USTHB, FGE Réseaux Haut-Débits

M1 RT 2024/2025 M. Hamidia

TP N° 3
Configuration des tunnels VPN GRE et IPsec de site à site
Introduction
Dans ce TP, vous effectuerez une série de configurations étape par étape pour configurer les
périphériques réseau et vérifier la connectivité via le tunnel GRE et le VPN IPsec. Le TP est conçu pour
vous fournir une expérience pratique de la configuration des paramètres de base de l’équipement, de la
création d’un tunnel GRE, de l’activation du routage sur le tunnel et de la configuration et de la
vérification d’un VPN IPsec site à site. Vous acquerrez également de l’expérience dans le dépannage
des problèmes de connectivité réseau et la vérification de la configuration du VPN. Le TP vous
demandera de configurer des périphériques réseau tels que des routeurs et des PC, en utilisant une
variété de protocoles et de techniques.

Objectifs
• Configurer les paramètres de base des périphériques
• Configurer un tunnel GRE
• Activer le routage sur le tunnel GRE, Configurer un VPN IPsec site à site
• Configurer et vérifier un VPN IPsec de site à site

Topologie et table d’adressage

Considérez la topologie de réseau et la table d’adressage suivantes.

Figure 1 : Topologie du Lab.

1
USTHB, FGE Réseaux Haut-Débits
M1 RT 2024/2025 M. Hamidia

Tableau 1 : Tableau d’adressage

Masque de Passerelle
Equipement Interface Adresse IP
sous-réseau par default

G0/0 192.168.5.1 255.255.255.0 N/A

S0/0/0 10.1.1.1 255.255.255.252 N/A

PE S0/0/1 10.2.2.1 255.255.255.252 N/A

S0/1/0 209.165.122.1 255.255.255.252 N/A

S0/1/1 64.103.211.1 255.255.255.252 N/A

G0/0 192.168.1.1 255.255.255.0 N/A

CE-1
S0/0/0 (DTE) 10.1.1.2 255.255.255.252 N/A

G0/0 192.168.2.1 255.255.255.0 N/A

CE-2
S0/0/0 (DTE) 10.2.2.2 255.255.255.252 N/A
G0/0 192.168.3.1 255.255.255.0 N/A

CE- 3 S0/0/0 (DTE) 209.165.122.2 255.255.255.252 N/A

Tunnel 0 10.10.10.1 255.255.255.252 N/A

G0/0 192.168.4.1 255.255.255.0 N/A

CE- 4 S0/0/0 (DTE) 64.103.211.2 255.255.255.252 N/A

Tunnel 0 10.10.10.2 255.255.255.252 N/A

PC-1 NIC 192.168.1.2 255.255.255.0 ?

PC-2 NIC 192.168.2.2 255.255.255.0 ?

PC-3 NIC 192.168.3.2 255.255.255.0 ?

PC-4 NIC 192.168.4.2 255.255.255.0 ?

PC-5 NIC 192.168.5.2 255.255.255.0 ?

2
USTHB, FGE Réseaux Haut-Débits
M1 RT 2024/2025 M. Hamidia

Partie 1 : Configurer les paramètres de base des équipements

Dans cette partie, vous configurerez la topologie du réseau et configurerez les paramètres de base des
routeurs, tels que les adresses IP de l’interface, le routage, l’accès aux périphériques et les mots de
passe.

Étape 1 : Câblez le réseau comme indiqué dans la topologie.

Étape 2 : Configurez les paramètres de base pour chaque routeur.

a. Appliquez les adresses IP aux interfaces série et Gigabit Ethernet conformément au tableau
d’adressage et activez les interfaces physiques. Ne pas configurer les interfaces Tunnel0 à ce
moment.
b. Définissez la fréquence d’horloge sur 128 000 pour les interfaces série DCE.
Étape 3 : Configurez les routes par défaut vers le routeur ISP.
Étape 4 : Configurez les PC.
Attribuez des adresses IP et des passerelles par défaut aux PC conformément au tableau d’adressage.

Étape 5 : Vérifiez la connectivité.

À ce stade, les PC sont incapables de se pinger. Chaque PC doit pouvoir envoyer un ping à sa
passerelle par défaut. Les routeurs peuvent envoyer une requête ping aux interfaces série des autres
routeurs de la topologie. Si ce n’est pas le cas, dépannez jusqu’à ce que vous puissiez vérifier la
connectivité.

Étape 6 : Enregistrez votre configuration en cours.

Partie 2 : Configurer un tunnel VPN GRE point à point

L’encapsulation de routage générique (GRE) est un protocole de tunnellisation qui peut encapsuler une
variété de protocoles de couche réseau entre deux emplacements sur un réseau public, tel qu’Internet.
GRE peut être utilisé avec :
- Connexion de réseaux IPv6 sur des réseaux IPv4
- Paquets de multidiffusion, tels qu’OSPF, EIGRP et applications de streaming

Dans cette partie, vous allez configurer un tunnel VPN GRE point à point non chiffré et vérifier que le
trafic réseau utilise le tunnel. Vous allez également configurer le protocole de routage OSPF à l’intérieur
du tunnel VPN GRE. Le tunnel GRE se trouve entre les routeurs CE-3 et CE-4 dans la zone OSPF 0. Le
ISP n’a aucune connaissance du tunnel GRE. La communication entre les routeurs CE-3 et CE-4 et le
ISP s’effectue à l’aide de routes statiques par défaut.

3
USTHB, FGE Réseaux Haut-Débits
M1 RT 2024/2025 M. Hamidia

1. Configurer un tunnel GRE

Maintenant, vous allez configurer un tunnel GRE entre les routeurs CE-3 et CE-4.
Étape 1 : Configurez l’interface de tunnel GRE.
a. Configurez l’interface de tunnel sur le routeur CE-3. Utilisez S0/0/0 sur CE-3 comme interface
de source de tunnel et 64.103.211.2 comme destination de tunnel sur le routeur CE-4.
b. Configurez l’interface de tunnel sur le routeur CE-4. Utilisez S0/0/0 sur CE-4 comme interface
de source de tunnel et 209.165.122.2 comme destination de tunnel sur le routeur CE-3.
Étape 2 : Vérifiez que le tunnel GRE est fonctionnel.
a. Vérifiez l’état de l’interface de tunnel sur les routeurs CE-3 et CE-4.
b. Exécutez la commande show interfaces tunnel 0 pour vérifier le protocole de tunnellisation, la
source du tunnel et la destination du tunnel utilisés dans ce tunnel.
Quel est le protocole de tunneling utilisé ? Quelles sont les adresses IP source et de destination
du tunnel associées au tunnel GRE sur chaque routeur ?
c. Envoyez une requête ping à travers le tunnel du routeur CE-4 au routeur CE-3 en utilisant
l’adresse IP de l’interface du tunnel.
d. Utilisez la commande traceroute sur le CE-4 pour déterminer le chemin vers l’interface de
tunnel sur le routeur CE-3. Quel est le chemin vers le routeur CE-3 ?
e. Pinger et tracez la route à travers le tunnel du routeur CE-3 au routeur CE-4 en utilisant l’adresse
IP de l’interface de tunnel.
Quel est le chemin vers le routeur CE-4 depuis le routeur CE-3 ?
A quelles interfaces ces adresses IP sont-elles associées ? Expliquer.
f. Les commandes ping et traceroute devraient réussir. Si ce n’est pas le cas, résolvez le problème
avant de passer à la partie suivante.

2. Activer le routage sur le tunnel GRE

À ce stade, vous allez configurer le routage OSPF afin que les réseaux locaux des routeurs CE-3 et
CE-4 puissent communiquer à l’aide du tunnel GRE.
Une fois le tunnel GRE configuré, le protocole de routage peut être mis en œuvre. Pour le tunneling
GRE, une déclaration de réseau inclura le réseau IP du tunnel, au lieu du réseau associé à l’interface
série. Comme vous le feriez avec d’autres interfaces, telles que série et Ethernet. N’oubliez pas que
le routeur ISP ne participe pas à ce processus de routage.

Étape 1 : Configurez le routage OSPF pour la zone 0 sur le tunnel.

a. Configurez l’ID de processus OSPF 1 à l'aide de la zone 0 sur le routeur CE-3 pour les réseaux
192.168.4.0/24 et 10.10.10.0/30.

4
USTHB, FGE Réseaux Haut-Débits
M1 RT 2024/2025 M. Hamidia

b. Configurez l’ID de processus OSPF 1 à l’aide de la zone 0 sur le routeur CE-4 pour les réseaux
192.168.3.0/24 et 10.10.10.0/30.
Étape 2 : Vérifiez le routage OSPF.
a. À partir du routeur CE-3, émettez la commande show ip route pour vérifier la route vers
192.168.4.0/24 LAN sur le routeur CE-4.
Quelle est l’interface de sortie et l’adresse IP pour accéder au réseau 192.168.4.0/24 ?
b. À partir du routeur CE-4, exécutez la commande pour vérifier la route vers 192.168.3.0/24 LAN
sur le routeur CE-3.
Quelle est l’interface de sortie et l'adresse IP pour accéder au réseau 192.168.3.0/24 ?
Étape 3 : Vérifiez la connectivité de bout en bout.
a. Pinger de PC-3 à PC-4. Cela devrait réussir. Si ce n’est pas le cas, dépannez jusqu’à ce que vous
disposiez d’une connectivité de bout en bout.
b. Traceroute de PC-3 à PC-4. Quel est le chemin de PC-3 à PC-4 ?

3. Conclusion
a. Quelles sont les autres configurations qui sont nécessaires pour créer un tunnel GRE sécurisé ?
b. Si vous avez ajouté plus de réseaux locaux au routeur CE-3 ou CE-4, que devez-vous faire pour
que le réseau utilise le tunnel GRE pour le trafic ?

Partie 3 : Configurer et vérifier un VPN IPsec de site à site

Dans cette partie, vous configurerez CE-1 et CE-2 pour prendre en charge un VPN IPsec site à site
lorsque le trafic circule entre leurs réseaux locaux respectifs. Le tunnel VPN IPsec va de CE-1 à CE-2
via PE. PE agit comme un intermédiaire et n’a aucune connaissance du VPN. IPsec assure la
transmission sécurisée d’informations sensibles sur des réseaux non protégés, tels qu’Internet. IPsec
fonctionne au niveau de la couche réseau et protège et authentifie les paquets IP entre les périphériques
IPsec participants ((peers), tels que les routeurs.

1. Configurer IPsec Paramètres sur CE-1

Étape 1 : Testez la connectivité.
Pinger de PC-1 à PC-2.

Étape 2 : Activez le package de technologie de sécurité.

a. Sur CE-1, émettez la commande show license feature pour afficher les informations de licence
du package Security Technology.

5
USTHB, FGE Réseaux Haut-Débits
M1 RT 2024/2025 M. Hamidia

b. Si le package Security Technology n’a pas été activé, utilisez la commande suivante pour activer
le package.
CE-1(config)# license boot module c1900 technology-package securityk9
c. Acceptez le contrat de licence utilisateur final.
d. Enregistrez la configuration en cours et rechargez (reload) le routeur pour activer la licence de
sécurité.
e. Vérifiez que le package Security Technology a été activé à l’aide de la commande show license
feature.

Étape 3 : Identifiez le trafic intéressant sur CE-1.

Configurez l’ACL 110 pour identifier le trafic du LAN sur CE-1 au LAN sur CE-2 comme
intéressant. Ce trafic intéressant déclenchera la mise en œuvre du VPN IPsec lorsqu’il y a du trafic
entre les LAN CE-1 à CE- 2. Tout autre trafic provenant des réseaux locaux ne sera pas chiffré. En
raison de l’implicite deny all, il n’est pas nécessaire de configurer un deny ip any any déclaration.
Étape 4 : Configurez la stratégie IKE Phase 1 ISAKMP sur CE-1.
Configurer la crypto ISAKMP policy 10 propriétés sur CE-1 avec la clé de chiffrement partagée
rt1vpnpa. Reportez-vous au tableau ISAKMP pour les paramètres spécifiques à configurer. Les
valeurs par défaut ne doivent pas être configurées. Par conséquent, seules la méthode de chiffrement,
la méthode d’échange de clés et la méthode DH doivent être configurées.
Remarque : Le groupe DH le plus élevé actuellement pris en charge par Packet Tracer est le groupe
5. En pratique, vous configureriez à lCE-1 DH 14.
Tableau 2 : Paramètres de la politique ISAKMP Phase 1.

Paramètres CE-1 CE-2

Méthode de distribution des clés Manuel ou ISAKMP ISAKMP ISAKMP
Chiffrement Algorithme DES, 3DES ou AES AES 256 AES 256
Algorithme de hachage MD5 ou SHA-1 SHA-1 SHA-1
Méthode d’authentification Clés pré-partagées ou RSA pré-partage pré-partage
Échange de clés Groupe DH 1, 2 ou 5 DH 5 DH 5
IKE SA Durée de vie 86400 secondes ou moins 86400 86400
Clé ISAKMP rt1vpnpa rt1vpnpa

Remarque : Les paramètres en gras sont les valeurs par défaut. Seuls les paramètres non gras
doivent être explicitement configurés.

6
USTHB, FGE Réseaux Haut-Débits
M1 RT 2024/2025 M. Hamidia

Étape 5 : Configurez la stratégie IPsec IKE Phase 2 sur CE-1.

a. Créez le transform-set RT1VPN-SET pour utiliser esp-aes et esp-sha-hmac.
b. Créez la carte de chiffrement RT1VPN-MAP qui lie tous les paramètres de la phase 2 ensemble.
Utilisez le numéro de séquence 10 et identifiez-le comme une carte ipsec-isakmp .

Résumé des paramètres de stratégie IPsec Phase 2

Paramètres CE-1 CE-2

Nom du jeu de transformations RT1VPN-SET RT1VPN-SET

Transformation ESP
esp - aes esp - aes
Chiffrement
Transformation ESP
esp - sha - hmac esp - sha - hmac
Authentification
Adresse IP homologue 10.2.2.2 10.1.1.2
access -list 110 (source
access -list 110 (source 192.168.2.0
Trafic à venir Crypté 192.168.1.0 destination
destination 192.168.1.0)
192.168.2.0)

Étape 6 : Configurez la carte de chiffrement sur l’interface sortante.

Appliquez la carte de chiffrement RT1VPN-MAP à l’interface série 0/0/0 sortante.

2. Configurer IPsec Paramètres sur CE-2

Étape 1 : Activez le package de technologie de sécurité.
a. Sur CE-2, émettez la commande show version pour vérifier que les informations de licence du
package Security Technology ont été activées.
b. Si le package Security Technology n’a pas été activé, activez le package et rechargez CE-2.

Étape 2 : Configurez le routeur CE-2 pour prendre en charge un VPN de site à site avec CE-1.
Configurez les paramètres alternatifs sur CE-2. Configurez l’ACL 110 identifiant le trafic du LAN
sur CE-2 au LAN sur CE-1 comme intéressant.
Étape 3 : Configurez les propriétés IKE Phase 1 ISAKMP sur CE-2.
Configurez les propriétés de la stratégie crypto ISAKMP 10 sur CE-2 avec la clé de chiffrement
partagée vpnpa55.

7
USTHB, FGE Réseaux Haut-Débits
M1 RT 2024/2025 M. Hamidia

Étape 4 : Configurez la stratégie IPsec IKE Phase 2 sur CE-2.

a. Créez le transform-set RT1VPN-SET pour utiliser esp-aes et esp-sha-hmac .
b. Créez la carte de chiffrement RT1VPN-MAP qui lie tous les paramètres de la phase 2 ensemble.
Utilisez le numéro de séquence 10 et identifiez-le comme une carte ipsec-isakmp.

Étape 5 : Configurez la carte de chiffrement sur l’interface sortante.

Appliquer le Carte de cryptage VPN-MAP vers l’interface série 0/0/0 sortante.

3. Vérifier le VPN IPsec

Étape 1 : Vérifiez le tunnel avant le trafic intéressant.
Émettez le show crypto ipsec sa commande sur CE-1. Notez que le nombre de paquets encapsulés,
chiffrés, désencapsulés et déchiffrés est tous défini sur 0.

Étape 2 : Créer un trafic intéressant.

Envoyez une requête ping à PC-2 depuis PC-1.

Étape 3 : Vérifiez le tunnel après un trafic intéressant.

Sur CE-1, relancez le show crypto ipsec sa commande. Notez que le nombre de paquets est
supérieur à 0, ce qui indique que le tunnel VPN IPsec fonctionne.

Étape 4 : Créer du trafic inintéressant.

Envoyez une requête ping à PC-5 à partir de PC-1.

Remarque : L’émission d’un ping du routeur CE-1 vers PC-2 ou CE-2 vers PC-1 n’est pas un trafic
intéressant.

Étape 5 : Vérifiez le tunnel.

Sur CE-1, relancez le show crypto ipsec sa commande. Notez que le nombre de paquets n’a pas
changé, ce qui vérifie que le trafic inintéressant n’est pas chiffré.