PPE 3.3

Sommaire 1. Cahier de charge : ................................................................................................................................ 2

2. Solutions : ............................................................................................................................................ 2

2.1 Présentation et comparaison des solutions : .................................................................................... 2

2.1.1 Tunnel : VPN ................................................................................................................................... 2

2.1.1.1 Protocoles de tunneling : .......................................................................................................... 3

2.1.2 Accès internet : NAT ....................................................................................................................... 5

2.1.2.1 NAT Statique : .............................................................................................................................. 6

2.1.2.2 NAT Dynamique : ......................................................................................................................... 6

2.1.2.2 PAT :............................................................................................................................................. 7

2.1.3 Accès à distance : SSH .................................................................................................................... 8

3.2 Choix des solutions retenues : .......................................................................................................... 8

3.2.1 Tunnel : ........................................................................................................................................... 8

3.2.2 Accès Internet :........................................................................................................................ 8

4. Projet : ................................................................................................................................................. 9

4 .1 Objectif et but du Projet : ................................................................................................................. 9

4 .2 Installation des solutions retenues : ................................................................................................ 9

4.2.1 Mise en place du VPN : ................................................................................................................... 9

4.2.2 Installation du NAT : ..................................................................................................................... 10

4.2.3 Mise en place du SSH : ................................................................................................................. 12

4.3 Conclusion : ..................................................................................................................................... 13

5. Annexes : ........................................................................................................................................... 13

5.1 Vérification des configurations : ..................................................................................................... 13

1. Cahier de charge : Solution permettant l’administration à distance sécurisées et la sécurisation des interconnexions :

- La sécurité du système d’information devra être renforcée entre les différents sites

- Sécurisation des interconnexions entre le site du stade et les sites distants Billetterie et le

Magasin.

- La solution retenue devra être administrable à distance via un accès sécurisé par SSH

2. Solutions :

2.1 Présentation et comparaison des solutions :

2.1.1 Tunnel : VPN Définition :

VPN signifie Vitual Private Network, traduit Réseau Privé Virtuel en français. Le principe du

VPN est de créer un tunnel reliant 2 sites distancé en utilisant des routeurs pour se créer un

chemin jusqu’au 2° site. Il permet de faire transiter des informations de manière sécurisée.

On peut considérer qu'une connexion VPN revient à se connecter au réseau d’un entreprise

mais en passant par un accès internet extérieur. La technologie VPN est constitué de

protocoles qui eux même ont des protocoles.

Les principaux avantages d'un VPN :

- Sécurité : assure des communications sécurisées et chiffrées.

- Simplicité : utilise les circuits de télécommunication classiques.

- Economie : utilise Internet en tant que média principal de transport, ce qui évite les

coûts liés à une ligne dédiée.

Les VPNs fournissent trois fonctions essentielles :

- Confidentialité (cryptage) : L'émetteur peut crypter les paquets avant de les transmettre dans

le réseau. Par ce moyen, si la communication est interceptée les données ne pourront pas être

lues.

- Intégrité des données : Le récepteur peut vérifier si les données n'ont pas été altérées lors de

leur passage dans le réseau.

- Authentification : Le récepteur peut authentifier la source du paquet, garantissant et

certifiant la source de l'information.

2.1.1.1 Protocoles de tunneling :

Il existe plusieurs protocoles VPN fonctionnant sur différentes couches réseau, voici les

protocoles que nous pouvons mettre en place sur un serveur dédié ou chez soi :

1) PPTP (Point to point tunneling protocol) : PPTP est un protocole réseau de niveau 2

qui permet de transférer des données de manière sécurisés d'un client distant vers un

serveur privé. Le protocole PPTP a été développé par un consortium fondé par

Microsoft, qui avait pour objectif de créer un VPN sur les réseaux communautaires.

Avantages :

- Le protocole est compatible avec la plupart des OS donc son utilisation ne nécessite

pas l’installation d’une application spécifique.

- Le protocole PPTP est très simple à utiliser et à mettre en place.

- Le protocole PPTP est un système rapide.

Inconvénients :

- Le protocole PPTP est mal sécurisé.

- Le protocole PPTP a certainement déjà été craqué par la NSA.

2) IPSEC (Internet Protocol Security) : IPSEC est un protocole de niveau 3 développé

à partir de 1992 par l'IETF (Internet Engineering Task Force) dans le but de sécuriser

le protocole IP. Il fait l'objet de plusieurs RFC dont la 2401 et a été conçu à l'origine

pour les adresses IPv6. C’est en 1995 qu’IPSEC fut normalisé pour les adresses IPv4

et offre tous les services de sécurité qui manquait au VPN.

IPSEC comporte 3 sous-protocoles qui lui permettent d’être autant sécurisé :

- AH (Authentication Header) : Il définit les fonctionnalités d’authentification, de

contrôle d’intégrité et joue le rôle d’anti-rejeu en utilisant un code d'authentification de

message. - ESP (Encapsulating Security Payload) : Il assure les mêmes fonctionnalités que le

protocole AH mais ajoute le cryptage des données. - IKE (Internet Key Exchange) : Il choisit les méthodes d’échange de clés entre les

hôtes.

Avantages :

IPSEC est un protocole de sécurité de niveau 3 donc plus sécurisé que les protocoles

de niveau 2.

Il permet de crée un VPN et de Crypter les données qui y transite.

IPSEC peut également être utilisé comme sous protocole et couplé à un autre

protocole de tunneling.

Inconvénients :

Les traitements réalisés au niveau des paquets IP peuvent faire des conflits avec les

fonctions de translations d'adresses IP (NAT), ou d'adressage dynamique.

Les performances d'IPSEC sont gravement ralenties au moment du calcul des clés par

IKE.

IPSEC est sans doute le protocole le plus compliqué à mettre en place.

3) OpenVPN :

OpenVPN est un protocole Open source qui a été développé par James Yonan en mai

2001. Ce protocole est basé sur une authentification s’aidant d’un clé privée partagée à

l’avance, des certificats éléctroniques ou des identifiants utilisateurs. Il utilise la

technologie OpenSSL et SSLv3/TLSv1 pour proposer une solution VPN parfaitement

sécurisée et très fiable. Pour pouvoir utilisé OpenVPN il faut installer le client sur

chaque poste et copier la configuration de l’utilisateur dans le dossier racine créé suite

à l’installation du logiciel client.

Avantages :

- Comme c’est un OpenSource il est totalement modelable et configurable.

- Il est très sécurisé.

- Il permet de contourner les pare-feu.

- Il est compatible avec énormément d’algorithme de chiffrement.

Inconvénients :

- L’utilisation d’un logiciel client est obligatoire.

- Il est très complexe à mettre en place.

4) OpenVPN

Le protocole L2TP est un protocole de niveau 2 qui ne chiffre pas les informations qu’il fait

transiter, c’est donc pour cette raison qu’il est généralement utilisé avec le cryptage IPsec.

L’association de L2TP et IPsec est intégré à tous OS modernes et à tous les appareils qui sont

capables d’utiliser un VPN. Le protocole L2TP/IPsec est donc aussi simple à utiliser que le

protocole PPTP, puisqu’il utilise généralement le même client. Par contre, il utilise le port

UDP 500 qui peut être bloqué par les pare-feu, ce qui peut nécessiter une configuration

spécifique.

Avantages :

Il faut préciser que le protocole L2TP est un peu plus lent que les solutions basées sur SSL

comme OpenVPN et SSTP.

- Le protocole L2TP offre une bonne protection.

- Le protocole L2TP est totalement intégré dans les principaux OS.

- Le protocole L2TP permet de contourner la majorité des pare-feu.

Inconvénients :

- Le L2TP est encore une propriété de Microsoft, il n’est donc pas possible de vérifier

l’absence de portes dérobées dans le code.

2.1.2 Accès internet : NAT

La fonction NAT permet de traduire une adresse privée interne en une adresse publique pour

le routage sur Internet. Elle remplace l’adresse source IP privée contenue à l’intérieur de

chaque paquet par une adresse IP enregistrée publiquement avant d’envoyer le paquet sur

Internet. Pour limiter les coûts, les petites et moyennes entreprises se connectent à leurs

fournisseurs d’accès via une seul ligne. Le routeur interne configuré pour faire du NAT se

connecte par la suite au fournisseur d’accès. Les entreprises plus grandes, peuvent disposer de

plusieurs connexions, et chaque routeur connecté à une ligne exécute la fonction NAT.

Chaque adresse privée autorisé à avoir un accès internet est traduit lorsqu’une tentative de

tentative de connexion est faite. Ceci permet de camoufler la véritable adresse des hôtes et

serveurs de l’entreprise. La majorité des routeurs dans lesquels la fonction NAT est

configurée, un système de blocage de paquets provenant de l’extérieur est souvent également

implémenté pour éviter les attaques, cependant si ces paquets constituent une réponse à une

demande émise par un hôte interne, le routeur leurs autorise l’accès. Il existe deux types de

NAT, le premier est le NAT statique et le deuxième le NAT dynamique. Cependant une autre

solution a été développé pour lutter contre la pénurie d’adresse IP qui impact de plus en plus

le monde de l’informatique, cette solution est le PAT.

2.1.2.1 NAT Statique :

Le NAT statique consiste à traduire une adresse IP privée en adresse IP publique comme nous

l’avons vu précédemment, cependant cette solution est basée sur une table NAT qu’il faut

constamment mettre à jour car comme son nom l’indique, toutes les traductions d’adresses

sont statiques, c’est-à-dire que tout doit être rentré à la main. Lors de l’arrivée d’un paquet

provenant de l’extérieur, le routeur consulte sa table NAT, identifie à qui appartient l’adresse

IP publique contenu dans le paquet, la traduire et transmettre le paquets au poste concerné.

Avantages :

- Chaque machine a une adresse IP qui lui est dédié

Inconvénients :

- Il faut acheter une adresse IP publique pour chaque poste pouvant accéder à internet

- Empire la pénurie d’adresse IP

- Difficile et long à mettre en place

- Solution très cher

2.1.2.2 NAT Dynamique :

Le NAT dynamique est une solution complètement contraire au NAT statique. Le NAT Dynamique

fonctionne très simplement : Il faut d’abord acheter une plage d’adresse IP publique à notre

fournisseur d’accès, configurer notre routeur en lui indiquant le pool d’adresse qu’il pourra utiliser et

il se chargera d’attribuer une adresse IP publique non-utilisé à chaque poste essayant d’aller sur

internet. Si nous sommes par exemple dans une infrastructure contenant 300 ordinateur qui peuvent

accéder à internet mais que nous avons un plage de 5 adresses IP publique toutes le machines ne

pourront pas aller sur internet en même temps car il n’y aura pas assez d’adresses IP. Cela est dit

“dynamique” car c’est le routeur qui va tout faire de manière automatique.

Avantages :

- Facile à mettre en place

- Coute moins cher que la solution du NAT statique

- Le routeur s’occupe de manière automatique de la réservation et de l’attribution des

adresses IP publique

Inconvénients :

- Il faut acheter une plage d’adresse IP publique

- Tous les ordinateurs ne vont pas avoir une adresse IP directement

- Il n’y a que quelque adresse IP pour plusieurs postes

2.1.2.2 PAT :

Le PAT (Port Address Translation) également appelée surcharge NAT, est une déclinaison du

NAT qui consiste à traduire plusieurs adresse IP privée en une seul adresse IP publique et

crée un port pour chaque poste ayant une adresse IP qui a été traduite. Lorsqu’un hôte source

envoie un message à un hôte de destination, il utilise une combinaison d’adresse IP et de

numéro de port pour suivre chaque conversation individuelle. Dans la fonction PAT, le

routeur traduit la combinaison de l’adresse source locale et du numéro de port en une seule

adresse IP globale.

Le routeur met constamment à jour une table dans laquelle sont stocké toutes les traductions

d’adresse IP privée en IP publique ainsi que leurs ports. Bien que chaque hôte se traduise par

la même adresse IP globale, le numéro de port associé à la conversation est unique.

Comme dans un routeur il existe plus de 64000 ports disponibles, il est quasiment impossible

qu’un routeur vienne à manquer de ports de conversation et d’adresses, alors que cela peut

être fortement possible avec la fonction NAT dynamique.

Avantages :

- Facile à mettre en place

- Solution la moins couteuse de toutes

- Pas besoin d’attribuer une adresse IP à chaque ordinateur qui sort sur internet

- Ralenti la pénurie d’adresse IP publique

Inconvéniant :

- Si l’adresse IP publique sature ou est attaqué plus aucuns ordinateurs ne pourra sortir

- Il faut rajouter un routeur en plus qui va servir de porte de sorti

2.1.3 Accès à distance : SSH

Le Secure Shell, plus connu sous le nom de SSH, fait partit des protocoles de sécurité proposé dans le

monde de l’informatique. Celui-ci permet de crée une liaison à distance d’un poste d’administration à

un matériel de notre réseau qu’il faudra configurer pour que cela fonctionne. Le protocole SSH utilise

le chiffrement par clé (cryptage) qui va permettre une étanchéité sur les données transitées entre

l’ordinateur et le matériel. SSH utilise le port 22 et a été créé en 1995 et a connu deux versions. La

version SSH 1.0 permettait de se connecter à distance sur un ordinateur ou tous autres matériels,

cependant elle contenait des problèmes dans la vérification de l’intégrité des données envoyées et

reçues ce qui créait des failles et augmentait les risques d’infections virales. Puis en 2006 est sorti la

version 2.0 qui corrigeait ces problèmes et apportait des améliorations au niveau sécurité,

cryptographie et un protocol de transfert de fichiers appelé SSH file transfer protocol.

Avantages :

- Le SSH nous permet de prendre la main sur un switch, un routeur ou autres sans devoir se

connecter directement au matériel.

- Les données transitées entre l’ordinateur d’administration et le matériel sont crypté.

3.2 Choix des solutions retenues :

3.2.1 Tunnel :

Nous avons sélectionné IPSec car c’est pour nous un excellent protocole de tunneling et de plus il est

le seul qui crypte les données qui transitent dans le VPN.

3.2.2 Accès Internet :

Pour l’accès internet, la solution retenue est le PAT car c’est la solution la moins couteuse, qui

monopolise le moins d’adresse IP et la sécurisée.

3.2.3 Accès à distance :

Pour l’accès à distance la solution SSH a été sélectionné car c’est une solution qui respecte les critères

de sécurité, il n’est pas très compliquer à mettre en place et c’est la seule qui permet de crypter les

données transité entre l’ordinateur et le matériel.

4. Projet :

4 .1 Objectif et but du Projet :

Pour augmenter la sécurité de nos sites de billetterie et du stade, nous allons devoir mettre en

place les protocoles suivant :

– VPN (Se connecter à un réseau de l’extérieur et sécuriser les interconnexions des sites)

– NAT (Donner un accès à internet aux utilisateurs de notre infrastructure de manière sécurisé)

– SSH (Effectuer des modifications sur nos routeurs ou switch sans se déplacer)

4 .2 Installation des solutions retenues :

4.2.1 Mise en place du VPN : R-stade :

Configurations du routage dynamique inter-site :

R-stade(config)#router eigrp 1 R-stade(config-router)#network 172.20.0.0 0.0.0.255 R-stade(config-router)#network 200.200.200.0 0.0.0.3 R-stade(config-router)#exit Configuration et création du VPN : R-stade(config)#crypto isakmp enable R-stade(config)#crypto isakmp policy 10 R-stade(config-isakmp)#authentication pre-share R-stade(config-isakmp)#encryption 3des R-stade(config-isakmp)#hash md5 R-stade(config-isakmp)#group 5 R-stade(config-isakmp)#lifetime 3600 R-stade(config-isakmp)#exit R-stade(config)#crypto isakmp key iris123 address 200.200.200.6 R-stade(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac R-stade(config)#crypto ipsec security-association lifetime seconds 1800 R-stade(config)#access-list 101 permit ip 172.20.0.0 0.0.0.255 192.168.1.0 0.0.0.255 R-stade(config)#crypto map stade 10 ipsec-isakmp R-stade(config-crypto-map)#set peer 200.200.200.6 R-stade(config-crypto-map)#set transform-set 50 R-stade(config-crypto-map)#set security-association lifetime seconds 900 R-stade(config-crypto-map)#match address 101 R-stade(config-crypto-map)#exit R-stade(config)#interface fastEthernet 0/1 R-stade(config-if)#crypto map stade *Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

R-billetterie : Configurations du routage dynamique inter-site :

R-stade(config)#router eigrp 1 R-stade(config-router)#network 192.168.1.0 0.0.0.255 R-stade(config-router)#network 200.200.200.4 0.0.0.3 R-stade(config-router)#exit Configuration et création du VPN : R-billetterie(config)#crypto isakmp enable R-billetterie(config)#crypto isakmp policy 10 R-billetterie(config-isakmp)#authentication pre-share R-billetterie(config-isakmp)#encryption 3des R-billetterie(config-isakmp)#hash md5 R-billetterie(config-isakmp)#group 5 R-billetterie(config-isakmp)#lifetime 3600 R-billetterie(config-isakmp)#exit R-billetterie(config)#crypto isakmp key iris123 address 200.200.200.1 R-billetterie(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac R-billetterie(config)#crypto ipsec security-association lifetime seconds 1800 R-billetterie(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 172.20.0.0. 0.0.0.255 R-billetterie(config)#crypto map billetterie 10 ipsec-isakmp R-billetterie(config-crypto-map)#set peer 200.200.200.1 R-billetterie(config-crypto-map)#set transform-set 50 R-billetterie(config-crypto-map)#set security-association lifetime seconds 900 R-billetterie(config-crypto-map)#match address 101 R-billetterie(config-crypto-map)#exit R-billetterie(config)#interface FastEthernet 0/1 R-billetterie(config-if)#crypto map billetterie *Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

4.2.2 Installation du NAT : R-stade :

Configuration des interfaces :

R-stade(config)#int fa 0/0 R-stade (config-if)#ip nat inside R-stade (config-if)#no shutdown R-stade (config-if)#int fa 0/0.10 R-stade (config-subif)#ip nat inside R-stade (config-subif)#int fa 0/0.20 R-stade (config-subif)#ip nat inside R-stade (config-subif)#int fa 0/0.30 R-stade (config-subif)#ip nat inside R-stade (config-subif)#int fa 0/0.40 R-stade (config-subif)#ip nat inside R-stade (config-subif)#int fa 0/0.50 R-stade (config-subif)#ip nat inside R-stade (config-subif)#int fa 0/0.60

R-stade (config-subif)#ip nat inside R-stade (config-subif)#int fa 0/0.70 R-stade (config-subif)#ip nat inside R-stade (config)#int fa 0/1 R-stade (config-if)#ip address 200.200.200.1 255.255.255.252 R-stade (config-if)# ip nat outside

Création des access-list et identification des adresses sources pouvant passer par le NAT :

R-stade (config)#access-list 10 permit 172.20.0.0 0.0.0.255 R-stade (config)#access-list 20 permit 172.20.1.0 0.0.0.255 R-stade (config)#access-list 30 permit 172.20.3.0 0.0.0.127 R-stade (config)#access-list 40 permit 172.20.3.128 0.0.0.63 R-stade (config)#access-list 50 permit 172.20.3.192 0.0.0.31 R-stade (config)#access-list 60 permit 172.20.2.0 0.0.0.127 R-stade (config)#access-list 70 permit 172.20.2.128 0.0.0.127 R-stade (config)#ip nat inside source list 10 interface fastEthernet 0/1 overload R-stade (config)#ip nat inside source list 20 interface fastEthernet 0/1 overload R-stade (config)#ip nat inside source list 30 interface fastEthernet 0/1 overload R-stade (config)#ip nat inside source list 40 interface fastEthernet 0/1 overload R-stade (config)#ip nat inside source list 50 interface fastEthernet 0/1 overload R-stade (config)#ip nat inside source list 60 interface fastEthernet 0/1 overload R-stade (config)#ip nat inside source list 70 interface fastEthernet 0/1 overload Ajout de la route par défaut :

R-stade (config)#ip route 0.0.0.0 0.0.0.0 200.200.200.2

R-billetterie :

Configuration des interfaces :

R-billetterie(config)#int fa 0/0 R-billetterie(config)#ip address 192.168.1.1 255.255.255.0 R-billetterie (config-if)#ip nat inside R-billetterie(config-if)#no shutdown R-billetterie(config)#int fa 0/1 R-billetterie(config-if)#ip address 200.200.200.6 255.255.255.252 R-billetterie(config-if)#ip nat outside R-billetterie(config-if)#no shutdown

Création des access-list et identification des adresses sources pouvant passer par le NAT :

R-billetterie(config)#access-list 10 permit 192.168.1.0 0.0.0.255 R-billetterie(config)#ip nat inside source list 10 interface fastEthernet 0/1 overload Ajout de la route par défaut :

R-billetterie(config)#ip route 0.0.0.0 0.0.0.0 200.200.200.5

4.2.3 Mise en place du SSH :

Router#config terminal Router(config)#hostname R-stade R-stade(config)#ip domain-name stadiumcompany.com R-stade(config)#username admin privilege 15 password cisco123 R-stade(config)#interface FastEthernet 0/0.11 R-stade(config-if)ip address 172.20.0.1 255.255.255.0 R-stade(config-if)#no shutdown R-stade(config-if)#exit R-stade(config)#interface fastEthernet 0/1 R-stade(config-if)#ip address dhcp R-stade(config-if)#no shutdown R-stade(config)#line vty 0 4 R-stade(config-line)#privilege level 15 R-stade(config-line)#login local R-stade(config-line)#transport input telnet ssh R-stade(config-line)#exit R-stade(config)#crypto key generate rsa How many bits in the modulus [512] 768 Customer

4.3 Conclusion :

Les utilisateurs pourront désormais accéder au site de billetterie via le site du stade et

inversement de manière 100% sécurisé et toutes les données échangées entre les deux sites

seront illisible par un autre ordinateur. Tous les utilisateurs vont pouvoir se connecter et

accéder à internet en toute sécurité et personne ne pourra connaître l'adresse IP privée de la

machine qui est sorti sur internet. Les administrateurs de chaque site pourront se connecter à

distance sur tous les matériels qui composent les deux sites de StadiumCompany.com sans se

déplacer. Notre objectif a donc été atteint.

5. Annexes :

5.1 Vérification des configurations :

Show run :

1) Switch0 :

Switch0>en Switch0#sh run Building configuration... Current configuration : 1043 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname Switch-billetterie ! ! ! ! ! spanning-tree mode pvst ! interface FastEthernet0/1 ! interface FastEthernet0/2 ! interface FastEthernet0/3

! interface FastEthernet0/4 ! interface FastEthernet0/5 ! interface FastEthernet0/6 ! interface FastEthernet0/7 ! interface FastEthernet0/8 ! interface FastEthernet0/9 ! interface FastEthernet0/10 ! interface FastEthernet0/11 ! interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address shutdown ! ! ! ! line con 0 ! line vty 0 4

login line vty 5 15 login ! end

2) Switch1 : Switch1>en Switch1#sh run Building configuration... Current configuration : 2076 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname Switch-stade ! ! ! ! ! spanning-tree mode pvst ! interface FastEthernet0/1 switchport access vlan 10 switchport mode access ! interface FastEthernet0/2 switchport access vlan 10 switchport mode access ! interface FastEthernet0/3 switchport access vlan 10 switchport mode access ! interface FastEthernet0/4 switchport access vlan 10 switchport mode access ! interface FastEthernet0/5 switchport access vlan 10 switchport mode access ! interface FastEthernet0/6 switchport access vlan 20 switchport mode access ! interface FastEthernet0/7 switchport access vlan 20 switchport mode access ! interface FastEthernet0/8 switchport access vlan 20

switchport mode access ! interface FastEthernet0/9 switchport access vlan 30 switchport mode access ! interface FastEthernet0/10 switchport access vlan 30 switchport mode access ! interface FastEthernet0/11 switchport access vlan 40 switchport mode access ! interface FastEthernet0/12 switchport access vlan 40 switchport mode access ! interface FastEthernet0/13 switchport access vlan 50 switchport mode access ! interface FastEthernet0/14 switchport access vlan 50 switchport mode access ! interface FastEthernet0/15 switchport access vlan 60 switchport mode access ! interface FastEthernet0/16 switchport access vlan 60 switchport mode access ! interface FastEthernet0/17 switchport access vlan 70 switchport mode access ! interface FastEthernet0/18 switchport access vlan 70 switchport mode access ! interface FastEthernet0/19 ! interface FastEthernet0/20 switchport mode trunk ! interface FastEthernet0/21 switchport mode trunk ! interface FastEthernet0/22 switchport mode trunk ! interface FastEthernet0/23 switchport mode trunk ! interface FastEthernet0/24

switchport mode trunk ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address shutdown ! ! ! ! line con 0 ! line vty 0 4 login line vty 5 15 login ! ! end

3) Switch2 :

Switch2>en Switch2#sh run Building configuration... Current configuration : 2076 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname Switch-stade2 ! ! ! ! ! spanning-tree mode pvst ! interface FastEthernet0/1 switchport access vlan 10 switchport mode access ! interface FastEthernet0/2 switchport access vlan 10 switchport mode access ! interface FastEthernet0/3 switchport access vlan 10

switchport mode access ! interface FastEthernet0/4 switchport access vlan 10 switchport mode access ! interface FastEthernet0/5 switchport access vlan 10 switchport mode access ! interface FastEthernet0/6 switchport access vlan 20 switchport mode access ! interface FastEthernet0/7 switchport access vlan 20 switchport mode access ! interface FastEthernet0/8 switchport access vlan 20 switchport mode access ! interface FastEthernet0/9 switchport access vlan 30 switchport mode access ! interface FastEthernet0/10 switchport access vlan 30 switchport mode access ! interface FastEthernet0/11 switchport access vlan 40 switchport mode access ! interface FastEthernet0/12 switchport access vlan 40 switchport mode access ! interface FastEthernet0/13 switchport access vlan 50 switchport mode access ! interface FastEthernet0/14 switchport access vlan 50 switchport mode access ! interface FastEthernet0/15 switchport access vlan 60 switchport mode access ! interface FastEthernet0/16 switchport access vlan 60 switchport mode access ! interface FastEthernet0/17 switchport access vlan 70 switchport mode access

! interface FastEthernet0/18 switchport access vlan 70 switchport mode access ! interface FastEthernet0/19 ! interface FastEthernet0/20 switchport mode trunk ! interface FastEthernet0/21 switchport mode trunk ! interface FastEthernet0/22 switchport mode trunk ! interface FastEthernet0/23 switchport mode trunk ! interface FastEthernet0/24 switchport mode trunk ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address shutdown ! ! ! ! line con 0 ! line vty 0 4 login line vty 5 15 login ! ! end

4) R-billetterie :

R-Billeterie#show run Building configuration... Current configuration : 1328 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R-Billeterie ! boot-start-marker boot-end-marker

! logging message-counter syslog ! no aaa new-model ! dot11 syslog ip source-route ! ! ip cef ! ! ! multilink bundle-name authenticated ! ! ! ! ! ! archive log config hidekeys ! ! crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 5 lifetime 3600 crypto isakmp key stadium address 200.200.200.1 ! crypto ipsec security-association lifetime seconds 1800 ! crypto ipsec transform-set 50 esp-3des esp-md5-hmac ! crypto map billeterie 10 ipsec-isakmp set peer 200.200.200.1 set security-association lifetime seconds 900 set transform-set 50 match address 101 ! ! ! ! ! ! interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 200.200.200.6 255.255.255.252 duplex auto speed auto

crypto map billeterie ! router eigrp 1 network 192.168.1.0 network 200.200.200.4 0.0.0.3 auto-summary ! ip forward-protocol nd no ip http server no ip http secure-server ! ! ! access-list 101 permit ip 192.168.1.0 0.0.0.255 172.20.0.0 0.0.0.255 ! ! ! ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 login ! scheduler allocate 20000 1000 end

R-stade : R-stade>en R-stade#sh run Building configuration... Current configuration : 1438 bytes ! version 12.4 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname R-stade ! ! ! ! ! ! ! ! no aaa new-model ip cef ! ! ! !

! ! voice-card 0 ! ! ! ! ! ! ! ! ! ! ! ! ! ! archive log config hidekeys ! ! crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 5 lifetime 3600 crypto isakmp key stadium address 200.200.200.6 ! crypto ipsec security -association lifetime seconds 1800 ! crypto ipsec transform-set 50 esp-3des esp-md5-hmac ! crypto map stade 10 ipsec-isakmp set peer 200.200.200.6 set security-association lifetime seconds 900 set transform-set 50 match address 101! ! interface FastEthernet0/0 no ip address duplex auto speed auto ! interface FastEthernet0/0.10 encapsulation dot1Q 10 ip address 172.20.0.1 255.255.255.0 ! interface FastEthernet0/0.20 encapsulation dot1Q 20 ip address 172.20.1.1 255.255.255.0 ! interface FastEthernet0/0.30 encapsulation dot1Q 30 ip address 172.20.3.1 255.255.255.128

! interface FastEthernet0/0.40 encapsulation dot1Q 40 ip address 172.20.3.129 255.255.255.192 ! interface FastEthernet0/0.50 encapsulation dot1Q 50 ip address 172.20.3.193 255.255.255.240 ! interface FastEthernet0/0.60 encapsulation dot1Q 60 ip address 172.20.2.1 255.255.255.128 ! interface FastEthernet0/0.70 encapsulation dot1Q 70 ip address 172.20.2.129 255.255.255.128 ! interface FastEthernet0/1 ip address 200.200.200.1 255.255.255.252 duplex auto speed auto ! interface Vlan1 no ip address shutdown ! router eigrp 1 network 172.20.0.0 0.0.0.255 network 200.200.200.0 0.0.0.3 ip flow-export version 9 auto-summary ! ! ! ip http server no ip http secure-server ! access-list 101 permit ip 172.20.0.0 0.0.0.255 192.168.1.0 0. 0.0.255 ! ! ! ! control-plane ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 login ! scheduler allocate 20000 1000 end

Show vlan :

1) Switch-billetterie :

Switch0>en

Switch0#sh vlan

VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------

1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4

Fa0/5, Fa0/6, Fa0/7, Fa0/8

Fa0/9, Fa0/10, Fa0/11, Fa0/12

Fa0/13, Fa0/14, Fa0/15, Fa0/16

Fa0/17, Fa0/18, Fa0/19, Fa0/20

Fa0/21, Fa0/22, Fa0/23, Fa0/24

Gig0/1, Gig0/2

1002 fddi-default act/unsup

1003 token-ring-default act/unsup

1004 fddinet-default act/unsup

1005 trnet-default act/unsup

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2

---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------

1 enet 100001 1500 - - - - - 0 0

1002 fddi 101002 1500 - - - - - 0 0

1003 tr 101003 1500 - - - - - 0 0

1004 fdnet 101004 1500 - - - ieee - 0 0

1005 trnet 101005 1500 - - - ibm - 0 0

2) Switch-stade :

Switch1>en

Switch#sh vlan

VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------

1 default active Fa0/19, Fa0/21, Fa0/22, Fa0/23

Gig0/1, Gig0/2

10 administration active Fa0/1, Fa0/2, Fa0/3, Fa0/4

Fa0/5

20 equipes active Fa0/6, Fa0/7, Fa0/8

30 VIP-presse active Fa0/9, Fa0/10

40 fournisseur active Fa0/11, Fa0/12

50 restaurant active Fa0/13, Fa0/14

60 Wifi active Fa0/15, Fa0/16

70 camera-IP active Fa0/17, Fa0/18

1002 fddi-default act/unsup

1003 token-ring-default act/unsup

1004 fddinet-default act/unsup

1005 trnet-default act/unsup

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2

---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------

1 enet 100001 1500 - - - - - 0 0

10 enet 100010 1500 - - - - - 0 0

20 enet 100020 1500 - - - - - 0 0

30 enet 100030 1500 - - - - - 0 0

40 enet 100040 1500 - - - - - 0 0

50 enet 100050 1500 - - - - - 0 0

60 enet 100060 1500 - - - - - 0 0

70 enet 100070 1500 - - - - - 0 0

1002 fddi 101002 1500 - - - - - 0 0

1003 tr 101003 1500 - - - - - 0 0

1004 fdnet 101004 1500 - - - ieee - 0 0

1005 trnet 101005 1500 - - - ibm - 0 0

3) Switch-stade2:

Switch2>en

Switch2#sh run

VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------

1 default active Fa0/19, Fa0/20, Fa0/21, Fa0/22

Fa0/23, Gig0/1, Gig0/2

10 administration active Fa0/1, Fa0/2, Fa0/3, Fa0/4

Fa0/5

20 equipes active Fa0/6, Fa0/7, Fa0/8

30 VIP-presse active Fa0/9, Fa0/10

40 fournisseur active Fa0/11, Fa0/12

50 restaurant active Fa0/13, Fa0/14

60 Wifi active Fa0/15, Fa0/16

70 camera-IP active Fa0/17, Fa0/18

1002 fddi-default act/unsup

1003 token-ring-default act/unsup

1004 fddinet-default act/unsup

1005 trnet-default act/unsup

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2

---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------

1 enet 100001 1500 - - - - - 0 0

10 enet 100010 1500 - - - - - 0 0

20 enet 100020 1500 - - - - - 0 0

30 enet 100030 1500 - - - - - 0 0

40 enet 100040 1500 - - - - - 0 0

50 enet 100050 1500 - - - - - 0 0

60 enet 100060 1500 - - - - - 0 0

70 enet 100070 1500 - - - - - 0 0

1002 fddi 101002 1500 - - - - - 0 0

1003 tr 101003 1500 - - - - - 0 0

1004 fdnet 101004 1500 - - - ieee - 0 0

1005 trnet 101005 1500 - - - ibm - 0 0

R-Stade#show crypto ipsec transform-set Transform set 50: { esp-3des esp-md5-hmac } will negotiate = { Tunnel, }, R-Stade#show crypto ipsec sa interface: FastEthernet0/1 Crypto map tag: stade, local addr 200.200.200.1 protected vrf: (none) local ident (addr/mask/prot/port): (172.20.0.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) current_peer 200.200.200.6 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 214, #pkts encrypt: 214, #pkts digest: 214 #pkts decaps: 214, #pkts decrypt: 214, #pkts verify: 214 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 88, #recv errors 0 local crypto endpt.: 200.200.200.1, remote crypto endpt.: 200.200.200.6 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1 current outbound spi: 0xEE258D9(249714905) inbound esp sas: spi: 0x24597AE2(609843938) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 3001, flow_id: FPGA:1, crypto map: stade sa timing: remaining key lifetime (k/sec): (4497683/680) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xEE258D9(249714905) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 3002, flow_id: FPGA:2, crypto map: stade sa timing: remaining key lifetime (k/sec): (4497682/674) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas:

outbound pcp sas: R-Stade#show crypto isakmp sa dst src state conn-id slot status 200.200.200.6 200.200.200.1 QM_IDLE 1 0 ACTIVE 6.6 R-Billeterie#show crypto ipsec transform-set Transform set 50: { esp-3des esp-md5-hmac } will negotiate = { Tunnel, }, Transform set #$!default_transform_set_1: { esp-aes esp-sha-hmac } will negotiate = { Transport, }, Transform set #$!default_transform_set_0: { esp-3des esp-sha-hmac } will negotiate = { Transport, }, R-Billeterie#show crypto map Crypto Map "billeterie" 10 ipsec-isakmp Peer = 200.200.200.1 Extended IP access list 101 access-list 101 permit ip 192.168.1.0 0.0.0.255 172.20.0.0 0.0.0.255 Current peer: 200.200.200.1 Security association lifetime: 4608000 kilobytes/900 seconds Responder-Only (Y/N): N PFS (Y/N): N Transform sets={ 50: { esp-3des esp-md5-hmac } , } Interfaces using crypto map billeterie: FastEthernet0/1 R-Billeterie#show crypto ipsec sa interface: FastEthernet0/1 Crypto map tag: billeterie, local addr 200.200.200.6 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (172.20.0.0/255.255.255.0/0/0) current_peer 200.200.200.1 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 331, #pkts encrypt: 331, #pkts digest: 331 #pkts decaps: 331, #pkts decrypt: 331, #pkts verify: 331 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 15, #recv errors 0 local crypto endpt.: 200.200.200.6, remote crypto endpt.: 200.200.200.1 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1 current outbound spi: 0x24597AE2(609843938) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0xEE258D9(249714905) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2001, flow_id: NETGX:1, sibling_flags 80000046, crypto map: billeterie sa timing: remaining key lifetime (k/sec): (4606915/561)

IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x24597AE2(609843938) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2002, flow_id: NETGX:2, sibling_flags 80000046, crypto map: billeterie sa timing: remaining key lifetime (k/sec): (4606915/561) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: R-Billeterie#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 200.200.200.6 200.200.200.1 QM_IDLE 1001 ACTIVE IPv6 Crypto ISAKMP SA