PPE 3 · 4.2.3 Mise en place du SSH : ... traduit Réseau Privé Virtuel en français. Le principe...
-
Upload
nguyenngoc -
Category
Documents
-
view
212 -
download
0
Transcript of PPE 3 · 4.2.3 Mise en place du SSH : ... traduit Réseau Privé Virtuel en français. Le principe...
PPE 3.3
Sommaire 1. Cahier de charge : ................................................................................................................................ 2
2. Solutions : ............................................................................................................................................ 2
2.1 Présentation et comparaison des solutions : .................................................................................... 2
2.1.1 Tunnel : VPN ................................................................................................................................... 2
2.1.1.1 Protocoles de tunneling : .......................................................................................................... 3
2.1.2 Accès internet : NAT ....................................................................................................................... 5
2.1.2.1 NAT Statique : .............................................................................................................................. 6
2.1.2.2 NAT Dynamique : ......................................................................................................................... 6
2.1.2.2 PAT :............................................................................................................................................. 7
2.1.3 Accès à distance : SSH .................................................................................................................... 8
3.2 Choix des solutions retenues : .......................................................................................................... 8
3.2.1 Tunnel : ........................................................................................................................................... 8
3.2.2 Accès Internet :........................................................................................................................ 8
4. Projet : ................................................................................................................................................. 9
4 .1 Objectif et but du Projet : ................................................................................................................. 9
4 .2 Installation des solutions retenues : ................................................................................................ 9
4.2.1 Mise en place du VPN : ................................................................................................................... 9
4.2.2 Installation du NAT : ..................................................................................................................... 10
4.2.3 Mise en place du SSH : ................................................................................................................. 12
4.3 Conclusion : ..................................................................................................................................... 13
5. Annexes : ........................................................................................................................................... 13
5.1 Vérification des configurations : ..................................................................................................... 13
1. Cahier de charge : Solution permettant l’administration à distance sécurisées et la sécurisation des interconnexions :
- La sécurité du système d’information devra être renforcée entre les différents sites
- Sécurisation des interconnexions entre le site du stade et les sites distants Billetterie et le
Magasin.
- La solution retenue devra être administrable à distance via un accès sécurisé par SSH
2. Solutions :
2.1 Présentation et comparaison des solutions :
2.1.1 Tunnel : VPN Définition :
VPN signifie Vitual Private Network, traduit Réseau Privé Virtuel en français. Le principe du
VPN est de créer un tunnel reliant 2 sites distancé en utilisant des routeurs pour se créer un
chemin jusqu’au 2° site. Il permet de faire transiter des informations de manière sécurisée.
On peut considérer qu'une connexion VPN revient à se connecter au réseau d’un entreprise
mais en passant par un accès internet extérieur. La technologie VPN est constitué de
protocoles qui eux même ont des protocoles.
Les principaux avantages d'un VPN :
- Sécurité : assure des communications sécurisées et chiffrées.
- Simplicité : utilise les circuits de télécommunication classiques.
- Economie : utilise Internet en tant que média principal de transport, ce qui évite les
coûts liés à une ligne dédiée.
Les VPNs fournissent trois fonctions essentielles :
- Confidentialité (cryptage) : L'émetteur peut crypter les paquets avant de les transmettre dans
le réseau. Par ce moyen, si la communication est interceptée les données ne pourront pas être
lues.
- Intégrité des données : Le récepteur peut vérifier si les données n'ont pas été altérées lors de
leur passage dans le réseau.
- Authentification : Le récepteur peut authentifier la source du paquet, garantissant et
certifiant la source de l'information.
2.1.1.1 Protocoles de tunneling :
Il existe plusieurs protocoles VPN fonctionnant sur différentes couches réseau, voici les
protocoles que nous pouvons mettre en place sur un serveur dédié ou chez soi :
1) PPTP (Point to point tunneling protocol) : PPTP est un protocole réseau de niveau 2
qui permet de transférer des données de manière sécurisés d'un client distant vers un
serveur privé. Le protocole PPTP a été développé par un consortium fondé par
Microsoft, qui avait pour objectif de créer un VPN sur les réseaux communautaires.
Avantages :
- Le protocole est compatible avec la plupart des OS donc son utilisation ne nécessite
pas l’installation d’une application spécifique.
- Le protocole PPTP est très simple à utiliser et à mettre en place.
- Le protocole PPTP est un système rapide.
Inconvénients :
- Le protocole PPTP est mal sécurisé.
- Le protocole PPTP a certainement déjà été craqué par la NSA.
2) IPSEC (Internet Protocol Security) : IPSEC est un protocole de niveau 3 développé
à partir de 1992 par l'IETF (Internet Engineering Task Force) dans le but de sécuriser
le protocole IP. Il fait l'objet de plusieurs RFC dont la 2401 et a été conçu à l'origine
pour les adresses IPv6. C’est en 1995 qu’IPSEC fut normalisé pour les adresses IPv4
et offre tous les services de sécurité qui manquait au VPN.
IPSEC comporte 3 sous-protocoles qui lui permettent d’être autant sécurisé :
- AH (Authentication Header) : Il définit les fonctionnalités d’authentification, de
contrôle d’intégrité et joue le rôle d’anti-rejeu en utilisant un code d'authentification de
message. - ESP (Encapsulating Security Payload) : Il assure les mêmes fonctionnalités que le
protocole AH mais ajoute le cryptage des données. - IKE (Internet Key Exchange) : Il choisit les méthodes d’échange de clés entre les
hôtes.
Avantages :
IPSEC est un protocole de sécurité de niveau 3 donc plus sécurisé que les protocoles
de niveau 2.
Il permet de crée un VPN et de Crypter les données qui y transite.
IPSEC peut également être utilisé comme sous protocole et couplé à un autre
protocole de tunneling.
Inconvénients :
Les traitements réalisés au niveau des paquets IP peuvent faire des conflits avec les
fonctions de translations d'adresses IP (NAT), ou d'adressage dynamique.
Les performances d'IPSEC sont gravement ralenties au moment du calcul des clés par
IKE.
IPSEC est sans doute le protocole le plus compliqué à mettre en place.
3) OpenVPN :
OpenVPN est un protocole Open source qui a été développé par James Yonan en mai
2001. Ce protocole est basé sur une authentification s’aidant d’un clé privée partagée à
l’avance, des certificats éléctroniques ou des identifiants utilisateurs. Il utilise la
technologie OpenSSL et SSLv3/TLSv1 pour proposer une solution VPN parfaitement
sécurisée et très fiable. Pour pouvoir utilisé OpenVPN il faut installer le client sur
chaque poste et copier la configuration de l’utilisateur dans le dossier racine créé suite
à l’installation du logiciel client.
Avantages :
- Comme c’est un OpenSource il est totalement modelable et configurable.
- Il est très sécurisé.
- Il permet de contourner les pare-feu.
- Il est compatible avec énormément d’algorithme de chiffrement.
Inconvénients :
- L’utilisation d’un logiciel client est obligatoire.
- Il est très complexe à mettre en place.
4) OpenVPN
Le protocole L2TP est un protocole de niveau 2 qui ne chiffre pas les informations qu’il fait
transiter, c’est donc pour cette raison qu’il est généralement utilisé avec le cryptage IPsec.
L’association de L2TP et IPsec est intégré à tous OS modernes et à tous les appareils qui sont
capables d’utiliser un VPN. Le protocole L2TP/IPsec est donc aussi simple à utiliser que le
protocole PPTP, puisqu’il utilise généralement le même client. Par contre, il utilise le port
UDP 500 qui peut être bloqué par les pare-feu, ce qui peut nécessiter une configuration
spécifique.
Avantages :
Il faut préciser que le protocole L2TP est un peu plus lent que les solutions basées sur SSL
comme OpenVPN et SSTP.
- Le protocole L2TP offre une bonne protection.
- Le protocole L2TP est totalement intégré dans les principaux OS.
- Le protocole L2TP permet de contourner la majorité des pare-feu.
Inconvénients :
- Le L2TP est encore une propriété de Microsoft, il n’est donc pas possible de vérifier
l’absence de portes dérobées dans le code.
2.1.2 Accès internet : NAT
La fonction NAT permet de traduire une adresse privée interne en une adresse publique pour
le routage sur Internet. Elle remplace l’adresse source IP privée contenue à l’intérieur de
chaque paquet par une adresse IP enregistrée publiquement avant d’envoyer le paquet sur
Internet. Pour limiter les coûts, les petites et moyennes entreprises se connectent à leurs
fournisseurs d’accès via une seul ligne. Le routeur interne configuré pour faire du NAT se
connecte par la suite au fournisseur d’accès. Les entreprises plus grandes, peuvent disposer de
plusieurs connexions, et chaque routeur connecté à une ligne exécute la fonction NAT.
Chaque adresse privée autorisé à avoir un accès internet est traduit lorsqu’une tentative de
tentative de connexion est faite. Ceci permet de camoufler la véritable adresse des hôtes et
serveurs de l’entreprise. La majorité des routeurs dans lesquels la fonction NAT est
configurée, un système de blocage de paquets provenant de l’extérieur est souvent également
implémenté pour éviter les attaques, cependant si ces paquets constituent une réponse à une
demande émise par un hôte interne, le routeur leurs autorise l’accès. Il existe deux types de
NAT, le premier est le NAT statique et le deuxième le NAT dynamique. Cependant une autre
solution a été développé pour lutter contre la pénurie d’adresse IP qui impact de plus en plus
le monde de l’informatique, cette solution est le PAT.
2.1.2.1 NAT Statique :
Le NAT statique consiste à traduire une adresse IP privée en adresse IP publique comme nous
l’avons vu précédemment, cependant cette solution est basée sur une table NAT qu’il faut
constamment mettre à jour car comme son nom l’indique, toutes les traductions d’adresses
sont statiques, c’est-à-dire que tout doit être rentré à la main. Lors de l’arrivée d’un paquet
provenant de l’extérieur, le routeur consulte sa table NAT, identifie à qui appartient l’adresse
IP publique contenu dans le paquet, la traduire et transmettre le paquets au poste concerné.
Avantages :
- Chaque machine a une adresse IP qui lui est dédié
Inconvénients :
- Il faut acheter une adresse IP publique pour chaque poste pouvant accéder à internet
- Empire la pénurie d’adresse IP
- Difficile et long à mettre en place
- Solution très cher
2.1.2.2 NAT Dynamique :
Le NAT dynamique est une solution complètement contraire au NAT statique. Le NAT Dynamique
fonctionne très simplement : Il faut d’abord acheter une plage d’adresse IP publique à notre
fournisseur d’accès, configurer notre routeur en lui indiquant le pool d’adresse qu’il pourra utiliser et
il se chargera d’attribuer une adresse IP publique non-utilisé à chaque poste essayant d’aller sur
internet. Si nous sommes par exemple dans une infrastructure contenant 300 ordinateur qui peuvent
accéder à internet mais que nous avons un plage de 5 adresses IP publique toutes le machines ne
pourront pas aller sur internet en même temps car il n’y aura pas assez d’adresses IP. Cela est dit
“dynamique” car c’est le routeur qui va tout faire de manière automatique.
Avantages :
- Facile à mettre en place
- Coute moins cher que la solution du NAT statique
- Le routeur s’occupe de manière automatique de la réservation et de l’attribution des
adresses IP publique
Inconvénients :
- Il faut acheter une plage d’adresse IP publique
- Tous les ordinateurs ne vont pas avoir une adresse IP directement
- Il n’y a que quelque adresse IP pour plusieurs postes
2.1.2.2 PAT :
Le PAT (Port Address Translation) également appelée surcharge NAT, est une déclinaison du
NAT qui consiste à traduire plusieurs adresse IP privée en une seul adresse IP publique et
crée un port pour chaque poste ayant une adresse IP qui a été traduite. Lorsqu’un hôte source
envoie un message à un hôte de destination, il utilise une combinaison d’adresse IP et de
numéro de port pour suivre chaque conversation individuelle. Dans la fonction PAT, le
routeur traduit la combinaison de l’adresse source locale et du numéro de port en une seule
adresse IP globale.
Le routeur met constamment à jour une table dans laquelle sont stocké toutes les traductions
d’adresse IP privée en IP publique ainsi que leurs ports. Bien que chaque hôte se traduise par
la même adresse IP globale, le numéro de port associé à la conversation est unique.
Comme dans un routeur il existe plus de 64000 ports disponibles, il est quasiment impossible
qu’un routeur vienne à manquer de ports de conversation et d’adresses, alors que cela peut
être fortement possible avec la fonction NAT dynamique.
Avantages :
- Facile à mettre en place
- Solution la moins couteuse de toutes
- Pas besoin d’attribuer une adresse IP à chaque ordinateur qui sort sur internet
- Ralenti la pénurie d’adresse IP publique
Inconvéniant :
- Si l’adresse IP publique sature ou est attaqué plus aucuns ordinateurs ne pourra sortir
- Il faut rajouter un routeur en plus qui va servir de porte de sorti
2.1.3 Accès à distance : SSH
Le Secure Shell, plus connu sous le nom de SSH, fait partit des protocoles de sécurité proposé dans le
monde de l’informatique. Celui-ci permet de crée une liaison à distance d’un poste d’administration à
un matériel de notre réseau qu’il faudra configurer pour que cela fonctionne. Le protocole SSH utilise
le chiffrement par clé (cryptage) qui va permettre une étanchéité sur les données transitées entre
l’ordinateur et le matériel. SSH utilise le port 22 et a été créé en 1995 et a connu deux versions. La
version SSH 1.0 permettait de se connecter à distance sur un ordinateur ou tous autres matériels,
cependant elle contenait des problèmes dans la vérification de l’intégrité des données envoyées et
reçues ce qui créait des failles et augmentait les risques d’infections virales. Puis en 2006 est sorti la
version 2.0 qui corrigeait ces problèmes et apportait des améliorations au niveau sécurité,
cryptographie et un protocol de transfert de fichiers appelé SSH file transfer protocol.
Avantages :
- Le SSH nous permet de prendre la main sur un switch, un routeur ou autres sans devoir se
connecter directement au matériel.
- Les données transitées entre l’ordinateur d’administration et le matériel sont crypté.
3.2 Choix des solutions retenues :
3.2.1 Tunnel :
Nous avons sélectionné IPSec car c’est pour nous un excellent protocole de tunneling et de plus il est
le seul qui crypte les données qui transitent dans le VPN.
3.2.2 Accès Internet :
Pour l’accès internet, la solution retenue est le PAT car c’est la solution la moins couteuse, qui
monopolise le moins d’adresse IP et la sécurisée.
3.2.3 Accès à distance :
Pour l’accès à distance la solution SSH a été sélectionné car c’est une solution qui respecte les critères
de sécurité, il n’est pas très compliquer à mettre en place et c’est la seule qui permet de crypter les
données transité entre l’ordinateur et le matériel.
4. Projet :
4 .1 Objectif et but du Projet :
Pour augmenter la sécurité de nos sites de billetterie et du stade, nous allons devoir mettre en
place les protocoles suivant :
– VPN (Se connecter à un réseau de l’extérieur et sécuriser les interconnexions des sites)
– NAT (Donner un accès à internet aux utilisateurs de notre infrastructure de manière sécurisé)
– SSH (Effectuer des modifications sur nos routeurs ou switch sans se déplacer)
4 .2 Installation des solutions retenues :
4.2.1 Mise en place du VPN : R-stade :
Configurations du routage dynamique inter-site :
R-stade(config)#router eigrp 1 R-stade(config-router)#network 172.20.0.0 0.0.0.255 R-stade(config-router)#network 200.200.200.0 0.0.0.3 R-stade(config-router)#exit Configuration et création du VPN : R-stade(config)#crypto isakmp enable R-stade(config)#crypto isakmp policy 10 R-stade(config-isakmp)#authentication pre-share R-stade(config-isakmp)#encryption 3des R-stade(config-isakmp)#hash md5 R-stade(config-isakmp)#group 5 R-stade(config-isakmp)#lifetime 3600 R-stade(config-isakmp)#exit R-stade(config)#crypto isakmp key iris123 address 200.200.200.6 R-stade(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac R-stade(config)#crypto ipsec security-association lifetime seconds 1800 R-stade(config)#access-list 101 permit ip 172.20.0.0 0.0.0.255 192.168.1.0 0.0.0.255 R-stade(config)#crypto map stade 10 ipsec-isakmp R-stade(config-crypto-map)#set peer 200.200.200.6 R-stade(config-crypto-map)#set transform-set 50 R-stade(config-crypto-map)#set security-association lifetime seconds 900 R-stade(config-crypto-map)#match address 101 R-stade(config-crypto-map)#exit R-stade(config)#interface fastEthernet 0/1 R-stade(config-if)#crypto map stade *Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R-billetterie : Configurations du routage dynamique inter-site :
R-stade(config)#router eigrp 1 R-stade(config-router)#network 192.168.1.0 0.0.0.255 R-stade(config-router)#network 200.200.200.4 0.0.0.3 R-stade(config-router)#exit Configuration et création du VPN : R-billetterie(config)#crypto isakmp enable R-billetterie(config)#crypto isakmp policy 10 R-billetterie(config-isakmp)#authentication pre-share R-billetterie(config-isakmp)#encryption 3des R-billetterie(config-isakmp)#hash md5 R-billetterie(config-isakmp)#group 5 R-billetterie(config-isakmp)#lifetime 3600 R-billetterie(config-isakmp)#exit R-billetterie(config)#crypto isakmp key iris123 address 200.200.200.1 R-billetterie(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac R-billetterie(config)#crypto ipsec security-association lifetime seconds 1800 R-billetterie(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 172.20.0.0. 0.0.0.255 R-billetterie(config)#crypto map billetterie 10 ipsec-isakmp R-billetterie(config-crypto-map)#set peer 200.200.200.1 R-billetterie(config-crypto-map)#set transform-set 50 R-billetterie(config-crypto-map)#set security-association lifetime seconds 900 R-billetterie(config-crypto-map)#match address 101 R-billetterie(config-crypto-map)#exit R-billetterie(config)#interface FastEthernet 0/1 R-billetterie(config-if)#crypto map billetterie *Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
4.2.2 Installation du NAT : R-stade :
Configuration des interfaces :
R-stade(config)#int fa 0/0 R-stade (config-if)#ip nat inside R-stade (config-if)#no shutdown R-stade (config-if)#int fa 0/0.10 R-stade (config-subif)#ip nat inside R-stade (config-subif)#int fa 0/0.20 R-stade (config-subif)#ip nat inside R-stade (config-subif)#int fa 0/0.30 R-stade (config-subif)#ip nat inside R-stade (config-subif)#int fa 0/0.40 R-stade (config-subif)#ip nat inside R-stade (config-subif)#int fa 0/0.50 R-stade (config-subif)#ip nat inside R-stade (config-subif)#int fa 0/0.60
R-stade (config-subif)#ip nat inside R-stade (config-subif)#int fa 0/0.70 R-stade (config-subif)#ip nat inside R-stade (config)#int fa 0/1 R-stade (config-if)#ip address 200.200.200.1 255.255.255.252 R-stade (config-if)# ip nat outside
Création des access-list et identification des adresses sources pouvant passer par le NAT :
R-stade (config)#access-list 10 permit 172.20.0.0 0.0.0.255 R-stade (config)#access-list 20 permit 172.20.1.0 0.0.0.255 R-stade (config)#access-list 30 permit 172.20.3.0 0.0.0.127 R-stade (config)#access-list 40 permit 172.20.3.128 0.0.0.63 R-stade (config)#access-list 50 permit 172.20.3.192 0.0.0.31 R-stade (config)#access-list 60 permit 172.20.2.0 0.0.0.127 R-stade (config)#access-list 70 permit 172.20.2.128 0.0.0.127 R-stade (config)#ip nat inside source list 10 interface fastEthernet 0/1 overload R-stade (config)#ip nat inside source list 20 interface fastEthernet 0/1 overload R-stade (config)#ip nat inside source list 30 interface fastEthernet 0/1 overload R-stade (config)#ip nat inside source list 40 interface fastEthernet 0/1 overload R-stade (config)#ip nat inside source list 50 interface fastEthernet 0/1 overload R-stade (config)#ip nat inside source list 60 interface fastEthernet 0/1 overload R-stade (config)#ip nat inside source list 70 interface fastEthernet 0/1 overload Ajout de la route par défaut :
R-stade (config)#ip route 0.0.0.0 0.0.0.0 200.200.200.2
R-billetterie :
Configuration des interfaces :
R-billetterie(config)#int fa 0/0 R-billetterie(config)#ip address 192.168.1.1 255.255.255.0 R-billetterie (config-if)#ip nat inside R-billetterie(config-if)#no shutdown R-billetterie(config)#int fa 0/1 R-billetterie(config-if)#ip address 200.200.200.6 255.255.255.252 R-billetterie(config-if)#ip nat outside R-billetterie(config-if)#no shutdown
Création des access-list et identification des adresses sources pouvant passer par le NAT :
R-billetterie(config)#access-list 10 permit 192.168.1.0 0.0.0.255 R-billetterie(config)#ip nat inside source list 10 interface fastEthernet 0/1 overload Ajout de la route par défaut :
R-billetterie(config)#ip route 0.0.0.0 0.0.0.0 200.200.200.5
4.2.3 Mise en place du SSH :
Router#config terminal Router(config)#hostname R-stade R-stade(config)#ip domain-name stadiumcompany.com R-stade(config)#username admin privilege 15 password cisco123 R-stade(config)#interface FastEthernet 0/0.11 R-stade(config-if)ip address 172.20.0.1 255.255.255.0 R-stade(config-if)#no shutdown R-stade(config-if)#exit R-stade(config)#interface fastEthernet 0/1 R-stade(config-if)#ip address dhcp R-stade(config-if)#no shutdown R-stade(config)#line vty 0 4 R-stade(config-line)#privilege level 15 R-stade(config-line)#login local R-stade(config-line)#transport input telnet ssh R-stade(config-line)#exit R-stade(config)#crypto key generate rsa How many bits in the modulus [512] 768 Customer
4.3 Conclusion :
Les utilisateurs pourront désormais accéder au site de billetterie via le site du stade et
inversement de manière 100% sécurisé et toutes les données échangées entre les deux sites
seront illisible par un autre ordinateur. Tous les utilisateurs vont pouvoir se connecter et
accéder à internet en toute sécurité et personne ne pourra connaître l'adresse IP privée de la
machine qui est sorti sur internet. Les administrateurs de chaque site pourront se connecter à
distance sur tous les matériels qui composent les deux sites de StadiumCompany.com sans se
déplacer. Notre objectif a donc été atteint.
5. Annexes :
5.1 Vérification des configurations :
Show run :
1) Switch0 :
Switch0>en Switch0#sh run Building configuration... Current configuration : 1043 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname Switch-billetterie ! ! ! ! ! spanning-tree mode pvst ! interface FastEthernet0/1 ! interface FastEthernet0/2 ! interface FastEthernet0/3
! interface FastEthernet0/4 ! interface FastEthernet0/5 ! interface FastEthernet0/6 ! interface FastEthernet0/7 ! interface FastEthernet0/8 ! interface FastEthernet0/9 ! interface FastEthernet0/10 ! interface FastEthernet0/11 ! interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address shutdown ! ! ! ! line con 0 ! line vty 0 4
login line vty 5 15 login ! end
2) Switch1 : Switch1>en Switch1#sh run Building configuration... Current configuration : 2076 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname Switch-stade ! ! ! ! ! spanning-tree mode pvst ! interface FastEthernet0/1 switchport access vlan 10 switchport mode access ! interface FastEthernet0/2 switchport access vlan 10 switchport mode access ! interface FastEthernet0/3 switchport access vlan 10 switchport mode access ! interface FastEthernet0/4 switchport access vlan 10 switchport mode access ! interface FastEthernet0/5 switchport access vlan 10 switchport mode access ! interface FastEthernet0/6 switchport access vlan 20 switchport mode access ! interface FastEthernet0/7 switchport access vlan 20 switchport mode access ! interface FastEthernet0/8 switchport access vlan 20
switchport mode access ! interface FastEthernet0/9 switchport access vlan 30 switchport mode access ! interface FastEthernet0/10 switchport access vlan 30 switchport mode access ! interface FastEthernet0/11 switchport access vlan 40 switchport mode access ! interface FastEthernet0/12 switchport access vlan 40 switchport mode access ! interface FastEthernet0/13 switchport access vlan 50 switchport mode access ! interface FastEthernet0/14 switchport access vlan 50 switchport mode access ! interface FastEthernet0/15 switchport access vlan 60 switchport mode access ! interface FastEthernet0/16 switchport access vlan 60 switchport mode access ! interface FastEthernet0/17 switchport access vlan 70 switchport mode access ! interface FastEthernet0/18 switchport access vlan 70 switchport mode access ! interface FastEthernet0/19 ! interface FastEthernet0/20 switchport mode trunk ! interface FastEthernet0/21 switchport mode trunk ! interface FastEthernet0/22 switchport mode trunk ! interface FastEthernet0/23 switchport mode trunk ! interface FastEthernet0/24
switchport mode trunk ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address shutdown ! ! ! ! line con 0 ! line vty 0 4 login line vty 5 15 login ! ! end
3) Switch2 :
Switch2>en Switch2#sh run Building configuration... Current configuration : 2076 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname Switch-stade2 ! ! ! ! ! spanning-tree mode pvst ! interface FastEthernet0/1 switchport access vlan 10 switchport mode access ! interface FastEthernet0/2 switchport access vlan 10 switchport mode access ! interface FastEthernet0/3 switchport access vlan 10
switchport mode access ! interface FastEthernet0/4 switchport access vlan 10 switchport mode access ! interface FastEthernet0/5 switchport access vlan 10 switchport mode access ! interface FastEthernet0/6 switchport access vlan 20 switchport mode access ! interface FastEthernet0/7 switchport access vlan 20 switchport mode access ! interface FastEthernet0/8 switchport access vlan 20 switchport mode access ! interface FastEthernet0/9 switchport access vlan 30 switchport mode access ! interface FastEthernet0/10 switchport access vlan 30 switchport mode access ! interface FastEthernet0/11 switchport access vlan 40 switchport mode access ! interface FastEthernet0/12 switchport access vlan 40 switchport mode access ! interface FastEthernet0/13 switchport access vlan 50 switchport mode access ! interface FastEthernet0/14 switchport access vlan 50 switchport mode access ! interface FastEthernet0/15 switchport access vlan 60 switchport mode access ! interface FastEthernet0/16 switchport access vlan 60 switchport mode access ! interface FastEthernet0/17 switchport access vlan 70 switchport mode access
! interface FastEthernet0/18 switchport access vlan 70 switchport mode access ! interface FastEthernet0/19 ! interface FastEthernet0/20 switchport mode trunk ! interface FastEthernet0/21 switchport mode trunk ! interface FastEthernet0/22 switchport mode trunk ! interface FastEthernet0/23 switchport mode trunk ! interface FastEthernet0/24 switchport mode trunk ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address shutdown ! ! ! ! line con 0 ! line vty 0 4 login line vty 5 15 login ! ! end
4) R-billetterie :
R-Billeterie#show run Building configuration... Current configuration : 1328 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R-Billeterie ! boot-start-marker boot-end-marker
! logging message-counter syslog ! no aaa new-model ! dot11 syslog ip source-route ! ! ip cef ! ! ! multilink bundle-name authenticated ! ! ! ! ! ! archive log config hidekeys ! ! crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 5 lifetime 3600 crypto isakmp key stadium address 200.200.200.1 ! crypto ipsec security-association lifetime seconds 1800 ! crypto ipsec transform-set 50 esp-3des esp-md5-hmac ! crypto map billeterie 10 ipsec-isakmp set peer 200.200.200.1 set security-association lifetime seconds 900 set transform-set 50 match address 101 ! ! ! ! ! ! interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 200.200.200.6 255.255.255.252 duplex auto speed auto
crypto map billeterie ! router eigrp 1 network 192.168.1.0 network 200.200.200.4 0.0.0.3 auto-summary ! ip forward-protocol nd no ip http server no ip http secure-server ! ! ! access-list 101 permit ip 192.168.1.0 0.0.0.255 172.20.0.0 0.0.0.255 ! ! ! ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 login ! scheduler allocate 20000 1000 end
R-stade : R-stade>en R-stade#sh run Building configuration... Current configuration : 1438 bytes ! version 12.4 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname R-stade ! ! ! ! ! ! ! ! no aaa new-model ip cef ! ! ! !
! ! voice-card 0 ! ! ! ! ! ! ! ! ! ! ! ! ! ! archive log config hidekeys ! ! crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 5 lifetime 3600 crypto isakmp key stadium address 200.200.200.6 ! crypto ipsec security -association lifetime seconds 1800 ! crypto ipsec transform-set 50 esp-3des esp-md5-hmac ! crypto map stade 10 ipsec-isakmp set peer 200.200.200.6 set security-association lifetime seconds 900 set transform-set 50 match address 101! ! interface FastEthernet0/0 no ip address duplex auto speed auto ! interface FastEthernet0/0.10 encapsulation dot1Q 10 ip address 172.20.0.1 255.255.255.0 ! interface FastEthernet0/0.20 encapsulation dot1Q 20 ip address 172.20.1.1 255.255.255.0 ! interface FastEthernet0/0.30 encapsulation dot1Q 30 ip address 172.20.3.1 255.255.255.128
! interface FastEthernet0/0.40 encapsulation dot1Q 40 ip address 172.20.3.129 255.255.255.192 ! interface FastEthernet0/0.50 encapsulation dot1Q 50 ip address 172.20.3.193 255.255.255.240 ! interface FastEthernet0/0.60 encapsulation dot1Q 60 ip address 172.20.2.1 255.255.255.128 ! interface FastEthernet0/0.70 encapsulation dot1Q 70 ip address 172.20.2.129 255.255.255.128 ! interface FastEthernet0/1 ip address 200.200.200.1 255.255.255.252 duplex auto speed auto ! interface Vlan1 no ip address shutdown ! router eigrp 1 network 172.20.0.0 0.0.0.255 network 200.200.200.0 0.0.0.3 ip flow-export version 9 auto-summary ! ! ! ip http server no ip http secure-server ! access-list 101 permit ip 172.20.0.0 0.0.0.255 192.168.1.0 0. 0.0.255 ! ! ! ! control-plane ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 login ! scheduler allocate 20000 1000 end
Show vlan :
1) Switch-billetterie :
Switch0>en
Switch0#sh vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gig0/1, Gig0/2
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 0 0
1003 tr 101003 1500 - - - - - 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
2) Switch-stade :
Switch1>en
Switch#sh vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/19, Fa0/21, Fa0/22, Fa0/23
Gig0/1, Gig0/2
10 administration active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5
20 equipes active Fa0/6, Fa0/7, Fa0/8
30 VIP-presse active Fa0/9, Fa0/10
40 fournisseur active Fa0/11, Fa0/12
50 restaurant active Fa0/13, Fa0/14
60 Wifi active Fa0/15, Fa0/16
70 camera-IP active Fa0/17, Fa0/18
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
10 enet 100010 1500 - - - - - 0 0
20 enet 100020 1500 - - - - - 0 0
30 enet 100030 1500 - - - - - 0 0
40 enet 100040 1500 - - - - - 0 0
50 enet 100050 1500 - - - - - 0 0
60 enet 100060 1500 - - - - - 0 0
70 enet 100070 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 0 0
1003 tr 101003 1500 - - - - - 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
3) Switch-stade2:
Switch2>en
Switch2#sh run
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Gig0/1, Gig0/2
10 administration active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5
20 equipes active Fa0/6, Fa0/7, Fa0/8
30 VIP-presse active Fa0/9, Fa0/10
40 fournisseur active Fa0/11, Fa0/12
50 restaurant active Fa0/13, Fa0/14
60 Wifi active Fa0/15, Fa0/16
70 camera-IP active Fa0/17, Fa0/18
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
10 enet 100010 1500 - - - - - 0 0
20 enet 100020 1500 - - - - - 0 0
30 enet 100030 1500 - - - - - 0 0
40 enet 100040 1500 - - - - - 0 0
50 enet 100050 1500 - - - - - 0 0
60 enet 100060 1500 - - - - - 0 0
70 enet 100070 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 0 0
1003 tr 101003 1500 - - - - - 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
R-Stade#show crypto ipsec transform-set Transform set 50: { esp-3des esp-md5-hmac } will negotiate = { Tunnel, }, R-Stade#show crypto ipsec sa interface: FastEthernet0/1 Crypto map tag: stade, local addr 200.200.200.1 protected vrf: (none) local ident (addr/mask/prot/port): (172.20.0.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) current_peer 200.200.200.6 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 214, #pkts encrypt: 214, #pkts digest: 214 #pkts decaps: 214, #pkts decrypt: 214, #pkts verify: 214 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 88, #recv errors 0 local crypto endpt.: 200.200.200.1, remote crypto endpt.: 200.200.200.6 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1 current outbound spi: 0xEE258D9(249714905) inbound esp sas: spi: 0x24597AE2(609843938) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 3001, flow_id: FPGA:1, crypto map: stade sa timing: remaining key lifetime (k/sec): (4497683/680) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xEE258D9(249714905) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 3002, flow_id: FPGA:2, crypto map: stade sa timing: remaining key lifetime (k/sec): (4497682/674) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas:
outbound pcp sas: R-Stade#show crypto isakmp sa dst src state conn-id slot status 200.200.200.6 200.200.200.1 QM_IDLE 1 0 ACTIVE 6.6 R-Billeterie#show crypto ipsec transform-set Transform set 50: { esp-3des esp-md5-hmac } will negotiate = { Tunnel, }, Transform set #$!default_transform_set_1: { esp-aes esp-sha-hmac } will negotiate = { Transport, }, Transform set #$!default_transform_set_0: { esp-3des esp-sha-hmac } will negotiate = { Transport, }, R-Billeterie#show crypto map Crypto Map "billeterie" 10 ipsec-isakmp Peer = 200.200.200.1 Extended IP access list 101 access-list 101 permit ip 192.168.1.0 0.0.0.255 172.20.0.0 0.0.0.255 Current peer: 200.200.200.1 Security association lifetime: 4608000 kilobytes/900 seconds Responder-Only (Y/N): N PFS (Y/N): N Transform sets={ 50: { esp-3des esp-md5-hmac } , } Interfaces using crypto map billeterie: FastEthernet0/1 R-Billeterie#show crypto ipsec sa interface: FastEthernet0/1 Crypto map tag: billeterie, local addr 200.200.200.6 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (172.20.0.0/255.255.255.0/0/0) current_peer 200.200.200.1 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 331, #pkts encrypt: 331, #pkts digest: 331 #pkts decaps: 331, #pkts decrypt: 331, #pkts verify: 331 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 15, #recv errors 0 local crypto endpt.: 200.200.200.6, remote crypto endpt.: 200.200.200.1 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1 current outbound spi: 0x24597AE2(609843938) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0xEE258D9(249714905) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2001, flow_id: NETGX:1, sibling_flags 80000046, crypto map: billeterie sa timing: remaining key lifetime (k/sec): (4606915/561)
IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x24597AE2(609843938) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2002, flow_id: NETGX:2, sibling_flags 80000046, crypto map: billeterie sa timing: remaining key lifetime (k/sec): (4606915/561) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: R-Billeterie#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 200.200.200.6 200.200.200.1 QM_IDLE 1001 ACTIVE IPv6 Crypto ISAKMP SA