France Telecom

Global Knowledge

Cursus TIC Experts

Travaux pratiques

Session de travaux pratiques pour le cursus TIC experts

Version 3.0
PHOTOCOPIE INTERDITE

Global Knowledge Training LLC. Tous droits de traduction, d’adaptation et de reproduction par tous
procédés réservés pour tous pays : ce document ne peut, ni en totalité, ni en partie être copié, photocopié,
reproduit, transcrit sans le consentement écrit de la société Azlan Global Knowledge Training LLC.

« Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur ou de

ses ayants droits ou ayant cause, est illicite » (loi du 11 mars 1957, alinéa 1er de l’article 40).
Cette représentation ou reproduction par quelque procédé que ce soit, constituerait donc une contrefaçon,
sanctionnée par les articles 425 et suivants du code pénal. La loi du 11 mars 1957 n’autorisant, aux
termes des alinéas 2 et 3 de l’article 41, d’une part que « les copies ou
reproductions strictement réservées à l’usage du copiste et non destinées à une utilisation « collective »,
et, d’autre part « que les analyses et les courtes citations dans le but d’exemple et d’illustration ».

Global Knowledge France SA au capital de 2.546.000 € – SIRET 403 944 200 000 84 – APE 804 C
 Sommaire
I. Scénario et schéma ..................................................................................................... 5
1. Contexte ................................................................................................................................. 5
2. Schéma .................................................................................................................................. 6
3. Informations............................................................................................................................ 7

II. Utilisation d’un switch PoE avec 2 VLAN .................................................................. 8

1. Schéma .................................................................................................................................. 8
2. Connexion des équipements ................................................................................................. 8

III. Installation et configuration du DNS sur le serveur .............................................. 9

1. Installation du service DNS (Domain Name System) ............................................................ 9
2. Configuration .......................................................................................................................... 9

IV. Installation et configuration du DHCP sur le serveur ......................................... 10

1. Installation du DHCP (Dynamic Host Configuration Protocol)............................................. 10
2. Configuration ........................................................................................................................ 10

V. Messagerie électronique ....................................................................................... 11

1. Installation du service de messagerie électronique ............................................................. 11
2. Configuration du serveur et des clients de messagerie ...................................................... 11

VI. Mise en œuvre de l’UTM Stormshield .................................................................. 12

1. Schéma ................................................................................................................................ 12
2. Installation et configuration du boitier Stormshield .............................................................. 13
3. Objectifs du TP ..................................................................................................................... 15

VII. Mise en œuvre du portail captif ............................................................................ 19

1. Configurez un annuaire LDAP interne ................................................................................. 19
2. Objectifs du TP ..................................................................................................................... 20

VIII. Utilisation de la suite d’administration ................................................................ 22

1. Objectifs du TP ..................................................................................................................... 22
2. Installation de la suite d’administration ................................................................................ 22

IX. Mise en œuvre des tunnels VPN IPSec ................................................................ 27

1. Principe de fonctionnement ................................................................................................. 27
2. Objectifs du TP ..................................................................................................................... 27

X. Mise en œuvre du Wi-Fi ......................................................................................... 30

1. Principe de fonctionnement ................................................................................................. 30
2. Configuration ........................................................................................................................ 30
3. Configuration du poste client ............................................................................................... 36
4. Activation de la sécurité WPA-Personal .............................................................................. 40
5. Configuration de la sécurité pour le poste client................................................................. 41

XI. Téléphonie sur IP avec un serveur 3CX et SIP .................................................... 43

 1. Principe de fonctionnement ................................................................................................. 43
2. Objectifs du TP ..................................................................................................................... 43

XII. OPTIONS ................................................................................................................. 45

1. Configuration du filtrage d’URL ............................................................................................ 45
2. Configuration de la sonde .................................................................................................... 49

PFTICXTP 4
I. Scénario et schéma

1. Contexte
Nous allons mettre en place une solution qui permettra de passer en revue un
certain nombre de thèmes abordés pendant le cursus.

Pour plus de liberté, nous utiliserons un matériel local exclusivement.

Chaque étape nous amènera plus près de la solution complète et fonctionnelle.

Chaque binôme utilisera le matériel suivant :

 un switch (à partager entre 2 binômes)

 deux PC fixes
 une borne WI-FI (AP)
 une clé WI-FI usb
 un boîtier UTM Stormshield
 un téléphone IP
 deux casque/micro

Le formateur installera le réseau du siège avec :

 un boîtier Stormshield
 un serveur de téléphonie (iPBX) fonctionnant en SIP

PFTICXTP 5
2. Schéma

PFTICXTP 6
3. Informations
X = n° du binôme
Y = n° de la salle de classe

Siège

 Réseau : [Link] /24

 Adresse publique : 10.33.1Y.200 /24
 Proxy SIP : [Link]

BINOME X

 Réseau LAN (Network_in) : 192.168.1X.0 /24

 Interface OUT (Firewall_out) : 10.33. 1Y.21X /24
 Interface LAN (Firewall_in) : 192.168.1X.254

 Routeur de la salle (passerelle par défaut): 10.33. 1Y.254

 DNS de la sale : 10.33. 1Y.1

 Extensions : X001, X002 pour les 2 softphones et X003 pour le

Téléphone IP Cisco 7940 (SIP)

 Renommez les machines : PC1BINOX et PC2BINOX

 PC1BINOX sera le serveur grâce à une machine virtuelle

Windows 2003 server. Les services DNS, DHCP, POP3
seront tous installés sur cette machine virtuelle. Le poste fixe
(machine hôte) aura comme adresse IP : 192.168.1X.11/24.
La machine virtuelle aura l’adresse IP : 192.168.1X.100/24

 PC2BINOX sera la machine cliente. Elle aura comme

adresse IP : 192.168.1X.12/24.

PFTICXTP 7
II. Utilisation d’un switch PoE avec 2 VLAN
Le scénario prévoit que chaque binôme utilise un switch pour constituer son propre
réseau.

S'ils sont disponibles, notre choix se portera naturellement sur les switchs 6212P
Alcatel dont la principale qualité est le silence.

Toutefois, nous ne disposons que de trois de ces switchs pour six binômes.

Pour partager chaque switch entre deux binômes, créez deux vlans.

Le premier pour les ports 1 à 6 et l'autre pour les ports 7 à 12.

1. Schéma

2. Connexion des équipements

Connectez les deux ordinateurs au switch.
Entrez les configurations TCP/IP correctes et faites un test entre les PC.

PFTICXTP 8
III. Installation et configuration du DNS sur le serveur

1. Installation du service DNS (Domain Name System)

Sur PC1BINOX, installez le service DNS.
L’installation se fait en passant par le Panneau de configuration,
Ajout/Suppression de programmes, Ajouter ou supprimer des
composants Windows puis en sélectionnant le service dans Services de
mise en réseau.
Les services installés sont disponibles en passant par le menu Démarrer,
Programmes, Outils d’administration.

2. Configuration
Le serveur doit être client de lui-même (DNS).
L'autre PC doit être client DNS du serveur DNS.
Créez une zone DNS de recherche directe : [Link]
Créez une zone DNS de recherche inversée.
Ajout d'enregistrements : serveur, pc1binoX, pc2binoX

PFTICXTP 9
IV. Installation et configuration du DHCP sur le serveur

1. Installation du DHCP (Dynamic Host Configuration Protocol)

Sur le serveur, installez le service DHCP.

2. Configuration
Créez une étendue.
Configurez l'étendue avec les options routeur, DNS, suffixe DNS.
L'autre PC doit obtenir une configuration TCP/IP complète par le DHCP.

PFTICXTP 10
V. Messagerie électronique

1. Installation du service de messagerie électronique

Sur le serveur, ajoutez le composant Service de messagerie électronique.

2. Configuration du serveur et des clients de messagerie

Sur le serveur, dans les outils d'administration, cliquez sur Service POP3.
Sélectionnez le serveur dans le panneau de gauche et cliquez sur Nouveau
domaine. Prenez comme nom de domaine [Link]
Créez deux boîtes aux lettres.
Dans le serveur DNS, pensez à créer les enregistrements pop et smtp à
utiliser dans la configuration des comptes de messagerie ([Link]
et [Link]).
Sur chaque PC, configurez les comptes de messagerie avec Outlook ou
Outlook Express.

L’envoi et la réception de mails doivent fonctionner.

PFTICXTP 11
VI. Mise en œuvre de l’UTM Stormshield

1. Schéma

PFTICXTP 12
2. Installation et configuration du boitier Stormshield
Rappel : après reset, les boîtiers sont en configuration usine avec une
adresse IP [Link] /8 et un compte admin.
L’administration du firewall se fait en utilisant un navigateur et https.
Pour vous aider, quelques impressions écran vous sont proposées.

PFTICXTP 13
PFTICXTP 14
3. Objectifs du TP

Configuration de base :

 L’UTM est le routeur du binôme. C’est la passerelle par défaut des

postes du LAN. Les interfaces OUT, IN sont à sortir du bridge.
 NAT : les deux PC doivent pouvoir naviguer sur internet librement.
 Le serveur (machine virtuelle sur PC1BINOX) ne doit pas répondre
au ping
 FILTRAGE : n’autorisez que la navigation Internet courante depuis le
LAN vers l’extérieur. NB : Comme le filtrage complique beaucoup les
choses lors des tests, il ne faudra pas hésiter à activer, de manière
provisoire, le slot « Pass all » quand ce sera nécessaire.

PFTICXTP 15
PFTICXTP 16
PFTICXTP 17
PFTICXTP 18
VII. Mise en œuvre du portail captif

1. Configurez un annuaire LDAP interne

Après avoir initialisé l’annuaire, créez au moins deux utilisateurs pour
pouvoir faire des tests.

PFTICXTP 19
2. Objectifs du TP
Autorisez vos deux identifiants pour pouvoir accéder à Internet mais l’un
des utilisateurs créés doit être bloqué au niveau du portail captif.

PFTICXTP 20
PFTICXTP 21
VIII. Utilisation de la suite d’administration

1. Objectifs du TP
Installer la suite d’administration et utiliser le programme « Stormshield
REAL-TIME MONITOR ». Vous pourrez ainsi visualiser les utilisateurs
connectés (avec le portail captif et/ou les accès VPN) et les déconnecter si
nécessaire. Vous pourrez également visualiser les tunnels VPN et les
réinitialiser. Enfin, la consultation des événements (alarmes) et bien
d’autres fonctionnalités seront accessibles.

2. Installation de la suite d’administration

A partir de l’écran de configuration principal, cliquez sur « Téléchargez la
suite d’administration » (en haut, à droite).
Lancez l’installation en cliquant sur le fichier que vous venez de
télécharger : [Link]

PFTICXTP 22
 Allez jusqu’à la fin de l’installation (en faisant Suivant, Suivant, …) puis
lancez le programme Stormshield REAL-TIME MONITOR dont le raccourci
se trouve sur le Bureau. Connectez-vous au boîtier (même @IP que
d’habitude, compte admin).

PFTICXTP 23
PFTICXTP 24
PFTICXTP 25
PFTICXTP 26
IX. Mise en œuvre des tunnels VPN IPSec

1. Principe de fonctionnement
Pour chaque binôme, plusieurs tunnels VPN seront nécessaires : un tunnel
entre 2 binômes mais également un tunnel vers le siège (réseau du
formateur).

2. Objectifs du TP
 Activez le VPN IPSec avec une configuration de type SITE-A-SITE
 Les objets suivants devront être créés pour la mise en œuvre des
différents tunnels : objets réseau correspondant aux réseaux distants
(LAN du siège et LAN du binôme voisin), objets machines
correspondant aux boîtiers Stormshield distants (@IP des
Firewall_out).
 Entre binômes, les machines doivent pouvoir se contacter
 Les flux utiles devront être autorisés dans ces tunnels (notamment
pour la ToIP).
 Visualisez les tunnels en place avec le REAL-TIME MONITOR.

PFTICXTP 27
PFTICXTP 28
PFTICXTP 29
X. Mise en œuvre du Wi-Fi

1. Principe de fonctionnement
Installez une borne wi-fi (AP Cisco) avec un SSID « TPWIFIBINOX » et une
sécurité de type WPA-PSK.
Le poste client sera déconnecté du switch et devra utiliser une clé wi-fi usb
pour se connecter au réseau.

2. Configuration
Avant toute utilisation des bornes d'accès Wi-Fi Cisco dans le cadre de
travaux pratiques, il convient d'effectuer un reset. Cette opération nous
permet de nous affranchir de tout reliquat de configuration lié à la vie
passée du point d'accès.

PFTICXTP 30
  Utilisez une borne Cisco modèle WAP 200
 Faites les branchements : alimentation électrique du point d'accès et
raccordement à l’ordinateur avec un câble croisé.
 Quand la borne est allumée, maintenez, avec un stylo, le bouton reset
pendant quelques secondes … jusqu’à ce que les voyants
« WIRELESS » et « ETHERNET » soient éteints.
 La mémoire est maintenant effacée et l'AP est désormais en
configuration "sortie d'usine"
Après un « reset », l’adresse IP par défaut de l’AP est : [Link] /24
Nous allons configurer la carte du pc connectée à l’AP avec une adresse
permettant une première configuration.
 Utilisez, par exemple, l’adresse [Link] /24
 Testez la connectivité en faisant un ping

PFTICXTP 31
PFTICXTP 32
  Utilisez un navigateur comme IE (Internet Explorer) pour accéder en http
aux pages Web de configuration de l’AP.
 Par défaut, après un reset, il faut se connecter avec admin/admin.

PFTICXTP 33
  Modifiez le nom de l’équipement (Host Name) en choisissant, par exemple,
WAP200podx (x étant votre n° de binôme).
 Configurez la nouvelle adresse IP : 10.33.123.24x /24 (exemple pour la
salle de cours S23) ainsi que l’adresse de passerelle (Default Gateway)
[Link] (exemple toujours valable pour la salle S23).
 Il ne faut pas oublier de cliquer sur le bouton « Save ».

PFTICXTP 34
  Branchez maintenant l’AP sur le réseau de la salle avec un câble droit.
 Repassez la carte réseau du pc en DHCP.
 Continuez la configuration de l’AP avec la nouvelle adresse.
 Remplacez le SSID par défaut (ciscosb) par votre SSID : TPWIFIBINOX
 Il ne faut pas oublier de cliquer sur le bouton « Save ».

PFTICXTP 35
3. Configuration du poste client

Nous allons utiliser une clé USB Wi-Fi TP-LINK (modèle TL-WN721N).
 Sur le pc client, lancez l’installation du pilote : [Link].
 Insérez la clé usb quand on vous la demande.
 Accédez au réseau Wi-Fi de votre pod en le choisissant dans la
liste (cliquez sur « Connect »).

PFTICXTP 36
PFTICXTP 37
PFTICXTP 38
PFTICXTP 39
4. Activation de la sécurité WPA-Personal

Dans l’écran Wireless Security, changez « Security Mode ». Sélectionnez

« WPA-Personal » puis « TKIP » comme Encryption. Choisissez un mot de
passe (« Shared Secret ») et cliquez sur « Save ».

PFTICXTP 40
5. Configuration de la sécurité pour le poste client

Modifiez les paramètres de la connexion Wi-Fi en cliquant sur « Wireless

Properties ». Choisissez « WPA-Personal » en tant que « Security type »
et « TKIP » en tant que « Encryption type ». Saisissez enfin le mot de
passe renseigné précédemment (« Network security key »).

PFTICXTP 41
PFTICXTP 42
XI. Téléphonie sur IP avec un serveur 3CX et SIP

1. Principe de fonctionnement
Au siège (réseau du formateur), une machine est prête à l’emploi avec un
serveur « 3CX » (ipbx). Le protocole de signalisation utilisé sera SIP. Pour
chaque binôme, deux softphones devront être installés et configurés puis un
« vrai » téléphone IP (SIP) sera également utilisé.

2. Objectifs du TP
Grâce au VPN IPSec que vous avez configuré, vous devez pouvoir accéder
à la machine du siège qui gère le système de téléphonie avec un ipbx
« 3CX ».
Connectez-vous à ce serveur en utilisant le « Bureau à distance »
([Link]). Attention, une modification de vos règles de filtrage sera sans
doute nécessaire !
Paramétrez l’ipbx en créant les extensions qui vous concernent.
Si possible, mettez en œuvre la messagerie vocale avec l’envoi des
messages vocaux par e-mail en pièces jointes.
Installez et configurez les softphones sur vos deux postes. Faites des
appels depuis vos softphones.

PFTICXTP 43
 Pensez aux règles de filtrage qui seront nécessaires.
Installez ensuite un téléphone IP Cisco. Il devra être utilisable en plus des 2
softphones.

PFTICXTP 44
XII. OPTIONS

1. Configuration du filtrage d’URL

Vous pouvez limiter les accès Internet en utilisant le filtrage d’URL.
Voici quelques impressions écran pour vous mettre sur la piste…

PFTICXTP 45
PFTICXTP 46
PFTICXTP 47
PFTICXTP 48
2. Configuration de la sonde
Dans le menu « PROTECTION APPLICATIVE », vous pourrez trouver
comment configurer l’analyse des flux sortants.
Essayez d’empêcher, par exemple, l’utilisation de multiples « slash » dans
une URL.

PFTICXTP 49
PFTICXTP 50
PFTICXTP 51