TP Sécurité Configuration de VPN Site à Site en utilisant la CLI et SDM RE BTS--SIO 1 Objectifs Partie 1: Configuration de base des équipements réseau ▪ Configuration des paramètres de base tels que le nom de host, les adresses IP des interfaces et les mots de passe d’accès. ▪ Configurer le protocole de routage EIGRP. Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ▪ Configurer les paramètres VPN IPSec sur R1 et R3 ▪ Vérifier la configuration VPN IPSec site à site ▪ Test du fonctionnement du VPN IPSec Partie 3: Configurer un VPN site à site en utilisant SDM ▪ ▪ ▪ ▪ ▪ Configurer les paramètres VPN IPSec sur R1 Créer une configuration mirroir sur R3 Appliquer la configuration mirroir vers R3 Vérifier la configuration Test de la configuration en utilisant SDM Rappels Les VPNs peuvent fournir une méthode sécurisée de transmission d'information sur un réseau public tel que Internet. Les connexions VPN peuvent aider à réduire les coûts associés aux lignes louées. Les VPNs site à site fournissent typiquement un tunnel (IPSec ou autre) sécurisé entre un site distant et un site central. Une autre implémentation commune qui utilise la technologie VPN est l'accès distant vers le site de l'entreprise pour un utilisateur situé dans un autre lieu. Dans ce lab, vous construisez un résseau avec plusieurs routeurs et vous configurez les routeurs et les hosts. Vous utilisez l'IOS Cisco et SDM pour configurer un VPN IPSec site à site et le tester. Le tunnel vPN IPSec va du routeur R1 vers le routeur R3 via R2. R2 est transparent et n'a pas connaissance du VPN. IPSec fournit une transmission sécurisée d'information sensible à travers un réseau non protégé tel que Internet. IPSec agit au niveau de la couche réseau, protégeant et authentifiant les paquets IP entre les équipements (routeurs Cisco) qui participent à IPSec (peers). Note: Assurez-vous vous que les routeurs et les commutateurs ont des configurations de démarrage vides. RE BTS--SIO 2 Ressources requises • 3 routeurs avec SDM (Cisco 1841 avec Cisco IOS Release 12.4(20)T1 ou comparable) • 2 commutateurs (Cisco 2960 ou comparable) • PC-A A : Windows XP, Vista ou serveur avec un logiciel serveur RADIUS disponible • PC-C : Windows XP ou Vista • Tous les câbles pour connecter le équipements. RE BTS--SIO 3 S0/0/0 R2 S0/0/1 DCE DCE 10.1.1.0/30 10.2.2.0/30 S0/0/0 S0/0/1 R1 R3 Fa0/1 Fa0/1 Fa0/5 Fa0/5 S1 S3 Fa0/6 Fa0/18 192.168.1.0/24 192.168.3.0/24 PC-C PC-A Table d'adressage IP Equipement Interface Adresse IP Masque Passerelle par défaut Port de commutateur R1 Fa0/1 192.168.1.1 255.255.255.0 N/A S1 Fa0/5 S0/0/0 10.1.1.1 255.255.255.252 N/A N/A S0/0/0 (DCE) 10.1.1.2 255.255.255.252 N/A N/A S0/0/1 (DCE) 10.2.2.2 255.255.255.252 N/A N/A Fa0/1 192.168.3.1 255.255.255.0 S3 Fa0/5 S0/0/1 (DCE) 10.2.2.1 255.255.255.252 N/A N/A PC-A Carte 192.168.1.3 255.255.255.0 192.168.1.1 S1 Fa0/6 PC-C Carte 192.168.3.3 255.255.255.0 192.168.3.1 S3 fa0/18 R2 R3 RE BTS--SIO N/A 4 Partie 1: Configuration de base du routeur Dans la partie 1 de ce lab, vous construisez le réseau et vous configurez les paramètres de base tels que les adresses IP des interfaces et le routage dynamique, l'accès à l'équipement et les mots de passe. Note: Toutes les tâches doivent être exécutées sur R1, R2 et R3. La procédure pour R1 est celle utilisée comme exemple. Etape 1: Câblage du réseau selon la topologie précédente. Câblez le réseau selon la topologie donnée. Etape 2: Configuration des paramètres de base de chaque routeur. a. Configurez les noms de hosts conformément à la topologie. b. Configurez les adresses IP des interfaces en vous aidant du tableau fourni page précédente. c. Configurez les horloges pour le routeur R2 qui a des câbles série DCE attachés aux interfaces serial (s0/0/0 et s0/0/1). R2(Config)# interface serial s0/0/0 R2(config-if)# clock rate 2000000 Etape 3: Dévalidation de la recherche DNS Pour éviter que le routeur tente de traduire des commandes incorrectement entrées , dévalidez la recherche DNS. R1(Config)# no ip domain-lookup Etape 4: Configuration du protocole de routage EIGRP sur R1, R2 et R3 a. Utilisez les commandes suivantes sur R1. R1(config)#router router eigrp 101 R1(config-router)#network network 192.168.1.0 0.0.0.255 R1(config-router)#network network 10.1.1.0 0.0.0.3 R1(config-router)#no auto-summary b. Utilisez les commandes suivantes sur R2. R2 R2(config)#router router eigrp 101 R2(config-router)#network network 10.1.1.0 0.0.0.3 R2(config-router)#network network 10.2.2.0 0.0.0.3 R2(config-router)#no auto-summary RE BTS--SIO 5 c. Utilisez les commandes suivantes sur R3. R3(config)#router router eigrp 101 R3(config-router)#network network 192.168.3.0 0.0.0.255 R3(config-router)#network network 10.2.2.0 0.0.0.3 R3(config-router)#no auto-summary Etape 5: Configuration des paramètres IP des PC hosts. a. Configurez l'adresse IP statique, le masque de sous-réseau sous et la passerelle par défaut pour PC-A A comme le montre le tableau précédent. b. Configurez l'adresse IP statique, le masque de sous-réseau sous et la passerelle par défaut pour PC-A A comme le montre le tableau précédent. Etape 6: Vérification de la connectivité de base a. Entrez une commande ping de R1 vers R3. Est-ce ce que la commande réussit?_____________ Si la commande échoue, vous devez résoudre le problème avant de continuer. b. Entrez une commande ping depuis PC-A PC du LAN de R1 vers PC-C du LAN de R3. Est-ce ce que la commande réussit?_____________ Si la commande échoue, vous devez résoudre le problème avant de continuer. Etape 7: Configuration de la longueur minimale des mots de passe Note: Les mots de passe sont fixés à une longueur minimum de 10 caractères. Ils sont relativement simples pour faciliter ce lab. Dans un réseau de production des mots de passe plus complexes sont requis. Utilisez la commande security passwords pour fixer une longueur minimum de 10 caractères pour les mots de passe. R1(config)# security passwords min-length min 10 Etape 8: Configuration de base de la console, du port auxiliaire et des lignes vty. a. Configurez le mot de passe console et validez le login pour le routeur R1. Pour avoir plus de sécurité, la commande exec-timeout entraîne la déconnexion de la ligne au bout de 5 minutes d'inactivité. La commande logging synchronous évite que les messages console soient mélangés avec les commandes en cours d'entrée. Note: pour éviter des connexions répétitives durant le lab, la commande exec-timeout timeout 0 0 peut être entrée ce qui son expiration. Ce n'est pas une bonne pratique de sécurité. RE BTS--SIO 6 R1(config)# line R1(config-line)# R1(config-line)# R1(config-line)# R1(config-line)# console 0 password ciscoconpass exec-timeout timeout 5 0 login logging synchronous b. Configurez le mot de passe pour les lignes vty sur le routeur R1 R1(config)# line R1(config-line)# R1(config-line)# R1(config-line)# vty 0 4 password ciscovtypass exec-timeout timeout 5 0 login c. Répétez ces configurations pour R2 et R3. Etape 9: Configuration du cryptage des mots de passe. a. Utilisez la commande service password-encryption password pour crypter les mots de passe console, aux et vty. password R1(config)# service password-encryption b. Entrez la commande show run.. Pouvez-vous Pouvez lire les mots de passe console, aux et vty? Pourquoi?_______________________________________________________ c. Répétez cette configuration pour R2 et R3. Etape 10: Sauvegarde de la configuration de base des trois routeurs Sauvegardez la configuration courante dans la configuration de démarrage. R1#copy running-config config startup-config startup Etape 11: Sauvegarde de la configuration de R1 et R3 pour restauration future a. Démarrez un serveur TFTP sur PC-A PC b. Sauvegardez les configurations de démarrage des routeurs R1 et R3 en utilisant les commandes suivantes: Exemple pour R1: R1# copy tftp startup-config config c. Redémarrez les routeurs R1 et R3 avec la commande reload. RE BTS--SIO 7 Partie 2: Configuration d'un VPN site à site avec l'IOS Cisco Dans la partie 2 de ce lab, vous configurez un tunnel VPN IPSec entre R1 et R3 qui passe par R2. Vous allez configurer R1 et R3 en utilisant la CLI de l'IOS Cisco. Ensuite vous revoyez et testez les résultats de votre configuration. Tâche 1: Configuration des paramètres IPSec sur R1 et R3 Etape 1: Vérification de la connectivité depuis le LAN de R1 vers le LAN de R3. Dans cette étape, vous vérifiez que sans tunnel en place, PC-A PC du LAN de R1 peut atteindre PC-C sur le LAN de R3. a. Depuis PC-A A faire un ping vers l'adresse IP 192.168.3.3 de PC-C PC PC-A:\> ping 192.168.3.3 b. Est-ce ce que la commande ping réussit?______________ Si la commande ping est en échec, résoudre le problème avant de continuer. Etape 2: Validation des stratégies IKE sur R1 et R3 Il y a deux tâches principales pour l'implémentation d'un VPN IPSec: La configurationdes paramètres IKE (Internet Key Exchangfe) La configuration des paramètres IPSec a. Vérifiez que IKE est supporté et validé. IKE Phase 1 définit la méthode d'échange de clés utilisée pour passer et valider les stratégies IKE entre les extrémité. Dans IKE Phase 2, les extrémités échanges et négocient les stratégies IPSec pour l'authentification et le cryptage du trafic de données. IKE doit être validé pour que IPSec fonctionne. IKE est validé par défaut sur les images de l'IOS avec les ensembles fonctionnels de cryptographie. S'il est dévalidé pour une raison quelconque, vous pouvez le revalider avec la comcom mande crypto isakmp enable.. Utilisez cette commande pour vérifier que l'IOS du routeur supporte IKE et que celui-ci celui est validé. R1(config)#crypto crypto isakmp enable R3(config)#crypto crypto isakmp enable Note: Si vous ne pouvez pas exécuter cette commande sur le routeur, vous devez mettre à niveau l'image de l'IOS avec une image incluant l'ensemble des services de cryptographie Cisco. RE BTS--SIO 8 b. Etablissez une stratégie ISAKMP (Internet Security Association and Key Management Protocol) et affichez les options disponibles. Pour permettre la négociation IKE Phase 1, vous devez créer une stratégie ISAKMP et configurer une association d'extrémité incluant la stratégie ISAKMP. Une stratégie ISAKMP définit les algorithmes d'authentification , de cryptage et de hachage utilisés pour transmettre du trafic de contrôle entre les deux extrémités VPN. Quand une association ISAKMP a été acceptée par les extrémités IKE, IKE Phase 1 est terminé. Les paramètres IKE Phase 2 sont configurés plus tard. Entrez la commande de configuration crypto isakmp policy 10 sur R1 pour la stratégie 10. crypto isakmp policy 10 R1(config)#crypto c. Affichez les différents paramètres IKE disponibles en entrant ?. R1(config-isakmp)# ? ISAKMP commands: authentication Set authentication method for protection suite default Set a command to its defaults encryption Set encryption algorithm for protection suite exit Exit from ISAKMP protection suite configuration mode group Set the Diffie-Hellman Diffie group hash Set hash algorithm for protection suite lifetime Set lifetime for ISAKMP security association no Negate a command or set its defaults Etape 3: Configuration des paramètres de stratégie ISAKMP sur R1 et R3 Votre choix d'un algorithme de cryptage détermine le degré de confidentialité du canal de contrôle entre les extrémités. L'algorithme de hachage contrôle l'intégrité des données, assurant que les données reçues d'une extrémité n'ont pas été momo difiées pendant leur transit. Lr type d'authentification assure que le paquet a bien été transmis et signé par cette extrémité distante. Le groupe Diffie-Hellman Diffie est utilisé pour créer une clé secrète partagée par les extrémités qui n'est pas transtrans mise à travers le réseau. a. Configurez un type d'authentification avec clés pré-partagées. pré Utilisez AES-256 pour le cryptage, SHA pour l'algorithme de hachage et Diffie-Hellman Diffie groupe 5 pour l'échange de clés pour cette stratégie IKE. Note: A ce point vous devez être à R1(config-isakmp)#. La commande crypto isakmp policy 10 est répétée ci-dessous ci pour resituer le contexte. R1(config)#crypto crypto isakmp policy 10 R1(config-isakmp)#authentication authentication pre-share pre R1(config-isakmp)#encryption encryption aes 256 R1(config-isakmp)#hash hash sha R1(config-isakmp)#group 5 lifetime 3600 R1(config-isakmp)#lifetime R1(config-isakmp)#end RE BTS--SIO 9 R3(config)#crypto crypto isakmp policy 10 R3(config-isakmp)#authentication authentication pre-share pre R3(config-isakmp)#encryption encryption aes 256 R3(config-isakmp)#hash sha R3(config-isakmp)#group 5 R3(config-isakmp)#lifetime lifetime 3600 R3(config-isakmp)#end c. Vérifiez la stratégie IKE avec la commande show crypto isakmp policy. R1#show crypto isakmp policy Global IKE policy Protection suite of priority 10 encryption algorithm: AES - Advanced Encryption Standard (256 bit keys). hash algorithm: Secure Hash Standard authentication method: Pre-Shared Shared Key Diffie-Hellman Hellman group: #5 (1536 bit) lifetime: 3600 seconds, no volume limit Etape 4: Configuration des clés pré-partagées. partagées. a. Comme les clés pré-partagées partagées sont utilisées comme méthode d'authentification dans la stratégie IKE, configurez une clé sur chaque routeur qui pointe vers l'autre extrémité du VPN. Ces clés doivent correspondre pour que l'authentifil'authentifi cation soit réussie. La commande configuration globale crypto isakmp key key-string address address est utilisée pour entrer une clé pré-partagée. pré Utilisez l'adresse IP de l'extrémité distante, interface distante que l'extrémité utilise pour router le trafic vers le routeur local. Quelles adresses IP devez vous utiliser pour configurer les extrémités IKE selon la topologie et la table d'adressage IP? IP _____________________________________________________________________________ _____________________________________________________________________________ b. Chaque adresse IP qui est utilisée pour configurer les extrémités IKE est égaleégale ment référencée comme l'adresse IP de l'extrémité VPN distante. Configurez la clé pré-partagée partagée cisco123 sur le routeur R1 en utilisant la commande suivante. Les réseaux de production doivent utiliser une clé plus complexe. Cette comcom mande pointe vers l'adresse IP l'extrémité distante R3 S0/0/1. R1(config)#crypto crypto isakmp key cisco123 address 10.2.2.1 c. La commande pour R3 pointe vers l'adresse IP de R1 S0/0/0. Configurez la clé pré-partagée partagée sur le routeur R3 en utilisant la commande suivante. R3(config)#crypto crypto isakmp key cisco123 address 10.1.1.1 RE BTS--SIO 10 Etape 5: Configuration du transform set IPSec et des durées de vie a. Le transform set IPSec est un autre paramètre de configuration IPSec que les routeurs négocient pour former une association de sécurité. Pour créer un transform set IPSec, utilisez la commande crypto ipsec transform-set tag parameters.. Utilisez le ? pour voir quels sont les paramètres disponibles. R1(config)#crypto crypto ipsec transform-set transform 50 ? ah-md5-hmac AH-HMAC-MD5 MD5 transform ah-sha-hmac AH-HMAC-SHA SHA transform comp-lzs lzs IP Compression using the LZS compression algorithm esp-3des 3des ESP transform using 3DES(EDE) cipher (168 bits) esp-aes aes ESP transform using AES cipher esp-des des ESP transform using DES cipher (56 bits) esp-md5-hmac hmac ESP transform using HMAC-MD5 HMAC auth esp-null null ESP transform w/o cipher esp-seal seal ESP transform using SEAL cipher (160 bits) esp-sha-hmac hmac ESP transform using HMAC-SHA HMAC auth b. Sur R1 et R3 créez un transform set avec le tag 50 et utilisez ESP (Encapsulating Security Protocol) avec cryptage AES-256 AES et SHA HMAC. Les transform set doivent être identiques. R1(config)#crypto crypto ipsec transform-set transform 50 esp-aes 256 esp-sha-hmac R1(cfg-crypto-trans)#exit R3(config)#crypto crypto ipsec transform-set transform 50 esp-aes 256 esp-sha-hmac R3(cfg-crypto-trans)#exit c. Quelle est la fonction du transform set IPSec? _____________________________________________________________________________ _____________________________________________________________________________ d. Vous pouvez également changer les durées de vie des associations de sécurité IPSec qui sont par défaut 3600 secondes ou 4608000 kilobytes. Sur R1 et R3 fixez la durée de vie de l'adssociation de sécurité IPSec à 30 minutes ou 1800 secondes. R1(config)#crypto crypto ipsec security-association security lifetime seconds 1800 R3(config)#crypto crypto ipsec security-association security lifetime seconds 1800 Etape 6: Définition du trafic intêressant a. Pour utiliser le cryptage avec le VPN IPSec, il est nécessaire de définir une liste d'accès étendue pour indiquer au routeur quel trafic il doit crypter. Un paquet qui est permis par une liste d'accès utilisée pour définir le trafic IPSec est crypté si la session IPSec est configurée correctement. Un paquet qui est rejeté par une de ces listes d'accès n'est pas rejeté mais transmis sans être crypté. Tout comme les autres listes d'accès, il y a une instruction implicite de rejet à la fin de la liste d'accès qui dans ce cas veut dire que l'action par défaut est de ne pas crypter le trafic. S'il n'y a pas d'association IPSec correctement conficonfi gurée, le trafic n'est pas crypté et il est achemené normalement. RE BTS--SIO 11 b. Dans ce scénario, le trafic que vous voulez crypter est du trafic allant du LAN Ethernet de R1 vers le LAN Ethernet de R3 ou vice versa. Ces listes d'accès sont utilisées en sortie sur les interfaces des extrémités VPN et doivent être un mirroir l'une de l'autre. c. Configurez l'ACL du trafic VPN IPSec intêressant sur R1. R1(config)#access-list list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 d. Configurez l'ACL du trafic VPN IPSec intêressant sur R1. R3(config)#access-list list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 e. Est-ce ce que IPSec vérifie que les listes d'accès sont le mirroir l'une de l'autre pour négocier les associations de sécurité? ______________________________________________________________________________ ______________________________________________________________________________ Etape 7: Créer et appliquer une crypto map Une crypto map associe le trafic intêressant qui correspond à la liste d'accès avec une extrémité et différents paramètres IKE et IPSec. Après la création de la crypto map, celle-ci ci peut êttre appliquée à une ou plusieurs interfaces. Les interinter faces auxquelles elle est appliquée doit être une de celle faisant face à l'autre extrémité IPSec. a. Pour créer une crypto map, utilisez la commande crypto map name sequence-num type en mode de configuration global pour entrer en mode de configuration crypto map pour ce numéro de séquence. Plusieurs instructions de crypto map peuvent appartenir à la même crypto map et sont évaluées dans l'ordre numérique descendant . Entrez en mode de configuration crypto map sur R1. Utilisez le type ipsec-isakmp isakmp qui signifie que IKE est utilisé pour établir les associations de sécurité IPSec. b. Créez la crypto map nommée CMAP sur R1 avec 10 comme numéro de séquence. Un message est affiché à l'exécution de la commande. R1(config)#crypto crypto map CMAP 10 ipsec-isakmp ipsec % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured. c. Utilisez la commande match-address address access-list pour spécifier quelle liste d'accès définit le trafic à crypter. R1(config-crypto-map)#match match address 101 RE BTS--SIO 12 d. Pour afficher l'ensemble des commandes que vous pouvez inclure dans une crypto map utilisez l'aide en ligne (?). R1(config-crypto-map)#set set ? Identity Identity restriction. Ip Interface Internet Protocol config commands isakmp-profile profile Specify isakmp Profile nat Set NAT translation peer Allowed Encryption/Decryption peer. pfs Specify pfs settings security-association association Security association parameters transform-set set Specify list of transform sets in priority order e. Configurer un nom de host ou une adresse IP d'extrémité est requis. Configurez l'adresse IP de l'interface de l'extrémité VPN distante de R3 avec la commande suivante: R1(config-crypto-map)#set set peer 10.2.2.1 f. Indiquez le transform set à utiliser avec cette extrémité en utilisant la comcom mande set transform-set tag. tag Fixez le type de pfs (Perfect forwarding secrecy) avec la commande set pfs type et modifiez également la durée de vie par défaut le l'association de sécurité IPSec avec la commande set security association lifetime seconds seconds. R1(config-crypto-map)#set set pfs group5 R1(config-crypto-map)#set set transform-set transform 50 R1(config-crypto-map)#set set security-association security lifetime seconds 900 R1(config-crypto-map)#exit g. Créez une cryto map mirroir sur R3. R3(config-crypto-map)#match match address 101 R3(config-crypto-map)#set set peer 10.1.1.1 R3(config-crypto-map)#set set pfs group5 R3(config-crypto-map)#set set transform-set transform 50 R3(config-crypto-map)#set set security-association security lifetime seconds 900 R3(config-crypto-map)#exit h. La dernière étape est l'application des crypto map aux interfaces. Notez que les associations de sécurité (SAs) ne seront pas établies tant que la crypto map n'aura pas été activée par le trafic intêressant. Le routeur va générer un message pour indiquer que la crypto map est opérationnelle. i. Appliquez les crypto map aux interfaces appropriées sur R1 et R3. R1(config)#interface S0/0/0 R1(config-if)#crypto crypto map CMAP *Jan 28 04:09:09.150: %CRYPTO-6-ISAKMP_ON_OFF: %CRYPTO ISAKMP is ON R1(config)#end R3(config)#interface S0/0/1 crypto map CMAP R3(config-if)#crypto *Jan 28 04:10:54.138: %CRYPTO-6-ISAKMP_ON_OFF: %CRYPTO ISAKMP is ON R3(config)#end RE BTS--SIO 13 Tâche 2: Vérifier la configuration VPN IPSec site à site Etape 1: Vérification de la configuration IPSec sur R1 et R3. a. Vous avez déjà utilisé la commande show crypto isakmp policy pour afficher les stratégies ISAKMP configurées sur le routeur. De manière similaire la commande show crypto ipsec transform-set transform affiche la configuration des stratégies IPSec configurées sous la forme d'un transform set. R1#show show crypto ipsec transform-set transform Transform set 50: { esp-256-aes aes esp-sha-hmac esp } will negotiate = { Tunnel, }, Transform set #$!default_transform_set_1: { esp-aes esp esp-sha-hmac } will negotiate = { Transport, }, Transform set #$!default_transform_set_0: { esp-3des esp esp-sha-hmac } will negotiate = { Transport, }, R3#show show crypto ipsec transform-set transform Transform set 50: { esp-256-aes aes esp-sha-hmac esp } will negotiate = { Tunnel, }, Transform set #$!default_transform_set_1: { esp-aes esp esp-sha-hmac } will negotiate = { Transport, }, Transform set #$!default_transform_set_0: { esp-3des esp esp-sha-hmac } will negotiate = { Transport, }, b. Utilisez la commande show crypto map pour afficher les crypto maps appliquées au routeur. R1#show crypto map Crypto Map "CMAP" 10 ipsec-isakmp isakmp Peer = 10.2.2.1 Extended IP access list 101 access-list list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 Current peer: 10.2.2.1 Security association lifetime: 4608000 kilobytes/900 seconds PFS (Y/N): Y DH group: group5 Transform sets={ 50: { esp-256-aes esp-sha sha-hmac } , } Interfaces using crypto map MYMAP: Serial0/0/0 RE BTS--SIO 14 R3#show crypto map isakmp Crypto Map "CMAP" 10 ipsec-isakmp Peer = 10.1.1.1 Extended IP access list 101 access-list list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 Current peer: 10.1.1.1 Security association lifetime: 4608000 kilobytes/900 seconds PFS (Y/N): Y DH group: group5 Transform sets={ 50: { esp-256-aes esp-sha-hmac } , } Interfaces using crypto map MYMAP: Serial0/0/1 Note: La sortie de ces commandes show ne change pas si le trafic intêressant passe par la connexion VPN. Tâche 3: Vérification du fonctionnement du VPN IPSec Etape 1: Affichage des associations de sécurité ISAKMP. ISAKMP La commande show cryoto isakmp sa révèle qu'il n'y a pas encore de SA IKE. Quand du trafic intêressant est transmis, la sortie de cette commande change. R1#show crypto isakmp sa dst src state conn conn-id slot status Etape 2: Affichage des associations de sécurité IPSec a. La commande show crypto ipsec sa affiche les SA entre R1 et R3. Notez le nombre de paquets transmis et qu'il n'y a pas d'association de sécurité établie. R1#show crypto ipsec sa interface: Serial0/0/0 Crypto map tag: CMAP, local addr 10.1.1.1 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0) current_peer 10.2.2.1 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 10.1.1.1, remote crypto endpt.: 10.2.2.1 path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: RE BTS--SIO 15 b. Pourquoi n'y a-t-il il pas d'association (SA) de sécurité négociée? _________________________________________________________________________ _________________________________________________________________________ Etape 3: Génération de trafic de test intérêssant et observation des résultats a. Faire une commande ping depuis R1 vers l'adresse IP 10.2.2.1 de l'interface S0/0/1 de R3. Est-ce ce que la commande ping réussit? ______________________ b. Entrez la commande show crypto isakmp sa. sa Est-ce qu'une SA a été créée entre R1 et R3?_____________ c. Faire une commande ping de R1 vers l'adresse IP 192.168.3.1 de R3. Est-ce Est que la commande ping réussit?____________________________________________________ d. Entrez de nouveau la commande show crypto ipsec sa. Est-ce qu'une association de sécurité a été créée? Pourquoi? ________________________________ ______________________________________________________________________________ ______________________________________________________________________________ ______________________________________________________________________________ e. Entrez la commande debug eigrp packets. packets Vous devez voir des paquets hello EIGRP passant entre R1 et R3. R1#debug eigrp packets EIGRP Packets debugging is on (UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROBE, ACK, STUB, SIAQUERY, SIAREPLY) R1# *Jan 29 16:05:41.243: EIGRP: Received HELLO on Serial0/0/0 nbr 10.1.1.2 *Jan 29 16:05:41.243: AS 101, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 peerQ un/rely 0/0 *Jan 29 16:05:41.887: EIGRP: Sending HELLO on Serial0/0/0 *Jan 29 16:05:41.887: AS 101, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 R1# *Jan 29 16:05:43.143: EIGRP: Sending HELLO on FastEthernet0/1 *Jan 29 16:05:43.143: AS 101, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 R1# f. Arrêtez le debugging avec la commande no debug all. g. Utilisez la commande show crypto isakmp sa. sa Est-ce qu'une SA a été créée entre R1 et R3? Pourquoi?__________________________________________________ ____________________________________________________________________________ Etape 4: Générez du trafic de test intêressant et observez les résultats a. Utilisez une commande ping étendue depuis R1 vers l'adresse IP 192.168.3.1 de R3.La commande ping étendue vous permet de contrôler l'adresse source des paquets. Répondez aux questions comme le montre l'exemple suivant. Pressez la touche enter pour accepter les valeurs par défaut, sauf celles pour lesquelles une réponse est indiquée. RE BTS--SIO 16 R1#ping Protocol [ip]: Target IP address: 192.168.3.1 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 192.168.1.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: Packet sent with a source address of 192.168.1.1 !!!!! Success rate is 100 percent (5/5), round-trip round min/avg/max = 92/92/92 ms b.. Entrez de nouveau la commande show crypto isakmp sa de nouveau. R1#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src 10.2.2.1 10.1.1.1 state QM_IDLE conn-id conn 1001 slot status 0 ACTIVE c. Pourquoi une SA a-t-elle elle été créée entre R1 et R3 cette fois-ci?_________________ fois ______________________________________________________________________________ d. Quels sont les extrémités du tunnel VPN IPSec?_______________________________ e. Faire une commande ping depuis PC-A PC vers PC-C. Est-ce que la commande réussit?__________________________________________________________________ f. Entrez la commande show cryopto ipsec sa. sa Combien de paquets ont été cryptés entree R1 et R3?___________________________________________________ R1#show crypto ipsec sa interface: Serial0/0/0 Crypto map tag: CMAP, local addr 10.1.1.1 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0) current_peer 10.2.2.1 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9 #pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 10.1.1.1, remote crypto endpt.: 10.2.2.1 path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0 current outbound spi: 0xC1DD058(203280472) RE BTS--SIO 17 local crypto endpt.: 10.1.1.1, remote crypto endpt.: 10.2.2.1 path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0 current outbound spi: 0xC1DD058(203280472) inbound esp sas: spi: 0xDF57120F(3747025423) transform: esp-256-aes aes esp-sha-hmac esp , in use settings ={Tunnel, } conn id: 2005, flow_id: FPGA:5, crypto map: CMAP sa timing: remaining key lifetime (k/sec): (4485195/877) IV size: 16 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xC1DD058(203280472) transform: esp-256-aes aes esp-sha-hmac esp , in use settings ={Tunnel, } conn id: 2006, flow_id: FPGA:6, crypto map: CMAP sa timing: remaining key lifetime (k/sec): (4485195/877) IV size: 16 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: g. L'exemple précédent utilisait la commande ping pour générer du trafic intêresintêres sant. Quel autre type de trafic aurait entrainé la formation de SA IPSec et l'établissement du tunnel?___________________________________________________ ______________________________________________________________________________ Partie 3: Configuration d'un VPN IPSec site à site avec SDM Dans la partie 3 de ce lab, vous configurez un tunnel VPN IPSec entre R1 et R3 qui passe par R2. Dans la tâche 2, vous configurez R1 en utilisant Cisco SDM. Dans la tâche 3, vous générez la configuration mirroir pour R3 en utilisant les utilitaires du SDM. Vous revoyez puis vous testez la configuration. Tâche 1: Restauration de la configuration de base de R1 et R3 Etape 1: Restauration de la configuration de démarrage A l'aide la commande copy tftp startup-config, startup rechargez la configuration de démarrage avec les fichiers sauvegardés sur le serveur TFTP. Cette restauration doit être faite pour R1 et R3. R1# copy tftp startup-config <répondez aux questions posées> RE BTS--SIO 18 Etape 2: Redémarrage des routeurs et test de la connectivité a. Entrez la commande reload sur chacun des routeurs. R1# reload b. Testez la connectivité en passant une commande ping depuis PC-A PC vers PC-C. Si la commande échoue, vous devez résoudre le problème avant de continuer. Tâche 2: Configuration des paramètres du VPN IPSec sur R1 en utilisant SDM Etape 1: Configuration du mot de passe enable secret et de l'accès HTTP au routeur a. A partir de la CLI, configurez le mot de passe enable secret pour l'utiliser avec SDM sur R1 et R3. R1(config)#enable enable secret cisco12345 R3(config)#enable enable secret cisco12345 b. Validez le serveur HTTP sur R1 et R3. R1(config)#ip http server R3(config)#ip http server Etape 2: Accéder au SDM et fixer les préférences a. Lancez l'application SDM ou ouvrez un navigateur sur PC-A PC et démarrez le SDM en entrant l'adresse IP de R1 192.168.1.1 dans le champ adresse. Note: Vous pouvez être interrogé par Internet Explorer pour autoriser les ActiveX pendant certaines de ces étapes.Cliquez sur Autoriser. b. Connectez-vous vous sans nom d'utilisateur et en entrant le mot de passe enable secret cisco12345. c. Dans la boîte de dialogue Authentication Required, ne remplissez pas le champ Username et entrez cisco12345 dans le champ Password. Cliquez sur Yes. d. Si la boite de dialogue IOS IPS s'affiche, cliquez sur le bouton Cancel pour passer cette option. e. Sélectionnez Edit> Preferences dans la barre de menu en haut de l'écran du SDM pour permettre la visualisation des commandes avant des transmettre au routeur. Dans la fenêtre User Preferences, cochez la case Preview commands before delivering to routeur puis cliquez sur OK. RE BTS--SIO 19 Etape 3: Démarrage de l'assistant SDM VPN pour configurer R1. a. Cliquez sur Configure dans le haut de l'écran du SDM puis cliquez sur le bouton VPN. Sélectionnez Site-to to-Site VPN dans la liste des options. L'option par défaut est Create Site-to-Site Site VPN. Lisez la des cription de cette option. b. Que devez vous savoir d'autre pour terminer cette configuration? ______________________________________________________________________________ ______________________________________________________________________________ c. Cliquez sur le bouton Launch the selected task pour démarrer l'assistant SDM Site-to -Site VPN. d. Dans la fenêtre initiale de l'assistant Site-to-Site Site VPN, l'option Quick Setup est sélectionnée par défaut. Cliquez sur le bouton View Details pour voir quels paramètres sont utilisés par cette option. Quel type de cryptage est utilisé par le transform set par défaut?__________________________________________________ e. A partir de la fenêtre initiale de l'assistant Site-to-Site Site VPN, sélectionnez l'assistant Step by Step puis cliquez sur Next. Pourquoi utilisez vous cette option à la place de l'option Quick Setup? __________________________________ _____________________________________________________________________________ RE BTS--SIO 20 Etape 4: Configuration des informations de base de la connexion VPN. a. A partir du panneau VPN Connection Information, sélectionnez l'interface pour la connexion. Ce doit être l'interface S0/0/0 de R1. b. Dans la section Peer Identity, sélectionnez Peer with static address et entrez l'adresse IP de l'extrémité distante S/0/0/1 de R3 (10.2.2.1). c. Dans la section Authentication, cliquez sur Pre-shared keys et entrez la clé VPN pré-partagée cisco12345.. Entrez de nouveau la clé pour confirmation. Cette clé est ce qui protège le VPN et le rend sécurisé. Quand vous avez terminé l'écran doit ressembler au suivant. Quand vous avez entré ces paramètres correctement, cliquez sur Next. Etape 5: Configuration des paramètres de la stratégie IKE. Les stratégies IKE sont utilisées pendant l'établissement du canal de contrôle entre les deux extrémités VPN pour l'échange de clés. Ceci est également appelé association de sécurité IKE (SA). En comparaison, la stratégie IPSec est utilisée pendant IKE Phase II pour négocier une association de sécurité IPSec pour passer le trafic de données ciblé. a. Dans la fenêtre IKE Proposals, une stratégie par défaut est affichée. Vous pouvez utiliser celle-ci ci ou en créer une nouvelle. A quoi cette cette proposition IKE?________________________________________________________________________ _____________________________________________________________________________ RE BTS--SIO 21 b. Cliquez sur le bouton Add pour créer une nouvelle politique IKE. _____________________________________________________________________________ c. Configurez la stratégie IKE comme cela est montré dans la boite de dialogue Add IKE Policy. Ces paramètres devront correspondre avec ceux de R3. Quand vous avez fini cliquez sur OK pour ajouter la stratégie. Cliquez sur Next. d. Cliquez sur le bouton Help pour vous aider à répondre aux questions suivantes. Quelle est la fonction de l'algorithme de cryptage dans la stratégie IKE? _____________________________________________________________________________ _____________________________________________________________________________ e. Quel est le but de la fonction de hachage? ______________________________________________________________________________ ______________________________________________________________________________ f. A quoi sert la méthode d'authentification? ______________________________________________________________________________ ______________________________________________________________________________ g. Comment le groupe Diffie-Hellman Hellman est-il est utilisé dans la stratégie IKE? ______________________________________________________________________________ ______________________________________________________________________________ h. Quel évènement se produit à nla fin de la durée de vie de la stratégie IKE? ______________________________________________________________________________ Etape 6: Configuration d'un transform set Le transform set est la stratégie IPSec utilisée pour crypter, hacher et authentifier les paquets qui passent dans le tunnel. Le transform set est la stratégie IKE Phase II. a. Un transform set SDM par défaut est affiché. Cliquez sur le bouton Add pour créer un nouveau transform set. b. Configurez le transform set comme cela est montré dans la boite de dialogue Transform Set. Ces paramètres devront correspondre avec ceux de R3. Quand vous avez fini cliquez sur OK pour ajouter le transform set. Cliquez sur Next. RE BTS--SIO 22 Etape 7: Définition du trafic intêressant Vous devez définir le trafic intêressant devant être protégé par le tunnel. Le trafic intêressant sera définit au moyen d'une liste d'accès quand il est appliqué au routeur. Si vous entrez les réseaux source et destination, SDM génère la liste d'accès appropriée pour vous. Dans la fenêtre Traffic to protect, entrez l'information comme cela est montré ci-dessous. dessous. Il y a les paramètres opposés configurés sur R3. Quand vous avez fini cliquez sur Next. RE BTS--SIO 23 Etape 8: Revoir le résumé de la configuration et délivrer les commandes au routeur. a. Revoir le résumé dans la fenêtre Summary of the Configuration. Elle doit ressembler à celle-ci-dessous. dessous. Ne pas cocher la case Test VPN connectivity after configuring. Cela sera fait après la configuration de R3. Cliquez sur Finish pour terminer. b. Dans la fenêtre Deliver Configuration to router, cochez la case Save running config to router's startup config puis cliquez sur le bouton Deliver. Une fois que les commandes ont été délivrées, cliquez sur OK. Combien de commandes ont été délivrées?____________________________________________________________ Tâche 3: Création d'une configuration mirroir pour R3 Etape 1: Utilisez SDM sur R1 pour générer une configuration mirroir pour R3. a. Sur R1, sélectionnez VPN> Site-to to-Site VPN puis cliquez sur Edit Site-to-Site VPN.. Vous devez voir la configuration que vous venez de créer sur R1. Quelle est la description du VPN? ______________________________________________________________________________ b. Quel est l'état du VPN et pourquoi? ______________________________________________________________________________ c. Sélectionnez la strétgie VPN que vous venez de configurer sur R1 puis cliquez sur le bouton Generate Mirror en dans la partie droite de la fenêtre. La fenêtre Generate Mirror affiche les commandes nécessaires pour configurer R3 comme extrémité VPN. Déroulez la fenêtre pour voir les commandes générées. RE BTS--SIO 24 a. Le texte en haut de la fenêtre stipule que la configuration générée doit être uniquement utilisée comme un guide pour la configuration d'un VPN site à site. Quelles commandes manquent pour permettre à cette stratégie de fonctionner sur R3?______________________________________________________ Note: Regardez la description de l'entrée qui suit la commande crypto map SDM_CMAP_1. Etape 2: Sauvegarde des commandes de configuration pour R3. a. Cliquez sur le bouton Save pour créer le fichier texte à utiliser dans la tâche suivante. b. Sauvegardez les commandes sur le bureau ou à un autre emplacement et nommez les VPN-Mirror-Cfg-for-R3.txt. R3.txt. Note: Vous pouvez copier ces commandes directement depuis la fenêtre Generate Mirror. c. (Optionnel) Editez le fichier pour retirer le texte d'explication au début et la description de l'entrée suivant la commande crypto map SDM_CMAP_1. RE BTS--SIO 25 Tâche 4: Application de la configuration mirroir à R3 et vérification Etape 1: Accès à la cLI de R3 et copie des commandes mirroir. a. Entrez en mode EXEC privilégié sur R3 puis entrez en mode de configuration global. b. Copiez les commandes à partir du fichier texte vers la CLI de R3. Etape 2: Application de la crypto map à l'interface S0/0/0 de R3. R3(config)#interface s0/0/1 R3(config-if)#crypto crypto map SDM_CMAP_1 *Jan 30 13:00:38.184: %CRYPTO--6-ISAKMP_ON_OFF: ISAKMP is ON Etape 3: Vérification de la configuration VPN sur R3 en utilisant l'IOS Cisco. a. Affichez la configuration courante en commençant par la première ligne qui contient "0/0/1" pour vérifier que la crypto map est appliquée à s0/0/0. R3#sh run | beg 0/0/1 interface Serial0/0/1 ip address 10.2.2.1 255.255.255.252 crypto map SDM_CMAP_1 b. Sur R3 utilisez la commande show isakmp policy pour afficher les stratégies ISAKMP du routeur. Notez que la stratégie par défaut du SDM est présente. R3#show show crypto isakmp policy Global IKE policy Protection suite of priority 1 encryption algorithm: hash algorithm: authentication method: Diffie-Hellman Hellman group: lifetime: Protection suite of priority 10 encryption algorithm: Standard (256 bit keys) hash algorithm: authentication method: Diffie-Hellman Hellman group: lifetime: Three key triple DES Secure Hash Standard Pre Pre-Shared Key #2 (1024 bit) 86400 seconds, no volume limit AES - Advanced Encryption Message Digest 5 Pre Pre-Shared Key #5 (1536 bit) 28800 seconds, no volume limit c. Combien il ya de stratégies listées dans la sortie précédente? ________________ RE BTS--SIO 26 d. Entrez la commande show crypto ipsec transform-set transform pour afficher les stratégies IPSec configurées sius la forme de transform sets. R3#show show crypto ipsec transform-set transform Transform set Lab-Transform: Transform: { esp-256-aes esp esp-sha-hmac } will negotiate = { Tunnel, }, Transform set #$!default_transform_set_1: { esp-aes esp esp-sha-hmac } will negotiate = { Transport, }, Transform set #$!default_transform_set_0: { esp-3des esp esp-sha-hmac } will negotiate = { Transport, }, e. Utilisez la commande show crypto map pour afficher les crypto map qui seront appliquées au routeur. R3#show crypto map Crypto Map "SDM_CMAP_1" 1 ipsec-isakmp ipsec Description: Apply the crypto map on the peer router's interface having IP address 10.2.2.1 that connects to this router. Peer = 10.1.1.1 Extended IP access list SDM_1 access-list list SDM_1 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 Current peer: 10.1.1.1 Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N Transform sets={ Lab-Transform: Transform: { esp-256-aes esp esp-sha-hmac } , } Interfaces using crypto map SDM_CMAP_1: Serial0/0/1 f. Dans la sortie ci-dessus, dessus, la stratégie ISAKMP en cours d'utilisation par la crypto map est la stratégie SDM default avec le numéro de priorité de séquence 1, indiqué par le numéro 1 dans la première ligne: Crypto Map "SDM_MAP_1" 1 ipsec-isakmp. isakmp. Pourquoi celle que vous avez créée dans la session SDM n'est-elle n'est pas utilisée, celle créée avec la priorité 10 dans l'étape 3b? _______________________________________________________________________________ RE BTS--SIO 27 g. (Optionnel) Vous pouvez forcer les routeurs à utiliser la stratégie la plus stricte que vous avez créée en changeant les références de crypto map dans les conficonfi gurations de R1 et R3 comme cela est montré ci-dessous. ci Si vous faîtes cela, la stratégie SDM default 1 peut être retirée sur les deux routeurs. R1(config)#interface s0/0/0 no crypto map SDM_CMAP_1 R1(config-if)#no R1(config-if)#exit *Jan 30 17:01:46.099: %CRYPTO-6-ISAKMP_ON_OFF: %CRYPTO ISAKMP is OFF R1(config)#no no crypto map SDM_CMAP_1 1 R1(config)#crypto crypto map SDM_CMAP_1 10 ipsec-isakmp ipsec NOTE: : Cette nouvelle crypto map restera désactivée jusqu'à ce qu'une extrémité et une lista d'accès vlide soient configurés. R1(config-crypto-map)#description description Tunnel to 10.2.2.1 R1(config-crypto-map)#set set peer 10.2.2.1 R1(config-crypto-map)#set set transform-set transform Lab-Transform R1(config-crypto-map)#match match address 100 R1(config-crypto-map)#exit R1(config)#int s0/0/0 R1(config-if)#crypto crypto map SDM_CMAP_1 R1(config-if)#exit *Jan 30 17:03:16.603: %CRYPTO-6-ISAKMP_ON_OFF: %CRYPTO ISAKMP is ON R3(config)#interface s0/0/1 R3(config-if)#no no crypto map SDM_CMAP_1 R3(config-if)#exit R3(config)#no no crypto map SDM_CMAP_1 1 R3(config)#crypto crypto map SDM_CMAP_1 10 ipsec-isakmp ipsec NOTE: : Cette nouvelle crypto map restera désactivée jusqu'à ce qu'une extrémité et une lista d'accès vlide soient configurés. R3(config-crypto-map)#description description Tunnel to 10.1.1.1 R3(config-crypto-map)#set set peer 10.1.1.1 R3(config-crypto-map)#set set transform-set transform Lab-Transform R3(config-crypto-map)#match match address 100 R3(config-crypto-map)#exit R3(config)#int s0/0/1 R3(config-if)#crypto crypto map SDM_CMAP_1 R3(config-if)# *Jan 30 22:18:28.487: %CRYPTO-6-ISAKMP_ON_OFF: %CRYPTO ISAKMP is ON Tâche 5: Test de la configuration VPN en utilisant SDM sur R1 a. Sur R1, utilisez SDM pour tester le tunnel VPN IPSec entre les deux routeurs. Sélectionnez VPN> Site-to-Site Site VPN puis cliquez sur Edit Site-to-Site VPN. b. A partir de l'onglet Edit Site-to--Site VPN, sélectionnez VPN puis cliquez sur Test Tunnel. c. Quand la fenêtre VPN Troubleshooting s'affiche, cliquez sur le bouton Start pour que le SDM commence le test du tunnel . d. Quand la fenêtre SDM Warning s'affiche indiquant que SDM va valider debug sur le routeur et générer du trafic pour le tunnel, cliquez sur Yes pour continuer. RE BTS--SIO 28 e. Dans la fenêtre VPN Troubleshooting suivante, l'adresse IP de l'interface Fa0/1 de R1 dans le réseau source est affichée par défaut (192.168.1.1). Entrez l'adresse IP de l'interface fa0/1 de R3 dans le réseau destination (192.168.3.1) puis cliquez sur Continue pour debug le processus de test. f. Si le test est réussi et que le tunnel est monté, vous devez voir l'écran page suivante. Si le test échoue, SDM affiche les raisons de l'échec et recommande des actions. Cliquez sur OK pour fermer la fenêtre. RE BTS--SIO 29 g. Vous pouvez sauvegarder le rapport si vous le désirez sinon cliquez sur Close. Note: Si vous voulez réinitialiser le tunnel et le tester de nouveau, vous pouvez cliquer sur le bouton Clear Connection dans la fenêtre Edit Sit-to-Site VPN. Ceci peut également être accompli avec la CLI en utilisant la commande clear crypto session. h. Affichez la configuration courante pour R3 commençant avec la première ligne qui contient 0/0/1 pour vérifier que la crypto map est appliquée à S0/0/1. R3#sh run | beg 0/0/1 interface Serial0/0/1 ip address 10.2.2.1 255.255.255.252 crypto map SDM_CMAP_1 <partie supprimée> RE BTS--SIO 30 i. Entrez la commande show crypto isakmp sa sur R3 pour voir l'association de sécurité créée. R3#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst 10.2.2.1 src 10.1.1.1 state QM_IDLE conn-id slot conn 1001 0 status ACTIVE j. Entrez la commande show crypto ipsec sa. sa Combien de paquets ont été cryptés entre R1 et R3?_________________________________________________ R3#show crypto ipsec sa interface: Serial0/0/1 Crypto map tag: SDM_CMAP_1, local addr 10.2.2.1 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) current_peer 10.1.1.1 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 116, #pkts encrypt: 116, #pkts digest: 116 #pkts decaps: 116, #pkts decrypt: 116, #pkts verify: 116 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 10.2.2.1, remote crypto endpt.: 10.1.1.1 path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/1 current outbound spi: 0x207AAD8A(544910730) inbound esp sas: spi: 0xAF102CAE(2937072814) transform: esp-256-aes aes esp-sha-hmac esp , in use settings ={Tunnel, } conn id: 2007, flow_id: FPGA:7, crypto map: SDM_CMAP_1 sa timing: remaining key lifetime (k/sec): (4558294/3037) IV size: 16 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x207AAD8A(544910730) transform: esp-256-aes aes esp-sha-hmac esp , in use settings ={Tunnel, } conn id: 2008, flow_id: FPGA:8, crypto map: SDM_CMAP_1 sa timing: remaining key lifetime (k/sec): (4558294/3037) IV size: 16 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: RE BTS--SIO 31 Tâche 6: Réflexion a. Est-ce ce le trafic de la liaison FastEthernet entre PC-A PC et R1 Fa0/0 est crypté par le tunnel VPN IPSec site à site? Pourquoi? ____________________________________________________________________________ ____________________________________________________________________________ b. Quels sont les facteurs à prendre en compte quand on configure des VPN IPSec site à site en utilisant la CLU par rapport à l'utilisation de l'interface graphique du SDM? ____________________________________________________________________________ ____________________________________________________________________________ RE BTS--SIO 32
© Copyright 2024 Paperzz