TP Securite Conf VPN Site Site CLI...

32
TP Séc - Configurat Site à e utilisant la BTS- RE curité - tion de VPN à Site en CLI et SDM -SIO 1

Transcript of TP Securite Conf VPN Site Site CLI...

Page 1: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

TP Sécurité --

Configuration de VPNSite à Site

enutilisant la CLI et SDM

BTS-RE

TP Sécurité --

Configuration de VPNSite à Site

enutilisant la CLI et SDM

-SIO 1

Page 2: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

Objectifs

� Partie 1: Configuration de base des équipements réseau

▪ Configuration des paramètres de base tels que le nom de host, les adresses IP

des interfaces et les mots de passe d’accès.

▪ Configurer le protocole de routage EIGRP.

� Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco

▪ Configurer les paramètres VPN IPSec sur R1 et R3

▪ Vérifier la configuration VPN IPSec site à site

▪ Test du fonctionnement du VPN IPSec

� Partie 3: Configurer un VPN site à site en utilisant SDM

▪ Configurer les paramètres VPN IPSec sur R1

▪ Créer une configuration mirroir sur R3▪ Créer une configuration mirroir sur R3

▪ Appliquer la configuration mirroir vers R3

▪ Vérifier la configuration

▪ Test de la configuration en utilisant SDM

Rappels

Les VPNs peuvent fournir une méthode sécurisée de transmission d'information sur un

réseau public tel que Internet. Les connexions VPN peuvent aider à réduire les coûts

associés aux lignes louées. Les VPNs site à site fournissent typiquement un tunnel (IPSec

ou autre) sécurisé entre un site distant et un site central. Une autre implémentation

commune qui utilise la technologie VPN est l'accès distant vers le site de l'entreprise pour

un utilisateur situé dans un autre lieu.

Dans ce lab, vous construisez un résseau avec plusieurs routeurs et vous configurez les

routeurs et les hosts. Vous utilisez l'IOS Cisco et SDM pour configurer un VPN IPSec site

à site et le tester. Le tunnel vPN IPSec va du routeur R1 vers le routeur R3 via R2. R2 est

transparent et n'a pas connaissance du VPN. IPSec fournit une transmission sécurisée

d'information sensible à travers un réseau non protégé tel que Internet. IPSec agit au

niveau de la couche réseau, protégeant et authentifiant les paquets IP entre les équipements

BTS-

niveau de la couche réseau, protégeant et authentifiant les paquets IP entre les équipements

(routeurs Cisco) qui participent à IPSec (peers).

Note: Assurez-vous que les routeurs et les commutateurs ont des configurations de

démarrage vides.

RE

Partie 1: Configuration de base des équipements réseau

Configuration des paramètres de base tels que le nom de host, les adresses IP

des interfaces et les mots de passe d’accès.

Configurer le protocole de routage EIGRP.

Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco

Configurer les paramètres VPN IPSec sur R1 et R3

Vérifier la configuration VPN IPSec site à site

Test du fonctionnement du VPN IPSec

Partie 3: Configurer un VPN site à site en utilisant SDM

Configurer les paramètres VPN IPSec sur R1

Créer une configuration mirroir sur R3Créer une configuration mirroir sur R3

Appliquer la configuration mirroir vers R3

Test de la configuration en utilisant SDM

Les VPNs peuvent fournir une méthode sécurisée de transmission d'information sur un

réseau public tel que Internet. Les connexions VPN peuvent aider à réduire les coûts

associés aux lignes louées. Les VPNs site à site fournissent typiquement un tunnel (IPSec

ou autre) sécurisé entre un site distant et un site central. Une autre implémentation

commune qui utilise la technologie VPN est l'accès distant vers le site de l'entreprise pour

Dans ce lab, vous construisez un résseau avec plusieurs routeurs et vous configurez les

routeurs et les hosts. Vous utilisez l'IOS Cisco et SDM pour configurer un VPN IPSec site

à site et le tester. Le tunnel vPN IPSec va du routeur R1 vers le routeur R3 via R2. R2 est

transparent et n'a pas connaissance du VPN. IPSec fournit une transmission sécurisée

d'information sensible à travers un réseau non protégé tel que Internet. IPSec agit au

niveau de la couche réseau, protégeant et authentifiant les paquets IP entre les équipements

-SIO 2

niveau de la couche réseau, protégeant et authentifiant les paquets IP entre les équipements

(routeurs Cisco) qui participent à IPSec (peers).

vous que les routeurs et les commutateurs ont des configurations de

Page 3: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

Ressources requises

• 3 routeurs avec SDM (Cisco 1841 avec Cisco IOS Release 12.4(20)T1 ou comparable)

• 2 commutateurs (Cisco 2960 ou comparable)

• PC-A : Windows XP, Vista ou serveur avec un logiciel serveur RADIUS disponible

• PC-C : Windows XP ou Vista

• Tous les câbles pour connecter le équipements.

BTS-RE

• 3 routeurs avec SDM (Cisco 1841 avec Cisco IOS Release 12.4(20)T1 ou comparable)

• 2 commutateurs (Cisco 2960 ou comparable)

A : Windows XP, Vista ou serveur avec un logiciel serveur RADIUS disponible

• Tous les câbles pour connecter le équipements.

-SIO 3

Page 4: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

R2

R1

DCEDCE

S0/0/0

S0/0/0

Fa0/1

Fa0/5

10.1.1.0/30

S1

Fa0/6

192.168.1.0/24

Table d'adressage IP

Equipement Interface Adresse IP Masque

R1 Fa0/1 192.168.1.1 255.255.255.0

S0/0/0 10.1.1.1 255.255.255.252

PC-A

BTS-

S0/0/0 10.1.1.1 255.255.255.252

R2 S0/0/0 10.1.1.2

(DCE)

255.255.255.252

S0/0/1 10.2.2.2

(DCE)

255.255.255.252

R3 Fa0/1 192.168.3.1 255.255.255.0

S0/0/1 10.2.2.1

(DCE)

255.255.255.252

PC-A Carte 192.168.1.3 255.255.255.0

PC-C Carte 192.168.3.3 255.255.255.0

RE

R3

DCE

S0/0/1

S0/0/1

Fa0/1

Fa0/5

10.2.2.0/30

S3

Fa0/18

192.168.3.0/24

Masque Passerelle par

défaut

Port de

commutateur

255.255.255.0 N/A S1 Fa0/5

255.255.255.252 N/A N/A

PC-C

-SIO 4

255.255.255.252 N/A N/A

255.255.255.252 N/A N/A

255.255.255.252 N/A N/A

255.255.255.0 N/A S3 Fa0/5

255.255.255.252 N/A N/A

255.255.255.0 192.168.1.1 S1 Fa0/6

255.255.255.0 192.168.3.1 S3 fa0/18

Page 5: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

Partie 1: Configuration de base du routeur

Dans la partie 1 de ce lab, vous construisez le réseau et vous configurez les paramètres de

base tels que les adresses IP des interfaces et le routage dynamique, l'accès à l'équipement

et les mots de passe.

Note: Toutes les tâches doivent être exécutées sur R1, R2 et R3. La procédure pour R1 est

celle utilisée comme exemple.

Etape 1: Câblage du réseau selon la topologie précédente.

Câblez le réseau selon la topologie donnée.

Etape 2: Configuration des paramètres de base de chaque routeur.

a. Configurez les noms de hosts conformément à la topologie.

b. Configurez les adresses IP des interfaces en vous aidant du tableau fournib. Configurez les adresses IP des interfaces en vous aidant du tableau fourni

page précédente.

c. Configurez les horloges pour le routeur R2 qui a des câbles série DCE attachés

aux interfaces serial (s0/0/0 et s0/0/1).

R2(Config)# interface serial s0/0/0R2(config-if)# clock rate 2000000

Etape 3: Dévalidation de la recherche DNS

Pour éviter que le routeur tente de traduire des commandes incorrectement

entrées , dévalidez la recherche DNS.

R1(Config)# no ip domain-

Etape 4: Configuration du protocole de routage EIGRP sur R1, R2 et R3

a. Utilisez les commandes suivantes sur R1.

R1(config)# router eigrp 101

BTS-

R1(config)# router eigrp 101R1(config-router)# network 192.168.1.0 0.0.0.255R1(config-router)# network 10.1.1.0 0.0.0.3R1(config-router)# no auto-

b. Utilisez les commandes suivantes sur R2

R2(config)# router eigrp 101R2(config-router)# network 10.1.1.0 0.0.0.3R2(config-router)# network 10.2.2.0 0.0.0.3R2(config-router)# no auto-

RE

Partie 1: Configuration de base du routeur

Dans la partie 1 de ce lab, vous construisez le réseau et vous configurez les paramètres de

base tels que les adresses IP des interfaces et le routage dynamique, l'accès à l'équipement

Toutes les tâches doivent être exécutées sur R1, R2 et R3. La procédure pour R1 est

Etape 1: Câblage du réseau selon la topologie précédente.

Câblez le réseau selon la topologie donnée.

Etape 2: Configuration des paramètres de base de chaque routeur.

a. Configurez les noms de hosts conformément à la topologie.

b. Configurez les adresses IP des interfaces en vous aidant du tableau fournib. Configurez les adresses IP des interfaces en vous aidant du tableau fourni

c. Configurez les horloges pour le routeur R2 qui a des câbles série DCE attachés

aux interfaces serial (s0/0/0 et s0/0/1).

interface serial s0/0/0clock rate 2000000

Etape 3: Dévalidation de la recherche DNS

Pour éviter que le routeur tente de traduire des commandes incorrectement

entrées , dévalidez la recherche DNS.

-lookup

Etape 4: Configuration du protocole de routage EIGRP sur R1, R2 et R3

a. Utilisez les commandes suivantes sur R1.

router eigrp 101

-SIO 5

router eigrp 101network 192.168.1.0 0.0.0.255network 10.1.1.0 0.0.0.3

-summary

b. Utilisez les commandes suivantes sur R2.

router eigrp 101network 10.1.1.0 0.0.0.3network 10.2.2.0 0.0.0.3

-summary

Page 6: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

c. Utilisez les commandes suivantes sur R3.

R3(config)# router eigrp 101R3(config-router)# network 192.168.3.0 0.0.0.255R3(config-router)# network 10.2.2.0 0.0.0.3R3(config-router)# no auto-

Etape 5: Configuration des paramètres IP des PC hosts.

a. Configurez l'adresse IP statique, le masque de sous

défaut pour PC-A comme le montre le tableau précédent.

b. Configurez l'adresse IP statique, le masque de sous

défaut pour PC-A comme le montre le tableau précédent.

Etape 6: Vérification de la connectivité de base

a. Entrez une commande ping de R1 vers R3.a. Entrez une commande ping de R1 vers R3.

Est-ce que la commande réussit?_____________

Si la commande échoue, vous devez résoudre le problème avant de continuer.

b. Entrez une commande ping depuis PC

Est-ce que la commande réussit?_____________

Si la commande échoue, vous devez résoudre le problème avant de continuer.

Etape 7: Configuration de la longueur minimale des mots de passe

Note: Les mots de passe sont fixés à une longueur minimum de 10 caractères.

Ils sont relativement simples pour faciliter ce lab. Dans un réseau de production

des mots de passe plus complexes sont requis.

Utilisez la commande security passwords10 caractères pour les mots de passe.

BTS-

R1(config)# security passwords min

Etape 8: Configuration de base de la console, du port auxiliaire et des lignes vty.

a. Configurez le mot de passe console et validez le login pour le routeur R1. Pour

avoir plus de sécurité, la commande

la ligne au bout de 5 minutes d'inactivité. La commande

évite que les messages console soient mélangés avec les commandes en cours

d'entrée.

Note: pour éviter des connexions répétitives durant le lab, la commande

exec-timeout 0 0 peut être entrée ce qui son expiration. Ce n'est pas une

bonne pratique de sécurité.

RE

c. Utilisez les commandes suivantes sur R3.

router eigrp 101network 192.168.3.0 0.0.0.255network 10.2.2.0 0.0.0.3

-summary

Etape 5: Configuration des paramètres IP des PC hosts.

a. Configurez l'adresse IP statique, le masque de sous-réseau et la passerelle par

A comme le montre le tableau précédent.

b. Configurez l'adresse IP statique, le masque de sous-réseau et la passerelle par

A comme le montre le tableau précédent.

Etape 6: Vérification de la connectivité de base

a. Entrez une commande ping de R1 vers R3.a. Entrez une commande ping de R1 vers R3.

ce que la commande réussit?_____________

Si la commande échoue, vous devez résoudre le problème avant de continuer.

b. Entrez une commande ping depuis PC-A du LAN de R1 vers PC-C du LAN de R3.

ce que la commande réussit?_____________

Si la commande échoue, vous devez résoudre le problème avant de continuer.

Etape 7: Configuration de la longueur minimale des mots de passe

Les mots de passe sont fixés à une longueur minimum de 10 caractères.

Ils sont relativement simples pour faciliter ce lab. Dans un réseau de production

des mots de passe plus complexes sont requis.

security passwords pour fixer une longueur minimum de

10 caractères pour les mots de passe.

-SIO 6

security passwords min-length 10

Etape 8: Configuration de base de la console, du port auxiliaire et des lignes vty.

a. Configurez le mot de passe console et validez le login pour le routeur R1. Pour

avoir plus de sécurité, la commande exec-timeout entraîne la déconnexion de

la ligne au bout de 5 minutes d'inactivité. La commande logging synchronousévite que les messages console soient mélangés avec les commandes en cours

pour éviter des connexions répétitives durant le lab, la commande

timeout 0 0 peut être entrée ce qui son expiration. Ce n'est pas une

Page 7: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

R1(config)# line console 0R1(config-line)# password ciscoconpassR1(config-line)# exec-timeout 5 0R1(config-line)# loginR1(config-line)# logging synchronous

b. Configurez le mot de passe pour les lignes vty sur le routeur R1

R1(config)# line vty 0 4R1(config-line)# password ciscovtypassR1(config-line)# exec-timeout 5 0R1(config-line)# login

c. Répétez ces configurations pour R2 et R3.

Etape 9: Configuration du cryptage des mots de passe.

a. Utilisez la commande service passworda. Utilisez la commande service passwordde passe console, aux et vty.

R1(config)# service password

b. Entrez la commande show run. Pouvez

aux et vty? Pourquoi?_______________________________________________________

c. Répétez cette configuration pour R2 et R3.

Etape 10: Sauvegarde de la configuration de base des trois routeurs

Sauvegardez la configuration courante dans la configuration de démarrage.

R1#copy running-config startup

Etape 11: Sauvegarde de la configuration de R1 et R3 pour restauration future

a. Démarrez un serveur TFTP sur PC

b. Sauvegardez les configurations de démarrage des routeurs R1 et R3 en

BTS-

b. Sauvegardez les configurations de démarrage des routeurs R1 et R3 en

utilisant les commandes suivantes:

Exemple pour R1:

R1# copy tftp startup-config

c. Redémarrez les routeurs R1 et R3 avec la commande

RE

line console 0password ciscoconpass

timeout 5 0

logging synchronous

b. Configurez le mot de passe pour les lignes vty sur le routeur R1

password ciscovtypasstimeout 5 0

c. Répétez ces configurations pour R2 et R3.

Etape 9: Configuration du cryptage des mots de passe.

service password-encryption pour crypter les mots service password-encryption pour crypter les mots

service password-encryption

. Pouvez-vous lire les mots de passe console,

aux et vty? Pourquoi?_______________________________________________________

c. Répétez cette configuration pour R2 et R3.

Etape 10: Sauvegarde de la configuration de base des trois routeurs

Sauvegardez la configuration courante dans la configuration de démarrage.

config startup-config

Etape 11: Sauvegarde de la configuration de R1 et R3 pour restauration future

a. Démarrez un serveur TFTP sur PC-A

b. Sauvegardez les configurations de démarrage des routeurs R1 et R3 en

-SIO 7

b. Sauvegardez les configurations de démarrage des routeurs R1 et R3 en

utilisant les commandes suivantes:

config

c. Redémarrez les routeurs R1 et R3 avec la commande reload.

Page 8: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

Partie 2: Configuration d'un VPN site à site avec l'IOS Cisco

Dans la partie 2 de ce lab, vous configurez un tunnel VPN IPSec entre R1 et R3

qui passe par R2. Vous allez configurer R1 et R3 en utilisant la CLI de l'IOS

Cisco. Ensuite vous revoyez et testez les résultats de votre configuration.

Tâche 1: Configuration des paramètres IPSec sur R1 et R3

Etape 1: Vérification de la connectivité depuis le LAN de R1 vers le LAN de R3.

Dans cette étape, vous vérifiez que sans tunnel en place, PC

atteindre PC-C sur le LAN de R3.

a. Depuis PC-A faire un ping vers l'adresse IP 192.168.3.3 de PC

PC-A:\> ping 192.168.3.3

b. Est-ce que la commande ping réussit?______________b. Est-ce que la commande ping réussit?______________

Si la commande ping est en échec, résoudre le problème avant de continuer.

Etape 2: Validation des stratégies IKE sur R1 et R3

Il y a deux tâches principales pour l'implémentation d'un VPN IPSec:

� La configurationdes paramètres IKE (Internet Key Exchangfe)

� La configuration des paramètres IPSec

a. Vérifiez que IKE est supporté et validé.

IKE Phase 1 définit la méthode d'échange de clés utilisée pour passer et

valider les stratégies IKE entre les extrémité. Dans IKE Phase 2, les extrémités

échanges et négocient les stratégies IPSec pour l'authentification et le cryptage

du trafic de données.

IKE doit être validé pour que IPSec fonctionne. IKE est validé par défaut sur

BTS-

IKE doit être validé pour que IPSec fonctionne. IKE est validé par défaut sur

les images de l'IOS avec les ensembles fonctionnels de cryptographie. S'il est

dévalidé pour une raison quelconque, vous pouvez le revalider avec la com

mande crypto isakmp enable. Utilisez cette commande pour vérifier que l'IOS

du routeur supporte IKE et que celui

R1(config)# crypto isakmp enable

R3(config)# crypto isakmp enable

Note: Si vous ne pouvez pas exécuter cette commande sur le routeur, vous

devez mettre à niveau l'image de l'IOS avec une image incluant l'ensemble

des services de cryptographie Cisco.

RE

Partie 2: Configuration d'un VPN site à site avec l'IOS Cisco

Dans la partie 2 de ce lab, vous configurez un tunnel VPN IPSec entre R1 et R3

qui passe par R2. Vous allez configurer R1 et R3 en utilisant la CLI de l'IOS

Cisco. Ensuite vous revoyez et testez les résultats de votre configuration.

Configuration des paramètres IPSec sur R1 et R3

Etape 1: Vérification de la connectivité depuis le LAN de R1 vers le LAN de R3.

Dans cette étape, vous vérifiez que sans tunnel en place, PC-A du LAN de R1 peut

A faire un ping vers l'adresse IP 192.168.3.3 de PC-C

ce que la commande ping réussit?______________ce que la commande ping réussit?______________

Si la commande ping est en échec, résoudre le problème avant de continuer.

Etape 2: Validation des stratégies IKE sur R1 et R3

Il y a deux tâches principales pour l'implémentation d'un VPN IPSec:

La configurationdes paramètres IKE (Internet Key Exchangfe)

La configuration des paramètres IPSec

a. Vérifiez que IKE est supporté et validé.

IKE Phase 1 définit la méthode d'échange de clés utilisée pour passer et

valider les stratégies IKE entre les extrémité. Dans IKE Phase 2, les extrémités

échanges et négocient les stratégies IPSec pour l'authentification et le cryptage

IKE doit être validé pour que IPSec fonctionne. IKE est validé par défaut sur

-SIO 8

IKE doit être validé pour que IPSec fonctionne. IKE est validé par défaut sur

les images de l'IOS avec les ensembles fonctionnels de cryptographie. S'il est

dévalidé pour une raison quelconque, vous pouvez le revalider avec la com-

. Utilisez cette commande pour vérifier que l'IOS

du routeur supporte IKE et que celui-ci est validé.

crypto isakmp enable

crypto isakmp enable

Si vous ne pouvez pas exécuter cette commande sur le routeur, vous

devez mettre à niveau l'image de l'IOS avec une image incluant l'ensemble

des services de cryptographie Cisco.

Page 9: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

b. Etablissez une stratégie ISAKMP (Internet Security Association and Key

Management Protocol) et affichez les options disponibles.

Pour permettre la négociation IKE Phase 1, vous devez créer une stratégie

ISAKMP et configurer une association d'extrémité incluant la stratégie

ISAKMP. Une stratégie ISAKMP définit les algorithmes d'authentification , de

cryptage et de hachage utilisés pour transmettre du trafic de contrôle entre

les deux extrémités VPN. Quand une association ISAKMP a été acceptée par

les extrémités IKE, IKE Phase 1 est terminé. Les paramètres IKE Phase 2 sont

configurés plus tard.

Entrez la commande de configuration

pour la stratégie 10.

R1(config)# crypto isakmp policy 10

c. Affichez les différents paramètres IKE disponibles en entrant ?.

R1(config-isakmp)# ?ISAKMP commands:

authentication Set authentication method for prot ection suitedefault Set a command to its defaultsencryption Set encryption algorithm for prote ction suiteexit Exit from ISAKMP protection suite configuration modegroup Set the Diffiehash Set hash algorithm for protection suitelifetime Set lifetime for ISAKMP security a ssociationno Negate a command or set its defaul ts

Etape 3: Configuration des paramètres de stratégie ISAKMP sur R1 et R3

Votre choix d'un algorithme de cryptage détermine le degré de confidentialité du

canal de contrôle entre les extrémités. L'algorithme de hachage contrôle l'intégrité

des données, assurant que les données reçues d'une extrémité n'ont pas été mo

difiées pendant leur transit. Lr type d'authentification assure que le paquet a bien

été transmis et signé par cette extrémité distante. Le groupe Diffie

utilisé pour créer une clé secrète partagée par les extrémités qui n'est pas trans

mise à travers le réseau.

BTS-

a. Configurez un type d'authentification avec clés pré

pour le cryptage, SHA pour l'algorithme de hachage et Diffie

pour l'échange de clés pour cette stratégie IKE.

Note: A ce point vous devez être à

crypto isakmp policy 10 est répétée ci

R1(config)# crypto isakmp policy 10R1(config-isakmp)# authentication preR1(config-isakmp)# encryption aes 256R1(config-isakmp)# hash shaR1(config-isakmp)# group 5R1(config-isakmp)# lifetime 3600R1(config-isakmp)# end

RE

b. Etablissez une stratégie ISAKMP (Internet Security Association and Key

Management Protocol) et affichez les options disponibles.

Pour permettre la négociation IKE Phase 1, vous devez créer une stratégie

ISAKMP et configurer une association d'extrémité incluant la stratégie

ISAKMP. Une stratégie ISAKMP définit les algorithmes d'authentification , de

cryptage et de hachage utilisés pour transmettre du trafic de contrôle entre

les deux extrémités VPN. Quand une association ISAKMP a été acceptée par

les extrémités IKE, IKE Phase 1 est terminé. Les paramètres IKE Phase 2 sont

Entrez la commande de configuration crypto isakmp policy 10 sur R1

crypto isakmp policy 10

c. Affichez les différents paramètres IKE disponibles en entrant ?.

authentication Set authentication method for prot ection suitedefault Set a command to its defaultsencryption Set encryption algorithm for prote ction suiteexit Exit from ISAKMP protection suite configuration modegroup Set the Diffie -Hellman grouphash Set hash algorithm for protection suitelifetime Set lifetime for ISAKMP security a ssociationno Negate a command or set its defaul ts

Etape 3: Configuration des paramètres de stratégie ISAKMP sur R1 et R3

Votre choix d'un algorithme de cryptage détermine le degré de confidentialité du

canal de contrôle entre les extrémités. L'algorithme de hachage contrôle l'intégrité

des données, assurant que les données reçues d'une extrémité n'ont pas été mo-

difiées pendant leur transit. Lr type d'authentification assure que le paquet a bien

été transmis et signé par cette extrémité distante. Le groupe Diffie-Hellman est

utilisé pour créer une clé secrète partagée par les extrémités qui n'est pas trans-

-SIO 9

a. Configurez un type d'authentification avec clés pré-partagées. Utilisez AES-256

pour le cryptage, SHA pour l'algorithme de hachage et Diffie-Hellman groupe 5

pour l'échange de clés pour cette stratégie IKE.

A ce point vous devez être à R1(config-isakmp)#. La commande

est répétée ci-dessous pour resituer le contexte.

crypto isakmp policy 10authentication pre-shareencryption aes 256hash sha

lifetime 3600

Page 10: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

R3(config)# crypto isakmp policy 10R3(config-isakmp)# authentication preR3(config-isakmp)# encryption aes 256R3(config-isakmp)# hash shaR3(config-isakmp)# group 5R3(config-isakmp)# lifetime 3600R3(config-isakmp)# end

c. Vérifiez la stratégie IKE avec la commande

R1#show crypto isakmp policyGlobal IKE policyProtection suite of priority 10

encryption algorithm: AES -keys).hash algorithm: Secure Hash Standardauthentication method: Pre- Shared KeyDiffie - Hellman group: #5 (1536 bit)Diffie - Hellman group: #5 (1536 bit)lifetime: 3600 seconds, no volume limit

Etape 4: Configuration des clés pré-partagées.

a. Comme les clés pré-partagées sont utilisées comme méthode d'authentification

dans la stratégie IKE, configurez une clé sur chaque routeur qui pointe vers

l'autre extrémité du VPN. Ces clés doivent correspondre pour que l'authentifi

cation soit réussie. La commande configuration globale

key-string address address est utilisée pour entrer une clé pré

Utilisez l'adresse IP de l'extrémité distante, interface distante que l'extrémité

utilise pour router le trafic vers le routeur local.

Quelles adresses IP devez vous utiliser pour configurer les extrémités IKE selon

la topologie et la table d'adressage IP

_____________________________________________________________________________

_____________________________________________________________________________

b. Chaque adresse IP qui est utilisée pour configurer les extrémités IKE est égale

ment référencée comme l'adresse IP de l'extrémité VPN distante. Configurez la

clé pré-partagée cisco123 sur le routeur R1 en utilisant la commande suivante.

BTS-

clé pré-partagée cisco123 sur le routeur R1 en utilisant la commande suivante.

Les réseaux de production doivent utiliser une clé plus complexe. Cette com

mande pointe vers l'adresse IP l'extrémité distante R3 S0/0/1.

R1(config)# crypto isakmp key cisco123 address 10.2.2.1

c. La commande pour R3 pointe vers l'adresse IP de R1 S0/0/0. Configurez la clé

pré-partagée sur le routeur R3 en utilisant la commande suivante.

R3(config)# crypto isakmp key cisco123 address 10.1.1.1

RE

crypto isakmp policy 10authentication pre-shareencryption aes 256

lifetime 3600

c. Vérifiez la stratégie IKE avec la commande show crypto isakmp policy.

Protection suite of priority 10Advanced Encryption Standard (256 bit

hash algorithm: Secure Hash StandardShared Key

Hellman group: #5 (1536 bit)Hellman group: #5 (1536 bit)lifetime: 3600 seconds, no volume limit

partagées.

partagées sont utilisées comme méthode d'authentification

dans la stratégie IKE, configurez une clé sur chaque routeur qui pointe vers

l'autre extrémité du VPN. Ces clés doivent correspondre pour que l'authentifi-

cation soit réussie. La commande configuration globale crypto isakmp key est utilisée pour entrer une clé pré-partagée.

Utilisez l'adresse IP de l'extrémité distante, interface distante que l'extrémité

utilise pour router le trafic vers le routeur local.

Quelles adresses IP devez vous utiliser pour configurer les extrémités IKE selon

la topologie et la table d'adressage IP?

_____________________________________________________________________________

_____________________________________________________________________________

b. Chaque adresse IP qui est utilisée pour configurer les extrémités IKE est égale-

ment référencée comme l'adresse IP de l'extrémité VPN distante. Configurez la

partagée cisco123 sur le routeur R1 en utilisant la commande suivante.

-SIO 10

partagée cisco123 sur le routeur R1 en utilisant la commande suivante.

Les réseaux de production doivent utiliser une clé plus complexe. Cette com-

mande pointe vers l'adresse IP l'extrémité distante R3 S0/0/1.

crypto isakmp key cisco123 address 10.2.2.1

c. La commande pour R3 pointe vers l'adresse IP de R1 S0/0/0. Configurez la clé

partagée sur le routeur R3 en utilisant la commande suivante.

crypto isakmp key cisco123 address 10.1.1.1

Page 11: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

Etape 5: Configuration du transform set IPSec et des durées de vie

a. Le transform set IPSec est un autre paramètre de configuration IPSec que les

routeurs négocient pour former une association de sécurité. Pour créer untransform set IPSec, utilisez la commande

parameters. Utilisez le ? pour voir quels sont les paramètres disponibles.

R1(config)# crypto ipsec transformah-md5-hmac AH-HMAC- MD5 transformah-sha-hmac AH-HMAC- SHA transformcomp- lzs IP Compression using the LZS compression a lgorithmesp- 3des ESP transform using 3DES(EDE) cipher (168 bits)esp- aes ESP transform using AES cipheresp- des ESP transform using DES cipher (56 bits)esp-md5- hmac ESP transform using HMACesp- null ESP transform w/o cipheresp- seal ESP transform using SEAL cipher (160 bits )esp-sha- hmac ESP transform using HMAC

b. Sur R1 et R3 créez un transform set avec le tag 50 et utilisez ESP

(Encapsulating Security Protocol) avec cryptage AES

transform set doivent être identiques.

R1(config)# crypto ipsec transformR1(cfg-crypto-trans)# exitR3(config)# crypto ipsec transformR3(cfg-crypto-trans)# exit

c. Quelle est la fonction du transform set IPSec?

_____________________________________________________________________________

_____________________________________________________________________________

d. Vous pouvez également changer les durées de vie des associations de sécurité

IPSec qui sont par défaut 3600 secondes ou 4608000 kilobytes. Sur R1 et R3

fixez la durée de vie de l'adssociation de sécurité IPSec à 30 minutes ou 1800

secondes.

R1(config)# crypto ipsec security

BTS-

R3(config)# crypto ipsec security

Etape 6: Définition du trafic intêressant

a. Pour utiliser le cryptage avec le VPN IPSec, il est nécessaire de définir une liste

d'accès étendue pour indiquer au routeur quel trafic il doit crypter. Un paquet

qui est permis par une liste d'accès utilisée pour définir le trafic IPSec est

crypté si la session IPSec est configurée correctement. Un paquet qui est rejeté

par une de ces listes d'accès n'est pas rejeté mais transmis sans être crypté.

Tout comme les autres listes d'accès, il y a une instruction implicite de rejet à

la fin de la liste d'accès qui dans ce cas veut dire que l'action par défaut est de

ne pas crypter le trafic. S'il n'y a pas d'association IPSec correctement confi

gurée, le trafic n'est pas crypté et il est achemené normalement.

RE

Etape 5: Configuration du transform set IPSec et des durées de vie

a. Le transform set IPSec est un autre paramètre de configuration IPSec que les

routeurs négocient pour former une association de sécurité. Pour créer untransform set IPSec, utilisez la commande crypto ipsec transform-set tag

. Utilisez le ? pour voir quels sont les paramètres disponibles.

crypto ipsec transform-set 50 ?MD5 transformSHA transform

lzs IP Compression using the LZS compression a lgorithm3des ESP transform using 3DES(EDE) cipher (168 bits)aes ESP transform using AES cipherdes ESP transform using DES cipher (56 bits)

hmac ESP transform using HMAC -MD5 authnull ESP transform w/o cipherseal ESP transform using SEAL cipher (160 bits )

hmac ESP transform using HMAC -SHA auth

b. Sur R1 et R3 créez un transform set avec le tag 50 et utilisez ESP

(Encapsulating Security Protocol) avec cryptage AES-256 et SHA HMAC. Les

transform set doivent être identiques.

crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac

crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac

c. Quelle est la fonction du transform set IPSec?

_____________________________________________________________________________

_____________________________________________________________________________

d. Vous pouvez également changer les durées de vie des associations de sécurité

IPSec qui sont par défaut 3600 secondes ou 4608000 kilobytes. Sur R1 et R3

fixez la durée de vie de l'adssociation de sécurité IPSec à 30 minutes ou 1800

crypto ipsec security-association lifetime seconds 1800

-SIO 11

crypto ipsec security-association lifetime seconds 1800

a. Pour utiliser le cryptage avec le VPN IPSec, il est nécessaire de définir une liste

d'accès étendue pour indiquer au routeur quel trafic il doit crypter. Un paquet

qui est permis par une liste d'accès utilisée pour définir le trafic IPSec est

crypté si la session IPSec est configurée correctement. Un paquet qui est rejeté

par une de ces listes d'accès n'est pas rejeté mais transmis sans être crypté.

Tout comme les autres listes d'accès, il y a une instruction implicite de rejet à

la fin de la liste d'accès qui dans ce cas veut dire que l'action par défaut est de

ne pas crypter le trafic. S'il n'y a pas d'association IPSec correctement confi-

gurée, le trafic n'est pas crypté et il est achemené normalement.

Page 12: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

b. Dans ce scénario, le trafic que vous voulez crypter est du trafic allant du LAN

Ethernet de R1 vers le LAN Ethernet de R3 ou vice versa. Ces listes d'accès sont

utilisées en sortie sur les interfaces des extrémités VPN et doivent être un

mirroir l'une de l'autre.

c. Configurez l'ACL du trafic VPN IPSec intêressant sur R1.

R1(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.00.0.0.255

d. Configurez l'ACL du trafic VPN IPSec intêressant sur R1.

R3(config)# access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.00.0.0.255

e. Est-ce que IPSec vérifie que les listes d'accès sont le mirroir l'une de l'autre

pour négocier les associations de sécurité?

______________________________________________________________________________

____________________________________________________________________________________________________________________________________________________________

Etape 7: Créer et appliquer une crypto map

Une crypto map associe le trafic intêressant qui correspond à la liste d'accès avec

une extrémité et différents paramètres IKE et IPSec. Après la création de la

crypto map, celle-ci peut êttre appliquée à une ou plusieurs interfaces. Les inter

faces auxquelles elle est appliquée doit être une de celle faisant face à l'autre

extrémité IPSec.

a. Pour créer une crypto map, utilisez la commande

sequence-num type en mode de configuration global pour entrer en mode de

configuration crypto map pour ce numéro de séquence. Plusieurs instructions

de crypto map peuvent appartenir à la même crypto map et sont évaluées dans

l'ordre numérique descendant . Entrez en mode de configuration crypto map

sur R1. Utilisez le type ipsec-isakmp qui signifie que IKE est utilisé pour établir

les associations de sécurité IPSec.

b. Créez la crypto map nommée CMAP sur R1 avec 10 comme numéro de

séquence. Un message est affiché à l'exécution de la commande.

BTS-

séquence. Un message est affiché à l'exécution de la commande.

R1(config)# crypto map CMAP 10 ipsec% NOTE: This new crypto map will remain disabled until a peerand a valid access list have been configured.

c. Utilisez la commande match-addressd'accès définit le trafic à crypter.

R1(config-crypto-map)# match address 101

RE

b. Dans ce scénario, le trafic que vous voulez crypter est du trafic allant du LAN

Ethernet de R1 vers le LAN Ethernet de R3 ou vice versa. Ces listes d'accès sont

utilisées en sortie sur les interfaces des extrémités VPN et doivent être un

c. Configurez l'ACL du trafic VPN IPSec intêressant sur R1.

list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0

d. Configurez l'ACL du trafic VPN IPSec intêressant sur R1.

list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0

ce que IPSec vérifie que les listes d'accès sont le mirroir l'une de l'autre

pour négocier les associations de sécurité?

______________________________________________________________________________

____________________________________________________________________________________________________________________________________________________________

Etape 7: Créer et appliquer une crypto map

Une crypto map associe le trafic intêressant qui correspond à la liste d'accès avec

une extrémité et différents paramètres IKE et IPSec. Après la création de la

ci peut êttre appliquée à une ou plusieurs interfaces. Les inter-

faces auxquelles elle est appliquée doit être une de celle faisant face à l'autre

a. Pour créer une crypto map, utilisez la commande crypto map name en mode de configuration global pour entrer en mode de

configuration crypto map pour ce numéro de séquence. Plusieurs instructions

de crypto map peuvent appartenir à la même crypto map et sont évaluées dans

l'ordre numérique descendant . Entrez en mode de configuration crypto map

isakmp qui signifie que IKE est utilisé pour établir

les associations de sécurité IPSec.

b. Créez la crypto map nommée CMAP sur R1 avec 10 comme numéro de

séquence. Un message est affiché à l'exécution de la commande.

-SIO 12

séquence. Un message est affiché à l'exécution de la commande.

crypto map CMAP 10 ipsec-isakmp% NOTE: This new crypto map will remain disabled until a peerand a valid access list have been configured.

address access-list pour spécifier quelle liste

match address 101

Page 13: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

d. Pour afficher l'ensemble des commandes que vous pouvez inclure dans une

crypto map utilisez l'aide en ligne (?).

R1(config-crypto-map)# set ?Identity Identity restriction.Ip Interface Internet Protocol config commandsisakmp- profile Specify isakmp Profilenat Set NAT translationpeer Allowed Encryption/Decryption peer.pfs Specify pfs settingssecurity- association Security association parameterstransform- set Specify list of transform sets in priority

order

e. Configurer un nom de host ou une adresse IP d'extrémité est requis. Configurez

l'adresse IP de l'interface de l'extrémité VPN distante de R3 avec la commande

suivante:

R1(config-crypto-map)# set peer 10.2.2.1

f. Indiquez le transform set à utiliser avec cette extrémité en utilisant la commande set transform-set tagsecrecy) avec la commande set pfs vie par défaut le l'association de sécurité IPSec avec la commande

security association lifetime seconds

R1(config-crypto-map)# set pfs group5R1(config-crypto-map)# set transformR1(config-crypto-map)# set securityR1(config-crypto-map)# exit

g. Créez une cryto map mirroir sur R3.

R3(config-crypto-map)# match address 101R3(config-crypto-map)# set peer 10.1.1.1R3(config-crypto-map)# set pfs group5R3(config-crypto-map)# set transformR3(config-crypto-map)# set securityR3(config - crypto - map)#exit

BTS-

R3(config - crypto - map)#exit

h. La dernière étape est l'application des crypto map aux interfaces. Notez que

les associations de sécurité (SAs) ne seront pas établies tant que la crypto map

n'aura pas été activée par le trafic intêressant. Le routeur va générer un

message pour indiquer que la crypto map est opérationnelle.

i. Appliquez les crypto map aux interfaces appropriées sur R1 et R3.

R1(config)# interface S0/0/0R1(config-if)# crypto map CMAP*Jan 28 04:09:09.150: %CRYPTOR1(config)# end

R3(config)# interface S0/0/1R3(config-if)# crypto map CMAP*Jan 28 04:10:54.138: %CRYPTOR3(config)# end

RE

d. Pour afficher l'ensemble des commandes que vous pouvez inclure dans une

crypto map utilisez l'aide en ligne (?).

set ?Identity Identity restriction.Ip Interface Internet Protocol config commands

profile Specify isakmp Profilenat Set NAT translationpeer Allowed Encryption/Decryption peer.pfs Specify pfs settings

association Security association parametersset Specify list of transform sets in priority

e. Configurer un nom de host ou une adresse IP d'extrémité est requis. Configurez

l'adresse IP de l'interface de l'extrémité VPN distante de R3 avec la commande

set peer 10.2.2.1

f. Indiquez le transform set à utiliser avec cette extrémité en utilisant la com-tag. Fixez le type de pfs (Perfect forwarding

set pfs type et modifiez également la durée de

vie par défaut le l'association de sécurité IPSec avec la commande set security association lifetime seconds seconds.

set pfs group5set transform-set 50set security-association lifetime seconds 900

g. Créez une cryto map mirroir sur R3.

match address 101set peer 10.1.1.1set pfs group5set transform-set 50set security-association lifetime seconds 900

-SIO 13

h. La dernière étape est l'application des crypto map aux interfaces. Notez que

les associations de sécurité (SAs) ne seront pas établies tant que la crypto map

n'aura pas été activée par le trafic intêressant. Le routeur va générer un

message pour indiquer que la crypto map est opérationnelle.

i. Appliquez les crypto map aux interfaces appropriées sur R1 et R3.

crypto map CMAP*Jan 28 04:09:09.150: %CRYPTO -6-ISAKMP_ON_OFF: ISAKMP is ON

crypto map CMAP*Jan 28 04:10:54.138: %CRYPTO -6-ISAKMP_ON_OFF: ISAKMP is ON

Page 14: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

Tâche 2: Vérifier la configuration VPN IPSec site à site

Etape 1: Vérification de la configuration IPSec sur R1 et R3.

a. Vous avez déjà utilisé la commande

afficher les stratégies ISAKMP configurées sur le routeur. De manière similaire la commande show crypto ipsec transformdes stratégies IPSec configurées sous la forme d'un transform set.

R1#show crypto ipsec transformTransform set 50: { esp-256- aes espwill negotiate = { Tunnel, },

Transform set #$!default_transform_set_1: { espwill negotiate = { Transport, },

Transform set #$!default_transform_set_0: { espwill negotiate = { Transport, },

R3#show crypto ipsec transformTransform set 50: { esp-256- aes espwill negotiate = { Tunnel, },

Transform set #$!default_transform_set_1: { espwill negotiate = { Transport, },

Transform set #$!default_transform_set_0: { espwill negotiate = { Transport, },

b. Utilisez la commande show crypto map appliquées au routeur.

R1#show crypto mapCrypto Map "CMAP" 10 ipsec- isakmp

Peer = 10.2.2.1Extended IP access list 101access- list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3. 0 0.0.0.255

Current peer: 10.2.2.1Security association lifetime: 4608000 kilobytes/90 0 seconds

BTS-

Security association lifetime: 4608000 kilobytes/90 0 secondsPFS (Y/N): YDH group: group5Transform sets={

50: { esp-256-aes esp- sha}

Interfaces using crypto map MYMAP: Serial0/0/0

RE

Vérifier la configuration VPN IPSec site à site

Etape 1: Vérification de la configuration IPSec sur R1 et R3.

a. Vous avez déjà utilisé la commande show crypto isakmp policy pour

afficher les stratégies ISAKMP configurées sur le routeur. De manière similaire show crypto ipsec transform-set affiche la configuration

des stratégies IPSec configurées sous la forme d'un transform set.

show crypto ipsec transform-setaes esp -sha-hmac }

Transform set #$!default_transform_set_1: { esp -aes esp-sha-hmac }will negotiate = { Transport, },

Transform set #$!default_transform_set_0: { esp -3des esp-sha-hmac }will negotiate = { Transport, },

show crypto ipsec transform-setaes esp -sha-hmac }

Transform set #$!default_transform_set_1: { esp -aes esp-sha-hmac }will negotiate = { Transport, },

Transform set #$!default_transform_set_0: { esp -3des esp-sha-hmac }will negotiate = { Transport, },

show crypto map pour afficher les crypto maps

isakmp

list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3. 0 0.0.0.255

Security association lifetime: 4608000 kilobytes/90 0 seconds

-SIO 14

Security association lifetime: 4608000 kilobytes/90 0 seconds

sha -hmac } ,

Interfaces using crypto map MYMAP: Serial0/0/0

Page 15: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

R3#show crypto mapCrypto Map "CMAP" 10 ipsec- isakmp

Peer = 10.1.1.1Extended IP access list 101access- list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1. 0 0.0.0.255

Current peer: 10.1.1.1Security association lifetime: 4608000 kilobytes/90 0 secondsPFS (Y/N): YDH group: group5Transform sets={

50: { esp-256-aes esp -}

Interfaces using crypto map MYMAP: Serial0/0/1

Note: La sortie de ces commandes show ne change pas si le trafic intêressant

passe par la connexion VPN.

Tâche 3: Vérification du fonctionnement du VPN IPSec

Etape 1: Affichage des associations de sécurité ISAKMP

La commande show cryoto isakmp sa Quand du trafic intêressant est transmis, la sortie de cette commande change.

R1#show crypto isakmp sa

dst src state conn

Etape 2: Affichage des associations de sécurité IPSec

a. La commande show crypto ipsec sa nombre de paquets transmis et qu'il n'y a pas d'association de sécurité établie.

R1#show crypto ipsec sa

interface: Serial0/0/0Crypto map tag: CMAP, local addr 10.1.1.1protected vrf: (none)local ident (addr/mask/prot/port): (192.168.1.0/255 .255.255.0/0/0)

BTS-

local ident (addr/mask/prot/port): (192.168.1.0/255 .255.255.0/0/0)remote ident (addr/mask/prot/port): (192.168.3.0/25 5.255.255.0/0/0)current_peer 10.2.2.1 port 500

PERMIT, flags={origin_is_acl,}#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0#pkts compressed: 0, #pkts decompressed: 0#pkts not compressed: 0, #pkts compr. failed: 0#pkts not decompressed: 0, #pkts decompress failed: 0#send errors 0, #recv errors 0

local crypto endpt.: 10.1.1.1, remote crypto endpt. : 10.2.2.1path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0current outbound spi: 0x0(0) inbound esp sas:inbound ah sas:inbound pcp sas:outbound esp sas:outbound ah sas:outbound pcp sas:

RE

isakmp

list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1. 0 0.0.0.255

Security association lifetime: 4608000 kilobytes/90 0 seconds

- sha-hmac } ,

Interfaces using crypto map MYMAP: Serial0/0/1

La sortie de ces commandes show ne change pas si le trafic intêressant

Vérification du fonctionnement du VPN IPSec

Etape 1: Affichage des associations de sécurité ISAKMP.

show cryoto isakmp sa révèle qu'il n'y a pas encore de SA IKE.

Quand du trafic intêressant est transmis, la sortie de cette commande change.

dst src state conn -id slot status

Etape 2: Affichage des associations de sécurité IPSec

show crypto ipsec sa affiche les SA entre R1 et R3. Notez le

nombre de paquets transmis et qu'il n'y a pas d'association de sécurité établie.

Crypto map tag: CMAP, local addr 10.1.1.1

local ident (addr/mask/prot/port): (192.168.1.0/255 .255.255.0/0/0)

-SIO 15

local ident (addr/mask/prot/port): (192.168.1.0/255 .255.255.0/0/0)remote ident (addr/mask/prot/port): (192.168.3.0/25 5.255.255.0/0/0)current_peer 10.2.2.1 port 500

PERMIT, flags={origin_is_acl,}#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0#pkts compressed: 0, #pkts decompressed: 0#pkts not compressed: 0, #pkts compr. failed: 0#pkts not decompressed: 0, #pkts decompress failed: 0#send errors 0, #recv errors 0

local crypto endpt.: 10.1.1.1, remote crypto endpt. : 10.2.2.1path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0current outbound spi: 0x0(0)

Page 16: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

b. Pourquoi n'y a-t-il pas d'association (SA) de sécurité négociée?

_________________________________________________________________________

_________________________________________________________________________

Etape 3: Génération de trafic de test intérêssant et observation des résultats

a. Faire une commande ping depuis R1 vers l'adresse IP 10.2.2.1 de l'interface

S0/0/1 de R3. Est-ce que la commande ping réussit? ______________________

b. Entrez la commande show crypto isakmp saentre R1 et R3?_____________

c. Faire une commande ping de R1 vers l'adresse IP 192.168.3.1 de R3. Est

la commande ping réussit?____________________________________________________

d. Entrez de nouveau la commande

association de sécurité a été créée? Pourquoi? ________________________________

____________________________________________________________________________________________________________________________________________________________

______________________________________________________________________________

______________________________________________________________________________

e. Entrez la commande debug eigrp packetsEIGRP passant entre R1 et R3.

R1#debug eigrp packetsEIGRP Packets debugging is on(UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROB E, ACK, STUB,

SIAQUERY, SIAREPLY)R1#*Jan 29 16:05:41.243: EIGRP: Received HELLO on Seri al0/0/0 nbr 10.1.1.2*Jan 29 16:05:41.243: AS 101, Flags 0x0, Seq 0/0 id bQ 0/0 iidbQun/rely 0/0 peerQ un/rely 0/0*Jan 29 16:05:41.887: EIGRP: Sending HELLO on Seria l0/0/0*Jan 29 16:05:41.887: AS 101, Flags 0x0, Seq 0/0 id bQ 0/0 iidbQun/rely 0/0R1#*Jan 29 16:05:43.143: EIGRP: Sending HELLO on FastE thernet0/1*Jan 29 16:05:43.143: AS 101, Flags 0x0, Seq 0/0 id bQ 0/0 iidbQun/rely 0/0R1#

BTS-

R1#

f. Arrêtez le debugging avec la commande

g. Utilisez la commande show crypto isakmp saentre R1 et R3? Pourquoi?__________________________________________________

____________________________________________________________________________

Etape 4: Générez du trafic de test intêressant et observez les résultats

a. Utilisez une commande ping étendue depuis R1 vers l'adresse IP 192.168.3.1

de R3.La commande ping étendue vous permet de contrôler l'adresse source

des paquets. Répondez aux questions comme le montre l'exemple suivant.

Pressez la touche enter pour accepter les valeurs par défaut, sauf celles pour

lesquelles une réponse est indiquée.

RE

il pas d'association (SA) de sécurité négociée?

_________________________________________________________________________

_________________________________________________________________________

Etape 3: Génération de trafic de test intérêssant et observation des résultats

a. Faire une commande ping depuis R1 vers l'adresse IP 10.2.2.1 de l'interface

ce que la commande ping réussit? ______________________

show crypto isakmp sa. Est-ce qu'une SA a été créée

c. Faire une commande ping de R1 vers l'adresse IP 192.168.3.1 de R3. Est-ce que

la commande ping réussit?____________________________________________________

d. Entrez de nouveau la commande show crypto ipsec sa. Est-ce qu'une

association de sécurité a été créée? Pourquoi? ________________________________

____________________________________________________________________________________________________________________________________________________________

______________________________________________________________________________

______________________________________________________________________________

debug eigrp packets. Vous devez voir des paquets hello

(UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROB E, ACK, STUB,

*Jan 29 16:05:41.243: EIGRP: Received HELLO on Seri al0/0/0 nbr 10.1.1.2*Jan 29 16:05:41.243: AS 101, Flags 0x0, Seq 0/0 id bQ 0/0 iidbQ

*Jan 29 16:05:41.887: EIGRP: Sending HELLO on Seria l0/0/0*Jan 29 16:05:41.887: AS 101, Flags 0x0, Seq 0/0 id bQ 0/0 iidbQ

*Jan 29 16:05:43.143: EIGRP: Sending HELLO on FastE thernet0/1*Jan 29 16:05:43.143: AS 101, Flags 0x0, Seq 0/0 id bQ 0/0 iidbQ

-SIO 16

f. Arrêtez le debugging avec la commande no debug all.

show crypto isakmp sa. Est-ce qu'une SA a été créée

entre R1 et R3? Pourquoi?__________________________________________________

____________________________________________________________________________

Etape 4: Générez du trafic de test intêressant et observez les résultats

a. Utilisez une commande ping étendue depuis R1 vers l'adresse IP 192.168.3.1

de R3.La commande ping étendue vous permet de contrôler l'adresse source

des paquets. Répondez aux questions comme le montre l'exemple suivant.

Pressez la touche enter pour accepter les valeurs par défaut, sauf celles pour

lesquelles une réponse est indiquée.

Page 17: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

R1#pingProtocol [ip]:Target IP address: 192.168.3.1Repeat count [5]:Datagram size [100]:Timeout in seconds [2]:Extended commands [n]: ySource address or interface: 192.168.1.1Type of service [0]:Set DF bit in IP header? [no]:Validate reply data? [no]:Data pattern [0xABCD]:Loose, Strict, Record, Timestamp, Verbose[none]:Sweep range of sizes [n]:Type escape sequence to abort.Sending 5, 100- byte ICMP Echos to 192.168.3.1, timeout is 2 second s:Packet sent with a source address of 192.168.1.1!!!!!Success rate is 100 percent (5/5), roundmsms

b. Entrez de nouveau la commande

R1#show crypto isakmp saIPv4 Crypto ISAKMP SAdst src state conn10.2.2.1 10.1.1.1 QM_IDLE 1001 0 ACTIVE

c. Pourquoi une SA a-t-elle été créée entre R1 et R3 cette fois

______________________________________________________________________________

d. Quels sont les extrémités du tunnel VPN IPSec?_______________________________

e. Faire une commande ping depuis PC

réussit?__________________________________________________________________

f. Entrez la commande show cryopto ipsec sacryptés entree R1 et R3?___________________________________________________

BTS-

R1#show crypto ipsec sa

interface: Serial0/0/0Crypto map tag: CMAP, local addr 10.1.1.1protected vrf: (none)local ident (addr/mask/prot/port): (192.168.1.0/255 .255.255.0/0/0)remote ident (addr/mask/prot/port): (192.168.3.0/25 5.255.255.0/0/0)current_peer 10.2.2.1 port 500

PERMIT, flags={origin_is_acl,}#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9#pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9#pkts compressed: 0, #pkts decompressed: 0#pkts not compressed: 0, #pkts compr. failed: 0#pkts not decompressed: 0, #pkts decompress failed: 0#send errors 0, #recv errors 0

local crypto endpt.: 10.1.1.1, remote crypto endpt. : 10.2.2.1path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0current outbound spi: 0xC1DD058(203280472)

RE

192.168.3.1

192.168.1.1

Set DF bit in IP header? [no]:

Loose, Strict, Record, Timestamp, Verbose[none]:

Type escape sequence to abort.byte ICMP Echos to 192.168.3.1, timeout is 2 second s:

Packet sent with a source address of 192.168.1.1

Success rate is 100 percent (5/5), round -trip min/avg/max = 92/92/92

. Entrez de nouveau la commande show crypto isakmp sa de nouveau.

dst src state conn -id slot status10.2.2.1 10.1.1.1 QM_IDLE 1001 0 ACTIVE

elle été créée entre R1 et R3 cette fois-ci?_________________

______________________________________________________________________________

d. Quels sont les extrémités du tunnel VPN IPSec?_______________________________

e. Faire une commande ping depuis PC-A vers PC-C. Est-ce que la commande

réussit?__________________________________________________________________

show cryopto ipsec sa. Combien de paquets ont été

cryptés entree R1 et R3?___________________________________________________

-SIO 17

Crypto map tag: CMAP, local addr 10.1.1.1

local ident (addr/mask/prot/port): (192.168.1.0/255 .255.255.0/0/0)remote ident (addr/mask/prot/port): (192.168.3.0/25 5.255.255.0/0/0)

PERMIT, flags={origin_is_acl,}#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9#pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9#pkts compressed: 0, #pkts decompressed: 0#pkts not compressed: 0, #pkts compr. failed: 0#pkts not decompressed: 0, #pkts decompress failed: 0

local crypto endpt.: 10.1.1.1, remote crypto endpt. : 10.2.2.1path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0current outbound spi: 0xC1DD058(203280472)

Page 18: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

local crypto endpt.: 10.1.1.1, remote crypto endpt. : 10.2.2.1path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0current outbound spi: 0xC1DD058(203280472)

inbound esp sas:spi: 0xDF57120F(3747025423)

transform: esp-256- aes espin use settings ={Tunnel, }conn id: 2005, flow_id: FPGA:5, crypto map: CMAPsa timing: remaining key lifetime (k/sec): (4485195 /877)IV size: 16 bytesreplay detection support: YStatus: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:spi: 0xC1DD058(203280472)

transform: esp - 256- aes esptransform: esp - 256- aes espin use settings ={Tunnel, }conn id: 2006, flow_id: FPGA:6, crypto map: CMAPsa timing: remaining key lifetime (k/sec): (4485195 /877)IV size: 16 bytesreplay detection support: YStatus: ACTIVE

outbound ah sas:

outbound pcp sas:

g. L'exemple précédent utilisait la commande ping pour générer du trafic intêres

sant. Quel autre type de trafic aurait entrainé la formation de SA IPSec et

l'établissement du tunnel?___________________________________________________

______________________________________________________________________________

Partie 3: Configuration d'un VPN IPSec site à site avec SDM

Dans la partie 3 de ce lab, vous configurez un tunnel VPN IPSec entre R1 et R3

qui passe par R2. Dans la tâche 2, vous configurez R1 en utilisant Cisco SDM.

BTS-

qui passe par R2. Dans la tâche 2, vous configurez R1 en utilisant Cisco SDM.

Dans la tâche 3, vous générez la configuration mirroir pour R3 en utilisant les

utilitaires du SDM. Vous revoyez puis vous testez la configuration.

Tâche 1: Restauration de la configuration de base de R1 et R3

Etape 1: Restauration de la configuration de démarrage

A l'aide la commande copy tftp startupdémarrage avec les fichiers sauvegardés sur le serveur TFTP. Cette restauration

doit être faite pour R1 et R3.

R1# copy tftp startup-config

<répondez aux questions posées>

RE

local crypto endpt.: 10.1.1.1, remote crypto endpt. : 10.2.2.1path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0current outbound spi: 0xC1DD058(203280472)

aes esp -sha-hmac ,in use settings ={Tunnel, }conn id: 2005, flow_id: FPGA:5, crypto map: CMAPsa timing: remaining key lifetime (k/sec): (4485195 /877)

replay detection support: Y

aes esp - sha - hmac , aes esp - sha - hmac , in use settings ={Tunnel, }conn id: 2006, flow_id: FPGA:6, crypto map: CMAPsa timing: remaining key lifetime (k/sec): (4485195 /877)

replay detection support: Y

g. L'exemple précédent utilisait la commande ping pour générer du trafic intêres-

sant. Quel autre type de trafic aurait entrainé la formation de SA IPSec et

l'établissement du tunnel?___________________________________________________

______________________________________________________________________________

Partie 3: Configuration d'un VPN IPSec site à site avec SDM

Dans la partie 3 de ce lab, vous configurez un tunnel VPN IPSec entre R1 et R3

qui passe par R2. Dans la tâche 2, vous configurez R1 en utilisant Cisco SDM.

-SIO 18

qui passe par R2. Dans la tâche 2, vous configurez R1 en utilisant Cisco SDM.

Dans la tâche 3, vous générez la configuration mirroir pour R3 en utilisant les

utilitaires du SDM. Vous revoyez puis vous testez la configuration.

Restauration de la configuration de base de R1 et R3

Etape 1: Restauration de la configuration de démarrage

copy tftp startup-config, rechargez la configuration de

démarrage avec les fichiers sauvegardés sur le serveur TFTP. Cette restauration

Page 19: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

Etape 2: Redémarrage des routeurs et test de la connectivité

a. Entrez la commande reload sur chacun des routeurs.

R1# reload

b. Testez la connectivité en passant une commande ping depuis PC

Si la commande échoue, vous devez résoudre le problème avant de continuer.

Tâche 2: Configuration des paramètres du VPN IPSec sur R1 en utilisant SDM

Etape 1: Configuration du mot de passe enable secret et de l'accès HTTP au routeur

a. A partir de la CLI, configurez le mot de passe enable secret pour l'utiliser avec

SDM sur R1 et R3.

R1(config)# enable secret cisco12345

R3(config)# enable secret cisco12345

b. Validez le serveur HTTP sur R1 et R3.

R1(config)# ip http server

R3(config)# ip http server

Etape 2: Accéder au SDM et fixer les préférences

a. Lancez l'application SDM ou ouvrez un navigateur sur PC

en entrant l'adresse IP de R1 192.168.1.1 dans le champ adresse.

Note: Vous pouvez être interrogé par Internet Explorer pour autoriser les

ActiveX pendant certaines de ces étapes.Cliquez sur Autoriser.

b. Connectez-vous sans nom d'utilisateur et en entrant le mot de passe enable

secret cisco12345.

c. Dans la boîte de dialogue Authentication Required, ne remplissez pas le

BTS-

c. Dans la boîte de dialogue Authentication Required, ne remplissez pas le

champ Username et entrez cisco12345 Yes.

d. Si la boite de dialogue IOS IPS s'affiche, cliquez sur le bouton Cancel pour

passer cette option.

e. Sélectionnez Edit> Preferences dans la barre de menu en haut de l'écran du

SDM pour permettre la visualisation des commandes avant des transmettre au

routeur. Dans la fenêtre User Preferences, cochez la case

before delivering to routeur puis cliquez sur

RE

Etape 2: Redémarrage des routeurs et test de la connectivité

sur chacun des routeurs.

b. Testez la connectivité en passant une commande ping depuis PC-A vers PC-C.

Si la commande échoue, vous devez résoudre le problème avant de continuer.

Configuration des paramètres du VPN IPSec sur R1 en utilisant SDM

Etape 1: Configuration du mot de passe enable secret et de l'accès HTTP au routeur

a. A partir de la CLI, configurez le mot de passe enable secret pour l'utiliser avec

enable secret cisco12345

enable secret cisco12345

b. Validez le serveur HTTP sur R1 et R3.

Etape 2: Accéder au SDM et fixer les préférences

a. Lancez l'application SDM ou ouvrez un navigateur sur PC-A et démarrez le SDM

en entrant l'adresse IP de R1 192.168.1.1 dans le champ adresse.

Vous pouvez être interrogé par Internet Explorer pour autoriser les

ActiveX pendant certaines de ces étapes.Cliquez sur Autoriser.

vous sans nom d'utilisateur et en entrant le mot de passe enable

c. Dans la boîte de dialogue Authentication Required, ne remplissez pas le

-SIO 19

c. Dans la boîte de dialogue Authentication Required, ne remplissez pas le

cisco12345 dans le champ Password. Cliquez sur

d. Si la boite de dialogue IOS IPS s'affiche, cliquez sur le bouton Cancel pour

dans la barre de menu en haut de l'écran du

SDM pour permettre la visualisation des commandes avant des transmettre au

routeur. Dans la fenêtre User Preferences, cochez la case Preview commandspuis cliquez sur OK.

Page 20: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

Etape 3: Démarrage de l'assistant SDM VPN pour configurer R1.

a. Cliquez sur Configure dans le haut de l'écran du SDM puis cliquez sur le

bouton VPN. Sélectionnez Site-topar défaut est Create Site-to-Site VPN. Lisez la des cription de cette option.

b. Que devez vous savoir d'autre pour terminer cette configuration?

______________________________________________________________________________

______________________________________________________________________________

c. Cliquez sur le bouton Launch the selected task SDM Site-to -Site VPN.

BTS-

SDM Site-to -Site VPN.

d. Dans la fenêtre initiale de l'assistant Site

sélectionnée par défaut. Cliquez sur le bouton

paramètres sont utilisés par cette option. Quel type de cryptage est utilisé par

le transform set par défaut?__________________________________________________

e. A partir de la fenêtre initiale de l'assistant Site

l'assistant Step by Step puis cliquez sur

option à la place de l'option Quick Setup? _____________________________________________________________________________

RE

Etape 3: Démarrage de l'assistant SDM VPN pour configurer R1.

dans le haut de l'écran du SDM puis cliquez sur le

to-Site VPN dans la liste des options. L'option

Site VPN. Lisez la des cription de cette option.

b. Que devez vous savoir d'autre pour terminer cette configuration?

______________________________________________________________________________

______________________________________________________________________________

Launch the selected task pour démarrer l'assistant

-SIO 20

d. Dans la fenêtre initiale de l'assistant Site-to-Site VPN, l'option Quick Setup est

sélectionnée par défaut. Cliquez sur le bouton View Details pour voir quels

paramètres sont utilisés par cette option. Quel type de cryptage est utilisé par

le transform set par défaut?__________________________________________________

e. A partir de la fenêtre initiale de l'assistant Site-to-Site VPN, sélectionnez

puis cliquez sur Next. Pourquoi utilisez vous cette

Quick Setup? __________________________________

_____________________________________________________________________________

Page 21: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

Etape 4: Configuration des informations de base de la connexion VPN.

a. A partir du panneau VPN Connection Information, sélectionnez l'interface pour

la connexion. Ce doit être l'interface S0/0/0 de R1.

b. Dans la section Peer Identity, sélectionnez

l'adresse IP de l'extrémité distante S/0/0/1 de R3 (10.2.2.1).

c. Dans la section Authentication, cliquez sur

VPN pré-partagée cisco12345. Entrez de nouveau la clé pour confirmation.

Cette clé est ce qui protège le VPN et le rend sécurisé. Quand vous avez terminé

l'écran doit ressembler au suivant. Quand vous avez entré ces paramètres

correctement, cliquez sur Next.

BTS-

Etape 5: Configuration des paramètres de la stratégie IKE.

Les stratégies IKE sont utilisées pendant l'établissement du canal de contrôle

entre les deux extrémités VPN pour l'échange de clés. Ceci est également appelé

association de sécurité IKE (SA). En comparaison, la stratégie IPSec est utilisée

pendant IKE Phase II pour négocier une association de sécurité IPSec pour passer

le trafic de données ciblé.

a. Dans la fenêtre IKE Proposals, une stratégie par défaut est affichée. Vous

pouvez utiliser celle-ci ou en créer une nouvelle. A quoi cette cette proposition

IKE?________________________________________________________________________

_____________________________________________________________________________

RE

Etape 4: Configuration des informations de base de la connexion VPN.

a. A partir du panneau VPN Connection Information, sélectionnez l'interface pour

la connexion. Ce doit être l'interface S0/0/0 de R1.

b. Dans la section Peer Identity, sélectionnez Peer with static address et entrez

l'adresse IP de l'extrémité distante S/0/0/1 de R3 (10.2.2.1).

c. Dans la section Authentication, cliquez sur Pre-shared keys et entrez la clé

. Entrez de nouveau la clé pour confirmation.

Cette clé est ce qui protège le VPN et le rend sécurisé. Quand vous avez terminé

l'écran doit ressembler au suivant. Quand vous avez entré ces paramètres

-SIO 21

Etape 5: Configuration des paramètres de la stratégie IKE.

Les stratégies IKE sont utilisées pendant l'établissement du canal de contrôle

entre les deux extrémités VPN pour l'échange de clés. Ceci est également appelé

association de sécurité IKE (SA). En comparaison, la stratégie IPSec est utilisée

pendant IKE Phase II pour négocier une association de sécurité IPSec pour passer

a. Dans la fenêtre IKE Proposals, une stratégie par défaut est affichée. Vous

ci ou en créer une nouvelle. A quoi cette cette proposition

IKE?________________________________________________________________________

_____________________________________________________________________________

Page 22: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

b. Cliquez sur le bouton Add pour créer une nouvelle politique IKE.

_____________________________________________________________________________

c. Configurez la stratégie IKE comme cela est montré dans la boite de dialogue

Add IKE Policy. Ces paramètres devront correspondre avec ceux de R3. Quand

vous avez fini cliquez sur OK pour ajouter la stratégie. Cliquez sur

d. Cliquez sur le bouton Help pour vous aider à répondre aux questions suivantes.

Quelle est la fonction de l'algorithme de cryptage dans la stratégie IKE?

_____________________________________________________________________________

_____________________________________________________________________________

e. Quel est le but de la fonction de hachage?

______________________________________________________________________________

______________________________________________________________________________

f. A quoi sert la méthode d'authentification?

______________________________________________________________________________

______________________________________________________________________________

g. Comment le groupe Diffie-Hellman est

______________________________________________________________________________

______________________________________________________________________________

BTS-

______________________________________________________________________________

h. Quel évènement se produit à nla fin de la durée de vie de la stratégie IKE?

______________________________________________________________________________

Etape 6: Configuration d'un transform set

Le transform set est la stratégie IPSec utilisée pour crypter, hacher et authentifier

les paquets qui passent dans le tunnel. Le transform set est la stratégie IKE

Phase II.

a. Un transform set SDM par défaut est affiché. Cliquez sur le bouton

créer un nouveau transform set.

b. Configurez le transform set comme cela est montré dans la boite de dialogue

Transform Set. Ces paramètres devront correspondre avec ceux de R3. Quand

vous avez fini cliquez sur OK pour ajouter le transform set. Cliquez sur

RE

pour créer une nouvelle politique IKE.

_____________________________________________________________________________

c. Configurez la stratégie IKE comme cela est montré dans la boite de dialogue

Add IKE Policy. Ces paramètres devront correspondre avec ceux de R3. Quand

pour ajouter la stratégie. Cliquez sur Next.

pour vous aider à répondre aux questions suivantes.

Quelle est la fonction de l'algorithme de cryptage dans la stratégie IKE?

_____________________________________________________________________________

_____________________________________________________________________________

e. Quel est le but de la fonction de hachage?

______________________________________________________________________________

______________________________________________________________________________

f. A quoi sert la méthode d'authentification?

______________________________________________________________________________

______________________________________________________________________________

Hellman est-il utilisé dans la stratégie IKE?

______________________________________________________________________________

______________________________________________________________________________

-SIO 22

______________________________________________________________________________

h. Quel évènement se produit à nla fin de la durée de vie de la stratégie IKE?

______________________________________________________________________________

Le transform set est la stratégie IPSec utilisée pour crypter, hacher et authentifier

les paquets qui passent dans le tunnel. Le transform set est la stratégie IKE

a. Un transform set SDM par défaut est affiché. Cliquez sur le bouton Add pour

créer un nouveau transform set.

b. Configurez le transform set comme cela est montré dans la boite de dialogue

Transform Set. Ces paramètres devront correspondre avec ceux de R3. Quand

pour ajouter le transform set. Cliquez sur Next.

Page 23: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

Etape 7: Définition du trafic intêressant

Vous devez définir le trafic intêressant devant être protégé par le tunnel. Le trafic

intêressant sera définit au moyen d'une liste d'accès quand il est appliqué au

routeur. Si vous entrez les réseaux source et destination, SDM génère la liste

d'accès appropriée pour vous.

Dans la fenêtre Traffic to protect, entrez l'information comme cela est montré

ci-dessous. Il y a les paramètres opposés configurés sur R3. Quand vous avez fini

cliquez sur Next.

BTS-RE

Vous devez définir le trafic intêressant devant être protégé par le tunnel. Le trafic

intêressant sera définit au moyen d'une liste d'accès quand il est appliqué au

routeur. Si vous entrez les réseaux source et destination, SDM génère la liste

Dans la fenêtre Traffic to protect, entrez l'information comme cela est montré

dessous. Il y a les paramètres opposés configurés sur R3. Quand vous avez fini

-SIO 23

Page 24: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

Etape 8: Revoir le résumé de la configuration et délivrer les commandes au routeur.

a. Revoir le résumé dans la fenêtre Summary of the Configuration. Elle doit

ressembler à celle-ci-dessous. Ne pas cocher la case Test VPN connectivity after

configuring. Cela sera fait après la configuration de R3. Cliquez sur

terminer.

b. Dans la fenêtre Deliver Configuration to router, cochez la case

config to router's startup config que les commandes ont été délivrées, cliquez sur

ont été délivrées?____________________________________________________________

Tâche 3: Création d'une configuration mirroir pour R3

BTS-

Tâche 3: Création d'une configuration mirroir pour R3

Etape 1: Utilisez SDM sur R1 pour générer une configuration mirroir pour R3.

a. Sur R1, sélectionnez VPN> Site-to

VPN. Vous devez voir la configuration que vous venez de créer sur R1. Quelle

est la description du VPN?

______________________________________________________________________________

b. Quel est l'état du VPN et pourquoi?

______________________________________________________________________________

c. Sélectionnez la strétgie VPN que vous venez de configurer sur R1 puis cliquez

sur le bouton Generate Mirror en dans la partie droite de la fenêtre. La fenêtre

Generate Mirror affiche les commandes nécessaires pour configurer R3 comme

extrémité VPN. Déroulez la fenêtre pour voir les commandes générées.

RE

Etape 8: Revoir le résumé de la configuration et délivrer les commandes au routeur.

a. Revoir le résumé dans la fenêtre Summary of the Configuration. Elle doit

dessous. Ne pas cocher la case Test VPN connectivity after

configuring. Cela sera fait après la configuration de R3. Cliquez sur Finish pour

b. Dans la fenêtre Deliver Configuration to router, cochez la case Save running config to router's startup config puis cliquez sur le bouton Deliver. Une fois

que les commandes ont été délivrées, cliquez sur OK. Combien de commandes

ont été délivrées?____________________________________________________________

Création d'une configuration mirroir pour R3

-SIO 24

Création d'une configuration mirroir pour R3

Etape 1: Utilisez SDM sur R1 pour générer une configuration mirroir pour R3.

to-Site VPN puis cliquez sur Edit Site-to-Site

. Vous devez voir la configuration que vous venez de créer sur R1. Quelle

______________________________________________________________________________

b. Quel est l'état du VPN et pourquoi?

______________________________________________________________________________

c. Sélectionnez la strétgie VPN que vous venez de configurer sur R1 puis cliquez

sur le bouton Generate Mirror en dans la partie droite de la fenêtre. La fenêtre

Generate Mirror affiche les commandes nécessaires pour configurer R3 comme

extrémité VPN. Déroulez la fenêtre pour voir les commandes générées.

Page 25: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

a. Le texte en haut de la fenêtre stipule que la configuration générée doit être

uniquement utilisée comme un guide pour la configuration d'un VPN site à

site. Quelles commandes manquent pour permettre à cette stratégie de

fonctionner sur R3?______________________________________________________

Note: Regardez la description de l'entrée qui suit la commande

SDM_CMAP_1.

BTS-

Etape 2: Sauvegarde des commandes de configuration pour R3.

a. Cliquez sur le bouton Save pour créer le fichier texte à utiliser dans la tâche

suivante.

b. Sauvegardez les commandes sur le bureau ou à un autre emplacement et

nommez les VPN-Mirror-Cfg-for-R3.txt.

Note: Vous pouvez copier ces commandes directement depuis la fenêtre

Generate Mirror.

c. (Optionnel) Editez le fichier pour retirer le texte d'explication au début et ladescription de l'entrée suivant la commande

RE

a. Le texte en haut de la fenêtre stipule que la configuration générée doit être

uniquement utilisée comme un guide pour la configuration d'un VPN site à

site. Quelles commandes manquent pour permettre à cette stratégie de

fonctionner sur R3?______________________________________________________

Regardez la description de l'entrée qui suit la commande crypto map

-SIO 25

Etape 2: Sauvegarde des commandes de configuration pour R3.

pour créer le fichier texte à utiliser dans la tâche

b. Sauvegardez les commandes sur le bureau ou à un autre emplacement et

R3.txt.

Vous pouvez copier ces commandes directement depuis la fenêtre

c. (Optionnel) Editez le fichier pour retirer le texte d'explication au début et ladescription de l'entrée suivant la commande crypto map SDM_CMAP_1.

Page 26: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

Tâche 4: Application de la configuration mirroir à R3 et vérification

Etape 1: Accès à la cLI de R3 et copie des commandes mirroir.

a. Entrez en mode EXEC privilégié sur R3 puis entrez en mode de configuration global.

b. Copiez les commandes à partir du fichier texte vers la CLI de R3.

Etape 2: Application de la crypto map à l'interface S0/0/0 de R3.

R3(config)# interface s0/0/1R3(config-if)# crypto map SDM_CMAP_1*Jan 30 13:00:38.184: %CRYPTO-

Etape 3: Vérification de la configuration VPN sur R3 en utilisant l'IOS Cisco.

a. Affichez la configuration courante en commençant par la première ligne qui a. Affichez la configuration courante en commençant par la première ligne qui

contient "0/0/1" pour vérifier que la crypto map est appliquée à s0/0/0.

R3#sh run | beg 0/0/1interface Serial0/0/1

ip address 10.2.2.1 255.255.255.252crypto map SDM_CMAP_1

b. Sur R3 utilisez la commande show isakmp policy ISAKMP du routeur. Notez que la stratégie par défaut du SDM est présente.

R3#show crypto isakmp policy

Global IKE policyProtection suite of priority 1

encryption algorithm: Three key triple DEShash algorithm: Secure Hash Standardauthentication method: PreDiffie- Hellman group: #2 (1024 bit)lifetime: 86400 seconds, no volume limit

BTS-

Protection suite of priority 10encryption algorithm: AES Standard (256 bit keys)hash algorithm: Message Digest 5authentication method: PreDiffie- Hellman group: #5 (1536 bit)lifetime: 28800 seconds, no volume limit

c. Combien il ya de stratégies listées dans la sortie précédente? ________________

RE

Tâche 4: Application de la configuration mirroir à R3 et vérification

Etape 1: Accès à la cLI de R3 et copie des commandes mirroir.

a. Entrez en mode EXEC privilégié sur R3 puis entrez en mode de configuration

b. Copiez les commandes à partir du fichier texte vers la CLI de R3.

Etape 2: Application de la crypto map à l'interface S0/0/0 de R3.

crypto map SDM_CMAP_1-6-ISAKMP_ON_OFF: ISAKMP is ON

Etape 3: Vérification de la configuration VPN sur R3 en utilisant l'IOS Cisco.

a. Affichez la configuration courante en commençant par la première ligne qui a. Affichez la configuration courante en commençant par la première ligne qui

contient "0/0/1" pour vérifier que la crypto map est appliquée à s0/0/0.

ip address 10.2.2.1 255.255.255.252

show isakmp policy pour afficher les stratégies

ISAKMP du routeur. Notez que la stratégie par défaut du SDM est présente.

show crypto isakmp policy

Protection suite of priority 1encryption algorithm: Three key triple DEShash algorithm: Secure Hash Standardauthentication method: Pre -Shared Key

Hellman group: #2 (1024 bit)lifetime: 86400 seconds, no volume limit

-SIO 26

Protection suite of priority 10encryption algorithm: AES - Advanced Encryption

bit keys)hash algorithm: Message Digest 5authentication method: Pre -Shared Key

Hellman group: #5 (1536 bit)lifetime: 28800 seconds, no volume limit

c. Combien il ya de stratégies listées dans la sortie précédente? ________________

Page 27: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

d. Entrez la commande show crypto ipsec transformstratégies IPSec configurées sius la forme de transform sets.

R3#show crypto ipsec transformTransform set Lab- Transform: { esp

will negotiate = { Tunnel, },

Transform set #$!default_transform_set_1: { espwill negotiate = { Transport, },

Transform set #$!default_transform_set_0: { espwill negotiate = { Transport, },

e. Utilisez la commande show crypto map seront appliquées au routeur.

R3#show crypto mapCrypto Map "SDM_CMAP_1" 1 ipsecCrypto Map "SDM_CMAP_1" 1 ipsec

Description: Apply the crypto map on the peer router'sinterface havingIP address 10.2.2.1 that connects to this router.

Peer = 10.1.1.1Extended IP access list SDM_1access- list SDM_1 permit ip 192.168.3.0 0.0.0.255192.168.1.0 0.0.0.255Current peer: 10.1.1.1Security association lifetime: 4608000 kilobytes/3600 secondsPFS (Y/N): NTransform sets={Lab- Transform: { esp}Interfaces using crypto map SDM_CMAP_1:

Serial0/0/1

f. Dans la sortie ci-dessus, la stratégie ISAKMP en cours d'utilisation par la crypto

map est la stratégie SDM default avec le numéro de priorité de séquence 1,

indiqué par le numéro 1 dans la première ligne: Crypto Map "SDM_MAP_1" 1

BTS-

indiqué par le numéro 1 dans la première ligne: Crypto Map "SDM_MAP_1" 1

ipsec-isakmp. Pourquoi celle que vous avez créée dans la session SDM n'est

pas utilisée, celle créée avec la priorité 10 dans l'étape 3b?

_______________________________________________________________________________

RE

show crypto ipsec transform-set pour afficher les

stratégies IPSec configurées sius la forme de transform sets.

show crypto ipsec transform-setTransform: { esp -256-aes esp-sha-hmac }

will negotiate = { Tunnel, },

Transform set #$!default_transform_set_1: { esp -aes esp-sha-hmac }will negotiate = { Transport, },

Transform set #$!default_transform_set_0: { esp -3des esp-sha-hmac }will negotiate = { Transport, },

show crypto map pour afficher les crypto map qui

Crypto Map "SDM_CMAP_1" 1 ipsec - isakmpCrypto Map "SDM_CMAP_1" 1 ipsec - isakmpDescription: Apply the crypto map on the peer router's

IP address 10.2.2.1 that connects to this router.

Extended IP access list SDM_1list SDM_1 permit ip 192.168.3.0 0.0.0.255

192.168.1.0 0.0.0.255Current peer: 10.1.1.1Security association lifetime: 4608000 kilobytes/3600

Transform: { esp -256-aes esp-sha-hmac } ,

Interfaces using crypto map SDM_CMAP_1:Serial0/0/1

dessus, la stratégie ISAKMP en cours d'utilisation par la crypto

map est la stratégie SDM default avec le numéro de priorité de séquence 1,

indiqué par le numéro 1 dans la première ligne: Crypto Map "SDM_MAP_1" 1

-SIO 27

indiqué par le numéro 1 dans la première ligne: Crypto Map "SDM_MAP_1" 1

isakmp. Pourquoi celle que vous avez créée dans la session SDM n'est-elle

pas utilisée, celle créée avec la priorité 10 dans l'étape 3b?

_______________________________________________________________________________

Page 28: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

g. (Optionnel) Vous pouvez forcer les routeurs à utiliser la stratégie la plus stricte

que vous avez créée en changeant les références de crypto map dans les confi

gurations de R1 et R3 comme cela est montré ci

la stratégie SDM default 1 peut être retirée sur les deux routeurs.

R1(config)# interface s0/0/0R1(config-if)# no crypto map SDM_CMAP_1R1(config-if)# exit*Jan 30 17:01:46.099: %CRYPTOR1(config)# no crypto map SDM_CMAP_1 1R1(config)# crypto map SDM_CMAP_1 10 ipsecNOTE: Cette nouvelle crypto map restera désactivée jusq u'à ce qu'uneextrémité et une lista d'accès vlide soient configu rés.R1(config-crypto-map)# description Tunnel to 10.2.2.1R1(config-crypto-map)# set peer 10.2.2.1R1(config-crypto-map)# set transformR1(config-crypto-map)# match address 100R1(config-crypto-map)# exitR1(config)# int s0/0/0R1(config - if)# crypto map SDM_CMAP_1R1(config - if)# crypto map SDM_CMAP_1R1(config-if)#exit*Jan 30 17:03:16.603: %CRYPTOR3(config)# interface s0/0/1R3(config-if)# no crypto map SDM_CMAP_1R3(config-if)# exitR3(config)# no crypto map SDM_CMAP_1 1R3(config)# crypto map SDM_CMAP_1 10 ipsecNOTE: Cette nouvelle crypto map restera désactivée jusq u'à ce qu'uneextrémité et une lista d'accès vlide soient configu rés.R3(config-crypto-map)# description Tunnel to 10.1.1.1R3(config-crypto-map)# set peer 10.1.1.1R3(config-crypto-map)# set transformR3(config-crypto-map)# match address 100R3(config-crypto-map)# exitR3(config)# int s0/0/1R3(config-if)# crypto map SDM_CMAP_1R3(config-if)#*Jan 30 22:18:28.487: %CRYPTO

Tâche 5: Test de la configuration VPN en utilisant SDM sur R1

BTS-

a. Sur R1, utilisez SDM pour tester le tunnel VPN IPSec entre les deux routeurs.

Sélectionnez VPN> Site-to-Site VPN

b. A partir de l'onglet Edit Site-to-

Test Tunnel.

c. Quand la fenêtre VPN Troubleshooting s'affiche, cliquez sur le bouton Start

pour que le SDM commence le test du tunnel .

d. Quand la fenêtre SDM Warning s'affiche indiquant que SDM va valider debug

sur le routeur et générer du trafic pour le tunnel, cliquez sur

continuer.

RE

g. (Optionnel) Vous pouvez forcer les routeurs à utiliser la stratégie la plus stricte

que vous avez créée en changeant les références de crypto map dans les confi-

gurations de R1 et R3 comme cela est montré ci-dessous. Si vous faîtes cela,

la stratégie SDM default 1 peut être retirée sur les deux routeurs.

no crypto map SDM_CMAP_1

*Jan 30 17:01:46.099: %CRYPTO -6-ISAKMP_ON_OFF: ISAKMP is OFFno crypto map SDM_CMAP_1 1crypto map SDM_CMAP_1 10 ipsec-isakmp

: Cette nouvelle crypto map restera désactivée jusq u'à ce qu'uneextrémité et une lista d'accès vlide soient configu rés.

description Tunnel to 10.2.2.1set peer 10.2.2.1set transform-set Lab-Transformmatch address 100

crypto map SDM_CMAP_1crypto map SDM_CMAP_1

*Jan 30 17:03:16.603: %CRYPTO -6-ISAKMP_ON_OFF: ISAKMP is ON

no crypto map SDM_CMAP_1

no crypto map SDM_CMAP_1 1crypto map SDM_CMAP_1 10 ipsec-isakmp

: Cette nouvelle crypto map restera désactivée jusq u'à ce qu'uneextrémité et une lista d'accès vlide soient configu rés.

description Tunnel to 10.1.1.1set peer 10.1.1.1set transform-set Lab-Transformmatch address 100

crypto map SDM_CMAP_1

*Jan 30 22:18:28.487: %CRYPTO -6-ISAKMP_ON_OFF: ISAKMP is ON

Test de la configuration VPN en utilisant SDM sur R1

-SIO 28

a. Sur R1, utilisez SDM pour tester le tunnel VPN IPSec entre les deux routeurs.

Site VPN puis cliquez sur Edit Site-to-Site VPN.

-Site VPN, sélectionnez VPN puis cliquez sur

c. Quand la fenêtre VPN Troubleshooting s'affiche, cliquez sur le bouton Start

pour que le SDM commence le test du tunnel .

d. Quand la fenêtre SDM Warning s'affiche indiquant que SDM va valider debug

sur le routeur et générer du trafic pour le tunnel, cliquez sur Yes pour

Page 29: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

e. Dans la fenêtre VPN Troubleshooting suivante, l'adresse IP de l'interface

Fa0/1 de R1 dans le réseau source est affichée par défaut (192.168.1.1).

Entrez l'adresse IP de l'interface fa0/1 de R3 dans le réseau destination

(192.168.3.1) puis cliquez sur Continue pour debug le processus de test.

f. Si le test est réussi et que le tunnel est monté, vous devez voir l'écran page

suivante. Si le test échoue, SDM affiche les raisons de l'échec et recommande

des actions. Cliquez sur OK pour fermer la fenêtre.

BTS-RE

e. Dans la fenêtre VPN Troubleshooting suivante, l'adresse IP de l'interface

Fa0/1 de R1 dans le réseau source est affichée par défaut (192.168.1.1).

Entrez l'adresse IP de l'interface fa0/1 de R3 dans le réseau destination

(192.168.3.1) puis cliquez sur Continue pour debug le processus de test.

f. Si le test est réussi et que le tunnel est monté, vous devez voir l'écran page

suivante. Si le test échoue, SDM affiche les raisons de l'échec et recommande

pour fermer la fenêtre.

-SIO 29

Page 30: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

g. Vous pouvez sauvegarder le rapport si vous le désirez sinon cliquez sur

Note: Si vous voulez réinitialiser le tunnel et le tester de nouveau, vous pouvezcliquer sur le bouton Clear Connection Ceci peut également être accompli avec la CLI en utilisant la commande

crypto session.

BTS-

crypto session.

h. Affichez la configuration courante pour R3 commençant avec la première ligne

qui contient 0/0/1 pour vérifier que la crypto map est appliquée à S0/0/1.

R3#sh run | beg 0/0/1interface Serial0/0/1

ip address 10.2.2.1 255.255.255.252crypto map SDM_CMAP_1

<partie supprimée>

RE

g. Vous pouvez sauvegarder le rapport si vous le désirez sinon cliquez sur Close.

Si vous voulez réinitialiser le tunnel et le tester de nouveau, vous pouvezClear Connection dans la fenêtre Edit Sit-to-Site VPN.

Ceci peut également être accompli avec la CLI en utilisant la commande clear

-SIO 30

h. Affichez la configuration courante pour R3 commençant avec la première ligne

qui contient 0/0/1 pour vérifier que la crypto map est appliquée à S0/0/1.

ip address 10.2.2.1 255.255.255.252

Page 31: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

i. Entrez la commande show crypto isakmp sa de sécurité créée.

R3#show crypto isakmp saIPv4 Crypto ISAKMP SA

dst src state conn10.2.2.1 10.1.1.1 QM_IDLE 1001 0 ACTIVE

j. Entrez la commande show crypto ipsec sacryptés entre R1 et R3?_________________________________________________

R3#show crypto ipsec sa

interface: Serial0/0/1Crypto map tag: SDM_CMAP_1, local addr 10.2.2.1

protected vrf: (none)local ident (addr/mask/prot/port): (192.168.3.0/255 .255.255.0/0/0)remote ident (addr/mask/prot/port): (192.168.1.0/25 5.255.255.0/0/0)current_peer 10.1.1.1 port 500

PERMIT, flags={origin_is_acl,}#pkts encaps: 116, #pkts encrypt: 116, #pkts digest : 116#pkts decaps: 116, #pkts decrypt: 116, #pkts verify : 116#pkts compressed: 0, #pkts decompressed: 0#pkts not compressed: 0, #pkts compr. failed: 0#pkts not decompressed: 0, #pkts decompress failed: 0#send errors 0, #recv errors 0

local crypto endpt.: 10.2.2.1, remote crypto endpt. : 10.1.1.1path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/1current outbound spi: 0x207AAD8A(544910730)

inbound esp sas:spi: 0xAF102CAE(2937072814)

transform: esp-256- aes espin use settings ={Tunnel, }conn id: 2007, flow_id: FPGA:7, crypto map: SDM_CMA P_1sa timing: remaining key lifetime (k/sec): (4558294 /3037)IV size: 16 bytesreplay detection support: Y

BTS-

replay detection support: YStatus: ACTIVE

inbound ah sas:inbound pcp sas:

outbound esp sas:spi: 0x207AAD8A(544910730)

transform: esp-256- aes espin use settings ={Tunnel, }conn id: 2008, flow_id: FPGA:8, crypto map: SDM_CMA P_1sa timing: remaining key lifetime (k/sec): (4558294 /3037)IV size: 16 bytesreplay detection support: YStatus: ACTIVE

outbound ah sas:

outbound pcp sas:

RE

show crypto isakmp sa sur R3 pour voir l'association

dst src state conn -id slot status10.2.2.1 10.1.1.1 QM_IDLE 1001 0 ACTIVE

show crypto ipsec sa. Combien de paquets ont été

cryptés entre R1 et R3?_________________________________________________

Crypto map tag: SDM_CMAP_1, local addr 10.2.2.1

local ident (addr/mask/prot/port): (192.168.3.0/255 .255.255.0/0/0)remote ident (addr/mask/prot/port): (192.168.1.0/25 5.255.255.0/0/0)current_peer 10.1.1.1 port 500

PERMIT, flags={origin_is_acl,}#pkts encaps: 116, #pkts encrypt: 116, #pkts digest : 116#pkts decaps: 116, #pkts decrypt: 116, #pkts verify : 116#pkts compressed: 0, #pkts decompressed: 0#pkts not compressed: 0, #pkts compr. failed: 0#pkts not decompressed: 0, #pkts decompress failed: 0#send errors 0, #recv errors 0

local crypto endpt.: 10.2.2.1, remote crypto endpt. : 10.1.1.1path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/1current outbound spi: 0x207AAD8A(544910730)

spi: 0xAF102CAE(2937072814)aes esp -sha-hmac ,

in use settings ={Tunnel, }conn id: 2007, flow_id: FPGA:7, crypto map: SDM_CMA P_1sa timing: remaining key lifetime (k/sec): (4558294 /3037)

replay detection support: Y

-SIO 31

replay detection support: Y

spi: 0x207AAD8A(544910730)aes esp -sha-hmac ,

in use settings ={Tunnel, }conn id: 2008, flow_id: FPGA:8, crypto map: SDM_CMA P_1sa timing: remaining key lifetime (k/sec): (4558294 /3037)

replay detection support: Y

Page 32: TP Securite Conf VPN Site Site CLI SDMcadete-etienne.weebly.com/uploads/2/7/0/5/27059247/tp_securite...Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'IOS Cisco ...

Tâche 6: Réflexion

a. Est-ce le trafic de la liaison FastEthernet entre PC

par le tunnel VPN IPSec site à site? Pourquoi?

____________________________________________________________________________

____________________________________________________________________________

b. Quels sont les facteurs à prendre en compte quand on configure des VPN

IPSec site à site en utilisant la CLU par rapport à l'utilisation de l'interface

graphique du SDM?

____________________________________________________________________________

____________________________________________________________________________

BTS-RE

ce le trafic de la liaison FastEthernet entre PC-A et R1 Fa0/0 est crypté

par le tunnel VPN IPSec site à site? Pourquoi?

____________________________________________________________________________

____________________________________________________________________________

b. Quels sont les facteurs à prendre en compte quand on configure des VPN

IPSec site à site en utilisant la CLU par rapport à l'utilisation de l'interface

____________________________________________________________________________

____________________________________________________________________________

-SIO 32