Plus Créer un blog Connexion

Blog sur les technologies Cisco

de routage, commutation,
sécurité IP et services internet
évolutifs
c'est un blog pour les Ingénieurs et les techniciens spécialité réseaux informatique ainsi pour les professionnels
dans le domaine de réseaux informatique et sécurité réseaux

mercredi 23 avril 2014 Aymen BOUZID

Unknown
Configuration d'un tunnel GRE over IPSEC Afficher mon profil complet

Pré-requis: Vérifiez que l'IOS Cisco que vous allez utiliser supporte la commande "crypto" en mode de configuration
globale pour pouvoir faire la Partie 2 du TP (c2600 ne supporte pas des fonctionnalités de cryptage par exemple). Vous Articles du blog
pouvez choisir c7200.
►
► 2017 (9)
I) Configuration du tunnel GRE ►
► 2016 (8)
►
► 2015 (60)
1) Créer la topologie suivante sous GNS 3 :
▼
▼ 2014 (15)
►
► juillet (1)
2) Configuration de base de RouterA
RouterA(config)#int fa0/0 ►
► juin (1)
 ►
► mai (2)
▼
▼ avril (11)
►
► avr. 30 (2)
►
► avr. 25 (3)
►
► avr. 24 (3)
▼
▼ avr. 23 (1)
Configuration d'un
tunnel GRE over
IPSEC

►
► avr. 22 (2)
RouterA(config-if)#ip address 10.0.10.1 255.255.255.0
RouterA(config-if)#ip nat inside
RouterA(config-if)#no shut

RouterA(config)#int s0/0
RouterA(config-if)#ip address 201.20.20.1 255.255.255.252
RouterA(config-if)#ip nat outside
RouterA(config-if)#no shut
RouterA(config-if)#clock rate 64000
RouterA(config)#ip route 0.0.0.0 0.0.0.0 201.20.20.2

Les interfaces NAT ont été définies selon les flux entrants et sortants. De plus, une règle de routage par défaut est mise
en place afin de router le trafic vers l’interface 201.20.20.2 du routeur WAN.
Maintenant, nous allons mettre en place les ACLs pour s’assurer que le trafic ne passe pas par le routage classique mais
bien par le tunnel.
On exclut donc la source du LAN du site 1 à accéder au LAN du site 2 :
RouterA(config)#access-list 100 deny ip 10.0.10.0 0.0.0.255 10.0.20.0 0.0.0.255
RouterA(config)#access-list 100 permit ip 10.0.10.0 0.0.0.255 any
RouterA(config)#ip nat inside source list 100 interface s0/0 overload

Configuration de base du routeur WAN:

WAN(config)#int s0/0
WAN (config-if)#ip address 201.20.20.2 255.255.255.252
WAN (config-if)#no shut

WAN (config)#int s0/1

WAN (config-if)#ip address 204.20.20.1 255.255.255.252
WAN (config-if)#no shut
Configuration de base de RouterB :

RouterB(config)#int fa0/0
RouterB (config-if)#ip address 10.0.20.1 255.255.255.0
RouterB (config-if)#ip nat inside
RouterB (config-if)#no shut

RouterB (config)#int s0/0

RouterB (config-if)#ip address 204.20.20.2 255.255.255.252
RouterB (config-if)#ip nat outside
RouterB (config-if)#no shut
RouterB (config-if)#clock rate 64000
RouterB (config)#ip route 0.0.0.0 0.0.0.0 204.20.20.1

RouterB (config)#access-list 100 deny ip 10.0.20.0 0.0.0.255 10.0.10.0 0.0.0.255

RouterB (config)#access-list 100 permit ip 10.0.20.0 0.0.0.255 any
RouterB(config)#ip nat inside source list 100 interface s0/0 overload

3) Configuration du Tunnel GRE

Sur RouterA:

interface Tunnel 0

ip address 172.16.1.1 255.255.255.0

ip mtu 1400

tunnel source S0/0

tunnel destination 204.20.20.2

Remarque : Il est recommandé de changer le MTU des paquets IP qui traversent le tunnel à 1400 octets. Voir explication en fin du document.

Sur RouterB:

interface Tunnel 0
 ip address 172.16.1.2 255.255.255.0

ip mtu 1400

tunnel source S0/0

tunnel destination 201.20.20.1

4) Test de connectivité:
Sur RouterA, faire "ping 172.16.1.2". Le ping doit réussir.
Sur RouterA, faire "ping 10.0.20.1". Est ce que le ping abouti? si non pourquoi?
5) On veut que la communication entre les 2 sites passe par le tunnel, pour cela ajouter les routes suivantes:

RouterA(config)# ip route 10.0.20.0 255.255.255.0 172.16.1.2

RouterB(config)# ip route 10.0.10.0 255.255.255.0 172.16.1.1

Sur RouterA, faire "ping 10.0.20.1". Le ping doit réussir.

6) Capturer le trafic sur S0/0 de RouterA et visualiser le sous wireshark.

Sur RouterA, faire "ping 10.0.20.1 repeat 1". Décrire les échanges de paquets ICMP (voir les entêtes IP) et reproduire
sur papier comment les entêtes IP sont encapsulées.
II) Cryptage du tunnel GRE par IPSEC
IPsec et GRE sont combinés parce qu'IPsec ne supporte pas les paquets multicast IP, ce qui signifie que vous ne pouvez
pas exécuter un protocole de routage dynamique sur le réseau du VPN d'IPsec. Les tunnels GRE supportent le multicast ;
par conséquent, un tunnel GRE peut être utilisé d'abord pour encapsuler le paquet multicast du protocole de routage dans
un paquet unicast IP GRE, qui peut ensuite être crypté par IPsec.
***********
Dans cette partie, on se propose de sécuriser le trafic qui passe par le tunnel GRE.
1) Activation de ISAKMP
L’activation d’ISAKMP (Internet Security Association and Key Management Protocol) est obligatoire puisque ce
protocole est utilisé par le module IKE (Internet Key Exchange) lors de la sécurisation du trafic IP via IPSec.
RouterA(config)#crypto isakmp enable
Pareil pour RouterB.
2) Stratégie VPN
Après avoir activé ISAKMP, il est nécessaire de configurer une stratégie VPN sur les routeurs RouterA et RouterB,
celle-ci permet de définir, le numéro de séquence, le type d’encryptage , l’algorithme de hachage ou encore la durée de
vie. Il faut que les deux paires (RouterA et RouterB) aient une stratégie avec les même paramètres.
Les commandes ci-dessous seront exécutées sur RouterA (puis sur RouterB).

crypto isakmp policy 1

authentication pre-share

crypto isakmp key 6 P@ssword address 204.20.20.2

crypto ipsec security-association lifetime seconds 4096

crypto ipsec transform-set strong esp-3des esp-md5-hmac

Explication:

crypto isakmp key 6 P@ssword address 204.20.20.2

: Configure une clé partagée et l'associe à l'interface du RouteurB à savoir 204.20.20.2 donc l'interface du bout du tunnel.

- "P@ssword" sera la clé. Elle sera utilisée pour la phase d'authentification de RouterA avec RouterB.

- 6 indique que la clé qui suit doit être chiffrée.

- 0 indique que la clé qui suit est ne doit pas être chiffrée.

crypto ipsec security-association lifetime seconds 4096

: définit la durée de vie de la clé de cryptage.

crypto ipsec transform-set strong esp-3des esp-md5-hmac

 : définit des options pour le cryptage des données (les données subiront des transformations) par l'intermédiaire d'un
transform-set.
- strong est le nom donné au transform-set
- Esp-3des est la méthode de cryptage, esp-md5-hmac est la méthode d’authentification.

3) Création d'une ACL étendue pour définir la nature du trafic à crypter par ipsec

access-list 101 permit gre host 201.20.20.1 host 204.20.20.2

Tout le trafic qui entre par le tunnel gre sera crypté par IPSEC.

4) Création de la crypto map

A présent il faut créer une crypto map, on entend par crypto map un paramètre qui va faire le lien entre les différents paramètres configurés précédemment. Nous allo

- donner un nom significatif à la map, par exemple S2SVPN (qui signifie Site-to-Site VPN)

- l’activer pour le trafic correspondant à l’access-list VPN créé dans 3)

- spécifier l’adresse de destination

- et spécifier le type de cryptage

crypto map S2SVPN 10 ipsec-isakmp

match address 101

set peer 204.20.20.2

set transform-set strong

5) Application de la crypto map sur l’interface de sortie S0/0 de RouterA (extrémité du tunnel)

interface S0/0

crypto map S2SVPN

6) Pour renforcer la sécurité sur le routeur RouterA (facultatif), on peut créer l'ACL suivante:

RouterA(config)#access-list 103 permit gre host 204.20.20.2 host 201.20.20.1

RouterA(config)#access-list 103 permit esp host 204.20.20.2 host 201.20.20.1

RouterA(config)#access-list 103 permit udp host 204.20.20.2 eq isakmp host 201.20.20.1

RouterA(config)#access-list 103 deny ip any any

RouterA(config)#int s0/0

RouterA(config-if)#ip access-group 103 in

7) Configurer RouterB de la même manière, vous devrez changer les ACL et l'adresse IP du routeur peer (ça devrait être 201.20.20.1).

8) Tests de connectivité entre sites via le tunnel GRE over IPSec

· Faire une capture du trafic sur l'interface S0/0 de RouterA, puis RouterA# ping 10.0.20.1

· Faire

o RouterA# show crypto ?

et tester les différentes possibilités qui s'offrent à vous.

****************

GRE et IPsec ensemble

Des interactions plus complexes pour la fragmentation et le PMTUD se produisent quand IPsec est utilisé
pour le cryptage des tunnels GRE. IPsec et GRE sont combinés de cette manière parce qu'IPsec ne supporte
pas les paquets multicast IP, ce qui signifie que vous ne pouvez pas exécuter un protocole de routage
dynamique sur le réseau du VPN d'IPsec. Les tunnels GRE supportent le multicast ; par conséquent, un
tunnel GRE peut être utilisé d'abord pour encapsuler le paquet multicast du protocole de routage dans un
paquet unicast IP GRE, qui peut ensuite être crypté par IPsec. Dans ce cas, IPsec est souvent déployé en
mode transport en plus de GRE, car les homologues IPsec et les points d'extrémité du tunnel GRE (les
routeurs) sont identiques, et le mode transport permettra de gagner 20 octets de temps système IPsec.
Un cas intéressant se présente lorsqu'un paquet IP a été divisé en deux fragments et encapsulé par GRE.
Dans ce cas, IPsec verra deux GRE indépendants + paquets IP. Souvent, dans les configurations par défaut,
l'un de ces paquets est suffisamment volumineux pour nécessiter une fragmentation une fois le cryptage
effectué. L'homologue IPsec devra rassembler ce paquet avant déchiffrement. Cette « double fragmentation
» (une fois avant GRE et de nouveau après IPsec) sur le routeur expéditeur augmente la latence et diminue le
débit. En outre, le réassemblage est commuté par processus ; par conséquent, on assistera à un hit de CPU
sur le routeur récepteur chaque fois que cela se produit.
Cette situation peut être évitée en plaçant « ip mtu » sur l'interface de tunnel GRE assez bas pour prendre en
considération le temps système de GRE et d'IPsec (par défaut l'interface de tunnel GRE « ip mtu » est
définie sur le MTU de l'interface sortante réelle - octets de temps système GRE).
Le tableau suivant présente les valeurs de MTU suggérées pour chaque combinaison tunnel/mode, en
supposant que l'interface physique sortante a un MTU de 1500.

C
M
o
T
m
U M
b
s T
i
p U
n
é r
a
c e
is
if c
o
i o
n
q m
d
u m
e
e a
t
r n
u
e d
n
q é
n
u
e
is
l

G 1 1
R 4 4
E 4 0
+ 0 0
I b b
P y y
s t t
e e e
c s s
(t
r
a
n
s
p
o
rt
m
o
d
e
)

G 1 1
R 4 4
E 2 0
+ 0 0
I b b
P y y
s t t
e e e
c s s
(t
u
n
n
e
l
m
o
d
 e
)

Publié par Unknown à 23:55

Réactions : amusant (0) intéressant (0) passionnant (0)

Aucun commentaire:
Enregistrer un commentaire

Saisissez votre commentaire…

Commentaire : Compte Google

Publier Aperçu

Article plus récent Accueil Article plus ancien

Inscription à : Publier les commentaires (Atom)

Follow by Email

Email address... Submit

bouzidaymen@gmail.com
Nom

E-mail *

Message *

Envoyer

Aymen Bouzid 2015. Thème Simple. Images de thèmes de fpm. Fourni par Blogger.