Vous êtes sur la page 1sur 9

Crez un VPN IPSEC entre 2 LAN avec 2 routeurs Cisco

Mercredi, 12 Octobre 2005 23:47

Nous disposons de 2 routeurs Cisco:

Sur le site principal, un 2620 (mainrtr) avec 2 interfaces Ethernet:

o Une connecte au LAN interne (adresse IP 172.23.10.1/16)

o Lautre est utilise pour se connecter Internet (adresse IP 207.194.10.198/24).

Sur le site distant, un 1751 (remotertr) avec 2 interfaces Ethernet:

o Une connecte au LAN interne (adresse IP 172.25.10.1/16)

o Lautre connect Internet (adresse 207.194.10.199/24).

La premire tape consiste configurer les rgles IKE sur les 2 routeurs. Les rgles IKE prcisent le type dencryption et de dcoupage utiliser ainsi que le type dauthentification qui sera implment. Les paramtres doivent imprativement tre les mmes sur les 2 routeurs.

1/9

Crez un VPN IPSEC entre 2 LAN avec 2 routeurs Cisco


Mercredi, 12 Octobre 2005 23:47

Sur le routeur principal:

mainrtr(config)# crypto isakmp policy 1

mainrtr(config-isakmp)# encryption des type dencryptage

mainrtr(config-isakmp)# hash sha type de dcoupage

mainrtr(config-isakmp)# authentication pre-share prcise quaucun certificat dautorit ne sera utilis

mainrtr(config-isakmp)# lifetime 86400 dure de vie de la connexion (ici 1 jour)

mainrtr(config-isakmp)# end

Ltape suivante consiste mettre en place les clefs qui vont tre utilises. Dans la mesure ou les clefs sont pr partages, vous devez les configurer sur le routeur grce aux commandes suivantes:

2/9

Crez un VPN IPSEC entre 2 LAN avec 2 routeurs Cisco


Mercredi, 12 Octobre 2005 23:47

Sur le routeur principal:

mainrtr(config)# crypto isakmp identity address indique lidentifiant ISAKMP que va utiliser le routeur et prcise que ladresse IP sera utilise pour identifier le routeur distant

mainrtr(config)# crypto isakmp key key123 address 207.194.10.199

indique la clef utiliser et lIP de lhte distant.

Sur le routeur distant :

remotertr (config)# crypto isakmp identity address

remotertr (config)# crypto isakmp key key123 address 207.194.10.198

3/9

Crez un VPN IPSEC entre 2 LAN avec 2 routeurs Cisco


Mercredi, 12 Octobre 2005 23:47

A prsent, il nous faut configurer le tunnel IPSEC. Cela suppose de configurer une liste daccs de cryptage et de dfinir les rgles de transformation. Une fois cela effectu, vous pouvez configurer le tunnel IPSEC

Sur le routeur principal :

mainrtr(config)# access-list 110 permit ip host 207.194.10.198 host 207.194.10.199

dfinit la liste daccs 110 qui crypte le traffic

Cela dfinit la liste daccs 110 pour quelle crypte tout le traffic entre les 2 routeurs. Sur le routeur distant, vous devez faire un miroir du premier:

remotertr (config)# access-list 110 permit ip host 207.194.10.199 host 207.194.10.198

Pour mettre en oeuvre le processus de transformation et configurer le type de tunnel, entrez les commandes suivantes

4/9

Crez un VPN IPSEC entre 2 LAN avec 2 routeurs Cisco


Mercredi, 12 Octobre 2005 23:47

Sur le routeur principal :

mainrtr(config)# crypto ipsec transform-set ts1 ah-sha-hmac esp-des

mainrtr(cfg-ctypto-trans)# mode tunnel

mainrtr(cfg-ctypto-trans)# exit

Dfinit la transformation AH, lencryptage ESP transforme et nomme le processus de transformation ts1

La ligne 1 dfinit la transformation AH, lencryptage ESP transforme et nomme le processus de transformation ts1. Les mmes commandes sont entres sur le routeur distant. Maintenant, il sagit de crer une carte de cryptage pour dfinir les extrmits du tunnel.

5/9

Crez un VPN IPSEC entre 2 LAN avec 2 routeurs Cisco


Mercredi, 12 Octobre 2005 23:47

Sur le routeur principal :

mainrtr(config)# cypto map map1 10 ipsec-isakmp 1 dfinit un cryptage nomm & un n de squence

mainrtr(cfg-ctypto-map)# match address 110 applique la liste daccs 110

mainrtr(cfg-ctypto-map)# set peer 207.194.10.199 spcifie lautre extrmit du tunnel

mainrtr(cfg-ctypto-map)# set transform-set ts1 applique le modle de transformation a la carte de cryptage

mainrtr(cfg-ctypto-map)# exit

Pour configurer la carte de cryptage sur le routeur distant, vous devez lui spcifier les mmes paramtres

Sur le routeur distant :

6/9

Crez un VPN IPSEC entre 2 LAN avec 2 routeurs Cisco


Mercredi, 12 Octobre 2005 23:47

remotertr(config)# cypto map map1 10 ipsec-isakmp

remotertr (cfg-ctypto-map)# match address 110

remotertr (cfg-ctypto-map)# set peer 207.194.10.198

remotertr (cfg-ctypto-map)# set transform-set ts1

remotertr (cfg-ctypto-map)# exit

Pour que cela fonctionne, il faut assigner la carte de cryptage lune des interfaces du routeur:

Sur le routeur principal :

7/9

Crez un VPN IPSEC entre 2 LAN avec 2 routeurs Cisco


Mercredi, 12 Octobre 2005 23:47

mainrtr(config)# interface ethernet 2

mainrtr(config-if)# cypto map map1

mainrtr(config-if)# exit

Sur le routeur distant :

remotertr(config)# interface ethernet 2

remotertr(config-if)# cypto map map1

remotertr(config-if)# exit

Vous avez prsent un tunnel IPSEC entre les 2 routeurs. Pour que le trafic circule entre les 2 rseaux, vous devrez configurer la translation dadresse (NAT) pour communiquer entre les 2 rseaux locaux situs de part et dautre du routeur.

8/9

Crez un VPN IPSEC entre 2 LAN avec 2 routeurs Cisco


Mercredi, 12 Octobre 2005 23:47

9/9