Professional Documents
Culture Documents
Remerciements
Je tiens tout dabord remercier Robert Valkai, manager de la team CALO, pour nous avoir permis de faire ce stage au sein de Cisco Systems Inc. Je voudrais aussi remercier Rgis Baudin, Sbastien Gigot et Jastaran Sran pour leur aide, leurs conseils et leur patience. Merci Pierre De Fooz pour son aide et son dvouement au bon droulement du stage. Merci Gauthier Brion, Nicolas Rolans et Anton Ryhlov pour les parties de kicker. Les trajets en train me manqueront (peut-tre). Un grand merci Apor Kurucz, Serge Yasmine, Xavier Mertens et Jrme Paquay pour leur aide et pour le matriel quils ont bien voulu me prter. Merci ma famille, mes amis et Frede pour leur soutien et leurs conseils.
CONFIGURATION DE BASE DU 2801 ................................................................................................................................44 NTP .....................................................................................................................................................................44 DHCP ..................................................................................................................................................................44 CONFIGURATION DE UC MANAGER EXPRESS .....................................................................................................................45 Configuration Classique (Manuelle) ...................................................................................................................45 Configuration Automatique ...............................................................................................................................46 AJOUT DE TLPHONES UC MANAGER EXPRESS ..............................................................................................................46 Ephones et Directory Numbers (DN) ..................................................................................................................46 Assignation Statique ..........................................................................................................................................46 Assignation Automatique ...................................................................................................................................48 Templates ...........................................................................................................................................................49 Mise Jour du Firmware ....................................................................................................................................51 SKINNY CLIENT CONTROL PROTOCOL (SCCP) ....................................................................................................................55 Les Messages SCCP .............................................................................................................................................57 Fonctionnement de SCCP ...................................................................................................................................63 CHAPITRE 5 : FONCTIONNALITS SUPPLMENTAIRES .......................................................................................... 71 MESSAGE SYSTME ......................................................................................................................................................71 EXTENSION MOBILITY ...................................................................................................................................................71 Activation de lExtension Mobility ......................................................................................................................71 Cration dun Logout-Profile ..............................................................................................................................72 Cration dun User-Profile ..................................................................................................................................72 Utilisation de lExtension Mobility ......................................................................................................................72 SINGLE NUMBER REACH (SNR) ......................................................................................................................................74 INTERFACE GRAPHIQUE (GUI) ........................................................................................................................................76 Activation de lInterface Graphique ...................................................................................................................76 Ajout dun Utilisateur .........................................................................................................................................78 SERVICE DE NUIT .........................................................................................................................................................79 Configuration du Service de Nuit ........................................................................................................................79 CHAPITRE 6 : TLPHONES ANALOGIQUES ........................................................................................................... 83 FXS VS FXO ...............................................................................................................................................................83 Foreign eXchange Station (FXS) .........................................................................................................................84 Foreign eXchange Office (FXO) ...........................................................................................................................84 MODULE VIC2-2FXS ...................................................................................................................................................84 Installation du Module .......................................................................................................................................84 Configuration du Module ...................................................................................................................................85 MODULE VIC2-2FXO ..................................................................................................................................................89 Configuration du Module ...................................................................................................................................90 FEATURE ACCESS CODE (FAC) .......................................................................................................................................91 CHAPITRE 7 : LA TLPHONIE SANS-FIL ................................................................................................................ 93 CISCO AIRONET 1131 AG .............................................................................................................................................93 CISCO UNIFIED WIRELESS IP PHONE 7921G.....................................................................................................................94 SCURIT DES RSEAUX SANS-FIL ....................................................................................................................................94 WEP ....................................................................................................................................................................95
WPA/WPA2 ........................................................................................................................................................95 IEEE 802.1X.........................................................................................................................................................96 Le Framework EAP .............................................................................................................................................96 EAP-FAST .................................................................................................................................................................99 Paquet EAP-FAST ................................................................................................................................................99 Fonctionnement de EAP-FAST ..........................................................................................................................100 Mise en Place de EAP-FAST ..............................................................................................................................102 EAP-TLS .................................................................................................................................................................106 Paquet EAP-TLS ................................................................................................................................................107 Fonctionnement de EAP-TLS .............................................................................................................................108 Mise en Place de EAP-TLS .................................................................................................................................110 CHAPITRE 8 : CONTRLEUR DE RSEAUX SANS-FIL ............................................................................................ 117 LE PROTOCOLE LWAPP ..............................................................................................................................................117 CISCO 2106 WIRELESS LAN CONTROLLER......................................................................................................................118 CONFIGURATION DE BASE............................................................................................................................................118 Mise Jour de lImage .....................................................................................................................................120 MISE EN PLACE DE EAP-TLS ........................................................................................................................................121 CHAPITRE 9 : CISCO SECURE ACS ........................................................................................................................ 123 CONFIGURATION DE CISCO SECURE ACS ........................................................................................................................123 Ajout dun Compte Administrateur ..................................................................................................................123 Installation des Certificats ................................................................................................................................124 Ajout de Network Access Servers .....................................................................................................................125 Ajout dUtilisateurs ..........................................................................................................................................127 Activation de EAP-TLS ......................................................................................................................................129 CHAPITRE 10 : CONCLUSION .............................................................................................................................. 131 ANNEXE A : INSTALLATION DE SERVICES WINDOWS .......................................................................................... 133 INTERNET SERVICES (IIS) .............................................................................................................................................133 AUTORIT DE CERTIFICATION........................................................................................................................................134 Installation .......................................................................................................................................................134 Cration de Certificats ......................................................................................................................................137 ANNEXE B : INSTALLATION DE CISCO SECURE ACS ............................................................................................. 145 ANNEXE C : CONFIGURATIONS FINALES ............................................................................................................. 147
ROGUE-CME (CISCO ISR 2801) ....................................................................................................................................147 ROGUE-SW1 (CISCO CATALYST 2960) ...........................................................................................................................152 ROGUE-AP (CISCO AIRONET 1131) ...............................................................................................................................153
Routeur
Switch
Ordinateur Portable
Access Point
Contrleur Wireless
Tlphone IP
Tlphone IP sans-fil
UC Manager Express
Lien Ethernet
Connexion sans-fil
Serveur dAuthentification
10
Introduction
11
Introduction
Ce travail de fin dtude reprsente les 14 semaines de stage passes chez Cisco Systems Inc. Mon choix sest port sur cette entreprise tout simplement parce que je suis passionn par les rseaux et que cette entreprise tait pour moi lopportunit de me plonger dans un milieu qui me fascine. Ce document est dcoup en trois parties : Premire Partie : Prsentation de lEntreprise - Cette partie prsente lentreprise, ses services, ses produits et son activit dans le monde des rseaux. Deuxime Partie : La team CALO - Cette partie dcrit une journe type en tant quingnieur dans la team CALO. Troisime Partie : Voice over Wireless LAN - Cette partie concerne mon travail de fin dtude. Le dploiement dune configuration type est utilis pour expliquer les technologies sur lesquelles sappuie ce modle.
Le sujet que jai choisi comme travail de fin dtude me tenait particulirement cur car javais dj eu loccasion auparavant de mettre en place des rseaux VoIP grce lIPBX open-source Asterisk. Lintrt dans ce travail tait donc davoir un aperu dune des solutions concurrentes. Cette tude me permet par la mme occasion dtendre mes connaissances dans ce domaine qui se dveloppe encore un peu plus chaque jour.
12
13
Historique de lEntreprise
L'histoire de Cisco Systems s'inscrit dans la tradition des entreprises nes dans la Silicon Valley californienne o son nom et son logo puisent l'inspiration dans la ville de San Francisco et dans son Golden Gate Bridge. Tout a commenc en 1984 San Jose dans le salon du couple form par Leonard Bosack et Sandy Lerner. Les deux scientifiques travaillaient l'Universit de Stanford et cherchaient un moyen de simplifier la mise en rseau des ordinateurs. Un objectif qui ncessitait le dveloppement de technologies totalement nouvelles. L'avance dcisive vint de l'laboration d'un routeur performant, capable de relier diffrents rseaux entre eux. Pour ce routeur, prsent pour la premire fois sur le march en 1986, Cisco a dvelopp un logiciel d'exploitation rseau bas sur des protocoles de communication ouverts largement accepts. Depuis, l'entreprise connat une croissance exponentielle. Avec ses routeurs, commutateurs (switch), rseaux d'accs et logiciels rseau, Cisco s'impose comme le leader mondial des solutions "rseau" pour Internet: plus de 50% de toutes les autoroutes de l'information utilisent du matriel Cisco, alors que plus de 80% de la technologie de base d'Internet mane des laboratoires de recherche et dveloppement de l'entreprise californienne.
14
Depuis fvrier 1990, les actions de Cisco sont cotes au Nasdaq (CSCO). En terme de capitalisation boursire, Cisco est l'une des plus importantes entreprises traites par la bourse lectronique des valeurs technologiques. Elle s'est hisse au rang des plus grandes entreprises au monde dans l'industrie IT et emploie aujourd'hui environ 67000 collaboratrices et collaborateurs rpartis dans plus de 200 bureaux de vente et plus de 75 pays. Elle a ralis au cours de l'exercice 2008 un chiffre d'affaires de 39,5 milliards de dollars. L'entreprise a en outre rachet au cours des annes plusieurs dizaines d'entreprises ayant dvelopp des technologies d'avant-garde. Elle investit aussi plus de 4,5 milliards de dollars chaque anne dans la recherche et le dveloppement afin d'tre capable d'innover sans cesse. En outre, avec l'acquisition de Linksys, Cisco s'est introduit dans les plus petites entreprises ainsi que dans nos maisons. Cela permet tout le monde d'avoir du matriel et un service de qualit ! Pour exemple, voici une liste non exhaustive de ses domaine d'activits : Applications rseaux Stockage rseaux Scurit rseaux : Firewalls, VPN, Intrusion p/d, Web ... Mdias digital : TelePresence Scurit IP : Vido, Contrle d'accs ... Mobilit : Cisco Unified Communication
15
Structure Interne
L'entreprise se dcline en quatre branches principales : Manufacturing Sales Customer Advocacy Engineering
Customer Advocacy (CA), mieux connu sous le nom de Cisco Services, est la branche
de Cisco proposant le support sur tout produit Cisco vendu. Comme beaucoup d'entreprises, la diffrence par rapport au concurrent rside souvent dans la qualit du service aprs vente. En effet, Cisco propose diffrents types de contrats, allant de 25$ plusieurs millions. Ces supports sont grs par deux sous-branches : Advanced Services (AS), et Technical Support Services (TS).
Advanced Services s'occupe des rseaux les plus grands et les plus complexes dans le
monde. Sont concernes les grandes entreprises et les ISP. AS cre, implmente et optimise ces rseaux. Les Network Consulting Engineers implmentent galement de nombreuses technologies avances. HEPL Informatique / Rseaux et Tlcoms TFE 2008 - 2009
16
Cisco.com
Il s'agit non seulement d'une mine dinformations sur tous les produits Cisco, mais aussi un moyen douvrir des Service Requests. En effet, chaque mois, plus de 200.000 requtes sont rsolues online, ce qui correspond environ 80% du support technique. Cisco.com fournit galement diffrents outils et ressources (manuels, datasheet, ...), des trainings, ...
Chapitre 1 : Cisco Systems Inc. Security Optical Wireline (ISP) SAN Voice ...
17
Depuis le premier semestre 2008, TAC 2.0 est n. Les groupes prcdemment cits ont t regroups en trois factions : ANG (Video, Streaming, TCP Acceleration, Security, Wireless, Storage, ...), DNG (Couches 2 et 3 : Lan Switching, Routing, Multicast, Core, ...) et VNG (Voice). Plusieurs TAC sont rpartis dans le monde. Cela permet Cisco d'offrir un support 24h sur 24 tout au long de l'anne, grce au modle Follow the Sun. Quand un centre termine la journe, un autre la commence :
18
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME 4 milliards de dollars de pices de remplacement. Chaque anne, 700.000 machines sont changes, et 500.000 rpares.
Software Support
Ce dpartement fournit au client des mises jour logicielles, permettant lajout de nouvelles fonctionnalits, une amlioration des performances, mais surtout une augmentation de la dure de vie des machines sans changements hardwares.
La Team CALO
La team CALO, pour Customer Advocacy Lab Operations est lquipe qui soccupe de la gestion du laboratoire. Auparavant, les ingnieurs souhaitant une reproduction de topologie devaient se rendre dans le laboratoire pour construire eux-mmes leur topologie. Ceci prsentait de nombreux dsavantages. Tout dabord, lordre et lorganisation du laboratoire taient assez mauvais tant donn que tout le monde y avait accs De plus, les ingnieurs travaillant domicile navait videmment pas loccasion de se rendre dans le laboratoire, ce qui tait pnalisant pour eux ! Finalement, chaque quipe possdait ses propres machines ; il ntait pas possible dutiliser les machines dune autre quipe. Aprs larrive de la team CALO, cela a chang. En effet, ce sont maintenant quelques ingnieurs qui sont chargs de crer les topologies des ingnieurs. Pour ce faire, les ingnieurs doivent crer des cases similaires au Service Requests. La team CALO se charge aussi de la maintenance du laboratoire : installation, remplacement ou suppression de matriel, cable cleaning (nettoyage des cbles non utiliss) et inventaire du matriel font partie du quotidien des ingnieurs CALO. Cest dans cette quipe que nous avons pass nos 14 semaines de stage.
Le Laboratoire
Le laboratoire de Diegem est le deuxime plus grand laboratoire du monde... rien que a ! Le premier est le laboratoire de RTP celui qui se situe sur la cte est des EtatsUnis. Le laboratoire de Cisco Belgium comporte plus de 6000 machines (routeurs et switchs) pour un total de plus de 40000 objets cartes, sous-modules, etc. Ce laboratoire est dcoup en deux tapes. La grande majorit de la gamme des produits Cisco y est reprsente, mais du matriel dautres constructeurs y est aussi prsent.
Le Rseau
Linfrastructure du laboratoire est assez particulire : elle est base sur le switching. En effet, chaque quipe du TAC sest vu assigner un VLAN. Nous retrouvons donc un rseau de type Campus Switching :
19
La couche core est compose dun Cisco Catalyst 6500 quip dun superviseur 720. Ce switch joue le rle de serveur VTP ; il distribue les VLANs de chaque team la couche distribution. La couche distribution se compose de 2960G et de 3750. Chaque street du laboratoire possde un de ces switchs. Ce sont ces switchs qui sont configurs en tant que clients VTP. Les switchs Matrix reprsentent la couche access du rseau. Ces switchs sont de type 5500, 6500 ou encore 2950. Des hubs quipent encore certaines streets rassurezvous, ils devraient tre remplacs sous peu !
20
Les Commservers
L'accs aux diffrents devices est assur par l'intermdiaire des commservers du laboratoire. Ce sont gnralement des routeurs Cisco 2500, 2600 ou 2800. La photo cidessous illustre un Cisco 2801 quip dune carte HWIC-16A permettant de connecter 16 autres consoles :
Un simple telnet sur le commserver en indiquant le port adquat nous permet d'accder la console du device cibl. Pour plus de simplicit, tous les devices sont enregistrs avec un ou plusieurs couples [nom commserver, port] permettant ainsi d'y accder plus simplement en utilisant le script ttelrout :
$ ttelrout [-k2] <device name>
L'option -k nous permet de fermer une ventuelle session qui n'aurait pas t ferme proprement et -2 nous permet d'accder la deuxime console du routeur ou du switch en question. HEPL Informatique / Rseaux et Tlcoms TFE 2008 - 2009
Chapitre 1 : Cisco Systems Inc. Les consoles provenant des commservers sont gnralement regroupes sur des patchs panels permettant ainsi de connecter la console d'un routeur sur le bon port du commserver plus facilement qu'en suivant le cble de bout en bout :
21
22
23
Rsolution Dans les 4 heures Dans les 4 heures Dans les 24 heures Dans les 2 jours Dans les 5 jours
Il est possible de visualiser les cases ouverts grce un outil qui sappelle Omnitool :
24
Cette page affiche plusieurs informations intressantes comme lge du case, sa priorit ou encore son statut. Il existe pas mal de statut diffrents :
Open : le case a t ouvert mais na pas encore assign quelquun ; Assigned : le case est assign mais le propritaire ny travaille pas encore ; Work in Progress : le propritaire du case travaille sur le case ; Pending Client : le propritaire attend une rponse de lingnieur ; Pending Approval : la topologie a t soumise lingnieur ; Pending Hardware : du matriel manquant empche la rsolution du case ; Closed (Resolved) : le case est termin et est ferm.
Lorsque lon clique sur un case, une page plus dtaille fait son apparition. On y retrouve beaucoup plus dinformations. Ainsi, on sait si lingnieur a besoin dune connexion au backbone, on peut galement estimer le temps que le matriel doit tre rserv ou encore jeter un il au Service Request associ au case :
25
Un description permet lingnieur dexpliquer son problme et dindiquer le matriel dont il a besoin :
Dans ce cas-ci, on peut voir que lingnieur a besoin dun Cisco 7600 quip de trois cartes spcifiques. Il demande galement quune certaine image soit charge sur le 7600 ; ceci arrive trs frquemment. Un deuxime priphrique quelconque doit y tre reli via trois liens 2 Gigabit et 1 TenGig ! Le bas de la page est rserv aux ventuelles mises jour et au dialogue avec lingnieur. Cest ici quon prvient lingnieur lorsquune topologie est construite. Cest aussi ici que HEPL Informatique / Rseaux et Tlcoms TFE 2008 - 2009
26
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME lon pose nos questions lorsquun dtail nest pas trs clair, ceci vite de perdre du temps inutilement ! Lorsquun case est achev, lingnieur a la possibilit de laisser une apprciation appele Bingo allant de 1 5 et jugeant la qualit du travail de lingnieur CALO. Quelques jours plus tard voire des fois beaucoup plus tard, lingnieur nous informe que le case peut tre ferm ; il faut alors librer le matriel utilis.
Loutil fonctionne avec un systme de panier. On ajoute les routeurs ou switchs qui nous intressent et la fin on passe la caisse . Il faut alors fournir lidentifiant du case ainsi que la priode pour laquelle on souhaite rserver le matriel. Les cartes et modules ne sont malheureusement pas rserves, il faut donc des fois passer 20 minutes chercher une carte parmi les deux tages du laboratoire !
27
Taches Administratives
Conjointement la rsolution de cases qui restent la principale activit dun ingnieur CALO, nous nous occupions galement de quelques tches dentretien du laboratoire galement appele tches administratives. Elle sont supposes prendre 20% du temps dun tudiant chez CALO.
Lab Scanning
Tous les lments dont le laboratoire dispose sont rfrencs dans une base de donne l'aide de codes barres permettant de les identifier uniquement. Ces codes barres sont appels des EITMS (Enhanced Inventory Tracking & Management System). Ces EITMS sont de petites tiquettes que l'on colle sur les nouvelles cartes ou chssis qui sont destins tre utilis dans le laboratoire. Grce ces codes barres, on peut recenser tous les lments, avec un scanner de codes barres USB, permettant ainsi de connatre l'emplacement exacte des cartes ou des chssis. On essaye de scanner chaque semaine une partie du laboratoire (3-4 streets) pour actualiser suffisamment l'inventaire et faciliter ainsi la recherche des diffrentes cartes dans cet immense laboratoire rparti sur deux tages. Pour savoir exactement o se situe la carte ou le routeur, il faut procder dans cet ordreci lors du scanning d'une street : Scanner le code barre du rack, Scanner le code barre du premier chssis, Scanner les codes barres des cartes que ce chssis contient, re-scanner le code barre du chssis pour signaler qu'on quitte celui-ci, scanner le code barre du nouveau chssis, ... , re-scanner le code barre du rack pour le fermer son tour.
Cable Cleaning
Le cable cleaning est la deuxime tche administrative et sans doute la plus ennuyeuse et la plus longue de toutes. Elle consiste enlever les cbles qui ne sont plus utiliss dans le laboratoire. Ceci a deux avantages importants : tout dabord, le laboratoire est plus propre dans le sens o il est beaucoup moins bordlique quavant ; ensuite, cela met disposition des ingnieurs CALO beaucoup plus de cbles il mest dj arriv de devoir parcourir le lab pour trouver un cble crois. Une tournante a t mise en place afin que chaque tudiant scanne une partie diffrente du laboratoire chaque semaine. Sans cette tournante, il est vident que le laboratoire serait un endroit o il est beaucoup moins agrable de travailler... Nanmoins cette tche peut tre ralise relativement vite si on lexcute deux : un tudiant dconnecte
28
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME le cble qui nest plus utilis (en vrifiant sur Checkout) et lautre retire le cble qui est souvent emml dans dautres cbles.
29
30
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME ce dernier souffrait dune grosse lacune : chaque fabriquant implmentait H.323 sa manire, rendant ce systme cens tre interoprable assez difficile mettre en place. LIPBX open-source Asterisk a galement contribu la popularisation du protocole SIP. Asterisk possde galement son propre protocole, nomm IAX (Inter-Asterisk eXchange). Bien que non standardis, ce protocole prsente un avantage intressant : la signalisation et les donnes (la voix) utilisent le mme port. Cest une problme bien connu des autres protocoles VoIP : il est en effet difficile de traverser du NAT ou un firewall car les ports RTP sont choisis dynamiquement. Nanmoins, ce protocole nest que trs peu rpandu : les tlphones IP supportant ce protocole pourraient se compter sur les doigts dune main
Le Systme H.323
Le systme H.323, driv du protocole H.320 utilis sur RNIS, est une association de diffrents protocoles que lon peut regrouper en trois catgories : la signalisation, la ngociation de codec et le transport de linformation. Parmi ces protocoles, on peut citer RAS qui soccupe du contrle de session. H.225 est le protocole qui gre la signalisation des appels entre utilisateurs. Le protocole H.245 est quant lui responsable de la ngociation des codecs, afin de sassurer que les deux participants puissent communiquer. Un troisime protocole important, RTP, gre lenvoi et la rception des donnes multimdia la voix, la vido ou encore du texte. Dautres protocoles font partie du systme H.323 et fournissent des services supplmentaires comme la scurit (H.235) ou bien la gestion de firewall (H.460). Cependant, ces derniers ne sont pas essentiels au fonctionnement dun systme VoIP classique. Plusieurs lments composent un systme H.323 : Terminal : ce terme dcrit tout simplement lquipement employ par lutilisateur final, que ce soit un tlphone IP classique ou un systme de vidoconfrence haute dfinition. MCU : le MCU (Multipoint Control Unit) soccupe des confrences multipoint. Ce dispositif permet par exemple un utilisateur de voir et dtendre tous les participants de la confrence en mme temps. Gateway : la passerelle permet la communication entre un rseau H.323 et des rseaux dautres types tels que ISDN ou PSTN. Les passerelles sont largement utilises pour interconnecter des rseaux VoIP avec des lignes tlphoniques analogiques afin de pouvoir effectuer des appels vers lextrieur.
Chapitre 3 : Introduction la Voix sur IP Gatekeeper : le gatekeeper est optionnel et fournit des services aux terminaux, MCU et passerelles : enregistrement, rsolution dadresse, authentification, etc. Dans le contexte de H.323, cest le gatekeeper qui joue le rle de lIPBX.
31
Fonctionnement de H.323
Le fonctionnement interne dun systme H.323 peut tre trs complexe dans certains cas. Jai donc dcid de le simplifier pour en expliquer les principes fondamentaux. Considrons le cas o deux clients enregistrs auprs dun gatekeeper souhaitent communiquer.
Premirement, les deux utilisateurs doivent senregistrer auprs du gatekeeper en lui fournissant leur ID H.323 ainsi que leur adresse IP. Le gatekeeper peut alors tablir une table de correspondance entre lID et ladresse IP de lutilisateur. Le client A demande ensuite au gatekeeper lautorisation de contacter le client B. Si le gatekeeper accepte, il renvoie au client A ladresse IP du client B, condition que ce dernier ne soit pas dj occup. Le gatekeeper prvient alors le client B quune communication avec le client A va avoir lieu. Cette signalisation est effectue grce au protocole H.225. Il est important de noter qu ce stade, les deux clients ne communiquent pas directement, ils passent par le gatekeeper. Ensuite, les deux clients peuvent commencer ngocier les codecs quils vont utiliser. Cette tape est importante, car si aucun accord nest trouv, la communication ne peut pas seffectuer. Cest le protocole H.245 qui est responsable de cette ngociation. Finalement, des ports destins au transport RTP sont ouverts de chaque cot. La communication proprement dite passe par ces ports. A la fin de la session, le gatekeeper
32
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME est inform de la fin de la connexion : les ports sont librs et les transmissions de contrle arrtes.
Le Protocole SIP
Le protocole SIP est depuis 2007 le protocole de signalisation VoIP le plus courant. Se trouvant dans la couche Application du modle TCP/IP, ce protocole a un fonctionnement similaire celui de HTTP (requte/rponse). Il en reprend dailleurs la plupart des enttes et des codes de retour. SIP utilise gnralement les ports 5060 et/ou 5061. Il encapsule SDP (Session Description Protocol) qui dcrit la session proprement dite. SIP est donc uniquement un protocole de signalisation. Il utilise RTP pour le transfert de linformation, tout comme son grand frre H.323. Un rseau SIP est compos de trois grands types dlments : User Agent : un User Agent (UA) peut mettre et recevoir des messages SIP. Un UA joue la fois le rle de User Agent Client (UAC) qui met des messages SIP et celui de User Agent Server (UAS), c'est--dire quil peut rpondre des requtes SIP. La plupart des priphriques SIP est capable de jouer ces deux rles. Ces UA sont identifis par une URI de type sip:user:pass@host:port ; Registrar : le registrar gre les requtes de type REGISTER. A la manire du gatekeeper dun systme H.323, il maintient une base de donnes contenant ladresse IP dun utilisateur laquelle il fait correspondre une URI ; Proxy : un proxy SIP ne sert que dintermdiaires entre deux UAs. Il relaye les messages dun cot ou de lautre.
Messages SIP
Le protocole SIP dfinit plusieurs types de messages, regroups en deux catgories : les requtes et les rponses. Rappelons que la syntaxe est identique celle de HTTP. Requtes : REGISTER : signale ladresse IP et lURI dun User Agent ; INVITE : demande ltablissement dune nouvelle session ; ACK : confirme ltablissement de cette session ; CANCEL : termine une requte INVITE en attente ; BYE : termine la session en cours ; OPTIONS : demande les capacits de lappelant.
Chapitre 3 : Introduction la Voix sur IP Provisional (1xx) : requte reue, en cours de traitement ; Success (2xx) : requte reue et accepte ; Redirection (3xx) : un action de lutilisateur est ncessaire ; Client Error (4xx) : la requte est invalide et ne peut donc pas tre traite par le serveur ; Server Error (5xx) : le serveur ne peut traiter la requte, erreur interne ; Global Failure (6xx) : la requte ne peut tre traite par aucun serveur.
33
Parmi ces codes de retour, on en retrouve quelques uns qui nous sont dj un peu familiers : 100 TRYING, 200 OK, 4O4 NOT FOUND ou encore 500 SERVER ERROR. Le protocole SIP a cependant quelques codes de retours qui lui sont propres : 180 RINGING, 486 BUSY ou plus gnralement les codes x80.
Fonctionnement de SIP
Le protocole SIP est assez simple comprendre dans le sens o cest un protocole avec une architecture requte/rponse dont les messages sont cods en ASCII, ce qui les rend lisibles pour peu prs tout le monde. Le schma suivant illustre une session SIP travers un proxy.
34
Ce schma est assez explicite. Les deux clients tant auparavant enregistrs auprs du registrar, le client A dcide dappeler le client B. Cette demande de session se traduit par lenvoi dune requte INVITE. Dans ce cas, le proxy ne sert qu retransmettre les messages de part et dautres, sont rle nest donc pas trs important. Le client B reoit la requte INVITE et envoie le code de retour 100 TRYING pour prvenir le client A que la requte a bien t reue et quelle est actuellement traite. Le tlphone du client B va ensuite sonner, ce qui gnrera un message vers le client A suivi dun 200 OK pour dire que tout sest bien pass. Le client A doit finalement confirmer ltablissement de la session en envoyant au client B une requte ACK. La communication est maintenant tablie. SIP ninterviendra plus durant lchange vocal, cest RTP qui va prendre la main pour grer les flux de donnes. A la fin de la communication, le client A termine lappel, ce qui engendre une requte BYE. Le client B accepte et renvoie le code 200 OK. La session SIP est termine.
35
Codecs Audio
Il existe une multitude de codecs audio. Ces derniers sont gnralement ngocis lors de ltablissement de la session. Ils sont essentiels au bon fonctionnement dun rseau VoIP car deux clients ne pourraient pas communiquer sils nutilisent pas le mme codec que lon pourrait associer parler le mme langage . Ces codecs ont des caractristiques diffrentes qui rendent leur utilisation prfrable dans certains cas. Voici un tableau reprenant la plupart des codecs actuels : Codec G.711 G.729 G.723.1 G.723.1 G.726 G.728 GSM iLBC Dbit 64 Kbps 8 Kbps 6.3 Kbps 5.3 Kbps 32 Kbps 16 Kbps 13.2 Kbps 15.2 Kbps Score MOS 4.45 3.92 3.9 3.65 3.85 3.61 3.5 4.14 BP 802.3 87.2 Kbps 31.2 Kbps 21.9 Kbps 20.8 Kbps 55.2 Kbps 31.5 Kbps 28.7 Kbps 30.83 Kbps 1 heure 38.3 MB 13.7 MB 9.6 MB 9.1 MB 24.2 MB 13.8 MB 12.6 MB 13.5 MB
La plupart des noms de codecs commencent par un G. et sont des codecs qui ont t standardis par lITU-T, lorganisation qui soccupe galement de H.323. Le codec GSM est similaire celui utilis sur les appareils portant le mme nom. Ces codecs peuvent tre diffrencis par la bande passante quils ncessitent, par la qualit du son quils fournissent ou encore par la puissance de calcul dont ils ont besoin pour coder le signal. La quatrime colonne indique la bande passante utilise par le codec lorsque celui-ci est encapsul dans une frame Ethernet 802.3. La dernire colonne se base sur ces donnes pour donner une ide de la consommation aprs une heure dutilisation. Le choix dun codec adquat peut donc faire pargner jusque 30 MB par heure ce nest pas norme, mais pour une entreprise de 500 personnes, ce nest pas ngligeable (15 GB par heure !). Evidemment, ces donnes ne sont pas reprsentatives mais permettent de plus ou moins mesurer limpact dun choix de codec. Le score MOS (Mean Opinion Score) reprsente la qualit de restitution sonore dun codec. Cette note peut varier de 0 5 respectivement trs mauvais et excellent. Les tests MOS sont spcifis par la recommandation P.800 de lITU-T. Ces tests sont trs souvent raliss sur un certain panel de la population, auquel on fait couter un son et ensuite son quivalent cod. Les auditeurs doivent ensuite noter la qualit du son et ce sont ces notes qui constituent le score MOS. Tous ces codecs ont le mme rle : Numriser le signal analogique entrant. Ce signal doit tre converti sous forme numrique suivant le format PCM (Pulse Code Modulation) 64 Kbps ; TFE 2008 - 2009
36
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME Compresser le signal numrique. Cette compression est le plus souvent ralise par un DSP (Digital Signal Processor). Le signal compress est ensuite encapsul dans des paquets IP. Si la bande passante est suffisante, il est possible de transfrer le signal 64 Kbps ; Du cot du rcepteur, cest la dmarche inverse qui doit tre effectue. Le signal numrique est dcompress pour ensuite subir une reconversion analogique.
La Solution Cisco
Cisco Unified Communications
La plateforme Unified Communications (UC) de Cisco a pour principal but de simplifier et de rassembler toutes formes de communications telles que les appels tlphoniques, la vido, les e-mails ou encore la messagerie instantane. Une vaste panoplie de logiciels compose cette solution : Manager, Unity, MeetingPlace, Workspace, Mobile Communicator, Le produit qui va nous intresser tout au long de ce document est Communications Manager, ou plutt sa version allge appele Communications Manager Express.
37
Prsentation du Matriel
Cisco ISR 2801
Le Cisco Integrated Service Router 2801 est un routeur hautes-performances quip de deux interfaces 10/100 Mbps. Il peut contenir jusqu quatre modules VIC/WIC/HWIC. La srie 2800 ISR a t optimise pour un transport rapide et scuris de donnes, voix et vido, ce qui implique le support de UC Manager Express.
38
Premire Topologie
Voici ce quoi ressemblera la topologie du premier lab :
39
Jai utilis du SPAN dans les labs afin de voir le trafic passant par le switch. Cela ma permis dobserver des processus darrire-plan qui ne sont pas toujours visibles pour lutilisateur final. La configuration qui suit copie simplement tout le trafic venant du port Fa0/1 vers le port Fa0/23 auquel un ordinateur portable quip de Wireshark est connect.
(config)#monitor session 1 source interface FastEthernet0/1 (config)#monitor session 1 destination interface FastEthernet0/23
Dautres variantes du SPAN existent mais nont pas t utilises dans mon cas. On y retrouve RSPAN (Remote SPAN) et ERSPAN (Encapsulated Remote SPAN).
40
La premire mthode, 802.3af est standardise et offre une interoprabilit entre constructeurs. Cette norme fut ratifie le 11 juin 2003 et publie le 11 juillet 2003. Les priphriques connects sont dtects par le switch qui applique une tension sur chacune des paires de donnes du cble UTP. Il peut ensuite mesurer la rsistance sur ces paires afin de dtecter si oui ou non un priphrique consomme du courant. Une rsistance de 25 kOhm indique quun priphrique PoE est prsent. 802.3af dfinit galement cinq classes correspondant chacune une valeur de rsistance. Ces classes permettent de fournir au priphrique uniquement la puissance dont il a besoin. Le tableau qui suit liste ces classes : Classe 0 (par dfaut) 1 2 3 4 Puissance Maximale 15.4 Watts 4.0 Watts 7.0 Watts 15.4 Watts Rserv
La classe par dfaut est utilise lorsque le priphrique ne supporte pas la dcouverte des classes 802.3af. La deuxime mthode est diffrente. Cisco Inline Power est, comme son nom lindique, une technologie propritaire dveloppe par Cisco. Cette mthode a t dveloppe avant la norme 802.3af. La dtection du priphrique est ralise par lenvoi dune signal de test 340 KHz sur les paires de transmission (Tx). Un priphrique PoE comme un tlphone IP boucle les paires Tx/Rx de son cble Ethernet lorsquil est teint. Ds quil est connect un switch PoE, le switch rcupre son signal de test et sait quil peut alors alimenter le priphrique. Power over Ethernet fournit une tension de 48 Volts DC. Cisco ILP utilise les paires 2 et 3 (pins 1-2 et 3-6) tandis que 802.3af utilise soit les paires 2 et 3 ou les paires 1 et 4 (pins 4-5 et 7-8).
41
Cest la technologie Cisco ILP qui a t utilise tout au long du lab car le matriel utilis est du matriel Cisco. Les deux mthodes sont supportes, cependant ILP est utilis par dfaut. Commenons par connecter un tlphone IP au switch. Les rsultats suivants ont t obtenus grce la commande show power inline :
rogue-sw1#show power inline Available:370.0(w) Used:6.3(w) Interface Admin Oper Remaining:363.7(w) Device ------------------IP Phone 7960 n/a n/a n/a n/a n/a n/a Class Max ----n/a n/a n/a n/a n/a n/a n/a ---15.4 15.4 15.4 15.4 15.4 15.4 15.4
Power (Watts) --------- ------ ---------- ------Fa0/1 auto on 6.3 Fa0/2 auto off 0.0 Fa0/3 auto off 0.0 Fa0/4 auto off 0.0 Fa0/5 auto off 0.0 Fa0/6 auto off 0.0 Fa0/7 auto off 0.0 ...
Chaque port est configur en mode auto par dfaut. Il y a trois diffrents modes: auto : dtecte et alimente automatiquement le priphrique ;
42
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME static : applique une tension un priphrique qui ne pourrait interagir ni avec ILP ni avec 802.3af ; never : Power over Ethernet est dsactiv sur ce port.
On peut constater que le switch connat le modle du tlphone IP connect et la puissance dont il a besoin. Ces informations sont envoyes par le tlphone IP via des annonces CDP. On peut le vrifier en activant le debug pour ILP :
rogue-sw1#debug ilpower powerman rogue-sw1# *Mar 2 23:29:57.633: Ilpower PD device 1 class 2 from interface (Fa0/1) *Mar 2 23:29:57.633: ilpower new power from pd discovery Fa0/1, power_status ok *Mar 2 23:29:57.633: Ilpower interface (Fa0/1) power status change, allocated power 15400 *Mar 2 23:29:58.061: %ILPOWER-5-POWER_GRANTED: Interface Fa0/1: Power granted *Mar 2 23:30:01.534: ilpower_powerman_power_available_tlv: about sending patlv on Fa0/1 *Mar 2 23:30:01.534: req id 0, man id 1, pwr avail 15400, pwr man -1 *Mar 2 23:30:02.004: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up *Mar 2 23:30:02.004: ilpower_powerman_power_available_tlv: about sending patlv on Fa0/1 *Mar 2 23:30:02.004: req id 0, man id 1, pwr avail 15400, pwr man -1 *Mar 2 23:30:03.010: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up *Mar 2 23:30:05.409: Interface(Fa0/1) - processing old tlv from cdp, request 6300, current allocated 15400 *Mar 2 23:30:05.409: Interface (Fa0/1) efficiency is 100
Les annonces CDP captures par Wireshark nous dmontrent exactement la mme chose :
43
Dernire vrification, jai dsactiv CDP sur linterface F0/1 du switch. Jai ensuite dbranch le tlphone IP, nettoy la table CDP et rebranch le tlphone. La commande show power inline affiche maintenant :
rogue-sw1(config)#interface FastEthernet0/1 rogue-sw1(config-if)#no cdp enable rogue-sw1(config-if)#^Z rogue-sw1# rogue-sw1#clear cdp table rogue-sw1#show power inline Available:370.0(w) Used:15.4(w) Remaining:354.6(w) Interface Admin Power (Watts) --------- ------ ---------- ------Fa0/1 auto on 15.4 Fa0/2 auto off 0.0 Fa0/3 auto off 0.0 Fa0/4 auto off 0.0 Fa0/5 auto off 0.0 Fa0/6 auto off 0.0 Fa0/7 auto off 0.0 ... Oper Device ------------------Cisco PD n/a n/a n/a n/a n/a n/a Class Max ----n/a n/a n/a n/a n/a n/a n/a ---15.4 15.4 15.4 15.4 15.4 15.4 15.4
Sans les annonces CDP, le switch fournit la puissance par dfaut, c'est--dire 15.4 Watts au priphrique qui sappelle maintenant Cisco PD (Powered Device). Une dernire remarque importante : lorsquun priphrique aliment par PoE est dbranch, le port reste aliment durant 4 secondes supplmentaires, dans le cas o le priphrique serait rebranch. Si ce nest pas le cas, la tension est supprime du port. Il nest donc pas conseill de brancher un priphrique rseau quelconque juste aprs avoir dconnect un priphrique PoE.
44
NTP
La configuration de lheure est importante, les tlphones IP se synchroniseront avec le serveur NTP interne du routeur :
rogue-cme(config)#clock timezone CET +1 rogue-cme(config)#clock summer-time CEST recurring rogue-cme(config)#^Z rogue-cme#clock set 13:25:00 08 Apr 2009 rogue-cme#configure terminal rogue-cme(config)#ntp master
DHCP
Le routeur jouera galement le rle de serveur DHCP. Cest lui qui distribuera les adresses IP aux tlphones :
rogue-cme(config)#ip dhcp pool voicePool rogue-cme(dhcp-config)#network 172.19.13.0 /24 rogue-cme(dhcp-config)#default-router 172.19.13.254 rogue-cme(dhcp-config)#option 150 ip 172.19.13.254
45
Deux remarques importantes. Tout dabord, la commande option permet de spcifier une option DHCP, dans notre cas loption 150 qui correspond ladresse IP du serveur TFTP. Les tlphones IP utilisent ce serveur TFTP pour rcuprer tous les fichiers dont ils ont besoin, comme leur fichier de configuration, sonneries, ... Jai prfr utiliser le serveur TFTP fourni par lIOS, cest pourquoi ladresse IP spcifie dans la commande est celle du routeur. La deuxime commande importante est ip dhcp excludedaddress ; elle empche au routeur de distribuer sa propre adresse IP.
DHCP Statique
Il est galement possible de faire des assignations statiques dadresses IP base sur ladresse MAC du client. Dans ce cas, un pool DHCP doit tre cr pour chaque client. Voici un exemple de pool :
rogue-cme(config)#ip dhcp pool cp7960 rogue-cme(dhcp-config)#host 172.19.13.13 /24 rogue-cme(dhcp-config)#client-identifier 0030.94C2.5E19 rogue-cme(dhcp-config)#default-router 172.19.13.254 rogue-cme(dhcp-config)#option 150 ip 172.19.13.254 rogue-cme(dhcp-config)#exit
La commande ip source-address permet de spcifier au routeur ladresse et le port partir desquels il reoit les messages des tlphones IP. Le port par dfaut est le port 2000, il nest donc pas obligatoire de le spcifier dans la commande.
rogue-cme(config-telephony)#date-format dd-mm-yy rogue-cme(config-telephony)#time-format 24 rogue-cme(config-telephony)#time-zone 23
Ces trois commandes configurent le format de la date et de lheure. Jai utilis le format europen (jour/mois/anne). Le 23me time-zone correspond Western Europe.
46
Les deux dernires commandes, max-ephones et max-dn indiquent le nombre maximum de tlphones et de numros que le routeur peut supporter.
Configuration Automatique
La configuration de UCME peut tre faite via un assistant. Cet assistant, qui peut tre appel par la commande telephony-service setup, neffectue quune configuration basique du systme comme celle dcrite ci-haut. Cette commande est nanmoins dprcie depuis la version 7.0 de UCME.
Assignation Statique
Dans cet exemple, nous allons ajouter deux tlphones : Sweeney Todd utilisera le 7960 et possdera deux numros (1001 et 1003) ; Adolfo Pirelli utilisera le 7941G-GE et ne possdera quun seul numro (1002). TFE 2008 - 2009
47
La premire chose faire est de crer les trois lignes ou numros que lon va attribuer. Nous allons donc crer trois Directory Numbers ou ephone-dns :
rogue-cme(config)#ephone-dn 1
Le numro pass en paramtre la commande est le tag (numro de squence) qui identifie le DN de faon unique.
rogue-cme(config-ephone-dn)#number 1001
Nous configurons ici le numro que nous souhaitons attribuer lutilisateur. Cest ce numro qui sera utilis par les autres utilisateurs souhaitant contacter cette personne.
rogue-cme(config-ephone-dn)#name Sweeney Todd rogue-cme(config-ephone-dn)#exit
La commande name nest pas obligatoire mais permet UCME de construire un directory local qui permettra par aprs de rechercher un numro partir du nom dune personne.
rogue-cme(config)#ephone-dn 2 rogue-cme(config-ephone-dn)#number 1002 rogue-cme(config-ephone-dn)#name Adolfo Pirelli rogue-cme(config-ephone-dn)#exit rogue-cme(config)#ephone-dn 3 rogue-cme(config-ephone-dn)#number 1003 rogue-cme(config-ephone-dn)#name Sweeney Todd rogue-cme(config-ephone-dn)#exit
Nous avons nos trois numros mais ceux-ci ne sont pas encore attribus des tlphones. Configurons maintenant les deux tlphones :
rogue-cme(config)#ephone 1 rogue-cme(config-ephone)#mac-address 0030.94C2.5E19
La dmarche est la mme : un numro de squence identifie le tlphone. Ladresse MAC permet de reconnatre le tlphone lorsque celui-ci senregistre auprs de UCME.
rogue-cme(config-ephone)#type 7960
Nous pouvons galement spcifier le type de tlphone que nous utilisons. UCME en reconnait peu prs 30. Cette commande permet entre autres de limiter le nombre de lignes assignable en fonction du nombre de boutons que le tlphone possde.
rogue-cme(config-ephone)#button 1:1 2s3 rogue-cme(config-ephone)#exit
48
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME Cette dernire commande associe les ephone-dns prcdemment configurs au tlphone. Ce sont des couples de nombres spars par un caractre qui sont fournis en paramtre cette commande : Le premier nombre reprsente lindex du bouton du tlphone. Le deuxime nombre reprsente le numro de squence de lephone-dn correspondant. Le caractre les sparant peut tre un des caractres suivants : normal line : la sonnerie est normale ; silent ring : le tlphone ne sonne pas, ne bippe pas ; silent ring : le tlphone ne sonne pas mais il bippe ; feature ring : la cadence de la sonnerie change si cest un appel interne ou un appel externe ; m monitor line : affiche si la ligne est utilise ou pas, mais ne peut pas recevoir dappels ; w watch line : affiche ltat de la ligne ; o, c, x overlay mode : ces modes permettent dassigner plusieurs DNs un seul bouton du tlphone.
: s b f
Dans lexemple ci-dessus, button 1:1 2s3, le premier bouton est associ au DN 1 (numro 1001) en mode normal tandis que le second bouton du tlphone est associ au DN 3 (numro 1003) en mode silencieux.
rogue-cme(config)#ephone 2 rogue-cme(config-ephone)#mac-address 0018.19B3.0224 rogue-cme(config-ephone)#type 7941GE rogue-cme(config-ephone)#button 1:2 rogue-cme(config-ephone)#exit
On y retrouve quelques informations dont lidentifiant du tlphone (SEP...) et son adresse IP. Lidentifiant est en fait compos des trois lettres SEP (Selsius Ethernet Phone) auxquelles a t ajout ladresse MAC du tlphone. Selsius est le nom de lentreprise qui fabriquait autrefois ces tlphones IP ; elle a ensuite t rachete par Cisco.
Assignation Automatique
Les deux tlphones que nous venons de configurer ont t configurs de manire statique ; nous avons utilis leur adresse MAC pour les identifier. Il est galement
Chapitre 4 : Prise en main dUC Manager Express possible dassigner des DN des tlphones sans que ces derniers ne soient pralablement configurs en tant que ephones. Pour ce faire, seuls les DNs doivent tre configurs. Par exemple :
rogue-cme(config)#ephone-dn 10 rogue-cme(config-ephone-dn)#number 1010 rogue-cme(config-ephone-dn)#name Anonymous0 rogue-cme(config-ephone-dn)#exit rogue-cme(config)#ephone-dn 11 rogue-cme(config-ephone-dn)#number 1011 rogue-cme(config-ephone-dn)#name Anonymous1 rogue-cme(config-ephone-dn)#exit
49
Ainsi, lorsque des tlphones qui ne sont pas dfinis explicitement dans la configuration senregistrent, UCME leur attribue un DN faisait partie du range spcifi dans la commande. Un ephone est alors cr automatiquement pour ce tlphone et le DN y est associ. La commande auto assign permet aussi dassigner des DNs uniquement certains types de tlphones. Il suffit dajouter le suffixe type la commande :
rogue-cme(config-telephony)#auto assign 10 to 11 type 7960
Dans ce cas, seuls des tlphones IP de type 7960 recevront un DN. Cette fonctionnalit est utile lorsquune grande quantit de tlphones doit tre dploye, cependant elle donne moins de contrle ladministrateur ; il ne peut pas contrler qui peut ou ne peut pas rejoindre le rseau VoIP.
Templates
La configuration de tlphones IP peut tre simplifie lorsque beaucoup de tlphones doivent tre configurs de faon semblable. Prenons pour exemple le cas o tous les tlphones IP doivent utiliser un codec spcifique disons ilbc et disposer galement dun bouton composant automatiquement le numro de laccueil. Lutilisation dun codec spcifique se fait grce la commande codec :
rogue-cme(config-ephone)#codec ilbc
50
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME La fonctionnalit qui permet dassocier la composition dun numro un bouton sappelle speed-dial. La commande utiliser est galement trs explicite :
rogue-cme(config-ephone)#speed-dial 1 1999 label Receptionist
Afin dviter de rajouter ces deux lignes dans la configuration de tous les tlphones, il est possible de crer un template auquel on ajoutera ces deux lignes. Il suffira ensuite dappliquer ce template aux tlphones en question :
rogue-cme(config)#ephone-template 1 rogue-cme(config-ephone-template)#codec ilbc rogue-cme(config-ephone-template)#speed-dial 1 1999 label Receptionist rogue-cme(config-ephone-template)#exit
Le template est cr, il ne reste plus qu lappliquer. On peut noter que les templates sont identifis eux aussi par un numro de squence.
rogue-cme(config)#ephone 1 rogue-cme(config-ephone)#ephone-template 1 The ephone template tag has been changed under this ephone, please restart or reset ephone to take effect. rogue-cme(config-ephone)#restart restarting 0030.94C2.5E19 rogue-cme(config-ephone)#exit
51
Il est galement possible de dfinir des templates pour les DNs. Ces templates peuvent tre dfinis avec la commande ephone-dn-template.
52
Le tlphone IP ci-dessus est videmment un softphone (Cisco IP Communicator) mais il reprend quelques dtails prs les menus de vrais tlphones IP Cisco. Un tlphone IP neuf possde un firmware SCCP par dfaut. Lorsquil rcupre son fichier de configuration, il compare la version du firmware indique avec celle quil possde. Si les deux version sont diffrentes, le tlphone IP contacte le serveur TFTP pour rcuprer la nouvelle version du firmware avant de senregistrer auprs de UCME. Une convention est utilise pour le nommage des firmwares. Pour un firmware SCCP, le nom du fichier aura la forme P003xxyyzzww o x, y, z et w indiquent la version en cours. Pour un firmware SIP, le format est P0S3-xx-y-zz. Il existe des exceptions : par exemple, le nom des firmwares pour ATA commence par AT. Pour les tlphones IP bass sur Java, le firmware est un ensemble de fichiers jar.
Tlchargement du Firmware
La premire chose faire est donc de tlcharger le firmware, disponible sur le site de Cisco (www.cisco.com). Une fois connect, il suffit daller dans la section tlchargements et ensuite dans la catgorie Voice and Unified Communications. Un menu en arbre permet dexplorer les diffrents produits jusqu en arriver au tlphone IP qui nous intresse.
53
La plupart des tlphones proposent un firmware SCCP et SIP. Un fichier zip comprenant tous les fichiers ncessaires est alors propos :
54
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME Le fichier que nous avons tlcharg est une archive zip. Cependant, le routeur ne pourra pas en extraire les fichiers... cest pourquoi il est prfrable de dzipper le fichier et de placer les fichiers rsultants dans une archive tarball. Rappelons quune archive tarball (extension .tar) ne compresse aucun de ses fichiers, elle les regroupe simplement afin quils soient plus facilement transportables. De plus, le routeur est capable dextraire les fichiers contenus dans une archive tar. Dans lexemple ci-dessous, nous rcuprons une archive tarball par SCP et nous lextrayons dans la flash du routeur :
rogue-cme#archive tar /xtract scp://fred:blah@144.254.10.204/7941g.tar flash: Loading 7941g.tar from 144.254.10.204 (via FastEthernet0/0): ! extracting apps41.8-4-3-16.sbn (2926641 bytes)!!!!!!!!!!! extracting cnu41.8-4-3-16.sbn (482686 bytes)!! extracting cvm41sccp.8-4-3-16.sbn (2702457 bytes)!!!!!!!!!! extracting dsp41.8-4-3-16.sbn (537209 bytes)!! extracting jar41sccp.8-4-3-16.sbn (447300 bytes)!! extracting SCCP41.8-4-4S.loads (638 bytes) extracting term41.default.loads (642 bytes) extracting term61.default.loads (642 bytes) [OK - 7106048 bytes]
Il faut maintenant activer le partage de ces fichiers pour le serveur TFTP. La commande utiliser est tout simplement tftp-server.
rogue-cme(config)#tftp-server rogue-cme(config)#tftp-server rogue-cme(config)#tftp-server rogue-cme(config)#tftp-server rogue-cme(config)#tftp-server rogue-cme(config)#tftp-server rogue-cme(config)#tftp-server flash:apps41.8-4-3-16.sbn flash:cnu41.8-4-3-16.sbn flash:cvm41sccp.8-4-3-16.sbn flash:dsp41.8-4-3-16.sbn flash:jar41sccp.8-4-3-16.sbn flash:SCCP41.8-4-4S.loads flash:term41.default.loads
Chapitre 4 : Prise en main dUC Manager Express La dernire chose faire est dindiquer aux tlphones quils doivent utiliser ce firmware. Ceci peut tre ralis grce la commande load :
rogue-cme(config)#telephony-service rogue-cme(config-telephony)#load 7941GE SCCP41.8-4-4S rogue-cme(config-telephony)#create cnf-files Creating CNF files
55
La dernire commande, create cnf-files, reconstruit les fichiers de configuration des tlphones. Il ny a plus qu redmarrer le tlphone pour quil prenne en compte le nouveau firmware. Afin de vrifier si tout sest bien pass, il est possible dafficher le firmware utilis par un tlphone dans UCME :
rogue-cme#show ephone phone-load DeviceName CurrentPhoneload PreviousPhoneload LastReset ===================================================================== SEP001819B30224 SCCP41.8-4-4S SCCP41.8-4-4S Reset-Restart
56
Beaucoup de protocoles sont prsents : CDP : le matriel Cisco envoie des messages CDP par dfaut : ce sont ces messages qui permettent de rguler la puissance fournie par le switch PoE ; DHCP : le tlphone utilise DHCP pour acqurir une adresse IP ; SKINNY : cest ce protocole qui va nous intresser : il gre la communication entre notre tlphone et le UCME ; ARP : ce protocole est utilis pour rcuprer ladresse MAC dun hte partir de son adresse IP dans ce cas-ci, le UCME ; TFTP : le tlphone utilise ce protocole pour rcuprer son fichier de configuration, une ventuelle mise jour de firmware, ...
Aprs lapplication dun filtre, nous nous retrouvons uniquement avec des paquets SCCP :
57
Nous avons donc une conversation entre notre tlphone IP (172.19.13.2) et le UC Manager Express (172.19.13.254). On peut deviner le rle de certains paquets : le RegisterMessage enregistre le tlphone auprs de UCME qui rpond laide dun RegisterAckMessage. Le CapabilitiesReqMessage est sans doute une ngociation des fonctionnalits disponibles le nombre de boutons ? les codecs ? Hlas, ces suppositions ne suffiront pas comprendre le fonctionnement de ce protocole... passons en revue les diffrents types de messages du moins, les plus importants.
58
Attention : lunit des paquets dcrits ci-dessous est loctet et non le bit... Les paquets SCCP sont prfixs dun entte fixe que voici :
La version est ngocie entre le UCME et le tlphone. Tous les messages mis et/ou reus avant et durant lenregistrement du tlphone ne possdent pas de version. Dans ce cas, le champ sccpVersion est mis zro. Tous les messages SCCP possde un messageID qui les identifie de faon unique. Par exemple, le messageID 0x00000094 correspond StationDefineTimeDate.
59
Le champ Text fournit une description de lerreur et il est possible dy ajouter deux paramtres. Un tlphone IP utilise gnralement le deuxime paramtre pour y placer son adresse IP.
60
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME Voici une brve explication des diffrents champs :
DeviceName : nom du tlphone gnralement SEP suivi de ladresse MAC; StationUserId : rserv pour plus tard valeur 0 ; StationInstance : nombre dinstances de la station normalement 1 ; StationIpAddr : adresse IP du tlphone ; DeviceType : type de priphrique ; maxStreams : nombre de flux RTP simultans que le tlphone peut grer ; activeStreams : nombre de flux RTP actifs ; protocolVer : version du protocole SCCP utilise par le tlphone ; macAddress : adresse MAC du tlphone ; maxNumberofLines : nombre de lignes que le tlphone supporte ; IpV4AddressScope : dfinit le scope de ladresse IP administration,
Malheureusement, le dissecteur SCCP actuel de Wireshark nest pas trs labor rappelons que SCCP est un protocole propritaire. Tous les champs ne sont donc pas accessibles...
61
keep-alives venant du client SCCP vers le UCME primaire ; dateTemplate : format de la date ; secondaryKeepAliveInterval : indique le temps maximum (en secondes) entre deux keep-alives venant du client SCCP vers le UCME secondaire ; maxProtocolVersion : indique au client SCCP la version de Skinny support par le UCME.
62
Le champ payloadCapability contient lidentifiant du codec (par exemple 4 pour G.711u, 11 pour G.729, etc).
Le champ buttonOffset indique lindex du premier bouton dfini dans le message. Le champ buttonCount indique quant lui le nombre de dfinitions valides prsentes dans le message. Le champ totalButtonCount reprsente le nombre total de boutons pour le priphrique concern (le tlphone). Pour chaque dfinition de bouton, un champ Dfinition est envoy. Ce champ est compos de deux octets : instanceNumber et buttonDefinition.
63
Le champ systemTime correspond la dfinition de la date contenue dans la structure StationTime (les champs griss). Ce champ utilise le format Microsoft.
Fonctionnement de SCCP
Les diagrammes de squence qui suivent illustrent le fonctionnement de SCCP.
Enregistrement
Dans un premier temps, nous allons nous attarder sur lenregistrement dun client SCCP. Ce premier exemple montre le processus denregistrement dun client Skinny quelconque ; cest le processus minimal aussi appel legacy :
64
Lenregistrement est compos de sept changes : 1) Le tlphone et UCME sassurent mutuellement que le lien est bien actif avant dentamer quoi que ce soit (StationKeepAlive / StationKeepAliveAck) ; 2) Le tlphone envoie ensuite UCME ses messages derreurs, ses notifications (StationAlarm) ; 3) Le processus denregistrement dbute ensuite. UCME peut accepter ou rejeter la demande ; sil la rejete, lchange est termin (StationRegister / StationRegisterAck / StationRegisterReject) ; 4) Le quatrime change concerne le firmware que le tlphone IP doit utiliser. Si le firmware propos par UCME est plus rcent, le client SCCP tlcharge la nouvelle version via TFTP (StationVersionReq / StationVersionRes) ;
Chapitre 4 : Prise en main dUC Manager Express 5) Vient ensuite la ngociation des codecs ; le tlphone IP numre les codecs quil supporte auprs de UCME (StationCapabilitiesReq / StationCapabilitiesRes) ; 6) Le tlphone demande ensuite UCME de mettre jour la dfinition de ses boutons (StationButtonTemplateReq / StationButtonTemplateRes) ; 7) Finalement, UCME fournit la date locale au client SCCP ( StationTimeDateReq / StatinDefineTimeDate). Suite larriv de tlphones IP plus volus comme le 7940 ou le 7960, la complexit du processus denregistrement a augment. Beaucoup de nouveaux messages ont fait leur apparition :
65
66
67
Parmi les nouveaux changes, nous retrouvons : Le message StationHeadsetStatus informe UCME du statut du headset du tlphone IP ; Suite la demande du client SCCP (StationSoftKeyTemplateReq), UCME linforme via un message StationSoftKeyTemplateRes du template utilis pour les softkeys (touches raccourcis situes sous lcran du tlphone) ; Le message StationLineStat est utilis par le tlphone pour rcuprer les DNs de ses diffrentes lignes. Ce message peut tre utilis plusieurs fois ; Les messages StationSpeedDialStatReq et StationSpeedDialStatRes indiquent au tlphone les speed dials quil doit utiliser ; Le message StationRegisterAvailableLines enregistre les lignes du tlphone auprs de UCME.
Appel
Lors dun appel, la signalisation passe par le UC Manager Express. Une fois la connexion tablie, les deux clients communiquent directement par flux RTP. Les messages utiliss dans ce processus sont compltement diffrents de ceux utiliss par lenregistrement du client. Voici le diagramme dune demande dappel entre deux clients Skinny :
68
Voici une description des messages qui sont utiliss : Le message StationOffHook indique UCME que le cornet du tlphone est dcroch ; Le rle du message StationDisplayText est, comme son nom lindique, dafficher un message sur lcran du tlphone ; UCME utilise le message StationSetLamp pour contrler ltat de la LED du tlphone. Cinq tats sont possibles : Off, On (Steady), Wink, Flash et Blink ; Les messages StationKeypadButton sont envoys UCME pour indiquer quune touche du tlphone a t presse;
Chapitre 4 : Prise en main dUC Manager Express Le message StationStartTone indique au tlphone de jouer la tonalit. Le mode alerting est le mode que lon entend lorsque lon attend que le correspondant dcroche ; Le message StationStopTone indique au tlphone de ne plus jouer la tonalit. Ce message est envoy au tlphone ds quune touche est presse ; Le message StationCallInfo donne au tlphone des informations sur lappel ; Le message StationSetRinger fait sonner le tlphone. Plusieurs modes sont possibles : RingOff, InsideRing, OutsideRing, FeatureRing et FlashOnly ; Le message StationOpenReceiveChannel demande au tlphone douvrir un flux RTP/UDP unicast. Le client SCCP rpond par un message StationOpenReceiveChannelAck qui contient ladresse IP et le port du flux RTP/UDP ; Finalement, le message StationStartMediaTransmission indique au client Skinny quil doit commencer transmettre sur le flux RTP/UDP. Ce message contient ladresse IP et le port du flux RTP distant (celui de lautre client).
69
A partir de ce moment, les deux clients SCCP communiquent par flux RTP/UDP. Lorsquun client termine lappel en raccrochant, les messages suivants sont changs :
Les messages sont sensiblement les mmes que lors du dbut de lappel. Quand le premier client raccroche, le message StationOnHook est envoy au UCME. Les deux clients ferment ensuite leur flux RTP/UDP et les LED sont teintes.
70
71
Message Systme
Il est possible dafficher une phrase dans le bas de lcran des tlphones IP connects UCME. Si cette fonctionnalit peut sembler inutile, elle peut servir par exemple pour prvenir les utilisateurs dune maintenance rseau.
rogue-cme(config)#telephony-service rogue-cme(config-telephony)#systeme message /!\ Maintenance reseau /!\
Extension Mobility
Lextension Mobility permet un utilisateur dutiliser un tlphone qui nest pas le sien tout en gardant ses paramtres, ses numros, ses services, etc comme sil utilisait son propre tlphone. Chaque tlphone IP pour lequel lextension Mobility est active est configur avec un logout-profile. Cest un profil par dfaut qui nest associ aucun utilisateur en particulier. Lutilisateur peut ensuite sauthentifier sur le tlphone et ainsi rcuprer ses prfrences.
72
La commande em keep-history permet de garder lhistorique des appels lorsquun utilisateur se dconnecte dun tlphone o lextension Mobility est active. La commande em logout dfinit jusqu trois heures auxquelles les utilisateurs Mobility seront automatiquement dconnects.
Il est important de noter que le numro spcifi lors de la commande number doit exister pour pouvoir tre utilis, mme si lon ne spcifie pas de DN. Le profil peut ensuite tre appliqu sur tous les tlphones qui serviront en tant que tlphones Mobility :
rogue-cme(config)#ephone 2 rogue-cme(config-ephone)#logout-profile 1 rogue-cme(config-ephone)#ephone 5 rogue-cme(config-ephone)#logout-profile 1
Ce profil utilisera donc le numro 1001 qui est associ Sweeney Todd, et possdera galement un bouton pour le speed-dial afin de contacter Adolfo Pirelli (le 1002). La commande user permet de spcifier le nom dutilisateur et le mot de passe utiliser pour se connecter sur un tlphone Mobility avec ce profil.
73
74
Si lutilisateur retourne dans le menu Mobility alors quil est dj connect, il lui sera alors propos de se dconnecter. A noter que lorsquun utilisateur se connecte sur un tlphone alors quil est dj connect sur un autre, il est automatiquement dconnect du premier tlphone sur lequel il sest connect.
75
Le SNR nest cependant pas un simple transfert dappel comme on pourrait le croire : si lutilisateur revient entretemps son bureau, il peut choisir de reprendre lappel sur son tlphone principal (le tlphone IP) sans perdre la connexion. SNR nest malheureusement pas compatible avec SIP ni avec les tlphones analogiques connects un FXS. Lextension Mobility doit tre active pour que cette fonctionnalit puisse tre utilise. Le SNR peut tre configur avec la commande suivante :
rogue-cme(config-ephone-dn)#snr numero delay <0-10> timeout <5-60>
Le paramtre delay dfinit le nombre de secondes pendant lesquelles le tlphone IP doit sonner avant de transfrer lappel sur lautre tlphone. Le paramtre timeout indique quant lui le nombre de secondes durant lesquelles le tlphone IP doit continuer de sonner, mme si lappel a dj t pris par lautre tlphone. Lexemple qui suit active SNR pour le DN 7 :
rogue-cme(config)#ephone-dn 7 rogue-cme(config-ephone-dn)#mobility rogue-cme(config-ephone-dn)#snr 90478123456 delay 10 timeout 15
76
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME La capture dcran suivante montre le sous-menu ddi SNR ; il permet lutilisateur de facilement modifier le numro auquel il souhaite tre joint.
Un compte comme ceux utiliss dans lextension Mobility un voice user-profile peut aussi tre utilis en tant que compte utilisateur.
Chapitre 5 : Fonctionnalits Supplmentaires nest pas obligatoire (bien que prfrable). La configuration qui suit active le service web :
rogue-cme(config)#ip rogue-cme(config)#ip rogue-cme(config)#ip rogue-cme(config)#ip http http http http server secure-server path flash:gui authentication local
77
La mthode dauthentification peut tre aaa, local ou enable. Le path fourni la deuxime ligne indique au serveur web le rpertoire dans lequel il doit aller chercher les pages web. Le rpertoire gui repris dans cet exemple est le rpertoire que lon a rcupr partir de larchive comprenant les firmwares de base, linterface web, des sonneries, etc. Il faut ensuite crer un compte administrateur systme afin de pouvoir se logger sur la page. Ceci se fait en utilisant la commande web admin :
rogue-cme(config)#telephony-service rogue-cme(config-telephony)#web admin system name fred secret 0 blah rogue-cme(config-telephony)#dn-webedit
La commande dn-webedit permet la modification des DNs via linterface web. Nous pouvons maintenant essayer daccder la page web dUCME. LURL utiliser est http://<ip_routeur>/ccme.html. Voici un aperu de la page :
Pour crer un administrateur client (un customer admin), la commande est presque identique celle utilise pour ladministrateur systme : HEPL Informatique / Rseaux et Tlcoms TFE 2008 - 2009
78
Voice dautres captures dcrans illustrant les possibilits offertes par linterface web :
79
Service de Nuit
La fonctionnalit night-service permet de notifier un tlphone lorsquun appel est reu sur un autre tlphone (ou plutt un de ses DNs) aprs les heures de travail. Par exemple, lorsque A reoit un appel aprs 20h, B en est averti et peut rcuprer lappel grce au call-pickup.
Dans cet exemple, le service de nuit commence 18h et se termine le lendemain 08h pendant la semaine. Durant le week-end, le service de nuit est actif toute la journe. Un
80
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME code peut galement tre configur afin dactiver ou dsactiver le service de nuit tout moment. Lheure de fin doit tre suprieure lheure de dbut. Si 00:00 est entr en tant quheure de fin, cette valeur est automatiquement convertie en 23:59. Si 00:00 est entr deux fois (donc en tant quheure de dbut et en tant quheure de fin), le service de nuit est activ pour une priode de 24 heures. Il est possible de raffiner ces plages horaires grce aux commandes day, date, everyday, weekday ou weekend. Par exemple, cette commande active le service de nuit tous les jours de 16h 09h le lendemain.
rogue-cme(config-telephony)#night-service everyday 16:00 09:00
Ici, le service de nuit est actif le 1er janvier pendant toute la journe.
rogue-cme(config-telephony)#night-service date Jan 1 00:00 00:00
Il faut ensuite configurer le tlphone surveiller durant la nuit ainsi que les tlphones qui devront tre notifis lors dun appel. Lactivation du service de nuit pour le tlphone surveiller se fait dans la configuration du DN :
rogue-cme(config)#ephone-dn 4 rogue-cme(config-ephone-dn)#night-service bell
Il faut bien faire attention ne pas se tromper : nous configurons le service de nuit pour le tlphone surveiller dans la configuration du DN, mais cest dans la configuration de lephone que nous configurons les tlphones notifier. Voici une illustration du cas que nous venons de configurer :
81
Il reste une dernire chose configurer. En effet, le call-pickup nest pas configur par dfaut. Les tlphones 1 et 6 seront alors notifis de lappel, mais ils ne pourront pas le rcuprer. Il faut alors configurer un pickup-group auquel appartiendront ces trois tlphones :
rogue-cme(config)#ephone-dn 4 rogue-cme(config-ephone-dn)#pickup-group 1 rogue-cme(config-ephone-dn)#ephone-dn 1 rogue-cme(config-ephone-dn)#pickup-group 1 rogue-cme(config-ephone-dn)#ephone-dn 6 rogue-cme(config-ephone-dn)#pickup-group 1
Ainsi, les utilisateurs des tlphones 1 et 6 pourront reprendre un appel du tlphone 4 en appuyant sur la touche GPickUp (Group PickUp) du tlphone.
82
83
FXS vs FXO
Du matriel particulier est ncessaire pour ajouter des tlphones analogiques un routeur quip de UC Manager Express. En effet, un tlphone analogique est quip dun connecteur RJ-11 et non dun connecteur RJ-45 et surtout, le signal nest pas numrique mais bien analogique. Il existe deux types de ports analogiques : les FXS et les FXO.
84
Module VIC2-2FXS
Installation du Module
Linstallation de la carte en soi nest pas trs complique, il suffit simplement de linsrer dans un des quatre slots du routeur. Il ne faut pas oublier dteindre le routeur avant car ces cartes ne sont pas hot-plug comme le sont les modules pour Cisco 6500 par exemple. HEPL Informatique / Rseaux et Tlcoms TFE 2008 - 2009
Chapitre 6 : Tlphones Analogiques Aprs avoir redmarr le routeur, je me suis vite rendu compte que les deux ports ntaient pas prsents comme ils lauraient du. En effet, il a fallu rajouter un module PVDM au routeur. Ce type de module interne contient des DSPs. Sans entrer dans les dtails, les DSPs (Digital Signal Processing) grent tout ce qui concerne le traitement de signaux audio et/ou vidos : chantillonnage, compression, reconnaissance vocale, etc. Cest donc grce ce module que la carte FXS est capable dinteragir avec le rseau VoIP. Le PVDM utilis est un PVDM2-32, c'est--dire quil peut supporter 32 canaux vocaux. Le codec utilis par ce module est le G.711. Ce module contient deux DSPs. Aprs linsertion du module PVDM, les deux ports FXS sont reconnus par lIOS. Les commandes show version et show diag nous le confirment :
rogue-cme#show version [...] Cisco 2801 (revision 6.0) with 119808K/11264K bytes of memory. Processor board ID FHK1106F1AX 2 FastEthernet interfaces 2 Voice FXS interfaces 2 DSPs, 32 Voice resources DRAM configuration is 64 bits wide with parity disabled. 191K bytes of NVRAM. 500472K bytes of ATA CompactFlash (Read/Write) [...] rogue-cme#show diag [...] PVDM Slot 0: 32-channel (G.711) Voice/Fax PVDMII DSP SIMM PVDM daughter card Hardware Revision : 4.0 [...] Product (FRU) Number : PVDM2-32 [...] VIC Slot 0: 2nd generation - FXS Voice daughter card (2 port) Hardware Revision : 3.1 [...] Product (FRU) Number : VIC2-2FXS [...]
85
Configuration du Module
Par dfaut, les ports FXS ninteragissent pas avec UC Manager Express. Pour quils puissent tre contrls par SCCP, ces ports doivent utiliser lapplication STC (SCCP
86
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME Telephony Control). Cette application doit tre lie un ccm-group un groupe UC Manager Express. Il faut donc premirement dfinir ce groupe :
rogue-cme(config)#sccp local FastEthernet0/1 rogue-cme(config)#sccp ccm 172.19.13.254 identifier 1 version 7.0 rogue-cme(config)#sccp
Les deux premires lignes sont utilises pour identifier un UCME. Etant donn quil tourne sur le routeur mme, nous indiquons ladresse du routeur. Le paramtre identifier sera utile lors de la cration du groupe pour identifier le UCME. La commande sccp active tout simplement SCCP.
rogue-cme(config)#sccp ccm group 1 rogue-cme(config-sccp-ccm)#associate ccm 1 priority 1
Nous crons ensuite le groupe et y rajoutons le UCME dfini auparavant. Une priorit de 1 4 peut tre entre, la priorit 1 tant la plus importante. Maintenant que nous avons notre groupe UCME, nous pouvons configurer lapplication STC :
rogue-cme(config)#stcapp ccm-group 1 rogue-cme(config)#stcapp
Cest assez simple : nous associons premirement lapplication au groupe UCME que nous avons cr et ensuite nous lactivons. Maintenant que lapplication STC est configure, nous pouvons indiquer au port FXS de lutiliser. En ralit, nous devons tout dabord configurer un dial-peer que nous associerons au port FXS. Nous lui dirons aussi dutiliser STC. Ensuite nous pourrons configurer le port FXS. Crons donc le dial-peer :
rogue-cme(config)#dial-peer voice 1 pots rogue-cme(config-dial-peer)#port 0/0/0 rogue-cme(config-dial-peer)#service stcapp
Lidentifiant du port peut tre obtenu par la commande show voice port summary. Le type de dial-peer que nous avons cr est de type pots (Plain Old Telephony Service). Il existe quatre types possibles : mmoip (Multimedia over IP), pots, vofr (Voice over Frame Relay) et voip (Voice over IP). UC Manager Express cre des interfaces virtuelles de type pots. Il est possible de les voir avec la mme commande :
rogue-cme#show voice port summary IN OUT
87
Il est intressant de noter le type des ports virtuels crs par UCME : ils sont de type efxs (Ethernet FXS). Ces ports virtuels sont associs des dial-peers que lon peut galement voir grce la commande show dial-peer voice (cette commande a t volontairement tronque car les rsultats ntaient pas trs clairs) :
rogue-cme#show dial-peer voice summary dial-peer hunt 0 AD TAG TYPE MIN OPER PREFIX DEST-PATTERN 1 pots up up 20001 pots up up 1001$ 20002 pots up up 1002$
Nous y retrouvons le dial-peer que nous avons configur ainsi que les deux dial-peers que UCME a gnr. Pour en revenir la configuration de notre FXS, nous pouvons maintenant configurer le port FXS :
rogue-cme(config)#voice-port 0/0/0 rogue-cme(config-voiceport)#ring frequency 50 rogue-cme(config-voiceport)#cptone BE rogue-cme(config-voiceport)#caller-id enable
Nous y configurons dabord la frquence de la sonnerie. Deux choix sont possibles : 25 ou 50 Hertz. Cette frquence doit tre la mme que celle utilise par le tlphone analogique, sinon il pourrait ne pas sonner. La commande cptone permet de fixer la locale de la tonalit ; le paramtre est le code ISO 3166 du pays. La dernire commande permet dactiver laffichage du caller-id. La configuration du port FXS est termine. Cependant, aucun DN ny est associ. Tout comme les tlphones IP, il y a deux faons dassigner un DN un tlphone : la mthode dynamique ou la mthode statique. La mthode dynamique est la plus simple des deux : elle consiste utiliser la commande auto assign que nous avons vue auparavant. Il est possible de nassigner des DNs quaux tlphones analogiques en spcifiant le type anl.
rogue-cme(config)#telephony-service rogue-cme(config-telephony)#auto assign 4 to 5 type anl
88
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME La mthode statique est beaucoup moins vidente mettre en place. Elle est nanmoins ncessaire lorsque lon souhaite assigner un DN spcifique au tlphone. Rappelons nous quun ephone est identifi par son adresse MAC. Cependant, un tlphone analogique na pas dadresse MAC ! Lors de lassignation automatique, un algorithme particulier est utilis pour identifier un port FXS. Cest ce mme algorithme quil faut utiliser pour attribuer un DN de faon statique.
Les trois derniers chiffrent sont calculs partir de lidentifiant du port FXS. Dans cet exemple, nous utilisons le port 0/0/0 o chaque chiffre reprsente respectivement le numro de slot, le numro de sous-unit et finalement le numro de port. Ces valeurs doivent tre converties en binaire. Le numro de slot occupera trois chiffres, le numro de sous-unit deux chiffres et le numro de port sept chiffres. La valeur binaire obtenue doit ensuite tre convertie en hexadcimal afin davoir les trois chiffres manquants. Par exemple, pour le port 0/2/1 :
Chapitre 6 : Tlphones Analogiques Dans notre cas, le port utilis est le port 0/0/0. Sans trop de calculs, on peut facilement dduire que les trois derniers chiffres seront 000. Ladresse MAC finale de notre carte FXS est donc AE23.E600.B000. Nous pouvons comparer cette valeur avec celle obtenue par lassignation automatique. La commande show ephone anl fera laffaire :
rogue-cme#show ephone anl ephone-5[4] Mac:AE23.E600.B000 TCP socket:[1] activeLine:0 whisperLine:0 REGISTERED in SCCP ver 17/12 max_streams=1 mediaActive:0 whisper_mediaActive:0 startMedia:0 offhook:0 ringing:0 reset:0 reset_sent:0 paging 0 debug:0 caps:8 IP:172.19.13.254 17468 SCCP Gateway (AN) keepalive 297 max_line 1 available_line 1 port 0/0/0 button 1: dn 4 number 1004 CH1 IDLE privacy button is enabled Preferred Codec: g711ulaw
89
Finalement, nous pouvons vrifier que lapplication STC est correctement configure grce la commande show stcapp device summary :
rogue-cme#show stcapp device summary Total Devices: 1 Total Calls in Progress: 0 Total Call Legs in Use: 0 Port Identifier ---------0/0/0 Device Name --------------AN1AE23E600B000 Device State -------IS Call Dev Directory State Type Number ------------- ------- ----------IDLE ALG 1004 Dev Cntl ---CME
Module VIC2-2FXO
Comme dit ci-haut, un port FXO permet de connecter notre systme VoIP au rseau tlphonique classique. Lintrt rside dans le fait que lon profite dun systme VoIP avec un grand nombre de fonctionnalits et qu cot de cela, on puisse faire des appels vers lextrieur, comme avec un tlphone normal. Linstallation de la carte FXO au sein du routeur na pas pos de problme particulier. Elle a directement t reconnue comme le montre le show version suivant :
rogue-cme#show version [...] Cisco 2801 (revision 6.0) with 119808K/11264K bytes of memory. Processor board ID FHK1106F1AX 2 FastEthernet interfaces 2 Voice FX0 interfaces 2 Voice FXS interfaces
90
Configuration du Module
Tout comme le module FXS, il y a deux lments configurer : le port et un ou plusieurs dial-peers. Commenons par configurer le port. Sa configuration est similaire celle du port FXS :
rogue-cme(config)#voice-port 0/2/0 rogue-cme(config-voiceport)#cptone BE rogue-cme(config-voiceport)#caller-id enable
Dans ce cas-ci, nous ne configurons pas la frquence de la sonnerie ; cest le port FXO qui reoit la tonalit. Nous crons ensuite un dial-peer pour permettre nos utilisateurs dappeler lextrieur :
rogue-cme(config)#dial-peer voice 999 pots rogue-cme(config-dial-peer)#port 0/2/0 rogue-cme(config-dial-peer)#destination-pattern 9T rogue-cme(config-dial-peer)#prefix 0
La premire commande nous est dj familire, elle indique le port utiliser. Notre carte FXO est installe dans le deuxime emplacement. Nous reparlerons du destination-pattern un peu plus tard. La commande prefix indique que lorsquun appel sort par le port FXO, le chiffre 0 doit tre plac devant le numro compos. Les lignes analogiques de Cisco sont configures ainsi : un appel extrieur doit toujours commencer par un 0. Revenons notre destination-pattern. Lorsquun appel est mis, UC Manager Express parcourt le destination-pattern de tous les dial-peers pour voir si lun dentre eux correspond. Ces destination-patterns sont bass sur les expressions rgulires (RegExp), il est donc possible dy avoir plusieurs correspondances. Dans ce cas, le destinationpattern le plus prcis lemporte. Ce fonctionnement fait fortement penser celui de la table de routage : si un paquet vers 192.168.1.200 doit tre rout et quil y a deux routes 192.168.1.0/24 et 192.168.1.128/25, cest la route la plus prcise (la deuxime dans ce cas) qui est utilise. Le tableau qui suit reprend les caractres qui peuvent tre utiliss dans un destinationpattern : Symbole . Description Remplace un caractre TFE 2008 - 2009
91
[] () ? % + T $
Indique un fourchette de caractres possibles Indique un pattern. Est utilis avec ?, % ou + Indique que le chiffre prcdent peut tre trouv 0 ou 1 fois Le chiffre prcdent peut tre trouv 0 ou plusieurs fois (* en regexp) Indique que le chiffre prcdent est prsent 1 ou plusieurs fois Attend un certain timeout et rcupre tous les chiffres Indique la fin dun numro
Voici quelques exemples : Pattern 1001$ 9T 12[3-5].% (23)+ Explication Exactement le numro 1001 Un numro qui commence par 9 Le numro doit commencer par 12, ensuite soit le chiffre 3, 4 ou 5 et finalement nimporte quel caractre, zro ou plusieurs fois. 23, 2323, 232323, 23232323, autant de fois 23
Tout numro compos qui commence par le chiffre 9 sera automatiquement transfr vers le port 0/2/0, c'est--dire notre carte FXO. Le chiffre 0 sera ajout au dbut du numro. Ainsi, si le numro 90478123456 est compos, le numro qui sera transmis au port FXO est le 00478123456. Ceci sapplique pour les appels sortants. Pour ce qui concerne les appels entrants, cest la commande connection plar qui doit tre utilise. Cette commande sapplique directement sur le port :
rogue-cme(config)#voice-port 0/2/0 rogue-cme(config-voiceport)#connection plar opx 1001
Dans ce cas, tout appel entrant est redirig vers le numro interne 1001. Si plusieurs numros sont disponibles, il est possible dutiliser le Direct Inward Dialing (DID). Ce procd utilise une partie du numro pour identifier la personne qui doit tre appele en interne. Malheureusement, je nai pas pu tester cette fonctionnalit.
92
rogue-cme(config-telephony)#fac standard
Il est aussi possible de crer ses propres FACs. Il faut cependant dsactiver le mode standard. La commande devient alors :
rogue-cme(config-telephony)#fac custom feature code
Par exemple, si lon veut que le FAC pour le rappel soit le **1, il suffit dentrer :
rogue-cme(config-telephony)#no fac standard fac standard has been disabled! rogue-cme(config-telephony)#fac custom redial **1 fac redial code has been configurated to **1!
Pour vrifier que le systme ait bien pris nos modifications en compte, on peut rafficher les FACs disponibles :
rogue-cme#show telephony-service fac telephony-service fac custom redial **1
93
94
95
WEP
Wired Equivalent Privacy (WEP) est un algorithme de scurisation des rseaux sans-fil. Publi en 1997, cet algorithme est aujourdhui dprci cause de certaines faiblesses assez importantes. WEP utilise lalgorithme de chiffrement RC4 pour la confidentialit et une somme de contrle CRC-32 pour lintgrit. WEP 64 utilise une cl de 40 bits suivie dun vecteur dinitialisation de 24 bits. WEP 128 utilise quant lui une cl de 104 bits.
WPA/WPA2
Wi-Fi Protected Access (WPA) a t cr suite aux problmes rencontrs avec WEP. WPA respecte une grande partie de la norme 802.11i tandis que WPA2 en respecte la totalit. Ce mcanisme a t conu pour tre utilis en collaboration avec un serveur dauthentification 802.1X WPA-Enterprise, mais il peut aussi tre utilis avec un systme de cl partage, galement appele Pre-Shared Key (PSK). Nous parlons alors de WPA-Personal. WPA utilise le mme algorithme de chiffrement que WEP, savoir RC4. Cependant la taille de la cl est de 128 bits et celle du vecteur dinitialisation est de 48 bits. WPA utilise galement le protocole TKIP (Temporal Key Integrity Protocol), qui change dynamiquement les cls lors de lutilisation du systme. Ces amliorations empchent notamment certaines attaques dont WEP a souffert. WPA nutilise plus la somme de contrle CRC-32 considre comme peu sre. A la place, un algorithme didentification des messages plus scuris appel MIC (Message Integrity Code) est utilis. WPA2 utilise lalgorithme de chiffrement CCMP qui est un protocole bas sur AES. Il est considr comme compltement sr. Concernant linteroprabilit avec le framework EAP, seul le mcanisme EAP-TLS tait auparavant certifi par la Wi-Fi Alliance. Dsormais les mcanismes EAP-TLS, EAP-
96
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME TTLS/MSCHAPv2, PEAPv0/EAP-MSCHAPv2, PEAPv1/EAP-GTC et EAP-SIM sont inclus dans le programme de certification. Le but de cette certification est de faire interoprer les mcanismes EAP les plus courants.
IEEE 802.1X
Le standard IEEE 802.1X est une solution de scurisation base sur EAP. Il contrle donc laccs un rseau. Ce standard repose sur trois acteurs : Supplicant : cest le client qui demande laccs au rseau. Ce client fournit des informations relatives son identification comme par exemple un couple login/password ; Authenticator : cest un quipement rseau tel quun switch ou un access point. Il joue le rle de garde de scurit du rseau. Il transmet les informations fournies par le client au serveur dauthentification ; Serveur dauthentification : cest un serveur (gnralement RADIUS ou TACACS+) qui vrifie que les informations fournies par le client sont exactes. Cest donc lui qui dcide si laccs doit tre donn ou non un client.
Le Framework EAP
Extensible Authentication Protocol (EAP) est un framework didentification utilis principalement dans les rseaux sans-fil mais aussi dans les rseaux filaires. Il a t dfini dans la RFC 3748 et ensuite mis jour dans la RFC 5247. EAP est un framework dans le sens o il fournit des fonctions communes et des mcanismes dauthentification. Ces mcanismes sont appels mthodes EAP et sont au nombre de 40. Parmi cellesci, on peut retrouver EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-IKEv2, EAP-SIM et EAP-AKA. Les mthodes les plus rpandues dans les rseaux sans-fil sont EAP-TLS, EAP-TTLS, PEAP, LEAP, EAP-FAST ou encore EAP-SIM. Lorsque EAP est utilis avec un NAS (Network Access Server) comme par exemple un access point, une PMK (Pair-wise Master Key) est ngocie entre le client et le NAS.
Chapitre 7 : La Tlphonie Sans-Fil Cette cl peut ensuite tre utilise par des mcanismes dencryptions comme TKIP ou CCMP. Bien que EAP ne soit pas un protocole, il dfinit des format de messages. Les mthodes EAP doivent encapsuler ces messages. Dans le cas de 802.1X, lencapsulation porte le nom dEAPOL (EAP over LAN).
97
Paquet EAP
Voici lillustration dun paquet EAP :
correspondre une rponse une demande ; Length : ce champ de deux octets indique la taille totale du paquet EAP ; Data : cest la charge utile du paquet.
En ce qui concerne les paquets Request et Response, un champ supplmentaire Type est dclar comme suit :
Ce champ peut prendre une des huit valeurs qui suivent : HEPL Informatique / Rseaux et Tlcoms TFE 2008 - 2009
98
protg par une mthode EAP ; Notification : utilis par lauthenticator pour envoyer un message au supplicant ; Nak : ce type ne peut tre utilis quen tant que rponse. Il indique que le type dauthentification nest pas accept ; MD5-Challenge : ce type est utilis dans les requtes contenant un challenge MD5 (semblable au protocole CHAP). La rponse doit tre de type Nak ou MD5Challenge. One Time Password (OTP) : utilis pour les authentifications avec mot de passe usage unique. La rponse doit tre de type Nak ou OTP. Generic Token Card (GTC) : ce type est utilis avec les implmentations de cartes Token. La rponse doit tre de type Nak ou GTC. Expanded Types : ce champ est prvu afin que les constructeurs puissent utiliser leur propre type ; Experimental Use : utilisation exprimentale uniquement.
Chapitre 7 : La Tlphonie Sans-Fil Nous reverrons le mcanisme dauthentification plus en dtail dans le paragraphe qui suit. Notons tout de mme que la communication de gauche, c'est--dire la communication entre le client et laccess point est base sur EAP tandis que la conversation de droite (access point RADIUS) est base sur le protocole RADIUS.
99
EAP-FAST
EAP-FAST (Flexible Authentication via Secure Tunneling) est un protocole de Cisco Systems dfini dans la RFC 4851. Celui-ci remplace LEAP (Lightweight Extensible Authentication Protocol) qui souffrait de quelques faiblesses. Toutefois, EAP-FAST conserve le cot lger de celui quil a remplac. Lutilisation de certificats nest pas obligatoire, EAP-FAST peut utiliser des PACs (Protected Access Credential) pour tablir un tunnel TLS dans lequel les informations dauthentification du client seront transmises. EAP-FAST possde trois phases : La phase 0 est optionnelle, cest celle o un ventuel PAC est approvisionn de manire statique ou dynamique ; La phase 1 concerne ltablissement du tunnel TLS ; Finalement, la phase 2 concerne lchange des informations du client dans le tunnel crypt.
Lorsque le PAC est approvisionn de faon automatique, il y a un lger risque dattaque dans le sens o un attaquant pourrait intercepter le PAC et le rutiliser pour compromettre les informations du client. La solution est alors dutiliser un certificat. Lorsque EAP-FAST est utilis sans PAC, on se retrouve alors avec un EAP-TLS tout fait classique.
Paquet EAP-FAST
Un paquet EAP-FAST est constitu comme suit :
100
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME On y retrouve les quatre champs du paquet EAP. Viennent sajouter trois autres champs : Flags, Ver et Message Length. Les flags sont au nombre de 4 : Lenght Included, More Fragment, EAP-FAST Start et Reserved (doit tre zro). Le champ Ver contient tout simplement la version de EAP-FAST utilise. Le champ Message Length est prsent uniquement si le flag Length Included est positionn : il indique la taille totale du message dans le cas o celui-ci serait fragment. La valeur du champ Type pour EAP-FAST est 43.
Fonctionnement de EAP-FAST
EAP-FAST Phase 0
Cette phase concerne lapprovisionnement du PAC (Protected Access Credentials). Elle nest pas dcrite dans ce document.
EAP-FAST Phase 1
Durant cette phase, le tunnel TLS est tabli. Le client commence par sidentifier (EAPResponse Identity) suite la demande du serveur. Le serveur dbute ensuite la ngociation du tunnel TLS qui est encapsul dans un paquet EAP-FAST avec le flag Start positionn. Le client sidentifie avec un ClientHello en fournissant le PAC en tant quextension (SessionTicket SSL). Le paquet envoy par le client contient galement la liste des algorithmes de chiffrement supports. Un nombre alatoire est aussi transmis ainsi que la date courante. Le serveur rpond par un ServerHello : ce paquet contient galement un nombre alatoire ainsi que lalgorithme retenu. TLS ChangeCipherSpec indique que lon va passer dans le tunnel TLS. La MasterKey est calcule partir du nombre alatoire du client, du nombre alatoire du serveur et du PAC.
101
Dans lexemple ci-dessus, le serveur propose dabord la mthode LEAP. Le client rpond par un Nak et demande la place lutilisation de EAP-FAST.
EAP-FAST Phase 2
Les messages changs durant cette phase sont crypts ; ils passent par le tunnel TLS. Le paquet EAP Payload TLV contient les informations du client (login/password par exemple). Le Crypto-Binding TLV est utilis pour prouver que le client et le serveur ont particip dans ltablissement du tunnel TLS. Il permet galement de vrifier la version de EAP-FAST qui a t ngocie.
102
Configuration de lAuthenticator
Commenons par dfinir le serveur RADIUS qui servira de serveur dauthentification. Comme expliqu ci-haut, laccess point joue lui-mme le rle de serveur RADIUS ; il doit donc indiquer sa propre adresse IP (172.19.13.253) :
103
rogue-ap(config)#radius-server host 172.19.13.253 auth-port 1812 acct-port 1813 key radiusKey rogue-ap(config)#aaa new-model rogue-ap(config)#aaa group server radius localRadius rogue-ap(config-sg-radius)#server 172.19.13.253 auth-port 1812 acct-port 1813
Le paramtre key est un secret qui sera dfini lors de la configuration du serveur RADIUS. Il ne faut pas oublier dactiver le nouveau modle AAA pour avoir accs aux commandes relatives AAA. Il faut galement crer une liste AAA pour lauthentification. Celle-ci sera utilise plus tard lors de la configuration du SSID :
rogue-ap(config)#aaa authentication login fastMethod group localRadius
La commande authentication dfinit la mthode dauthentification utilise par le SSID. Dans notre cas, nous indiquons que nous souhaitons utiliser EAP coupl WPA2, ce qui correspond WPA2-Enterprise. La commande guest-mode permet de diffuser le SSID. Nous devons maintenant configurer linterface sans-fil Dot11Radio0 :
rogue-ap(config)#interface Dot11Radio0 rogue-ap(config-if)#no ip address rogue-ap(config-if)#ssid cme rogue-ap(config-if)#encryption mode ciphers aes-ccm tkip rogue-ap(config-if)#no shutdown
Cette interface na pas dadresse IP, elle fait partie dun bridge-group par dfaut (BVI1). Si ce nest pas le cas, la commande bridge-group 1 suffit rgler le problme. Nous assignons ensuite le SSID linterface grce la commande ssid. La commande encryption permet de spcifier la mthode dencryption utilise par linterface. Nous indiquons laccess point dutiliser de prfrence CCMP (AES) ou bien TKIP. Finalement, nous activons linterface avec la commande no shutdown (elle est dsactive par dfaut). Aprs avoir t active, linterface va scanner les frquences pendant un certain temps (ce temps nest pas fixe). Cest aprs ce scan quelle passera finalement en mode up/up.
104
%LINK-5-CHANGED: Interface Dot11Radio0, changed state to reset %DOT11-6-FREQ_SCAN: Interface Dot11Radio0, Scanning frequencies for 33 seconds
Aprs tre entr dans le mode de configuration du serveur RADIUS local, nous indiquons quil doit accepter les requtes manant du NAS (Network Access Storage lauthenticator) identifi par ladresse 172.19.13.253 cest laccess point lui-mme. Le paramtre key est celui que nous avons configur une page plus haut.
rogue-ap(config-radsrv)#no authentication leap rogue-ap(config-radsrv)#no authentication mac rogue-ap(config-radsrv)#eapfast authority id 12345678901234567890123456789012 rogue-ap(config-radsrv)#eapfast authority info rogue-ap rogue-ap(config-radsrv)#eapfast server-key primary auto-generate
Dans les lignes ci-dessus, nous indiquons premirement au serveur RADIUS de ne pas accepter les requtes pour les mthodes LEAP et MAC. Par dfaut ces deux mthodes ainsi que EAP-FAST sont actives. Les paramtres authority id et authority info sont des valeurs qui seront affiches sur la machine du client lors de lapprovisionnement du PAC. Ces valeurs permettent au client de sassurer que laccess point sur lequel il est connect est le bon. En effet, un attaquant pourrait mettre en place un access point avec le mme SSID que le notre. Ainsi, lorsquun client se connecterait sur laccess point de lattaquant, ce dernier pourrait refuser le PAC du client et lui en fournir un nouveau, ce qui nest pas ce que nous voulons... Finalement, la dernire commande optionnelle auto-gnre la cl du serveur.
rogue-ap(config-radsrv)#group wcme rogue-ap(config-radsrv-group)#ssid cme rogue-ap(config-radsrv-group)#exit rogue-ap(config-radsrv)#user fred password blah group wcme
La commande user permet de crer un utilisateur dans la base de donne du serveur RADIUS. Le paramtre group est optionnel, mais il permet de spcifier le SSID et le VLAN auquel le client a accs. Dans notre cas, lutilisateur fred a accs au SSID cme. Il est possible de visualiser les statistiques du serveur RADIUS :
rogue-ap#show radius local-server statistics Successes : 1 Unknown usernames : 0
105
: : : : : : : :
1 0 0 0 0 0 0 0 Successes 1
Unknown usernames : Invalid passwords : Unknown RADIUS message : Missing auth attribute : Invalid state attribute: Unknown EAP auth type : Auto provision failure : Invalid PAC received : Failures 0 Blocks 0
0 0 0 0 0 0 0 0
106
EAP-TLS
EAP-TLS (Transport Layer Security) est un standard IETF dfini dans la RFC 5216. Il est considr comme un des standards EAP les plus scuriss et il est galement support par tous les quipementiers.
Chapitre 7 : La Tlphonie Sans-Fil EAP-TLS utilise deux certificats pour tablir le tunnel TLS : un cot client et un cot serveur. Ceci a un avantage niveau scurit : en effet, un vol de mot de passe nest pas possible. Cependant, il est possible de voler le certificat dune personne, ce qui aurait le mme effet que le vol de mot de passe. Lutilisation dun certificat du cot client est aussi un problme car la mise en place et la maintenance dun tel systme est laborieuse, du moins dans un rseau de grande taille. En plus, le cot dun certificat nest pas ngligeable. Il est nanmoins possible dutiliser un serveur de certificat lors dune utilisation dEAP-TLS en intranet. Les protocoles PEAP et EAP-TTLS ont t crs pour palier ce problme ; ils ne ncessitent quun certificat cot serveur.
107
Paquet EAP-TLS
Voici un paquet EAP-TLS :
Ce paquet est sensiblement le mme que celui de EAP-FAST. La seule diffrence se situe au niveau des flags ; ceux-ci occupent 8 bits car il nexiste pas de champ version. Tout comme dans les paquets EAP-FAST, il y a quatre diffrents flags : Length Included, More Fragments, EAP-TLS Start et Reserved. Le champ TLS Message Length nest inclus que si le flag Length Included est positionn. La valeur du champ Type pour EAP-TLS est 13.
108
Fonctionnement de EAP-TLS
Dcrivons le fonctionnement principal de ce protocole : Une fois quil a reu lidentit du client, le serveur rpond avec un paquet EAPTLS dont le flag EAP-TLS Start est positionn 1. La conversation EAP-TLS commence alors ; Le client rpond avec un paquet EAP-TLS dont la charge utile contient un message ClientHello. Ce message comprend la version de TLS utilise par le client, un identifiant de session, un nombre alatoire ainsi que la liste des algorithmes de chiffrement supports ; Le serveur rpond quant lui avec un paquet EAP-TLS qui contient plusieurs messages TLS. Le premier dentre eux est le message ServerHello. Ce message contient les mmes informations que le message ClientHello, savoir la version de TLS utilise par le serveur, un identifiant de session, un nombre alatoire ainsi que la liste des algorithmes de chiffrement supports. Si lidentifiant de session envoy par le client est inconnu, le serveur considre quil TFE 2008 - 2009
Chapitre 7 : La Tlphonie Sans-Fil doit en tablir une nouvelle. Dans ce cas, le serveur doit fournir son certificat dans un message de type Certificate. Il demande galement au client de fournir son certificat via le message CertificateRequest. Finalement, le message ServerHelloDone indique la cloture du paquet TLS ; Si le client supporte EAP-TLS, il doit rpondre par un paquet EAP-TLS qui comprend lui aussi plusieurs messages TLS. Tout dabord, il doit contenir les messages ClientKeyExchange et ChangeCipherSpec. Ensuite, il doit contenir le message Certificate tant donn que le serveur la demand dans le message prcdent (CertificateRequest). Le message CertificateVerify permettra au serveur de vrifier la signature du client. Finalement, le message TLS Finished indique que le client a termin ; Le serveur envoie un paquet EAP-TLS contenant aussi les messages ChangeCipherSpec et Finished. Le client rpond la requte EAP-TLS du serveur par un paquet vide contenant le mme identifiant (champ Identifier). Le serveur termine lchange par un paquet EAP-Success.
109
Le client et le serveur peuvent alors communiquer en utilisant un chiffrement symtrique. La cl secrte utilise est drive du Master Secret, qui est un secret driv du nombre alatoire du client, du nombre alatoire du serveur et du Pre Master Secret.
110
Certains paquets sont rpts car en ralit ces derniers sont fragments. Nous retrouvons bien les paquets auxquels nous nous attendions, ce qui est dj pas mal !
Configuration de lAuthenticator
La seule partie qui doit tre configure est donc la partie authenticator :
rogue-ap(config)#radius-server host 172.19.13.250 auth-port 1645 acct-port 1646 key acsKey rogue-ap(config)#aaa new-model rogue-ap(config)#aaa group server radius secureACS rogue-ap(config-sg-radius)#server 172.19.13.250 auth-port 1645 acct-port 1646
Il est important de noter que le serveur Secure ACS utilise les ports 1645/1646 au lieu des ports 1812/1813. Son adresse IP est 172.19.13.250.
rogue-ap(config)#aaa authentication login tlsMethod group secureACS rogue-ap(config)#dot11 ssid cme
111
112
Le certificat du client est automatiquement dtect lorsquil est install sur lordinateur.
Chapitre 7 : La Tlphonie Sans-Fil Le certificat du serveur doit quant lui tre vrifi. Pour ce faire, il faut que le certificat de lautorit de certification soit install (rogue-ca).
113
En ralit, cette commande modifie un paramtre XML du fichier de configuration des tlphones IP. Trois valeurs sont possibles : 0 (full-access), 1 (read-only) et 2 (disabled). Ceci fait, nous avons accs la page web du 7921G et plus particulirement la partie Certificates :
114
Laccs certaines parties ncessite une identification de la part de lutilisateur. Le login/password par dfaut est admin/Cisco. Sur la capture dcran ci-dessus, nous pouvons voir plusieurs certificats : User Installed : cest le certificat que nous allons utiliser pour EAP-TLS. Cest lutilisateur qui linstalle sur le tlphone IP ; Manufacturing Issued : cest un certificat qui est prsent par dfaut sur le tlphone. Il peut aussi tre utilis pour une connexion EAP-TLS, mais il faut alors installer le Manufacturing Root CA sur notre serveur ACS ; Manufacturing Root CA : cest le certificat racine de lautorit de certification qui a sign le certificat Manufacturing CA ; Manufacturing CA : ce certificat, sign par le Manufacturing Root CA est le certificat qui a sign le Manufacturing Issued ; Authentication Server CA : cest le certificat de notre autorit de certification.
Lorsque lon souhaite installer un certificat utilisateur, le tlphone gnre une demande de certificat (CSR) partir des donnes saisies :
115
116
Cette demande de certificat doit tre fournie lautorit de certification qui dlivrera alors un certificat pour le tlphone. Ce certificat peut ensuite tre install sur le tlphone (attention, le certificat doit tre au format DER). Le reste de la configuration peut tre fait via le menu du tlphone : Aller dans Settings (flche du bas) ; Choisir Network Profiles (2) ; Slectionner un profil et aller dans WLAN Configuration ; Afin de modifier les paramtres du profil, il faut dverrouiller le tlphone. Ceci peut tre fait avec la combinaison de touches **# ; Modifier le champ SSID avec le SSID du rseau sans-fil ; Slectionner EAP-TLS dans le champ Security Mode ; Dans le champ EAP-TLS Certificate, choisir User Installed (cette option permet aussi dutiliser le Manufacturing Issued) ;
117
Le Protocole LWAPP
Le protocole LWAPP (LightWeight Access Point Protocol) est un protocole ouvert destin ladministration daccess points. LWAPP est utilis pour les communications entre les access points lgers et le contrleur. Les messages de contrle UDP sont crypts avec un PKI utilisant AES-CCMP. Le trafic classique (les donnes) nest pas chiffr dans LWAPP et est commut au niveau du contrleur. Ces deux types de trafic sont encapsuls. Le port source UDP est le port 1024 dans les deux cas. Le port destination 12222 est utilis pour les donnes et le port destination 12223 est utilis pour le contrle. LWAPP peut-tre utilis plusieurs niveaux du modle OSI : Layer 2 LWAPP : couche liaison (2) ; Layer 3 LWAPP : couche rseau (3).
Lorsque le protocole LWAPP est utilis au niveau de la couche liaison, il est encapsul dans une trame Ethernet. Ceci implique que laccess point et le contrleur soient dans le mme VLAN ou sous-rseau. Dans ce cas, cest ladresse MAC qui est utilise pour communiquer. Un access point qui souhaite sassocier un contrleur commence par envoyer un message LWAPP Discovery Request via broadcast et attend un Discovery Response de la part dun contrleur. Si plusieurs rponses sont reues, laccess point choisit le contrleur qui compte le moins daccess points connects. Si le protocole LWAPP est utilis au niveau de la couche rseau, il est encapsul dans datagramme UDP puis dans un paquet IP. Laccess point et le contrleur peuvent alors se situer dans des rseaux diffrents sans que cela ne pose de soucis. Le processus HEPL Informatique / Rseaux et Tlcoms TFE 2008 - 2009
118
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME dassociation est sensiblement le mme : laccess point envoie un LWAPP Discovery Request et attend un Discovery Reponse en retour, qui contiendra alors ladresse IP du contrleur en tant quadresse IP source. Un access point essaie toujours dutiliser LWAPP la couche 2 en priorit et ensuite LWAPP la couche 3. Pour la couche 3, laccess point doit dabord effectuer une requte DHCP.
Configuration de Base
Le Cisco 2106 nutilise pas lIOS comme la plupart du matriel Cisco. Ceci est un peu droutant lorsque on est habitu une interface particulire. Il ma donc fallu quelques temps pour me familiariser un peu avec ce nouveau CLI. Quand on allume le contrleur pour la premire fois, un assistant de configuration nous pose quelques questions afin de construire la base du systme :
Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backup System Name [Cisco_50:6d:80]: rogue_wlc Enter Administrative User Name (24 characters max): fred Enter Administrative Password (24 characters max): ******** Management Management Management Management Management Management Interface Interface Interface Interface Interface Interface IP Address: 172.19.13.252 Netmask: 255.255.255.0 Default Router: 172.19.13.254 VLAN Identifier (0 = untagged): 0 Port Num [1 to 8]: 1 DHCP Server IP Address: 172.19.13.254
119
AP-Manager is on Management subnet, using same values AP Manager Interface DHCP Server (172.19.13.254): Virtual Gateway IP Address: 10.10.10.254 Mobility/RF Group Name: rogue-rf Network Name (SSID): rogue-cme Allow Static IP Addresses [YES][no]: no Configure a RADIUS Server now? [YES][no]: no Warning! The default WLAN security policy requires a RADIUS server. Please see documentation for more details. Enter Country Code (enter 'help' for a list of countries) [US]: BE Enable Enable Enable Enable 802.11b 802.11a 802.11g Auto-RF Network [YES][no]: yes Network [YES][no]: no Network [YES][no]: yes [YES][no]:
Deux interfaces sont configures : Management Interface : cest linterface que lon a lhabitude de configurer ; cest cette interface qui sera pingable ; AP Manager Interface : cest linterface qui est utilise lors de lutilisation de LWAPP la couche 3. Ladresse IP de cette interface est alors la source du tunnel LWAPP. Cette interface peut tre dclare dans le mme rseau que linterface de management.
Notons galement que cet assistant cre pour nous un rseau sans-fil avec le SSID que nous lui indiquons. Nous pouvons ensuite nous connecter en utilisant le login et le mot de passe que nous avons saisi lors de lassistant. La commande suivante permet dafficher la configuration du contrleur. Attention au paramtre commands ; sans celui-ci, la configuration est fournie dans un format assez particulier...
>show run-config commands
120
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME Finalement, configurons le contrleur sans-fil pour quil se synchronise sur le serveur NTP du 2801. Le timezone 14 correspond GMT+1.
>config time timezone location 14 >config time ntp server 1 172.19.13.254
Mode............................................. Data Type........................................ TFTP Server IP................................... TFTP Packet Timeout.............................. TFTP Max Retries................................. TFTP Path........................................ TFTP Filename.................................... 0.aes This may take some time. Are you sure you want to start? (y/N) y TFTP Code transfer starting. TFTP receive complete... extracting components. Executing init script. Writing new Code to flash disk. Executing install_code script.
Writing new APIB to flash disk. [00680266.58 <1242124708.626649>] Routine system resource notification. [00680266.75 <1242124708.794665>] Routine system resource notification. [00680271.04 <1242124713.083912>] Routine system resource notification.
121
Executing install_apib script. TFTP File transfer is successful. Reboot the switch for update to complete.
Le premier paramtre est lindex qui identifie le rseau sans-fil ; cest cet index que nous utiliserons lorsque nous devrons configurer les paramtres du rseau. Lindex 1 est utilis par le rseau qui est cr automatiquement avec lassistant. Le deuxime paramtre est le nom du profil cr. Finalement, le dernier paramtre reprsente le SSID du rseau. Commenons donc par configurer le serveur RADIUS :
>config radius auth add 1 172.19.13.250 1656 ascii acsKey
Cette commande ajoute la dfinition dun serveur RADIUS. Le premier paramtre est lindex du serveur. Ensuite viennent ladresse IP et le port du serveur. Le dernier paramtre, fourni au format ASCII, est le secret partag.
>config radius auth network 1 enable >config radius auth management 1 disable >config radius auth enable 1
La commande radius auth network 1 enable configure le serveur RADIUS en tant que serveur par dfaut pour les utilisateurs rseau. La commande suivante le dsactive pour les administrateurs. Finalement on active le serveur RADIUS que nous venons de dfinir avec la commande radius auth enable 1. Lindex fourni la fin de chaque commande est lindex du serveur RADIUS que nous configurons. Il faut ensuite activer WPA. Pour ce faire, il faut dabord dsactiver le rseau sans-fil afin de pouvoir y faire des modifications :
>config >config >config >config wlan wlan wlan wlan 1 disable security wpa enable 1 security wpa wpa2 ciphers aes enable 1 security wpa wpa2 enable 1
122
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME Les trois dernires commandes activent WPA2 et spcifient lalgorithme utiliser AES. Lindex fourni la fin de chaque commande est lindex du rseau sans-fil que nous configurons. Nous devons aussi activer le support de 802.1X pour WPA :
>config wlan security wpa akm 802.1x enable 1
La premire commande qui suit associe notre serveur RADIUS au rseau sans-fil. Le premier index est celui du rseau sans-fil ; le deuxime est celui du serveur RADIUS. La commande suivante active le serveur pour ce rseau normalement, il est actif par dfaut :
>config wlan radius_server auth add 1 1 >config wlan radius_server auth enable 1
123
124
serveur. Cest cette option qui nous intresse ; ACS Certification Authority Setup : cette option permet dajouter des autorits de certification ; Edit Certificate Trust List : cette option indique ACS de faire confiance des certificats installs avec loption ci-dessus (ACS Cert Authority Setup) ;
... Generate Certificate Signing Request (CSR) : ACS permet aussi de
gnrer des demande de certificats ; HEPL Informatique / Rseaux et Tlcoms TFE 2008 - 2009
125
sign qui est install automatiquement en tant que certificat du serveur. Loption qui nous intresse est la premire, Install ACS Certificate :
Le certificat que nous installons (rogue-aaa) a t dlivr par notre autorit de certification (rogue-ca). Il se trouve dans le magasin de certificats de la machine locale. Le certificat de lautorit de certification ne doit pas tre spcialement ajout au serveur ACS car cest lautorit de certification qui a sign le certificat du serveur, il lui fait donc automatiquement ainsi qu ceux dont le certificat est dlivr par ce CA.
126
contrleur sans-fil ; AAA Servers : ce sont les serveurs dauthentification RADIUS ou TACACS+.
Un serveur AAA est dj dfini, cest le serveur ACS que lon configure linstant. Si on clique dessus, on peut modifier certains paramtres comme les ports sur lesquels le serveur coute (1645 et 1646 par dfaut) et le type de requtes quil accepte (RADIUS, TACACS+ ou les deux). La partie qui nous intresse le plus est lajout de nouveaux clients AAA. Ceci peut tre fait en cliquant sur le bouton Add Entry situ sous la liste des clients AAA. La page qui est ensuite affiche nous permet dentrer les paramtres relatifs notre authenticator : nom, adresse IP, secret partag et type dauthentification. Rappelons-nous que le secret partag est le paramtre key que nous avons utilis lorsque nous avons configur le serveur RADIUS sur laccess point et le contrleur sans-fil... Le type dauthentification choisi est RADIUS.
127
Aprs avoir cliqu sur Submit+Apply, la liste des clients AAA se met jour ; on peut alors voir lauthenticator que nous venons dajouter :
Ajout dUtilisateurs
Cisco Secure ACS possde une base de donne interne dans laquelle il peut stocker les utilisateurs qui se connectent sur le rseau. Il galement possible de faire interagir Secure ACS et lActive Directory de Windows. Par manque de temps, je nai pas pu tester cette fonctionnalit, cest pourquoi nous allons utiliser la base interne du serveur ACS. Les utilisateurs peuvent tre regroups pour faciliter leur maintenance. Cest ce que nous allons faire, nous allons crer un groupe qui sappellera Wireless. En ralit, nous allons renommer le groupe 0. Tous les utilisateurs que nous rajouterons par la suite seront automatiquement ajouts ce groupe.
128
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME Pour renommer le groupe, il faut aller dans la partie Group Setup du menu. Trois boutons sont disponibles. Le premier, Users in Group affiche les utilisateurs qui font partie du groupe. Le deuxime bouton, Edit Setting permet de modifier des paramtres du groupe, principale des attributs RADIUS. Finalement, le bouton Rename Group nous permet de renommer le groupe. Lajout dutilisateurs se fait quant lui dans la partie User Setup. Il est possible de rechercher un utilisateur par nom ou den crer un nouveau. Lors de lajout dun utilisateur, plusieurs paramtres peuvent tre modifis : le mot de passe, le groupe de lutilisateur, lassignation dadresse IP, etc. Le nom donn lutilisateur est important et doit tre le mme que le nom indiqu dans le certificat de lutilisateur (le CN Common Name).
129
Activation de EAP-TLS
Finalement, il nous reste activer EAP-TLS pour que notre rseau soit utilisable. Cette activation se fait dans la configuration du systme (System Configuration), plus exactement dans sous-menu Global Authentication Setup. La page de configuration de EAP nous permet dactiver ou de dsactiver les protocoles PEAP, EAP-FAST, EAP-TLS, LEAP et EAP-MD5. La configuration est assez limite, on indique simplement que lon souhaite activer EAP-TLS et on choisit la faon dont le CN du certificat est compar avec le nom dutilisateur de la base interne :
la comparaison ;
Certificate Binary Comparison : effectue une comparaison binaire entre le
certificat fourni par le client et celui stock dans lActive Directory. Plusieurs mthodes peuvent tre coches ; Secure ACS les excutera alors squentiellement. On peut galement configurer la dure du timeout de la session EAPTLS.
130
Chapitre 10 : Conclusion
131
Chapitre 10 : Conclusion
Ce stage de 14 semaines chez Cisco ma apport beaucoup de choses. Du point de vue professionnel, cela a t une dcouverte mais surtout un plaisir de pouvoir minsrer dans le monde du travail dans une socit telle que Cisco Systems ! Cela ma surpris dtre considr directement en tant quemploy et non simplement comme un tudiant. Ce stage ma galement permis davoir une approche plus ou moins prcise du travail et surtout de ce qui nous attend aprs les tudes. Ceci ma confirm que le domaine des rseaux et des tlcommunications est bel et bien un domaine qui me fascine. Lentreprise ma surtout bluff du point de vue humain. Je ne mattendais pas tre intgr si rapidement. Une des forces de Cisco Systems est sa multi-nationalit ; des personnes venant de plusieurs pays diffrents travaillent ensemble et arrivent communiquer, cest ce que jai apprci par-dessus tout. Il mest arriv de travailler avec des espagnols, des libanais, des amricains, des italiens, etc. Cependant, on napparat pas en tant que belge ou quoi que ce soit mais plutt en tant quemploy de chez Cisco ! Les employs sont polis et ont de lhumour. Il mest arriv de faire une partie de football lextrieur avec trois personnes que je ne connaissais qu peine, et pourtant on a pass un bon moment. Pareil pour le kicker, on se retrouvait de temps en temps au kicker durant la pause ; ceci nous a permis de faire connaissance avec de nouvelles personnes. Finalement, ce stage ma aussi permis de mieux connatre certains lves de ma classe avec qui je ne parlais pas beaucoup auparavant.
132
133
Il suffit ensuite de slectionner le composant Serveur dapplications. Ce composant inclut le service IIS. A la fin de lassistant, le service est install et dmarr. On peut sen
134
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME assurer en se rendant sur la page http://172.19.13.250 (ceci est ladresse IP du serveur sur lequel le service est install) :
Pas de panique, la page affiche est la page par dfaut du service IIS. Elle peut tre modifie dans le rpertoire C:\Inetpub\wwwroot.
Autorit de Certification
Installation
Lautorit de certification est un service disponible sous Windows Server 2003. Il permet de crer, signer ou supprimer des certificats. Il dispose dune interface Web qui permet aux utilisateurs du rseau de faire une demande de certificat via leur navigateur Web. Linstallation de lautorit de certification est similaire celle du service IIS. Pour cela, il faut se rendre dans le Panneau de configuration, Ajout/Suppression de programmes et enfin Ajouter ou supprimer des composants Windows. Le composant installer est Services de certificats.
135
Lassistant nous pose ensuite quelques questions. Tout dabord il nous demande le type dautorit de certifications que lon souhaite tablir. Dans la plupart des cas, cest une autorit racine qui est choisie.
Le Common Name (CN) de lautorit nous est ensuite demand ; le nom de notre autorit est rogue-ca :
136
Lassistant nous signalement finalement que le service IIS doit tre redmarr pour quil puisse installer linterface web du service. Lautorit de certification est installe ! On peut se rendre sur linterface web du service via lURL http://172.19.13.250/certsrv (remplacer ladresse IP par celle du serveur) :
137
Cration de Certificats
Pour grer les certificats de lautorit, deux possibilits soffrent nous : linterface Web ou la console. La console, qui peut tre lance grce la commande mmc, peut se voir greffer des composants enfichables . Voici une console o lon a greff trois composants :
138
Pour la cration du certificat du serveur ACS, nous avons cr un nouveau modle de certificat. Ce modle peut tre cr trs facilement via le composant console Modles de certificats. La console nous affiche alors tous les modles de certificats disponibles. Nous pouvons partir dun de ces certificats pour crer le notre. Il faut alors faire un clic droit sur un certificat existant et choisir loption Modle dupliqu.
139
Une fentre de proprits souvre. Elle comporte plusieurs onglets. Parmi ceux-ci, les plus importants :
Gnral : nous pouvons y changer le nom du modle et sa priode de validit par
dfaut ;
Traitement de la demande : cet onglet permet de spcifier la taille minimale
de la cl et de choisir si la cl prive est exportable ou non ; Nom du sujet : on peut choisir si le nom du sujet est fourni dans la demande ou sil est construit partir des informations de lActive Directory ;
140
Il faut ensuite indiquer lautorit de certification que ce nouveau modle doit tre propos aux utilisateurs qui font des demandes de certificat. Ceci peut tre configur dans les options de lautorit de certification :
141
Il faut alors choisir le modle que nous venons de crer. Nous allons maintenant crer le certificat du serveur proprement dit. Pour ce faire, nous utiliserons linterface Web du service. Sur la page daccueil, il faut choisir Demander un certificat, puis demande de certificat avance. Un page nous permet de saisir les informations relatives au serveur pour lequel nous demandons le certificat. Nous pouvons galement y choisir le modle de certificat utiliser. Il ne faut pas oublier de cocher loption Marquer les cls comme tant exportables ainsi que loption
Stocker le certificat dans le magasin de certificats de lordinateur local.
142
Une fois le certificat gnr, le serveur nous propose de linstaller sur la machine :
143
144
145
Un mot de passe ncessaire au chiffrement de la base de donne interne de Secure ACS nous est ensuite demand. Finalement, lassistant nous demande si lon souhaite dmarrer le service immdiatement. On peut galement lancer la page dadministration en cochant loption prvue cet effet :
146
Linstallation est termine. La page dadministration de ACS est accessible via lURL http://<ip_serveur>:2002.
147
148
149
150
151
152
153
154
155
156
157
158
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME SDP SIP SSID STC TACACS+ TCP TFTP TKIP UCME UDP URL VoIP WEP WLAN WPA : Session Description Protocol : Session Initiation Protocol : Service Set Identifier : SCCP Telephony Control : Terminal Access Controller Access-Control System Plus : Transport Control Protocol : Trivial File Transfer Protocol : Temporal Key Integrity Protocol : Unified Communications Manager Express : User Datagram Protocol : Uniform Resource Locator : Voice over IP : Wired Equivalent Privacy : Wireless LAN : Wi-Fi Protected Access
Bibliographie
159
Bibliographie
Building Cisco Multilayer Switched Networks (BCMSN) (Authorized SelfStudy Guide), 4th Edition [Livre] / aut. R. Froom B. Sivasubramanian, E. Frahim. [s.l.] : Cisco Press. Cisco IOS in a Nutshell, Second Edition [Livre] / aut. Boney James. - [s.l.] : O'Reilly. Cisco Unified CME 7.1 Supported Firmwares, Platforms, Memory and Voice Products [En ligne]. http://www.cisco.com/en/US/docs/voice_ip_comm/cucme/requirements/guide/cme7 1spc.htm. Cisco Unified CME and Cisco IOS Software Version Compatibility Matrix [En ligne]. http://www.cisco.com/en/US/docs/voice_ip_comm/cucme/requirements/guide/33ma trix.htm. Cisco Unified CME System Administrator Guide [En ligne]. http://www.cisco.com/en/US/docs/voice_ip_comm/cucme/admin/configuration/guid e/cmeadm.html. Cisco Unified Wireless IP Phone 7921G Administration Guide [En ligne]. http://www.cisco.com/en/US/docs/voice_ip_comm/cuipph/7921g/7_0/english/admi nistration/guide/7921G_AdminGuide.html. Cisco Wireless LAN Controller Configuration Guide [En ligne]. http://www.cisco.com/en/US/docs/wireless/controller/5.2/configuration/guide/Contr oller52CG.html. Configuring an Access Point as a Local Authenticator [En ligne]. http://www.cisco.com/en/US/docs/wireless/access_point/12.3_2_JA/configuration/g uide/s32local.html. Configuring Analog Voice Ports [En ligne]. http://www.cisco.com/en/US/docs/ios/voice/voiceport/configuration/guide/vp_cfg_a nalog_vps_ps6441_TSD_Products_Configuration_Guide_Chapter.html. Configuring Cisco Unified CallManager Express [En ligne]. http://uc500.com/CiscoCallManagerExpress. Configuring FXS Ports for Basic Calls [En ligne]. http://www.cisco.com/en/US/docs/ios/voice/fxs/configuration/guide/fxsbasic.html. HEPL Informatique / Rseaux et Tlcoms TFE 2008 - 2009
160
Etude et Implmentation d'une Tlphonie IP Mixte d'Entreprise Base sur UCME LEAP Authentication on a Local RADIUS Server [En ligne]. http://www.cisco.com/en/US/products/hw/wireless/ps4570/products_configuration_ example09186a00801c0912.shtml. Understanding Inbound and Outbound Dial Peers Matching on IOS Platforms [En ligne]. http://www.cisco.com/en/US/tech/tk652/tk90/technologies_tech_note09186a008010 fed1.shtml. User Guide for Cisco Secure Access Control Server 4.2 [En ligne]. http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_f or_windows/4.2/user/guide/SCBasic.html.