Étape 6
Cliquez sur Appliquer.
Redirection de ports
La redirection de ports permet un accès public aux services sur les appareils réseau sur le LAN en ouvrant un
port spécifique ou une plage de ports pour un service tel que FTP. La redirection de ports ouvre une plage de
Guide d'administration du routeur RV160x
79
Pare-feu
Déclenchement de ports
ports pour les services tels que les jeux Internet, qui utilise des ports alternatifs pour communiquer entre le
serveur et l'hôte LAN.
Pour configurer la redirection de ports, procédez de la façon suivante :
Étape 1
Cliquez sur Pare-feu > Redirection de ports.
Étape 2
Dans la table Redirection de ports, cliquez sur Ajouter (ou sélectionnez la ligne et cliquez sur Modifier), puis configurez
les paramètres suivants :
Activer
Cochez la case Activer pour activer la redirection de ports.
Service externe
Sélectionnez un service externe dans la liste déroulante. Si un service ne figure pas
dans la liste, vous pouvez l'ajouter ou modifier la liste en suivant les instructions de la
section Gestion des services.
Service interne
Sélectionnez un service interne dans la liste déroulante. Si un service ne figure pas dans
la liste, vous pouvez l'ajouter ou modifier la liste en suivant les instructions de la section
Gestion des services.
Adresse IP interne
Saisissez les adresses IP internes du serveur.
Interfaces
Sélectionnez l'interface dans la liste déroulante à laquelle appliquer la redirection de
ports.
Pour ajouter ou modifier une entrée dans la liste des services, procédez comme suit :
Étape 3
Cliquez sur Gestion des services.
Étape 4
Dans la Table des services, cliquez sur Ajouter (ou sélectionnez la ligne et cliquez sur Modifier), puis configurez les
paramètres suivants :
• Nom de l'application : nom du service ou de l'application.
• Protocole : protocole requis. Consultez la documentation du service que vous hébergez.
• Port de début/Type ICMP/Protocole IP : plage des numéros de port réservés à ce service.
• Port de fin : dernier numéro de port réservé à ce service.
Étape 5
Cliquez sur Appliquer.
Étape 6
Dans la table de redirection de ports UPnP, cliquez sur le bouton Actualiser pour actualiser les données. Les règles de
redirection de ports pour UPnP sont ajoutées de façon dynamique à l'application UPnP.
Déclenchement de ports
Le déclenchement de ports permet à un port spécifique ou à une plage de ports de s'ouvrir pour recevoir le
trafic entrant après que l'utilisateur a envoyé le trafic sortant via le port de déclenchement. Le déclenchement
de ports permet au périphérique de contrôler les données sortantes pour des numéros de port spécifiques. Le
périphérique rappelle l'adresse IP du client ayant envoyé les données correspondantes. Lorsque les données
demandées transitent à nouveau par le périphérique, elles sont envoyées vers le client approprié grâce aux
règles d'adressage IP et de mappage de ports.
Guide d'administration du routeur RV160x
80
Pare-feu
NAT conditionnelle
Pour ajouter ou modifier un service dans la table de déclenchement de ports, configurez les paramètres
suivants :
Étape 1
Cliquez sur Ajouter (ou sélectionnez la ligne et cliquez sur Modifier), puis saisissez les informations suivantes :
Activer
Cochez cette case pour activer le déclenchement de port.
Nom de l'application
Saisissez le nom de l'application.
Service de déclenchement
Sélectionnez un service dans la liste déroulante. Si un service ne figure pas dans la
liste, vous pouvez l'ajouter ou modifier la liste en suivant les instructions de la section
Gestion des services.
Service entrant
Sélectionnez un service dans la liste déroulante. Si un service ne figure pas dans la
liste, vous pouvez l'ajouter ou modifier la liste en suivant les instructions de la section
Gestion des services.
Interfaces
Sélectionnez l'interface dans la liste déroulante.
Étape 2
Cliquez sur Gestion des services pour ajouter ou modifier une entrée dans la liste des services.
Étape 3
Dans la Table des services, cliquez sur Ajouter ou sur Modifier et configurez les paramètres suivants :
• Nom de l'application : nom du service ou de l'application.
• Protocole : protocole requis. Consultez la documentation du service que vous hébergez.
• Port de début/Type ICMP/Protocole IP : plage des numéros de port réservés à ce service.
• Port de fin/Code ICMP : dernier numéro de port réservé à ce service.
Étape 4
Cliquez sur Appliquer.
NAT conditionnelle
La fonctionnalité NAT conditionnelle permet d'identifier l'adresse réelle à des fins de traduction des adresses
en spécifiant l'adresse source et l'adresse de destination dans une liste d'accès étendue. Vous pouvez spécifier
des ports source et de destination. La fonctionnalité NAT conditionnelle permet de créer des règles NAT
flexibles pour les utilisateurs avancés. Avant de configurer ces règles, vous devez bien comprendre cette
fonctionnalité et les cas d'utilisation qui sont les vôtres. Des paramètres non valides peuvent être acceptés,
mais risquent de ne pas fonctionner. Pour la plupart des utilisateurs, il est recommandé d'utiliser la fonction
Redirection de ports ou NAT statique.
Remarque
La traduction d'adresses dynamique (DNAT) est une forme avancée de traduction d'adresses réseau qui
demande au routeur de traduire l'adresse IP, mais pas le numéro de port. Cette approche dynamique permet
de mapper les adresses d'un grand nombre d'ordinateurs internes sur des adresses IP routables. Pour DNAT,
vous devez définir l'interface sur toutes.
Pour configurer la fonctionnalité NAT conditionnelle, procédez de la façon suivante :
Guide d'administration du routeur RV160x
81
Pare-feu
Exemples d'utilisation de la fonctionnalité NAT conditionnelle
Étape 1
Sélectionnez Pare-feu > NAT conditionnelle.
Étape 2
Cliquez sur Ajouter pour ajouter une nouvelle règle de NAT conditionnelle.
Étape 3
Saisissez un nom pour la nouvelle règle de NAT conditionnelle.
Étape 4
Cochez la case Activer pour activer la fonctionnalité NAT conditionnelle.
Étape 5
Dans la section Interface de début, sélectionnez l'interface dans la liste déroulante.
Étape 6
Dans la section Interface de fin, sélectionnez l'interface dans la liste déroulante.
Étape 7
Dans la section Adresse source, sélectionnez Toutes ou Utiliser un nouveau groupe IP pour créer une nouvelle
adresse. Cochez ensuite la case Traduite, puis sélectionnez une option dans la liste déroulante.
Étape 8
Dans la section Adresse de destination, sélectionnez Toutes ou Utiliser un nouveau groupe IP pour créer une
nouvelle adresse. Cochez ensuite la case Traduite, puis sélectionnez une option dans la liste déroulante.
Étape 9
Dans la section Service, sélectionnez une option dans la liste déroulante. Cochez la case, puis sélectionnez l'option
Traduite dans la liste déroulante.
Remarque Vous pouvez créer ou sélectionner l'adresse source ou le groupe IP dans la page des adresses IP située sous
la page Configuration système. S'il s'agit d'un enregistrement de gestion des services, vous êtes redirigé
vers la page Gestion des services sous le groupe d'adresses IP.
Étape 10
Cliquez sur Appliquer.
Étape 11
Cliquez sur Modifier ou sur Supprimer pour modifier ou supprimer une NAT conditionnelle existante.
Étape 12
Cliquez sur Appliquer.
Exemples d'utilisation de la fonctionnalité NAT conditionnelle
La fonctionnalité NAT conditionnelle permet d'identifier les adresses réelles pour les traduire, en spécifiant
les adresses sources et de destination dans une liste d'accès étendue. Vous pouvez spécifier des ports source
et de destination. La fonctionnalité NAT standard prend uniquement en compte les adresses sources, pas
l'adresse de destination. Par exemple, avec la fonctionnalité NAT conditionnelle, vous pouvez traduire l'adresse
réelle en une adresse mappée lorsqu'elle accède à un serveur spécifique, mais aussi traduire l'adresse réelle
en une adresse mappée lorsqu'elle accède un serveur désigné. Voici des exemples d'utilisation de la
fonctionnalité NAT conditionnelle.
Exemple 1 : L'adresse source du trafic HTTP est traduite en une autre adresse publique pour le trafic initié
par le même hôte LAN.
Topologie: PC1 –– LAN[RV260W]WAN –– (Internet) –– PC2
• PC1: 192.168.1.111
• RV260W LAN : 192.168.1.1
• RV260W WAN : 172.16.1.1/24
• PC2: 172.16.1.100
Objectif : Le trafic HTTP est traduit par une nouvelle adresse publique (172.16.1.10), tandis que le trafic non
HTTP est traduit par une adresse WAN pour PC1.
Objet de l'adresse : Configurez l'adresse sur PC1 comme une adresse IP simple de 192.168.1.111 et l'alias
WAN comme la nouvelle adresse publique de 172.16.1.10.
Guide d'administration du routeur RV160x
82
Pare-feu
Exemples d'utilisation de la fonctionnalité NAT conditionnelle
Résultat : L'adresse source est traduite par 172.16.1.10 lors de l'activation du trafic HTTP depuis PC1. Lors
de l'activation du trafic FTP depuis PC1, l'adresse source est traduite par l'adresse WAN d'origine de 172.16.1.1.
Exemple 2
Topologie PC1/PC10 –– LAN[RV260W]WAN –– (Internet) –– PC2
• PC1 : 192.168.1.111
• PC10 : 192.168.1.10
• RV260W LAN : 192.168.1.1
• RV260W WAN : 172.16.1.1/24
• PC : 172.16.1.100
Objectif : Utilisez l'adresse source pour permettre au PC de la traduire en une adresse publique spécifique
tandis que les autres se traduisent par une adresse WAN.
Objet de l'adresse: Configurez l'adresse sur PC1 en 192.168.1.111, sur PC10 en 192.168.1.10, l'alias WAN
en 172.16.1.10 et l'alias 2 WAN en 172.16.1.11.
Résultat : Activez le trafic issu de PC1, PC10 et des autres PC. Le trafic venant de PC1 et PC10 est traduit
par 172.16.1.10 et 172.16.1.11 respectivement. Le trafic provenant des autres PC est traduit par l'adresse
WAN 172.16.1.1.
Exemple 3
Le sous-réseau VLAN2 exécute la fonctionnalité NAT tandis que VLAN1 et les autres sous-réseaux sont en
mode de routage.
Topologie PC1/PC10 –– LAN[RV260W]WAN –– (Intranet) –– PC2
• PC1 : 192.168.1.111, sur VLAN1
• PC10 : 192.168.2.10, sur VLAN2
• RV260W LAN : 192.168.1.1 (VLAN1), 192.168.2.1 (VLAN2)
• RV260W WAN : 172.16.1.1/24
• PC2 : 172.16.1.100
Remarque: Désactivez la fonctionnalité NAT globale sur WAN1.
Objet de l'adresse: Configurez le sous-réseau VLAN2 sur 192.168.2.0/24.
Résultat: Le trafic VLAN provenant du sous-réseau VLAN2 est traduit en trafic IP WAN. Le reste du trafic
provenant de VLAN2 sort du WAN en mode routé (l'adresse source n'est pas traduite).
Exemple 4
Vous configurez VLAN1 avec le sous-réseau A et VLAN2 avec le sous-réseau B. Les deux sous-réseaux font
l'objet d'une traduction NAT vers le WAN : le sous-réseau A vers une adresse IP publique 1 et le sous-réseau
B vers une adresse IP publique 2.
Topologie PC1/PC10 –– LAN[RV260W]WAN –– (Internet) –– PC2
• PC1 : 192.168.1.111, sur VLAN1
• PC10 : 192.168.2.10, sur VLAN2
Guide d'administration du routeur RV160x
83
Pare-feu
Exemples d'utilisation de la fonctionnalité NAT conditionnelle
• RV260W LAN : 192.168.1.1 (VLAN1), 192.168.2.1 (VLAN2)
• RV260W WAN : 172.16.1.1/24
• PC2 : 172.16.1.100
Résultat : PC1, sur VLAN1, est traduit en l'alias WAN 172.16.1.10, tandis que PC10, sur VLAN2, est traduit
en l'alias 2 WAN 172.16.1.11.
Exemple 5
Les hôtes LAN généraux sont traduits en adresses IP WAN lorsqu'ils accèdent à Internet. Le client OpenVPN
est traduit en une autre adresse publique lorsqu'il accède à Internet.
Objet de l'adresse: Configurez l'alias WAN sur 172.16.1.10 et OpenVPN sur 10.1.4.0/24.
Résultat: Le PC accède au serveur Internet et l'utilisateur LAN général est traduit par l'adresse IP WAN
172.16.1.1. Le client OpenVPN (PC2) se traduit par 172.16.1.10.
Exemple 6
Autorisez uniquement certains hôtes Internet à accéder au serveur côté LAN.
Topologie PC1/PC10 –– LAN[RV260W]WAN –– PC2
• PC1 : 192.168.1.111/24
• RV260W LAN : 192.168.1.1/24
• RV260W WAN : 172.16.1.1/24, GW 172.16.1.2
• PC2 : 172.16.1.110
Objet de l'adresse : Configurez les hôtes autorisés sur 172.16.1.100-110, l'IP WAN sur 172.16.1.1 et PC1
sur 192.168.1.111.
Remarque : Sélectionnez l'option Any (Tous) pour l'interface de destination du préroutage DNAT. Le
périphérique transfère le trafic à l'interface appropriée en fonction de l'adresse de destination traduite. Vous
ne pouvez pas configurer une interface VLAN spécifique.
Résultat : L'adresse de PC2 est 172.16.1.110, et il peut accéder à PC1 via http://172.16.1.1. Modifiez l'adresse
du PC en utilisant une adresse hors de la plage 172.16.1.100-110 s'il ne peut pas accéder au serveur interne.
Exemple 7
Autorisez uniquement certains hôtes Internet à accéder au serveur LAN avec une règle de type 1:1.
Topologie PC1/PC10 –– LAN[RV260W]WAN –– PC2
• PC1 : 192.168.1.111/24.
• RV260W LAN : 192.168.1.1/24
• RV260W WAN : 172.16.1.1/24, GW 172.16.1.2.
• PC2 : 172.16.1.110
Objet de l'adresse: Configurez les hôtes autorisés sur 172.16.1.100-110, l'alias WAN sur 172.16.1.10 et PC1
sur 192.168.1.111.
Résultat: Seul les hôtes de la plage 172.16.1.100-110 peuvent accéder à PC1 via 172.16.1.10.
Guide d'administration du routeur RV160x
84
Pare-feu
Délai d'expiration de session
Délai d'expiration de session
Dans la section Délai d'expiration de session, vous pouvez configurer le délai d'expiration de la session et le
nombre maximal de connexions simultanées pour les flux TCP/UDP/ICMP. Le délai d'expiration de session
indique le délai d'expiration d'une session TCP ou UDP après une période d'inactivité.
Pour configurer le délai d'expiration de session, procédez de la façon suivante :
Étape 1
Cliquez sur Pare-feu > Délai d'expiration de session.
Étape 2
Configurez les paramètres suivants :
Étape 3
Délai d'expiration de
session TCP
Saisissez la valeur du délai d'expiration des sessions TCP, en secondes. Les sessions TCP
inactives sont supprimées de la table des sessions après ce délai (plage comprise entre
30 et 1 800, valeur par défaut 1 800).
Délai d'expiration de
session UDP
Saisissez la valeur du délai d'expiration des sessions UDP, en secondes. Les
sessions UDP inactives sont supprimées de la table des sessions après ce délai (plage
comprise entre 30 et 86 400, valeur par défaut 30).
Délai d'expiration de
session ICMP
Saisissez la valeur du délai d'expiration des sessions ICMP, en secondes. Les
sessions ICMP inactives sont supprimées de la table des sessions après ce délai (plage
comprise entre 15 et 60, valeur par défaut 30).
Nombre maximal de
connexions simultanées
Saisissez le nombre maximal de connexions simultanées autorisées (plage comprise
entre 10 000 et 15 000, valeur par défaut 15 000).
Connexions actives
Indiquez le nombre de connexions actives.
Supprimer les connexions
Cliquez sur ce bouton pour supprimer les connexions actives.
Cliquez sur Appliquer.
Hôte DMZ
Une DMZ est un sous-réseau ouvert au public, bien que derrière le pare-feu. Grâce à la DMZ, les paquets qui
accèdent au port WAN peuvent être redirigés vers une adresse IP spécifique sur le réseau LAN.
L'hôte DMZ permet à un hôte sur le réseau local d'être visible sur Internet afin d'utiliser des services tels que
les jeux ou la visioconférence sur Internet, le Web ou les serveurs de messagerie. L'accès à l'hôte DMZ à partir
d'Internet peut être restreint à l'aide des règles d'accès du pare-feu. Activez l'hôte DMZ avec prudence, car
tous les services de cet hôte seront exposés à Internet.
Pour configurer l'hôte DMZ, procédez de la façon suivante :
Étape 1
Sélectionnez Pare-feu > Hôte DMZ.
Étape 2
Dans Hôte DMZ, sélectionnez Activer.
Étape 3
Saisissez l'Adresse IP de l'hôte DMZ.
Guide d'administration du routeur RV160x
85
Pare-feu
Hôte DMZ
Étape 4
Cliquez sur Appliquer.
Guide d'administration du routeur RV160x
86
CHAPITRE
10
VPN
Un réseau privé virtuel (VPN) permet d'établir une connexion cryptée sur un réseau moins sécurisé. Le réseau
VPN garantit un niveau de sécurité approprié pour les systèmes connectés lorsque l'infrastructure réseau
sous-jacente n'a pas les capacités de le faire. Un tunnel est établi en tant que réseau privé pouvant envoyer
des données de façon sécurisée à l'aide de méthodes de cryptage et d'authentification standard.
Une connexion de réseau privé virtuel (VPN) entre deux terminaux est appelée « tunnel IP ». Le tunnel est
créé via une méthode d'encapsulation, qui encapsule les données dans un protocole connu (IP) approuvé par
les deux terminaux. Le tunnel crée un circuit virtuel entre les deux terminaux et fait apparaître la connexion
comme connexion dédiée, même si elle couvre l'infrastructure Internet.
Un VPN d'accès distant repose généralement sur le protocole IPSec ou SSL pour sécuriser la connexion. Les
VPN fournissent un accès de couche 2 au réseau cible ; ils nécessitent l'exécution d'un protocole de tunneling
tel que PPTP ou L2TP sur la connexion IPSec de base. Le VPN IPSec prend en charge le VPN site à site pour
un tunnel passerelle à passerelle et le VPN client à serveur pour un tunnel hôte à passerelle. Par exemple, un
utilisateur peut configurer un tunnel VPN sur un site distant pour le connecter au routeur du siège et pouvoir
accéder en toute sécurité au réseau d'entreprise. Le VPN client à serveur permet de connecter un ordinateur
portable ou de bureau à un réseau d'entreprise via un serveur VPN.
Cette section décrit les fonctions VPN de l'appareil. Elle comprend les rubriques suivantes :
• Assistant de configuration du VPN, à la page 87
• IPSec VPN, à la page 90
• OpenVPN, à la page 98
• Serveur PPTP, à la page 99
• Tunnel GRE, à la page 100
• Intercommunication VPN, à la page 101
• Allocation des ressources, à la page 101
Assistant de configuration du VPN
Un réseau privé virtuel (VPN) permet d'établir une connexion cryptée sur un réseau moins sécurisé. Le réseau
VPN garantit un niveau de sécurité approprié pour les systèmes connectés lorsque l'infrastructure réseau
sous-jacente n'a pas les capacités de le faire. Un tunnel est établi en tant que réseau privé pouvant envoyer
des données de façon sécurisée à l'aide de méthodes de cryptage et d'authentification standard. Un VPN d'accès
distant repose généralement sur le protocole IPSec ou SSL pour sécuriser la connexion. Les VPN fournissent
un accès de couche 2 au réseau cible ; ils nécessitent l'exécution d'un protocole de tunneling tel que PPTP ou
L2TP sur la connexion IPSec de base. Le VPN IPSec prend en charge le VPN site à site pour un tunnel
Guide d'administration du routeur RV160x
87
VPN
Assistant de configuration du VPN
passerelle à passerelle et le VPN client à serveur pour un tunnel hôte à passerelle. Par exemple, un utilisateur
peut configurer un tunnel VPN sur un site distant pour le connecter au routeur du siège et pouvoir accéder en
toute sécurité au réseau d'entreprise. Le VPN client à serveur permet de connecter un ordinateur portable ou
de bureau à un réseau d'entreprise via un serveur VPN.
Pour démarrer l'Assistant de configuration du VPN, procédez de la façon suivante :
Étape 1
Cliquez sur VPN > Assistant de configuration du VPN.
Étape 2
Dans la section Mise en route, saisissez un nom de connexion dans la zone Attribuer un nom de connexion.
Étape 3
Sélectionnez une interface dans la liste déroulante.
Étape 4
Cliquez sur Suivant.
Étape 5
Dans la section Paramètres du routeur distant, sélectionnez un type de connexion distante dans la liste déroulante. Si
vous sélectionnez IP statique ou Nom de domaine complet, saisissez la connexion distante dans le champ Connexion
distante.
Étape 6
Cliquez sur Suivant pour passer à l'écran suivant.
Étape 7
Dans la section Réseaux local et distant, sous Sélection de trafic en local, sélectionnez l'adresse IP locale (Sous-réseau,
Adresse individuelle ou Toutes) dans la liste déroulante. Si vous sélectionnez Sous-réseau, saisissez l'adresse IP
et le masque de sous-réseau. Si vous sélectionnez Adresse individuelle, saisissez l'adresse IP.
Étape 8
Sous Sélection de trafic distant, sélectionnez l'adresse IP distante (Sous-réseau ou Adresse individuelle) dans la
liste déroulante. Si vous sélectionnez Sous-réseau, saisissez l'adresse IP et le masque de sous-réseau. Si vous
sélectionnez Adresse individuelle, saisissez l'adresse IP.
Étape 9
Cliquez sur Suivant.
Étape 10
Dans la section Réseaux local et distant, attribuez un nom au profil IPSec dans la liste déroulante.
• Si le profil IPSec par défaut est sélectionné, définissez les paramètres suivants :
Clé prépartagée
Clé prépartagée à utiliser pour authentifier l'homologue IKE distant. Vous pouvez
saisir jusqu'à 30 caractères clavier ou valeurs hexadécimales, tels que Mon_@123 ou
4d795f40313233. Les deux extrémités du tunnel VPN doivent utiliser la même clé
prépartagée.
Il est fortement recommandé de modifier régulièrement la clé prépartagée afin
d'optimiser la sécurité du VPN.
Vous pouvez afficher la clé prépartagée en sélectionnant Activer.
• Si vous sélectionnez un nouveau profil IPSec et la version IKE 1 et 2, définissez les paramètres suivants :
Options Phase 1
Groupe Diffie-Hellman
(DH)
Sélectionnez un groupe DH (Groupe 2 ou Groupe 5) dans la liste déroulante. DH
est un protocole d'échange de clés comportant deux groupes de différentes longueurs
de clés principales : Le Groupe 2 comporte jusqu'à 1 024 bits, et le Groupe 5 jusqu'à
1 536 bits.
Pour obtenir un débit plus rapide au détriment de la sécurité, sélectionnez le Groupe 2.
Pour obtenir un débit moins rapide, mais une sécurité plus élevée, sélectionnez le
Groupe 5. Le Groupe 2 est sélectionné par défaut.
Guide d'administration du routeur RV160x
88
VPN
Assistant de configuration du VPN
Cryptage
Sélectionnez l'option de cryptage (3DES, AES-128, AES-192 ou AES-256) dans la
liste déroulante. Cette méthode détermine l'algorithme utilisé pour crypter ou décrypter
les paquets ESP/ISAKMP.
Authentification
La méthode d'authentification détermine le mode de validation des paquets d'en-têtes
ESP (Encapsulating Security Payload). MD5 est un algorithme de hachage
unidirectionnel produisant un prétraitement 128 bits. SHA1 est un algorithme de
hachage unidirectionnel produisant un prétraitement 160 bits. L'algorithme SHA1 est
recommandé, car il est plus sécurisé. Assurez-vous que les deux extrémités du
tunnel VPN utilisent la même méthode d'authentification. Sélectionnez une méthode
d'authentification (MD5, SHA1 ou SHA2-256).
Durée de vie SA (secondes) Durée d'activité d'une association de sécurité (SA) IKE dans cette phase (plage
comprise entre 120 et 86 400, 28 800 étant la valeur par défaut).
Clé prépartagée
Saisissez la clé prépartagée à utiliser pour authentifier l'homologue IKE distant. Vous
pouvez saisir jusqu'à 30 caractères clavier ou valeurs hexadécimales, tels que
Mon_@123 ou 4d795f40313233. Les deux extrémités du tunnel VPN doivent utiliser
la même clé prépartagée.
Nous vous recommandons de modifier régulièrement la clé prépartagée afin de
maximiser la sécurité VPN.
Options Phase 2
Sélection du protocole
Sélectionnez un protocole dans la liste déroulante.
• AH : sélectionnez AH pour assurer l'intégrité des données dans les cas où les
données ne sont pas secrètes, mais doivent être authentifiées.
• ESP : sélectionnez ESP pour crypter les données, puis indiquez la méthode de
cryptage.
Cryptage
Sélectionnez le cryptage (3DES, AES-128, AES-192 ou AES-256) dans la liste
déroulante. Cette méthode détermine l'algorithme utilisé pour crypter ou décrypter
les paquets ESP/ISAKMP.
Authentification
Sélectionnez une méthode d'authentification (MD5, SHA1 ou SHA2-256).
Durée de vie SA (secondes) Durée d'activité d'un tunnel VPN (SA IPSec) dans cette phase. La valeur par défaut
pour la phase 2 est de 3600 secondes.
Étape 11
Enregistrer en tant que
nouveau profil
Attribuez un nom au nouveau profil.
PFS (Perfect Forward
Secrecy)
Si l'option PFS (Perfect Forward Secrecy) est activée, la phase 2 de la négociation IKE
génère une nouvelle clé pour le cryptage et l'authentification du trafic IPSec. L'option
PFS permet d'améliorer la sécurité des communications transmises sur Internet à l'aide
de clés publiques chiffrées. Cochez cette case pour activer cette fonction ou décochez-la
pour la désactiver. Il est recommandé d'activer cette fonction. Saisissez la durée en
secondes.
Cliquez sur Suivant pour afficher un récapitulatif de toutes les configurations.
Guide d'administration du routeur RV160x
89
VPN
IPSec VPN
Étape 12
Cliquez sur Soumettre.
IPSec VPN
IPSec (Internet Protocol Security) est un ensemble de protocoles situé au sommet de la couche IP (Internet
Protocol). Il permet à deux hôtes ou plus de communiquer de façon sécurisée grâce à l'authentification et au
cryptage de chaque paquet IP de données.
Le protocole IPSec est principalement utilisé pour fournir un service VPN (Virtual Private Networking). Un
VPN est un réseau virtuel qui sert de base aux réseaux physiques existants. Les réseaux VPN constituent un
mécanisme de communication sécurisé pour les données et les informations IP transmises entre les réseaux.
Il est également possible d'utiliser un réseau VPN sur un réseau existant (p. ex., Internet) pour assurer le
transfert sécurisé des données sensibles via les réseaux publics.
Les réseaux VPN permettent par ailleurs de sécuriser les communications entre les entreprises et les
télétravailleurs, quel que soit le lieu où se trouvent ces derniers. Il est de surcroît possible de créer un réseau
VPN au sein d'un réseau unique en vue de protéger les communications sensibles d'autres parties sur le même
réseau.
Dans les sections suivantes, nous aborderons les profils IPSec, ainsi que les réseaux VPN site à site et client
à site.
Profils IPsec
Le profil IPSec est la configuration centrale dans IPSec qui définit la plupart des paramètres IPSec tels que
le protocole (ESP [Encapsulation Security Payload], AH [Authentication Header]), le mode (tunnel, transport),
les algorithmes (cryptage, intégrité, Diffie-Hellman), la confidentialité persistante (PFS), la durée de vie SA
et le protocole de gestion des clés (IKEv1, IKEv2).
Les profils IPSec contiennent des informations liées aux algorithmes, notamment le cryptage, l'authentification
et le groupe DH pour les négociations des phases I et II en mode auto. Ces profils contiennent par ailleurs des
clés pour les algorithmes correspondants lorsque le mode de génération de clés est manuel.
Pour configurer les profils IPsec, procédez de la façon suivante :
Étape 1
Sélectionnez VPN > VPN IPSec > Profils IPSec.
Étape 2
Dans la Table des profils IPSec, cliquez sur Ajouter.
Étape 3
Donnez un nom au profil et sélectionnez le mode de génération de clés.
Étape 4
Pour le mode de génération de clés automatique, sélectionnez la version IKE.
Étape 5
Dans la section Options de la phase 1, configurez les paramètres suivants :
Groupe Diffie-Hellman
(DH)
DH est un protocole d'échange de clés comportant deux groupes de différentes
longueurs de clés principales : 1 024 bits et 1 536 bits. Sélectionnez une option dans
la liste déroulante.
Cryptage
Sélectionnez l'option de cryptage (3DES, AES-128, AES-192 ou AES-256) dans la
liste déroulante. Cette méthode détermine l'algorithme utilisé pour crypter ou décrypter
les paquets ESP/ISAKMP.
Guide d'administration du routeur RV160x
90
VPN
Profils IPsec
Étape 6
Authentification
La méthode d'authentification détermine le mode de validation des paquets d'en-têtes
ESP (Encapsulating Security Payload). MD5 est un algorithme de hachage
unidirectionnel produisant un prétraitement 128 bits. SHA1 est un algorithme de
hachage unidirectionnel produisant un prétraitement 160 bits. L'algorithme SHA1 est
recommandé, car il est plus sécurisé. Assurez-vous que les deux extrémités du
tunnel VPN utilisent la même méthode d'authentification. Sélectionnez une méthode
d'authentification (MD5, SHA1 ou SHA2-256).
Durée de vie SA
Durée d'activité d'une association de sécurité (SA) IKE dans cette phase. (Plage de
120 à 86 400, 28 800 étant la valeur par défaut).
Dans la section Options de la phase 2, configurez les paramètres suivants :
Sélection du protocole
Sélectionnez un protocole dans la liste déroulante.
• ESP : sélectionnez ESP pour crypter les données, puis indiquez la méthode de
cryptage.
• AH : sélectionnez AH pour assurer l'intégrité des données dans les cas où les
données ne sont pas secrètes, mais doivent être authentifiées.
Cryptage
Sélectionnez l'option de cryptage (3DES, AES-128, AES-192 ou AES-256) dans la
liste déroulante. Cette méthode détermine l'algorithme utilisé pour crypter ou décrypter
les paquets ESP/ISAKMP.
Authentification
Sélectionnez une méthode d'authentification (MD5, SHA1 ou SHA2-256).
Durée de vie SA (secondes) Durée d'activité d'un tunnel VPN (SA IPSec) dans cette phase. La valeur par défaut
pour la phase 2 est de 3600 secondes.
Étape 7
PFS (Perfect Forward
Secrecy, confidentialité
persistante)
Cochez la case Activer pour activer la confidentialité persistante.
Groupe Diffie-Hellman
(DH)
DH est un protocole d'échange de clés comportant deux groupes de différentes
longueurs de clés principales : 1 024 et 1 536 bits. Sélectionnez une option dans la
liste déroulante.
Pour le Mode de génération de clés manuel, configurez les paramètres suivants :
Configurations IPSec
SPI (Security Parameter
Index) entrant
Saisissez une valeur (comprise entre 100 et FFFFFFFF). La valeur par défaut est 100.
SPI sortant
Saisissez une valeur (comprise entre 100 et FFFFFFFF, la valeur par défaut étant
100).
Cryptage
Sélectionnez l'option de cryptage (3DES, AES-128, AES-192 ou AES-256) dans la
liste déroulante. Cette méthode détermine l'algorithme utilisé pour crypter ou décrypter
les paquets ESP/ISAKMP.
L'indice SPI est une balise d'identification ajoutée à un en-tête lors de l'utilisation du
protocole IPSec pour le tunneling du trafic IP. Cette balise aide le noyau à faire la
différence entre deux flux de trafic susceptibles d'utiliser des règles et des algorithmes
de cryptage différents.
Guide d'administration du routeur RV160x
91
VPN
Site à site
Clé entrante
Saisissez un numéro (hexadécimal à 48 caractères). Cette clé permet de décrypter les
paquets ESP reçus au format hexadécimal.
Clé sortante
Saisissez un numéro (hexadécimal à 48 caractères). Cette clé permet de crypter les
paquets standard au format hexadécimal.
Authentification
La méthode d'authentification détermine le mode de validation des paquets d'en-têtes
ESP (Encapsulating Security Payload). MD5 est un algorithme de hachage
unidirectionnel produisant un prétraitement 128 bits. SHA1 est un algorithme de
hachage unidirectionnel produisant un prétraitement 160 bits. L'algorithme SHA1 est
recommandé, car il est plus sécurisé. Assurez-vous que les deux extrémités du
tunnel VPN utilisent la même méthode d'authentification. Sélectionnez une méthode
d'authentification (MD5, SHA1 ou SHA2-256).
Clé entrante
Saisissez un numéro (hexadécimal à 32 caractères). Cette clé permet de décrypter les
paquets ESP reçus au format hexadécimal.
Clé sortante
Saisissez un numéro (hexadécimal à 32 caractères). Cette clé permet de crypter les
paquets standard au format hexadécimal.
Étape 8
Sélectionnez un profil IPSec et cliquez sur Modifier ou sur Supprimer.
Étape 9
Pour cloner un profil existant, sélectionnez un profil, puis cliquez sur Cloner.
Étape 10
Cliquez sur Appliquer.
Site à site
Dans un VPN site à site, le routeur local sur un site se connecte à un routeur distant via un tunnel VPN. Les
périphériques clients peuvent accéder aux ressources du réseau comme s'ils se trouvaient sur le même site.
Ce modèle peut être utilisé pour plusieurs utilisateurs sur un site distant.
Pour établir une connexion, au moins l'un des routeurs doit être identifiable à l'aide d'une adresse IP statique
ou d'un nom d'hôte DNS dynamique. Si l'un des routeurs possède uniquement une adresse IP dynamique,
vous pouvez utiliser une adresse e-mail (nom de domaine complet de l'utilisateur) ou un nom de domaine
complet pour vous identifier afin d'établir la connexion.
Les deux sous-réseaux LAN aux deux extrémités du tunnel ne peuvent pas être connectés au même réseau.
Par exemple, si le réseau LAN du site A utilise le sous-réseau 192.168.1.x/24, le site B peut utiliser
192.168.2.x/24.
Pour configurer un tunnel, saisissez les paramètres correspondants (en inversant le groupe local et le groupe
distant) lors de la configuration des deux routeurs. Supposez que ce routeur est identifié comme le Routeur A.
Saisissez ses paramètres dans la section Configuration du groupe local et saisissez les paramètres de l'autre
routeur (Routeur B) dans la section Configuration du groupe distant. Lorsque vous configurez l'autre routeur
(Routeur B), saisissez ses paramètres dans la section Configuration du groupe local, et saisissez les paramètres
du Routeur A dans la section Configuration du groupe distant.
Pour configurer le VPN site à site, procédez de la façon suivante :
Étape 1
Cliquez sur VPN > VPN IPSec > Site à site.
Étape 2
Les informations suivantes s'affichent dans la table Site à site :
Guide d'administration du routeur RV160x
92
VPN
Connexion VPN site à site
Nom de la connexion
Nom de la connexion au tunnel VPN créée à l'aide de l'Assistant de configuration VPN.
Il n'est pas nécessaire que ce nom corresponde au nom utilisé à l'autre extrémité du
tunnel.
Terminal distant
Adresse IP du point d'extrémité distant sur lequel la connexion VPN doit être établie.
Il peut s'agir d'un nom de domaine complet ou d'une adresse IP.
Interface
Interface utilisée pour le tunnel.
Profil IPSec
Profil IPSec utilisé pour le tunnel VPN.
Sélection de trafic en local
Sélecteurs de trafic d'où provient le trafic.
Sélection de trafic distant
Sélecteurs de trafic auxquels le trafic est destiné.
État
État du tunnel.
• Modifier : cliquez sur ce bouton pour modifier la connexion ; la page Site à Site
- Ajouter ou modifier une nouvelle connexion s'ouvre.
Actions
• Supprimer : cliquez sur ce bouton pour supprimer la connexion.
• Connexion : cliquez sur ce bouton pour vous connecter et établir le tunnel.
• Déconnexion : cliquez sur ce bouton pour vous déconnecter.
Connexion VPN site à site
Pour créer une nouvelle connexion VPN site à site, cliquez sur Ajouter et configurez les paramètres suivants :
Étape 1
Sous l'onglet Paramètres de base, configurez les paramètres suivants :
Activer
Cliquez sur Activer pour activer la configuration.
Nom de la connexion
Attribuez un nom de connexion au tunnel VPN. Cette description sert uniquement de
référence et ne doit pas nécessairement correspondre au nom utilisé à l'autre extrémité
du tunnel.
Profil IPSec
Par défaut : le profil automatique est sélectionné.
Interface
Sélectionnez l'interface (WAN1, WAN2, USB1 ou USB2) dans la liste déroulante pour
utiliser ce tunnel.
Terminal distant
Sélectionnez IP statique ou Nom de domaine complet dans la liste déroulante.
Méthode d'authentification IKE
Guide d'administration du routeur RV160x
93
VPN
Connexion VPN site à site
Clé prépartagée
Les homologues IKE s'authentifient l'un l'autre en calculant et en envoyant un hachage
de données indexé incluant la clé prépartagée. Si l'homologue de réception est capable
de créer indépendamment le même hachage à l'aide de sa clé prépartagée, il sait que
les deux homologues doivent partager le même secret et doivent donc s'authentifier
l'un l'autre. Les clés prépartagées ne sont pas modulables, car chaque homologue IPSec
doit être configuré avec la clé prépartagée de tous les autres homologues avec lesquels
il établit une session. Saisissez la clé prépartagée, puis cliquez sur Activer pour activer
la complexité de clé prépartagée minimale.
Afficher la clé prépartagée Cochez la case Activer pour afficher la clé prépartagée.
Mesure de la fiabilité de la Cette mesure indique le niveau de sécurité de la clé prépartagée à l'aide de barres de
clé prépartagée
couleur.
Complexité minimale de la Cochez la case Activer pour activer la complexité minimale de la clé prépartagée.
clé prépartagée
Certificat
Le certificat numérique est un paquet contenant des informations telles que l'identité
d'un porteur de certificat : nom ou adresse IP, numéro de série du certificat, date
d'expiration du certificat et copie de la clé publique du porteur du certificat. Le format
du certificat numérique standard est défini dans la spécification X.509. La version 3
de la spécification X.509 définit la structure de données des certificats. Sélectionnez
le certificat dans la liste déroulante.
Pour la configuration du groupe local
Type d'identifiant local
Sélectionnez l'option IP WAN locale, Nom de domaine complet local ou Nom de
domaine complet de l'utilisateur local dans la liste déroulante.
Identifiant local
Saisissez le nom ou l'adresse IP de l'identifiant en fonction de votre sélection.
Type d'IP locale
Sélectionnez Adresse IP ou Sous-réseau dans la liste déroulante.
Adresse IP
Saisissez l'adresse IP du périphérique pouvant utiliser ce tunnel.
Masque de sous-réseau
Saisissez le masque de sous-réseau.
Configuration du groupe distant
Étape 2
Type d'identifiant distant
Sélectionnez l'option IP WAN distante, Nom de domaine complet distant ou Nom de
domaine complet de l'utilisateur distant dans la liste déroulante.
Identifiant distant
Saisissez le nom ou l'adresse IP de l'identifiant en fonction de votre sélection.
Type d'IP distante
Sélectionnez Adresse IP ou Sous-réseau dans la liste déroulante.
Adresse IP
Saisissez l'adresse IP du périphérique pouvant utiliser ce tunnel.
Masque de sous-réseau
Saisissez le masque de sous-réseau.
Mode agressif
Cochez cette case pour activer le mode agressif.
Sous l'onglet Paramètres avancés, configurez les paramètres suivants :
Guide d'administration du routeur RV160x
94
VPN
Connexion VPN site à site
Compresser (prend en
charge le protocole de
compression de la charge
utile IP)
Ce protocole permet de réduire la taille des datagrammes IP. Cochez la case Compresser
pour que le routeur puisse proposer une compression lorsqu'il démarre une connexion.
Si le répondeur refuse cette proposition, le routeur ignore la compression. Si le routeur
est le répondeur, il accepte la compression même si celle-ci n'est pas activée. Si vous
activez cette fonction pour ce routeur, activez-la également sur le routeur à l'autre
extrémité du tunnel.
Diffusion NetBIOS
Cette fonction envoie des messages de diffusion utilisés pour la résolution des noms
dans la mise en réseau Windows en vue d'identifier les ressources, telles que les
ordinateurs, les imprimantes et les serveurs de fichiers. Ces messages sont utilisés par
certains logiciels et fonctions Windows, tels que le Voisinage réseau. En règle générale,
le trafic de diffusion LAN n'est pas transmis sur un tunnel VPN. Il est néanmoins
possible de sélectionner cette option pour activer les diffusions NetBIOS d'une extrémité
du tunnel en vue de les rediffuser sur l'autre extrémité.
Maintenir actif
Cette fonction tente de rétablir la connexion VPN à intervalles réguliers.
Intervalle de surveillance de Saisissez le nombre de secondes pour définir l'intervalle de surveillance de la fonction
la fonction Maintenir actif Maintenir actif. La plage est comprise entre 10 et 300 secondes.
Activer DPD (détection
Cochez la case Activer DPD pour activer DPD. Cette fonction permet d'envoyer des
d'homologue indisponible) messages HELLO/ACK (bonjour/accusé de réception) périodiques pour vérifier l'état
du tunnel VPN. L'option DPD doit être activée sur les deux extrémités du tunnel VPN.
Spécifiez l'intervalle entre les messages HELLO/ACK dans le champ Intervalle en
définissant les paramètres suivants :
• Délai de retard : saisissez le délai de retard entre chaque message Hello.
• Délai de détection dépassé : saisissez le délai pour déclarer que l'homologue est
indisponible.
• Action DPD : action à prendre après le délai d'expiration de la détection
d'homologue indisponible. Sélectionnez Effacer ou Redémarrer dans la liste
déroulante.
Authentification étendue
Sélectionnez l'option Authentification étendue pour l'activer.
Pour un utilisateur unique, sélectionnez Utilisateur, puis saisissez le nom d'utilisateur
et le mot de passe.
Pour un groupe, sélectionnez Nom du groupe, puis sélectionnez admin ou invité dans
la liste déroulante.
Guide d'administration du routeur RV160x
95
VPN
Client à site
DNS fractionné
Cochez l'option DNS fractionné pour l'activer.
Cette option permet de fractionner les requêtes DNS au serveur DNS et les requêtes
DNS à un autre serveur DNS en fonction des noms de domaine spécifiés. Lorsque le
routeur reçoit une requête de résolution d'adresse, il inspecte le nom de domaine. Si le
nom de domaine correspond à celui défini dans le paramètre DNS fractionné, il transmet
la requête au serveur DNS spécifié. Dans le cas contraire, la requête est transmise au
serveur DNS spécifié dans les paramètres d'interface WAN.
Serveur DNS 1 et Serveur DNS 2 : saisissez l'adresse IP du serveur DNS à utiliser
pour les domaines spécifiques. Vous pouvez également spécifier un autre serveur DNS
dans le champ Serveur DNS 2.
Nom de domaine 1 à 6 : saisissez les noms de domaine correspondant aux serveurs
DNS. Les requêtes de domaines sont transmises au serveur DNS spécifié.
Étape 3
Pour activer le basculement site à site, la fonction Maintenir actif doit être activée sous l'onglet Paramètres avancés.
Ensuite, sous l'onglet Basculement, configurez les paramètres suivants :
Sauvegarde du tunnel
Sélectionnez l'option Sauvegarde du tunnel pour l'activer. Lorsque le tunnel principal
est indisponible, cette fonction permet au routeur de rétablir le tunnel VPN en utilisant
une adresse IP alternative pour l'homologue distant ou une interface WAN locale
alternative. Cette fonction n'est disponible que si vous avez activé l'option DPD.
Adresse IP de sauvegarde à Saisissez l'adresse IP de l'homologue distant, ou saisissez de nouveau l'adresse IP WAN
distance
déjà définie pour la passerelle distante.
Interface locale
Étape 4
Sélectionnez l'interface locale (WAN1, WAN2, USB1 ou USB2) dans la liste déroulante.
Cliquez sur Appliquer.
Client à site
Les clients Internet peuvent se connecter au serveur pour accéder au réseau d'entreprise ou à un réseau LAN
derrière le serveur. Cette fonction permet de créer un nouveau tunnel VPN permettant aux télétravailleurs et
aux employés en déplacement d'accéder à votre réseau à l'aide d'un logiciel client VPN tiers.
Pour créer et configurer le tunnel client à site, procédez de la façon suivante :
Étape 1
Cliquez sur VPN > VPN IPsec > Client à site.
Étape 2
Dans la section Tunnels client à site IPSec, cliquez sur Ajouter pour ajouter un nouveau tunnel.
Étape 3
Cliquez sur l'onglet Paramètres avancés et configurez les paramètres suivants :
Activer
Cochez la case Activer pour activer le tunnel.
Nom du tunnel
Spécifiez le nom du tunnel.
Profil IPSec
Sélectionnez un profil dans la liste déroulante.
Interface
Sélectionnez l'interface dans la liste déroulante.
Guide d'administration du routeur RV160x
96
VPN
Client à site
Méthode d'authentification Méthode d'authentification à utiliser lors des négociations IKE dans les tunnels IKE.
IKE
• Clé prépartagée : les homologues IKE s'authentifient l'un l'autre en calculant et
en envoyant un hachage de données indexé incluant la clé prépartagée. Si
l'homologue de réception est capable de créer indépendamment le même hachage
à l'aide de sa clé prépartagée, il sait que les deux homologues doivent partager le
même secret et doivent donc s'authentifier l'un l'autre. Les clés prépartagées ne
sont pas modulables, car chaque homologue IPSec doit être configuré avec la clé
prépartagée de tous les autres homologues avec lesquels il établit une session.
Saisissez la clé prépartagée, puis cliquez sur Activer pour l'afficher et pour activer
la complexité de clé prépartagée minimale.
• Certificat : Le certificat numérique est un paquet contenant des informations telles
que l'identité d'un porteur de certificat : nom ou adresse IP, numéro de série du
certificat, date d'expiration du certificat et copie de la clé publique du porteur du
certificat. Le format du certificat numérique standard est défini dans la
spécification X.509. La version 3 de la spécification X.509 définit la structure de
données des certificats. Sélectionnez le certificat dans la liste déroulante.
Identifiant local
Sélectionnez l'identifiant local dans la liste déroulante (IP WAN locale, Adresse IP,
Nom de domaine complet ou Nom de domaine complet de l'utilisateur). Saisissez
ensuite l'adresse IP correspondant à l'identifiant local.
Identifiant distant
Sélectionnez l'identifiant distant dans la liste déroulante (Adresse IP, Nom de domaine
complet ou Nom de domaine complet de l'utilisateur). Saisissez ensuite l'adresse IP
correspondant à l'identifiant distant.
Authentification étendue
Cochez la case Authentification étendue pour activer cette option, puis sélectionnez
les options existantes ou cliquez sur Ajouter pour ajouter un nouveau nom.
Plage de groupes pour le
réseau LAN du client
Cochez la case Plage de groupes pour le réseau LAN du client pour activer cette
option et définissez les paramètres suivants :
• IP de début : saisissez la première adresse IP de la plage.
• IP de fin : saisissez la dernière adresse IP de la plage.
Étape 4
Sous l'onglet Paramètres avancés, configurez les paramètres suivants :
Terminal distant
Sélectionnez le point d'extrémité distant (IP statique, Nom de domaine complet ou
IP dynamique) dans la liste déroulante.
Type d'IP locale
Ressources LAN fournies avec un accès sécurisé utilisant le tunnel. Sélectionnez
l'adresse IP ou le sous-réseau dans la liste déroulante.
Serveur DNS principal
Saisissez l'adresse IP principale du serveur DNS à utiliser dans le réseau distant.
Serveur DNS secondaire
Saisissez l'adresse IP secondaire du serveur DNS à utiliser dans le réseau distant.
Serveurs WINS principal et Adresses IP principale et secondaire d'un serveur WINS (Windows Internet Naming
secondaire
Service).
Domaine par défaut
Saisissez le nom du domaine par défaut.
Guide d'administration du routeur RV160x
97
VPN
OpenVPN
Tunnel fractionné
Cochez la case Activé pour activer le tunnel fractionné. Cliquez ensuite sur Ajouter,
vérifiez le nom du domaine et saisissez un nom. Vous pouvez également ajouter,
modifier ou supprimer un tunnel fractionné.
DNS fractionné
Cochez cette case pour activer le tunnel fractionné. Cliquez ensuite sur Ajouter pour
saisir une adresse IP et un masque de réseau pour le tunnel fractionné. Vous pouvez
également ajouter, modifier ou supprimer un tunnel fractionné.
Mode agressif
Sélectionnez l'option Mode agressif pour l'activer. La fonction Mode agressif permet
de spécifier les attributs du tunnel RADIUS d'un homologue de sécurité IP (IPsec) et
d'initier une négociation en mode agressif via le protocole IKE (Internet Key Exchange)
avec le tunnel.
Compresser (prend en
charge le protocole de
compression de la capacité
utile IP [IP Comp])
Si le répondeur refuse cette proposition, le routeur ignore la compression. Si le routeur
est le répondeur, il accepte la compression même si celle-ci n'est pas activée. Si vous
activez cette fonction pour ce routeur, activez-la également sur le routeur à l'autre
extrémité du tunnel.
Remarque Si vous configurez le serveur VPN IKEv2 pour Windows 7, définissez une durée de vie supérieure à celle
du client Windows pour éviter tout problème de génération de clés.
Étape 5
Cliquez sur Appliquer.
OpenVPN
OpenVPN utilise le protocole SSL/TLS et prend en charge des fonctions d'authentification de client flexibles
pour les connexions point à point. OpenVPN fonctionne en mode client-serveur lorsqu'un serveur est connecté
à Internet. Tous les clients ont un accès complet à Internet. Le client utilise le serveur pour terminer l'ensemble
de son trafic Internet après la connexion au serveur. OpenVPN crée des ponts Ethernet sécurisés à l'aide
d'appareils virtuels.
Pour configurer OpenVPN, procédez de la façon suivante :
Étape 1
Cliquez sur VPN > OpenVPN.
Étape 2
Cochez la case Activer pour activer le VPN, puis configurez les paramètres suivants :
Interface
Sélectionnez l'interface dans la liste déroulante.
Certificat CA
Sélectionnez le certificat CA dans la liste déroulante.
Certificat du serveur
Sélectionnez le certificat du serveur dans la liste déroulante.
Authentification du client
Sélectionnez le mode d'authentification du client dans la liste déroulante.
Pool d'adresses du client
Saisissez l'adresse IP du pool d'adresses du client.
Masque de réseau
Saisissez le masque de réseau.
Protocole
Sélectionnez le protocole dans la liste déroulante.
Guide d'administration du routeur RV160x
98
VPN
Serveur PPTP
Port
Saisissez le numéro de port.
Cryptage
Sélectionnez le type de cryptage dans la liste déroulante.
Mode du tunnel
Sélectionnez Full-Tunnel ou Tunnel fractionné.
Si vous sélectionnez l'option Tunnel fractionné, cliquez sur Ajouter, puis saisissez
l'adresse IP et le masque de sous-réseau du tunnel fractionné.
Étape 3
Nom de domaine
Saisissez le nom de domaine.
DNS 1 et 2
Saisissez les adresses IP du DNS 1 et du DNS 2
Serveur WIN principal
Saisissez l'adresse IP du serveur WINS (Windows Internet Naming Service) principal.
Serveur WINS secondaire
Saisissez l'adresse IP du serveur WINS (Windows Internet Naming Service) secondaire.
Isolation du client
Cochez cette case pour activer l'Isolation du client.
Compression
Cochez cette case pour activer la Compression.
Cliquez sur Appliquer.
Prochaine étape
Pour générer les fichiers de configuration pour le client, procédez comme suit.
1. Dans la section Paramètre d'exportation, cochez la case Inclure le certificat du client. Sélectionnez une
option pour inclure le certificat du client dans le fichier de configuration. Cette option s'applique uniquement
au mode « Mot de passe + Certificat ».
2. Cochez la case Exporter le modèle de configuration du client (.ovpn) pour exporter le modèle de
configuration du client.
3. Cochez la case Envoyer un e-mail. Choisissez ensuite d'envoyer le modèle de configuration du client
par e-mail aux destinataires. Saisissez l'adresse e-mail et l'objet du courriel. Cliquez sur Générer une fois
tous les champs renseignés.
Serveur PPTP
Le protocole PPTP (Point-to-Point Tunneling Protocol) permet d'implémenter des réseaux privés virtuels. Le
protocole PPTP utilise un canal de contrôle sur TCP et un tunnel GRE pour encapsuler les paquets PPP. Il est
possible d'activer jusqu'à 10 tunnels VPN PPTP pour les utilisateurs qui exécutent un logiciel client PPTP sur
les routeurs RV160. Dans l'Assistant, l'utilisateur choisit l'option qui lui permet d'établir une connexion avec
son lieu de travail via une connexion VPN. L'utilisateur doit connaître l'adresse IP du réseau étendu de l'appareil.
Pour en savoir plus, consultez la documentation ou les fichiers d'aide de votre système d'exploitation.
Vous devez configurer le serveur VPN et vous assurer que le port 1723 est ouvert pour les clients Internet ;
PPTP ne nécessite aucune configuration supplémentaire. PPTP est l'un des plus anciens protocoles VPN ; il
présente donc un niveau de sécurité faible. Pour configurer le serveur PPTP, procédez de la façon suivante :
Guide d'administration du routeur RV160x
99
VPN
Tunnel GRE
Étape 1
Cliquez sur VPN > Serveur PPTP et configurez les paramètres suivants :
Serveur PPTP
Sélectionnez Activé ou Désactivé pour activer ou désactiver le serveur PPTP.
Adresse IP de début et de
fin
Plage d'adresses LAN à affecter aux clients VPN PPTP. La plage d'adresses IP LAN
pour les clients VPN PPTP doit être en dehors de la plage DHCP normale du routeur.
Saisissez les adresses IP de début et de fin si vous avez activé PPTP.
Adresses IP DNS1 et DNS2 Saisissez l'adresse IP du serveur DNS principal et du serveur DNS secondaire.
Authentification de
l'utilisateur
Sélectionnez l'authentification de l'utilisateur (Admin) ou cliquez sur Ajouter pour
ajouter un nouvel utilisateur.
Cryptage MPPE (Microsoft Le cryptage MPPE crypte les données dans les connexions d'accès à distance PPP
Point-to-Point Encryption) (Point-to-Point Protocol) ou les connexions via un réseau privé virtuel (VPN) PPTP.
Les schémas de cryptage MPPE des clés 128 bits sont pris en charge. Sélectionnez le
cryptage MPPE (Aucun ou 128 bits) dans la liste déroulante.
Étape 2
Cliquez sur Appliquer.
Tunnel GRE
L'encapsulation d'acheminement générique (GRE) est l'une des techniques de tunneling disponibles qui utilise
une adresse IP comme protocole de transport et achemine de nombreux protocoles passagers différents. Les
tunnels servent de liaisons point à point disposant de deux terminaux identifiés par les adresses sources et les
adresses de destination du tunnel sur chaque terminal.
Pour créer et configurer un tunnel GRE sécurisé, procédez de la façon suivante :
Étape 1
Cliquez sur VPN > Tunnel GRE.
Étape 2
Cliquez sur Ajouter pour ajouter une nouvelle configuration, ou sur Modifier ou Supprimer pour modifier ou supprimer
une configuration existante.
Étape 3
Dans la section Ajouter/modifier un tunnel GRE, configurez les paramètres suivants :
Nom de l'interface
Saisissez le nom de l'interface à connecter au tunnel.
Activer
Cochez cette case pour activer l'interface.
Source du tunnel
Sélectionnez la source du tunnel dans la liste déroulante.
Destination du tunnel
Indiquez la destination du tunnel (IP statique ou Nom de domaine complet).
Adresse IP du tunnel GRE Saisissez l'adresse IP du tunnel GRE qui achemine le protocole de transport.
Étape 4
Masque de sous-réseau
Saisissez le masque de sous-réseau du tunnel GRE.
MTU
Saisissez l'unité de transmission maximale (MTU).
Cliquez sur Appliquer.
Guide d'administration du routeur RV160x
100
VPN
Intercommunication VPN
Intercommunication VPN
L'option Intercommunication VPN permet aux clients VPN de communiquer via ce routeur et de se connecter
à un point d'extrémité VPN. Cette option est activée par défaut.
Pour configurer l'intercommunication VPN, procédez de la façon suivante :
Étape 1
Sélectionnez VPN > Intercommunication VPN.
Étape 2
Pour activer les intercommunications, cochez la case Activer en regard de chaque protocole approuvé :
• Intercommunication IPSec : IPSec est un ensemble de protocoles utilisé pour la mise en œuvre d'échanges
sécurisés de paquets au niveau de la couche IP.
• Intercommunication PPTP : le protocole PPTP (Point-to-Point Tunneling Protocol) permet au protocole PPP
(Point-to-Point Protocol) de traverser un réseau IP.
• Intercommunication L2TP : le protocole L2TP (Layer 2 Tunneling Protocol) constitue la méthode utilisée pour
activer les sessions point à point via Internet sur la couche 2.
Étape 3
Cliquez sur Appliquer.
Allocation des ressources
L'allocation des ressources VPN permet d'allouer des ressources au réseau VPN. Pour configurer l'allocation
des ressources VPN, procédez de la façon suivante :
Étape 1
Sélectionnez VPN > Allocation des ressources.
Étape 2
Dans la table des types VPN, configurez le nombre maximal de connexions pour chaque VPN.
• VPN IPSec : saisissez le nombre de connexions. Le nombre maximal de connexions est de 20.
• VPN PPTP : saisissez le nombre de connexions. Le nombre maximal de connexions est de 20.
• OpenVPN : saisissez le nombre de connexions. Le nombre maximal de connexions est de 20.
Étape 3
Cliquez sur Appliquer.
Guide d'administration du routeur RV160x
101
VPN
Allocation des ressources
Guide d'administration du routeur RV160x
102
CHAPITRE
11
Sécurité
Cette section décrit les fonctions de sécurité de l'appareil. Elle comprend les rubriques suivantes :
• Filtrage de contenu, à la page 103
Filtrage de contenu
Le filtrage de contenu permet de limiter l'accès à certains sites Web indésirables. Cette fonction peut bloquer
l'accès aux sites Web en fonction des noms de domaines et des mots-clés. Il est également possible de
programmer les périodes d'activation du filtrage de contenu.
Pour configurer et activer le filtrage de contenu, procédez de la façon suivante.
Étape 1
Cliquez sur Sécurité > Filtrage de contenu.
Étape 2
Sélectionnez l'option Activer le filtrage de contenu.
Étape 3
Sélectionnez l'une des options suivantes :
Bloquer les URL
correspondantes
Cochez la case Bloquer les URL correspondantes pour bloquer des domaines et des
mots-clés spécifiques.
Autoriser uniquement les
URL correspondantes
Cochez la case Autoriser uniquement les URL correspondantes pour autoriser
uniquement les domaines et mots-clés spécifiés.
Étape 4
Sous Filtrer par domaine, cliquez sur Ajouter.
Étape 5
Saisissez le domaine à filtrer ou autorisez-le dans la colonne Nom du domaine.
Étape 6
Pour spécifier l'horaire d'activation des règles de filtrage de contenu, sélectionnez-le dans la liste déroulante Horaire.
Étape 7
Sous Filtrer par mot-clé, cliquez sur Ajouter.
Étape 8
Saisissez les mots-clés à bloquer ou à autoriser dans la colonne Nom du mot-clé.
Étape 9
Pour spécifier l'horaire d'activation des règles de filtrage de contenu, sélectionnez-le dans la liste déroulante Horaire.
Vous pouvez modifier un nom de domaine ou un mot-clé existant en le sélectionnant et en cliquant sur Modifier.
Étape 10
Cliquez sur Appliquer.
Guide d'administration du routeur RV160x
103
Sécurité
Filtrage de contenu
Guide d'administration du routeur RV160x
104
CHAPITRE
12
QoS
La qualité de service (QoS) permet d'optimiser la gestion du trafic réseau en vue d'améliorer l'expérience des
utilisateurs. La QoS est une mesure de performance définie dans un réseau de communication. Elle donne la
priorité à un type de transmission par rapport à un autre. La QoS augmente la capacité du réseau à maintenir
la bande passante et à gérer d'autres éléments de performances tels que la latence, le taux d'erreurs et le temps
de disponibilité.
La QoS permet en outre de contrôler et de gérer les ressources du réseau en définissant des priorités pour un
type de données spécifique (vidéo, audio, fichiers) sur le réseau. Elle s'applique uniquement au trafic réseau
généré pour la vidéo à la demande, la télévision IP, la VoIP, la lecture multimédia en continu, la visioconférence
et les jeux en ligne.
Cette section décrit les fonctions de QoS de l'appareil. Elle comprend les rubriques suivantes :
• Classes de trafic, à la page 105
• Mise en file d'attente WAN, à la page 106
• Contrôle d'activité WAN, à la page 108
• Gestion de la bande passante WAN, à la page 108
• Classification des commutateurs, à la page 109
• Mise en file d'attente des commutateurs, à la page 109
Classes de trafic
Les classes de trafic permettent de diriger le trafic vers la file d'attente souhaitée en fonction du service. Le
service peut être une application de port TCP ou UDP de couche 4, une adresse IP source ou de destination,
une interface DSCP, une interface de réception, un système d'exploitation ou un périphérique. Vous pouvez
aussi réécrire la valeur DSCP des paquets entrants. Par défaut, l'ensemble du trafic réseau correspond à la
classe de trafic par défaut.
Pour configurer les classes de trafic, procédez de la façon suivante :
Étape 1
Cliquez sur QoS > Classes de trafic.
Étape 2
Dans la Table de trafic, cliquez sur Ajouter (ou sélectionnez la ligne et cliquez sur Modifier) et configurez les paramètres
suivants :
• Nom de la classe : saisissez le nom de la classe définie.
• Description : saisissez la description de la classe.
Guide d'administration du routeur RV160x
105
QoS
Mise en file d'attente WAN
• En cours d'utilis. : enregistrement de classe de trafic en cours d'utilisation par une stratégie de mise en file d'attente.
Étape 3
Dans la Table des services, cliquez sur Ajouter (ou sélectionnez la ligne et cliquez sur Modifier) et configurez les
paramètres suivants :
Nom du service
Nom du service pour appliquer la classification du trafic. Saisissez le nom du service.
Interface de réception
Interface qui reçoit le trafic pour appliquer les enregistrements de classification.
Sélectionnez l'une des interfaces dans la liste déroulante.
• Tous les réseaux VLAN ou Réseau VLAN spécifique : trafic sortant (egress).
• WAN : trafic entrant (ingress).
Version IP
Version IP du trafic. Sélectionnez IPv4, IPv6 ou Les deux (si vous ne connaissez pas
la version du trafic).
IP source
Saisissez l'adresse IP source du trafic.
IP de destination
Saisissez l'adresse IP de destination du trafic.
Service
sélectionnez le nom du service à appliquer sur l'enregistrement de trafic. Indiquez le
port source et le port de destination.
Mettre en correspondance Valeur à mettre en correspondance avec la valeur DSCP des paquets entrants.
DSCP
Réécrire DSCP
Étape 4
Valeur DSCP à remplacer dans les paquets entrants.
Cliquez sur Appliquer.
Mise en file d'attente WAN
La gestion de la congestion est la technique QoS qui offre le meilleur service lors d'un trafic intense. La gestion
de la congestion utilise la mise en file d'attente sur l'interface des appareils réseau pour prendre en charge la
congestion temporaire qui stocke en mémoire tampon les paquets en excès jusqu'à ce que la bande passante
soit de nouveau suffisante. La configuration des files d'attente assure la fluidité du trafic prioritaire en cas de
congestion. Il est donc possible de gérer le trafic Internet de LAN à WAN sur l'appareil selon trois modes
différents (Contrôle du débit, Priorité et Latence faible), qui s'excluent mutuellement.
Pour configurer la mise en file d'attente WAN, procédez de la façon suivante :
Étape 1
Cliquez sur QoS > Mise en file d'attente WAN.
Étape 2
Sélectionnez le moteur de mise en file d'attente de votre choix et définissez les paramètres suivants.
Guide d'administration du routeur RV160x
106
QoS
Mise en file d'attente WAN
Priorité
Utilisez ce paramètre lorsque toutes les files d'attente nécessitent une bande passante
minimale. Dans ce mode, la bande passante des files d'attente est attribuée selon un
rapport 4:3:2:1 (du plus élevé au plus faible) de la bande passante configurée sur
l'interface.
• Cochez la case Priorité.
• Cliquez sur Ajouter, puis attribuez un nom à la stratégie et décrivez-la.
• Dans la table Priorité de mise en file d'attente, sélectionnez ensuite la classe de
trafic à associer à chaque file d'attente.
Contrôle du débit
Les paquets provenant de chaque file d'attente sont envoyés avec la bande passante
maximale autorisée. Néanmoins, en cas de congestion, le débit minimal de chaque file
d'attente configurée est appliqué sur le trafic réseau. La somme des débits minimum
de toutes les files d'attente, ainsi que le débit maximal pour chaque file, ne doivent pas
dépasser 100 %.
• Cochez la case Contrôle du débit.
• Cliquez sur Ajouter, puis attribuez un nom à la stratégie et décrivez-la.
• Dans la table Priorité de mise en file d'attente, sélectionnez ensuite la classe de
trafic à associer à chaque file d'attente. Configurez le débit minimal et maximal
(en pourcentage) pour chaque file d'attente.
Remarque Le trafic auquel n'est rattaché aucun enregistrement de classification est
considéré comme file d'attente par défaut.
Latence faible
Ce paramètre permet d'appliquer une latence faible au trafic réseau critique (priorité
élevée), par exemple les données vocales ou les données de diffusion. Les paquets dans
une file de priorité élevée sont toujours programmés en premier, et les files d'attente
de priorité inférieure sont transmises (selon le rapport configuré) une fois le trafic
prioritaire envoyé.
• Cochez la case Faible latence.
• Cliquez sur Ajouter, puis attribuez un nom à la stratégie et décrivez-la.
• Dans la table Priorité de mise en file d'attente, sélectionnez ensuite la classe de
trafic à associer à chaque file d'attente. Configurez la valeur de partage de la bande
passante pour chaque file d'attente.
Remarque Le trafic auquel n'est rattaché aucun enregistrement de classification est
considéré comme file d'attente par défaut.
Étape 3
Cliquez sur Appliquer.
Guide d'administration du routeur RV160x
107
QoS
Contrôle d'activité WAN
Contrôle d'activité WAN
Dans le contrôle d'activité WAN, le mode de contrôle de débit prend en charge huit files d'attente. Chaque
file d'attente peut être configurée avec un débit maximal.
Pour configurer le contrôle d'activité WAN, procédez de la façon suivante :
Étape 1
Cliquez sur QoS > Contrôle d'activité WAN.
Étape 2
Sélectionnez l'option Activer le contrôle d'activité du trafic sur les interfaces WAN.
Étape 3
Dans la table Contrôle d'activité WAN, cliquez sur Ajouter pour créer un nouveau contrôle d'activité.
Étape 4
Saisissez ensuite le nom et la description dans les champs prévus à cet effet.
Étape 5
Dans la table, sélectionnez une classe de trafic (Non spécifiée ou Par défaut) à appliquer à la file d'attente. Les classes
de trafic permettent de diriger le trafic vers la file d'attente souhaitée en fonction du service. Par défaut, l'ensemble du
trafic correspond à la classe de trafic par défaut.
Étape 6
Dans le champ Débit maximal, saisissez le débit de bande passante maximal de la file d'attente, en pourcentage, pour
limiter le trafic entrant du réseau WAN vers le réseau LAN.
Étape 7
Cliquez sur Appliquer.
Gestion de la bande passante WAN
Les interfaces WAN peuvent être configurées avec la bande passante maximale fournie par le FAI. Lorsque
la valeur (débit de transfert en kbit/s) est configurée, le trafic entrant dans l'interface est mis en forme au débit
défini.
Pour configurer la gestion de la bande passante WAN, procédez de la façon suivante :
Étape 1
Cliquez sur QoS > Gestion de la bande passante WAN.
Étape 2
Dans la table Gestion de la bande passante WAN, sélectionnez l'interface et configurez les paramètres suivants :
Étape 3
Montant (Kbit/s)
Saisissez le débit de trafic montant, en Kbit/s.
Descendant (Kbit/s)
Saisissez le débit de trafic descendant, en Kbit/s. *Vous devez activer le contrôle
d'activité WAN pour la bande passante descendante ; dans le cas contraire, celle-ci ne
sera pas prise en compte.
Stratégie de mise en file
d'attente sortante
Sélectionnez la stratégie de mise en file d'attente sortante à appliquer à l'interface WAN.
Contrôle d'activités
entrantes
Sélectionnez le contrôle d'activités entrantes dans la liste déroulante.
Cliquez sur Appliquer.
Guide d'administration du routeur RV160x
108
QoS
Classification des commutateurs
Classification des commutateurs
Avec les modes QoS tels que Basé sur les ports, Basé sur DSCP et Basé sur CoS, les paquets sont envoyés.
Pour configurer la classification des commutateurs, cliquez sur QoS > Classification des commutateurs et
procédez comme suit :
Étape 1
Sélectionnez le mode de QoS de commutation (Basé sur les ports, Basé sur DSCP ou Basé sur CoS).
Basé sur les ports
Paquets entrants sur chaque port LAN mappés sur des files d'attente spécifiques en
fonction des mappages.
• File d'attente : sélectionnez la file d'attente pour mapper le trafic entrant sur les
ports LAN individuels.
Basé sur DSCP
Pour le trafic IPv6, DSCP mappe la valeur de classe du trafic dans l'en-tête IPv6 et la
place dans des files d'attente différentes. La valeur de classe du trafic est 4 fois supérieure
à la valeur DSCP. Par exemple, si un utilisateur configure le paramètre DSCP sur la
valeur 10 et la mappe sur la File d'attente 1, les flux IPv6 avec la valeur de classe de
trafic 40 sont placés dans la File d'attente 1. Le commutateur doit utiliser le champ
DSCP des paquets entrants et planifier la hiérarchisation des paquets dans une file
d'attente particulière à l'aide de la table de mappage.
• En fonction de la valeur DSCP du paquet entrant, sélectionnez une file d'attente
dans la liste déroulante pour mapper le trafic.
Basé sur CoS
Le commutateur utilise les bits du niveau de priorité CoS (classe de service) du paquet
entrant et classe le paquet dans la file d'attente configurée par l'utilisateur.
• En fonction de la valeur CoS du paquet entrant, sélectionnez une file d'attente
dans la liste déroulante pour mapper le trafic.
Étape 2
Cliquez sur Appliquer.
Mise en file d'attente des commutateurs
La mise en file d'attente des commutateurs permet de configurer la taille des quatre files d'attente par port en
attribuant des tailles à chaque file. La plage de tailles disponibles est comprise entre 1 et 100.
Remarque
Si la taille est de 0, la file d'attente possède le niveau de priorité le plus élevé.
Pour configurer la mise en file d'attente des commutateurs, cliquez sur QoS > Mise en file d'attente des
commutateurs et procédez comme suit :
Guide d'administration du routeur RV160x
109
QoS
Mise en file d'attente des commutateurs
Étape 1
Dans la zone Mise en file d'attente des commutateurs, sélectionnez la taille appropriée de chacune des files d'attente.
Étape 2
Cliquez sur Appliquer.
Étape 3
Cliquez sur Restaurer les valeurs par défaut pour restaurer les valeurs par défaut.
Guide d'administration du routeur RV160x
110
CHAPITRE
13
Documentation connexe
Cette section explique où trouver des informations complémentaires sur les produits Cisco.
• Pour en savoir plus, à la page 111
Pour en savoir plus
Assistance
Communauté d'assistance http://www.cisco.com/go/smallbizsupport
Cisco
Assistance et ressources
Cisco
http://www.cisco.com/go/smallbizhelp
Coordonnées de
l'assistance téléphonique
https://www.cisco.com/c/en/us/support/index.html
Téléchargements de
microprogrammes Cisco
https://www.cisco.com/c/en/us/support/index.html
Demandes Open Source
Cisco
Si vous souhaitez recevoir une copie du code source auquel vous avez droit dans
le cadre de la ou des licences gratuites ou Open Source (telles que la Licence
publique générale/amoindrie GNU), envoyez votre demande à l'adresse :
[email protected].
Sélectionnez un lien pour télécharger le microprogramme correspondant à votre
produit Cisco. Aucune connexion n'est requise.
N'oubliez pas de préciser le nom de votre produit Cisco, sa version, ainsi que
son numéro de référence à 18 chiffres (par exemple : 7XEEX17D99-3X49X08
1) qui figure dans la documentation Open Source du produit.
Cisco Partner Central
(connexion partenaire
requise)
http://www.cisco.com/c/en/us/partners.html
Routeur Cisco RV160
http://www.cisco.com/en/US/products/ps9923/tsd_products_support_series_
home.html
Routeur Cisco RV160W
Guide d'administration du routeur RV160x
111
Documentation connexe
Pour en savoir plus
Guide d'administration du routeur RV160x
112