Prof : ZMAMITA Hicham

nonc de lActivit :
Le responsable du complexe de formation professionnel El-Jadida dsire connecter les 4
instituts de la ville en utilisant la connexion VPN avec IPSEC.
Pour prsenter la solution au responsable, vous devez crer une maquette avec packet tracer
qui relie 2 instituts site1 et site 2

Travail demand : Raliser la maquette en respectant les paramtres suivants

Encryptage AES
Authentification par cl prpartag
Alogithme de hachage SHA
Mthodes de distribution des cls prpartages en DH2 (algorithme de cls
asymtrique DH 1024bit)
Dure de vie de 86400 soit 24H
Le but final est donc de faire communiquer le site 1 et le site 2 uniquement travers le
tunnel.



Plan dadressage rseau :
Priphriqu
e Interface Adressage IP
Masque
de sous
rseau
Site1 ISTA
CITE DE
LAIR
Fa 0/0 192.168.0.1
255.255.
255.0
So 0/3/0 80.1.0.2
255.255.
255.252
INTERNET
So 0/3/0 80.1.0.1
255.255.
255.252
So 0/3/1 80.2.0.1
255.255.
255.252
Site 2 ISTA Fa 0/0 172.16.0.1 255.255.
EL
MASSIRA
255.0
So 0/3/1 80.2.0.2
255.255.
255.252

1) Configuration de base routeur SITE1 :
Cette partie traite des configurations rseaux des 3 routeurs CISCO, savoir SITE1,
INTERNET et SITE2.



Les interfaces NAT ont t dfinies selon les flux entrants et sortants. De plus, une rgle de
routage par dfaut est mise en place afin de router le trafic vers linterface 80.1.0.1 de WAN.
Maintenant, nous allons mettre en place les ACLs pour sassurer que le traffic ne passe pas
par le routage classique mais bien par le tunnel ipsec site to site.

On exclut donc la source du LAN du site 1 accder au LAN du site 2 :



2) Configuration de base routeur INTERNET :



3) Configuration de base routeur Site2 :



Les interfaces NAT ont t dfinies selon les flux entrants et sortants. De plus, une rgle de
routage par dfaut est mise en place afin de router le trafic vers linterface 80.2.0.1 de WAN.
A prsent, nous allons mettre en place les ACLs pour sassurer que le traffic ne passe pas par
le routage classique mais bien par le tunnel ipsec site to site.

On exclut donc la source du LAN du site 2 accder au LAN du site 1 :



4) Configuration du VPN :
4.1) Activation de ISAKMP
Lactivation dISAKMP (Internet Security Association and Key Management Protocol) est
obligatoire puisque ce protocole est utilis par le module IKE (Internet Key Exchange) lors de
la scurisation du trafic IP via IPSec.






4.2) Stratgie VPN :
Aprs avoir activ ISAKMP, il est ncessaire de configurer une stratgie VPN sur les routeurs
SITE1 et SITE2, celle-ci permet de dfinir, le numro de squence, le type dencryptage ,
lalgorithme de hachage ou encore la dure de vie. Les commandes ci-dessous ont t
excutes sur le routeur SITE1 & SITE2.



Une fois la stratgie dit, il faut spcifier le type didentification des routeurs, soit par IP soit
par le nom.






Puis lon cr une cl partag Ciscolab et on lassocie linterface de site2 savoir
80.2.0.2, donc linterface du bout du tunnel VPN.



Dsormais nous il faut passer la dfinition des options pour le cryptage des donnes.



A noter que Esp-aes est la mthode de cryptage, esp-sha-hmac est la mthode
dauthentification. On dfinit ensuite la dure de vie de la cl de cryptage


Enfin, il faut crer une ACL de type tendu qui autorisa uniquement le trafic provenant
du LAN du site 1 communique avec le site 2 et donc ce sera le traffic provenant de
192.168.0.0/24 SITE1 LAN destination de 172.16.0.0/24 SITE2 LAN.


A prsent il faut crer une cyrpto map, on entend par crypto map un paramtre qui va faire le
lien entre les diffrents paramtres dits prcdemment. Nous allons lactiver pour le trafic
correspondant laccess-list VPN cr prcdemment. Nous allons spcifier ladresse de
destination savoir celle externe du site2 et le type de cryptage.