I.    Partie I : Introduction          Partie II : Architecture du réseau          Partie III : Configurations de base    ...
I.     IntroductionNous avons deux types de VPN IPSEC: LAN-to-Lan (site-to-site ou de site à site) VPN crypté etVPN daccès...
III.   Configurations de baseNous commencerons par configurer notre PC et notre serveur en leur attribuant la bonneconfigu...
Nous configurons ensuite les adresses IP des deux interfaces :R2(config)#interface FastEthernet 0/1R2(config-if)#ip addres...
IV.      Configuration du VPNIl faut savoir que le VPN se configure juste sur les Routeurs d’extrémités dans notre cas R1 ...
Etape 4 :Configuration des options de transformations des données :R1(config)#crypto ipsec transform-set 50 esp-3des esp-m...
 Configuration VPN sur R3On refait la même configuration que sur R1 :Etape 1:R3(config)#crypto isakmp enableEtape 2:R3(co...
 VérificationsOn réalise un ping pour voir si la communication n’est pas coupée :Sur les machines :VBOX1VBOX2Dimitri LEMB...
Vérification des informations retournées par le VPN sur R1 et R3 :Vérification de la map :Comme rappel j’ai nommé ma map "...
On vérifie les opérations d’IPsec :Sur le routeur R1Dimitri LEMBOKOLO                     10
Sur le routeur R3Pour finir on vérifie les opérations d’Isakmp :Sur le routeur R1 :Sur le routeur R3 :Dimitri LEMBOKOLO   ...
ConclusionQue ce soit une IPSec ou VPN SSL, le bon choix dépend en définitive de la mesure de votreentreprise sécurisés be...
Prochain SlideShare
Chargement dans…5
×

Tuto VP IPSEC Site-to-site

11 970 vues

Publié le

Sécurité réseau avec les routeurs Cisco

Publié dans : Technologie
6 commentaires
3 j’aime
Statistiques
Remarques
Aucun téléchargement
Vues
Nombre de vues
11 970
Sur SlideShare
0
Issues des intégrations
0
Intégrations
188
Actions
Partages
0
Téléchargements
630
Commentaires
6
J’aime
3
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Tuto VP IPSEC Site-to-site

  1. 1. I. Partie I : Introduction Partie II : Architecture du réseau Partie III : Configurations de base  Routeur R1  Routeur R2  Routeur R3 Partie IV : Configuration du VPN  Configuration du VPN sur le R1  Configuration du VPN sur R3  Vérifications ConclusionDimitri LEMBOKOLO 1
  2. 2. I. IntroductionNous avons deux types de VPN IPSEC: LAN-to-Lan (site-to-site ou de site à site) VPN crypté etVPN daccès distant (Remote Access). La première est largement utilisée pour connecter en toutesécurité des réseaux de bureaux distants et le second pour permettre aux utilisateurs distants ou lestélétravailleurs daccéder aux ressources sur un réseau site central. Dans ce post nous allons décrirebrièvement un LAN-to-Lan VPN IPSEC et de fournir un exemple de configuration complète avecdeux routeurs Cisco IOS utilisant IPSEC.Avec VPN IPSEC, les entreprises peuvent relier des bureaux distants LAN sur Internet avec lecryptage fort et de la sécurité offerte par le protocole IPSEC. IPSEC est une norme de sécurité IETF.Il sagit essentiellement dun costume de plusieurs protocoles qui offrent une communicationsécurisée sur des chemins peu sûrs. Il est donc idéal pour connecter des réseaux LAN en toutesécurité à distance sur Internet dinsécurité. Nous pourrions utiliser un réseau privé WAN avec FrameRelay ou les connexions MPLS, ce qui serait cependant ramener le coût très élevé. Au lieu de cela,avec IPSEC VPN, nous pouvons utiliser la connectivité Internet pas cher (ce qui sera garanti parIPSEC) pour la communication entre nos sites distants. II. Architecture du réseauVoici notre réseau :Dimitri LEMBOKOLO 2
  3. 3. III. Configurations de baseNous commencerons par configurer notre PC et notre serveur en leur attribuant la bonneconfiguration réseau. Nous attaquerons ensuite la configuration du routeur R1 :  Routeur R1On commence par :R1>enableR1#configure terminalNous configurons ensuite les adresses IP des deux interfaces :R1(config)#interface FastEthernet 0/1R1(config-if)#ip address 192.168.2.254 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exitR1(config)#interface FastEthernet 0/0R1(config-if)#ip address 10.1.1.1 255.255.255.252R1(config-if)#no shutdownR1(config-if)#exitLes interfaces configurées, il ne reste plus qu’à configurer le routage. Par choix personnel j’utilise leroutage RIP, ce qui ne vous empêche pas de faire un routage OSPF ou routage statique si vouspréférez, ou ne pas faire de routage du tout et voir si le VPN fonction, teste que j’ai déjà fait et quimarche sans problème.R1(config)#router ripR1(config-router)#version 2R1(config-router)#no auto-summaryR1(config-router)#network 192.168.2.0R1(config-router)#network 10.1.1.0R1(config-router)#exitLa configuration de base de notre routeur R1 est terminée.  Routeur R2Même procédure pour notre routeur R2 :R2>enableR2#configure terminalDimitri LEMBOKOLO 3
  4. 4. Nous configurons ensuite les adresses IP des deux interfaces :R2(config)#interface FastEthernet 0/1R2(config-if)#ip address 10.2.2.2 255.255.255.252R2(config-if)#no shutdownR2(config-if)#exitR2(config)#interface FastEthernet 0/0R2(config-if)#ip address 10.1.1.2 255.255.255.252R2(config-if)#no shutdownR2(config-if)#exitLes interfaces configurées, il ne reste plus qu’à configurer le routage.R2(config)#router ripR2(config-router)#version 2R2(config-router)#no auto-summaryR2(config-router)#network 10.2.2.0R2(config-router)#network 10.1.1.0R2(config-router)#exitLa configuration de base de notre routeur R2 est terminée.  Routeur R3Même procédure pour notre routeur R3 :Nous configurons ensuite les adresses IP des deux interfaces :R3(config)#interface FastEthernet 0/1R3(config-if)#ip address 192.168.3.254 255.255.255.0R3(config-if)#no shutdownR3(config-if)#exitR3(config)#interface FastEthernet 0/0R3(config-if)#ip address 10.2.2.1 255.255.255.252R3(config-if)#no shutdownR3(config-if)#exitLes interfaces configurées, il ne reste plus qu’à configurer le routage.R3(config)#router ripR3(config-router)#version 2R3(config-router)#no auto-summaryR3(config-router)#network 10.2.2.0R3(config-router)#network 192.168.3.0R3(config-router)#exitLa configuration de base de notre routeur R3 est terminée.Dimitri LEMBOKOLO 4
  5. 5. IV. Configuration du VPNIl faut savoir que le VPN se configure juste sur les Routeurs d’extrémités dans notre cas R1 et R3 onn’aura aucune modification à faire sur R2.  Configuration VPN sur R1Etape 1 :Commençons par notre routeur R1, vous devez vérifier que l’IOS de vos routeurs supporte le VPN.On active ensuite les fonctions crypto du routeur :R1(config)#crypto isakmp enableCette fonction est activée par défaut sur les IOS avec les options cryptographiques.Etape 2 :Configuration la police qui détermine quelle encryptions on utilise, quelle Hash quelle typed’authentification, etc.R1(config)#crypto isakmp policy 10R1(config-isakmp)#authentication pre-shareR1(config-isakmp)#encryption 3desR1(config-isakmp)#hash md5R1(config-isakmp)#group 5R1(config-isakmp)#lifetime 3600R1(config-isakmp)#exitgroup 5 : Spécifie l’iden!fiant Diffie-Hellman lifetime : Spécifie le temps de validité de la connexionavant une nouvelle négociation des clefs.Etape 3 :On crée ensuite la clé pré-partagée, ici « testkey1234 » qu’on associe avec l’adresse de l’autre bout dutunnel donc 10.2.2.1:R1(config)#crypto isakmp key mot_de_passe address 10.2.2.1Sur certains routeur avec certains IOS la commande ne fonctionne pas car le routeur demande si lemot de passe doit être chiffré ou pas, tapez cette commande :R1(config)#crypto isakmp key 6 mot_de_passe address 10.2.2.1Exemple :R1(config)#crypto isakmp key 6 testkey1234 10.2.2.1Dimitri LEMBOKOLO 5
  6. 6. Etape 4 :Configuration des options de transformations des données :R1(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmacesp : Signifie Encapsulation Security ProtocolN’oubliez pas d’utiliser les mêmes protocoles d’encryptions et de Hash utilisés dans la premièreétape.Dans notre cas :Encryption : 3des, hash : md5On fixe ensuite une valeur de Lifetime :R1(config)#crypto ipsec security-association lifetime seconds 1800Etape 5 :L’étape 5 consiste à créer une ACL qui va déterminer le trafic autorisé.R1(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255Etape 6 :Cette étape est la dernière, nous configurons la crypto map qui va associer l’access-list, le traffic, etla destination :R1(config)#crypto map nom_de_map 10 ipsec-isakmpEx.:R1(config)#crypto map espmap 10 ipsec-isakmpR1(config-crypto-map)#set peer 10.2.2.1R1(config-crypto-map)#set transform-set 50R1(config-crypto-map)#set security-association lifetime seconds 900R1(config-crypto-map)#match address 101R1(config-crypto-map)#exitLa configuration de R1 est presque terminée nous devons appliquer la crypto map sur l’interface desorte :Dans notre cas FastEthernet 0/0.R1(config)#interface FastEthernet 0/0R1(config-if)#crypto map nom_de_mapEx.:R1(config)crypto map espmap*Mar 2 06:16:26.401: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ONUn message vous indique que la crypto map fonctionne. BravoDimitri LEMBOKOLO 6
  7. 7.  Configuration VPN sur R3On refait la même configuration que sur R1 :Etape 1:R3(config)#crypto isakmp enableEtape 2:R3(config)#crypto isakmp policy 10R3(config-isakmp)#authentication pre-shareR3(config-isakmp)#encryption 3desR3(config-isakmp)#hash md5R3(config-isakmp)#group 5R3(config-isakmp)#lifetime 3600R3(config-isakmp)#exitEtape 3:R3(config)#crypto isakmp key mot_de_passe address 10.1.1.1OuR3(config)#crypto isakmp key 6 mot_de_passe address 10.1.1.1Etape 4 :R3(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmacR3(config)#crypto ipsec security-association lifetime seconds 1800Etape 5 :R3(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255Etape 6 :R3(config)#crypto map nom_de_map 10 ipsec-isakmpR3(config-crypto-map)#set peer 10.1.1.1R3(config-crypto-map)#set transform-set 50R3(config-crypto-map)#set security-association lifetime seconds 900R3(config-crypto-map)#match address 101R3(config-crypto-map)#exitR3(config)#interface FastEthernet 0/0R3(config-if)#crypto map nom_de_map* Mar 2 06:17:30.401: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ONDimitri LEMBOKOLO 7
  8. 8.  VérificationsOn réalise un ping pour voir si la communication n’est pas coupée :Sur les machines :VBOX1VBOX2Dimitri LEMBOKOLO 8
  9. 9. Vérification des informations retournées par le VPN sur R1 et R3 :Vérification de la map :Comme rappel j’ai nommé ma map "espmap".Sur le routeur R1Sur le routeur R3Dimitri LEMBOKOLO 9
  10. 10. On vérifie les opérations d’IPsec :Sur le routeur R1Dimitri LEMBOKOLO 10
  11. 11. Sur le routeur R3Pour finir on vérifie les opérations d’Isakmp :Sur le routeur R1 :Sur le routeur R3 :Dimitri LEMBOKOLO 11
  12. 12. ConclusionQue ce soit une IPSec ou VPN SSL, le bon choix dépend en définitive de la mesure de votreentreprise sécurisés besoins daccès distant:VPN IPSec est conçue pour le site à site VPN ou daccès à distance à partir dun petit nombre fini debien-contrôlées actifs de lentreprise. Si ce sont les besoins primaires de votre entreprise, IPSeceffectue ces fonctions tout à fait bien.Pour les configurations de VPN IPSEC R.A (Remote Access) To be continued…Dimitri LEMBOKOLO 12

×