Vous êtes sur la page 1sur 12

ATELIER 1

Mise œuvre d’une solution VPN site-à-site de Cisco

Table d'adressage IP

Port de
Dispositi Interfac Masque de Passerelle
Adresse IP commutateu
f e sous-réseau par défaut
r

192.168.1.
Eth0 255.255.255.0 N/A S1 Eth5
1
R1

S1/0 255.255.255.25
10.1.1.1 N/A N/A
(DCE) 2

255.255.255.25
R2 S1/0 10.1.1.2 N/A N/A
2
S1/1 255.255.255.25
10.2.2.2 N/A N/A
(DCE) 2

192.168.3.
Eth0 255.255.255.0 N/A S3 Eth5
1
R3
255.255.255.25
S1/1 10.2.2.1 N/A N/A
2

192.168.1. 192.168.1.
PC-A NIC 255.255.255.0 S1 Eth6
3 1

192.168.3. 192.168.3.
PC-C NIC 255.255.255.0 S3 Eth6
3 1

Les ressources requises :

 3 routeurs (image Cisco 1941 avec Cisco IOS version 15.4 (3) M2 avec une
licence de package Security Technology)
 2 commutateurs (Cisco 2960 ou comparable) (non requis)
 2 PC (Windows 7 ou Windows 8.1, client SSH et WinRadius)
 Câbles série et Ethernet, comme indiqué dans la topologie
 Câbles de console pour configurer les périphériques réseau Cisco [B2]

3.3.1 Configuration des paramètres de base

a. Configuration des interfaces sur chaque routeur

Capture 1: Configuration des interfaces sur chaque routeur


b. Désactivation de la recherche DNS

Capture 2: Désactivation de la recherche DNS


c. Configuration du protocole de routage OSPF

Capture 3: Configuration du protocole de routage OSPF

d. Configuration des paramètres IP de l'hôte du PC

Capture 4: Configuration des paramètres IP de l'hôte du PC

e. Vérification de la connectivité du réseau


 Envoyez un ping de R1 à l'interface R3 Eth0 à l'adresse IP 192.168.3.1.

 Ping de PC-A sur le LAN R1 à PC-C sur le LAN R3.


Capture 5: Vérification de la connectivite

f. Configuration et chiffrement des mots de passe


Configurez les mêmes paramètres pour R1 et R3. R1 est montré ici à titre
d'exemple.

a. Configurez un mot de passe de longueur minimale (10).

b. Configurez le mot de passe secret sur les deux routeurs avec comme mot de
passe cisco12345.

c. Créez un compte local admin01 en utilisant admin01pass comme mot de passe.

Capture 6: Configuration et chiffrement des mots de passe


g. Configuration de la ligne de console
Configurez les mêmes paramètres pour R1 et R3. R1 est montré ici à titre
d'exemple.

Capture 7: Configuration de la ligne de console


h. Configuration du serveur SSH
1. Configurez un nom de domaine ccnasecurity.com.

2. Configurez les clés RSA avec 1024 pour le nombre de bits de module.

3. Exécutez la commande pour forcer l'utilisation de SSH version 2.

4. Configurez les lignes vty sur R1 et R3 pour utiliser la base de données locale
pour la connexion. L'accès à distance aux routeurs ne doit être autorisé
qu'en utilisant SSH. Configurez les lignes vty pour se déconnecter après cinq
minutes d'inactivité.
Capture 8: Configuration du serveur SSH

i. Enregistrement de la configuration de base pour les trois


routeurs

Capture 9: Enregistrement de la configuration de base pour les trois routeurs

3.3.2 Configuration du VPN site a site sur R1 et R3


Dans la partie 2 de ce laboratoire, vous configurez un tunnel VPN IPsec entre R1 et
R3 qui passe par R2.

a. Activation des stratégies IKE


IPsec est un cadre ouvert qui permet l’échange de protocoles de sécurité en tant
que nouvelles technologies, et les algorithmes de cryptage au fur et à mesure qu’ils
sont développés.

Il existe deux éléments centraux de configuration dans l’implémentation d’un VPN


IPsec :

 Implémenter les paramètres d’Échange de clés Internet (IKE)


 Implémenter des paramètres IPsec

 Vérifiez que IKE est pris en charge et activé.

La phase 1 d’IKE définit la méthode d’échange de clés utilisée pour transmettre et


valider les stratégies IKE entre pairs.

IKE doit être activé pour permettre à IPsec de fonctionner. IKE est activé, par
défaut, sur les images IOS avec des jeux de fonctionnalités cryptographiques.

 Établissez une stratégie ISAKMP.


Pour permettre la négociation de phase 1 d’IKE, vous devez créer une stratégie
ISAKMP et configurer une association de pairs impliquant cette stratégie ISAKMP.
Une stratégie ISAKMP définit les algorithmes d’authentification et de chiffrement
et la fonction de hachage utilisée pour envoyer du trafic de contrôle entre les deux
points de terminaison VPN. Lorsqu’une association de sécurité de l’ISAKMP a été
acceptée par les pairs de l’IKE, la phase 1 de l’IKE a été achevée. Les paramètres
de phase 2 d’IKE seront configurés ultérieurement.

Mettre la commande crypto isakmp policy number sur R1 avec comme stratégie
10.

Capture 10: Activation des stratégies IKE

b. Configuration de la stratégie ISAKMP de phase IKE 1

Votre choix d’un algorithme de chiffrement détermine la confidentialité du canal


entre les points de terminaison. L’algorithme de hachage contrôle l’intégrité des
données, en veillant à ce que les données reçues d’un homologue n’aient pas été
altérées en transit. Le type d’authentification garantit que le paquet a été envoyé
et signé par l’homologue distant.

Le groupe Diffie-Hellman est utilisé pour créer une clé secrète partagée par les
pairs qui n’ont pas été envoyés sur l’ensemble du réseau.

 Configurer une stratégie ISAKMP avec une priorité 10. Utilisez comme type
d’authentification pre-share, aes 256 pour l’algorithme de
chiffrement, sha comme algorithme de hachage, et l’échange de clés du
groupe Diffie-Hellman 14. Donnez à la stratégie une durée de vie
de 3600 secondes (une heure).

 Configurez la même stratégie sur R3.

Capture 11: Configuration de la stratégie ISAKMP de phase IKE 1


 Vérifiez la stratégie IKE avec la commande show crypto isakmp policy.

Capture 12: Vérification de la stratégie ISAKMP de phase IKE 1


c. Configuration des clés pré-partagées
 Chaque adresse IP utilisée pour configurer les pairs IKE est également
appelée l’adresse IP du point de terminaison VPN distant. Configurez la clé
pré-partagée de cisco123 sur le routeur R1. Les réseaux de production
doivent utiliser une clé complexe. Cette commande indique l’adresse IP R3
S0/0/1 à distance.
 Configurez la clé pré-partagée cisco123 sur le routeur R3. La commande sur
R3 pointe vers l’adresse IP R1 S0/0/0.

Capture 13: Configuration des clés pré-partagées

d. Configuration du IPsec transform set et la durée de vie


IPsec transform set est un autre paramètre de configuration crypto que les
routeurs négocient entre eux pour former une association de sécurité. Sur R1 et R3,
créez un ensemble de transformation (transform set) avec 50 comme valeur et
utilisez une transformation ESP avec un chiffrement AES 256 avec ESP et la
fonction de hachage sha.

 Vous pouvez également modifier la durée de vie de l’association de sécurité


IPsec qui a une valeur par défaut de 3600 secondes. Sur R1 et R3, réglez la
durée de vie de l’association de sécurité IPsec à 30 minutes, soit 1800
secondes.

Capture 14: Configuration de IPsec transform set et la durée de vie


e. Définition d’un trafic intéressant
 Configurez l’ACL de trafic IPsec VPN sur R1 avec la commande access-list.
 Configurez l’ACL de trafic IPsec VPN sur R3 avec la commande access-list.
Capture 15: Définition d’un trafic intéressant
f. Création et application d’une carte crypto
Une carte crypto associe le trafic qui correspond à une liste d’accès à un
homologue et à divers paramètres IKE et IPsec. Une fois la carte crypto créée, elle
peut être appliquée à une ou plusieurs interfaces. Les interfaces auxquelles elle est
appliquée doivent être celles auxquelles est confronté homologue IPsec.

 Créez la carte crypto sur R1, nommez-la CMAP et utilisez 10 comme numéro
de séquence. Un message s’affiche après l’émission de la commande.
 Utilisez l’adresse de correspondance <ACL> pour spécifier quelle liste
d’accès définit le trafic à chiffrer.
 La définition d’une adresse IP ou d’un nom d’hôte est requise. Définissez-le
sur l’interface de terminaison VPN distante de R3.
 Utilisez la commande set transform-set pour coder durement le transform-
set à utiliser avec cet homologue. Définissez le type de secret de mise en
avant parfait à l’aide de la commande set pfs et modifiez la durée de
l’association de sécurité IPsec par défaut avec la commande set security-
association lifetime seconds .
 Créez une carte crypto correspondante sur R3.

Capture 16: Création et application d’une carte crypto

 Appliquez la carte crypto aux interfaces s1/0 pour R1 et s1/1 pour R3.
Capture 17: Activation de la carte crypto
3.3.3 Vérification de l’opération VPN Ipsec

a. Vérification de la configuration IPsec sur R1 et R3


La commande show crypto isakmp policy affiche les stratégies IPsec configurées
sous la forme d’ensemble de transformation.

Utilisez la commande show crypto map pour afficher les cartes crypto qui seront
appliquées au routeur.

Capture 18 : Vérification de la configuration Ipsec

b. Génération d’un trafic d’essai et observation des résultats.


 Taper la commande debug ip ospf hello. Vous devriez voir paquets ospf
hello passant entre R1 et R3.

 Désactivez le trafic avec la commande no debug ip ospf hello ou undebug.


Capture 19: Génération de trafic (paquet hello)
 Utilisez un ping étendu de R1 à l’adresse IP de l’interface R3 Eth0
192.168.3.1. Ping étendu vous permet de contrôler l’adresse source des
paquets. Répondez comme indiqué dans l’exemple suivant. Appuyez
sur Entrée pour accepter les valeurs par défaut, sauf lorsqu’une réponse
spécifique est indiquée.

Capture 20: Test de connectivite

 Retapez la commande show crypto isakmp sa.


Capture 21: Affichage du trafic isakmp
 Ping de PC-A à PC-C. Si les ping ont été réussis, tapez la commande show
crypto IPsec sa

Capture 22: Affichage du trafic ipsec