Solocal ( c'est un groupe sous l'ancine nom ==> Groupe Pages Jaunes ) spécialisée

dans la publicité, la communication et le marketing numérique pour les entreprises

locales que ce soit des TPE, PME

POUR TPE/PME
Creation des Sites Internet
Publicité digitale
Évaluez votre présence (audit gratuit)
Inscription PagesJaunes
Présence et services en ligne

############## La difference entre les protocoles de routage :

===================================================================================
====================================== |
| RIP | EIGRP
| OSPF |
===================================================================================
====================================== |
Utilise en | |
|
|
Interne (IGP ) ou | Utiliser en interne | Utiliser en interne
| Utiliser en interne |
externe ( EGP ) | |
|
|
===================================================================================
====================================== |
Famille | Vecteur de distance | Vecteur de
distance | Etat de lien |
| ( limité par rapport au Porté maximal de
saute ) |( il ce base sur l'Etat de lien pour transmettre les message )
===================================================================================
====================================== |
Distance | 120 | 90 ( pour les
routes internes) | 110 |
administrative | | 170 ( pour les routes
externe) | |
===================================================================================
====================================== |
Métrique | ( Il ce base sur | - Bande passant ; - Charge
; | Cout |
| les nombre des sauts ) | - delait par defaut ;
Fialbilité | |
===================================================================================
====================================== |
Portée maximal | 15 sauts MAX | 224 sauts
MAX | ilimité |
des sauts | | Que sur les
devices Cisco | |
===================================================================================
====================================== |
Envoie des mises | Toute la table de | Seulement les changements
dans | Seulement les changements |
a jours | routage |
la table de routage | dans la Table de Routage
|
===================================================================================
====================================== |
Temps des MAJ | 30 sec | Seulement s'il ya un
changement | Seulement s'il ya un changement |
===================================================================================
====================================== |
@ d'envoie | En diffusion | En multicast
| En multicast |
des MAJ | |
[Link] | [Link] et [Link] |
===================================================================================
====================================== |
Convergance |

|
(avoir meme table de | Lente | Trés
rapide | Rapide |
sur tout les routers)|

|
===================================================================================
====================================== |
Authenification | NON |
OUI | OUI
|
===================================================================================
====================================== |
Décomposition de | Pas de décomposition | Fonction avec
| Fonction avec |
réseau | | la
notition des AS | la notition des AREA |
===================================================================================
====================================== |

############ BGP ( Border Gateway Protocol )

##### MPLS ( Multiprotocol Label Switching ) // Protocol Rapid ( basé sur les
labales ) // layer MPLS / Couche MPLS 2.5 ( entre la couche reseaux et laison )
==> il nous permet de faire une interconnexion du réseaux LAN séparés
géographiquement entre eux via un réseau WAN basant sur le concept de labling
( étiquettes )
==> Labling ( les étiquettes ) : c'est une étiquette que permet
au router d'identifer la destination d'un paquet.
( localise dans le 2eme couche de model
OSI - couche de laison // il fonction avce les labling)
+ les zones MPLS

+ Comment fonction:
==> lorsque le router recoie le paquet il lire l' adresse de
destination et il le transfère aux prochaines routées basées sur la table de
routage et le même processus s'applique pour les autres routers jusqu'à que le
paquet arrive à sa destination.

+ Son fonctionement:
==> il utilise pas les IP ( il fonction pas avec le routage) ==>
minimize la pression sur les routers
 ==> ils utilise pas les HOPS ==> une connection direct avec le reseau
qu'il va ce connecter avec ==> cause une rapideté dans le transfer des donnée ( par
exemple la voix )

+ Avanatges :
==> Plus rapide que le VPN par ce que il utilise labling ( traffic du
source vers la destination )
==> Chaque branche a eu un ISP spesefic depand de leur besion
==> One to many connection ==> c'est comme un réseau dans le meme
switch
==> Qualité de service + Sécurité ( utilise un labling ( etiqtage )

+ Les différents types de routeurs MPLS

Dans le reseax ISP ==> ( P ) Provider router : ( Coté
provider ) des routers du provider entre eux
Dans le reseax ISP ==> ( PE ) Provider Edge : Dernier
retour du provider
Dans le reseux CLIENT ==> ( CE ) Customer Edge : reseaux client LAN
// responsablité client // utilise les vrf ( VRF ==> des router virtuel qui
assure la communication dans le router physique )

LES Show du MPLS : ( ldp ==> local label distribution protocole : c'est un
protocole qui assure la distribution des labale entre les routers MPLS )
# show ip route vrf 101:AZX
# show mpls forwarding-table ==> Afficher un récap de la table des labels
MPLS
# show mpls ldp bindings ==> Affiche des informations sur toutes
les liaisons MPLS LDP

########### Configuration du MPLS

########## Configuration MPLS pour le BACKBONE ( les routers MPLS ) // les routers
P et PE

1/ configuration des @ip des interfaces + les interfaces loopback

==> loopback config

# interface Loopback0
# description *** MGMT ***
# ip address [Link] [Link]
# zone-member security INSIDE

2 / Configuration du routage ( BGP / OSPF / EIGRP )

3 / configurer MPLS // sur les routers backbond du MPLS

R1(config)#mpls ip
==> Activer MPLS dans le router d'une maniere global
R1(config)#mpls label range ==>
creation d'une plages des label qui seront affeter au routes dans le table de
routage
R1(config)#int g1/0 => # R1(config)#mpls ip ==>
activation du MPLS dans les interfaces du router

########## Configuration du router CE et PE

#### Sur les routers PE // VRF ( Virtual routing and forwarding ) ==> il
permet paratger la table de routage ( la veux dire les routes ) du router PE avec
le router CE

PE(config)# vrf definition Client_A ( any word )

==> configurer une vrf
PE(config-vrf)# rd 100:200
==> rd ( route distinguisher ) permet de distinguer les routes. son
format AS:ROUTE_TAG
PE(config-vrf)# route-target {export / import} 100:1000 ==>
Configurer les propriétés d'importation et d'exportation

##### Aprés la creaion de la vrf on doit Affecter la vrf crée a une interface
physique ( en face le CE )

PE(config) # interface GigabitEthernet0/1

PE(config-if)# vrf forwarding Client_A

+++ les show du MPLS

PE(config)# do show vrf # afficher les vrf crée

########### Configuration DU BGP

#######################################################
########### BGP (Border Gateway Protocol)
#######################################################

** Distance administrative ( iBGP : 200 || eBGP : 20 )

** Port Number : 179 / TCP
** Mise a jour depuis les messages unicast

==> protocole de routage utiliser dans le reseau internet son objectif et

d'echanger des informations de routage et d'accessibilité réseaux entre des
( AS ) // systeme autonomes
==> utiliser dans par les fornisseurs d'access internet

** LES Types de BGP

==> eBGP ( external BGP / des AS différents ) : Differents AS
==> iBGP ( internal BGP / utilise le meme AS ) : Meme AS

+++ Configuration: en cas de router A et router B

Router_A(config)# router bgp AS_number

==> Activation du BGP sur le router
Router_A(config-router)# network [Link] mask [Link] ==>
Configuration des reseau directement connecté
Router_A(config-router)# neighbor [Link] remote-as 65500
==> l'inteface du prochaine router // remote-as 65500 utiliser par l'autre
router voisine B

+++ les show du BGP :

# Router_A# show ip bgp : Affiche la base de donnée BGP complete
# Router_A# show ip bgp summary : Affiche un résumé de la base de donnée
BGP
# Router_A# show ip bgp neighbors : affiche les informations detailées
sur les voisine BGP
# Router_A# show ip bgp neighbor @IP : affiche les informations sur le
voisine BGP avce cete @IP
# Router_A# show ip route : affiche la table de routage complete
 # Router_A# show ip route bgp : affiche uniquement la table de routage
entrée et gerer par le BGP

+++ Rénitialisation du BGP :

# Router_A# clean ip bgp : ré-initialise les relations avec
tous les voisines BGP
# Router_A# clean ip bgp <ASN> : ré-initialise tous les voisine BGP de
cet AS
# Router_A# clean ip bgp <@IP> : ré-initialise le voisine BGP avec
cette address IP

###################################################################################
######################################
####################################################### VLAN ( VIRTUAL LOCAL AREA
NETWORK )

########### VLAN ( Virtual Local Area Network ) un réseau local virtuel ( non
physique ) // 802.1Q
Definition ==> C'est un reseaux local regroupe un ensmble des machines
de facon logique ( et non physique )

Definition ==> le vlan regroupe de facon logique ( et non physique ) et

indépendant un ensemble de machines et il nous permet de segemnter les réseaux

+++ Vlan Tag : ( 32 bites ) = Priorité ( 3 bites ) + CFI ( 1 bits ) + VLAN ID ( 12

bites) + EtherType ( 16 bites )

+++ Avanatges :
==> Sécurité : dimunité les risque confidentialité
==> Meilleures performance : optimisation de la bande passante + minister les
domaines de diffusion
==> Réduction des couts : pas besion d'acheter des switch physique

+++ Types:
==> Mode Trunk ( agrigation ) : Une laison physique qui permet de passé
plusieurs VLAN ( il est utiliser dans le cas ou plusieurs vlan peuvent circuler sur
le meme lien )
+ \\ Les trunks permettent le passage de plusieurs VLAN sur le même
lien physique. //

==> Mode access : Une laison pour faire passé les trames d'un seul vlan //
( pour les perephirique fineaux : PC / printer / ip phone / Camera )

==> Dynamic : Lié au protocole d'agrigation dynamique DTP ( dynamique

trunking protocole ) // par defaut il est activé sur un equipement Cisco

==> Vlan natif : par défaut sur un switch, utilisé pour le trafic non marqué
et non étiqueté

+++ Emplacement des vlan sur un switch : dans le ficher ( [Link] ) // Flash =>
[Link]

+++ Max des Vlan a crée dans un switch : 4096 VLAN

+++ Configuration du VLAN :

Switch(config)# switchport mode trunk // Passé

tous les vlan sur un lien
Switch(config)# switchport trunk native vlan 999 //
 Switch(config)# switchport trunk allowed vlan 400 // autorisé
seulement un vlan spesefic dans un lien ( Filter les vlan sur cette laison )

###################################################################################
#################################################
####################################################### INTER-VLAN
** Définition: Permet l'interconnexion entre les differents reseax via des
interfaces virtuel.

** Configuration: supposant on a 2 vlan ( 10 et 20 ) // Sous

l'interface du router \\ ( en face le swicth )

Switch(Config)# interface f0/0 ##

en SUPPRUME L'addresse IP depuis l'interface phishique en on l'active
Switch(config )# switchport mode trunk ## Obligé de
speseifé l'interface en mode TRUNK pour faire passé les VLAN
Switch(Config)# no ip address
Switch(Config)# no sh

Router(Config)# interface f0/0.10 ## en crée

une interface virtuel pour chaque vlan en on l'affect une @IP
Router(Config-if)# encapsulation dot1q 10
Router(Config-if)# ip add [Link] [Link]

Router(Config)# interface f0/0.20 ## en crée

une interface virtuel pour chaque vlan en on l'affect une @IP
Router(Config-if)# encapsulation dot1q 10
Router(Config-if)# ip add [Link] [Link]

###################################################################################
#################################################
####################################################### VTP ( VLAN Trunking
Protocol )

Definition ==> // c'est un protocole propriétaire Cisco qui nous permet de

syncroniser la configuration des vlan ( NOM et ID ) entre des switches sur le même
domaine VTP.
aussi des modification des vlan // chaque 300s ( 5
minutes )

+++ Les version du VTP :

1 : Limiter a 1005 Vlan / Modes: Server + Client
/ Pas de Sécurité
2 : Limiter a 1005 Vlan / Modes: Server + Client + Transparent /
Sécurité moyen ( Authenification via mot de passe non crypté )
3 : Limiter a 4096 vlan / Modes: Server + Client + Transparent + Off /
Sécurité Forcé ( Authenification via mot de passe crypté + )

+++ Les Types du VTP :

+ Server :
+ Client :
+ Transparent :

+++ Message VTP :

+ Summary : Plusieurs information en resumé de VTP , envoyer aprés chaque 5min
( content version VTP, le domaine, numéro de revision, hash MD5 )
+ Subset : Envoyer aprés chaque modification ( creation, supprision,
modification )
+ Request : Envoyer par le client au serveur VTP en cas de suppression du ficher
[Link]

+++ Configuration du VTP : toujours sur un lien !! TRUNK !!

++ Mode Server :
Switch# vtp domaine Karim : configure a domaine
Switch# vtp mode server : configure a vtp Mode
Switch# vtp version 2 : configure vtp Version
Switch# vtp password Karim@VTP : configure vtp password

++ Mode client :
Switch# vtp domaine Karim : configure a domaine
Switch# vtp mode client : configure a vtp Mode
Switch# vtp version 2 : configure vtp Version
Switch# vtp password Karim@VTP : configure vtp password

+++ les show VTP :

Switch# show vtp status : Show VTP Version + mode + domaine

###################################################################################
#################################################
####################################################### STP ( Spanning Tree
Protocol ) // Protocol de la couche 2

** Definition ==> c'est est un protocole qui gére les boucles sur un réseau
local dans le cas de l'utilisation de lien redondant.
Si une boucle
détectée, un des ports du switch sera bloqué.

Pour savoir on utilise quelle type de STP : depuis la commande STP :

si on trouve : IEEE ==> STP
si on trouve : rstp ==> RSTP

** BPDU : C'est une tram qui content un ( Bridge ID ) qui aider les swicthes a
savoir qu'est le switch ROOT ( syncronise chaque 2 sec )

** Les Variantes STP :

- STP : utiliser par des bridges ( un swicth qui comprend pas des vlan ) ==>
Convergance = 50 sec
- PVST ( Per-VLAN STP ) : il travail uniquement avec le protocole
d'agrigation ISL (Inter Swicth Link ) // Protocole de trinking ==> Convergance =
50 sec
- PVST+ : comme PVST mais il travail avec avec le protocole d'agrigation
DOT1Q ==> Convergance = 50 sec
- RSTP (Rapid STP ) : ==> Convergance = 20 sec
- RPVST+ (Rapid STP ) : ==> Convergance = 20 sec
- MSTP ( multiples STP ) : pour un groupe ou instance des VLANS

*** Principe ( Algorithme STP ) :

+ Tous les swicthes de la topologie échange d'une maniere réguliere ( chaque
2 sec ) en multicast des trames BPDU ( Bridge Protocole Data Unit ) aifn de bloquer
des ports contre le boucles.

*** STP fonction en trois facteur pour choisir le port ROOT :

La verification Commence par : Le Cout
Si les interface ont le meme cout il verifie => priorité
de port

Sinon => il choisi le numéro de l'interface

*** Les étapes :
+ Selectionner un switch ROOT : Le switch qui porte le petite identifant ( MAC )
puis transfer tous ces ports en des ports désingés ( Designated ports )
+ Selectionner les ports ROOT sur chaque segement ( laison entre les switch ) non
root
+ Selectionner un seul port désinger dans chaque segement.

*** Comment choisir un ROOT Bridge :

=> Au début chaque swicth est un ROOT aprés une négociation, le switch avec
la petite priorité ce selection comme un ROOT et les autres comme des secondaire
( si on a la meme priorité, en passe a l'address MAC )

*** Les Côuts : ( Ethernet = 100 ; FastEthernet = 19 ; GigaEthernet = 4 ;

TenGigaEthernet = 2 )

*** Roles des portes STP :

+ RP ( ROOT PORT ) : Meilleur chemin vers le ROOT Bridge ==> En état du
Forwarding
+ DP ( designated PROT ) : Port non-RP en forwarding // ==> En état du
Forwarding
+ Alternative : en etait Blocking
+ Backup : en etait Blocking
( Si un port ni RP ni DP ==> Port bloqué )

*** Les états du ports STP:

+ Initialisation : Activation du port
+ Blocking : ( Aprés 20 Sec ) ==> Le port jette les trames BPDU mais il les
transmettre pas + le port ne remplie pas la table de MAC
+ Listening : ( Aprés 15 Sec ) ==> Le port jette les trames BPDU + il les
transmettre + le port ne remplie pas la table de MAC
+ Learning : ( Aprés 15 Sec ) ==> Le port accepte les trames BPDU + il les
transmettre pas + il ajoute les nouveau @MAC dans son table de MAC addresses )
+ Forwarding ==> Le port accepte les trames BPDU + il les transmettre + il
ajoute les nouveau @MAC dans son table de MAC addresses )

**** Configuration de STP : ( chaque swicth au debut leur priorité est : 32768

Switch(config)# spannin-tree vlan 1,2,3,4 priority 0 ==> Définir un swicth

comme un ROOT ( mieux a utiliser cette commande pour definir le root switch pour
les vlan 1,2,3,4 )
Switch(config)# spannin-tree vlan 1,2,3,4 root primary ==> Définir un
swicth comme un ROOT
Switch(config)# spannin-tree vlan 1,2,3,4 root secoundry ==> Définir un
swicth comme un secondaire

Switch(config)# spannin-tree vlan 1 cost 16 ==> Changer le cout

Switch(config)# spanning-tree mode rapid-pvst ==> Acivation du RSTP // on

chnage ni priority ni rien

##### RSTP
+++ Configuration du RSTP
Router_A(config)# spanning-tree mode rapid-pvst
# Activation du rapid spanning-tree sur le switch
Router_A(config)# spanning-tree vlan 1-100 port-priority 64
# Configurer une priorité sur un port
Router_A(config)# spanning-tree vlan 1-100 root primary
# Fixer le switch root
+++ Configuration des ports d'accès reliés à un switch
Router_A(config)#int range fa0/1 - 8
Router_A(config-if-range)#spanning-tree portfast
# the interface will skip the listening and learning state
*** Les Show STP:

Switch# Show spannin-tree root : afficher les informations le ROOT

bridge par VLAN ( VLAN, MAC du root, root cost, ROOT port interface )
Switch# Show spannin-tree : Afficher des inforamtion sur le SPT ( Qui
est le Root et qui est le bridge ) + les ports ROOT
Switch# Show spannin-tree interface F0/1 : Afficher des inforamtion sur
le SPT sur cette interface

###################################################################################
#################################################
####################################################### Etherchannel

** Definition ==> c'est une ne technologie d’agrégation de liens qui permet

d’assembler plusieurs liens physiques en seul lien logique.
Avanatges : Réunir plusieurs ports dans un seul lien logique
dans le but d'améliorer le debit de notre lien )
// MAX Creation of port channel : 6

** Prérequis :
==> Chaque lien doit avoir minimum : 100 Mbps
==> Etre configuré en full duplex
==> Avoir la meme vitesse
==> Appartenir dans le meme VLAN

*** Avantages :
==> Avoir de load balancing : repartissant le traffic sur les differents lien
physique.
==> Faire des failover on cas ou un lien tombe en panne.

*** Types
==> PAgP ( Port Aggregation Controle Protocol ) : Fonction uniquement sur les
equipement Cisco // Regrouper jusqu'a 8 ports Max
=> Modes: Auto / desirable
==> LACP ( Link Aggregation Protocol ) : Fonction sur les differents
equipement Cisco et non Cisco // Regrouper jusqu'a 16 ports Max
=> Modes : ( Active / Passive )
==> Static : On / On

/\ Le mode "active" utilise LACP and PAgP /\

*** Configuration du Etherchannel

================= Create port Channel

Switch(config)# interface Port-channel24 : Creation
de l'interface Etherchannel : Obligé
Switch(config)# description *** TEST *** : une
descption de l'interface :
Switch(config)#switchport trunk native vlan 999 : en cas ou
on a le VLAN native differents de 1 : Obligé
Switch(config)#switchport mode trunk
 : Obligé
Switch(config)#switchport nonegotiate :
Désactivé DTP
Switch(config)#carrier-delay msec 0
Switch(config)#storm-control broadcast level 10.00
Switch(config)#storm-control multicast level 10.00

============ Affect PORT Channel TO physical interface

Switch(config)#interface GigabitEthernet1/0/8
Switch(config)#switchport trunk native vlan 999
Switch(config)#switchport mode trunk
Switch(config)#switchport nonegotiate
Switch(config)#carrier-delay msec 0
Switch(config)#storm-control broadcast level 10.00
Switch(config)#storm-control multicast level 10.00
Switch(config)#channel-group 24 mode on ( { active } ou { on } )

*** Les show Etherchannel :

Switch(config)# show etherchannel sammury # Verifie si le EtherChannel
fonction ou pas
Switch(config)# show interface etherchannel

###################################################################################
#################################################
####################################################### DHCP ( Dynamic Host
Configuration Protocol )

** Definition ==> C'est un protocole fonctionnat en mode Client - Server qui

permet d'attribué des addresses IP aux clients.

** Numéro de port de DHCP: // UDP port

=> 67 pour le Server
=> 68 pour le Client

** Types d'allocation d'adresse :

=> Automatique : Attribué automatiquement au client , un mappage static ( MAC
- IP ) permet de retrouver la meme @IP lors d'un déconexion / recenexion.
=> Manuelle : l'attribution ce fait d'une maniere manuel par l'administrateur
réseau ( mappage statique ).
==> Dynamique : offrir par le serveur DHCP

** Les messages DHCP :

=> DHCP Discover : lorsque le client cherche le server DHCP
=> DHCP Offer : lorsque le server offrir au client
=> DHCP Request : requet envoyer envoyer par le client pour confirmer la
connexion avec cette @IP.
=> DHCP ACK : Accuser de réception depuis le server au client
=> DHCP Decline : rejeter
=> DHCP NACK : NOT ACK // pas d'accuser de reception
=> DHCP Relese : liberer @IP au client

** Configuration :

Switch/Router(config)# ip dhcp excluded-address [Link] [Link]

: une range ou les @IP exclue depuis le pool ( @IP du servers /
Switch/Router(config)# service DHCP
 : Pas obligé

Switch/Router(config)# ip dhcp pool <nom_du_pool>

: Donné un nom du pool DHCP
Switch/Router(config-dhcp)# network [Link] [Link]
: Un reseau a attribué au clients
Switch/Router(config-dhcp)#default-router [Link]
: Une passrel pour connecter les clients
Switch/Router(config-dhcp)#dns-server [Link] [Link] [Link]
[Link] : Un DNS pour la résultion DNS
Switch/Router(config-dhcp)#domain-name [Link]
: Un nom de domaine
Switch/Router(config-dhcp)#lease <duration >
: le temps de // par defaut ( 1 day )
Switch/Router(config-dhcp)#option 43 hex f104.0a63.00be
: pour declaré un WLC en cas d'un réseau de l'admin
Switch/Router(config-dhcp)#end

** Les show DHCP :

Switch/Router# how ip dhcp binding : des information sur le DHCP //
Lease date + @IP expiration

###################################################################################
#################################################
####################################################### NTP ( Network Time
Protocol)

** Définition : c'est un protocole qui permet de syncroniser les temps ( date et

heure ) entre les equipements.

** Numérp de Port NTP : 123 UDP

** Configuration du NTP master

=> Pour le server :
Router# clock set [Link] 28 Feb 2024
Router# ntp master ( numéro )

=> Pour le client :

Router# ntp server [Link]

** Les show NTP

Switch# Show ntp status
Switch# show ntp associations : Afficher les information du NTP
master

###################################################################################
#################################################
####################################################### HSRP (Hot Standby Routing
Protocol) // Selement pour les equipement Cisco

HSRP : il sert a agementer la toléreance de panne sur le réseau en créant un router

virtuel a partir de 2 routers physique ou plus; ( dans un format du groupe )

=========== Definition
* HSRP (Hot Standby Routing Protocol) ( CISCO ) : Un protocole de continué de
service implémenté dans les router cisco pour la gestion des liens secours
utilisant une @IP Virtuel

* VRRP (Virtual Router Redundancy Protocol ) ( Protocole STANDARD ) : C'est

protocole STANDARD dont le but est d'augmenter la disponibilité de la passerelle
par défaut des hôtes d'un même réseau

* GLBP ( Gateway Load Balancing ) ( CISCO ) : un protocole propriétaire Cisco

permettant de la redondance et de la répartition de charge sur plusieurs routeurs
en utilisant une seule adresse IP virtuelle

======================

*** Concepts:
+ HSRP => ( One Active / One Standby) : vMAC : [Link] ( XX pour le numéro
de groupe HSRP ), Hello : Chaque 3 sec, Hold : 10 Sec , Multicast ( [Link] )

+ VRRP => ( One Master / All backup ) : vMAC : 0000.5e00.01xx , Hello Time : Chaque
1 sec, 3 Hold Time, Hold : 10 Sec , Multicast ( [Link] )
| ==>Pas besion de declaré l'@IP du actif, les autres routers fonts du
Learning depuis le Router actif.

+ GLBP => ( One AVG / All AVF ) :

======================

** Numéro de port : 1985

** Fonctionement :
=> les routers seront crée sous format d'un groupe. //
Priorité la plus élévé c'est le Active
=> Pas activé par defaut
=> Les communication HSRP entre les routers phishique et
virtuel font par l'envoie des paquets Multicast ( [Link] ) via le port 1985

* Le Router phishique ( Active ) : responsable pour le routage

* Le Router ( Standby ) : responsable pour la redondance

** Configuration:

+ Sur le router primary :

Router(config)# interface GigabitEthernet0/0/1 // Interface
vers le swicth
Router(config-if)# standby 1 ip [Link] // Creation
de L'@ IP Viruel ( 10.80.80 => @IP virtuel )
Router(config-if)# standby 1 priority 150 // Definir le
router Actif
Router(config-if)#standby 1 preempt //
Activation de négociation entre les routers. ou bien on utilise ( config-if#
standby 1 preempt delay minimum 30 )

+ Sur le router standy :

Router(config)# interface GigabitEthernet0/0/1

Router(config-if)# standby 1 ip [Link] // Creation
de L'@ IP Viruel ( 10.80.80 => @IP virtuel )
Router(config-if)# standby 1 preempt

** Les show HSRP :

Router # show standby brief # Les status des routers @IP
de standby + Virtuel @IP
Router # show standby # Affiche le status du router
( Actif / Standby ) + Virtual @IP

Config su VRRP ou GLBP :

Router(config)# interface GigabitEthernet0/0/1
// Interface vers le swicth
Router(config-if)# (vrrp /glbp ) 1 ip [Link]
// Creation de L'@ IP Viruel ( 10.80.80 => @IP virtuel )

###################################################################################
#################################################
####################################################### ACLs ( Access controle list
)

** Définition : Permet d'autoriser ou bloqué des paquets que ce soit en entrée

ou en sortie.

************** S'applique sur les interfaces du routers ************

** Les types des ACL :

=> ACL Standard ( numérotée ) : Bloqué ou autorisé tous le trafic.
// l'ACL s'applique dans le router le plus proche a la destination
=> ACL Etendue ( numérotée ) : Bloqué ou autorisé un ou plusieurs traffic ou
service ( HTTP, TFTP ...)
=> ACL nommée : peut être de type Standard ou etendue.

############# ACL Standard // ( s'applique dans le plus proche router a la

DESTINATION basé sur l'address source ) // les numéro de l'ACL 1-99 et 1300- 1999

** Configuration :
Router(config)# access-list {numéro} {permet | deny} {prefix
source} [masque generique] // Creation de l'ACL
Router(config)# interface s2/0
Router(config-if)# ip access-groupe 1 in

++ Exmple d'une ALC qui Autorisé un seul host :

Router(config)# access-list 2 permit host [Link] // autorisé
just le host [Link]
Router(config)# access-list 2 deny any
// Bloqué tous le traffic avec l'autorisation d'un seul host /\ IMORTANT A
AUTORISE OU BLOQUE APrés L'ACL /\
Router(config)# interface s2/0
// Application sur l'interface
Router(config-if)# ip access-groupe 2 in //
Application sur l'interface

############# ACL Etendue ( s'applique dans le plus proche router a la SOURCE

basé sur l'address source et @ de destination) // les numéro de l'ACL 100-199 et
2000- 2699

** Configuration : Opérateur = "eq=égale" , "neq=inégale" , "lt=inférieur" ,

"gt=supérieur"

Router(config)# access-list {numéro} {permet | deny} {protocole (tcp/udp)} {prefix

source} [masque generique source] {prefix destination} [masque destination]
[{Opérateur} {Numéro de port du service}]
Exemple : Router(config)# access-list 100 deny tcp host [Link] any
eq 59443
Router(config)# access-list 100 permit ip any any
/\ IMORTANT A AUTORISE OU BLOQUE APrés L'ACL /\
Router(config)# interface s2/0
Router(config-if)# ip access-groupe 100 in

############# ACL Nommée // basé sur l'ACL standard et l' etendue || reconntré
par un nom ( peu etre standard ou etendue ) ( s'applique dans le router le plus
proche a la SOURCE )

Router(config)# ip access-list { standard ou extended } "nom_de_ACL"

Router(config-std-nacl)# ip access-list { standard ou extended } "nom
de l'ACL"
Router(config-std-nacl)# deny tcp any any eq 8400
Router(config-std-nacl)# deny tcp [Link] [Link].255 host
[Link] eq 80 // bloqué l'access au server web [Link]
depuis [Link]
Router(config-std-nacl)# permit ip any [Link] [Link]

Router(config)# int f0/0

Router(config)# ip access-groupe nom_de_ACL { out ou in }

###################################################################################
#################################################
####################################################### OSPF ( OPEN SHORTTEST PATH
FIRST )

** Numéro de port : 89 /Protocole IP directement (pas TCP/UDP)

** Distance administrative d'OSPF : 110 // ** Synchronisation
chaque : 10 sec // ** il se base sur la METRIC ( link Bandwidth ) pour l'envoie
des donnée.

Definition: est un protocole servant à déterminer le meilleur chemin que peuvent

emprunter des paquets pour transiter par une série de réseaux connectés
On utilise des zones dans le but de découper le réseau afin de
démunie la taille de la topologie réseau mémorisé sur chacun router.

**Concept : // ID du 1 a 100 // Il fonction avec le COST

Une fois le OSPF configuré une table LSA ( Link State Advertisment ) crée,
composé par ( les @IP + interfaces de ces IP ), cette table il ce paratge entre les
routers pour synchronisé les routes vers les reseaux adjasants;

####################### OSPF avec zone unique

** Configuration d'OSPF : en mentionée les reseaux les proches au routers

Router(config)# router ospf 1

Router(config-router)# network [Link] [Link] area 0

####################### OSPF Multi Zones : en mentionne les @IP des interfaces du

routers avec la commande network

Router1(config)# router ospf 1

Router1(config-router)# router-id 'ID_du_router_1'
 // dans le cas des zones multiples
Router1(config-router)# network {@IP_des_interfaces_de_ce_retour}
[Link] area 0 // ( @IP des interfaces des routers ) g0/0 et G1/1...

Router2(config)# router ospf 1

Router2(config-router)# router-id 'ID_du_router_2'
// dans le cas des zones multiples
Router2(config-router)# network {@IP_des_interfaces_de_ce_retour}
[Link] area 1 // ( @IP des interfaces des routers ) g0/0 et G1/1...

## Creation des lien virtuel sur les lien OSPF :

Router1(config)# router ospf 1
Router1(config)# area 1 virtual-link ID_du_router_1

Router2(config)# router ospf 1

Router2(config)# area 1 virtual-link ID_du_router_2

## Distrubution of route via OSPF :

Router2(config)# router ospf 1
Router2(config-router)# default-inforamtion originate
## Partager les routes avec les autres routers
Router2(config-router)# default-inforamtion originate metric-type 1
## prioritz a redistrubution in case we have multiples routers

### les show OSPF :

Router# show ip ospf neighbor # afficher les neighbors d'adjasant

Router# show ip ospf interface
Router# show ip ospf database
Router# show ip route ospf

###################################################################################
#################################################
####################################################### EIGRP ( Enhanced Interior
Gateway Routing Protocol )

** Numéro de port : 179 /TCP

** utilise la METRIC la plus faible // " D " : sur show IP route

** Definition : C'est un protocoles de routage à vecteur de distances propriétaire

de Cisco.
* VECTEUR DE DISTANCES : sont des protocoles permettant de construire des
tables de routages où aucun routeur ne possède la vision globale du réseau.

** Distance administrative d'EIGRP : 90 // ** LES MAJ incrémentales

// il fonction avec la distance // communication en multicast
( [Link] )

==> Amélioration :
=> Propriétés de convergance. ( Prendre en concediration Bandwidth /
delay ) synchronisation instantané
=> Efficacité des opérations.

*** Fonctionnement : Table EIGRP :

==> Table Neighbors
==> Table de topology
==> Table de routage ( utilise la METRIC la
plus faible )

** Configuration de l'EIGRP: // En mentionée les reseaux les proches au router

Router(config)# router eigrp 100

Router(config)# eigrp router-id [Link] # mieux identifié
avec @IP du router / loopback
Router(config)# network [Link] [Link] # en ajoute toujours @IP
du loopback
Router(config)# network [Link] [Link]
Router(config)# network [Link] [Link]

** Les show de l'EIGRP:

Router# show ip route eigrp # Affiche les route

eigrp
Router# show ip eigrp neighbor # Afficher les
neighbor eigrp

###################################################################################
#################################################
####################################################### RIP ( Routing Inforamtion
Protocol ) ** Distance administrative du RIP : 120

** Definition : Les protocoles de routage à vecteur de distances.

* VECTEUR DE DISTANCES : sont des protocoles permettant de construire des
tables de routages où aucun routeur ne possède la vision globale du réseau

( il ce base sur la nombres des HOPE pour avoir a la destination )

** Versions de RIP :

RIP v1 :
- ClassFul : Masque fix ( par exemple tous en /24 , / 27...
- Les MAJ : BRODCAST
RIP v2 :
- ClassLess : Class Masque Variable
- Les MAJ : Multicast
- Sécurité : Authenification des Voisins

** Les caractéristique de RIP :

=> Fonctionement avec nombre des sauts
=> Metrique MAX : 15 sauts
=> MAJ Périodique : chaque 15 sec

** Configuration de RIP :

Router1(config)# router rip {1_ou_2}

Router1(config)# network [Link]
# le reseau le plus proche au router
Router1(config)# version {1_ou_2} PAS OUBLIGE
# ( choisir la version de RIP v1 ou v2 )
Router1(config)# redistribute static PAS OUBLIGE
# ( on cas ou on a un router avec un routage dynamic et un autre avec un routage
static )
Router1(config)# default-inforamtion originate PAS OUBLIGE # ( on
l'utilise en cas ou on a d'autres protocole de routages pour propagé le 1er
protocole avec le 2eme.
** Les show RIP:
Router1# show ip rip database # Affiche les
information sur les routes ( route directement connecté , auto-summary ( loins..

###################################################################################
#################################################

** Distance administrative d'une route Static : 1

###################################################################################
#################################################
####################################################### FORTINET

####################################################### NAT

++ Fortigate peux etre utilise en :

=> Modes NAT : utilisation les fonctionalité notmal du FW ( Policys, Web
filtering ... )
=> Transparent : Fonction comme un switch de niveau 2 , tous le FW fonction
dans le meme domaine de prodcast

NAT
/----------------------------\
/ \
/ \
Per Policy Central NAT ( on
l'activera via CLI ):
/ \ #config system settings
==> #set central-nat {enable|disable} => end
/ \ /
\
/ \
/ \
SNAT DNAT SNAT
DNAT
/ \ | |
|
/ \ VIP CENTRAL SNAT
DNAT & Virtuel IPs
/ \
Ongoing ---------- Dynamic IP Pool---------
Interfface / \ \ \
/ \ \ \
OVERLOAD One-to-One Fixed port Port Block
range
allocation

====================================
++ Il exist deux methode pour le NAT ( soit par ( Per Policy ou Central NAT ) )

- Per policy : Affectation du NAT sur chaque policy ( soit par SNAT ou
DNAT )
 - Central NAT : ( soit par SNAT ou DNAT )

+ Types sur chaque methode :

- SNAT ( SOURCE NAT ) : Appliquer le NAT depuis la source ( Ex: depuis le LAN
=> WAN)
- DNAT ( Destination NAT ) : Faire un Mapage entre l'externe vers l'interne (
WAN => LAN )

############################ Per Policy

######## SNAT ( Source NAT ) : on fait l'affecation sur la policy

Il exist deux methode pour l'appliquer :

==> ongoing interface : On utlise l'@IP de l'inteface vers le WAN. ( Concept MANY
TO ONE / PAT)

==> Dynamic IP Pool : On utlise une plage spesefic des @IP public ( on crée un pool
et on l'applique sur une policy ), il exist 4 types :

==> Overload : Concept du MANY-TO-ONE ou bien MANY-TO-FEW ( Un pool configuré

avec une @IP ou plusieurs qui sera dispo lors de la connexion ). ( PAS de
translation du port )
==> One-to-One : Chaque @IP Privé map avec une @IP PUBLIC depuis @IP du
POOL // en cas ou le Pool est épuisé le connection sera arrété. ( OBLIGE d'avoir
des @IP dispo ) ==> Fixed port range : ( MANY-TO-MANY / On spesefie les @IP
Privé + Public )
==> Port Block allocation : On spesefie un block ( Block size + Block per
User ) pour chaque host ou pour une @IP. // Ex: pour limité les attaque DDOs

######## DNAT ( Destination NAT ) : faire un mapage d'une @IP public vers @IP
privé. ( il s'appel des VIP ( Virtuel IP ) )

==> DNAT use VIP as a destination address

==> On peux aussi faire un mapage des ports

######################### Central NAT : Par defaut est desactiver // Ca depand des

sénarios \\ Ex: si on a beaucoup des policys ( Ex : +1000 ) avec le meme service on
l'applique

Un espace qui centralise le management du NAT, si on crée un NAT il sera appliquer

sur tous les policys avec la meme source et destination.

** Activation via CLI: #config system settings ==> #set central-nat {enable|
disable} => end

Une fois activé deux volé sur le menu ajouter : // On ajoute pas LA VIP

==> Central SNAT ( Pour le SNAT ) : Appliquer depuis le source NAT

==> Une seul policy sur le Central NAT va etre appliquer sur tous les policys
crée

==> DNAT & virtual IP ( Pour le DNAT ) : Appliquer depuis la DNAT

####################################################### Firewall Authentication

+ Authentification Methode :
 => Local : ( Par exemple si on a un seul FW )
=> Server-based password : Via un remote serveur

+ modes of firewall authentification :

=> Active Authenification : A user recieve a login prompt + manuel enter of

login credentials ( LDAP, TACAS + , RADUIS )
=> Passive Authenification : Auto Login ( FSSO or RSSO ) || FSSO ( Software
Agenet of Fortigate )

+ User Groupe: 4 types

=> Firewall :

####################################################### Firewall Authentication

// Fortinet Single Sign-On (FSSO)

++ FSSO deployement and configuration ( 2 ways ) :

=> Agents mode ( Domain controllor agenets ) // recommanded by Fortigate :

( Menu => Security Fabric => External Connectors => FSSO Agent on Windows AD)
=> Configuration on Fortigate ( DC IP + Agent PWD )
=> Downlaod of agenet from forti support
=> Install the agenet on DC
=> Install of the conector on DC
=> Link Fortigate with the agenet

=> Polling mode : ( Menu => Security Fabric => External Connectors =>
Poll Active Directory Server)
=> Agent
=> Agentless : Fortigate connect directly with DC with out agenet

++ Authentification Type:

=> Firewall Policy : User or group added to the firewall policy.

=> Captive Portal : Authenification via Webpage ( on wired or on Wi-Fi ):

==> Local :
==> External :
============================
++ FSSO Log Message : ( Menu => Logs & Report => Events => User Events )

++ Check active logged users : ( Menu => Dashboard => Users & Devices ) // CLI :
#diagnose debug authd fsso list

+ Required Ports: ( For Sync between FW and Colloctor )

- 139 : ( Workstation verification )
- 445 : ( Workstation verification & Events log polling )
- 389 : ( LDAP )
- 445, 636 : ( LDAPS )

####################################################### Certificate Operations

+ Why need Degital certificate:

=> Inspection : inspection du data
=> Privacy
=> Authenification
+ Degital certificate : Degital documentation produit par un CA

+ To trust certificate FG check the fields ( Serial Number / Issuer / Valid from -
To )

+ SSL ( Self-Signed Certificate )

####################################################### Antivirus ( Security

Profile )

+ Scan techniques:
=> Antivirus scan : The First , the fastest ( based on signature in antivirus
database )
=> Grayware scan : a software bunded to any downloaded file to detect if
there is a virus on the downloaded file.
=> AI scan ( disable by default ) : Detect but can not block ( shoul be
activate from CLI )

+ Antivirus inspection modes:

=> Flow-based inspection mode ( par default ) : FG take a copie of the packet
and send it to IPS ENGINE send it to Antivirus Engine scanning // Fast scan Process
=> Proxy inspection mode : Do a buffer for The hole file then scan it ( if
virus found the paquet will be drop ) // Long time scan process

+ Antivirus Signature Database :

=> Extented : includes commun and non-active viruses
=> Extreme : includes extended plus additional new virues / Pas prise ne
charge par des modeles de Forti.

####################################################### Web Filter ( Security

Profile )

NGFW mode :
=> Profile-based mode : Create a web filter in security profile then apply it
to a Firewall Policy ( more security option ) // recommended
=> Policy-based mode : Apply the controle and web-filter directly to a
security profile ( less security option )

+ Types of Webfilters:
=> Fllow-based
=> Proxy-Based

+ How Fortigate block a website :

=> Fortiguard Web filtring service : Block websites based on there categories
crateria definded by Fortiguard; // Dynamic
=> Url filter : Block URLs one by one // Static
=> Exempt : Exlure a website from the perent categorie
|=> Simple : match full context ( for exemple intered
[Link] ) // the match get blocked.
|=> Wildcard : everything after and before * will be
blocked( Ex : *.[Link] / *facebook*)
|=> Regular expressions : use pattrens to allow or block traffic
=> Block : -
=> Allow : -
=> Monitor : Monitor + Logs
=> Web content Filter : block based on spesefic word or pattern based on a
word // Static // REQUIR DEEP SSL inspection // Limited UP to 5000 content

+ Fortiguard Web filter categorie:

=> All URL categories :
=> Local Categorie ( Web Filte override ): Local categorie on Fortigate
=> Remote Category ( Threat Feeds ) : Import via 3d party ( Security Fabric
=> external connecter => Threat Feeds )

+ Categories action :
=> Allow : Permit Access to a categories
=> Block : Block Access to a categories
=> Monitor : Permit and Logs evenets access
=> Warning : Display message to user to ( Continue or close )
=> Authenticate : require user to authenticate with login beofre allowing
access

+ Logs : ( Logs & Report => Web Filter )

####################################################### ISP ( Intrusion Prevention

and Application Control ) ( Security Profile )

+ IPS Actions:
=> Allow : Allow traffic to destination
=> Monitor : Allow traffic + Log the activity
=> Block : Block traffic
=> Reset : reset TCP packet of the packet
=> Default : use the default action by fortiguard

####################################################### Fortinet IPsec VPN

+ Types of VPN ( Two protocole responsible for that " IPsec " and "SSL VPN" ) :
|
| => Site-to-site: Connect corporate office to branch offices; //
( IPSEC /\ protocole) // Fortigate to Fortigate
| => Hub-and-spoke : All VPNs are connected between them.
| => Remote access : a remote access securly connect a device outside the
corporate office ( tunnel between the branche and the device ) // ( SSL VPN /\
protocole )
| => Custom : We can controle every parameters in all step ( Ex: Network, phase
1 , phase2 , phase 2 selector, routing and policy ) // Pas beaucoup utiliser
|=> Network : We configure ( VPN IP version, interface, local Gateway,
NAT Traversal, TTL of tunnel)
|
|=====> Remote Gateway : ( 3 OPTIONS )
| |=> Dialup User: We use it when the remote peer IP is not known
( Dynamic IP ) // ( The client that initialise the tunnel )
| |=> Static IP : We use it when we now the remote peer address
| |=> Dynamic DNS : We have a dynamic IP and we link it to a FQD
and we operate with the FQDN, // Must we check if the fortigate DNS Works \\
|
|=> Authenification : ( 3 steps )
| |=> Method : support two authenication methode : Pre-shared
( both peers must have same pre-shared keys ) , Signature ( based on degital
certificate on both peers)
| |=> Version : choice of IKE version ( must have same versions )
| |=> Mode : Two options are avaible ( agressive mdoe , Main mode )
 |
|=> Phase 1 Proposal :
| |=> Encryption : We Choose the algorthim of encryption, better to
put more options ( Ex: AES128, AES256 )
| |=> Authenification : We Choose the algorthim of authenication,
better to put more options ( Ex: SHA256, SHA1 )
| |=> Diffle-Helfman Groupe : better the groupe heigher better
secure
| |=> Key Lifetime : Life time of security association ( By default
1 Day )
| |=> Local ID : Since we don't know the IP of the peer, we chose
Peer Local ID
|
|=> Phase 2 ( Fortigate call it " Selector " ):
| |=> local and remote @IP : add subnet or remote @IP.
| |=> Local Port and protocole : better to leave it to ALL and do
the filter on policy.
| |=> Encryption : We Choose the algorthim of encryption, better to
put more options ( Ex: AES128, AES256 )
| |=> Authenification : We Choose the algorthim of authenication,
better to put more options ( Ex: SHA256, SHA1 )
| |=> Auto-negociation : The tunnel will remain always UP
| => Key Lifetime : renegociate after a expiring the security
association ( could choose by secound or kilo-bites)

- IPSEC Algorithm : DES, 3DAS, AES

- Key Exchnage : DH Algorithm, ECDH Algorithm

+ How IPsec tunnel connection established:

=> start with IKE ( Internet Key Exchange )
=> AH ( Authenification Header ( check checksums ( check data integretiy ) ))
=> ESP ( encapsulation security payload ( encrypte data )

Tunnel bulders protocoles ( IKEv1 / IKEv2 )

+ ESP & AH Encapsulation :

=> Tunnel mode : Encapsulate and protect of the payload ( the IKE phase )
=> Transparent mode : Encapsulate the hole packet and add a new peer IP
( Public IP )

+ IPsec process:
=> Intiaition : Trigger the creation of our tunnel ( Ex: traffic match on a
policy )
|-==> IKE phase 1 : Negotiate a security association ( collect a parameters
( encrption , integretiy, encapsulation parameters )
| => IKE phase 2 : trigger ESP & AH to build the tunnel
| => Data transfer : Send data via tunnel of IKE phase 2
| => terminiation : Termination of tunnel once there is no traffic on the
tunnel
|
|
|=> IKE ( Internet Key Exchange ) phases Process :
|------ => IKE Phase 1 : main purpose => Establish a secure tunnel that will be use
for IKE phase 2
| => Negociation :
| ==> Hashing : hashing algorthim ( MD5 or SHA )
| ==> Authenification : Pre-shared key or degital
certificates
| ==> DH ( Diffle Helman ) Group : Ditermines the strength of
the key that is used in the key exchnage process
| ==> Lifetime : How long the IKE phase 1 tunnel stand up
( more less more secure )
| ==> Encryption : encrption algorthim ( DES, 3DES, AES )
| => DH Key Exchange : if Negociation succeeded ==> DH groupe
negociate to exchange keying material ==> both peers will have the shared key
| => Authenification : The two peers authenticate using
authentication methode => Onece succeeded the both peers can exchange on this
tunnel
|
| => IKE Phase 2: ( called quick mode )
| => IPsec Protocol : do we use AH, ESP, EAP
| => Encapsulation mode : transport or tunnel mode
| => Encryption : encrption algorthim ( DES, 3DES, AES )
| => Authenification : authentication algorthim to use ( MD5, SHA)
| => Lifetime : how long the IKE phase 2 is valid ?
|
|
|=> IKE phase 1 modes :
=> Aggreseive mode : ( Fast ) : Established with 3 Messages // Not
secure //
=> Main mode : ( Slow ) send with 6 messages due to exchnage with other peer
( 3 messages per each peer side ) // More secure //

+ IPSec topologies:
=> Simple : Forti TO Forti
=> Hub-and-spoke : All devices pass through a central hub // Simple Config +
management
=> Full Mesh : Direct communication between all sites // Must Config every
foritgate // Less Latency
=> Partial Mesh : Direct communication between some sites
=> Auto Directory VPN ( ADVPN ) : negociate tunnels between spokes with out
make a configuration // Require dynamic routing over IPsec tunnel

+ Types of IPSec VPN:

=> Route-based : Benifits
=> Add virtuel interface to IPSec : Allow multiples
connections to the same destination
=> Deploy variations of IPSec VPNs ( GRE-over-IPSEC, L2TP-
over-IP)
=> Policy-based : not recommanded by for new deployement

==========================

+ => VPN Failover methodes:

=> DPD ( dead peer detection ) : Activate on custom VPN // Kind of slow
=> Link Monitor : Activate form CLI // Fast

+ Redundant VPN: ( in case we have Two ISP connection / ( one Primary & Standby )
// based on Distance // the choosen is the lowest //
| => Partally redundant : Each ISP on physical interface, non fault tolerant
( one-to-many principle)
| => Fully-Redundant : Both peers terminate theres VPNs on differente phisical
ports

+ Aggregation VPNs: (Load Balance - Same Principal of EtherChannel ) // Split

the traffic on both links \\
"Must Select Aggrecate member on customer IPSec tunnel" => then ->
Menu => IPSec Tunnels => Create new => IPSec Aggregate "

####################################################### SSL VPN

+ Type of Virtual private network that use SSL ( Secure Sockets Layer )

+ SSL VPN Deployement modes ( For remote access ) :

=> Web Mode ( SSL VPN ) : Require only a web browser
=> Tunnel Mode : Require installation of of VPN client ( FortiClient ) + Add
a Virtuel adapter
==> Full Tunnel mode : All generated traffic ( include the internet
traffic ) by the user routed across ( pass through ) the virtual NAC of
FortiClient.
==> Split Tunnel mode : The internet pass through the user internet and
Only the traffic to the LAN routed ( pass through ) via the virtual NIC of
FortiClient.

####################################################### SD-WAN ( software-defined

approch )
=> Virtuel inetrface that allow to groupe multiples( members / interfaces )
order to aggrigate them ( and simplify the management of the ISPs links )

+ SD-WAN Interfaces members ( can be any type ): Physical, Aggricate, Vlan, IPSec

+ Advantages :
=> Perform a Load balancing algorthim.
=> Simplify the management via one single virtual link.
=> Improve the bussniess performance due to increase of agility.
=> Optimize the user experiance with Saas and public applications.

+ SD-WAN load Balancing Methods:

=> Source IP : Traffic divieded equily betwene the interfaces, Sessions that
start on the same source IP use pass through the same path.
=> Spillover : All traffic uses the first interface when the Bandwidth
exceeds then use the next interface.
=> Source-Destination IP : Traffic divieded equily betwene the interfaces,
Sessions that start on the same source IP and go to the same destination (pass
through the same path )
=> Session : Load balance based on session ( not recommanded ) // issue
solved on the latested iOS updates
=> Volume : Split the traffic based on the traffic volume

+ SD-WAN Objects ( has 4 objects ) :

| => SD-WAN Zone : groupe multiples logical interfaces ( must include at least one
member )
| => SD-WAN Members : Port and interfaces that are used to run traffic ( Max 255
member )
| => SD-WAN Perforamnce SLA : ( Called also Health-Check ) : used to monitor and
detect link failures, and it used to remove routes and reroute traffic to SD-WAN
member automaticly

| => SD-WAN Perforamnce SLA => ( Link Health Monitor ) : ( link status get
tested based on 3 options ) :
| |=> Active : Link Health is measured by sending generated traffic to
choosen server
| |=> Passive : Link Health is measured by sessions that captured on the
firewall polices that have " passive-wan-health-masurement " enable on it
| |=> Prefer Passive ( : Link Health is measured by the traffic passing
through the SD-WAN members. if no traffic detected then the check goes back to
Active detection mode
| => SD-WAN Perforamnce SLA => ( SLA Target ) : The quality of service tested
based on ( ONLY USED WHEN WE HAVE A CRITICAL APPLICATION or use on rules):
| |=> Latency threshold : Time of reply between fortigate and the choosen
server ( default 5 ms )
| |=> Jitter threshold : The reply between the first packet and secound
packet ( default 5 ms ) ( used on VoIP )
| |=> Packet Loss threshold : how many packet droped
| => SD-WAN Perforamnce SLA => ( Link Status ) :
=> The link will be checked based on check interval ( we need to choose
a time in ms ) to determine if the link is down ( default 500 ms ) then the static
route will be updated, the link keep in check after get up the link will be
restored again
|
| => SD-WAN Rules : ( called Services ) : Used to control the path selection ( for
exemple Video and voice services ) go through spesefic interface link
=> Manual : Interface are Manually assigned a priority
=> Best Quality : Interface are assigned a priority based on The-link-cost-
factor ( Latancy, Jitter, Packet Loss, Down/UP Stream, Bandwidth ) of the interface
=> Lowest Cost ( SLA ) : interface assigned a priority based on selected SLA
settings
=> Max Bandwidth ( SLA ) ( Load Balance ) : traffic is splited on all
available Links based on L.B algorthim

################################################# IPSEC Phases

##### Phase 1 ( Controle Plan ) : Etablisement d'un tunnel { IKE v1} :

1 - Négociation des paramétres IKE: ( Both Initiator + Reciver
négocie ): ( HAGLE )
+ Encyption Algorithm ( AES ; 3DES )
+ Hashing Algorithm ( MD5 ; SHA )
+ Life Time / lifetime of IKE phase 1 tunnel; default value =
86400 sec (1 day)
+ Difl-Helman Groupe ( 1 , 2 , 5, 15 ...)
+ Methode d'authenification ( Pré-shared Key or / Certificate )
2 - Pré Authentification ( Les deux paires verifie l'identité de chaque
paire, depand de la methode d'autenification )
+ Pré-shared Key : les deux paires verifie leurs idenité based
sur la clé partager
+ Certificates : les deux paires verifie leurs identité pour
établir de la confiance
3- Etablisement d'un canal sécurisé " ISAKMP SA " : Ce canal créé pour
protégé la communication de la phase 2

++ Modes :

+ Main mode : ( envoie de 6 Messages ) long | ( used on Site-2-site

VPN ): ( offre la sécurité + confidentialité )
+ Aggrisive mode ( envoie de 3 Messages) |(used in remote access VPN):(
Moins sécurisé ) : identifiants des deux parties pass en claire ( pas de
confidentialité )

######### Main mode ( 6 Messages ) :

6 Messages :

+ Négociation des paramétres de sécurtité :

 Message 1 : initiateur envoie ces paramétres ( Encyption, hashing, DH ,
security proposal )
Message 2 : Répondeur repondre avec ces paramétres _|
Goal : les deux paires garantie une communication sécurisé

+ Echange des clé diffie helman :

Message 3 : initiateur fait l'échange de son clé DH publique et une
valeur aléatoire ( SPI ) pour avoir la clé secret a la fin.
Message 4 : Répondeur fait avec son DH + son valeur aléatoire ( SPI -
Security Parameters Index )
Goal : Ce secret partagé sera utilisé pour dériver les clés de chiffrement.

+ Authenification des paires :

Message 5 : Initiateur envoie la payload d'authenification ( hash de la
Clé publique crypté ) basé sur ( Algorithm de cryptage )
Message 6 : repondeur authentifie l'l'initiateur et envoie son payload
d'authenification
Goal : Les deux paires verifie leurs identité utilisant les clé pré partagé

######### Aggrissive mode (3 Messages ) :

+ Message 1 ( Initiator → Responder ) : Combinée la négociation ( Echange DH,

paratge d'idenité dans une seul étape )
+ Messag 2 (Responder → Initiator) : Finalise la proposition et paratger les
details d'authenification au repondeur.
+ Message 3 Initiator → Responder : confirmer l'authentifcation du initiateur
et finalise le IKE SA.

##### Phase 2 : ( DATA Plan ) : Etablisement du tunnel IPSec { IKE v2 }

1 - Négociation des paramétres de sécurité IPSec :

les deux paires négocieles paramétres de sécurité via
----------------------------------
| |
HA ESP

( Authentication Header ) ( Encapsulation security

Payload )
(Offre Authentication ONLY ) ( Offer Authentication +
Encryption )

2 - Création du tunnel IPSec :

Chaque paire crée une IPSEC SA biderctionnel ( Entrent + Sourtant
)
3 - Transmission sécurisé de donnée.

++ Modes:
+ Modes Tunnel : Process permet de protégé tout le packet ( En tete + Donnés)
+ Modes Transport : Process permet de protége seulement ( la donnée )