[PDF] TP 8 – Mise en place dun VPN de couche 3 - Portfolio de

Travaux pratiques VPN IPsec CISCO de site à site

teurs utilisés sont des Cisco 2811 Configuration de base de routeur1 Router>enable

TP 1 - Mise en place dun VPN sur Packet Tracer - WordPress

enable Router#conf t Router(config)#hostname R1 R1(config)#crypto isakmp enable

Packet Tracer – Configuring VPNs (Optional) - AWS

or ISAKMP In this activity, you will configure two routers to support a site-to-site IPsec VPN for 

TP 8 – Mise en place dun VPN de couche 3 - Portfolio de

Configuration et vérification d'une liaison IPSec Pour cela, il nous suffit d' ajouter un serveur sous Cisco Packet Tracer et nous nous assurons que le service TFTP 

Routage OSPF & VPN IPsec site à site - inetdoc

système IOS du routeur Cisco™, une interface de tunnel se configure directement Voici l'extrait du 

Guide des solutions sécurité et VPN Cisco Systems

ion d'intrusion, concentrateurs VPN et routeurs et ce, quelle que soit leur taille et leur configuration 

Cisco Packet Tracer - Thème

bitstreamPDF

VLAN et VPN - Université Abderrahmane Mira - Bejaia

bitstreamPDF

[PDF] configuration vpn routeur cisco pdf

[PDF] configuration wifi maroc telecom technicolor

[PDF] configurer boite mail académique sur android

[PDF] configurer compte exchange android

[PDF] configurer mail ac versailles android

[PDF] configurer mail ac versailles iphone

[PDF] configurer mail ac-versailles sur iphone

[PDF] configurer mail académique android

[PDF] configurer mail académique iphone

[PDF] configurer paypal pour woocommerce

[PDF] configurer paypal woocommerce

[PDF] confirmation inscription bac 2016 algerie

[PDF] confusion masculin feminin

[PDF] công thức hạ bậc 3

[PDF] conge de maladie longue duree en algerie

Digeon MichaëlSISR 5 - Supervision des réseauxSIO 2 TP8 - Mise en place d'un VPN de couche 319/12/2013

TP 8 - Mise en place d'un VPN de couche 3

- Page 1 - Digeon MichaëlSISR 5 - Supervision des réseauxSIO 2 TP8 - Mise en place d'un VPN de couche 319/12/2013

Sommaire

Plan d'adressage....................................................................................................................................4

Configuration et vérification d'une liaison IPSec.................................................................................4

Etape 1 - Configuration de base du routeur 0.................................................................................4

Etape 2 - Configuration de base du routeur1..................................................................................4

Etape 3 - Tests de connectivité........................................................................................................5

Etape 5 - Configuration du VPN sur Routeur0...............................................................................5

Clé et noms utilisés :...................................................................................................................5

Activation IKE :..........................................................................................................................5

Cryptage AES..............................................................................................................................6

Algorithme SHA & MD5............................................................................................................6

Création access-list......................................................................................................................7

Fonction IPSec............................................................................................................................7

Etape 6 - Configuration du VPN sur Routeur1...............................................................................7

Activation IKE :..........................................................................................................................7

Cryptage AES..............................................................................................................................8

Algorithme SHA & MD5............................................................................................................8

Création access-list......................................................................................................................8

Fonction IPSec............................................................................................................................9

Etape 7 - Configuration du VPN sur R1..........................................................................................9

Etape 8 - Vérifications de base......................................................................................................10

Etape 9 - Tests de connectivité......................................................................................................11

Etape 10 - Vérification des échanges IPSec..................................................................................12

Etape 11 - Sauvegarde de la configuration active des routeurs sur un serveur TFTP...................12

Conclusion .........................................................................................................................................13

- Page 2 - Digeon MichaëlSISR 5 - Supervision des réseauxSIO 2 TP8 - Mise en place d'un VPN de couche 319/12/2013

Introduction

L'objectif de ce TP, est de comprendre comment mettre en place un VPN intersite de couche 3 à l'aide du protocole IPSec. C'est un ensemble de protocoles qui permettent de chiffrer des informations :

•IKE (Internet Key Exchange) pour authentifier les partenaires, négocier les paramètres de

chiffrement et protéger les échanges. •Le mode de transmission : mode transport (conservation des adresses source/origine), mode tunnel (utilisation des adresses externes des routeurs) •La protection des paquets : mode d'authentification seule (AH - Authentication Header), chiffrement et authentification (ESP - Encryption Security Payload).

Au cours de ce TP, nous verrons donc comment configurer les interfaces série sur des routeurs afin

d'utiliser IPSec. Et enfin, tester et vérifier la liaison pour assurer la connectivité.

Schéma

- Page 3 - Digeon MichaëlSISR 5 - Supervision des réseauxSIO 2 TP8 - Mise en place d'un VPN de couche 319/12/2013

Plan d'adressage

PériphériqueNom

d'hôteAdresse IP Serial

0/0Adresse IP

FastEthernet 0/0Type d'interface Serial

0/0

PC0PC0/10.0.0.2/255.0.0.0/

PC1PC1/10.0.0.2/255.0.0.0/

Srv TFTPSRV0/10.0.0.3/255.0.0.0/

Configuration et vérification d'une liaison IPSec

Etape 1 - Configuration de base du routeur 0

Nous commençons par configurer le nom d'hôte, l'adresse IP et le type d'interface à utilisé.

hostname Routeur0 ip address 11.0.0.1 255.0.0.0 clock rate 64000 Puis, nous indiquons la route vers le réseau 1 : ip route 12.0.0.0 255.0.0.0 11.0.0.2

Et nous enregistrons la configuration :

copy running-config startup-config

Etape 2 - Configuration de base du routeur1

Nous commençons par configurer le nom d'hôte, l'adresse IP et le type d'interface à utilisé.

hostname Routeur1 ip address 11.0.0.2 255.0.0.0 Puis, nous indiquons la route vers le réseau 1 : ip route 10.0.0.0 255.0.0.0 11.0.0.1

Et nous enregistrons la configuration :

copy running-config startup-config - Page 4 - Digeon MichaëlSISR 5 - Supervision des réseauxSIO 2 TP8 - Mise en place d'un VPN de couche 319/12/2013

Etape 3 - Tests de connectivité

Pour vérifier la connectivité entre les deux routeurs, le câblage et que les paramètres sont corrects,

nous envoyons une commande ping de PC0 à PC1.

De PC0 :

ping 12.0.0.2

De PC1 :

ping 10.0.0.2

Les commandes PING sont fonctionnelles.

Etape 5 - Configuration du VPN sur Routeur0

Clé et noms utilisés :

Clé de cryptage pré-partagée des échangeslegrandsecret Nom de sécurisation pour la négociationprotectionnego Nom de la liste d'accès contrôlant le trafictraficautorise

Nom de la fonction IPSecLANvLAN

Activation IKE :

Pour la configuration du VPN, nous commençons par activer IKE (Internet Key Exchange) sur le routeur. IKE est un protocole qui permet de faire communiquer les clés publiques et privées : crypto isakmp enable Une fois activé, il faut créer la stratégie de cryptage IKE de priorité numéro 1 : crypto ikakmp policy 1 Et pour terminer, nous indiquons que les deux routeurs utiliseront une clé pré-partagée : authentication pre-share - Page 5 - Digeon MichaëlSISR 5 - Supervision des réseauxSIO 2 TP8 - Mise en place d'un VPN de couche 319/12/2013

Cryptage AES

Par la suite, nous devons indiquer quel type de cryptage va être utilisé. Dans notre situation, nous

allons choisir le crypate AES (Advanced Encryption Standard). Celui-ci utilise un échange de clés

Diffie-Hellman.

encryption aes group 5

L'avantage d'utilisé un cryptage AES, est qu'il est possible de choisir la longueur de la clé (128,

192, 256 bits). Il existe trois groupes Diffie-Hellman pour l'échange de clé : groupe 1 (768 bits),

groupe 2 (1024 bits) et groupe 5 (1536 bits). Nous choisirons ce dernier, car plus le groupe est

élevé, plus la sécurité sera élevé mais par conséquent, le temps de traitement deviendra également

long.

Algorithme SHA & MD5

Puis, pour veiller à l'intégrité des données, nous allons également mettre en place un algorithme de

hachage. Il existe comme algorithme : •sha •md5 Nous avons libre choix mais nous allons choisir l'algorithme sha. hash sha Et nous créons la clé de destination de l'autre routeur ayant pour adresse IP 11.0.0.2 crypto isakmp key legrandsecret address 11.0.0.2 0.0.0.0 Le masque 0.0.0.0 correspond dans le routage, a 255.255.255.255 mais dans le cas de la mise en place du VPN, est inversé. C'est donc un masque générique. Après, nous protégeons la négociation (Sa : Security Association) entre les deux pairs : crypto ipsec transform-set protectionnego esp-aes esp-sha-hmac Ensuite, nous choisissons la durée de vie de la clé : crypto ipsec security-association lifetime seconds 86400 Pour la durée, nous choisissons 86400 secondes, soit une journée complète. - Page 6 - Digeon MichaëlSISR 5 - Supervision des réseauxSIO 2 TP8 - Mise en place d'un VPN de couche 319/12/2013

Création access-list

Nous passons à la création d'une access-list. Dans notre cas, elle aura pour objectif de désigner le

trafic autorisé à transiter au travers du tunnel.

Création de celle-ci :

ip access-list extended traficautorise permit ip 10.0.0.0 0.255.255.255 12.0.0.0 0.255.255.255

Nous autorisons donc le trafic venant du réseau 10.0.0.0 auquel est relié le routeur R0, vers le

réseau 12.0.0.0. Les masques génériques (inversés) sont encore utilisés : •10.0.0.0 / 0.255.255.255 désigne 10.0.0.0 / 255.0.0.0 •12.0.0.0 / 0.255.255.255 désigne 12.0.0.0 / 255.0.0.0

Fonction IPSec

Ensuite, nous activons, nommons et spécifions les paramètres de la fonction IPSec : crypto map LANvLAN 100 ipsec-isakmp match address traficautorise set peer 11.0.0.2 set pfs group5 set transform-set protectionnego Lorsque la fonction est créée, nous l'appliquons à l'interface Serial0/0/0 du routeur : interface serial 0/0/0 crypto map LANvLAN

Etape 6 - Configuration du VPN sur Routeur1

Activation IKE :

Pour la configuration du VPN, nous commençons par activer IKE (Internet Key Exchange) sur le routeur. IKE est un protocole qui permet de faire communiquer les clés publiques et privées : crypto isakmp enable - Page 7 - Digeon MichaëlSISR 5 - Supervision des réseauxSIO 2 TP8 - Mise en place d'un VPN de couche 319/12/2013 Une fois activé, il faut créer la stratégie de cryptage IKE de priorité numéro 1 : crypto ikakmp policy 1 Et pour terminer, nous indiquons que les deux routeurs utiliseront une clé pré-partagée : authentication pre-share

Cryptage AES

Nous indiquons quel type de cryptage va être utilisé. Comme sur le Routeur0, nous allons choisir le

crypate AES (Advanced Encryption Standard). encryption aes group 5

Algorithme SHA & MD5

Comme précédemment, nous choisissons l'algorithme sha. hash sha Et nous créons la clé de destination de l'autre routeur ayant pour adresse IP 11.0.0.2 crypto isakmp key legrandsecret address 11.0.0.1 0.0.0.0 Le masque 0.0.0.0 correspond dans le routage, a 255.255.255.255 mais dans le cas de la mise en place du VPN, est inversé. C'est donc un masque générique. Après, nous protégeons la négociation entre les deux pairs : crypto ipsec transform-set protectionnego esp-aes esp-sha-hmac Ensuite, nous choisissons la durée de vie de la clé : crypto ipsec security-association lifetime seconds 86400

Création access-list

Création d'une access-list sur le Routeur1 :

ip access-list extended traficautorise permit ip 12.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255 - Page 8 - Digeon MichaëlSISR 5 - Supervision des réseauxSIO 2 TP8 - Mise en place d'un VPN de couche 319/12/2013

Fonction IPSec

Ensuite, nous activons, nommons et spécifions les paramètres de la fonction IPSec : crypto map LANvLAN 100 ipsec-isakmp match address traficautorise set peer 11.0.0.2 set pfs group5 set transform-set protectionnego Lorsque la fonction est créée, nous l'appliquons à l'interface Serial0/0/0 du routeur : interface serial 0/0/0 crypto map LANvLAN

Etape 7 - Configuration du VPN sur R1

Comme pour le routeur R0, nous activons IKE, nous créons la stratégie de cryptage, nous indiquons

aux routeurs que nous utilisons une clé pré-partagée, nous choisissons un cryptage de type AES et

nous utilisons un algorithme de hachage "sha".

Ce qui sera différent, c'est lors de la création de la clé, à destination de l'autre routeur. Celui-ci

dispose de l'adresse 11.0.0.1. crypto isakmp key legrandsecret address 11.0.0.1 0.0.0.0

Puis, mêmes manipulations pour la mise en place de la protection de la négociation ainsi que pour la

durée de vie de la clé. Pour la création de access-list, les manipulations vont quelques peu changer : ip access-list extended traficautorise permit ip 12.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255 - Page 9 - Digeon MichaëlSISR 5 - Supervision des réseauxSIO 2 TP8 - Mise en place d'un VPN de couche 319/12/2013 Et pour l'activation et le nommage de la fonction IPSec, seule l'adresse IP change : crypto map LANvLAN 100 ipsec-isakmp match address traficautorise set peer 11.0.0.1 set pfs group5 set transform-set protectionnego Et enfin pour finir, nous appliquons la fonction créée à l'interface du routeur interface serial 0/0/0 crypto map LANvLAN

Etape 8 - Vérifications de base

A partir du routeur R0& R1, nous vérifions les stratégies IKE : show crypto isakmp policy

Pour R0 :

•L'algorithme de cryptage de priorité 1 est AES. •L'algorithme d'intégrité des données de priorité 1 est SHA (Secure Hash Standard) •Le groupe Diffie-Hellman de priorité 1 est 1 (768 bits).

Pour R1 :

•L'algorithme de cryptage de priorité 1 est AES. •L'algorithme d'intégrité des données de priorité 1 est SHA (Secure Hash Standard) •Le groupe Diffie-Hellman de priorité 1 est 1 (768 bits). - Page 10 - Digeon MichaëlSISR 5 - Supervision des réseauxSIO 2 TP8 - Mise en place d'un VPN de couche 319/12/2013 Puis toujours sur les 2 routeurs, nous affichons la focntion IPSec : show crypto map

Pour R0 :

•Les pairs sont bien présentes. •Les access-list sont bien affichées. •L'interface Serial 0/0/0 est bien désignée (LANvLAN).

Pour R1 :

•Les pairs sont bien présentes. •Les access-list sont bien affichées. •L'interface Serial 0/0/0 est bien désignée (LANvLAN). Ensuite, nous utilisons la commande pour afficher la transformation effectuée pour le mode de transmission : show crypto ipsec transform-set

Pour R0 :

•Le mode de transmission utilisé est tunnel.

Pour R1 :

•Le mode de transmission utilisé est tunnel.

Etape 9 - Tests de connectivité

Nous envoyons une requête ping de PC0 vers PC1 afin de vérifier la connectivité entre les 2 routeurs :

De PC0 :

ping 12.0.0.2

La commande a bien fonctionnée.

- Page 11 - Digeon MichaëlSISR 5 - Supervision des réseauxSIO 2 TP8 - Mise en place d'un VPN de couche 319/12/2013

De PC1 :

ping 10.0.0.2

La commande a bien fonctionnée.

Etape 10 - Vérification des échanges IPSec

Nous allons affichons sur les 2 routeurs, les informations relatives aux associations de sécurité :

show crypto isakmp sa Sur R0, le partenaire source est 11.0.0.1 et la destination est 11.0.0.2. Sur R1, le partenaire source est 11.0.0.2 et la destination est 11.0.0.1.

Et toujours sur les routeurs, nous affichons les échanges IPSec d'associations de sécurité :

show crypto ipsec sa

Les paquets sont bien mentionnés.

Etape 11 - Sauvegarde de la configuration active des routeurs sur un serveur TFTP Pour finir, nous décidons de sauvegarder la configuraton active des routeurs sur un serveur TFTP. Pour cela, il nous suffit d'ajouter un serveur sous Cisco Packet Tracer et nous nous assurons que le service TFTP soient bien activé. Et nous lui attribuons les paramètres IP suivants : •Adresse IP : 10.0.0.3 •Masque : 255.0.0.0 •Passerelle : 10.0.0.1 - Page 12 - Digeon MichaëlSISR 5 - Supervision des réseauxSIO 2 TP8 - Mise en place d'un VPN de couche 319/12/2013 Et pour sauvegarder leur configuration, nous entrons la commande suivante sur chacun des routeurs copy running-config tftp

Sera ensuite demandée :

•L'adresse IP du serveur TFTP : 10.0.0.3 •Le nom de destination du fichier de sauvegarde : save-config-r (n° du routeur)

Conclusion

Au cours de ce TP, nous aurons donc appris comment créer, mettre en place et paramétrer un VPN de couche 3. Nous aurons également découvert l'importance de certains algorithmes comme le SHA ou le MD5 mais également certains algorithmes de sécurité comme DES, AES, ISA ou RSA. Et pour terminer, nous aurons pris en main des fonctions comme IPSec ou comme protocole, IKE. - Page 13 -quotesdbs_dbs6.pdfusesText_11