Vous êtes sur la page 1sur 23

I.

INTRODUCTION
Internet est un rseau IP publiquement accessible dans le monde entier. Sa prolifration
globale grande chelle en fait un mode dinterconnexion intressant pour les sites distants.
Cependant, dans la mesure o il sagit dune infrastructure publique, les entreprises et leurs
rseaux internes sont sujets des risques de scurit importants. La technologie des rseaux
privs virtuels (Virtual Private Network en anglais, abrg en VPN) permet aux entreprises
de crer des rseaux privs sur linfrastructure publique dInternet tout en garantissant
confidentialit et scurit.
Les entreprises ont recours aux rseaux privs virtuels pour fournir une infrastructure
virtuelle de rseau tendu pour connecter les bureaux de leurs agences, les bureaux
domicile, les sites de leurs partenaires commerciaux et les tltravailleurs distants une
partie ou tout leur rseau. Le trafic est chiffr pour conserver son caractre priv
AVANTAGES
Les rseaux privs virtuels offrent les avantages suivants :
conomies - Les organisations peuvent utiliser un transport Internet tiers et rentable pour
connecter les bureaux et les particuliers distance au sige. Ce choix supprime les liaisons
ddies de rseau tendu et les banques de modems. Grce la large bande, les rseaux
privs virtuels rduisent les cots de connectivit en augmentant la bande passante de
connexion distante.
Scurit - Les protocoles de chiffrement et dauthentification avancs protgent les donnes
contre tout accs non autoris.
volutivit - Les rseaux privs virtuels utilisent linfrastructure Internet dans les FAI et les
oprateurs, facilitant lajout de nouveaux utilisateurs pour les entreprises. Ces dernires,
quelle que soit leur taille, peuvent augmenter leurs capacits sans largir sensiblement leur
infrastructure.
Il existe plusieurs types de VPN : VPN dentreprise (Site--site, accs distant), VPN
doprateurs. Ils peuvent aussi tre classs suivant la technologie.
Dans le cadre de ce document nous nous intresserons aux VPN dentreprise Site--site bas
sur le protocole IPsec qui sera explique dans une section ultrieure.
II. PRINCIPE DE FONCTIONNEMENT
Un rseau Vpn repose sur un protocole appel "protocole de tunneling". Ce protocole
permet de faire circuler les informations de l'entreprise de faon crypte d'un bout l'autre
du tunnel. Ainsi, les utilisateurs ont l'impression de se connecter directement sur le rseau
de leur entreprise.

Le principe de tunneling consiste construire un chemin virtuel aprs avoir identifi
l'metteur et le destinataire. Par la suite, la source chiffre les donnes et les achemine en
empruntant ce chemin virtuel. Afin d'assurer un accs ais et peu coteux aux intranets ou
aux extranets d'entreprise, les rseaux privs virtuels d'accs simulent un rseau priv, alors
qu'ils utilisent en ralit une infrastructure d'accs partage, comme Internet.

Les donnes transmettre peuvent tre prises en charge par un protocole diffrent d'Ip.
Dans Ce cas, le protocole de tunneling encapsule les donnes en ajoutant une en-tte. Le
tunneling est l'ensemble des processus d'encapsulation, de transmission et de
dsencapsulation.




Les rseaux privs virtuels ont recours des techniques de chiffrement avances et la
transmission tunnel pour que les entreprises puissent tablir des connexions rseau prives
scurises de bout en bout sur Internet.

Un rseau priv virtuel scuris repose sur le principe fondamental de la confidentialit des
donnes, de lintgrit des donnes et de lauthentification.

Confidentialit des donnes - Protger les donnes contre lcoute lectronique est un souci
de scurit courant. La confidentialit des donnes est une fonction conceptuelle qui vise
protger le contenu des messages contre toute interception par des sources non
authentifies ou non autorises. La confidentialit est garantie grce lencapsulation et au
chiffrement effectus sur les rseaux privs virtuels.
Intgrit des donnes - Les destinataires nont aucun contrle sur le parcours emprunt par
les donnes. Cest pourquoi ils ne savent pas si elles ont t consultes ou manipules lors
de leur passage sur Internet. Lventuelle modification des donnes ne peut pas tre exclue.
Lintgrit des donnes garantit quaucune altration ou modification na t apporte aux
donnes lors de leur parcours entre la source et la destination. En rgle gnrale, les rseaux
privs virtuels utilisent des hachages pour garantir lintgrit des donnes. Un hachage
ressemble une somme de contrle ou un sceau garantissant que personne na lu le
contenu, tout en tant plus robuste. Les hachages sont dcrits dans la rubrique suivante.
Authentification - Lauthentification garantit quun message provient dune source
authentique et accde une destination authentique. Une identification assure
lutilisateur que la personne avec qui il tablit une communication est effectivement le
destinataire escompt. Les rseaux privs virtuels peuvent utiliser des mots de passe, des
certificats numriques, des cartes puce et la biomtrique pour vrifier lidentit des parties
lautre extrmit du rseau.
II.1 IPsec
IPsec est l'une des mthodes permettant de crer des VPN (rseaux privs virtuels). Il sagit
en fait dune collection de protocoles permettent de mettre en uvre la scurit
conformment aux normes IETF
Larchitecture de base dIPsec comprend les composants suivants :
Protocoles de scurit
Gestion des cls IKE
Algorithmes de chiffrement et dauthentification
II.1.1 Protocoles de scurit

Authentication Header (AH) - utiliser si la confidentialit nest pas requise ou autorise. AH
assure lauthentification et lintgrit des donnes pour les paquets IP circulant entre deux
systmes. Il vrifie quaucun message transmis du routeur R1 au routeur R2 na t modifi
lors du transit. Il vrifie galement que les donnes proviennent effectivement de R1 ou R2.
AH ne garantit pas la confidentialit (le chiffrement) des donnes dans les paquets. Si le
protocole AH est utilis seul, sa protection est faible. Cest pourquoi il est utilis avec le
protocole ESP pour permettre aux donnes dtre chiffres et pour les scuriser contre toute
altration.
Encapsulating Security Payload (ESP) - Il assure la confidentialit et lauthentification grce
au chiffrement du paquet IP. Le chiffrement des paquets IP masque les donnes et lidentit
de leur source et de leur destination. ESP authentifie le paquet IP interne et len-tte ESP.
Lauthentification permet didentifier la source des donnes et de garantir leur intgrit.
Bien que les fonctions de chiffrement et dauthentification soient facultatives dans ESP, vous
devez en choisir au moins une.
II.1.2 IKE
Pour mettre en uvre une solution VPN avec cryptage, le changement priodique des cls
de chiffrement de session est ncessaire. Labsence d change des cls rend les VPN
sensibles aux attaques de dcryptage. IPsec rsout le problme avec la gestion des cls. Pour
cela le protocole IKE est utilis. Le protocole IKE (Internet Key Exchange) est charg de
ngocier la connexion. Avant qu'une transmission IPSec puisse tre possible, IKE est utilis
pour authentifier les deux extrmits d'un tunnel scuris en changeant des cls partages.
IKE utilise un algorithme mathmatique appel un change Diffie-Hellman pour gnrer des
cls de session symtrique qui sera utilis par deux pairs cryptographiques. IKE gre
galement la ngociation d'autres paramtres de scurit telles que les donnes d'tre
protge, la force des touches, les mthodes de hachage utilises.
Association de scurit
Une Association de scurit (SA) est un accord entre deux pairs procdant un change
cryptographique. Cet accord inclut le type et la puissance de l'algorithme de chiffrement
utilis pour protger les donnes. La SA comprend la mthode et la force de
l'authentification de donnes et la mthode de cration de nouvelles cls pour une
protection des donnes. Chaque SA possde une valeur de dure de vie pour lequel elle est
considre comme valide.
L'tablissement et le maintien de Associations de scurit est une fonction importante du
protocole IKE. Il existe deux types dassociation de scurit.
Associations de scurit ISAKMP
Une Association de scurit ISAKMP est un canal unique bidirectionnel de ngociation
scurise utilis par les deux homologues cryptographiques pour communiquer les
paramtres de scurit importants les uns aux autres, tels que les paramtres de scurit
pour la SA IPsec (tunnel de donnes).

Associations de scurit IPSec
Les Association de scurit IPsec (IPSec SA) sont utilises pour ngocier les algorithmes de
cryptage appliquer pour le trafic IP entre les homologues. Parce qu'ils sont
unidirectionnels, au moins deux IPSec SA sont ncessaires (une pour le trafic entrant et
l'autre pour le trafic sortant).
IKE opre en deux phases pour tablir une communication :
La phase 1 fournit une authentification mutuelle entre deux homologues et l'tablissement
de la cl de session. Cette tape cre une SA ISAKMP l'aide d'un change de DH. Une fois
que la SA ISAKMP est tablie, toutes les communications dIKE entre l'initiateur et le
rpondeur sont protges par chiffrement et une vrification d'intgrit qui est authentifie.
L'objectif de la phase 1 est de faciliter un canal scuris entre les pairs, afin que les
ngociations de la phase 2 puissent se produire en toute scurit.
La phase 2 fournit la ngociation et la mise en place de la SA IPSec l'aide d'ESP ou AH afin
de protger le trafic de donnes IP.









Algorithmes de Chiffrement

Le degr de scurit offert par un algorithme de chiffrement varie en fonction de la longueur
de la cl. Pour toute longueur de cl donne, la dure de traitement de toutes les
probabilits de dchiffrement du texte dpend de la puissance informatique lordinateur.
Ainsi, plus la cl est courte, plus elle est facile trouver. Ceci dit, plus elle est courte, plus la
transmission du message est rapide.
Les algorithmes de chiffrement peuvent tre classs en deux catgories :
Chiffrement symtrique
Les algorithmes de chiffrement symtrique ncessitent une cl partage secrte pour
procder aux chiffrements et dchiffrements. Les deux ordinateurs doivent connatre la cl
pour dcoder les informations. Dans le cas du chiffrement cl symtrique, aussi appel
chiffrement cl secrte, chaque ordinateur chiffre les informations avant de les envoyer
lautre ordinateur sur le rseau. Pour russir un chiffrement cl symtrique, il est essentiel
de savoir quels ordinateurs communiqueront lun avec lautre pour configurer la mme cl
sur chacun deux.


Voici une liste des algorithmes de chiffrement symtrique et des longueurs de cls courants :
Algorithme Data Encryption Standard (norme de chiffrement DES) - Dveloppe par IBM, la
norme de chiffrement DES utilise une cl de 56 bits. Elle garantit un chiffrement haute
performance. DES est un systme de chiffrement cl symtrique. Les cls symtriques et
asymtriques sont expliques ci-dessous.
Algorithme DES triple (3DES) - Variante rcente de DES pour chiffrer avec une premire cl,
dchiffrer avec une deuxime cl, puis chiffrer en dfinitive avec une troisime cl. 3DES
renforce le processus de chiffrement.
Advanced Encryption Standard (AES) - LInstitut NIST (National Institute of Standards and
Technology) a adopt la norme AES pour remplacer le chiffrement DES existant dans les
priphriques cryptographiques. La norme AES renforce la scurit par rapport la norme
DES. Elle est plus efficace du point de vue du traitement que 3DES. La norme AES offre trois
longueurs de cl : 128, 192 et 256 bits.
Chiffrement asymtrique
Le chiffrement asymtrique utilise plusieurs cls pour procder au chiffrement et au
dchiffrement. Mme si un pirate informatique connat une cl, cela nest pas suffisant pour
en dduire la deuxime et ainsi dcoder les informations. Une cl chiffre le message alors
que la deuxime le dchiffre. Vous ne pouvez pas procder au chiffrement et au
dchiffrement en utilisant la mme cl.

Le chiffrement cl publique est une variante du chiffrement asymtrique qui associe une
cl prive une cl publique. Le destinataire distribue une cl publique tout expditeur
avec lequel seffectueront les changes. Lexpditeur utilise une cl prive associe la cl
publique du destinataire pour chiffrer le message. Ainsi, lexpditeur doit partager sa cl
publique avec le destinataire. Pour dchiffrer un message, le destinataire utilise la cl
publique de lexpditeur avec sa propre cl prive.
Rivest, Shamir et Adleman (RSA) - Systme de chiffrement cl asymtrique. La longueur
des cls utilises est 512, 768, 1024 bits ou plus.

Le hachage
Les hachages contribuent lintgrit des donnes et lauthentification dans la mesure o
les personnes non autorises ne pourront pas altrer les messages transmis. Un hachage,
galement appel un message digest, est un nombre gnr partir dune chane de texte. Il
est plus petit que le texte lui-mme. Il est gnr selon une formule qui ne permettra sans
doute pas un autre texte de reproduire la mme valeur de hachage.

Lexpditeur dorigine gnre un hachage du message et lenvoie avec le message. Le
destinataire dchiffre le message et le hachage, il produit un autre hachage partir du
message reu, et compare les deux hachages. Si les deux sont identiques, le destinataire
peut tre certain que lintgrit du message na pas t affecte.
Les rseaux privs virtuels utilisent un code dauthentification des messages pour vrifier
lintgrit et lauthenticit dun message, sans avoir recours des mcanismes
supplmentaires. Un code dauthentification des messages avec hachages et cls (HMAC)
est un algorithme dintgrit des donnes garantissant lintgrit du message.

Un code HMAC comprend les deux paramtres suivants : une entre de message et une cl
secrte que seuls lexpditeur du message et le destinataire slectionns connaissent.
Lexpditeur du message utilise une fonction HMAC pour produire une valeur (code
dauthentification du message), cre en condensant la cl secrte et le texte du message.
Le code dauthentification du message est envoy avec le message. Le destinataire calcule le
code dauthentification du message sur le message reu laide de la mme cl et de la
fonction HMAC utilises par lexpditeur. Il compare le rsultat obtenu avec le code
dauthentification du message reu. Si les deux valeurs correspondent, le message a t reu
correctement et le destinataire est certain que lexpditeur est un membre de la
communaut dutilisateurs autoriss partager la cl. La puissance cryptographique de la
fonction HMAC dpend de la puissance cryptographique de la fonction de hachage sous-
jacente, de la taille et de la qualit de la cl, ainsi que de la taille de la longueur de sortie du
hachage en bits.

Il existe deux algorithmes HMAC :

Message Digest 5 (MD5) - Il utilise une cl secrte partage de 128 bits. Le message
longueur variable et la cl secrte partage de 128 bits sont associs et excuts par le biais
de lalgorithme de hachage HMAC-MD5. La sortie est un hachage de 128 bits. Le hachage est
ajout au message original et transfr lextrmit distante.
Secure Hash Algorithm 1 (SHA-1) - Il utilise une cl secrte de 160 bits. Le message
longueur variable et la cl secrte partage de 160 bits sont associs et excuts par le biais
de lalgorithme de hachage HMAC-SHA-1. La sortie est un hachage de 160 bits. Le hachage
est ajout au message original et transfr lextrmit distante.
Le protocole GRE
Mme si le protocole IPsec fournit une mthode scurise pour protger les donnes a
traverser un rseau IP , il contient toutefois quelques limites. Il ne supporte pas la diffusion
ou la multidiffusion empchant ainsi les protocoles qui utilisent la diffusion y compris les
protocoles de routage.
Un moyen de contourner cette limite est lutilisation du protocole GRE. Lavantage notable
de GRE est quil simplifie la configuration des VPN site--site. Tout trafic entre sites peut
traverser un tunnel GRE qui est protg par un profil IPsec. Lutilisation d 'IPsec en
combinaison avec GRE permet la mise en uvre des protocoles de routage.




ARCHITECTURES VPN

Les architectures rseau sont bases sur les deux architectures suivantes :
Hub-and-spoke (toile)
Full-mesh (maillage global)
Architecture Hub-and-spoke
La topologie la plus simple dun rseau tendu est la topologie hub-and-spoke.
Hub-and-spoke vient de l'anglais hub (moyeu ou concentrateur) et spoke (rayon).Il dsigne
une architecture mettant en uvre un point de connexion central qui peut atteindre
chacune des terminaisons situes la priphrie.

Dans ce modle, tous les rayons sont connects au concentrateur via des tunnels IPSec ; Il
n'y a aucune communication directe entre les rayons, et tout le trafic entre les rayons doit
d'abord russir travers le hub. Ce modle est surtout rentable surtout quand les
applications nont pas besoin de connectivit spoke-to-spoke. (rayon rayon). Dans ce
modle, le cur et l'me est videmment le Centre, et un temps d'arrt sur le hub aura donc
un impact grave sur la connexion VPN.

ARCHITECTURE FULL-MESH
L'architecture full-mesh (maillage global) tablit la connexion directe entre tous les sites. La
motivation pour la cration de VPN full-mesh devrait se fonder sur les exigences du trafic
rel ncessitant une circulation entre n'importe quel site n'importe quel autre site dans le
VPN. Cette architecture permet la connectivit spoke-to-spoke.















LE DMVPN

Il est devenu ais de crer des rseaux virtuels priv IPsec (VPN IPsec). Cependant, ce type
de configuration souffre de certaines limitations concernant leur administration ainsi que
leur maintenance, notamment des suivantes.
En premier lieu, chaque ajout de nouveaux sites, il faut non seulement configurer les
quipements sur les sites distants mais galement apporter des modifications consquentes
la configuration des quipements en production du site principal. La configuration de ce
dernier site peut, partir de quelques sites distants, devenir rapidement illisible, ce qui
prsente un rel problme dvolutivit.
De plus, sil est ncessaire dintroduire la communication inter-site dans le but dobtenir un
rseau virtuel priv totalement maill (dit full-mesh ) en liaisons IPsec, le nombre de
tunnels crer augmente de manire considrable et chaque ajout dun nouvel
quipement, il faudra modifier nouveau la configuration de chaque routeur.
Les VPNs IPsec multipoints dynamiques (Dynamic Multipoint VPN, DMVPN) permettent de
dployer rapidement un grand nombre de sites de manire scurise et volutive. DMVPN
correspond en fait un ensemble de technologies telles quIPsec, mGRE et NHRP qui,
combines, facilitent le dploiement de rseaux privs virtuels IPsec. De ce fait, DMVPN
permet de rsoudre les deux problmes cits prcdemment : dune part, la configuration
du site principal une fois tablie demeurera inchange, mais dautre part, la cration des
tunnels entre site distants se fait de manire automatise et dynamique.


Fonctionnement
Le DMVPN est une combinaison de technologies. IPsec, NHRP, mGRE.
mGRE (multipoint Generic Routing Encapsulation)
Comme son nom le suggre mGRE est une interface point-to-multipoint dans lequel une
interface tunnel peut avoir plusieurs extrmits. Cela permet de rduire normment les
configurations ainsi que lutilisation de la mmoire. Il permet aussi les connexions entrantes
des pairs.
NHRP (Next Host Resolution Protocol)
Ce protocole permet aux sites distants de faire connaitre ladresse IP de linterface servant
monter le tunnel GRE avec le serveur. Le serveur conservera cette information pour tous les
sites distants, afin de leur permettre dobtenir ladresse de leur voisin pour monter des
tunnels directs.
Quand un routeur de priphrie se connecte pour la premire fois sur un rseau DMVPN, il
enregistre son adresse IP auprs du routeur central dont ladresse IP a t prconfigure sur
le routeur de priphrie. Cet enregistrement permet dactiver le mGRE sur le routeur central
qui permet alors de monter des tunnels dynamiques de type (spoke-to-hub). NHRP permet
de faire une correspondance entre les adresses IP des interfaces physiques et les adresses IP
des interfaces tunnels.
Lorsquun routeur de priphrie (spoke) a besoin de communiquer avec un autre routeur de
priphrie (spoke) il utilise le protocole NHRP pour dterminer dynamiquement ladresse de
destination du destinataire. Le routeur central agit en tant que serveur NHRP qui traite la
demande du routeur source. Les deux routeurs peuvent alors crer dynamiquement un
tunnel entre eux et permettent ainsi le transfert des donnes.
TOPOLOGIE DMVPN
La topologie primaire est un modle de dploiement de hub-and-spoke dans laquelle les
ressources de l'entreprise principale sont situes dans un grand site central, avec un nombre
de plus petits sites ou succursales connects directement sur le site central sur un rseau
priv virtuel. Cependant, dans certains scnarios, le modle spoke-to-spoke peut tre
dploy qui offre la possibilit de crer des connexions temporaires.

Dans une conception DMVPN, les deux topologies suivantes peuvent tre implmentes :
Topologie DMVPN nuage unique
Topologie DMVPN double nuage
Dans les deux topologies, deux hubs sont recommands pour la redondance. Un nuage
DMVPN est une collection de routeurs configurs avec une interface qui partagent la mme
adresse de sous-rseau. Une haute disponibilit est assure par l'utilisation d'un second hub
(routeur central), qui peut tre sur le mme sous-rseau DMVPN comme le routeur
principal. Ceci est communment appel une topologie de nuage DMVPN unique. Le
deuxime routeur de concentrateur peut galement possder son propre sous-rseau
DMVPN, qui est connue comme une topologie de nuage DMVPN double.


Topologie nuage unique

Topologie nuage double
ETUDE DE CAS
Nous allons nous intresser au cas suivant : Une entreprise ayant un sige et ses deux
agences travers la ville veulent partager leurs ressources sans toutefois utiliser les lignes
lous. Le sige ainsi que les deux agences sont connects au rseau public Internet via un
fournisseur daccs. Ils possdent chacun une adresse IP publique Nous allons dans un
premier temps utiliser la technologie IPsec site--site pour construire des tunnels VPN
statiques travers Internet, faire ressortir les limites de IPSec et ensuite le DMVPN pour
crer dynamiquement les tunnels.
CREATION DU VPN SITE-A SITE
Les tapes pour crer un tunnel IPSec sont les suivantes
Etape1 : Dfinir quels paramtres seront utiliss pour le tunnel IKE phase 1 (ou tunnel
ISAKMP). Cet ensemble de paramtres est appel ISAKMP policy (Stratgie ISAKMP)
Etape 2 : Dfinir quels paramtres seront utiliss pour le tunnel IKE phase 2 (ou tunnel
ISAKMP). Cet ensemble de paramtre est appel transform set.
Etape 3 : Crer une ACL (Une liste de contrle daccs) pour identifier le trafic protger et
qui sera envoy vers le tunnel IPSec.
Etape4 : Crer un crypto map qui regroupe les paramtres des tapes prcdentes et
lindexer vers lhomoloque IPSec.
ETAPE1 : IMPLEMENTATION DU TUNNEL IKE PHASE 1
Sur le routeur central

R1#conf terminal
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#hash sha
R1(config-isakmp)#encryption aes 128
R1(config-isakmp)#group 2
R1(config-isakmp)#lifetime 86400
R1(config-isakmp)#exit
R1(config)#crypto isakmp key P@sS0rd1 address 22.22.22.1
R1(config)#crypto isakmp key P@sS0rd2 address 33.33.33.1

Dans cet exemple la commande crypto isakmp policy1 est utilise pour entrer en mode de
configuration ISAKMP. A partir de ce mode la commande authentication pre-share spcifie
les cls partages pour lauthentification. La commande hash sha indique que lalgorithme
SHA sera utlis pour le hachage de lassociation de scurit ISAKMP. La commande
encryption aes 128 a pour but de spcifier le chiffrement AES 128 bits. La commande group2
indique que lalgorithme Diffie-Hellman Groupe 2 sera utilis pour lchange scuris des
cls partages. Finalement la dure de vie de lassociation de scurit est de 86000 secondes
soit un jour. En mode de configuration globale la commande cryto isakmp key mot de passe
address adresse IP dfinit la valeur de l cl partage quand le routeur va communiquer
avec son homologue dont ladresser IP est indique. Etant donn quil a deux homologues
cette commande sera excute avec deux mot de passe et deux adresses diffrentes
Sur les agences
Sur les routeurs agences la configuration est quasi identique au routeur central la
diffrence que cest ladresse IP du routeur central qui sera indiqu.
Voici un extrait de la configuration du routeur R2
R2#configure terminal
R2(config)#crypto isakmp policy 1
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#hash sha
R2(config-isakmp)#encryption aes 128
R2(config-isakmp)#group 2
R2(config-isakmp)#lifetime 86400
R2(config-isakmp)#exit
R2(config)#crypto isakmp key P@sS0rd1 address 11.11.11.1




Et celui de R3
R3#conf terminal
R3(config)#crypto isakmp policy 1
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#hash sha
R3(config-isakmp)#encryption aes 128
R3(config-isakmp)#group 2
R3(config-isakmp)#lifetime 86400
R3(config-isakmp)#exit
R3(config)#crypto isakmp key P@sS0rd2 address 11.11.11.1

ETAPE 2 5 : IMPLEMENTATION DU TUNNEL IKE PHASE 2
Sur le routeur central
R1(config)#crypto ipsec transform-set MYSET esp-aes esp-sha-hmac
R1(cfg-crypto-trans)#exit
R1(config)#access-list 102 permit ip 10.1.0.0 0.0.0.255 10.2.0.0 0.0.0.255
R1(config)#access-list 103 permit ip 10.1.0.0 0.0.0.255 10.3.0.0 0.0.0.255
R1(config)#crypto map HUB_TO_SPOKE 10 ipsec-isakmp
R1(config -crypto-map)#set peer 22.22.22.1
R1(config-crypto-map)#set transform-set MYSET
R1(config-crypto-map)#match address 102
R1(config-config-crypto-map)#exit
R1(config)#crypto map HUB_TO_SPOKE 20 ipsec-isakmp
R1(config -crypto-map)#set peer 33.33.33.1
R1(config-crypto-map)#set transform-set MYSET
R1(config-crypto-map)#match address 103
R1(config-crypto-map)#exit


Un ensemble de transformation appel MYSET a t cre avec la commande ipsec
transform-set MYSET esp-aes esp-sha-hmac. Le paramtre esp-aes indique lalgorithme de
chiffrement utiliser et esp-sha-hmac spcifie lalgorithme de hachage.
Une liste de contrle daccs est ncessaire pour prciser quel trafic dinformations sera
autoris travers le tunnel. Dans notre exemple nous en avons implment deux. La
premire appele 102 indique que seul le trafic IP en provenance du sous-rseau
10.1.0.0/24 vers le sous-rseau IP 10.1.0.0/24 est autoris. Cela permet au routeur R1 de
protger toute information de son rseau local vers celui de R2. Il en est de mme pour 103.
Nous remarquons quune correspondance cryptographique (crypto map) HUB_TO_SPOKE a
t cre avec diffrents numros de squence avec la commande crypto map
HUB_TO_SPOKE numero_de_sequence ipsec-isakmp. Etant donn que nous avons deux
sites distants un numro de squence doit tre utilis pour prciser chaque correspondant.
En mode de configuration crypto map, la commande set peer adresse_IP indique ladresse IP
du routeur distant. Le but de la commande match address liste_de_controle_daccs est
dassocier la liste de contrle daccs prcdemment cre au crypto map ; lensemble de
transformation MYSET est li au crypto map laide de la commande match address.

Sur les routeurs agences
La configuration est presque identique au routeur central sauf quau niveau de la liste de
contrle daccs il faut bien prciser la direction du trafic (LAN du routeur local vers le LAN
du routeur distant). Il faut galement indiquer ladresse IP du routeur central
R2
R2(config)#crypto ipsec transform-set MYSET esp-aes esp-sha-hmac
R2(cfg-crypto-trans)#exit
R2(config)#access-list 101 permit ip 10.2.0.0 0.0.0.255 10.1.0.0 0.0.0.255
R2(config)#crypto map SPOKE_TO_HUB 10 ipsec-isakmp
R2(config -crypto-map)#set peer 11.11.11.1
R2(config- crypto-map)#set transform-set MYSET
R2(config- crypto-map)#match address 101
R2(config-crypto-map)#exit

R3
R3(config)#crypto ipsec transform-set MYSET esp-aes esp-sha-hmac
R3(cfg-crypto-trans)#exit
R3(config)#access-list 101 permit ip 10.1.0.0 0.0.0.255 10.1.0.0 0.0.0.255
R3(config)#crypto map SPOKE_TO_HUB 10 ipsec-isakmp
R3(config-config-crypto-map)#set peer 11.11.11.1
R3(config-config-crypto-map)#set transform-set MYSET
R3(config-config-crypto-map)#match address 101
R3(config-crypto-map)#exit

APPLICATION DES CRYPTO MAP
Les cryto map ont besoin dtre appliqus aux interfaces pour activer le tunnel IPSec.
Sur le routeur central

R1(config)#interface Serial0/0
R1(config-if)#crypto map HUB_TO_SPOKE
R1(config-if)#exit
R1(config)#ip route 10.2.0.0 255.255.255.0 22.22.22.1
R1(config)#ip route 10.3.0.0 255.255.255.0 33.33.33.1

La commande crypto map HUB_TO_SPOKE applique le crypto map cr
prcdemment linterface Srial0/0 du routeur. Deux routes statiques ont
galement t cres pour diriger les paquets IP aux destinations spcifiques.

Sur les routeurs agences




Sur R2
R2(config)#interface Serial0/0
R2(config-if)#crypto map SPOKE_TO_HUB
R2(config-if)#exit
R2(config)#ip route 10.1.0.0 255.255.255.0 11.11.11.1

Sur R3
R3(config)#interface Serial0/0
R3(config-if)#crypto map SPOKE_TO_HUB
R3(config-if)#exit
R3(config)#ip route 10.1.0.0 255.255.255.0 11.11.11.1

Pour permettre la communication entre agences il faut :
-modifier les listes de contrle daccs de manire permettre le traffic entre les LAN des
agences
-ajouter une entr de route statique vers le LAN distant sur les routeurs agences
Sur les routeurs agences.
Sur R2
La liste de contrle daccs 101 sera modifie de la manire suivante
R2(config)#access-list 101 permit ip 10.2.0.0 0.0.0.255 10.0.0.0 0.255.255.255
R2(config)#ip route 10.3.0.0 255.255.255.0 11.11.11.1
Tout trafic IP ayant pour adresse IP source 10.2.0.0/24 (LAN de R2) et pour destination
10.0.0.0/8 (qui comprend le LAN de R1 et R3) sera autoris.
De plus une route statique vers le LAN de R3 a t cre.
Et sur R3
R3(config)#access-list 101 permit ip 10.3.0.0 0.0.0.255 10.0.0.0 0.255.255.255
R2(config)#ip route 10.2.0.0 255.255.255.0 11.11.11.1

Sur le routeur sige
Etant donn que les paquets transitant sur R1 peuvent avoir plusieurs des adresses IP
sources diffrentes et une seule adresse de destination chaque liste de contrle daccs a
t modifi de la manire suivante :
R1(config)#access-list 102 permit ip 10.0.0.0 0.255.255.255 10.2.0.0 0.0.0.255
R1(config)#access-list 103 permit ip 10.0.0.0 0.255.255.255 10.3.0.0 0.0.0.255

GRE
Comme mentionn un peu plus haut, IPSec ne prend pas en charge les protocoles de
routage dynamique. Pour contourner cette limite nous pouvons implmenter le protocole
GRE en combinaison avec IPSec.
Cration des tunnels GRE
Sur R1
Tunnel vers R2
R1(config)#interface tunnel 2
R1(config)#ip address 172.16.2.1 255.255.255.252
R1(config)#tunnel source s0/0
R1(config)#tunnel destination 22.22.22.1
Tunnel vers R3
R1(config)#interface tunnel 3
R1(config)#ip address 172.16.3.1 255.255.255.252
R1(config)#tunnel source s0/0
R1(config)#tunnel destination 33.33.33.1

Sur R2


Tunnel vers R1
R2(config)#interface tunnel 2
R2(config)#ip address 172.16.2.2 255.255.255.252
R2(config)#tunnel source s0/0
R2(config)#tunnel destination 11.11.11.1

Sur R3
Tunnel vers R1
R3(config)#interface tunnel 3
R3(config)#ip address 172.16.3.2 255.255.255.252
R3(config)#tunnel source s0/0
R3(config)#tunnel destination 11.11.11.1
Prise en charge du trafic GRE travers IPSec
Il faudra configurer les listes de contrle daccs de manire autoriser le trafic GRE
travers IPSec.
Sur R1
R1(config)#access-list 102 permit gre host 11.11.11.1 host 22.22.22.1
R1(config)#access-list 103 permit gre host 11.11.11.1 host 33.33.33.1
Sur R2
R2(config)#access-list 101 permit gre host 22.22.22.1 host 11.11.11.1
Sur R3
R3(config)#access-list 101 permit gre host 33.33.33.1 host 11.11.11.1
Implmentation des protocoles de routage

Nous allons configurer le routage EIGRP sur chacun des routeurs.
Sur R1
R1(config)#router eigrp 1
R1(config-router)#passive-interface FastEthernet0/0
R1(config-router)#network 10.0.0.0
R1(config-router)#network 172.16.0.0
R1(config-router)#no auto-summary
Sur R2
R2(config)#router eigrp 1
R2(config-router)#passive-interface FastEthernet0/0
R2(config-router)#network 10.0.0.0
R2(config-router)#network 172.16.0.0
R2(config-router)#no auto-summary
Sur R3
R2(config)#router eigrp 1
R2(config-router)#passive-interface FastEthernet0/0
R2(config-router)#network 10.0.0.0
R2(config-router)#network 172.16.0.0
R2(config-router)#no auto-summary