T Cisco VPN Configuration Guide - Step-By-Step Configuration of Cisco VPNs For ASA and Routers

Page 1
C ISCO ® VPN
C ONFIGURATION G UIDE
P ractical C ISCO VPN C ONFIGURATION T UTORIALS
Votre ressource d'information unique
Pour configurer les technologies VPN Cisco
sur les routeurs et les pare-feu ASA
W RITTEN B Y : H ARRIS A ndrea
MSc Génie Electrique et Informatique
Cisco Certified Network Associate (CCNA)
Cisco Certified Network Professional (CCNP)
Professionnel de la sécurité certifié Cisco (CCSP)
Hacker éthique certifié (CEH)
Analyste de sécurité certifié EC-Council (ECSA)
http://www.networkstraining.com
Prendre plaisir
Page 2
2
Mention légale:
© 2014, Harris Andrea.
Tous les droits sont réservés.
Courriel: admin@networkstraining.com
Site Web: http://www.networkstraining.com/
Ce livre contient du matériel protégé par les lois et traités internationaux et fédéraux sur le droit d'auteur. Aucune partie
de cette publication peut être transmise ou reproduite de quelque manière que ce soit sans l'autorisation écrite préalable du
auteur. Les violations de ce droit d'auteur seront appliquées dans toute l'étendue de la loi.
Les services d'information et les ressources fournis dans ce livre sont basés sur Internet
l'environnement ainsi que l'expérience de l'auteur. Les techniques présentées ici se sont avérées
réussi. Parce que les technologies changent constamment, les configurations et les exemples présentés dans ce
Le livre peut changer, cesser ou s'agrandir avec le temps. Nous espérons que les compétences et les connaissances acquises
grâce à ce livre
vous fournira la capacité de vous adapter à l'évolution inévitable des services technologiques. Toutefois, nous
ne peut être tenu responsable des changements qui pourraient affecter l'applicabilité de ces techniques. Les opinions
exprimés dans ce livre appartiennent à l'auteur et ne sont pas nécessairement ceux de Cisco Systems, Inc. L'auteur est
non affilié à Cisco Systems, Inc.
Toutes les marques déposées sont des marques déposées de leurs propriétaires respectifs. Plutôt que de mettre un symbole de
marque après chaque
apparition d'un nom de marque, nous n'utilisons les noms que de manière éditoriale, et au profit de la
propriétaire de la marque, sans intention de contrefaçon de la marque. Où ces désignations apparaissent dans
ce livre, ils ont été imprimés avec des majuscules initiales.
Tous les noms de produits, logos et illustrations sont les droits d'auteur de leurs propriétaires respectifs. Aucun des
propriétaires n'a
sponsorisé ou approuvé cette publication. Bien que toutes les tentatives aient été faites pour vérifier les informations fournies,
l'auteur n'assume aucune responsabilité pour les erreurs, omissions ou interprétation contraire du sujet
ici. Les affronts perçus des peuples ou des organisations ne sont pas intentionnels. L'acheteur ou le lecteur de ce
publication assume la responsabilité de l'utilisation de ces matériaux et informations. Aucune garantie de revenu
sont faits. L'auteur se réserve le droit d'apporter des modifications et n'assume aucune responsabilité ou responsabilité
que ce soit au nom de tout acheteur ou lecteur de ces documents.
ISBN-10: 1-5005-2290-2
ISBN-13: 978-1-5005-2290-2
Prendre plaisir
Page 3
3
Table des matières:

Chapitre 1 Introduction aux technologies
VPN ............................................ ........................................ 8
1.1
VPN basé sur une stratégie ou basé sur un
itinéraire. .................................................. .................................................. ........... 9
1.2
VPN basé sur des stratégies (VPN IPSEC
traditionnel) ......................................... .................................................. 11
1.2.1
Qu'est-ce que
IPSEC ............................................... .................................................. ............................................. 11
1.2.2
Comment fonctionne
IPSEC ............................................... .................................................. .................................... 13
1.2.3
VPN IPSEC de site à site et hub-and-spoke ..................................... ............................................. 13
1.2.4
VPN IPSEC d'accès à distance. .................................................. .................................................. ...............
15
1,3
VPN basé sur
l'itinéraire .............................................. .................................................. ................................................ 16
1.3.1
VPN utilisant
GRE ............................................... .................................................. ........................................... 16
1.3.1.1 GRE contre
IPSEC ............................................ .................................................. ............................................ 17
1.3.2
VPN utilisant Virtual Tunnel Interface (VTI) .......................................... ............................................ 19
1.3.2.1 VTI
statique ............................................. .................................................. .................................................. 20
1.3.2.2 VTI
dynamique ............................................. .................................................. ............................................. 21
1,4
VPN multipoint dynamique
(DMVPN) ............................................ .................................................. .............. 23
1,5
VPN basés sur SSL
(WebVPN). .................................................. .................................................. ....................... 26
1.5.1
Types de VPN basés sur SSL. .................................................. .................................................. ..................
26
1.5.2
Comparaison entre les technologies VPN SSL ............................................. .................................. 26
1.5.3
Vue d'ensemble du fonctionnement d'AnyConnect
VPN: ............................................ ........................................... 27
1,6
Applications pratiques pour chaque type de
VPN ............................................ .................................................. .. 29
1.6.1
Applications VPN basées sur des stratégies (IPSEC
traditionnelles) ......................................... ........................ 29
1.6.2
Applications GRE VPN basées sur les routes ............................................ .................................................. ...
30
1.6.3
Applications VPN VTI basées sur les routes ............................................ .................................................. .....
31
1.6.4
Applications VPN multipoint dynamiques .............................................. .............................................. 31
Chapitre 2 Configuration VPN sur les routeurs
Cisco ........................................... ................................. 33
2,1
Configuration VPN basée sur des stratégies sur les routeurs
Cisco .......................................... .................................... 33
2.1.1
VPN IPSEC de site à site. .................................................. .................................................. ....................... 33
2.1.1.1 VPN IPSEC de site à site avec IP dynamique ..................................... ...............................................
42
2.1.2
VPN IPSEC Hub-and-Spoke. .................................................. .................................................. .............. 44
2.1.3
VPN IPSEC d'accès à distance. .................................................. .................................................. ...............
47
Prendre plaisir
Page 4
4
2.1.4
VPN IPSEC de site à site et d'accès distant sur le même appareil ..................................... .............. 53
2.2
Configuration VPN basée sur l'itinéraire sur les routeurs
Cisco .......................................... .................................... 59
2.2.1
VPN de site à site utilisant GRE avec protection IPSEC ....................................... ............................. 59
2.2.2
VPN Hub-and-Spoke utilisant GRE avec protection IPSEC ....................................... .................... 63
2.2.3
VPN utilisant une interface de tunnel virtuel statique (SVTI) ......................................... ..............................
68
2.2.4
VPN utilisant l'interface DVTI (Dynamic Virtual Tunnel Interface) ......................................... ......................
69
2,3
VPN multipoint dynamique
(DMVPN) ............................................ .................................................. .............. 76
2,4
VPN
PPTP ................................................ .................................................. .................................................. ...........
83
Chapitre 3 Configuration VPN sur les pare-feu
ASA ........................................... ................................. 87
3.1
Configuration VPN basée sur des stratégies sur Cisco
ASA .......................................... ........................................... 87
3.1.1
VPN IPSEC de site à site. .................................................. .................................................. ....................... 87
3.1.1.1 Restriction du trafic VPN IPSEC entre les deux sites ....................................... .................. 94
3.1.2
VPN IPSEC Hub-and-Spoke avec IP Spoke dynamique ....................................... ........................... 96
3.1.2.1 Communication Spoke to Spoke via le Hub ASA ....................................... ........................... 99
3.1.3
VPN IPSEC entre Cisco ASA et le routeur Cisco .......................................... .......................... 102
3.1.4
VPN IPSEC d'accès à distance. .................................................. .................................................. ............ 106
3.1.5
Hub-and-Spoke et VPN d'accès à distance sur le même appareil ...................................... .............. 111
3.1.5.1 Permettre aux utilisateurs distants d'accéder aux sites Spoke via le
concentrateur ..................................... .. 115
3.1.6
VPN IPSEC site à site avec basculement à l'aide d'un FAI de secours ...................................... ...................
117
3.1.7
VPN IPSEC de site à site avec sous-réseaux en double - Exemple 1 ...................................... .......... 123
3.1.8
VPN IPSEC de site à site avec sous-réseaux en double - Exemple2 ...................................... .......... 127
3.1.9
VPN IPSEC IKEv2 de site à site. .................................................. .................................................. ...... 131
3.2
Configuration VPN basée sur SSL sur Cisco ASA .......................................... ..............................................
139
3.2.1
VPN Web SSL d'Anyconnect. .................................................. .................................................. ............. 139
3,3
Authentification VPN à l'aide d'un serveur externe ............................................. .............................................
149
3.3.1
Authentification VPN à l'aide de Microsoft Active Directory ............................................ ............... 149
3.3.2
Authentification VPN avec RADIUS ou TACACS ............................................ ............................. 152
3.3.3
Authentification VPN utilisant RSA. .................................................. .................................................. ... 154
Chapitre 4 Exemples de configuration
complets . .................................................. .......................... 156
4.1
Configurations VPN complètes sur les routeurs Cisco ............................................ ....................................
156
4.1.1
VPN IPSEC de site à site. .................................................. .................................................. .................... 156
Prendre plaisir
Page 5
5
4.1.2
VPN IPSEC de site à site avec IP dynamique ........................................ .............................................. 160
4.1.3
VPN IPSEC Hub-and-Spoke - Rayons IP statiques ....................................... .................................... 164
4.1.4
VPN IPSEC Hub-and-Spoke - Spoke IP dynamique ....................................... ............................... 170
4.1.5
VPN IPSEC d'accès à distance. .................................................. .................................................. ............ 173
4.1.6
VPN IPSEC de site à site et d'accès distant sur le même appareil ..................................... ........... 176
4.1.7
VPN de site à site utilisant GRE avec protection IPSEC ....................................... ........................... 184
4.1.8
VPN Hub-and-Spoke utilisant GRE avec protection IPSEC ....................................... .................. 188
4.1.9
VPN Hub-and-Spoke utilisant DVTI et SVTI ........................................ .......................................... 195
4.1.10
VPN multipoint dynamique (DMVPN) ............................................ .................................................. 202
4.1.11
Protocole PPTP (Point to Point Tunelling Protocol) .......................................... ..........................................
209
4.2
Configurations VPN complètes sur Cisco ASA ............................................ ............................................ 211
4.2.1
VPN IPSEC de site à site. .................................................. .................................................. .................... 211
4.2.2
VPN IPSEC Hub-and-Spoke avec IP Spoke dynamique ....................................... ........................ 216
4.2.3
VPN IPSEC entre Cisco ASA et le routeur Cisco .......................................... .......................... 223
4.2.4
VPN IPSEC d'accès à distance sur Cisco ASA ........................................... .......................................... 228
4.2.5
Hub-and-Spoke et VPN d'accès à distance sur le même appareil ...................................... .............. 231
4.2.6
VPN IPSEC site à site avec basculement à l'aide d'un FAI de secours ...................................... ...................
239
4.2.7
VPN IPSEC site à site avec sous-réseaux dupliqués - Exemple1 ...................................... ............ 245
4.2.8
VPN IPSEC de site à site avec sous-réseaux en double - Exemple2 ...................................... ............ 250
4.2.9
VPN Web SSL d'Anyconnect. .................................................. .................................................. ............. 255
Prendre plaisir
Page 6
6
A propos de l'auteur:
Harris Andrea est un ingénieur senior en sécurité réseau travaillant pour un service Internet de premier plan
Fournisseur en Europe. Il est diplômé de l'Université du Kansas USA en 1998 avec un BS et MS
diplômes en génie électrique et en informatique. Depuis, il travaille dans le
Domaine de réseautage, conception, mise en œuvre et gestion de projets de réseautage à grande échelle
avec
Produits et technologies Cisco. Son objectif principal est la sécurité réseau basée sur Cisco ASA
Pare-feu, technologies VPN, produits IDS / IPS, services AAA, fonctionnalités de sécurité IOS, etc.
soutenir ses connaissances et se forger une solide réputation professionnelle, Harris a poursuivi et gagné
plusieurs certifications Cisco telles que CCNA, CCNP, CCSP et d'autres certifications liées à la sécurité
telles que
comme CEH et ECSA. Il est également un blogueur technologique qui doit un blog de réseautage sur les
technologies Cisco
que vous pouvez visiter pour des informations techniques supplémentaires et des tutoriels.
http://www.networkstraining.com
Prendre plaisir
Page 7
sept
Introduction:
Merci d'avoir acheté ce livre technique sur la configuration des technologies VPN Cisco. Virtuel
Les réseaux privés constituent un sujet brûlant dans la mise en réseau car ils fournissent des
communications tout en améliorant la productivité en étendant les réseaux d'entreprise à
Emplacements.
Les deux principaux périphériques réseau Cisco prenant en charge les VPN sont les routeurs Cisco et Cisco
ASA
Pare-feu. C'est pourquoi ce livre se concentre sur les implémentations VPN utilisant ces deux types
d'appareils. je
souvenez-vous d'avoir construit mon premier VPN IPSEC site à site en 2000 à l'aide de deux pare-feu
Cisco PIX 501. je
a été impressionné lorsque la communication a été établie entre deux réseaux LAN privés sur le
L'Internet. Depuis, j'ai conçu, configuré et géré des centaines d'implémentations VPN
en utilisant des routeurs Cisco et des pare-feu PIX / ASA. Ce livre est donc le résultat de mon travail
expérience de la technologie VPN Cisco depuis plus d'une décennie.
J'ai essayé d'inclure les topologies VPN les plus importantes et les plus courantes que vous trouverez dans
réseaux du monde réel. En outre, j'ai inclus plusieurs scénarios qui sont peu fréquents ou
inhabituels à rencontrer et ils sont également un peu difficiles à configurer. Ceux-ci incluent le basculement
VPN
utilisant Backup ISP, VPN de site à site avec sous-réseaux en double, VPN Hairpinning, Active Directory
authentification, DMVPN etc.
Les réseaux privés virtuels sont basés sur des protocoles et des algorithmes complexes. L'intention de ce
livre
n'est pas de se plonger dans la théorie et les détails des VPN, mais plutôt de fournir des informations
pratiques et étape par étape
instructions de configuration. Néanmoins, certaines nécessitaient une théorie de base, des applications et
des comparaisons
des différents types de VPN sont inclus dans le livre. Dans l'ensemble, je pense que ce livre est
probablement le
la ressource la plus à jour et la plus complète sur les VPN Cisco et je crois fermement qu'elle le sera
précieux pour les professionnels des réseaux Cisco.
Si vous êtes intéressé par mon autre livre « Cisco ASA Firewall Fundamentals-3 rd Edition », vous
pouvez
trouvez plus d'informations ici: http://www.networkstraining.com/ciscoasaebook.php
Pour toute question que vous pourriez avoir ou clarification sur les informations présentées dans ce livre,
veuillez me contacter au: admin@networkstraining.com
Amusez-vous bien en lisant mon livre. J'espère que ce sera une ressource précieuse pour vous.
Prendre plaisir
Page 8
8
Chapitre 1 Introduction aux technologies VPN

L'intention de ce livre est d'être un guide de configuration pratique des principales technologies VPN
pris en charge par Cisco, je ne couvrirai donc pas toute la théorie et les détails derrière les réseaux privés
virtuels.
Cependant, une description introductive des différents types de VPN que nous utiliserons tout au long
ce livre est essentiel. Plus précisément, je discuterai brièvement de certaines théories et applications
pratiques de
VPN basés sur des stratégies (VPN IPSEC traditionnels), VPN basés sur des routes (VPN GRE et VPN
basés sur
Virtual Tunnel Interface-VTI), VPN Web SSL, et enfin VPN multipoint dynamique (DMVPN). dans le
Dans les prochains chapitres, nous aborderons les détails pratiques de configuration des différents types de
VPN.
Le diagramme ci-dessous illustre les quatre catégories générales de VPN que nous utiliserons dans ce livre.
Prendre plaisir
Page 9
9
1.1 VPN basé sur des politiques et basé sur des routes
Deux catégories VPN importantes prises en charge par Cisco sont les deux premières présentées sur la
figure ci-dessus. Celles-ci
sont des VPN basés sur des politiques et des itinéraires . À mon avis, il est important de décrire les
principaux
différences entre ces deux types de VPN. Connaître les différences aidera les professionnels à choisir
le bon type de VPN pour leur entreprise ou leurs clients.
Ces deux catégories VPN utilisent le protocole IPSEC (nous le décrirons plus tard) qui est le
standard de facto pour la création de réseaux VPN sécurisés. Voyons une brève description d'entre eux ci-
dessous:
• VPN IPSEC basé sur des stratégies : il s'agit du type VPN IPSEC traditionnel qui est encore largement
utilisé
aujourd'hui. Cette catégorie VPN est prise en charge sur les pare-feu Cisco ASA et les routeurs Cisco. Avec
ce type de VPN, l'appareil crypte et encapsule un sous-ensemble de trafic transitant par un
interface selon une politique définie (à l'aide d'une liste de contrôle d'accès). Le protocole IPSEC est
utilisé pour le tunneling et pour sécuriser le flux de communication. La plupart des discussions sur
IPSEC dans ce livre est basé sur l'ancien IPSEC IKEv1, bien qu'il y ait une petite section
sur le nouvel IPSEC IKEv2.
• VPN basé sur les routes: une configuration VPN basée sur les routes utilise un tunnel routé de couche 3
interfaces en tant que points de terminaison du réseau virtuel. Tout le trafic passant par une spéciale
L'interface de tunnel de couche 3 est placée dans le VPN. Plutôt que de s'appuyer sur une politique
explicite pour
dicter quel trafic entre dans le VPN, les routes IP statiques ou dynamiques sont configurées pour diriger le
trafic souhaité via l'interface du tunnel VPN. Cette méthode de configuration est prise en charge
uniquement sur les routeurs Cisco et est basé sur les interfaces de tunnel GRE ou VTI comme nous le
verrons plus tard. Pour
communication sécurisée, les VPN basés sur l'itinéraire utilisent également le protocole IPSEC au-dessus
du GRE ou
Tunnel VTI pour tout crypter.
Prendre plaisir
Page 10
dix
Le tableau ci - dessous présente les principales différences entre la politique à base et basé sur les
itinéraires réseaux privés virtuels:
VPN IPSEC basé sur des stratégies
(IPSEC traditionnel)
VPN basé sur l'itinéraire
(GRE et VTI)
Pris en charge sur la plupart des périphériques réseau (Cisco
Routeurs, Cisco ASA, autres fournisseurs, etc.)
Pris en charge uniquement sur les routeurs Cisco IOS. Très
Interopérabilité limitée avec d'autres fournisseurs.
Ne prend pas en charge les protocoles multicast ou non IP Prend en charge la multidiffusion (GRE et VTI)
et
protocoles non IP (GRE)
Les protocoles de routage (par exemple, OSPF, EIGRP) ne peuvent pas passer
via le tunnel VPN
Les protocoles de routage (par ex. OSPF, EIGRP) peuvent passer
via le tunnel VPN.
Utilisez une liste d'accès pour sélectionner le trafic en cours
à chiffrer et à placer dans un tunnel VPN.
Tout le trafic passant par un tunnel spécial
L'interface sera encapsulée et placée dans le
VPN.
Sécurité renforcée en natif
GRE ou VTI seuls n'assurent pas la sécurité. Toi
doit les combiner avec IPSEC pour sécuriser le
VPN.
Configuration complexe
Configuration simplifiée
QoS limitée.
QoS est entièrement pris en charge.
Prendre plaisir
Page 11
11
1.2 VPN basé sur des politiques (VPN IPSEC
traditionnel)
Cette section traite du VPN basé sur des stratégies utilisant la norme de protocole IPSEC. C'est le
traditionnel
VPN IPSEC utilisé également par de nombreux autres fournisseurs en plus de Cisco. IPSEC est pris en
charge sur Cisco
Pare-feu ASA (par défaut) et routeurs Cisco (avec l'image IOS appropriée).
L'IPSEC traditionnel peut être utilisé pour créer des VPN de site à site (également appelés LAN-to-Lan) et
également des clients
VPN d' accès à distance . Le premier type de VPN (Site-to-Site ou Hub-and-Spoke) est utilisé pour
connectez ensemble des réseaux LAN distants, tandis que le dernier (Remote Access VPN) permet
utilisateurs / télétravailleurs pour communiquer en toute sécurité avec leur réseau d'entreprise.
Le protocole IPSEC hérité (IKEv1 IPSEC) a été amélioré avec une nouvelle version IPSEC, également
appelée
IPSEC IKEv2. Dans ce livre, nous traitons principalement de l'ancien IPSEC IKEv1 car il est toujours le
le plus largement utilisé dans le monde. Cependant, nous décrirons brièvement également le nouvel IPSEC
IKEv2
et voyez un scénario de configuration de base avec ce nouveau type d'IPSEC sur les pare-feu de Cisco
ASA.
1.2.1 Qu'est-ce que IPSEC
La sécurité IP ( IPSEc ) est une norme IETF ouverte qui permet une communication sécurisée et cryptée. Il
est un ensemble de protocoles qui assurent la confidentialité, l'intégrité et l'authentification des données. Un
virtuel
Le réseau privé ( VPN ) est un tunnel privé sécurisé sur un chemin non sécurisé (par exemple sur Internet).
IPSEC est donc idéal pour créer des VPN sur Internet ou sur tout autre réseau non sécurisé.
Par conséquent, vous trouverez IPSEC dans la plupart des implémentations VPN, soit utilisé comme
protocole de tunneling
seul (comme dans les VPN basés sur des politiques) ou en conjonction avec GRE ou VTI (comme dans les
VPN basés sur des routes).
IPSEc fonctionne au niveau de la couche réseau, chiffrant et authentifiant les paquets IP entre les
périphériques (pairs), tels que les routeurs Cisco, les pare-feu Cisco ASA, les clients logiciels VPN, etc.
une norme IETF, presque tous les fournisseurs de pare-feu et de routeur le prennent en charge. Ainsi, vous
pouvez utiliser des
IPSEC pour créer des VPN entre différents fournisseurs tels que Cisco, Juniper, Checkpoint, Palo Alto,
Fortinet, Sonic Wall etc.
Prendre plaisir
Page 12
12
REMARQUE:
Une limitation importante du VPN IPSEC traditionnel est que SEUL le trafic IP de monodiffusion peut
passer
le tunnel VPN. Cela signifie que si vous avez deux sites ou plus connectés via Internet avec
VPN IPSEC, vous ne pouvez pas transmettre de multicast ou d'autres protocoles non IP (tels que IPX ou
AppleTalk) via
le VPN. Par exemple, le passage des protocoles de routage (tels que OSPF et EIGRP qui utilisent la
multidiffusion) est
pas possible via un tunnel IPSEC. Afin de prendre en charge le trafic multicast, vous devez utiliser d'autres
Technologies de protocole VPN (telles que GRE ou VTI utilisant une configuration VPN basée sur
l'itinéraire).
Les protocoles et normes IPSEc suivants seront utilisés plus tard dans notre discussion, c'est donc une
bonne idée
pour expliquer brièvement leurs fonctionnalités et leur utilisation:
• ESP (Encapsulating Security Payload): C'est le premier des deux principaux protocoles qui
constituent la norme IPSEc. Il assure l'intégrité, l'authentification et la confidentialité des données
prestations de service. ESP est utilisé pour crypter la charge de données des paquets IP.
• AH (Authentication Header): c'est le deuxième des deux principaux protocoles d'IPSEc. Il
fournit l'intégrité des données, l'authentification et la détection de relecture. Il ne fournit pas de cryptage
services, mais agit plutôt comme une «signature numérique» pour les paquets afin de garantir que la
falsification des
les données ne se sont pas produites.
• Internet Key Exchange (IKE): il s'agit du mécanisme utilisé par l'appliance VPN pour
échanger en toute sécurité les clés de chiffrement, authentifier les pairs IPSEc et négocier IPSEc
Paramètres de sécurité. Sur le pare-feu et les routeurs Cisco ASA, c'est synonyme d' ISAKMP
(ou IKEv1 ) comme nous le verrons dans la configuration IPSEc.
• DES, 3DES, AES: tous ces algorithmes de chiffrement sont pris en charge par le pare-feu Cisco ASA et
Routeurs. DES est le plus faible (utilise une clé de cryptage de 56 bits) et AES est le plus puissant
(utilise des clés de chiffrement de 128, 192 ou 256 bits). 3DES est un choix intermédiaire utilisant 168 bits
Clé de cryptage.
• Groupe Diffie-Hellman (DH): il s'agit d'un protocole de cryptographie à clé publique utilisé par IKE
pour
établir des clés de session.
• MD5, SHA-1: ce sont les deux algorithmes de hachage utilisés pour authentifier les données de paquets.
SHA est
plus fort que MD5.
• Association de sécurité (SA): une SA est une connexion entre deux homologues IPSEc. Chaque IPSEc
l'homologue maintient une base de données SA dans sa mémoire contenant les paramètres SA. Les SA sont
uniques
identifié par l'adresse d'homologue IPSEc, le protocole de sécurité et l'index des paramètres de sécurité
(SPI).
Prendre plaisir
Page 13
13
1.2.2 Comment fonctionne IPSEC
Il y a cinq étapes principales suivies par les périphériques IPSEc:
1. Trafic intéressant : les appareils IPSEc reconnaissent le trafic à protéger à l'aide du contrôle d'accès
Listes (dans IPSEC basé sur des politiques).
2. Phase 1 (ISAKMP / IKEv1) : Les périphériques IPSEc négocient une politique de sécurité IKE et
établir un canal de communication sécurisé.
3. Phase 2 (IPSEc) : les périphériques IPSEc négocient une politique de sécurité IPSEc pour protéger les
données.
4. Transfert de données : les données sont transférées en toute sécurité entre les pairs IPSEc sur la base de
l'IPSEc
paramètres et clés négociés lors des phases précédentes.
5. Tunnel IPSEc terminé : les associations de sécurité IPSEc se terminent lors de l'expiration du délai ou
d'un certain volume de données
est atteint.
Les étapes ci-dessus deviendront claires lorsque nous verrons des exemples de configuration réels.
Commençons par le
première application VPN IPSEc que nous décrirons dans cette section: Site-à-site et Hub-and-Spoke
VPN IPSEC.
1.2.3 VPN IPSEC de site à site et Hub-and-Spoke
Juste à des fins d'illustration, les schémas ci-dessous montrent un simple VPN de site à site et un simple
Hub-
et-Spoke des topologies utilisant des dispositifs de pare-feu Cisco ASA. Dans ce livre, nous verrons
comment configurer
Topologies VPN IPSEC site-à-site et Hub-and-Spoke utilisant des pare-feu ASA, des routeurs Cisco et
également
combinaison de routeurs avec ASA. Une topologie Hub-and-Spoke utilise plusieurs VPN de site à site
entre un appareil central (concentrateur) et des appareils de site distant (rayons).
Prendre plaisir
Page 14
14
Les VPN IPSEc de site à site (et Hub-and-Spoke) sont parfois appelés VPN LAN-to-LAN. Comme le nom
implique que ce type de VPN connecte ensemble deux (ou plus) réseaux LAN distants sur Internet.
Habituellement, les réseaux locaux utilisent l'adressage privé comme indiqué sur notre diagramme ci-
dessus. Sans VPN
connectivité, les réseaux LAN privés ci-dessus (LAN-1, LAN-2, LAN-3) ne pourraient pas
Prendre plaisir
Page 15
15
communiquer. En configurant un VPN IPSEc de site à site entre les pare-feu ASA, nous pouvons établir un
tunnel sécurisé sur Internet, et passez notre trafic LAN privé à l'intérieur de ce tunnel. Le résultat est que
les hôtes du réseau 192.168.1.0/24 peuvent désormais accéder directement aux hôtes en 192.168.2.0/24 et
en
192.168.3.0/24 réseaux (et vice-versa) comme s'ils se trouvaient dans le même LAN. L'IPSEc
tunnel est établi entre les adresses IP publiques des pare-feu. Vous pouvez trouver toute la configuration
détails dans les sections 2.1.1, 2.1.2, 3.1.1, 3.1.2.
1.2.4 VPN IPSEC d'accès à distance
La deuxième application pratique du VPN IPSEc basé sur des politiques que nous décrirons dans cette
section est
Accès à distance VPN IPSEC à l'aide d'un client VPN Cisco installé sur l'ordinateur d'un utilisateur distant.
Ce
le type de VPN permet aux utilisateurs distants / télétravailleurs ayant accès à Internet d'établir un VPN
IPSEc sécurisé
tunnel avec leur réseau d'entreprise central. L'utilisateur doit disposer d'un logiciel client VPN Cisco
installé sur son ordinateur qui permettra une communication sécurisée avec l'IPSEC activé
périphérique (pare-feu ou routeur ASA) dans le bureau central. Une fois le VPN établi entre le
utilisateur distant et le périphérique compatible IPSEC, l'utilisateur se voit attribuer une adresse IP privée à
partir d'un
pool prédéfini, puis se connecte au réseau LAN d'entreprise. Toutes les ressources LAN peuvent
puis être accessible à distance. Voir l'exemple de diagramme ci-dessous:
Prendre plaisir
Page 16
16
Notre exemple de topologie de réseau ci-dessus montre un pare-feu ASA central (il pourrait également
s'agir d'un IPSEC
capable Router) protégeant le réseau local d'entreprise et un utilisateur distant avec un client VPN logiciel
établir une connexion sécurisée avec l'ASA. Une adresse IP dans la plage 192.168.20.0/24 sera
attribué au client VPN, qui sera autorisé à communiquer avec l'entreprise interne
réseau 192.168.1.0/24. Une fois le VPN d'accès à distance établi, l'utilisateur distant par défaut
ne pourra accéder à rien d'autre sur Internet, à l'exception du réseau LAN d'entreprise. Ce
le comportement peut être modifié en configurant la fonction « split tunneling » sur le pare-feu (ou
routeur),
ce qui n'est cependant pas recommandé pour des raisons de sécurité. Vous pouvez trouver tous les détails
de configuration dans
Sections 2.1.3, 3.1.4.
1.3 VPN basé sur les routes
Les VPN basés sur les routes ne sont pris en charge que sur les routeurs Cisco. Une interface de tunnel
virtuel de couche 3 (par exemple
« Interface Tunnel 0 ») est configuré en mode GRE ou VTI. Ensuite, pour avoir la sécurité
protection du VPN, un profil IPSEC est attaché à l'interface Tunnel. Tout le trafic qui passe
via cette interface de tunnel est cryptée et placée dans le VPN. Le routage statique ou dynamique est utilisé
pour déplacer le trafic vers cette interface de tunnel afin de passer par le tunnel VPN. Comme nous l'avons
dit
ci-dessus, les VPN basés sur les routes sont basés sur les technologies GRE ou VTI. Commençons par GRE
basé
VPN.
1.3.1 VPN utilisant GRE
L'encapsulation de routage générique (GRE) a été initialement développée par Cisco mais plus tard
normalisé et est maintenant utilisé par de nombreux autres fournisseurs. GRE encapsule les paquets dans un
extra
En-tête IP (avec adresse IP supplémentaire et en-tête GRE supplémentaire de 4 octets) et envoie ce nouveau
paquet à travers
le réseau. Si vous disposez de deux réseaux LAN séparés avec des adresses IP privées, vous pouvez créer
un
GRE VPN tunnel entre eux sur Internet et permettre aux deux sous-réseaux privés
communiquer. Les paquets IP privés seront encapsulés dans un nouveau paquet IP GRE (qui
utiliser l'adresse IP publique comme nouvel en-tête des paquets IP privés) et donc les deux LAN privés
les sous-réseaux peuvent communiquer sur Internet.
Prendre plaisir
Page 17
17
Le diagramme ci-dessous montre un VPN simple de site à site utilisant l'encapsulation GRE:
REMARQUE: GRE est pris en charge uniquement sur les routeurs Cisco. Les pare-feu ASA ne prennent
pas en charge GRE VPN.
Comme le montre le schéma ci-dessus, les deux routeurs sont connectés à Internet avec une adresse IP
publique
adresses (20.20.20.2 et 30.30.30.2). Étant donné que les deux adresses IP publiques sont accessibles via le
Internet, vous pouvez configurer un tunnel GRE entre eux, et ainsi vous pouvez autoriser les deux
Réseaux LAN (192.168.1.0 et 192.168.2.0) pour communiquer entre eux. Vous devez aussi
configurer une interface virtuelle Tunnel ( Tunnel 0 ) sur chaque routeur qui sera utilisée pour exécuter le
GRE
encapsulation du trafic. Chaque interface Tunnel doit avoir une adresse IP privée dans le même réseau
range avec l'interface Tunnel de l'autre site (10.0.0.1 et 10.0.0.2 dans l'exemple ci-dessus).
Le diagramme ci-dessus montre seulement deux sites. Vous pouvez également configurer une topologie
Hub-and-Spoke (c.-à-d.
Site Hub avec deux sites distants Spoke ou plus) mais vous devrez configurer un tunnel différent
Interfaces (Tunnel 0, Tunnel 1, etc.) afin d'avoir un tunnel GRE point à point entre le Hub
et chaque rayon. Vous pouvez trouver tous les détails de configuration pour les VPN GRE dans les sections
2.2.1, 2.2.2.
1.3.1.1 GRE contre IPSEC
Le schéma et la description ci-dessus sont similaires avec la fonctionnalité VPN IPSEC de site à site.
Cependant, l'une des principales différences entre GRE et IPSEC traditionnel est que GRE VPN ne
Prendre plaisir
Page 18
18
fournir un cryptage ou toute autre sécurité aux paquets par rapport au VPN IPSEC. La meilleure option
pour
GRE VPN est de le combiner avec IPSEC. Cela signifie que nous pouvons protéger le tunnel GRE à
l'intérieur d'un
Tunnel IPSEC, assurant ainsi également la sécurité (voir schéma ci-dessous):
REMARQUE:
Le scénario présenté ci-dessus est un exemple de « VPN basé sur l'itinéraire » que nous avons mentionné
dans la section 1.1
au dessus de. Nous verrons plus de VPN basés sur les routes plus tard dans la section Interfaces de tunnel
virtuel (VTI).
Une autre différence entre GRE et IPSEC traditionnel est qu'avec GRE VPN, vous pouvez passer la
multidiffusion
et tout autre trafic non IP à l'intérieur du tunnel. Ceci n'est pas pris en charge avec le VPN IPSEC
traditionnel (stratégie-
basé sur IPSEC). Seul le trafic unicast IP peut passer par un tunnel IPSEC traditionnel. Le diagramme
ci-dessous montre une implémentation de GRE VPN avec communication de protocole de routage entre
deux
des sites:
Prendre plaisir
Page 19
19
Comme indiqué ci-dessus, Site1 et Site2 ont plusieurs réseaux internes. Avec le tunnel GRE en place, vous
pouvez
exécuter des protocoles de routage (tels que EIGRP ou OPSF) entre les deux sites afin d'annoncer tous
réseaux internes d'un site à l'autre. EIGRP ou OSPF utilisent la multidiffusion pour le routage des mises à
jour
la communication. La multidiffusion peut passer sans problème à travers le tunnel GRE. De plus, vous
pouvez
appliquez également la protection IPSEC au-dessus de GRE pour tout protéger, et ainsi vous pouvez avoir
le meilleur
des deux mondes (GRE et IPSEC combinés).
Le tableau ci-dessous illustre une comparaison entre les VPN IPSEC traditionnels et GRE.
Traditionnel
VPN IPSEC
(basé sur des politiques
VPN)
VPN GRE
(basé sur l'itinéraire
VPN)
Combinaison
IPSEC / GRE
(basé sur l'itinéraire
VPN IPSEC)
Sécurité
Fort
Aucun
Fort
Les données
Protocoles
Prise en charge
Uniquement IP Unicast
Trafic
Multidiffusion et
plusieurs non-IP
protocoles
prise en charge
Multidiffusion et
plusieurs non-IP
protocoles
prise en charge
Périphériques Cisco
Soutien
Pare-feu ASA,
Routeurs Cisco
Uniquement sur Cisco
Les routeurs
Les routeurs
REMARQUE:
Les protocoles non IP pris en charge par GRE incluent IPX, SNA, Appletalk, DECNet, Banyan Vines, etc.
1.3.2 VPN utilisant l'interface de tunnel virtuel (VTI)
Le deuxième type de VPN basé sur les routes dont nous parlerons est l'interface de tunnel virtuel. VTI est
un
type d'interface spécial Layer3 (pris en charge uniquement sur les routeurs Cisco) et est utilisé pour créer
VPN. C'est très similaire avec GRE avec quelques différences comme nous le verrons plus tard. VTI est
toujours
configuré avec la protection IPSEC. Tout le trafic qui passe par l'interface VTI est chiffré avec
IPSEC (similaire à l'exemple GRE combiné avec IPSEC avant).
Prendre plaisir
Page 20
20
Il existe deux types de VTI:
• Static VTI (SVTI) : Très similaire avec l'implémentation de VPN GRE point à point utilisant un tunnel
les interfaces. Utilisé principalement pour quelques sites pour créer des VPN de site à site.
• Dynamic VTI (DVTI) : il utilise des modèles virtuels similaires aux anciens
implémentations. Très utile dans les déploiements Hub-and-Spoke où vous avez plusieurs rayons
des sites. Le routeur Hub peut utiliser un seul DVTI et les sites Spoke distants peuvent utiliser un VTI
statique
pour vous connecter au Hub. De nouveaux rayons peuvent être ajoutés sans changer la configuration du
HUB.
1.3.2.1 VTI statique
Le diagramme ci-dessous montre une implémentation simple de l'interface de tunnel virtuel statique
(SVTI).
Comme vous pouvez le voir sur le diagramme ci-dessus, c'est très similaire avec GRE VPN utilisant des
interfaces de tunnel. le
la commande « tunnel mode ipsec ipv4 » configure l'interface tunnel en tant que VTI qui peut prendre en
charge
IPSEC natif. Le mode par défaut d'une interface Tunnel est GRE. En configurant l'interface Tunnel comme
VTI, nous éliminons l'encapsulation supplémentaire de 4 octets utilisée par GRE. Cependant, le VTI
L'interface prend en charge uniquement le trafic de multidiffusion et de monodiffusion IP, par rapport à
GRE qui
plusieurs protocoles non IP en plus de la multidiffusion.
Le diagramme ci-dessus montre seulement deux sites. Vous pouvez également configurer une topologie
Hub-and-Spoke (c.-à-d.
Hub avec deux sites distants ou plus), mais vous devrez configurer un tunnel différent
Interfaces (Tunnel 0, Tunnel 1 etc) pour avoir un tunnel SVTI point à point entre le Hub
et chaque rayon. Vous pouvez trouver tous les détails de configuration pour Static VTI dans la section 2.2.3
Prendre plaisir
Page 21
21
Le tableau ci-dessous illustre les principales différences entre les VPN GRE et VTI.
VPN GRE
VPN VTI
Sécurité
Fort (avec
IPSEC)
Fort (avec
IPSEC)
Protocoles de données
Prise en charge
Multidiffusion,
Unicast et
plusieurs non-IP
protocoles
prise en charge
Multidiffusion et
Unicast uniquement
Aérien
4 octets supplémentaires
nécessaire pour GRE
Aucun extra
aérien
Périphériques Cisco
Soutien
Les routeurs
Les routeurs
1.3.2.2 VTI dynamique
Un VTI dynamique (DVTI) a été utilisé à l'origine pour créer des VPN d'accès à distance à l'aide
d'EazyVPN
fonctionnalité. Cependant, dans les nouvelles versions de routeur IOS, DVTI est adapté pour créer des
gérer les topologies Hub-and-Spoke comme indiqué ci-dessous.
Prendre plaisir
Page 22
22
Un DVTI nécessite une configuration minimale sur le routeur HUB. Une seule interface « modèle virtuel »
est
configuré sur le concentrateur et un profil de sécurité IPSEC peut être attaché sur cette interface pour la
protection.
Les sites distants des succursales Spoke peuvent utiliser des interfaces VTI statiques (Tunnel Interface) et
créer des
Tunnels IPSEC VTI avec le HUB. Chaque tunnel Spoke-to-Hub crée un «accès virtuel» dynamique
interface de tunnel sur le HUB qui est clonée à partir de l'interface Virtual-Tunnel. Si cela sonne
déroutant, cela deviendra clair lorsque nous verrons les détails de configuration dans la section 2.2.4.
La configuration du site HUB central n'a pas besoin de changer lorsque de nouveaux sites Spoke sont
ajoutés
dans la topologie. Le concept de «modèle virtuel» était à l'origine utilisé dans les anciens réseaux
commutés
où plusieurs clients distants pouvaient se connecter à un routeur commuté central.
Les protocoles de routage dynamique (tels que OSPF et EIGRP) peuvent être configurés à la fois sur HUB
et Spoke
sites rendant ainsi l'ensemble de la topologie très évolutif et facile à déployer. À travers la dynamique
protocole de routage, tous les sites Spoke apprendront les réseaux de l'autre branche Spokes, et donc
les rayons peuvent communiquer entre eux via le routeur Hub central (ce scénario
Prendre plaisir
Page 23
23
s'applique à tous les VPN basés sur l'itinéraire). Afin d'avoir une communication directe Spoke-to-Spoke
dont vous avez besoin
pour aller avec la technologie DMVPN que nous décrirons ensuite.
1.4 VPN multipoint dynamique (DMVPN)
DMVPN est le type de VPN le plus évolutif et le plus efficace. Il est utilisé presque exclusivement avec
Hub-
et-Spoke où vous voulez avoir des tunnels VPN Spoke-to-Spoke directs en plus de
Tunnels Spoke-to-Hub. Cela signifie que les sites Spoke peuvent communiquer directement entre eux
sans avoir à passer par le Hub. DMVPN est pris en charge uniquement sur les routeurs Cisco.
REMARQUE:
Avec les précédents VPN basés sur l'itinéraire, vous pouvez toujours avoir une communication Spoke-to-
Spoke mais le
le trafic doit passer par le Hub pour atteindre l'autre site Spoke.
Notre discussion sur DMVPN sera basée sur le schéma suivant:
Prendre plaisir
Page 24
24
Voici quelques points clés à garder à l'esprit sur DMVPN:
• Chaque site de succursale (Spoke) dispose d'un tunnel IPSEC permanent avec le site central (Hub).
• Les tunnels Spoke-to-Spoke sont établis à la demande chaque fois qu'il y a du trafic entre
les sites Spoke. Par la suite, les paquets sont capables de contourner le site Hub et d'utiliser la fonction
speak-to-
a parlé tunnel directement.
• Tous les tunnels utilisent Multipoint GRE avec protection IPSEC.
• NHRP (Next Hop Resolution Protocol) est utilisé pour mapper les adresses IP privées des interfaces de
tunnel
avec leurs adresses IP publiques WAN correspondantes. Par exemple, NHRP mappera Tunnel IP 10.0.0.2
(Router-2) avec son IP WAN public de 30.30.30.2. Un mappage similaire se produit avec Router-3 comme
bien.
• Les mappages NHRP ci-dessus seront conservés sur le routeur du serveur NHRP (HUB). Chaque rayon
communique avec le serveur NHRP (Hub) et enregistre son adresse IP publique et ses
IP privée de l'interface de tunnel vers le routeur Hub. Ainsi, le routeur Hub stockera tous les mappages
pour « Tunnel Interface IP / Public WAN IP » de tous les sites Spoke.
• Lorsqu'un rai doit envoyer un paquet à un sous-réseau de destination (privé) sur un autre rai, il
interroge le serveur NHRP afin de connaître l'adresse publique (en dehors du WAN) du
la destination (cible) a parlé.
• Un protocole de routage dynamique (par exemple EIGRP) est en cours d'exécution entre tous les sites,
annonce ainsi toutes les adresses IP
adresses (tunnel privé, LAN privé) à tous les autres routeurs.
Exemple de communication entre le routeur 2 et le routeur 3
• D'après notre schéma ci-dessus, le routeur-2 sait que le sous-réseau 192.168.3.0/24 (LAN-3) est
accessible
via Tunnel IP 10.0.0.3. Ceci est appris via le protocole de routage dynamique fonctionnant entre tous
des sites.
• Cependant, le routeur-2 ne connaît pas encore l'adresse IP publique du routeur-3. Ainsi, il interroge le
NHRP
Serveur (routeur Hub) afin d'apprendre le mappage IP public pour Tunnel IP 10.0.0.3.
• Le serveur NHRP répondra que 10.0.0.3 correspond à l'IP publique 40.40.40.2 (WAN de
Routeur-3). Notez que l'adresse IP WAN publique du routeur-3 peut être une adresse IP attribuée
dynamiquement (non
doit être une adresse IP statique).
• Ainsi, un tunnel GRE / IPSEC sera créé dynamiquement entre Router-2 et Router-3.
Prendre plaisir
Page 25
25
• Désormais, le routeur 2 encapsule tout le trafic IP privé de son propre LAN (192.168.2.0/24
réseau) dans ce nouveau tunnel GRE / IPSEC et envoyez-le au routeur-3. Par conséquent, nous avons
maintenant
communication directe par tunnel entre LAN-2 et LAN-3.
Le tableau ci-dessous montre une comparaison des principales similitudes et différences entre DMVPN et
les autres VPN basés sur les routes que nous avons décrits précédemment (c'est-à-dire GRE et VTI).
DMVPN
VPN basés sur les routes
(GRE et VTI)
Sécurité
Fort (lors de l'utilisation
IPSEC)
Fort (lors de l'utilisation d'IPSEC)
Prise en charge de la multidiffusion
Oui
Oui
Protocoles de routage dynamique
à travers le tunnel
Prise en charge
Prise en charge
Évolutivité
Excellent
Très bon (sur DVTI)
Pas bon (de l'autre
les types)
Communication entre
des sites
Communication directe
entre
Spoke-to-Hub et
Spoke-to-Spoke
Communication directe
entre Spoke-to-Hub.
Le trafic Spoke-to-Spoke disparaît
via le Hub.
Complexité de la configuration
Haute
Faible
Prise en charge des périphériques Cisco
Uniquement sur les routeurs Cisco
Uniquement sur les routeurs Cisco
Vous pouvez trouver tous les détails de configuration de DMVPN dans la section 2.3
Prendre plaisir
Piste 26
26
1.5 VPN basés sur SSL (WebVPN)
Dans cette section, nous décrirons la plus récente fonctionnalité VPN d'accès à distance prise en charge sur
Cisco
Appareils, appelés VPN basés sur SSL. Ce type est également appelé WebVPN dans la terminologie Cisco.
Basé sur SSL
Les VPN sont utilisés pour permettre aux utilisateurs distants de se connecter à leur réseau central via un
navigateur Web normal
avec cryptage SSL.
1.5.1 Types de VPN basés sur SSL
Il existe principalement deux types de VPN SSL pris en charge par les périphériques Cisco:
• Mode sans client WebVPN: il s'agit de la première implémentation de SSL WebVPN prise en charge. Il
permet aux utilisateurs d'établir un tunnel VPN d'accès distant sécurisé à l'aide d'un simple navigateur Web.
Là
n'est pas nécessaire pour un client VPN logiciel ou matériel. Cependant, seules des applications limitées
peut être consulté à distance.
• AnyConnect WebVPN: un client Java spécial est installé sur l'ordinateur de l'utilisateur
fournir un tunnel sécurisé SSL vers le site central. Fournit une connectivité réseau complète
(similaire avec le client d'accès à distance IPSec). Toutes les applications et ressources réseau au
le site central est accessible à distance.
1.5.2 Comparaison entre les technologies VPN SSL
Dans ce livre, nous nous concentrerons uniquement sur AnyConnect WebVPN. J'ai décidé de ne pas
m'embêter avec le Clientless
WebVPN parce que je pense que les avantages d'utiliser AnyConnect au lieu de Clientless sont
plus. Pour justifier ce que je dis, voyons les différences entre les deux modes WebVPN et je suis
vous comprendrez certainement pourquoi je me concentre uniquement sur AnyConnect!
• WebVPN sans client ne nécessite l' installation d'aucun client VPN sur l'ordinateur de l'utilisateur. Il
utilise un navigateur Web normal. En pointant le navigateur vers https: // [adresse externe de l'ASA]
l'utilisateur s'authentifie auprès du dispositif du bureau central et accède à un portail Web.
Grâce à ce portail Web, l'utilisateur peut alors accéder à un nombre limité d'applications internes.
Plus précisément, seules les applications Web internes (HTTP, HTTPs), les serveurs de messagerie (POP3,
SMTP,
IMAP), les partages de fichiers Windows et un petit nombre d'applications héritées TCP (par exemple
Telnet) peuvent
être accessible. Autrement dit, il n'y a pas de connectivité réseau complète avec Clientless WebVPN.
Prendre plaisir
Page 27
27
• AnyConnect WebVPN , d'autre part, fournit une connectivité réseau COMPLÈTE au
utilisateur distant qui se connecte avec un navigateur Web et un client Java est installé sur son / elle
ordinateur. Le pare-feu ou le routeur ASA, fonctionnant comme serveur AnyConnect WebVPN, attribue un
Adresse IP à l'utilisateur distant et attache l'utilisateur au réseau. Ainsi, tous les protocoles IP
et les applications fonctionnent à travers le tunnel SSL VPN sans aucun problème. Par exemple, un
l'utilisateur distant, après s'être connecté avec succès avec AnyConnect VPN, peut ouvrir un Remote
Connexion au bureau et accéder à un serveur Windows Terminal Server à l'intérieur du réseau central.
Bien qu'un client Java spécial doive être installé sur l'ordinateur de l'utilisateur, ce
le client peut être fourni dynamiquement à l'utilisateur à partir du périphérique ASA ou routeur.
L'utilisateur peut
connectez-vous avec un navigateur à l'ASA ou au routeur et téléchargez le client Java à la demande. le
Le client Java peut rester installé ou même être supprimé du bureau de l'utilisateur lorsque
déconnecté du VPN. Ce client Java est de petite taille (environ 3 Mo) et est stocké sur
la mémoire flash ASA ou routeur. Le nouveau produit Anyconnect s'appelle désormais « Cisco
Anyconnect Secure Mobility Client »et à partir de la version 3.x et supérieure, il prend en charge SSL
et VPN IPSEC IKEv2.
1.5.3 Vue d'ensemble du fonctionnement d'AnyConnect VPN:
Le diagramme ci-dessous montre une topologie de réseau avec ASA et un utilisateur distant avec
AnyConnect VPN.
Prendre plaisir
Page 28
28
À partir du diagramme ci-dessus, le pare-feu ASA est configuré en tant que serveur AnyConnect WebVPN.
Une télécommande
l'utilisateur a accès à Internet et possède une adresse IP sur la carte d'interface de son ordinateur portable
10.1.1.1
(IP NIC). L'utilisateur peut également être derrière un routeur faisant NAT / PAT et avoir son adresse IP
privée
traduit en IP publique par le routeur NAT. Lorsque l'utilisateur distant se connecte et réussit
s'authentifie à l'ASA avec le client d'AnyConnect, l'ASA attribuera une adresse IP interne à
l'utilisateur à partir d'une plage d'adresses IP préconfigurée (dans notre exemple ci-dessus, cette plage
d'adresses est
192.168.5.1 jusqu'à 192.168.5.20). À partir du diagramme ci-dessus, l'ASA attribue l'IP 192.168.5.1 au
utilisateur distant. Cela signifie que l'utilisateur distant est virtuellement connecté au réseau local de
l'entreprise derrière le
Pare-feu ASA.
L'aperçu des opérations décrit ci-dessus suppose que le client AnyConnect est déjà installé sur
l'ordinateur portable de l'utilisateur. Voyons ci-dessous les options disponibles pour installer initialement le
client AnyConnect.
Il existe deux options d'installation initiale pour le client AnyConnect:
• Utilisation du portail WebVPN sans client.
• Installation manuelle par l'utilisateur
En utilisant le portail Web sans client, l'utilisateur se connecte d'abord et s'authentifie auprès de l'ASA avec
un
navigateur Web et le client Java Anyconnect sont automatiquement téléchargés et installés sur le
l'ordinateur de l'utilisateur (l'utilisateur peut également cliquer sur l'onglet «AnyConnect» sur le portail
WebVPN pour télécharger
le client). Cela signifie que le client Java ( extension .pkg ) est déjà stocké sur le flash ASA
mémoire par l'administrateur (vous devez la télécharger à partir du site Cisco). C'est le préféré
méthode à mon avis car elle automatise la distribution du client aux utilisateurs distants.
Avec la méthode d'installation manuelle, l'administrateur réseau doit télécharger le fichier approprié
Client Java (programme d'installation du package Microsoft MSI ou l'une des autres versions du système
d'exploitation) du site Cisco et
fournir le fichier aux utilisateurs pour une installation manuelle sur leur ordinateur portable. Avec cette
méthode, l'utilisateur fait
pas besoin de se connecter via le mode sans client pour démarrer le tunnel SSL VPN. Au lieu de cela, les
utilisateurs peuvent démarrer le
Client AnyConnect manuellement à partir de son bureau et fournir ses informations d'authentification. Toi
pouvez trouver tous les détails de configuration dans la section 3.2.1.
Prendre plaisir
Page 29
29
1.6 Applications pratiques pour chaque type de VPN
Le but de ce livre étant d'être une référence pratique des implémentations VPN Cisco, j'aimerais
pour discuter de quelques applications pratiques que chaque type de VPN décrit ci-dessus peut être utilisé.
Je n'irai pas
dans beaucoup de détails. Quelques points suffiront. Commençons par le VPN basé sur des politiques:
1.6.1 Applications VPN basées sur des stratégies (IPSEC traditionnelles)
• Comme IPSEC est normalisé, les implémentations IPSEC traditionnelles sont prises en charge sur
gamme d'appareils. Les routeurs Cisco et Cisco ASA prennent en charge l'IPSEC traditionnel.
• Si vous souhaitez créer des VPN entre des appareils de différents fournisseurs, IPSEC basé sur des règles
est la meilleure option.
• De plus, si vous avez un mélange de routeurs Cisco et de pare-feu Cisco ASA dans votre topologie, alors
encore une fois IPSEC traditionnel est votre seule option.
• Gardez à l'esprit que seul le trafic monodiffusion est pris en charge. Si vous souhaitez avoir des
protocoles de routage ou
autre trafic multicast à travers le tunnel, alors IPSEC traditionnel ne fonctionnera pas.
• Pour les topologies Hub-and-Spoke, l'IPSEC traditionnel ne s'adapte pas correctement. Je dirais de
découvrez que si vous avez plus de 8 à 10 sites distants connectés à un hub central,
peut-être qu'un type de VPN différent sera plus approprié.
• Pour les topologies Hub-and-Spoke, si vous avez des sites distants qui reçoivent un WAN dynamique
adresse IP publique (par exemple via DHCP ou PPPoE), vous devez alors configurer une crypto map
dynamique
sur le périphérique Hub central.
• Si vous utilisez NAT pour fournir un accès Internet à votre LAN interne, vous devez
configurer une exemption NAT spéciale pour le trafic qui ira à l'intérieur du tunnel IPSEC.
• Si vous avez des périphériques Cisco ASA dans votre réseau, l'IPSEC traditionnel est votre seule option.
Prendre plaisir
Piste 30
30
1.6.2 Applications GRE VPN basées sur les routes
• Si vous souhaitez disposer d'un réseau VPN prenant en charge la monodiffusion IP, la multidiffusion (par
ex.
protocoles) et plusieurs protocoles non IP, le protocole GRE est votre seule option.
• Gardez à l’esprit que GRE ne fournit pas de chiffrement, vous devez donc l’utiliser conjointement avec
IPSEC si vous avez besoin de communications sécurisées.
• Si vous avez des pare-feu Cisco ASA dans votre réseau, alors GRE VPN n'est pas pris en charge.
Seulement Cisco
Les routeurs prennent en charge GRE.
• Pour les topologies Hub-and-Spoke, les tunnels GRE point à point ne sont pas très évolutifs car vous
besoin de configurer une «interface de tunnel» différente pour chaque lien de tunnel point à point (c.-à-d.
chaque tunnel Hub-to-Spoke). À mon avis, si vous avez plus de 10 succursales distantes
connecté à un site central, puis choisissez une solution plus évolutive telle que Dynamic VTI ou
DMVPN. Cependant, ces deux technologies (DVTI et DMVPN) ne prennent en charge que la
monodiffusion et
trafic multicast contrairement à GRE qui prend également en charge les protocoles non IP en plus.
• Dans les topologies Hub-and-Spoke, vous pouvez établir une communication entre les succursales
distantes (c.-à-d.
trafic étoile à rayon) via le routeur central du concentrateur (pas de communication directe en étoile). Toi
devra exécuter un protocole de routage dynamique (par exemple EIGRP, OSPF) entre tous les sites afin de
distribuer les routes des réseaux LAN privés à tous les sites.
• Si vous souhaitez prendre en charge le trafic non IP (tel que IPX, Appletalk, etc.), GRE est votre seul
option.
• Si vous avez des sites qui reçoivent une adresse IP extérieure dynamique du FAI, alors point à point
Les tunnels GRE ne fonctionneront pas car vous devez spécifier une adresse IP source et de destination sur
les interfaces de tunnel. Vous devez configurer GRE multipoint (avec DMVPN) ou DVTI dans
afin de prendre en charge les succursales qui ont une adresse IP publique dynamique en dehors.
Prendre plaisir
Piste 31
31
1.6.3 Applications VPN VTI basées sur les routes
• Si vous n'avez pas besoin de prendre en charge les protocoles non IP, mais que vous souhaitez avoir la
multidiffusion dans votre VPN
réseau, puis les VPN VTI (Virtual Tunnel Interface) offrent une option préférée par rapport à
GRE.
• Les tunnels VTI utilisent moins de frais généraux que GRE, ce qui vous permet d'utiliser plus
efficacement la bande passante.
• Si vous avez des pare-feu Cisco ASA dans votre topologie VPN, alors VTI n'est pas pris en charge.
Seulement Cisco
Les routeurs prennent en charge VTI.
• Pour les topologies Hub and Spoke avec peu de branches distantes (par exemple jusqu'à 10), vous pouvez
utiliser
VPN VTI statiques.
• Pour les topologies Hub-and-Spoke avec de nombreuses branches distantes (par exemple plus de 10), un
plus
L'option évolutive consiste à utiliser Dynamic VTI sur le site Hub et Static VTI sur les sites distants.
• Dans les topologies Hub-and-Spoke, vous pouvez établir une communication entre les succursales
distantes (c.-à-d.
trafic étoile à rayon) via le routeur central du concentrateur (pas de communication directe en étoile). Toi
devra exécuter un protocole de routage dynamique (par exemple EIGRP, OSPF) entre tous les sites afin de
distribuer les routes des réseaux LAN privés à tous les sites.
• Si vous avez des sites qui reçoivent une adresse IP extérieure dynamique du FAI, vous devez utiliser
DVTI sur le routeur Hub et SVTI sur les routeurs de branche distants.
1.6.4 Applications VPN multipoint dynamiques
• Si vous avez une grande topologie de réseau VPN avec un site concentrateur central et de nombreux
(dizaines ou
des centaines de sites distants qui doivent communiquer directement entre eux, puis
DMVPN est la meilleure option.
• Les sites distants des succursales ont un tunnel VPN IPSEC permanent avec le site Hub, et
Les tunnels VPN IPSEC sont créés entre les sites de succursales à la demande (c.-à-d.
trafic entre succursales).
• Prend en charge le trafic monodiffusion et multidiffusion dans les tunnels VPN.
• Pris en charge uniquement sur les routeurs Cisco.
Prendre plaisir
Piste 32
32
• DMVPN est également idéal si la VoIP fonctionne sur vos sites. La succursale directe
la communication permise par DMVPN réduit la latence et la gigue, améliorant ainsi le réseau
performances et qualité VoIP.
• DMVPN prend également en charge les sites de succursales distantes qui reçoivent une adresse IP
publique dynamique de
le FAI. Pas besoin d'avoir une adresse IP publique statique pour les succursales distantes.
Prendre plaisir
Piste 33
33
Chapitre 2 Configuration VPN sur les routeurs

Cisco
Dans ce chapitre, nous abordons plus de détails techniques sur la configuration VPN. Nous verrons
comment le
diverses catégories de VPN que nous avons décrites au chapitre 1 sont en fait implémentées sur les
périphériques Cisco.
Ce chapitre se concentrera sur la configuration VPN sur les routeurs Cisco et le prochain chapitre portera
sur
Configuration VPN sur les pare-feu Cisco ASA.
2.1 Configuration VPN basée sur des politiques sur
Cisco
Les routeurs
2.1.1 VPN IPSEC de site à site
Il s'agit de la forme la plus simple de configuration VPN IPSEC traditionnelle. Puisque c'est la première
configuration
nous allons décrire, et parce que c'est la base d'autres implémentations IPSEC que nous sommes
allez voir plus tard, nous décrirons cette configuration dans les détails étape par étape.
Dans notre exemple de topologie de réseau ci-dessus, nous avons deux sites via lesquels nous voulons nous
connecter
Internet avec un tunnel VPN IPSEC. LAN-1 et LAN-2 pourront communiquer en toute sécurité sur
l'Internet. Les deux sites ont une adresse IP publique statique attribuée par le FAI. Dans un autre scénario
plus tard
nous verrons également un cas dans lequel l'un des sites possède une adresse IP publique dynamique du
FAI.
Prendre plaisir
Piste 34
34
Comme nous l'avons décrit dans la section 1.2.2 ci-dessus dans « Comment fonctionne IPSEc », il y a
cinq étapes dans
fonctionnement d'IPSEc. Ensuite, nous décrirons les commandes de configuration nécessaires à chaque
étape de
afin de configurer le VPN. Toutes les commandes de configuration ci-dessous se réfèrent au schéma de
réseau illustré
au dessus de.
• ÉTAPE 1: Configurez le trafic intéressant
Nous devons d'abord définir le trafic intéressant , c'est-à-dire le trafic que nous voulons chiffrer. En
utilisant
Access-Lists ( Crypto ACL ) nous pouvons identifier quel flux de trafic doit être crypté. Dans notre
exemple
diagramme ci-dessus, nous voulons que tout le flux de trafic entre les réseaux privés 192.168.1.0/24 et
192.168.2.0/24 à chiffrer. Cependant, tout autre trafic de LAN-1 ou LAN-2 vers Internet
pas passer par le tunnel VPN.
La configuration du «trafic intéressant» pour le chiffrement est l'une des raisons pour lesquelles ce type de
VPN est également
appelé «VPN basé sur des règles»: un sous-ensemble sélectionné de trafic passant par une interface
(généralement
Interface WAN) est chiffrée et insérée dans le tunnel VPN selon une politique prédéfinie qui
est implémenté avec la «Crypto ACL» et plusieurs autres paramètres.
Routeur R1:
R1 (config) # IP access-list VPN-ACL étendu
R1 (config-ext-nacl) # permis ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Routeur R2:
Notez que nous devons configurer la liste d'accès miroir exacte pour chaque routeur participant au
VPN IPSEc. Le Crypto ACL doit identifier uniquement le trafic sortant sur chaque routeur. Le permis
dans l'ACL signifie que le flux de trafic spécifique sera chiffré et transporté à travers
le tunnel VPN.
Prendre plaisir
Piste 35
35
Exemption NAT
Un problème important à considérer est le cas de l'utilisation de NAT sur le routeur pour l'accès Internet.
Car
IPSEc ne fonctionne pas avec NAT, nous devons exclure le trafic à chiffrer du NAT
opération. Cela signifie dans notre exemple que le trafic intéressant dans la crypto-ACL ne doit pas être
traduit (doit être exclu du NAT).
La configuration ci-dessous montre comment exclure le trafic du tunnel VPN de l'opération NAT. Si tu ne
le fais pas
utilisez NAT, alors la configuration ci-dessous n'est pas nécessaire.
Routeur R1:
R1 (config) # IP access-list étendue NAT-ACL
R1 (config-ext-nacl) # deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ← Exclure le trafic
de LAN1 à LAN2 à partir de l'opération NAT
R1 (config-ext-nacl) # allow ip 192.168.1.0 0.0.0.255 any ← Autoriser tout autre trafic de
LAN-1 à NAT
! Activez la fonctionnalité NAT sur les interfaces FE0 / 1 (intérieur) et FE0 / 0 (extérieur)
R1 (config) # ip nat à l'intérieur de la liste des sources Interface NAT-ACL Surcharge
FastEthernet0 / 0
R1 (config) # interface FastEthernet0 / 0
R1 (config-if) # ip nat extérieur
R1 (config-if) # ip nat à l'intérieur
Routeur R2:
R2 (config) # deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 ← Exclure le trafic de
LAN2 à LAN1 à partir de l'opération NAT
R2 (config) # allow ip 192.168.2.0 0.0.0.255 any ← Autoriser tout autre trafic du LAN-2 à être
NATé
Prendre plaisir
Piste 36
36
R2 (config) # ip nat dans la liste des sources Interface NAT-ACL Surcharge FastEthernet0 / 0
• ÉTAPE 2: configuration de la phase 1 (ISAKMP)
La phase 1 de l'opération IPSEc est utilisée pour établir un canal de communication sécurisé pour d'autres
données
transmission. Dans la phase 1, les pairs VPN échangent des clés secrètes partagées, s'authentifient,
négocient
Politiques de sécurité IKE etc. Dans cette phase, nous configurons une politique isakmp qui DOIT
correspondre à la politique
configuré sur les autres pairs. Cette politique isakmp indique aux autres pairs quelle sécurité
les paramètres doivent être utilisés dans le VPN (par exemple, protocole de cryptage, algorithme de
hachage, authentification
méthode, Diffie Hellman Group (DH), seuil de durée de vie du tunnel, etc.).
Plusieurs stratégies isakmp peuvent être configurées pour répondre à différentes exigences de différents
IPSEc
pairs. Le numéro de priorité identifie de manière unique chaque stratégie. Plus le numéro de priorité est
bas, plus
plus la priorité sera donnée à la politique spécifique.
Les exemples de paramètres suivants peuvent être utilisés pour créer une bonne stratégie isakmp:
• Cryptage 3des ou aes
• Hash md5 ou sha
• Pré-partage d' authentification
• Diffie-Helman Groupe 2 ou 5
Prendre plaisir
Piste 37
37
Routeur R1:
R1 (config) # crypto isakmp policy 1 ← La stratégie numéro 1 est créée. Vous pouvez avoir plusieurs
Stratégies.
R1 (config-isakmp) # encryption 3des ← utilise 3DES pour encr. Options AES ou DES également
disponibles.
R1 (config-isakmp) # hash md5 ← utilise MD5 pour le hachage. Option SHA également disponible.
R1 (config-isakmp) # authentification pré-partage ← utiliser la clé pré-partagée pour
l'authentification
R1 (config-isakmp) # group 2 ← utiliser Diffie-Helman Group 2
R1 (config-isakmp) # exit
R1 (config) # crypto isakmp key secretkey address 200.200.200.1 ← définir le pré-partagé
clé («secretkey») pour l'authentification avec l'homologue distant avec IP 200.200.200.1
Routeur R2:
R2 (config) # crypto isakmp policy 1 ← La stratégie numéro 1 est créée. Vous pouvez avoir plusieurs
Stratégies.
R2 (config-isakmp) # encryption 3des ← utilise 3DES pour encr. Options AES ou DES également
disponibles.
R2 (config-isakmp) # hash md5 ← utilise MD5 pour le hachage. Option SHA également disponible.
R2 (config-isakmp) # authentification pré-partage ← utiliser la clé pré-partagée pour
l'authentification
R2 (config-isakmp) # group 2 ← utiliser Diffie-Helman Group 2
R2 (config) # crypto isakmp key secretkey address 100.100.100.1 ← définir le pré-partagé
key («secretkey») pour l'authentification avec l'homologue distant avec IP 100.100.100.1
• ÉTAPE 3: configuration de la phase 2 (IPSEc)
Une fois qu'un tunnel sécurisé est établi dans la phase 1, la prochaine étape de la configuration du VPN
consiste à négocier
les paramètres de sécurité IPSEc qui seront utilisés pour protéger les données et les messages dans le
tunnel.
Ceci est réalisé dans la phase 2 de l'IPSEc. Dans cette phase, les fonctions suivantes sont exécutées:
• Négociation des paramètres de sécurité IPSEc et des ensembles de transformations IPSEc .
• Création des SA IPSEc.
• Renégociation périodique des SA IPSEc pour assurer la sécurité.
Prendre plaisir
Piste 38
38
Le but ultime de la phase 2 d'IKE est d'établir une session IPSEc sécurisée entre pairs. Avant ça
peut arriver, chaque paire de points finaux négocie le niveau de sécurité requis (chiffrement et
algorithmes d'authentification pour la session). Plutôt que de négocier chaque cryptage et
protocole d'authentification individuellement, les protocoles sont regroupés en ensembles, appelés
ensembles de transformation .
Les ensembles de transformations IPSEc sont échangés entre pairs et ils doivent correspondre entre pairs
pour
la session à établir.
Les protocoles de cryptage et d'authentification suivants sont pris en charge dans la plupart des IOS avec
crypto
fonctionnalité et peut être utilisé dans des ensembles de transformations:
Transformer
La description
esp-des
Transformée ESP utilisant le chiffrement DES (56 bits)
esp-3des
Transformation ESP utilisant le chiffrement 3DES (168 bits)
esp-aes
Transformation ESP utilisant le chiffrement AES-128
esp-aes 192
esp-aes 256
esp-md5-hmac
Transformation ESP utilisant l'authentification HMAC-MD5
esp-sha-hmac
Transformation ESP utilisant l'authentification HMAC-SHA
esp-aucun
ESP sans authentification
esp-null
ESP avec cryptage nul
Les instructions suivantes peuvent être utiles lors du choix des protocoles de transformation:
• Pour assurer la confidentialité des données (cryptage), utilisez une transformation de cryptage ESP telle
que
les 5 premiers de la liste ci-dessus.
• Fortement recommandé d'utiliser également une transformation d'authentification ESP en choisissant
MD5-HMAC
ou algorithmes SHA-HMAC (points 6 et 7 du tableau ci-dessus).
• SHA est plus fort que MD5 mais il est plus lent.
Prendre plaisir
Piste 39
39
Considérez les exemples suivants de combinaisons d'ensembles de transformations:
• ESP-3DES et ESP-MD5-HMAC pour un cryptage et une authentification renforcés.
• ESP-AES et ESP-SHA-HMAC pour un cryptage et une authentification renforcés.
Après avoir configuré un ensemble de transformations sur les deux pairs de routeur, nous devons
configurer une carte de chiffrement qui
combine tous les paramètres IPSEc de phase 2. Cette crypto map est ensuite attachée à la terminaison VPN
interface (généralement le WAN du routeur) sur laquelle l'IPSEc sera établi.
Voyons maintenant la configuration de la phase 2 sur les deux routeurs:
Routeur R1:
R1 (config) # crypto ipsec transform-set TRSET esp-3des esp-md5-hmac ← Configurer un
ensemble de transformations avec cryptage 3DES et MD5-HMAC pour l'authentification.
R1 (cfg-crypto-trans) # exit
R1 (config) # crypto map VPNMAP 10 ipsec-isakmp ← La crypto map combinera tous les Phase2
paramètres
R1 (config-crypto-map) # set peer 200.200.200.1 ← L'autre site du VPN
R1 (config-crypto-map) # set transform-set TRSET ← Transformer TRSET configuré avant.
R1 (config-crypto-map) # adresse de correspondance VPN-ACL ← Crypto ACL de l'étape 1.
R1 (config-crypto-map) # exit
! Attachez la carte cryptographique ci-dessus à l'interface externe WAN (FE0 / 0) du routeur
R1 (config-if) # carte crypto VPNMAP
Prendre plaisir
Piste 40
40
Routeur R2:
R2 (config) # crypto ipsec transform-set TRSET esp-3des esp-md5-hmac ← Configurer un
ensemble de transformations avec cryptage 3DES et MD5-HMAC pour l'authentification.
R2 (config) # crypto map VPNMAP 10 ipsec-isakmp ← La crypto map combinera tous les Phase2
paramètres
R2 (config-crypto-map) # set peer 100.100.100.1 ← L'autre site du VPN
R2 (config-crypto-map) # set transform-set TRSET ← Transformer TRSET configuré avant.
R2 (config-crypto-map) # adresse de correspondance VPN-ACL ← Crypto ACL de l'étape 1.
R2 (config-if) # crypto map VPNMAP
REMARQUE:
Le nombre (10) dans la configuration de crypto map ci-dessus indique un numéro de séquence. Vous
pouvez avoir
plusieurs entrées (numéros de séquence) dans la même crypto map dans les cas où vous en avez plusieurs
Les tunnels VPN IPSEC se terminent sur le même routeur (par exemple dans les topologies Hub-and-Spoke
où vous
avoir plusieurs succursales distantes connectées au même routeur Hub central).
• ÉTAPE 4: vérifier le transfert de données chiffrées
Avec les trois étapes ci-dessus, nous avons conclu la configuration d'un VPN IPSEc de site à site. Un
essentiel
l'étape consiste cependant à vérifier que tout fonctionne correctement et que nos données sont
effectivement
crypté par les routeurs. Il existe deux commandes importantes qui vous aideront à vérifier si le tunnel
est établie et si les données sont chiffrées bidirectionnellement entre les homologues IPSEc.
Prendre plaisir
Piste 41
41
Vérifiez que le tunnel est établi
La commande show crypto isakmp sa vérifie que l'association de sécurité (SA) est établie
ce qui signifie que le tunnel est opérationnel. Voyons un exemple de sortie de cette commande ci-dessous:
R1 # show crypto isakmp sa
dst
src
état état de l'emplacement conn-id
200.200.200.1 100.100.10.1
QM_IDLE
dix
ACTIF
Les points importants à observer ici sont l' état: QM_IDLE et l' état: ACTIF . Ces deux
Les paramètres vérifient que le tunnel IPSEc est correctement établi.
Vérifiez que les données sont chiffrées dans les deux sens
La commande show crypto ipsec sa vérifie que les données sont chiffrées et déchiffrées
avec succès par les routeurs, comme indiqué ci-dessous:
R1 # show crypto ipsec sa
interface: FastEthernet0 / 0
Balise de carte cryptographique: VPNMAP, adresse locale 100.100.100.1
vrf protégé: (aucun)
ident local (addr / masque / prot / port): (192.168.1.0/255.255.255.0/0/0)
identifiant distant (addr / mask / prot / port): (192.168.2.0/255.255.255.0/0/0)
current_peer 200.200.200.1 port 500
PERMIS, drapeaux = {origin_is_acl,}
#pkts encaps: 11, # pkts encrypt: 11 , #pkts digest: 11
#pkts decaps: 11, # pkts decrypt: 11 , #pkts verify: 11
#pkts compressé: 0, #pkts décompressé: 0
#pkts non compressé: 0, #pkts compr. échoué: 0
#pkts non décompressé: 0, échec de la décompression #pkts: 0
#send errors 1, #recv errors 0
----- {Sortie omise}
Prendre plaisir
Piste 42
42
Comme vous pouvez le voir ci-dessus, les champs de sortie « pkts encrypt» et «pkts decrypt» montrent
en effet que nous
avoir des paquets cryptés et décryptés dans les deux sens.
Vous pouvez trouver un exemple de configuration complet du scénario ci-dessus dans le chapitre 4, section
4.1.1.
2.1.1.1 VPN IPSEC de site à site avec IP dynamique
Un scénario important à discuter est celui où nous avons un site de succursale qui obtient une adresse IP
publique dynamique
du FAI Internet. Cela peut par exemple être une connexion ADSL utilisant PPPoE.
Dans notre exemple de cas ci-dessous, l'un des sites (R1) a une IP publique statique et le second (R2) a un
IP dynamique. Toutes les configurations décrites précédemment seront les mêmes pour le site dynamique
qui
se connecte au site statique. Cependant, le site statique qui se connecte au site dynamique doit être
configuré différemment comme nous le verrons ci-dessous.
REMARQUE:
Dans le scénario ci-dessus, vous devez garder à l'esprit que le tunnel VPN IPSEC sera établi
UNIQUEMENT
lorsque LAN-2 initie le trafic vers LAN-1. Une fois le tunnel VPN établi, le LAN-1 peut également
envoyer
trafic vers LAN-2.
Voyons la configuration IPSEC pour R1 uniquement puisque IPSEC pour R2 sera configuré de la même
manière qu'avec
le scénario de site à site précédent.
Prendre plaisir
Piste 43
43
Routeur R1:
Les différences sont dans la configuration Phase1 et Phase2 d'IPSEC.
Configuration Phase1
R1 (config) # crypto isakmp key secretkey adresse 0.0.0.0 0.0.0.0
Fondamentalement, sur le routeur R1, nous configurons un masque générique (0.0.0.0 0.0.0.0) pour la clé
pré-partagée
car nous ne connaissons pas l'adresse IP publique du site pair (R2) car il a une adresse IP dynamique. Ce
signifie que R1 acceptera les demandes isakmp de n'importe quelle adresse IP qui a la bonne clé pré-
partagée
mot de passe d'authentification (« secretkey » dans notre exemple ci-dessus). Il est essentiel d'utiliser une
clé très forte
ici.
Configuration Phase2
Comme vous vous en souvenez de la configuration VPN de site à site statique précédente, à l'étape 3
(Phase2
configuration) nous avions une crypto map (crypto map statique) qui faisait référence à une adresse IP
homologue de
le site distant. Cependant, comme l'adresse IP du pair de R2 n'est pas connue, nous devons configurer un
« Dynamic Crypto Map » qui sera utilisé dans la « Static Crypto Map ».
! Commencez par créer une crypto map dynamique (DYNMAP) qui a le Transform Set et Crypto ACL
R1 (config) # crypto dynamic-map DYNMAP 10
R1 (config-crypto-map) # set transform-set TRSET
R1 (config-crypto-map) # adresse de correspondance VPN-ACL
! Créez ensuite une crypto map statique (VPNMAP) qui utilise la carte dynamique configurée avant
R1 (config) # crypto map VPNMAP 10 ipsec-isakmp dynamic DYNMAP
! Attachez le crypto map statique (VPNMAP) à l'interface externe WAN (FE0 / 0) du routeur
Prendre plaisir
Piste 44
44
4.1.2.
2.1.2 VPN IPSEC Hub-and-Spoke
Une autre topologie populaire que vous rencontrerez dans le monde réel est Hub-and-Spoke. Beaucoup
Les entreprises ont un site central (HUB) et plusieurs sites distants plus petits
(RAYONS) qui nécessitent une connectivité aux ressources réseau situées dans le site central. Un VPN
avec une configuration en étoile est idéale pour de telles topologies.
Le diagramme ci-dessous illustre une telle topologie. Nous avons un site Hub central et deux sites Spoke
distants,
tous avec des adresses IP publiques statiques. Dans le chapitre 4 avec les exemples de configuration
complets, vous
trouvez également un scénario avec des sites Spoke ayant à la fois une adresse IP statique et une adresse IP
dynamique.
Fondamentalement, un réseau VPN Hub-and-Spoke se compose de plusieurs tunnels VPN IPSEC de site à
site entre
le Hub et chaque site Spoke. La configuration des sites distants Spoke est la même que nous
Prendre plaisir
Piste 45
45
décrit dans la section « VPN IPSEC de site à site » ci-dessus, nous n'en reparlerons donc plus. Cependant,
le
la configuration du routeur du site Hub présente quelques différences comme nous le verrons ci-dessous:
Routeur R1 (HUB):
! Identifiez d'abord le trafic intéressant à chiffrer. Nous devons avoir deux crypto ACL, une pour
chaque site Spoke.
R1 (config) # ip access-list étendu VPN-TO-REMOTE1
R1 (config) # ip access-list étendu VPN-TO-REMOTE2
! Ensuite, excluez le trafic VPN intéressant de l'opération NAT
R1 (config-ext-nacl) # deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
R1 (config-ext-nacl) # permit ip 192.168.1.0 0.0.0.255 any
! Configurez maintenant les paramètres isakmp de Phase1
R1 (config) # politique crypto isakmp 1
R1 (config-isakmp) # cryptage 3des
R1 (config-isakmp) # hachage md5
R1 (config-isakmp) # pré-partage d'authentification
R1 (config-isakmp) # groupe 2
! Configurez une clé pré-partagée différente pour chaque site Spoke.
R1 (config) # crypto isakmp key secretkey1 adresse 30.30.30.2
R1 (config) # crypto isakmp key secretkey2 adresse 40.40.40.2
Prendre plaisir
Piste 46
46
! Maintenant, configurez le jeu de transformations Phase2 et la carte cryptographique
R1 (config) # crypto ipsec transform-set TRSET esp-3des esp-md5-hmac
! Notez ci-dessous que nous avons deux entrées de crypto map (VPNMAP 10 et VPNMAP 20) une pour
chaque
Parlait
R1 (config) # crypto map VPNMAP 10 ipsec-isakmp
R1 (config-crypto-map) # set pair 30.30.30.2
R1 (config-crypto-map) # adresse de correspondance VPN-TO-REMOTE1
R1 (config-crypto-map) # adresse de correspondance VPN-TO-REMOTE2
! Attachez le crypto map VPNMAP à l'interface externe WAN (FE0 / 0) du routeur Hub
C'est tout pour le site Hub. Vous pouvez trouver un exemple de configuration complet du scénario ci-
dessus dans
Chapitre 4, section 4.1.3. De plus, la section 4.1.4 montre un scénario avec un statique et un dynamique
parlait.
Prendre plaisir
Piste 47
47
Il existe deux manières générales de connecter des utilisateurs distants à un réseau d'entreprise. La première
consiste à utiliser un
Logiciel client VPN installé sur les ordinateurs des utilisateurs (VPN IPSEC), et le second utilise WEB
(Basé sur SSL) VPN. Dans cette section, nous discuterons du premier type.
Dans la vraie vie, la configuration de l'accès à distance VPN IPSEC sur les routeurs Cisco n'est pas très
populaire (par rapport à
Cisco ASA) mais c'est un scénario utile à apprendre. Le logiciel client VPN Cisco dédié utilise le
Protocole IPSEC, nous devons donc encore configurer les étapes IPSEC Phase 1 et Phase 2 mais avec
différences par rapport au VPN IPSEC site à site que nous avons décrit précédemment. En outre, un pool
d'adresses IP
doit être configuré sur l'appareil pour attribuer dynamiquement des adresses aux utilisateurs distants.
Obtenons
commencé avec la configuration ayant comme référence le schéma ci-dessous:
Routeur R1:
• ÉTAPE 1: Configurer le pool VPN
! Configurez d'abord un pool d'adresses IP qui sera utilisé pour attribuer des adresses IP aux
utilisateurs distants
R1 (config) # ip pool local vpnpool 192.168.50.1 192.168.50.10
Prendre plaisir
Piste 48
48
• ÉTAPE 2: Configurez le trafic intéressant VPN et l'exemption NAT
! Identifiez le trafic intéressant à chiffrer, qui sera le trafic entre LAN
(192.168.1.0) et vpnpool (192.168.50.0)
R1 (config) # ip nat dans la liste des sources Interface NAT-ACL Surcharge FastEthernet0 / 1
• ÉTAPE 3: configurer l'authentification pour les utilisateurs distants
Il existe plusieurs façons d'authentifier et d'autoriser les utilisateurs distants afin d'accéder
ressources réseau via le VPN. Le mécanisme «Authentification, autorisation et comptabilité»
( AAA ) du routeur est utilisé pour une telle tâche.
Le moyen le plus simple consiste à utiliser les noms d'utilisateur / mots de passe locaux configurés sur le
routeur pour l'authentification
et autorisation. Une autre méthode consiste à utiliser un serveur AAA externe (Radius ou Tacacs) ou
même Microsoft Active Directory comme nous le verrons dans le prochain chapitre. Ici, nous allons décrire
le LOCAL
Méthode d'authentification.
Prendre plaisir
Piste 49
49
Les utilisateurs distants doivent d'abord être « authentifiés » pour se connecter au tunnel VPN, puis
« Autorisé » à utiliser les ressources du réseau. Nous devons donc configurer le périphérique du routeur
pour les deux «login
authentification »et« autorisation de réseau ».
! Configurez d'abord un nom d'utilisateur / mot de passe LOCAL pour chaque utilisateur distant
R1 (config) # username vpnuser mot de passe strongpassword
! Puis activez le mécanisme AAA sur le routeur
R1 (config) # aaa nouveau modèle
! Configurez maintenant l'authentification de connexion et l'autorisation réseau pour utiliser
l'utilisateur LOCAL
base de données
R1 (config) # aaa authentification login USERAUTH local
R1 (config) # réseau d'autorisation aaa NETAUTHORIZE local
Les noms d'authentification et d'autorisation ci-dessus (USERAUTH et NETAUTHORIZE) seront utilisés
plus tard dans la configuration IPSEC.
• ÉTAPE 4: Configurer IPSEC Phase 1 (paramètres isakmp)
Ici, nous verrons quelques nouvelles fonctionnalités telles que " trousseau de clés ", " groupe isakmp " et
" profil isakmp "
qui n'étaient pas utilisés dans la configuration VPN de site à site auparavant.
! Commencez par configurer une stratégie isakmp tout comme le cas IPSEC de site à site.
R1 (config) # stratégie isakmp crypto 10
Prendre plaisir
Piste 50
50
Nous allons maintenant introduire le concept de «trousseau de clés» qui est un référentiel pour conserver
les clés pré-partagées.
! Configurez une clé pré-partagée pour les clients VPN d'accès à distance.
R1 (config) # crypto keyring vpnclientskey
R1 (conf-keyring) # adresse de clé pré-partagée 0.0.0.0 0.0.0.0 clé cisco123
Utilisateurs d'accès à distance avec n'importe quelle adresse IP (indiquée par 0.0.0.0 0.0.0.0) et ayant un
pré-partagé
clé de «cisco123» sont autorisés à initier des connexions IPSEC Phase 1 avec le routeur. Bien sûr dans
monde réel, vous devez utiliser une clé plus forte.
Nous allons maintenant configurer les politiques et les paramètres que ce groupe spécifique d'utilisateurs
distants
hériter. Notez que nous pouvons avoir plusieurs groupes d'utilisateurs distants avec des politiques
différentes.
R1 (config) # crypto isakmp client configuration group remotevpn ← Nom du groupe (voir ci-
dessous)
R1 (config-isakmp-group) # key cisco123 ← Mot de passe du groupe (voir l'image ci-dessous)
R1 (groupe-config-isakmp) # dns 192.168.1.2
R1 (config-isakmp-group) # gagne 192.168.1.2
R1 (config-isakmp-group) # domaine mycompany.com
R1 (config-isakmp-group) # pool vpnpool ← pool d'adresses IP configuré avant
R1 (config-isakmp-group) # acl VPN-ACL ← Liste d'accès Split-Tunnel
NOTE 1:
La commande « acl VPN-ACL » met en place le split tunneling. Autrement dit, le trafic passera par le
VPN
tunnel uniquement s'il correspond à la liste d'accès VPN-ACL. Si vous supprimez cette ACL, tout le trafic
aura
pour passer par le tunnel VPN (c'est-à-dire qu'aucun accès Internet direct ne sera autorisé à partir de
l'emplacement du
utilisateur distant).
NOTE 2:
Le nom du groupe de configuration que nous avons utilisé ci-dessus (ie remotevpn ) et la clé (ie
cisco123 ) doit être utilisé dans les champs «Group Authentication» («Name» / «Password») du VPN
Logiciel client (voir image ci-dessous).
Prendre plaisir
Piste 51
51
Ensuite, nous verrons une autre nouvelle fonctionnalité, appelée « profil isakmp ». Il s'agit d'une
fonctionnalité introduite pour permettre
modularité et flexibilité des configurations IPSEC Phase 1. Ce profil combinera tous les Phase1
éléments configurés jusqu'à présent, puis il sera utilisé plus tard dans la configuration de la crypto map
Phase2.
! Configurez un profil isakmp.
R1 (config) # crypto isakmp profile distants
R1 (conf-isa-prof) # description Clients VPN d'accès à distance
R1 (conf-isa-prof) # keyring vpnclientskey ← Configuré avant
R1 (conf-isa-prof) # match identity group remotevpn ← Configuré avant
R1 (conf-isa-prof) # liste d'authentification client USERAUTH ← Configuré avant
R1 (conf-isa-prof) # liste d'autorisation isakmp NETAUTHORIZE ← Configuré avant
R1 (conf-isa-prof) # adresse de configuration du client répondre ← Répondre aux demandes
d'adresse IP
des clients.
Prendre plaisir
Piste 52
52
• ÉTAPE 5: Configurez IPSEC Phase 2
Cette étape présente des similitudes avec la configuration VPN de site à site où nous avions un site avec
une
Adresse IP. Étant donné que l'adresse IP des utilisateurs VPN distants sera inconnue (dynamique) du
central
routeur du site, nous devons créer une carte cryptographique dynamique.
! Configurez le jeu de transformations Phase2 et la carte cryptographique de la même manière avec le
cas VPN de site à site
Créez maintenant une crypto map dynamique (DYNMAP) qui a le jeu de transformation ci-dessus et
isakmp
profil («clients distants») configuré auparavant.
R1 (config-crypto-map) # set isakmp-profile distants
! Créez ensuite une crypto map statique (VPNMAP) qui utilise la carte dynamique configurée avant
R1 (config) # crypto map VPNMAP 10 ipsec-isakmp dynamic DYNMAP
! Attachez le crypto map statique (VPNMAP) à l'interface externe WAN (FE0 / 1) du routeur
Voilà pour la configuration. Après avoir configuré le client VPN Cisco sur un ordinateur et connecté
avec le routeur, vous pouvez cliquer sur l'onglet Statistiques pour voir les détails du tunnel comme indiqué
ci-dessous:
Prendre plaisir
Piste 53
53
Comme vous pouvez le voir ci-dessus, le client utilisateur distant a reçu une adresse IP du pool VPN
(192.168.50.1) et est connecté au serveur VPN (routeur R1) avec l'IP 20.20.20.2. Vous pouvez également
voir
Paquets cryptés et décryptés, ce qui signifie que la communication fonctionne et qu'elle est sécurisée.
4.1.5.
2.1.4 VPN IPSEC de site à site et d'accès distant sur le même appareil
Ceci est un exemple de scénario qui combinera tous les cas précédents que nous avons décrits auparavant.
C'est un
excellente mise en œuvre à apprendre car elle couvre la majorité des options de connectivité VPN qui
une entreprise a besoin. Plus précisément, nous couvrirons le tunnel IPSEC de site à site statique, site à site
dynamique
tunnel IPSEC du site et tunnel d'accès distant, tous sur le même appareil. Voir schéma ci-dessous:
Prendre plaisir
Piste 54
54
Dans notre scénario, nous avons un routeur Central Hub (R1) avec deux succursales distantes (Spokes) qui
nécessitent une connectivité VPN IPSEC de site à site au site central. L'une des branches distantes (R2) a
une IP publique statique alors que la seconde (R3) a une IP publique dynamique. En outre, le routeur du
concentrateur central
sera configuré pour accepter les connexions VPN d'accès à distance d'utilisateurs distants.
Dans notre configuration, nous utiliserons les dernières fonctionnalités IPSEC, à savoir le « porte-clés
crypto » et
« Profil isakmp ». Ces nouvelles fonctionnalités permettent une flexibilité dans la configuration IPSEC et
elles conviennent
dans des scénarios comme celui que nous avons ici (c'est-à-dire avoir une combinaison de tunnels VPN -
tels que statique
Tunnel IP, tunnel IP dynamique et tunnel d'accès à distance - sur le même appareil). Voyons le
configuration ci-dessous:
Prendre plaisir
Piste 55
55
Routeur R1 (HUB):
• ÉTAPE 1: Configurez le trafic intéressant et l'exemption NAT
! Identifiez d'abord le trafic intéressant à chiffrer. Nous avons besoin de 3 crypto ACL, une pour
chaque site distant et un pour le pool d'utilisateurs distants.
R1 (config) # ip access-list étendu VPNsite1-ACL
R1 (config) # ip access-list étendu VPNsite2-ACL
R1 (config) # ip access-list étendu VPNclient-ACL
• ÉTAPE 2: Configuration IPSEC Phase 1
! Configurez maintenant la politique isakmp de Phase1
Prendre plaisir
Piste 56
56
Nous allons maintenant voir la fonction de trousseau de clés crypto . Chaque «trousseau de clés» est un
référentiel d'un ou plusieurs pré-
clés partagées. Les trousseaux de clés peuvent être utilisés plus tard dans les «profils isakmp» comme nous
le verrons.
R1 (config) # crypto keyring vpnclientskey
R1 (conf-keyring) # adresse de clé pré-partagée 0.0.0.0 0.0.0.0 clé cisco123
R1 (conf-keyring) # exit
R1 (config) # crypto keyring staticbranch
R1 (conf-keyring) # adresse de clé pré-partagée 30.30.30.2 key secretkey1
R1 (config) # crypto keyring dynamicbranch
R1 (conf-keyring) # adresse de clé pré-partagée 0.0.0.0 0.0.0.0 clé secretkey2
Comme vous pouvez le voir ci-dessus, nous avons configuré 3 trousseaux de clés différents, un pour
chaque type de tunnel VPN. Alors,
nous avons un porte-clés pour les clients d'accès à distance VPN, pour la branche distante IP statique et
pour l'IP dynamique
succursale distante. Par exemple, si vous aviez plusieurs branches distantes IP statiques, vous configureriez
leur clé pré-partagée sous le porte-clés «staticbranch».
De plus, les clés pré-partagées qui se réfèrent à des nœuds distants IP dynamiques (par ex.
succursales ou utilisateurs VPN distants), ont comme adresse distante « 0.0.0.0 0.0.0.0 » qui signifie «
toute IP ».
Les trousseaux de clés ci-dessus seront utilisés dans les « profils isakmp » comme nous le verrons ensuite:
! Configuration des profils ISAKMP.
R1 (config) # profil crypto isakmp staticL2L
R1 (conf-isa-prof) # keyring staticbranch ← configuré ci-dessus
R1 (conf-isa-prof) # correspond à l'adresse d'identité 30.30.30.2 255.255.255.255 ← IP statique du
routeur R2
R1 (conf-isa-prof) # exit
Prendre plaisir
Psaumes 57
57
R1 (config) # profil crypto isakmp dynamicL2L
R1 (conf-isa-prof) # keyring dynamicbranch ← configuré ci-dessus
R1 (conf-isa-prof) # correspond à l'adresse d'identité 0.0.0.0 ← Toute branche distante avec IP
dynamique peut
relier
R1 (config) # crypto isakmp profile distants
R1 (conf-isa-prof) # keyring vpnclientskey ← configuré ci-dessus
R1 (conf-isa-prof) # match groupe d'identité remotevpn ← Voir la section 2.1.3 ci-dessus
R1 (conf-isa-prof) # liste d'authentification client userauthen ← Voir la section 2.1.3 ci-dessus
R1 (conf-isa-prof) # liste d'autorisation isakmp groupauthor ← Voir section 2.1.3 ci-dessus
R1 (conf-isa-prof) # adresse de configuration du client répondre ← Voir la section 2.1.3 ci-dessus
REMARQUE:
Pour les clients VPN distants, vous devez également configurer «groupe de configuration client isakmp»,
nom d'utilisateur,
et les listes d'authentification comme décrit dans la section 2.1.3 ci-dessus.
Les «profils isakmp» configurés ci-dessus seront utilisés dans les «crypto maps» comme nous le verrons
par la suite:
• ÉTAPE 3: Configuration IPSEC Phase 2
! Configuration du jeu de transformations Phase2 et de la carte cryptographique
! Nous devons maintenant configurer à la fois une carte cryptographique dynamique et statique pour
accueillir tous les possibles
! Types de tunnel VPN que nous avons. La crypto map dynamique aura deux entrées (une pour la
dynamique
! branch et un pour les clients VPN distants).
R1 (config-crypto-map) # set isakmp-profile remoteclients ← Joindre le profil isakmp du VPN
clients configurés avant
Prendre plaisir
Psaumes 58
58
R1 (config-crypto-map) # set isakmp-profile dynamicL2L ← Joindre le profil isakmp de dynamic
Branche IP configurée avant
R1 (config-crypto-map) # adresse de correspondance VPNsite2-ACL
R1 (config) # crypto map VPNMAP 10 ipsec-isakmp ← Ceci est la crypto map du tunnel statique
R1 (config-crypto-map) # set isakmp-profile staticL2L ← Joindre le profil isakmp de l'adresse IP
statique
branche configurée avant
R1 (config-crypto-map) # adresse de correspondance VPNsite1-ACL
R1 (config) # crypto map VPNMAP 20 ipsec-isakmp dynamic DYNMAP ← Joindre la dynamique
crypto map sur une nouvelle entrée de la crypto map statique.
! Attachez le crypto map statique VPNMAP à l'interface externe WAN (FE0 / 1) du routeur Hub
Points importants à retenir:
• Créez un trousseau de clés pour chaque type de tunnel VPN (branche IP statique, branche IP dynamique,
VPN
clients).
• Attachez chaque trousseau de clés à un «profil isakmp» correspondant.
• Créez une crypto map dynamique avec deux entrées. Sur une entrée, joignez le «profil isakmp»
pour le tunnel dynamique Lan-to-Lan et sur l'autre entrée, attachez le «profil isakmp» pour le
tunnel des clients distants.
• Créez une carte cryptographique statique avec deux entrées. Sur une entrée, joignez le «profil isakmp» de
le tunnel statique Lan-to-Lan, et sur la deuxième entrée, attachez la carte cryptographique dynamique.
Prendre plaisir
Piste 59
59
Vous pouvez trouver un exemple de configuration complet du scénario ci-dessus (qui comprend également
configuration des routeurs de branche distante) au chapitre 4, section 4.1.6.
2.2 Configuration VPN basée sur l'itinéraire sur Cisco
Les routeurs
À la section 2.1, nous avons vu l'implémentation VPN basée sur des politiques, qui est essentiellement la
Configuration VPN IPSEC. Dans cette section, nous verrons un type de VPN plus flexible, VPN basé sur
l'itinéraire.
2.2.1 VPN de site à site utilisant GRE avec protection IPSEC
C'est le scénario le plus simple d'avoir deux sites connectés sur Internet avec le tunnel GRE
protégé par IPSEC. La protection IPSEC assure la sécurité et elle est fortement recommandée, mais elle
pas une exigence pour avoir une connectivité réseau entre les deux sites. Vous ne pouvez avoir que GRE
tunnel si vous voulez sans IPSEC. L'avantage majeur de l'utilisation de GRE est qu'il peut transporter
trafic multicast et protocoles de routage dynamique entre les deux sites.
Voyons maintenant étape par étape comment configurer cette topologie:
Prendre plaisir
Piste 60
60
• ÉTAPE 1: Configurer le tunnel GRE
Commençons par configurer le tunnel GRE entre les deux sites. Un tunnel VPN GRE n'est rien de plus
qu'un
Interface de tunnel virtuel avec les paramètres appropriés. Tout le trafic passant par ce tunnel est
encapsulé dans GRE.
Routeur-1:
R1 (config) # interface Tunnel0 ← Tunnel virtuel
R1 (config-if) # ip address 10.0.0.1 255.255.255.0 ← Choisissez une adresse IP privée pour le tunnel
R1 (config-if) # tunnel source 20.20.20.2 ← Ceci est l'adresse IP publique de l'interface WAN
R1 (config-if) # destination du tunnel 30.30.30.2 ← Ceci est l'adresse IP publique du routeur distant
R1 (config-if) # exit
Routeur-2:
R2 (config) # interface Tunnel0
R2 (config-if) # adresse IP 10.0.0.2 255.255.255.0
R2 (config-if) # source du tunnel 30.30.30.2
R2 (config-if) # destination du tunnel 20.20.20.2
• ÉTAPE 2: Configurez le routage pour atteindre les sous-réseaux distants
Dans cet exemple, nous utiliserons le routage statique pour atteindre les réseaux distants. Vous pouvez
également utiliser dynamique
protocoles de routage comme nous le verrons dans d'autres exemples.
Routeur-1:
R1 (config) # ip route 192.168.2.0 255.255.255.0 10.0.0.2 ← Le sous-réseau LAN-2 peut être atteint via
l'autre extrémité du tunnel GRE (10.0.0.2)
Routeur-2:
R2 (config) # ip route 192.168.1.0 255.255.255.0 10.0.0.1 ← Le sous-réseau LAN-1 peut être atteint via
l'autre extrémité du tunnel GRE (10.0.0.1)
Prendre plaisir
Piste 61
61
Ceci conclut la configuration du tunnel GRE. Désormais, les réseaux privés LAN-1 et LAN-2 peuvent
communiquer entre eux sur Internet. Cependant, nous vous recommandons de chiffrer et
sécuriser ce tunnel GRE avec IPSEC comme nous le verrons ensuite:
En supposant que nous voulons une protection IPSEC du tunnel GRE (ce qui est recommandé), nous avons
toujours
pour configurer IPSEC Phase 1 et Phase 2 de la même manière que les précédentes configurations VPN
«basées sur des stratégies».
Routeur-1:
R1 (config) # crypto isakmp key testkey123 adresse 30.30.30.2
Routeur-2:
R2 (config-isakmp) # hash md5
• ÉTAPE 4: Configurer IPSEC Phase 2 (profil ipsec)
Comme vous vous en souvenez des configurations précédentes, dans la phase 2 d'IPSEC, nous avons dû
définir un «Transform
Set »et« Crypto Map ». Cependant, une «Crypto Map» n'est pas nécessaire dans notre cas. Nous allons
introduire un nouveau
Prendre plaisir
Piste 62
62
fonctionnalité, appelée « profil ipsec » au lieu de «crypto map». Le « profil ipsec » sera attaché au
Interface de tunnel GRE pour activer la protection IPSEC du GRE.
Routeur-1:
R1 (config) # crypto ipsec transform-set TRSET esp-3des esp-md5-hmac ← C'est le
ensemble de transformations qui définit les protocoles de cryptage et d'authentification d'IPSEC
R1 (config) # profil crypto ipsec GRE-PROTECTION ← C'est le profil ipsec qui sera
utilisé pour protéger le tunnel GRE.
R1 (ipsec-profile) # set transform-set TRSET ← Joindre le transform set configuré ci-dessus
R1 (profil ipsec) # exit
Routeur-2:
R2 (config) # crypto ipsec transform-set TRSET esp-3des esp-md5-hmac ← C'est le
ensemble de transformations qui définit les protocoles de cryptage et d'authentification d'IPSEC
R2 (config) # profil crypto ipsec GRE-PROTECTION ← C'est le profil ipsec qui sera
utilisé pour protéger le tunnel GRE.
R2 (ipsec-profile) # set transform-set TRSET ← Joindre le transform set configuré ci-dessus
• ÉTAPE 5: Attachez le profil de protection IPSEC au tunnel GRE
Routeur-1:
R1 (config-if) # tunnel protection profil ipsec GRE-PROTECTION ← Joindre le profil IPSEC
configuré avant afin de fournir la sécurité au tunnel GRE.
Prendre plaisir
Piste 63
63
Routeur-2:
R2 (config-if) # tunnel protection ipsec profile GRE-PROTECTION ← Joindre le profil IPSEC
configuré avant afin de fournir la sécurité au tunnel GRE.
4.1.7.
Points importants à retenir:
• Comme vous l'avez vu ci-dessus, dans les VPN basés sur l'itinéraire, il n'est pas nécessaire de définir un
trafic intéressant
en utilisant les ACL comme nous l'avons fait dans les VPN basés sur des politiques.
• Au lieu de définir quel trafic intéressant sera chiffré, configurez statique (ou dynamique)
routage pour indiquer au routeur que le réseau LAN distant sera accessible via l'autre extrémité de
l'interface du tunnel GRE. Tout le trafic acheminé via l'interface du tunnel sera placé dans
le VPN et également protégé par IPSEC. C'est pourquoi nous appelons ce type de VPN «basé sur
l'itinéraire»
VPN.
• Il n'est pas nécessaire d'exclure le trafic intéressant du fonctionnement NAT.
• Si la protection IPSEC est requise, configurez simplement une « stratégie isakmp », une « clé pré-
partagée »,
« Transform-set » et « profil ipsec ». Aucune « crypto map » n'est requise.
• Après avoir configuré les paramètres requis pour IPSEC, attachez simplement le « profil ipsec » au GRE
Interface du tunnel.
2.2.2 VPN Hub-and-Spoke utilisant GRE avec protection IPSEC
Cet exemple de configuration est le même que le VPN GRE de site à site en ce qui concerne la
configuration sur le
Spoke sites est concerné. Cependant, le routeur HUB est configuré avec un tunnel GRE supplémentaire
Interfaces afin de créer un tunnel GRE point à point avec chaque routeur de branche distante. Ce
rend le VPN GRE peu évolutif avec les grands réseaux. De plus, les topologies GRE VPN nécessitent tous
sites pour avoir une adresse IP publique statique, ce qui est un autre inconvénient.
Prendre plaisir
Piste 64
64
Aussi, dans ce scénario, c'est une bonne idée d'implémenter un protocole de routage dynamique (EIGRP
dans notre cas)
entre les trois sites afin d'annoncer les routes réseau de manière dynamique sur le GRE / IPSEC
tunnels.
Comme le montre le réseau ci-dessus, nous avons deux tunnels GRE / IPSEC point à point entre le Hub
Routeur (Router-1) et les routeurs à rayons (Router-2, Router-3). Chaque tunnel GRE point à point
doit avoir son propre sous-réseau de réseau privé (par exemple 10.0.0.0/30 et 10.1.1.0/30).
Nous décrirons la configuration du routeur concentrateur uniquement puisque les routeurs à rayons sont
configurés
identique au VPN GRE de site à site que nous avons vu auparavant.
Prendre plaisir
Piste 65
65
• ÉTAPE 1: Configurer les tunnels GRE
Routeur-1:
R1 (config) # interface Tunnel0 ← GRE Tunnel pour VPN de site à site avec Router-2
R1 (config-if) # destination du tunnel 30.30.30.2 ← Ceci est l'adresse IP publique du routeur distant-
2
R1 (config) # interface Tunnel1 ← GRE Tunnel pour VPN site à site avec Router-3
3
Après avoir configuré les deux tunnels GRE point à point, nous devons configurer le routage pour que les
appareils
annoncera leurs adresses IP de réseau local et de tunnel aux autres routeurs participant au GRE
Topologie VPN. Dans cet exemple particulier, nous utiliserons EIGRP. Vous pouvez également utiliser des
routes statiques (si vous
n'ont pas beaucoup de sites) ou OSPF.
Routeur-1:
R1 (config) # router eigrp 100 ← Créer une instance EIGRP avec Autonomous System 100
R1 (config-router) # no auto-summary ← Désactiver la synthèse automatique des sous-réseaux
R1 (config-router) # network 10.0.0.0 0.0.0.255 ← Tunnel0 sous-réseau
R1 (config-router) # network 10.1.1.0 0.0.0.255 ← Sous-réseau Tunnel1
R1 (config-router) # network 192.168.1.0 0.0.0.255 ← Sous -réseau LAN-1
R1 (config-router) # exit
Lors de la configuration d'EIGRP, vous spécifiez les réseaux de routeurs inclus dans EIGRP à l'aide du
commande réseau . Le routeur enverra des messages EIGRP et essaiera d'établir des contiguïtés avec
d'autres routeurs parlant EIGRP hors de ces interfaces réseau. En incluant l'interface du tunnel
réseaux, cela signifie que les routeurs essaieront d'établir des contiguïtés EIGRP avec d'autres routeurs via
le
Interfaces de tunnel VPN GRE.
Prendre plaisir
Piste 66
66
Voyons la configuration des deux autres routeurs concernant EIGRP:
Routeur-2:
R2 (config-router) # network 10.0.0.0 0.0.0.255 ← Tunnel0 sous-réseau
Routeur-3:
R3 (config-router) # network 10.1.1.0 0.0.0.255 ← Sous-réseau Tunnel1
Voyons les tables de routage du concentrateur et de l'un des routeurs Spoke:
Routeur-1 (HUB):
R1 # afficher la route IP
…. (Sortie omise)
C 10.1.1.0 est directement connecté, Tunnel1
C 192.168.1.0/24 est directement connecté, FastEthernet0 / 1
D 192.168.2.0/24 [90/297270016] via 10.0.0.2, 00:13:22, Tunnel0
D 192.168.3.0/24 [90/297270016] via 10.1.1.2, 00:09:25, Tunnel1
…. (Sortie omise)
Comme indiqué ci-dessus, le routeur Hub apprend les réseaux LAN distants (192.168.2.0/24 et
192.168.3.0/24) depuis EIGRP (noté « D ») via les interfaces de tunnel GRE.
Prendre plaisir
Piste 67
67
Routeur-2 (rayon):
…. (Sortie omise)
D 10.1.1.0 [90/310044416] via 10.0.0.1, 00:15:02, Tunnel0
D 192.168.1.0/24 [90/297270016] via 10.0.0.1, 00:15:02, Tunnel0
D 192.168.3.0/24 [90/310070016] via 10.0.0.1, 00:11:06, Tunnel0
…. (Sortie omise)
Comme indiqué ci-dessus, l'un des routeurs Spoke apprend les réseaux LAN distants (192.168.1.0/24 et
192.168.3.0/24) depuis EIGRP (noté « D ») via l'interface de tunnel GRE (Tunnel0). Aussi, ce
Le routeur Spoke peut atteindre le LAN de l'autre Spoke (192.168.3.0/24) via le HUB (Tunnel0 Interface).
En exécutant donc un protocole de routage dynamique dans une topologie GRE Hub-and-Spoke, les sites
spoke
peuvent se joindre via le site Hub.
Routeur-1:
Comme vous pouvez le voir ci-dessus, nous avons deux clés pré-partagées, une pour chaque routeur de
branche Spoke.
Prendre plaisir
Piste 68
68
Routeur-1:
R1 (config) # profil crypto ipsec GRE-PROTECTION
R1 (profil ipsec) # set transform-set TRSET
• ÉTAPE 5: Attachez le profil de protection IPSEC aux tunnels GRE
Routeur-1:
R1 (config-if) # tunnel protection profil ipsec GRE-PROTECTION
R1 (config-if) # tunnel protection profil ipsec GRE-PROTECTION
4.1.8.
2.2.3 VPN utilisant une interface de tunnel virtuel statique (SVTI)
La configuration de ce type de VPN est exactement la même que celle du VPN GRE de site à site (2.2.1)
sauf pour
une petite différence. Sous l'interface du tunnel, vous devez spécifier le mode comme « mode tunnel
ipsec ipv4 ». Ce mode indique que le tunnel est VTI. Si vous ne spécifiez pas de «mode tunnel» pour le
Tunnel, il prend le mode par défaut qui est GRE.
Prendre plaisir
Piste 69
69
Nous ne verrons pas la configuration de ce qui précède en détail car c'est la même chose que la section
2.2.1. Reste juste
faites attention à la configuration du mode Tunnel:
Routeur-1:
R1 (config) # interface Tunnel0 ← Tunnel VTI statique pour VPN de site à site avec Router-2
2
R1 (config-if) # tunnel mode ipsec ipv4 ← Configurez le tunnel comme VTI et non GRE
R1 (config-if) # tunnel protection ipsec profile VTI-PROTECTION ← Joindre un profil IPSEC pour
protection
2.2.4 VPN utilisant l'interface de tunnel virtuel dynamique (DVTI)
Ce type de VPN convient à la création de topologies Hub-and-Spoke évolutives pouvant accueillir
un grand nombre de succursales distantes. Le routeur HUB utilisera Dynamic VTI tandis que le Spoke
les routeurs seront configurés comme VTI statique, comme nous l'avons décrit dans le chapitre 1 ci-dessus.
La branche Spoke
les routeurs peuvent avoir une adresse IP publique WAN dynamique. Ici, nous verrons les détails de
configuration de ce VPN
type. Plus précisément, nous décrirons le HUB et un routeur Spoke.
Prendre plaisir
Piste 70
70
• ÉTAPE 1: Configurez les tunnels DVTI et SVTI
Le routeur HUB sera configuré avec un VTI dynamique tandis que les routeurs à rayons avec des VTI
statiques.
Routeur-1 (HUB):
Configuration DVTI
Au lieu d'avoir un «tunnel d'interface» (tel qu'utilisé dans Static VTI ou GRE), pour DVTI, nous devons
configurer une seule interface « modèle virtuel » qui accueillera tous les sites Spoke. Lorsqu'un
Le site Spoke se connecte au routeur Hub, une interface logique « Virtual-Access » est créée pour chaque
Spoke
à partir de l'interface «Modèle virtuel». Par conséquent, chaque routeur Spoke Branch distant aura son
propre interface logique «Virtual-Access» sur le HUB. Ces interfaces peuvent être vues en exécutant le
Commande « show ip interface brief » sur le HUB.
Prendre plaisir
Piste 71
71
R1 (config) # interface FastEthernet0 / 0 ← Interface WAN publique
R1 (config-if) # adresse IP 20.20.20.2 255.255.255.0 ← IP publique
R1 (config) # interface Loopback0 ← À utiliser pour le modèle virtuel ci-dessous
R1 (config-if) # ip address 10.0.0.1 255.255.255.0 ← Choisissez une IP privée inutilisée
R1 (config-if) # interface Tunnel de type Virtual-Template1 ← Ceci est l'interface DVTI
R1 (config-if) # ip unumbered Loopback0 ← Configuré ci-dessus
R1 (config-if) # tunnel source FastEthernet0 / 0 ← La source de DVTI est l'interface WAN
R1 (config-if) # mode tunnel ipsec ipv4 ← mode VTI
Routeur-2 (SPOKE):
Les routeurs à rayons sont configurés avec un VTI statique normal à l'aide d'interfaces de tunnel comme
nous l'avons décrit sur
sections précédentes.
R2 (config) # interface FastEthernet0 / 0 ← Interface WAN publique
R2 (config-if) # adresse IP 30.30.30.2 255.255.255.0 ← IP publique (peut également être dynamique)
R2 (config) # interface Loopback0 ← À utiliser pour l'interface Tunnel ci-dessous
R2 (config-if) # ip address 10.1.1.1 255.255.255.0 ← Choisissez une adresse IP privée inutilisée
R2 (config) # interface Tunnel0 ← Voici l'interface SVTI
R2 (config-if) # ip unumbered Loopback0 ← Configuré ci-dessus
R2 (config-if) # tunnel source FastEthernet0 / 0 ← La source de SVTI est l'interface WAN
R2 (config-if) # destination du tunnel 20.20.20.2 ← IP WAN du routeur HUB distant
R2 (config-if) # mode tunnel ipsec ipv4 ← mode VTI
Prendre plaisir
Psaumes 72
72
Après avoir configuré les tunnels VTI, nous devons configurer le routage afin que les appareils annoncent
leur
Adresses IP LAN et Tunnel locales aux autres routeurs participant à la topologie VPN. Dans ce
exemple particulier, nous utiliserons EIGRP.
Routeur-1:
R1 (config-router) # network 10.0.0.0 0.0.0.255 ← Sous- réseau de l'adresse IP privée du modèle
virtuel
Routeur-2:
R2 (config-router) # network 10.1.1.0 0.0.0.255 ← Sous- réseau de l'adresse IP privée du tunnel
Voyons les tables de routage et les voisins EIGRP des routeurs Hub et Spoke:
Routeur-1 (HUB):
R1 # show ip interface brief
Interface
Adresse IP
D'accord? Méthode
Statut
Protocole
FastEthernet0 / 0
20.20.20.2
OUI manuel
haut
haut
FastEthernet0 / 1
192.168.1.1 OUI manuel
haut
haut
NVI0
Non attribué
NON non défini
haut
haut
Accès virtuel1
Non attribué
OUI non défini
vers le bas
vers le bas
Modèle virtuel1 10.0.0.1
OUI TFTP
vers le bas
vers le bas
Accès virtuel2
10.0.0.1
OUI TFTP
haut
haut
Accès virtuel3
10.0.0.1
OUI TFTP
haut
haut
Boucle0
10.0.0.1
OUI manuel
haut
haut
Prendre plaisir
Piste 73
73
Comme décrit précédemment, des interfaces «Virtual-Access» sont créées (voir Virtual-Access2 et
Virtual-Access3 ci - dessus) à partir de l'interface Virtual-Template pour chaque routeur Spoke.
R1 # show ip eigrp voisins
Voisins IP-EIGRP pour le processus 100
Adresse H
Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms)
Num Cnt
1 10.1.1.1
Vi2
dix
00:21:16 128 5000 0 23
0 10.2.2.1
Vi3
11
00:22:09 153 5000 0 3
Le routeur R1 (concentrateur) a établi deux voisins EIGRP avec les deux sites Spoke via l'accès virtuel
les interfaces.
…. (Sortie omise)
20.0.0.0/24 est un sous-réseau, 1 sous-réseaux
C 20.20.20.0 est directement connecté, FastEthernet0 / 0
D 10.2.2.0 [90/297372416] via 10.2.2.1, 00:22:31, Virtual-Access3
D 10.1.1.0 [90/297372416] via 10.1.1.1, 00:21:39, Virtual-Access2
C 10.0.0.0 est directement connecté, Loopback0
D 192.168.2.0/24 [90/297246976] via 10.1.1.1, 00:21:39, Virtual-Access2
D 192.168.3.0/24 [90/297246976] via 10.2.2.1, 00:22:32, Virtual-Access3
…. (Sortie omise)
La table de routage de R1 est remplie avec les réseaux des sites Spoke Branch comme indiqué ci-dessus.
Routeur-2 (SPOKE):
R2 # show ip eigrp voisins
Voisins IP-EIGRP pour le processus 100
Adresse H
Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms)
Num Cnt
0 10.0.0.1
Tu0
11 00:24:20 154 5000 0 17
Prendre plaisir
Piste 74
74
… (Sortie omise)
D 10.2.2.0 [90/310172416] via 10.0.0.1, 00:24:47, Tunnel0
C 10.1.1.0 est directement connecté, Loopback0
D 10.0.0.0 [90/297372416] via 10.0.0.1, 00:24:47, Tunnel0
D 192.168.1.0/24 [90/297270016] via 10.0.0.1, 00:24:47, Tunnel0
D 192.168.3.0/24 [90/310046976] via 10.0.0.1, 00:24:47, Tunnel0
C 30.30.30.0 est directement connecté, FastEthernet0 / 0
… (Sortie omise)
Le routeur Spoke apprend tous les réseaux requis à partir du routeur Hub (via Tunnel0).
Le routeur Hub acceptera les connexions à partir de n'importe quelle adresse IP distante. Aussi, nous
devons utiliser "keyring"
et "profil isakmp" pour le routeur Hub afin de lier l'interface "Virtual-Template" à IPSEC
La phase 1.
Routeur-1 (HUB):
R1 (config) # crypto keyring remotebranchkeys
R1 (conf-keyring) # adresse de clé pré-partagée 0.0.0.0 0.0.0.0 clé strongkey123
Prendre plaisir
Piste 75
75
R1 (config) # crypto profil isakmp DVTI ← Profil Isakmp
R1 (conf-isa-prof) # keyring remotebranchkeys
R1 (conf-isa-prof) # correspond à l'adresse d'identité 0.0.0.0
R1 (conf-isa-prof) # virtual-template 1 ← Joindre Virtual-Template1 configuré avant
Routeur-2 (SPOKE):
Pour le Spoke, nous n'avons pas besoin de configuration "keyring" et "isakmp profile". L'IPSEC
traditionnel
La configuration de la phase 1 suffit.
R2 (config) # crypto isakmp key strongkey123 adresse 20.20.20.2
Routeur-1 (HUB):
R1 (config) # profil crypto ipsec VTI-PROTECTION
Prendre plaisir
Psaumes 76
76
Routeur-2 (SPOKE):
R2 (config) # profil crypto ipsec VTI-PROTECTION
• ÉTAPE 5: Attachez le profil de protection IPSEC aux tunnels VTI
Routeur-1 (HUB):
R1 (config) # interface tunnel de type Virtual-Template1
R1 (config-if) # tunnel protection profil ipsec VTI-PROTECTION
Routeur-2 (SPOKE):
R2 (config-if) # tunnel protection profil ipsec VTI-PROTECTION
4.1.9.
2.3 VPN multipoint dynamique (DMVPN)
DMVPN fournit une connectivité maillée complète pour les grandes topologies de réseau Hub-and-Spoke.
La première-
la configuration de l'heure est un peu complexe, mais une fois que cela fonctionne, vous pouvez
commencer à ajouter Spoke
sites sans modifier la configuration du concentrateur. De plus, les sites en étoile avec une adresse IP WAN
dynamique sont pris en charge
ainsi que. De plus, il n'est pas nécessaire de configurer manuellement les tunnels VPN Spoke-to-Spoke
puisque ceux-ci
sont créés automatiquement chaque fois qu'il y a du trafic entre les rayons.
Dans notre scénario de réseau ci-dessous, nous avons un routeur Hub central avec deux branches Spoke
distantes
sites (un avec une adresse IP publique statique et un avec une adresse IP publique dynamique). Dans notre
configuration, nous verrons
Prendre plaisir
Piste 77
77
de nouvelles fonctionnalités et de nouveaux protocoles que nous n'avons jamais vus auparavant. Ceux-ci
incluent Multipoint GRE et
Protocole de résolution du prochain bond (NHRP) . Dans le chapitre 1, section 1.4 ci-dessus, nous avons
décrit comment DMVPN
fonctionne en général. Ici, nous allons entrer dans la configuration réelle. Nous verrons comment
configurer le
Hub (Router1) et l'un des sites Spoke (Router3). Tous les sites en étoile auront une configuration similaire.
• ÉTAPE 1: Configurer les tunnels GRE multipoint
Tous les routeurs de la topologie (Routeurs Hub et Spoke) seront configurés avec Multipoint GRE
(mGRE) Tunnels. Un tunnel mGRE est une seule interface de tunnel qui peut avoir plusieurs GRE
connexions avec d'autres routeurs. Dans les types de VPN précédents (GRE point à point et VTI statique),
nous avions un
Interface de tunnel dédiée pour chaque tunnel VPN point à point. Maintenant, en utilisant mGRE, nous
pouvons avoir un
Interface de tunnel unique pour plusieurs connexions de tunnel VPN. Cela signifie que nous n'avons pas
besoin d'avoir
une interface tunnel distincte sur le concentrateur pour chaque nouveau rayon ajouté dans la topologie, ce
qui rend
DMVPN très évolutif.
Prendre plaisir
Piste 78
78
Routeur-1 (HUB):
Configuration mGRE
Pour mGRE Tunnel, nous configurons le mode de Tunnel Interface comme « tunnel mode gre multipoint
».
De plus, contrairement aux interfaces de tunnel GRE et VTI que nous avons vues auparavant, il n'est pas
nécessaire de définir un
« Destination tunnel commande ». Cela signifie que vous n'avez pas besoin d'avoir une adresse IP statique
définie pour
sites distants, ce qui permet aux sites de succursales IP dynamiques de participer au DMVPN.
R1 (config) # interface FastEthernet0 / 1 ← Interface WAN publique sur le routeur Hub
R1 (config-if) # adresse IP 20.20.20.2 255.255.255.0 ← IP publique
R1 (config) # interface Tunnel0 ← Voici l'interface mGRE
R1 (config-if) # adresse IP 10.0.0.1 255.255.255.0 ← Sélectionnez un sous-réseau IP privé
R1 (config-if) # tunnel source FastEthernet0 / 1 ← La source du tunnel est l'interface WAN
R1 (config-if) # tunnel mode gre multipoint ← Définit le mode tunnel sur mGRE
R1 (config-if) # ip mtu 1440 ← Réduisez le MTU pour permettre une surcharge supplémentaire de
mGRE et IPSEC
Routeur-3 (SPOKE):
R3 (config) # interface FastEthernet0 / 1 ← Interface WAN publique sur le routeur à rayons
R3 (config-if) # adresse IP dhcp ← IP publique dynamique via DHCP
R3 (config) # interface Tunnel0 ← Ceci est l'interface mGRE
R3 (config-if) # adresse IP 10.0.0.3 255.255.255.0 ← IP du tunnel dans le même sous-réseau que le
concentrateur
R3 (config-if) # tunnel source FastEthernet0 / 1 ← La source du tunnel est l'interface WAN
R3 (config-if) # tunnel mode gre multipoint ← Définit le mode tunnel sur mGRE
R3 (config-if) # ip mtu 1440 ← Réduisez le MTU pour permettre une surcharge supplémentaire de
mGRE et IPSEC
Prendre plaisir
Piste 79
79
• ÉTAPE 2: configuration du protocole de résolution du prochain bond (NHRP)
Routeur-1 (HUB):
Configuration NHRP
NHRP est utilisé pour fournir le mappage IP entre l'adresse IP WAN et l'adresse IP du tunnel. Le Hub est
le serveur NHRP (NHS) tandis que les sites Spoke sont les clients NHRP. La requête des clients (Spoke
sites)
le routeur NHS (site Hub) pour obtenir l'adresse IP publique WAN physique des autres routeurs Spoke. CA
aide
les routeurs Spoke pour établir dynamiquement des tunnels VPN avec d'autres routeurs Spoke dans la
topologie. Il
peu importe si un routeur Spoke a une adresse IP publique dynamique. Tant que ce routeur Spoke
enregistrera son
IP publique actuelle avec le serveur NHS, tous les autres sites Spoke la trouveront et pourront
établir un VPN avec le site IP dynamique. Cette fonctionnalité est facilitée par NHRP.
REMARQUE:
L'adresse NHS sera toujours l'adresse IP privée de l'interface tunnel du concentrateur.
R1 (config) # interface Tunnel0 ← Revenez dans l'interface du tunnel
R1 (config-if) # ip nhrp authentication NHRPkey ← Clé secrète pour authentifier les clients
R1 (config-if) # ip nhrp map multicast dynamic ← Active le transfert du trafic multicast
à travers le tunnel.
R1 (config-if) # ip nhrp network-id 100 ← Identifie le cloud DMVPN. Tous les routeurs doivent avoir
le même ID de réseau.
R1 (config-if) # clé de tunnel 100 ← FACULTATIF. Nécessaire uniquement sur les anciennes
versions d'IOS telles que 12.3
Routeur-3 (SPOKE):
La configuration NHRP sur les sites Spoke a quelques commandes supplémentaires par rapport au Hub.
R3 (config-if) # ip nhrp authentication NHRPkey ← Clé secrète pour l'authentification avec Hub
R3 (config-if) # ip nhrp map multicast dynamic ← Active le transfert du trafic multicast
à travers le tunnel.
Prendre plaisir
Piste 80
80
R3 (config-if) # ip nhrp network-id 100 ← Identifie le cloud DMVPN. Tous les routeurs doivent avoir
le même ID de réseau.
R3 (config-if) # touche tunnel 100 ← FACULTATIF. Nécessaire uniquement sur les anciennes
versions d'IOS telles que 12.3
R3 (config-if) # ip nhrp map 10.0.0.1 20.20.20.2 ← Mapper l'adresse NHS (10.0.0.1 sur Hub)
avec l'adresse IP publique WAN du hub (20.20.20.2)
R3 (config-if) # ip nhrp map multicast 20.20.20.2 ← Envoyez le trafic multicast au concentrateur
uniquement. Centre
recevra tout le trafic multicast (par exemple, les mises à jour du protocole de routage), puis enverra
des mises à jour à
tous les routeurs Spoke.
R3 (config-if) # ip nhrp nhs 10.0.0.1 ← Spécifiez l'adresse IP NHS (il s'agit toujours de l'adresse IP
privée du
Interface tunnel sur le routeur Hub)
La configuration NHRP ci-dessus sera exactement la même pour tous les routeurs Spoke.
• ÉTAPE 3: Configurer le routage dynamique
Le routage dynamique est un must dans les topologies DMVPN. Afin de faciliter les déploiements
évolutifs,
la configuration de EIGRP ou OSPF améliorera considérablement la flexibilité et la gestion de la
configuration.
Nous allons configurer EIGRP dans notre exemple de scénario. Avec EIGRP, vous devez désactiver deux
par défaut
caractéristiques du protocole afin de permettre un routage approprié des publicités entre tous les appareils
du
topologie.
Tout d'abord, vous devez désactiver « Split Horizon » sur tous les routeurs. Split Horizon a été conçu pour
ne pas permettre
routeur pour annoncer une route sur la même interface dans laquelle la route a été initialement apprise. Ce
conflits dans le cas de l'interface Tunnel car les routeurs doivent pouvoir faire des voisins avec
les autres routeurs sur le même sous-réseau (toutes les interfaces Tunnel sont dans le même sous-réseau) et
annoncer les itinéraires appris d'un interlocuteur à l'autre. La commande est:
" No ip split-horizon eigrp [AS_Number] "
Prendre plaisir
Piste 81
81
Le deuxième point à garder à l'esprit est «Next Hop Advertisement». Typiquement dans EIGRP le prochain
saut
annoncé est le routeur lui-même, mais dans DMVPN, vous voulez vous assurer que les rayons connaissent
chaque
autre. Pour permettre cela, vous devez désactiver le prochain saut en utilisant
" No ip next-hop-self eigrp [AS_Number] "
Routeur-1 (HUB):
R1 (config-router) # network 10.0.0.0 0.0.0.255 ← Sous-réseau d'interface de tunnel DMVPN
R1 (config-router) # network 192.168.1.0 0.0.0.255 ← Sous- réseau Hub LAN
R1 (config-if) # no ip split-horizon eigrp 90 ← Désactiver Split Horizon
R1 (config-if) # no ip next-hop-self eigrp 90 ← Désactiver le prochain saut self
R1 (config-if) # pas de redirections IP ← Utile pour avoir
Routeur-3 (SPOKE):
R3 (config-router) # network 10.0.0.0 0.0.0.255 ← Sous-réseau d'interface de tunnel DMVPN
R3 (config-router) # network 192.168.3.0 0.0.0.255 ← Sous- réseau LAN
R3 (config-if) # no ip split-horizon eigrp 90 ← Désactiver Split Horizon
R3 (config-if) # no ip next-hop-self eigrp 90 ← Désactiver le prochain saut self
R3 (config-if) # pas de redirections IP ← Utile pour avoir
Prendre plaisir
Psaumes 82
82
• ÉTAPE 4: Configurer la protection IPSEC
Je n'entrerai pas dans les détails dans cette étape puisque nous avons décrit IPSEC Phase1 et Phase2
plusieurs fois dans les exemples précédents. Voyons la configuration ci-dessous:
Routeur-1 (HUB):
R1 (config) # crypto isakmp key strongsecretkey adresse 0.0.0.0 0.0.0.0
R1 (config) # crypto ipsec transform-set TRSET esp-3des esp-sha-hmac
R1 (config) # profil crypto ipsec PROTECT-DMVPN
R1 (config-if) # profil ipsec de protection de tunnel PROTECT-DMVPN
Routeur-3 (SPOKE):
R3 (config) # crypto isakmp key strongsecretkey adresse 0.0.0.0 0.0.0.0 ← Les routeurs à rayons
doivent
autorise également les connexions depuis n'importe quelle adresse IP afin de former des tunnels VPN
IPSEC avec d'autres Spokes.
R3 (config) # crypto ipsec transform-set TRSET esp-3des esp-sha-hmac
R3 (config) # profil crypto ipsec PROTECT-DMVPN
R3 (ipsec-profile) # set transform-set TRSET
Prendre plaisir
Piste 83
83
R3 (config-if) # profil ipsec de protection de tunnel PROTECT-DMVPN
Ceci conclut la configuration de DMVPN. Vous pouvez trouver un exemple de configuration complet du
scénario ci-dessus au chapitre 4, section 4.1.10.
2.4 VPN PPTP
Le protocole PPTP (Point to Point Tunneling Protocol) est un type de VPN que je n'ai pas mentionné dans
le précédent
Chapitre. En fait, PPTP est un sujet que j'ai décidé d'inclure dans le livre à la dernière minute. Au
début je croyais que PPTP est un peu obsolète et pourrait ne pas être utile pour beaucoup de gens.
Cependant, j'avais tort. J'ai reçu plusieurs demandes de personnes pour inclure ce type de connectivité VPN
car il est très utile dans les petits et moyens réseaux (SOHO, etc.), en particulier pour fournir une
solution d'accès à distance aux utilisateurs disposant d'ordinateurs Microsoft OS. PPTP est supporté
nativement par tous
les systèmes d'exploitation Windows actuels sans avoir à installer de logiciel supplémentaire.
PPTP fournit une communication cryptée entre un client et un serveur (le client étant un
ordinateur et serveur étant un routeur Cisco dans notre cas). Les algorithmes de cryptage PPTP ne sont pas
aussi
forts comme IPSEC ou SSL VPN, mais ils offrent un bon niveau de sécurité et de confidentialité. De plus,
PPTP utilise
Protocoles PAP ou CHAP comme mécanismes pour authentifier les utilisateurs distants se connectant au
réseau.
Ci-dessous, nous décrirons comment configurer un routeur Cisco pour qu'il fonctionne comme un serveur
PPTP afin de
mettre fin aux clients distants et leur donner accès à un réseau interne. PPTP est pris en charge uniquement
sur les routeurs. Les pare-feu ASA ne peuvent pas fonctionner en tant que serveurs PPTP.
Prendre plaisir
Psaumes 84
84
À partir du diagramme ci-dessus, nous avons des utilisateurs distants qui utiliseront PPTP pour se
connecter à leur entreprise
Réseau LAN sur Internet. Le routeur R1 fonctionnera en tant que serveur PPTP (également appelé Virtual
Private
Dialup Network - VPDN Server) pour accepter les connexions d'utilisateurs distants et leur attribuer une
adresse IP
adresse de la plage 192.168.50.1-10. Après cela, les utilisateurs distants auront un accès complet à
l'entreprise
LAN. Voyons la configuration de R1 ci-dessous:
Routeur R1:
• ÉTAPE 1: Configurez le pool IP pour attribuer des adresses aux utilisateurs distants
Comme tous les autres types de VPN d'accès à distance, nous devons avoir un pool d'adresses IP à attribuer
utilisateurs distants. Dans notre cas, ce pool sera compris entre 192.168.50.1 et 192.168.50.10.
R1 (config) #ip pool local pptp-pool 192.168.50.1 192.168.50.10
• ÉTAPE 2: Configurez le réseau commuté privé virtuel (VPDN)
VPDN est la technologie utilisée à l'origine dans les anciens réseaux commutés. Cependant, VPDN est
utilisé
également pour les connexions VPN PPTP.
Prendre plaisir
Piste 85
85
! Activer et configurer VPDN
R1 (config) #vpdn enable ← Activer la fonction VPDN
R1 (config) # vpdn-group 1 ← Créer un groupe VPDN
R1 (config-vpdn) # accept-dial ← Accepter les demandes d' appel entrant
R1 (config-vpdn-acc-in) #protocol pptp ← Utiliser le protocole PPTP
R1 (config-vpdn-acc-in) # virtual-template 1 ← Attachez le modèle virtuel 1 à ce groupe vpdn
R1 (config-vpdn-acc-in) #exit
R1 (config-vpdn) #exit
• ÉTAPE 3: configurer une interface virtuelle pour la terminaison des tunnels PPTP
L'interface virtuelle suivante sera utilisée par tous les utilisateurs d'accès distant PPTP. Cette interface
virtuelle
modèle attribuera une adresse IP aux utilisateurs distants du pool « pptp-pool » et utilisera le Microsoft
Cryptage point à point (mppe) avec 128 bits. En outre, l'authentification des utilisateurs distants sera
effectuée via « ms-chap » ou « ms-chap v2 ». Notez également que cette interface virtuelle doit avoir une
adresse IP
adresse dans la même plage de réseau que le pool IP des utilisateurs distants. Lorsque les utilisateurs
distants accèdent
le routeur, des interfaces virtuelles seront créées qui seront clonées à partir de ce modèle virtuel.
R1 (config) #interface Virtual-Template1
R1 (config-if) #ip address 192.168.50.254 255.255.255.0 ← IP Dans la même plage que le pool IP
R1 (config-if) #peer default IP address pool pptp-pool ← Assign IP Pool «pptp-pool» à distant
utilisateurs
R1 (config-if) #ppp encrypt mppe 128 ← Le tunnel utilisera Microsoft Point to Point
Chiffrement (mppe) avec clé de 128 bits
R1 (config-if) #ppp authentification ms-chap ms-chap-v2 ← Utilisez ms-chap ou ms-chap2 pour
authentification des utilisateurs distants.
• ÉTAPE 4: Créer des identifiants de nom d'utilisateur / mot de passe pour les
Nous devons également créer des informations d'identification à utiliser par les utilisateurs d'accès à
distance pour l'authentification.
R1 (config) #username remote1 mot de passe cisco123
Prendre plaisir
Psaumes 86
86
• ÉTAPE 5: Vérification
R1 # afficher vpdn
Tunnel PPTP et informations sur la session Total des tunnels 1 sessions 1
LocID État du nom distant Sessions de port d'adresse distante Groupe VPDN
2
établi 30.30.30.1 1659 1 1
LocID RemID TunID Intf Username State Last Chg Uniq ID
2 6802 2 Vi3 remote1
estabd 00:02:05 1
Comme vous pouvez le voir ci-dessus, il existe un tunnel PPTP avec IP 30.30.30.1 distant et nom
d'utilisateur
« Remote1 ».
R1 # show VPN tunnel pptp tous
Informations sur le tunnel PPTP Total des tunnels 1 sessions 1
ID de tunnel 2, 1 sessions actives
L'état du tunnel est établi, heure depuis le changement 00:00:13
Le nom du tunnel distant est
Adresse Internet 30.30.30.1 , port 1659
Le nom du tunnel local est R1
Adresse Internet 20.20.20.2, port 1723
Groupe VPDN: 1
52 paquets envoyés, 175 reçus, 2218 octets envoyés, 20913 reçus
Dernier effacement des compteurs "show vpdn" jamais
Ce qui précède montre quelques détails supplémentaires sur le tunnel PPTP établi tels que les paquets
envoyés et
reçu etc.
Ceci conclut la configuration de PPTP VPN. Vous pouvez trouver un exemple de configuration complet de
le scénario ci-dessus au chapitre 4, section 4.1.11.
Prendre plaisir
Psaumes 87
87
Chapitre 3 Configuration VPN sur les pare-feu
ASA
Ce chapitre se concentrera sur la configuration VPN sur les périphériques de pare-feu Cisco ASA. Les
configurations
ici sera applicable à tous les modèles ASA de la série 5500 et de la nouvelle série 5500-X. Pour le
configurations, nous avons utilisé des périphériques exécutant la version 8.4 (x) ASA donc certaines des
commandes (par exemple
ceux sur NAT) sont différents des anciennes versions ASA (antérieures à 8.3). Les configurations VPN
ci-dessous sont également applicables aux versions 9.x et ultérieures ASA.
3.1 Configuration VPN basée sur des stratégies sur
Cisco ASA
Il s'agit du VPN IPSEC traditionnel (IKEv1 IPSEC) que nous avons décrit en détail dans les sections 1.2 et
2.1.1. Puisque nous avons déjà vu une théorie et des détails sur les protocoles IPSEC et comment ils
sont utilisés dans les implémentations VPN, nous passerons directement aux étapes de configuration des
pare-feu ASA.
Notre topologie de réseau simple ci-dessus nous aidera à configurer un VPN IPSEC de site à site entre deux
Périphériques Cisco ASA. La configuration est la même pour tout modèle ASA.
Prendre plaisir
Psaumes 88
88
• ÉTAPE 1: Configurez le trafic intéressant
Nous devons d'abord définir le trafic intéressant, c'est-à-dire le trafic qui sera crypté. Utiliser Access-
Listes ( Crypto ACL ) nous pouvons identifier quel flux de trafic doit être crypté. Dans notre exemple de
diagramme
ci-dessus, nous voulons que tout le flux de trafic entre les réseaux privés 192.168.1.0/24 et 192.168.2.0/24
soit
crypté.
ASA 1:
IP 192.168.1.0 255.255.255.0 de permis étendu de VPN-ACL d'ASA-1 (config) # access-list
192.168.2.0 255.255.255.0
ASA 2:
IP 192.168.2.0 255.255.255.0 d'autorisation étendue de VPN-ACL d'ASA-2 (config) # access-list
192.168.1.0 255.255.255.0
Notez que nous devons configurer la liste d'accès miroir exacte pour chaque pare-feu ASA participant à
le VPN IPSEc. La Crypto ACL doit identifier uniquement le trafic sortant. La déclaration de permis dans
le
ACL signifie que le trafic spécifique doit être chiffré. De plus, si vous disposez de réseaux internes
supplémentaires
derrière l'ASA qui doivent être transportés dans le tunnel VPN, alors vous devez les inclure dans le
VPN-ACL également.
Exclusion NAT
Un problème important à considérer est le cas de l'utilisation de NAT sur le pare-feu pour un accès Internet
normal.
Comme IPSEc ne fonctionne pas avec NAT, nous devons exclure le trafic à chiffrer du
Opération NAT, comme nous l'avons fait dans la configuration IPSEC sur les routeurs dans le chapitre
précédent. Cela signifie en
notre exemple que le trafic intéressant dans la crypto ACL ne doit pas être traduit.
La configuration ci-dessous montre comment exclure le trafic du tunnel VPN de l'opération NAT. Si tu ne
le fais pas
utilisez NAT, alors la configuration ci-dessous n'est pas nécessaire.
ASA 1:
ASA-1 (config) # object network obj-local
ASA-1 (config-network-object) # sous-réseau 192.168.1.0 255.255.255.0 ← LAN1
ASA-1 (config-network-object) # exit
ASA-1 (config) # object network obj-remote
Prendre plaisir
Psaumes 89
89
ASA-1 (config) # object network internal-lan ← Cet objet sera utilisé pour PAT
ASA-1 (config-network-object) # sous-réseau 192.168.1.0 255.255.255.0
ASA-1 (config) # nat (intérieur, extérieur) source statique obj-local obj-local destination statique obj-
remote obj-remote ← Exclure le trafic de LAN1 à LAN2 de l'opération NAT
ASA-1 (config) # object network internal-lan
Interface dynamique ASA-1 (config-network-object) # nat (intérieur, extérieur) ← Configurer le port
Traduction d'adresse (PAT) utilisant l'interface ASA extérieure. Cela effectuera un NAT dynamique
sur les hôtes LAN internes afin qu'ils puissent accéder à Internet.
ASA 2:
remote obj-remote ← Exclure le trafic du LAN2 au LAN1 de l'opération NAT
• ÉTAPE 2: configuration de la phase 1 (ISAKMP - ikev1)
Le format de commande de la stratégie isakmp (également appelée ikev1 ) dans les pare-feu ASA est le
suivant:
ASA (config) # stratégie crypto ikev1 « numéro de priorité » ← Un nombre inférieur signifie une
priorité plus élevée
ASA (config-ikev1-policy) # cryptage { aes | aes-192 | aes-256 | 3des | des }
ASA (config-ikev1-policy) # hash { sha | md5 }
ASA (config-ikev1-policy) # authentification { pré-partage | rsa-sig }
ASA (config-ikev1-policy) # groupe { 1 | 2 | 5 | 7 } ← Groupe DH
ASA (config-ikev1-policy) # durée de vie « secondes » ← Jusqu'à 86400 secondes
ASA (config) # crypto ikev1 enable " interface-name " ← Joindre la politique sur une interface
Adresse d'identité ASA (config) # crypto isakmp ← Identifiez l'ASA avec son adresse et non
FQDN
Prendre plaisir
Piste 90
90
Plusieurs stratégies isakmp peuvent être configurées pour répondre à différentes exigences de différents
IPSEc
pairs. Le numéro de priorité identifie de manière unique chaque stratégie. Plus le numéro de priorité est
bas, plus
plus la priorité sera donnée à la politique spécifique.
Les exemples de paramètres suivants peuvent être utilisés pour créer une stratégie ikev1 forte:
• Cryptage aes
• Hash sha
• Pré-partage d' authentification
• Groupe 2 ou 5
• À vie 86400 (la Security Association - SA expirera et renégociera toutes les 86400 secondes)
La prochaine chose que nous devons spécifier est la clé pré-partagée et le type de VPN (site à site ou
Accès à distance). Ceux-ci sont configurés par la commande tunnel-group .
ASA (config) # type "d' adresse IP d'homologue " de groupe de tunnels { ipsec-l2l | accès à distance }
ASA (config) # tunnel-group « adresse IP d'homologue » ipsec-attributes
ASA (config-tunnel-ipsec) # ikev1 clé pré-partagée « clé»
Voyons la configuration complète sur les deux pare-feu pour les paramètres IPSEC Phase1:
ASA 1:
ASA-1 (config) # politique crypto ikev1 10
ASA-1 (config-ikev1-policy) # authentification pré-partage ← Utiliser la clé pré-partagée pour
l'authentification
ASA-1 (config-ikev1-policy) # encryption aes ← Utiliser le cryptage AES 128 bits
ASA-1 (config-ikev1-policy) # hash sha ← Utilisez SHA pour le hachage
ASA-1 (config-ikev1-policy) # groupe 2 ← Diffie-Hellman Groupe 2
ASA-1 (config-ikev1-policy) # durée de vie 86400 ← La durée de vie de SA est de 86400 secondes
ASA-1 (config-ikev1-policy) # exit
ASA-1 (config) # crypto ikev1 activer à l'extérieur ← Activer la politique sur l'interface «extérieure»
Adresse d'identité ASA-1 (config) # crypto isakmp
ASA-1 (config) # tunnel-group 200.200.200.1 type ipsec-l2l ← Configurez un tunnel avec l'IP
d'homologue
200.200.200.1 qui sera de type Lan-to-Lan
ASA-1 (config) # tunnel-group 200.200.200.1 ipsec-attributes
ASA-1 (config-tunnel-ipsec) # ikev1 clé pré-partagée somestrongkey ← clé pré-partagée
Prendre plaisir
Piste 91
91
ASA 2:
l'authentification
ASA-2 (config-ikev1-policy) # encryption aes ← Utiliser le cryptage AES 128 bits
ASA-2 (config) # crypto ikev1 activer à l'extérieur ← Activer la politique sur l'interface «extérieure»
ASA-2 (config) # tunnel-group 100.100.100.1 type ipsec-l2l ← Configurez un tunnel avec l'IP de pair
100.100.100.1 qui sera de type Lan-to-Lan
ASA-2 (config-tunnel-ipsec) # ikev1 clé pré-partagée somestrongkey ← clé pré-partagée
Comme nous l'avons fait dans la configuration IPSEC sur les routeurs, pour Phase2, nous devons
configurer un « Transform Set »
et « Crypto Map ».
Le format de commande de configuration d'un jeu de transformations est le suivant:
ASA (config) # crypto ipsec ikev1 transform-set « nom » « transform1 » « transform2 »
Les transformations suivantes (protocoles / algorithmes) peuvent être utilisées à la place de transform1 et
transform2 :
Transformer
La description
esp-des
Transformée ESP utilisant le chiffrement DES (56 bits)
esp-3des
Transformation ESP utilisant le chiffrement 3DES (168 bits)
esp-aes
esp-aes-192
esp-aes-256
esp-md5-hmac
Transformation ESP utilisant l'authentification HMAC-MD5
esp-sha-hmac
Transformation ESP utilisant l'authentification HMAC-SHA
esp-aucun
ESP sans authentification
esp-null
ESP avec cryptage nul
Prendre plaisir
Psaumes 92
92
Après avoir configuré un ensemble de transformations sur les deux homologues IPSEc, nous devons
configurer un crypto map qui
combine tous les paramètres IPSEc de phase 2. Cette crypto map est ensuite attachée à l'interface du pare-
feu
(généralement «à l' extérieur ») sur lequel l'IPSEc sera établi.
Le format de commande d'une crypto map est:
ASA (config) # crypto map « name » « seq-num » correspond à l'adresse « Crypto-ACL » ← Assign
the Crypto
ACL qui spécifie le trafic intéressant à chiffrer.
ASA (config) # crypto map " name " " seq-num " set peer " Peer_IP_address " ← Spécifiez la
télécommande
adresse IP du pair
ASA (config) # crypto map " name " " seq-num " set ikev1 transform-set " Transform_set_name "
← Ceci est le nom du jeu de transformations configuré ci-dessus
ASA (config) # crypto map " name " interface " interface-name " ← Joindre la carte à une interface
Le paramètre seq-num dans la crypto map est utilisé pour spécifier plusieurs entrées de map (avec le même
name) pour les cas où nous avons plus d'un homologue IPSEc terminé sur le même pare-feu. Pour
Par exemple, si le pare-feu ci-dessus est un pare-feu Hub dans une topologie VPN Hub-and-Spoke avec 2
rayons,
puis il y aura deux entrées de crypto map avec le même «nom» mais des «numéros de séquence» différents.
Voyons l'exemple de configuration complet pour les deux pare-feu pour la configuration de la phase 2:
ASA 1:
ASA-1 (config) # crypto ipsec ikev1 transform-set TRSET esp-aes esp-md5-hmac
ASA-1 (config) # crypto map VPNMAP 10 correspond à l'adresse VPN-ACL
ASA-1 (config) # crypto map VPNMAP 10 a établi l'homologue 200.200.200.1
ASA-1 (config) # crypto map VPNMAP 10 set ikev1 transform-set TRSET
ASA-1 (config) # interface VPNMAP de crypto map à l'extérieur
ASA 2:
ASA-2 (config) # crypto ipsec ikev1 transform-set TRSET esp-aes esp-md5-hmac
ASA-2 (config) # crypto map VPNMAP 10 a établi le pair 100.100.100.1
Interface VPNMAP ASA-2 (config) # crypto map à l'extérieur
Prendre plaisir
Piste 93
93
• ÉTAPE 4: vérifier le transfert de données chiffrées
Avec les trois étapes ci-dessus, nous avons conclu la configuration d'un VPN IPSEc de site à site. Un
essentiel
l'étape consiste cependant à vérifier que tout fonctionne correctement et que nos données sont
effectivement
chiffré par les pare-feu. Il existe deux commandes importantes qui vous aideront à vérifier si le
tunnel est établi et si les données sont chiffrées bidirectionnellement entre les homologues IPSEc.
Vérifiez que le tunnel est établi
La commande show crypto isakmp sa vérifie que l'association de sécurité (SA) est établie
ce qui signifie que le tunnel est opérationnel. Voyons un exemple de sortie de cette commande ci-dessous:
ASA-1 # show crypto isakmp sa
SA IKEv1:
SA active: 1
Rekey SA: 0 (un tunnel rapportera 1 Active et 1 Rekey SA lors de la rekey)
SA IKE totale: 1
1 homologue IKE: 200.200.200.1
Type: L2L
Rôle: initiateur
Rekey: non
État: MM_ACTIVE
Il n'y a pas de SA IKEv2
Le point important à observer ici est l' état: MM_ACTIVE . Cela vérifie que le tunnel IPSEc
est établie avec succès.
Vérifiez que les données sont chiffrées dans les deux sens
La commande show crypto ipsec sa vérifie que les données sont chiffrées et déchiffrées
avec succès par l'appliance de pare-feu, comme indiqué ci-dessous:
Prendre plaisir
Épisode 94
94
ASA-1 # show crypto ipsec sa
interface: extérieur
Balise de carte cryptographique: VPNMAP, numéro séquentiel: 10, adresse locale: 100.100.100.1
permis étendu VPN-ACL de liste d'accès ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
current_peer: 200.200.200.1
#pkts encaps: 8 , # pkts encrypt: 8 , #pkts digest: 8
#pkts decaps: 8 , # pkts decrypt: 8 , #pkts verify: 8
#pkts non compressé: 8, #pkts comp a échoué: 0, #pkts décomp a échoué: 0
--- Sortie omise ---
Comme indiqué ci-dessus, nous avons des paquets en cours de chiffrement et de déchiffrement ( pkts
encrypt, pkts decrypt)
ce qui montre que le tunnel VPN IPSEC fonctionne comme prévu.
Ceci conclut la configuration d'un VPN IPSEC de site à site simple utilisant des pare-feu ASA. Tu peux
trouver
une configuration complète du scénario ci-dessus au chapitre 4, section 4.2.1.
3.1.1.1 Restriction du trafic VPN IPSEC entre les deux sites
Par défaut, un VPN IPSEC de site à site fournit une connectivité réseau complète entre les deux réseaux
locaux. Ce
signifie que les hôtes du LAN1 peuvent accéder à tous les hôtes du LAN2 et vice-versa. Cependant, cela
pourrait ne pas être
certaines situations sont souhaitables. Il y a des cas où nous voulons que les hôtes d'un seul site accèdent
uniquement
hôtes spécifiques de l'autre site et non de l'ensemble du réseau.
Dans cette section, je vais vous montrer comment restreindre le trafic VPN IPSEC afin que LAN-2 ne
puisse accéder qu'à deux
hôtes sur LAN-1 et non sur tout le réseau.
La clé ici est de désactiver la commande par défaut « sysopt connection permit-vpn ». Cette commande
est
activé par défaut sur Cisco ASA et son but est d'exempter tout le trafic VPN IPSEC de la liste d'accès
vérifiez sur l'interface ASA extérieure. Cela signifie que lorsque la commande ci-dessus est activée, tous les
IPSEC
Le trafic VPN est autorisé à passer entre les deux sites sans rien restreindre. Si nous désactivons le
ci-dessus, nous devons autoriser explicitement le trafic IPSEC du site pair à l'extérieur
Prendre plaisir
Psaumes 95
95
Liste de contrôle d'accès de l'ASA. Par conséquent, nous pouvons appliquer un contrôle fin du trafic IPSEC
entre les deux sites.
Notez que IPSEC utilise trois protocoles: ESP , AH et port IKE UDP 500 (isakmp). Par conséquent, nous
devons
autorisez ces protocoles de la liste d'accès externe à atteindre l'interface du pare-feu. Après cela, nous avons
besoin
également pour autoriser explicitement quels hôtes privés sur LAN-1 peuvent être accédés à partir de LAN-
2.
Voyons comment restreindre le trafic VPN IPSEC afin que LAN-2 ne puisse accéder qu'à deux hôtes
(192.168.1.10
et 192.168.1.2) sur LAN-1.
ASA-1
! Désactivez d'abord l'exemption de trafic IPSEC des vérifications de la liste d'accès. Cela signifie
que nous devons
spécifier explicitement le trafic VPN autorisé à passer.
ASA-1 (config) #no sysopt connection permit-vpn
Maintenant, autorisons explicitement le trafic IPSEC du LAN-2 au LAN-1. Nous devons d'abord
permettre aux trois
Protocoles IPSEC de ASA-2 à ASA-1
ASA-1 (config) # access-list outside_in permis étendu hôte esp 200.200.200.1 hôte
100.100.100.1
ASA-1 (config) # access-list outside_in permis étendu ah hôte 200.200.200.1 hôte
100.100.100.1
ASA-1 (config) # access-list outside_in permis étendu hôte udp 200.200.200.1 hôte
100.100.100.1 eq isakmp
! Autorisez désormais l'accès de LAN-2 à deux hôtes sur LAN-1 uniquement
ASA-1 (config) # access-list outside_in permis étendu IP 192.168.2.0 255.255.255.0 hôte
192.168.1.10
ASA-1 (config) # access-list outside_in permis étendu IP 192.168.2.0 255.255.255.0 hôte
192.168.1.2
! Appliquez l'ACL à l'interface externe.
ASA-1 (config) # access-group outside_in dans l'interface à l'extérieur
Prendre plaisir
Psaumes 96
96
3.1.2 VPN IPSEC Hub-and-Spoke avec IP Spoke dynamique
Afin de rendre les choses plus intéressantes, nous discuterons d'un scénario Hub-and-Spoke où nous avons
une branche Spoke avec adresse IP statique et une seconde branche Spoke avec adresse IP dynamique.
Comme nous l'avons décrit dans les réseaux VPN hub-and-spoke utilisant des routeurs, il s'agit
essentiellement d'un VPN Hub-and-Spoke
Le réseau se compose de plusieurs tunnels VPN IPSEC de site à site entre le concentrateur et chaque site
Spoke.
La configuration des sites distants Spoke est la même que celle décrite dans «IPSEC site à site
VPN »ci-dessus, donc nous n'en reparlerons plus. Cependant, la configuration du site Hub
le pare-feu présente quelques différences comme nous le verrons ci-dessous:
Prendre plaisir
Épisode 97
97
ASA-1 (HUB):
chaque site Spoke.
IP 192.168.1.0 255.255.255.0 d'autorisation étendue de VPN-ACL1 d'ASA-1 (config) # access-list
192.168.2.0 255.255.255.0
192.168.3.0 255.255.255.0
ASA-1 (config-network-object) # subnet 192.168.1.0 255.255.255.0 ← LAN local
ASA-1 (config) # object network obj-remote1
ASA-1 (config-network-object) # subnet 192.168.2.0 255.255.255.0 ← Spoke LAN2
ASA-1 (config) # nat (intérieur, extérieur) 1 source statique obj-local obj-local destination statique
obj-
remote1 obj-remote1 ← Exclure le trafic de LAN1 à LAN2 de l'opération NAT
obj-
Prendre plaisir
Psaumes 98
98
! Configurer les paramètres isakmp de Phase1
ASA-1 (config-ikev1-policy) # pré-partage d'authentification
ASA-1 (config-ikev1-policy) # cryptage 3des
ASA-1 (config-ikev1-policy) # hash sha
ASA-1 (config-ikev1-policy) # groupe 2
ASA-1 (config-ikev1-policy) # durée de vie 86400
ASA-1 (config) # crypto ikev1 activer à l'extérieur
! Configurez le groupe de tunnels statique avec le Static Spoke ASA-2
ASA-1 (config) # tunnel-group 30.30.30.2 type ipsec-l2l ← Configurez un tunnel statique avec
ASA-2 (rayon statique)
ASA-1 (config-tunnel-ipsec) # ikev1 clé pré-partagée secretkey1 ← clé pré-partagée avec statique
parlait ASA-2
! Configurez le groupe de tunnels dynamique avec le Dynamic Spoke ASA-3
ASA-1 (config) # tunnel-group DefaultL2LGroup ipsec-attributes ← Ceci est un tunnel spécial
groupe avec le nom « DefaultL2LGroup » qui est utilisé pour les sites en étoile IP dynamiques.
ASA-1 (config-tunnel-ipsec) # ikev1 clé pré-partagée secretkey2 ← clé pré-partagée avec
rayon dynamique ASA-3
Le groupe de tunnels par défaut " DefaultL2LGroup " est utilisé pour faire correspondre tous les sites de
succursale ayant des
adresse IP publique.
! Configurez maintenant l'ensemble de transformations Phase2 et la carte cryptographique. Nous
devons créer une crypto dynamique
map et attachez-la à une crypto map statique.
ASA-1 (config) # crypto ipsec ikev1 transform-set TRSET esp-3des esp-md5-hmac
! Créez une crypto map dynamique «DYNMAP» pour le Dynamic IP Spoke (ASA3)
ASA-1 (config) # crypto dynamic-map DYNMAP 10 correspond à l'adresse VPN-ACL2
ASA-1 (config) # crypto dynamic-map DYNMAP 10 set ikev1 transform-set TRSET
Prendre plaisir
Psaumes 99
99
! Créez une carte cryptographique statique «VPNMAP»
ASA-1 (config) # crypto map VPNMAP 5 correspond à l'adresse VPN-ACL1
ASA-1 (config) # crypto map VPNMAP 5 a établi le pair 30.30.30.2 ← IP statique a parlé
! Joindre la carte dynamique à la carte statique
ASA-1 (config) # crypto map VPNMAP 10 ipsec-isakmp Dynamic DYNMAP
! Joindre la carte statique à l'interface extérieure
Vous pouvez trouver une configuration complète du scénario ci-dessus dans le chapitre 4, section 4.2.2.
3.1.2.1 Communication d'un rayon à un autre via le hub ASA
Le réseau Hub-and-Spoke que nous avons décrit ci-dessus ne prend pas en charge la communication entre
les deux sites Spoke. Les rayons peuvent accéder uniquement au site Hub. Cependant, en utilisant « VPN
Hairpinning », nous
peut faire une astuce pour permettre aux sites Spoke distants de communiquer entre eux via le hub central
site.
Avec VPN Hairpinning, le pare-feu Hub ASA (ASA-1) sera configuré pour autoriser le trafic VPN de
sites parlés pour entrer et sortir de son interface « extérieure » afin que les rayons puissent communiquer
entre eux
via le Hub. Par exemple, le trafic IP privé du LAN-2 peut traverser le tunnel VPN entre
ASA-2 et ASA-1, puis sortez de la même interface et entrez dans le tunnel VPN entre ASA-1
et ASA-3 et enfin atteindre LAN-3. Cela s'appelle « VPN Hairpinning ». La manière alternative serait
pour configurer un VPN IPSEC de site à site direct entre les deux rayons (qui n'est pas très évolutif si
vous avez beaucoup de rayons).
Afin de mettre en œuvre la fonctionnalité ci-dessus, vous devez apporter des modifications à tous les
périphériques ASA dans le
topologie. Heureusement, vous devez modifier uniquement les listes d'accès VPN (pour le trafic
intéressant) et
également les règles d'exemption NAT. De plus, le concentrateur central ASA nécessite également une
commande pour permettre
trafic pour entrer et sortir de la même interface ( même-sécurité-trafic autorise intra-interface ). le
le reste de la configuration concernant le VPN IPSEC n'est pas affecté.
Voyons les changements de configuration requis sur les trois périphériques ASA dans la topologie ci-
dessus.
Prendre plaisir
Piste 100
100
ASA-1 (HUB):
! Autorisez le trafic VPN à entrer et sortir de la même interface. Ceci est essentiel pour que Spoke
trafic pour entrer et sortir de l'interface ASA «extérieure» pour atteindre l'autre rayon.
ASA-1 (config) # même-sécurité-trafic autorise intra-interface
! Modifiez maintenant l'ACL VPN pour le trafic LAN-1 à LAN-2 pour autoriser également le trafic
LAN-3 à LAN-2
192.168.2.0 255.255.255.0
192.168.2.0 255.255.255.0 ← Autoriser également le trafic LAN-3 vers LAN-2
! Modifiez maintenant l'ACL VPN pour le trafic LAN-1 à LAN-3 pour autoriser également le trafic
LAN-2 à LAN-3
192.168.3.0 255.255.255.0
! Voici les sous-réseaux Spoke LAN
! Configurez maintenant l'exemption NAT appropriée
ASA-1 (config) # nat (extérieur, extérieur) source statique obj-remote1 obj-remote1 destination
static obj-remote2 obj-remote2 ← Exclure le trafic du LAN2 au LAN3 de l'opération NAT
ASA-1 (config) # nat (extérieur, extérieur) source statique obj-remote2 obj-remote2 destination
static obj-remote1 obj-remote1 ← Exclure le trafic de LAN3 vers LAN2 de l'opération NAT
REMARQUE 1: Comme vous pouvez le voir ci-dessus, la règle NAT utilise le même nom d'interface
«extérieur». C'est
parce que le trafic entre les rayons entre et sort de la même interface (à l'extérieur) de l'ASA Hub.
REMARQUE2: les autres exemptions NAT pour le trafic entre LAN1 et LAN2 / LAN3 ne sont pas
affichées ici.
Prendre plaisir
Épisode 101
101
ASA-2 (Spoke1):
ASA-2 (config) # object network obj-hub
ASA-2 (config) # object network obj-speak2
! Modifiez l'ACL VPN pour le trafic LAN-2 vers LAN-1 pour autoriser également le trafic LAN-2 vers
LAN-3
192.168.1.0 255.255.255.0
hub obj-hub ← Exclure le trafic de LAN2 vers LAN1 de l'opération NAT
speak2 obj-speak2 ← Exclure le trafic de LAN2 à LAN3 de l'opération NAT
ASA-3 (Spoke2):
ASA-3 (config) # object network obj-spoke1
! Modifiez l'ACL VPN pour le trafic LAN-3 vers LAN-1 pour autoriser également le trafic LAN-3 vers
LAN-2
192.168.1.0 255.255.255.0
Prendre plaisir
Épisode 102
102
speak1 obj-spoke1 ← Exclure le trafic de LAN3 à LAN2 de l'opération NAT
3.1.3 VPN IPSEC entre Cisco ASA et le routeur Cisco
Comme nous l'avons dit au début de ce livre, l'un des avantages du protocole IPSEC est qu'il peut
être utilisé pour créer des VPN entre différents types d'appareils et même entre différents fournisseurs. Ce
C'est parce qu'IPSEC est un protocole standard IETF et est pris en charge presque sur tous les appareils
compatibles VPN.
Ici, nous allons voir une configuration de VPN de site à site entre un routeur Cisco et un pare-feu ASA. le
le point important à retenir est que la configuration sur le routeur ou l'ASA est la même que celle du site à
site IPSEC que nous avons décrit dans les sections précédentes où nous n'avions que des routeurs ou des
périphériques ASA dans le
réseau. Voyons donc rapidement les commandes de configuration basées sur le schéma de réseau ci-
dessous:
Prendre plaisir
Épisode 103
103
ROUTEUR:
! Configurer un trafic intéressant
! Configurer l'exclusion NAT
R1 (config) # ip nat à l'intérieur de la liste des sources Interface NAT-ACL Surcharge
FastEthernet0 / 0
! Configurez IPSEC Phase1.
! Dans ce scénario, nous utiliserons les nouvelles fonctionnalités, «trousseau de clés» et «profil isakmp»
R1 (config) # porte-clés crypto ASAVPNKEY
R1 (conf-keyring) # adresse de clé pré-partagée 30.30.30.2 key secretkey1
R1 (config) # profil crypto isakmp staticL2L
R1 (conf-isa-prof) # porte-clés ASAVPNKEY
Prendre plaisir
Épisode 104
104
R1 (conf-isa-prof) # correspond à l'adresse d'identité 30.30.30.2 255.255.255.255
! Configurez IPSEC Phase2.
R1 (config-crypto-map) # set isakmp-profile staticL2L
R1 (config-crypto-map) # adresse de correspondance VPN-ACL
COMME UN:
! Trafic intéressant et NAT
192.168.1.0 255.255.255.0
Prendre plaisir
Épisode 105
105
télécommande obj-remote
Interface dynamique ASA-1 (config-network-object) # nat (intérieur, extérieur)
! IPSEC Phase1
ASA-1 (config-ikev1-policy) # hash md5
ASA-1 (config) # tunnel-group 20.20.20.2 type ipsec-l2l
ASA-1 (config-tunnel-ipsec) # ikev1 clé pré-partagée secretkey1
! IPSEC Phase2
4.2.3.
Prendre plaisir
Épisode 106
106
C'est le même scénario que 2.1.3 mais maintenant les utilisateurs distants ont accès à leur réseau local
d'entreprise via un
Dispositif de pare-feu ASA. Passons rapidement aux détails de configuration basés sur le réseau ci-dessous.
COMME UN:
• ÉTAPE 1: Configurer le pool VPN
ASA (config) # IP pool local vpnpool 192.168.20.1-192.168.20.254
• ÉTAPE 2: configuration du tunnel partagé (facultatif)
Une fois le VPN d'accès à distance établi, l'utilisateur distant par défaut ne pourra pas accéder
toute autre chose sur Internet, à l'exception du réseau LAN d'entreprise. Ce comportement peut être modifié
par
configuration de la fonction « split tunneling » sur le pare-feu, qui n'est cependant pas recommandée pour
à des fins de sécurité. Cependant, si vous souhaitez autoriser les utilisateurs à accéder à Internet et
également à
Réseau LAN d'entreprise, vous devez configurer une liste de contrôle d'accès Split-Tunnel.
Autorisation standard 192.168.1.0 255.255.255.0 de splittunnel de liste d'accès ASA (config) #
Prendre plaisir
Épisode 107
107
Trafic des utilisateurs distants vers le réseau spécifié dans l'ACL du tunnel partagé
(192.168.1.0/24) passera par le tunnel VPN. Tout autre trafic provenant de l'utilisateur distant ira à
l'Internet.
• ÉTAPE 3: Configurer l'exemption NAT
De même avec le VPN de site à site, nous devons exclure du NAT le flux de trafic de notre LAN interne
réseau (192.168.1.0/24) vers les utilisateurs distants (192.168.20.0/24).
ASA (config) # object network obj-local
ASA (config-network-object) # sous-réseau 192.168.1.0 255.255.255.0
ASA (config-network-object) # exit
ASA (config) # object network obj-vpnpool
ASA (config) # nat (intérieur, extérieur) source statique obj-local obj-local destination statique obj-
vpnpool obj-vpnpool
• ÉTAPE 4: configurer la stratégie de groupe
La stratégie de groupe vous permet de séparer différents utilisateurs d'accès à distance en groupes avec
différents
les attributs. Par exemple, les administrateurs système peuvent être affectés dans un groupe disposant d'un
VPN de 24 heures
l'accès, tandis que l'utilisateur distant normal peut être dans un groupe différent avec un accès VPN de 9 h à
17 h. Le groupe
La stratégie fournit également les adresses de serveur DNS ou WINS, le filtrage des connexions, les
paramètres de délai d'inactivité, etc.
ASA (config) # groupe-politique vpn-clients-politique interne
Attributs ASA (config) # groupe-stratégie vpn-clients-stratégie
ASA (config-group-policy) # vpn-idle-timeout 30
ASA (config-group-policy) # valeur DNS-serveur 192.168.1.5
ASA (config-group-policy) # tunnels de split-tunnel-policypecified
ASA (config-group-policy) # split-tunnel-network-list valeur splittunnel
Prendre plaisir
Épisode 108
108
Supposons que tous les utilisateurs distants utiliseront la même stratégie de groupe, avec le nom « vpn-
clients-policy » comme
configuré ci-dessus. Cette stratégie attribue une adresse de serveur DNS interne afin que les utilisateurs
puissent résoudre
domaines internes. Il définit également le délai d'inactivité à 30 minutes. En outre, dans le cadre de la
stratégie de groupe, nous attribuons
l'ACL du tunnel partagé ( splittunnel ) qui dictera quel trafic passera par le tunnel
à partir des clients distants.
REMARQUE:
Sous Stratégie de groupe, vous pouvez également configurer un filtre VPN dans le but de restreindre
l'accès de
utilisateurs distants vers certaines adresses IP ou certains ports du réseau local d'entreprise. Par exemple,
supposons que vous vouliez
les utilisateurs VPN distants pour accéder uniquement à un serveur interne spécifique au port 80 et interdire
quoi que ce soit d'autre.
Vous devez configurer une ACL de filtre et l'appliquer sous la stratégie de groupe:
ASA (config) # access-list VPN-FILTER-ACL permis étendu TCP 192.168.20.0 255.255.255.0
hôte 192.168.1.10 eq 80 ← Autoriser l'accès des utilisateurs distants au serveur 192.168.1.10 port 80
Attributs ASA (config) # groupe-stratégie vpn-clients-stratégie
ASA (config-group-policy) # valeur vpn-filter VPN-FILTER-ACL
• ÉTAPE 5: Configurer les noms d'utilisateur pour l'authentification
Lorsque les utilisateurs distants se connectent à l'ASA en utilisant le client VPN, ils recevront une
connexion
écran afin de s'authentifier auprès du pare-feu. Nous devons donc créer un nom d'utilisateur / mot de passe
informations d'identification pour l'authentification. Dans notre scénario, nous utiliserons des utilisateurs
configurés localement pour cela.
ASA (config) # username vpnuser mot de passe test123
• ÉTAPE 6: Configurer IPSEC Phase 1 (ikev1)
C'est la même chose que le VPN de site à site.
ASA (config) # politique crypto ikev1 10
ASA (config-ikev1-policy) # cryptage 3des
ASA (config-ikev1-policy) # hash sha
ASA (config-ikev1-policy) # pré-partage d'authentification
ASA (config-ikev1-policy) # groupe 2
ASA (config-ikev1-policy) # durée de vie 86400
ASA (config-ikev1-policy) # exit
ASA (config) # crypto ikev1 activer à l'extérieur
Adresse d'identité ASA (config) # crypto isakmp
Prendre plaisir
Épisode 109
109
• ÉTAPE 7: Configurer IPSEC Phase 2
Cette étape présente également des similitudes avec les VPN de site à site. Nous avons besoin d'un
ensemble de transformations IPSEC qui
spécifiez les protocoles de chiffrement et d'authentification pour le VPN d'accès à distance. Aussi, nous
devons
configurer une crypto map dynamique qui sera affectée à une crypto map statique.
ASA (config) # crypto ipsec ikev1 transform-set TRSET esp-3des esp-md5-hmac
ASA (config) # crypto dynamic-map outside_dyn_map 10 set ikev1 transform-set TRSET
ASA (config) # crypto map IPSEC 10 ipsec-isakmp dynamic outside_dyn_map
ASA (config) # interface IPSEC de crypto map à l'extérieur
• ÉTAPE 8: configurer un groupe de tunnels pour l'accès à distance
La configuration du groupe de tunnels est au cœur du VPN d'accès à distance. Il lie le Groupe
Politique configurée auparavant, l'attribution du pool IP, la clé pré-partagée, etc.
ASA (config) # tunnel-group remotevpn type accès à distance
ASA (config) # tunnel-group remotevpn general-attributes
ASA (config-tunnel-general) # address-pool vpnpool ← Assignez le pool IP de l'étape 1
ASA (config-tunnel-general) # default-group-policy vpn-clients-policy ← Assign Group Policy
avec le nom «vpn-clients-policy» de l'étape 4.
ASA (config-tunnel-general) #exit
ASA (config) # tunnel-group remotevpn ipsec-attributes
ASA (config-tunnel-ipsec) # ikev1 clé pré-partagée cisco123
Le nom du groupe de tunnels « remotevpn » et la clé pré-partagée (mot de passe) « cisco123 » sont
important ici car nous devrons les spécifier dans les paramètres « Authentification de groupe » lorsque
configuration du logiciel client VPN comme indiqué dans l'image ci-dessous:
Prendre plaisir
Épisode 110
110
Vérifions maintenant que tout fonctionne correctement. En supposant que l'utilisateur distant s'authentifie
avec succès, nous verrons ce qui suit sur ASA:
ASA # show crypto ipsec sa
Balise de carte cryptographique: outside_dyn_map, numéro de séquence: 10, adresse locale: 20.20.20.2
current_peer: 195.12.101.240, nom d'utilisateur: vpnuser
IP de pair alloué dynamique: 192.168.20.1
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
… Sortie omise…
Prendre plaisir
Épisode 111
111
Comme indiqué ci-dessus, l'utilisateur distant « vpnuser » a reçu une adresse IP allouée dynamique de
192.168.20.1 .
De plus, nous avons des paquets chiffrés et déchiffrés.
3.1.5 VPN Hub-and-Spoke et accès à distance sur le même appareil
Dans la section 2.1.4, nous avons vu un scénario intéressant où nous avions un mélange de site à site
statique
VPN, VPN de site à site dynamique et VPN IPSEC d'accès à distance tous terminés sur le même central
Routeur Hub. Nous examinerons le même scénario ici en utilisant des pare-feu Cisco ASA au lieu de
routeurs.
Comme illustré dans le schéma de réseau ci-dessous, nous avons un périphérique central ASA Hub et deux
télécommandes
sites de succursales (rayons). L'un des sites distants (ASA2) a une adresse IP publique statique tandis que le
second
le site distant (ASA3) a une adresse IP publique dynamique. De plus, nous souhaitons également accueillir
des utilisateurs distants
qui veulent se connecter en toute sécurité avec un client VPN d'accès à distance au réseau central (LAN-1).
Prendre plaisir
Épisode 112
112
Nous verrons comment configurer le périphérique HUB (ASA1) uniquement depuis la configuration de la
télécommande
Les dispositifs à rayons est identique à 3.1.1.
ASA1 - HUB:
chaque site Spoke.
192.168.2.0 255.255.255.0
192.168.3.0 255.255.255.0
ASA-1 (config-network-object) # subnet 192.168.1.0 255.255.255.0 ← LAN local
ASA-1 (config) # object network obj-vpnpool ← IP Pool pour les clients d'accès à distance
obj-
obj-
Prendre plaisir
Épisode 113
113
obj-
vpnpool obj-vpnpool no-proxy-arp route-lookup ← Exclure le trafic du LAN1 vers le
pool de clients VPN d'accès à distance
• ÉTAPE 2: Configurez le pool VPN et le fractionnement du tunnel si nécessaire
ASA-1 (config) # IP pool local vpnpool 192.168.20.1-192.168.20.254
! Configurez le split tunneling si nécessaire
Autorisation standard 192.168.1.0 255.255.255.0 de splittunnel de liste d'accès ASA-1 (config) #
! Configurer les paramètres isakmp de Phase1
! Configurez le groupe de tunnels statique avec le Static Spoke ASA-2
ASA-1 (config) # tunnel-group 30.30.30.2 type ipsec-l2l ← Configurez un tunnel statique avec
ASA-2 (rayon statique)
ASA-1 (config-tunnel-ipsec) # ikev1 clé pré-partagée secretkey1 ← clé pré-partagée avec statique
parlait ASA-2
Prendre plaisir
Psaumes 114
114
! Configurez le groupe de tunnels dynamique avec le Dynamic Spoke ASA-3
ASA-1 (config) # tunnel-group DefaultL2LGroup ipsec-attributes ← Ceci est un tunnel spécial
groupe avec le nom « DefaultL2LGroup » qui est utilisé pour les sites en étoile IP dynamiques.
ASA-1 (config-tunnel-ipsec) # ikev1 clé pré-partagée secretkey2 ← clé pré-partagée avec
rayon dynamique ASA-3
Le groupe de tunnels par défaut " DefaultL2LGroup " est utilisé pour faire correspondre tous les sites de
succursale ayant des
adresse IP publique.
! Configurer un groupe de tunnels pour les clients VPN d'accès à distance
ASA-1 (config) # tunnel-group remotevpn type accès à distance
ASA-1 (config) # tunnel-group remotevpn general-attributes
ASA-1 (config-tunnel-general) # pool d'adresses vpnpool
ASA-1 (config-tunnel-general) # default-group-policy vpn-clients-policy ← Assign Group
Politique «vpn-clients-policy» (voir 3.1.4 Étape 4)
ASA-1 (config-tunnel-general) #exit
ASA-1 (config) # tunnel-group remotevpn ipsec-attributes
ASA-1 (config-tunnel-ipsec) # ikev1 clé pré-partagée cisco123
! Configurez maintenant l'ensemble de transformations Phase2 et la carte cryptographique. Nous
devons créer une crypto dynamique
map et attachez-la à une crypto map statique.
Créez une crypto map dynamique «DYNMAP» avec deux entrées. Une entrée pour le site Spoke
dynamique et
une autre entrée pour les clients vpn.
ASA-1 (config) # crypto dynamic-map DYNMAP 5 correspond à l'adresse VPN-ACL2
(Remarque: DYNMAP 5 est pour le site Spoke dynamique et DYNMAP 10 est pour les clients VPN)
Prendre plaisir
Épisode 115
115
Créez une crypto map statique «VPNMAP» avec deux entrées. Une entrée pour le site Spoke statique et
une autre entrée pour joindre la carte dynamique ci-dessus.
ASA-1 (config) # crypto map VPNMAP 5 correspond à l'adresse VPN-ACL1
! Cette entrée consiste à attacher la carte dynamique à la carte statique
ASA-1 (config) # crypto map VPNMAP 10 ipsec-isakmp Dynamic DYNMAP
! Joindre la carte statique à l'interface extérieure
• ÉTAPE 5: Configurer les utilisateurs pour l'authentification des clients VPN
! Configurez le nom d'utilisateur / mot de passe pour les clients VPN.
ASA-1 (config) # username vpnuser mot de passe test123
3.1.5.1 Permettre aux utilisateurs distants d'accéder aux sites Spoke via le concentrateur
Le scénario de 3.1.5 ci-dessus prend en charge la communication des utilisateurs d'accès à distance avec le
concentrateur central
réseau uniquement. Cependant, dans certaines circonstances, nous souhaitons autoriser l'accès d'utilisateurs
distants
aux réseaux Spoke. Nous pouvons le faire via le site Hub. Autrement dit, les utilisateurs distants se
connectent normalement
au Hub ASA, puis ils peuvent accéder à n'importe quel site Spoke via le Hub-and-Spoke établi
Tunnels VPN. Cette fonctionnalité utilise le concept «VPN Hairpinning» tel que décrit dans le paragraphe
3.1.2.1.
Ensuite, je vais vous montrer comment autoriser l'accès des utilisateurs distants au LAN2 en plus du LAN1
central
réseau (basé sur le schéma ci-dessus). Comme expliqué dans la section 3.1.2.1 précédemment, nous devons
modifier les listes d'accès VPN et les règles d'exemption NAT. Voyons la configuration requise sur ASA1
et ASA2 pour cela:
Prendre plaisir
Épisode 116
116
ASA1 (HUB)
! Autorisez le trafic VPN à entrer et sortir de la même interface. Ceci est essentiel pour que Remote
Trafic des utilisateurs pour entrer et sortir de l'interface ASA «extérieure» pour atteindre le rayon.
ASA-1 (config) # même-sécurité-trafic autorise intra-interface
! Modifiez maintenant l'ACL VPN pour le trafic LAN-1 à LAN-2 afin d'autoriser également le trafic du
pool IP d'accès distant
192.168.2.0 255.255.255.0
192.168.2.0 255.255.255.0 ← Pool d'adresses IP d'accès distant vers LAN-2
! Configurer également le split tunneling pour le réseau LAN2
Autorisation standard 192.168.2.0 255.255.255.0 de splittunnel de liste d'accès ASA-1 (config) #
! Voici les sous-réseaux Spoke et Remote Users
ASA-1 (config) # object network obj-vpnpool
ASA-1 (config-network-object) # subnet 192.168.20.0 255.255.255.0 ← Pool d'utilisateurs distants
ASA-1 (config) # nat (extérieur, extérieur) source statique obj-vpnpool obj-vpnpool destination
static obj-remote1 obj-remote1 ← Exclure le trafic du pool distant vers LAN2
REMARQUE 1: Comme vous pouvez le voir ci-dessus, la règle NAT utilise le même nom d'interface «
extérieur ». C'est
car le trafic entre les utilisateurs d'accès à distance et le site Spoke entre et sort du même
interface (à l'extérieur) du Hub ASA.
REMARQUE2: les autres règles d'exemptions NAT ne sont pas affichées ci-dessus.
Prendre plaisir
Épisode 117
117
ASA-2 (rayon):
ASA-2 (config) # object network obj-vpnpool
! Modifiez l'ACL VPN pour le trafic LAN-2 vers LAN-1 pour autoriser également LAN-2 au pool
d'utilisateurs distants
192.168.1.0 255.255.255.0
192.168.20.0 255.255.255.0 ← Autoriser LAN-2 au pool d'adresses IP des utilisateurs distants
vpnpool obj-vpnpool ← Exclure le trafic du LAN2 vers le pool distant de l'opération NAT
3.1.6 VPN IPSEC de site à site avec basculement à l'aide d'un FAI de
secours
S'éloignant des configurations traditionnelles que nous avons vues jusqu'à présent, voyons maintenant un
intéressant
et scénario important: utilisation d'un FAI de secours pour fournir un basculement VPN IPSEC. Bien que le
spécifique
La configuration que nous avons ici fait référence à la topologie de site à site, une fois que vous avez appris
à la configurer, elle peut être
facilement appliqué aux topologies Hub-and-Spoke (rappelez-vous qu'une topologie Hub-and-Spoke est
comme avoir plusieurs topologies VPN de site à site).
Prendre plaisir
Épisode 118
118
À partir du schéma de réseau ci-dessus, nous avons un périphérique ASA central (ASA-1) connecté à deux
FAI. le
La connexion ISP principale a l'IP publique 20.20.20.2 et la connexion ISP de secours a l'IP publique
30.30.30.2. Si la connexion principale échoue pour une raison quelconque, le périphérique ASA basculera
automatiquement
à la connexion de sauvegarde. Nous verrons également comment configurer cette fonctionnalité de
sauvegarde sur ASA1.
De plus, nous devons établir un tunnel de site à site avec une succursale distante (ASA2). Afin de
profitez de la capacité de secours du FAI d'ASA1, nous devons également configurer un basculement
mécanisme pour le tunnel VPN IPSEC sur ASA2. Ceci est accompli en configurant deux «VPN peer
IP »sur ASA2 comme nous le verrons ci-dessous.
Puisque nous avons décrit en détail la configuration VPN IPSEC site à site auparavant, nous ne
fournissez trop de commentaires détaillés ici. Voyons la configuration sur les deux appareils ASA:
• ÉTAPE 1: Configurez les deux interfaces ISP
Configurons d'abord les deux interfaces externes de Cisco ASA qui se connecteront aux deux FAI.
ASA 1:
ASA-1 (config) # interface GigabitEthernet0
ASA-1 (config-if) # nameif primary-isp
ASA-1 (config-if) # niveau de sécurité 0
ASA-1 (config-if) # adresse IP 20.20.20.2 255.255.255.0
ASA-1 (config-if) # exit
Prendre plaisir
Épisode 119
119
ASA-1 (config) # interface GigabitEthernet1
ASA-1 (config-if) # nameif backup-isp
ASA-1 (config-if) # niveau de sécurité 0
ASA-1 (config-if) # adresse IP 30.30.30.2 255.255.255.0
ASA-1 (config-if) # exit
• ÉTAPE 2: Configurez le basculement de secours du FAI sur ASA-1
Configurons maintenant le basculement d'ISP sur ASA-1. Ceci est réalisé via « Static Route Tracking » et
« SLA
moniteur ».
Suivi d'itinéraire statique
Lorsque vous configurez une route statique sur l'appliance de sécurité, la route reste permanente dans le
table de routage. La seule façon pour la route statique d'être supprimée de la table de routage est lorsque le
l'interface ASA associée descend physiquement. Dans tous les autres cas, comme par exemple lorsque le
la passerelle par défaut distante tombe en panne, l'ASA continuera d'envoyer des paquets à son routeur de
passerelle sans
sachant qu'il est en fait en panne.
De la version 7.2 ASA et plus tard, la fonction de suivi d'itinéraire statique a été introduite. Les pistes
ASA
la disponibilité des routes statiques en envoyant des paquets de demande d'écho ICMP via le statique
primaire
chemin de la route et attend les réponses. Si le chemin principal est en panne, un chemin secondaire est
utilisé. Cette fonctionnalité
est utile lorsque vous souhaitez implémenter la redondance Backup-ISP, comme nous le verrons ci-dessous.
Dans notre scénario ci-dessus, deux routes statiques par défaut seront configurées (une pour chaque FAI)
qui utiliseront
la fonction « piste ». Le chemin d'accès ISP principal sera suivi à l'aide des demandes d'écho ICMP. Si une
réponse en écho
n'est pas reçu dans un délai prédéfini, la route statique de secours sera utilisée. Notez cependant que
le scénario ci-dessus ne convient que pour la communication sortante (c'est-à-dire depuis le réseau interne
vers Internet).
Prendre plaisir
Psaumes 120
120
Configuration du suivi d'itinéraire statique
1. Utilisez la commande « sla monitor » pour spécifier le protocole de surveillance (par exemple ICMP), la
cible
adresse à suivre (par exemple, routeur de passerelle FAI) et les temporisateurs de suivi.
2. Utilisez la commande « sla monitor schedule » pour planifier le processus de surveillance
(généralement
le processus de surveillance est configuré pour s'exécuter « pour toujours » mais la durée et les heures de
début sont
configurable).
3. Définissez la route statique principale à suivre à l'aide de la commande « route » avec la commande «
track »
option.
4. Définissez la route statique de sauvegarde et définissez sa métrique sur une valeur supérieure à la route
statique principale.
Voyons la configuration de la redondance des FAI de sauvegarde.
ASA 1:
ASA-1 (config) # sla monitor 100 ← Définir SLA_ID 100
! Utilisez le protocole d'écho ICMP pour suivre l'IP 20.20.20.1 de la passerelle ISP principale
ASA-1 (config-sla-monitor) # type protocole d'écho interface ipIcmpEcho 20.20.20.1 primaire-isp
ASA-1 (config-sla-monitor-echo) # timeout 3000 ← Définir le timeout 3000 millisecondes (3 sec)
ASA-1 (config-sla-monitor-echo) # fréquence 5 ← suivre la cible 5 fois
ASA-1 (config-sla-monitor-echo) # exit
ASA-1 (config) # sla monitor schedule 100 life forever start-time now ← Programmer le
processus de surveillance SLA_ID 100 pour démarrer maintenant et s'exécuter pour toujours
ASA-1 (config) # track 10 rtr 100 joignabilité ← Associer un Track_ID 10 au SLA_ID 100
ASA-1 (config) # route primary-isp 0.0.0.0 0.0.0.0 20.20.20.1 1 piste 10 ← Associer le
Track_ID 10 vers la route statique principale du FAI. Définissez également une métrique 1 pour cet
itinéraire.
ASA-1 (config) # route backup-isp 0.0.0.0 0.0.0.0 30.30.30.1 254 ← Définir le FAI de sauvegarde
itinéraire statique avec une métrique d'itinéraire plus élevée de 254
Dans le scénario ci-dessus, l'appliance de pare-feu suivra le routeur de passerelle ISP principal
(20.20.20.1). Si une réponse d'écho n'est pas reçue dans les 3 secondes (délai d'expiration 3000
millisecondes) et le
Prendre plaisir
Épisode 121
121
le processus est répété 5 fois (fréquence 5), l'itinéraire principal par défaut est considéré comme arrêté et
par conséquent, la route de sauvegarde secondaire sera utilisée.
• ÉTAPE 3: Configurez IPSEC VPN sur ASA-1
Passons maintenant à la configuration VPN IPSEC réelle.
ASA 1:
! Configurer le trafic intéressant et l'exemption NAT
192.168.2.0 255.255.255.0
ASA-1 (config) # nat (à l'intérieur, primaire-isp) source statique obj-local obj-local destination
statique
obj-remote obj-remote ← Exclure le trafic de LAN1 à LAN2 de l'opération NAT lors du passage
via le lien FAI principal
ASA-1 (config) # nat (à l'intérieur, backup-isp) source statique obj-local obj-local destination statique
obj-remote obj-remote ← Exclure le trafic de LAN1 à LAN2 de l'opération NAT lors du passage
via le lien Backup ISP
! Configurez maintenant le reste d'IPSEC
Prendre plaisir
Épisode 122
122
! Activez les politiques isakmp sur les interfaces ISP principale et secondaire
ASA-1 (config) # crypto ikev1 active primary-isp
ASA-1 (config) # crypto ikev1 activer backup-isp
ASA-1 (config) # tunnel-group 40.40.40.2 type ipsec-l2l ← Configurez un tunnel avec le site distant
IP homologue 40.40.40.2
ASA-1 (config-tunnel-ipsec) # ikev1 clé pré-partagée somestrongkey
! Attachez les crypto maps aux deux interfaces FAI
ASA-1 (config) # crypto map interface VPNMAP primaire-isp
ASA-1 (config) # crypto map interface VPNMAP backup-isp
Ce qui précède conclut la configuration d'ASA-1. Passons maintenant à la configuration de ASA-2
• ÉTAPE 4: Configurez IPSEC VPN sur ASA-2
Nous verrons juste un instantané de la configuration d'ASA-2 puisque le reste de la configuration est le
identique à celui décrit dans le scénario VPN de site à site dans la section 3.1.1
ASA 2:
Les seules choses qui changent sur la configuration ASA-2 sont la carte de crypto et le groupe de tunnel
commandes.
Sur Crypto Map, vous devez spécifier deux adresses IP homologues pour ASA-1. L'un sera l'adresse IP du
lien principal
(20.20.20.2) d'ASA-1 et l'autre sera l'IP de lien de secours (30.30.30.2) d'ASA-1.
ASA-2 (config) # crypto map VPNMAP 10 a établi le pair 20.20.20.2 30.30.30.2 ← Spécifiez deux IP
de pair
adresses pour ASA-1. Si la première IP n'est pas accessible, un tunnel sera formé avec la seconde IP.
Interface VPNMAP ASA-2 (config) # crypto map à l'extérieur
Prendre plaisir
Épisode 123
123
En outre, nous devons spécifier deux groupes de tunnels, un pour chaque adresse IP publique d'ASA-1.
ASA-2 (config) # tunnel-group 20.20.20.2 type ipsec-l2l ← Configurez un tunnel avec le
Lien ISP principal de ASA-1
ASA-2 (config) # tunnel-group 30.30.30.2 type ipsec-l2l ← Configurez un tunnel avec la sauvegarde
Lien ISP de ASA-1
3.1.7 VPN IPSEC de site à site avec sous-réseaux en double - Exemple 1
Les deux scénarios suivants sont très spéciaux. Ils sont rares dans le monde réel et ils le sont aussi un peu
difficile à configurer. Nous parlons d'un VPN IPSEC de site à site où les deux réseaux LAN à
chaque site a le même sous-réseau (réseaux dupliqués ou superposés).
Les exemples que nous avons vus jusqu'à présent supposent que LAN1 et LAN2 sont des réseaux différents
(généralement nous
utilisez 192.168.1.0/24 pour LAN-1 et 192.168.2.0/24 pour LAN-2). Cependant, il y a des cas où nous
souhaitez créer un tunnel VPN entre deux réseaux LAN qui utilisent le même sous-réseau privé. Peut être
votre entreprise a fusionné avec une autre entreprise qui utilisait le même sous-réseau LAN privé.
Voyons comment configurer une telle topologie en utilisant le diagramme ci-dessous comme exemple:
Prendre plaisir
Épisode 124
124
Comme le montre le réseau ci-dessus, LAN-1 et LAN-2 utilisent le sous-réseau 192.168.1.0/24. Si nous
créons
un tunnel VPN entre les deux sites, les hôtes du LAN-1 ne pourront pas communiquer avec les hôtes du
LAN-2 (et vice-versa). Afin de permettre cette communication, nous devons configurer la politique NAT.
Avec la politique NAT, nous atteindrons les objectifs suivants:
• Lorsque les hôtes du LAN-1 souhaitent accéder aux hôtes du LAN-2, ils seront traduits en
192.168.10.0/24 (NAT-POOL1).
• Lorsque les hôtes du LAN-2 souhaitent accéder aux hôtes du LAN-1, ils seront traduits en
192.168.20.0/24 (NAT-POOL2).
• Les hôtes du LAN-1 verront les hôtes du LAN-2 comme 192.168.20.0/24.
• Les hôtes du LAN-2 verront les hôtes du LAN-1 comme 192.168.10.0/24.
• Par conséquent, nous allons créer deux réseaux différents «mappés» (NAT-POOL1, NAT-POOL2) dans
afin d'éliminer les sous-réseaux en double.
Voyons la configuration des deux appareils ASA (nous montrerons uniquement la configuration qui est
différent du VPN de site à site traditionnel que nous avons vu auparavant).
ASA 1:
! Créez les objets réseau requis qui seront utilisés dans NAT
Réseau d'objets ASA-1 (config) # NAT-POOL1
Prendre plaisir
Épisode 125
125
! Configurez la politique NAT. Le LAN local ( obj-local ) sera traduit en NAT-POOL1 lorsque le
le réseau de destination est NAT-POOL2
ASA-1 (config) # nat (intérieur, extérieur) source statique obj-local NAT-POOL1 destination statique
NAT-POOL2 NAT-POOL2
! Configurez le trafic intéressant VPN qui sera entre les réseaux «mappés»
(NAT-POOL1, NAT-POOL2). N'oubliez pas d'utiliser le VPN-ACL suivant dans une Crypto Map.
192.168.20.0 255.255.255.0
Le reste de la configuration d'ASA-1 est le même que le VPN IPSEC de site à site traditionnel.
ASA 2:
! Configurez la politique NAT. Le LAN local ( obj-local ) sera traduit en NAT-POOL2 lorsque le
le réseau de destination est NAT-POOL1
ASA-2 (config) # nat (intérieur, extérieur) source statique obj-local NAT-POOL2 destination statique
NAT-POOL1 NAT-POOL1
Prendre plaisir
Épisode 126
126
! Configurez le trafic intéressant VPN qui sera entre les réseaux «mappés»
(NAT-POOL2, NAT-POOL1). N'oubliez pas d'utiliser le VPN-ACL suivant dans une Crypto Map.
192.168.10.0 255.255.255.0
Le reste de la configuration d'ASA-2 est le même que le VPN IPSEC de site à site traditionnel.
REMARQUE:
Supposons que vous soyez un utilisateur du LAN-1 et que vous souhaitiez accéder à l'hôte 192.168.1.35
situé dans le LAN-2. Faire
cela, vous devez utiliser 192.168.20.35 comme IP de destination au lieu de l'IP réelle qui est 192.168.1.35.
De même, supposons que vous êtes un utilisateur du LAN-2 et que vous souhaitez accéder à l'hôte
192.168.1.72 situé dans
LAN-1. Pour ce faire, vous devez accéder à l'hôte dans LAN-1 en tant que 192.168.10.72 au lieu de
192.168.1.72.
VÉRIFICATION
Voyons quelques résultats du premier appareil ASA-1:
ASA1 # show crypto ipsec sa
Comme le montre la sortie ci-dessus, le trafic entre 192.168.10.0 et 192.168.20.0 est chiffré.
Prendre plaisir
Épisode 127
127
3.1.8 VPN IPSEC de site à site avec sous-réseaux en double - Exemple 2
Ceci est notre deuxième exemple de scénario avec des sous-réseaux en double dans un VPN de site à site.
Ici, supposons que
vous ne contrôlez qu'un seul site du réseau. Autrement dit, vous êtes le propriétaire de ASA-1 mais vous ne
le faites pas
avoir le contrôle sur ASA-2 (voir schéma ci-dessous). Ceci est courant dans les situations où vous avez
plusieurs
clients ou partenaires externes souhaitant accéder à votre réseau via VPN IPSEC. Dans un tel
cas, nous devons faire toute la configuration requise sur notre propre appareil ASA afin d'accommoder
tout problème de sous-réseau en double. Voir le diagramme ci-dessous pour plus d'informations:
REMARQUE:
• Les hôtes du LAN-1 accéderont aux hôtes du LAN-2 en tant que 192.168.20.0/24 (NAT-POOL2).
• Les hôtes du LAN-2 accéderont aux hôtes du LAN-1 en tant que 192.168.10.0/24 (NAT-POOL1).
Pour implémenter la fonctionnalité requise, nous devons configurer deux configurations NAT spéciales sur
ASA-1. La première configuration NAT sera une politique NAT et la deuxième configuration NAT sera
un
NAT de destination . Les deux configurations NAT permettront d'obtenir les résultats suivants:
• La politique NAT traduira l'IP source du réseau 192.168.1.0/24 (LAN1) en
192.168.10.0/24 (NAT-POOL1) uniquement lorsque le réseau de destination est 192.168.20.0/24
(NAT-POOL2).
• Les paquets sortants d'ASA-1 allant à 192.168.20.0/24 auront leur adresse IP de destination
changé en 192.168.1.0/24. Ceci est réalisé avec l' instruction NAT de destination .
Prendre plaisir
Épisode 128
128
Voyons la configuration des deux appareils ASA (nous montrerons uniquement la configuration qui est
différent du VPN de site à site traditionnel que nous avons vu auparavant).
ASA 1:
Réseau d'objets ASA-1 (config) # LOCAL-LAN
Réseau d'objets ASA-1 (config) # DEST-LAN
! Configurez le NAT de politique.
! L'IP source du LAN local sera convertie en 192.168.10.0 lorsque la destination est 192.168.20.0
ASA-1 (config) # nat (intérieur, extérieur) source statique LOCAL-LAN NAT-POOL1 destination
statique
NAT-POOL2 DEST-LAN
! Configurez le NAT de destination.
! Les paquets sortants vers 192.168.20.0 verront leur adresse IP de destination modifiée en
192.168.1.0
ASA-1 (config-network-object) # nat (extérieur, intérieur) statique NAT-POOL2
* Notez que nous avons (à l'extérieur, à l'intérieur) sur la déclaration ci-dessus. Cela crée un NAT de
destination.
! Configurez le trafic intéressant VPN.
192.168.1.0 255.255.255.0
Regardez attentivement le trafic VPN intéressant ci-dessus. La traduction NAT va comme ça:
Prendre plaisir
Épisode 129
129
• Supposons qu’un hôte du LAN-1 avec l’IP source 192.168.1.23 souhaite accéder à l’hôte de destination
192.168.1.34 en LAN-2 (rappelez-vous que nous avons les mêmes sous-réseaux dans les deux LAN). La
source
l'hôte doit accéder à 192.168.20.34 en tant qu'hôte de destination.
• ASA effectuera d'abord la traduction NAT source et changera 192.168.1.23 en 192.168.10.23.
• Ensuite, ASA fera également la traduction NAT de destination et changera l'adresse IP de destination
192.168.20.34 dans 192.168.1.34.
• Le trafic VPN intéressant sera donc compris entre 192.168.10.23 et 192.168.1.34.
C'est pourquoi le VPN-ACL va de la source 192.168.10.0 à la destination 192.168.1.0. Notez que
Le NAT est exécuté d'abord dans l'ASA et le trafic résultant est alors inséré dans le VPN
tunnel.
Voyons également la configuration ASA-2:
ASA 2:
ASA-2 (config-network-object) # subnet 192.168.10.0 255.255.255.0 ← LAN1 mappé
! Configurez l'exemption NAT normale comme nous l'avons fait dans les configurations VPN
traditionnelles précédentes.
ASA-2 (config) # nat (intérieur, extérieur) source statique obj-local obj-local destination statique
DEST-
LAN DEST-LAN
! Configurez le trafic intéressant VPN.
192.168.10.0 255.255.255.0
Prendre plaisir
Épisode 130
130
VÉRIFICATION
Voyons quelques résultats du premier appareil ASA-1:
ASA1 # show crypto ipsec sa
#pkts encaps: 16, #pkts encrypt: 16 , #pkts digest: 16
#pkts decaps: 16, #pkts decrypt: 16 , #pkts verify: 16
La sortie ci-dessus montre que le trafic est chiffré entre 192.168.10.0 et 192.168.1.0
ASA1 # sh xlate
3 en cours d'utilisation, 4 les plus utilisés
Drapeaux: D - DNS, i - dynamique, r - portmap, s - statique, I - identité, T - deux fois
NAT de l'intérieur: 192.168.1.0/24 vers l'extérieur: 192.168.10.0/24
drapeaux sT inactif 0:11:05 timeout 0:00:00
NAT de l'extérieur: 192.168.1.0/24 vers l'intérieur: 192.168.20.0/24
drapeaux sT inactif 0:11:05 timeout 0:00:00
NAT de l'extérieur: 192.168.1.0/24 vers l'intérieur: 192.168.20.0/24
flags s inactif 1:01:12 timeout 0:00:00
La sortie ci-dessus montre les mappages NAT statiques.
Prendre plaisir
Épisode 131
131
3.1.9 VPN IPSEC IKEv2 de site à site
Toutes les implémentations IPSEC décrites ci-dessus sont basées sur l'ancien IPSEC IKEv1. Dans cette
section
nous verrons un simple réseau VPN de site à site utilisant le nouvel IPSEC IKEv2 entre deux ASA
pare-feu.
La fonctionnalité IKEv2 pour site à site est conçue en ligne avec l'implémentation IKEv1 existante
et il utilise la configuration existante le cas échéant et augmente avec IKEv2 spécifique
configuration nécessaire pour permettre un contrôle indépendant de chaque protocole. Il vous fournit la
même chose
fonctionnalité dont nous avons discuté dans SITE-TO-SITE VPN IPSEC (utilisant IKEv1) mais avec
quelques
différences de configuration.
Dans le scénario suivant, nous décrirons comment IKEv2 sera utilisé pour établir un tunnel VPN
entre ASA-1 et ASA-2 et cela aidera le PC 192.168.10.1 à parler à un hôte distant 192.168.11.1.
Pour rendre le scénario plus intéressant et utile, nous aurons en fait à la fois IKEv1 et IKEv2
configuré sur les périphériques ASA. Nous utiliserons le diagramme ci-dessous pour notre scénario:
Prendre plaisir
Épisode 132
132
Un résumé des étapes requises est présenté dans la liste ci-dessous:
1. Configurez les ASA:
• Nous supposons que les adresses d'interface et le routage sont déjà configurés.
• Configurer le trafic intéressant à chiffrer.
• Configurer les stratégies IKEv2 et les propositions IPSEC
• Configurer les stratégies IKEv1 et les ensembles de transformations
• Configurer la carte cryptographique avec les stratégies IPsec IKEv1 et IKEv2
• Autoriser IKEv2 comme protocole VPN-tunnel dans la stratégie de groupe
• Groupe de tunnels IPsec L2L avec des clés pré-partagées configurées (IKEv1 et
IKEv2) sous les attributs ipsec. Configurez-les pour qu'ils soient différents dans chacun
direction pour IKEv2 pour illustrer le comportement d'authentification asymétrique.
• Activez à la fois IKEv1 et IKEv2 sur les interfaces extérieures
2. Configurez les postes de travail.
3. Envoyez le trafic à travers et faites monter le tunnel.
Voyons maintenant la configuration réelle sur les pare-feu ASA.
Étape 1: Configurez le trafic intéressant à chiffrer
Tout comme les exemples de VPN de site à site IKEv1 précédents, nous devons définir le trafic que nous
voulons
passer par le tunnel VPN (crypté) entre LAN1 et LAN2. Nous pouvons autoriser tout le sous-réseau
ou seulement des hôtes spécifiques. Dans notre exemple, seul le trafic entre 192.168.10.1 et 192.168.11.1
passera
via le tunnel VPN.
ASA 1:
ASA-1 (config) # liste d'accès LAN1-à-LAN2 permis étendu hôte IP 192.168.10.1 hôte
192.168.11.1
ASA 2:
ASA-2 (config) # access-list LAN2-to-LAN1 permis étendu IP hôte 192.168.11.1 hôte
192.168.10.1
Exclusion NAT pour le trafic VPN
Si vous utilisez NAT sur le pare-feu (ce qui est très courant), vous devez exclure le VPN intéressant
trafic au-dessus de l'opération NAT.
Prendre plaisir
Épisode 133
133
ASA 1:
ASA-1 (config-network-object) # hôte 192.168.10.1
obj-
ASA 2:
obj-
Étape 2: Configurez la stratégie IKEv2 (similaire à Phase1 dans IKEv1)
Comme l'ancien modèle IKEv1, nous devons configurer une stratégie IKEv2 qui est similaire à la Phase1
étape que nous avons décrite dans le scénario VPN de site à site IKEv1. Dans cette politique, nous pouvons
avoir plusieurs
protocoles de cryptage et d'intégrité sous la même politique. C'est parce que IKEv2 envoie à travers un
proposition unique contenant plusieurs chiffrements, par rapport à IKEv1 dans laquelle plusieurs stratégies
doivent être
configuré si nous avons plusieurs propositions de chiffrement et d'intégrité.
ASA 1:
ASA-1 (config-ikev2-policy) # encryption aes 3des ← Notez que nous avons 2 chiffrements
ASA-1 (config-ikev2-policy) # intégrité sha md5 ← Remarquez que nous avons 2 algorithmes
d'intégrité
ASA-1 (config-ikev2-policy) # groupe 2 ← Groupe Diffie-Hellman
ASA-1 (config-ikev2-policy) # prf sha ← Algorithme de fonction pseudo-aléatoire
ASA-1 (config-ikev2-policy) # durée de vie secondes 86400
Prendre plaisir
Épisode 134
134
ASA 2:
ASA-2 (config-ikev2-policy) # encryption aes 3des ← Notez que nous avons 2 chiffrements
ASA-2 (config-ikev2-policy) # intégrité sha md5 ← Remarquez que nous avons 2 algorithmes
d'intégrité
ASA-2 (config-ikev2-policy) # groupe 2 ← Groupe Diffie-Hellman
ASA-2 (config-ikev2-policy) # prf sha ← Algorithme de fonction pseudo-aléatoire
ASA-2 (config-ikev2-policy) # durée de vie secondes 86400
REMARQUE:
PRF est l'algorithme de pseudo-fonction aléatoire qui est identique à l'algorithme d'intégrité. Ce n'est pas
obligatoire. Vous devez configurer au moins un algorithme de chiffrement, un algorithme d'intégrité et un
Groupe DH pour que la proposition soit considérée comme complète.
Étape 3: Configurez la proposition IPSEC IKEv2 (similaire à l'ensemble de
transformation dans IKEv1)
Ceci est similaire à l'étape Phase2 que nous avons eue dans le cas IKEv1 où nous avons configuré un
« Ensemble de transformation ». La " proposition ipsec" dans IKEv2 est la même que le " transform-
set " que nous avions dans
IKEv1.
Les paramètres de sécurité IPSEc de cette étape seront utilisés pour protéger les données et les messages
dans le
tunnel.
ASA 1:
ASA-1 (config) # crypto ipsec ikev2 ipsec-proposition IKEv2-AES-SHA
ASA-1 (config-ipsec-proposition) # protocole de cryptage ESP AES
ASA-1 (config-ipsec-proposition) # protocole esp intégrité sha-1
ASA-1 (config-ipsec-proposal) # exit
ASA 2:
ASA-2 (config) # crypto ipsec ikev2 ipsec-proposition IKEv2-AES-SHA
ASA-2 (config-ipsec-proposition) # protocole de cryptage ESP AES
ASA-2 (config-ipsec-proposition) # protocole esp intégrité sha-1
ASA-2 (config-ipsec-proposition) # exit
Étape 4: Configurez les stratégies IKEv1 et les ensembles de transformation
Sur le même appareil ASA, nous pouvons configurer IKEv1 et IKEv2. Si le VPN IKEv2 n'est pas
établi avec succès entre les deux pare-feu ASA, ils peuvent revenir à IKEv1.
Ici, nous mettons en place des stratégies IKEv1 et des ensembles de transformation (comme nous l'avons vu
dans la section précédente pour le
VPN de site à site IKEv1).
Prendre plaisir
Épisode 135
135
ASA 1:
! Configurer la stratégie Phase1
l'authentification
ASA-1 (config-ikev1-policy) # encryption aes ← Utiliser le cryptage AES
! Configurer le jeu de transformations Phase2
ASA-1 (config) # crypto ipsec ikev1 transform-set IKEv1-AES-SHA esp-aes esp-sha-hmac
ASA 2:
! Configurer la stratégie Phase1
l'authentification
ASA-2 (config-ikev1-policy) # encryption aes ← Utiliser le cryptage AES
! Configurer le jeu de transformations Phase2
ASA-2 (config) # crypto ipsec ikev1 transform-set IKEv1-AES-SHA esp-aes esp-sha-hmac
Étape 5: Configurez une stratégie de groupe pour autoriser à la fois IKEv1 et IKEv2
ASA 1:
ASA-1 (config) # groupe-stratégie GroupPolicy1 interne
Attributs ASA-1 (config) # group-policy GroupPolicy1
ASA-1 (config-group-policy) # vpn-tunnel-protocol ikev2 ikev1 ← permet à la fois IKEv2 IKEv1
ASA-1 (config-group-policy) # exit
Prendre plaisir
Épisode 136
136
ASA 2:
ASA-2 (config) # groupe-stratégie GroupPolicy1 interne
Attributs ASA-2 (config) # group-policy GroupPolicy1
ASA-2 (config-group-policy) # vpn-tunnel-protocol ikev2 ikev1 ← autorise les deux IKEv2 IKEv1
ASA-2 (config-group-policy) # exit
Étape 6: Configurez les cartes cryptographiques avec les profils IPSEC IKEv1 et IKEv2
La crypto map combine les algorithmes de cryptage créés précédemment, le pair distant et le
politique de phase 2 en une seule crypto map. Notez que nous avons les profils IPSEC IKEv1 et IKEv2
attaché sur la même carte cryptographique.
ASA 1:
ASA-1 (config) # crypto map Outside_map 1 correspond à l'adresse LAN1-à-LAN2
ASA-1 (config) # crypto map outside_map 1 mis pair 200.200.200.1
ASA-1 (config) # crypto map outside_map 1 set ikev1 transform-set IKEv1-AES-SHA
ASA-1 (config) # crypto map outside_map 1 set ikev2 ipsec-proposition IKEv2-AES-SHA
ASA-1 (config) # crypto map interface Outside_map à l'extérieur
ASA 2:
ASA-2 (config) # crypto map Outside_map 1 correspond à l'adresse LAN2-to-LAN1
ASA-2 (config) # crypto map outside_map 1 a défini le pair 100.100.100.1
ASA-2 (config) # crypto map outside_map 1 set ikev1 transform-set IKEv1-AES-SHA
ASA-2 (config) # crypto map outside_map 1 défini ikev2 ipsec-proposition IKEv2-AES-SHA
ASA-2 (config) # crypto map interface Outside_map à l'extérieur
Étape 7: Configurez les cartes cryptographiques avec les profils IPSEC IKEv1 et IKEv2
À ce stade, nous allons créer le groupe de tunnels. Tout comme IKEv1, la clé pré-partagée (ou autre
méthode d'authentification) est définie ici. Cependant, IKEv2 vous permet d'utiliser une authentification
différente
méthodes d'authentification locale et distante.
ASA 1:
ASA-1 (config) # tunnel-group 200.200.200.1 attributs généraux
ASA-1 (config-tunnel-general) # default-group-policy GroupPolicy1 ← Stratégie de groupe de Step5
Prendre plaisir
Épisode 137
137
ASA-1 (config-tunnel-ipsec) # ikev2 clé pré-partagée d'authentification à distance cisco1
ASA-1 (config-tunnel-ipsec) # ikev2 clé pré-partagée d'authentification locale cisco1234
ASA-1 (config-tunnel-ipsec) # exit
ASA 2:
ASA-2 (config) # tunnel-group 100.100.100.1 general-attributes
ASA-2 (config-tunnel-general) # default-group-policy GroupPolicy1 ← Stratégie de groupe de Step5
ASA-2 (config-tunnel-ipsec) # clé pré-partagée d'authentification à distance ikev2 cisco1234
ASA-2 (config-tunnel-ipsec) # ikev2 clé pré-partagée d'authentification locale cisco1
ASA-2 (config-tunnel-ipsec) # exit
REMARQUE:
Veuillez noter que les clés pré-partagées sont utilisées pour authentifier l'homologue distant afin de
construire un
relation de confiance. Si vous comparez la configuration sur ASA1 et ASA2, vous verrez que le pré-
La clé partagée définie pour l'authentification à distance sur ASA1 correspond à la clé pré-partagée
définie
pour l'authentification locale sur ASA2 et vice versa. Cela illustre l'authentification asymétrique
autorisé sur IKEv2.
Étape 8: Activez à la fois IKEv1 et IKEv2 sur l'interface extérieure
ASA 1:
ASA 2:
Prendre plaisir
Épisode 138
138
Étape 9: vérification
ASA-1 # show crypto isakmp sa
Il n'y a pas de SA IKEv1
SA IKEv2:
Session-id: 1, état: UP-ACTIVE, nombre d'IKE: 1, nombre d'enfants: 1
ID de tunnel
Local
Rôle de statut distant
9807541 100.100.100.1/500 200.200.200.1/500 INITIATEUR PRÊT
Encr: AES-CBC, taille de clé: 128, hachage: SHA96, DH Grp: 2, signe d'authentification: PSK,
vérification d'authentification: PSK
Durée de vie / temps d'activité: 86400/58 sec
SA enfant: sélecteur local 192.168.10.1/0 - 192.168.10.1/65535
sélecteur à distance 192.168.11.1/0 - 192.168.11.1/65535
ESP spi in / out: 0x19e57b7b / 0x5520a043
Comme vous l'avez vu ci-dessus, le pare-feu ASA a établi une association de sécurité IKEv2 (SA) avec
l'homologue distant. Si vous avez à la fois IKEv1 et IKEv2 sur le même appareil, IKEv2 est préférable.
ASA-1 # show crypto ipsec sa
Balise de carte cryptographique: Outside_map, seq num: 1, adresse locale: 100.100.100.1
liste d'accès LAN1-à-LAN2 permis étendu hôte IP 192.168.10.1 hôte 192.168.11.1
[sortie omise] ……
Il existe également des paquets cryptés et décryptés en conséquence, comme indiqué ci-dessus.
Prendre plaisir
Épisode 139
139
3.2 Configuration VPN basée sur SSL sur Cisco ASA
SSL Based est le dernier type de VPN sur les pare-feu ASA. Il est utilisé uniquement pour l'accès à
distance
implémentations et offre une flexibilité et des frais d'administration réduits car aucun client IPSEC
le logiciel doit être installé manuellement sur les ordinateurs de l'utilisateur.
3.2.1 VPN Web SSL d'Anyconnect
L'implémentation VPN SSL d'Anyconnect est l'option la plus puissante car elle fournit un réseau complet
accès aux utilisateurs distants. Ceci est similaire avec le logiciel client VPN IPSEC qui fournit également
accès au réseau à distance. Le tout dernier produit Anyconnect de Cisco s'appelle désormais « Cisco
Anyconnect Secure Mobility Client ». À partir d'Anyconnect Client version 3.x et supérieure à la fois
SSL et
Les protocoles IKEv2 / IPSEC sont pris en charge.
Il existe deux options d'installation initiale pour le client AnyConnect:
• Utilisation du portail WebVPN sans client.
• Installation manuelle par l'utilisateur ou l'administrateur
En utilisant le portail Web sans client, l'utilisateur se connecte d'abord et s'authentifie en toute sécurité à
l'ASA avec un
navigateur Web et le client Java Anyconnect sont automatiquement téléchargés et installés sur le
l'ordinateur de l'utilisateur (l'utilisateur peut également cliquer sur l'onglet «AnyConnect» sur le portail
WebVPN pour télécharger
le client). Cela nécessite que le client Java ( extension .pkg ) soit déjà stocké sur le
Mémoire flash ASA par l'administrateur. Une fois le client Anyconnect téléchargé et installé
dès la première connexion, l'utilisateur peut désormais démarrer le client Anyconnect directement depuis
son ordinateur et se connecter à distance sans utiliser de navigateur Web. C'est la méthode préférée
à mon avis car il automatise la distribution du client aux utilisateurs distants.
Avec la méthode d'installation manuelle, l'administrateur réseau doit télécharger le fichier approprié
Logiciel client Anyconnect (package Microsoft ou l'une des autres versions du système d'exploitation) du
site Cisco et
fournir le fichier aux utilisateurs pour une installation manuelle sur leur ordinateur portable. Avec cette
méthode, l'utilisateur fait
pas besoin de se connecter via le mode sans client pour démarrer le tunnel SSL VPN. Au lieu de cela, les
utilisateurs peuvent démarrer le
Client AnyConnect manuellement à partir de son bureau et fournir ses informations d'authentification.
Prendre plaisir
Épisode 140
140
Voyons comment configurer un Cisco ASA pour Anyconnect SSL VPN basé sur le diagramme ci-dessous.
COMME UN:
• ÉTAPE 1: Copiez le logiciel Anyconnect sur ASA Flash
Comme nous l'avons déjà dit, nous devons transférer le fichier de package Anyconnect vers le flash de
l'ASA. Première
vous devez télécharger l'un des fichiers .pkg à partir du site Web de Cisco. Un exemple de fichier client
Windows a
le format « anyconnect-win-xxxxxx-k9.pkg ».
Pour copier le fichier PKG dans le flash ASA:
ASA # copy {tftp | ftp | scp}: // [adresse IP] /anyconnect-win-xxxxxx-k9.pkg disk0:
Supposons que nous ayons téléchargé le fichier client Anyconnect sur notre ordinateur avec l'adresse IP
192.168.1.1. Nous utiliserons un serveur TFTP sur notre PC pour transférer le fichier vers ASA.
ASA # copie tftp: //192.168.1.1/anyconnect-win-2.4.1012-k9.pkg disk0:
Adresse ou nom de l'hôte distant [192.168.1.1]?
Nom du fichier source [anyconnect-win-2.4.1012-k9.pkg]?
Nom du fichier de destination [anyconnect-win-2.4.1012-k9.pkg]?
Accès à tftp: //192.168.1.1/anyconnect-win-2.4.1012-k9.pkg ... !!!!!!
Prendre plaisir
Épisode 141
141
• ÉTAPE 2: indiquez à l'ASA où trouver le logiciel Anyconnect sur Flash
Ensuite, nous devons identifier le fichier image PKG sur flash en indiquant à l'ASA où se trouve le fichier
image
situé. Activez également le service webvpn Anyconnect sur l'interface ASA extérieure.
ASA # configure le terminal
ASA (config) # webvpn
ASA (config-webvpn) # image anyconnect disk0: /anyconnect-win-2.4.1012-k9.pkg 1
ASA (config-webvpn) # activer à l'extérieur ← activer ssl webvpn sur l'interface extérieure
ASA (config-webvpn) # anyconnect enable ← activer le service anyconnect
ASA (config-webvpn) # exit
Remarque: le numéro 1 à la fin du fichier de package est l'ordre des fichiers. Il est utilisé lorsque vous avez
plus
plus d'une image stockée sur le flash ASA (par exemple, des images client Anyconnect pour Windows et
MAC).
• ÉTAPE 3: Configurez VPN Pool pour attribuer des adresses IP
Créez un pool d'adresses IP à partir duquel l'ASA attribuera des adresses aux utilisateurs distants. Du
diagramme ci-dessus, nous voyons qu'après l'authentification de l'utilisateur distant, l'ASA attribue une
adresse IP
à l'utilisateur distant à partir d'un pool prédéfini 192.168.20.0/24
ASA (config) # IP pool local vpnpool 192.168.20.1-192.168.20.254 masque 255.255.255.0
• ÉTAPE 4: Configurer l'exemption NAT
Créez une exemption NAT pour le trafic entre le réseau LAN d'entreprise derrière l'ASA
(192.168.1.0/24) et le pool d'adresses de l'utilisateur distant (192.168.20.0/24).
ASA (config) # object network obj-local
ASA (config) # object network obj-vpnpool
ASA (config) # nat (intérieur, extérieur) source statique obj-local obj-local destination statique obj-
vpnpool obj-vpnpool no-proxy-arp recherche de route
Prendre plaisir
Épisode 142
142
• ÉTAPE 5: Configurer le fractionnement du tunnel (facultatif)
Similaire à la configuration du client VPN IPSEC, si vous souhaitez autoriser les utilisateurs à accéder à
Internet
et accéder au réseau LAN d'entreprise en même temps, vous devez configurer un Split-Tunnel
Liste de contrôle d'accès.
Autorisation standard 192.168.1.0 255.255.255.0 de split-tunnel de liste d'accès ASA (config) #
Trafic des utilisateurs distants vers le réseau spécifié dans l'ACL du tunnel partagé
(192.168.1.0/24) passera par le tunnel SSL VPN. Tout autre trafic provenant de l'utilisateur distant
allez sur Internet.
• ÉTAPE 6: configurer la stratégie de groupe VPN
Créez une stratégie de groupe pour les utilisateurs d'AnyConnect WebVPN. La stratégie de groupe vous
permet de séparer
différents utilisateurs d'accès à distance dans des groupes avec différents attributs. Les attributs de stratégie
de groupe qui
peut être configuré, y compris les adresses de serveur DNS, les paramètres de tunnel partagé, la façon dont
le client sera
téléchargé (automatiquement ou après avoir demandé à l'utilisateur), si le logiciel client reste
en permanence sur l'ordinateur de l'utilisateur, etc.
Le format de la commande est le suivant:
ASA (config) # groupe-stratégie «nom de la stratégie» interne
Attributs ASA (config) # group-policy «nom de politique»
ASA (config-group-policy) # vpn-tunnel-protocol {[ikev1] [ikev2] [l2tp-ipsec] [ssl-client]}
ASA (config-group-policy) # split-tunnel-policy {tunnelspecified | tunnelall}
ASA (config-group-policy) # split-tunnel-network-list valeur "acl-for-split-tunnel"
ASA (config-group-policy) # webvpn
ASA (config-group-webvpn) # anyconnect keep-installer {installé | aucun}
ASA (config-group-webvpn) # anyconnect demander {aucun | activer [default {webvpn | anyconnect}
valeur du délai d'expiration ]}
Clarifions certaines des commandes de stratégie de groupe présentées ci-dessus:
Prendre plaisir
Épisode 143
143
vpn-tunnel-protocol {[ikev1] [ikev2] [l2tp-ipsec] [ssl-client]} ← Sélectionnez le type de tunnel VPN
protocole. Pour SSL VPN, vous devez sélectionner «ssl-client»
split-tunnel-policy {tunnelspecified | tunnelall} ← Spécifiez si seul le trafic sélectionné
traverser le tunnel ("tunnelspecified") ou si TOUT le trafic distant passera par
le tunnel («tunnelall»).
split-tunnel-network-list valeur «acl-for-split-tunnel» ← Spécifiez la liste d'accès pour split-tunnel
(voir l'étape 5 ci-dessus)
anyconnect keep-installer {installé | aucun} ← «installé» signifie que le client reste
installé en permanence sur l'ordinateur de l'utilisateur même après la déconnexion. La valeur par
défaut est que
le client est désinstallé après que l'utilisateur se déconnecte de la session Anyconnect.
anyconnect demander {aucun | activer [default {webvpn | anyconnect} timeout value ]} ← Ceci
La commande a à voir avec la façon dont le client AnyConnect sera téléchargé sur l'ordinateur de
l'utilisateur.
• anyconnect ne demande aucun webvpn par défaut ← L'ASA affiche immédiatement le WebPortal. Ce
est la configuration par défaut.
• anyconnect ask none default anyconnect ← Téléchargez automatiquement le client AnyConnect.
• anyconnect ask enable default anyconnect timeout 20 ← L'utilisateur recevra une invite pour
installez le client AnyConnect. Si rien n'est fait dans les 20 secondes, le client sera
téléchargé et installé automatiquement.
anyconnect dpd-interval {[passerelle { secondes | aucun }] | [client { secondes | aucun }] } ← Ceci
active le mécanisme de détection des homologues morts (DPD) qui garantit que l'ASA (passerelle) ou
le
le client peut détecter rapidement une condition où l'homologue ne répond pas et la connexion
a échoué.
Prendre plaisir
Épisode 144
144
Voyons les commandes de configuration réelles de la stratégie de groupe pour notre scénario spécifique:
EXEMPLE:
ASA (config) # stratégie de groupe SSLVPNpolicy interne
Attributs ASA (config) # group-policy SSLVPNpolicy
ASA (config-group-policy) # vpn-tunnel-protocol ssl-client
ASA (config-group-policy) # tunnels de split-tunnel-policypecified
ASA (config-group-policy) # split-tunnel-network-list valeur split-tunnel
ASA (config-group-policy) # webvpn
ASA (config-group-webvpn) # anyconnect keep-installer installé
ASA (config-group-webvpn) # anyconnect ask enable default anyconnect timeout 10
ASA (config-group-webvpn) # client anyconnect dpd-interval 20 ← Le client vérifiera
Détection des pairs morts toutes les 20 secondes.
• ÉTAPE 7: Configurer un groupe de tunnels
Créez un groupe de tunnels. Le groupe de tunnels doit incorporer la stratégie de groupe configurée ci-
dessus. Il
lie également la stratégie de groupe avec le pool d'adresses IP que nous avons déjà configuré pour à
distance
utilisateurs.
Le format de la commande est le suivant:
ASA (config) # tunnel-group type "nom de tunnel" type accès à distance
ASA (config) # groupe de tunnels "nom de tunnel" attributs généraux
ASA (config-tunnel-general) # default-group-policy «nom de stratégie de groupe» ← Assignez le
groupe
Stratégie configurée à l'étape 6 ci-dessus.
ASA (config-tunnel-general) # address-pool "IP Pool for VPN" ← Assignez le pool d'adresses IP
configuré à l'étape 3 ci-dessus.
ASA (config-tunnel-general) # exit
ASA (config) # tunnel-group "nom de tunnel" attributs webvpn
ASA (config-tunnel-webvpn) # group-alias « group_name_alias» enable ← Créer un nom d'alias
pour le groupe de tunnels qui sera répertorié sur l'écran de connexion du client Anyconnect.
ASA (config-tunnel-webvpn) # exit
Prendre plaisir
Épisode 145
145
ASA (config-webvpn) # tunnel-group-list enable ← Activer la liste du nom d'alias sur le
écran de connexion du client AnyConnect.
Voyons les commandes de configuration réelles de tunnel-group pour notre scénario spécifique:
EXEMPLE:
ASA (config) # tunnel-group SSLVPNprofile type accès à distance
ASA (config) # tunnel-group SSLVPNprofile general-attributes
ASA (config-tunnel-general) # default-group-policy SSLVPNpolicy
ASA (config-tunnel-general) # pool d'adresses vpnpool
ASA (config-tunnel-general) # exit
ASA (config) # tunnel-group SSLVPNprofile webvpn-attributes
ASA (config-tunnel-webvpn) # group-alias SSL_USERS enable ← Ce nom sera affiché à
l'écran de connexion d'Anyconnect.
ASA (config-tunnel-webvpn) # exit
ASA (config-webvpn) # tunnel-group-list enable ← Permettre aux utilisateurs de sélectionner quel
groupe de tunnels
pour vous connecter (utile si vous avez plusieurs groupes de tunnels)
• ÉTAPE 8: Configurer les utilisateurs locaux pour l'authentification
Créez un utilisateur local sur ASA qui sera utilisé pour l'authentification AnyConnect. Cet utilisateur sera
autorisé à avoir un accès réseau à distance.
ASA (config) # username sslvpnuser password test123
Attributs ASA (config) # username sslvpnuser ← FACULTATIF
ASA (config-username) # accès à distance de type de service ← FACULTATIF
Voyons quelques captures d'écran et la sortie du journal ASA pour vérification.
1. Connectez-vous à ASA sur son adresse extérieure publique: https: // [adresse ASA extérieure]
Vous devrez peut-être accepter certains messages de certificat. Ensuite, vous obtiendrez l'écran de
connexion suivant:
Prendre plaisir
Épisode 146
146
2. Entrez votre nom d'utilisateur et votre mot de passe (sslvpnuser). Aussi, choisissez votre groupe respectif
dans le
liste déroulante comme indiqué. Notez que le nom du groupe dans la liste déroulante est le nom de l'alias de
groupe
configuré à l'étape 7 ( SSL_USERS ). Après une authentification réussie, vous pouvez voir qu'une session
VPN est
établi avec 20.20.20.2 (IP publique de ASA).
Prendre plaisir
Épisode 147
147
3. En cliquant sur l'onglet «Statistiques», vous pouvez voir diverses statistiques et paramètres importants
comme indiqué
au dessous de:
Prendre plaisir
Épisode 148
148
L'onglet statistiques ci-dessus montre que l'utilisateur distant d'Anyconnect a reçu une adresse IP
192.168.20.1 de l'ASA.
4. Voyons aussi une sortie de l'ASA:
ASA # show webvpn anyconnect
1. disk0: /anyconnect-win-2.4.1012-k9.pkg 1 dyn-regex = / Windows NT /
CISCO STC win2k +
2,4,1012
Jeu 17/12/2009 15: 47: 55.45
1 client (s) AnyConnect installé
Prendre plaisir
Épisode 149
149
ASA # show ip pool local vpnpool
Commencer
Fin
Masque
Utilisation gratuite
192.168.20.1 192.168.20.254 255.255.255.0 253 0 1
Adresses en cours d'utilisation:
192.168.20.1
Ce qui précède vérifie qu'il y a un utilisateur Anyconnect connecté qui a reçu un IP 192.168.20.1
3.3 Authentification VPN à l'aide d'un serveur externe
Dans tous nos scénarios que nous avons vus jusqu'à présent, l'authentification des utilisateurs d'accès à
distance était
mis en œuvre à l'aide des informations d'identification de nom d'utilisateur / mot de passe du périphérique
local. Autrement dit, les informations d'identification de l'utilisateur local
ont été créés sur l'appareil (ASA ou routeur) qui ont été utilisés pour authentifier les utilisateurs d'accès à
distance
(soit pour IPSEC VPN, soit pour Anyconnect SSL VPN). Cependant, si vous disposez d'un grand nombre
de
utilisateurs, il n'est pas gérable de créer des informations d'identification de périphérique local pour tous. La
meilleure option pour un tel
un cas est d'utiliser un serveur d'authentification externe qui contiendra les informations d'identification de
tous les utilisateurs distants pour
authentification. Nous verrons trois options populaires pour l'authentification du serveur externe:
Utilisation
Microsoft Active Directory , utilisant un serveur AAA Radius / Tacacs (tel que Cisco Secure ACS
Server), et enfin en utilisant un serveur RSA pour l'authentification à deux facteurs.
3.3.1 Authentification VPN à l'aide de Microsoft Active Directory
Dans cette section, nous décrirons comment implémenter l'authentification VPN utilisateur sur les appareils
ASA via un
Microsoft Active Directory. Ceci est très utile dans les cas où il y a un grand nombre de télécommandes
les utilisateurs qui ont besoin d'un accès VPN aux ressources réseau via un pare-feu ASA, et ces utilisateurs
déjà
avoir des comptes Active Directory. Par conséquent, les administrateurs n'auront pas besoin de créer et de
maintenir des
informations d'identification de compte sur l'appareil ASA.
Prendre plaisir
Épisode 150
150
Avec l'ajout de la prise en charge LDAP sur les pare-feu Cisco ASA, il est désormais possible d'utiliser un
Serveur Active Directory (AD) pour authentifier les utilisateurs d'accès à distance. Comme nous le savons,
AD prend en charge le
Protocole LDAP.
Il y a deux étapes générales pour configurer l'authentification AD des utilisateurs d'accès à distance sur
Cisco ASA:
1. Configurez d'abord un groupe de serveurs AAA qui utilisera le protocole LDAP. Sous ce groupe,
définir les paramètres du serveur Active Directory (adresse IP, noms distinctifs, AD
login nom d'utilisateur / mot de passe, etc.).
2. Après la configuration correcte du groupe de serveurs AAA ci-dessus, attribuez ce groupe au
profil de connexion (« Tunnel Group ») des utilisateurs d'accès à distance.
Voyons les étapes ci-dessus plus en détail. Nous utiliserons le schéma de réseau ci-dessous:
Supposons que nous ayons des utilisateurs d'accès à distance connectés via le VPN IPSEC traditionnel
client ou via la méthode VPN SSL d'Anyconnect. Un serveur Active Directory interne (192.168.1.20)
sera utilisé par le périphérique ASA pour envoyer les demandes d'authentification des utilisateurs distants.
Prendre plaisir
Épisode 151
151
• ÉTAPE 1: Configurez le groupe de serveurs AAA et les paramètres LDAP
ASA-1 (config) # aaa-server AD-SERVER protocol ldap ← Le nom «AD-SERVER» sera utilisé
plus tard sous un profil de groupe de tunnel. Ce serveur utilise le protocole «ldap».
ASA-1 (config-aaa-server-group) # exit
ASA-1 (config) # aaa-server AD-SERVER (à l'intérieur) hôte 192.168.1.20 ← Le spécifique
«AD-SERVER» est accessible via l'interface «inside» sur IP 192.168.1.20
ASA-1 (config-aaa-server-host) # server-type microsoft ← Ce serveur AAA est «Microsoft»
ASA-1 (config-aaa-server-host) # ldap-base-dn dc = mycompany, dc = com ← Voir ci-dessous
ASA-1 (config-aaa-server-host) # ldap-login-dn cn = admin, cn = users, dc = mycompany,
dc = com ← Voir ci-dessous
ASA-1 (config-aaa-server-host) # ldap-login-password cisco123 ← Voir ci-dessous
ASA-1 (config-aaa-server-host) # ldap-naming-attribute sAMAccountName ← Voir ci-dessous
ASA-1 (config-aaa-server-host) # ldap-scope sous - arborescence ← Voir ci-dessous
Les paramètres de configuration en rouge ci-dessus sont expliqués ci-dessous:
• ldap-base-dn : spécifie l'emplacement dans la hiérarchie LDAP où le serveur doit commencer
recherche quand il reçoit une demande d'authentification de l'ASA.
• ldap-login-dn : spécifie le nom distinctif (DN) du compte administrateur ou de tout
compte sur Active Directory qui a les privilèges de connexion, de recherche et de récupération
informations de compte de l'AD. Ici, nous avons utilisé le nom d'utilisateur « admin » comme exemple. Toi
doit utiliser un nom d'utilisateur approprié avec suffisamment de privilèges pour pouvoir rechercher / lire /
rechercher
utilisateurs du serveur LDAP.
• ldap-login-password : spécifie le mot de passe du compte «admin» utilisé dans
Paramètre «ldap-login-dn» ci-dessus.
• ldap-naming-attribute : spécifie l' attribut de nom distinctif relatif (DN) qui
identifie de manière unique une entrée sur le serveur LDAP. sAMAccountName est l'attribut par défaut
dans Microsoft Active Directory.
• ldap-scope : Ceci spécifie si ASA examinera le niveau de base DN ou ira en dessous de la base
Niveau DN pour rechercher les comptes utilisateurs. Dans notre cas, nous voulons descendre en dessous du
niveau DN de base,
nous utilisons donc la valeur « subtree ».
Ce qui précède conclut les paramètres de configuration obligatoires requis pour spécifier correctement un
Serveur Active Directory (LDAP) à utiliser par l'ASA pour l'authentification des utilisateurs. Ensuite, nous
verrons comment
Prendre plaisir
Épisode 152
152
pour appliquer le groupe de serveurs AAA ci-dessus à un profil de connexion VPN (Tunnel-Group) afin
d'être
utilisé pour l'authentification.
• ÉTAPE 2: attribuez le groupe de serveurs AAA ci-dessus à un groupe de tunnels VPN
Lorsque nous avons discuté des scénarios d'accès à distance pour IPSEC VPN et Anyconnect VPN
(sections
3.1.4 et 3.2.1) nous avons vu que l'un des éléments à configurer est un « tunnel-group ». Dans
Afin d'utiliser le groupe de serveurs AAA configuré ci-dessus pour l'authentification via AD, nous devons
l'attribuer
sous le profil Tunnel-Group.
ASA-1 (config-tunnel-general) # authentication-server-group AD-SERVER ← Assignez l'AAA
Groupe de serveurs de l'étape 1 ci-dessus. Quiconque utilise le groupe «remotevpn» pour l’accès à
distance
être authentifié via le «AD-SERVER» en utilisant Active Directory.
3.3.2 Authentification VPN utilisant RADIUS ou TACACS
Une autre méthode populaire d'authentification des utilisateurs VPN distants consiste à utiliser un serveur
AAA externe
qui utilise le protocole RADIUS ou TACACS. Par exemple, le système de contrôle d'accès sécurisé Cisco
(CS-ACS) prend en charge les protocoles RADIUS et TACACS +, vous pouvez donc l'utiliser en
conjonction avec un
Cisco ASA pour authentifier les utilisateurs VPN d'accès à distance. De plus, le serveur Cisco ACS peut
communiquer avec un serveur d'authentification à deux facteurs (tel que RSA) pour fournir
l'authentification des utilisateurs VPN d'accès à distance (par exemple en fournissant des mots de passe à
usage unique avec un jeton), car nous
verra plus tard.
Les étapes de configuration générale sont les mêmes qu'avec Active Directory ci-dessus. Vous devez
définir un
AAA Server Group, puis attachez-le à un profil de connexion VPN («Tunnel Group»). Voyons le
étapes de configuration basées sur le schéma ci-dessous:
Prendre plaisir
Épisode 153
153
• ÉTAPE 1: Configurez le groupe de serveurs AAA
ASA-1 (config) # aaa-server Protocole AAA-SERVER [rayon | tacacs +] ← Le nom
«AAA-SERVER» sera utilisé plus tard sous un profil de groupe de tunnels. Ce serveur utilisera soit
Protocole «rayon» ou «tacacs +».
ASA-1 (config) # aaa-server AAA-SERVER (à l'intérieur) hôte 192.168.1.30 ← Le spécifique
«AAA-SERVER» est accessible via l'interface «inside» sur IP 192.168.1.30
ASA-1 (config-aaa-server-host) # key strongkey ← Mot de passe d'authentification entre ASA et
Serveur AAA externe
ASA-1 (config-tunnel-general) # authentication-server-group AAA-SERVER ← Assignez l'AAA
Groupe de serveurs de l'étape 1 ci-dessus. Quiconque utilise le groupe «remotevpn» pour l’accès à
distance
être authentifié via le «AAA-SERVER».
Prendre plaisir
Épisode 154
154
3.3.3 Authentification VPN à l'aide de RSA
RSA est populaire pour fournir une authentification à deux facteurs pour les utilisateurs d'accès à distance.
En utilisant soit un
jeton matériel ou logiciel côté utilisateur, le serveur RSA peut émettre des mots de passe à usage unique
utilisateurs distants. Il n'est pas dans le cadre de ce livre de décrire les détails de la configuration du serveur
RSA
lui-même. Cependant, nous verrons la configuration sur l'ASA pour communiquer avec un serveur RSA
pour
authentification.
Il existe deux options d'authentification à utiliser avec ASA et RSA.
1. ASA communique avec un serveur RADIUS (généralement un serveur Cisco Secure ACS) pour
authentification (tout comme la section 3.3.2 ci-dessus) et le RADIUS communique avec le RSA
serveur pour les mots de passe à usage unique.
2. ASA communique directement avec RSA Server. C'est ce que nous verrons ci-dessous.
• ÉTAPE 1: Configurez le groupe de serveurs AAA
ASA-1 (config) # aaa-server RSA-SERVER protocol sdi ← Use "SDI" as protocol
ASA-1 (config) # aaa-server RSA-SERVER (à l'intérieur) hôte 192.168.1.30 ← Le spécifique
«RSA-SERVER» est accessible via l'interface «inside» sur IP 192.168.1.30
Prendre plaisir
Épisode 155
155
ASA-1 (config-tunnel-general) # authentication-server-group RSA-SERVER ← Assignez l'AAA
Groupe de serveurs de l'étape 1 ci-dessus. Toute personne utilisant le groupe «remotevpn» pour
l'accès à distance sera
authentifié via le «RSA-SERVER».
Prendre plaisir
Épisode 156
156
Chapitre 4 Exemples de configuration complets

Dans ce chapitre, vous trouverez des configurations complètes pour tous les scénarios dont nous avons
discuté dans
chapitres précédents. Avoir les commandes de configuration complètes comme prises à partir des appareils
réels est
idéal pour vous aider à configurer les VPN dans les routeurs et les pare-feu ASA de bout en bout.
4.1 Configurations VPN complètes sur les routeurs
Cisco
R1
version 12.4
horodatage de service debug datetime msec
horodatage du service journal datetime msec
pas de chiffrement de mot de passe de service
!
nom d'hôte R1
!
marqueur de démarrage
marqueur de fin de démarrage
!
!
pas de nouveau modèle aaa
mémoire iomem 5
ip cef
!
!
Prendre plaisir
Épisode 157
157
ip auth-proxy max-nodata-conns 3
admission ip max-nodata-conns 3
!
politique de crypto isakmp 1
encr 3des
hachage md5
groupe 2
pré-partage d'authentification
adresse de clé secrète de clé crypto isakmp 200.200.200.1
!
!
crypto ipsec transform-set TRSET esp-3des esp-md5-hmac
!
crypto carte VPNMAP 10 ipsec-isakmp
mis pair 200.200.200.1
set transform-set TRSET
adresse de correspondance VPN-ACL
!
!
interface FastEthernet0 / 0
adresse IP 100.100.100.1 255.255.255.0
ip nat à l'extérieur
réassemblage virtuel ip
duplex automatique
vitesse automatique
crypto carte VPNMAP
!
adresse IP 192.168.1.1 255.255.255.0
ip nat à l'intérieur
duplex automatique
vitesse automatique
!
ip forward-protocol nd
route IP 0.0.0.0 0.0.0.0 100.100.100.2
!
pas de serveur http IP
pas de serveur sécurisé IP http
IP nat à l'intérieur de la liste source Interface NAT-ACL surcharge FastEthernet0 / 0
!
liste d'accès IP étendue NAT-ACL
refuser l'IP 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
autoriser ip 192.168.1.0 0.0.0.255 tout
Liste d'accès IP étendue VPN-ACL
autoriser ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Prendre plaisir
Épisode 158
158
!
avion de contrôle
!
ligne con 0
ligne aux 0
ligne vty 0 4
s'identifier
!
fin
R2
version 12.4
!
nom d'hôte R2
!
!
!
mémoire iomem 5
ip cef
!
!
!
encr 3des
hachage md5
groupe 2
!
!
!
définir le pair 100.100.100.1
Prendre plaisir
Épisode 159
159
!
!
adresse IP 200.200.200.1 255.255.255.0
duplex automatique
vitesse automatique
crypto carte VPNMAP
!
adresse IP 192.168.2.1 255.255.255.0
duplex automatique
vitesse automatique
!
route IP 0.0.0.0 0.0.0.0 200.200.200.2
!
!
refuser l'IP 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
!
autoriser ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
!
avion de contrôle
!
ligne con 0
ligne aux 0
ligne vty 0 4
s'identifier
!
fin
Prendre plaisir
Épisode 160
160
4.1.2 VPN IPSEC de site à site avec IP dynamique
R1
version 12.4
!
nom d'hôte R1
!
!
mémoire iomem 5
ip cef
!
!
encr 3des
hachage md5
groupe 2
adresse de clé secrète de clé crypto isakmp 0.0.0.0 0.0.0.0
!
!
Prendre plaisir
Épisode 161
161
!
crypto-carte dynamique DYNMAP 10
!
!
crypto map VPNMAP 10 ipsec-isakmp dynamic DYNMAP
!
!
adresse IP 100.100.100.1 255.255.255.0
vitesse 100
Un duplex plein
crypto carte VPNMAP
!
adresse IP 192.168.1.1 255.255.255.0
duplex automatique
vitesse automatique
!
route IP 0.0.0.0 0.0.0.0 100.100.100.2
!
!
refuser l'IP 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
autoriser ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
!
avion de contrôle
!
ligne con 0
ligne aux 0
ligne vty 0 4
s'identifier
!
!
Fin
Prendre plaisir
Épisode 162
162
R2
version 12.4
!
nom d'hôte R2
!
!
mémoire iomem 5
ip cef
!
!
pas de recherche de domaine IP
!
encr 3des
hachage md5
groupe 2
!
!
!
!
!
adresse IP dhcp
vitesse 100
Un duplex plein
crypto carte VPNMAP
!
Prendre plaisir
Épisode 163
163
adresse IP 192.168.2.1 255.255.255.0
duplex automatique
vitesse automatique
!
!
!
refuser l'IP 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
autoriser ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
!
avion de contrôle
!
ligne con 0
exec-timeout 0 0
journalisation synchrone
ligne aux 0
ligne vty 0 4
s'identifier
!
!
fin
Prendre plaisir
Épisode 164
164
4.1.3 VPN IPSEC Hub-and-Spoke - Rayons IP statiques
R1 (HUB)
version 12.4
!
nom d'hôte R1
!
!
mémoire iomem 5
ip cef
!
!
Prendre plaisir
Épisode 165
165
!
!
encr 3des
hachage md5
clé crypto isakmp secretkey1 adresse 30.30.30.2
adresse de clé secrète2 de clé crypto isakmp 40.40.40.2
!
!
!
adresse de correspondance VPN-TO-REMOTE1
!
!
adresse IP 20.20.20.2 255.255.255.0
vitesse 100
Un duplex plein
crypto carte VPNMAP
!
adresse IP 192.168.1.1 255.255.255.0
duplex automatique
vitesse automatique
!
route IP 0.0.0.0 0.0.0.0 20.20.20.1
!
serveur http IP
!
refuser l'IP 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Prendre plaisir
Épisode 166
166
refuser l'IP 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
liste d'accès IP étendue VPN-TO-REMOTE1
autoriser ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
ip access-list étendu VPN-TO-REMOTE2
autoriser ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
!
avion de contrôle
!
ligne con 0
ligne aux 0
ligne vty 0 4
s'identifier
!
fin
R2 (RAYON)
version 12.4
!
nom d'hôte R2
!
!
!
mémoire iomem 5
ip cef
!
!
!
encr 3des
hachage md5
!
!
Prendre plaisir
Épisode 167
167
!
adresse de correspondance VPN-TO-HQ
!
adresse IP 30.30.30.2 255.255.255.0
vitesse 100
Un duplex plein
crypto carte VPNMAP
!
adresse IP 192.168.2.1 255.255.255.0
duplex automatique
vitesse automatique
!
route IP 0.0.0.0 0.0.0.0 30.30.30.1
!
serveur http IP
!
refuser l'IP 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
liste d'accès IP étendue VPN-TO-HQ
autoriser ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
!
avion de contrôle
!
ligne con 0
ligne aux 0
ligne vty 0 4
s'identifier
!
!
fin
Prendre plaisir
Épisode 168
168
R3 (RAYON)
version 12.4
!
nom d'hôte R3
!
!
!
mémoire iomem 5
ip cef
!
!
!
!
!
encr 3des
hachage md5
clé crypto isakmp adresse secretkey2 20.20.20.2
!
!
!
adresse de correspondance VPN-TO-HQ
!
!
!
adresse IP 40.40.40.2 255.255.255.0
Prendre plaisir
Épisode 169
169
vitesse 100
Un duplex plein
crypto carte VPNMAP
!
adresse IP 192.168.3.1 255.255.255.0
duplex automatique
vitesse automatique
!
route IP 0.0.0.0 0.0.0.0 40.40.40.1
!
!
refuser l'IP 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
liste d'accès IP étendue VPN-TO-HQ
autoriser ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
!
avion de contrôle
!
ligne con 0
exec-timeout 0 0
ligne aux 0
ligne vty 0 4
s'identifier
!
!
fin
Prendre plaisir
Épisode 170
170
4.1.4 VPN IPSEC Hub-and-Spoke - Spoke IP dynamique
Seule la configuration du concentrateur est affichée car les rayons sont les mêmes que dans l'exemple
précédent.
R1 (HUB)
Configuration actuelle: 1693 octets
!
version 12.4
!
nom d'hôte R1
!
!
!
Prendre plaisir
Épisode 171
171
mémoire iomem 5
ip cef
!
!
!
!
encr 3des
hachage md5
clé crypto isakmp adresse secretkey2 0.0.0.0 0.0.0.0
!
!
!
crypto dynamique-map dynmap 10
!
!
crypto map VPNMAP 20 ipsec-isakmp dynamique dynmap
!
!
!
adresse IP 20.20.20.2 255.255.255.0
crypto carte VPNMAP
!
adresse IP 192.168.1.1 255.255.255.0
duplex automatique
vitesse automatique
!
route IP 0.0.0.0 0.0.0.0 20.20.20.1
Prendre plaisir
Épisode 172
172
!
serveur http IP
!
refuser l'IP 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
refuser l'IP 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
liste d'accès IP étendue VPN-TO-REMOTE1
autoriser ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
ip access-list étendu VPN-TO-REMOTE2
autoriser ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
!
avion de contrôle
!
ligne con 0
ligne aux 0
ligne vty 0 4
s'identifier
!
!
fin
Prendre plaisir
Épisode 173
173
R1
version 12.4
!
nom d'hôte R1
!
!
!
nouveau-modèle aaa
!
!
authentification aaa login USERAUTH local
réseau d'autorisation aaa NETAUTHORIZE local
!
aaa session-id commun
mémoire iomem 5
ip cef
!
!
Prendre plaisir
Épisode 174
174
!
!
!
nom d'utilisateur vpnuser mot de passe 0 cisco
!
porte-clés crypto vpnclientskey
adresse de clé pré-partagée 0.0.0.0 0.0.0.0 clé cisco123
!
encr 3des
groupe 2
!
groupe de configuration du client crypto isakmp remotevpn
clé cisco123
dns 192.168.1.2
gagne 192.168.1.2
domaine mycompany.com
piscine vpnpool
acl VPN-ACL
clients à distance de profil crypto isakmp
description Clients VPN d'accès à distance
porte-clés vpnclientskey
correspondance du groupe d'identité remotevpn
liste d'authentification client USERAUTH
liste d'autorisation isakmp NETAUTHORIZE
réponse de l'adresse de configuration du client
!
!
!
crypto dynamique-map dynmap 10
définir les clients à distance isakmp-profile
!
!
crypto map VPNMAP 10 ipsec-isakmp dynamique dynmap
!
adresse IP 192.168.1.1 255.255.255.0
duplex automatique
vitesse automatique
!
Prendre plaisir
Épisode 175
175
adresse IP 20.20.20.2 255.255.255.0
vitesse 100
Un duplex plein
crypto carte VPNMAP
!
pool local d'ip vpnpool 192.168.50.1 192.168.50.10
route IP 0.0.0.0 0.0.0.0 20.20.20.1
!
IP nat à l'intérieur de la liste des sources Interface NAT-ACL surcharge FastEthernet0 / 1
!
refuser l'IP 192.168.1.0 0.0.0.255 192.168.50.0 0.0.0.255
autoriser ip 192.168.1.0 0.0.0.255 192.168.50.0 0.0.0.255
!
avion de contrôle
!
ligne con 0
exec-timeout 0 0
ligne aux 0
ligne vty 0 4
!
!
fin
Prendre plaisir
Épisode 176
176
4.1.6 VPN IPSEC de site à site et d'accès distant sur le même appareil
R1 (HUB)
version 12.4
!
nom d'hôte R1
!
!
!
nouveau-modèle aaa
!
Prendre plaisir
Épisode 177
177
!
authentification aaa login userauthen local
groupe de réseau d'autorisation aaa auteur local
!
aaa session-id commun
mémoire iomem 5
ip cef
!
!
!
!
nom d'utilisateur vpnuser mot de passe 0 cisco
!
porte-clés crypto vpnclientskey
adresse de clé pré-partagée 0.0.0.0 0.0.0.0 clé cisco123
porte-clés crypto staticbranch
adresse de clé pré-partagée 30.30.30.2 clé secretkey1
porte-clés crypto dynamicbranch
adresse de clé pré-partagée 0.0.0.0 0.0.0.0 clé secretkey2
!
encr 3des
groupe 2
!
groupe de configuration du client crypto isakmp remotevpn
clé cisco123
dns 192.168.1.2
gagne 192.168.1.2
domaine mycompany.com
piscine vpnpool
acl VPNclient-ACL
clients à distance de profil crypto isakmp
description Clients VPN d'accès à distance
porte-clés vpnclientskey
correspondance du groupe d'identité remotevpn
liste d'authentification client userauthen
auteur du groupe de liste d'autorisation isakmp
réponse de l'adresse de configuration du client
profil crypto isakmp staticL2L
description profil isakmp pour Lan statique vers Lan
porte-clés statique
correspondre à l'adresse d'identité 30.30.30.2 255.255.255.255
Prendre plaisir
Épisode 178
178
profil crypto isakmp dynamicL2L
description profil isakmp pour site dynamique Lan à Lan
porte-clés dynamicbranch
correspondre à l'adresse d'identité 0.0.0.0
!
!
définir les clients à distance isakmp-profile
définir isakmp-profile dynamicL2L
adresse de correspondance VPNsite2-ACL
!
!
définir isakmp-profile staticL2L
adresse de correspondance VPNsite1-ACL
!
adresse IP 192.168.1.1 255.255.255.0
duplex automatique
vitesse automatique
!
adresse IP 20.20.20.2 255.255.255.0
vitesse 100
Un duplex plein
crypto carte VPNMAP
!
pool local d'ip vpnpool 192.168.50.1 192.168.50.10
route IP 0.0.0.0 0.0.0.0 20.20.20.1
!
!
Prendre plaisir
Épisode 179
179
refuser l'IP 192.168.1.0 0.0.0.255 192.168.50.0 0.0.0.255
refuser l'IP 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
refuser l'IP 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
liste d'accès IP étendue VPNclient-ACL
autoriser ip 192.168.1.0 0.0.0.255 192.168.50.0 0.0.0.255
liste d'accès IP étendue VPNsite1-ACL
autoriser ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
liste d'accès IP étendue VPNsite2-ACL
autoriser ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
!
avion de contrôle
!
ligne con 0
ligne aux 0
ligne vty 0 4
!
!
fin
R2 (RAYON)
version 12.4
!
nom d'hôte R2
!
!
!
mémoire iomem 5
ip cef
!
!
!
!
Prendre plaisir
Épisode 180
180
!
!
hubsite de porte-clés crypto
!
encr 3des
groupe 2
description profil isakmp pour Lan statique vers Lan
porte-clés hubsite
!
!
!
!
!
!
adresse IP 30.30.30.2 255.255.255.0
vitesse 100
Un duplex plein
crypto carte VPNMAP
!
adresse IP 192.168.2.1 255.255.255.0
vitesse 100
Un duplex plein
!
route IP 0.0.0.0 0.0.0.0 30.30.30.1
!
Prendre plaisir
Épisode 181
181
!
refuser l'IP 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
autoriser ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
!
avion de contrôle
!
!
ligne con 0
exec-timeout 0 0
ligne aux 0
ligne vty 0 4
s'identifier
!
!
fin
R3 (RAYON)
version 12.4
!
nom d'hôte R3
!
!
!
mémoire iomem 5
ip cef
!
!
!
!
!
Prendre plaisir
Épisode 182
182
hubsite de porte-clés crypto
!
encr 3des
groupe 2
profil crypto isakmp dynamicL2L
description profil isakmp pour site dynamique Lan à Lan
porte-clés hubsite
!
!
définir isakmp-profile dynamicL2L
!
adresse IP dhcp
vitesse 100
Un duplex plein
crypto carte VPNMAP
!
adresse IP 192.168.3.1 255.255.255.0
duplex automatique
vitesse automatique
!
!
!
refuser l'IP 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
autoriser ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
Prendre plaisir
Épisode 183
183
!
avion de contrôle
!
ligne con 0
exec-timeout 0 0
ligne aux 0
ligne vty 0 4
s'identifier
!
fin
Prendre plaisir
Épisode 184
184
4.1.7 VPN de site à site utilisant GRE avec protection IPSEC
Routeur-1
version 12.4
!
nom d'hôte R1
!
!
!
mémoire iomem 5
ip cef
!
!
!
!
encr 3des
hachage md5
Prendre plaisir
Épisode 185
185
groupe 2
crypto isakmp clé testkey123 adresse 30.30.30.2
!
!
!
profil crypto ipsec GRE-PROTECTION
!
!
interface Tunnel0
adresse IP 10.0.0.1 255.255.255.0
source tunnel 20.20.20.2
destination du tunnel 30.30.30.2
profil ipsec protection tunnel GRE-PROTECTION
!
adresse IP 20.20.20.2 255.255.255.0
vitesse 100
Un duplex plein
!
adresse IP 192.168.1.1 255.255.255.0
duplex automatique
vitesse automatique
!
route IP 0.0.0.0 0.0.0.0 20.20.20.1
route IP 192.168.2.0 255.255.255.0 10.0.0.2
!
!
!
avion de contrôle
!
ligne con 0
exec-timeout 0 0
Prendre plaisir
Épisode 186
186
ligne aux 0
ligne vty 0 4
s'identifier
!
!
fin
Routeur-2
version 12.4
!
nom d'hôte R2
!
!
mémoire iomem 5
ip cef
!
!
!
!
!
encr 3des
hachage md5
groupe 2
!
!
!
!
Prendre plaisir
Épisode 187
187
interface Tunnel0
adresse IP 10.0.0.2 255.255.255.0
!
adresse IP 30.30.30.2 255.255.255.0
vitesse 100
Un duplex plein
!
adresse IP 192.168.2.1 255.255.255.0
duplex automatique
vitesse automatique
!
route IP 0.0.0.0 0.0.0.0 30.30.30.1
route IP 192.168.1.0 255.255.255.0 10.0.0.1
!
!
!
!
!
avion de contrôle
!
!
!
ligne con 0
exec-timeout 0 0
ligne aux 0
ligne vty 0 4
s'identifier
!
!
fin
Prendre plaisir
Épisode 188
188
4.1.8 VPN Hub-and-Spoke utilisant GRE avec protection IPSEC
Routeur-1 (HUB)
version 12.4
!
nom d'hôte R1
!
!
!
mémoire iomem 5
Prendre plaisir
Épisode 189
189
ip cef
!
!
!
!
encr 3des
hachage md5
groupe 2
crypto isakmp key testkey1234 adresse 40.40.40.2
!
!
!
!
!
interface Tunnel0
adresse IP 10.0.0.1 255.255.255.0
!
interface Tunnel1
adresse IP 10.1.1.1 255.255.255.0
!
adresse IP 20.20.20.2 255.255.255.0
vitesse 100
Un duplex plein
!
adresse IP 192.168.1.1 255.255.255.0
Prendre plaisir
Épisode 190
190
duplex automatique
vitesse automatique
!
!
routeur eigrp 100
réseau 10.0.0.0 0.0.0.255
réseau 10.1.1.0 0.0.0.255
réseau 192.168.1.0
pas de résumé automatique
!
route IP 0.0.0.0 0.0.0.0 20.20.20.1
!
!
!
avion de contrôle
!
ligne con 0
exec-timeout 0 0
ligne aux 0
ligne vty 0 4
s'identifier
!
fin
Routeur-2 (SPOKE)
version 12.4
!
nom d'hôte R2
!
!
!
Prendre plaisir
Épisode 191
191
mémoire iomem 5
ip cef
!
!
!
!
!
encr 3des
hachage md5
groupe 2
!
!
!
!
!
interface Tunnel0
adresse IP 10.0.0.2 255.255.255.0
!
adresse IP 30.30.30.2 255.255.255.0
vitesse 100
Un duplex plein
!
adresse IP 192.168.2.1 255.255.255.0
duplex automatique
vitesse automatique
!
routeur eigrp 100
réseau 10.0.0.0 0.0.0.255
Prendre plaisir
Épisode 192
192
réseau 192.168.2.0
!
route IP 0.0.0.0 0.0.0.0 30.30.30.1
!
!
avion de contrôle
!
ligne con 0
exec-timeout 0 0
ligne aux 0
ligne vty 0 4
s'identifier
!
fin
Routeur-3 (SPOKE)
version 12.4
!
nom d'hôte R3
!
!
mémoire iomem 5
ip cef
!
!
!
Prendre plaisir
Épisode 193
193
!
!
encr 3des
hachage md5
groupe 2
crypto isakmp key testkey1234 adresse 20.20.20.2
!
!
interface Tunnel0
adresse IP 10.1.1.2 255.255.255.0
!
adresse IP 40.40.40.2 255.255.255.0
vitesse 100
Un duplex plein
!
adresse IP 192.168.3.1 255.255.255.0
duplex automatique
vitesse automatique
!
routeur eigrp 100
réseau 10.1.1.0 0.0.0.255
réseau 192.168.3.0
!
route IP 0.0.0.0 0.0.0.0 40.40.40.1
!
!
Prendre plaisir
Épisode 194
194
!
avion de contrôle
!
ligne con 0
exec-timeout 0 0
ligne aux 0
ligne vty 0 4
s'identifier
!
fin
Prendre plaisir
Épisode 195
195
4.1.9 VPN Hub-and-Spoke utilisant DVTI et SVTI
Routeur-1 (HUB)
version 12.4
!
nom d'hôte R1
!
!
pas de console de journalisation
!
mémoire iomem 5
ip cef
!
Prendre plaisir
Épisode 196
196
!
!
porte-clés crypto à distance
adresse de clé pré-partagée 0.0.0.0 0.0.0.0 clé strongkey123
!
encr 3des
groupe 2
profil crypto isakmp DVTI
porte-clés à distance
correspondre à l'adresse d'identité 0.0.0.0
modèle virtuel 1
!
!
crypto ipsec transform-set TRSET esp-3des esp-sha-hmac
!
profil crypto ipsec VTI-PROTECTION
!
Interface Loopback0
adresse IP 10.0.0.1 255.255.255.0
!
adresse IP 20.20.20.2 255.255.255.0
vitesse 100
Un duplex plein
!
adresse IP 192.168.1.1 255.255.255.0
duplex automatique
vitesse automatique
!
interface tunnel de type Virtual-Template1
IP non numéroté Loopback0
source de tunnel FastEthernet0 / 0
mode tunnel ipsec ipv4
protection de tunnel profil ipsec VTI-PROTECTION
!
routeur eigrp 100
Prendre plaisir
Épisode 197
197
réseau 10.0.0.0 0.0.0.255
réseau 192.168.1.0
!
route IP 0.0.0.0 0.0.0.0 20.20.20.1
!
!
!
avion de contrôle
!
ligne con 0
ligne aux 0
ligne vty 0 4
s'identifier
!
!
fin
Routeur-2 (SPOKE)
version 12.4
!
nom d'hôte R2
!
!
!
mémoire iomem 5
ip cef
!
!
Prendre plaisir
Épisode 198
198
!
!
!
!
encr 3des
groupe 2
crypto isakmp key strongkey123 adresse 20.20.20.2
!
!
!
Interface Loopback0
adresse IP 10.1.1.1 255.255.255.0
!
interface Tunnel0
!
adresse IP 30.30.30.2 255.255.255.0
vitesse 100
Un duplex plein
!
adresse IP 192.168.2.1 255.255.255.0
vitesse 100
Un duplex plein
!
routeur eigrp 100
réseau 10.1.1.0 0.0.0.255
réseau 192.168.2.0
Prendre plaisir
Épisode 199
199
!
route IP 0.0.0.0 0.0.0.0 30.30.30.1
!
!
!
avion de contrôle
!
ligne con 0
ligne aux 0
ligne vty 0 4
s'identifier
!
!
fin
Routeur-3 (SPOKE)
version 12.4
!
nom d'hôte R3
!
!
mémoire iomem 5
ip cef
!
!
!
encr 3des
Prendre plaisir
Épisode 200
200
groupe 2
crypto isakmp key strongkey123 adresse 20.20.20.2
!
!
!
Interface Loopback0
adresse IP 10.2.2.1 255.255.255.0
interface Tunnel0
!
adresse IP 40.40.40.2 255.255.255.0
vitesse 100
Un duplex plein
!
adresse IP 192.168.3.1 255.255.255.0
vitesse 100
Un duplex plein
!
routeur eigrp 100
réseau 10.2.2.0 0.0.0.255
réseau 192.168.3.0
!
route IP 0.0.0.0 0.0.0.0 40.40.40.1
!
!
!
Prendre plaisir
Épisode 201
201
avion de contrôle
!
ligne con 0
exec-timeout 0 0
ligne aux 0
ligne vty 0 4
s'identifier
!
fin
Prendre plaisir
Épisode 202
202
4.1.10
VPN multipoint dynamique (DMVPN)
Routeur-1 (HUB)
version 12.4
!
nom d'hôte R1
!
!
!
mémoire iomem 5
ip cef
!
Prendre plaisir
Épisode 203
203
!
!
!
!
encr 3des
clé crypto isakmp adresse strongsecretkey 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10
!
!
profil crypto ipsec PROTECT-DMVPN
!
interface Tunnel0
adresse IP 10.0.0.1 255.255.255.0
pas de redirections IP
ip mtu 1440
pas d'ip suivant-hop-self eigrp 90
authentification IP nhrp NHRPkey
ip nhrp map multicast dynamique
ip nhrp network-id 100
pas d'IP split-horizon eigrp 90
mode tunnel gre multipoint
profil ipsec protection tunnel PROTECT-DMVPN
!
adresse IP 192.168.1.1 255.255.255.0
vitesse 100
Un duplex plein
!
adresse IP 20.20.20.2 255.255.255.0
vitesse 100
Un duplex plein
!
routeur eigrp 90
Prendre plaisir
Épisode 204
204
réseau 10.0.0.0 0.0.0.255
réseau 192.168.1.0
!
route IP 0.0.0.0 0.0.0.0 20.20.20.1
!
!
!
avion de contrôle
!
ligne con 0
exec-timeout 0 0
ligne aux 0
ligne vty 0 4
s'identifier
!
!
fin
Routeur-2 (SPOKE)
version 12.4
!
nom d'hôte R2
!
!
!
mémoire iomem 5
ip cef
!
!
Prendre plaisir
Épisode 205
205
!
!
!
!
encr 3des
!
!
!
!
!
interface Tunnel0
adresse IP 10.0.0.2 255.255.255.0
ip mtu 1440
carte IP nhrp 10.0.0.1 20.20.20.2
multidiffusion de carte ip nhrp 20.20.20.2
ip nhrp nhs 10.0.0.1
!
adresse IP 192.168.2.1 255.255.255.0
vitesse 100
Un duplex plein
!
adresse IP 30.30.30.2 255.255.255.0
Prendre plaisir
Épisode 206
206
vitesse 100
Un duplex plein
!
routeur eigrp 90
réseau 10.0.0.0 0.0.0.255
réseau 192.168.2.0
!
route IP 0.0.0.0 0.0.0.0 30.30.30.1
!
!
!
avion de contrôle
!
ligne con 0
exec-timeout 0 0
ligne aux 0
ligne vty 0 4
s'identifier
!
!
fin
Routeur-3 (SPOKE)
version 12.4
configuration de service
!
nom d'hôte R3
!
!
pas de console de journalisation
!
Prendre plaisir
Épisode 207
207
mémoire iomem 5
ip cef
!
!
!
!
!
encr 3des
!
!
!
!
interface Tunnel0
adresse IP 10.0.0.3 255.255.255.0
ip mtu 1440
carte IP nhrp 10.0.0.1 20.20.20.2
multidiffusion de carte ip nhrp 20.20.20.2
ip nhrp nhs 10.0.0.1
!
adresse IP 192.168.3.1 255.255.255.0
vitesse 100
Un duplex plein
!
Prendre plaisir
Épisode 208
208
adresse IP dhcp
vitesse 100
Un duplex plein
!
routeur eigrp 90
réseau 10.0.0.0 0.0.0.255
réseau 192.168.3.0
!
route IP 0.0.0.0 0.0.0.0 40.40.40.1
!
!
!
avion de contrôle
!
ligne con 0
exec-timeout 0 0
ligne aux 0
ligne vty 0 4
s'identifier
!
!
fin
Prendre plaisir
Épisode 209
209
4.1.11
Protocole PPTP (Point to Point Tunelling Protocol)
R1
version 12.4
!
nom d'hôte R1
!
!
mémoire iomem 5
!
ip cef
nom de domaine ip lab.local
!
!
activer vpdn
!
vpdn-groupe 1
! Groupe VPDN PPTP par défaut
accepter-appeler
protocole pptp
Prendre plaisir
Épisode 210
210
modèle virtuel 1
!
nom d'utilisateur remote1 mot de passe 0 cisco123
!
adresse IP 192.168.1.1 255.255.255.0
duplex automatique
vitesse automatique
!
adresse IP 20.20.20.2 255.255.255.0
duplex automatique
vitesse automatique
!
interface Virtual-Template1
adresse IP 192.168.50.254 255.255.255.0
pool d'adresses IP par défaut du pair pptp-pool
ppp crypter mppe 128
authentification ppp ms-chap ms-chap-v2
!
pool local d'ip pptp-pool 192.168.50.1 192.168.50.10
route IP 0.0.0.0 0.0.0.0 20.20.20.1
!
avion de contrôle
!
ligne con 0
exec-timeout 0 0
niveau de privilège 15
ligne aux 0
exec-timeout 0 0
niveau de privilège 15
ligne vty 0 4
s'identifier
!
!
fin
Prendre plaisir
Épisode 211
211
4.2 Configurations VPN complètes sur Cisco ASA
ASA-1
ASA version 8.4 (2)
!
nom d'hôte ASA1
activer le mot de passe 8Ry2YjIyt7RRXU24 chiffré
passwd 2KFQnbNIdI.2KYOU crypté
noms
!
interface GigabitEthernet0
nameif dehors
niveau de sécurité 0
adresse IP 100.100.100.1 255.255.255.0
!
nameif à l'intérieur
adresse IP 192.168.1.1 255.255.255.0
!
mode ftp passif
réseau d'objets obj-local
sous-réseau 192.168.1.0 255.255.255.0
Prendre plaisir
Épisode 212
212
object network obj-remote
sous-réseau 192.168.2.0 255.255.255.0
réseau d'objets réseau interne
sous-réseau 192.168.1.0 255.255.255.0
access-list outside_in permis étendu icmp any any echo-reply
access-list outside_in extended deny ip any any log
lignes de téléavertisseur 24
mtu extérieur 1500
mtu à l'intérieur de 1500
icmp limite de débit inaccessible 1 taille de rafale 1
pas d'activation de l'historique asdm
délai d'attente arp 14400
nat (intérieur, extérieur) source statique obj-local obj-local destination statique obj-remote obj-remote
!
interface dynamique nat (intérieur, extérieur)
access-group outside_in dans l'interface outside
route à l'extérieur 0.0.0.0 0.0.0.0 100.100.100.2
timeout xlate 3:00:00
timeout conn 1:00:00 semi-fermé 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisoire-media 0:02:00 uauth 0:05:00 absolu
timeout tcp-proxy-remontembly 0:01:00
timeout floating-conn 0:00:00
enregistrement de stratégie d'accès dynamique DfltAccessPolicy
ID utilisateur domaine par défaut LOCAL
pas d'emplacement du serveur snmp
pas de contact serveur snmp
snmp-server enable traps authentification snmp linkup linkdown coldstart warmstart
crypto ipsec ikev1 transform-set TRSET esp-aes esp-md5-hmac
crypto map VPNMAP 10 adresse de correspondance VPN-ACL
crypto map VPNMAP 10 mis pair 200.200.200.1
crypto map VPNMAP 10 set ikev1 transform-set TRSET
interface VPNMAP de crypto map à l'extérieur
adresse d'identité crypto isakmp
crypto ikev1 activer à l'extérieur
politique de crypto ikev1 10
cryptage aes
hash sha
groupe 2
durée de vie 86400
délai telnet 5
délai d'expiration ssh 5
Prendre plaisir
Épisode 213
213
timeout de la console 0
détection des menaces menace de base
liste d'accès aux statistiques de détection des menaces
pas de statistiques de détection des menaces tcp-intercept
groupe de tunnels 200.200.200.1 type ipsec-l2l
tunnel-group 200.200.200.1 attributs ipsec
ikev1 clé secrète pré-partagée1
!
!
contexte du nom d'hôte de l'invite
pas de signalement d'appel à domicile anonyme
appeler à la maison
profil CiscoTAC-1
pas actif
adresse de destination http https://tools.cisco.com/its/service/oddce/services/DDCEService
adresse e-mail de destination callhome@cisco.com
méthode de transport de destination http
diagnostic d'abonnement au groupe d'alerte
environnement d'abonnement à un groupe d'alertes
abonnez-vous à l'inventaire du groupe d'alerte périodique mensuel
configuration de souscription au groupe d'alertes périodique mensuelle
souscription au groupe d'alertes télémétrie périodique quotidienne
crashinfo enregistrer désactiver
Cryptochecksum: 2e24c7d90262481b8fd7780418f9bfb6
: fin
ASA-2
ASA version 8.4 (2)
!
nom d'hôte ASA2
noms
!
nameif dehors
adresse IP 200.200.200.1 255.255.255.0
!
Prendre plaisir
Épisode 214
214
adresse IP 192.168.2.1 255.255.255.0
!
mode ftp passif
sous-réseau 192.168.2.0 255.255.255.0
sous-réseau 192.168.1.0 255.255.255.0
sous-réseau 192.168.2.0 255.255.255.0
mtu extérieur 1500
!
itinéraire à l'extérieur 0.0.0.0 0.0.0.0 200.200.200.2 1
crypto ipsec ikev1 transform-set TRSET esp-aes esp-md5-hmac
crypto map VPNMAP 10 set pair 100.100.100.1
Prendre plaisir
Épisode 215
215
cryptage aes
hash sha
groupe 2
durée de vie 86400
délai telnet 5
!
!
profil CiscoTAC-1
pas actif
: fin
Prendre plaisir
Épisode 216
216
4.2.2 VPN IPSEC Hub-and-Spoke avec IP Spoke dynamique
ASA-1 (HUB)
ASA version 8.4 (2)
!
nom d'hôte ASA1
noms
!
nameif dehors
adresse IP 20.20.20.2 255.255.255.0
!
adresse IP 192.168.1.1 255.255.255.0
Prendre plaisir
Épisode 217
217
!
mode ftp passif
sous-réseau 192.168.1.0 255.255.255.0
réseau d'objets obj-remote1
sous-réseau 192.168.2.0 255.255.255.0
sous-réseau 192.168.3.0 255.255.255.0
sous-réseau 192.168.1.0 255.255.255.0
liste d'accès VPN-ACL1 permis étendu ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
permis étendu VPN-ACL2 de liste d'accès ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0
mtu extérieur 1500
nat (intérieur, extérieur) 1 source statique obj-local obj-local destination statique obj-remote1 obj-remote1
!
crypto ipsec ikev1 transform-set TRSET esp-3des esp-md5-hmac
crypto dynamic-map DYNMAP 10 adresse de correspondance VPN-ACL2
crypto dynamic-map DYNMAP 10 set ikev1 transform-set TRSET
crypto map VPNMAP 5 adresse de correspondance VPN-ACL1
Prendre plaisir
Épisode 218
218
cryptage 3des
hash sha
groupe 2
durée de vie 86400
délai telnet 5
Tunnel-group DefaultL2LGroup ipsec-attributes
!
!
profil CiscoTAC-1
pas actif
Cryptochecksum: d29a9a3dc0e56bf1c5a174e88a4afc72
: fin
Prendre plaisir
Épisode 219
219
ASA-2 (rayon IP statique)
ASA version 8.4 (2)
!
nom d'hôte ASA2
noms
!
nameif dehors
adresse IP 30.30.30.2 255.255.255.0
!
adresse IP 192.168.2.1 255.255.255.0
!
mode ftp passif
sous-réseau 192.168.2.0 255.255.255.0
sous-réseau 192.168.1.0 255.255.255.0
sous-réseau 192.168.2.0 255.255.255.0
mtu extérieur 1500
!
Prendre plaisir
Épisode 220
220
cryptage 3des
hash sha
groupe 2
durée de vie 86400
délai telnet 5
!
!
profil CiscoTAC-1
pas actif
Prendre plaisir
Épisode 221
221
ASA-3 (rayon IP dynamique)
ASA version 8.4 (2)
!
nom d'hôte ASA3
noms
!
nameif dehors
adresse IP dhcp setroute
!
adresse IP 192.168.3.1 255.255.255.0
!
mode ftp passif
sous-réseau 192.168.3.0 255.255.255.0
sous-réseau 192.168.1.0 255.255.255.0
sous-réseau 192.168.3.0 255.255.255.0
autorisation étendue VPN-ACL de liste d'accès ip 192.168.3.0 255.255.255.0 192.168.1.0 255.255.255.0
mtu extérieur 1500
!
Prendre plaisir
Épisode 222
222
cryptage 3des
hash sha
groupe 2
durée de vie 86400
délai telnet 5
!
!
profil CiscoTAC-1
pas actif
Prendre plaisir
Épisode 223
223
4.2.3 VPN IPSEC entre Cisco ASA et le routeur Cisco
ROUTEUR
version 12.4
!
nom d'hôte R1
!
!
mémoire iomem 5
ip cef
!
!
!
porte-clés crypto ASAVPNKEY
!
encr 3des
hachage md5
groupe 2
Prendre plaisir
Épisode 224
224
!
description profil isakmp pour Lan statique à Lan avec ASA
porte-clés ASAVPNKEY
!
!
!
adresse IP 20.20.20.2 255.255.255.0
crypto carte VPNMAP
!
adresse IP 192.168.1.1 255.255.255.0
duplex automatique
vitesse automatique
!
route IP 0.0.0.0 0.0.0.0 20.20.20.1
!
!
refuser l'IP 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
autoriser ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
!
avion de contrôle
!
ligne con 0
exec-timeout 0 0
Prendre plaisir
Épisode 225
225
ligne aux 0
ligne vty 0 4
s'identifier
COMME UN
ASA version 8.4 (2)
!
nom d'hôte ASA
noms
!
nameif dehors
adresse IP 30.30.30.2 255.255.255.0
!
adresse IP 192.168.2.1 255.255.255.0
!
mode ftp passif
sous-réseau 192.168.2.0 255.255.255.0
sous-réseau 192.168.1.0 255.255.255.0
sous-réseau 192.168.2.0 255.255.255.0
mtu extérieur 1500
!
Prendre plaisir
Épisode 226
226
cryptage 3des
hachage md5
groupe 2
durée de vie 86400
délai telnet 5
!
!
profil CiscoTAC-1
pas actif
Prendre plaisir
Épisode 227
227
: fin
Prendre plaisir
Épisode 228
228
4.2.4 VPN IPSEC d'accès à distance sur Cisco ASA
COMME UN
ASA version 8.4 (2)
!
nom d'hôte ASA1
noms
!
nameif dehors
adresse IP 20.20.20.2 255.255.255.0
!
adresse IP 192.168.1.1 255.255.255.0
!
mode ftp passif
réseau d'objets internal_lan
sous-réseau 192.168.1.0 255.255.255.0
sous-réseau 192.168.1.0 255.255.255.0
réseau d'objets obj-vpnpool
sous-réseau 192.168.20.0 255.255.255.0
Prendre plaisir
Épisode 229
229
permis standard de splittunnel de liste d'accès 192.168.1.0 255.255.255.0
mtu extérieur 1500
pool local d'IP vpnpool 192.168.20.1-192.168.20.254
nat (intérieur, extérieur) source statique obj-local obj-local destination statique obj-vpnpool obj-vpnpool
!
crypto dynamic-map outside_dyn_map 10 set ikev1 transform-set TRSET
crypto map IPSEC 10 ipsec-isakmp dynamic outside_dyn_map
interface IPSEC de crypto map à l'extérieur
cryptage 3des
hash sha
groupe 2
durée de vie 86400
délai telnet 5
Prendre plaisir
Épisode 230
230
politique de groupe vpn-clients-politique interne
attributs de stratégie de groupe vpn-clients-policy
vpn-idle-timeout 30
valeur du serveur DNS 192.168.1.5
tunnels de stratégie de tunnel partagé spécifiés
split-tunnel-network-list valeur splittunnel
nom d'utilisateur vpnuser mot de passe test123
accès à distance de type tunnel-group remotevpn
attributs généraux du groupe tunnel remotevpn
pool d'adresses vpnpool
stratégie de groupe par défaut vpn-clients-policy
Tunnel-group remotevpn ipsec-attributes
ikev1 clé pré-partagée cisco123
!
!
profil CiscoTAC-1
pas actif
Cryptochecksum: 9f55a108e0a2df928442f38aac91ec8d
: fin
Prendre plaisir
Épisode 231
231
4.2.5 VPN Hub-and-Spoke et accès à distance sur le même appareil
ASA1 (HUB)
ASA version 8.4 (2)
!
nom d'hôte ASA1
noms
!
nameif dehors
adresse IP 20.20.20.2 255.255.255.0
!
adresse IP 192.168.1.1 255.255.255.0
!
mode ftp passif
Prendre plaisir
Épisode 232
232
sous-réseau 192.168.1.0 255.255.255.0
sous-réseau 192.168.1.0 255.255.255.0
sous-réseau 192.168.20.0 255.255.255.0
sous-réseau 192.168.2.0 255.255.255.0
sous-réseau 192.168.3.0 255.255.255.0
permis standard de splittunnel de liste d'accès 192.168.1.0 255.255.255.0
liste d'accès VPN-ACL1 permis étendu ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
permis étendu VPN-ACL2 de liste d'accès ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0
mtu extérieur 1500
pool local d'IP vpnpool 192.168.20.1-192.168.20.254
nat (intérieur, extérieur) 1 source statique obj-local obj-local destination statique obj-vpnpool obj-vpnpool
no-
recherche de route proxy-arp
!
adresse de correspondance de crypto dynamic-map DYNMAP 5 VPN-ACL2
Prendre plaisir
Épisode 233
233
crypto map IPSEC 5 adresse de correspondance VPN-ACL1
crypto map IPSEC 5 set pair 30.30.30.2
crypto map IPSEC 5 set ikev1 transform-set TRSET
crypto map IPSEC 10 ipsec-isakmp dynamic DYNMAP
interface IPSEC de crypto map à l'extérieur
cryptage 3des
hash sha
groupe 2
durée de vie 86400
délai telnet 5
politique de groupe vpn-clients-politique interne
attributs de stratégie de groupe vpn-clients-policy
vpn-idle-timeout 30
split-tunnel-network-list valeur splittunnel
nom d'utilisateur vpnuser mot de passe test123
accès à distance de type tunnel-group remotevpn
attributs généraux du groupe tunnel remotevpn
stratégie de groupe par défaut vpn-clients-policy
Tunnel-group remotevpn ipsec-attributes
ikev1 clé pré-partagée cisco123
Tunnel-group DefaultL2LGroup ipsec-attributes
!
profil CiscoTAC-1
pas actif
Prendre plaisir
Épisode 234
234
ASA2 (rayon statique)
ASA version 8.4 (2)
!
nom d'hôte ASA2
noms
!
nameif dehors
adresse IP 30.30.30.2 255.255.255.0
!
adresse IP 192.168.2.1 255.255.255.0
!
mode ftp passif
sous-réseau 192.168.2.0 255.255.255.0
sous-réseau 192.168.1.0 255.255.255.0
sous-réseau 192.168.2.0 255.255.255.0
mtu extérieur 1500
!
Prendre plaisir
Épisode 235
235
cryptage 3des
hash sha
groupe 2
durée de vie 86400
délai telnet 5
!
!
profil CiscoTAC-1
pas actif
Prendre plaisir
Épisode 236
236
: fin
ASA3 (rayon dynamique)
ASA version 8.4 (2)
!
nom d'hôte ASA3
noms
!
nameif dehors
adresse IP dhcp setroute
!
adresse IP 192.168.3.1 255.255.255.0
!
mode ftp passif
sous-réseau 192.168.3.0 255.255.255.0
sous-réseau 192.168.1.0 255.255.255.0
sous-réseau 192.168.3.0 255.255.255.0
autorisation étendue VPN-ACL de liste d'accès ip 192.168.3.0 255.255.255.0 192.168.1.0 255.255.255.0
mtu extérieur 1500
Prendre plaisir
Épisode 237
237
!
cryptage 3des
hash sha
groupe 2
durée de vie 86400
délai telnet 5
!
!
Prendre plaisir
Épisode 238
238
profil CiscoTAC-1
pas actif
: fin
Prendre plaisir
Épisode 239
239
4.2.6 VPN IPSEC de site à site avec basculement à l'aide d'un FAI de
secours
ASA-1
ASA version 8.4 (2)
!
nom d'hôte ASA1
noms
!
nameif primaire-isp
adresse IP 20.20.20.2 255.255.255.0
!
nameif backup-isp
adresse IP 30.30.30.2 255.255.255.0
!
adresse IP 192.168.1.1 255.255.255.0
!
Prendre plaisir
Épisode 240
240
mode ftp passif
sous-réseau 192.168.1.0 255.255.255.0
sous-réseau 192.168.2.0 255.255.255.0
sous-réseau 192.168.1.0 255.255.255.0
mtu primaire-isp 1500
sauvegarde mtu-isp 1500
nat (inside, primary-isp) source statique obj-local obj-local destination statique obj-remote obj-remote
nat (inside, backup-isp) source statique obj-local obj-local destination statique obj-remote obj-remote
access-group outside_in dans l'interface primary-isp
access-group outside_in dans l'interface backup-isp
route primary-isp 0.0.0.0 0.0.0.0 20.20.20.1 1 piste 10
route backup-isp 0.0.0.0 0.0.0.0 30.30.30.1 254
moniteur sla 100
type protocole d'écho interface ipIcmpEcho 20.20.20.1 primaire-isp
timeout 3000
fréquence 5
sla monitor schedule 100 life forever start-time maintenant
crypto map interface VPNMAP primary-isp
Prendre plaisir
Épisode 241
241
crypto map interface VPNMAP backup-isp
crypto ikev1 activer primaire-isp
crypto ikev1 activer backup-isp
cryptage 3des
hash sha
groupe 2
durée de vie 86400
!
voie 10 rtr 100 joignabilité
délai telnet 5
!
!
profil CiscoTAC-1
pas actif
Cryptochecksum: d4e5496553edfa8a692219b5d5ef245c
: fin
Prendre plaisir
Épisode 242
242
ASA-2
ASA version 8.4 (2)
!
nom d'hôte ASA2
noms
!
nameif dehors
adresse IP 40.40.40.2 255.255.255.0
!
adresse IP 192.168.2.1 255.255.255.0
!
mode ftp passif
sous-réseau 192.168.2.0 255.255.255.0
sous-réseau 192.168.1.0 255.255.255.0
sous-réseau 192.168.2.0 255.255.255.0
mtu extérieur 1500
!
Prendre plaisir
Épisode 243
243
crypto map VPNMAP 10 mis pair 20.20.20.2 30.30.30.2
cryptage 3des
hash sha
groupe 2
durée de vie 86400
délai telnet 5
!
!
profil CiscoTAC-1
pas actif
Prendre plaisir
Épisode 244
244
Cryptochecksum: 57e963c9585371ad20093abffad1eb5c
: fin
Prendre plaisir
Épisode 245
245
4.2.7 VPN IPSEC de site à site avec sous-réseaux en double - Exemple1
ASA-1
ASA version 8.4 (2)
!
nom d'hôte ASA1
noms
!
nameif dehors
adresse IP 20.20.20.2 255.255.255.0
!
adresse IP 192.168.1.1 255.255.255.0
!
mode ftp passif
sous-réseau 192.168.1.0 255.255.255.0
réseau d'objets NAT-POOL1
sous-réseau 192.168.10.0 255.255.255.0
sous-réseau 192.168.20.0 255.255.255.0
Prendre plaisir
Épisode 246
246
mtu extérieur 1500
nat (intérieur, extérieur) source statique obj-local NAT-POOL1 destination statique NAT-POOL2 NAT-
POOL2
!
cryptage 3des
hash sha
groupe 2
durée de vie 86400
délai telnet 5
Prendre plaisir
Épisode 247
247
ikev1 clé de test à clé pré-partagée123
!
!
profil CiscoTAC-1
pas actif
: fin
ASA-2
ASA version 8.4 (2)
!
nom d'hôte ASA2
noms
!
nameif dehors
adresse IP 30.30.30.2 255.255.255.0
!
adresse IP 192.168.1.1 255.255.255.0
!
mode ftp passif
sous-réseau 192.168.1.0 255.255.255.0
Prendre plaisir
Épisode 248
248
sous-réseau 192.168.10.0 255.255.255.0
sous-réseau 192.168.20.0 255.255.255.0
mtu extérieur 1500
nat (intérieur, extérieur) source statique obj-local NAT-POOL2 destination statique NAT-POOL1 NAT-
POOL1
!
cryptage 3des
Prendre plaisir
Épisode 249
249
hash sha
groupe 2
durée de vie 86400
délai telnet 5
!
!
profil CiscoTAC-1
pas actif
: fin
Prendre plaisir
Épisode 250
250
4.2.8 VPN IPSEC de site à site avec sous-réseaux en double - Exemple2
ASA-1
ASA version 8.4 (2)
!
nom d'hôte ASA1
noms
!
nameif dehors
adresse IP 20.20.20.2 255.255.255.0
!
adresse IP 192.168.1.1 255.255.255.0
!
mode ftp passif
réseau d'objets LOCAL-LAN
sous-réseau 192.168.1.0 255.255.255.0
sous-réseau 192.168.10.0 255.255.255.0
sous-réseau 192.168.20.0 255.255.255.0
réseau d'objets DEST-LAN
sous-réseau 192.168.1.0 255.255.255.0
Prendre plaisir
Épisode 251
251
réseau d'objets à l'intérieur du réseau local
sous-réseau 192.168.1.0 255.255.255.0
mtu extérieur 1500
nat (intérieur, extérieur) source statique LOCAL-LAN NAT-POOL1 destination statique NAT-POOL2
DEST-LAN
!
nat (extérieur, intérieur) statique NAT-POOL2
réseau d'objets à l'intérieur du réseau local
cryptage 3des
hash sha
groupe 2
durée de vie 86400
délai telnet 5
Prendre plaisir
Épisode 252
252
!
!
profil CiscoTAC-1
pas actif
Cryptochecksum: d41d8cd98f00b204e9800998ecf8427e
: fin
-------------------------------------------------- --------------------------------------------------
---------------------------------
ASA-2
ASA version 8.4 (2)
!
nom d'hôte ASA2
noms
!
nameif dehors
adresse IP 30.30.30.2 255.255.255.0
!
Prendre plaisir
Épisode 253
253
adresse IP 192.168.1.1 255.255.255.0
!
mode ftp passif
sous-réseau 192.168.1.0 255.255.255.0
sous-réseau 192.168.10.0 255.255.255.0
mtu extérieur 1500
nat (intérieur, extérieur) source statique obj-local obj-local destination statique DEST-LAN DEST-LAN
!
cryptage 3des
hash sha
Prendre plaisir
Épisode 254
254
groupe 2
durée de vie 86400
délai telnet 5
!
!
profil CiscoTAC-1
pas actif
Cryptochecksum: c76a3d215333f48da61941fc17bde9e1
: fin
ASA2 #
Prendre plaisir
Épisode 255
255
4.2.9 VPN Web SSL d'Anyconnect
COMME UN
ASA version 8.4 (2)
!
nom d'hôte ASA1
noms
!
nameif dehors
adresse IP 20.20.20.2 255.255.255.0
!
adresse IP 192.168.1.1 255.255.255.0
!
mode ftp passif
sous-réseau 192.168.1.0 255.255.255.0
sous-réseau 192.168.1.0 255.255.255.0
sous-réseau 192.168.20.0 255.255.255.0
Prendre plaisir
Épisode 256
256
permis standard de tunnel partagé de liste d'accès 192.168.1.0 255.255.255.0
mtu extérieur 1500
pool local d'ip vpnpool 192.168.20.1-192.168.20.254 masque 255.255.255.0
nat (intérieur, extérieur) source statique obj-local obj-local destination statique obj-vpnpool obj-vpnpool
no-proxy-
recherche de route arp
!
délai telnet 5
webvpn
activer à l'extérieur
disque d'image anyconnect0: /anyconnect-win-2.4.1012-k9.pkg 1
activer anyconnect
activation de la liste de groupes de tunnels
stratégie de groupe SSLVPNpolicy interne
attributs de stratégie de groupe SSLVPNpolicy
vpn-tunnel-protocol ssl-client
split-tunnel-network-list valeur split-tunnel
webvpn
Prendre plaisir
Épisode 257
257
anyconnect keep-installer installé
anyconnect ask enable default timeout anyconnect 10
nom d'utilisateur sslvpnuser mot de passe test123
groupe de tunnels SSLVPN type de profil accès à distance
attributs généraux SSLVPNprofile du groupe de tunnels
politique de groupe par défaut SSLVPNpolicy
Attributs webvpn du groupe de tunnels SSLVPNprofile
activation de l'alias de groupe SSL_USERS
!
!
profil CiscoTAC-1
pas actif
Cryptochecksum: afb950456271f03ac77b5e3387988bf6
: fin
Prendre plaisir
Épisode 258
258
Conclusion:
Si vous avez étudié attentivement les informations présentées dans ce livre, je suis convaincu que vous
serez
capable de s'attaquer aux scénarios de configuration VPN les plus fréquents que vous rencontrerez dans
votre
carrière professionnelle. J'ai inclus toutes mes connaissances sur les VPN Cisco et j'espère avoir
couvrait des scénarios bien connus et difficiles à trouver.
Je sais qu'il n'est pas possible de satisfaire tous les lecteurs de ce livre avec le contenu que j'ai inclus.
Néanmoins, je crois que ce livre sera une excellente référence pour tous les professionnels du réseautage
car un ingénieur réseau rencontrera certainement une tâche de configuration VPN dans son
carrière.
Encore une fois, merci d'avoir acheté et lu ce livre. Ce fut un plaisir d'écrire ce guide,
et j'espère vraiment que vous l'avez apprécié aussi.
Vous pouvez consulter mon blog sur le réseautage http://www.networkstraining.com pour en savoir plus
conseils techniques et didacticiels sur les produits et solutions Cisco. Vous pouvez également vous abonner
avec votre
adresse e-mail sur mon blog ci-dessus pour recevoir des nouvelles et des mises à jour sur mes livres et
Conseils techniques et didacticiels Cisco.
Si vous êtes intéressé par mon autre livre « Cisco ASA Firewall Fundamentals-3 rd Edition », vous
pouvez
Découvrez-le ici: http://www.networkstraining.com/ciscoasaebook.php
Je serai ravi de répondre à toutes vos questions sur admin@networkstraining.com
BONNE CHANCE POUR VOTRE CARRIÈRE PROFESSIONNELLE
Prendre plaisir
Épisode 259
259
Indice:
AAA ...... 7, 53, 54, 161, 162, 163, 164, 165, 166,
167
ACL ................................................. ............................... 95
AnyConnect .. 3, 30, 31, 32, 151, 152, 154, 155,
157, 160
authentification asymétrique ........................... 149
En-tête d'authentification ......................................... 13
FAI de sauvegarde ....................... 4, 6, 128, 129, 131, 251
Point de contrôle ................................................. ................ 13
Client de mobilité sécurisé Cisco Anyconnect .... 31,
151
Client VPN Cisco ........................................ 17, 52, 58
Crypto ACL .......................... 38, 39, 44, 48, 96, 100
carte crypto .... 33, 43, 44, 45, 48, 51, 56, 57, 58,
63, 64, 67, 69, 100, 101, 107, 108, 114, 115,
119, 125, 132, 133, 147, 148, 169, 170, 171,
173, 174, 177, 179, 180, 181, 183, 186, 187,
190, 192, 194, 224, 226, 229, 230, 232, 234,
236, 238, 241, 245, 247, 249, 252, 253, 255,
258, 260, 263, 265
NAT de destination ................................................ .... 138
Groupe Diffie-Hellman ................. 14, 99, 146, 147
DMVPN ... 3, 4, 5, 8, 9, 26, 27, 28, 29, 34, 35, 36,
83, 84, 85, 86, 87, 88, 89, 90, 214, 215, 217,
219
Carte cryptographique dynamique ............................................. 48
adresse IP externe dynamique ........................ 34, 36
IP publique dynamique .. 36, 37, 47, 59, 86, 107, 124
EIGRP 11, 13, 21, 25, 28, 34, 35, 69, 71, 72, 73,
78, 79, 80, 87, 88
ESP ................................... 13, 42, 43, 100, 103, 150
Fortinet ................................................. ...................... 13
GRE 3, 4, 5, 9, 10, 11, 12, 13, 18, 19, 20, 21, 22,
23, 24, 27, 28, 34, 35, 64, 65, 66, 67, 68, 69,
70, 71, 72, 73, 74, 75, 77, 83, 84, 196, 197,
198, 199, 200, 201, 203, 205
GRE VPN 3, 9, 18, 19, 20, 21, 22, 23, 34, 65, 69,
70, 71, 72, 75
Stratégie de groupe ........ 117, 118, 119, 124, 147, 148,
149, 154, 155, 156
Algorithmes de hachage ................................................ ...... 14
Moyeu et rayons 3, 4, 5, 6, 12, 14, 15, 16, 19, 22,
23, 24, 26, 33, 34, 35, 45, 49, 69, 73, 76, 83,
100, 104, 105, 108, 121, 126, 128, 176, 182,
200, 207, 228, 243
IPSEC IKEv1 ...................................... 10, 12, 95, 142
politique ikev1 ..... 98, 99, 107, 115, 118, 124, 132,
146, 147, 224, 226, 230, 232, 234, 238, 241,
245, 247, 249, 253, 255, 258, 261, 263, 265
IPSEC IKEv2 ... 5, 10, 12, 31, 142, 145, 147, 148
Trafic intéressant ..... 14, 38, 39, 53, 60, 68, 69,
96, 100, 105, 108, 113, 122, 131, 136, 140,
141, 143
Échange de clés Internet .......................................... 13
IPSEC .. 3, 4, 5, 6, 8, 9, 10, 11, 12, 13, 14, 15, 16,
17, 18, 19, 20, 21, 22, 23, 25, 27, 28, 29, 33,
34, 36, 37, 45, 46, 47, 49, 51, 52, 54, 55, 56,
57, 58, 59, 60, 62, 64, 66, 67, 68, 69, 70, 73,
74, 75, 80, 81, 82, 85, 89, 90, 95, 96, 98, 99,
103, 104, 105, 108, 111, 113, 114, 115, 116,
118, 119, 121, 128, 129, 131, 132, 133, 134,
136, 137, 138, 142, 143, 151, 154, 161, 162,
164, 168, 172, 176, 182, 185, 188, 196, 200,
223, 228, 235, 240, 241, 245, 251, 257, 262
ISAKMP ...................... 13, 14, 40, 62, 97, 106, 123
groupe isakmp ................................................ ............ 54
politique isakmp 40, 41, 50, 54, 61, 66, 67, 69, 73,
81, 89, 113, 169, 170, 172, 174, 177, 178,
180, 183, 186, 189, 192, 194, 196, 198, 201,
203, 205, 208, 210, 211, 215, 217, 219, 235
profil isakmp ...... 54, 56, 57, 60, 62, 63, 64, 81,
113, 114, 186, 189, 190, 192, 194, 208, 236
Genévrier ................................................. ........................ 13
porte-clés 54, 55, 56, 59, 61, 62, 64, 81, 113, 114,
186, 189, 190, 192, 194, 208, 235, 236
Interface de tunnel de couche 3 ....................................... 10
LDAP ................................................. ..... 162, 163, 164
Microsoft Active Directory5, 53, 161, 162, 163
liste d'accès miroir ............................................ 38, 96
multidiffusion. 11, 13, 20, 21, 23, 33, 34, 35, 36, 64,
86, 87, 215, 217, 219
NAT .... 31, 33, 39, 40, 50, 53, 60, 69, 95, 96, 97,
105, 106, 108, 109, 110, 111, 113, 114, 117,
122, 123, 126, 127, 128, 131, 132, 134, 135,
136, 137, 138, 139, 140, 141, 142, 144, 153,
169, 171, 173, 175, 178, 179, 181, 184, 187,
191, 193, 195, 197, 199, 202, 204, 206, 209,
211, 212, 216, 218, 220, 236, 257, 258, 260,
262, 263
Protocole de résolution du prochain bond ............ 27, 83, 86
Prendre plaisir
Épisode 260
260

T Cisco VPN Configuration Guide - Step-By-Step Configuration of Cisco VPNs For ASA and Routers

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

T Cisco VPN Configuration Guide - Step-By-Step Configuration of Cisco VPNs For ASA and Routers

Transféré par

Droits d'auteur :

Formats disponibles

Page 1

Table des matières:

Chapitre 1 Introduction aux technologies VPN

Chapitre 2 Configuration VPN sur les routeurs

Chapitre 4 Exemples de configuration complets

Vous aimerez peut-être aussi