TP Sécurité - Configuration de VPN Site à Site en utilisant la CLI et

TP Sécurité
Configuration de VPN
Site à Site
en
utilisant la CLI et SDM
RE
BTS--SIO
1
Objectifs
Partie 1: Configuration de base des équipements réseau
▪ Configuration des paramètres de base tels que le nom de host, les adresses IP
des interfaces et les mots de passe d’accès.
▪ Configurer le protocole de routage EIGRP.
Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco
▪ Configurer les paramètres VPN IPSec sur R1 et R3
▪ Vérifier la configuration VPN IPSec site à site
▪ Test du fonctionnement du VPN IPSec
Partie 3: Configurer un VPN site à site en utilisant SDM
▪
▪
▪
▪
▪
Configurer les paramètres VPN IPSec sur R1
Créer une configuration mirroir sur R3
Appliquer la configuration mirroir vers R3
Vérifier la configuration
Test de la configuration en utilisant SDM
Rappels
Les VPNs peuvent fournir une méthode sécurisée de transmission d'information sur un
réseau public tel que Internet. Les connexions VPN peuvent aider à réduire les coûts
associés aux lignes louées. Les VPNs site à site fournissent typiquement un tunnel (IPSec
ou autre) sécurisé entre un site distant et un site central. Une autre implémentation
commune qui utilise la technologie VPN est l'accès distant vers le site de l'entreprise pour
un utilisateur situé dans un autre lieu.
Dans ce lab, vous construisez un résseau avec plusieurs routeurs et vous configurez les
routeurs et les hosts. Vous utilisez l'IOS Cisco et SDM pour configurer un VPN IPSec site
à site et le tester. Le tunnel vPN IPSec va du routeur R1 vers le routeur R3 via R2. R2 est
transparent et n'a pas connaissance du VPN. IPSec fournit une transmission sécurisée
d'information sensible à travers un réseau non protégé tel que Internet. IPSec agit au
niveau de la couche réseau, protégeant et authentifiant les paquets IP entre les équipements
(routeurs Cisco) qui participent à IPSec (peers).
Note: Assurez-vous
vous que les routeurs et les commutateurs ont des configurations de
démarrage vides.
RE
BTS--SIO
2
Ressources requises
• 3 routeurs avec SDM (Cisco 1841 avec Cisco IOS Release 12.4(20)T1 ou comparable)
• 2 commutateurs (Cisco 2960 ou comparable)
• PC-A
A : Windows XP, Vista ou serveur avec un logiciel serveur RADIUS disponible
• PC-C : Windows XP ou Vista
• Tous les câbles pour connecter le équipements.
RE
BTS--SIO
3
S0/0/0
R2
S0/0/1
DCE DCE
10.1.1.0/30
10.2.2.0/30
S0/0/0
S0/0/1
R1
R3
Fa0/1
Fa0/1
Fa0/5
Fa0/5
S1
S3
Fa0/6
Fa0/18
192.168.1.0/24
192.168.3.0/24
PC-C
PC-A
Table d'adressage IP
Equipement
Interface Adresse IP
Masque
Passerelle par
défaut
Port de
commutateur
R1
Fa0/1
192.168.1.1
255.255.255.0
N/A
S1 Fa0/5
S0/0/0
10.1.1.1
255.255.255.252 N/A
N/A
S0/0/0
(DCE)
10.1.1.2
255.255.255.252 N/A
N/A
S0/0/1
(DCE)
10.2.2.2
255.255.255.252 N/A
N/A
Fa0/1
192.168.3.1
255.255.255.0
S3 Fa0/5
S0/0/1
(DCE)
10.2.2.1
255.255.255.252 N/A
N/A
PC-A
Carte
192.168.1.3
255.255.255.0
192.168.1.1
S1 Fa0/6
PC-C
Carte
192.168.3.3
255.255.255.0
192.168.3.1
S3 fa0/18
R2
R3
RE
BTS--SIO
N/A
4
Partie 1: Configuration de base du routeur
Dans la partie 1 de ce lab, vous construisez le réseau et vous configurez les paramètres de
base tels que les adresses IP des interfaces et le routage dynamique, l'accès à l'équipement
et les mots de passe.
Note: Toutes les tâches doivent être exécutées sur R1, R2 et R3. La procédure pour R1 est
celle utilisée comme exemple.
Etape 1: Câblage du réseau selon la topologie précédente.
Câblez le réseau selon la topologie donnée.
Etape 2: Configuration des paramètres de base de chaque routeur.
a. Configurez les noms de hosts conformément à la topologie.
b. Configurez les adresses IP des interfaces en vous aidant du tableau fourni
page précédente.
c. Configurez les horloges pour le routeur R2 qui a des câbles série DCE attachés
aux interfaces serial (s0/0/0 et s0/0/1).
R2(Config)# interface serial s0/0/0
R2(config-if)# clock rate 2000000
Etape 3: Dévalidation de la recherche DNS
Pour éviter que le routeur tente de traduire des commandes incorrectement
entrées , dévalidez la recherche DNS.
R1(Config)# no ip domain-lookup
Etape 4: Configuration du protocole de routage EIGRP sur R1, R2 et R3
a. Utilisez les commandes suivantes sur R1.
R1(config)#router
router eigrp 101
R1(config-router)#network
network 192.168.1.0 0.0.0.255
R1(config-router)#network
network 10.1.1.0 0.0.0.3
R1(config-router)#no auto-summary
b. Utilisez les commandes suivantes sur R2.
R2
R2(config)#router
router eigrp 101
R2(config-router)#network
network 10.1.1.0 0.0.0.3
R2(config-router)#network
network 10.2.2.0 0.0.0.3
R2(config-router)#no auto-summary
RE
BTS--SIO
5
c. Utilisez les commandes suivantes sur R3.
R3(config)#router
router eigrp 101
R3(config-router)#network
network 192.168.3.0 0.0.0.255
R3(config-router)#network
network 10.2.2.0 0.0.0.3
R3(config-router)#no auto-summary
Etape 5: Configuration des paramètres IP des PC hosts.
a. Configurez l'adresse IP statique, le masque de sous-réseau
sous
et la passerelle par
défaut pour PC-A
A comme le montre le tableau précédent.
b. Configurez l'adresse IP statique, le masque de sous-réseau
sous
et la passerelle par
défaut pour PC-A
A comme le montre le tableau précédent.
Etape 6: Vérification de la connectivité de base
a. Entrez une commande ping de R1 vers R3.
Est-ce
ce que la commande réussit?_____________
Si la commande échoue, vous devez résoudre le problème avant de continuer.
b. Entrez une commande ping depuis PC-A
PC du LAN de R1 vers PC-C du LAN de R3.
Est-ce
ce que la commande réussit?_____________
Si la commande échoue, vous devez résoudre le problème avant de continuer.
Etape 7: Configuration de la longueur minimale des mots de passe
Note: Les mots de passe sont fixés à une longueur minimum de 10 caractères.
Ils sont relativement simples pour faciliter ce lab. Dans un réseau de production
des mots de passe plus complexes sont requis.
Utilisez la commande security passwords pour fixer une longueur minimum de
10 caractères pour les mots de passe.
R1(config)# security passwords min-length
min
10
Etape 8: Configuration de base de la console, du port auxiliaire et des lignes vty.
a. Configurez le mot de passe console et validez le login pour le routeur R1. Pour
avoir plus de sécurité, la commande exec-timeout entraîne la déconnexion de
la ligne au bout de 5 minutes d'inactivité. La commande logging synchronous
évite que les messages console soient mélangés avec les commandes en cours
d'entrée.
Note: pour éviter des connexions répétitives durant le lab, la commande
exec-timeout
timeout 0 0 peut être entrée ce qui son expiration. Ce n'est pas une
bonne pratique de sécurité.
RE
BTS--SIO
6
R1(config)# line
R1(config-line)#
R1(config-line)#
R1(config-line)#
R1(config-line)#
console 0
password ciscoconpass
exec-timeout
timeout 5 0
login
logging synchronous
b. Configurez le mot de passe pour les lignes vty sur le routeur R1
R1(config)# line
R1(config-line)#
R1(config-line)#
R1(config-line)#
vty 0 4
password ciscovtypass
exec-timeout
timeout 5 0
login
c. Répétez ces configurations pour R2 et R3.
Etape 9: Configuration du cryptage des mots de passe.
a. Utilisez la commande service password-encryption
password
pour crypter les mots
de passe console, aux et vty.
password
R1(config)# service password-encryption
b. Entrez la commande show run.. Pouvez-vous
Pouvez
lire les mots de passe console,
aux et vty? Pourquoi?_______________________________________________________
c. Répétez cette configuration pour R2 et R3.
Etape 10: Sauvegarde de la configuration de base des trois routeurs
Sauvegardez la configuration courante dans la configuration de démarrage.
R1#copy running-config
config startup-config
startup
Etape 11: Sauvegarde de la configuration de R1 et R3 pour restauration future
a. Démarrez un serveur TFTP sur PC-A
PC
b. Sauvegardez les configurations de démarrage des routeurs R1 et R3 en
utilisant les commandes suivantes:
Exemple pour R1:
R1# copy tftp startup-config
config
c. Redémarrez les routeurs R1 et R3 avec la commande reload.
RE
BTS--SIO
7
Partie 2: Configuration d'un VPN site à site avec l'IOS Cisco
Dans la partie 2 de ce lab, vous configurez un tunnel VPN IPSec entre R1 et R3
qui passe par R2. Vous allez configurer R1 et R3 en utilisant la CLI de l'IOS
Cisco. Ensuite vous revoyez et testez les résultats de votre configuration.
Tâche 1: Configuration des paramètres IPSec sur R1 et R3
Etape 1: Vérification de la connectivité depuis le LAN de R1 vers le LAN de R3.
Dans cette étape, vous vérifiez que sans tunnel en place, PC-A
PC du LAN de R1 peut
atteindre PC-C sur le LAN de R3.
a. Depuis PC-A
A faire un ping vers l'adresse IP 192.168.3.3 de PC-C
PC
PC-A:\> ping 192.168.3.3
b. Est-ce
ce que la commande ping réussit?______________
Si la commande ping est en échec, résoudre le problème avant de continuer.
Etape 2: Validation des stratégies IKE sur R1 et R3
Il y a deux tâches principales pour l'implémentation d'un VPN IPSec:
La configurationdes paramètres IKE (Internet Key Exchangfe)
La configuration des paramètres IPSec
a. Vérifiez que IKE est supporté et validé.
IKE Phase 1 définit la méthode d'échange de clés utilisée pour passer et
valider les stratégies IKE entre les extrémité. Dans IKE Phase 2, les extrémités
échanges et négocient les stratégies IPSec pour l'authentification et le cryptage
du trafic de données.
IKE doit être validé pour que IPSec fonctionne. IKE est validé par défaut sur
les images de l'IOS avec les ensembles fonctionnels de cryptographie. S'il est
dévalidé pour une raison quelconque, vous pouvez le revalider avec la comcom
mande crypto isakmp enable.. Utilisez cette commande pour vérifier que l'IOS
du routeur supporte IKE et que celui-ci
celui
est validé.
R1(config)#crypto
crypto isakmp enable
R3(config)#crypto
crypto isakmp enable
Note: Si vous ne pouvez pas exécuter cette commande sur le routeur, vous
devez mettre à niveau l'image de l'IOS avec une image incluant l'ensemble
des services de cryptographie Cisco.
RE
BTS--SIO
8
b. Etablissez une stratégie ISAKMP (Internet Security Association and Key
Management Protocol) et affichez les options disponibles.
Pour permettre la négociation IKE Phase 1, vous devez créer une stratégie
ISAKMP et configurer une association d'extrémité incluant la stratégie
ISAKMP. Une stratégie ISAKMP définit les algorithmes d'authentification , de
cryptage et de hachage utilisés pour transmettre du trafic de contrôle entre
les deux extrémités VPN. Quand une association ISAKMP a été acceptée par
les extrémités IKE, IKE Phase 1 est terminé. Les paramètres IKE Phase 2 sont
configurés plus tard.
Entrez la commande de configuration crypto isakmp policy 10 sur R1
pour la stratégie 10.
crypto isakmp policy 10
R1(config)#crypto
c. Affichez les différents paramètres IKE disponibles en entrant ?.
R1(config-isakmp)# ?
ISAKMP commands:
authentication
Set authentication method for protection suite
default
Set a command to its defaults
encryption
Set encryption algorithm for protection suite
exit
Exit from ISAKMP protection suite configuration mode
group
Set the Diffie-Hellman
Diffie
group
hash
Set hash algorithm for protection suite
lifetime
Set lifetime for ISAKMP security association
no
Negate a command or set its defaults
Etape 3: Configuration des paramètres de stratégie ISAKMP sur R1 et R3
Votre choix d'un algorithme de cryptage détermine le degré de confidentialité du
canal de contrôle entre les extrémités. L'algorithme de hachage contrôle l'intégrité
des données, assurant que les données reçues d'une extrémité n'ont pas été momo
difiées pendant leur transit. Lr type d'authentification assure que le paquet a bien
été transmis et signé par cette extrémité distante. Le groupe Diffie-Hellman
Diffie
est
utilisé pour créer une clé secrète partagée par les extrémités qui n'est pas transtrans
mise à travers le réseau.
a. Configurez un type d'authentification avec clés pré-partagées.
pré
Utilisez AES-256
pour le cryptage, SHA pour l'algorithme de hachage et Diffie-Hellman
Diffie
groupe 5
pour l'échange de clés pour cette stratégie IKE.
Note: A ce point vous devez être à R1(config-isakmp)#. La commande
crypto isakmp policy 10 est répétée ci-dessous
ci
pour resituer le contexte.
R1(config)#crypto
crypto isakmp policy 10
R1(config-isakmp)#authentication
authentication pre-share
pre
R1(config-isakmp)#encryption
encryption aes 256
R1(config-isakmp)#hash
hash sha
R1(config-isakmp)#group 5
lifetime 3600
R1(config-isakmp)#lifetime
R1(config-isakmp)#end
RE
BTS--SIO
9
R3(config)#crypto
crypto isakmp policy 10
R3(config-isakmp)#authentication
authentication pre-share
pre
R3(config-isakmp)#encryption
encryption aes 256
R3(config-isakmp)#hash sha
R3(config-isakmp)#group 5
R3(config-isakmp)#lifetime
lifetime 3600
R3(config-isakmp)#end
c. Vérifiez la stratégie IKE avec la commande show crypto isakmp policy.
R1#show crypto isakmp policy
Global IKE policy
Protection suite of priority 10
encryption algorithm: AES - Advanced Encryption Standard (256 bit
keys).
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared
Shared Key
Diffie-Hellman
Hellman group: #5 (1536 bit)
lifetime: 3600 seconds, no volume limit
Etape 4: Configuration des clés pré-partagées.
partagées.
a. Comme les clés pré-partagées
partagées sont utilisées comme méthode d'authentification
dans la stratégie IKE, configurez une clé sur chaque routeur qui pointe vers
l'autre extrémité du VPN. Ces clés doivent correspondre pour que l'authentifil'authentifi
cation soit réussie. La commande configuration globale crypto isakmp key
key-string address address est utilisée pour entrer une clé pré-partagée.
pré
Utilisez l'adresse IP de l'extrémité distante, interface distante que l'extrémité
utilise pour router le trafic vers le routeur local.
Quelles adresses IP devez vous utiliser pour configurer les extrémités IKE selon
la topologie et la table d'adressage IP?
IP
_____________________________________________________________________________
_____________________________________________________________________________
b. Chaque adresse IP qui est utilisée pour configurer les extrémités IKE est égaleégale
ment référencée comme l'adresse IP de l'extrémité VPN distante. Configurez la
clé pré-partagée
partagée cisco123 sur le routeur R1 en utilisant la commande suivante.
Les réseaux de production doivent utiliser une clé plus complexe. Cette comcom
mande pointe vers l'adresse IP l'extrémité distante R3 S0/0/1.
R1(config)#crypto
crypto isakmp key cisco123 address 10.2.2.1
c. La commande pour R3 pointe vers l'adresse IP de R1 S0/0/0. Configurez la clé
pré-partagée
partagée sur le routeur R3 en utilisant la commande suivante.
R3(config)#crypto
crypto isakmp key cisco123 address 10.1.1.1
RE
BTS--SIO
10
Etape 5: Configuration du transform set IPSec et des durées de vie
a. Le transform set IPSec est un autre paramètre de configuration IPSec que les
routeurs négocient pour former une association de sécurité. Pour créer un
transform set IPSec, utilisez la commande crypto ipsec transform-set tag
parameters.. Utilisez le ? pour voir quels sont les paramètres disponibles.
R1(config)#crypto
crypto ipsec transform-set
transform
50 ?
ah-md5-hmac
AH-HMAC-MD5
MD5 transform
ah-sha-hmac
AH-HMAC-SHA
SHA transform
comp-lzs
lzs
IP Compression using the LZS compression algorithm
esp-3des
3des
ESP transform using 3DES(EDE) cipher (168 bits)
esp-aes
aes
ESP transform using AES cipher
esp-des
des
ESP transform using DES cipher (56 bits)
esp-md5-hmac
hmac ESP transform using HMAC-MD5
HMAC
auth
esp-null
null
ESP transform w/o cipher
esp-seal
seal
ESP transform using SEAL cipher (160 bits)
esp-sha-hmac
hmac ESP transform using HMAC-SHA
HMAC
auth
b. Sur R1 et R3 créez un transform set avec le tag 50 et utilisez ESP
(Encapsulating Security Protocol) avec cryptage AES-256
AES
et SHA HMAC. Les
transform set doivent être identiques.
R1(config)#crypto
crypto ipsec transform-set
transform
50 esp-aes 256 esp-sha-hmac
R1(cfg-crypto-trans)#exit
R3(config)#crypto
crypto ipsec transform-set
transform
50 esp-aes 256 esp-sha-hmac
R3(cfg-crypto-trans)#exit
c. Quelle est la fonction du transform set IPSec?
_____________________________________________________________________________
_____________________________________________________________________________
d. Vous pouvez également changer les durées de vie des associations de sécurité
IPSec qui sont par défaut 3600 secondes ou 4608000 kilobytes. Sur R1 et R3
fixez la durée de vie de l'adssociation de sécurité IPSec à 30 minutes ou 1800
secondes.
R1(config)#crypto
crypto ipsec security-association
security
lifetime seconds 1800
R3(config)#crypto
crypto ipsec security-association
security
lifetime seconds 1800
Etape 6: Définition du trafic intêressant
a. Pour utiliser le cryptage avec le VPN IPSec, il est nécessaire de définir une liste
d'accès étendue pour indiquer au routeur quel trafic il doit crypter. Un paquet
qui est permis par une liste d'accès utilisée pour définir le trafic IPSec est
crypté si la session IPSec est configurée correctement. Un paquet qui est rejeté
par une de ces listes d'accès n'est pas rejeté mais transmis sans être crypté.
Tout comme les autres listes d'accès, il y a une instruction implicite de rejet à
la fin de la liste d'accès qui dans ce cas veut dire que l'action par défaut est de
ne pas crypter le trafic. S'il n'y a pas d'association IPSec correctement conficonfi
gurée, le trafic n'est pas crypté et il est achemené normalement.
RE
BTS--SIO
11
b. Dans ce scénario, le trafic que vous voulez crypter est du trafic allant du LAN
Ethernet de R1 vers le LAN Ethernet de R3 ou vice versa. Ces listes d'accès sont
utilisées en sortie sur les interfaces des extrémités VPN et doivent être un
mirroir l'une de l'autre.
c. Configurez l'ACL du trafic VPN IPSec intêressant sur R1.
R1(config)#access-list
list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0
0.0.0.255
d. Configurez l'ACL du trafic VPN IPSec intêressant sur R1.
R3(config)#access-list
list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0
0.0.0.255
e. Est-ce
ce que IPSec vérifie que les listes d'accès sont le mirroir l'une de l'autre
pour négocier les associations de sécurité?
______________________________________________________________________________
______________________________________________________________________________
Etape 7: Créer et appliquer une crypto map
Une crypto map associe le trafic intêressant qui correspond à la liste d'accès avec
une extrémité et différents paramètres IKE et IPSec. Après la création de la
crypto map, celle-ci
ci peut êttre appliquée à une ou plusieurs interfaces. Les interinter
faces auxquelles elle est appliquée doit être une de celle faisant face à l'autre
extrémité IPSec.
a. Pour créer une crypto map, utilisez la commande crypto map name
sequence-num type en mode de configuration global pour entrer en mode de
configuration crypto map pour ce numéro de séquence. Plusieurs instructions
de crypto map peuvent appartenir à la même crypto map et sont évaluées dans
l'ordre numérique descendant . Entrez en mode de configuration crypto map
sur R1. Utilisez le type ipsec-isakmp
isakmp qui signifie que IKE est utilisé pour établir
les associations de sécurité IPSec.
b. Créez la crypto map nommée CMAP sur R1 avec 10 comme numéro de
séquence. Un message est affiché à l'exécution de la commande.
R1(config)#crypto
crypto map CMAP 10 ipsec-isakmp
ipsec
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
c. Utilisez la commande match-address
address access-list pour spécifier quelle liste
d'accès définit le trafic à crypter.
R1(config-crypto-map)#match
match address 101
RE
BTS--SIO
12
d. Pour afficher l'ensemble des commandes que vous pouvez inclure dans une
crypto map utilisez l'aide en ligne (?).
R1(config-crypto-map)#set
set ?
Identity
Identity restriction.
Ip
Interface Internet Protocol config commands
isakmp-profile
profile
Specify isakmp Profile
nat
Set NAT translation
peer
Allowed Encryption/Decryption peer.
pfs
Specify pfs settings
security-association
association Security association parameters
transform-set
set
Specify list of transform sets in priority
order
e. Configurer un nom de host ou une adresse IP d'extrémité est requis. Configurez
l'adresse IP de l'interface de l'extrémité VPN distante de R3 avec la commande
suivante:
R1(config-crypto-map)#set
set peer 10.2.2.1
f. Indiquez le transform set à utiliser avec cette extrémité en utilisant la comcom
mande set transform-set tag.
tag Fixez le type de pfs (Perfect forwarding
secrecy) avec la commande set pfs type et modifiez également la durée de
vie par défaut le l'association de sécurité IPSec avec la commande set
security association lifetime seconds seconds.
R1(config-crypto-map)#set
set pfs group5
R1(config-crypto-map)#set
set transform-set
transform
50
R1(config-crypto-map)#set
set security-association
security
lifetime seconds 900
R1(config-crypto-map)#exit
g. Créez une cryto map mirroir sur R3.
R3(config-crypto-map)#match
match address 101
R3(config-crypto-map)#set
set peer 10.1.1.1
R3(config-crypto-map)#set
set pfs group5
R3(config-crypto-map)#set
set transform-set
transform
50
R3(config-crypto-map)#set
set security-association
security
lifetime seconds 900
R3(config-crypto-map)#exit
h. La dernière étape est l'application des crypto map aux interfaces. Notez que
les associations de sécurité (SAs) ne seront pas établies tant que la crypto map
n'aura pas été activée par le trafic intêressant. Le routeur va générer un
message pour indiquer que la crypto map est opérationnelle.
i. Appliquez les crypto map aux interfaces appropriées sur R1 et R3.
R1(config)#interface S0/0/0
R1(config-if)#crypto
crypto map CMAP
*Jan 28 04:09:09.150: %CRYPTO-6-ISAKMP_ON_OFF:
%CRYPTO
ISAKMP is ON
R1(config)#end
R3(config)#interface S0/0/1
crypto map CMAP
R3(config-if)#crypto
*Jan 28 04:10:54.138: %CRYPTO-6-ISAKMP_ON_OFF:
%CRYPTO
ISAKMP is ON
R3(config)#end
RE
BTS--SIO
13
Tâche 2: Vérifier la configuration VPN IPSec site à site
Etape 1: Vérification de la configuration IPSec sur R1 et R3.
a. Vous avez déjà utilisé la commande show crypto isakmp policy pour
afficher les stratégies ISAKMP configurées sur le routeur. De manière similaire
la commande show crypto ipsec transform-set
transform
affiche la configuration
des stratégies IPSec configurées sous la forme d'un transform set.
R1#show
show crypto ipsec transform-set
transform
Transform set 50: { esp-256-aes
aes esp-sha-hmac
esp
}
will negotiate = { Tunnel, },
Transform set #$!default_transform_set_1: { esp-aes
esp
esp-sha-hmac }
will negotiate = { Transport, },
Transform set #$!default_transform_set_0: { esp-3des
esp
esp-sha-hmac }
will negotiate = { Transport, },
R3#show
show crypto ipsec transform-set
transform
Transform set 50: { esp-256-aes
aes esp-sha-hmac
esp
}
will negotiate = { Tunnel, },
Transform set #$!default_transform_set_1: { esp-aes
esp
esp-sha-hmac }
will negotiate = { Transport, },
Transform set #$!default_transform_set_0: { esp-3des
esp
esp-sha-hmac }
will negotiate = { Transport, },
b. Utilisez la commande show crypto map pour afficher les crypto maps
appliquées au routeur.
R1#show crypto map
Crypto Map "CMAP" 10 ipsec-isakmp
isakmp
Peer = 10.2.2.1
Extended IP access list 101
access-list
list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
Current peer: 10.2.2.1
Security association lifetime: 4608000 kilobytes/900 seconds
PFS (Y/N): Y
DH group: group5
Transform sets={
50: { esp-256-aes esp-sha
sha-hmac } ,
}
Interfaces using crypto map MYMAP: Serial0/0/0
RE
BTS--SIO
14
R3#show crypto map
isakmp
Crypto Map "CMAP" 10 ipsec-isakmp
Peer = 10.1.1.1
Extended IP access list 101
access-list
list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
Current peer: 10.1.1.1
Security association lifetime: 4608000 kilobytes/900 seconds
PFS (Y/N): Y
DH group: group5
Transform sets={
50: { esp-256-aes esp-sha-hmac } ,
}
Interfaces using crypto map MYMAP: Serial0/0/1
Note: La sortie de ces commandes show ne change pas si le trafic intêressant
passe par la connexion VPN.
Tâche 3: Vérification du fonctionnement du VPN IPSec
Etape 1: Affichage des associations de sécurité ISAKMP.
ISAKMP
La commande show cryoto isakmp sa révèle qu'il n'y a pas encore de SA IKE.
Quand du trafic intêressant est transmis, la sortie de cette commande change.
R1#show crypto isakmp sa
dst
src
state
conn
conn-id
slot status
Etape 2: Affichage des associations de sécurité IPSec
a. La commande show crypto ipsec sa affiche les SA entre R1 et R3. Notez le
nombre de paquets transmis et qu'il n'y a pas d'association de sécurité établie.
R1#show crypto ipsec sa
interface: Serial0/0/0
Crypto map tag: CMAP, local addr 10.1.1.1
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
current_peer 10.2.2.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.1.1.1, remote crypto endpt.: 10.2.2.1
path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0
current outbound spi: 0x0(0)
inbound esp sas:
inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:
RE
BTS--SIO
15
b. Pourquoi n'y a-t-il
il pas d'association (SA) de sécurité négociée?
_________________________________________________________________________
_________________________________________________________________________
Etape 3: Génération de trafic de test intérêssant et observation des résultats
a. Faire une commande ping depuis R1 vers l'adresse IP 10.2.2.1 de l'interface
S0/0/1 de R3. Est-ce
ce que la commande ping réussit? ______________________
b. Entrez la commande show crypto isakmp sa.
sa Est-ce qu'une SA a été créée
entre R1 et R3?_____________
c. Faire une commande ping de R1 vers l'adresse IP 192.168.3.1 de R3. Est-ce
Est
que
la commande ping réussit?____________________________________________________
d. Entrez de nouveau la commande show crypto ipsec sa. Est-ce qu'une
association de sécurité a été créée? Pourquoi? ________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
e. Entrez la commande debug eigrp packets.
packets Vous devez voir des paquets hello
EIGRP passant entre R1 et R3.
R1#debug eigrp packets
EIGRP Packets debugging is on
(UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROBE, ACK, STUB,
SIAQUERY, SIAREPLY)
R1#
*Jan 29 16:05:41.243: EIGRP: Received HELLO on Serial0/0/0 nbr 10.1.1.2
*Jan 29 16:05:41.243: AS 101, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ
un/rely 0/0 peerQ un/rely 0/0
*Jan 29 16:05:41.887: EIGRP: Sending HELLO on Serial0/0/0
*Jan 29 16:05:41.887: AS 101, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ
un/rely 0/0
R1#
*Jan 29 16:05:43.143: EIGRP: Sending HELLO on FastEthernet0/1
*Jan 29 16:05:43.143: AS 101, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ
un/rely 0/0
R1#
f. Arrêtez le debugging avec la commande no debug all.
g. Utilisez la commande show crypto isakmp sa.
sa Est-ce qu'une SA a été créée
entre R1 et R3? Pourquoi?__________________________________________________
____________________________________________________________________________
Etape 4: Générez du trafic de test intêressant et observez les résultats
a. Utilisez une commande ping étendue depuis R1 vers l'adresse IP 192.168.3.1
de R3.La commande ping étendue vous permet de contrôler l'adresse source
des paquets. Répondez aux questions comme le montre l'exemple suivant.
Pressez la touche enter pour accepter les valeurs par défaut, sauf celles pour
lesquelles une réponse est indiquée.
RE
BTS--SIO
16
R1#ping
Protocol [ip]:
Target IP address: 192.168.3.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.1.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte
byte ICMP Echos to 192.168.3.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip
round
min/avg/max = 92/92/92
ms
b.. Entrez de nouveau la commande show crypto isakmp sa de nouveau.
R1#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst
src
10.2.2.1
10.1.1.1
state
QM_IDLE
conn-id
conn
1001
slot status
0 ACTIVE
c. Pourquoi une SA a-t-elle
elle été créée entre R1 et R3 cette fois-ci?_________________
fois
______________________________________________________________________________
d. Quels sont les extrémités du tunnel VPN IPSec?_______________________________
e. Faire une commande ping depuis PC-A
PC vers PC-C. Est-ce que la commande
réussit?__________________________________________________________________
f. Entrez la commande show cryopto ipsec sa.
sa Combien de paquets ont été
cryptés entree R1 et R3?___________________________________________________
R1#show crypto ipsec sa
interface: Serial0/0/0
Crypto map tag: CMAP, local addr 10.1.1.1
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
current_peer 10.2.2.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
#pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.1.1.1, remote crypto endpt.: 10.2.2.1
path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0
current outbound spi: 0xC1DD058(203280472)
RE
BTS--SIO
17
local crypto endpt.: 10.1.1.1, remote crypto endpt.: 10.2.2.1
path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0
current outbound spi: 0xC1DD058(203280472)
inbound esp sas:
spi: 0xDF57120F(3747025423)
transform: esp-256-aes
aes esp-sha-hmac
esp
,
in use settings ={Tunnel, }
conn id: 2005, flow_id: FPGA:5, crypto map: CMAP
sa timing: remaining key lifetime (k/sec): (4485195/877)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xC1DD058(203280472)
transform: esp-256-aes
aes esp-sha-hmac
esp
,
in use settings ={Tunnel, }
conn id: 2006, flow_id: FPGA:6, crypto map: CMAP
sa timing: remaining key lifetime (k/sec): (4485195/877)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
g. L'exemple précédent utilisait la commande ping pour générer du trafic intêresintêres
sant. Quel autre type de trafic aurait entrainé la formation de SA IPSec et
l'établissement du tunnel?___________________________________________________
______________________________________________________________________________
Partie 3: Configuration d'un VPN IPSec site à site avec SDM
Dans la partie 3 de ce lab, vous configurez un tunnel VPN IPSec entre R1 et R3
qui passe par R2. Dans la tâche 2, vous configurez R1 en utilisant Cisco SDM.
Dans la tâche 3, vous générez la configuration mirroir pour R3 en utilisant les
utilitaires du SDM. Vous revoyez puis vous testez la configuration.
Tâche 1: Restauration de la configuration de base de R1 et R3
Etape 1: Restauration de la configuration de démarrage
A l'aide la commande copy tftp startup-config,
startup
rechargez la configuration de
démarrage avec les fichiers sauvegardés sur le serveur TFTP. Cette restauration
doit être faite pour R1 et R3.
R1# copy tftp startup-config
<répondez aux questions posées>
RE
BTS--SIO
18
Etape 2: Redémarrage des routeurs et test de la connectivité
a. Entrez la commande reload sur chacun des routeurs.
R1# reload
b. Testez la connectivité en passant une commande ping depuis PC-A
PC vers PC-C.
Si la commande échoue, vous devez résoudre le problème avant de continuer.
Tâche 2: Configuration des paramètres du VPN IPSec sur R1 en utilisant SDM
Etape 1: Configuration du mot de passe enable secret et de l'accès HTTP au routeur
a. A partir de la CLI, configurez le mot de passe enable secret pour l'utiliser avec
SDM sur R1 et R3.
R1(config)#enable
enable secret cisco12345
R3(config)#enable
enable secret cisco12345
b. Validez le serveur HTTP sur R1 et R3.
R1(config)#ip http server
R3(config)#ip http server
Etape 2: Accéder au SDM et fixer les préférences
a. Lancez l'application SDM ou ouvrez un navigateur sur PC-A
PC et démarrez le SDM
en entrant l'adresse IP de R1 192.168.1.1 dans le champ adresse.
Note: Vous pouvez être interrogé par Internet Explorer pour autoriser les
ActiveX pendant certaines de ces étapes.Cliquez sur Autoriser.
b. Connectez-vous
vous sans nom d'utilisateur et en entrant le mot de passe enable
secret cisco12345.
c. Dans la boîte de dialogue Authentication Required, ne remplissez pas le
champ Username et entrez cisco12345 dans le champ Password. Cliquez sur
Yes.
d. Si la boite de dialogue IOS IPS s'affiche, cliquez sur le bouton Cancel pour
passer cette option.
e. Sélectionnez Edit> Preferences dans la barre de menu en haut de l'écran du
SDM pour permettre la visualisation des commandes avant des transmettre au
routeur. Dans la fenêtre User Preferences, cochez la case Preview commands
before delivering to routeur puis cliquez sur OK.
RE
BTS--SIO
19
Etape 3: Démarrage de l'assistant SDM VPN pour configurer R1.
a. Cliquez sur Configure dans le haut de l'écran du SDM puis cliquez sur le
bouton VPN. Sélectionnez Site-to
to-Site VPN dans la liste des options. L'option
par défaut est Create Site-to-Site
Site VPN. Lisez la des cription de cette option.
b. Que devez vous savoir d'autre pour terminer cette configuration?
______________________________________________________________________________
______________________________________________________________________________
c. Cliquez sur le bouton Launch the selected task pour démarrer l'assistant
SDM Site-to -Site VPN.
d. Dans la fenêtre initiale de l'assistant Site-to-Site
Site
VPN, l'option Quick Setup est
sélectionnée par défaut. Cliquez sur le bouton View Details pour voir quels
paramètres sont utilisés par cette option. Quel type de cryptage est utilisé par
le transform set par défaut?__________________________________________________
e. A partir de la fenêtre initiale de l'assistant Site-to-Site
Site
VPN, sélectionnez
l'assistant Step by Step puis cliquez sur Next. Pourquoi utilisez vous cette
option à la place de l'option Quick Setup? __________________________________
_____________________________________________________________________________
RE
BTS--SIO
20
Etape 4: Configuration des informations de base de la connexion VPN.
a. A partir du panneau VPN Connection Information, sélectionnez l'interface pour
la connexion. Ce doit être l'interface S0/0/0 de R1.
b. Dans la section Peer Identity, sélectionnez Peer with static address et entrez
l'adresse IP de l'extrémité distante S/0/0/1 de R3 (10.2.2.1).
c. Dans la section Authentication, cliquez sur Pre-shared keys et entrez la clé
VPN pré-partagée cisco12345.. Entrez de nouveau la clé pour confirmation.
Cette clé est ce qui protège le VPN et le rend sécurisé. Quand vous avez terminé
l'écran doit ressembler au suivant. Quand vous avez entré ces paramètres
correctement, cliquez sur Next.
Etape 5: Configuration des paramètres de la stratégie IKE.
Les stratégies IKE sont utilisées pendant l'établissement du canal de contrôle
entre les deux extrémités VPN pour l'échange de clés. Ceci est également appelé
association de sécurité IKE (SA). En comparaison, la stratégie IPSec est utilisée
pendant IKE Phase II pour négocier une association de sécurité IPSec pour passer
le trafic de données ciblé.
a. Dans la fenêtre IKE Proposals, une stratégie par défaut est affichée. Vous
pouvez utiliser celle-ci
ci ou en créer une nouvelle. A quoi cette cette proposition
IKE?________________________________________________________________________
_____________________________________________________________________________
RE
BTS--SIO
21
b. Cliquez sur le bouton Add pour créer une nouvelle politique IKE.
_____________________________________________________________________________
c. Configurez la stratégie IKE comme cela est montré dans la boite de dialogue
Add IKE Policy. Ces paramètres devront correspondre avec ceux de R3. Quand
vous avez fini cliquez sur OK pour ajouter la stratégie. Cliquez sur Next.
d. Cliquez sur le bouton Help pour vous aider à répondre aux questions suivantes.
Quelle est la fonction de l'algorithme de cryptage dans la stratégie IKE?
_____________________________________________________________________________
_____________________________________________________________________________
e. Quel est le but de la fonction de hachage?
______________________________________________________________________________
______________________________________________________________________________
f. A quoi sert la méthode d'authentification?
______________________________________________________________________________
______________________________________________________________________________
g. Comment le groupe Diffie-Hellman
Hellman est-il
est utilisé dans la stratégie IKE?
______________________________________________________________________________
______________________________________________________________________________
h. Quel évènement se produit à nla fin de la durée de vie de la stratégie IKE?
______________________________________________________________________________
Etape 6: Configuration d'un transform set
Le transform set est la stratégie IPSec utilisée pour crypter, hacher et authentifier
les paquets qui passent dans le tunnel. Le transform set est la stratégie IKE
Phase II.
a. Un transform set SDM par défaut est affiché. Cliquez sur le bouton Add pour
créer un nouveau transform set.
b. Configurez le transform set comme cela est montré dans la boite de dialogue
Transform Set. Ces paramètres devront correspondre avec ceux de R3. Quand
vous avez fini cliquez sur OK pour ajouter le transform set. Cliquez sur Next.
RE
BTS--SIO
22
Etape 7: Définition du trafic intêressant
Vous devez définir le trafic intêressant devant être protégé par le tunnel. Le trafic
intêressant sera définit au moyen d'une liste d'accès quand il est appliqué au
routeur. Si vous entrez les réseaux source et destination, SDM génère la liste
d'accès appropriée pour vous.
Dans la fenêtre Traffic to protect, entrez l'information comme cela est montré
ci-dessous.
dessous. Il y a les paramètres opposés configurés sur R3. Quand vous avez fini
cliquez sur Next.
RE
BTS--SIO
23
Etape 8: Revoir le résumé de la configuration et délivrer les commandes au routeur.
a. Revoir le résumé dans la fenêtre Summary of the Configuration. Elle doit
ressembler à celle-ci-dessous.
dessous. Ne pas cocher la case Test VPN connectivity after
configuring. Cela sera fait après la configuration de R3. Cliquez sur Finish pour
terminer.
b. Dans la fenêtre Deliver Configuration to router, cochez la case Save running
config to router's startup config puis cliquez sur le bouton Deliver. Une fois
que les commandes ont été délivrées, cliquez sur OK. Combien de commandes
ont été délivrées?____________________________________________________________
Tâche 3: Création d'une configuration mirroir pour R3
Etape 1: Utilisez SDM sur R1 pour générer une configuration mirroir pour R3.
a. Sur R1, sélectionnez VPN> Site-to
to-Site VPN puis cliquez sur Edit Site-to-Site
VPN.. Vous devez voir la configuration que vous venez de créer sur R1. Quelle
est la description du VPN?
______________________________________________________________________________
b. Quel est l'état du VPN et pourquoi?
______________________________________________________________________________
c. Sélectionnez la strétgie VPN que vous venez de configurer sur R1 puis cliquez
sur le bouton Generate Mirror en dans la partie droite de la fenêtre. La fenêtre
Generate Mirror affiche les commandes nécessaires pour configurer R3 comme
extrémité VPN. Déroulez la fenêtre pour voir les commandes générées.
RE
BTS--SIO
24
a. Le texte en haut de la fenêtre stipule que la configuration générée doit être
uniquement utilisée comme un guide pour la configuration d'un VPN site à
site. Quelles commandes manquent pour permettre à cette stratégie de
fonctionner sur R3?______________________________________________________
Note: Regardez la description de l'entrée qui suit la commande crypto map
SDM_CMAP_1.
Etape 2: Sauvegarde des commandes de configuration pour R3.
a. Cliquez sur le bouton Save pour créer le fichier texte à utiliser dans la tâche
suivante.
b. Sauvegardez les commandes sur le bureau ou à un autre emplacement et
nommez les VPN-Mirror-Cfg-for-R3.txt.
R3.txt.
Note: Vous pouvez copier ces commandes directement depuis la fenêtre
Generate Mirror.
c. (Optionnel) Editez le fichier pour retirer le texte d'explication au début et la
description de l'entrée suivant la commande crypto map SDM_CMAP_1.
RE
BTS--SIO
25
Tâche 4: Application de la configuration mirroir à R3 et vérification
Etape 1: Accès à la cLI de R3 et copie des commandes mirroir.
a. Entrez en mode EXEC privilégié sur R3 puis entrez en mode de configuration
global.
b. Copiez les commandes à partir du fichier texte vers la CLI de R3.
Etape 2: Application de la crypto map à l'interface S0/0/0 de R3.
R3(config)#interface s0/0/1
R3(config-if)#crypto
crypto map SDM_CMAP_1
*Jan 30 13:00:38.184: %CRYPTO--6-ISAKMP_ON_OFF: ISAKMP is ON
Etape 3: Vérification de la configuration VPN sur R3 en utilisant l'IOS Cisco.
a. Affichez la configuration courante en commençant par la première ligne qui
contient "0/0/1" pour vérifier que la crypto map est appliquée à s0/0/0.
R3#sh run | beg 0/0/1
interface Serial0/0/1
ip address 10.2.2.1 255.255.255.252
crypto map SDM_CMAP_1
b. Sur R3 utilisez la commande show isakmp policy pour afficher les stratégies
ISAKMP du routeur. Notez que la stratégie par défaut du SDM est présente.
R3#show
show crypto isakmp policy
Global IKE policy
Protection suite of priority 1
encryption algorithm:
hash algorithm:
authentication method:
Diffie-Hellman
Hellman group:
lifetime:
Protection suite of priority 10
encryption algorithm:
Standard (256 bit keys)
hash algorithm:
authentication method:
Diffie-Hellman
Hellman group:
lifetime:
Three key triple DES
Secure Hash Standard
Pre
Pre-Shared
Key
#2 (1024 bit)
86400 seconds, no volume limit
AES - Advanced Encryption
Message Digest 5
Pre
Pre-Shared
Key
#5 (1536 bit)
28800 seconds, no volume limit
c. Combien il ya de stratégies listées dans la sortie précédente? ________________
RE
BTS--SIO
26
d. Entrez la commande show crypto ipsec transform-set
transform
pour afficher les
stratégies IPSec configurées sius la forme de transform sets.
R3#show
show crypto ipsec transform-set
transform
Transform set Lab-Transform:
Transform: { esp-256-aes
esp
esp-sha-hmac }
will negotiate = { Tunnel, },
Transform set #$!default_transform_set_1: { esp-aes
esp
esp-sha-hmac }
will negotiate = { Transport, },
Transform set #$!default_transform_set_0: { esp-3des
esp
esp-sha-hmac }
will negotiate = { Transport, },
e. Utilisez la commande show crypto map pour afficher les crypto map qui
seront appliquées au routeur.
R3#show crypto map
Crypto Map "SDM_CMAP_1" 1 ipsec-isakmp
ipsec
Description: Apply the crypto map on the peer router's
interface having
IP address 10.2.2.1 that connects to this router.
Peer = 10.1.1.1
Extended IP access list SDM_1
access-list
list SDM_1 permit ip 192.168.3.0 0.0.0.255
192.168.1.0 0.0.0.255
Current peer: 10.1.1.1
Security association lifetime: 4608000 kilobytes/3600
seconds
PFS (Y/N): N
Transform sets={
Lab-Transform:
Transform: { esp-256-aes
esp
esp-sha-hmac } ,
}
Interfaces using crypto map SDM_CMAP_1:
Serial0/0/1
f. Dans la sortie ci-dessus,
dessus, la stratégie ISAKMP en cours d'utilisation par la crypto
map est la stratégie SDM default avec le numéro de priorité de séquence 1,
indiqué par le numéro 1 dans la première ligne: Crypto Map "SDM_MAP_1" 1
ipsec-isakmp.
isakmp. Pourquoi celle que vous avez créée dans la session SDM n'est-elle
n'est
pas utilisée, celle créée avec la priorité 10 dans l'étape 3b?
_______________________________________________________________________________
RE
BTS--SIO
27
g. (Optionnel) Vous pouvez forcer les routeurs à utiliser la stratégie la plus stricte
que vous avez créée en changeant les références de crypto map dans les conficonfi
gurations de R1 et R3 comme cela est montré ci-dessous.
ci
Si vous faîtes cela,
la stratégie SDM default 1 peut être retirée sur les deux routeurs.
R1(config)#interface s0/0/0
no crypto map SDM_CMAP_1
R1(config-if)#no
R1(config-if)#exit
*Jan 30 17:01:46.099: %CRYPTO-6-ISAKMP_ON_OFF:
%CRYPTO
ISAKMP is OFF
R1(config)#no
no crypto map SDM_CMAP_1 1
R1(config)#crypto
crypto map SDM_CMAP_1 10 ipsec-isakmp
ipsec
NOTE:
: Cette nouvelle crypto map restera désactivée jusqu'à ce qu'une
extrémité et une lista d'accès vlide soient configurés.
R1(config-crypto-map)#description
description Tunnel to 10.2.2.1
R1(config-crypto-map)#set
set peer 10.2.2.1
R1(config-crypto-map)#set
set transform-set
transform
Lab-Transform
R1(config-crypto-map)#match
match address 100
R1(config-crypto-map)#exit
R1(config)#int s0/0/0
R1(config-if)#crypto
crypto map SDM_CMAP_1
R1(config-if)#exit
*Jan 30 17:03:16.603: %CRYPTO-6-ISAKMP_ON_OFF:
%CRYPTO
ISAKMP is ON
R3(config)#interface s0/0/1
R3(config-if)#no
no crypto map SDM_CMAP_1
R3(config-if)#exit
R3(config)#no
no crypto map SDM_CMAP_1 1
R3(config)#crypto
crypto map SDM_CMAP_1 10 ipsec-isakmp
ipsec
NOTE:
: Cette nouvelle crypto map restera désactivée jusqu'à ce qu'une
extrémité et une lista d'accès vlide soient configurés.
R3(config-crypto-map)#description
description Tunnel to 10.1.1.1
R3(config-crypto-map)#set
set peer 10.1.1.1
R3(config-crypto-map)#set
set transform-set
transform
Lab-Transform
R3(config-crypto-map)#match
match address 100
R3(config-crypto-map)#exit
R3(config)#int s0/0/1
R3(config-if)#crypto
crypto map SDM_CMAP_1
R3(config-if)#
*Jan 30 22:18:28.487: %CRYPTO-6-ISAKMP_ON_OFF:
%CRYPTO
ISAKMP is ON
Tâche 5: Test de la configuration VPN en utilisant SDM sur R1
a. Sur R1, utilisez SDM pour tester le tunnel VPN IPSec entre les deux routeurs.
Sélectionnez VPN> Site-to-Site
Site VPN puis cliquez sur Edit Site-to-Site VPN.
b. A partir de l'onglet Edit Site-to--Site VPN, sélectionnez VPN puis cliquez sur
Test Tunnel.
c. Quand la fenêtre VPN Troubleshooting s'affiche, cliquez sur le bouton Start
pour que le SDM commence le test du tunnel .
d. Quand la fenêtre SDM Warning s'affiche indiquant que SDM va valider debug
sur le routeur et générer du trafic pour le tunnel, cliquez sur Yes pour
continuer.
RE
BTS--SIO
28
e. Dans la fenêtre VPN Troubleshooting suivante, l'adresse IP de l'interface
Fa0/1 de R1 dans le réseau source est affichée par défaut (192.168.1.1).
Entrez l'adresse IP de l'interface fa0/1 de R3 dans le réseau destination
(192.168.3.1) puis cliquez sur Continue pour debug le processus de test.
f. Si le test est réussi et que le tunnel est monté, vous devez voir l'écran page
suivante. Si le test échoue, SDM affiche les raisons de l'échec et recommande
des actions. Cliquez sur OK pour fermer la fenêtre.
RE
BTS--SIO
29
g. Vous pouvez sauvegarder le rapport si vous le désirez sinon cliquez sur Close.
Note: Si vous voulez réinitialiser le tunnel et le tester de nouveau, vous pouvez
cliquer sur le bouton Clear Connection dans la fenêtre Edit Sit-to-Site VPN.
Ceci peut également être accompli avec la CLI en utilisant la commande clear
crypto session.
h. Affichez la configuration courante pour R3 commençant avec la première ligne
qui contient 0/0/1 pour vérifier que la crypto map est appliquée à S0/0/1.
R3#sh run | beg 0/0/1
interface Serial0/0/1
ip address 10.2.2.1 255.255.255.252
crypto map SDM_CMAP_1
<partie supprimée>
RE
BTS--SIO
30
i. Entrez la commande show crypto isakmp sa sur R3 pour voir l'association
de sécurité créée.
R3#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst
10.2.2.1
src
10.1.1.1
state
QM_IDLE
conn-id slot
conn
1001
0
status
ACTIVE
j. Entrez la commande show crypto ipsec sa.
sa Combien de paquets ont été
cryptés entre R1 et R3?_________________________________________________
R3#show crypto ipsec sa
interface: Serial0/0/1
Crypto map tag: SDM_CMAP_1, local addr 10.2.2.1
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
current_peer 10.1.1.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 116, #pkts encrypt: 116, #pkts digest: 116
#pkts decaps: 116, #pkts decrypt: 116, #pkts verify: 116
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.2.2.1, remote crypto endpt.: 10.1.1.1
path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/1
current outbound spi: 0x207AAD8A(544910730)
inbound esp sas:
spi: 0xAF102CAE(2937072814)
transform: esp-256-aes
aes esp-sha-hmac
esp
,
in use settings ={Tunnel, }
conn id: 2007, flow_id: FPGA:7, crypto map: SDM_CMAP_1
sa timing: remaining key lifetime (k/sec): (4558294/3037)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x207AAD8A(544910730)
transform: esp-256-aes
aes esp-sha-hmac
esp
,
in use settings ={Tunnel, }
conn id: 2008, flow_id: FPGA:8, crypto map: SDM_CMAP_1
sa timing: remaining key lifetime (k/sec): (4558294/3037)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
RE
BTS--SIO
31
Tâche 6: Réflexion
a. Est-ce
ce le trafic de la liaison FastEthernet entre PC-A
PC et R1 Fa0/0 est crypté
par le tunnel VPN IPSec site à site? Pourquoi?
____________________________________________________________________________
____________________________________________________________________________
b. Quels sont les facteurs à prendre en compte quand on configure des VPN
IPSec site à site en utilisant la CLU par rapport à l'utilisation de l'interface
graphique du SDM?
____________________________________________________________________________
____________________________________________________________________________
RE
BTS--SIO
32