Scribd
Importer
132 vues8 pages

Configuration d'un VPN site à site avec GRE et IPSEC

Transféré par

oussama snad
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd
132 vues8 pages

Configuration d'un VPN site à site avec GRE et IPSEC

Transféré par

oussama snad
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd

Configuration d’un

VPN site to site

Soit le schéma réseau suivant :

1- Réaliser le schéma sur votre simulateur


2- Configurer l’adressage IP sur l’ensemble des équipements
3- Sur Router1, Configurer une route statique par défaut vers
FAI
ip route [Link] [Link] serial 0/0/0

4- Sur Router2, configurer une route statique par défaut vers


FAI
ip route [Link] [Link] serial 0/0/0

5- Configurer le NAT avec surcharge sur Router 1

Router(config)#access-list 10 permit [Link] [Link]


Router(config)#ip nat inside source list 10 interface serial
0/0/0 overload
Router(config)#interface serial 0/0/0
Router(config-if)#ip nat outside
Router(config-if)#exit
Router(config)#interface gigabitEthernet 0/0
Router(config-if)#ip nat inside

6- Configurer le NAT avec surcharge sur Router2


Router(config)#access-list 10 permit [Link] [Link]
Router(config)#ip nat inside source list 10 interface serial
0/0/0 overload
Router(config)#interface serial 0/0/0
Router(config-if)#ip nat outside
Router(config-if)#exit
Router(config)#interface gigabitEthernet 0/0
Router(config-if)#ip nat inside

7- A partir de PC0 , tester l’accès WEB vers le serveur [Link]


8- A partir de PC1 , tester l’accès WEB vers le serveur [Link]
Dans les deux cas, l’accès WEB doit réussir
9- A partir de PC0, tester un ping vers PC1 ( [Link])
Le ping ne va pas réussir bien sur, car l’adresse privé de PC1
ne peut pas etre accessible depuis l’extérieur.
10- L’objectif de cette question, est de permettre aux
machines du siège à Casablanca de la société et la filiale à
Tanger de communiquer comme s’ils se trouvent dans le
même réseau local.
Pour cela, nous allons créer un tunnel GRE en Router1 et
Router2.
Le protocole Generic Routing Encapsulation (GRE ou
Encapsulation Générique de Routage) est un protocole de
« mise en tunnel » qui permet d’encapsuler n’importe quel
paquet de la couche réseau.
Le tunnel GRE permet de transporter des paquets de niveau 3
(ex. IP (IPv4 ou IPv6), ICMP, IGMP, X.25, CLNP, ARP, RAR
P, OSPF, RIP, IPX, DDP) au travers d’un réseau publique d’un
FAI, généralement on l’utilise pour transporter de l’IP.
En IP le GRE est utile pour monter un tunnel entre deux
réseaux distants via un publique, par exemple deux réseaux
LAN de deux agences d’une même entreprise via le réseau
WAN.
Sur Router1 :
Router(config)#interface tunnel 0
Router(config-if)#ip address [Link] [Link]
Router(config-if)#tunnel source serial 0/0/0
Router(config-if)#tunnel destination [Link]
Router(config-if)#tunnel mode gre ip

Sur Router2 :
Router(config)#interface tunnel 0
Router(config-if)#ip address [Link] [Link]
Router(config-if)#tunnel source serial 0/0/0
Router(config-if)#tunnel destination [Link]
Router(config-if)#tunnel mode gre ip

11- Configurer le routage statique sur Router1 et Router2


pour joindre les deux sites à travers le tunnel GRE.

Sur Router1 :
ip route [Link] [Link] [Link]

Sur Router 2 :


ip route [Link] [Link] [Link]
12- A partir de PC0, tester un ping vers PC1 ( [Link])
Le ping doit réussir maintenant grâce au tunnel GRE créé
entre Router1 et Router2.
13- A partir de PC0 et PC1, tester l’accès web vers le serveur
[Link] . ( L’accès web doit réussir)

14- A partir de cette section, nous allons sécuriser le tunnel


créé précédemment pour pouvoir crypter les données qui
sont échangées entre le siège et l’agence.
Pour cela, nous allons utiliser le protocole IPSEC qui va
nous servir pour créer un tunnel VPN crypté entre les deux
sites.
Activer la période d’évaluation du module security dans
Router1 et Router2, pour cela exécuter la manipulation
suivante :

enable
configure terminal
license boot module c2900 technology-package securityk9

- Enregister la configuration du routeur


- Redémarrer le routeur

Maintenant, nous allons pouvoir configurer le protocole


IPSEC sur notre tunnel.
15- Sur router1, créer une access-list qui permet de forcer le
trafic entre les deux sites à devenir crypté à l’intérieur du
tunnel VPN sécurisé.
access-list 101 permit gre host [Link] host [Link]
16- Sur Router1, créer une stratégie de sécurité
mentionnant, l’algorithme de cryptage, l’algorithme de
signature numérique et la méthode d’authentification à
utiliser dans le tunnel.
Router(config)#crypto isakmp policy 1
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#encryption aes
Router(config-isakmp)#hash sha
Router(config-isakmp)#exit

authentication pre-share : les deux routeurs Router1 et


Router2 vont s’authentifier grâce à un mot partagé.
encryption aes : aes sera l’algorithme utilisé pour le
cryptage des données entre les deux sites.
hash sha : sha sera l’algorithme de la signature numérique
qui permettre d’assurer l’integrité des données.

17- Sur Router1, spécifier la clé prépartagée qui va servir


comme clé d’authentification entre Router1 et Router2.
Router(config)#crypto isakmp key PassVPN address [Link]

18- Sur Router1, créer une carte de cryptage en spécifiant


tous les paramétres de sécurité du tunnel

Router(config)#crypto ipsec transform-set R1-to-R2-SET esp-aes esp-sha-hmac

Router(config)#crypto map R1-to-R2-MAP 1 ipsec-isakmp


Router(config-crypto-map)#set transform-set R1-to-R2-SET
Router(config-crypto-map)#set peer [Link]
Router(config-crypto-map)#match address 101

19- Sur Router1, appliquer la carte de sécurité sur l’interface


se0/0/0
Router(config)#interface serial 0/0/0
Router(config-if)#crypto map R1-to-R2-MAP

20- De la même façon, nous allons configurer Router2 avec


les paramètres de sécurité IPSEC
access-list 102 permit gre host [Link] host [Link]

Router(config)#crypto isakmp policy 1


Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#encr aes
Router(config-isakmp)#hash sha
Router(config-isakmp)#exit
Router(config)#crypto ipsec transform-set R2-to-R1-SET esp-aes esp-sha-hmac

Router(config)#crypto isakmp key PassVPN address [Link]


Router(config)#crypto map R2-to-R1-MAP 1 ipsec-isakmp
Router(config-crypto-map)#set transform-set R2-to-R1-SET
Router(config-crypto-map)#set peer [Link]
Router(config-crypto-map)#match address 102
Router(config)#interface serial 0/0/0
Router(config-if)#crypto map R2-to-R1-MAP

21- Tester un ping entre PC0 et PC1 ( le ping doit réussir )


22- Tester un accès web à partir de PC0 et PC1 vers le serveur WEB ( l’accès
web doit réussir )
23- Vérifier que le tunnel sécurisé est activé grace aux commandes :
#show crypto isakmp sa
Et
#show crypto ipsec sa

Vous aimerez peut-être aussi