annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
Annonces
Community Live - Mai 2020

Community Live Q&R - Sécurité & Collaboration : Télétravail, collaboration et intégration RaVPN

71
Visites
0
Compliment
11
Commentaires
banner_fr_lp_WEB_900x150_afaure_may_2021_qna.png

Ci-dessous vous retrouverez les questions qui ont été répondues par nos experts durant le webcast.

Sécurité & Collaboration : Télétravail, collaboration et intégration RaVPN

Notre expert : Alain Faure (Présentateur et Question Manager)
Pour plus d'informations, visitez la section de Sécurité.

see-details-french.png download-document-french.png watch-video-french.png join-discussion-french.png

Cliquez sur les boutons pour accéder aux contenus proposés


Sujets abordés lors de la présentation : Architecture VPN, Remote Access VPN (RaVPN), Adaptative Security Appliance (ASA), VPN AnyConnect, Cisco Unified Communications manager (CUCM), information en général et produits associés.

Télétravail, collaboration et intégration RaVPN


Questions Q&R -

Q1 : Texte.

R1 Alain : Texte.

Commentaires
alainfaure
Beginner

Q1: Bonjour, pour utiliser le serveur DHCP de l'entreprise, peut-on utiliser autre chose que le Proxy-DHCP de l'ASA. En effet la redondance de nos serveurs DHCP ne semble pas être gérée dans ce mode Proxy.

 

Alain: Serait-il possible d’en savoir un peu plus sur l’architecture (un schéma avec les 2 serveurs DHCP en cachant les adresses IP sensibles).

alainfaure
Beginner

Q2: Quel est l'avantage d'utiliser DTLS 1.2 avec ASA os 9.10  pour la voice par rapport à DTLS par défaut?

 

Alain: DTLS 1.2 supporte des méthodes de chiffrements supplémentaires par rapport à TLS/DTLS et des cookies de taille supérieur. (voir Release Notes for the Cisco ASA Series, 9.10(x) et

CLI Book 3: Cisco ASA Series VPN CLI Configuration Guide, 9.14 Chapter: General VPN Parameters « Configure Advanced SSL Settings » il y a un tableau avec TLS1.2/DTLS1.2)

alainfaure
Beginner

Q3 : Bonjour, Actuellement, je travaille sur un projet de Cisco AnyConnect. Est-ce que je peux avoir une copie de présentation? Merci.

Alain: Voici le document cliquez ici: lien

alainfaure
Beginner

Q4 : Hum interdit le NAT sur l'ASA, n'est plus possible avec le 90% des utilisateurs à distance. Existe-t-il une solution adapté à l'utilisation distante de Jabber ?

Alain: Je pense que vous parlez du slide 72 ? « IOS CME 14 – Configuration ASA (Suite) »/« Interdit le NAT par le VPN ». Il s’agit de la connexion de l’IP Phone Cisco par le vpn.

Cela dit normalement, le tunnel vpn donne une adresse IP aux clients, donc le NAT qui se situe sur le routeur (du client distant) n’est pas activé. Puisque les paquets passent par le tunnel VPN.

Les autres paquets qui vont vers Internet (cas du split-tunnel) sont toujours NATtés mais ne passent pas par l’ASA.

alainfaure
Beginner

Q5: Quel est la best practice pour le MTU alors

Alain: Il faut déterminer le MTU du vpn en calculant la taille des entêtes qui sont ajoutés au paquet IP. Puis vérifier en faisant un ping l=X (en faisant varier X) df=1 (bit don’t fragment à 1).

Vous pouvez mettre le MTU inférieur de quelques octets à cette valeur.

Surveillez vos log. de temps à autre pour voir si une alarme n’a pas été remontée du style « "fragmentation needed and DF set » ou quelque chose dans le style.

Voici un document en Anglais sur cette problématique « Resolve IPv4 Fragmentation, MTU, MSS, and PMTUD Issues with GRE and IPsec » :voir ici generic routing encapsulation gre

et

rfc1191

alainfaure
Beginner

Q6: AnyConnect est supporté par Cisco Meraki ?

Alain: Oui, vous avez plusieurs options de VPN : IPSec IKEv2, IKev1, Anyconnect SSL, L2TP

alainfaure
Beginner

Q7: Le MTU par défaut est de 9578 dans les switch Meraki, faudrait changer pour 1522 si le port est trunk?

 

Sur un lien réseau de couche 2 OSI, Il est bon que tous les ports aient la même MTU. Cela dit, je ne vous recommanderais pas de faire ce genre de changement sans regarder l’implication sur votre infrastructure. Il est assez rare qu’au niveau Ethernet on ai besoin de retoucher les MTU.

alainfaure
Beginner

Q8: Comment faire pour vérifier la présence d'un pare-feu d'un PC se connectant par AnyConnect ?

 

Alain:Il est effectivement possible de réaliser un check du PC. j’ai évoqué son existence sans plus par faute de temps. Cisco Endpoint Security Analytics (CESA)

« Cisco Endpoint Security Analytics Built on Splunk (CESA) At a Glance »

endpoint-security-analytics-built-on-splunk at-a-glance

C’est un outil complexe qui permet de faire beaucoup d’autres choses.

J’espère que cela répond à votre question ?

alainfaure
Beginner

Q9 : Bjr, Jabber va uniquement avec le CUCM ou le CME aussi? si oui qu'elle version peut supporter?­

Cela dépend des version de CME et de Jabber, je vous donne des éléments de réponse ici.

Je vous donne un lien vers le document « Cisco Jabber for Windows on CallManager Express Configuration Example » comme exemple de configuration.

118715-technote-jabber-00

et aussi

« Cisco Unified Communications Manager Express System Administrator Guide » et « Support for Cisco Jabber » : cucme admin configuration manual

Pour ce qui concerne les versions voir « Unified CME 10.5 Supported Firmware, Platforms, Memory, and Voice Products » :

Cisco Jabber for Windows (Full UC Mode) Jabber - 9.1.0/ WIN-7 64 bit and WIN-XP SP3, 32 bit Note: Jabber 9.X is the latest supported version on Unified CME

cucme requirements guide

alainfaure
Beginner

Q10 : ­AnyConnect est supporté par Cisco Meraki ? [en réponse à Q6]

Oui, voici la documentation : « AnyConnect on the MX Appliance »

AnyConnect_on_the_MX_Appliance

alainfaure
Beginner

Q11: AnyConnect fonctionne très bien sur le RV-345 (Small Business­)

Oui, vous avez plusieurs options de VPN : IPSec IKEv2, IKev1, Anyconnect SSL, L2TP

Content for Community-Ad

Vidéo - Webcast Security de Juin 2019

Ce widget n'a pas pu être affiché.