Académique Documents
Professionnel Documents
Culture Documents
C’est une communication entre 2 LAN distants via un tunnel sécurisé à travers internet.
Exemple: nous avons un réseau LAN sur Lille et un réseau LAN sur Paris que nous devons
interconnecter. A moins de tirer une fibre optique entre les 2 bâtiments (Lille à Paris) ce qui
est impossible xD, le seul moyen de les raccorder est de passer par internet. Pour cela il nous
faut créer un lien sécurisé qu’on appelle un VPN (Virtual Private Network)
– Contexte de la maquette :
Les routeurs LILLE et PARIS sont déjà configurés avec leurs IP. Le nat overload est opérationnel.
Les postes clients peuvent accéder à internet sur l’ip 8.8.8.8
Le problème que nous rencontrons est que les 2 sites LILLE et PARIS ne communiquent pas
entre-eux. Ce qui est normal à la base. Personne ne peut entrer sur un réseau distant qui ne
lui appartient pas. Le VPN permettra de répondre à ce besoin tout en sécurisant la
communication.
1
– CONFIGURATION DU VPN DE LILLE
Sous packet tracer, nous devons dans un premier temps activer le module sécurité securityk9
sur le routeur 2911. Exécutez la commande show version pour vérifier que la licence du pack
est activée.
Si ce n’est pas le cas, activez le module avec la commande suivante, enregistrez votre
configuration et redémarrez votre routeur.
LILLE>enable
LILLE#conf t
LILLE(config)#license boot module c2900 technology-package securityk9
LILLE(config)#exit
LILLE#copy run start
LILLE#reload
Si vous refaites un show version, vous identifiez votre module activé en version d’évaluation.
2
Nous allons ensuite nous occuper des stratégies de chiffrement avec ISAKMP (Internet
Security Association and Key Management Protocol). Cette Appliance fournis la sécurisation
des paquets qui seront acheminés d’un bout à l’autre.
Le cryptage AES est le chiffrement choisi pour l’échange. Les algorithmes DES et 3DES n’étant
plus considérés comme sûres, il est recommandé d’utiliser AES.
Cet algorithme nécessite une clé pré-partagée pour le chiffrement et le déchiffrement. C’est
pourquoi nous choisissons l’authentification pre-share.
Nous précisons ensuite la clé d’échange qui sera KEYVPN ainsi que la destination de l’hôte
distant
3
LILLE(config-ext-nacl)# permit ip 192.168.20.0 0.0.0.255 any
LILLE(config-ext-nacl)# exit
WARNING : Nous éditons l’ACL du NAT déjà existante qui s’appelle LAN pour interdire la
translation d’adresse vers le LAN distant. De cette façon aucune adresse IP source à
destination de PARIS ne sera changée. Néanmoins si la destination est autre que PARIS, les
adresses IP sources seront translatées.
Par contre nous créons une autorisation du réseau d’ARRAS à communiquer avec le réseau de
PARIS avec l’ACL que l’on appellera VPN
Nous nous attaquons à présent à rassembler les différents éléments créés ci-dessus pour en
faire une cryptomap que l’on positionnera sur l’interface outside serial 0/0/0
4
Configuration de la clé d’échange entre les 2 hôtes
Création de la Cryptomap
– TESTS ET VERIFICATION
5
Si votre configuration fonctionne du premier coup vous devriez avoir ceci si vous pingez
192.168.10.1à partir du 192.168.20.1
Afin de vérifier si les paquets envoyés sont cryptés et que les paquets reçus sont bien
décryptés, vous pouvez le vérifier avec la commande suivante :
Les 2 sites sont fin prêt pour communiquer ensemble de façon sécurisée !!
Source : https://ciscotracer.wordpress.com/2017/03/22/vpn-site-site/