CCNA Security : VPN Configuration

Configuration VPN
Un VPN est un rseau priv construit au sein d'une infrastructure de rseau public, tel que l'Internet global. Les entreprises peuvent utiliser un VPN pour connecter en toute scurit des bureaux et des utilisateurs distants par le biais d'un accs Internet tiers et peu coteux, plutt que par le biais de liaisons WAN ddies coteuses ou de liaisons d'accs longue distance. Il est vu comme une extension des rseaux locaux et prserve la scurit logique que l'on peut avoir l'intrieur d'un rseau local. Il correspond en fait une interconnexion de rseaux locaux via une technique de tunnel . Les deux types de VPN chiffrs sont les suivants : VPN IPsec de site site : Cette alternative aux rseaux tendus relais de trames ou ligne alloue permet aux entreprises d'tendre les ressources rseau aux succursales, aux travailleurs domicile et aux sites de leurs partenaires. VPN d'accs distant : Ce type de VPN tend presque n'importe quelle application vocale, vido ou de donnes au bureau distant, grce une mulation du bureau principal. Les protocoles de tunnelisation quon a vu dans de le cours (parmi autres) : L2F : dvelopp par Cisco, il est dsormais quasi-obsolte. PPTP : dvelopp par Microsoft. L2TP : est l'aboutissement des travaux de l'IETF (RFC 3931) pour faire converger les fonctionnalits de PPTP et L2F. Il s'agit d'un protocole de niveau 2 s'appuyant sur PPP. Editer le fichier services sur C:\Windows\System32\drivers\etc pour voir les ports TCP/UDP de chaque protocole. Dans latelier qui suit on va voir comment configurer un tunnel VPN site site et utiliser le logiciel SDM pour visualiser son tat via une interface graphique. Pour cela nous avons besoin : -GNS3 install sur votre machine pour raliser le TP. -Un IOS : de prfrence celui supportant laccs via SDM (ex : c3745-adventerprisek9-mz.123-26). -Le logiciel SDM install sur votre machine. Premirement raliser la maquette suivante sur GNS3 et dmarrer vos routeurs.

ISRS_M2_G1

FST SETTAT

CCNA Security : VPN Configuration NB : Lordinateur SDM que vous voyez sur la maquette tait au dpart un nuage, jai juste chang le symbole. Aprs faites configurer vos routeurs comme suit : Le routeur ISP : ISP#configure terminal ISP(config)#interface serial 0/0 ISP(config-if)# ip address 10.10.10.2 255.255.255.0 ISP(config-if)# no shutdown ISP(config-if)# exit ISP(config)#interface serial 0/1 ISP(config-if)# ip address 172.16.1.1 255.255.255.0 ISP(config-if)# no shutdown ISP(config-if)# exit ISP(config)# ip route 172.16.2.0 255.255.255.0 Serial0/1 172.16.1.2 ISP(config)# ip route 192.168.2.0 255.255.255.0 Serial0/0 10.10.10.1 ISP(config)#end Le routeur Site_01 : Site_01#configure terminal Site_01 (config)#interface serial 0/0 Site_01 (config-if)# ip address 10.10.10.1 255.255.255.0 Site_01 (config-if)# no shutdown Site_01 (config-if)# exit Site_01 (config)#interface loopback 0 Site_01 (config-if)# ip address 192.168.2.1 255.255.255.0 Site_01 (config-if)# exit Site_01 (config)#interface fastethernet 0/0 Site_01 (config-if)# ip address 192.168.111.1 255.255.255.0 Site_01 (config-if)# exit Site_01(config)#ip route 0.0.0.0 0.0.0.0 serial 0/0 10.10.10.2 Site_01(config)#end Le routeur Site_02 : Site_02#configure terminal Site_02 (config)#interface serial 0/0 Site_02 (config-if)# ip address 172.16.1.2 255.255.255.0 Site_02 (config-if)# no shutdown Site_02 (config-if)# exit Site_02 (config)#interface loopback 0 Site_02 (config-if)# ip address 172.16.2.1 255.255.255.0 Site_02 (config-if)# exit Site_02(config)#ip route 0.0.0.0 0.0.0.0 serial 0/0 172.16.1.1 Site_02(config)#end Tester la connectivit entre les diffrentes adresses.

ISRS_M2_G1

FST SETTAT

CCNA Security : VPN Configuration 1re Partie : Configuration du VPN site site. Ajouter les lignes suivantes pour chaque routeur : Sur le routeur Site_01 : 1re tape : configurer le transform-set Site_01#configure terminal Site_01(config)# crypto ipsec transform-set TSTEST esp-3des esp-sha-hmac Site_01(cfg-crypto-trans)#exit 2me tape : crer votre crypto-map Site_01(config)#crypto map TST_CMAP 1 ipsec-isakmp Site_01(config-crypto-map)# description VPN to Site_02 172.16.2.0 Site_01(config-crypto-map)#set peer 172.16.1.2 Site_01(config-crypto-map)# set transform-set TSTEST Site_01(config-crypto-map)#match address VPN_TO_SITE_02 Site_01(config-crypto-map)#exit 3me tape : crer votre policy-map Site_01(config)#crypto isakmp policy 1 Site_01(config-isakmp)# encryption 3des Site_01(config-isakmp)#authentication pre-share Site_01(config-isakmp)#group 2 Site_01(config-isakmp)#exit 4me tape : crer votre pre-share key Site_01(config)# crypto isakmp key cisco!123 address 172.16.1.2 5me tape : Classifier votre trafic et activer la cypto-map sur lnterface serial 0/0 Site_01(config)#ip access-list extended VPN_TO_SITE_02 Site_01(config-ext-nacl)# remark Rule For VPN Access Site_01(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 172.16.2.0 0.0.0.255 Site_01(config-ext-nacl)#exit Site_01(config)#interface serial 0/0 Site_01(config-if)# crypto map TST_CMAP <- Activation de la crypto-map Site_01(config-if)#end

Sur le routeur Site_02 : 1re tape : configurer le transform-set Site_02#configure terminal Site_02(config)# crypto ipsec transform-set TSTEST esp-3des esp-sha-hmac Site_02(cfg-crypto-trans)#exit

ISRS_M2_G1

FST SETTAT

CCNA Security : VPN Configuration 2me tape : crer votre crypto-map Site_02(config)#crypto map TST_CMAP 1 ipsec-isakmp Site_02(config-crypto-map)# description VPN to Site_01 192.168.2.0 Site_02(config-crypto-map)#set peer 10.10.10.1 Site_02(config-crypto-map)# set transform-set TSTEST Site_02(config-crypto-map)#match address VPN_TO_SITE_01 Site_02(config-crypto-map)#exit 3me tape : crer votre policy-map Site_02(config)#crypto isakmp policy 1 Site_02(config-isakmp)# encryption 3des Site_02(config-isakmp)#authentication pre-share Site_02(config-isakmp)#group 2 Site_02(config-isakmp)#exit 4me tape : crer votre pre-share key Site_02(config)# crypto isakmp key cisco!123 address 10.10.10.1 5me tape : Classifier votre trafic et activer la cypto-map sur lnterface serial 0/0 Site_02(config)#ip access-list extended VPN_TO_SITE_01 Site_02(config-ext-nacl)# remark Rule For VPN Access Site_02(config-ext-nacl)#permit ip 172.16.2.0 0.0.0.255 192.168.2.0 0.0.0.255 Site_02(config-ext-nacl)#exit Site_02(config)#interface serial 0/0 Site_02(config-if)# crypto map TST_CMAP <- Activation de la crypto-map Site_02(config-if)#end 2re Partie : Tester le tunnel VPN. Site_01#ping 172.16.2.1 source loopback 0 Site_01#show crypto isakmp sa Site_02#ping 192.168.2.1 source loopback 0 Site_02#show crypto isakmp sa Utiliser le debug aussi pour verifier. 2re Partie : Utilisation du SDM. Dans cette partie on va utiliser le SDM pour accder au routeur Site_01 et visualiser ltat de notre VPN. Pour cela : Ajouter une carte de bouclage Microsoft dans votre pc et donner la une adresse ip du mme sous-rseau que linterface Fastethernet 0/0 du routeur Site_01. Si non vous pouvez utiliser les cartes VMware avec une machine virtuelle au lieu de votre pc. Affecter cette carte au nuage GNS3 (le pc SDM sur la maquette). Tester la connectivit entre la machine SDM et votre routeur. Vrifier vos firewalls si le test choue. ISRS_M2_G1 FST SETTAT

CCNA Security : VPN Configuration Ajouter les lignes suivantes dans votre routeur (Site_01) : Site_01(config)# username user privilege 15 password 0 cisco!123 Site_01(config)#ip http server Site_01(config)#line vty 0 4 Site_01(config-line)#login local Site_01(config-line)#transport input telnet Site_01(config-line)#end Lancer le SDM et attribuer ladresse ip du routeur (192.168.111.254):

votre premire fentre :

ISRS_M2_G1

FST SETTAT

CCNA Security : VPN Configuration

Ltat de notre VPN

Le statut notre VPN

Cest termin ! Bon courage !!!!

ISRS_M2_G1

FST SETTAT