Configurant un tunnel VPN de site à site entre

les routeurs de la gamme rv et les appliances de

sécurité adaptable de la gamme ASA 5500
Objectif
La Sécurité est essentielle pour protéger la propriété intellectuelle d'une entreprise tout en
également assurant la continuité d'affaires et fournissant la capacité d'étendre le lieu de
travail entreprise aux employés qui ont besoin n'importe quand, n'importe où accès aux
ressources en société.

Les solutions de sécurité VPN deviennent plus importantes pour des sociétés commerciales
de PME. Un VPN est réseau privé construit dans une infrastructure réseau publique, telle
que l'Internet global. Un VPN étend un réseau privé entre les emplacements
géographiquement distincts de bureau. Il permet à un ordinateur hôte d'envoyer et recevoir
des données à travers les réseaux publics car elles étaient une partie intégrante du réseau
privé avec toute la fonctionnalité. Les VPN augmentent la Sécurité pour une organisation
distribuée, le facilitant pour que le personnel fonctionne de différents sites sans
compromettre le réseau. Les motivations pour utiliser le VPN sont les conditions requises
« virtualisent » une certaine partie des transmissions et de l'économie d'une organisation
des transmissions.

Il y a différentes topologies VPN : Hub and spoke, Point à point, et maillage complet. Ce
conseil intelligent couvre le site à site (Point à point) VPN, qui fournit une infrastructure
basée sur Internet pour étendre des ressources de réseau aux bureaux distants, aux
bureaux à domicile, et aux sites de partenaire commercial. Tout le trafic entre les sites est
chiffré utilisant le protocole de sécurité IP (IPsec), et des caractéristiques de réseau telles
que le routage, le Qualité de service (QoS), et le support de Multidiffusion sont intégrées.

Les routeurs de la gamme de Cisco rv fournissent les solutions VPN robustes et facilement
gérées aux sociétés conscientes des coûts de petite entreprise. Les organismes d'aide de
Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500 pour équilibrer la
Sécurité avec la productivité. Il combine le Pare-feu de l'inspection avec état le plus déployé
du secteur avec des services de sécurité réseau de la deuxième génération complets,
incluant : visibilité et contrôle granulaire des applications et les micro-applications, la sécurité
Web, les systèmes de prévention des intrusions (IPS), fortement l'accès distant sécurisé, et
d'autres.
Ce guide court décrit un exemple de la conception pour construire un site à site IPsec VPN
entre les routeurs de la gamme rv et les appliances de sécurité adaptable de la gamme une
ASA 5500 et fournit des exemples de configuration.

Périphériques applicables
• Routeurs VPN de gamme Cisco RV0xx
• Dispositifs de sécurité adaptatifs de la gamme Cisco ASA 5500

Version de logiciel
 • 4.2.2.08 [routeurs VPN de gamme Cisco RV0xx]

Pré-configuration
L'image suivante affiche une implémentation d'échantillon d'un tunnel VPN de site à site
utilisant un routeur de Rv-gamme (site distant) et une ASA 5500 (bureau central).

Avec cette configuration un hôte dans le réseau du site distant de 122.166.12.x et un hôte
dans VLAN 1at que le bureau central peut communiquer les uns avec les autres sécurisé.

Fonctionnalités principales
Échange de clés Internet (IKE)

L'Échange de clés Internet (IKE) est le protocole utilisé pour installer une association de
sécurité (SA) dans la suite de protocole IPsec. Les constructions d'IKE sur le protocole et le
Protocole ISAKMP (Internet Security Association and Key Management Protocol) d'Oakley,
et emploie un échange de clé de Diffie-Hellman pour installer un secret partagé de session,
dont des clés cryptographiques sont dérivées. Une stratégie sécurisée pour chaque pair doit
être manuellement mise à jour.

IPSec (IPSec)

IPsec utilise des Services de sécurité cryptographiques pour protéger des transmissions au-
dessus des réseaux de Procotole IP (Internet Protocol). IPsec prend en charge
l'authentification de pair de niveau du réseau, l'authentification de l'origine des données,
l'intégrité des données, la confidentialité des données (cryptage), et la protection de
rediffusion. IPSec comporte beaucoup de Technologies et de méthodes de cryptage
composantes. Pourtant l'exécution d'IPSec peut être décomposée en cinq étapes principales
:
Étape 1." le trafic intéressant » initie le processus d'IPSec - le trafic est considéré intéressant
quand la stratégie de sécurité d'IPSec configurée dans les pairs d'IPSec commence le
processus d'IKE.
Étape 2. Phase 1 d'IKE - L'IKE authentifie des pairs d'IPSec et négocie l'IKE SAS pendant
cette phase, installant un canal de sécuriser pour négocier IPSec SAS dans la phase 2.
 Étape 3. Phase 2 d'IKE - L'IKE négocie des paramètres d'IPSec SA et a installé IPSec
assorti SAS dans les pairs.
Étape 4. Transfert des données - Des données sont transférées entre les pairs d'IPSec
basés sur les paramètres d'IPSec et les clés enregistrées dans la base de données SA.
Étape 5. Arrêt de tunnel d'IPSec - IPSec SAS se terminent par la suppression ou en
chronométrant.

ISAKMP

Le Protocole ISAKMP (Internet Security Association and Key Management Protocol) sont
utilisés pour négocier le tunnel entre les deux points finaux. Il définit les procédures pour
l'authentification, la transmission, et la génération de clés, et est utilisé par le protocole d'IKE
pour permuter des clés de chiffrement et pour établir la connexion sécurisée.

Conseils de conception

Topologie VPN — Avec un site à site VPN, un tunnel sécurisé d'IPsec est configuré entre
chaque site et chaque autre site. Une topologie multisite est habituellement mise en
application comme maillage complet des tunnels VPN de site à site (c'est-à-dire, chaque site
a des tunnels établis à chaque autre site). Si aucune transmission n'est nécessaire entre les
bureaux distants, une topologie du hub-spoke VPN est utilisée pour réduire le nombre de
tunnels VPN (c'est-à-dire, chaque site établit un tunnel VPN seulement au bureau central).
Adressage IP BLÊME et DDNS — Le tunnel VPN doit être établi entre deux adresses IP
publique. Si les routeurs WAN reçoivent des adresses IP statiques du fournisseur de
services Internet (ISP), le tunnel VPN peut être mis en application directement utilisant les
adresses IP publique statiques. Cependant, la plupart des petites entreprises utilisent des
services Internet hauts débits rentables tels que le DSL ou le modem câble, et reçoivent des
adresses IP dynamiques de leurs ISP. En pareil cas, DDNS peut être utilisé pour tracer
l'adresse IP dynamique à un nom de domaine complet (FQDN).
Adressage IP de RÉSEAU LOCAL — L'adresse de réseau IP privée de RÉSEAU LOCAL de
chaque site devrait n'avoir aucune superposition. L'adresse de réseau IP par défaut de
RÉSEAU LOCAL à chaque site distant devrait toujours être changée.
Authentification VPN — Le protocole d'IKE est utilisé pour authentifier des homologues VPN
en établissant un tunnel VPN. Les diverses méthodes d'authentification d'IKE existent, et la
clé pré-partagée est la méthode la plus commode. Cisco recommande appliquer une clé pré-
partagée forte.
Chiffrement de VPN — Pour assurer la confidentialité des données transportées au-dessus
du VPN, des algorithmes de chiffrement sont utilisés pour chiffrer la charge utile des paquets
IP. DES,3DES, et AES sont trois normes de chiffrement communes. AES est considéré les
la plupart sécurisées une fois comparé au DES et au 3DES. Cisco recommande fortement
appliquer les bits AES-128 ou le cryptage plus élevé (par exemple, AES-192 et AES-256).
Cependant, plus l'algorithme de chiffrement est fort, plus traitant les ressources qu'il exige.

Conseils de configuration

liste de contrôle de Pré-configuration

Étape 1. Assurez-vous que l'ASA et le routeur chacun des deux rv sont connectés à la
passerelle internet (le routeur de l'ISP ou le modem).
Étape 2. Activez le routeur de Cisco rv et puis connectez les PC internes, les serveurs, et
d'autres périphériques IP au commutateur de RÉSEAU LOCAL ou les ports de commutateur
sur le routeur rv.
Étape 3. Faites la même chose pour le réseau derrière l'ASA. Étape 4. Assurez-vous que les
adresses de réseau IP de RÉSEAU LOCAL sont configurées à chaque site et sont des sous-
 réseaux indifférents. Dans cet exemple, le RÉSEAU LOCAL de bureau central utilise
192.168.10.0/24,and que le RÉSEAU LOCAL de site distant utilise 122.166.12.0/24.
Étape 4. Assurez-vous que des PC de gens du pays et des serveurs peuvent communiquer
les uns avec les autres et avec le routeur.

Identifier la connexion WAN

Vous devrez savoir si votre ISP distribue une adresse IP dynamique ou si vous avez reçu un
IP statique. Habituellement l'ISP donnera un IP dynamique, mais vous devrez confirmer ceci
pour se terminer la configuration.

Configurer le RV042G au bureau distant

Étape 1. Ouvrez une session au Web UI et allez au VPN > passerelle à la section de
passerelle. Puisque nous ajoutons une connexion entre réseaux locaux, les points finaux
seront la passerelle de chaque réseau.

Étape 2. Configurez les points finaux locaux et distants sur le routeur

a) Configurez le nom de tunnel pour l'identifier de tous les autres tunnels que vous avez pu
avoir déjà configurés.
b) Le Group Setup local configure l'hôte local à autoriser sur le tunnel VPN. Assurez-vous
que vous avez le sous-réseau et le masque corrects pour le réseau que vous voulez être
permis au-dessus du tunnel.

C) Le Group Setup distant configure le point final et le trafic réseau distants pour que le
routeur recherche. Écrivez l'IP statique de la passerelle distante pour établir la connexion
dans le domaine d'adresse IP de passerelle. Écrivez alors le sous-réseau permis sur le VPN
du site distant (le RÉSEAU LOCAL de bureau central).

Étape 3. Configurez les paramètrages de tunnel.

a) Vous voudrez configurer une clé pré-partagée pour des résultats optimaux.
Le Phase 1 et le Phase 2 sont différentes phases de l'authentification, le Phase 1 crée le
tunnel initial et commence la négociation, et le Phase 2 mène la négociation de clé de
chiffrement et protège à bonne fin la transmission de données une fois que le tunnel est
établi.
b) Le groupe CAD correspondra au groupe de crypto isakmp policy sur l'ASA, que vous
verrez dans la section suivante. Sur l'ASA le par défaut est le groupe 2, et de plus nouvelles
versions de code ASA exigent au moins le groupe 2. CAD. Le compromis est que c'est un
 bit plus élevé et ainsi prend plus de temps- CPU.
c) Le cryptage de Phase 1 définit l'algorithme de chiffrement utilisé. Le par défaut sur la
gamme rv est DES, mais le par défaut sur l'ASA sera 3DES. Cependant, ce sont des
normes plus anciennes et ne sont pas efficaces dans l'implémentation en cours. Le
cryptage AES est plus rapide et plus sécurisé, et Cisco recommande au moins AES-128 (ou
simplement AES) pour les meilleurs résultats.
d) L'authentification de Phase 1 vérifie l'intégrité de paquet. Les options sont SHA-1 et MD5,
et l'un ou l'autre devrait fonctionner pendant qu'elles produisent des résultats similaires.
La configuration de Phase 2 suit les mêmes règles que le Phase 1. En configurant les
configurations d'IPSec, maintenez dans l'esprit que les configurations sur l'ASA devront
APPARIER ceux sur le RV042G. S'il y a des anomalies, les périphériques ne pourront pas
négocier la clé de chiffrement et la connexion échouera.

Remarque: Veillez à sauvegarder les configurations avant de naviguer à partir de cette page
!

Configurant l'ASA 5500 au bureau central (CLI)

Remarque: Assurez-vous que vous utilisez la commande « écrivez mem » d'éviter souvent
des configurations perdantes. D'abord, voici les interfaces que nous avons configurées sur
l'ASA. Le vôtre peut différer, ainsi veillez à modifier les configurations en conséquence.
Étape 1. Configurant la Gestion de cryptage (ISAKMP)
La première étape installera la stratégie ISAKMP, qui est ce qui est utilisé pour négocier le
cryptage du tunnel. Cette configuration devrait être IDENTIQUE sur les deux points finaux.
C'est où vous configurerez les configurations de cryptage pour apparier le Phase 1 de la
configuration rv.

Étape 2. Sélection du trafic

C'est identique que le groupe de sécurité local et distant sur le RV042G. Sur l'ASA nous
employons des listes d'accès pour définir ce que le réseau considère le « trafic intéressant »
pour admettre sur le VPN.
D'abord, configurez les objets de réseau pour le site distant et le site local :

Configurez alors la liste d'accès pour utiliser ces objets :

Alternativement, vous pouvez utiliser les sous-réseaux eux-mêmes, mais dans de plus
grandes réalisations il est plus facile d'utiliser des objets et des groupes d'objets.
Étape 3. Configuration de tunnel d'IPSec (authentification de Phase 2)
Ici nous configurerons le « jeu de transformations » et le groupe de tunnel, qui installeront
l'authentification de Phase 2. Si vous installez le Phase 2 pour être différent que le Phase 1,
vous aurez un transform-set différent. Ici l'ESP-aes définit le cryptage et l'ESP-SHA-hmac
définit les informations parasites.
L'ordre de groupe de tunnels configure les informations de tunnel de connexion-particularité,
comme la clé pré-partagée. Utilisez l'IP de public du pair distant comme nom de groupe de
tunnels.

Étape 4. Configuration de crypto map

Maintenant nous devons nous appliquer la configuration de Phase 1 et de Phase 2 à un
« crypto map » qui permettra à l'ASA pour établir le VPN et pour envoyer le trafic correct.
Pensez à ceci en tant qu'attachement ensemble des parties du VPN.
 Étape 5. Vérifiez l'état VPN
En conclusion, vérifiez les points finaux pour vérifier que la connexion VPN est en hausse et
fonctionner. La connexion ne sera pas soulevée seule, vous devrez passer le trafic ainsi
l'ASA peut détecter lui et la tentative établir la connexion. Sur l'utilisation ASA la commande
« affichent que le crypto isakmpsa » affichait l'état.

Sur le RV42G allez au VPN > page récapitulative et vérifiez l'état.

Scénario alternatif : Plusieurs sous-réseaux sur le réseau

Ne paniquez pas. Ceci peut sembler comme un processus primordialement compliqué
quand vous installez le réseau, mais vous avez déjà fait la partie dure ci-dessus. Configurer
le VPN pour de plusieurs sous-réseaux exige une certaine configuration supplémentaire,
mais une complexité supplémentaire très petite (à moins que votre schéma de sous-réseau
est étendu). L'exemple que nous avons utilisé pour des usages de cette section 2 sous-
réseaux à chaque site. La topologie du réseau mise à jour est très semblable :
Configurer le RV042G
Juste comme avant, nous configurerons le RV042G d'abord. Le RV042G ne peut pas
configurer de plusieurs sous-réseaux au-dessus d'un tunnel simple, ainsi nous devrons
ajouter une entrée supplémentaire pour le nouveau sous-réseau. Cette section couvrira
seulement la configuration du VPN pour de plusieurs sous-réseaux, non n'importe quelle
configuration supplémentaire d'installation pour eux.
Étape 1. Configurez le premier tunnel
Nous utiliserons la même configuration pour chaque tunnel que pour l'exemple de sous-
réseau unique. Comme avant, vous configurez ceci en allant à VPN > passerelle à la
passerelle et en ajoutant un nouveau tunnel, ou si vous utilisez un tunnel existant allez au
VPN > page récapitulative et éditez existant.
a) Configurez le nom de tunnel, mais changez puisque nous aurons plus d'une modification
le nom à être plus descriptif.

b) Ensuite nous configurerons le groupe local, mêmes qu'avant. Configurez ceci pour
seulement UN des sous-réseaux qui ont besoin d'accès. Nous aurons une entrée de tunnel
pour 122.166.12.x et un autre pour le sous-réseau 122.166.13.x.
c) Configurez maintenant le site distant, de nouveau suivant la même procédure comme ci-
dessus.

d) En conclusion, configurez les configurations de cryptage. Souvenez-vous ces

configurations car vous voudrez qu'elles soient le même sur chacun des deux tunnels que
nous configurons.

Étape 2. Configurer le deuxième tunnel

Maintenant que le sous-réseau 1 est configuré pour le tunnel VPN, nous devons aller à VPN
> passerelle à la passerelle et ajouter un deuxième tunnel. Cette deuxième entrée sera
configurée le plus ou moins même que le premier, mais avec les sous-réseaux secondaires
de chaque site.
a) Veillez au nommer distinction ainsi vous de quelque chose connaissent quelle connexion
c'est.

b) Utilisez le deuxième sous-réseau en tant que groupe de « sécurité locale ».

C) Et utilisez le deuxième sous-réseau distant en tant que groupe « de Sécurité distante ».

d) Configurez le cryptage pour le Phase 1 et le 2le mêmes que pour le premier tunnel.
Configurer l'ASA
Maintenant nous modifierons la configuration sur l'ASA. Cette configuration est
incroyablement simple. Vous pouvez utiliser la même configuration comme ci-dessus,
pendant qu'elle utilise toutes les mêmes configurations de cryptage, avec seulement une
modification mineure. Nous devons étiqueter le trafic supplémentaire en tant que
« intéressant » pour que le Pare-feu l'envoie au-dessus du VPN. Puisque nous employons
une liste d'accès afin d'identifier le trafic intéressant, tout que nous devons faire est de
modifier cette liste d'accès.
Étape 1. Pour commencer, supprimez la vieille liste d'accès, ainsi nous pouvons modifier les
objets dans l'ASA. Utilisez « non » la forme de la commande de retirer des configurations
dans le CLI.
Étape 2. Une fois que l'ACL est retiré, nous voulons créons de nouveaux objets pour les
nouveaux sous-réseaux impliqués (vous assumant n'ont pas déjà fait ceci en établissant ces
sous-réseaux). Nous voulons également les rendre plus descriptifs.
Basé sur notre configuration VLAN ci-dessous :

Nous avons besoin d'un groupe d'objets pour le réseau interne principal (192.168.10.x) et le
 réseau d'ingénierie (192.168.20.x). Configurez les objets de réseau comme ainsi :

Étape 3. Maintenant que les objets de réseau appropriés ont été configurés, nous pouvons
configurer la liste d'accès pour étiqueter le trafic approprié. Vous voulez vous veiller pour
avoir une entrée de liste d'accès pour les deux réseaux derrière l'ASA aux deux sous-
réseaux distants. Le résultat final devrait ressembler à ceci.

Étape 4. Maintenant, parce que nous avons supprimé la vieille liste d'accès, nous devons la
réappliquer au crypto map utilisant la même commande qu'avant :

Vérifiez la connexion
Et voilà. votre tunnel devrait être opérationnel maintenant. Initiez la connexion et vérifiez
l'état utilisant la commande de crypto « isakmpsa d'exposition » sur l'ASA.

Sur la Rv-gamme l'état sera affiché dans VPN > page récapitulative.
Visualisez un vidéo lié à cet article…

A cliquez ici pour visualiser d'autres entretiens de tech de Cisco