Académique Documents
Professionnel Documents
Culture Documents
VPN Ipsec
VPN Ipsec
Cet article explique comment installer et configurer deux routeurs Cisco pour créer un tunnel VPN de
site à site sécurisé permanent sur Internet, à l'aide du PROTOCOLE DE SÉCURITÉ IP (IPSEC ) . Dans cet
article, nous supposons que les deux routeurs Cisco ont une adresse IP publique statique . Les
lecteurs intéressés par la configuration de la prise en charge des routeurs de point de terminaison
d'adresse IP publique dynamique peuvent consulter notre article CONFIGURATION DU VPN IPSEC DE
SITE À SITE AVEC LES ROUTEURS CISCO DE POINT DE TERMINAISON IP DYNAMIQUE .
Les tunnels VPN IPSec peuvent également être configurés à l'aide de tunnels GRE (Generic Routing
Encapsulation) avec IPsec. Les tunnels GRE simplifient grandement la configuration et l'administration
des tunnels VPN et sont traités dans notre article CONFIGURATION DES TUNNELS VPN GRE POINT À
POINT . Enfin, les DMVPN - une nouvelle tendance VPN qui offre une flexibilité majeure et presque
aucune surcharge d'administration peuvent également être examinés en lisant nos modèles et
architectures de déploiement CISCO DYNAMIC MULTIPOINT VPN (DMVPN) , DYNAMIC MULTIPOINT VPN
(DMVPN) ET CONFIGURATION DE CISCO DYNAMIC MULTIPOINT VPN ( DMVPN) - HUB, SPOKES, PROTECTION
MGRE ET ROUTAGE - ARTICLES DE CONFIGURATION DMVPN .
ISAKMP (Internet Security Association and Key Management Protocol) et IPSec sont essentiels à la
construction et au chiffrement du tunnel VPN. ISAKMP, également appelé IKE (Internet Key
Exchange), est le protocole de négociation qui permet à deux hôtes de s'entendre sur la façon de
construire une association de sécurité IPsec. La négociation ISAKMP se compose de deux phases : la
phase 1 et la phase 2.
La phase 1 crée le premier tunnel, qui protège les messages de négociation ISAKMP ultérieurs. La
phase 2 crée le tunnel qui protège les données. IPSec entre alors en jeu pour crypter les données à
l'aide d'algorithmes de cryptage et fournit des services d'authentification, de cryptage et d'anti-rejeu.
Notre exemple de configuration se situe entre deux succursales d'une petite entreprise, il s'agit du
Site 1 et du Site 2 . Les deux routeurs de succursale se connectent à Internet et ont une adresse IP
statique attribuée par leur FAI, comme indiqué sur le schéma :
Pour commencer, nous allons commencer à travailler sur le routeur Site 1 (R1).
R1(config)# crypto isakmp policy 1
R1(config-isakmp)# encr 3des
R1(config-isakmp)# hachage md5
Pré-partage d'authentification R1(config-isakmp)#
R1(config-isakmp)# groupe 2
R1(config-isakmp)# durée de vie 86400
Les commandes ci-dessus définissent les éléments suivants (dans l'ordre indiqué) :
86400 – Durée de vie de la clé de session. Exprimé en kilo-octets (après une quantité x de trafic,
changez la clé) ou en secondes. La valeur définie est la valeur par défaut.
Il convient de noter que la politique ISAKMP Phase 1 est définie globalement. Cela signifie que si
nous avons cinq sites distants différents et que nous configurons cinq politiques ISAKMP Phase 1
différentes (une pour chaque routeur distant), lorsque notre routeur essaie de négocier un tunnel VPN
avec chaque site, il enverra les cinq politiques et utilisera la première correspondance qui est accepté
par les deux extrémités.
Ensuite, nous allons définir une clé pré-partagée pour l'authentification avec notre pair (routeur R2) en
utilisant la commande suivante :
La clé pré-partagée du pair est définie sur firewallcx et son adresse IP publique est 1.1.1.2. Chaque
fois que R1 essaie d'établir un tunnel VPN avec R2 (1.1.1.2), cette clé pré-partagée sera utilisée.
Nous avons nommé notre crypto map CMAP. La balise ipsec-isakmp indique au routeur que cette
carte de chiffrement est une carte de chiffrement IPsec. Bien qu'il n'y ait qu'un seul pair déclaré dans
cette crypto map (1.1.1.2), il est possible d'avoir plusieurs pairs dans une crypto map donnée.
R1(config)# interface FastEthernet0/1
R1(config-if)# crypto map CMAP
Notez que vous ne pouvez affecter qu'une seule carte de chiffrement à une interface.
Dès que nous appliquons la crypto map sur l'interface, nous recevons un message du routeur qui
confirme que isakmp est activé : "ISAKMP est activé".
À ce stade, nous avons terminé la configuration du VPN IPSec sur le routeur du site 1.
Nous passons maintenant au routeur du site 2 pour terminer la configuration VPN. Les paramètres du
routeur 2 sont identiques, la seule différence étant les adresses IP homologues et les listes d'accès :
Cela se fait facilement en insérant une instruction de refus au début des listes d'accès NAT, comme
indiqué ci-dessous :
Le premier écho icmp (ping) a reçu un délai d'attente, mais les autres ont reçu une réponse, comme
prévu. Le temps nécessaire pour faire apparaître le tunnel VPN est parfois légèrement supérieur à 2
secondes, provoquant l'expiration du premier ping.