Séc TP ATELIER

curité
--
Configurattion de VPN
Site à Site
en
utilisant la CLI
utilisant et SDM

1
Objectifs

Partie 1: Configuration de base des équipements réseau

▪ Configuration des paramètres de base tels que le nom de host, les adresses IP
des interfaces et les mots de passe d’accès.
▪ Configurer le protocole de routage EIGRP.

Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco

▪ Configurer les paramètres VPN IPSec sur R1 et R3

▪ Vérifier la configuration VPN IPSec site à site
▪ Test du fonctionnement du VPN IPSec

Partie 3: Configurer un VPN site à site en SDM

Configurer les PSec sur R1

Créer une configuration R3
Appliquer la configuration vers R3

Test de la configuration en SDM

Rappels

Les VPNs peuvent fournir une méthode sécurisée de transmission d'information sur un
réseau public tel que Internet. Les connexions VPN peuvent aider à réduire les coûts
associés aux lignes louées. Les VPNs site à site fournissent typiquement un tunnel (IPSec
ou autre) sécurisé entre un site distant et un site central. Une autre implémentation
commune qui utilise la technologie VPN est l'accès distant vers le site de l'entreprise pour
un utilisateur situé dans un autre lieu.

Dans ce lab, vous construisez un résseau avec plusieurs routeurs et vous configurez les
routeurs et les hosts. Vous utilisez l'IOS Cisco et SDM pour configurer un VPN IPSec site
à site et le tester. Le tunnel vPN IPSec va du routeur R1 vers le routeur R3 via R2. R2 est
transparent et n'a pas connaissance du VPN. IPSec fournit une transmission sécurisée
d'information sensible à travers un réseau non protégé tel que Internet. IPSec agit au
niveau de la couche réseau, protégeant et authentifiant les paquets IP entre les équipements
(routeurs Cisco) qui participent à IPSec (peers).

Note: Assurez-vous que les routeurs et les commutateurs ont des configurations de
démarrage vides.

2
Ressources requises

• 3 routeurs avec SDM (Cisco 1841 avec Cisco IOS Release 12.4(20)T1 ou comparable)

• 2 commutateurs (Cisco 2960 ou comparable)

• PC-A : Windows XP, Vista ou serveur avec un logiciel serveur RADIUS disponible

• PC-C : Windows XP ou Vista

• Tous les câbles pour connecter le équipements.

3
 S0/0/0 R2 S0/0/1

DCE DCE

10.1.1.0/30 10.2.2.0/30

S0/0/0 S0/0/1

R1 R3
Fa0/1 Fa0/1
Fa0/5
Fa0/5

S1 S3
Fa0/6 Fa0/18
192.168.1.0/24 192.168.3.0/24

PC-C
PC-A

Table d'adressage IP

Equipement Interface Adresse IP Masque Passerelle par Port de

défaut commutateur
R1 Fa0/1 192.168.1.1 255.255.255.0 N/A S1 Fa0/5
S0/0/0 10.1.1.1 255.255.255.252 N/A N/A
R2 S0/0/0 10.1.1.2 255.255.255.252 N/A N/A
(DCE)
S0/0/1 10.2.2.2 255.255.255.252 N/A N/A
(DCE)
R3 Fa0/1 192.168.3.1 255.255.255.0 N/A S3 Fa0/5

S0/0/1 10.2.2.1 255.255.255.252 N/A N/A

(DCE)
PC-A Carte 192.168.1.3 255.255.255.0 192.168.1.1 S1 Fa0/6
PC-C Carte 192.168.3.3 255.255.255.0 192.168.3.1 S3 fa0/18

4
Partie 1: Configuration de base du routeur

Dans la partie 1 de ce lab, vous construisez le réseau et vous configurez les paramètres de
base tels que les adresses IP des interfaces et le routage dynamique, l'accès à l'équipement
et les mots de passe.

Note: Toutes les tâches doivent être exécutées sur R1, R2 et R3. La procédure pour R1 est
celle utilisée comme exemple.

Etape 1: Câblage du réseau selon la topologie précédente.

Câblez le réseau selon la topologie donnée.

Etape 2: Configuration des paramètres de base de chaque routeur.

a. Configurez les noms de hosts conformément à la topologie.

b. Configurez les adresses IP des interfaces en vous aidant du tableau fourni

page précédente.

c. Configurez les horloges pour le routeur R2 qui a des câbles série DCE attachés
aux interfaces serial (s0/0/0 et s0/0/1).

R2(Config)# interface serial s0/0/0

R2(config-if)# clock rate 2000000

Etape 3: Dévalidation de la recherche DNS

Pour éviter que le routeur tente de traduire des commandes incorrectement

entrées , dévalidez la recherche DNS.

R1(Config)# no ip domain-lookup

Etape 4: Configuration du protocole de routage EIGRP sur R1, R2 et R3

a. Utilisez les commandes suivantes sur R1.

R1(config)#router
router eigrp 101
R1(config-router)#network 192.168.1.0 0.0.0.255
R1(config-router)#network 10.1.1.0 0.0.0.3
R1(config-router)#no auto-summary

b. Utilisez les commandes suivantes sur R2.

R2(config)#router eigrp 101

R2(config-router)#network 10.1.1.0 0.0.0.3
R2(config-router)#network 10.2.2.0 0.0.0.3
R2(config-router)#no auto-summary

5
 c. Utilisez les commandes suivantes sur R3.

R3(config)#router eigrp 101

R3(config-router)#network 192.168.3.0 0.0.0.255
R3(config-router)#network 10.2.2.0 0.0.0.3
R3(config-router)#no auto-summary

Etape 5: Configuration des paramètres IP des PC hosts.

a. Configurez l'adresse IP statique, le masque de sous-réseau et la passerelle par

défaut pour PC-A comme le montre le tableau précédent.

b. Configurez l'adresse IP statique, le masque de sous-réseau et la passerelle par

défaut pour PC-A comme le montre le tableau précédent.

Etape 6: Vérification de la connectivité de base

a. Entrez une commande ping de R1 vers R3.

Est-ce que la commande réussit?_____________

Si la commande échoue, vous devez résoudre le problème avant de continuer.

b. Entrez une commande ping depuis PC-A du LAN de R1 vers PC-C du LAN de R3.

Est-ce que la commande réussit?_____________

Si la commande échoue, vous devez résoudre le problème avant de continuer.

Etape 7: Configuration de la longueur minimale des mots de passe

Note: Les mots de passe sont fixés à une longueur minimum de 10 caractères.
Ils sont relativement simples pour faciliter ce lab. Dans un réseau de production
des mots de passe plus complexes sont requis.

Utilisez la commande security passwords pour fixer une longueur minimum de

10 caractères pour les mots de passe.

R1(config)# security passwords min-length 10

Etape 8: Configuration de base de la console, du port auxiliaire et des lignes vty.

a. Configurez le mot de passe console et validez le login pour le routeur R1. Pour
avoir plus de sécurité, la commande exec-timeout entraîne la déconnexion de
la ligne au bout de 5 minutes d'inactivité. La commande logging synchronous
évite que les messages console soient mélangés avec les commandes en cours
d'entrée.

Note: pour éviter des connexions répétitives durant le lab, la commande

exec-timeout 0 0 peut être entrée ce qui son expiration. Ce n'est pas une
bonne pratique de sécurité.

6
 R1(config)# line console 0
R1(config-line)# password ciscoconpass
R1(config-line)# exec-timeout 5 0
R1(config-line)# login
R1(config-line)# logging synchronous

b. Configurez le mot de passe pour les lignes vty sur le routeur R1

R1(config)# line vty 0 4

R1(config-line)# password ciscovtypass
R1(config-line)# exec-timeout 5 0
R1(config-line)# login

c. Répétez ces configurations pour R2 et R3.

Etape 9: Configuration du cryptage des mots de passe.

a. Utilisez la commande service password-encryption

password pour crypter les mots
de passe console, aux et vty.

R1(config)# service password-encryption

b. Entrez la commande show run. Pouvez-vous lire les mots de passe console,
aux et vty? Pourquoi?_______________________________________________________

c. Répétez cette configuration pour R2 et R3.

Etape 10: Sauvegarde de la configuration de base des trois routeurs

Sauvegardez la configuration courante dans la configuration de démarrage.

R1#copy running-config startup-config

Etape 11: Sauvegarde de la configuration de R1 et R3 pour restauration future

a. Démarrez un serveur TFTP sur PC-A

b. Sauvegardez les configurations de démarrage des routeurs R1 et R3 en

utilisant les commandes suivantes:

Exemple pour R1:

R1# copy tftp startup-config

c. Redémarrez les routeurs R1 et R3 avec la commande reload.

7
Partie 2: Configuration d'un VPN site à site avec l'IOS Cisco

Dans la partie 2 de ce lab, vous configurez un tunnel VPN IPSec entre R1 et R3

qui passe par R2. Vous allez configurer R1 et R3 en utilisant la CLI de l'IOS
Cisco. Ensuite vous revoyez et testez les résultats de votre configuration.

Tâche 1: Configuration des paramètres IPSec sur R1 et R3

Etape 1: Vérification de la connectivité depuis le LAN de R1 vers le LAN de R3.

Dans cette étape, vous vérifiez que sans tunnel en place, PC-A du LAN de R1 peut
atteindre PC-C sur le LAN de R3.

a. Depuis PC-A faire un ping vers l'adresse IP 192.168.3.3 de PC-C

PC-A:\> ping 192.168.3.3

b. Est-ce
ce que la commande ping réussit?______________

Si la commande ping est en échec, résoudre le problème avant de continuer.

Etape 2: Validation des stratégies IKE sur R1 et R3

Il y a deux tâches principales pour l'implémentation d'un VPN IPSec:

La configurationdes paramètres IKE (Internet Key Exchangfe)

La configuration des paramètres IPSec

a. Vérifiez que IKE est supporté et validé.

IKE Phase 1 définit la méthode d'échange de clés utilisée pour passer et

valider les stratégies IKE entre les extrémité. Dans IKE Phase 2, les extrémités
échanges et négocient les stratégies IPSec pour l'authentification et le cryptage
du trafic de données.

IKE doit être validé pour que IPSec fonctionne. IKE est validé par défaut sur
les images de l'IOS avec les ensembles fonctionnels de cryptographie. S'il est
dévalidé pour une raison quelconque, vous pouvez le revalider avec la com-
mande crypto isakmp enable. Utilisez cette commande pour vérifier que l'IOS
du routeur supporte IKE et que celui-ci est validé.

R1(config)#crypto isakmp enable

R3(config)#crypto isakmp enable

Note: Si vous ne pouvez pas exécuter cette commande sur le routeur, vous
devez mettre à niveau l'image de l'IOS avec une image incluant l'ensemble
des services de cryptographie Cisco.

8
 b. Etablissez une stratégie ISAKMP (Internet Security Association and Key
Management Protocol) et affichez les options disponibles.

Pour permettre la négociation IKE Phase 1, vous devez créer une stratégie
ISAKMP et configurer une association d'extrémité incluant la stratégie
ISAKMP. Une stratégie ISAKMP définit les algorithmes d'authentification , de
cryptage et de hachage utilisés pour transmettre du trafic de contrôle entre
les deux extrémités VPN. Quand une association ISAKMP a été acceptée par
les extrémités IKE, IKE Phase 1 est terminé. Les paramètres IKE Phase 2 sont
configurés plus tard.

Entrez la commande de configuration crypto isakmp policy 10 sur R1

pour la stratégie 10.

R1(config)#crypto isakmp policy 10

c. Affichez les différents paramètres IKE disponibles en entrant ?.

R1(config-isakmp)# ?
ISAKMP commands:
authentication Set authentication method for protection suite
default Set a command to its defaults
encryption Set encryption algorithm for protection suite
exit Exit from ISAKMP protection suite configuration mode
group Set the Diffie-Hellman group
hash Set hash algorithm for protection suite
lifetime Set lifetime for ISAKMP security association
no Negate a command or set its defaults

Etape 3: Configuration des paramètres de stratégie ISAKMP sur R1 et R3

Votre choix d'un algorithme de cryptage détermine le degré de confidentialité du

canal de contrôle entre les extrémités. L'algorithme de hachage contrôle l'intégrité
des données, assurant que les données reçues d'une extrémité n'ont pas été mo-
difiées pendant leur transit. Lr type d'authentification assure que le paquet a bien
été transmis et signé par cette extrémité distante. Le groupe Diffie-Hellman est
utilisé pour créer une clé secrète partagée par les extrémités qui n'est pas trans-
mise à travers le réseau.

a. Configurez un type d'authentification avec clés pré-partagées. Utilisez AES-256

pour le cryptage, SHA pour l'algorithme de hachage et Diffie-Hellman groupe 5
pour l'échange de clés pour cette stratégie IKE.

Note: A ce point vous devez être à R1(config-isakmp)#. La commande

crypto isakmp policy 10 est répétée ci-dessous pour resituer le contexte.

R1(config)#crypto isakmp policy 10

R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption aes 256
R1(config-isakmp)#hash sha
R1(config-isakmp)#group 5
R1(config-isakmp)#lifetime 3600
R1(config-isakmp)#end

9
 R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption aes 256
R3(config-isakmp)#hash sha
R3(config-isakmp)#group 5
R3(config-isakmp)#lifetime 3600
R3(config-isakmp)#end

c. Vérifiez la stratégie IKE avec la commande show crypto isakmp policy.

R1#show crypto isakmp policy

Global IKE policy
Protection suite of priority 10
encryption algorithm: AES - Advanced Encryption Standard (256 bit
keys).
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman
Hellman group: #5 (1536 bit)
lifetime: 3600 seconds, no volume limit

Etape 4: Configuration des clés pré-partagées.

a. Comme les clés pré-partagées sont utilisées comme méthode d'authentification

dans la stratégie IKE, configurez une clé sur chaque routeur qui pointe vers
l'autre extrémité du VPN. Ces clés doivent correspondre pour que l'authentifi-
cation soit réussie. La commande configuration globale crypto isakmp key
key-string address address est utilisée pour entrer une clé pré-partagée.
Utilisez l'adresse IP de l'extrémité distante, interface distante que l'extrémité
utilise pour router le trafic vers le routeur local.

Quelles adresses IP devez vous utiliser pour configurer les extrémités IKE selon
la topologie et la table d'adressage IP?
_____________________________________________________________________________
_____________________________________________________________________________

b. Chaque adresse IP qui est utilisée pour configurer les extrémités IKE est égale-
ment référencée comme l'adresse IP de l'extrémité VPN distante. Configurez la
clé pré-partagée
partagée cisco123 sur le routeur R1 en utilisant la commande suivante.
Les réseaux de production doivent utiliser une clé plus complexe. Cette com-
mande pointe vers l'adresse IP l'extrémité distante R3 S0/0/1.

R1(config)#crypto isakmp key cisco123 address 10.2.2.1

c. La commande pour R3 pointe vers l'adresse IP de R1 S0/0/0. Configurez la clé

pré-partagée sur le routeur R3 en utilisant la commande suivante.

R3(config)#crypto isakmp key cisco123 address 10.1.1.1

10
Etape 5: Configuration du transform set IPSec et des durées de vie

a. Le transform set IPSec est un autre paramètre de configuration IPSec que les
routeurs négocient pour former une association de sécurité. Pour créer un
transform set IPSec, utilisez la commande crypto ipsec transform-set tag
parameters. Utilisez le ? pour voir quels sont les paramètres disponibles.

R1(config)#crypto ipsec transform-set 50 ?

ah-md5-hmac AH-HMAC-MD5 transform
ah-sha-hmac AH-HMAC-SHA transform
comp-lzs IP Compression using the LZS compression algorithm
esp-3des ESP transform using 3DES(EDE) cipher (168 bits)
esp-aes ESP transform using AES cipher
esp-des ESP transform using DES cipher (56 bits)
esp-md5-hmac ESP transform using HMAC-MD5 auth
esp-null ESP transform w/o cipher
esp-seal ESP transform using SEAL cipher (160 bits)
esp-sha-hmac ESP transform using HMAC-SHA auth

b. Sur R1 et R3 créez un transform set avec le tag 50 et utilisez ESP

(Encapsulating Security Protocol) avec cryptage AES-256 et SHA HMAC. Les
transform set doivent être identiques.

R1(config)#crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac

R1(cfg-crypto-trans)#exit
R3(config)#crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac
R3(cfg-crypto-trans)#exit

c. Quelle est la fonction du transform set IPSec?

_____________________________________________________________________________
_____________________________________________________________________________

d. Vous pouvez également changer les durées de vie des associations de sécurité
IPSec qui sont par défaut 3600 secondes ou 4608000 kilobytes. Sur R1 et R3
fixez la durée de vie de l'adssociation de sécurité IPSec à 30 minutes ou 1800
secondes.

R1(config)#crypto ipsec security-association lifetime seconds 1800

R3(config)#crypto ipsec security-association lifetime seconds 1800

Etape 6: Définition du trafic intêressant

a. Pour utiliser le cryptage avec le VPN IPSec, il est nécessaire de définir une liste
d'accès étendue pour indiquer au routeur quel trafic il doit crypter. Un paquet
qui est permis par une liste d'accès utilisée pour définir le trafic IPSec est
crypté si la session IPSec est configurée correctement. Un paquet qui est rejeté
par une de ces listes d'accès n'est pas rejeté mais transmis sans être crypté.
Tout comme les autres listes d'accès, il y a une instruction implicite de rejet à
la fin de la liste d'accès qui dans ce cas veut dire que l'action par défaut est de
ne pas crypter le trafic. S'il n'y a pas d'association IPSec correctement confi-
gurée, le trafic n'est pas crypté et il est achemené normalement.

11
 b. Dans ce scénario, le trafic que vous voulez crypter est du trafic allant du LAN
Ethernet de R1 vers le LAN Ethernet de R3 ou vice versa. Ces listes d'accès sont
utilisées en sortie sur les interfaces des extrémités VPN et doivent être un
mirroir l'une de l'autre.

c. Configurez l'ACL du trafic VPN IPSec intêressant sur R1.

R1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0

0.0.0.255

d. Configurez l'ACL du trafic VPN IPSec intêressant sur R1.

R3(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0

0.0.0.255

e. Est-ce que IPSec vérifie que les listes d'accès sont le mirroir l'une de l'autre
pour négocier les associations de sécurité?
______________________________________________________________________________
______________________________________________________________________________

Etape 7: Créer et appliquer une crypto map

Une crypto map associe le trafic intêressant qui correspond à la liste d'accès avec
une extrémité et différents paramètres IKE et IPSec. Après la création de la
crypto map, celle-ci peut êttre appliquée à une ou plusieurs interfaces. Les inter-
faces auxquelles elle est appliquée doit être une de celle faisant face à l'autre
extrémité IPSec.

a. Pour créer une crypto map, utilisez la commande crypto map name
sequence-num type en mode de configuration global pour entrer en mode de
configuration crypto map pour ce numéro de séquence. Plusieurs instructions
de crypto map peuvent appartenir à la même crypto map et sont évaluées dans
l'ordre numérique descendant . Entrez en mode de configuration crypto map
sur R1. Utilisez le type ipsec-isakmp qui signifie que IKE est utilisé pour établir
les associations de sécurité IPSec.

b. Créez la crypto map nommée CMAP sur R1 avec 10 comme numéro de

séquence. Un message est affiché à l'exécution de la commande.

R1(config)#crypto map CMAP 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.

c. Utilisez la commande match-address access-list pour spécifier quelle liste

d'accès définit le trafic à crypter.

R1(config-crypto-map)#match address 101

12
d. Pour afficher l'ensemble des commandes que vous pouvez inclure dans une
crypto map utilisez l'aide en ligne (?).

R1(config-crypto-map)#set ?
Identity Identity restriction.
Ip Interface Internet Protocol config commands
isakmp-profile Specify isakmp Profile
nat Set NAT translation
peer Allowed Encryption/Decryption peer.
pfs Specify pfs settings
security-association Security association parameters
transform-set Specify list of transform sets in priority
order

e. Configurer un nom de host ou une adresse IP d'extrémité est requis. Configurez

l'adresse IP de l'interface de l'extrémité VPN distante de R3 avec la commande
suivante:

R1(config-crypto-map)#set peer 10.2.2.1

f. Indiquez le transform set à utiliser avec cette extrémité en utilisant la com-

mande set transform-set tag. Fixez le type de pfs (Perfect forwarding
secrecy) avec la commande set pfs type et modifiez également la durée de
vie par défaut le l'association de sécurité IPSec avec la commande set
security association lifetime seconds seconds.

R1(config-crypto-map)#set pfs group5

R1(config-crypto-map)#set transform-set 50
R1(config-crypto-map)#set security-association lifetime seconds 900
R1(config-crypto-map)#exit

g. Créez une cryto map mirroir sur R3.

R3(config-crypto-map)#match address 101

R3(config-crypto-map)#set peer 10.1.1.1
R3(config-crypto-map)#set pfs group5
R3(config-crypto-map)#set transform-set 50
R3(config-crypto-map)#set security-association lifetime seconds 900
R3(config-crypto-map)#exit

h. La dernière étape est l'application des crypto map aux interfaces. Notez que
les associations de sécurité (SAs) ne seront pas établies tant que la crypto map
n'aura pas été activée par le trafic intêressant. Le routeur va générer un
message pour indiquer que la crypto map est opérationnelle.

i. Appliquez les crypto map aux interfaces appropriées sur R1 et R3.

R1(config)#interface S0/0/0
R1(config-if)#crypto map CMAP
*Jan 28 04:09:09.150: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R1(config)#end

R3(config)#interface S0/0/1
R3(config-if)#crypto map CMAP
*Jan 28 04:10:54.138: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R3(config)#end

13
Tâche 2: Vérifier la configuration VPN IPSec site à site

Etape 1: Vérification de la configuration IPSec sur R1 et R3.

a. Vous avez déjà utilisé la commande show crypto isakmp policy pour
afficher les stratégies ISAKMP configurées sur le routeur. De manière similaire
la commande show crypto ipsec transform-set affiche la configuration
des stratégies IPSec configurées sous la forme d'un transform set.

R1#show crypto ipsec transform-set

Transform set 50: { esp-256-aes esp-sha-hmac }
will negotiate = { Tunnel, },

Transform set #$!default_transform_set_1: { esp-aes esp-sha-hmac }

will negotiate = { Transport, },

Transform set #$!default_transform_set_0: { esp-3des esp-sha-hmac }

will negotiate = { Transport, },

R3#show crypto ipsec transform-set

Transform set 50: { esp-256-aes esp-sha-hmac }
will negotiate = { Tunnel, },

Transform set #$!default_transform_set_1: { esp-aes esp-sha-hmac }

will negotiate = { Transport, },

Transform set #$!default_transform_set_0: { esp-3des esp-sha-hmac }

will negotiate = { Transport, },

b. Utilisez la commande show crypto map pour afficher les crypto maps
appliquées au routeur.

R1#show crypto map

Crypto Map "CMAP" 10 ipsec-isakmp
Peer = 10.2.2.1
Extended IP access list 101
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

Current peer: 10.2.2.1

Security association lifetime: 4608000 kilobytes/900 seconds
PFS (Y/N): Y
DH group: group5
Transform sets={
50: { esp-256-aes esp-sha-hmac } ,
}
Interfaces using crypto map MYMAP: Serial0/0/0

14
 R3#show crypto map
Crypto Map "CMAP" 10 ipsec-isakmp
Peer = 10.1.1.1
Extended IP access list 101
access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

Current peer: 10.1.1.1

Security association lifetime: 4608000 kilobytes/900 seconds
PFS (Y/N): Y
DH group: group5
Transform sets={
50: { esp-256-aes esp-sha-hmac } ,
}
Interfaces using crypto map MYMAP: Serial0/0/1

Note: La sortie de ces commandes show ne change pas si le trafic intêressant

passe par la connexion VPN.

Tâche 3: Vérification du fonctionnement du VPN IPSec

Etape 1: Affichage des associations de sécurité ISAKMP.

La commande show cryoto isakmp sa révèle qu'il n'y a pas encore de SA IKE.
Quand du trafic intêressant est transmis, la sortie de cette commande change.

R1#show crypto isakmp sa

dst src state conn-id slot status

Etape 2: Affichage des associations de sécurité IPSec

a. La commande show crypto ipsec sa affiche les SA entre R1 et R3. Notez le

nombre de paquets transmis et qu'il n'y a pas d'association de sécurité établie.

R1#show crypto ipsec sa

interface: Serial0/0/0
Crypto map tag: CMAP, local addr 10.1.1.1
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
current_peer 10.2.2.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 10.1.1.1, remote crypto endpt.: 10.2.2.1

path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0
current outbound spi: 0x0(0)
inbound esp sas:
inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:

15
 b. Pourquoi n'y a-t-il pas d'association (SA) de sécurité négociée?
_________________________________________________________________________
_________________________________________________________________________

Etape 3: Génération de trafic de test intérêssant et observation des résultats

a. Faire une commande ping depuis R1 vers l'adresse IP 10.2.2.1 de l'interface

S0/0/1 de R3. Est-ce que la commande ping réussit? ______________________

b. Entrez la commande show crypto isakmp sa. Est-ce qu'une SA a été créée
entre R1 et R3?_____________

c. Faire une commande ping de R1 vers l'adresse IP 192.168.3.1 de R3. Est-ce que
la commande ping réussit?____________________________________________________

d. Entrez de nouveau la commande show crypto ipsec sa. Est-ce qu'une

association de sécurité a été créée? Pourquoi? ________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________

e. Entrez la commande debug eigrp packets. Vous devez voir des paquets hello
EIGRP passant entre R1 et R3.

R1#debug eigrp packets

EIGRP Packets debugging is on
(UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROBE, ACK, STUB,
SIAQUERY, SIAREPLY)
R1#
*Jan 29 16:05:41.243: EIGRP: Received HELLO on Serial0/0/0 nbr 10.1.1.2
*Jan 29 16:05:41.243: AS 101, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ
un/rely 0/0 peerQ un/rely 0/0
*Jan 29 16:05:41.887: EIGRP: Sending HELLO on Serial0/0/0
*Jan 29 16:05:41.887: AS 101, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ
un/rely 0/0
R1#
*Jan 29 16:05:43.143: EIGRP: Sending HELLO on FastEthernet0/1
*Jan 29 16:05:43.143: AS 101, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ
un/rely 0/0
R1#

f. Arrêtez le debugging avec la commande no debug all.

g. Utilisez la commande show crypto isakmp sa. Est-ce qu'une SA a été créée
entre R1 et R3? Pourquoi?__________________________________________________
____________________________________________________________________________

Etape 4: Générez du trafic de test intêressant et observez les résultats

a. Utilisez une commande ping étendue depuis R1 vers l'adresse IP 192.168.3.1

de R3.La commande ping étendue vous permet de contrôler l'adresse source
des paquets. Répondez aux questions comme le montre l'exemple suivant.
Pressez la touche enter pour accepter les valeurs par défaut, sauf celles pour
lesquelles une réponse est indiquée.

16
 R1#ping
Protocol [ip]:
Target IP address: 192.168.3.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.1.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 92/92/92
ms

b. Entrez de nouveau la commande show crypto isakmp sa de nouveau.

R1#show crypto isakmp sa

IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
10.2.2.1 10.1.1.1 QM_IDLE 1001 0 ACTIVE

c. Pourquoi une SA a-t-elle été créée entre R1 et R3 cette fois-ci?_________________

______________________________________________________________________________

d. Quels sont les extrémités du tunnel VPN IPSec?_______________________________

e. Faire une commande ping depuis PC-A vers PC-C. Est-ce que la commande
réussit?__________________________________________________________________

f. Entrez la commande show cryopto ipsec sa. Combien de paquets ont été
cryptés entree R1 et R3?___________________________________________________

R1#show crypto ipsec sa

interface: Serial0/0/0
Crypto map tag: CMAP, local addr 10.1.1.1
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
current_peer 10.2.2.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
#pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 10.1.1.1, remote crypto endpt.: 10.2.2.1

path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0
current outbound spi: 0xC1DD058(203280472)

17
 local crypto endpt.: 10.1.1.1, remote crypto endpt.: 10.2.2.1
path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0
current outbound spi: 0xC1DD058(203280472)

inbound esp sas:

spi: 0xDF57120F(3747025423)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2005, flow_id: FPGA:5, crypto map: CMAP
sa timing: remaining key lifetime (k/sec): (4485195/877)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:

spi: 0xC1DD058(203280472)
transform: esp-256-aes
aes esp
esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2006, flow_id: FPGA:6, crypto map: CMAP
sa timing: remaining key lifetime (k/sec): (4485195/877)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE

outbound ah sas:

outbound pcp sas:

g. L'exemple précédent utilisait la commande ping pour générer du trafic intêres-

sant. Quel autre type de trafic aurait entrainé la formation de SA IPSec et
l'établissement du tunnel?___________________________________________________
______________________________________________________________________________

Partie 3: Configuration d'un VPN IP ec site à site avec SDM

Dans la partie 3 de ce lab, vous nfigurez un tunnel VPN IPSec entre R1 et R3

qui passe par R2. Dans la tâche , vous configurez R1 en utilisant Cisco SDM.
Dans la tâche 3, vous générez la nfiguration mirroir pour R3 en utilisant les
utilitaires du SDM. Vous revoy uis vous testez la configuration.

Restauration de la configuratio de base de R1 et R3

Etape 1: Restauration de la configuration e démarrage

copy tftp
démarrage avec les fichiers sau rdés sur le serveur TFTP. Cette restauration

18