Configuration et vérification d'une liaison IPSec Pour cela, il nous suffit d' ajouter un serveur sous Cisco Packet Tracer et nous nous assurons que le service TFTP
Previous PDF | Next PDF |
Travaux pratiques VPN IPsec CISCO de site à site
teurs utilisés sont des Cisco 2811 Configuration de base de routeur1 Router>enable
TP 1 - Mise en place dun VPN sur Packet Tracer - WordPress
enable Router#conf t Router(config)#hostname R1 R1(config)#crypto isakmp enable
Packet Tracer – Configuring VPNs (Optional) - AWS
or ISAKMP In this activity, you will configure two routers to support a site-to-site IPsec VPN for
TP 8 – Mise en place dun VPN de couche 3 - Portfolio de
Configuration et vérification d'une liaison IPSec Pour cela, il nous suffit d' ajouter un serveur sous Cisco Packet Tracer et nous nous assurons que le service TFTP
Routage OSPF & VPN IPsec site à site - inetdoc
système IOS du routeur Cisco™, une interface de tunnel se configure directement Voici l'extrait du
Guide des solutions sécurité et VPN Cisco Systems
ion d'intrusion, concentrateurs VPN et routeurs et ce, quelle que soit leur taille et leur configuration
Cisco Packet Tracer - Thème
bitstreamPDF
VLAN et VPN - Université Abderrahmane Mira - Bejaia
bitstreamPDF
[PDF] configuration wifi maroc telecom technicolor
[PDF] configurer boite mail académique sur android
[PDF] configurer compte exchange android
[PDF] configurer mail ac versailles android
[PDF] configurer mail ac versailles iphone
[PDF] configurer mail ac-versailles sur iphone
[PDF] configurer mail académique android
[PDF] configurer mail académique iphone
[PDF] configurer paypal pour woocommerce
[PDF] configurer paypal woocommerce
[PDF] confirmation inscription bac 2016 algerie
[PDF] confusion masculin feminin
[PDF] công thức hạ bậc 3
[PDF] conge de maladie longue duree en algerie
Digeon MichaëlSISR 5 - Supervision des réseauxSIO 2 TP8 - Mise en place d'un VPN de couche 319/12/2013
TP 8 - Mise en place d'un VPN de couche 3
- Page 1 - Digeon MichaëlSISR 5 - Supervision des réseauxSIO 2 TP8 - Mise en place d'un VPN de couche 319/12/2013Sommaire
Plan d'adressage....................................................................................................................................4
Configuration et vérification d'une liaison IPSec.................................................................................4
Etape 1 - Configuration de base du routeur 0.................................................................................4
Etape 2 - Configuration de base du routeur1..................................................................................4
Etape 3 - Tests de connectivité........................................................................................................5
Etape 5 - Configuration du VPN sur Routeur0...............................................................................5
Clé et noms utilisés :...................................................................................................................5
Activation IKE :..........................................................................................................................5
Cryptage AES..............................................................................................................................6
Algorithme SHA & MD5............................................................................................................6
Création access-list......................................................................................................................7
Fonction IPSec............................................................................................................................7
Etape 6 - Configuration du VPN sur Routeur1...............................................................................7
Activation IKE :..........................................................................................................................7
Cryptage AES..............................................................................................................................8
Algorithme SHA & MD5............................................................................................................8
Création access-list......................................................................................................................8
Fonction IPSec............................................................................................................................9
Etape 7 - Configuration du VPN sur R1..........................................................................................9
Etape 8 - Vérifications de base......................................................................................................10
Etape 9 - Tests de connectivité......................................................................................................11
Etape 10 - Vérification des échanges IPSec..................................................................................12
Etape 11 - Sauvegarde de la configuration active des routeurs sur un serveur TFTP...................12
Conclusion .........................................................................................................................................13
- Page 2 - Digeon MichaëlSISR 5 - Supervision des réseauxSIO 2 TP8 - Mise en place d'un VPN de couche 319/12/2013Introduction
L'objectif de ce TP, est de comprendre comment mettre en place un VPN intersite de couche 3 à l'aide du protocole IPSec. C'est un ensemble de protocoles qui permettent de chiffrer des informations :•IKE (Internet Key Exchange) pour authentifier les partenaires, négocier les paramètres de
chiffrement et protéger les échanges. •Le mode de transmission : mode transport (conservation des adresses source/origine), mode tunnel (utilisation des adresses externes des routeurs) •La protection des paquets : mode d'authentification seule (AH - Authentication Header), chiffrement et authentification (ESP - Encryption Security Payload).Au cours de ce TP, nous verrons donc comment configurer les interfaces série sur des routeurs afin
d'utiliser IPSec. Et enfin, tester et vérifier la liaison pour assurer la connectivité.Schéma
- Page 3 - Digeon MichaëlSISR 5 - Supervision des réseauxSIO 2 TP8 - Mise en place d'un VPN de couche 319/12/2013Plan d'adressage
PériphériqueNom
d'hôteAdresse IP Serial0/0Adresse IP
FastEthernet 0/0Type d'interface Serial
0/0PC0PC0/10.0.0.2/255.0.0.0/
PC1PC1/10.0.0.2/255.0.0.0/
Srv TFTPSRV0/10.0.0.3/255.0.0.0/
Configuration et vérification d'une liaison IPSecEtape 1 - Configuration de base du routeur 0
Nous commençons par configurer le nom d'hôte, l'adresse IP et le type d'interface à utilisé.
hostname Routeur0 ip address 11.0.0.1 255.0.0.0 clock rate 64000 Puis, nous indiquons la route vers le réseau 1 : ip route 12.0.0.0 255.0.0.0 11.0.0.2Et nous enregistrons la configuration :
copy running-config startup-configEtape 2 - Configuration de base du routeur1
Nous commençons par configurer le nom d'hôte, l'adresse IP et le type d'interface à utilisé.
hostname Routeur1 ip address 11.0.0.2 255.0.0.0 Puis, nous indiquons la route vers le réseau 1 : ip route 10.0.0.0 255.0.0.0 11.0.0.1Et nous enregistrons la configuration :
copy running-config startup-config - Page 4 - Digeon MichaëlSISR 5 - Supervision des réseauxSIO 2 TP8 - Mise en place d'un VPN de couche 319/12/2013Etape 3 - Tests de connectivité
Pour vérifier la connectivité entre les deux routeurs, le câblage et que les paramètres sont corrects,
nous envoyons une commande ping de PC0 à PC1.De PC0 :
ping 12.0.0.2De PC1 :
ping 10.0.0.2Les commandes PING sont fonctionnelles.
Etape 5 - Configuration du VPN sur Routeur0
Clé et noms utilisés :
Clé de cryptage pré-partagée des échangeslegrandsecret Nom de sécurisation pour la négociationprotectionnego Nom de la liste d'accès contrôlant le trafictraficautoriseNom de la fonction IPSecLANvLAN
Activation IKE :
Pour la configuration du VPN, nous commençons par activer IKE (Internet Key Exchange) sur le routeur. IKE est un protocole qui permet de faire communiquer les clés publiques et privées : crypto isakmp enable Une fois activé, il faut créer la stratégie de cryptage IKE de priorité numéro 1 : crypto ikakmp policy 1 Et pour terminer, nous indiquons que les deux routeurs utiliseront une clé pré-partagée : authentication pre-share - Page 5 - Digeon MichaëlSISR 5 - Supervision des réseauxSIO 2 TP8 - Mise en place d'un VPN de couche 319/12/2013Cryptage AES
Par la suite, nous devons indiquer quel type de cryptage va être utilisé. Dans notre situation, nous
allons choisir le crypate AES (Advanced Encryption Standard). Celui-ci utilise un échange de clés
Diffie-Hellman.
encryption aes group 5L'avantage d'utilisé un cryptage AES, est qu'il est possible de choisir la longueur de la clé (128,
192, 256 bits). Il existe trois groupes Diffie-Hellman pour l'échange de clé : groupe 1 (768 bits),
groupe 2 (1024 bits) et groupe 5 (1536 bits). Nous choisirons ce dernier, car plus le groupe estélevé, plus la sécurité sera élevé mais par conséquent, le temps de traitement deviendra également
long.Algorithme SHA & MD5
Puis, pour veiller à l'intégrité des données, nous allons également mettre en place un algorithme de
hachage. Il existe comme algorithme : •sha •md5 Nous avons libre choix mais nous allons choisir l'algorithme sha. hash sha Et nous créons la clé de destination de l'autre routeur ayant pour adresse IP 11.0.0.2 crypto isakmp key legrandsecret address 11.0.0.2 0.0.0.0 Le masque 0.0.0.0 correspond dans le routage, a 255.255.255.255 mais dans le cas de la mise en place du VPN, est inversé. C'est donc un masque générique. Après, nous protégeons la négociation (Sa : Security Association) entre les deux pairs : crypto ipsec transform-set protectionnego esp-aes esp-sha-hmac Ensuite, nous choisissons la durée de vie de la clé : crypto ipsec security-association lifetime seconds 86400 Pour la durée, nous choisissons 86400 secondes, soit une journée complète. - Page 6 - Digeon MichaëlSISR 5 - Supervision des réseauxSIO 2 TP8 - Mise en place d'un VPN de couche 319/12/2013Création access-list
Nous passons à la création d'une access-list. Dans notre cas, elle aura pour objectif de désigner le
trafic autorisé à transiter au travers du tunnel.Création de celle-ci :
ip access-list extended traficautorise permit ip 10.0.0.0 0.255.255.255 12.0.0.0 0.255.255.255Nous autorisons donc le trafic venant du réseau 10.0.0.0 auquel est relié le routeur R0, vers le
réseau 12.0.0.0. Les masques génériques (inversés) sont encore utilisés : •10.0.0.0 / 0.255.255.255 désigne 10.0.0.0 / 255.0.0.0 •12.0.0.0 / 0.255.255.255 désigne 12.0.0.0 / 255.0.0.0Fonction IPSec
Ensuite, nous activons, nommons et spécifions les paramètres de la fonction IPSec : crypto map LANvLAN 100 ipsec-isakmp match address traficautorise set peer 11.0.0.2 set pfs group5 set transform-set protectionnego Lorsque la fonction est créée, nous l'appliquons à l'interface Serial0/0/0 du routeur : interface serial 0/0/0 crypto map LANvLANEtape 6 - Configuration du VPN sur Routeur1
Activation IKE :
Pour la configuration du VPN, nous commençons par activer IKE (Internet Key Exchange) sur le routeur. IKE est un protocole qui permet de faire communiquer les clés publiques et privées : crypto isakmp enable - Page 7 - Digeon MichaëlSISR 5 - Supervision des réseauxSIO 2 TP8 - Mise en place d'un VPN de couche 319/12/2013 Une fois activé, il faut créer la stratégie de cryptage IKE de priorité numéro 1 : crypto ikakmp policy 1 Et pour terminer, nous indiquons que les deux routeurs utiliseront une clé pré-partagée : authentication pre-shareCryptage AES
Nous indiquons quel type de cryptage va être utilisé. Comme sur le Routeur0, nous allons choisir le
crypate AES (Advanced Encryption Standard). encryption aes group 5Algorithme SHA & MD5
Comme précédemment, nous choisissons l'algorithme sha. hash sha Et nous créons la clé de destination de l'autre routeur ayant pour adresse IP 11.0.0.2 crypto isakmp key legrandsecret address 11.0.0.1 0.0.0.0 Le masque 0.0.0.0 correspond dans le routage, a 255.255.255.255 mais dans le cas de la mise en place du VPN, est inversé. C'est donc un masque générique. Après, nous protégeons la négociation entre les deux pairs : crypto ipsec transform-set protectionnego esp-aes esp-sha-hmac Ensuite, nous choisissons la durée de vie de la clé : crypto ipsec security-association lifetime seconds 86400Création access-list
Création d'une access-list sur le Routeur1 :
ip access-list extended traficautorise permit ip 12.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255 - Page 8 - Digeon MichaëlSISR 5 - Supervision des réseauxSIO 2 TP8 - Mise en place d'un VPN de couche 319/12/2013Fonction IPSec
Ensuite, nous activons, nommons et spécifions les paramètres de la fonction IPSec : crypto map LANvLAN 100 ipsec-isakmp match address traficautorise set peer 11.0.0.2 set pfs group5 set transform-set protectionnego Lorsque la fonction est créée, nous l'appliquons à l'interface Serial0/0/0 du routeur : interface serial 0/0/0 crypto map LANvLANEtape 7 - Configuration du VPN sur R1
Comme pour le routeur R0, nous activons IKE, nous créons la stratégie de cryptage, nous indiquons
aux routeurs que nous utilisons une clé pré-partagée, nous choisissons un cryptage de type AES et
nous utilisons un algorithme de hachage "sha".Ce qui sera différent, c'est lors de la création de la clé, à destination de l'autre routeur. Celui-ci
dispose de l'adresse 11.0.0.1. crypto isakmp key legrandsecret address 11.0.0.1 0.0.0.0Puis, mêmes manipulations pour la mise en place de la protection de la négociation ainsi que pour la
durée de vie de la clé. Pour la création de access-list, les manipulations vont quelques peu changer : ip access-list extended traficautorise permit ip 12.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255 - Page 9 - Digeon MichaëlSISR 5 - Supervision des réseauxSIO 2 TP8 - Mise en place d'un VPN de couche 319/12/2013 Et pour l'activation et le nommage de la fonction IPSec, seule l'adresse IP change : crypto map LANvLAN 100 ipsec-isakmp match address traficautorise set peer 11.0.0.1 set pfs group5 set transform-set protectionnego Et enfin pour finir, nous appliquons la fonction créée à l'interface du routeur interface serial 0/0/0 crypto map LANvLANEtape 8 - Vérifications de base
A partir du routeur R0& R1, nous vérifions les stratégies IKE : show crypto isakmp policyPour R0 :
•L'algorithme de cryptage de priorité 1 est AES. •L'algorithme d'intégrité des données de priorité 1 est SHA (Secure Hash Standard) •Le groupe Diffie-Hellman de priorité 1 est 1 (768 bits).Pour R1 :
•L'algorithme de cryptage de priorité 1 est AES. •L'algorithme d'intégrité des données de priorité 1 est SHA (Secure Hash Standard) •Le groupe Diffie-Hellman de priorité 1 est 1 (768 bits). - Page 10 - Digeon MichaëlSISR 5 - Supervision des réseauxSIO 2 TP8 - Mise en place d'un VPN de couche 319/12/2013 Puis toujours sur les 2 routeurs, nous affichons la focntion IPSec : show crypto mapPour R0 :
•Les pairs sont bien présentes. •Les access-list sont bien affichées. •L'interface Serial 0/0/0 est bien désignée (LANvLAN).Pour R1 :
•Les pairs sont bien présentes. •Les access-list sont bien affichées. •L'interface Serial 0/0/0 est bien désignée (LANvLAN). Ensuite, nous utilisons la commande pour afficher la transformation effectuée pour le mode de transmission : show crypto ipsec transform-setPour R0 :
•Le mode de transmission utilisé est tunnel.Pour R1 :
•Le mode de transmission utilisé est tunnel.Etape 9 - Tests de connectivité
Nous envoyons une requête ping de PC0 vers PC1 afin de vérifier la connectivité entre les 2 routeurs :De PC0 :
ping 12.0.0.2La commande a bien fonctionnée.
- Page 11 - Digeon MichaëlSISR 5 - Supervision des réseauxSIO 2 TP8 - Mise en place d'un VPN de couche 319/12/2013De PC1 :
ping 10.0.0.2La commande a bien fonctionnée.
Etape 10 - Vérification des échanges IPSec
Nous allons affichons sur les 2 routeurs, les informations relatives aux associations de sécurité :
show crypto isakmp sa Sur R0, le partenaire source est 11.0.0.1 et la destination est 11.0.0.2. Sur R1, le partenaire source est 11.0.0.2 et la destination est 11.0.0.1.Et toujours sur les routeurs, nous affichons les échanges IPSec d'associations de sécurité :
show crypto ipsec sa