CONFIGURATION DU TUNNEL VPN IPSEC SITE À

SITE ENTRE LES ROUTEURS CISCO

ÉCRIT PAR L'ADMINISTRATEUR. PUBLIÉ DANS ROUTEURS CISCO - CONFIGURATION DES ROUTEURS CISCO
Les tunnels VPN IPSec de site à site sont utilisés pour permettre la transmission sécurisée de
données, de voix et de vidéo entre deux sites (par exemple des bureaux ou des succursales). Le
tunnel VPN est créé sur le réseau public Internet et crypté à l'aide d'un certain nombre d'algorithmes
de cryptage avancés pour assurer la confidentialité des données transmises entre les deux sites.

Cet article explique comment installer et configurer deux routeurs Cisco pour créer un tunnel VPN de
site à site sécurisé permanent sur Internet, à l'aide du PROTOCOLE DE SÉCURITÉ IP (IPSEC ) . Dans cet
article, nous supposons que les deux routeurs Cisco ont une adresse IP publique statique . Les
lecteurs intéressés par la configuration de la prise en charge des routeurs de point de terminaison
d'adresse IP publique dynamique peuvent consulter notre article CONFIGURATION DU VPN IPSEC DE
SITE À SITE AVEC LES ROUTEURS CISCO DE POINT DE TERMINAISON IP DYNAMIQUE .

Les tunnels VPN IPSec peuvent également être configurés à l'aide de tunnels GRE (Generic Routing
Encapsulation) avec IPsec. Les tunnels GRE simplifient grandement la configuration et l'administration
des tunnels VPN et sont traités dans notre article CONFIGURATION DES TUNNELS VPN GRE POINT À
POINT . Enfin, les DMVPN - une nouvelle tendance VPN qui offre une flexibilité majeure et presque
aucune surcharge d'administration peuvent également être examinés en lisant nos modèles et
architectures de déploiement CISCO DYNAMIC MULTIPOINT VPN (DMVPN) ,  DYNAMIC MULTIPOINT VPN
(DMVPN) ET CONFIGURATION DE CISCO DYNAMIC MULTIPOINT VPN ( DMVPN) - HUB, SPOKES, PROTECTION
MGRE ET ROUTAGE - ARTICLES DE CONFIGURATION DMVPN .

ISAKMP (Internet Security Association and Key Management Protocol) et IPSec sont essentiels à la
construction et au chiffrement du tunnel VPN. ISAKMP, également appelé IKE (Internet Key
Exchange), est le protocole de négociation qui permet à deux hôtes de s'entendre sur la façon de
construire une association de sécurité IPsec. La négociation ISAKMP se compose de deux phases : la
phase 1 et la phase 2.  

La phase 1 crée le premier tunnel, qui protège les messages de négociation ISAKMP ultérieurs. La
phase 2 crée le tunnel qui protège les données. IPSec entre alors en jeu pour crypter les données à
l'aide d'algorithmes de cryptage et fournit des services d'authentification, de cryptage et d'anti-rejeu.

EXIGENCES VPN IPSEC

Pour aider à rendre cet exercice facile à suivre, nous l'avons divisé en deux étapes qui sont
nécessaires pour que le tunnel VPN IPSec de site à site fonctionne.

Ces étapes sont :

(1) Configurer ISAKMP (ISAKMP Phase 1)

(2) Configurer IPSec  (ISAKMP Phase 2, ACL, Crypto MAP)

Notre exemple de configuration se situe entre deux succursales d'une petite entreprise, il s'agit du
Site 1 et du Site 2 . Les deux routeurs de succursale se connectent à Internet et ont une adresse IP
statique attribuée par leur FAI, comme indiqué sur le schéma :

CONFIGURER ISAKMP (IKE) - (ISAKMP PHASE 1)

 IKE n'existe que pour établir des SA (Security Association) pour IPsec. Avant de pouvoir le faire, IKE
doit négocier une relation SA (ISAKMP SA) avec l'homologue.

Pour commencer, nous allons commencer à travailler sur le routeur Site 1 (R1).

La première étape consiste à configurer une stratégie ISAKMP Phase 1 :

 
R1(config)#  crypto isakmp policy 1
R1(config-isakmp)# encr 3des
R1(config-isakmp)# hachage md5
Pré-partage d'authentification R1(config-isakmp)#
R1(config-isakmp)# groupe 2
R1(config-isakmp)# durée de vie 86400

Les commandes ci-dessus définissent les éléments suivants (dans l'ordre indiqué) :

3DES - La méthode de cryptage à utiliser pour la phase 1.

MD5 - L'algorithme de hachage

Pré-partage - Utiliser la clé pré-partagée comme méthode d'authentification

Groupe 2 - Groupe Diffie-Hellman à utiliser

86400 – Durée de vie de la clé de session. Exprimé en kilo-octets (après une quantité x de trafic,
changez la clé) ou en secondes. La valeur définie est la valeur par défaut.

Il convient de noter que la politique ISAKMP Phase 1 est définie globalement. Cela signifie que si
nous avons cinq sites distants différents et que nous configurons cinq politiques ISAKMP Phase 1
différentes (une pour chaque routeur distant), lorsque notre routeur essaie de négocier un tunnel VPN
avec chaque site, il enverra les cinq politiques et utilisera la première correspondance qui est accepté
par les deux extrémités.

Ensuite, nous allons définir une clé pré-partagée pour l'authentification avec notre pair (routeur R2) en
utilisant la commande suivante :

R1(config)#  crypto clé isakmp adresse firewallcx 1.1.1.2

La clé pré-partagée du pair est définie sur firewallcx et son adresse IP publique est 1.1.1.2. Chaque
fois que R1 essaie d'établir un tunnel VPN avec R2 (1.1.1.2), cette clé pré-partagée sera utilisée.

CONFIGURER IPSEC - 4 ÉTAPES SIMPLES

Pour configurer IPSec, nous devons configurer les éléments suivants dans l'ordre :

 Créer une ACL étendue

 Créer une transformation IPSec
 Créer une carte de chiffrement
 Appliquer la crypto map à l'interface publique

Examinons chacune des étapes ci-dessus.

ÉTAPE 1 : CRÉATION D'UNE LISTE DE CONTRÔLE D'ACCÈS

ÉTENDUE
L'étape suivante consiste à créer une liste d'accès et à définir le trafic que nous souhaitons que le
routeur passe à travers le tunnel VPN. Dans cet exemple, il s'agirait du trafic d'un réseau à l'autre,
10.10.10.0/24 à 20.20.20.0/24. Les listes d'accès qui définissent le trafic VPN sont parfois
appelées liste d'accès crypto ou liste d' accès au trafic intéressant .

R1(config)# ip access-list extended VPN-TRAFFIC

R1(config-ext-nacl)# permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255

ÉTAPE 2 : CRÉER UNE TRANSFORMATION IPSEC

(STRATÉGIE ISAKMP PHASE 2)
La prochaine étape consiste à créer le jeu de transformation utilisé pour protéger nos données. Nous
avons nommé ce TS :

R1(config)# ensemble de transformation crypto ipsec TS esp-3des esp-md5-hmac

La commande ci-dessus définit les éléments suivants :  

- ESP-3DES - Méthode de chiffrement

- MD5 - Algorithme de hachage

ÉTAPE 3 : CRÉER UNE CARTE DE CHIFFREMENT

La carte Crypto est la dernière étape de notre configuration et connecte ensemble la configuration
ISAKMP et IPSec précédemment définie :

R1(config)# carte de chiffrement CMAP 10 ipsec-isakmp

R1(config-crypto-map)# set peer 1.1.1.2
R1(config-crypto-map)# set transform-set TS
R1(config-crypto-map)# adresse de correspondance VPN-TRAFFIC

Nous avons nommé notre crypto map CMAP. La balise ipsec-isakmp indique au routeur que cette
carte de chiffrement est une carte de chiffrement IPsec. Bien qu'il n'y ait qu'un seul pair déclaré dans
cette crypto map (1.1.1.2), il est possible d'avoir plusieurs pairs dans une crypto map donnée.

ÉTAPE 4 : APPLIQUER CRYPTO MAP À L'INTERFACE

PUBLIQUE
La dernière étape consiste à appliquer la crypto map à l'interface sortante du routeur. Ici, l'interface
sortante est FastEthernet 0/1.

R1(config)# interface FastEthernet0/1
R1(config-if)# crypto map CMAP

Notez que vous ne pouvez affecter qu'une seule carte de chiffrement à une interface.

Dès que nous appliquons la crypto map sur l'interface, nous recevons un message du routeur qui
confirme que isakmp est activé : "ISAKMP est activé".

À ce stade, nous avons terminé la configuration du VPN IPSec sur le routeur du site 1.

Nous passons maintenant au routeur du site 2 pour terminer la configuration VPN.  Les paramètres du
routeur 2 sont identiques, la seule différence étant les adresses IP homologues et les listes d'accès :

R2(config)# crypto isakmp policy 1

R2(config-isakmp)# encr 3des
R2(config-isakmp)# hachage md5
Pré-partage d'authentification R2(config-isakmp)#
R2(config-isakmp)# groupe 2
R2(config-isakmp)# durée de vie 86400
R2(config)# crypto clé isakmp adresse firewallcx 1.1.1.1
R2(config)# ip access-list étendu VPN-TRAFFIC
R2(config-ext-nacl)#  permis ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255
R2(config)# ensemble de transformation crypto ipsec TS esp-3des esp-md5-hmac
R2(config)# carte de chiffrement CMAP 10 ipsec-isakmp
R2(config-crypto-map)# set peer 1.1.1.1
R2(config-crypto-map)# set transform-set TS
R2(config-crypto-map)# adresse de correspondance VPN-TRAFFIC
#
R2(config)  interface FastEthernet0/1
R2(config-if)# crypto map CMAP

TRADUCTION D'ADRESSES RÉSEAU (NAT) ET TUNNELS

VPN IPSEC
La traduction d'adresses réseau (NAT) est très probablement configurée pour fournir un accès
Internet aux hôtes internes. Lors de la configuration d'un tunnel Site-to-Site VPN, il est impératif
d'indiquer au routeur de ne pas effectuer de NAT (deny NAT) sur les paquets destinés au(x)
réseau(x) VPN distant(s).

Cela se fait facilement en insérant une instruction de refus au début des listes d'accès NAT, comme
indiqué ci-dessous :

Pour le routeur du site 1 :

R1(config)# ip nat inside source list 100 interface fastethernet0/1 surcharge

R1(config)# access-list 100 remarque -=[Définir le service NAT]=-
R1(config)# liste d'accès 100 refuser ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255
R1(config)# access-list 100 permit ip 10.10.10.0 0.0.0.255 any
R1(config)# access-list 100 remarque
Et le routeur du Site 2 :
R2(config)# ip nat inside source list 100 interface fastethernet0/1 surcharge
R2(config)# access-list 100 remarque -=[Définir le service NAT]=-
R2(config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255
R2(config)# access-list 100 permit ip 20.20.20.0 0.0.0.255 any
R2(config)# access-list 100 remarque

ÉTABLISSEMENT ET VÉRIFICATION DU TUNNEL VPN IPSEC

À ce stade, nous avons terminé notre configuration et le tunnel VPN est prêt à être mis en place. Pour
lancer le tunnel VPN, nous devons forcer un paquet à traverser le VPN et cela peut être réalisé en
envoyant un ping d'un routeur à un autre :

R1 # ping 20.20.20.1 source fastethernet0/0

Tapez la séquence d'échappement pour abandonner.
Envoi de 5 échos ICMP de 100 octets à 20.20.20.1, le délai d'attente est de 2 secondes :
Paquet envoyé avec une adresse source de 10.10.10.1
.!!!!
Le taux de réussite est de 80 % (4/5), aller-retour min/moy/max = 44/47/48 ms

Le premier écho icmp (ping) a reçu un délai d'attente, mais les autres ont reçu une réponse, comme
prévu. Le temps nécessaire pour faire apparaître le tunnel VPN est parfois légèrement supérieur à 2
secondes, provoquant l'expiration du premier ping.

Pour vérifier le tunnel VPN, utilisez la commande show crypto session :

R1# affiche la session de cryptage

État actuel de la session de chiffrement
Interface : FastEthernet0/1
État de la session : UP-ACTIVE   
Homologue : 1.1.1.2 port 500
  IKE SA : local 1.1.1.1/500 distant 1.1.1.2/500 Actif
  FLUX IPSEC : permis IP 10.10.10.0/255.255.255.0 20.20.20.0/255.255.255.0
        SA actives : 2, origine : crypto map