Prof: ZMAMITA Hichamnonc de lActivit: Le responsable du complexe de formation professionnel El-Jadida dsire connecter les 4 instituts de la ville en utilisant la connexion VPN avec IPSEC.Pour prsenter la solution au responsable, vous devez crer une maquette avec packet tracer qui relie 2 instituts site1 et site 2

Travail demand:Raliser la maquette en respectant les paramtres suivants

Encryptage AES Authentification par cl prpartag Alogithme de hachage SHA Mthodes de distribution des cls prpartages en DH2 (algorithme de cls asymtrique DH 1024bit) Dure de vie de 86400 soit 24HLe but final est donc de faire communiquer lesite 1 et le site 2 uniquement travers le tunnel.

Plan dadressage rseau :PriphriqueInterfaceAdressage IPMasque de sous rseau

Site1 ISTA CITE DE LAIRFa 0/0192.168.0.1255.255.255.0

So 0/3/080.1.0.2255.255.255.252

INTERNETSo 0/3/080.1.0.1255.255.255.252

So 0/3/180.2.0.1255.255.255.252

Site 2 ISTA EL MASSIRAFa 0/0172.16.0.1255.255.255.0

So 0/3/180.2.0.2255.255.255.252

1) Configuration de base routeur SITE1 :Cette partie traite des configurations rseaux des 3 routeurs CISCO, savoir SITE1, INTERNET et SITE2.Les interfaces NAT ont t dfinies selon les flux entrants et sortants. De plus, une rgle de routage par dfaut est mise en place afin de router le trafic vers linterface 80.1.0.1 de WAN.Maintenant, nous allons mettre en place les ACLs pour sassurer que le traffic ne passe pas par le routage classique mais bien par le tunnel ipsec site to site.On exclut donc la source du LAN du site 1 accder au LAN du site 2 :2) Configuration de base routeur INTERNET :

3) Configuration de base routeur Site2 :

Les interfaces NAT ont t dfinies selon les flux entrants et sortants. De plus, une rgle de routage par dfaut est mise en place afin de router le trafic vers linterface 80.2.0.1 de WAN.A prsent, nous allons mettre en place les ACLs pour sassurer que le traffic ne passe pas par le routage classique mais bien par le tunnel ipsec site to site.On exclut donc la source du LAN du site 2 accder au LAN du site 1 :

4) Configuration du VPN : 4.1) Activation de ISAKMPLactivation dISAKMP (Internet Security Association and Key Management Protocol) est obligatoire puisque ce protocole est utilis par le module IKE (Internet Key Exchange) lors de la scurisation du trafic IP via IPSec.

4.2) Stratgie VPN :Aprs avoir activ ISAKMP, il est ncessaire de configurer une stratgie VPN sur les routeurs SITE1 et SITE2, celle-ci permet de dfinir, le numro de squence, le type dencryptage , lalgorithme de hachage ou encore la dure de vie. Les commandes ci-dessous ont t excutes sur le routeur SITE1 & SITE2.Une fois la stratgie dit, il faut spcifier le type didentification des routeurs, soit par IP soit par le nom.

Puis lon cr une cl partag Ciscolab et on lassocie linterface de site2 savoir 80.2.0.2, donc linterface du bout du tunnel VPN.

Dsormais nous il faut passer la dfinition des options pour le cryptage des donnes.

A noter que Esp-aes est la mthode de cryptage, esp-sha-hmac est la mthode dauthentification. On dfinit ensuite la dure de vie de la cl de cryptageEnfin, il faut crer une ACL de type tendu qui autorisauniquement le trafic provenant duLAN du site 1 communique avec le site 2 et donc ce sera le traffic provenant de 192.168.0.0/24 SITE1 LAN destination de 172.16.0.0/24 SITE2 LAN.A prsent il faut crer une cyrpto map, on entend par crypto map un paramtre qui va faire le lien entre les diffrents paramtres dits prcdemment. Nous allonslactiver pour le trafic correspondant laccess-list VPN cr prcdemment. Nous allons spcifier ladresse de destination savoir celle externe du site2 et le type de cryptage.