TP Sécurité. Configuration de VPN Site à Site en utilisant la CLI et SDM

Transcription

1 TP Sécurité - Configuration de VPN Site à Site en utilisant la CLI et SDM BTS-SIO 1

2 Objectifs Partie 1: Configuration de base des équipements réseau Configuration des paramètres de base tels que le nom de host, les adresses IP des interfaces et les mots de passe d accès. Configurer le protocole de routage EIGRP. Partie 2: Configurer un VPN Site à Site en utilisant la CLI de l'ios Cisco Configurer les paramètres VPN IPSec sur R1 et R3 Vérifier la configuration VPN IPSec site à site Test du fonctionnement du VPN IPSec Partie 3: Configurer un VPN site à site en utilisant SDM Configurer les paramètres VPN IPSec sur R1 Créer une configuration mirroir sur R3 Appliquer la configuration mirroir vers R3 Vérifier la configuration Test de la configuration en utilisant SDM Rappels BTS-SIO 2 Les VPNs peuvent fournir une méthode sécurisée de transmission d'information sur un réseau public tel que Internet. Les connexions VPN peuvent aider à réduire les coûts associés aux lignes louées. Les VPNs site à site fournissent typiquement un tunnel (IPSec ou autre) sécurisé entre un site distant et un site central. Une autre implémentation commune qui utilise la technologie VPN est l'accès distant vers le site de l'entreprise pour un utilisateur situé dans un autre lieu. Dans ce lab, vous construisez un résseau avec plusieurs routeurs et vous configurez les routeurs et les hosts. Vous utilisez l'ios Cisco et SDM pour configurer un VPN IPSec site à site et le tester. Le tunnel vpn IPSec va du routeur R1 vers le routeur R3 via R2. R2 est transparent et n'a pas connaissance du VPN. IPSec fournit une transmission sécurisée d'information sensible à travers un réseau non protégé tel que Internet. IPSec agit au niveau de la couche réseau, protégeant et authentifiant les paquets IP entre les équipements (routeurs Cisco) qui participent à IPSec (peers). Note: Assurez-vous que les routeurs et les commutateurs ont des configurations de démarrage vides.

3 Ressources requises 3 routeurs avec SDM (Cisco 1841 avec Cisco IOS Release 12.4(20)T1 ou comparable) 2 commutateurs (Cisco 2960 ou comparable) PC-A : Windows XP, Vista ou serveur avec un logiciel serveur RADIUS disponible PC-C : Windows XP ou Vista Tous les câbles pour connecter le équipements. BTS-SIO 3

4 S0/0/0 R2 DCE DCE S0/0/ / /30 S0/0/0 S0/0/1 Fa0/1 Fa0/5 R1 S1 Fa0/ /24 R3 S3 Fa0/1 Fa0/5 Fa0/ /24 PC-A PC-C Table d'adressage IP Equipement Interface Adresse IP Masque Passerelle par défaut Port de commutateur R1 Fa0/ N/A S1 Fa0/5 S0/0/ N/A N/A R2 S0/0/ (DCE) S0/0/ (DCE) N/A N/A N/A N/A R3 Fa0/ N/A S3 Fa0/5 S0/0/ (DCE) N/A N/A PC-A Carte S1 Fa0/6 PC-C Carte S3 fa0/18 BTS-SIO 4

5 Partie 1: Configuration de base du routeur Dans la partie 1 de ce lab, vous construisez le réseau et vous configurez les paramètres de base tels que les adresses IP des interfaces et le routage dynamique, l'accès à l'équipement et les mots de passe. Note: Toutes les tâches doivent être exécutées sur R1, R2 et R3. La procédure pour R1 est celle utilisée comme exemple. Etape 1: Câblage du réseau selon la topologie précédente. Câblez le réseau selon la topologie donnée. Etape 2: Configuration des paramètres de base de chaque routeur. a. Configurez les noms de hosts conformément à la topologie. b. Configurez les adresses IP des interfaces en vous aidant du tableau fourni page précédente. c. Configurez les horloges pour le routeur R2 qui a des câbles série DCE attachés aux interfaces serial (s0/0/0 et s0/0/1). R2(Config)# interface serial s0/0/0 R2(config-if)# clock rate Etape 3: Dévalidation de la recherche DNS Pour éviter que le routeur tente de traduire des commandes incorrectement entrées, dévalidez la recherche DNS. R1(Config)# no ip domain-lookup Etape 4: Configuration du protocole de routage EIGRP sur R1, R2 et R3 a. Utilisez les commandes suivantes sur R1. R1(config)#router eigrp 101 R1(config-router)#network network R1(config-router)#network network R1(config-router)#no auto-summary b. Utilisez les commandes suivantes sur R2. R2(config)#router eigrp 101 R2(config-router)#network network R2(config-router)#network network R2(config-router)#no auto-summary BTS-SIO 5

6 c. Utilisez les commandes suivantes sur R3. R3(config)#router eigrp 101 R3(config-router)#network network R3(config-router)#network network R3(config-router)#no auto-summary Etape 5: Configuration des paramètres IP des PC hosts. a. Configurez l'adresse IP statique, le masque de sous-réseau et la passerelle par défaut pour PC-A comme le montre le tableau précédent. b. Configurez l'adresse IP statique, le masque de sous-réseau et la passerelle par défaut pour PC-A comme le montre le tableau précédent. Etape 6: Vérification de la connectivité de base a. Entrez une commande ping de R1 vers R3. Est-ce que la commande réussit? Si la commande échoue, vous devez résoudre le problème avant de continuer. b. Entrez une commande ping depuis PC-A du LAN de R1 vers PC-C du LAN de R3. Est-ce que la commande réussit? Si la commande échoue, vous devez résoudre le problème avant de continuer. Etape 7: Configuration de la longueur minimale des mots de passe Note: Les mots de passe sont fixés à une longueur minimum de 10 caractères. Ils sont relativement simples pour faciliter ce lab. Dans un réseau de production des mots de passe plus complexes sont requis. Utilisez la commande security passwords pour fixer une longueur minimum de 10 caractères pour les mots de passe. R1(config)# security passwords min-length 10 Etape 8: Configuration de base de la console, du port auxiliaire et des lignes vty. a. Configurez le mot de passe console et validez le login pour le routeur R1. Pour avoir plus de sécurité, la commande exec-timeout entraîne la déconnexion de la ligne au bout de 5 minutes d'inactivité. La commande logging synchronous évite que les messages console soient mélangés avec les commandes en cours d'entrée. Note: pour éviter des connexions répétitives durant le lab, la commande exec-timeout 0 0 peut être entrée ce qui son expiration. Ce n'est pas une bonne pratique de sécurité. BTS-SIO 6

7 BTS-SIO 7 R1(config)# line console 0 R1(config-line)# password ciscoconpass R1(config-line)# exec-timeout 5 0 R1(config-line)# login R1(config-line)# logging synchronous b. Configurez le mot de passe pour les lignes vty sur le routeur R1 R1(config)# line vty 0 4 R1(config-line)# password ciscovtypass R1(config-line)# exec-timeout 5 0 R1(config-line)# login c. Répétez ces configurations pour R2 et R3. Etape 9: Configuration du cryptage des mots de passe. a. Utilisez la commande service password-encryption pour crypter les mots de passe console, aux et vty. R1(config)# service password-encryption b. Entrez la commande show run.. Pouvez-vous lire les mots de passe console, aux et vty? Pourquoi? c. Répétez cette configuration pour R2 et R3. Etape 10: Sauvegarde de la configuration de base des trois routeurs Sauvegardez la configuration courante dans la configuration de démarrage. R1#copy running-config startup-config Etape 11: Sauvegarde de la configuration de R1 et R3 pour restauration future a. Démarrez un serveur TFTP sur PC-A b. Sauvegardez les configurations de démarrage des routeurs R1 et R3 en utilisant les commandes suivantes: Exemple pour R1: R1# copy tftp startup-config c. Redémarrez les routeurs R1 et R3 avec la commande reload.

8 Partie 2: Configuration d'un VPN site à site avec l'ios Cisco Dans la partie 2 de ce lab, vous configurez un tunnel VPN IPSec entre R1 et R3 qui passe par R2. Vous allez configurer R1 et R3 en utilisant la CLI de l'ios Cisco. Ensuite vous revoyez et testez les résultats de votre configuration. Tâche 1: Configuration des paramètres IPSec sur R1 et R3 Etape 1: Vérification de la connectivité depuis le LAN de R1 vers le LAN de R3. Dans cette étape, vous vérifiez que sans tunnel en place, PC-A du LAN de R1 peut atteindre PC-C sur le LAN de R3. a. Depuis PC-A faire un ping vers l'adresse IP de PC-C PC-A:\> ping b. Est-ce que la commande ping réussit? Si la commande ping est en échec, résoudre le problème avant de continuer. Etape 2: Validation des stratégies IKE sur R1 et R3 Il y a deux tâches principales pour l'implémentation d'un VPN IPSec: La configurationdes paramètres IKE (Internet Key Exchangfe) La configuration des paramètres IPSec a. Vérifiez que IKE est supporté et validé. IKE Phase 1 définit la méthode d'échange de clés utilisée pour passer et valider les stratégies IKE entre les extrémité. Dans IKE Phase 2, les extrémités échanges et négocient les stratégies IPSec pour l'authentification et le cryptage du trafic de données. IKE doit être validé pour que IPSec fonctionne. IKE est validé par défaut sur les images de l'ios avec les ensembles fonctionnels de cryptographie. S'il est dévalidé pour une raison quelconque, vous pouvez le revalider avec la commande crypto isakmp enable.. Utilisez cette commande pour vérifier que l'ios du routeur supporte IKE et que celui-ci est validé. R1(config)#crypto crypto isakmp enable R3(config)#crypto crypto isakmp enable Note: Si vous ne pouvez pas exécuter cette commande sur le routeur, vous devez mettre à niveau l'image de l'ios avec une image incluant l'ensemble des services de cryptographie Cisco. BTS-SIO 8

9 BTS-SIO 9 b. Etablissez une stratégie ISAKMP (Internet Security Association and Key Management Protocol) et affichez les options disponibles. Pour permettre la négociation IKE Phase 1, vous devez créer une stratégie ISAKMP et configurer une association d'extrémité incluant la stratégie ISAKMP. Une stratégie ISAKMP définit les algorithmes d'authentification, de cryptage et de hachage utilisés pour transmettre du trafic de contrôle entre les deux extrémités VPN. Quand une association ISAKMP a été acceptée par les extrémités IKE, IKE Phase 1 est terminé. Les paramètres IKE Phase 2 sont configurés plus tard. Entrez la commande de configuration crypto isakmp policy 10 sur R1 pour la stratégie 10. R1(config)#crypto crypto isakmp policy 10 c. Affichez les différents paramètres IKE disponibles en entrant?. R1(config-isakmp)#? ISAKMP commands: authentication Set authentication method for protection suite default Set a command to its defaults encryption Set encryption algorithm for protection suite exit Exit from ISAKMP protection suite configuration mode group Set the Diffie-Hellman group hash Set hash algorithm for protection suite lifetime Set lifetime for ISAKMP security association no Negate a command or set its defaults Etape 3: Configuration des paramètres de stratégie ISAKMP sur R1 et R3 Votre choix d'un algorithme de cryptage détermine le degré de confidentialité du canal de contrôle entre les extrémités. L'algorithme de hachage contrôle l'intégrité des données, assurant que les données reçues d'une extrémité n'ont pas été modifiées pendant leur transit. Lr type d'authentification assure que le paquet a bien été transmis et signé par cette extrémité distante. Le groupe Diffie-Hellman est utilisé pour créer une clé secrète partagée par les extrémités qui n'est pas transmise à travers le réseau. a. Configurez un type d'authentification avec clés pré-partagées. Utilisez AES-256 pour le cryptage, SHA pour l'algorithme de hachage et Diffie-Hellman groupe 5 pour l'échange de clés pour cette stratégie IKE. Note: A ce point vous devez être à R1(config-isakmp)#. La commande crypto isakmp policy 10 est répétée ci-dessous pour resituer le contexte. R1(config)#crypto crypto isakmp policy 10 R1(config-isakmp)#authentication authentication pre-share R1(config-isakmp)#encryption aes 256 R1(config-isakmp)#hash sha R1(config-isakmp)#group 5 R1(config-isakmp)#lifetime 3600 R1(config-isakmp)#end

10 BTS-SIO 10 R3(config)#crypto crypto isakmp policy 10 R3(config-isakmp)#authentication authentication pre-share R3(config-isakmp)#encryption aes 256 R3(config-isakmp)#hash sha R3(config-isakmp)#group 5 R3(config-isakmp)#lifetime 3600 R3(config-isakmp)#end c. Vérifiez la stratégie IKE avec la commande show crypto isakmp policy. R1#show crypto isakmp policy Global IKE policy Protection suite of priority 10 encryption algorithm: AES - Advanced Encryption Standard (256 bit keys). hash algorithm: Secure Hash Standard authentication method: Pre-Shared Key Diffie-Hellman group: #5 (1536 bit) lifetime: 3600 seconds, no volume limit Etape 4: Configuration des clés pré-partagées. partagées. a. Comme les clés pré-partagées partagées sont utilisées comme méthode d'authentification dans la stratégie IKE, configurez une clé sur chaque routeur qui pointe vers l'autre extrémité du VPN. Ces clés doivent correspondre pour que l'authentification soit réussie. La commande configuration globale crypto isakmp key key-string address address est utilisée pour entrer une clé pré-partagée. Utilisez l'adresse IP de l'extrémité distante, interface distante que l'extrémité utilise pour router le trafic vers le routeur local. Quelles adresses IP devez vous utiliser pour configurer les extrémités IKE selon la topologie et la table d'adressage IP? b. Chaque adresse IP qui est utilisée pour configurer les extrémités IKE est également référencée comme l'adresse IP de l'extrémité VPN distante. Configurez la clé pré-partagée partagée cisco123 sur le routeur R1 en utilisant la commande suivante. Les réseaux de production doivent utiliser une clé plus complexe. Cette commande pointe vers l'adresse IP l'extrémité distante R3 S0/0/1. R1(config)#crypto crypto isakmp key cisco123 address c. La commande pour R3 pointe vers l'adresse IP de R1 S0/0/0. Configurez la clé pré-partagée partagée sur le routeur R3 en utilisant la commande suivante. R3(config)#crypto crypto isakmp key cisco123 address

11 Etape 5: Configuration du transform set IPSec et des durées de vie a. Le transform set IPSec est un autre paramètre de configuration IPSec que les routeurs négocient pour former une association de sécurité. Pour créer un transform set IPSec, utilisez la commande crypto ipsec transform-set tag parameters.. Utilisez le? pour voir quels sont les paramètres disponibles. R1(config)#crypto crypto ipsec transform-set 50? ah-md5-hmac AH-HMAC-MD5 MD5 transform ah-sha-hmac AH-HMAC-SHA transform comp-lzs IP Compression using the LZS compression algorithm esp-3des ESP transform using 3DES(EDE) cipher (168 bits) esp-aes ESP transform using AES cipher esp-des ESP transform using DES cipher (56 bits) esp-md5-hmac ESP transform using HMAC-MD5 auth esp-null ESP transform w/o cipher esp-seal seal ESP transform using SEAL cipher (160 bits) esp-sha-hmac hmac ESP transform using HMAC-SHA auth b. Sur R1 et R3 créez un transform set avec le tag 50 et utilisez ESP (Encapsulating Security Protocol) avec cryptage AES-256 et SHA HMAC. Les transform set doivent être identiques. R1(config)#crypto crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac R1(cfg-crypto-trans)#exit R3(config)#crypto crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac R3(cfg-crypto-trans)#exit c. Quelle est la fonction du transform set IPSec? d. Vous pouvez également changer les durées de vie des associations de sécurité IPSec qui sont par défaut 3600 secondes ou kilobytes. Sur R1 et R3 fixez la durée de vie de l'adssociation de sécurité IPSec à 30 minutes ou 1800 secondes. R1(config)#crypto crypto ipsec security-association lifetime seconds 1800 R3(config)#crypto crypto ipsec security-association lifetime seconds 1800 Etape 6: Définition du trafic intêressant a. Pour utiliser le cryptage avec le VPN IPSec, il est nécessaire de définir une liste d'accès étendue pour indiquer au routeur quel trafic il doit crypter. Un paquet qui est permis par une liste d'accès utilisée pour définir le trafic IPSec est crypté si la session IPSec est configurée correctement. Un paquet qui est rejeté par une de ces listes d'accès n'est pas rejeté mais transmis sans être crypté. Tout comme les autres listes d'accès, il y a une instruction implicite de rejet à la fin de la liste d'accès qui dans ce cas veut dire que l'action par défaut est de ne pas crypter le trafic. S'il n'y a pas d'association IPSec correctement configurée, le trafic n'est pas crypté et il est achemené normalement. BTS-SIO 11

12 BTS-SIO 12 b. Dans ce scénario, le trafic que vous voulez crypter est du trafic allant du LAN Ethernet de R1 vers le LAN Ethernet de R3 ou vice versa. Ces listes d'accès sont utilisées en sortie sur les interfaces des extrémités VPN et doivent être un mirroir l'une de l'autre. c. Configurez l'acl du trafic VPN IPSec intêressant sur R1. R1(config)#access-list 101 permit ip d. Configurez l'acl du trafic VPN IPSec intêressant sur R1. R3(config)#access-list 101 permit ip e. Est-ce que IPSec vérifie que les listes d'accès sont le mirroir l'une de l'autre pour négocier les associations de sécurité? Etape 7: Créer et appliquer une crypto map Une crypto map associe le trafic intêressant qui correspond à la liste d'accès avec une extrémité et différents paramètres IKE et IPSec. Après la création de la crypto map, celle-ci ci peut êttre appliquée à une ou plusieurs interfaces. Les interfaces auxquelles elle est appliquée doit être une de celle faisant face à l'autre extrémité IPSec. a. Pour créer une crypto map, utilisez la commande crypto map name sequence-num type en mode de configuration global pour entrer en mode de configuration crypto map pour ce numéro de séquence. Plusieurs instructions de crypto map peuvent appartenir à la même crypto map et sont évaluées dans l'ordre numérique descendant. Entrez en mode de configuration crypto map sur R1. Utilisez le type ipsec-isakmp isakmp qui signifie que IKE est utilisé pour établir les associations de sécurité IPSec. b. Créez la crypto map nommée CMAP sur R1 avec 10 comme numéro de séquence. Un message est affiché à l'exécution de la commande. R1(config)#crypto crypto map CMAP 10 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured. c. Utilisez la commande match-addressaddress access-list pour spécifier quelle liste d'accès définit le trafic à crypter. R1(config-crypto-map)#match match address 101

13 d. Pour afficher l'ensemble des commandes que vous pouvez inclure dans une crypto map utilisez l'aide en ligne (?). R1(config-crypto-map)#set? Identity Identity restriction. Ip Interface Internet Protocol config commands isakmp-profile profile Specify isakmp Profile nat Set NAT translation peer Allowed Encryption/Decryption peer. pfs Specify pfs settings security-association Security association parameters transform-set set Specify list of transform sets in priority order e. Configurer un nom de host ou une adresse IP d'extrémité est requis. Configurez l'adresse IP de l'interface de l'extrémité VPN distante de R3 avec la commande suivante: R1(config-crypto-map)#set peer f. Indiquez le transform set à utiliser avec cette extrémité en utilisant la comtag. Fixez le type de pfs (Perfect forwarding mande set transform-set secrecy) avec la commande set pfs type et modifiez également la durée de vie par défaut le l'association de sécurité IPSec avec la commande set security association lifetime seconds seconds. R1(config-crypto-map)#set pfs group5 R1(config-crypto-map)#set transform-set 50 R1(config-crypto-map)#set security-association lifetime seconds 900 R1(config-crypto-map)#exit g. Créez une cryto map mirroir sur R3. R3(config-crypto-map)#match match address 101 R3(config-crypto-map)#set peer R3(config-crypto-map)#set pfs group5 R3(config-crypto-map)#set transform-set 50 R3(config-crypto-map)#set security-association lifetime seconds 900 R3(config-crypto-map)#exit h. La dernière étape est l'application des crypto map aux interfaces. Notez que les associations de sécurité (SAs) ne seront pas établies tant que la crypto map n'aura pas été activée par le trafic intêressant. Le routeur va générer un message pour indiquer que la crypto map est opérationnelle. i. Appliquez les crypto map aux interfaces appropriées sur R1 et R3. R1(config)#interface S0/0/0 R1(config-if)#crypto crypto map CMAP *Jan 28 04:09:09.150: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON R1(config)#end R3(config)#interface S0/0/1 R3(config-if)#crypto crypto map CMAP *Jan 28 04:10:54.138: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON R3(config)#end BTS-SIO 13

14 Tâche 2: Vérifier la configuration VPN IPSec site à site Etape 1: Vérification de la configuration IPSec sur R1 et R3. a. Vous avez déjà utilisé la commande show crypto isakmp policy pour afficher les stratégies ISAKMP configurées sur le routeur. De manière similaire la commande show crypto ipsec transform-set affiche la configuration des stratégies IPSec configurées sous la forme d'un transform set. R1#show crypto ipsec transform-set Transform set 50: { esp-256-aes esp-sha-hmac } will negotiate = { Tunnel, }, Transform set #$!default_transform_set_1: { esp-aes esp-sha-hmac } will negotiate = { Transport, }, Transform set #$!default_transform_set_0: { esp-3des esp-sha-hmac } will negotiate = { Transport, }, R3#show crypto ipsec transform-set Transform set 50: { esp-256-aes esp-sha-hmac } will negotiate = { Tunnel, }, Transform set #$!default_transform_set_1: { esp-aes esp-sha-hmac } will negotiate = { Transport, }, Transform set #$!default_transform_set_0: { esp-3des esp-sha-hmac } will negotiate = { Transport, }, b. Utilisez la commande show crypto map pour afficher les crypto maps appliquées au routeur. R1#show crypto map Crypto Map "CMAP" 10 ipsec-isakmpisakmp Peer = Extended IP access list 101 access-list 101 permit ip Current peer: Security association lifetime: kilobytes/900 seconds PFS (Y/N): Y DH group: group5 Transform sets={ 50: { esp-256-aes esp-sha-hmac }, } Interfaces using crypto map MYMAP: Serial0/0/0 BTS-SIO 14

15 R3#show crypto map Crypto Map "CMAP" 10 ipsec-isakmpisakmp Peer = Extended IP access list 101 access-list 101 permit ip Note: La sortie de ces commandes show ne change pas si le trafic intêressant passe par la connexion VPN. Tâche 3: Vérification du fonctionnement du VPN IPSec Etape 1: Affichage des associations de sécurité ISAKMP. La commande show cryoto isakmp sa révèle qu'il n'y a pas encore de SA IKE. Quand du trafic intêressant est transmis, la sortie de cette commande change. R1#show crypto isakmp sa dst src state conn-id slot status Etape 2: Affichage des associations de sécurité IPSec a. La commande show crypto ipsec sa affiche les SA entre R1 et R3. Notez le nombre de paquets transmis et qu'il n'y a pas d'association de sécurité établie. R1#show crypto ipsec sa BTS-SIO 15 interface: Serial0/0/0 Crypto map tag: CMAP, local addr protected vrf: (none) local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) current_peer port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: , remote crypto endpt.: path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: Current peer: Security association lifetime: kilobytes/900 seconds PFS (Y/N): Y DH group: group5 Transform sets={ 50: { esp-256-aes esp-sha-hmac }, } Interfaces using crypto map MYMAP: Serial0/0/1

16 b. Pourquoi n'y a-t-il pas d'association (SA) de sécurité négociée? Etape 3: Génération de trafic de test intérêssant et observation des résultats a. Faire une commande ping depuis R1 vers l'adresse IP de l'interface S0/0/1 de R3. Est-ce que la commande ping réussit? b. Entrez la commande show crypto isakmp sa. Est-ce qu'une SA a été créée entre R1 et R3? c. Faire une commande ping de R1 vers l'adresse IP de R3. Est-ce que la commande ping réussit? d. Entrez de nouveau la commande show crypto ipsec sa. Est-ce qu'une association de sécurité a été créée? Pourquoi? e. Entrez la commande debug eigrp packets. Vous devez voir des paquets hello EIGRP passant entre R1 et R3. R1#debug eigrp packets EIGRP Packets debugging is on (UPDATE, QUEST, QUERY, PLY, HELLO, IPXSAP, PROBE, ACK, STUB, SIAQUERY, SIAPLY) R1# *Jan 29 16:05:41.243: EIGRP: Received HELLO on Serial0/0/0 nbr *Jan 29 16:05:41.243: AS 101, Flags 0x0, Seq 0/0 idbq 0/0 iidbq un/rely 0/0 peerq un/rely 0/0 *Jan 29 16:05:41.887: EIGRP: Sending HELLO on Serial0/0/0 *Jan 29 16:05:41.887: AS 101, Flags 0x0, Seq 0/0 idbq 0/0 iidbq un/rely 0/0 R1# *Jan 29 16:05:43.143: EIGRP: Sending HELLO on FastEthernet0/1 *Jan 29 16:05:43.143: AS 101, Flags 0x0, Seq 0/0 idbq 0/0 iidbq un/rely 0/0 R1# f. Arrêtez le debugging avec la commande no debug all. g. Utilisez la commande show crypto isakmp sa. Est-ce qu'une SA a été créée entre R1 et R3? Pourquoi? Etape 4: Générez du trafic de test intêressant et observez les résultats a. Utilisez une commande ping étendue depuis R1 vers l'adresse IP de R3.La commande ping étendue vous permet de contrôler l'adresse source des paquets. Répondez aux questions comme le montre l'exemple suivant. Pressez la touche enter pour accepter les valeurs par défaut, sauf celles pour lesquelles une réponse est indiquée. BTS-SIO 16

17 R1#ping Protocol [ip]: Target IP address: Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: Packet sent with a source address of !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 92/92/92 ms b. Entrez de nouveau la commande show crypto isakmp sa de nouveau. R1#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id slot status QM_IDLE ACTIVE c. Pourquoi une SA a-t-elle été créée entre R1 et R3 cette fois-ci? d. Quels sont les extrémités du tunnel VPN IPSec? e. Faire une commande ping depuis PC-A vers PC-C. Est-ce que la commande réussit? f. Entrez la commande show cryopto ipsec sa. Combien de paquets ont été cryptés entree R1 et R3? R1#show crypto ipsec sa interface: Serial0/0/0 Crypto map tag: CMAP, local addr protected vrf: (none) local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) current_peer port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9 #pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: , remote crypto endpt.: path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0 current outbound spi: 0xC1DD058( ) BTS-SIO 17

18 local crypto endpt.: , remote crypto endpt.: path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0 current outbound spi: 0xC1DD058( ) inbound esp sas: spi: 0xDF57120F( ) transform: esp-256-aes esp-sha-hmac, in use settings ={Tunnel, } conn id: 2005, flow_id: FPGA:5, crypto map: CMAP sa timing: remaining key lifetime (k/sec): ( /877) IV size: 16 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xC1DD058( ) transform: esp-256-aes esp-sha-hmac, in use settings ={Tunnel, } conn id: 2006, flow_id: FPGA:6, crypto map: CMAP sa timing: remaining key lifetime (k/sec): ( /877) IV size: 16 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: g. L'exemple précédent utilisait la commande ping pour générer du trafic intêressant. Quel autre type de trafic aurait entrainé la formation de SA IPSec et l'établissement du tunnel? Partie 3: Configuration d'un VPN IPSec site à site avec SDM BTS-SIO 18 Dans la partie 3 de ce lab, vous configurez un tunnel VPN IPSec entre R1 et R3 qui passe par R2. Dans la tâche 2, vous configurez R1 en utilisant Cisco SDM. Dans la tâche 3, vous générez la configuration mirroir pour R3 en utilisant les utilitaires du SDM. Vous revoyez puis vous testez la configuration. Tâche 1: Restauration de la configuration de base de R1 et R3 Etape 1: Restauration de la configuration de démarrage A l'aide la commande copy tftp startup-config, rechargez la configuration de démarrage avec les fichiers sauvegardés sur le serveur TFTP. Cette restauration doit être faite pour R1 et R3. R1# copy tftp startup-config <répondez aux questions posées>

19 Etape 2: Redémarrage des routeurs et test de la connectivité a. Entrez la commande reload sur chacun des routeurs. R1# reload b. Testez la connectivité en passant une commande ping depuis PC-A vers PC-C. Si la commande échoue, vous devez résoudre le problème avant de continuer. Tâche 2: Configuration des paramètres du VPN IPSec sur R1 en utilisant SDM BTS-SIO 19 Etape 1: Configuration du mot de passe enable secret et de l'accès HTTP au routeur a. A partir de la CLI, configurez le mot de passe enable secret pour l'utiliser avec SDM sur R1 et R3. R1(config)#enable secret cisco12345 R3(config)#enable secret cisco12345 b. Validez le serveur HTTP sur R1 et R3. R1(config)#ip http server R3(config)#ip http server Etape 2: Accéder au SDM et fixer les préférences a. Lancez l'application SDM ou ouvrez un navigateur sur PC-A et démarrez le SDM en entrant l'adresse IP de R dans le champ adresse. Note: Vous pouvez être interrogé par Internet Explorer pour autoriser les ActiveX pendant certaines de ces étapes.cliquez sur Autoriser. b. Connectez-vous sans nom d'utilisateur et en entrant le mot de passe enable secret cisco c. Dans la boîte de dialogue Authentication Required, ne remplissez pas le champ Username et entrez cisco12345 dans le champ Password. Cliquez sur Yes. d. Si la boite de dialogue IOS IPS s'affiche, cliquez sur le bouton Cancel pour passer cette option. e. Sélectionnez Edit> Preferences dans la barre de menu en haut de l'écran du SDM pour permettre la visualisation des commandes avant des transmettre au routeur. Dans la fenêtre User Preferences, cochez la case Preview commands before delivering to routeur puis cliquez sur OK.

20 Etape 3: Démarrage de l'assistant SDM VPN pour configurer R1. a. Cliquez sur Configure dans le haut de l'écran du SDM puis cliquez sur le bouton VPN. Sélectionnez Site-to-Site VPN dans la liste des options. L'option par défaut est Create Site-to-Site VPN. Lisez la des cription de cette option. b. Que devez vous savoir d'autre pour terminer cette configuration? c. Cliquez sur le bouton Launch the selected task pour démarrer l'assistant SDM Site-to -Site VPN. d. Dans la fenêtre initiale de l'assistant Site-to-Site VPN, l'option Quick Setup est sélectionnée par défaut. Cliquez sur le bouton View Details pour voir quels paramètres sont utilisés par cette option. Quel type de cryptage est utilisé par le transform set par défaut? e. A partir de la fenêtre initiale de l'assistant Site-to-Site VPN, sélectionnez l'assistant Step by Step puis cliquez sur Next. Pourquoi utilisez vous cette option à la place de l'option Quick Setup? BTS-SIO 20

21 Etape 4: Configuration des informations de base de la connexion VPN. a. A partir du panneau VPN Connection Information, sélectionnez l'interface pour la connexion. Ce doit être l'interface S0/0/0 de R1. b. Dans la section Peer Identity, sélectionnez Peer with static address et entrez l'adresse IP de l'extrémité distante S/0/0/1 de R3 ( ). c. Dans la section Authentication, cliquez sur Pre-shared keys et entrez la clé VPN pré-partagée cisco Entrez de nouveau la clé pour confirmation. Cette clé est ce qui protège le VPN et le rend sécurisé. Quand vous avez terminé l'écran doit ressembler au suivant. Quand vous avez entré ces paramètres correctement, cliquez sur Next. Etape 5: Configuration des paramètres de la stratégie IKE. Les stratégies IKE sont utilisées pendant l'établissement du canal de contrôle entre les deux extrémités VPN pour l'échange de clés. Ceci est également appelé association de sécurité IKE (SA). En comparaison, la stratégie IPSec est utilisée pendant IKE Phase II pour négocier une association de sécurité IPSec pour passer le trafic de données ciblé. a. Dans la fenêtre IKE Proposals, une stratégie par défaut est affichée. Vous pouvez utiliser celle-ci ci ou en créer une nouvelle. A quoi cette cette proposition IKE? BTS-SIO 21

22 b. Cliquez sur le bouton Add pour créer une nouvelle politique IKE. c. Configurez la stratégie IKE comme cela est montré dans la boite de dialogue Add IKE Policy. Ces paramètres devront correspondre avec ceux de R3. Quand vous avez fini cliquez sur OK pour ajouter la stratégie. Cliquez sur Next. d. Cliquez sur le bouton Help pour vous aider à répondre aux questions suivantes. Quelle est la fonction de l'algorithme de cryptage dans la stratégie IKE? e. Quel est le but de la fonction de hachage? f. A quoi sert la méthode d'authentification? g. Comment le groupe Diffie-Hellman est-il utilisé dans la stratégie IKE? h. Quel évènement se produit à nla fin de la durée de vie de la stratégie IKE? Etape 6: Configuration d'un transform set Le transform set est la stratégie IPSec utilisée pour crypter, hacher et authentifier les paquets qui passent dans le tunnel. Le transform set est la stratégie IKE Phase II. a. Un transform set SDM par défaut est affiché. Cliquez sur le bouton Add pour créer un nouveau transform set. b. Configurez le transform set comme cela est montré dans la boite de dialogue Transform Set. Ces paramètres devront correspondre avec ceux de R3. Quand vous avez fini cliquez sur OK pour ajouter le transform set. Cliquez sur Next. BTS-SIO 22

23 Etape 7: Définition du trafic intêressant Vous devez définir le trafic intêressant devant être protégé par le tunnel. Le trafic intêressant sera définit au moyen d'une liste d'accès quand il est appliqué au routeur. Si vous entrez les réseaux source et destination, SDM génère la liste d'accès appropriée pour vous. Dans la fenêtre Traffic to protect, entrez l'information comme cela est montré ci-dessous. Il y a les paramètres opposés configurés sur R3. Quand vous avez fini cliquez sur Next. BTS-SIO 23

24 Etape 8: Revoir le résumé de la configuration et délivrer les commandes au routeur. a. Revoir le résumé dans la fenêtre Summary of the Configuration. Elle doit ressembler à celle-ci-dessous. Ne pas cocher la case Test VPN connectivity after configuring. Cela sera fait après la configuration de R3. Cliquez sur Finish pour terminer. b. Dans la fenêtre Deliver Configuration to router, cochez la case Save running config to router's startup config puis cliquez sur le bouton Deliver. Une fois que les commandes ont été délivrées, cliquez sur OK. Combien de commandes ont été délivrées? Tâche 3: Création d'une configuration mirroir pour R3 Etape 1: Utilisez SDM sur R1 pour générer une configuration mirroir pour R3. a. Sur R1, sélectionnez VPN> Site-to-Site VPN puis cliquez sur Edit Site-to-Site VPN.. Vous devez voir la configuration que vous venez de créer sur R1. Quelle est la description du VPN? b. Quel est l'état du VPN et pourquoi? c. Sélectionnez la strétgie VPN que vous venez de configurer sur R1 puis cliquez sur le bouton Generate Mirror en dans la partie droite de la fenêtre. La fenêtre Generate Mirror affiche les commandes nécessaires pour configurer R3 comme extrémité VPN. Déroulez la fenêtre pour voir les commandes générées. BTS-SIO 24

25 a. Le texte en haut de la fenêtre stipule que la configuration générée doit être uniquement utilisée comme un guide pour la configuration d'un VPN site à site. Quelles commandes manquent pour permettre à cette stratégie de fonctionner sur R3? Note: Regardez la description de l'entrée qui suit la commande crypto map SDM_CMAP_1. Etape 2: Sauvegarde des commandes de configuration pour R3. a. Cliquez sur le bouton Save pour créer le fichier texte à utiliser dans la tâche suivante. b. Sauvegardez les commandes sur le bureau ou à un autre emplacement et nommez les VPN-Mirror-Cfg-for-R3.txt. Note: Vous pouvez copier ces commandes directement depuis la fenêtre Generate Mirror. c. (Optionnel) Editez le fichier pour retirer le texte d'explication au début et la description de l'entrée suivant la commande crypto map SDM_CMAP_1. BTS-SIO 25

26 Tâche 4: Application de la configuration mirroir à R3 et vérification Etape 1: Accès à la cli de R3 et copie des commandes mirroir. a. Entrez en mode EXEC privilégié sur R3 puis entrez en mode de configuration global. b. Copiez les commandes à partir du fichier texte vers la CLI de R3. Etape 2: Application de la crypto map à l'interface S0/0/0 de R3. R3(config)#interface s0/0/1 R3(config-if)#crypto crypto map SDM_CMAP_1 *Jan 30 13:00:38.184: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON Etape 3: Vérification de la configuration VPN sur R3 en utilisant l'ios Cisco. a. Affichez la configuration courante en commençant par la première ligne qui contient "0/0/1" pour vérifier que la crypto map est appliquée à s0/0/0. R3#sh run beg 0/0/1 interface Serial0/0/1 ip address crypto map SDM_CMAP_1 b. Sur R3 utilisez la commande show isakmp policy pour afficher les stratégies ISAKMP du routeur. Notez que la stratégie par défaut du SDM est présente. R3#show crypto isakmp policy Global IKE policy Protection suite of priority 1 encryption algorithm: Three key triple DES hash algorithm: Secure Hash Standard authentication method: Pre-Shared Key Diffie-Hellman group: #2 (1024 bit) lifetime: seconds, no volume limit Protection suite of priority 10 encryption algorithm: AES - Advanced Encryption Standard (256 bit keys) hash algorithm: Message Digest 5 authentication method: Pre-Shared Key Diffie-Hellman group: #5 (1536 bit) lifetime: seconds, no volume limit c. Combien il ya de stratégies listées dans la sortie précédente? BTS-SIO 26

27 d. Entrez la commande show crypto ipsec transform-set pour afficher les stratégies IPSec configurées sius la forme de transform sets. R3#show crypto ipsec transform-set Transform set Lab-Transform: { esp-256-aes esp-sha-hmac } will negotiate = { Tunnel, }, Transform set #$!default_transform_set_1: { esp-aes esp-sha-hmac } will negotiate = { Transport, }, Transform set #$!default_transform_set_0: { esp-3des esp-sha-hmac } will negotiate = { Transport, }, e. Utilisez la commande show crypto map pour afficher les crypto map qui seront appliquées au routeur. R3#show crypto map Crypto Map "SDM_CMAP_1" 1 ipsec-isakmp Description: Apply the crypto map on the peer router's interface having IP address that connects to this router. Peer = Extended IP access list SDM_1 access-list SDM_1 permit ip Current peer: Security association lifetime: kilobytes/3600 seconds PFS (Y/N): N Transform sets={ Lab-Transform: { esp-256-aes esp-sha-hmac }, } Interfaces using crypto map SDM_CMAP_1: Serial0/0/1 BTS-SIO 27 f. Dans la sortie ci-dessus, la stratégie ISAKMP en cours d'utilisation par la crypto map est la stratégie SDM default avec le numéro de priorité de séquence 1, indiqué par le numéro 1 dans la première ligne: Crypto Map "SDM_MAP_1" 1 ipsec-isakmp. isakmp. Pourquoi celle que vous avez créée dans la session SDM n'est-elle pas utilisée, celle créée avec la priorité 10 dans l'étape 3b? _

28 g. (Optionnel) Vous pouvez forcer les routeurs à utiliser la stratégie la plus stricte que vous avez créée en changeant les références de crypto map dans les configurations de R1 et R3 comme cela est montré ci-dessous. Si vous faîtes cela, la stratégie SDM default 1 peut être retirée sur les deux routeurs. R1(config)#interface s0/0/0 R1(config-if)#no no crypto map SDM_CMAP_1 R1(config-if)#exit *Jan 30 17:01:46.099: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is OFF R1(config)#no no crypto map SDM_CMAP_1 1 R1(config)#crypto crypto map SDM_CMAP_1 10 ipsec-isakmp NOTE: : Cette nouvelle crypto map restera désactivée jusqu'à ce qu'une extrémité et une lista d'accès vlide soient configurés. R1(config-crypto-map)#description Tunnel to R1(config-crypto-map)#set peer R1(config-crypto-map)#set transform-set Lab-Transform R1(config-crypto-map)#match match address 100 R1(config-crypto-map)#exit R1(config)#int s0/0/0 R1(config-if)#crypto crypto map SDM_CMAP_1 R1(config-if)#exit *Jan 30 17:03:16.603: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON R3(config)#interface s0/0/1 R3(config-if)#no no crypto map SDM_CMAP_1 R3(config-if)#exit R3(config)#no no crypto map SDM_CMAP_1 1 R3(config)#crypto crypto map SDM_CMAP_1 10 ipsec-isakmp NOTE: : Cette nouvelle crypto map restera désactivée jusqu'à ce qu'une extrémité et une lista d'accès vlide soient configurés. R3(config-crypto-map)#description Tunnel to R3(config-crypto-map)#set peer R3(config-crypto-map)#set transform-set Lab-Transform R3(config-crypto-map)#match match address 100 R3(config-crypto-map)#exit R3(config)#int s0/0/1 R3(config-if)#crypto crypto map SDM_CMAP_1 R3(config-if)# *Jan 30 22:18:28.487: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON Tâche 5: Test de la configuration VPN en utilisant SDM sur R1 a. Sur R1, utilisez SDM pour tester le tunnel VPN IPSec entre les deux routeurs. Sélectionnez VPN> Site-to-Site VPN puis cliquez sur Edit Site-to-Site VPN. b. A partir de l'onglet Edit Site-to-Site VPN, sélectionnez VPN puis cliquez sur Test Tunnel. c. Quand la fenêtre VPN Troubleshooting s'affiche, cliquez sur le bouton Start pour que le SDM commence le test du tunnel. d. Quand la fenêtre SDM Warning s'affiche indiquant que SDM va valider debug sur le routeur et générer du trafic pour le tunnel, cliquez sur Yes pour continuer. BTS-SIO 28

29 e. Dans la fenêtre VPN Troubleshooting suivante, l'adresse IP de l'interface Fa0/1 de R1 dans le réseau source est affichée par défaut ( ). Entrez l'adresse IP de l'interface fa0/1 de R3 dans le réseau destination ( ) puis cliquez sur Continue pour debug le processus de test. f. Si le test est réussi et que le tunnel est monté, vous devez voir l'écran page suivante. Si le test échoue, SDM affiche les raisons de l'échec et recommande des actions. Cliquez sur OK pour fermer la fenêtre. BTS-SIO 29

30 g. Vous pouvez sauvegarder le rapport si vous le désirez sinon cliquez sur Close. BTS-SIO 30 Note: Si vous voulez réinitialiser le tunnel et le tester de nouveau, vous pouvez cliquer sur le bouton Clear Connection dans la fenêtre Edit Sit-to-Site VPN. Ceci peut également être accompli avec la CLI en utilisant la commande clear crypto session. h. Affichez la configuration courante pour R3 commençant avec la première ligne qui contient 0/0/1 pour vérifier que la crypto map est appliquée à S0/0/1. R3#sh run beg 0/0/1 interface Serial0/0/1 ip address crypto map SDM_CMAP_1 <partie supprimée>

31 i. Entrez la commande show crypto isakmp sa sur R3 pour voir l'association de sécurité créée. R3#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id slot status QM_IDLE ACTIVE j. Entrez la commande show crypto ipsec sa. Combien de paquets ont été cryptés entre R1 et R3? R3#show crypto ipsec sa interface: Serial0/0/1 Crypto map tag: SDM_CMAP_1, local addr protected vrf: (none) local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) current_peer port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 116, #pkts encrypt: 116, #pkts digest: 116 #pkts decaps: 116, #pkts decrypt: 116, #pkts verify: 116 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: , remote crypto endpt.: path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/1 current outbound spi: 0x207AAD8A( ) BTS-SIO 31 inbound esp sas: spi: 0xAF102CAE( ) transform: esp-256-aes esp-sha-hmac, in use settings ={Tunnel, } conn id: 2007, flow_id: FPGA:7, crypto map: SDM_CMAP_1 sa timing: remaining key lifetime (k/sec): ( /3037) IV size: 16 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x207AAD8A( ) transform: esp-256-aes esp-sha-hmac, in use settings ={Tunnel, } conn id: 2008, flow_id: FPGA:8, crypto map: SDM_CMAP_1 sa timing: remaining key lifetime (k/sec): ( /3037) IV size: 16 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas:

32 Tâche 6: Réflexion a. Est-ce le trafic de la liaison FastEthernet entre PC-A et R1 Fa0/0 est crypté par le tunnel VPN IPSec site à site? Pourquoi? b. Quels sont les facteurs à prendre en compte quand on configure des VPN IPSec site à site en utilisant la CLU par rapport à l'utilisation de l'interface graphique du SDM? BTS-SIO 32