Modules 6 – 8: Examen des concepts WAN Réponses Français

Explication: Pour que les traductions NAT fonctionnent correctement, des interfaces à la fois interne et externe doivent être configurées pour la traduction NAT sur le routeur.

Explication: Il existe quatre types d’adresses dans la terminologie NAT.
Inside local address
Inside global address
Outside local address
Outside global address
L’adresse globale interne de PC1 est l’adresse que le FAI voit comme l’adresse source des paquets, qui est dans cet exemple l’adresse IP de la série interface de R1, 209.165.200.224.

Explication: La configuration NAT sur R1 est NAT statique qui traduit une seule adresse IP interne, 192.168.0.10 en une seule adresse IP publique, 209.165.200.255. Si d’autres hôtes ont besoin de traduction, un pool NAT d’adresse globale interne ou de surcharge doit être configuré.

Explication: La traduction d’adresses IP de 209.65.200.254 à 192.168.10.10 a lieu lorsque la réponse revient du serveur.

Explication: Avec l’utilisation de la NAT, particulièrement de la PAT, la traçabilité de bout en bout est perdue. En effet, l’adresse IP d’hôte dans les paquets est convertie pendant une transmission lorsqu’elle sort du réseau et lorsqu’elle entre dans le réseau. L’utilisation de la NAT/PAT, la flexibilité des connexions à Internet et la sécurité sont réellement améliorées. L’adressage IPv4 d’hôte est assuré par le protocole DHCP, il n’est pas lié à la traduction NAT/PAT.

Explication: La sortie montre qu’il y a deux adresses globales internes qui sont les identique mais qui ont des numéros de port différents. Le seul numéro de port de temps est affiché lorsque PAT est utilisé. Le même résultat serait indicatif de PAT qui utilise un pool d’adresses. PAT avec un pool d’adresses est approprié lorsque l’entreprise a besoin de plus de 4000 traductions simultanées.

Explication: Du point de vue des utilisateurs derrière la NAT, les adresses globales internes sont utilisées par des utilisateurs externes pour atteindre des hôtes internes. Les adresses locales internes sont celles attribuées à des hôtes internes. Les adresses globales externes sont les adresses des destinations sur le réseau externe. Les adresses locales externes sont les adresses privées réelles des hôtes de destination derrière d’autres périphériques NAT.

Explication: La NAT dynamique utilise un pool d’adresses globales internes qui sont attribuées aux sessions sortantes. Si dans le pool le nombre d’hôtes internes est supérieur aux adresses publiques, l’administrateur peut activer la traduction d’adresse de port en ajoutant le mot clé overload . Grâce à la traduction d’adresse de port, plusieurs hôtes internes peuvent partager une adresse globale interne unique, car le périphérique NAT suit les sessions individuelles par numéro de port de la couche 4.

Explication: L’adresse source des paquets transmis par le routeur sur Internet sera l’adresse globale interne 209.165.200.225. Il s’agit de l’adresse en laquelle les adresses internes du réseau 10.6.15.0 seront traduites par la NAT.

Explication: Le résultat affiché dans la présentation est le résultat de la commande show ip nat translations . Des entrées NAT statiques sont toujours présentes dans la table NAT, tandis que les entrées dynamiques expireront par la suite.

Explication: Les technologies WAN privées comprennent les lignes louées, les connexions commutées, le RNIS, le relais de trames, l’ATM, le WAN Ethernet (par exemple MetroE), MPLS et VSAT.

Explication: Lorsque des employés en déplacement doivent se connecter à un serveur de messagerie de l’entreprise par le biais d’une connexion WAN, le VPN crée un tunnel sécurisé entre l’ordinateur portable de l’employé et le réseau de l’entreprise par l’intermédiaire de la connexion WAN. L’obtention d’adresses IP dynamiques à l’aide du protocole DHCP est une fonction de la communication LAN. Le partage de fichiers entre des bâtiments distincts sur un campus d’entreprise est obtenu grâce à l’infrastructure LAN. Une DMZ est un réseau protégé au sein de l’infrastructure LAN de l’entreprise.

Explication: Les WAN couvrent une plus grande zone géographique que les LAN. En conséquence, si des employés sont répartis entre plusieurs sites, la mise en œuvre de technologies WAN serait nécessaire pour connecter ces sites. Les clients auront accès aux services internet d’entreprise par l’intermédiaire d’un WAN public implémenté par un fournisseur de services et non par l’entreprise elle-même. Si le nombre d’employés augmente, la taille du LAN doit également croître. Un WAN n’est pas requis, à moins que les employés ne soient localisés dans des sites distants. La sécurité du LAN n’est pas liée à la décision d’implémenter un WAN.

Explication: Le cadre de travail IPsec utilise divers protocoles et algorithmes pour assurer la confidentialité des données, l’intégrité des données , l’authentification et l’échange de clés sécurisé. MD5 et SHA sont deux algorithmes populaires utilisés pour garantir que les données ne sont pas interceptées et modifiées (intégrité des données). AES est un protocole de cryptage et assure la confidentialité des données. DH (Diffie-Hellman) est un algorithme utilisé pour l’échange de clés. RSA est un algorithme utilisé pour l’authentification.

Explication: Lorsqu’un navigateur Web est utilisé pour accéder en toute sécurité au réseau d’entreprise, le navigateur doit utiliser une version sécurisée de HTTP pour fournir le cryptage SSL. Il n’est pas nécessaire d’installer un client VPN sur l’hôte distant, donc une connexion SSL sans client est utilisée.

Explication: L’intégrité est une fonction d’IPsec et garantit que les données arrivent inchangées à la destination grâce à l’utilisation d’un algorithme de hachage. La confidentialité est une fonction d’IPsec et utilise le chiffrement pour protéger les transferts de données avec une clé. L’authentification est une fonction d’IPsec et fournit un accès spécifique aux utilisateurs et aux périphériques avec des facteurs d’authentification valides. L’échange de clés sécurisé est une fonction d’IPsec et permet à deux pairs de maintenir la confidentialité de leur clé privée tout en partageant leur clé publique.

Explication: Les VPN peuvent être gérés et déployés selon deux types:
VPN d’entreprise – Les VPN gérés par l’entreprise sont une solution courante pour sécuriser le trafic d’entreprise sur Internet. Les VPN de site à site et d’accès distant sont des exemples de VPN gérés par l’entreprise.
VPN des fournisseurs de services – Les VPN gérés par le fournisseur de services sont créés et gérés sur le réseau du fournisseur. Les couches MPLS de couche 2 et de couche 3 sont des exemples de VPN gérés par un fournisseur de services. Les autres solutions WAN héritées incluent le Frame Relay et les VPN ATM.

Explication: Les VPN gérés par l’entreprise peuvent être déployés dans deux configurations:

• VPN d’accès à distance – Ce VPN est créé dynamiquement lorsque cela est nécessaire pour établir une connexion sécurisée entre un client et un serveur VPN. Les VPN d’accès à distance incluent les VPN IPsec basés sur le client et les VPN SSL sans client.
• VPN de site à site – Ce VPN est créé lorsque les périphériques d’interconnexion sont préconfigurés avec des informations pour établir un tunnel sécurisé. Le trafic VPN est chiffré uniquement entre les périphériques d’interconnexion, et les hôtes internes ne savent pas qu’un VPN est utilisé. Les VPN de site à site incluent IPsec, GRE sur IPsec, Cisco Multipoint dynamique (DMVPN) et IPsec Interface de tunnel virtuel (VTI) VPN.

Explication: Les VPN site à site sont statiques et sont utilisés pour connecter des réseaux entiers. Les hôtes n’ont pas connaissance du VPN et ils envoient le trafic TCP/IP vers des passerelles VPN. La passerelle VPN est responsable de l’encapsulation du trafic et de son acheminement par le tunnel VPN vers une passerelle homologue située à l’autre extrémité et qui décapsule le trafic.

Explication: Le cadre IPsec utilise divers protocoles et algorithmes pour fournir la confidentialité des données, l’intégrité des données, l’authentification et l’échange de clés sécurisé. DH (Diffie-Hellman) est un algorithme utilisé pour l’échange de clés. DH est une méthode d’échange de clés publiques qui permet à deux pairs IPsec d’établir une clé secrète partagée sur un canal non sécurisé.

Explication: La surcharge NAT, également connue sous le nom de Port Address Translation (PAT), utilise des numéros de port pour différencier plusieurs hôtes internes.

Explication: L’adresse locale interne est l’adresse IP privée de la source ou du PC dans cette instance. L’adresse globale interne est l’adresse traduite de la source ou l’adresse telle qu’elle est vue par le périphérique externe. Puisque le PC utilise l’adresse externe du routeur R1, l’adresse globale interne est 192.0.2.1. L’adressage externe est simplement l’adresse du serveur ou 203.0.113.5.

Explication: Dans NAT statique, une seule adresse locale interne, dans ce cas 192.168.0.10, sera mappée à une seule adresse globale interne, dans ce cas 209.165.200.225. Les hôtes Internet enverront des paquets à PC1 et utiliseront comme adresse de destination l’adresse globale interne 209.165.200.225.

Explication: Comme aucune adresse externe locale ou externe n’est référencée, le trafic provenant d’une adresse IPv4 source de 192.168.254.253 est traduit en 192.0.2.88 à l’aide d’un NAT statique. Dans la sortie de la commande show ip nat translations , l’adresse IP locale interne de 192.168.2.20 est traduite en une adresse IP externe de 192.0.2.254 afin que le trafic puisse traverser le réseau public. Un périphérique IPv4 public peut se connecter au périphérique IPv4 privé 192.168.254.253 en ciblant l’adresse IPv4 de destination 192.0.2.88.

Explication: Les WAN privés peuvent utiliser les technologies suivantes : T1/E1, T3/E3, RTPC, RNIS, Metro Ethernet, MPLS, Frame Relay, ATM ou VSAT.

Explication: Bien que les LAN et les WAN puissent utiliser les mêmes supports de réseau et les mêmes appareils intermédiaires, ils servent des domaines et des objectifs très différents. Le cadre administrative et géographique d’un réseau étendu est plus grande que celle d’un réseau local. Les vitesses de bande passante sont plus lentes sur les WAN en raison de leur complexité accrue. Internet est un réseau de réseaux qui peuvent fonctionner sous gestion publique ou privée.

Explication: Un VPN de site à site est créé entre les périphériques du réseau de deux réseaux distincts. Le VPN est statique et reste établi. Les hôtes internes des deux réseaux n’ont aucune connaissance du VPN.

Explication: Dans un VPN, les paquets sont encapsulés avec les en-têtes d’un ou de plusieurs protocoles VPN avant d’être envoyés sur le réseau tiers. Cette opération porte le nom de « tunneling ». Ces en-têtes externes peuvent être utilisés pour acheminer les paquets, authentifier la source et empêcher les utilisateurs non autorisés de lire le contenu des paquets.

Explication: Un VPN est un réseau privé créé sur un réseau public. Au lieu d’utiliser des connexions physiques dédiées, un VPN utilise des connexions virtuelles acheminées via un réseau public entre deux périphériques réseau.

Explication: La sortie de show ip nat statistics montre que l’interface interne est FastEtherNet0/0 mais qu’aucune interface n’a été désignée comme interface externe. Cela peut être corrigé en ajoutant la commande ip nat outside à l’ interface Serial0/0/0.

Explication: Sur l’illustration, NAT-POOL 2 est relié à la liste de contrôle d’accès 100, mais il doit être associé à la liste de contrôle d’accès ACL 1. Cela entraîne l’échec de PAT. 100, mais il doit être associé à la liste de contrôle d’accès ACL 1. Cela entraîne l’échec de PAT.

Explication: La NAT statique est un mappage un-à-un entre une adresse locale interne et une adresse globale interne. Grâce à la NAT, les périphériques externes peuvent démarrer des connexions aux périphériques internes en utilisant les adresses globales internes. Les périphériques NAT traduisent l’adresse globale interne à l’adresse locale interne de l’hôte cible.

Explication: La configuration NAT statique spécifie une adresse locale interne unique et une adresse globale interne unique.

Explication: Il n’y a pas suffisamment d’informations fournies. Cela peut s’expliquer par le fait que le routeur n’est pas encore relié au réseau, que les interfaces n’ont pas encore été associées à des adresses IP ou que la commande a été transmise au milieu de la nuit. Le résultat correspondant à la configuration donnée, aucune erreur typographique n’a été commise lorsque les commandes NAT ont été saisies.

Explication: Une entreprise peut se connecter au WAN de deux façons basiques :
Infrastructure WAN privée telle que lignes point à point louées dédiées, RTPC, RNIS, WAN Ethernet, ATM ou relais de trames.
Infrastructure WAN publique telle que ligne d’abonné numérique (DSL), câble, accès satellite, Wi-Fi municipal, WiMax, ou sans-fil cellulaire notamment 3G/4G

Explication: Le cadre de travail de IPsec utilise divers protocoles et algorithmes pour assurer la confidentialité des données, l’intégrité des données, l’authentification et l’échange de clés sécurisé. Le code d’authentification de message haché (HMAC) est un algorithme d’intégrité des données qui utilise une valeur de hachage pour garantir l’intégrité d’un message.

Explication: Le cadre de travail IPsec utilise divers protocoles et algorithmes pour fournir la confidentialité des données, l’intégrité des données, l’authentification et l’échange de clés sécurisé. MD5 et SHA sont deux algorithmes populaires utilisés pour garantir que les données ne sont pas interceptées et modifiées (intégrité et authenticité des données).

Explication: Le cadre IPsec utilise divers protocoles et algorithmes pour fournir la confidentialité des données, l’intégrité des données, l’authentification et l’échange de clés sécurisé. Deux algorithmes qui peuvent être utilisés dans une politique IPsec pour protéger le trafic intéressant sont AES, qui est un protocole de chiffrement, et SHA, qui est un algorithme de hachage.

Explication: L’Encapsulation générique du routage (GRE) est un protocole de mise en tunnel développé par Cisco. Ce protocole encapsule un trafic multiprotocole entre des routeurs Cisco à distance. Le GRE ne crypte pas les données. Le protocole OSPF est un protocole de routage libre. IPsec est une suite de protocoles qui permet l’échange d’informations pouvant être cryptées et vérifiées. Internet Key Exchange (IKE) est une norme de gestion de clés utilisée avec IPsec.

Explication: ASDM prend en charge la création d’un VPN de site à site ASA entre deux ASA ou entre un ASA et un routeur ISR.

Explication: Du point de vue d’un périphérique NAT, les utilisateurs externes se servent d’adresses globales internes pour accéder aux hôtes internes. Les adresses locales internes sont celles attribuées à des hôtes internes. Les adresses globales externes sont les adresses des destinations sur le réseau externe. Les adresses locales externes sont les adresses privées réelles des hôtes de destination derrière d’autres périphériques NAT.

Explication: Étant donné que le paquet est entre RT2 et le serveur Web, l’adresse IP source est l’adresse globale interne du PC, 209.165.200.245.

Explication: Les commandes show ip nat statistics , show ip nat translations et debug ip nat sont utiles pour déterminer si la NAT fonctionne et pour résoudre les problèmes associés à la NAT. La NAT fonctionne, comme indiqué par le décompte de succès et d’échecs. Comme il y a quatre échecs, un problème peut être présent. La liste de contrôle d’accès standard numéro 1 est utilisée et le pool de traduction est nommé NAT comme en atteste la dernière ligne de sortie. La NAT statique et la surcharge NAT sont utilisées comme indiqué dans la ligne des traductions totales.

Explication: Lorsque deux bureaux d’une ville communiquent, il est probable que les transmissions de données se font sur un type quelconque de connexion WAN. Les communications de données au sein d’un campus se font généralement sur des connexions LAN.