1.1 Comparer les formats de données (XML, JSON et YAML)
1.2 Décrire le traitement des formats de données communs (XML, JSON et YAML) en structures de données Python
1.3 Décrire les concepts de développement test-driven
1.4 Comparer les méthodes de développement de logiciels (agile, lean et waterfall)
1.5 Expliquer les avantages de l’organisation du code en méthodes / fonctions, classes et modules
1.6 Identifier les avantages des modèles de conception communs (MVC et Observer)
1.7 Expliquer les avantages du contrôle des versions
1.8 Utiliser des opérations de contrôle de version communes avec Git (Clone, Add/remove, Commit, Push / pull, Branch, Merge and handling conflicts, diff)
2.1 Construire une requête API REST pour accomplir une tâche donnée selon une documentation donnée
2.3 Identifier les contraintes lors de la consommation d’API
2.4 Expliquer les codes de réponse HTTP communs associés aux API REST
2.5 Dépanner un problème en fonction du code de réponse HTTP, de la demande et de la documentation de l’API
2.6 Identifier les parties d’une réponse HTTP (code de réponse, en-têtes, corps)
2.7 Utiliser des mécanismes d’authentification API communs : jeton de base, jeton personnalisé et clés API
2.8 Comparer les styles d’API communs (REST, RPC, synchrone et asynchrone)
2.9 Construire un script Python qui appelle un API REST en utilisant la bibliothèque requests
3.1 Construire un script Python qui utilise un SDK Cisco avec une documentation SDK
3.2 Décrire les capacités des plateformes de gestion de réseau et des APIs Cisco (Meraki, Cisco DNA Center, ACI, Cisco SD-WAN, et NSO)
3.3 Décrire les capacités des plateformes de gestion de calcul et des API de Cisco (UCS Manager, UCS Director et Intersight)
3.4 Décrire les capacités des plateformes de collaboration et des API Cisco (Webex Teams, dispositifs Webex, Cisco Unified Communication Manager, y compris les interfaces AXL et UDS, et Finesse)
3.5 Décrire les capacités des plateformes de sécurité et des API de Cisco (Firepower, Umbrella, AMP, ISE et ThreatGrid)
3.6 Décrire les API et les interfaces dynamiques au niveau des appareils pour IOS XE et NX-OS
3.7 Identifier la ressource DevNet appropriée pour un scénario donné (Sandbox, Code Exchange, support, forums, Learning Labs, et documentation API)
3.8 Appliquer les concepts de la programmabilité pilotée par modèle (YANG, RESTCONF et NETCONF) dans un environnement Cisco
3.9a Construire un code pour effectuer une opération spécifique sur la base d’un ensemble d’exigences et de documents de référence API tels que : Obtenir une liste de périphériques réseau en utilisant Meraki, Cisco DNA Center, ACI, Cisco SD-WAN ou NSO
3.9.b Construire un code pour effectuer une opération spécifique sur la base d’un ensemble d’exigences et de documents de référence API tels que : Gérer les espaces, les participants et les messages dans les équipes Webex
3.9.c Construire un code pour effectuer une opération spécifique sur la base d’un ensemble d’exigences et de documents de référence API tels que : Obtenir une liste des clients / hôtes vus sur un réseau en utilisant Meraki ou Cisco DNA Center
4.1 Décrire les avantages du edge computing
4.2 Identifier les attributs des différents modèles de déploiement d’applications (cloud privé, cloud public, cloud hybride et edge)
4.3 Identifier les attributs de ces types de déploiement d’applications (Machines virtuelles, Bare metal et Conteneurs)
4.4 Décrire les composants d’un pipeline CI/CD dans les déploiements d’applications
4.5 Construire un test unitaire en Python
4.6 Interpréter le contenu d’un Dockerfile
4.7 Utiliser les images Docker dans l’environnement local de développement
4.8 Identifier les problèmes de sécurité des applications liés à la protection des secrets, au cryptage (stockage et transport) et au traitement des données
4.9 Expliquer le fonctionnement du pare-feu, du DNS, des répartiteurs de charge et du reverse proxy dans le déploiement des applications
4.10 Décrivez les principales menaces de l’OWASP (telles que XSS, les injections SQL et CSRF)
4.11 Utiliser des commandes Bash (gestion des fichiers, navigation dans les répertoires et variables d’environnement)
4.12 Identifier les principes des pratiques DevOps
5.1 Décrire l’intérêt du modèle axé sur la programmabilité pour l’automatisation des infrastructures
5.2 Comparer la gestion au niveau du contrôleur à celle au niveau de l’appareil
5.3 Décrire l’utilisation et les rôles des outils de simulation et de test des réseaux (tels que VIRL et pyATS)
5.4 Décrire les composantes et les avantages d’un pipeline CI/CD dans l’automatisation des infrastructures
5.5 Décrire les principes de l’infrastructure as code
5.6 Décrire les capacités des outils d’automatisation tels que Ansible, Puppet, Chef et Cisco NSO
5.7 Identifier le workflow automatisé par un script Python qui utilise les API Cisco, notamment ACI, Meraki, Cisco DNA Center ou RESTCONF
5.8 Identifier le workflow automatisé grâce à un livre de jeu Ansible (gestion des paquets, gestion des utilisateurs liés aux services, configuration de base des services, et démarrage/arrêt)
5.9 Identifier le workflow automatisé par un script bash (comme la gestion des fichiers, l’installation d’applications, la gestion des utilisateurs, la navigation dans les répertoires)
5.10 Interpréter les résultats d’une requête RESTCONF ou NETCONF
5.11 Interpréter les modèles de base de YANG
5.12 Interpréter un diff unifié
5.13 Décrire les principes et les avantages d’un processus de révision des codes
5.14 Interpréter un diagramme de séquence qui inclut des appels API
6.1 Décrire le but et l’utilisation des adresses MAC et des VLAN
6.2 Décrire le but et l’utilisation des adresses IP, des routes, du masque de sous-réseau/préfixe et des passerelles
6.3 Décrire la fonction des composants de réseau communs (tels que les commutateurs, les routeurs, les pare-feu et les répartiteurs de charge)
6.4 Interpréter le diagramme d’une topologie de base d’un réseau avec des éléments tels que les commutateurs, les routeurs, les pare-feu, les équilibreurs de charge et les valeurs de ports
6.5 Décrire la fonction des plans de gestion, de données et de contrôle dans un dispositif de réseau
6.6 Décrire la fonctionnalité de ces services IP : DHCP, DNS, NAT, SNMP, NTP
6.7 Reconnaître les valeurs de ports de protocoles communs (telles que SSH, Telnet, HTTP, HTTPS et NETCONF)
6.8 Identifier la cause des problèmes de connectivité des applications (problème de NAT, port Transport bloqué, proxy et VPN)
6.9 Expliquer les impacts des contraintes de réseau sur les applications
1.1 Explain the different design principles used in an enterprise network
1.2 Analyze design principles of a WLAN deployment
1.3 Differentiate between on-premises and cloud infrastructure deployments
1.4 Explain the working principles of the Cisco SD-WAN solution
1.5 Explain the working principles of the Cisco SD-Access solution
1.6 Describe concepts of wired and wireless QoS
1.7 Differentiate hardware and software switching mechanisms
2.1 Describe device virtualization technologies
2.2 Configure and verify data path virtualization technologies
2.3 Describe network virtualization concepts
3.1 Layer 2 : 3.1.a Troubleshoot static and dynamic 802.1q trunking protocols
3.1 Layer 2 : 3.1.b Troubleshoot static and dynamic EtherChannels
3.1 Layer 2 : 3.1.c Configure and verify common Spanning Tree Protocols (RSTP and MST)
3.2 Layer 3 : 3.2.a Compare routing concepts of EIGRP and OSPF (advanced distance vector vs. linked state, load balancing, path selection, path operations, metrics)
3.2 Layer 3 : 3.2.b Configure and verify simple OSPF environments, including multiple normal areas, summarization, and filtering (neighbor adjacency, point-to-point and broadcast network types, and passive interface)
3.2 Layer 3 : 3.2.c Configure and verify eBGP between directly connected neighbors (best path selection algorithm and neighbor relationships)
3.3 Wireless : 3.3.a Describe Layer 1 concepts, such as RF power, RSSI, SNR, interference noise, band and channels, and wireless client devices capabilities
3.3 Wireless : 3.3.b Describe AP modes and antenna types
3.3 Wireless : 3.3.c Describe access point discovery and join process (discovery algorithms, WLC selection process)
3.3 Wireless : 3.3.d Describe the main principles and use cases for Layer 2 and Layer 3 roaming
3.3 Wireless : 3.3.e Troubleshoot WLAN configuration and wireless client connectivity issues
3.4 IP Services : 3.4.a Describe Network Time Protocol (NTP)
3.4 IP Services : 3.4.b Configure and verify NAT/PAT
3.4 IP Services : 3.4.c Configure first hop redundancy protocols, such as HSRP and VRRP
3.4 IP Services : 3.4.d Describe multicast protocols, such as PIM and IGMP v2/v3
4.1 Diagnose network problems using tools such as debugs, conditional debugs, trace route, ping, SNMP, and syslog
4.2 Configure and verify device monitoring using syslog for remote logging
4.3 Configure and verify NetFlow and Flexible NetFlow
4.4 Configure and verify SPAN/RSPAN/ERSPAN
4.5 Configure and verify IPSLA
4.6 Describe Cisco DNA Center workflows to apply network configuration, monitoring, and management
4.7 Configure and verify NETCONF and RESTCONF
5.1 Configure and verify device access control
5.2 Configure and verify infrastructure security features
5.3 Describe REST API security
5.4 Configure and verify wireless security features
5.5 Describe the components of network security design
6.1 Interpret basic Python components and scripts
6.2 Construct valid JSON encoded file
6.3 Describe the high-level principles and benefits of a data modeling language, such as YANG
6.4 Describe APIs for Cisco DNA Center and vManage
6.5 Interpret REST API response codes and results in payload using Cisco DNA Center and RESTCONF
6.6 Construct EEM applet to automate configuration, troubleshooting, or data collection
6.7 Compare agent vs. agentless orchestration tools, such as Chef, Puppet, Ansible, and SaltStack
Cette formation Fast-Track est destinée à un public de professionnels des réseaux qui veut obtenir un résultat rapide dans la préparation à l’examen Cisco CCNA 200-301 en 5 jours de formation à distance avec François Goffinet.
Il s’agit d’une formation intensive qui exige un engagement total du candidat.
Le programme est celui des objectifs de la certification validés par des tests en ligne. Le cours les présente en 24 sujets comme autant d’heures de formation intensive, laissant 8 heures d’autonomie et/ou de support personnalisé.
Ce programme est susceptible d’etre adapté pour des raisons pédagogiques.
A l’aide d’une Webcam et et d’un Micro avec votre ordinateur, vous entrez dans une classe virtuelle comme dans une classe réelle avec ponctualité.
La classe est ouverte chaque jour de formation selon l’horaire suivant (GMT+1) :
Cette formation s’adresse à des professionnels de l’informatique qui sont certains de passer la certification dès qu’ils se sont engagés dans la formation.
En cas d’annulation de la formation, une date d’inscription est proposée le mois suivant.
Nous ne proposons aucun remboursement en aucun cas.
Toute demande complémentaire peut être adressée via la messagerie https://goffinet.org/#contact.
]]>On trouve dix verbes dans les objectifs de la certification CCNA 200-301 qui correspondent à certaines compétences :
On peut considérer que seuls les objectifs qui demandent à “Configurer” et à “Vérifier” seraient des objectifs qui seraient purement pratiques.
1.12 Expliquer les fondamentaux de la virtualisation (virtual machines)
4.3 Expliquer le rôle de DHCP et de DNS au sein du réseau
4.4 Expliquer la fonction de SNMP dans les opérations réseau
4.7 Expliquer le forwarding per-hop behavior (PHB) pour QoS comme classification, marking, queuing, congestion, policing, shaping
1.7 Décrire la nécessité d’un adressage IPv4 privé
2.7 Décrire les connexions physiques d’infrastructure des composants WLAN (AP,WLC, access/trunk ports, et LAG)
2.8 Décrire les connexions des accès de gestion des APs et du WLC (Telnet, SSH, HTTP,HTTPS, console, et TACACS+/RADIUS)
3.5 Décrire le but des protocoles de redondance du premier saut (first hop redundancy protocol)
4.5 Décrire l’utilisation des fonctionnalités de syslog features en ce inclus les facilities et niveaux
4.9 Décrire les capacités la fonction de TFTP/FTP dans un réseau
5.2 Décrire les éléments des programmes de sécurité (sensibilisation des utilisateurs, formation, le contrôle d’accès physique)
5.4 Décrire les éléments des politiques de sécurité comme la gestion, la complexité, et les alternatives aux mots de passe (authentications multifacteur, par certificats, et biométriques)
5.5 Décrire les VPNs remote access et site-to-site
5.9 Décrire les protocoles de sécurité sans-fil (WPA, WPA2, et WPA3)
1.5 Comparer TCP à UDP
2.6 Comparer les architectures Cisco Wireless Architectures et les modes des APs
6.2 Comparer les réseaux traditionnels avec le réseau basé contrôleur (controller-based)
1.6 Configurer et vérifier l’adressage et le sous-réseautage (subnetting) IPv4
1.8 Configurer et vérifier l’adressage et les préfixes IPv6
2.3 Configurer et vérifier les protocoles de découverte Layer 2 (Cisco Discovery Protocol et LLDP)
2.4 Configurer et vérifier (Layer 2/Layer 3) EtherChannel (LACP)
2.9 Configurer les composants d’un accès au LAN sans-fil pour la connectivité d’un client en utilisant un GUI seulement pour la création du WLAN, les paramètres de sécurité, les profiles QoS et des paramètres WLAN avancés
4.1 Configurer et vérifier inside source NAT (static et pools)
4.2 Configurer et vérifier NTP dans le mode client et le mode server
4.6 Configurer et vérifier DHCP client et relay
4.8 Configurer les périphériques pour un accès distant avec SSH
5.3 Configurer l’accès aux périphériques avec des mots de passe
5.6 Configurer et vérifier les access control lists
5.7 Configurer les fonctionnalités de sécurité Layer 2 (DHCP snooping, dynamic ARP inspection, et port security)
Pour plus d’informations, lire aussi Nouvelles certifications Cisco, nouveau CNNA (200-301).
1.1 Expliquer le rôle et la fonction des composants réseau
1.2 Décrire les caractéristiques des architectures et topologies réseau
1.3 Comparer les interfaces physiques et les types de câble
1.4 Identifier les problèmes d’interface et de câbles (collisions, errors, mismatch duplex, et/ou speed)
1.5 Comparer TCP à UDP
1.6 Configurer et vérifier l’adressage et le sous-réseautage (subnetting) IPv4
1.7 Décrire la nécessité d’un adressage IPv4 privé
1.8 Configurer et vérifier l’adressage et les préfixes IPv6
1.9 Comparer les types d’adresses IPv6
1.10 Vérifier les paramètres IP des OS clients (Windows, Mac OS, Linux)
1.11 Décrire les principes des réseaux sans-fil
1.12 Expliquer les fondamentaux de la virtualisation (virtual machines)
1.13 Décrire les concepts de la commutation (switching)
2.1 Configurer et vérifier les VLANs (normal range) couvrant plusieurs switches
2.2 Configurer et vérifier la connectivité interswitch
2.3 Configurer et vérifier les protocoles de découverte Layer 2 (Cisco Discovery Protocol et LLDP)
2.4 Configurer et vérifier (Layer 2/Layer 3) EtherChannel (LACP)
2.5 Décrire la nécessité et les operations de base de Rapid PVST+ Spanning Tree Protocol
2.6 Comparer les architectures Cisco Wireless Architectures et les modes des APs
2.7 Décrire les connexions physiques d’infrastructure des composants WLAN (AP,WLC, access/trunk ports, et LAG)
2.8 Décrire les connexions des accès de gestion des APs et du WLC (Telnet, SSH, HTTP,HTTPS, console, et TACACS+/RADIUS)
2.9 Configurer les composants d’un accès au LAN sans-fil pour la connectivité d’un client en utilisant un GUI seulement pour la création du WLAN, les paramètres de sécurité, les profiles QoS et des paramètres WLAN avancés
3.1 Interpréter les composants d’une table de routage
3.2 Déterminer comment un routeur prend une décision de transfert par défaut
3.3 Configurer et vérifier le routage statique IPv4 et IPv6
3.4 Configurer et vérifier single area OSPFv2
3.5 Décrire le but des protocoles de redondance du premier saut (first hop redundancy protocol)
4.1 Configurer et vérifier inside source NAT (static et pools)
4.2 Configurer et vérifier NTP dans le mode client et le mode server
4.3 Expliquer le rôle de DHCP et de DNS au sein du réseau
4.4 Expliquer la fonction de SNMP dans les opérations réseau
4.5 Décrire l’utilisation des fonctionnalités de syslog features en ce inclus les facilities et niveaux
4.6 Configurer et vérifier DHCP client et relay
4.7 Expliquer le forwarding per-hop behavior (PHB) pour QoS comme classification, marking, queuing, congestion, policing, shaping
4.8 Configurer les périphériques pour un accès distant avec SSH
4.9 Décrire les capacités la fonction de TFTP/FTP dans un réseau
5.1 Définir les concepts clé de la sécurité (menaces, vulnerabilités, exploits, et les techniques d’atténuation)
5.2 Décrire les éléments des programmes de sécurité (sensibilisation des utilisateurs, formation, le contrôle d’accès physique)
5.3 Configurer l’accès aux périphériques avec des mots de passe
5.4 Décrire les éléments des politiques de sécurité comme la gestion, la complexité, et les alternatives aux mots de passe (authentications multifacteur, par certificats, et biométriques)
5.5 Décrire les VPNs remote access et site-to-site
5.6 Configurer et vérifier les access control lists
5.7 Configurer les fonctionnalités de sécurité Layer 2 (DHCP snooping, dynamic ARP inspection, et port security)
5.8 Distinguer les concepts authentication, authorization, et accounting
5.9 Décrire les protocoles de sécurité sans-fil (WPA, WPA2, et WPA3)
5.10 Configurer un WLAN en utilisant WPA2 PSK avec un GUI
6.1 Expliquer comment l’automation impacte la gestion du réseau
6.2 Comparer les réseaux traditionnels avec le réseau basé contrôleur (controller-based)
6.3 Décrire les architectures basées contrôleur (controller-based) et software defined (overlay, underlay, et fabric)
6.4 Comparer la gestion traditionnelle les périphériques campus avec une gestion des périphériques avec Cisco DNA Center
6.5 Décrire les caractéristiques des APIs de type REST (CRUD, verbes HTTP, et encodage des données)
6.6 Reconnaître les capacités des mécanismes de gestion des configuration comme Puppet, Chef, et Ansible
6.7 Interpréter des données encodées en JSON
Organisation garantie ! Uniquement pour des résidents africains francophones !
Formation à distance en Live !
Points forts
Je ne suis pas résident africain, puis-je participer à la formation ?
Non, vous ne pouvez pas. Cette offre est uniquement réservée aux résidents africains sous peine d’annulation sans remboursement.
Dois-je venir à la formation avec mon ordinateur portable ?
Oui, chaque participant doit venir à la formation avec son ordinateur portable.
Quelle est la politique de remboursement ?
Aucun remboursement n’est prévu pour les formations en ligne.
Dois-je apporter mon billet imprimé à l’événement ?
Oui avec une preuve de votre identité.
Puis-je mettre à jour les informations de mon inscription ?
Vous pouvez à tout moment modifier les informations de votre inscription.
Est-ce un problème si le nom indiqué sur mon billet ou mon inscription ne correspond pas à celui du participant ?
Oui car le billet est uniquement nominatif sous peine de refus de participation.
Quels sont les frais qui ne sont pas compris dans le prix de la formation ?
Repas, déplacement, logement, achat de l’examen de certification (250-300 EUR), licences personnelles des systèmes d’exploitation utilisés, un ordinateur portable de travail.
Comment contacter l’organisteur de la formation et lui poser des questions ?
Le lien de contact se trouve juste ici en bas.
]]>Ce document s’adresse aux professionnels des réseaux à des fins uniquement pédagogiques.
Pour reproduire les exemples de cet article, il est nécessaire d’avoir :
Comment obtenir une connectivité IPv6 alors que nos fournisseurs d’accès Internet tardent encore à nous offrir nativement et avec qualité le standard de l’Internet, en version 6 (RFC8200) ? L’IETF recommande depuis longtemps l’implémentation des deux protocoles (Dual Stack), IPv4 et IPv6. Toutefois, la plupart d’entre nous reste dans la misère d’IPv4 et l’ignorance d’IPv6. Passer par un fournisseur de tunnel IPv6 semble la solution la moins mauvaise en attendant mais à condition d’avoir la main sur le routeur qui connecte l’IPv4 public … ce qui est n’est probablement pas ou plus le cas.
Cet article explique comment redistribuer sa connectivité IPv6 acquise grâce à un fournisseur de tunnel dans un réseau local caché par du NAT multiple. On mettra en oeuvre ici du routage de trafic IPv6 transporté dans un tunnel OpenVPN (UDP en IPv4) sécurisé et puis dans un tunnel 6in4
offert par Hurricane Electric.
Si vous ne maîtrisez pas IPv6 dans votre réseau, d’autres pourraient s’en charger à votre place …
À partir du moment où IPv6 sera le protocole préféré dans tous les cas par nos hôtes terminaux (tout périphérique capable en IPv6, RFC 6434), cette démonstration dans un réseau qui n’est pas le nôtre pourrait être interprété comme une étape d’une attaque de redirection et d’homme du milieu.
Il s’agit juste ici de proposer une solution élégante et fonctionnelle qui fournit des tunnels IPv6 supportés en IPv4 grâce à OpenVPN et au “tunnel broker” Hurricane Electric.
Comme le suggère la figure suivante, le réseau IPv6 est un Internet distinct de celui de la version 4. Pour accéder à IPv6 en tant qu’hôte terminal, votre fournisseur de services Internet doit aussi le mettre en oeuvre dans son infrastructure et c’est ici que le bât blesse.
Pour remédier au manque d’adresses IPv4, la meilleure solution est d’implémenter le protocole standard IPv6 en double pile. Si une ressource à joindre l’est uniquement en IPv4, l’ordinateur utilisera sa connexion IPv4 ; dans tous les autres cas, il utilisera sa connexion IPv6.
En attendant une connectivité native, il est toujours possible de prendre les services d’un fournisseur de tunnel comme Hurricane Electric Tunnel Broker. Entretemps, d’autres ont disparu comme Gogo6 (✝ 2016) ou Sixxs (✝ 2017).
Peut-on raisonnablement imaginer du trafic de production dans des tunnels publics ? Je ne le pense pas.
Hurricane Electric propose des tunnels 6in4
(RFC 4213 et RFC 3053) : le trafic IPv6 est transporté dans l’Internet IPv4 public. Chaque utilisateur a la possibilité de créer jusqu’à cinq tunnels avec un bloc /64
et un bloc /48
routés dans le tunnel.
Rappellons juste qu’ici qu’un bloc /48
offre encore 16 bits pour un découpage en 65536 sous-réseaux /64
, soit l’équivalent d’un réseau IPv4 de la classe A découpé en /24
(255.255.255.0
).
+-------------+
| IPv4 |
| Header |
+-------------+ +-------------+
| IPv6 | | IPv6 |
| Header | | Header |
+-------------+ +-------------+
| Transport | | Transport |
| Layer | ===> | Layer |
| Header | | Header |
+-------------+ +-------------+
| | | |
~ Data ~ ~ Data ~
| | | |
+-------------+ +-------------+
Encapsulation d’IPv6 dans IPv4, RFC 4213, page 5
+------+
/|tunnel|
/ |server|
/ | |
/ +------+
+----------+ +------+/ +------+
|dual-stack| |tunnel| |tunnel|
| node |<--->|broker|<--->|server|
| (user) | | | | |
+----------+ +------+\ +------+
| \ +------+
tunnel end-point v \ |tunnel|
/\ +---+ \ |server|
|| |DNS| \| |
|| +---+ +------+
||
|| tunnel end-point
|| /\
|| ||
|+---------------------------+|
+-----------------------------+
IPv6 over IPv4 tunnel
Modèle Fournisseur de tunnel, RFC 3053, p.3
On trouvera d’autres considérations sur les méthodes de transition IPv6 dans un autre document : Méthodes de transition IPv6
Mais ce type de tunnel exige des adresses IPv4 publiques qui se voient directement sans NAT, c’est-à-dire sans que les champs d’adresses IPv4 de son en-tête ne soient traduits et transformés lors de leur transport. On parle alors de respect d’unicité des adresses IP et de la connectivité de bout-en-bout.
Or beaucoup de nos connexions domestiques ou mobiles sont fournies avec des adresses privées dans le nuage opérateur qui traduit ces adresses en adresses publiques au sortir de leur réseau (Carrier-Grade NAT). Le CG-NAT est de la traduction d’adresses IPv4 dans le nuage et à l’échelle de l’opérateur. Le CG-NAT est déployé chez les fournisseurs d’accès Internet pour faire face au manque d’adresses IPv4.
Voici un exemple de connexion Orange en Belgique :
curl ipinfo.io
{
"ip": "94.109.49.28",
"city": "",
"region": "",
"country": "BE",
"loc": "50.8500,4.3500",
"hostname": "cust-28-49-109-94.dyn.as47377.net",
"org": "AS47377 Orange Belgium SA"
}
Je sors dans le réseau IPv4 public au septième saut.
traceroute -n 1.1.1.1
traceroute to 1.1.1.1 (1.1.1.1), 64 hops max, 52 byte packets
1 192.168.8.1 2.219 ms * 1.450 ms
2 192.168.2.1 4.304 ms 4.829 ms 2.864 ms
3 192.168.225.1 14.242 ms 8.124 ms 10.168 ms
4 10.50.22.1 38.118 ms 43.988 ms 32.121 ms
5 10.50.28.6 53.154 ms 24.486 ms 35.778 ms
6 10.50.31.250 23.446 ms 24.165 ms 27.696 ms
7 * 212.65.33.233 87.518 ms 55.441 ms
8 194.53.172.66 26.132 ms 36.018 ms 32.540 ms
9 1.1.1.1 22.466 ms 28.251 ms 27.798 ms
Aussi, les adresses IPv4 attribuées aux connexions domestiques peuvent changer : ce n’est pas insurmontable grâce à des mécanismes de mise-à-jour (comme du “Dynamic DNS”). Quoi qu’il en soit, le trafic sera traduit au moins deux fois : au sortir de la passerelle locale et dans le nuage opérateur. S’il y a souvent moyen de contourner un simple NAT entre le réseau local et l’Internet, dans ce cas-ci, ce n’est plus vraiment jouable.
Dans ce contexte, il n’est pas étonnant qu’une simple encapsulation d’IPv6 dans IPv4 ne fonctionne pas.
Une solution consisterait à utiliser un relai dans l’Internet IPv4 public qui monterait le tunnel IPv6 vers Hurricane Electric. Mais une portion du trajet serait toujours en IPv4 seulement : comment transporter ce trafic IPv6 jusqu’à notre réseau local depuis ce relai en IPv4 ? Grâce à un second tunnel entre le relai qui connecte le fournisseur et un point terminal du réseau local.
J’ai d’abord pensé aux tunnels de type GRE et IPSEC mais ceux-ci exigent aussi idéalement une vue directe des interfaces en IPv4. Les solutions propriétaires et open source ne manquent pas en la matière.
Il m’a semblé plus simple d’utiliser OpenVPN pour sa souplesse et sa disponibilité sur les PCs et sur les plateformes embarquées. Le principe est d’encapsuler le trafic IPv6 entre le client local et le relai dans l’Internet dans un tunnel UDP (port 1194 par défaut) supporté par IPv4 avec du chiffrement. Ensuite, le trafic IPv6 est routé jusque chez Hurricane Electric dans un tunnel 6in4
.
La figure illustre une connexion d’un PC vers le relai pour obtenir une connectivité IPv6 (en remote access selon le jargon).
L’objectif final serait de construire une passerelle IPv6 portable qui s’occuperait d’établir la connectivité en bordure d’un réseau IPv4, quel qu’il soit, et qui s’occuperait aussi de configurer et transférer IPv6 dans le réseau local.
Pour distribuer IPv6 dans le réseau à partir d’un client OpenVPN, je conseille d’utiliser un routeur qui fonctionne avec OpenWRT. OpenWRT est une distribution Linux spécialisée pour le matériel embarqué qui supporte un grand nombre de plateformes.
Voici deux modèles de routeurs qui fonctionnent avec OpenWRT.
Modèle | Image |
---|---|
Le Convexa-B (GL-B1300) de gl.inet à 89$. Atheros IPQ4028, Quad-core ARM, 717MHz, 400Mbps(2.4G) + 867Mbps(5G) high speed, DDR3L 256MB RAM / 32MB FLASH ROM, 1WAN, 2LAN, 1USB3.0, 10/100/1000M Gigabit Ethernet type, 802.11a/b/g/n/ac | |
Le GL-AR300M Mini Smart Router de gl.inet à 40 $. Qualcomm QCA9531 SoC, 650MHz CPU, 300Mbps high speed, 128MB RAM, 16MB Nor flash + 128MB Nand flash(optional), UART, PCIe interfaces |
La figure suivante représente une configuration site-à-site (site-to-site) où la passerelle domestique est un de ces routeurs avec OpenWRT et OpenVPN installés.
Au préalable, j’ai pris un compte et j’ai créé un tunnel 6in4
sur https://www.tunnelbroker.net/.
Le serveur Openvpn (client HE) est situé en France et le point d’accès HE (serveur HE) est situé aux Pays-Bas.
Voici les paramètres de la configuration du tunnel. Les adresses IP ont été adaptées pour la documentation.
216.66.84.46
”2001:db8:1f54:67::1/64
”51.77.222.56
”2001:db8:1f54:67::2/64
”2001:db8:78c9::/48
”2001:470:20::2
”74.82.42.42
”Pour rappel, voici la topologie à monter :
Si nous avions un routeur Cisco en bordure du réseau public IPv4, la configuration proposée aurait ressemblé à ceci :
configure terminal
interface Tunnel0
description Hurricane Electric IPv6 Tunnel Broker
no ip address
ipv6 address 2001:db8:1f54:67::2/64
tunnel source 51.77.222.56
tunnel destination 216.66.84.46
tunnel mode ipv6ip
ipv6 route ::/0 Tunnel0
end
write
Notre relai n’est pas un routeur Cisco, c’est un serveur (VPS) hébergé chez OVH : j’ai pris une offre OVH VPS SSD (2Go RAM, 1 vcpu, 20Go SSD) en Ubuntu 18.04 LTS à 3 EUR/mois
Après s’être assuré de la joignabilité de l’adresse IPv4 du serveur OpenVPN, il est nécessaire de monter le tunnel 6in4
en modifiant trois fichiers sur le serveur :
/etc/netplan/50-cloud-init.yaml
/etc/cloud/cloud.cfg.d/99-disable-network-config.cfg
/etc/resolv.conf
et avec l’arrêt du service systemd-resolved
Dans les dernières version d’Ubuntu, c’est netplan qui gère la configuration du réseau.
Modification du fichier /etc/netplan/50-cloud-init.yaml
.
# This file is generated from information provided by
# the datasource. Changes to it will not persist across an instance.
# To disable cloud-init's network configuration capabilities, write a file
# /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg with the following:
# network: {config: disabled}
network:
version: 2
ethernets:
ens3:
dhcp4: true
match:
macaddress: fa:16:3e:14:1e:fd
set-name: ens3
tunnels:
he-ipv6:
mode: sit
remote: 216.66.84.46
local: 51.77.222.56
addresses:
- "2001:db8:1f54:67::2/64"
gateway6: "2001:db8:1f54:67::1"
Modification du fichier /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg
:
echo "network: {config: disabled}" > /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg
Arrêt du service local de résolution de noms :
systemctl disable systemd-resolved
systemctl stop systemd-resolved
Modification du fichier /etc/resolv.conf
:
rm /etc/resolv.conf
cat << EOF > /etc/resolv.conf
nameserver 2606:4700:4700::1111
nameserver 2606:4700:4700::1001
nameserver 1.1.1.1
nameserver 1.0.0.1
EOF
Les commandes netplan try
(test de la configuration) et netplan apply
permettent de recharger la configuration du réseau. Toutefois, le redémarrage de l’ordinateur serait judicieux.
Des vérifications d’usage sont à faire sur les adresses :
ping6 -c1 2001:db8:1f54:67::1
ping6 -c1 2606:4700:4700::1111
ping6 -c1 www.google.com
Installation de :
openvpn
: serveur de tunnel udp chiffréeasy-rsa
: un outil de gestion d’une PKIapt update
apt -y install openvpn easy-rsa
Création des clés du serveur : le Common Name (CN) doit exactement correspondre.
mkdir /etc/openvpn/easy-rsa/
cp -r /usr/share/easy-rsa/* /etc/openvpn/easy-rsa/
vi /etc/openvpn/easy-rsa/vars
cd /etc/openvpn/easy-rsa/
source vars
./clean-all
ln -s openssl-1.0.0.cnf openssl.cnf
./build-ca
./build-key-server tun0
./build-dh
cp tun0.crt tun0.key ca.crt dh2048.pem /etc/openvpn/
Création du fichier du serveur :
cat << EOF > /etc/openvpn/server.conf
# general settings for openvpn server
local 51.77.222.56
proto udp
dev tun
ca ca.crt
cert tun0.crt
key tun0.key
dh dh2048.pem
server 10.11.12.0 255.255.255.0
# adittional settings for ipv6:
server-ipv6 2001:db8:78c9:ffff::/64
push "route-ipv6 ::/0"
push "route-metric 2000"
route-ipv6 2001:db8:78c9:1::/64
client-config-dir ccd
EOF
server-ipv6 2001:db8:78c9:ffff::/64
indique le bloc utilisé pour le tunnel.push "route-ipv6 ::/0"
et push "route-metric 2000"
poussent une route par défaut avec une métrique de 2000 sur le client.route-ipv6 2001:db8:78c9:1::/64
indique au routeur de transfèrer du trafic pour le bloc du client.client-config-dir ccd
indique le dossier des configurations propres aux clients.Un redémarrage du serveur OpenVPN est probablement conseillé.
systemctl restart openvpn
Création des clés du client client01
:
cd /etc/openvpn/easy-rsa/
source vars
./build-key --batch client01
mkdir -p /etc/openvpn/ccd/
cat << EOF > /etc/openvpn/ccd/client01
iroute-ipv6 2001:db8:78c9:1::/64
EOF
L’instruction iroute-ipv6 2001:db8:78c9:1::/64
indique au serveur OpenVPN de “router” le trafic de ce bloc dans la connexion du client01.
Il est possible de tester la connectivité avec un client OpenVPN sur un PC avec le logiciel client approprié.
Le fichier de configuration .ovpn
peut être généré à partir du serveur OpenVPN avec cette procédure :
client="client01"
cat << EOF > /root/${client}.ovpn
client
dev tun-ipv6
remote `dig @ns1.google.com -t txt o-o.myaddr.l.google.com +short -4 | sed 's/"//g'` 1194 udp
<key>
`cat /etc/openvpn/easy-rsa/keys/${client}.key`
</key>
<cert>
`cat /etc/openvpn/easy-rsa/keys/${client}.crt`
</cert>
<ca>
`cat /etc/openvpn/easy-rsa/keys/ca.crt`
</ca>
EOF
Pour distribuer IPv6 dans le réseau à partir d’un client OpenVPN, je conseille d’utiliser un routeur qui fonctionne avec OpenWRT. Comme déjà dit, OpenWRT est une distribution Linux spécialisée pour le matériel embarqué qui supporte un grand nombre de plateformes (voir plus haut). On pourrait aussi utiliser l’appliance OpenWRT dans GNS3.
Installation d’OpenVPN :
opkg update
opkg install openvpn-openssl luci-app-openvpn
Copie des clés du client : on aura pris la peine de copier les clés à partir du serveur OpenVPN sur le client OpenVPN.
mkdir /etc/keys/
cp ca.crt /etc/keys/
cp client01.key /etc/keys/
cp client01.crt /etc/keys/
Création du fichier de configuration /etc/config/openvpn
:
mv /etc/config/openvpn /etc/config/openvpn.old
cat << EOF > /etc/config/openvpn
config openvpn 'client01'
option dev 'tun'
option verb '3'
option client '1'
option pull '1'
list remote '51.77.222.56'
option remote_random '0'
option tun_ipv6 '1'
option ca '/etc/keys/ca.crt'
option key '/etc/keys/client01.key'
option cert '/etc/keys/client01.crt'
option enabled '1'
EOF
Adaptation du fichier /etc/config/network
: On ajoute une adresse IPv6 du bloc routé à l’interface WAN. L’interface WAN6 à associée à l’interface physique tun0
en mode “non géré”.
config interface 'lan'
option ip6addr '2001:db8:78c9:1::1/64'
config interface 'wan6'
option proto 'none'
option ifname 'tun0'
Adaptation du fichier /etc/network/dhcp
: Pour distribuer IPv6 dans le réseau local en autoconfiguration et en DHCPv6 Stateful, on active ces options.
config dhcp 'lan'
option ra 'server'
option dhcpv6 'server'
option ndp 'hybrid'
option ra_management '1'
À partir d’un client Mac OS X du réseau local connecté à la passerelle OpenWRT.
Paramètres d’interface :
ifconfig en0
en0: flags=8963<UP,BROADCAST,SMART,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
ether ac:bc:32:95:7f:5b
inet6 fe80::18de:3188:5c8f:92a%en0 prefixlen 64 secured scopeid 0x5
inet6 2001:db8:78c9:1:c8f:6453:fe97:af4 prefixlen 64 autoconf secured
inet6 2001:db8:78c9:1:b5ce:7019:2ec1:f7b1 prefixlen 64 autoconf temporary
inet 192.168.9.119 netmask 0xffffff00 broadcast 192.168.9.255
inet6 2001:db8:78c9:1::2b5 prefixlen 64 dynamic
nd6 options=201<PERFORMNUD,DAD>
media: autoselect
status: active
Connectivité IPv6 :
ping6 -c5 www.google.com
PING6(56=40+8+8 bytes) 2001:db8:78c9:1:61a6:fec9:9510:b688 --> 2a00:1450:400e:80b::2004
16 bytes from 2a00:1450:400e:80b::2004, icmp_seq=0 hlim=56 time=65.868 ms
16 bytes from 2a00:1450:400e:80b::2004, icmp_seq=1 hlim=56 time=109.260 ms
16 bytes from 2a00:1450:400e:80b::2004, icmp_seq=2 hlim=56 time=39.896 ms
16 bytes from 2a00:1450:400e:80b::2004, icmp_seq=3 hlim=56 time=38.733 ms
16 bytes from 2a00:1450:400e:80b::2004, icmp_seq=4 hlim=56 time=76.402 ms
--- www.google.com ping6 statistics ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 38.733/66.032/109.260/26.094 ms
Trafic HTTP sur IPv6 :
curl -v -6 http://test.tf/status
* Trying 2001:41d0:305:1000::1d8a...
* TCP_NODELAY set
* Connected to test.tf (2001:41d0:305:1000::1d8a) port 80 (#0)
> GET /status HTTP/1.1
> Host: test.tf
> User-Agent: curl/7.54.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Mon, 01 Jul 2019 20:50:50 GMT
< Server: Apache/2.4.7 (Ubuntu)
< Last-Modified: Sat, 29 Jun 2019 21:20:13 GMT
< ETag: "15-58c7cf5ed13b9"
< Accept-Ranges: bytes
< Content-Length: 21
<
{
"status": "OK"
}
* Connection #0 to host test.tf left intact
Interroger le site http://ipv6-test.com :
curl -6 http://v4v6.ipv6-test.com/api/myip.php ; echo ''
2001:db8:78c9:1:61a6:fec9:9510:b688
Maintenant, désactivez IPv4 et tentez de naviguer sur Internet … Bonne chance ! Le NAT64/DNS64 est la prochaine étape.
Je me suis inspiré des deux articles de blog (Wouter Hanegraaff) suivants :
]]>Une grande nouveauté attendue est la nouvelle certification CCNA (200-301) qui devient unique en son genre !
Alors que tous les examens sont directement accessibles, le parcours de certification se déroule de manière progressive en 4 niveaux de compétence : “Associate” (CCNA), “Specialist”, “Professional” (CCNP) et “Expert” (CCIE). Excepté le niveau “Associate” du CCNA qui touche tous les domaines sur le plan fondamental, chaque niveau porte sur un domaine précis des réseaux. Chaque niveau est en général validé par un seul examen supplémentaire.
Le niveau CCENT et les examens ICND1 et ICND2 disparaissent au seul profit d’un examen CCNA unique et générique. Cela nous conforte dans l’idée que le CCNA s’adresse bien à des personnes qui embrassent une carrière dans les réseaux.
Désormais un niveau “Specialist” suit le niveau “Associate” et précède le niveau “Professional”. Il est en quelque sorte la nouveauté du parcours. On obtient ce niveau “Specialist” en passant n’importe quel examen CCNP des six domaines de spécialité précités dans un catalogue d’examens “Core” ou de “concentration” (qui se concentre sur un sujet ou une technologie particulière).
Le niveau “Professional” CCNP pour un domaine s’obtient en passant un examen “Core” et en plus un examen de spécialisation (de “concentration”) dans le même domaine. Auparavant, il fallait en passer bien plus pour obtenir le niveau “Professional” comme le CCNP R&S.
Le niveau Expert est obtenu à la réussite d’un examen “Core” dans un domaine de spécialité et en plus avec la réussite d’un examen pratique (“hands-on lab exam”) dans le même domaine de spécialité.
Le parcours des certifications Cisco est désormais plus rapide, plus lisible, plus intéressant et plus facile à maintenir dans une carrière.
Voici le nouveau Cisco CCNA !
À partir du 24/02/2020, le nouveau CCNA sera désormais organisé en un seul examen (code 200-301). Il remplacera à partir de cette date tous les anciens CCNA (Routing & Switching, Security, Wireless, …), le CCENT et le CCDA (Design). Si vous vous obtenez une certification CCNA avant la date de démarrage du nouveau CCNA 200-301 (avant le 23/02/2020), vous recevrez le titre de la nouvelle certification.
La durée de l’examen augmente de 30 minutes passant de 90 minutes à 120 minutes. La durée de validité du titre est toujours de 3 ans.
Les nouveaux objectifs de la certification retirent les sujets des modèles, du routage EIGRP, OSPFv3 et BGP, VTP, APIC-EM ainsi que les sujets WAN comme PPP, PPPoE ou GRE alors que l’automation et la programmabilité des réseaux devient un nouveau domaine de connaissance purement théorique. Le nouveau programme ajoute des objectifs pratiques de configuration de DHCP snooping, dynamic ARP inspection (DAI) ou encore d’un client WLAN avec GUI (!). Des objectifs de connaissance théorique sur les réseaux WLAN et sur les architectures sécurisées ont également été ajoutés. Le verbe “Troubleshoot” a totalement disparu des objectifs.
le nouvel examen CCNA 200-301 est 25% moins dense que son prédécesseur CCNA 200-125
En bref, le nouveau CCNA 200-301 est moins “pratique” mais demande des connaissances théoriques élargies (WLAN, sécurité, automation). Toutefois, on retrouve mathématiquement dans le nouveau CCNA 200-301 un équilibre entre objectifs pratiques et objectifs théoriques. Selon Wendell Odom, l’auteur de nombreux livres de préparation au CCNA chez Cisco Press, le nouvel examen CCNA 200-301 est 25% moins dense que son prédécesseur CCNA 200-125.
Le nouvel examen CCNA 200-301 évalue la connaissance et les compétences sur les six sujets suivants :
J’ai traduit les objectifs dans ce document sur mon site : Objectifs de l’examen Cisco CCNA 200-301
Le titre “Specialist” s’obtient en passant l’un des examens ci-dessous dans un domaine (“Track”).
Le titre CCNP s’obtient en passant un des examens “Core” d’un domaine et un autre examen de concentration du même domaine.
Les examens “CORE” sont les suivants :
Par ailleurs, chaque examen de “concentration” se concentre sur une technologie précise, ce qui rend l’accès aux titres plus souple et plus intéressant pour le candidat.
Domaine | Titre | Examen |
---|---|---|
Enterprise | Cisco Certified Specialist - Enterprise Core | 300-401 ENCOR |
Enterprise | Cisco Certified Specialist - Enterprise Advanced Infrastructure Implementation | 300-410 ENARSI |
Enterprise | Cisco Certified Specialist - Enterprise SD-WAN Implementation | 300-415 ENSDWI |
Enterprise | Cisco Certified Specialist - Enterprise Design | 300-420 ENSLD |
Enterprise | Cisco Certified Specialist - Enterprise Wireless Design | 300-425 ENWLSD |
Enterprise | Cisco Certified Specialist - Enterprise Wireless Implementation | 300-430 ENWLSI |
Data Center | Cisco Certified Specialist - Data Center Core | 300-601 DCCOR |
Data Center | Cisco Certified Specialist - Data Center Design | 300-610 DCID |
Data Center | Cisco Certified Specialist - Data Center Operations | 300-615 DCIT |
Data Center | Cisco Certified Specialist - Data Center ACI Implementation | 300-620 DCACI |
Data Center | Cisco Certified Specialist - Data Center SAN Implementation | 300-625 DCSAN |
Security | Cisco Certified Specialist - Security Core | 300-701 SCOR |
Security | Cisco Certified Specialist - Network Security Firepower | 300-710 SNCF |
Security | Cisco Certified Specialist - Network Security VPN Implementation | 300-730 SVPN |
Security | Cisco Certified Specialist - Email Content Security | 300-720 SESA |
Security | Cisco Certified Specialist - Web Content Security | 300-725 SWSA |
Security | Cisco Certified Specialist - Security Identity Management Implementation | 300-715 SISE |
Service Provider | Cisco Certified Specialist - Service Provider Core | 300-501 SPCOR |
Service Provider | Cisco Certified Specialist - Service Provider Advanced Routing Implementation | 300-510 SPRI |
Service Provider | Cisco Certified Specialist - Service Provider VPN Services Implementation | 300-515 SPVI |
Collaboration | Cisco Certified Specialist - Collaboration Core | 300-801 CLCOR |
Collaboration | Cisco Certified Specialist - Collaboration Applications Implementation | 300-810 CLICA |
Collaboration | Cisco Certified Specialist - Collaboration Call Control & Mobility Implementation | 300-815 CLACCM |
Collaboration | Cisco Certified Specialist - Collaboration Cloud & Edge Implementation | 300-820 CLCEI |
DevNet, Enterprise | Cisco Certified DevNet Specialist - Enterprise Automation and Programmability | 300-435 ENAUTO |
DevNet, Data Center | Cisco Certified DevNet Specialist - Data Center Automation and Programmability | 300-635 DCAUTO |
DevNet, Security | Cisco Certified DevNet Specialist - Security Automation and Programmability | 300-735 SAUTO |
DevNet, Service Provider | Cisco Certified DevNet Specialist - Service Provider Automation and Programmability | 300-535 SPAUTO |
DevNet, Collaboration | Cisco Certified DevNet Specialist - Collaboration Automation and Programmability | 300-835 CLAUTO |
DevNet | Cisco Certified DevNet Specialist - Core | 300-901 DEVCOR |
DevNet | Cisco Certified DevNet Specialist - DevOps | 300-910 DEVOPS |
DevNet | Cisco Certified DevNet Specialist - IoT | 300-915 DEVIOT |
DevNet | Cisco Certified DevNet Specialist - Webex | 300-920 DEVWBX |
Si vous désirez vous tenir informé sur les nouvelles certifications Cisco, veuillez remplir le formulaire suivant : http://eepurl.com/guZC6b.
]]>1.1. Principes courants de sécurité
1.1.a Décrire la confidentialité, l’intégrité, la Disponibilité (CIA)
1.1.b Décrire la technologie SIEM
1.1.c Identifier les termes courants de securité
1.1.d Identifier les zones courants de sécurité du réseau
1.2. Menaces courantes de sécurité
1.2.a Identifier les attaques réseau courantes
1.2.b Décrire l’ingénierie sociale
1.2.c Identifier les logiciels malveillants
1.2.d Classer les vecteurs de perte / d’exfiltration de données
1.3. Concepts de cryptographie
1.3.a Décrire l’échange de clés
1.3.b Décrire un algorithme de hachage
1.3.c Comparer et mettre en contraste le cryptage symétrique et asymétrique
1.3.d Décrire les signatures numériques, les certificats et une PKI
1.4. Décrire les topologies du réseau
1.4.a Réseau de campus (CAN)
1.4.b Cloud, réseau étendu (WAN)
1.4.c Centre de données
1.4.d Petit bureau / bureau à domicile (SOHO)
1.4.e Sécurité réseau pour un environnement virtuel
2.1. Gestion sécurisée
2.1.a Comparer in-band et out-of-band
2.1.b Configurer la gestion sécurisée du réseau
2.1.c Configurer et vérifier l’accès sécurisé via SNMPv3 à l’aide d’une liste de contrôle d’accès
2.1.d Configurer et vérifier la sécurité pour NTP
2.1.e Utiliser SCP pour le transfert de fichiers
2.2. Concepts AAA
2.2.a Décrire les technologies RADIUS et TACACS +
2.2.b Configurer l’accès administrateur sur un routeur Cisco à l’aide de TACACS +
2.2.c Vérifier la connectivité sur un routeur Cisco à un serveur TACACS +
2.2.d Expliquer l’intégration d’Active Directory avec AAA
2.2.e Décrire l’authentification et l’autorisation en utilisant ACS et ISE
2.3. Authentification 802.1X
2.3.a Identifier les fonctions et composants 802.1X
2.4. BYOD
2.4.a Décrire le cadre de l’architecture BYOD
2.4.b Décrire la fonction de gestion des appareils mobiles (MDM)
3.1. Concepts VPN
3.1.a Décrire les protocoles IPsec et les modes de livraison (IKE, ESP, AH, mode tunnel, mode transport)
3.1.b Décrire hairpinning, split tunneling, always-on, NAT traversal
3.2. VPN d’accès à distance
3.2.a Implémenter un VPN SSL sans client de base à l’aide de l’ASDM
3.2.b Vérifier la connexion sans client
3.2.c Implémenter un VPN SSL AnyConnect de base à l’aide de l’ASDM
3.2.d Vérifier la connexion AnyConnect
3.2.e Identifier l’évaluation du point final
3.3. VPN de site à site
3.3.a Implémenter un VPN de site à site IPsec avec authentification par clé pré-partagée sur les routeurs Cisco et les pare-feu ASA
3.3.b Vérifier un VPN de site à site IPsec
4.1. Sécurité sur les routeurs Cisco
4.1.a Configurer plusieurs niveaux de privilèges
4.1.b Configurer l’accès CLI basé sur le rôle Cisco IOS
4.1.c Mettre en oeuvre la configuration résiliente Cisco IOS
4.2. Sécurisation des protocoles de routage
4.2.a Implémenter l’authentification de mise à jour de routage en OSPF
4.3. Sécurisation du plan de contrôle
4.3.a Expliquer la fonction de contrôle du plan de contrôle
4.4. Attaques communes de couche 2
4.4.a Décrire les attaques STP
4.4.b Décrire d’usurpation ARP
4.4.c Décrire l’usurpation d’adresse MAC
4.4.d Décrire les débordements de la table CAM (table d’adresses MAC)
4.4.e Décrire la reconnaissance CDP / LLDP
4.4.f Décrire le saut de VLAN (VLAN hopping)
4.4.g Décrire l’usurpation de DHCP
4.5. Procédures d’atténuation
4.5.a Implémentation de la surveillance DHCP (DHCP snooping)
4.5.b Mettre en oeuvre l’inspection ARP dynamique (Dynamic ARP Inspection, DAI)
4.5.c Mettre en oeuvre port security
4.5.d Décrire la protection BPDU guard, root guard, loop guard
4.5.e Vérifier les procédures d’atténuation
4.6. Sécurité VLAN
4.6.a Décrire les implications de sécurité d’un PVLAN
4.6.b Décrire les implications de sécurité d’un VLAN natif
5.1. Décrire les forces et les faiblesses opérationnelles des différentes technologies de pare-feu
5.1.a Pare-feu proxy
5.1.b Pare-feu d’application
5.1.c Pare-feu personnel
5.2. Comparaison entre les pare-feu étatisés et les pare-feu sans état
5.2.a Opérations
5.2.b Fonction de la table d’état
5.3. Implémenter NAT sur Cisco ASA 9.x
5.3.a Statique
5.3.b Dynamique
5.3.c PAT
5.3.d Politique NAT
5.3 e Vérifier les opérations NAT
5.4. Mettre en œuvre un pare-feu basé sur une zone
5.4.a Zone à zone
5.4.b Self zone
5.5. Caractéristiques du pare-feu sur un Cisco Adaptive Security Appliance (ASA) 9.x
5.5.a Configurer la gestion des accès ASA
5.5.b Configurer les stratégies d’accès de sécurité
5.5.c Configurer les niveaux de sécurité de l’interface Cisco ASA
5.5.d Configurer le Cisco Modular Policy Framework (MPF) par défaut
5.5.e Décrire les modes de déploiement (pare-feu routé, pare-feu transparent)
5.5.f Décrire les méthodes de mise en œuvre de la haute disponibilité
5.5.g Décrire les contextes de sécurité
5.5.h Décrire les services de pare-feu
6.1. Décrire les considérations de déploiement d’un IPS
6.1.a IPS basé réseau ou IPS basé hôte
6.1.b Modes de déploiement (inline, promiscuous - SPAN, tap)
6.1.c Placement (positionnement de l’IPS dans le réseau)
6.1.d Faux positifs, faux négatifs, vrais positifs, vrais négatifs
6.2. Décrire les technologies IPS
6.2.a Règles / signatures
6.2.b Moteurs de détection / signature
6.2.c Actions / réponses de déclenchement (drop, reset, block, alert, monitor/log, shun)
6.2.d Liste noire (statique et dynamique)
7.1. Décrire la technologie d’atténuation pour les menaces par courrier électronique
7.1.a Filtrage anti-spam, filtrage anti-malware, DLP, blacklisting, cryptage email
7.2. Décrire la technologie d’atténuation pour les menaces Web
7.2.a Proxy Web locaux et basés sur le cloud
7.2.b Liste noire, filtrage d’URL, analyse de logiciels malveillants, catégorisation d’URL, filtrage d’applications Web, déchiffrement TLS / SSL
7.3. Décrire la technologie d’atténuation pour les menaces sur les hôtes terminaux
7.3.a Anti-virus / anti-malware
7.3.b Pare-feu personnel / HIPS
7.3.c Chiffrement matériel / logiciel des données locales
1.1 Comparer et mettre en contraste les modèles OSI et TCP/IP
1.2 Comparer et mettre en contraste les protocoles TCP et UDP
1.3 Décrire l’impact des composants d’infrastructure dans un réseau d’entreprise Pare-feux Firewalls, Points d’accès Access points, Contrôleurs Wi-Fi Wireless controllers
1.4 Décrire les effets des ressources de l’informatique en nuage dans les architecture des réseaux d’entreprise Traffic path to internal and external cloud services, Virtual services, Basic virtual network infrastructure
1.5 Comparer et mettre en contraste les architectures collapsed core et three-tier
1.6 Comparer et mettre en contraste les topologies réseau Star, Mesh, Hybrid
1.7 Sélectionner le câblage approprié en se basant sur des exigences d’implémentation
1.8 Appliquer des méthodes de dépannage pour résoudre des problèmes Réaliser et documenter l’isolation de l’erreur, Résolution ou escalade, Vérifier et surveiller la résolution
1.9. Configurer, vérifier et dépanner l’adressage et le sous-réseautage IPv4
1.10 Comparer et mettre en contraste les types d’adresse IPv4 Unicast, Broadcast, Multicast
1.11 Décrire la nécessité d’un adressage IPv4 privé
1.12 Identifier le plan d’adressage IPv6 approprié pour satisfaire aux exigences d’adressage dans un environnement LAN/WAN
1.13 Configurer, vérifier et dépanner l’adressage IPv6
1.14 Configurer, vérifier le service IPv6 Stateless Address Auto Configuration
1.15 Comparer et mettre en contraste les types d’adresse IPv6 Global unicast, Unique local, Link local, Multicast, Modified EUI 64, Autoconfiguration, Anycast
2.1 Décrire et vérifier les concepts de commutation switching (MAC learning and aging, Frame switching, Frame flooding MAC address table)
2.2 Interpréter le format d’une trame Ethernet
2.3 Dépanner des problèmes d’interface et de câblage collisions, erreurs, duplex, vitesse
2.4 Configurer, vérifier et dépanner des VLANs normal/extended range recouvrants plusieurs commutateurs (Access ports data and voice, Default VLAN)
2.5 Configurer, vérifier et dépanner l’inter-connectivité entre les commutateurs (Trunk ports, Ajouter et retirer des VLANs sur un trunk, DTP, VTP v1&v2 et 802.1Q, Native VLAN)
2.6 Configurer, vérifier et dépanner les protocoles STP (STP mode PVST+ et RPVST+, Sélection du bridge STP root)
2.7 Configurer, vérifier et dépanner les fonctionnalités STP optionnelles (PortFast, BPDU guard)
2.8 Configurer et vérifier les protocoles Couche 2 L2 (Cisco Discovery Protocol, LLDP)
2.9 Configurer, vérifier et dépanner EtherChannel Couche 2/Couche 3 (Static, PAGP, LACP)
2.10 Décrire les avantages du stacking de commutateur et de l’aggrégation de chassis
3.1 Décrire les concepts du routage routing (Prise en charge des paquets tout au long de leur trajet à travers le réseau, Décision de transfert sur base d’une recherche de route, Réécriture de la trame)
3.2 Interpréter les composants d’une table de routage (Prefix, Network mask, Next hop, Routing protocol code, Administrative distance, Metric, Gateway of last resort)
3.3 Décrire comment une table de routage se construit par différentes sources d’information de routage (Admin distance)
3.4 Configurer, vérifier et dépanner le routage inter-VLAN, Router on a stick, SVI)
3.5 Comparer et mettre en contraste le routage statique et le routage dynamique
3.6 Comparer et mettre en contraste les protocoles de routage à vecteur de distance distance vector et à état de lien link state
3.7 Comparer et mettre en contraste les protocoles de routage intérieur et extérieur
3.8 Configurer, vérifier et dépanner le routage statique IPv4 et IPv6 (Default route, Network route, Host route, Floating static)
3.9 Configurer, vérifier et dépanner OSPFv2 pour IPv4 en single area et en multi-area sauf authentification, filtrage, summarization manuelle, redistribution, stub, virtual-link et les LSAs
3.10 Configurer, vérifier et dépanner OSPFv3 pour IPv6 en single area et en multi-area sauf authentification, filtrage, summarization manuelle, redistribution, stub, virtual-link et les LSAs
3.11 Configurer, vérifier et dépanner EIGRP pour IPv4 sauf authentification, filtrage, summarization manuelle, redistribution, stub
3.12 Configurer, vérifier et dépanner EIGRP pour IPv6 sauf authentification, filtrage, summarization manuelle, redistribution, stub
3.13 Configurer, vérifier et dépanner RIPv2 pour IPv4 sauf authentification, filtrage, summarization manuelle, redistribution
3.14 Dépanner des problèmes de connectivité de base de bout-en-bout end-to-end de couche 3
4.1 Configurer et vérifier PPP et MLPPP sur des interfaces WAN en utilisant une authentification locale
4.2 Configurer, vérifier et dépanner des interfaces PPPoE côté client qui utilisent une authentification locale
4.3 Configurer, vérifier et dépanner la connectivité d’un tunnel GRE
4.4 Décrire les options de technologies WAN (Point-to-point, Hub and spoke, Full mesh, Single vs dual-homed)
4.5 Décrire les options de connectivité d’accès WAN (MPLS, Metro Ethernet, Broadband PPPoE, Internet VPN DMVPN, site-to-site VPN, client VPN)
4.6 Configurer et vérifier la connectivité d’un site single-homed branch en utilisant eBGP IPv4 limité au peering et l’annonce de route via la commande network
4.7 Décrire les concepts QoS de base (Marking, Device trust, Prioritization : i Voice, ii Video, iii Data, Shaping, Policing, Congestion management)
5.1 Décrire les opérations de recherche DNS
5.2 Dépanner des problèmes de connectivité client impliquant DNS
5.3 Configurer et vérifier DHCP sur un routeur sauf les réservations statiques (Server, Relay, Client, TFTP, DNS, and gateway options)
5.4 Dépanner des problèmes de connectivité DHCP client et routeur
5.5 Configurer, vérifier et dépanner HSRP de manière basique (Priority, Preemption, Version)
5.6 Configurer, vérifier et dépanner inside source NAT (Static, Pool, PAT)
5.7 Configurer et vérifier NTP fonctionnant dans un mode client/serveur
6.1 Configurer, vérifier et dépanner port security (Static, Dynamic, Sticky, Max MAC addresses, Violation actions, Err-disable recovery)
6.2 Décrire les techniques d’atténuation des menaces sur la couche d’accès (802.1x, DHCP snooping, Nondefault native VLAN)
6.3 Configurer, vérifier et dépanner des access lists IPv4 et IPv6 pour filtrer du trafic (Standard, Extended, Named)
6.4 Vérifier les ACLs en utilisant l’outil d’analyse APIC-EM Path Trace
6.5 Configurer, vérifier et dépanner le device hardening de base (Local authentication, Secure password, Access to device : i Source address, ii Telnet/SSH, Login banner)
6.6 Décrire la sécurité des périphériques par l’usage de AAA avec TACACS+ et RADIUS
7.1 Configurer et vérifier les protocoles de surveillance des périphériques (SNMPv2,SNMPv3,Syslog)
7.2 Dépanner des problèmes de connectivité en utilisant des ICMP echo-based IP SLA
7.3 Configurer et vérifier la gestion du périphérique (Backup et restore de la configuration du périphérique, Utilisation de Cisco Discovery Protocol ou LLDP pour la découverte des périphériques, Licensing, Logging, Timezone, Loopback)
7.4 Configurer et vérifier la configuration initiale d’un périphérique
7.5 Réaliser la maintenance du périphérique (Mise à jour et récupération Cisco IOS SCP, FTP, TFTP et vérification MD5, Password recovery et registre de configuration, Gestion du système de fichiers)
7.6 Utilisation des outils Cisco IOS pour dépanner et résoudre des problèmes (Ping et traceroute avec l’option extended, Terminal monitor, Log events, Local SPAN)
7.7 Décrire la programmabilité du réseau dans les architectures d’entreprise (Fonction d’un contrôleur, Séparation du plan de contrôle control plane et du plan data, APIs northbound et southbound)