Packet Tracer : configuration de VPN (facultatif)



Documents pareils
Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Les réseaux /24 et x0.0/29 sont considérés comme publics

ASA/PIX : Exemple de configuration d'adressage IP statique pour client VPN IPSec avec CLI et ASDM

Travaux pratiques : collecte et analyse de données NetFlow

SECURIDAY 2013 Cyber War

Travaux pratiques : configuration des routes statiques et par défaut IPv6

Cisco Certified Network Associate Version 4

DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site

Réseaux Privés Virtuels Virtual Private Network

Mise en route d'un Routeur/Pare-Feu

Travaux pratiques : configuration de la traduction d adresses de port (PAT)

Réseaux Privés Virtuels Virtual Private Network

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

TP Configuration de l'authentification OSPF

Configuration du matériel Cisco. Florian Duraffourg

Mise en service d un routeur cisco

Sécurité des réseaux IPSec

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

Pare-feu VPN sans fil N Cisco RV120W

Arkoon Security Appliances Fast 360

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

Résumé et recommandations

Les réseaux des EPLEFPA. Guide «PfSense»

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

TP réseaux Translation d adresse, firewalls, zonage

Travaux pratiques Gestion des fichiers de configuration de périphérique via TFTP, Flash et USB

Un équipement (clé USB, disque dur, imprimante, etc.) est connecté au port USB.

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Comment utiliser HSRP pour assurer la redondance dans un réseau BGP multihébergé

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Installation du client Cisco VPN 5 (Windows)

Firewall ou Routeur avec IP statique

Travaux pratiques Configuration du protocole DHCP avec SDM et l interface de ligne de commande Cisco IOS

1. Présentation de WPA et 802.1X

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Exercice : configuration de base de DHCP et NAT

Installation du client Cisco VPN 5 (Windows)

Installation du client Cisco VPN 5 (Windows)

Routage Statique. Protocoles de Routage et Concepts. Version Cisco Systems, Inc. All rights reserved. Cisco Public 1

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

QoS sur les exemples de configuration de Cisco ASA

Procédure Configuration Borne Wifi. Attribution d'une adresse IP

Sécurité GNU/Linux. Virtual Private Network

Passerelle de Sécurité Internet Guide d installation

Exercice Packet Tracer : Configuration de base des réseaux locaux virtuels

Comment fonctionne le PATH MTU dans les tunnels GRE et IPSec?

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

Figure 1a. Réseau intranet avec pare feu et NAT.

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

ROUTEURS CISCO, PERFECTIONNEMENT

Configuration d'un serveur DHCP Windows 2000 pour Cisco CallManager

INSTALLATION D'OPENVPN:

comment paramétrer une connexion ADSL sur un modemrouteur

Transmission de données

IUT d Angers License Sari Module FTA3. Compte Rendu. «Firewall et sécurité d un réseau d entreprise» Par. Sylvain Lecomte

Le protocole SSH (Secure Shell)

Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Note d Application. Bascule d ALOHA via injection de route en BGP

Eric DENIZOT José PEREIRA Anthony BERGER

Mise en place d'un Réseau Privé Virtuel

Les logos et marques cités dans ce document sont la propriété de leurs auteurs respectifs

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

FICHE CONFIGURATION SERVICE DHCP

A5.2.3, Repérage des compléments de formation ou d'autoformation

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Date : 08/02/12 SISR1 tp.topologie.reseau.wan Durée : 2 h

VOIP. QoS SIP TOPOLOGIE DU RÉSEAU

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

Devoir Surveillé de Sécurité des Réseaux

Le protocole RADIUS Remote Authentication Dial-In User Service

Chap.9: SNMP: Simple Network Management Protocol

Configuration de l'accès distant

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Cisco RV220W Network Security Firewall

Movie Cube. Manuel utilisateur pour la fonction sans fil WiFi

Routeur VPN Wireless-N Cisco RV215W

Cisco RV220W Network Security Firewall

Sécurité des réseaux wifi. CREIX Kevin GIOVARESCO Julien

Mécanismes de configuration automatique d une interface réseau, aspects sécurité

Note technique. Recommandations de sécurité relatives à IPsec 1 pour la protection des flux réseau

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Travaux pratiques Configuration d une carte réseau pour qu elle utilise DHCP dans Windows Vista

Bravo! Vous venez d acquérir un routeur large bande à 4 ports Conceptronic C100BRS4H.

Configuration de Serveur 2003 en Routeur

Sécurité des réseaux wi fi

Le rôle Serveur NPS et Protection d accès réseau

Travaux pratiques : Configuration de base d une route statique

Présentation et portée du cours : CCNA Exploration v4.0

Administration de Réseaux d Entreprises

ALOHA Load Balancer 2.5. Guide de démarrage rapide. EXCELIANCE ALOHA 2.5 Guide de démarrage rapide 30/01/2008 1/17

Module M3102 TP3. QoS : implémentation avec Cisco MQC

Configuration serveur pour le mode L4 DSR

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

Transcription:

Topologie Table d'adressage Périphérique Interface Adresse IP Masque de sousréseau Passerelle par défaut R1 G0/0 192.168.1.1 255.255.255.0 N/A S0/0/0 10.1.1.2 255.255.255.252 N/A G0/0 192.168.2.1 255.255.255.0 N/A R2 S0/0/0 10.1.1.1 255.255.255.252 N/A S0/0/1 10.2.2.1 255.255.255.252 N/A R3 G0/0 192.168.3.1 255.255.255.0 N/A S0/0/1 10.2.2.2 255.255.255.252 N/A PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1 PC-B NIC 192.168.2.3 255.255.255.0 192.168.2.1 PC-C NIC 192.168.3.3 255.255.255.0 192.168.3.1 2014 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 1 / 6

Paramètres de stratégie ISAKMP de phase 1 Paramètres R1 R3 Méthode de distribution de clé Mode manuel ou ISAKMP ISAKMP ISAKMP Algorithme de chiffrement DES, 3DES ou AES AES AES Algorithme de hachage MD5 ou SHA-1 SHA-1 SHA-1 Méthode d'authentification Clés prépartagées ou RSA prépartage prépartage Échange de clés Groupe DH 1, 2 ou 5 DH 2 DH 2 Durée de vie des associations de sécurité IKE 86400 secondes ou moins 86400 86400 Clé ISAKMP cisco cisco Les paramètres en gras sont les valeurs par défaut. D'autres paramètres doivent être explicitement configurés. Paramètres de stratégie IPsec de phase 2 Paramètres R1 R3 Transform Set VPN-SET VPN-SET Nom d'hôte d'homologue R3 R1 Adresse IP d'homologue 10.2.2.2 10.1.1.2 Réseau à chiffrer 192.168.1.0/24 192.168.3.0/24 Nom de carte de chiffrement Établissement d'association de sécurité VPN-MAP ipsec-isakmp VPN-MAP ipsec-isakmp Objectifs Partie 1 : activation des fonctions de sécurité Partie 2 : configuration des paramètres IPsec sur R1 Partie 3 : configuration des paramètres IPsec sur R3 Partie 4 : vérification du VPN IPsec Scénario Au cours de cet exercice, vous allez configurer deux routeurs de telle sorte qu'ils prennent en charge un VPN IPsec de site à site pour le trafic issu de leurs LAN respectifs. Le trafic VPN IPsec passera par un autre routeur qui n'a pas connaissance du VPN. IPsec permet la transmission sécurisée d'informations sensibles sur des réseaux non protégés tels qu'internet. IPsec agit en tant que couche réseau, qui protège et authentifie les paquets IP entre les périphériques IPsec participants (homologues), comme les routeurs Cisco. 2014 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 2 / 6

Partie 1 : Activation des fonctions de sécurité Étape 1 : Activez le module securityk9. La licence du pack technologique de sécurité doit être activée pour pouvoir effectuer cet exercice. Remarque : le mot de passe du mode d'exécution utilisateur et celui du mode d'exécution privilégié sont tous les deux cisco. a. Exécutez la commande show version en mode d'exécution utilisateur ou en mode d'exécution privilégié pour vérifier que la licence du pack technologique de sécurité est activée. ---------------------------------------------------------------- Technology Technology-package Technology-package Current Type Next reboot ----------------------------------------------------------------- ipbase ipbasek9 Permanent ipbasek9 security None None None uc None None None data None None None Configuration register is 0x2102 b. Si ce n'est pas le cas, activez le module securityk9 pour le prochain démarrage du routeur, acceptez la licence, enregistrez la configuration et redémarrez. R1(config)# license boot module c2900 technology-package securityk9 R1(config)# end R1# copy running-config startup-config R1# reload c. Après le redémarrage, exécutez à nouveau la commande show version afin de vérifier l'activation de la licence du pack technologique de sécurité. Technology Package License Information for Module:'c2900' ---------------------------------------------------------------- Technology Technology-package Technology-package Current Type Next reboot ----------------------------------------------------------------- ipbase ipbasek9 Permanent ipbasek9 security securityk9 Evaluation securityk9 uc None None None data None None None d. Répétez les étapes 1a à 1c avec R3. Partie 2 : Configuration des paramètres IPsec sur R1 Étape 1 : Tester la connectivité Envoyez une requête ping à partir de PC-A vers PC-C. 2014 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 3 / 6

Étape 2 : Identifiez le trafic intéressant sur R1. Configurez la liste de contrôle d'accès 110 afin d'identifier le trafic issu du LAN sur R1 vers le LAN sur R3 comme étant le trafic intéressant. Ce trafic intéressant déclenchera le réseau privé virtuel IPsec à implémenter, pour autant qu'il y ait du trafic entre les LAN de R1 et de R3. Tout autre trafic provenant des LAN ne sera pas chiffré. Rappelez-vous qu'en raison de l'instruction deny any implicite, il n'est pas nécessaire d'ajouter l'instruction à la liste. R1(config)# access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 Étape 3 : Configurez les propriétés ISAKMP de phase 1 sur R1. Configurez les propriétés 10 de la stratégie de chiffrement ISAKMP sur R1 avec la clé de chiffrement partagée cisco. Référez-vous au tableau ISAKMP de phase 1 pour connaître les paramètres spécifiques à configurer. Les valeurs par défaut ne doivent pas être configurées et par conséquent seules les méthodes de chiffrement, d'échange de clés et DH doivent être configurées. R1(config)# crypto isakmp policy 10 R1(config-isakmp)# encryption aes R1(config-isakmp)# authentication pre-share R1(config-isakmp)# group 2 R1(config-isakmp)# exit R1(config)# crypto isakmp key cisco address 10.2.2.2 Étape 4 : Configurez les propriétés ISAKMP de phase 2 sur R1. Créez le transform-set VPN-SET de manière à utiliser esp-3des et esp-sha-hmac. Créez ensuite la carte de chiffrement VPN-MAP qui lie ensemble tous les paramètres de phase 2. Utilisez le numéro d'ordre 10 et identifiez-le comme étant une carte ipsec-isakmp. R1(config)# crypto ipsec transform-set VPN-SET esp-3des esp-sha-hmac R1(config)# crypto map VPN-MAP 10 ipsec-isakmp R1(config-crypto-map)# description VPN connection to R3 R1(config-crypto-map)# set peer 10.2.2.2 R1(config-crypto-map)# set transform-set VPN-SET R1(config-crypto-map)# match address 110 R1(config-crypto-map)# exit Étape 5 : Configurez la carte de chiffrement sur l'interface de sortie. Enfin, liez la carte de chiffrement VPN-MAP à l'interface Serial 0/0/0 de sortie. Remarque : cet exercice n'est pas noté. R1(config)# interface S0/0/0 R1(config-if)# crypto map VPN-MAP Partie 3 : Configuration des paramètres IPsec sur R3 Étape 1 : Configurez le routeur R3 de manière à prendre en charge un VPN de site à site avec R1. Configurez maintenant les paramètres réciproques sur R3. Configurez la liste de contrôle d'accès 110 en identifiant le trafic issu du LAN sur R3 vers le LAN sur R1 comme étant le trafic intéressant. R3(config)# access-list 110 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 2014 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 4 / 6

Étape 2 : Configurez les propriétés ISAKMP de phase 1 sur R3. Configurez les propriétés 10 de la stratégie de chiffrement ISAKMP sur R3 avec la clé de chiffrement partagée cisco. R3(config)# crypto isakmp policy 10 R3(config-isakmp)# encryption aes R3(config-isakmp)# authentication pre-share R3(config-isakmp)# group 2 R3(config-isakmp)# exit R3(config)# crypto isakmp key cisco address 10.1.1.2 Étape 3 : Configurez les propriétés ISAKMP de phase 2 sur R1. Comme vous l'avez fait sur R1, créez le transform-set VPN-SET de manière à utiliser esp-3des et esp-shahmac. Créez ensuite la carte de chiffrement VPN-MAP qui lie ensemble tous les paramètres de phase 2. Utilisez le numéro d'ordre 10 et identifiez-le comme étant une carte ipsec-isakmp. R3(config)# crypto ipsec transform-set VPN-SET esp-3des esp-sha-hmac R3(config)# crypto map VPN-MAP 10 ipsec-isakmp R3(config-crypto-map)# description VPN connection to R1 R3(config-crypto-map)# set peer 10.1.1.2 R3(config-crypto-map)# set transform-set VPN-SET R3(config-crypto-map)# match address 110 R3(config-crypto-map)# exit Étape 4 : Configurez la carte de chiffrement sur l'interface de sortie. Enfin, liez la carte de chiffrement VPN-MAP à l'interface Serial 0/0/1 de sortie. Remarque : cet exercice n'est pas noté. R3(config)# interface S0/0/1 R3(config-if)# crypto map VPN-MAP Partie 4 : Vérification du VPN IPsec Étape 1 : Vérifiez le tunnel avant le trafic intéressant. Exécutez la commande show crypto ipsec sa sur R1. Notez que le nombre de paquets encapsulés, chiffrés, décapsulés et déchiffrés est défini à 0. R1# show crypto ipsec sa interface: Serial0/0/0 Crypto map tag: VPN-MAP, local addr 10.1.1.2 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0) current_peer 10.2.2.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 2014 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 5 / 6

#pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 10.1.1.2, remote crypto endpt.:10.2.2.2 path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0 current outbound spi: 0x0(0) <Résultat omis> Étape 2 : Créez du trafic intéressant. Envoyez une requête ping de PC-C à PC-A. Étape 3 : Vérifiez le tunnel après le trafic intéressant. Sur R1, réexécutez la commande show crypto ipsec sa. Notez maintenant que le nombre de paquets est supérieur à 0, ce qui indique que le tunnel VPN IPsec fonctionne. R1# show crypto ipsec sa interface: Serial0/0/0 Crypto map tag: VPN-MAP, local addr 10.1.1.2 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0) current_peer 10.2.2.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 3, #pkts encrypt: 3, #pkts digest: 0 #pkts decaps: 3, #pkts decrypt: 3, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 1, #recv errors 0 local crypto endpt.: 10.1.1.2, remote crypto endpt.:10.2.2.2 path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0 current outbound spi: 0x0A496941(172583233) <Résultat omis> Étape 4 : Créez du trafic non intéressant. Envoyez une requête ping de PC-B vers PC-A. Étape 5 : Vérifiez le tunnel. Sur R1, réexécutez la commande show crypto ipsec sa. Remarquez pour terminer que le nombre de paquets n'a pas changé, ce qui prouve que le trafic qui n'est pas intéressant n'est pas chiffré. 2014 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 6 / 6

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back