Scribd
Importer
36 vues4 pages

Config IPsec

Le document décrit les étapes pour configurer un VPN site-à-site sur un routeur Cisco 1900, incluant l'activation du package de sécurité, la sauvegarde de la configuration, et la définition d'une ACL pour le filtrage du trafic. Il détaille également la configuration des phases ISAKMP et IPSec, en précisant les politiques de chiffrement, d'authentification et d'échange de clés. Enfin, il explique comment appliquer la configuration sur l'interface série pour assurer la sécurité du trafic chiffré.

Transféré par

miravicdenakpo
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd
36 vues4 pages

Config IPsec

Le document décrit les étapes pour configurer un VPN site-à-site sur un routeur Cisco 1900, incluant l'activation du package de sécurité, la sauvegarde de la configuration, et la définition d'une ACL pour le filtrage du trafic. Il détaille également la configuration des phases ISAKMP et IPSec, en précisant les politiques de chiffrement, d'authentification et d'échange de clés. Enfin, il explique comment appliquer la configuration sur l'interface série pour assurer la sécurité du trafic chiffré.

Transféré par

miravicdenakpo
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd

1.

Activation du package de sécurité

R1(config)# license boot module c1900 technology-package securityk9

Cette commande active, au démarrage, le **technology-package** « securityk9 » sur un routeur de


la série Cisco 1900.

Pourquoi ? Sans ce package, les fonctions de VPN, de pare-feu (ACL avancées) et d’inspection ne
sont pas disponibles.

Effet: au prochain redémarrage, le routeur chargera les fonctionnalités de sécurité avancée.

2. Sauvegarde et redémarrage

R1# write memory

Sauvegarde la configuration **en cours d’exécution** (running-config) dans la mémoire de


démarrage (startup-config).

Pourquoi ? Pour qu’après un redémarrage, vos modifications ne soient pas perdues.

R1# reload

Redémarre le routeur.

Pourquoi ? Pour que la licence de sécurité (et d’autres changements) prennent effet dès le boot.

3. Définition d’une liste de contrôle d’accès (ACL)

R1(config)# access-list 110 permit ip ...

Crée ou modifie l’ACL numéro **110**, en autorisant (`permit`) le trafic IP qui correspond aux
critères spécifiés.

Pourquoi ?Cette ACL servira à filtrer le trafic à chiffrer dans le VPN.

Effet: seuls les paquets IP correspondant aux adresses et masques (ou ports) que vous aurez mis en
`...` seront autorisés par l’ACL 110.

Configuration ISAKMP (Phase 1)

ISAKMP (ou IKE Phase 1) est la phase où les routeurs se reconnaissent, s’authentifient et établissent
un canal sécurisé pour négocier le VPN.
R1(config)# crypto isakmp policy 10

Crée une politique IKE et lui donne la **priorité 10** (plus le numéro est bas, plus la priorité est
haute).

R1(config-isakmp)# encryption aes 256

Spécifie l’algorithme de chiffrement AES avec une clé 256 bits pour protéger la Phase 1.

R1(config-isakmp)# authentication pre-share

Indique que l’authentification se fera par **clé pré-partagée** (PSK).

R1(config-isakmp)# group 5

Choisit le groupe Diffie-Hellman n° 5 (modp1536) pour l’échange de clés Diffie-Hellman.

R1(config-isakmp)# exit

Remonte d’un niveau dans la configuration (sort de la section `crypto isakmp policy`).

R1(config)# crypto isakmp key [password] address 10.2.2.2

Définit la **clé pré-partagée** `[password]` à utiliser avec le peer dont l’adresse est **10.2.2.2**.

Pourquoi ? Pour que R1 et le routeur distant (10.2.2.2) puissent s’authentifier mutuellement.

Configuration IPSec (Phase 2)

Phase 2 (IPSec) chiffre effectivement le trafic transitant entre les deux routeurs.

R1(config)# crypto ipsec transform-set MY-SET esp-aes esp-sha-hmac

Crée un **transform-set** nommé **MY-SET**, qui combine :

* **esp-aes** : chiffrement AES

* **esp-sha-hmac** : authentification et intégrité via HMAC-SHA


R1(config)# crypto map VPN-MAP 10 ipsec-isakmp

Crée une **crypto map** baptisée **VPN-MAP**, entrée **10**, et lui lie IKE (isakmp) pour la
Phase 1 et IPSec pour la Phase 2.

Dans le contexte crypto map

description VPN connection to R3

Donne un commentaire pour savoir à quoi sert cette entrée (ici, le VPN vers R3).

set peer 10.2.2.2

Indique l’adresse IP du **peer** (l’autre extrémité du VPN).

set transform-set VPN-SET

Lie le transform-set (ici **VPN-SET**, qui devrait être le même que MY-SET) à cette entrée.

match address 110

Applique cette entrée de crypto map **uniquement** au trafic correspondant à l’ACL **110**.

exit

Sort du mode de configuration de l’entrée crypto map.

Application sur l’interface de sortie

R1(config)# interface s0/0/0

Sélectionne l’interface série (où passe le lien VPN).

R1(config-if)# crypto map VPN-MAP

Applique la **crypto map VPN-MAP** à l’interface.

Effet : tout paquet sortant sur `s0/0/0` qui correspond à l’ACL 110 sera chiffré via IPSec, en
utilisant les paramètres négociés en Phase 1 et Phase 2.
Résumé du flux :

1. On active la licence de sécurité.

2. On sauvegarde et redémarre pour la prendre en compte.

3. On crée une ACL pour sélectionner le trafic à chiffrer.

4. Phase 1 (ISAKMP/IKE): on définit une politique de chiffrement, d’authentification et d’échange de


clés, puis on partage la PSK.

5. Phase 2 (IPSec) : on définit le transform-set (algorithmes de chiffrement et d’intégrité), on


construit la crypto map (peer, transform-set, ACL), puis on l’applique sur l’interface série.

Ainsi, votre VPN site-à-site sera totalement opérationnel et sécurisé.

Vous aimerez peut-être aussi