Prof: Hakima ECH-CHAD

E-Mail: [Link]-CHAD@[Link]

Année de Formation 2022-2023 [Link]-chad

1
 Chapitre 7 : Sécuriser la connexion site à site
Plan :
Introduction

Les réseaux privés virtuels VPN

Les tunnels GRE site à site

La présentation IPSEC

L’accès à distance

Hakima Ech-chad 2
 Chapitre 7 : Sécuriser la connexion site à site
Introduction

Introduction :

Ligne louée

❑Débit stable
❑La sécurité dépend du fournisseur du service
❑La technologie WAN privée la plus coûteuse
Hakima Ech-chad 3
 Chapitre 7 : Sécuriser la connexion site à site
Introduction

Introduction :

Frame Relay

❑Utilisation très efficace de la bande passante

❑Coût élevé par rapport aux technologies haut débit
❑Plus ou moins sécurisée
Hakima Ech-chad 4
 Chapitre 7 : Sécuriser la connexion site à site
Introduction

Introduction :
Connexion haut débit Connexion haut débit

Modem
Câble Internet ADSL

❑La solution est disponible dans le monde entier

❑La solution la moins coûteuse
❑La solution la moins sécurisée
Hakima Ech-chad 5
 Chapitre 7 : Sécuriser la connexion site à site
Introduction

Introduction :
Connexion haut débit Connexion haut débit

Tunnel VPN

Modem
Câble ADSL

❑ Solution à faible coût : On ne paie que la connexion Internet

❑ Solution sécurisée
❑ Solution évolutive
❑ Solution compatible avec tous les équipements réseau et les
technologies haut débit
Hakima Ech-chad 6
 Chapitre 7 : Sécuriser la connexion site à site
Introduction VPN

Les réseaux privés virtuels :

VPN site à site

VPN site
Tunnel à site
VPN

Internet

❑ Utilisée pour connecter d’une manière sécurisée deux sites d’une

entreprise via Internet.
❑ Il utilise IPSec
Hakima Ech-chad 7
 Chapitre 7 : Sécuriser la connexion site à site
Introduction VPN GRE

Les réseaux privés virtuels :

VPN « Accès à distance »

VPN «Tunnel
Accès VPN
à distance »

Internet
❑ Utilisée pour connecter d’une manière sécurisée un hôte individuel au réseau de
l’entreprise en utilisant une connexion Internet.
❑ Il utilise IPSec ou SSL
❑ On peut utiliser le client VPN Cisco AnyConnect Secure Mobility.

Hakima Ech-chad 8
 Chapitre 7 : Sécuriser la connexion site à site
Introduction VPN GRE

Le tunnel GRE de site à site :

Le protocole GRE est un exemple de protocole de tunneling VPN de site à site de base, non sécurisé.

R1 Tunnel GRE
R2
GRE (protocole
Tunnel VPNporteur)
Transport

IP GRE Entête IP Entête de la couche Données

transport

Le protocole Le protocole IPv4/IPv6/IPX Données de la

d’acheminement d’encapsulation Protocole passager
TCP/UDP couche
(Transport) (Porteur) (encapsulé) application

Hakima Ech-chad 9
 Chapitre 7 : Sécuriser la connexion site à site
Introduction VPN GRE

Le tunnel GRE de site à site :

IP GRE Entête IP Entête de la couche Données

transport

Le protocole de Le protocole IPv4 Données de la

Transport d’encapsulation [Link] TCP couche application
(Porteur)

Indicateurs Type de
protocole GRE possède les caractéristiques suivantes :
Type de ❑ Norme RFC 2784
protocole : 47 ❑ Aucun mécanisme de contrôle de flux
Champs
d’entête 0x800 ❑ Aucun mécanisme de sécurité fort
facultatifs ❑ L’entête GRE et l’entête IP créent un minimum de
Indique qu'un surcharge de 24 Octets
en-tête GRE Pour IPv4
va suivre Identifie le type de
données utiles
Hakima Ech-chad 10
 Chapitre 7 : Sécuriser la connexion site à site
Introduction VPN GRE

Le tunnel GRE de site à site :

[Link] [Link]
Tunnel 0 GRE Tunnel 0

S0/0/0
S0/0/0
[Link]
[Link]

Internet
[Link] (47) GRE (0x800) [Link] TCP Données
❑ Le routeur génère un paquet dont l’adresse IP source ([Link]) et dont l’adresse IP destination ([Link])
❑ Le routeur encapsule le paquet en utilisant GRE avec la nouvelle entête IP:
➢ IP source : [Link]
➢ IP destination : [Link]

Hakima Ech-chad 11
 Chapitre 7 : Sécuriser la connexion site à site
Introduction VPN GRE

Le tunnel GRE de site à site :

• Le protocole GRE est utilisé pour la création d'un tunnel VPN entre deux sites,
comme le montre la Figure 1. Pour implémenter un tunnel GRE, l'administrateur
réseau doit tout d'abord apprendre les adresses IP des points d'extrémité.
Ensuite, la configuration d'un tunnel GRE s'effectue en cinq étapes :
• Étape 1. Créez une interface de tunnel à l'aide de la commande interface tunnel
number.
• Étape 2. Configurez une adresse IP pour l'interface du tunnel. Il s'agit
normalement d'une adresse IP privée.
• Étape 3. Spécifiez l‘interface source du tunnel.
• Étape 4. Spécifiez l'adresse IP de destination du tunnel.
• Étape 5. (Facultatif) Spécifiez le mode de tunnel GRE en tant que mode
d'interface de tunnel. Le mode de tunel GRE est le mode d'interface de tunnel par
défaut du logiciel Cisco IOS.

Hakima Ech-chad 12
 Chapitre 7 : Sécuriser la connexion site à site
Introduction VPN GRE

Le tunnel GRE de site à site :

Tunnel 0 GRE Tunnel 0
[Link] [Link]
S0/0/0
S0/0/0
[Link] Internet
[Link]
R1 R2
R1(config)#interface Serial0/0/0 R2(config)#interface Serial0/0/0
R1(config-if)# ip address [Link] [Link] R2(config-if)# ip address [Link] [Link]
R1(config)# interface Tunnel0 R2(config)# interface Tunnel0
R1(config-if)# ip address [Link] [Link] R2(config-if)# ip address [Link] [Link]
R1(config-if)# mtu 1476 R2(config-if)# mtu 1476
R1(config-if)# tunnel source Serial0/0/0 R2(config-if)# tunnel source Serial0/0/0
R1(config-if)# tunnel destination [Link] R2(config-if)# tunnel destination [Link]
R1(config-if)# tunnel mode gre ip R1(config-if)# tunnel mode gre ip
R1(config)# router ospf 1
R1(config)# router ospf 1 R1(config-router)# network [Link] [Link] area 0
R1(config-router)# network [Link] [Link] area 0
Hakima Ech-chad 13
 Chapitre 7 : Sécuriser la connexion site à site
Introduction VPN GRE

Le tunnel GRE de site à site :

Vérification du protocole GRE
• Il existe plusieurs commandes pouvant être utilisées pour assurer la surveillance et le dépannage de tunnels
GRE. Afin de déterminer si l'interface de tunnel est active ou non (état « up » ou « down »).

• Pour vérifier l'état d'un tunnel GRE, utilisez la commande show interface tunnel. Le protocole de ligne sur
une interface de tunnel GRE est à l'état « up » tant qu'il existe une route jusqu'à la destination du tunnel.

Hakima Ech-chad 14
 Chapitre 7 : Sécuriser la connexion site à site
Introduction VPN GRE

Le tunnel GRE de site à site :

Vérification du protocole GRE
• Si OSPF a également été configuré pour échanger des routes sur le tunnel GRE, vérifiez qu'une contiguïté
OSPF a été établie sur l'interface de tunnel à l'aide de la commande show ip ospf neighbor. Dans la Figure 2,
notez que l'adresse d'homologue du voisin OSPF se trouve sur le réseau IP créé pour le tunnel GRE.

Hakima Ech-chad 15
 Chapitre 7 : Sécuriser la connexion site à site
Introduction VPN GRE

Le tunnel GRE de site à site :

Dépannage de la fonctionnalité GRE
• Les problèmes de fonctionnalité GRE sont généralement dus à une ou plusieurs des erreurs de
configuration suivantes :
1. Les adresses IP d'interface du tunnel ne se trouvent pas sur le même réseau ou bien les masques de
sous-réseau ne correspondent pas.
2. Les interfaces de la source du tunnel et/ou de la destination du tunnel ne sont pas configurées avec
l'adresse IP correcte ou sont à l'état désactivé.
3. Le routage statique ou dynamique n'est pas correctement configuré.
• Utilisez la commande show ip interface brief sur les deux routeurs pour vérifier que l'interface du
tunnel est active et configurée avec les adresses IP correctes pour l'interface physique et l'interface du
tunnel. Vérifiez également que l'interface source sur chaque routeur est active et configurée avec les
adresses IP correctes

Hakima Ech-chad 16
 Chapitre 7 : Sécuriser la connexion site à site
Introduction VPN GRE

Le tunnel GRE de site à site :

• Dépannage de la fonctionnalité GRE

Hakima Ech-chad 17
 Chapitre 7 : Sécuriser la connexion site à site
Introduction VPN GRE

Le tunnel GRE de site à site :

Dépannage de la fonctionnalité GRE
• Le routage peut provoquer un problème, le routage dynamique ou statique correct doit être configuré sur
les deux routeurs. Vous pouvez utiliser la commande show ip ospf neighbor pour vérifier la contiguïté du
voisin. Indépendamment du routage utilisé, vous pouvez également utiliser show ip route pour vérifier que
les réseaux sont transmis entre les deux routeurs

Hakima Ech-chad 18
 Chapitre 7 : Sécuriser la connexion site à site
Introduction VPN GRE IPSEC

La présentation IPSEC :
Le protocole IPSEC est un cadre de normes ouvertes qui est indépendant des
algorithmes existants pour mettre en œuvre des communications sécurisées.

VPN IPSEC
Tunnel VPN

Internet

IPSEC permet d’assurer la confidentialité, l’intégrité, l’authentification

et la protection anti-reprise

Hakima Ech-chad 19
 Chapitre 7 : Sécuriser la connexion site à site
Introduction VPN GRE IPSEC

La présentation IPSEC :

Pour assurer la confidentialité, on utilise le chiffrement des données

Chiffrement symétrique :
❑ DES (56 Bits)
❑ 3DES (112 Bits)
❑ AES (128, 192, 256 Bits) Clé de chiffrement Clé de déchiffrement
❑ SEAL (160 Bits)

Chiffrement asymétrique :
❑ RSA (2048)
❑ DSA Clé de chiffrement Clé de déchiffrement

Remarque : Diffie-Hellman est une méthode d’échange de clé

Hakima Ech-chad 20
 Chapitre 7 : Sécuriser la connexion site à site
Introduction VPN GRE IPSEC

La présentation IPSEC :

Le message
a changé
Non
Fonction de Oui Le message n’a
hachage = pas changé
Empreinte
Message
MD5 numérique
SHA 256
SHA 384 Empreinte numérique calculée
SHA 512 au niveau de la destination

Le rôle de l’intégrité est de s’assurer que les données ne sont pas altérées

Hakima Ech-chad 21
 Chapitre 7 : Sécuriser la connexion site à site
Introduction VPN GRE IPSEC

La présentation IPSEC :

Clé PSK Clé PSK

CISCO123 CISCO123

VPN IPSEC

Internet
L’authentification IPSEC est la vérification de l’identité du
périphérique situé à l’autre extrémité du tunnel VPN IPSEC
L’authentification par clé PSK : La clé PSK est configurée
dans tous les homologues pour les authentifier
Hakima Ech-chad 22
 Chapitre 7 : Sécuriser la connexion site à site
Introduction VPN GRE IPSEC

La présentation IPSEC :

Certificat Certificat

VPN IPSEC

R1 R2
Internet
L’authentification par signature RSA:
❑ Le routeur R1 signe un message en utilisant sa clé privée RSA
❑ R1 envoie la signature à R2
❑ R2 vérifie la signature en utilisant la clé publique RSA de R1
❑ R2 fait la même chose de son côté pour authentifier R1
Hakima Ech-chad 23
 Chapitre 7 : Sécuriser la connexion site à site
Introduction VPN GRE IPSEC

La présentation IPSEC :
Le rejeu ou la reprise : Le pirate capture
les paquet entre les deux sites pour les
réutiliser

La protection anti-reprise vérifie que chaque paquet est unique et qu'il n'a pas été
dupliqué en utilisant des numéros de séquence

Hakima Ech-chad 24
 Chapitre 7 : Sécuriser la connexion site à site
Introduction VPN GRE IPSEC

La présentation IPSEC :

ESP
Protocole IPSEC AH ESP ESP AH
+ AH
+ AH

Confidentialité DES 3DES AES SEAL DES

Intégrité MD5 SHA SHA SHA

Authentification PSK RSA PSK RSA

Diffie-Hellman DH1 DH2 DH5 DH… DH2 DH2

Hakima Ech-chad 25
 Chapitre 7 : Sécuriser la connexion site à site
Introduction VPN GRE IPSEC Accès à distance

L’accès à distance :

Tunnel
VPN SSL VPN IPSEC
ou VPN

Internet

Pour les VPN « accès à distance », on peut utiliser :

SSL : Secure Socket Layer
IPSEC : IP Security
Hakima Ech-chad 26
 Chapitre 7 : Sécuriser la connexion site à site
Introduction VPN GRE IPSEC Accès à distance

L’accès à distance :
❑ Accès basé sur le WEB
❑ Protection contre les attaques, les virus,
les vers, etc.
❑ Applications WEB
❑ Ressources de partage
❑ ASA = Proxy
(Redirection des ports) Tunnel VPN
VPN SSL
Internet
Pare-feu ASA
❑ Utilisation d’un même périphérique à la
fois pour VPN SSL et VPN IPSEC.

❑ Accès réseau complet de

type LAN
❑ Interface de réseau virtuel
Hakima Ech-chad 27
 Chapitre 7 : Sécuriser la connexion site à site
Introduction VPN GRE IPSEC Accès à distance

L’accès à distance :

La solution VPN IPSEC offre :

❑ Flexibilité
Serveur CISCO
❑ Évolutivité EASY VPN
❑ Simplicité
Client VPN CISCO

Tunnel
VPNVPN
IPSEC
Internet
Pare-feu ASA Pare-feu ASA
ou PIX

Il Peut recevoir des stratégies de sécurité

CISCO EASY VPN pour minimiser la configuration du site
distant
distant

Hakima Ech-chad 28
 Chapitre 7 : Sécuriser la connexion site à site
Introduction VPN GRE IPSEC Accès à distance

L’accès à distance :

Applications Chiffrement Authentification Complexité de la Options de

connexion connexions

❑ Applications WEB ❑ Modéré à fort ❑ Modérée ❑ Faible ❑ N’importe quel

❑ Partage de fichiers ❑ Clé de 40 à 256 bits ❑ Unidirectionnelle et ❑ Un navigateur WEB périphérique
❑ E-Mail bidirectionnelle

Applications Chiffrement Authentification Complexité de la Options de

connexion connexions

❑ Toutes les ❑ Fort ❑ Forte ❑ Moyen ❑ Seuls des

applications IP ❑ Clé de 56 à 256 bits ❑ Bidirectionnelle PSK ❑ Nécessite des périphériques
ou certificats techniciens spécifiques

Hakima Ech-chad 29
 Les réseaux privés virtuels
IPSec :
Méthodes d’implémentation IPSec :

22/12/2022 Hakima Ech-chad 30

 Les réseaux privés virtuels
Les protocoles IPSec :
ESP :

22/12/2022 Hakima Ech-chad 31

 Notions de sécurité des réseaux informatiques
Les réseaux privés virtuels
Les protocoles IPSec :
ESP :

L’adresse IP source et l’adresse IP destination sont invisibles car

les deux routeurs utilisent leur adresses IP publiques.

22/12/2022 Hakima Ech-chad 32

 Les réseaux privés virtuels
Les protocoles IPSec :
AH :

22/12/2022 Hakima Ech-chad 33

 Les réseaux privés virtuels
Les protocoles IPSec :
AH :

L’adresse IP source et l’adresse

IP destination sont visibles

22/12/2022 Hakima Ech-chad 34

 Notions de sécurité des réseaux informatiques
Les réseaux privés virtuels
Les protocoles IPSec :
Modes ESP :

22/12/2022 Hakima Ech-chad 35

IPsec, AH et ESP en mode transport
Internet
Poste avec adresse Serveur avec
publique adresse publique

• IPsec permet de sécuriser les échanges entre un poste publique et un serveur publique
• Ce cas particulier correspond en fait à une application particulière (donner des ordres au
système du serveur) et doit donc être sécurisé au niveau application
• Dans ce cas on utilisera plutôt SSH qui sécurise au niveau application, en fournissant un
interpréteur de commandes sécurisé

36
IPsec, AH et ESP en mode
tunnel

• En mode tunnel, les en-tête d’origine sont cryptés, et un autre en-

tête IP sera ajouté (on encapsule de l’IP dans de l’IP)
• Il est utilisé pour sécuriser la communication entre deux
équipements d’interconnexion (entre des routeurs ou des
firewalls)
• C’est le mode qui sera utilisé pour réaliser un VPN, puisque nous
souhaitons adresser des machines privées
• C’est la technique la plus répandue pour faire du LAN to LAN VPN

37
IPsec, AH et ESP en
mode tunnel
IP En-tête IP (ancienne) DATA

IPsec En-tête IP (nouvelle) AH ESP En-tête IP (ancienne) DATA ESP

crypté (ESP)

authentifié (AH)

Utilisation de AH et de ESP en mode tunnel

• ESP crypte le paquet d’origine, en-tête IP compris

• AH assure l’authentification et l’intégrité de l’ensemble
• L’en-tête IP initiale peut contenir des adresses privées puisqu’elle n’est pas utilisée par les
routeurs d’Internet
• L’en-tête IP ajouté portera les @ IP des routeurs (ou firewalls) d’interconnexion, qui sont
forcément publiques

38
IPsec, AH et ESP en mode
tunnel

Réseau privé Internet Serveurs privés

• IPsec sécurise les échanges entre les routeurs d’interconnexion

• Il encapsule des paquets portant des @IP privées dans des paquets portant des @IP
publiques
• Le passage à travers Internet est complètement transparent pour les deux réseaux
privés
• Les routeurs deviennent alors le lieu d’application de la politique des échanges
sécurisés, puisque seule certaines communications seront cryptées

39
 Les réseaux privés virtuels
IPSec :
Le framework IKE :
❑ IPSec utilise IKE pour négocier et établir les tunnels VPN
❑ IKE est une suite de protocoles: ISAKMP (udp 500), Oakley et SKEME
❑ Deux version IKE : v1 et v2

22/12/2022 Hakima Ech-chad 40

 Les réseaux privés virtuels
IPSec :
Création des tunnels IPSec :

22/12/2022 Hakima Ech-chad 41

 Les réseaux privés virtuels
Configuration des paramètres IPSec
Etape 1: Validation des stratégies IKE:
Il y a deux tâches principales pour l'implémentation d'un VPN IPSec:
 La configuration des paramètres IKE (Internet Key Exchange)
 La configuration des paramètres IPSec
a. Vérifiez que IKE est supporté et activé :
IKE Phase 1 définit la méthode d'échange de clés utilisée pour passer et
valider les stratégies IKE entre les deux extrémités.
Dans IKE Phase 2, les extrémités échanges et négocient les stratégies IPSec
pour l'authentification et le cryptage du trafic de données.
IKE doit être activé pour que IPSec fonctionne. IKE est activé par défaut sur
les images de l'IOS avec les ensembles fonctionnels de cryptographie. S'il est
désactivé pour une raison quelconque, vous pouvez le réactiver avec la
commande crypto isakmp enable. Utilisez cette commande pour vérifier que
l'IOS du routeur supporte IKE et que celui ci est activé.
Router(config)#crypto isakmp enable

22/12/2022 Hakima Ech-chad 42

 Les réseaux privés virtuels

Configuration des paramètres IPSec

Etape 1: Validation des stratégies IKE:
b. Etablissez une stratégie ISAKMP (Internet Security Association and Key
Management Protocol) et affichez les options disponibles.
Pour permettre la négociation IKE Phase 1, vous devez créer une stratégie ISAKMP et configurer
une association d'extrémité incluant la stratégie ISAKMP. Une stratégie ISAKMP définit les
algorithmes d'authentification , de cryptage et de hachage utilisés pour transmettre du trafic de
contrôle entre les deux extrémités VPN. Quand une association ISAKMP a été acceptée par les
extrémités IKE, IKE Phase 1 est terminé.
Entrez la commande de configuration crypto isakmp policy 10 sur R1 pour la stratégie 10.
Router(config)#crypto isakmp policy 10

c. Affichez les différents paramètres IKE disponibles en entrant ?.

R1(config-isakmp)# ?

22/12/2022 Hakima Ech-chad 43

 Les réseaux privés virtuels

Configuration des paramètres IPSec

Etape 2: Configuration des paramètres de stratégie ISAKMP
Le choix d'un algorithme de cryptage détermine le degré de confidentialité du canal de
contrôle entre les extrémités. L'algorithme de hachage contrôle l'intégrité des données,
assurant que les données reçues d'une extrémité n'ont pas été modifiées pendant leur
transit. Le type d'authentification assure que le paquet a bien été transmis et signé par cette
extrémité distante. Le groupe Diffie-Hellman est utilisé pour créer une clé secrète partagée
par les extrémités qui n'est pas transmise à travers le réseau.
a. Configurez un type d'authentification avec clés pré-partagées.
Utilisez AES-256 pour le cryptage, SHA pour l'algorithme de hachage et Diffie-Hellman groupe
5 pour l'échange de clés pour cette stratégie IKE.
Router(config)#crypto isakmp policy 10
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#encryption aes 256
Router (config-isakmp)#hash sha
Router (config-isakmp)#group 5 ; définir le groupe Diffie Hellman
Router (config-isakmp)#lifetime 3600 ; Définir la durée de vie de la SA
Router (config-isakmp)#end
22/12/2022 Hakima Ech-chad 44
 Les réseaux privés virtuels
Configuration des paramètres IPSec
Etape 3: Configuration des clés pré-partagées.

b. Vérifiez la stratégie IKE avec la commande show crypto isakmp policy.

Etape 3: Configuration des clés pré-partagées.
• Comme les clés pré-partagées sont utilisées comme méthode
d'authentification dans la stratégie IKE, configurez une clé sur chaque
routeur qui pointe vers l'autre extrémité du VPN. Ces clés doivent
correspondre pour que l'authentification soit réussie. La commande
configuration globale:

Router(config)#crypto isakmp key key-string address address → est

utilisée pour entrer une clé pré-partagée.
• Utilisez l'adresse IP de l'extrémité distante, interface distante que l'extrémité
utilise pour router le trafic vers le routeur local.

22/12/2022 Hakima Ech-chad 45

 Les réseaux privés virtuels
Configuration des paramètres IPSec
Etape 4: Configuration du transform set IPSec et des durées de vie

Le transform set IPSec est un autre paramètre de configuration IPSec que les
routeurs négocient pour former une association de sécurité.
▪ Pour créer un transform set IPSec, utilisez la commande crypto ipsec
transform-set. Utilisez le ? pour voir quels sont les paramètres disponibles.
▪ créez un transform set avec le nom VPN-SET et utilisez ESP (Encapsulating
Security Protocol) avec cryptage AES-256 et SHA HMAC. Les transform set
doivent être identiques.
R1(config)#crypto ipsec transform-set VPN-SET esp-aes 256 esp-
sha-hmac
R1(cfg-crypto-trans)#exit
R3(config)#crypto ipsec transform-set VPN-SET esp-aes 256 esp-
sha-hmac
R3(cfg-crypto-trans)#exit

22/12/2022 Hakima Ech-chad 46

 Les réseaux privés virtuels
Configuration des paramètres IPSec
Créer une transform-set : Phase 2 IKE
Etape 4: Configuration du transform set IPSec et des durées de vie

Vous pouvez également changer les durées de vie des associations de

Sécurité IPSec qui sont par défaut en secondes 3600 ou en kilobytes
4608000. Sur les deux routeurs fixez la durée de vie de l'association
de sécurité IPSec à 30 minutes ou 1800 secondes.

R1(config)#crypto ipsec security-association lifetime

seconds 1800

R3(config)#crypto ipsec security-association lifetime

seconds 1800

22/12/2022 Hakima Ech-chad 47

 Les réseaux privés virtuels
Configuration des paramètres IPSec
Etape 5: Définition du trafic intêressant
• Pour utiliser le cryptage avec le VPN IPSec, il est nécessaire de définir une
liste d'accès étendue pour indiquer au routeur quel trafic il doit crypter. Un
paquet qui est autorisé par une liste d'accès utilisée pour définir le trafic
IPSec est crypté si la session IPSec est configurée correctement. Un paquet
qui est rejeté par une de ces listes d'accès n'est pas rejeté mais transmis sans
être crypté.
• Tout comme les autres listes d'accès, il y a une instruction implicit de rejet à
la fin de la liste d'accès qui dans ce cas veut dire que l'action par défaut est
de ne pas crypter le trafic. S'il n'y a pas d'association IPSec correctement
configurée, le trafic n'est pas crypté et il est achemené normalement.

Exemple :
Configurez l'ACL du trafic VPN IPSec intêressant sur R1.
R1(config)#access-list 101 permit ip [Link] [Link] [Link]
[Link]

22/12/2022 Hakima Ech-chad 48

 Les réseaux privés virtuels
Configuration des paramètres IPSec
Etape 6: Créer et appliquer une crypto map
Une crypto map associe le trafic intêressant qui correspond à la liste d'accès avec
une extrémité et différents paramètres IKE et IPSec. Après la création de la crypto
map, celle-ci peut êttre appliquée à une ou plusieurs interfaces. Les interfaces
auxquelles elle est appliquée doit être une de celle faisant face à l'autre extrémité
IPSec.

a. Pour créer une crypto map, utilisez la commande crypto map name sequence-
num type en mode de configuration global pour entrer en mode de configuration
crypto map pour ce numéro de séquence. Plusieurs instructions de crypto map
peuvent appartenir à la même crypto map et sont évaluées dans
l'ordre numérique descendant .

Entrez en mode de configuration crypto map sur R1. Utilisez le type ipsec-
isakmp qui signifie que IKE est utilisé pour établir les associations de sécurité
IPSec.
22/12/2022 Hakima Ech-chad 49
 Les réseaux privés virtuels
Configuration des paramètres IPSec
Etape 6: Créer et appliquer une crypto map
Créez la crypto map nommée VPNMAP sur R1 avec 10 comme numéro de
séquence. Un message est affiché à l'exécution de la commande.

R1(config)#crypto map VPNMAP 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.

c. Utilisez la commande match address access-list pour spécifier quelle

liste
d'accès définit le trafic à crypter.

R1(config-crypto-map)#match address 101

22/12/2022 Hakima Ech-chad 50

 Les réseaux privés virtuels

Configuration des paramètres IPSec

Etape 6: Créer et appliquer une crypto map
Configurer un nom de host ou une adresse IP d'extrémité est requis. Configurez
l'adresse IP de l'interface de l'extrémité VPN distante de R3 avec la commande
suivante:
R1(config-crypto-map)#set peer [Link]

Indiquez le transform set à utiliser avec cette extrémité en utilisant la commande

set transform-set nom. Modifiez également la durée de vie par défaut de
l'association de sécurité IPSec avec la commande set security association
lifetime seconds seconds.

R1(config-crypto-map)#set transform-set VPN-SET

R1(config-crypto-map)#set security-association lifetime seconds 900
R1(config-crypto-map)#exit
22/12/2022 Hakima Ech-chad 51
 Les réseaux privés virtuels

Configuration des paramètres IPSec

Etape 6: Créer et appliquer une crypto map
La dernière étape est l'application des crypto map aux interfaces. Notez que les
associations de sécurité (SAs) ne seront pas établies tant que la crypto map n'aura
pas été activée par le trafic intêressant. Le routeur va générer un message pour
indiquer que la crypto map est opérationnelle.

Appliquez les crypto map aux interfaces appropriées sur R1 et R3.

R1(config)#interface S0/0/0
R1(config-if)#crypto map VPNMAP
*Jan 28 [Link].150: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R1(config)#end
➢ Vérifier la configuration VPN IPSec site à site :
▪ Vérification de la configuration IPSec :
• la commande show crypto isakmp policy permet d’afficher les stratégies ISAKMP
configurées sur le routeur.
• De manière similaire la commande show crypto ipsec transform-set affiche la
configuration des stratégies IPSec configurées sous la forme d'un transform set.

22/12/2022 Hakima Ech-chad 52

 Les réseaux privés virtuels
Configuration VPN site à site avec IPSec :

1) Définir la politique ISAKMP (Phase 1 IKE)

2) Créer la clé partagée
3) Créer une transform-set (Phase 2 IKE)
4) Mettre en place les ACL (Le trafic intéressant)
5) créer une crypto map
6) Appliquer la crypto à l’interface WAN du routeur

22/12/2022 Hakima Ech-chad 53

 Les réseaux privés virtuels
Configuration VPN site à site avec IPSec :
Définir la politique ISAKMP (Phase 1 IKE)

R1(config)# crypto isakmp policy 2

R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption aes
R1(config-isakmp)#group 2
R1(config-isakmp)#hash sha
R1(config-isakmp)#lifetime 3600
Vérification : R1# show crypto isakmp policy
Débogage : R1# debug crypto isakmp

22/12/2022 Hakima Ech-chad 54

 Les réseaux privés virtuels
Configuration VPN site à site avec IPSec :
Créer la clé partagée :

R1(config)# crypto isakmp key MY_KEY address [Link]

R2(config)# crypto isakmp key MY_KEY address [Link]
→ est utilisée pour entrer une clé pré-partagée.
Utilisez l'adresse IP de l'extrémité distante, interface distante que l'extrémité
utilise pour router le trafic vers le routeur local.

22/12/2022 Hakima Ech-chad 55

 Les réseaux privés virtuels
Configuration VPN site à site avec IPSec :
Créer une transform-set : Phase 2 IKE

R1(config)# crypto ipsec transform-set TS1_R1 esp-aes esp-sha-hmac

R2(config)# crypto ipsec transform-set TS1_R2 esp-aes esp-sha-hmac

Remarque : On peut créer plusieurs transform-set.

Vérification : R1# show crypto ipsec transform-set
R1# show crypto ipsec sa
Débogage : R1# debug crypto ipsec

22/12/2022 Hakima Ech-chad 56

 Les réseaux privés virtuels
Configuration VPN site à site avec IPSec :
Créer une transform-set : Phase 2 IKE

Vous pouvez également changer les durées de vie des associations de sécurité
IPSec qui sont par défaut secondes 3600 ou kilobytes 4608000. Sur les deux
routeurs fixez la durée de vie de l'association de sécurité IPSec à 30 minutes ou
1800 secondes

R1(config)#crypto ipsec security-association lifetime seconds 1800

R2(config)#crypto ipsec security-association lifetime seconds 1800

22/12/2022 Hakima Ech-chad 57

 Les réseaux privés virtuels
Configuration VPN site à site avec IPSec :
Définir le trafic intéressant avec les ACL :

R1(config)# ip access-list extended VPN_TRAFFIC1

R1(config-acl)# permit ip [Link] [Link] [Link] [Link]
R2(config)# ip access-list extended VPN_TRAFFIC2
R2(config-acl)# permit ip [Link] [Link] [Link] [Link]

22/12/2022 Hakima Ech-chad 58

 Les réseaux privés virtuels
Configuration VPN site à site avec IPSec :
Créer une crypto map :

R1(config)# crypto map VPN_MAP 10 ipsec-isakmp

R1(config-crypto-map)# match address VPN_TRAFFIC1
R1(config-crypto-map)# set peer [Link]
R1(config-crypto-map)# set transform-set TS1_R1
R1(config-crypto-map)# set security-association lifetime seconds 900
R2(config)# crypto map VPN_MAP 10 ipsec-isakmp
R2(config-crypto-map)# match address VPN_TRAFFIC2
R2(config-crypto-map)# set peer [Link]
R2(config-crypto-map)# set transform-set TS1_R2
R2(config-crypto-map)# set security-association lifetime seconds 900
22/12/2022 Hakima Ech-chad 59
 Les réseaux privés virtuels
Configuration VPN site à site avec IPSec :
Appliquer la crypto map aux interfaces :

R1(config)# interface S0/0/0

R1(config-if)# crypto map VPN_MAP
R2(config)# interface S0/0/0
R2(config-if)# crypto map VPN_MAP
la commande show crypto isakmp policy permet d’afficher les stratégies
ISAKMP configurées sur le routeur.
De manière similaire la commande show crypto ipsec transform-set affiche la
configuration des stratégies IPSec configurées sous la forme d'un transform set.
22/12/2022 Hakima Ech-chad 60