Flash d'Information

Compte google+ disponible sur demande

Créez un VPN IPSEC entre 2 LAN avec 2 routeurs Cisco

Imprimer PDF

Mercredi, 12 Octobre 2005 23:47

Nous disposons de 2 routeurs Cisco :

·         Sur le site principal, un 2620 (mainrtr) avec 2 interfaces Ethernet :

o        Une connectée au LAN interne (adresse IP 172.23.10.1/16)

o        L’autre est utilisée pour se connecter à Internet (adresse IP 207.194.10.198/24).

·         Sur le site distant, un 1751 (remotertr) avec 2 interfaces Ethernet :

o        Une connectée au LAN interne (adresse IP 172.25.10.1/16)

o        L’autre connecté à Internet (adresse 207.194.10.199/24). 

 

La première étape consiste à configurer les règles IKE sur les 2 routeurs. Les règles IKE précisent le type d’encryption et de découpage à utiliser ainsi que le type d’authentification qui sera implémenté. Les paramètres doivent impérativement être les mêmes sur les 2 routeurs.

 

 

Sur le routeur principal:

 

mainrtr(config)# crypto isakmp policy 1

mainrtr(config-isakmp)# encryption des                    type d’encryptage

mainrtr(config-isakmp)# hash sha                            type de découpage

mainrtr(config-isakmp)# authentication pre-share      précise qu’aucun certificat d’autorité ne sera utilisé

mainrtr(config-isakmp)# lifetime 86400                     durée de vie de la connexion (ici 1 jour)

mainrtr(config-isakmp)# end

 

L’étape suivante consiste à mettre en place les clefs qui vont être utilisées. Dans la mesure ou les clefs sont pré partagées, vous devez les configurer sur le routeur grâce aux commandes suivantes :

 Sur le routeur principal :

 

mainrtr(config)# crypto isakmp identity address               indique l’identifiant ISAKMP que va utiliser le routeur et précise que l’adresse IP sera utilisée pour identifier le routeur distant

mainrtr(config)# crypto isakmp key key123 address 207.194.10.199

                                                                                  indique la clef à utiliser et l’IP de l’hôte distant.

 

Sur le routeur distant :

 

remotertr (config)# crypto isakmp identity address    

remotertr (config)# crypto isakmp key key123 address 207.194.10.198

                                                    

A présent, il nous faut configurer le tunnel IPSEC. Cela suppose de configurer une liste d’accès de cryptage et de définir les règles de transformation. Une fois cela effectué, vous pouvez configurer le tunnel IPSEC

Sur le routeur principal :

 

mainrtr(config)# access-list 110 permit ip host 207.194.10.198 host 207.194.10.199

                                                                                  définit la liste d’accès 110 qui crypte le traffic

 

Cela définit la liste d’accès 110 pour qu’elle crypte tout le traffic entre les 2 routeurs. Sur le routeur distant, vous devez faire un miroir du premier :

 

remotertr (config)# access-list 110 permit ip host 207.194.10.199 host 207.194.10.198

 

Pour mettre en oeuvre le processus de transformation et configurer le type de tunnel, entrez les commandes suivantes

 

 

Sur le routeur principal :

 

mainrtr(config)# crypto ipsec transform-set ts1 ah-sha-hmac esp-des

mainrtr(cfg-ctypto-trans)#  mode tunnel

mainrtr(cfg-ctypto-trans)#  exit

Définit la transformation AH, l’encryptage ESP transforme et nomme le processus de transformation ‘ts1’

 

La ligne 1 définit la transformation AH, l’encryptage ESP transforme et nomme le processus de transformation ‘ts1’. Les mêmes commandes sont entrées sur le routeur distant. Maintenant, il s’agit de créer une carte de cryptage pour définir les extrémités du tunnel.

 

Sur le routeur principal :

 

mainrtr(config)# cypto map map1 10 ipsec-isakmp 1 définit un cryptage nommé & un n° de séquence

mainrtr(cfg-ctypto-map)# match address 110            applique la liste d’accès 110

mainrtr(cfg-ctypto-map)# set peer  207.194.10.199    spécifie l’autre extrémité du tunnel 

mainrtr(cfg-ctypto-map)# set transform-set ts1          applique le modèle de transformation a la carte de cryptage

mainrtr(cfg-ctypto-map)# exit

 

Pour configurer la carte de cryptage sur le routeur distant, vous devez lui spécifier les mêmes paramètres

 

Sur le routeur distant :

 

remotertr(config)# cypto map map1 10 ipsec-isakmp

remotertr (cfg-ctypto-map)# match address 110

remotertr (cfg-ctypto-map)# set peer  207.194.10.198

remotertr (cfg-ctypto-map)# set transform-set ts1

remotertr (cfg-ctypto-map)# exit

 

Pour que cela fonctionne, il faut assigner la carte de cryptage à l’une des interfaces du routeur :

 

Sur le routeur principal :

 

mainrtr(config)# interface ethernet 2

mainrtr(config-if)# cypto map map1

mainrtr(config-if)# exit

 

Sur le routeur distant :

 

remotertr(config)# interface ethernet 2

remotertr(config-if)# cypto map map1

remotertr(config-if)# exit

 

Vous avez à présent un tunnel IPSEC entre les 2 routeurs. Pour que le trafic circule entre les 2 réseaux, vous devrez configurer la translation d’adresse (NAT) pour communiquer entre les 2 réseaux locaux situés de part et d’autre du routeur.

 

 

 

Referencement Gratuit CSS Valide ! Webmasters, gagnez de l'argent en affichant des bannières contextuelles Oxado Referencement internet