Tfe

Remerciements
Remerciements
Je tiens tout dabord remercier Robert Valkai, manager de la team CALO, pour nous avoir permis de faire ce stage au sein de Cisco Systems Inc. Je voudrais aussi remercier Rgis Baudin, Sbastien Gigot et Jastaran Sran pour leur aide, leurs conseils et leur patience. Merci Pierre De Fooz pour son aide et son dvouement au bon droulement du stage. Merci Gauthier Brion, Nicolas Rolans et Anton Ryhlov pour les parties de kicker. Les trajets en train me manqueront (peut-tre). Un grand merci Apor Kurucz, Serge Yasmine, Xavier Mertens et Jrme Paquay pour leur aide et pour le matriel quils ont bien voulu me prter. Merci ma famille, mes amis et Frede pour leur soutien et leurs conseils.
HEPL Informatique / Rseaux et Tlcoms
TFE 2008 - 2009
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME
TFE 2008 - 2009
Table des Matires
Table des Matires

REMERCIEMENTS ................................................................................................................................................... 1 TABLE DES MATIRES ............................................................................................................................................. 3 ICNES UTILISES DANS CE LIVRE .......................................................................................................................... 7 SYNTAXE DES COMMANDES .................................................................................................................................. 9 INTRODUCTION ................................................................................................................................................... 11 CHAPITRE 1 : CISCO SYSTEMS INC. ....................................................................................................................... 13 HISTORIQUE DE LENTREPRISE ........................................................................................................................................13 STRUCTURE INTERNE ....................................................................................................................................................15 Cisco.com ...........................................................................................................................................................16 Technical Assistance Center (TAC) ......................................................................................................................16 Advance Hardware Replacement .......................................................................................................................17 Software Support ...............................................................................................................................................18 LA TEAM CALO...........................................................................................................................................................18 Le Laboratoire ....................................................................................................................................................18 CHAPITRE 2 : LE TRAVAIL DE TOUS LES JOURS...................................................................................................... 23 LES CASES OMNITOOL ................................................................................................................................................23 RSERVATION DU MATRIEL CHECKOUT ........................................................................................................................26 TACHES ADMINISTRATIVES .............................................................................................................................................27 Lab Scanning ......................................................................................................................................................27 Cable Cleaning ....................................................................................................................................................27 CHAPITRE 3 : INTRODUCTION LA VOIX SUR IP .................................................................................................. 29 LE SYSTME H.323 ......................................................................................................................................................30 Fonctionnement de H.323 ..................................................................................................................................31 LE PROTOCOLE SIP ......................................................................................................................................................32 Messages SIP ......................................................................................................................................................32 Fonctionnement de SIP .......................................................................................................................................33 CODECS AUDIO ...........................................................................................................................................................35 LA SOLUTION CISCO .....................................................................................................................................................36 Cisco Unified Communications ...........................................................................................................................36 Cisco UC Manager Express (UCME) ....................................................................................................................36 CHAPITRE 4 : PRISE EN MAIN DUC MANAGER EXPRESS ...................................................................................... 37 PRSENTATION DU MATRIEL .........................................................................................................................................37 Cisco ISR 2801 ....................................................................................................................................................37 Cisco Catalyst 2960 ............................................................................................................................................37 Cisco Unified IP Phones ......................................................................................................................................38 PREMIRE TOPOLOGIE ..................................................................................................................................................38 SWITCHED PORT ANALYZER (SPAN) ...............................................................................................................................39 POWER OVER ETHERNET (POE) ......................................................................................................................................39
TFE 2008 - 2009
CONFIGURATION DE BASE DU 2801 ................................................................................................................................44 NTP .....................................................................................................................................................................44 DHCP ..................................................................................................................................................................44 CONFIGURATION DE UC MANAGER EXPRESS .....................................................................................................................45 Configuration Classique (Manuelle) ...................................................................................................................45 Configuration Automatique ...............................................................................................................................46 AJOUT DE TLPHONES UC MANAGER EXPRESS ..............................................................................................................46 Ephones et Directory Numbers (DN) ..................................................................................................................46 Assignation Statique ..........................................................................................................................................46 Assignation Automatique ...................................................................................................................................48 Templates ...........................................................................................................................................................49 Mise Jour du Firmware ....................................................................................................................................51 SKINNY CLIENT CONTROL PROTOCOL (SCCP) ....................................................................................................................55 Les Messages SCCP .............................................................................................................................................57 Fonctionnement de SCCP ...................................................................................................................................63 CHAPITRE 5 : FONCTIONNALITS SUPPLMENTAIRES .......................................................................................... 71 MESSAGE SYSTME ......................................................................................................................................................71 EXTENSION MOBILITY ...................................................................................................................................................71 Activation de lExtension Mobility ......................................................................................................................71 Cration dun Logout-Profile ..............................................................................................................................72 Cration dun User-Profile ..................................................................................................................................72 Utilisation de lExtension Mobility ......................................................................................................................72 SINGLE NUMBER REACH (SNR) ......................................................................................................................................74 INTERFACE GRAPHIQUE (GUI) ........................................................................................................................................76 Activation de lInterface Graphique ...................................................................................................................76 Ajout dun Utilisateur .........................................................................................................................................78 SERVICE DE NUIT .........................................................................................................................................................79 Configuration du Service de Nuit ........................................................................................................................79 CHAPITRE 6 : TLPHONES ANALOGIQUES ........................................................................................................... 83 FXS VS FXO ...............................................................................................................................................................83 Foreign eXchange Station (FXS) .........................................................................................................................84 Foreign eXchange Office (FXO) ...........................................................................................................................84 MODULE VIC2-2FXS ...................................................................................................................................................84 Installation du Module .......................................................................................................................................84 Configuration du Module ...................................................................................................................................85 MODULE VIC2-2FXO ..................................................................................................................................................89 Configuration du Module ...................................................................................................................................90 FEATURE ACCESS CODE (FAC) .......................................................................................................................................91 CHAPITRE 7 : LA TLPHONIE SANS-FIL ................................................................................................................ 93 CISCO AIRONET 1131 AG .............................................................................................................................................93 CISCO UNIFIED WIRELESS IP PHONE 7921G.....................................................................................................................94 SCURIT DES RSEAUX SANS-FIL ....................................................................................................................................94 WEP ....................................................................................................................................................................95
TFE 2008 - 2009
Table des Matires
WPA/WPA2 ........................................................................................................................................................95 IEEE 802.1X.........................................................................................................................................................96 Le Framework EAP .............................................................................................................................................96 EAP-FAST .................................................................................................................................................................99 Paquet EAP-FAST ................................................................................................................................................99 Fonctionnement de EAP-FAST ..........................................................................................................................100 Mise en Place de EAP-FAST ..............................................................................................................................102 EAP-TLS .................................................................................................................................................................106 Paquet EAP-TLS ................................................................................................................................................107 Fonctionnement de EAP-TLS .............................................................................................................................108 Mise en Place de EAP-TLS .................................................................................................................................110 CHAPITRE 8 : CONTRLEUR DE RSEAUX SANS-FIL ............................................................................................ 117 LE PROTOCOLE LWAPP ..............................................................................................................................................117 CISCO 2106 WIRELESS LAN CONTROLLER......................................................................................................................118 CONFIGURATION DE BASE............................................................................................................................................118 Mise Jour de lImage .....................................................................................................................................120 MISE EN PLACE DE EAP-TLS ........................................................................................................................................121 CHAPITRE 9 : CISCO SECURE ACS ........................................................................................................................ 123 CONFIGURATION DE CISCO SECURE ACS ........................................................................................................................123 Ajout dun Compte Administrateur ..................................................................................................................123 Installation des Certificats ................................................................................................................................124 Ajout de Network Access Servers .....................................................................................................................125 Ajout dUtilisateurs ..........................................................................................................................................127 Activation de EAP-TLS ......................................................................................................................................129 CHAPITRE 10 : CONCLUSION .............................................................................................................................. 131 ANNEXE A : INSTALLATION DE SERVICES WINDOWS .......................................................................................... 133 INTERNET SERVICES (IIS) .............................................................................................................................................133 AUTORIT DE CERTIFICATION........................................................................................................................................134 Installation .......................................................................................................................................................134 Cration de Certificats ......................................................................................................................................137 ANNEXE B : INSTALLATION DE CISCO SECURE ACS ............................................................................................. 145 ANNEXE C : CONFIGURATIONS FINALES ............................................................................................................. 147
ROGUE-CME (CISCO ISR 2801) ....................................................................................................................................147 ROGUE-SW1 (CISCO CATALYST 2960) ...........................................................................................................................152 ROGUE-AP (CISCO AIRONET 1131) ...............................................................................................................................153
ACRONYMES UTILISS DANS CE LIVRE ............................................................................................................... 157 BIBLIOGRAPHIE .................................................................................................................................................. 159
TFE 2008 - 2009
TFE 2008 - 2009
Icnes Utilises dans ce Livre
Icnes Utilises dans ce Livre
Routeur
Switch
Ordinateur Portable
Access Point
Access Point Lger
Contrleur Wireless
Tlphone IP
Tlphone IP sans-fil
UC Manager Express
Lien Ethernet
Connexion sans-fil
Serveur dAuthentification
TFE 2008 - 2009
TFE 2008 - 2009
Syntaxe des Commandes
Syntaxe des Commandes

Les conventions dcriture utilises pour prsenter les commandes sont les mmes que celles utilises dans lIOS Command Reference. LIOS Command Reference dfinit ces conventions comme suit : Gras indique des commandes et mots-cls. Dans des configurations dexemple ou dans des rsultats de commandes, des mots en gras indiquent des commandes entres par lutilisateur (comme une commande show par exemple). Italique indique des arguments pour lesquels lutilisateur fournit une valeur. Des barres verticales ( | ) sparent des choix mutuellement exclusifs. Des crochets [ ] indiquent des paramtres facultatifs. Des accolades { } indiquent un choix obligatoire. Des accolades dans des crochets [{ }] indiquent un choix obligatoire lintrieur dun paramtre facultatif.
TFE 2008 - 2009
10
TFE 2008 - 2009
Introduction
11
Introduction
Ce travail de fin dtude reprsente les 14 semaines de stage passes chez Cisco Systems Inc. Mon choix sest port sur cette entreprise tout simplement parce que je suis passionn par les rseaux et que cette entreprise tait pour moi lopportunit de me plonger dans un milieu qui me fascine. Ce document est dcoup en trois parties : Premire Partie : Prsentation de lEntreprise - Cette partie prsente lentreprise, ses services, ses produits et son activit dans le monde des rseaux. Deuxime Partie : La team CALO - Cette partie dcrit une journe type en tant quingnieur dans la team CALO. Troisime Partie : Voice over Wireless LAN - Cette partie concerne mon travail de fin dtude. Le dploiement dune configuration type est utilis pour expliquer les technologies sur lesquelles sappuie ce modle.
Le sujet que jai choisi comme travail de fin dtude me tenait particulirement cur car javais dj eu loccasion auparavant de mettre en place des rseaux VoIP grce lIPBX open-source Asterisk. Lintrt dans ce travail tait donc davoir un aperu dune des solutions concurrentes. Cette tude me permet par la mme occasion dtendre mes connaissances dans ce domaine qui se dveloppe encore un peu plus chaque jour.
TFE 2008 - 2009
12
TFE 2008 - 2009
Chapitre 1 : Cisco Systems Inc.
13
Historique de lEntreprise
L'histoire de Cisco Systems s'inscrit dans la tradition des entreprises nes dans la Silicon Valley californienne o son nom et son logo puisent l'inspiration dans la ville de San Francisco et dans son Golden Gate Bridge. Tout a commenc en 1984 San Jose dans le salon du couple form par Leonard Bosack et Sandy Lerner. Les deux scientifiques travaillaient l'Universit de Stanford et cherchaient un moyen de simplifier la mise en rseau des ordinateurs. Un objectif qui ncessitait le dveloppement de technologies totalement nouvelles. L'avance dcisive vint de l'laboration d'un routeur performant, capable de relier diffrents rseaux entre eux. Pour ce routeur, prsent pour la premire fois sur le march en 1986, Cisco a dvelopp un logiciel d'exploitation rseau bas sur des protocoles de communication ouverts largement accepts. Depuis, l'entreprise connat une croissance exponentielle. Avec ses routeurs, commutateurs (switch), rseaux d'accs et logiciels rseau, Cisco s'impose comme le leader mondial des solutions "rseau" pour Internet: plus de 50% de toutes les autoroutes de l'information utilisent du matriel Cisco, alors que plus de 80% de la technologie de base d'Internet mane des laboratoires de recherche et dveloppement de l'entreprise californienne.
TFE 2008 - 2009
14
Figure 1-1 : les logos Cisco
Depuis fvrier 1990, les actions de Cisco sont cotes au Nasdaq (CSCO). En terme de capitalisation boursire, Cisco est l'une des plus importantes entreprises traites par la bourse lectronique des valeurs technologiques. Elle s'est hisse au rang des plus grandes entreprises au monde dans l'industrie IT et emploie aujourd'hui environ 67000 collaboratrices et collaborateurs rpartis dans plus de 200 bureaux de vente et plus de 75 pays. Elle a ralis au cours de l'exercice 2008 un chiffre d'affaires de 39,5 milliards de dollars. L'entreprise a en outre rachet au cours des annes plusieurs dizaines d'entreprises ayant dvelopp des technologies d'avant-garde. Elle investit aussi plus de 4,5 milliards de dollars chaque anne dans la recherche et le dveloppement afin d'tre capable d'innover sans cesse. En outre, avec l'acquisition de Linksys, Cisco s'est introduit dans les plus petites entreprises ainsi que dans nos maisons. Cela permet tout le monde d'avoir du matriel et un service de qualit ! Pour exemple, voici une liste non exhaustive de ses domaine d'activits : Applications rseaux Stockage rseaux Scurit rseaux : Firewalls, VPN, Intrusion p/d, Web ... Mdias digital : TelePresence Scurit IP : Vido, Contrle d'accs ... Mobilit : Cisco Unified Communication
TFE 2008 - 2009
15
Structure Interne
Figure 1-2 : la structure de lentreprise
L'entreprise se dcline en quatre branches principales : Manufacturing Sales Customer Advocacy Engineering
Customer Advocacy (CA), mieux connu sous le nom de Cisco Services, est la branche
de Cisco proposant le support sur tout produit Cisco vendu. Comme beaucoup d'entreprises, la diffrence par rapport au concurrent rside souvent dans la qualit du service aprs vente. En effet, Cisco propose diffrents types de contrats, allant de 25$ plusieurs millions. Ces supports sont grs par deux sous-branches : Advanced Services (AS), et Technical Support Services (TS).
Advanced Services s'occupe des rseaux les plus grands et les plus complexes dans le
monde. Sont concernes les grandes entreprises et les ISP. AS cre, implmente et optimise ces rseaux. Les Network Consulting Engineers implmentent galement de nombreuses technologies avances. HEPL Informatique / Rseaux et Tlcoms TFE 2008 - 2009
16

Technical Support Services fournit quant lui quatre types de support end-to-end :
Cisco.com, le TAC, Advance Hardware Replacement et Software Support :
Cisco.com
Il s'agit non seulement d'une mine dinformations sur tous les produits Cisco, mais aussi un moyen douvrir des Service Requests. En effet, chaque mois, plus de 200.000 requtes sont rsolues online, ce qui correspond environ 80% du support technique. Cisco.com fournit galement diffrents outils et ressources (manuels, datasheet, ...), des trainings, ...
Service Request (SR)

Les Service Requests, demandes de rsolution dun problme hardware ou software dun client, peuvent tre ouvertes via mail, tlphone, ou interface web. Suivant la svrit de celles-ci (impact sur le business, et impact sur l'tat du rseau), le moyen utilis sera diffrent. En effet, l ou les requtes de priorits 3 et 4 (low priority) peuvent tre ouvertes via Cisco.com, les SRs de priorits 1 et 2 doivent tre ouverts via tlphone.
Figure 1-3 : impact des SRs
Technical Assistance Center (TAC)

Le Technical Assistance Center, ou TAC, emploie plus de 1000 ingnieurs (Customer Support Engineer) excellant chacun dans un domaine particulier, dont plus de la moiti sont CCIE. Le TAC a pour but de rsoudre les SRs, grce leurs connaissances, diffrents outils, une reproduction des problmes en laboratoire, et aussi laide des dveloppeurs. Chaque membre du TAC tant spcialis dans un domaine, des quipes ont t cres, reprsentant chacune une technologie. Il sagit de TAC 1.0. Les diffrentes quipes taient : Routing / Core Lan Switching Wireless TFE 2008 - 2009
Chapitre 1 : Cisco Systems Inc. Security Optical Wireline (ISP) SAN Voice ...
17
Depuis le premier semestre 2008, TAC 2.0 est n. Les groupes prcdemment cits ont t regroups en trois factions : ANG (Video, Streaming, TCP Acceleration, Security, Wireless, Storage, ...), DNG (Couches 2 et 3 : Lan Switching, Routing, Multicast, Core, ...) et VNG (Voice). Plusieurs TAC sont rpartis dans le monde. Cela permet Cisco d'offrir un support 24h sur 24 tout au long de l'anne, grce au modle Follow the Sun. Quand un centre termine la journe, un autre la commence :
Figure 1-4 : mthode Follow the Sun
Advance Hardware Replacement

Le remplacement et la rparation des pices Cisco dans des dlais trs courts sont possibles grce aux 900 stocks dissmins dans environ 120 pays. Cisco possde environ HEPL Informatique / Rseaux et Tlcoms TFE 2008 - 2009
18
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME 4 milliards de dollars de pices de remplacement. Chaque anne, 700.000 machines sont changes, et 500.000 rpares.
Software Support
Ce dpartement fournit au client des mises jour logicielles, permettant lajout de nouvelles fonctionnalits, une amlioration des performances, mais surtout une augmentation de la dure de vie des machines sans changements hardwares.
La Team CALO
La team CALO, pour Customer Advocacy Lab Operations est lquipe qui soccupe de la gestion du laboratoire. Auparavant, les ingnieurs souhaitant une reproduction de topologie devaient se rendre dans le laboratoire pour construire eux-mmes leur topologie. Ceci prsentait de nombreux dsavantages. Tout dabord, lordre et lorganisation du laboratoire taient assez mauvais tant donn que tout le monde y avait accs De plus, les ingnieurs travaillant domicile navait videmment pas loccasion de se rendre dans le laboratoire, ce qui tait pnalisant pour eux ! Finalement, chaque quipe possdait ses propres machines ; il ntait pas possible dutiliser les machines dune autre quipe. Aprs larrive de la team CALO, cela a chang. En effet, ce sont maintenant quelques ingnieurs qui sont chargs de crer les topologies des ingnieurs. Pour ce faire, les ingnieurs doivent crer des cases similaires au Service Requests. La team CALO se charge aussi de la maintenance du laboratoire : installation, remplacement ou suppression de matriel, cable cleaning (nettoyage des cbles non utiliss) et inventaire du matriel font partie du quotidien des ingnieurs CALO. Cest dans cette quipe que nous avons pass nos 14 semaines de stage.
Le Laboratoire
Le laboratoire de Diegem est le deuxime plus grand laboratoire du monde... rien que a ! Le premier est le laboratoire de RTP celui qui se situe sur la cte est des EtatsUnis. Le laboratoire de Cisco Belgium comporte plus de 6000 machines (routeurs et switchs) pour un total de plus de 40000 objets cartes, sous-modules, etc. Ce laboratoire est dcoup en deux tapes. La grande majorit de la gamme des produits Cisco y est reprsente, mais du matriel dautres constructeurs y est aussi prsent.
Le Rseau
Linfrastructure du laboratoire est assez particulire : elle est base sur le switching. En effet, chaque quipe du TAC sest vu assigner un VLAN. Nous retrouvons donc un rseau de type Campus Switching :
TFE 2008 - 2009
19
Figure 1-5 : infrastructure du lab
La couche core est compose dun Cisco Catalyst 6500 quip dun superviseur 720. Ce switch joue le rle de serveur VTP ; il distribue les VLANs de chaque team la couche distribution. La couche distribution se compose de 2960G et de 3750. Chaque street du laboratoire possde un de ces switchs. Ce sont ces switchs qui sont configurs en tant que clients VTP. Les switchs Matrix reprsentent la couche access du rseau. Ces switchs sont de type 5500, 6500 ou encore 2950. Des hubs quipent encore certaines streets rassurezvous, ils devraient tre remplacs sous peu !
TFE 2008 - 2009
20
Les Commservers
Figure 1-6 : commserver
L'accs aux diffrents devices est assur par l'intermdiaire des commservers du laboratoire. Ce sont gnralement des routeurs Cisco 2500, 2600 ou 2800. La photo cidessous illustre un Cisco 2801 quip dune carte HWIC-16A permettant de connecter 16 autres consoles :
Figure 1-7 : module HWIC-16A
Un simple telnet sur le commserver en indiquant le port adquat nous permet d'accder la console du device cibl. Pour plus de simplicit, tous les devices sont enregistrs avec un ou plusieurs couples [nom commserver, port] permettant ainsi d'y accder plus simplement en utilisant le script ttelrout :
$ ttelrout [-k2] <device name>
L'option -k nous permet de fermer une ventuelle session qui n'aurait pas t ferme proprement et -2 nous permet d'accder la deuxime console du routeur ou du switch en question. HEPL Informatique / Rseaux et Tlcoms TFE 2008 - 2009
Chapitre 1 : Cisco Systems Inc. Les consoles provenant des commservers sont gnralement regroupes sur des patchs panels permettant ainsi de connecter la console d'un routeur sur le bon port du commserver plus facilement qu'en suivant le cble de bout en bout :
21
Figure 1-8 : patch panel
Les Machines Virtuelles

Il arrive que, dans certaines reproductions de topologies, l'ingnieur demande une ou plusieurs machines virtuelles. Ils en ont besoin pour installer des logiciels d'analyses, pour gnrer du trafic spcifique ou tout simplement pour tester des cas de figures problmatiques en s'approchant le plus possible de la topologie complte du client. Ces machines virtuelles permettent, en plus d'une conomie d'argent et d'une plus grande disponibilit, une facilit de maintenance que des machines classiques ne peuvent apporter. En quelques clics, on peut ajouter des interfaces rseaux, les connecter dans diffrents VLAN, raliser des snapshots, rinitialiser la machine son tat initial, ... Le TAC Diegem utilise VMWare ESX Server install sur un Blade Center. Il y a plusieurs sortes d'images dj prtes l'emploi : Ubuntu, Windows XP, Windows Vista, Windows Server, etc. La rservation d'une machine virtuelle s'effectue de la mme faon que pour les routeurs ou les switchs. Une fois une machine virtuelle associ un case, on la configure et on accorde l'ingnieur les droits ncessaires pour qu'il puisse l'utiliser.
TFE 2008 - 2009
22
Figure 1-9 : VMWare ESX Server
TFE 2008 - 2009
Chapitre 2 : Le Travail de Tous les Jours
23

LArrive
Au cours de ces 14 semaines de stages chez Cisco, nous avons eu loccasion de travailler au sein de la team CALO. Ds notre arrive, nous avons t accueilli par lquipe. Nous nous sommes ensuite installs nos bureaux et avons commenc les quelques dmarches administratives ncessaires activation des comptes utilisateurs pour avoir accs certains sites intranet. Une runion trs brve a suivi. Durant cette runion, lorganisation interne de Cisco a t prsente et on nous a appris le rle de la team CALO. Nous avons directement t considrs en tant quemploys : on nous a attribu des tches presque immdiatement !
Les Cases Omnitool

Lorsquun ingnieur reoit un Service Request de la part dun client et quil a besoin dune reproduction de topologie pour effectuer des tests, il doit ouvrir ce que lon appelle un case. Il fournit les informations ncessaires aux ingnieurs CALO afin quils puissent construire la topologie demande. Les cases possdent une priorit relative la svrit du Service Request. Evidemment, un case avec une priorit P1 est plus important quun case avec une priorit P4 : Priorit CAPS P1 P2 P3 P4 Assignation Dans les 10 minutes Dans les 15 minutes Dans les 4 heures Dans les 24 heures Dans les 24 heures
Table 2-1 : priorits des cases
Rsolution Dans les 4 heures Dans les 4 heures Dans les 24 heures Dans les 2 jours Dans les 5 jours
Il est possible de visualiser les cases ouverts grce un outil qui sappelle Omnitool :
TFE 2008 - 2009
24
Figure 2-1 : Omnitool vue globale des cases
Cette page affiche plusieurs informations intressantes comme lge du case, sa priorit ou encore son statut. Il existe pas mal de statut diffrents :
Open : le case a t ouvert mais na pas encore assign quelquun ; Assigned : le case est assign mais le propritaire ny travaille pas encore ; Work in Progress : le propritaire du case travaille sur le case ; Pending Client : le propritaire attend une rponse de lingnieur ; Pending Approval : la topologie a t soumise lingnieur ; Pending Hardware : du matriel manquant empche la rsolution du case ; Closed (Resolved) : le case est termin et est ferm.
Lorsque lon clique sur un case, une page plus dtaille fait son apparition. On y retrouve beaucoup plus dinformations. Ainsi, on sait si lingnieur a besoin dune connexion au backbone, on peut galement estimer le temps que le matriel doit tre rserv ou encore jeter un il au Service Request associ au case :
TFE 2008 - 2009
25
Figure 2-2 : Omnitool vue dtaille dun case
Un description permet lingnieur dexpliquer son problme et dindiquer le matriel dont il a besoin :
Figure 2-3 : Omnitool vue dtaill dun case (suite)
Dans ce cas-ci, on peut voir que lingnieur a besoin dun Cisco 7600 quip de trois cartes spcifiques. Il demande galement quune certaine image soit charge sur le 7600 ; ceci arrive trs frquemment. Un deuxime priphrique quelconque doit y tre reli via trois liens 2 Gigabit et 1 TenGig ! Le bas de la page est rserv aux ventuelles mises jour et au dialogue avec lingnieur. Cest ici quon prvient lingnieur lorsquune topologie est construite. Cest aussi ici que HEPL Informatique / Rseaux et Tlcoms TFE 2008 - 2009
26
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME lon pose nos questions lorsquun dtail nest pas trs clair, ceci vite de perdre du temps inutilement ! Lorsquun case est achev, lingnieur a la possibilit de laisser une apprciation appele Bingo allant de 1 5 et jugeant la qualit du travail de lingnieur CALO. Quelques jours plus tard voire des fois beaucoup plus tard, lingnieur nous informe que le case peut tre ferm ; il faut alors librer le matriel utilis.
Rservation du Matriel Checkout

Le matriel ne peut pas tre utilis comme a, il doit dabord tre rserv. Cest la fonction de loutil Checkout. Cet outil de recherche permet lingnieur CALO dentrer des critres de recherche sur lesquels loutil se base pour fournir une liste du matriel qui correspond auxdits critres. Par exemple, il est possible de rechercher un routeur 2811 disponible qui se situe prs de la street 16. Ce genre de critre peut viter de devoir cbler un long parcours alors que deux priphriques proches sont disponibles.
Figure 2-4 : Checkout rsultat dune recherche
Loutil fonctionne avec un systme de panier. On ajoute les routeurs ou switchs qui nous intressent et la fin on passe la caisse . Il faut alors fournir lidentifiant du case ainsi que la priode pour laquelle on souhaite rserver le matriel. Les cartes et modules ne sont malheureusement pas rserves, il faut donc des fois passer 20 minutes chercher une carte parmi les deux tages du laboratoire !
TFE 2008 - 2009
27
Taches Administratives
Conjointement la rsolution de cases qui restent la principale activit dun ingnieur CALO, nous nous occupions galement de quelques tches dentretien du laboratoire galement appele tches administratives. Elle sont supposes prendre 20% du temps dun tudiant chez CALO.
Lab Scanning
Tous les lments dont le laboratoire dispose sont rfrencs dans une base de donne l'aide de codes barres permettant de les identifier uniquement. Ces codes barres sont appels des EITMS (Enhanced Inventory Tracking & Management System). Ces EITMS sont de petites tiquettes que l'on colle sur les nouvelles cartes ou chssis qui sont destins tre utilis dans le laboratoire. Grce ces codes barres, on peut recenser tous les lments, avec un scanner de codes barres USB, permettant ainsi de connatre l'emplacement exacte des cartes ou des chssis. On essaye de scanner chaque semaine une partie du laboratoire (3-4 streets) pour actualiser suffisamment l'inventaire et faciliter ainsi la recherche des diffrentes cartes dans cet immense laboratoire rparti sur deux tages. Pour savoir exactement o se situe la carte ou le routeur, il faut procder dans cet ordreci lors du scanning d'une street : Scanner le code barre du rack, Scanner le code barre du premier chssis, Scanner les codes barres des cartes que ce chssis contient, re-scanner le code barre du chssis pour signaler qu'on quitte celui-ci, scanner le code barre du nouveau chssis, ... , re-scanner le code barre du rack pour le fermer son tour.
Cable Cleaning
Le cable cleaning est la deuxime tche administrative et sans doute la plus ennuyeuse et la plus longue de toutes. Elle consiste enlever les cbles qui ne sont plus utiliss dans le laboratoire. Ceci a deux avantages importants : tout dabord, le laboratoire est plus propre dans le sens o il est beaucoup moins bordlique quavant ; ensuite, cela met disposition des ingnieurs CALO beaucoup plus de cbles il mest dj arriv de devoir parcourir le lab pour trouver un cble crois. Une tournante a t mise en place afin que chaque tudiant scanne une partie diffrente du laboratoire chaque semaine. Sans cette tournante, il est vident que le laboratoire serait un endroit o il est beaucoup moins agrable de travailler... Nanmoins cette tche peut tre ralise relativement vite si on lexcute deux : un tudiant dconnecte
TFE 2008 - 2009
28
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME le cble qui nest plus utilis (en vrifiant sur Checkout) et lautre retire le cble qui est souvent emml dans dautres cbles.
TFE 2008 - 2009
Chapitre 3 : Introduction la Voix sur IP
29

La voix sur IP dfinit un moyen de faire transiter des appels tlphoniques classiques sur un rseau IP en convertissant ces appels en paquets de donnes. Le rseau IP utilis peut tout aussi bien tre un rseau WAN (comme Internet) ou un rseau LAN (un rseau local). La voix sur IP, que lon appelle gnralement VoIP (Voice over IP) utilise des protocoles de session pour tablir la communication ainsi que des codecs audio pour encoder et ventuellement compresser le signal analogique, c'est--dire la voix, afin quil puisse tre transmis sur le rseau IP. Les avantages de la voix sur IP sont nombreux. Premirement, le cot est largement rduit. En effet, la voix sur IP utilise le mme mdia que les donnes : le rseau IP. De plus, des fonctionnalits telles que lIVR, le caller ID ou le call forwarding sont gnralement factures par le fournisseur de la ligne analogique. Dans le cas de la voix sur IP, ces fonctionnalits sont gratuites. Deuximement, la voix sur IP est beaucoup plus flexible que le systme tlphonique traditionnel. La scurisation des appels peut tre faite trs facilement, rajouter une ligne un tlphone est un jeu denfant et un tlphone IP peut tre install nimporte o, ne ncessitant quune connexion au rseau. Plusieurs quipementiers rseaux fournissent des solutions VoIP. Nous pouvons citer parmi eux Alcatel-Lucent et son OmniPCX ; Digium avec Asterisk et Cisco Systems Inc. pour sa plateforme Unified Communications. Ces solutions fournissent gnralement un PABX IP, souvent abrg IPBX. Un IPBX (Internet Private Branch eXchange) dsigne un autocommutateur tlphonique priv, assumant ainsi lacheminement des appels tlphoniques VoIP ou non. Un IPBX peut trs bien interagir avec une ligne tlphonique classique afin de pouvoir mettre des appels externes. Il fournit galement certaines fonctionnalits telles que le transfert dappel, la mise en garde, etc. LIPBX dvelopp par Cisco sappelle Unified Communications Manager. La voix sur IP est une technologie relativement rcente puisquelle fut standardise en 1996 par lITU-T avec le standard H.323. Ce systme de communication multimdia en mode paquet regroupe un ensemble de protocoles qui grent la signalisation, la voix, la vido et les donnes. Cisco Systems se lana lui aussi dans la voix sur IP. Anciennement dvelopp par Selsius Corporation, SCCP (Skinny Client Control Protocol) fut rachet par Cisco en 1998. SCCP est un protocole lger qui soccupe de la signalisation entre un tlphone IP et lUnified Communications Manager de Cisco. Le flux de donnes repose quant lui sur RTP. En 1999, le protocole SIP (Session Initiation Protocol) fut inaugur. Dfini par lIETF dans la RFC 3261, ce protocole reprend les meilleurs aspects du systme H.323. En effet, HEPL Informatique / Rseaux et Tlcoms TFE 2008 - 2009
30
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME ce dernier souffrait dune grosse lacune : chaque fabriquant implmentait H.323 sa manire, rendant ce systme cens tre interoprable assez difficile mettre en place. LIPBX open-source Asterisk a galement contribu la popularisation du protocole SIP. Asterisk possde galement son propre protocole, nomm IAX (Inter-Asterisk eXchange). Bien que non standardis, ce protocole prsente un avantage intressant : la signalisation et les donnes (la voix) utilisent le mme port. Cest une problme bien connu des autres protocoles VoIP : il est en effet difficile de traverser du NAT ou un firewall car les ports RTP sont choisis dynamiquement. Nanmoins, ce protocole nest que trs peu rpandu : les tlphones IP supportant ce protocole pourraient se compter sur les doigts dune main
Le Systme H.323
Le systme H.323, driv du protocole H.320 utilis sur RNIS, est une association de diffrents protocoles que lon peut regrouper en trois catgories : la signalisation, la ngociation de codec et le transport de linformation. Parmi ces protocoles, on peut citer RAS qui soccupe du contrle de session. H.225 est le protocole qui gre la signalisation des appels entre utilisateurs. Le protocole H.245 est quant lui responsable de la ngociation des codecs, afin de sassurer que les deux participants puissent communiquer. Un troisime protocole important, RTP, gre lenvoi et la rception des donnes multimdia la voix, la vido ou encore du texte. Dautres protocoles font partie du systme H.323 et fournissent des services supplmentaires comme la scurit (H.235) ou bien la gestion de firewall (H.460). Cependant, ces derniers ne sont pas essentiels au fonctionnement dun systme VoIP classique. Plusieurs lments composent un systme H.323 : Terminal : ce terme dcrit tout simplement lquipement employ par lutilisateur final, que ce soit un tlphone IP classique ou un systme de vidoconfrence haute dfinition. MCU : le MCU (Multipoint Control Unit) soccupe des confrences multipoint. Ce dispositif permet par exemple un utilisateur de voir et dtendre tous les participants de la confrence en mme temps. Gateway : la passerelle permet la communication entre un rseau H.323 et des rseaux dautres types tels que ISDN ou PSTN. Les passerelles sont largement utilises pour interconnecter des rseaux VoIP avec des lignes tlphoniques analogiques afin de pouvoir effectuer des appels vers lextrieur.
TFE 2008 - 2009
Chapitre 3 : Introduction la Voix sur IP Gatekeeper : le gatekeeper est optionnel et fournit des services aux terminaux, MCU et passerelles : enregistrement, rsolution dadresse, authentification, etc. Dans le contexte de H.323, cest le gatekeeper qui joue le rle de lIPBX.
31
Fonctionnement de H.323
Le fonctionnement interne dun systme H.323 peut tre trs complexe dans certains cas. Jai donc dcid de le simplifier pour en expliquer les principes fondamentaux. Considrons le cas o deux clients enregistrs auprs dun gatekeeper souhaitent communiquer.
Figure 3-1 : H.323
Premirement, les deux utilisateurs doivent senregistrer auprs du gatekeeper en lui fournissant leur ID H.323 ainsi que leur adresse IP. Le gatekeeper peut alors tablir une table de correspondance entre lID et ladresse IP de lutilisateur. Le client A demande ensuite au gatekeeper lautorisation de contacter le client B. Si le gatekeeper accepte, il renvoie au client A ladresse IP du client B, condition que ce dernier ne soit pas dj occup. Le gatekeeper prvient alors le client B quune communication avec le client A va avoir lieu. Cette signalisation est effectue grce au protocole H.225. Il est important de noter qu ce stade, les deux clients ne communiquent pas directement, ils passent par le gatekeeper. Ensuite, les deux clients peuvent commencer ngocier les codecs quils vont utiliser. Cette tape est importante, car si aucun accord nest trouv, la communication ne peut pas seffectuer. Cest le protocole H.245 qui est responsable de cette ngociation. Finalement, des ports destins au transport RTP sont ouverts de chaque cot. La communication proprement dite passe par ces ports. A la fin de la session, le gatekeeper
TFE 2008 - 2009
32
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME est inform de la fin de la connexion : les ports sont librs et les transmissions de contrle arrtes.
Le Protocole SIP
Le protocole SIP est depuis 2007 le protocole de signalisation VoIP le plus courant. Se trouvant dans la couche Application du modle TCP/IP, ce protocole a un fonctionnement similaire celui de HTTP (requte/rponse). Il en reprend dailleurs la plupart des enttes et des codes de retour. SIP utilise gnralement les ports 5060 et/ou 5061. Il encapsule SDP (Session Description Protocol) qui dcrit la session proprement dite. SIP est donc uniquement un protocole de signalisation. Il utilise RTP pour le transfert de linformation, tout comme son grand frre H.323. Un rseau SIP est compos de trois grands types dlments : User Agent : un User Agent (UA) peut mettre et recevoir des messages SIP. Un UA joue la fois le rle de User Agent Client (UAC) qui met des messages SIP et celui de User Agent Server (UAS), c'est--dire quil peut rpondre des requtes SIP. La plupart des priphriques SIP est capable de jouer ces deux rles. Ces UA sont identifis par une URI de type sip:user:pass@host:port ; Registrar : le registrar gre les requtes de type REGISTER. A la manire du gatekeeper dun systme H.323, il maintient une base de donnes contenant ladresse IP dun utilisateur laquelle il fait correspondre une URI ; Proxy : un proxy SIP ne sert que dintermdiaires entre deux UAs. Il relaye les messages dun cot ou de lautre.
Messages SIP
Le protocole SIP dfinit plusieurs types de messages, regroups en deux catgories : les requtes et les rponses. Rappelons que la syntaxe est identique celle de HTTP. Requtes : REGISTER : signale ladresse IP et lURI dun User Agent ; INVITE : demande ltablissement dune nouvelle session ; ACK : confirme ltablissement de cette session ; CANCEL : termine une requte INVITE en attente ; BYE : termine la session en cours ; OPTIONS : demande les capacits de lappelant.
Rponses : HEPL Informatique / Rseaux et Tlcoms TFE 2008 - 2009
Chapitre 3 : Introduction la Voix sur IP Provisional (1xx) : requte reue, en cours de traitement ; Success (2xx) : requte reue et accepte ; Redirection (3xx) : un action de lutilisateur est ncessaire ; Client Error (4xx) : la requte est invalide et ne peut donc pas tre traite par le serveur ; Server Error (5xx) : le serveur ne peut traiter la requte, erreur interne ; Global Failure (6xx) : la requte ne peut tre traite par aucun serveur.
33
Parmi ces codes de retour, on en retrouve quelques uns qui nous sont dj un peu familiers : 100 TRYING, 200 OK, 4O4 NOT FOUND ou encore 500 SERVER ERROR. Le protocole SIP a cependant quelques codes de retours qui lui sont propres : 180 RINGING, 486 BUSY ou plus gnralement les codes x80.
Fonctionnement de SIP
Le protocole SIP est assez simple comprendre dans le sens o cest un protocole avec une architecture requte/rponse dont les messages sont cods en ASCII, ce qui les rend lisibles pour peu prs tout le monde. Le schma suivant illustre une session SIP travers un proxy.
TFE 2008 - 2009
34
Figure 3-2 : session SIP
Ce schma est assez explicite. Les deux clients tant auparavant enregistrs auprs du registrar, le client A dcide dappeler le client B. Cette demande de session se traduit par lenvoi dune requte INVITE. Dans ce cas, le proxy ne sert qu retransmettre les messages de part et dautres, sont rle nest donc pas trs important. Le client B reoit la requte INVITE et envoie le code de retour 100 TRYING pour prvenir le client A que la requte a bien t reue et quelle est actuellement traite. Le tlphone du client B va ensuite sonner, ce qui gnrera un message vers le client A suivi dun 200 OK pour dire que tout sest bien pass. Le client A doit finalement confirmer ltablissement de la session en envoyant au client B une requte ACK. La communication est maintenant tablie. SIP ninterviendra plus durant lchange vocal, cest RTP qui va prendre la main pour grer les flux de donnes. A la fin de la communication, le client A termine lappel, ce qui engendre une requte BYE. Le client B accepte et renvoie le code 200 OK. La session SIP est termine.
TFE 2008 - 2009
35
Codecs Audio
Il existe une multitude de codecs audio. Ces derniers sont gnralement ngocis lors de ltablissement de la session. Ils sont essentiels au bon fonctionnement dun rseau VoIP car deux clients ne pourraient pas communiquer sils nutilisent pas le mme codec que lon pourrait associer parler le mme langage . Ces codecs ont des caractristiques diffrentes qui rendent leur utilisation prfrable dans certains cas. Voici un tableau reprenant la plupart des codecs actuels : Codec G.711 G.729 G.723.1 G.723.1 G.726 G.728 GSM iLBC Dbit 64 Kbps 8 Kbps 6.3 Kbps 5.3 Kbps 32 Kbps 16 Kbps 13.2 Kbps 15.2 Kbps Score MOS 4.45 3.92 3.9 3.65 3.85 3.61 3.5 4.14 BP 802.3 87.2 Kbps 31.2 Kbps 21.9 Kbps 20.8 Kbps 55.2 Kbps 31.5 Kbps 28.7 Kbps 30.83 Kbps 1 heure 38.3 MB 13.7 MB 9.6 MB 9.1 MB 24.2 MB 13.8 MB 12.6 MB 13.5 MB
Tableau 3-1 : codecs audio
La plupart des noms de codecs commencent par un G. et sont des codecs qui ont t standardis par lITU-T, lorganisation qui soccupe galement de H.323. Le codec GSM est similaire celui utilis sur les appareils portant le mme nom. Ces codecs peuvent tre diffrencis par la bande passante quils ncessitent, par la qualit du son quils fournissent ou encore par la puissance de calcul dont ils ont besoin pour coder le signal. La quatrime colonne indique la bande passante utilise par le codec lorsque celui-ci est encapsul dans une frame Ethernet 802.3. La dernire colonne se base sur ces donnes pour donner une ide de la consommation aprs une heure dutilisation. Le choix dun codec adquat peut donc faire pargner jusque 30 MB par heure ce nest pas norme, mais pour une entreprise de 500 personnes, ce nest pas ngligeable (15 GB par heure !). Evidemment, ces donnes ne sont pas reprsentatives mais permettent de plus ou moins mesurer limpact dun choix de codec. Le score MOS (Mean Opinion Score) reprsente la qualit de restitution sonore dun codec. Cette note peut varier de 0 5 respectivement trs mauvais et excellent. Les tests MOS sont spcifis par la recommandation P.800 de lITU-T. Ces tests sont trs souvent raliss sur un certain panel de la population, auquel on fait couter un son et ensuite son quivalent cod. Les auditeurs doivent ensuite noter la qualit du son et ce sont ces notes qui constituent le score MOS. Tous ces codecs ont le mme rle : Numriser le signal analogique entrant. Ce signal doit tre converti sous forme numrique suivant le format PCM (Pulse Code Modulation) 64 Kbps ; TFE 2008 - 2009
36
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME Compresser le signal numrique. Cette compression est le plus souvent ralise par un DSP (Digital Signal Processor). Le signal compress est ensuite encapsul dans des paquets IP. Si la bande passante est suffisante, il est possible de transfrer le signal 64 Kbps ; Du cot du rcepteur, cest la dmarche inverse qui doit tre effectue. Le signal numrique est dcompress pour ensuite subir une reconversion analogique.
La Solution Cisco
Cisco Unified Communications
La plateforme Unified Communications (UC) de Cisco a pour principal but de simplifier et de rassembler toutes formes de communications telles que les appels tlphoniques, la vido, les e-mails ou encore la messagerie instantane. Une vaste panoplie de logiciels compose cette solution : Manager, Unity, MeetingPlace, Workspace, Mobile Communicator, Le produit qui va nous intresser tout au long de ce document est Communications Manager, ou plutt sa version allge appele Communications Manager Express.
Cisco UC Manager Express (UCME)

Cisco UC Manager Express (UCME) est un IPBX compatible H.323, MGCP, SIP et SCCP. Il peut supporter jusqu 240 utilisateurs. Sa particularit par rapport son grand frre est quil tourne sur un routeur et non sur un serveur. Ceci a lavantage de limiter les cots de linstallation si le nombre dutilisateurs ne dpasse pas la limite fixe par UC Manager Express. Autrefois connu sous le nom de Call Manager Express, la version de UC Manager Express a rcemment t revue la hausse afin que les numros de version de tous les produits Unified Communications soient aligns. La version actuelle est la 7.1.
TFE 2008 - 2009
Chapitre 4 : Prise en main dUC Manager Express
37

Le lab final a t dcoup en plusieurs tapes. Ce chapitre prsente la premire tape, qui est relativement simple et basique puisquelle se contente de permettre aux tlphones IP de sappeler. Chaque chapitre qui suivra reprendra le lab du chapitre le prcdant et y rajoutera une fonctionnalit plus ou moins importante.
Prsentation du Matriel
Cisco ISR 2801
Le Cisco Integrated Service Router 2801 est un routeur hautes-performances quip de deux interfaces 10/100 Mbps. Il peut contenir jusqu quatre modules VIC/WIC/HWIC. La srie 2800 ISR a t optimise pour un transport rapide et scuris de donnes, voix et vido, ce qui implique le support de UC Manager Express.
Figure 4-1 : Cisco 2801 ISR
Cisco Catalyst 2960

Le Catalyst 2960 est un switch 24 ports qui supporte Power over Ethernet et Quality of Service. Ces deux fonctionnalits sont importantes dans notre cas car elles permettent respectivement dalimenter les tlphones IP et access points au travers du rseau, supprimant le besoin dadaptateurs secteurs supplmentaires ; et sassurent que le trafic rseau est correctement classifi, vitant de la meilleure manire possible tout congestion.
Figure 4-2 : Cisco Catalyst 2960
TFE 2008 - 2009
38
Cisco Unified IP Phones

Les deux tlphones IP que jai utilis dans les premiers labs sont des tlphones cbls. Jai choisi deux modles diffrents : un 7960 et un 7941G-GE. Le suffixe GE veut simplement dire que le switch interne du tlphone IP supporte les liens Gigabit. Ces deux tlphones IP possdent un cran LCD assez large, ce qui le rend plutt confortable utiliser. Il est intressant de noter que le 7941G-GE utilise Java.
Figure 4-3 : Cisco Unified IP Phone 7941G-GE
Premire Topologie
Voici ce quoi ressemblera la topologie du premier lab :
Figure 4-4 : topologie du premier lab
TFE 2008 - 2009
39
Switched Port Analyzer (SPAN)

Le SPAN, galement appel Port Mirroring ou Port Monitoring, copie artificiellement les paquets venant dune ou plusieurs interfaces sources vers une interface de destination o lon y connecte gnralement un sniffer ou tout autre analyseur rseau.
Figure 4-5 : SPAN
Jai utilis du SPAN dans les labs afin de voir le trafic passant par le switch. Cela ma permis dobserver des processus darrire-plan qui ne sont pas toujours visibles pour lutilisateur final. La configuration qui suit copie simplement tout le trafic venant du port Fa0/1 vers le port Fa0/23 auquel un ordinateur portable quip de Wireshark est connect.
(config)#monitor session 1 source interface FastEthernet0/1 (config)#monitor session 1 destination interface FastEthernet0/23
Dautres variantes du SPAN existent mais nont pas t utilises dans mon cas. On y retrouve RSPAN (Remote SPAN) et ERSPAN (Encapsulated Remote SPAN).
Power over Ethernet (PoE)

Jai dcid de dcrire cette technologie avant daborder la configuration de UC Manager Express car je trouve que ces deux sujets nont pas grand-chose voir lun avec lautre. Cette partie est nanmoins importante car Power over Ethernet est une technologie trs utile. Examinons son fonctionnement dun peu plus prs Power over Ethernet est une technologie utilise pour alimenter des priphriques rseau tels que des access points, des tlphones IP ou encore des camras. Deux mthodes permettent dexploiter la technologie PoE : IEEE 802.3af Cisco Inline Power (ILP) TFE 2008 - 2009
40
La premire mthode, 802.3af est standardise et offre une interoprabilit entre constructeurs. Cette norme fut ratifie le 11 juin 2003 et publie le 11 juillet 2003. Les priphriques connects sont dtects par le switch qui applique une tension sur chacune des paires de donnes du cble UTP. Il peut ensuite mesurer la rsistance sur ces paires afin de dtecter si oui ou non un priphrique consomme du courant. Une rsistance de 25 kOhm indique quun priphrique PoE est prsent. 802.3af dfinit galement cinq classes correspondant chacune une valeur de rsistance. Ces classes permettent de fournir au priphrique uniquement la puissance dont il a besoin. Le tableau qui suit liste ces classes : Classe 0 (par dfaut) 1 2 3 4 Puissance Maximale 15.4 Watts 4.0 Watts 7.0 Watts 15.4 Watts Rserv
Tableau 4-2 : les classes IEEE 802.3af
La classe par dfaut est utilise lorsque le priphrique ne supporte pas la dcouverte des classes 802.3af. La deuxime mthode est diffrente. Cisco Inline Power est, comme son nom lindique, une technologie propritaire dveloppe par Cisco. Cette mthode a t dveloppe avant la norme 802.3af. La dtection du priphrique est ralise par lenvoi dune signal de test 340 KHz sur les paires de transmission (Tx). Un priphrique PoE comme un tlphone IP boucle les paires Tx/Rx de son cble Ethernet lorsquil est teint. Ds quil est connect un switch PoE, le switch rcupre son signal de test et sait quil peut alors alimenter le priphrique. Power over Ethernet fournit une tension de 48 Volts DC. Cisco ILP utilise les paires 2 et 3 (pins 1-2 et 3-6) tandis que 802.3af utilise soit les paires 2 et 3 ou les paires 1 et 4 (pins 4-5 et 7-8).
TFE 2008 - 2009
41
Figure 4-6 : pins Power over Ethernet
Cest la technologie Cisco ILP qui a t utilise tout au long du lab car le matriel utilis est du matriel Cisco. Les deux mthodes sont supportes, cependant ILP est utilis par dfaut. Commenons par connecter un tlphone IP au switch. Les rsultats suivants ont t obtenus grce la commande show power inline :
rogue-sw1#show power inline Available:370.0(w) Used:6.3(w) Interface Admin Oper Remaining:363.7(w) Device ------------------IP Phone 7960 n/a n/a n/a n/a n/a n/a Class Max ----n/a n/a n/a n/a n/a n/a n/a ---15.4 15.4 15.4 15.4 15.4 15.4 15.4
Power (Watts) --------- ------ ---------- ------Fa0/1 auto on 6.3 Fa0/2 auto off 0.0 Fa0/3 auto off 0.0 Fa0/4 auto off 0.0 Fa0/5 auto off 0.0 Fa0/6 auto off 0.0 Fa0/7 auto off 0.0 ...
Chaque port est configur en mode auto par dfaut. Il y a trois diffrents modes: auto : dtecte et alimente automatiquement le priphrique ;
TFE 2008 - 2009
42
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME static : applique une tension un priphrique qui ne pourrait interagir ni avec ILP ni avec 802.3af ; never : Power over Ethernet est dsactiv sur ce port.
Le mode peut tre chang en utilisant la commande suivante :

rogue-sw1(config-if)#power inline {auto | static | never}
On peut constater que le switch connat le modle du tlphone IP connect et la puissance dont il a besoin. Ces informations sont envoyes par le tlphone IP via des annonces CDP. On peut le vrifier en activant le debug pour ILP :
rogue-sw1#debug ilpower powerman rogue-sw1# *Mar 2 23:29:57.633: Ilpower PD device 1 class 2 from interface (Fa0/1) *Mar 2 23:29:57.633: ilpower new power from pd discovery Fa0/1, power_status ok *Mar 2 23:29:57.633: Ilpower interface (Fa0/1) power status change, allocated power 15400 *Mar 2 23:29:58.061: %ILPOWER-5-POWER_GRANTED: Interface Fa0/1: Power granted *Mar 2 23:30:01.534: ilpower_powerman_power_available_tlv: about sending patlv on Fa0/1 *Mar 2 23:30:01.534: req id 0, man id 1, pwr avail 15400, pwr man -1 *Mar 2 23:30:02.004: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up *Mar 2 23:30:02.004: ilpower_powerman_power_available_tlv: about sending patlv on Fa0/1 *Mar 2 23:30:02.004: req id 0, man id 1, pwr avail 15400, pwr man -1 *Mar 2 23:30:03.010: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up *Mar 2 23:30:05.409: Interface(Fa0/1) - processing old tlv from cdp, request 6300, current allocated 15400 *Mar 2 23:30:05.409: Interface (Fa0/1) efficiency is 100
Les annonces CDP captures par Wireshark nous dmontrent exactement la mme chose :
TFE 2008 - 2009
43
Figure 4-7 : annonces CDP dans Wireshark
Dernire vrification, jai dsactiv CDP sur linterface F0/1 du switch. Jai ensuite dbranch le tlphone IP, nettoy la table CDP et rebranch le tlphone. La commande show power inline affiche maintenant :
rogue-sw1(config)#interface FastEthernet0/1 rogue-sw1(config-if)#no cdp enable rogue-sw1(config-if)#^Z rogue-sw1# rogue-sw1#clear cdp table rogue-sw1#show power inline Available:370.0(w) Used:15.4(w) Remaining:354.6(w) Interface Admin Power (Watts) --------- ------ ---------- ------Fa0/1 auto on 15.4 Fa0/2 auto off 0.0 Fa0/3 auto off 0.0 Fa0/4 auto off 0.0 Fa0/5 auto off 0.0 Fa0/6 auto off 0.0 Fa0/7 auto off 0.0 ... Oper Device ------------------Cisco PD n/a n/a n/a n/a n/a n/a Class Max ----n/a n/a n/a n/a n/a n/a n/a ---15.4 15.4 15.4 15.4 15.4 15.4 15.4
Sans les annonces CDP, le switch fournit la puissance par dfaut, c'est--dire 15.4 Watts au priphrique qui sappelle maintenant Cisco PD (Powered Device). Une dernire remarque importante : lorsquun priphrique aliment par PoE est dbranch, le port reste aliment durant 4 secondes supplmentaires, dans le cas o le priphrique serait rebranch. Si ce nest pas le cas, la tension est supprime du port. Il nest donc pas conseill de brancher un priphrique rseau quelconque juste aprs avoir dconnect un priphrique PoE.
TFE 2008 - 2009
44
Configuration de Base du 2801

Avant de toucher la configuration de UC Manager Express, une configuration basique du routeur simpose. Limage utilise est une 12.4(22)YB1. Cette image requiert 64 MB de Flash et 128 MB de DRAM mais elle supporte la dernire version de UC Manager Express (la version 7.1) lheure o sont crites ces lignes. Le feature set IP Voice rajoute le support des cartes FXS, des clients SIP, etc. Commenons par configurer laccs au routeur :
Router#configure terminal Router(config)#hostname rogue-cme rogue-cme(config)#aaa new-model rogue-cme(config)#aaa authentication login default local enable rogue-cme(config)#username fred privilege 15 secret blah rogue-cme(config)#enable secret ww rogue-cme(config)#line console 0 rogue-cme(config-line)#login authentication default rogue-cme(config-line)#logging synchronous rogue-cme(config-line)#exit
NTP
La configuration de lheure est importante, les tlphones IP se synchroniseront avec le serveur NTP interne du routeur :
rogue-cme(config)#clock timezone CET +1 rogue-cme(config)#clock summer-time CEST recurring rogue-cme(config)#^Z rogue-cme#clock set 13:25:00 08 Apr 2009 rogue-cme#configure terminal rogue-cme(config)#ntp master
Noublions pas de configurer linterface connecte au switch :

rogue-cme(config)#interface FastEthernet0/1 rogue-cme(config-if)#ip address 172.19.13.254 255.255.255.0 rogue-cme(config-if)#no shutdown rogue-cme(config-if)#exit
DHCP
Le routeur jouera galement le rle de serveur DHCP. Cest lui qui distribuera les adresses IP aux tlphones :
rogue-cme(config)#ip dhcp pool voicePool rogue-cme(dhcp-config)#network 172.19.13.0 /24 rogue-cme(dhcp-config)#default-router 172.19.13.254 rogue-cme(dhcp-config)#option 150 ip 172.19.13.254
TFE 2008 - 2009

rogue-cme(dhcp-config)#exit rogue-cme(config)#ip dhcp excluded-address 172.19.13.254
45
Deux remarques importantes. Tout dabord, la commande option permet de spcifier une option DHCP, dans notre cas loption 150 qui correspond ladresse IP du serveur TFTP. Les tlphones IP utilisent ce serveur TFTP pour rcuprer tous les fichiers dont ils ont besoin, comme leur fichier de configuration, sonneries, ... Jai prfr utiliser le serveur TFTP fourni par lIOS, cest pourquoi ladresse IP spcifie dans la commande est celle du routeur. La deuxime commande importante est ip dhcp excludedaddress ; elle empche au routeur de distribuer sa propre adresse IP.
DHCP Statique
Il est galement possible de faire des assignations statiques dadresses IP base sur ladresse MAC du client. Dans ce cas, un pool DHCP doit tre cr pour chaque client. Voici un exemple de pool :
rogue-cme(config)#ip dhcp pool cp7960 rogue-cme(dhcp-config)#host 172.19.13.13 /24 rogue-cme(dhcp-config)#client-identifier 0030.94C2.5E19 rogue-cme(dhcp-config)#default-router 172.19.13.254 rogue-cme(dhcp-config)#option 150 ip 172.19.13.254 rogue-cme(dhcp-config)#exit
Configuration de UC Manager Express

Configuration Classique (Manuelle)
La configuration dUC Manager Express se fait dans un mode de configuration ddi, accessible par la commande telephony-service :
rogue-cme(config)#telephony-service rogue-cme(config-telephony)#ip source-address 172.19.13.254 port 2000
La commande ip source-address permet de spcifier au routeur ladresse et le port partir desquels il reoit les messages des tlphones IP. Le port par dfaut est le port 2000, il nest donc pas obligatoire de le spcifier dans la commande.
rogue-cme(config-telephony)#date-format dd-mm-yy rogue-cme(config-telephony)#time-format 24 rogue-cme(config-telephony)#time-zone 23
Ces trois commandes configurent le format de la date et de lheure. Jai utilis le format europen (jour/mois/anne). Le 23me time-zone correspond Western Europe.
TFE 2008 - 2009
46
rogue-cme(config-telephony)#max-ephones 10 rogue-cme(config-telephony)#max-dn 10 rogue-cme(config-telephony)#exit
Les deux dernires commandes, max-ephones et max-dn indiquent le nombre maximum de tlphones et de numros que le routeur peut supporter.
Configuration Automatique
La configuration de UCME peut tre faite via un assistant. Cet assistant, qui peut tre appel par la commande telephony-service setup, neffectue quune configuration basique du systme comme celle dcrite ci-haut. Cette commande est nanmoins dprcie depuis la version 7.0 de UCME.
Ajout de Tlphones UC Manager Express

Ephones et Directory Numbers (DN)
Un ephone (Ethernet Phone) est la reprsentation dun tlphone physique dans UCME. Cela peut tre un tlphone IP ou un tlphone analogique. Chaque tlphone physique doit tre configur en tant que ephone pour pouvoir effectuer des appels. Un tag ou numro de squence est utilis pour identifier chaque tlphone ; ceci empche de confondre deux tlphones entre eux lors de la configuration. Un directory number, ou ephone-dn dans UCME, reprsente la ligne connectant le tlphone un canal vocal. Il peut tre associ un ou plusieurs numros de tlphones. Dans la plupart des cas, un DN peut tre vu comme une ligne tlphonique. Durant la configuration, plusieurs ephone-dns peuvent tre associs un ephone, chacun dentre eux tant gnralement associ un bouton du tlphone.
Figure 4-8: un Directory Number associ un Ephone
Assignation Statique
Dans cet exemple, nous allons ajouter deux tlphones : Sweeney Todd utilisera le 7960 et possdera deux numros (1001 et 1003) ; Adolfo Pirelli utilisera le 7941G-GE et ne possdera quun seul numro (1002). TFE 2008 - 2009
47
La premire chose faire est de crer les trois lignes ou numros que lon va attribuer. Nous allons donc crer trois Directory Numbers ou ephone-dns :
rogue-cme(config)#ephone-dn 1
Le numro pass en paramtre la commande est le tag (numro de squence) qui identifie le DN de faon unique.
rogue-cme(config-ephone-dn)#number 1001
Nous configurons ici le numro que nous souhaitons attribuer lutilisateur. Cest ce numro qui sera utilis par les autres utilisateurs souhaitant contacter cette personne.
rogue-cme(config-ephone-dn)#name Sweeney Todd rogue-cme(config-ephone-dn)#exit
La commande name nest pas obligatoire mais permet UCME de construire un directory local qui permettra par aprs de rechercher un numro partir du nom dune personne.
rogue-cme(config)#ephone-dn 2 rogue-cme(config-ephone-dn)#number 1002 rogue-cme(config-ephone-dn)#name Adolfo Pirelli rogue-cme(config-ephone-dn)#exit rogue-cme(config)#ephone-dn 3 rogue-cme(config-ephone-dn)#number 1003 rogue-cme(config-ephone-dn)#name Sweeney Todd rogue-cme(config-ephone-dn)#exit
Nous avons nos trois numros mais ceux-ci ne sont pas encore attribus des tlphones. Configurons maintenant les deux tlphones :
rogue-cme(config)#ephone 1 rogue-cme(config-ephone)#mac-address 0030.94C2.5E19
La dmarche est la mme : un numro de squence identifie le tlphone. Ladresse MAC permet de reconnatre le tlphone lorsque celui-ci senregistre auprs de UCME.
rogue-cme(config-ephone)#type 7960
Nous pouvons galement spcifier le type de tlphone que nous utilisons. UCME en reconnait peu prs 30. Cette commande permet entre autres de limiter le nombre de lignes assignable en fonction du nombre de boutons que le tlphone possde.
rogue-cme(config-ephone)#button 1:1 2s3 rogue-cme(config-ephone)#exit
TFE 2008 - 2009
48
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME Cette dernire commande associe les ephone-dns prcdemment configurs au tlphone. Ce sont des couples de nombres spars par un caractre qui sont fournis en paramtre cette commande : Le premier nombre reprsente lindex du bouton du tlphone. Le deuxime nombre reprsente le numro de squence de lephone-dn correspondant. Le caractre les sparant peut tre un des caractres suivants : normal line : la sonnerie est normale ; silent ring : le tlphone ne sonne pas, ne bippe pas ; silent ring : le tlphone ne sonne pas mais il bippe ; feature ring : la cadence de la sonnerie change si cest un appel interne ou un appel externe ; m monitor line : affiche si la ligne est utilise ou pas, mais ne peut pas recevoir dappels ; w watch line : affiche ltat de la ligne ; o, c, x overlay mode : ces modes permettent dassigner plusieurs DNs un seul bouton du tlphone.
: s b f
Dans lexemple ci-dessus, button 1:1 2s3, le premier bouton est associ au DN 1 (numro 1001) en mode normal tandis que le second bouton du tlphone est associ au DN 3 (numro 1003) en mode silencieux.
rogue-cme(config)#ephone 2 rogue-cme(config-ephone)#mac-address 0018.19B3.0224 rogue-cme(config-ephone)#type 7941GE rogue-cme(config-ephone)#button 1:2 rogue-cme(config-ephone)#exit
Une fois le tlphone connect UCME, il senregistre et le routeur nous le signale :

May 18 11:29:49.198: %IPPHONE-6-REGISTER: ephone-1:SEP003094C25E19 IP:172.19.13.11 Socket:2 DeviceType:Phone has registered.
On y retrouve quelques informations dont lidentifiant du tlphone (SEP...) et son adresse IP. Lidentifiant est en fait compos des trois lettres SEP (Selsius Ethernet Phone) auxquelles a t ajout ladresse MAC du tlphone. Selsius est le nom de lentreprise qui fabriquait autrefois ces tlphones IP ; elle a ensuite t rachete par Cisco.
Assignation Automatique
Les deux tlphones que nous venons de configurer ont t configurs de manire statique ; nous avons utilis leur adresse MAC pour les identifier. Il est galement
TFE 2008 - 2009
Chapitre 4 : Prise en main dUC Manager Express possible dassigner des DN des tlphones sans que ces derniers ne soient pralablement configurs en tant que ephones. Pour ce faire, seuls les DNs doivent tre configurs. Par exemple :
rogue-cme(config)#ephone-dn 10 rogue-cme(config-ephone-dn)#number 1010 rogue-cme(config-ephone-dn)#name Anonymous0 rogue-cme(config-ephone-dn)#exit rogue-cme(config)#ephone-dn 11 rogue-cme(config-ephone-dn)#number 1011 rogue-cme(config-ephone-dn)#name Anonymous1 rogue-cme(config-ephone-dn)#exit
49
Lassignation automatique se fait via la commande auto assign :

rogue-cme(config)#telephony-service rogue-cme(config-telephony)#auto assign 10 to 11
Ainsi, lorsque des tlphones qui ne sont pas dfinis explicitement dans la configuration senregistrent, UCME leur attribue un DN faisait partie du range spcifi dans la commande. Un ephone est alors cr automatiquement pour ce tlphone et le DN y est associ. La commande auto assign permet aussi dassigner des DNs uniquement certains types de tlphones. Il suffit dajouter le suffixe type la commande :
rogue-cme(config-telephony)#auto assign 10 to 11 type 7960
Dans ce cas, seuls des tlphones IP de type 7960 recevront un DN. Cette fonctionnalit est utile lorsquune grande quantit de tlphones doit tre dploye, cependant elle donne moins de contrle ladministrateur ; il ne peut pas contrler qui peut ou ne peut pas rejoindre le rseau VoIP.
Templates
La configuration de tlphones IP peut tre simplifie lorsque beaucoup de tlphones doivent tre configurs de faon semblable. Prenons pour exemple le cas o tous les tlphones IP doivent utiliser un codec spcifique disons ilbc et disposer galement dun bouton composant automatiquement le numro de laccueil. Lutilisation dun codec spcifique se fait grce la commande codec :
rogue-cme(config-ephone)#codec ilbc
TFE 2008 - 2009
50
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME La fonctionnalit qui permet dassocier la composition dun numro un bouton sappelle speed-dial. La commande utiliser est galement trs explicite :
rogue-cme(config-ephone)#speed-dial 1 1999 label Receptionist
Afin dviter de rajouter ces deux lignes dans la configuration de tous les tlphones, il est possible de crer un template auquel on ajoutera ces deux lignes. Il suffira ensuite dappliquer ce template aux tlphones en question :
rogue-cme(config)#ephone-template 1 rogue-cme(config-ephone-template)#codec ilbc rogue-cme(config-ephone-template)#speed-dial 1 1999 label Receptionist rogue-cme(config-ephone-template)#exit
Le template est cr, il ne reste plus qu lappliquer. On peut noter que les templates sont identifis eux aussi par un numro de squence.
rogue-cme(config)#ephone 1 rogue-cme(config-ephone)#ephone-template 1 The ephone template tag has been changed under this ephone, please restart or reset ephone to take effect. rogue-cme(config-ephone)#restart restarting 0030.94C2.5E19 rogue-cme(config-ephone)#exit
Une fois redmarr, le tlphone affiche le speed-dial configur :
TFE 2008 - 2009
51
Figure 4-9 : template appliqu
Il est galement possible de dfinir des templates pour les DNs. Ces templates peuvent tre dfinis avec la commande ephone-dn-template.
Mise Jour du Firmware

Les tlphones IP utilisent un firmware qui peut tre mis jour, que ce soit pour des raisons de scurit ou encore pour bnficier de nouvelles fonctionnalits. La version du firmware utilis peut tre lue dans les paramtres du tlphone, plus prcisent dans les informations du modle :
TFE 2008 - 2009
52
Figure 4-10 : informations du modle
Le tlphone IP ci-dessus est videmment un softphone (Cisco IP Communicator) mais il reprend quelques dtails prs les menus de vrais tlphones IP Cisco. Un tlphone IP neuf possde un firmware SCCP par dfaut. Lorsquil rcupre son fichier de configuration, il compare la version du firmware indique avec celle quil possde. Si les deux version sont diffrentes, le tlphone IP contacte le serveur TFTP pour rcuprer la nouvelle version du firmware avant de senregistrer auprs de UCME. Une convention est utilise pour le nommage des firmwares. Pour un firmware SCCP, le nom du fichier aura la forme P003xxyyzzww o x, y, z et w indiquent la version en cours. Pour un firmware SIP, le format est P0S3-xx-y-zz. Il existe des exceptions : par exemple, le nom des firmwares pour ATA commence par AT. Pour les tlphones IP bass sur Java, le firmware est un ensemble de fichiers jar.
Tlchargement du Firmware
La premire chose faire est donc de tlcharger le firmware, disponible sur le site de Cisco (www.cisco.com). Une fois connect, il suffit daller dans la section tlchargements et ensuite dans la catgorie Voice and Unified Communications. Un menu en arbre permet dexplorer les diffrents produits jusqu en arriver au tlphone IP qui nous intresse.
TFE 2008 - 2009
53
Figure 4-11 : larborescence des modles de tlphones IP
La plupart des tlphones proposent un firmware SCCP et SIP. Un fichier zip comprenant tous les fichiers ncessaires est alors propos :
Figure 4-12 : tlchargement du firmware
Ajout du Firmware dans UC Manager Express

Le firmware doit tre stock sur le serveur TFTP afin quil soit accessible par les tlphones IP. Je rappelle que dans notre cas, cest le routeur qui est aussi le UC Manager Express qui assume le rle de serveur TFTP. Nous allons donc stocker le firmware sur la flash du 2801. Il existe beaucoup de manires de rcuprer le fichier que nous venons de tlcharger : SCP, TFTP, FTP, HTTP ou encore HTTPS ! HEPL Informatique / Rseaux et Tlcoms TFE 2008 - 2009
54
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME Le fichier que nous avons tlcharg est une archive zip. Cependant, le routeur ne pourra pas en extraire les fichiers... cest pourquoi il est prfrable de dzipper le fichier et de placer les fichiers rsultants dans une archive tarball. Rappelons quune archive tarball (extension .tar) ne compresse aucun de ses fichiers, elle les regroupe simplement afin quils soient plus facilement transportables. De plus, le routeur est capable dextraire les fichiers contenus dans une archive tar. Dans lexemple ci-dessous, nous rcuprons une archive tarball par SCP et nous lextrayons dans la flash du routeur :
rogue-cme#archive tar /xtract scp://fred:blah@144.254.10.204/7941g.tar flash: Loading 7941g.tar from 144.254.10.204 (via FastEthernet0/0): ! extracting apps41.8-4-3-16.sbn (2926641 bytes)!!!!!!!!!!! extracting cnu41.8-4-3-16.sbn (482686 bytes)!! extracting cvm41sccp.8-4-3-16.sbn (2702457 bytes)!!!!!!!!!! extracting dsp41.8-4-3-16.sbn (537209 bytes)!! extracting jar41sccp.8-4-3-16.sbn (447300 bytes)!! extracting SCCP41.8-4-4S.loads (638 bytes) extracting term41.default.loads (642 bytes) extracting term61.default.loads (642 bytes) [OK - 7106048 bytes]
Un show flash: nous prouve que le tlchargement sest bien pass :

rogue-cme#show -#- --length-[...] 18 2926641 19 482686 20 2702457 21 537209 22 447300 23 638 24 642 25 642 [...] flash: -----date/time------ path May May May May May May May May 20 20 20 20 20 20 20 20 2009 2009 2009 2009 2009 2009 2009 2009 07:38:20 07:38:24 07:38:42 07:38:46 07:38:52 07:38:52 07:38:52 07:38:54 apps41.8-4-3-16.sbn cnu41.8-4-3-16.sbn cvm41sccp.8-4-3-16.sbn dsp41.8-4-3-16.sbn jar41sccp.8-4-3-16.sbn SCCP41.8-4-4S.loads term41.default.loads term61.default.loads
Il faut maintenant activer le partage de ces fichiers pour le serveur TFTP. La commande utiliser est tout simplement tftp-server.
rogue-cme(config)#tftp-server rogue-cme(config)#tftp-server rogue-cme(config)#tftp-server rogue-cme(config)#tftp-server rogue-cme(config)#tftp-server rogue-cme(config)#tftp-server rogue-cme(config)#tftp-server flash:apps41.8-4-3-16.sbn flash:cnu41.8-4-3-16.sbn flash:cvm41sccp.8-4-3-16.sbn flash:dsp41.8-4-3-16.sbn flash:jar41sccp.8-4-3-16.sbn flash:SCCP41.8-4-4S.loads flash:term41.default.loads
TFE 2008 - 2009
Chapitre 4 : Prise en main dUC Manager Express La dernire chose faire est dindiquer aux tlphones quils doivent utiliser ce firmware. Ceci peut tre ralis grce la commande load :
rogue-cme(config)#telephony-service rogue-cme(config-telephony)#load 7941GE SCCP41.8-4-4S rogue-cme(config-telephony)#create cnf-files Creating CNF files
55
La dernire commande, create cnf-files, reconstruit les fichiers de configuration des tlphones. Il ny a plus qu redmarrer le tlphone pour quil prenne en compte le nouveau firmware. Afin de vrifier si tout sest bien pass, il est possible dafficher le firmware utilis par un tlphone dans UCME :
rogue-cme#show ephone phone-load DeviceName CurrentPhoneload PreviousPhoneload LastReset ===================================================================== SEP001819B30224 SCCP41.8-4-4S SCCP41.8-4-4S Reset-Restart
Skinny Client Control Protocol (SCCP)

Skinny Client Control Protocol (SCCP) couramment abrg Skinny est un protocole de contrle qui fut autrefois dvelopp par Selsius Corporation. Cisco Systems Inc. sest empar de ce protocole en 1998 lors du rachat de Selsius Corp. SCCP est un protocole lger qui permet aux clients Skinny de communiquer avec UC Manager ou UC Manager Express. Il utilise le port TCP 2000 pour la signalisation et RTP over UDP pour le trafic temps-rel (flux audio) avec les autres clients Skinny. SCCP a t prvu pour des priphriques hardware et autres systmes embarqus possdant un CPU relativement important et des contraires au niveau de la mmoire. Il est galement rput pour le peu de bande passante dont il a besoin. Au cours de ce chapitre, nous avons configur deux tlphones IP sans nous intresser ce qui se passait en arrire-plan. Le sniffeur que jai connect au switch ma permis de rcuprer les paquets qui transitaient entre le UCME et un des deux tlphones IP. Voici ce quon peut y retrouver :
TFE 2008 - 2009
56
Figure 4-13 : trafic dun tlphone IP dans Wireshark
Beaucoup de protocoles sont prsents : CDP : le matriel Cisco envoie des messages CDP par dfaut : ce sont ces messages qui permettent de rguler la puissance fournie par le switch PoE ; DHCP : le tlphone utilise DHCP pour acqurir une adresse IP ; SKINNY : cest ce protocole qui va nous intresser : il gre la communication entre notre tlphone et le UCME ; ARP : ce protocole est utilis pour rcuprer ladresse MAC dun hte partir de son adresse IP dans ce cas-ci, le UCME ; TFTP : le tlphone utilise ce protocole pour rcuprer son fichier de configuration, une ventuelle mise jour de firmware, ...
Aprs lapplication dun filtre, nous nous retrouvons uniquement avec des paquets SCCP :
TFE 2008 - 2009
57
Figure 4-14 : trafic SCCP
Nous avons donc une conversation entre notre tlphone IP (172.19.13.2) et le UC Manager Express (172.19.13.254). On peut deviner le rle de certains paquets : le RegisterMessage enregistre le tlphone auprs de UCME qui rpond laide dun RegisterAckMessage. Le CapabilitiesReqMessage est sans doute une ngociation des fonctionnalits disponibles le nombre de boutons ? les codecs ? Hlas, ces suppositions ne suffiront pas comprendre le fonctionnement de ce protocole... passons en revue les diffrents types de messages du moins, les plus importants.
Les Messages SCCP

Il existe beaucoup de messages SCCP diffrents. Pour des raisons de visibilit, le tableau qui suit nen reprend quune partie. Cependant, la liste complte peut tre retrouve en annexe. Message StationKeepAliveMessage StationKeepAliveAckMessage StationAlarmMessage StationRegisterMessage StationRegisterAckMessage StationRegisterRejectMessage StationCapabilitiesReq StationCapabilitiesRes StationButtonTemplateReqMessage StationButtonTemplateResMessage StationTimeDateReqMessage StationDefineTimeDateMessage HEPL Informatique / Rseaux et Tlcoms Vers UCME X X X De UCME X X X X X X X X X TFE 2008 - 2009
58
Attention : lunit des paquets dcrits ci-dessous est loctet et non le bit... Les paquets SCCP sont prfixs dun entte fixe que voici :
Figure 4-15 : entte SCCP
La version est ngocie entre le UCME et le tlphone. Tous les messages mis et/ou reus avant et durant lenregistrement du tlphone ne possdent pas de version. Dans ce cas, le champ sccpVersion est mis zro. Tous les messages SCCP possde un messageID qui les identifie de faon unique. Par exemple, le messageID 0x00000094 correspond StationDefineTimeDate.
StationKeepAliveMessage (messageID 0x00000000)

Ces messages sont envoys par les tlphones IP pour prvenir le UCME que le lien est toujours actif.
Figure 4-16 : KeepAlive
StationKeepAliveAckMessage (messageID 0x00000100)

Ces messages sont les rponses aux StationKeepAliveMessages. Cette fois, cest le tlphone qui est prvenu que le lien est toujours actif.
Figure 4-17 : KeepAliveAck
StationAlarmMessage (messageID 0x00000020)

Le tlphone utilise ce type de message pour prvenir UCME dune alarme dun problme. Le champ alarmSeverity est prvu pour indiquer la gravit de lerreur.
TFE 2008 - 2009
59
Figure 4-18 : Alarm
Le champ Text fournit une description de lerreur et il est possible dy ajouter deux paramtres. Un tlphone IP utilise gnralement le deuxime paramtre pour y placer son adresse IP.
StationRegisterMessage (messageID 0x00000001)

Ce message est envoy par le tlphone afin de notifier sa prsence auprs de UCME. Dans les versions prcdentes du protocole, le nom du device se basait sur ladresse MAC. Dans les dernires version de SCCP, ladresse MAC est place dans un autre champ, ce qui facilite la maintenance.
Figure 4-19 : Register
TFE 2008 - 2009
60
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME Voici une brve explication des diffrents champs :
DeviceName : nom du tlphone gnralement SEP suivi de ladresse MAC; StationUserId : rserv pour plus tard valeur 0 ; StationInstance : nombre dinstances de la station normalement 1 ; StationIpAddr : adresse IP du tlphone ; DeviceType : type de priphrique ; maxStreams : nombre de flux RTP simultans que le tlphone peut grer ; activeStreams : nombre de flux RTP actifs ; protocolVer : version du protocole SCCP utilise par le tlphone ; macAddress : adresse MAC du tlphone ; maxNumberofLines : nombre de lignes que le tlphone supporte ; IpV4AddressScope : dfinit le scope de ladresse IP administration,
signalisation ou les deux ; firmwareLoadName : nom du firmware utilis par le tlphone.
Malheureusement, le dissecteur SCCP actuel de Wireshark nest pas trs labor rappelons que SCCP est un protocole propritaire. Tous les champs ne sont donc pas accessibles...
Figure 4-20 : le message Register dans Wireshark
StationRegisterAckMessage (messageID 0x00000081)

Ce message est envoy par UCME au tlphone IP pour lui indiquer que son enregistrement a t effectu.
TFE 2008 - 2009
61
Figure 4-21 : RegisterAck
keepAliveInterval : indique le temps maximum (en secondes) entre deux
keep-alives venant du client SCCP vers le UCME primaire ; dateTemplate : format de la date ; secondaryKeepAliveInterval : indique le temps maximum (en secondes) entre deux keep-alives venant du client SCCP vers le UCME secondaire ; maxProtocolVersion : indique au client SCCP la version de Skinny support par le UCME.
StationRegisterRejectMessage (messageID 0x0000009d)

Ce message est envoy par UCME pour rejeter lenregistrement dun tlphone. Le champ text fournit la description du rejet.
Figure 4-22 : RegisterReject
StationCapabilitiesReq (messageID 0x0000009b)

UCME envoie ce message au tlphone afin de lui demander la liste des codecs quil supporte.
Figure 4-23 : CapabilitiesReq
StationCapabilitiesRes (messageID 0x00000010)

Ce message est la rponse StationCapabilitesReq. Le champ caps est rpet un nombre de fois gal capCount.
TFE 2008 - 2009
62
Figure 4-24 : CapabilitiesRes
Le champ payloadCapability contient lidentifiant du codec (par exemple 4 pour G.711u, 11 pour G.729, etc).
StationButtonTemplateReqMessage (messageID 0x0000000e)

Ce message est utilis par le tlphone pour demander une mise jour de ses boutons.
Figure 4-25 : ButtonTemplateReq
StationButtonTemplateMessage (messageID 0x00000097)

Ce message est envoy par UCME pour indiquer au tlphone IP quil doit mettre ses boutons jour.
Figure 4-26 : ButtonTemplate
Le champ buttonOffset indique lindex du premier bouton dfini dans le message. Le champ buttonCount indique quant lui le nombre de dfinitions valides prsentes dans le message. Le champ totalButtonCount reprsente le nombre total de boutons pour le priphrique concern (le tlphone). Pour chaque dfinition de bouton, un champ Dfinition est envoy. Ce champ est compos de deux octets : instanceNumber et buttonDefinition.
TFE 2008 - 2009
63
StationTimeDateReqMessage (messageID 0x0000000d)

Le tlphone IP envoie ce message au UCME pour rcuprer lheure. Le UCME rpond par un message StationDefineTimeDateMessage.
Figure 4-27 : TimeDateReq
StationDefineTimeDateMessage (messageID 0x00000094)

Ce message, envoy par UCME, contient la date et lheure courante.
Figure 4-28 : DefineTimeDate
Le champ systemTime correspond la dfinition de la date contenue dans la structure StationTime (les champs griss). Ce champ utilise le format Microsoft.
Fonctionnement de SCCP
Les diagrammes de squence qui suivent illustrent le fonctionnement de SCCP.
Enregistrement
Dans un premier temps, nous allons nous attarder sur lenregistrement dun client SCCP. Ce premier exemple montre le processus denregistrement dun client Skinny quelconque ; cest le processus minimal aussi appel legacy :
TFE 2008 - 2009
64
Figure 4-29 : processus denregistrement SCCP
Lenregistrement est compos de sept changes : 1) Le tlphone et UCME sassurent mutuellement que le lien est bien actif avant dentamer quoi que ce soit (StationKeepAlive / StationKeepAliveAck) ; 2) Le tlphone envoie ensuite UCME ses messages derreurs, ses notifications (StationAlarm) ; 3) Le processus denregistrement dbute ensuite. UCME peut accepter ou rejeter la demande ; sil la rejete, lchange est termin (StationRegister / StationRegisterAck / StationRegisterReject) ; 4) Le quatrime change concerne le firmware que le tlphone IP doit utiliser. Si le firmware propos par UCME est plus rcent, le client SCCP tlcharge la nouvelle version via TFTP (StationVersionReq / StationVersionRes) ;
TFE 2008 - 2009
Chapitre 4 : Prise en main dUC Manager Express 5) Vient ensuite la ngociation des codecs ; le tlphone IP numre les codecs quil supporte auprs de UCME (StationCapabilitiesReq / StationCapabilitiesRes) ; 6) Le tlphone demande ensuite UCME de mettre jour la dfinition de ses boutons (StationButtonTemplateReq / StationButtonTemplateRes) ; 7) Finalement, UCME fournit la date locale au client SCCP ( StationTimeDateReq / StatinDefineTimeDate). Suite larriv de tlphones IP plus volus comme le 7940 ou le 7960, la complexit du processus denregistrement a augment. Beaucoup de nouveaux messages ont fait leur apparition :
65
TFE 2008 - 2009
66
TFE 2008 - 2009

Figure 4-30 : processus avanc denregistrement
67
Parmi les nouveaux changes, nous retrouvons : Le message StationHeadsetStatus informe UCME du statut du headset du tlphone IP ; Suite la demande du client SCCP (StationSoftKeyTemplateReq), UCME linforme via un message StationSoftKeyTemplateRes du template utilis pour les softkeys (touches raccourcis situes sous lcran du tlphone) ; Le message StationLineStat est utilis par le tlphone pour rcuprer les DNs de ses diffrentes lignes. Ce message peut tre utilis plusieurs fois ; Les messages StationSpeedDialStatReq et StationSpeedDialStatRes indiquent au tlphone les speed dials quil doit utiliser ; Le message StationRegisterAvailableLines enregistre les lignes du tlphone auprs de UCME.
Appel
Lors dun appel, la signalisation passe par le UC Manager Express. Une fois la connexion tablie, les deux clients communiquent directement par flux RTP. Les messages utiliss dans ce processus sont compltement diffrents de ceux utiliss par lenregistrement du client. Voici le diagramme dune demande dappel entre deux clients Skinny :
TFE 2008 - 2009
68
Figure 4-31 : dbut dun appel SCCP
Voici une description des messages qui sont utiliss : Le message StationOffHook indique UCME que le cornet du tlphone est dcroch ; Le rle du message StationDisplayText est, comme son nom lindique, dafficher un message sur lcran du tlphone ; UCME utilise le message StationSetLamp pour contrler ltat de la LED du tlphone. Cinq tats sont possibles : Off, On (Steady), Wink, Flash et Blink ; Les messages StationKeypadButton sont envoys UCME pour indiquer quune touche du tlphone a t presse;
TFE 2008 - 2009
Chapitre 4 : Prise en main dUC Manager Express Le message StationStartTone indique au tlphone de jouer la tonalit. Le mode alerting est le mode que lon entend lorsque lon attend que le correspondant dcroche ; Le message StationStopTone indique au tlphone de ne plus jouer la tonalit. Ce message est envoy au tlphone ds quune touche est presse ; Le message StationCallInfo donne au tlphone des informations sur lappel ; Le message StationSetRinger fait sonner le tlphone. Plusieurs modes sont possibles : RingOff, InsideRing, OutsideRing, FeatureRing et FlashOnly ; Le message StationOpenReceiveChannel demande au tlphone douvrir un flux RTP/UDP unicast. Le client SCCP rpond par un message StationOpenReceiveChannelAck qui contient ladresse IP et le port du flux RTP/UDP ; Finalement, le message StationStartMediaTransmission indique au client Skinny quil doit commencer transmettre sur le flux RTP/UDP. Ce message contient ladresse IP et le port du flux RTP distant (celui de lautre client).
69
A partir de ce moment, les deux clients SCCP communiquent par flux RTP/UDP. Lorsquun client termine lappel en raccrochant, les messages suivants sont changs :
Figure 4-32 : fin dun appel
Les messages sont sensiblement les mmes que lors du dbut de lappel. Quand le premier client raccroche, le message StationOnHook est envoy au UCME. Les deux clients ferment ensuite leur flux RTP/UDP et les LED sont teintes.
TFE 2008 - 2009
70
TFE 2008 - 2009
Chapitre 5 : Fonctionnalits Supplmentaires
71

UCME met notre disposition beaucoup de fonctionnalits plus ou moins utiles. Nous allons en passer en revue quelques unes.
Message Systme
Il est possible dafficher une phrase dans le bas de lcran des tlphones IP connects UCME. Si cette fonctionnalit peut sembler inutile, elle peut servir par exemple pour prvenir les utilisateurs dune maintenance rseau.
rogue-cme(config)#telephony-service rogue-cme(config-telephony)#systeme message /!\ Maintenance reseau /!\
Voici un aperu du rsultat :
Figure 5-1 : message systme
Extension Mobility
Lextension Mobility permet un utilisateur dutiliser un tlphone qui nest pas le sien tout en gardant ses paramtres, ses numros, ses services, etc comme sil utilisait son propre tlphone. Chaque tlphone IP pour lequel lextension Mobility est active est configur avec un logout-profile. Cest un profil par dfaut qui nest associ aucun utilisateur en particulier. Lutilisateur peut ensuite sauthentifier sur le tlphone et ainsi rcuprer ses prfrences.
Activation de lExtension Mobility

Pour activer cette extension, il suffit de configurer lurl qui gre lauthentification des utilisateurs. Le serveur web doit galement tre activ sur le routeur :
rogue-cme(config)#ip http server rogue-cme(config)#telephony-service rogue-cme(config-telephony)#url authentication http://172.19.13.254/CCMCIP/authenticate.asp
TFE 2008 - 2009
72

rogue-cme(config-telephony)#em keep-history rogue-cme(config-telephony)#em logout 08:00 12:00 16:00
La commande em keep-history permet de garder lhistorique des appels lorsquun utilisateur se dconnecte dun tlphone o lextension Mobility est active. La commande em logout dfinit jusqu trois heures auxquelles les utilisateurs Mobility seront automatiquement dconnects.
Cration dun Logout-Profile

Le logout-profile est le profil par dfaut des tlphones o lextension Mobility est active. Ce profil est donc partag entre plusieurs tlphones.
rogue-cme(config)#voice logout-profile 1 rogue-cme(config-logout-profile)#number 1999
Il est important de noter que le numro spcifi lors de la commande number doit exister pour pouvoir tre utilis, mme si lon ne spcifie pas de DN. Le profil peut ensuite tre appliqu sur tous les tlphones qui serviront en tant que tlphones Mobility :
rogue-cme(config)#ephone 2 rogue-cme(config-ephone)#logout-profile 1 rogue-cme(config-ephone)#ephone 5 rogue-cme(config-ephone)#logout-profile 1
Cration dun User-Profile

Tous les tlphones utilisent maintenant le profil par dfaut, mais il faut galement crer un profil pour chaque utilisateur qui souhaite se connecter sur un autre tlphone que le sien :
rogue-cme(config)#voice user-profile 1 rogue-cme(config-user-profile)#user sweeney password miam rogue-cme(config-user-profile)#number 1001 type normal rogue-cme(config-user-profile)#speed-dial 1 1002 label Pirelli
Ce profil utilisera donc le numro 1001 qui est associ Sweeney Todd, et possdera galement un bouton pour le speed-dial afin de contacter Adolfo Pirelli (le 1002). La commande user permet de spcifier le nom dutilisateur et le mot de passe utiliser pour se connecter sur un tlphone Mobility avec ce profil.
Utilisation de lExtension Mobility

Sur le tlphone, cest assez simple utiliser. Voici quelques captures montrant le fonctionnement de cette fonctionnalit :
TFE 2008 - 2009
73
Figure 5-2 : affichage des services
Figure 5-3 : connexion lextension Mobility
TFE 2008 - 2009
74
Figure 5-4 : utilisateur connect
Si lutilisateur retourne dans le menu Mobility alors quil est dj connect, il lui sera alors propos de se dconnecter. A noter que lorsquun utilisateur se connecte sur un tlphone alors quil est dj connect sur un autre, il est automatiquement dconnect du premier tlphone sur lequel il sest connect.
Single Number Reach (SNR)

Cette fonctionnalit est apparue dans la dernire version de UCME (7.1). Pour faire bref, si un utilisateur est absent et ne rpond pas un appel, cet appel peut tre redirig automatiquement vers un autre numro, quil soit interne ou bien externe (un numro de GSM par exemple). Lutilisateur peut configurer le numro auquel il souhaite tre contact via linterface du tlphone. Voici une illustration du principe :
TFE 2008 - 2009
75
Figure 5-5 : fonctionnement de SNR
Le SNR nest cependant pas un simple transfert dappel comme on pourrait le croire : si lutilisateur revient entretemps son bureau, il peut choisir de reprendre lappel sur son tlphone principal (le tlphone IP) sans perdre la connexion. SNR nest malheureusement pas compatible avec SIP ni avec les tlphones analogiques connects un FXS. Lextension Mobility doit tre active pour que cette fonctionnalit puisse tre utilise. Le SNR peut tre configur avec la commande suivante :
rogue-cme(config-ephone-dn)#snr numero delay <0-10> timeout <5-60>
Le paramtre delay dfinit le nombre de secondes pendant lesquelles le tlphone IP doit sonner avant de transfrer lappel sur lautre tlphone. Le paramtre timeout indique quant lui le nombre de secondes durant lesquelles le tlphone IP doit continuer de sonner, mme si lappel a dj t pris par lautre tlphone. Lexemple qui suit active SNR pour le DN 7 :
rogue-cme(config)#ephone-dn 7 rogue-cme(config-ephone-dn)#mobility rogue-cme(config-ephone-dn)#snr 90478123456 delay 10 timeout 15
TFE 2008 - 2009
76
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME La capture dcran suivante montre le sous-menu ddi SNR ; il permet lutilisateur de facilement modifier le numro auquel il souhaite tre joint.
Figure 5-6 : configuration du numro SNR
Interface Graphique (GUI)

UC Manager Express propose une interface graphique qui est accessible via un navigateur web. Bien que cette interface web ne soit pas aussi volue que celle de UC Manager, elle permet nanmoins dajouter, de modifier ou de supprimer des ephones et des DNs. Elle permet galement de modifier quelques paramtres systmes. Il est possible de crer diffrents types de compte pour accder linterface graphique : System admin : ce compte peut modifier les paramtres relatifs au systme et aux tlphones, il a donc tous les droits ; Customer admin : ce type de compte a le droits dajouter ou de modifier des tlphones ; Phone user : le compte utilisateur peut uniquement modifier les paramtres de son tlphone.
Un compte comme ceux utiliss dans lextension Mobility un voice user-profile peut aussi tre utilis en tant que compte utilisateur.
Activation de lInterface Graphique

Lactivation de linterface web nest pas trs complique, il suffit simplement dactiver le serveur HTTP du routeur. Il est galement possible dutiliser le serveur HTTPS, mais ce
TFE 2008 - 2009
Chapitre 5 : Fonctionnalits Supplmentaires nest pas obligatoire (bien que prfrable). La configuration qui suit active le service web :
rogue-cme(config)#ip rogue-cme(config)#ip rogue-cme(config)#ip rogue-cme(config)#ip http http http http server secure-server path flash:gui authentication local
77
La mthode dauthentification peut tre aaa, local ou enable. Le path fourni la deuxime ligne indique au serveur web le rpertoire dans lequel il doit aller chercher les pages web. Le rpertoire gui repris dans cet exemple est le rpertoire que lon a rcupr partir de larchive comprenant les firmwares de base, linterface web, des sonneries, etc. Il faut ensuite crer un compte administrateur systme afin de pouvoir se logger sur la page. Ceci se fait en utilisant la commande web admin :
rogue-cme(config)#telephony-service rogue-cme(config-telephony)#web admin system name fred secret 0 blah rogue-cme(config-telephony)#dn-webedit
La commande dn-webedit permet la modification des DNs via linterface web. Nous pouvons maintenant essayer daccder la page web dUCME. LURL utiliser est http://<ip_routeur>/ccme.html. Voici un aperu de la page :
Figure 5-7 : page daccueil de linterface web
Pour crer un administrateur client (un customer admin), la commande est presque identique celle utilise pour ladministrateur systme : HEPL Informatique / Rseaux et Tlcoms TFE 2008 - 2009
78
rogue-cme(config-telephony)#web admin customer name paul secret 0 noon
Ajout dun Utilisateur

Lajout dun utilisateur ne se fait pas au mme endroit que lors de la cration du compte admin. Cest dans la configuration de lephone que le compte peut tre cre, ce qui est mon sens plus logique. Voici un exemple :
rogue-cme(config)#ephone 2 rogue-cme(config-ephone)#username stodd password miam
Voice dautres captures dcrans illustrant les possibilits offertes par linterface web :
Figure 5-8 : modification des paramtres dun tlphone
TFE 2008 - 2009
79
Figure 5-9 : modification de paramtres systme
Service de Nuit
La fonctionnalit night-service permet de notifier un tlphone lorsquun appel est reu sur un autre tlphone (ou plutt un de ses DNs) aprs les heures de travail. Par exemple, lorsque A reoit un appel aprs 20h, B en est averti et peut rcuprer lappel grce au call-pickup.
Configuration du Service de Nuit

La premire partie de la configuration consiste dfinir les heures non considres comme heure de travail :
rogue-cme(config)#telephony-service rogue-cme(config-telephony)#night-service weekday 18:00 08:00 rogue-cme(config-telephony)#night-service weekend 00:00 00:00 rogue-cme(config-telephony)#night-service code *1234
Dans cet exemple, le service de nuit commence 18h et se termine le lendemain 08h pendant la semaine. Durant le week-end, le service de nuit est actif toute la journe. Un
TFE 2008 - 2009
80
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME code peut galement tre configur afin dactiver ou dsactiver le service de nuit tout moment. Lheure de fin doit tre suprieure lheure de dbut. Si 00:00 est entr en tant quheure de fin, cette valeur est automatiquement convertie en 23:59. Si 00:00 est entr deux fois (donc en tant quheure de dbut et en tant quheure de fin), le service de nuit est activ pour une priode de 24 heures. Il est possible de raffiner ces plages horaires grce aux commandes day, date, everyday, weekday ou weekend. Par exemple, cette commande active le service de nuit tous les jours de 16h 09h le lendemain.
rogue-cme(config-telephony)#night-service everyday 16:00 09:00
Ici, le service de nuit est actif le 1er janvier pendant toute la journe.
rogue-cme(config-telephony)#night-service date Jan 1 00:00 00:00
Il faut ensuite configurer le tlphone surveiller durant la nuit ainsi que les tlphones qui devront tre notifis lors dun appel. Lactivation du service de nuit pour le tlphone surveiller se fait dans la configuration du DN :
rogue-cme(config)#ephone-dn 4 rogue-cme(config-ephone-dn)#night-service bell
Voici ensuite la configuration des tlphones qui seront notifis :

rogue-cme(config)#ephone 1 rogue-cme(config-ephone)#night-service bell rogue-cme(config-ephone)#ephone 6 rogue-cme(config-ephone)#night-service bell
Il faut bien faire attention ne pas se tromper : nous configurons le service de nuit pour le tlphone surveiller dans la configuration du DN, mais cest dans la configuration de lephone que nous configurons les tlphones notifier. Voici une illustration du cas que nous venons de configurer :
TFE 2008 - 2009
81
Figure 5-10 : service de nuit
Il reste une dernire chose configurer. En effet, le call-pickup nest pas configur par dfaut. Les tlphones 1 et 6 seront alors notifis de lappel, mais ils ne pourront pas le rcuprer. Il faut alors configurer un pickup-group auquel appartiendront ces trois tlphones :
rogue-cme(config)#ephone-dn 4 rogue-cme(config-ephone-dn)#pickup-group 1 rogue-cme(config-ephone-dn)#ephone-dn 1 rogue-cme(config-ephone-dn)#pickup-group 1 rogue-cme(config-ephone-dn)#ephone-dn 6 rogue-cme(config-ephone-dn)#pickup-group 1
Ainsi, les utilisateurs des tlphones 1 et 6 pourront reprendre un appel du tlphone 4 en appuyant sur la touche GPickUp (Group PickUp) du tlphone.
TFE 2008 - 2009
82
TFE 2008 - 2009
Chapitre 6 : Tlphones Analogiques
83

Le lab prcdent nous a permis de prendre en main UC Manager Express. Cela nous a permis de nous familiariser avec la configuration de tlphones IP et du systme proprement dit. Ce chapitre a pour but de rajouter des lments analogiques au lab prcdent. Nous rajouterons donc un tlphone analogique classique que lon retrouve dans la majorit des foyers et un lien vers le rseau extrieur (PSTN). Lavantage de rajouter des tlphones analogiques est simple : une entreprise qui possde dj beaucoup de tlphones nest pas oblige de rinvestir dans des tlphones IP ; elle peut rcuprer ceux quelles possdait avant et les rutiliser. Evidemment, les cots seront moindres au dtriment dun confort dutilisation qui nest pas comparable. Voici le diagramme de ce lab. Seuls un tlphone analogique et un lien vers le rseau tlphonique classique ont t ajouts :
Figure 6-1 : topologie du deuxime lab
FXS vs FXO
Du matriel particulier est ncessaire pour ajouter des tlphones analogiques un routeur quip de UC Manager Express. En effet, un tlphone analogique est quip dun connecteur RJ-11 et non dun connecteur RJ-45 et surtout, le signal nest pas numrique mais bien analogique. Il existe deux types de ports analogiques : les FXS et les FXO.
TFE 2008 - 2009
84
Foreign eXchange Station (FXS)

Un port FXS (Foreign eXchange Station) connecte un priphrique analogique la ligne tlphonique. Ce port fournit donc la tonalit, le courant et le voltage ncessaire au tlphone qui y est connect. Une prise tlphonique murale est donc gnralement un port FXS bien que ce soit une extension au FXS qui se situe chez loprateur tlphonique. Le module qui a t utilis dans ce lab est une VIC2-2FXS. Cest un module qui possde deux ports FXS. Il existe une ancienne version de ce module (VIC-2FXS) mais celle-ci nest pas compatibles avec le routeur Cisco 2801 que jai utilis.
Figure 6-2 : VIC-2FXS
Foreign eXchange Office (FXO)

Un port FXO (Foreign eXchange Office) reprsente au contraire le tlphone qui est connect au port FXS. Il en reoit donc la tonalit. Ce type de port est utilis en VoIP pour connecter un rseau VoIP au rseau tlphonique classique afin de pouvoir faire des appels vers lextrieur. Les tlphones et les faxs font parties des FXO. Jai utilis une VIC2-2FXO en tant que carte FXO. Tout comme la VIC2-2FXS, il existe une ancienne version de la carte qui nest pas compatible avec le matriel que jai utilis. Elle possde aussi deux ports qui sont quant eux deux ports FXO.
Module VIC2-2FXS
Installation du Module
Linstallation de la carte en soi nest pas trs complique, il suffit simplement de linsrer dans un des quatre slots du routeur. Il ne faut pas oublier dteindre le routeur avant car ces cartes ne sont pas hot-plug comme le sont les modules pour Cisco 6500 par exemple. HEPL Informatique / Rseaux et Tlcoms TFE 2008 - 2009
Chapitre 6 : Tlphones Analogiques Aprs avoir redmarr le routeur, je me suis vite rendu compte que les deux ports ntaient pas prsents comme ils lauraient du. En effet, il a fallu rajouter un module PVDM au routeur. Ce type de module interne contient des DSPs. Sans entrer dans les dtails, les DSPs (Digital Signal Processing) grent tout ce qui concerne le traitement de signaux audio et/ou vidos : chantillonnage, compression, reconnaissance vocale, etc. Cest donc grce ce module que la carte FXS est capable dinteragir avec le rseau VoIP. Le PVDM utilis est un PVDM2-32, c'est--dire quil peut supporter 32 canaux vocaux. Le codec utilis par ce module est le G.711. Ce module contient deux DSPs. Aprs linsertion du module PVDM, les deux ports FXS sont reconnus par lIOS. Les commandes show version et show diag nous le confirment :
rogue-cme#show version [...] Cisco 2801 (revision 6.0) with 119808K/11264K bytes of memory. Processor board ID FHK1106F1AX 2 FastEthernet interfaces 2 Voice FXS interfaces 2 DSPs, 32 Voice resources DRAM configuration is 64 bits wide with parity disabled. 191K bytes of NVRAM. 500472K bytes of ATA CompactFlash (Read/Write) [...] rogue-cme#show diag [...] PVDM Slot 0: 32-channel (G.711) Voice/Fax PVDMII DSP SIMM PVDM daughter card Hardware Revision : 4.0 [...] Product (FRU) Number : PVDM2-32 [...] VIC Slot 0: 2nd generation - FXS Voice daughter card (2 port) Hardware Revision : 3.1 [...] Product (FRU) Number : VIC2-2FXS [...]
85
Configuration du Module
Par dfaut, les ports FXS ninteragissent pas avec UC Manager Express. Pour quils puissent tre contrls par SCCP, ces ports doivent utiliser lapplication STC (SCCP
TFE 2008 - 2009
86
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME Telephony Control). Cette application doit tre lie un ccm-group un groupe UC Manager Express. Il faut donc premirement dfinir ce groupe :
rogue-cme(config)#sccp local FastEthernet0/1 rogue-cme(config)#sccp ccm 172.19.13.254 identifier 1 version 7.0 rogue-cme(config)#sccp
Les deux premires lignes sont utilises pour identifier un UCME. Etant donn quil tourne sur le routeur mme, nous indiquons ladresse du routeur. Le paramtre identifier sera utile lors de la cration du groupe pour identifier le UCME. La commande sccp active tout simplement SCCP.
rogue-cme(config)#sccp ccm group 1 rogue-cme(config-sccp-ccm)#associate ccm 1 priority 1
Nous crons ensuite le groupe et y rajoutons le UCME dfini auparavant. Une priorit de 1 4 peut tre entre, la priorit 1 tant la plus importante. Maintenant que nous avons notre groupe UCME, nous pouvons configurer lapplication STC :
rogue-cme(config)#stcapp ccm-group 1 rogue-cme(config)#stcapp
Cest assez simple : nous associons premirement lapplication au groupe UCME que nous avons cr et ensuite nous lactivons. Maintenant que lapplication STC est configure, nous pouvons indiquer au port FXS de lutiliser. En ralit, nous devons tout dabord configurer un dial-peer que nous associerons au port FXS. Nous lui dirons aussi dutiliser STC. Ensuite nous pourrons configurer le port FXS. Crons donc le dial-peer :
rogue-cme(config)#dial-peer voice 1 pots rogue-cme(config-dial-peer)#port 0/0/0 rogue-cme(config-dial-peer)#service stcapp
Lidentifiant du port peut tre obtenu par la commande show voice port summary. Le type de dial-peer que nous avons cr est de type pots (Plain Old Telephony Service). Il existe quatre types possibles : mmoip (Multimedia over IP), pots, vofr (Voice over Frame Relay) et voip (Voice over IP). UC Manager Express cre des interfaces virtuelles de type pots. Il est possible de les voir avec la mme commande :
rogue-cme#show voice port summary IN OUT
TFE 2008 - 2009

PORT =============== 0/0/0 0/0/1 50/0/1 50/0/2 CH SIG-TYPE ADMIN == ============ ===== -- fxs-ls up -- fxs-ls up 1 efxs up 1 efxs up OPER ==== dorm dorm dorm dorm STATUS ======== on-hook on-hook on-hook on-hook STATUS ======== idle idle idle idle EC == y y y y
87
Il est intressant de noter le type des ports virtuels crs par UCME : ils sont de type efxs (Ethernet FXS). Ces ports virtuels sont associs des dial-peers que lon peut galement voir grce la commande show dial-peer voice (cette commande a t volontairement tronque car les rsultats ntaient pas trs clairs) :
rogue-cme#show dial-peer voice summary dial-peer hunt 0 AD TAG TYPE MIN OPER PREFIX DEST-PATTERN 1 pots up up 20001 pots up up 1001$ 20002 pots up up 1002$
OUT STAT PORT down 0/0/0 50/0/1 50/0/2
Nous y retrouvons le dial-peer que nous avons configur ainsi que les deux dial-peers que UCME a gnr. Pour en revenir la configuration de notre FXS, nous pouvons maintenant configurer le port FXS :
rogue-cme(config)#voice-port 0/0/0 rogue-cme(config-voiceport)#ring frequency 50 rogue-cme(config-voiceport)#cptone BE rogue-cme(config-voiceport)#caller-id enable
Nous y configurons dabord la frquence de la sonnerie. Deux choix sont possibles : 25 ou 50 Hertz. Cette frquence doit tre la mme que celle utilise par le tlphone analogique, sinon il pourrait ne pas sonner. La commande cptone permet de fixer la locale de la tonalit ; le paramtre est le code ISO 3166 du pays. La dernire commande permet dactiver laffichage du caller-id. La configuration du port FXS est termine. Cependant, aucun DN ny est associ. Tout comme les tlphones IP, il y a deux faons dassigner un DN un tlphone : la mthode dynamique ou la mthode statique. La mthode dynamique est la plus simple des deux : elle consiste utiliser la commande auto assign que nous avons vue auparavant. Il est possible de nassigner des DNs quaux tlphones analogiques en spcifiant le type anl.
rogue-cme(config)#telephony-service rogue-cme(config-telephony)#auto assign 4 to 5 type anl
TFE 2008 - 2009
88
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME La mthode statique est beaucoup moins vidente mettre en place. Elle est nanmoins ncessaire lorsque lon souhaite assigner un DN spcifique au tlphone. Rappelons nous quun ephone est identifi par son adresse MAC. Cependant, un tlphone analogique na pas dadresse MAC ! Lors de lassignation automatique, un algorithme particulier est utilis pour identifier un port FXS. Cest ce mme algorithme quil faut utiliser pour attribuer un DN de faon statique.
Calcul de lAdresse MAC dun Port FXS

Cet algorithme se base sur ladresse MAC de linterface du UC Manager Express local. Lors de la cration du groupe UCME, nous avons dfini cette interface comme tant FastEthernet0/1. Parmi les douze chiffres composant ladresse MAC, seuls les neuf chiffres les plus droite sont retenus. Ces derniers composent les neuf premiers chiffres de ladresse MAC du port FXS.
Figure 6-3 : calcul de la MAC dun port FXS
Les trois derniers chiffrent sont calculs partir de lidentifiant du port FXS. Dans cet exemple, nous utilisons le port 0/0/0 o chaque chiffre reprsente respectivement le numro de slot, le numro de sous-unit et finalement le numro de port. Ces valeurs doivent tre converties en binaire. Le numro de slot occupera trois chiffres, le numro de sous-unit deux chiffres et le numro de port sept chiffres. La valeur binaire obtenue doit ensuite tre convertie en hexadcimal afin davoir les trois chiffres manquants. Par exemple, pour le port 0/2/1 :
Figure 6-4 : calcul de la MAC dun port FXS (suite)
TFE 2008 - 2009
Chapitre 6 : Tlphones Analogiques Dans notre cas, le port utilis est le port 0/0/0. Sans trop de calculs, on peut facilement dduire que les trois derniers chiffres seront 000. Ladresse MAC finale de notre carte FXS est donc AE23.E600.B000. Nous pouvons comparer cette valeur avec celle obtenue par lassignation automatique. La commande show ephone anl fera laffaire :
rogue-cme#show ephone anl ephone-5[4] Mac:AE23.E600.B000 TCP socket:[1] activeLine:0 whisperLine:0 REGISTERED in SCCP ver 17/12 max_streams=1 mediaActive:0 whisper_mediaActive:0 startMedia:0 offhook:0 ringing:0 reset:0 reset_sent:0 paging 0 debug:0 caps:8 IP:172.19.13.254 17468 SCCP Gateway (AN) keepalive 297 max_line 1 available_line 1 port 0/0/0 button 1: dn 4 number 1004 CH1 IDLE privacy button is enabled Preferred Codec: g711ulaw
89
Finalement, nous pouvons vrifier que lapplication STC est correctement configure grce la commande show stcapp device summary :
rogue-cme#show stcapp device summary Total Devices: 1 Total Calls in Progress: 0 Total Call Legs in Use: 0 Port Identifier ---------0/0/0 Device Name --------------AN1AE23E600B000 Device State -------IS Call Dev Directory State Type Number ------------- ------- ----------IDLE ALG 1004 Dev Cntl ---CME
Module VIC2-2FXO
Comme dit ci-haut, un port FXO permet de connecter notre systme VoIP au rseau tlphonique classique. Lintrt rside dans le fait que lon profite dun systme VoIP avec un grand nombre de fonctionnalits et qu cot de cela, on puisse faire des appels vers lextrieur, comme avec un tlphone normal. Linstallation de la carte FXO au sein du routeur na pas pos de problme particulier. Elle a directement t reconnue comme le montre le show version suivant :
rogue-cme#show version [...] Cisco 2801 (revision 6.0) with 119808K/11264K bytes of memory. Processor board ID FHK1106F1AX 2 FastEthernet interfaces 2 Voice FX0 interfaces 2 Voice FXS interfaces
TFE 2008 - 2009
90

2 DSPs, 32 Voice resources DRAM configuration is 64 bits wide with parity disabled. 191K bytes of NVRAM. 500472K bytes of ATA CompactFlash (Read/Write) [...]
Configuration du Module
Tout comme le module FXS, il y a deux lments configurer : le port et un ou plusieurs dial-peers. Commenons par configurer le port. Sa configuration est similaire celle du port FXS :
rogue-cme(config)#voice-port 0/2/0 rogue-cme(config-voiceport)#cptone BE rogue-cme(config-voiceport)#caller-id enable
Dans ce cas-ci, nous ne configurons pas la frquence de la sonnerie ; cest le port FXO qui reoit la tonalit. Nous crons ensuite un dial-peer pour permettre nos utilisateurs dappeler lextrieur :
rogue-cme(config)#dial-peer voice 999 pots rogue-cme(config-dial-peer)#port 0/2/0 rogue-cme(config-dial-peer)#destination-pattern 9T rogue-cme(config-dial-peer)#prefix 0
La premire commande nous est dj familire, elle indique le port utiliser. Notre carte FXO est installe dans le deuxime emplacement. Nous reparlerons du destination-pattern un peu plus tard. La commande prefix indique que lorsquun appel sort par le port FXO, le chiffre 0 doit tre plac devant le numro compos. Les lignes analogiques de Cisco sont configures ainsi : un appel extrieur doit toujours commencer par un 0. Revenons notre destination-pattern. Lorsquun appel est mis, UC Manager Express parcourt le destination-pattern de tous les dial-peers pour voir si lun dentre eux correspond. Ces destination-patterns sont bass sur les expressions rgulires (RegExp), il est donc possible dy avoir plusieurs correspondances. Dans ce cas, le destinationpattern le plus prcis lemporte. Ce fonctionnement fait fortement penser celui de la table de routage : si un paquet vers 192.168.1.200 doit tre rout et quil y a deux routes 192.168.1.0/24 et 192.168.1.128/25, cest la route la plus prcise (la deuxime dans ce cas) qui est utilise. Le tableau qui suit reprend les caractres qui peuvent tre utiliss dans un destinationpattern : Symbole . Description Remplace un caractre TFE 2008 - 2009
91
[] () ? % + T $
Indique un fourchette de caractres possibles Indique un pattern. Est utilis avec ?, % ou + Indique que le chiffre prcdent peut tre trouv 0 ou 1 fois Le chiffre prcdent peut tre trouv 0 ou plusieurs fois (* en regexp) Indique que le chiffre prcdent est prsent 1 ou plusieurs fois Attend un certain timeout et rcupre tous les chiffres Indique la fin dun numro
Voici quelques exemples : Pattern 1001$ 9T 12[3-5].% (23)+ Explication Exactement le numro 1001 Un numro qui commence par 9 Le numro doit commencer par 12, ensuite soit le chiffre 3, 4 ou 5 et finalement nimporte quel caractre, zro ou plusieurs fois. 23, 2323, 232323, 23232323, autant de fois 23
Tout numro compos qui commence par le chiffre 9 sera automatiquement transfr vers le port 0/2/0, c'est--dire notre carte FXO. Le chiffre 0 sera ajout au dbut du numro. Ainsi, si le numro 90478123456 est compos, le numro qui sera transmis au port FXO est le 00478123456. Ceci sapplique pour les appels sortants. Pour ce qui concerne les appels entrants, cest la commande connection plar qui doit tre utilise. Cette commande sapplique directement sur le port :
rogue-cme(config)#voice-port 0/2/0 rogue-cme(config-voiceport)#connection plar opx 1001
Dans ce cas, tout appel entrant est redirig vers le numro interne 1001. Si plusieurs numros sont disponibles, il est possible dutiliser le Direct Inward Dialing (DID). Ce procd utilise une partie du numro pour identifier la personne qui doit tre appele en interne. Malheureusement, je nai pas pu tester cette fonctionnalit.
Feature Access Code (FAC)

Cette fonctionnalit nest pas propre aux tlphones analogiques mais cest dans ce domaine que jen vois le plus lutilit. Les Feature Access Codes (FAC) sont tous simplement des combinaisons de touches qui permettent deffectuer telle ou telle action. Par exemple, si un utilisateur compose la combinaison **8 sur son tlphone, il rappelle automatiquement le dernier numro compos. Cest donc trs utile pour les tlphones analogiques qui ne disposent pas de touches supplmentaires prvues cet effet (softkeys) comme les tlphones IP. Il est trs simple dactiver les FACs : HEPL Informatique / Rseaux et Tlcoms TFE 2008 - 2009
92
rogue-cme(config-telephony)#fac standard
La commande qui suit affiche les FACs qui sont disponibles :

rogue-cme#show telephony-service fac telephony-service fac standard callfwd all **1 callfwd cancel **2 pickup local **3 pickup group **4 pickup direct **5 park **6 dnd **7 redial **8 voicemail **9 ephone-hunt join *3 ephone-hunt cancel #3 ephone-hunt hlog *4 ephone-hunt hlog-phone *5 trnsfvm *6 dpark-retrieval *0
Il est aussi possible de crer ses propres FACs. Il faut cependant dsactiver le mode standard. La commande devient alors :
rogue-cme(config-telephony)#fac custom feature code
Par exemple, si lon veut que le FAC pour le rappel soit le **1, il suffit dentrer :
rogue-cme(config-telephony)#no fac standard fac standard has been disabled! rogue-cme(config-telephony)#fac custom redial **1 fac redial code has been configurated to **1!
Pour vrifier que le systme ait bien pris nos modifications en compte, on peut rafficher les FACs disponibles :
rogue-cme#show telephony-service fac telephony-service fac custom redial **1
TFE 2008 - 2009
Chapitre 7 : La Tlphonie Sans-Fil
93

Notre lab est maintenant compos de tlphones IP ainsi que de tlphones analogiques. Ce genre dinstallation est suffisant pour la plupart des entreprises car les employs travaillant a leur bureau le quitte assez rarement, du moins durant les heures de travail. Nanmoins, il y a des employs qui se dplacent beaucoup, comme par exemple les membres du team CALO. En effet, ces derniers voyagent frquemment entre leur bureau et le lab du TAC. Dans ce cas, il pourrait tre intressant davoir des tlphones sans-fil qui accompagnerait les employs tout au long de la journe, ce qui aurait lavantage de les rendre joignable tout moment. Ce chapitre explique la mise en place dun tel systme. Linstallation dun access point et la scurisation du rseau sans-fil y est dcrite. Voici le diagramme reprsente le lab de ce chapitre :
Figure 7-1 : topologie du troisime lab
Cisco Aironet 1131 AG

Laccess point que jai utilis est un Cisco Aironet 1131 AG. Cest un access point classique, oprant tant sur la bande des 2 GHz (802.11b/g) que sur la bande des 5 GHz (802.11a). Il existe en version autonome ainsi quen version lgre (pour tre utilis avec un contrleur sans-fil). HEPL Informatique / Rseaux et Tlcoms TFE 2008 - 2009
94
Figure 7-2 : Cisco Aironet 1131 AG
Cisco Unified Wireless IP Phone 7921G

Le tlphone sans-fil qui a t utilis dans le lab est un Cisco Unified Wireless IP Phone 7921G. Ce tlphone est quip dun cran TFT couleur de 2 pouces (environ 5 cm). La batterie permet au tlphone de tenir environ 200 heures en standby et environ 15 heures en communication. Il supporte les standards sans-fil IEEE 802.11a, b et g. Il supporte galement LEAP, PEAP, EAP-FAST, EAP-TLS, WPA, WPA2, CCKM, WEP, TKIP et AES. Il peut tre connect un ordinateur par USB. Il est aussi quip dune dock-station avec haut-parleur intgr.
Figure 7-3 : Cisco Unified Wireless IP Phone 7921G
Scurit des Rseaux Sans-Fil

Avant daborder la configuration de laccess point, nous allons revoir les diffrents moyens de scuriser un rseau sans-fil.
TFE 2008 - 2009
95
WEP
Wired Equivalent Privacy (WEP) est un algorithme de scurisation des rseaux sans-fil. Publi en 1997, cet algorithme est aujourdhui dprci cause de certaines faiblesses assez importantes. WEP utilise lalgorithme de chiffrement RC4 pour la confidentialit et une somme de contrle CRC-32 pour lintgrit. WEP 64 utilise une cl de 40 bits suivie dun vecteur dinitialisation de 24 bits. WEP 128 utilise quant lui une cl de 104 bits.
Figure 7-4 : WEP
WPA/WPA2
Wi-Fi Protected Access (WPA) a t cr suite aux problmes rencontrs avec WEP. WPA respecte une grande partie de la norme 802.11i tandis que WPA2 en respecte la totalit. Ce mcanisme a t conu pour tre utilis en collaboration avec un serveur dauthentification 802.1X WPA-Enterprise, mais il peut aussi tre utilis avec un systme de cl partage, galement appele Pre-Shared Key (PSK). Nous parlons alors de WPA-Personal. WPA utilise le mme algorithme de chiffrement que WEP, savoir RC4. Cependant la taille de la cl est de 128 bits et celle du vecteur dinitialisation est de 48 bits. WPA utilise galement le protocole TKIP (Temporal Key Integrity Protocol), qui change dynamiquement les cls lors de lutilisation du systme. Ces amliorations empchent notamment certaines attaques dont WEP a souffert. WPA nutilise plus la somme de contrle CRC-32 considre comme peu sre. A la place, un algorithme didentification des messages plus scuris appel MIC (Message Integrity Code) est utilis. WPA2 utilise lalgorithme de chiffrement CCMP qui est un protocole bas sur AES. Il est considr comme compltement sr. Concernant linteroprabilit avec le framework EAP, seul le mcanisme EAP-TLS tait auparavant certifi par la Wi-Fi Alliance. Dsormais les mcanismes EAP-TLS, EAP-
TFE 2008 - 2009
96
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME TTLS/MSCHAPv2, PEAPv0/EAP-MSCHAPv2, PEAPv1/EAP-GTC et EAP-SIM sont inclus dans le programme de certification. Le but de cette certification est de faire interoprer les mcanismes EAP les plus courants.
IEEE 802.1X
Le standard IEEE 802.1X est une solution de scurisation base sur EAP. Il contrle donc laccs un rseau. Ce standard repose sur trois acteurs : Supplicant : cest le client qui demande laccs au rseau. Ce client fournit des informations relatives son identification comme par exemple un couple login/password ; Authenticator : cest un quipement rseau tel quun switch ou un access point. Il joue le rle de garde de scurit du rseau. Il transmet les informations fournies par le client au serveur dauthentification ; Serveur dauthentification : cest un serveur (gnralement RADIUS ou TACACS+) qui vrifie que les informations fournies par le client sont exactes. Cest donc lui qui dcide si laccs doit tre donn ou non un client.
Figure 7-5 : acteurs 802.1X
Le Framework EAP
Extensible Authentication Protocol (EAP) est un framework didentification utilis principalement dans les rseaux sans-fil mais aussi dans les rseaux filaires. Il a t dfini dans la RFC 3748 et ensuite mis jour dans la RFC 5247. EAP est un framework dans le sens o il fournit des fonctions communes et des mcanismes dauthentification. Ces mcanismes sont appels mthodes EAP et sont au nombre de 40. Parmi cellesci, on peut retrouver EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-IKEv2, EAP-SIM et EAP-AKA. Les mthodes les plus rpandues dans les rseaux sans-fil sont EAP-TLS, EAP-TTLS, PEAP, LEAP, EAP-FAST ou encore EAP-SIM. Lorsque EAP est utilis avec un NAS (Network Access Server) comme par exemple un access point, une PMK (Pair-wise Master Key) est ngocie entre le client et le NAS.
TFE 2008 - 2009
Chapitre 7 : La Tlphonie Sans-Fil Cette cl peut ensuite tre utilise par des mcanismes dencryptions comme TKIP ou CCMP. Bien que EAP ne soit pas un protocole, il dfinit des format de messages. Les mthodes EAP doivent encapsuler ces messages. Dans le cas de 802.1X, lencapsulation porte le nom dEAPOL (EAP over LAN).
97
Paquet EAP
Voici lillustration dun paquet EAP :
Figure 7-6 : paquet EAP
Un paquet EAP est compos de quatre champs :

Code : ce champ dun octet identifie le type de paquet EAP. Il existe quatre codes diffrents : Request, Response, Success et Failure ; Identifier : ce champ, cod sur un octet, permet tout simplement de faire
correspondre une rponse une demande ; Length : ce champ de deux octets indique la taille totale du paquet EAP ; Data : cest la charge utile du paquet.
En ce qui concerne les paquets Request et Response, un champ supplmentaire Type est dclar comme suit :
Figure 7-7 : paquet EAP Request/Response
Ce champ peut prendre une des huit valeurs qui suivent : HEPL Informatique / Rseaux et Tlcoms TFE 2008 - 2009
98

Identity : ce type est utilis par un utilisateur qui souhaite accder un rseau
protg par une mthode EAP ; Notification : utilis par lauthenticator pour envoyer un message au supplicant ; Nak : ce type ne peut tre utilis quen tant que rponse. Il indique que le type dauthentification nest pas accept ; MD5-Challenge : ce type est utilis dans les requtes contenant un challenge MD5 (semblable au protocole CHAP). La rponse doit tre de type Nak ou MD5Challenge. One Time Password (OTP) : utilis pour les authentifications avec mot de passe usage unique. La rponse doit tre de type Nak ou OTP. Generic Token Card (GTC) : ce type est utilis avec les implmentations de cartes Token. La rponse doit tre de type Nak ou GTC. Expanded Types : ce champ est prvu afin que les constructeurs puissent utiliser leur propre type ; Experimental Use : utilisation exprimentale uniquement.
Voici le diagramme de squence qui reprsente le mcanisme dauthentification de base :
Figure 7-8 : authentification de base
TFE 2008 - 2009
Chapitre 7 : La Tlphonie Sans-Fil Nous reverrons le mcanisme dauthentification plus en dtail dans le paragraphe qui suit. Notons tout de mme que la communication de gauche, c'est--dire la communication entre le client et laccess point est base sur EAP tandis que la conversation de droite (access point RADIUS) est base sur le protocole RADIUS.
99
EAP-FAST
EAP-FAST (Flexible Authentication via Secure Tunneling) est un protocole de Cisco Systems dfini dans la RFC 4851. Celui-ci remplace LEAP (Lightweight Extensible Authentication Protocol) qui souffrait de quelques faiblesses. Toutefois, EAP-FAST conserve le cot lger de celui quil a remplac. Lutilisation de certificats nest pas obligatoire, EAP-FAST peut utiliser des PACs (Protected Access Credential) pour tablir un tunnel TLS dans lequel les informations dauthentification du client seront transmises. EAP-FAST possde trois phases : La phase 0 est optionnelle, cest celle o un ventuel PAC est approvisionn de manire statique ou dynamique ; La phase 1 concerne ltablissement du tunnel TLS ; Finalement, la phase 2 concerne lchange des informations du client dans le tunnel crypt.
Lorsque le PAC est approvisionn de faon automatique, il y a un lger risque dattaque dans le sens o un attaquant pourrait intercepter le PAC et le rutiliser pour compromettre les informations du client. La solution est alors dutiliser un certificat. Lorsque EAP-FAST est utilis sans PAC, on se retrouve alors avec un EAP-TLS tout fait classique.
Paquet EAP-FAST
Un paquet EAP-FAST est constitu comme suit :
Figure 7-9 : paquet EAP-FAST
TFE 2008 - 2009
100
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME On y retrouve les quatre champs du paquet EAP. Viennent sajouter trois autres champs : Flags, Ver et Message Length. Les flags sont au nombre de 4 : Lenght Included, More Fragment, EAP-FAST Start et Reserved (doit tre zro). Le champ Ver contient tout simplement la version de EAP-FAST utilise. Le champ Message Length est prsent uniquement si le flag Length Included est positionn : il indique la taille totale du message dans le cas o celui-ci serait fragment. La valeur du champ Type pour EAP-FAST est 43.
Fonctionnement de EAP-FAST
EAP-FAST Phase 0
Cette phase concerne lapprovisionnement du PAC (Protected Access Credentials). Elle nest pas dcrite dans ce document.
EAP-FAST Phase 1
Durant cette phase, le tunnel TLS est tabli. Le client commence par sidentifier (EAPResponse Identity) suite la demande du serveur. Le serveur dbute ensuite la ngociation du tunnel TLS qui est encapsul dans un paquet EAP-FAST avec le flag Start positionn. Le client sidentifie avec un ClientHello en fournissant le PAC en tant quextension (SessionTicket SSL). Le paquet envoy par le client contient galement la liste des algorithmes de chiffrement supports. Un nombre alatoire est aussi transmis ainsi que la date courante. Le serveur rpond par un ServerHello : ce paquet contient galement un nombre alatoire ainsi que lalgorithme retenu. TLS ChangeCipherSpec indique que lon va passer dans le tunnel TLS. La MasterKey est calcule partir du nombre alatoire du client, du nombre alatoire du serveur et du PAC.
TFE 2008 - 2009
101
Figure 7-10 : phase 1 de EAP-FAST
Voici la phase 1 affiche dans Wireshark :
Figure 7-11 : phase 1 dans Wireshark
Dans lexemple ci-dessus, le serveur propose dabord la mthode LEAP. Le client rpond par un Nak et demande la place lutilisation de EAP-FAST.
EAP-FAST Phase 2
Les messages changs durant cette phase sont crypts ; ils passent par le tunnel TLS. Le paquet EAP Payload TLV contient les informations du client (login/password par exemple). Le Crypto-Binding TLV est utilis pour prouver que le client et le serveur ont particip dans ltablissement du tunnel TLS. Il permet galement de vrifier la version de EAP-FAST qui a t ngocie.
TFE 2008 - 2009
102
Figure 7-12 : phase 2 de EAP-FAST
La phase 2 reprsente dans Wireshark :
Figure 7-13 : phase 2 dans Wireshark
Mise en Place de EAP-FAST

Comme nous lavons dit prcdemment, EAP-FAST est une mthode EAP cense tre lgre comme ltait LEAP. Justement, il nest pas ncessaire de possder un serveur RADIUS externe pour mettre en place EAP-FAST. Les access points actuels incluent un serveur RADIUS interne qui peut tre utilis pour lauthentification dutilisateur via EAP-FAST. Notre access point joue alors deux rles parmi les trois du standard 802.1X : celui dauthenticator et celui de serveur dauthentification. Pour ce qui concerne la configuration de laccess point, elle sera elle aussi spare en deux parties : la partie dite classique, c'est--dire la configuration en tant quauthenticator et la partie AS, qui comprend la configuration du serveur RADIUS local. La configuration de base de laccess point nest pas dveloppe ici ; elle est cependant disponible en annexe.
Configuration de lAuthenticator
Commenons par dfinir le serveur RADIUS qui servira de serveur dauthentification. Comme expliqu ci-haut, laccess point joue lui-mme le rle de serveur RADIUS ; il doit donc indiquer sa propre adresse IP (172.19.13.253) :
TFE 2008 - 2009
103
rogue-ap(config)#radius-server host 172.19.13.253 auth-port 1812 acct-port 1813 key radiusKey rogue-ap(config)#aaa new-model rogue-ap(config)#aaa group server radius localRadius rogue-ap(config-sg-radius)#server 172.19.13.253 auth-port 1812 acct-port 1813
Le paramtre key est un secret qui sera dfini lors de la configuration du serveur RADIUS. Il ne faut pas oublier dactiver le nouveau modle AAA pour avoir accs aux commandes relatives AAA. Il faut galement crer une liste AAA pour lauthentification. Celle-ci sera utilise plus tard lors de la configuration du SSID :
rogue-ap(config)#aaa authentication login fastMethod group localRadius
Nous pouvons nous attaquer la configuration du SSID. Appelons-le cme :

rogue-ap(config)#dot11 ssid cme rogue-ap(config-ssid)#authentication open eap fastMethod rogue-ap(config-ssid)#authentication open network-eap fastMethod rogue-ap(config-ssid)#authentication key-management wpa version 2 rogue-ap(config-ssid)#guest-mode
La commande authentication dfinit la mthode dauthentification utilise par le SSID. Dans notre cas, nous indiquons que nous souhaitons utiliser EAP coupl WPA2, ce qui correspond WPA2-Enterprise. La commande guest-mode permet de diffuser le SSID. Nous devons maintenant configurer linterface sans-fil Dot11Radio0 :
rogue-ap(config)#interface Dot11Radio0 rogue-ap(config-if)#no ip address rogue-ap(config-if)#ssid cme rogue-ap(config-if)#encryption mode ciphers aes-ccm tkip rogue-ap(config-if)#no shutdown
Cette interface na pas dadresse IP, elle fait partie dun bridge-group par dfaut (BVI1). Si ce nest pas le cas, la commande bridge-group 1 suffit rgler le problme. Nous assignons ensuite le SSID linterface grce la commande ssid. La commande encryption permet de spcifier la mthode dencryption utilise par linterface. Nous indiquons laccess point dutiliser de prfrence CCMP (AES) ou bien TKIP. Finalement, nous activons linterface avec la commande no shutdown (elle est dsactive par dfaut). Aprs avoir t active, linterface va scanner les frquences pendant un certain temps (ce temps nest pas fixe). Cest aprs ce scan quelle passera finalement en mode up/up.
TFE 2008 - 2009
104
%LINK-5-CHANGED: Interface Dot11Radio0, changed state to reset %DOT11-6-FREQ_SCAN: Interface Dot11Radio0, Scanning frequencies for 33 seconds
Configuration du Serveur dAuthentification

Cette partie concerne la configuration du serveur RADIUS local :
rogue-ap(config)#radius-server local rogue-ap(config-radsrv)#nas 172.19.13.253 key radiusKey
Aprs tre entr dans le mode de configuration du serveur RADIUS local, nous indiquons quil doit accepter les requtes manant du NAS (Network Access Storage lauthenticator) identifi par ladresse 172.19.13.253 cest laccess point lui-mme. Le paramtre key est celui que nous avons configur une page plus haut.
rogue-ap(config-radsrv)#no authentication leap rogue-ap(config-radsrv)#no authentication mac rogue-ap(config-radsrv)#eapfast authority id 12345678901234567890123456789012 rogue-ap(config-radsrv)#eapfast authority info rogue-ap rogue-ap(config-radsrv)#eapfast server-key primary auto-generate
Dans les lignes ci-dessus, nous indiquons premirement au serveur RADIUS de ne pas accepter les requtes pour les mthodes LEAP et MAC. Par dfaut ces deux mthodes ainsi que EAP-FAST sont actives. Les paramtres authority id et authority info sont des valeurs qui seront affiches sur la machine du client lors de lapprovisionnement du PAC. Ces valeurs permettent au client de sassurer que laccess point sur lequel il est connect est le bon. En effet, un attaquant pourrait mettre en place un access point avec le mme SSID que le notre. Ainsi, lorsquun client se connecterait sur laccess point de lattaquant, ce dernier pourrait refuser le PAC du client et lui en fournir un nouveau, ce qui nest pas ce que nous voulons... Finalement, la dernire commande optionnelle auto-gnre la cl du serveur.
rogue-ap(config-radsrv)#group wcme rogue-ap(config-radsrv-group)#ssid cme rogue-ap(config-radsrv-group)#exit rogue-ap(config-radsrv)#user fred password blah group wcme
La commande user permet de crer un utilisateur dans la base de donne du serveur RADIUS. Le paramtre group est optionnel, mais il permet de spcifier le SSID et le VLAN auquel le client a accs. Dans notre cas, lutilisateur fred a accs au SSID cme. Il est possible de visualiser les statistiques du serveur RADIUS :
rogue-ap#show radius local-server statistics Successes : 1 Unknown usernames : 0
TFE 2008 - 2009

Client blocks Unknown NAS NAS : 172.19.13.253 Successes Client blocks Corrupted packet No username attribute Shared key mismatch Unknown EAP message Auto provision success PAC refresh Username fred : 0 : 0 Invalid passwords : 0 Invalid packet from NAS: 0
105
: : : : : : : :
1 0 0 0 0 0 0 0 Successes 1
Unknown usernames : Invalid passwords : Unknown RADIUS message : Missing auth attribute : Invalid state attribute: Unknown EAP auth type : Auto provision failure : Invalid PAC received : Failures 0 Blocks 0
0 0 0 0 0 0 0 0
Configuration du Client Laptop

La configuration du laptop est assez simple. Le client que jai utilis est le client dIntel PROSet/Wireless. Javais commenc utiliser le client de Cisco (Secure Services Client) mais un bug empche la connexion un rseau utilisant EAP-FAST avec un serveur radius local... Voici deux captures dcran illustrant les paramtres de la connexion :
Figure 7-14 : configuration du client
TFE 2008 - 2009
106
Figure 7-15 : configuration du client (suite)
Configuration du Client Cisco 7921G

La configuration du tlphone IP nest pas trs complique non plus... Un menu assez intuitif permet de configurer jusqu quatre profils sans-fil. Voici grossirement les tapes suivre pour configurer EAP-FAST sur un 7921G : Aller dans Settings (flche du bas) ; Choisir Network Profiles (2) ; Slectionner un profil et aller dans WLAN Configuration ; Afin de modifier les paramtres du profil, il faut dverrouiller le tlphone. Ceci peut tre fait avec la combinaison de touches **# ; Modifier le champ SSID avec le SSID du rseau sans-fil ; Slectionner EAP-FAST dans le champ Security Mode ; Remplir les deux champs UserName et Password avec les informations de lutilisateur.
EAP-TLS
EAP-TLS (Transport Layer Security) est un standard IETF dfini dans la RFC 5216. Il est considr comme un des standards EAP les plus scuriss et il est galement support par tous les quipementiers.
TFE 2008 - 2009
Chapitre 7 : La Tlphonie Sans-Fil EAP-TLS utilise deux certificats pour tablir le tunnel TLS : un cot client et un cot serveur. Ceci a un avantage niveau scurit : en effet, un vol de mot de passe nest pas possible. Cependant, il est possible de voler le certificat dune personne, ce qui aurait le mme effet que le vol de mot de passe. Lutilisation dun certificat du cot client est aussi un problme car la mise en place et la maintenance dun tel systme est laborieuse, du moins dans un rseau de grande taille. En plus, le cot dun certificat nest pas ngligeable. Il est nanmoins possible dutiliser un serveur de certificat lors dune utilisation dEAP-TLS en intranet. Les protocoles PEAP et EAP-TTLS ont t crs pour palier ce problme ; ils ne ncessitent quun certificat cot serveur.
107
Paquet EAP-TLS
Voici un paquet EAP-TLS :
Figure 7-16 : paquet EAP-TLS
Ce paquet est sensiblement le mme que celui de EAP-FAST. La seule diffrence se situe au niveau des flags ; ceux-ci occupent 8 bits car il nexiste pas de champ version. Tout comme dans les paquets EAP-FAST, il y a quatre diffrents flags : Length Included, More Fragments, EAP-TLS Start et Reserved. Le champ TLS Message Length nest inclus que si le flag Length Included est positionn. La valeur du champ Type pour EAP-TLS est 13.
TFE 2008 - 2009
108
Fonctionnement de EAP-TLS
Figure 7-17 : fonctionnement de EAP-TLS
Dcrivons le fonctionnement principal de ce protocole : Une fois quil a reu lidentit du client, le serveur rpond avec un paquet EAPTLS dont le flag EAP-TLS Start est positionn 1. La conversation EAP-TLS commence alors ; Le client rpond avec un paquet EAP-TLS dont la charge utile contient un message ClientHello. Ce message comprend la version de TLS utilise par le client, un identifiant de session, un nombre alatoire ainsi que la liste des algorithmes de chiffrement supports ; Le serveur rpond quant lui avec un paquet EAP-TLS qui contient plusieurs messages TLS. Le premier dentre eux est le message ServerHello. Ce message contient les mmes informations que le message ClientHello, savoir la version de TLS utilise par le serveur, un identifiant de session, un nombre alatoire ainsi que la liste des algorithmes de chiffrement supports. Si lidentifiant de session envoy par le client est inconnu, le serveur considre quil TFE 2008 - 2009
Chapitre 7 : La Tlphonie Sans-Fil doit en tablir une nouvelle. Dans ce cas, le serveur doit fournir son certificat dans un message de type Certificate. Il demande galement au client de fournir son certificat via le message CertificateRequest. Finalement, le message ServerHelloDone indique la cloture du paquet TLS ; Si le client supporte EAP-TLS, il doit rpondre par un paquet EAP-TLS qui comprend lui aussi plusieurs messages TLS. Tout dabord, il doit contenir les messages ClientKeyExchange et ChangeCipherSpec. Ensuite, il doit contenir le message Certificate tant donn que le serveur la demand dans le message prcdent (CertificateRequest). Le message CertificateVerify permettra au serveur de vrifier la signature du client. Finalement, le message TLS Finished indique que le client a termin ; Le serveur envoie un paquet EAP-TLS contenant aussi les messages ChangeCipherSpec et Finished. Le client rpond la requte EAP-TLS du serveur par un paquet vide contenant le mme identifiant (champ Identifier). Le serveur termine lchange par un paquet EAP-Success.
109
Le client et le serveur peuvent alors communiquer en utilisant un chiffrement symtrique. La cl secrte utilise est drive du Master Secret, qui est un secret driv du nombre alatoire du client, du nombre alatoire du serveur et du Pre Master Secret.
Figure 7-18 : construction des cls
Une capture dans Wireshark nous donne les paquets suivants :
TFE 2008 - 2009
110
Figure 7-19 : trafic EAP-TLS dans Wireshark
Certains paquets sont rpts car en ralit ces derniers sont fragments. Nous retrouvons bien les paquets auxquels nous nous attendions, ce qui est dj pas mal !
Mise en Place de EAP-TLS

La mise en place de EAP-TLS sur laccess point est plus simple que la mise en place de EAP-FAST. En effet, le serveur dauthentification ne se situe plus sur laccess point. Il faut utiliser un serveur RADIUS externe qui pourra grer les certificats de nos clients. Plusieurs serveurs RADIUS sont disponibles ; certains sont gratuits, dautres le sont moins ;). Parmi les plus connus, on retrouve FreeRADIUS, Cisco Secure ACS, Microsoft IAS ou encore OpenRADIUS. Celui que jai dcid dutiliser est videmment Cisco Secure ACS, afin de conserver une certaine homognit dans le rseau. Linstallation de Cisco Secure ACS est dcrite dans les chapitres suivants. Nous ne nous en occupons donc pas pour le moment ; la configuration de laccess point sera faite en supposant que le serveur RADIUS est dj configur.
Configuration de lAuthenticator
La seule partie qui doit tre configure est donc la partie authenticator :
rogue-ap(config)#radius-server host 172.19.13.250 auth-port 1645 acct-port 1646 key acsKey rogue-ap(config)#aaa new-model rogue-ap(config)#aaa group server radius secureACS rogue-ap(config-sg-radius)#server 172.19.13.250 auth-port 1645 acct-port 1646
Il est important de noter que le serveur Secure ACS utilise les ports 1645/1646 au lieu des ports 1812/1813. Son adresse IP est 172.19.13.250.
rogue-ap(config)#aaa authentication login tlsMethod group secureACS rogue-ap(config)#dot11 ssid cme
TFE 2008 - 2009

rogue-ap(config-ssid)#authentication open eap tlsMethod rogue-ap(config-ssid)#authentication open network-eap tlsMethod rogue-ap(config-ssid)#authentication key-management wpa version 2 rogue-ap(config-ssid)#guest-mode rogue-ap(config-ssid)#exit rogue-ap(config)#interface Dot11Radio0 rogue-ap(config-if)#no ip address rogue-ap(config-if)#ssid cme rogue-ap(config-if)#encryption mode ciphers aes-ccm tkip rogue-ap(config-if)#no shutdown
111
Configuration du Client Laptop

Cest encore le client dIntel qui a t utilis. Cette fois, il faut lui indiquer le certificat utiliser. La gnration et linstallation de certificats est explique en annexe.
Figure 7-20 : configuration du client
TFE 2008 - 2009
112
Figure 7-21 : choix du certificat
Le certificat du client est automatiquement dtect lorsquil est install sur lordinateur.
Figure 7-22 : configuration du client (suite)
TFE 2008 - 2009
Chapitre 7 : La Tlphonie Sans-Fil Le certificat du serveur doit quant lui tre vrifi. Pour ce faire, il faut que le certificat de lautorit de certification soit install (rogue-ca).
113
Configuration du Client Cisco 7921G

Il nest pas possible dutiliser le menu du tlphone pour configurer EAP-TLS, du moins pas entirement. En effet, il faut installer le certificat du client et celui de lautorit de certification sur le tlphone. Il faut donc utiliser linterface web qui nous permet de faire tout ceci. Laccs linterface web des tlphones est en mode read-only par dfaut. Il faut donc modifier un paramtre dans UC Manger Express pour lui indiquer que lon souhaite avoir un accs total linterface des tlphones IP. La commande utiliser est trs mal documente ; les seuls rsultats que jai trouv tant relatifs UC Manager et non UC Manager Express. Aprs quelques heures de recherche, je suis finalement tomb sur la commande :
rogue-cme(config)#telephony-service rogue-cme(config-telephony)#service phone webAccess 0 rogue-cme(config-telephony)#create cnf-files
En ralit, cette commande modifie un paramtre XML du fichier de configuration des tlphones IP. Trois valeurs sont possibles : 0 (full-access), 1 (read-only) et 2 (disabled). Ceci fait, nous avons accs la page web du 7921G et plus particulirement la partie Certificates :
TFE 2008 - 2009
114
Figure 7-23 : la page Certificates du 7921G
Laccs certaines parties ncessite une identification de la part de lutilisateur. Le login/password par dfaut est admin/Cisco. Sur la capture dcran ci-dessus, nous pouvons voir plusieurs certificats : User Installed : cest le certificat que nous allons utiliser pour EAP-TLS. Cest lutilisateur qui linstalle sur le tlphone IP ; Manufacturing Issued : cest un certificat qui est prsent par dfaut sur le tlphone. Il peut aussi tre utilis pour une connexion EAP-TLS, mais il faut alors installer le Manufacturing Root CA sur notre serveur ACS ; Manufacturing Root CA : cest le certificat racine de lautorit de certification qui a sign le certificat Manufacturing CA ; Manufacturing CA : ce certificat, sign par le Manufacturing Root CA est le certificat qui a sign le Manufacturing Issued ; Authentication Server CA : cest le certificat de notre autorit de certification.
Lorsque lon souhaite installer un certificat utilisateur, le tlphone gnre une demande de certificat (CSR) partir des donnes saisies :
TFE 2008 - 2009
115
Figure 7-24 : cration dun demande de certificat
TFE 2008 - 2009
116
Figure 7-25 : demande de certificat
Cette demande de certificat doit tre fournie lautorit de certification qui dlivrera alors un certificat pour le tlphone. Ce certificat peut ensuite tre install sur le tlphone (attention, le certificat doit tre au format DER). Le reste de la configuration peut tre fait via le menu du tlphone : Aller dans Settings (flche du bas) ; Choisir Network Profiles (2) ; Slectionner un profil et aller dans WLAN Configuration ; Afin de modifier les paramtres du profil, il faut dverrouiller le tlphone. Ceci peut tre fait avec la combinaison de touches **# ; Modifier le champ SSID avec le SSID du rseau sans-fil ; Slectionner EAP-TLS dans le champ Security Mode ; Dans le champ EAP-TLS Certificate, choisir User Installed (cette option permet aussi dutiliser le Manufacturing Issued) ;
TFE 2008 - 2009
Chapitre 8 : Contrleur de Rseaux Sans-Fil
117

Les rseaux sans-fil se rpandent et voluent de plus en plus chaque jour, cest pourquoi il est ncessaire de simplifier la configuration et la maintenance de tels rseaux. Par exemple, si un site est couvert par trente access points, il est inconcevable de devoir modifier la configuration des trente appareils pour changer le mot de passe administrateur... Cest dans ce type de situation que lutilisation dun contrleur de rseaux sans-fil prend tout son sens. En effet, il est possible de contrler tous les access points dun site partir dun seul et mme priphrique : le contrleur de rseaux sans-fil (WLAN controller). Dans ce cas, les access points connects au contrleur appels access point lgers, font tourner une version simplifie dIOS dans laquelle il nest pas possible daccder au mode de configuration.
Le Protocole LWAPP
Le protocole LWAPP (LightWeight Access Point Protocol) est un protocole ouvert destin ladministration daccess points. LWAPP est utilis pour les communications entre les access points lgers et le contrleur. Les messages de contrle UDP sont crypts avec un PKI utilisant AES-CCMP. Le trafic classique (les donnes) nest pas chiffr dans LWAPP et est commut au niveau du contrleur. Ces deux types de trafic sont encapsuls. Le port source UDP est le port 1024 dans les deux cas. Le port destination 12222 est utilis pour les donnes et le port destination 12223 est utilis pour le contrle. LWAPP peut-tre utilis plusieurs niveaux du modle OSI : Layer 2 LWAPP : couche liaison (2) ; Layer 3 LWAPP : couche rseau (3).
Lorsque le protocole LWAPP est utilis au niveau de la couche liaison, il est encapsul dans une trame Ethernet. Ceci implique que laccess point et le contrleur soient dans le mme VLAN ou sous-rseau. Dans ce cas, cest ladresse MAC qui est utilise pour communiquer. Un access point qui souhaite sassocier un contrleur commence par envoyer un message LWAPP Discovery Request via broadcast et attend un Discovery Response de la part dun contrleur. Si plusieurs rponses sont reues, laccess point choisit le contrleur qui compte le moins daccess points connects. Si le protocole LWAPP est utilis au niveau de la couche rseau, il est encapsul dans datagramme UDP puis dans un paquet IP. Laccess point et le contrleur peuvent alors se situer dans des rseaux diffrents sans que cela ne pose de soucis. Le processus HEPL Informatique / Rseaux et Tlcoms TFE 2008 - 2009
118
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME dassociation est sensiblement le mme : laccess point envoie un LWAPP Discovery Request et attend un Discovery Reponse en retour, qui contiendra alors ladresse IP du contrleur en tant quadresse IP source. Un access point essaie toujours dutiliser LWAPP la couche 2 en priorit et ensuite LWAPP la couche 3. Pour la couche 3, laccess point doit dabord effectuer une requte DHCP.
Cisco 2106 Wireless LAN Controller

Jai utilis dans ce lab un Cisco 2106 WLAN Controller. Ce contrleur peut supporter jusqu six access points. Il dispose de huit ports Ethernet, donc deux fournissant Power over Ethernet.
Figure 8-1 : Cisco 2106 WLAN Controller
Configuration de Base
Le Cisco 2106 nutilise pas lIOS comme la plupart du matriel Cisco. Ceci est un peu droutant lorsque on est habitu une interface particulire. Il ma donc fallu quelques temps pour me familiariser un peu avec ce nouveau CLI. Quand on allume le contrleur pour la premire fois, un assistant de configuration nous pose quelques questions afin de construire la base du systme :
Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backup System Name [Cisco_50:6d:80]: rogue_wlc Enter Administrative User Name (24 characters max): fred Enter Administrative Password (24 characters max): ******** Management Management Management Management Management Management Interface Interface Interface Interface Interface Interface IP Address: 172.19.13.252 Netmask: 255.255.255.0 Default Router: 172.19.13.254 VLAN Identifier (0 = untagged): 0 Port Num [1 to 8]: 1 DHCP Server IP Address: 172.19.13.254
AP Manager Interface IP Address: 172.19.13.251
TFE 2008 - 2009
119
AP-Manager is on Management subnet, using same values AP Manager Interface DHCP Server (172.19.13.254): Virtual Gateway IP Address: 10.10.10.254 Mobility/RF Group Name: rogue-rf Network Name (SSID): rogue-cme Allow Static IP Addresses [YES][no]: no Configure a RADIUS Server now? [YES][no]: no Warning! The default WLAN security policy requires a RADIUS server. Please see documentation for more details. Enter Country Code (enter 'help' for a list of countries) [US]: BE Enable Enable Enable Enable 802.11b 802.11a 802.11g Auto-RF Network [YES][no]: yes Network [YES][no]: no Network [YES][no]: yes [YES][no]:
Configuration saved! Resetting system with new configuration...
Deux interfaces sont configures : Management Interface : cest linterface que lon a lhabitude de configurer ; cest cette interface qui sera pingable ; AP Manager Interface : cest linterface qui est utilise lors de lutilisation de LWAPP la couche 3. Ladresse IP de cette interface est alors la source du tunnel LWAPP. Cette interface peut tre dclare dans le mme rseau que linterface de management.
Notons galement que cet assistant cre pour nous un rseau sans-fil avec le SSID que nous lui indiquons. Nous pouvons ensuite nous connecter en utilisant le login et le mot de passe que nous avons saisi lors de lassistant. La commande suivante permet dafficher la configuration du contrleur. Attention au paramtre commands ; sans celui-ci, la configuration est fournie dans un format assez particulier...
>show run-config commands
On peut galement ajouter un utilisateur de management (login : fred pass : blah) :

>config mgmtuser add fred blah read-write
TFE 2008 - 2009
120
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME Finalement, configurons le contrleur sans-fil pour quil se synchronise sur le serveur NTP du 2801. Le timezone 14 correspond GMT+1.
>config time timezone location 14 >config time ntp server 1 172.19.13.254
Mise Jour de lImage

Jai du mettre jour limage du contrleur sans-fil car lancienne version ne possdait pas certaines commandes que je trouvais trs utiles show run-config commands par exemple. La procdure de mise jour est en fait trs simple : on spcifie les diffrents paramtres ncessaires au tlchargement de limage et on lance la mise jour avec la commande transfer download start. Le contrleur soccupe du reste :
>transfer >transfer >transfer >transfer >transfer >transfer download download download download download download mode tftp datatype code serverip 172.19.13.254 path filename AIR-WLC2100-K9-5-2-178-0.aes start TFTP Code 172.19.13.254 6 10 AIR-WLC2100-K9-5-2-178-
Mode............................................. Data Type........................................ TFTP Server IP................................... TFTP Packet Timeout.............................. TFTP Max Retries................................. TFTP Path........................................ TFTP Filename.................................... 0.aes This may take some time. Are you sure you want to start? (y/N) y TFTP Code transfer starting. TFTP receive complete... extracting components. Executing init script. Writing new Code to flash disk. Executing install_code script.
Writing new APIB to flash disk. [00680266.58 <1242124708.626649>] Routine system resource notification. [00680266.75 <1242124708.794665>] Routine system resource notification. [00680271.04 <1242124713.083912>] Routine system resource notification.
TFE 2008 - 2009
121
Executing install_apib script. TFTP File transfer is successful. Reboot the switch for update to complete.
Mise en Place de EAP-TLS

Tout comme avec laccess point autonome, la configuration concernant EAP-TLS est relativement simple et rduite. Un SSID a dj t cr avec lassistant de configuration, nanmoins il peut tre intressant de connatre la commande utiliser pour en crer un nouveau :
>config wlan create 1 rogue-cme rogue-cme
Le premier paramtre est lindex qui identifie le rseau sans-fil ; cest cet index que nous utiliserons lorsque nous devrons configurer les paramtres du rseau. Lindex 1 est utilis par le rseau qui est cr automatiquement avec lassistant. Le deuxime paramtre est le nom du profil cr. Finalement, le dernier paramtre reprsente le SSID du rseau. Commenons donc par configurer le serveur RADIUS :
>config radius auth add 1 172.19.13.250 1656 ascii acsKey
Cette commande ajoute la dfinition dun serveur RADIUS. Le premier paramtre est lindex du serveur. Ensuite viennent ladresse IP et le port du serveur. Le dernier paramtre, fourni au format ASCII, est le secret partag.
>config radius auth network 1 enable >config radius auth management 1 disable >config radius auth enable 1
La commande radius auth network 1 enable configure le serveur RADIUS en tant que serveur par dfaut pour les utilisateurs rseau. La commande suivante le dsactive pour les administrateurs. Finalement on active le serveur RADIUS que nous venons de dfinir avec la commande radius auth enable 1. Lindex fourni la fin de chaque commande est lindex du serveur RADIUS que nous configurons. Il faut ensuite activer WPA. Pour ce faire, il faut dabord dsactiver le rseau sans-fil afin de pouvoir y faire des modifications :
>config >config >config >config wlan wlan wlan wlan 1 disable security wpa enable 1 security wpa wpa2 ciphers aes enable 1 security wpa wpa2 enable 1
TFE 2008 - 2009
122
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME Les trois dernires commandes activent WPA2 et spcifient lalgorithme utiliser AES. Lindex fourni la fin de chaque commande est lindex du rseau sans-fil que nous configurons. Nous devons aussi activer le support de 802.1X pour WPA :
>config wlan security wpa akm 802.1x enable 1
La premire commande qui suit associe notre serveur RADIUS au rseau sans-fil. Le premier index est celui du rseau sans-fil ; le deuxime est celui du serveur RADIUS. La commande suivante active le serveur pour ce rseau normalement, il est actif par dfaut :
>config wlan radius_server auth add 1 1 >config wlan radius_server auth enable 1
Finalement, nous ractivons le rseau sans-fil :

>config wlan 1 enable
TFE 2008 - 2009
Chapitre 9 : Cisco Secure ACS
123

Cisco Secure Access Control Server (ACS) est le serveur RADIUS/TACACS+ de Cisco Systems. La version 4.2 du serveur est compatible avec Microsoft Server 2000 et 2003. Dans mon cas, je lai utilis avec Microsoft Server 2003 Enterprise Edition. Linstallation du serveur en lui-mme est expose en annexe afin de ne pas polluer les pages qui suivent avec trop dimages. Ce chapitre explique simplement la configuration du serveur afin quil puisse jouer son rle de serveur dauthentification dans le cadre dEAP-TLS.
Configuration de Cisco Secure ACS

Dans les chapitres prcdents, nous avons vu comment EAP-TLS fonctionne ainsi que les diffrents acteurs du standard 802.1X. La partie concernant le serveur dauthentification nayant pas encore t aborde, nous allons la dcrire maintenant.
Ajout dun Compte Administrateur

Une fois Secure ACS install, il faut accder linterface web qui nous permet de configurer le serveur. Attention, linterface web nest accessible que sur la machine locale, du moins au dbut... Le port utilis par linterface web est le port 2002, lURL sera donc http://<ip_serveur>:2002. Commenons donc par crer un compte utilisateur afin quun utilisateur distant puisse administrer le serveur : Dans le menu de gauche, cliquer sur Administration Control ; Une liste des comptes administrateur (vide pour le moment) saffiche. Un bouton Add Administrator permet dajouter un utilisateur ; La page suivante permet de configurer le nom et le mot de passe du nouvel utilisateur. Elle permet aussi de lui attribuer certains privilges ;
TFE 2008 - 2009
124
Figure 9-1 : ajout dun administrateur
Le nouvel utilisateur est cr lorsque lon clique sur le bouton Submit.
Installation des Certificats

Etant donn que nous allons utiliser EAP-TLS, le serveur ACS a besoin dun certificat pour prouver son identit au clients du rseau. Linstallation de certificats se fait dans la partie System Configuration. Loption ACS Certificate Setup nous affiche plusieurs possibilits :
Install ACS Certificate : cette option nous permet dinstaller le certificat du
serveur. Cest cette option qui nous intresse ; ACS Certification Authority Setup : cette option permet dajouter des autorits de certification ; Edit Certificate Trust List : cette option indique ACS de faire confiance des certificats installs avec loption ci-dessus (ACS Cert Authority Setup) ;
... Generate Certificate Signing Request (CSR) : ACS permet aussi de
gnrer des demande de certificats ; HEPL Informatique / Rseaux et Tlcoms TFE 2008 - 2009

Generate Self-Signed Certificate : cette option cre un certificat auto-
125
sign qui est install automatiquement en tant que certificat du serveur. Loption qui nous intresse est la premire, Install ACS Certificate :
Figure 9-2 : installation du certificat de Secure ACS
Le certificat que nous installons (rogue-aaa) a t dlivr par notre autorit de certification (rogue-ca). Il se trouve dans le magasin de certificats de la machine locale. Le certificat de lautorit de certification ne doit pas tre spcialement ajout au serveur ACS car cest lautorit de certification qui a sign le certificat du serveur, il lui fait donc automatiquement ainsi qu ceux dont le certificat est dlivr par ce CA.
Ajout de Network Access Servers

Afin que les authenticators puissent effectuer des requtes auprs de notre serveur dauthentification, il faut que ceux-ci soient explicitement dfinis dans la configuration du serveur ACS. Ceci se fait dans la partie Network Configuration :
TFE 2008 - 2009
126
Figure 9-3 : liste des clients et des serveurs AAA
Il y a deux types dhtes :

AAA Clients : ce sont les authenticators dans notre cas laccess point et le
contrleur sans-fil ; AAA Servers : ce sont les serveurs dauthentification RADIUS ou TACACS+.
Un serveur AAA est dj dfini, cest le serveur ACS que lon configure linstant. Si on clique dessus, on peut modifier certains paramtres comme les ports sur lesquels le serveur coute (1645 et 1646 par dfaut) et le type de requtes quil accepte (RADIUS, TACACS+ ou les deux). La partie qui nous intresse le plus est lajout de nouveaux clients AAA. Ceci peut tre fait en cliquant sur le bouton Add Entry situ sous la liste des clients AAA. La page qui est ensuite affiche nous permet dentrer les paramtres relatifs notre authenticator : nom, adresse IP, secret partag et type dauthentification. Rappelons-nous que le secret partag est le paramtre key que nous avons utilis lorsque nous avons configur le serveur RADIUS sur laccess point et le contrleur sans-fil... Le type dauthentification choisi est RADIUS.
TFE 2008 - 2009
127
Figure 9-4 : ajout dun client AAA
Aprs avoir cliqu sur Submit+Apply, la liste des clients AAA se met jour ; on peut alors voir lauthenticator que nous venons dajouter :
Figure 9-5 : notre client AAA ajout
Ajout dUtilisateurs
Cisco Secure ACS possde une base de donne interne dans laquelle il peut stocker les utilisateurs qui se connectent sur le rseau. Il galement possible de faire interagir Secure ACS et lActive Directory de Windows. Par manque de temps, je nai pas pu tester cette fonctionnalit, cest pourquoi nous allons utiliser la base interne du serveur ACS. Les utilisateurs peuvent tre regroups pour faciliter leur maintenance. Cest ce que nous allons faire, nous allons crer un groupe qui sappellera Wireless. En ralit, nous allons renommer le groupe 0. Tous les utilisateurs que nous rajouterons par la suite seront automatiquement ajouts ce groupe.
TFE 2008 - 2009
128
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME Pour renommer le groupe, il faut aller dans la partie Group Setup du menu. Trois boutons sont disponibles. Le premier, Users in Group affiche les utilisateurs qui font partie du groupe. Le deuxime bouton, Edit Setting permet de modifier des paramtres du groupe, principale des attributs RADIUS. Finalement, le bouton Rename Group nous permet de renommer le groupe. Lajout dutilisateurs se fait quant lui dans la partie User Setup. Il est possible de rechercher un utilisateur par nom ou den crer un nouveau. Lors de lajout dun utilisateur, plusieurs paramtres peuvent tre modifis : le mot de passe, le groupe de lutilisateur, lassignation dadresse IP, etc. Le nom donn lutilisateur est important et doit tre le mme que le nom indiqu dans le certificat de lutilisateur (le CN Common Name).
Figure 9-6 : ajout dun utilisateur
TFE 2008 - 2009
129
Activation de EAP-TLS
Finalement, il nous reste activer EAP-TLS pour que notre rseau soit utilisable. Cette activation se fait dans la configuration du systme (System Configuration), plus exactement dans sous-menu Global Authentication Setup. La page de configuration de EAP nous permet dactiver ou de dsactiver les protocoles PEAP, EAP-FAST, EAP-TLS, LEAP et EAP-MD5. La configuration est assez limite, on indique simplement que lon souhaite activer EAP-TLS et on choisit la faon dont le CN du certificat est compar avec le nom dutilisateur de la base interne :
Figure 9-7 : configuration de EAP-TLS
On peut choisir parmi trois mthodes de comparaison :

Certificate SAN comparison : ce mode utilise le champ Subject Alternative Name du certificat pour la comparaison ; Certificate CN comparison : cest le champ Common Name qui est utilis pour
la comparaison ;
Certificate Binary Comparison : effectue une comparaison binaire entre le
certificat fourni par le client et celui stock dans lActive Directory. Plusieurs mthodes peuvent tre coches ; Secure ACS les excutera alors squentiellement. On peut galement configurer la dure du timeout de la session EAPTLS.
TFE 2008 - 2009
130
TFE 2008 - 2009
Chapitre 10 : Conclusion
131
Chapitre 10 : Conclusion
Ce stage de 14 semaines chez Cisco ma apport beaucoup de choses. Du point de vue professionnel, cela a t une dcouverte mais surtout un plaisir de pouvoir minsrer dans le monde du travail dans une socit telle que Cisco Systems ! Cela ma surpris dtre considr directement en tant quemploy et non simplement comme un tudiant. Ce stage ma galement permis davoir une approche plus ou moins prcise du travail et surtout de ce qui nous attend aprs les tudes. Ceci ma confirm que le domaine des rseaux et des tlcommunications est bel et bien un domaine qui me fascine. Lentreprise ma surtout bluff du point de vue humain. Je ne mattendais pas tre intgr si rapidement. Une des forces de Cisco Systems est sa multi-nationalit ; des personnes venant de plusieurs pays diffrents travaillent ensemble et arrivent communiquer, cest ce que jai apprci par-dessus tout. Il mest arriv de travailler avec des espagnols, des libanais, des amricains, des italiens, etc. Cependant, on napparat pas en tant que belge ou quoi que ce soit mais plutt en tant quemploy de chez Cisco ! Les employs sont polis et ont de lhumour. Il mest arriv de faire une partie de football lextrieur avec trois personnes que je ne connaissais qu peine, et pourtant on a pass un bon moment. Pareil pour le kicker, on se retrouvait de temps en temps au kicker durant la pause ; ceci nous a permis de faire connaissance avec de nouvelles personnes. Finalement, ce stage ma aussi permis de mieux connatre certains lves de ma classe avec qui je ne parlais pas beaucoup auparavant.
TFE 2008 - 2009
132
TFE 2008 - 2009
Annexe A : Installation de Services Windows
133

Cette annexe reprend linstallation de deux composants Windows qui ont t install durant ce lab.
Internet Services (IIS)

Le premier service qui a t install est Internet Services, connu sous le nom de IIS. Ce composant est un serveur Web qui permet autant de grer des pages statiques HTML que des pages dynamiques ASP (.NET). Ce service est notamment utilis par lautorit de certification pour son interface web, ce qui rend la cration de certificats disponibles tous les utilisateurs du rseau. Internet Services est galement utilis par Cisco Secure ACS. En effet, ladministration se fait via une page Web situe sur le serveur. Il tait donc impratif dinstaller ce service. Linstallation est trs simple. Il faut tout dabord se rendre dans le Panneau de configuration. Il faut ensuite cliquer sur Ajout/Suppression de programmes. Une fentre apparat ; il faut alors cliquer sur Ajouter ou supprimer des composants Windows dans le menu de gauche. Une nouvelle fentre fait son apparition :
Figure A-1 : liste des composants Windows
Il suffit ensuite de slectionner le composant Serveur dapplications. Ce composant inclut le service IIS. A la fin de lassistant, le service est install et dmarr. On peut sen
TFE 2008 - 2009
134
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME assurer en se rendant sur la page http://172.19.13.250 (ceci est ladresse IP du serveur sur lequel le service est install) :
Figure A-2 : le serveur web fonctionne
Pas de panique, la page affiche est la page par dfaut du service IIS. Elle peut tre modifie dans le rpertoire C:\Inetpub\wwwroot.
Autorit de Certification
Installation
Lautorit de certification est un service disponible sous Windows Server 2003. Il permet de crer, signer ou supprimer des certificats. Il dispose dune interface Web qui permet aux utilisateurs du rseau de faire une demande de certificat via leur navigateur Web. Linstallation de lautorit de certification est similaire celle du service IIS. Pour cela, il faut se rendre dans le Panneau de configuration, Ajout/Suppression de programmes et enfin Ajouter ou supprimer des composants Windows. Le composant installer est Services de certificats.
TFE 2008 - 2009
135
Figure A-3 : la liste des composants Windows
Lassistant nous pose ensuite quelques questions. Tout dabord il nous demande le type dautorit de certifications que lon souhaite tablir. Dans la plupart des cas, cest une autorit racine qui est choisie.
Figure A-4 : type dautorit de certification
Le Common Name (CN) de lautorit nous est ensuite demand ; le nom de notre autorit est rogue-ca :
TFE 2008 - 2009
136
Figure A-5 : nom de lautorit de certification
Lassistant nous signalement finalement que le service IIS doit tre redmarr pour quil puisse installer linterface web du service. Lautorit de certification est installe ! On peut se rendre sur linterface web du service via lURL http://172.19.13.250/certsrv (remplacer ladresse IP par celle du serveur) :
TFE 2008 - 2009
137
Figure A-6 : interface web du serveur de certificats
Cration de Certificats
Pour grer les certificats de lautorit, deux possibilits soffrent nous : linterface Web ou la console. La console, qui peut tre lance grce la commande mmc, peut se voir greffer des composants enfichables . Voici une console o lon a greff trois composants :
TFE 2008 - 2009
138
Figure A-7 : console
Pour la cration du certificat du serveur ACS, nous avons cr un nouveau modle de certificat. Ce modle peut tre cr trs facilement via le composant console Modles de certificats. La console nous affiche alors tous les modles de certificats disponibles. Nous pouvons partir dun de ces certificats pour crer le notre. Il faut alors faire un clic droit sur un certificat existant et choisir loption Modle dupliqu.
TFE 2008 - 2009
139
Figure A-8 : duplication dun modle
Une fentre de proprits souvre. Elle comporte plusieurs onglets. Parmi ceux-ci, les plus importants :
Gnral : nous pouvons y changer le nom du modle et sa priode de validit par
dfaut ;
Traitement de la demande : cet onglet permet de spcifier la taille minimale
de la cl et de choisir si la cl prive est exportable ou non ; Nom du sujet : on peut choisir si le nom du sujet est fourni dans la demande ou sil est construit partir des informations de lActive Directory ;
TFE 2008 - 2009
140
Figure A-9 : proprits du modle
Il faut ensuite indiquer lautorit de certification que ce nouveau modle doit tre propos aux utilisateurs qui font des demandes de certificat. Ceci peut tre configur dans les options de lautorit de certification :
TFE 2008 - 2009
141
Figure A-10 : dlivrance dun nouveau modle
Il faut alors choisir le modle que nous venons de crer. Nous allons maintenant crer le certificat du serveur proprement dit. Pour ce faire, nous utiliserons linterface Web du service. Sur la page daccueil, il faut choisir Demander un certificat, puis demande de certificat avance. Un page nous permet de saisir les informations relatives au serveur pour lequel nous demandons le certificat. Nous pouvons galement y choisir le modle de certificat utiliser. Il ne faut pas oublier de cocher loption Marquer les cls comme tant exportables ainsi que loption
Stocker le certificat dans le magasin de certificats de lordinateur local.
TFE 2008 - 2009
142
Figure A-11 : demande de certificat
Une fois le certificat gnr, le serveur nous propose de linstaller sur la machine :
TFE 2008 - 2009
143
Figure A-12 : installation du certificat
TFE 2008 - 2009
144
TFE 2008 - 2009
Annexe B : Installation de Cisco Secure ACS
145
Annexe B : Installation de Cisco Secure ACS

La version de Cisco Secure ACS que jai installe est la version 4.2. Je lai installe sur Windows Server 2003 Enterprise Edition. Linstallation est trs brve : Premirement, on commence par lacceptation de la licence, un grand classique... Lassistant dinstallation nous demande ensuite sil doit prendre la base de donne de lActive Directory pour la gestion des utilisateurs :
Figure B-1 : choix de la base de donnes
Un mot de passe ncessaire au chiffrement de la base de donne interne de Secure ACS nous est ensuite demand. Finalement, lassistant nous demande si lon souhaite dmarrer le service immdiatement. On peut galement lancer la page dadministration en cochant loption prvue cet effet :
TFE 2008 - 2009
146
Figure B-2 : options
Linstallation est termine. La page dadministration de ACS est accessible via lURL http://<ip_serveur>:2002.
TFE 2008 - 2009
Annexe C : Configurations Finales
147

rogue-cme (Cisco ISR 2801)
Current configuration : 8041 bytes version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname rogue-cme ! boot-start-marker boot-end-marker ! logging message-counter syslog enable secret 5 $1$hRBE$ykD9j8FwGDElGNWyFxSxa1 ! aaa new-model ! ! aaa authentication login default local enable ! ! aaa session-id common clock timezone CET 1 clock summer-time CEST recurring dot11 syslog ip source-route ! ! ip dhcp excluded-address 172.19.13.254 ! ip dhcp pool voicePool network 172.19.13.0 255.255.255.0 default-router 172.19.13.254 option 150 ip 172.19.13.254 ! ! ip cef no ip domain lookup ip host rogue-ap 172.19.13.253 no ipv6 cef multilink bundle-name authenticated ! stcapp ccm-group 1 stcapp ! ! ! ! voice logout-profile 1 user lp password blah number 1999 type normal ! voice user-profile 1 user sweeney password miam number 1001 type normal speed-dial 1 1002 label Pirelli voice-card 0
TFE 2008 - 2009
148

! username fred privilege 15 secret 5 $1$51wf$MZMzi4po2g.RhKUoPNH1p. ! ip ssh version 2 ip scp server enable ! interface Loopback0 ip address 128.0.0.1 255.255.255.255 ! interface FastEthernet0/0 ip address 10.48.77.184 255.255.255.0 duplex auto speed auto no cdp enable ! interface FastEthernet0/1 ip address 172.19.13.254 255.255.255.0 duplex auto speed auto ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 10.48.77.1 ! ip http server ip http authentication local no ip http secure-server ip http path flash:gui ! tftp-server flash:atadefault.cfg tftp-server flash:ata18xr.zup tftp-server flash:APPS-1.3.2.SBN tftp-server flash:TNUX-1.3.2.SBN tftp-server flash:CP7921G-1.3.2.LOADS tftp-server flash:WLAN-1.3.2.SBN tftp-server flash:GUI-1.3.2.SBN tftp-server flash:SYS-1.3.2.SBN tftp-server flash:SCCP41.8-4-4S.loads tftp-server flash:apps41.8-4-3-16.sbn tftp-server flash:cnu41.8-4-3-16.sbn tftp-server flash:cvm41sccp.8-4-3-16.sbn tftp-server flash:dsp41.8-4-3-16.sbn tftp-server flash:jar41sccp.8-4-3-16.sbn tftp-server flash:term41.default.loads tftp-server flash:P00308010100.bin tftp-server flash:P00308010100.loads tftp-server flash:P00308010100.sb2 tftp-server flash:P00308010100.sbn tftp-server flash:RingList.xml tftp-server flash:DistinctiveRingList.xml tftp-server flash:Jamaica.raw tftp-server flash:AIR-WLC2100-K9-5-2-178-0.aes ! control-plane ! voice-port 0/0/0 ring frequency 50 cptone BE timeouts ringing infinity caller-id enable ! voice-port 0/0/1 !
TFE 2008 - 2009

voice-port 0/2/0 cptone BE timeouts interdigit 0 impedance complex2 caller-id enable ! voice-port 0/2/1 ! ccm-manager fax protocol cisco ! mgcp fax t38 ecm ! sccp local FastEthernet0/1 sccp ccm 172.19.13.254 identifier 1 version 7.0 sccp ! sccp ccm group 1 associate ccm 1 priority 1 ! dial-peer voice 1 pots service stcapp port 0/0/0 ! dial-peer voice 911 pots destination-pattern 9T incoming called-number 1001$ direct-inward-dial port 0/2/0 prefix 0 ! telephony-service em keep-history em logout 0:0 0:0 0:0 max-ephones 10 max-dn 10 ip source-address 172.19.13.254 port 2000 auto assign 4 to 5 service phone webAccess 0 timeouts night-service-bell 4 system message /!\ Maintenance reseau /!\ url authentication http://172.19.13.254/CCMCIP/authenticate.asp fred blah user-locale FR network-locale FR load 7921 CP7921G-1.3.2 load 7960-7940 P00308010100 load 7941GE SCCP41.8-4-4S time-zone 23 time-format 24 date-format dd-mm-yy max-conferences 4 gain -6 web admin system name fadet password hello dn-webedit time-webedit transfer-system full-consult after-hours pstn-prefix 4 4 night-service code *1234 night-service everyday 16:00 07:00 night-service date Jan 1 00:00 23:59 fac custom redial **911 create cnf-files version-stamp 7960 May 20 2009 10:35:15 ! ephone-dn-template 1
149
TFE 2008 - 2009
150

! ephone-template 1 softkeys idle Newcall Redial Join Mobility Cfwdall Dnd Pickup Gpickup softkeys connected Endcall Trnsfer Hold Mobility Park Acct speed-dial 1 1999 label "Receptionist" ! ephone-dn 1 dual-line number 1001 label Sweeney Todd description Sweeney Todd name Sweeney Todd mobility snr 90478123456 delay 3 timeout 10 ! ephone-dn 2 number 1002 pickup-call any-group label Adolfo Pirelli description Adolfo Pirelli name Adolfo Pirelli mobility snr 90478123456 delay 5 timeout 10 ! ephone-dn 3 number 1003 label Benjamin Barker description Benjamin Barker name Benjamin Barker ! ephone-dn 4 number 1004 label Judge Turpin description Judge Turpin name Judge Turpin night-service bell ! ephone-dn 5 number 1005 label Johanna Barker description Johanna Barker name Johanna Barker hold-alert 30 originator ! ephone-dn 6 number 1006 label Beadle Bamford description Beadle Bamford name Beadle Bamford mobility snr 90478579237 delay 3 timeout 5 ! ephone-dn 7 number 1007 label Mrs Lovett description Mrs Lovett name Mrs Lovett snr 90478123456 delay 10 timeout 15 ! ephone-dn 9 number 1999 label Receptionist description Receptionist
TFE 2008 - 2009

name Receptionist mobility ! ephone 1 description Sweeney Todd mac-address 0030.94C2.5E19 ephone-template 1 username "stodd" password miam speed-dial 1 1002 label "Adolfo Pirelli" type 7960 button 1:1 2s3 ! ephone 2 description Adolfo Pirelli mac-address 0018.19B3.0224 ephone-template 1 speed-dial 1 1004 label "Judge Turpin" type 7941GE button 1:2 night-service bell ! ephone 3 description Johanna Barker mac-address 000D.294D.F1B7 max-calls-per-button 2 type ata button 1:3 ! ephone 4 description Beadle Bamford mac-address 001B.D454.A189 ephone-template 1 max-calls-per-button 4 type 7921 logout-profile 1 ! ephone 5 privacy-button mac-address AE23.E600.B000 max-calls-per-button 2 type anl button 1:4 ! ephone 6 mac-address 0021.553E.A709 max-calls-per-button 4 type 7921 logout-profile 1 ! ephone 7 mac-address 001F.E21C.0187 ephone-template 1 type CIPC button 1:7 ! alias exec sibu sh ip int brief | inc up alias exec sir sh ip route alias exec si sh ip int alias exec sib sh ip int brief ! line con 0 logging synchronous
151
TFE 2008 - 2009
152

line aux 0 line vty 0 4 logging synchronous line vty 5 15 logging synchronous ! scheduler allocate 20000 1000 ntp master end
rogue-sw1 (Cisco Catalyst 2960)

Current configuration : 1630 bytes version 12.2 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname rogue-sw1 ! boot-start-marker boot-end-marker ! enable secret 5 $1$flLj$0mvOCOKNFUXlw8f3l4ZQ81 ! username fred privilege 15 secret 5 $1$XlS7$Z3KTzY0B1ZdaH7TA682xe0 aaa new-model ! aaa authentication login default local enable ! aaa session-id common system mtu routing 1500 ip subnet-zero ! spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! interface FastEthernet0/1 switchport mode access ! interface FastEthernet0/2 ! [...] ! interface FastEthernet0/24 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address no ip route-cache shutdown ! ip http server ! control-plane
TFE 2008 - 2009

! line con 0 logging synchronous line vty 0 4 logging synchronous line vty 5 15 logging synchronous ! monitor session 1 source interface Fa0/1 monitor session 1 destination interface Fa0/23 end
153
rogue-ap (Cisco Aironet 1131)

Current configuration : 2638 bytes version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname rogue-ap ! enable secret 5 $1$aA1A$2QHo/ZHyYsCvMRP6m4OS50 ! aaa new-model ! aaa group server radius local_radius server 172.19.13.253 auth-port 1812 acct-port 1813 ! aaa authentication login default local enable aaa authentication login fast_login group local_radius ! aaa session-id common ! resource policy ! clock timezone CET 1 clock summer-time CEST recurring ip subnet-zero ! dot11 ssid cme authentication open eap fast_login authentication network-eap fast_login authentication key-management wpa guest-mode ! power inline negotiation prestandard source ! username fred privilege 15 secret 5 $1$DzyD$Jkb5cvZ6S6Pf1RcH7zT6R. ! bridge irb ! interface Dot11Radio0 no ip address no ip route-cache shutdown ! encryption mode ciphers aes-ccm tkip ! ssid cme
TFE 2008 - 2009
154

! station-role root bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled ! interface Dot11Radio1 no ip address no ip route-cache shutdown dfs band 3 block channel dfs station-role root bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled ! interface FastEthernet0 no ip address no ip route-cache duplex auto speed auto bridge-group 1 no bridge-group 1 source-learning bridge-group 1 spanning-disabled ! interface BVI1 ip address 172.19.13.253 255.255.255.0 no ip route-cache ! ip default-gateway 172.19.13.254 ip http server no ip http secure-server ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag radius-server local no authentication leap no authentication mac eapfast authority id 12345678901234567890123456789012 eapfast authority info AP eapfast server-key primary 7 CDAA62BA123F980ECC28F1E27742179164 nas 172.19.13.253 key 7 06000E325871021C1C group wireless_cme ! group test ssid cme ! user fred nthash 7 08051D6D2D4D2440455F5C547B7E7D096166014750352656730100030C5B524B32 user fmereu nthash 7 0225517D52545B00156B2F4A5C4233595C567C7F027D6313074A5442265301097C group test ! radius-server host 172.19.13.253 auth-port 1812 acct-port 1813 key 7 000212151064000316 bridge 1 route ip ! line con 0 logging synchronous line vty 0 4
TFE 2008 - 2009

logging synchronous line vty 5 15 logging synchronous ! end
155
TFE 2008 - 2009
156
TFE 2008 - 2009
Acronymes Utiliss dans ce Livre
157
Acronymes Utiliss dans ce Livre

ACS AES AP CA CCKM CDP CN DHCP DN DSP EAP EAP-FAST EAPOL EAP-TLS FXO FXS EPhone FAC IAX IIS ILP IOS IP ISDN IVR LEAP LWAPP MAC MGCP NAS PAC PBX PEAP PoE POTS PSK PSTN QoS SPAN RADIUS RNIS RTP SCCP SCP : Access Control Server : Advanced Encryption Standard : Access Point : Certification Authority : Cisco Centralized Key Management : Cisco Discovery Protocol : Common Name : Dynamic Host Configuration Protocol : Directory Number : Digital Signal Processing : Extensible Authentication Protocol : EAP-Flexible Authentication via Secure Tunneling : EAP over LAN : EAP-Transport Layer Security : Foreign eXchange Office : Foreign eXchange Station : Ethernet Phone : Feature Access Code : Inter Asterisk eXchange : Internet Services : InLine Power : Internetwork Operating System : Internet Protocol : Integrated Service Digital Network : Interactive Voice Response : Lightweight EAP : LightWeight Access Point Protocol : Media Access Control : Media Gateway Control Protocol : Network Access Server : Protected Access Credential : Private Branch eXchange : Protected EAP : Power over Ethernet : Plain Old Telephone System : Pre Shared Key : Public Switched Telephone Network : Quality of Service : Switched Port ANalyzer : Remote Authentication Dial In User Service : Rseau Numrique Intgration de Services : Real Time Protocol : Skinny Client Control Protocol : Secure CoPy TFE 2008 - 2009
158
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME SDP SIP SSID STC TACACS+ TCP TFTP TKIP UCME UDP URL VoIP WEP WLAN WPA : Session Description Protocol : Session Initiation Protocol : Service Set Identifier : SCCP Telephony Control : Terminal Access Controller Access-Control System Plus : Transport Control Protocol : Trivial File Transfer Protocol : Temporal Key Integrity Protocol : Unified Communications Manager Express : User Datagram Protocol : Uniform Resource Locator : Voice over IP : Wired Equivalent Privacy : Wireless LAN : Wi-Fi Protected Access
TFE 2008 - 2009
Bibliographie
159
Bibliographie
Building Cisco Multilayer Switched Networks (BCMSN) (Authorized SelfStudy Guide), 4th Edition [Livre] / aut. R. Froom B. Sivasubramanian, E. Frahim. [s.l.] : Cisco Press. Cisco IOS in a Nutshell, Second Edition [Livre] / aut. Boney James. - [s.l.] : O'Reilly. Cisco Unified CME 7.1 Supported Firmwares, Platforms, Memory and Voice Products [En ligne]. http://www.cisco.com/en/US/docs/voice_ip_comm/cucme/requirements/guide/cme7 1spc.htm. Cisco Unified CME and Cisco IOS Software Version Compatibility Matrix [En ligne]. http://www.cisco.com/en/US/docs/voice_ip_comm/cucme/requirements/guide/33ma trix.htm. Cisco Unified CME System Administrator Guide [En ligne]. http://www.cisco.com/en/US/docs/voice_ip_comm/cucme/admin/configuration/guid e/cmeadm.html. Cisco Unified Wireless IP Phone 7921G Administration Guide [En ligne]. http://www.cisco.com/en/US/docs/voice_ip_comm/cuipph/7921g/7_0/english/admi nistration/guide/7921G_AdminGuide.html. Cisco Wireless LAN Controller Configuration Guide [En ligne]. http://www.cisco.com/en/US/docs/wireless/controller/5.2/configuration/guide/Contr oller52CG.html. Configuring an Access Point as a Local Authenticator [En ligne]. http://www.cisco.com/en/US/docs/wireless/access_point/12.3_2_JA/configuration/g uide/s32local.html. Configuring Analog Voice Ports [En ligne]. http://www.cisco.com/en/US/docs/ios/voice/voiceport/configuration/guide/vp_cfg_a nalog_vps_ps6441_TSD_Products_Configuration_Guide_Chapter.html. Configuring Cisco Unified CallManager Express [En ligne]. http://uc500.com/CiscoCallManagerExpress. Configuring FXS Ports for Basic Calls [En ligne]. http://www.cisco.com/en/US/docs/ios/voice/fxs/configuration/guide/fxsbasic.html. HEPL Informatique / Rseaux et Tlcoms TFE 2008 - 2009
160
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME LEAP Authentication on a Local RADIUS Server [En ligne]. http://www.cisco.com/en/US/products/hw/wireless/ps4570/products_configuration_ example09186a00801c0912.shtml. Understanding Inbound and Outbound Dial Peers Matching on IOS Platforms [En ligne]. http://www.cisco.com/en/US/tech/tk652/tk90/technologies_tech_note09186a008010 fed1.shtml. User Guide for Cisco Secure Access Control Server 4.2 [En ligne]. http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_f or_windows/4.2/user/guide/SCBasic.html.
TFE 2008 - 2009

Tfe

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Tfe

Uploaded by

Copyright:

Available Formats

Remerciements

HEPL Informatique / Rseaux et Tlcoms

TFE 2008 - 2009

Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME

HEPL Informatique / Rseaux et Tlcoms

TFE 2008 - 2009

Table des Matires

Table des Matires

HEPL Informatique / Rseaux et Tlcoms

TFE 2008 - 2009

Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME

HEPL Informatique / Rseaux et Tlcoms

TFE 2008 - 2009

Table des Matires

HEPL Informatique / Rseaux et Tlcoms

TFE 2008 - 2009

Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME

HEPL Informatique / Rseaux et Tlcoms

TFE 2008 - 2009

Icnes Utilises dans ce Livre

Icnes Utilises dans ce Livre

Access Point Lger

HEPL Informatique / Rseaux et Tlcoms

TFE 2008 - 2009

Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME

HEPL Informatique / Rseaux et Tlcoms

TFE 2008 - 2009

Syntaxe des Commandes

Syntaxe des Commandes

HEPL Informatique / Rseaux et Tlcoms

TFE 2008 - 2009

Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME

HEPL Informatique / Rseaux et Tlcoms

TFE 2008 - 2009

HEPL Informatique / Rseaux et Tlcoms

TFE 2008 - 2009

Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME

HEPL Informatique / Rseaux et Tlcoms

TFE 2008 - 2009

Chapitre 1 : Cisco Systems Inc.

Chapitre 1 : Cisco Systems Inc.

HEPL Informatique / Rseaux et Tlcoms

TFE 2008 - 2009

Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME

Figure 1-1 : les logos Cisco

HEPL Informatique / Rseaux et Tlcoms

TFE 2008 - 2009

Chapitre 1 : Cisco Systems Inc.

Figure 1-2 : la structure de lentreprise

Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME

Cisco.com, le TAC, Advance Hardware Replacement et Software Support :

Service Request (SR)

Figure 1-3 : impact des SRs

Technical Assistance Center (TAC)

HEPL Informatique / Rseaux et Tlcoms

Figure 1-4 : mthode Follow the Sun

Advance Hardware Replacement

HEPL Informatique / Rseaux et Tlcoms

TFE 2008 - 2009

Chapitre 1 : Cisco Systems Inc.

Figure 1-5 : infrastructure du lab

HEPL Informatique / Rseaux et Tlcoms

TFE 2008 - 2009