Académique Documents
Professionnel Documents
Culture Documents
Unknown
Configuration d'un tunnel GRE over IPSEC Afficher mon profil complet
Pré-requis: Vérifiez que l'IOS Cisco que vous allez utiliser supporte la commande "crypto" en mode de configuration
globale pour pouvoir faire la Partie 2 du TP (c2600 ne supporte pas des fonctionnalités de cryptage par exemple). Vous Articles du blog
pouvez choisir c7200.
►
► 2017 (9)
I) Configuration du tunnel GRE ►
► 2016 (8)
►
► 2015 (60)
1) Créer la topologie suivante sous GNS 3 :
▼
▼ 2014 (15)
►
► juillet (1)
2) Configuration de base de RouterA
RouterA(config)#int fa0/0 ►
► juin (1)
►
► mai (2)
▼
▼ avril (11)
►
► avr. 30 (2)
►
► avr. 25 (3)
►
► avr. 24 (3)
▼
▼ avr. 23 (1)
Configuration d'un
tunnel GRE over
IPSEC
►
► avr. 22 (2)
RouterA(config-if)#ip address 10.0.10.1 255.255.255.0
RouterA(config-if)#ip nat inside
RouterA(config-if)#no shut
RouterA(config)#int s0/0
RouterA(config-if)#ip address 201.20.20.1 255.255.255.252
RouterA(config-if)#ip nat outside
RouterA(config-if)#no shut
RouterA(config-if)#clock rate 64000
RouterA(config)#ip route 0.0.0.0 0.0.0.0 201.20.20.2
Les interfaces NAT ont été définies selon les flux entrants et sortants. De plus, une règle de routage par défaut est mise
en place afin de router le trafic vers l’interface 201.20.20.2 du routeur WAN.
Maintenant, nous allons mettre en place les ACLs pour s’assurer que le trafic ne passe pas par le routage classique mais
bien par le tunnel.
On exclut donc la source du LAN du site 1 à accéder au LAN du site 2 :
RouterA(config)#access-list 100 deny ip 10.0.10.0 0.0.0.255 10.0.20.0 0.0.0.255
RouterA(config)#access-list 100 permit ip 10.0.10.0 0.0.0.255 any
RouterA(config)#ip nat inside source list 100 interface s0/0 overload
WAN(config)#int s0/0
WAN (config-if)#ip address 201.20.20.2 255.255.255.252
WAN (config-if)#no shut
RouterB(config)#int fa0/0
RouterB (config-if)#ip address 10.0.20.1 255.255.255.0
RouterB (config-if)#ip nat inside
RouterB (config-if)#no shut
interface Tunnel 0
ip mtu 1400
Remarque : Il est recommandé de changer le MTU des paquets IP qui traversent le tunnel à 1400 octets. Voir explication en fin du document.
Sur RouterB:
interface Tunnel 0
ip address 172.16.1.2 255.255.255.0
ip mtu 1400
4) Test de connectivité:
Sur RouterA, faire "ping 172.16.1.2". Le ping doit réussir.
Sur RouterA, faire "ping 10.0.20.1". Est ce que le ping abouti? si non pourquoi?
5) On veut que la communication entre les 2 sites passe par le tunnel, pour cela ajouter les routes suivantes:
authentication pre-share
Explication:
: Configure une clé partagée et l'associe à l'interface du RouteurB à savoir 204.20.20.2 donc l'interface du bout du tunnel.
- "P@ssword" sera la clé. Elle sera utilisée pour la phase d'authentification de RouterA avec RouterB.
- 0 indique que la clé qui suit est ne doit pas être chiffrée.
3) Création d'une ACL étendue pour définir la nature du trafic à crypter par ipsec
Tout le trafic qui entre par le tunnel gre sera crypté par IPSEC.
A présent il faut créer une crypto map, on entend par crypto map un paramètre qui va faire le lien entre les différents paramètres configurés précédemment. Nous allo
- donner un nom significatif à la map, par exemple S2SVPN (qui signifie Site-to-Site VPN)
interface S0/0
6) Pour renforcer la sécurité sur le routeur RouterA (facultatif), on peut créer l'ACL suivante:
RouterA(config)#int s0/0
7) Configurer RouterB de la même manière, vous devrez changer les ACL et l'adresse IP du routeur peer (ça devrait être 201.20.20.1).
· Faire une capture du trafic sur l'interface S0/0 de RouterA, puis RouterA# ping 10.0.20.1
· Faire
****************
C
M
o
T
m
U M
b
s T
i
p U
n
é r
a
c e
is
if c
o
i o
n
q m
d
u m
e
e a
t
r n
u
e d
n
q é
n
u
e
is
l
G 1 1
R 4 4
E 4 0
+ 0 0
I b b
P y y
s t t
e e e
c s s
(t
r
a
n
s
p
o
rt
m
o
d
e
)
G 1 1
R 4 4
E 2 0
+ 0 0
I b b
P y y
s t t
e e e
c s s
(t
u
n
n
e
l
m
o
d
e
)
Aucun commentaire:
Enregistrer un commentaire
Publier Aperçu
Follow by Email
bouzidaymen@gmail.com
Nom
E-mail *
Message *
Envoyer
Aymen Bouzid 2015. Thème Simple. Images de thèmes de fpm. Fourni par Blogger.