Scribd
Importer
44 vues8 pages

TP VPN

Le document décrit la création d'un tunnel VPN IPsec entre deux routeurs à l'aide de Packet Tracer, en expliquant les concepts d'IPsec et ses avantages pour sécuriser les échanges sur Internet. Il fournit également des instructions détaillées pour la configuration des routeurs R1, R2 et R3, ainsi que les étapes nécessaires pour établir le tunnel VPN, y compris l'activation d'ISAKMP, la création de transform sets et de crypto maps. Enfin, il aborde la vérification de la configuration du tunnel VPN IPsec.

Transféré par

hjjjhhjg27
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
44 vues8 pages

TP VPN

Le document décrit la création d'un tunnel VPN IPsec entre deux routeurs à l'aide de Packet Tracer, en expliquant les concepts d'IPsec et ses avantages pour sécuriser les échanges sur Internet. Il fournit également des instructions détaillées pour la configuration des routeurs R1, R2 et R3, ainsi que les étapes nécessaires pour établir le tunnel VPN, y compris l'activation d'ISAKMP, la création de transform sets et de crypto maps. Enfin, il aborde la vérification de la configuration du tunnel VPN IPsec.

Transféré par

hjjjhhjg27
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Création d’un tunnel VPN IP Sec entre 2 routeurs

avec Packet TracerCréation d’un tunnel VPN IP


Sec entre 2 routeurs avec Packet Tracer

IPSEC (Internet Protocol Security) est un ensemble de protocoles normalisés et standardisés par l’IETF
pour la confidentialité, l’intégrité, et l’authentification pour les échanges sur le réseau Internet. IPSec a
été principalement conçu pour sécuriser le protocole IPv6, mais la lenteur de déploiement de ce dernier
a imposé une adaptation d’IPSec à l’actuel protocole IPv4.IPSEC (Internet Protocol Security) est un
ensemble de protocoles normalisés et standardisés par l’IETF pour la confidentialité, l’intégrité, et
l’authentification pour les échanges sur le réseau Internet. IPSec a été principalement conçu pour
sécuriser le protocole IPv6, mais la lenteur de déploiement de ce dernier a imposé une adaptation
d’IPSec à l’actuel protocole IPv4.
Les VPN IPSec
Le protocole IPsec peut être utilisé pour la création des réseaux privés virtuels (VPN), c’est-à-dire
l’établissement d’une liaison entre des systèmes informatiques de manière sûre en se basant sur un
réseau existant, considéré comme non sécurisé.
L’apport majeur de cette techniques par rapport à d’autres solutions est qu’il s’agit d’une méthode
standard conçue dans cet objectif précis, décrite par différentes RFCs, et donc interopérable. Cette
méthode présente les avantages suivants :
• L’économie de bande passante, car la compression des en-têtes des données transmises est prévue
par ce standard, de plus, ce dernier ne fait pas appel à de trop lourdes techniques d’encapsulation,
comme les tunnels PPP sur lien SSH.
• La protection des protocoles de bas niveau comme ICMP et IGMP, RIP, etc…
• L’évolution continue d’IPSec, vu que les algorithmes de chiffrement et d’authentification sont
spécifiés séparément du protocole lui-même.
Cette solution présente néanmoins un inconvénient majeur: sa grande complexité rend son
implémentation délicate.

Schéma réseau Schéma réseau

Le réseau à simuler est le suivant :Le réseau à simuler est le suivant :


Configuration réseauConfiguration réseau

On commence par l’attribution de la configuration de nos postes, puis on passe à la configuration des
routeurs :

Configuration Routeur R1 :

Router#conf t

Router(config)#hostname R1

R1(config)#interface FastEthernet 0/1

R1(config-if)#ip address 192.168.1.254 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#exit

R1(config)#interface FastEthernet 0/0

R1(config-if)#ip address 10.1.1.1 255.255.255.252

R1(config-if)#no shutdown

R1(config-if)#exit

R1(config)#router rip

R1(config-router)#version 2

R1(config-router)#no auto-summary

R1(config-router)#network 192.168.1.0

R1(config-router)#network 10.1.1.0

R1(config-router)#exit

Configuration Routeur R2 :
Router#conf t

Router(config)#hostname R2

R2(config)#interface FastEthernet 0/1


R2(config-if)#ip address 10.2.2.2 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface FastEthernet 0/0
R2(config-if)#ip address 10.1.1.2 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#exit

R2(config)#router rip
R2(config-router)#version 2
R2(config-router)#no auto-summary
R2(config-router)#network 10.2.2.0
R2(config-router)#network 10.1.1.0
R2(config-router)#exit

Configuration Routeur R3 :

Router#conf t

Router(config)#hostname R3

R3(config)#interface FastEthernet 0/1


R3(config-if)#ip address 192.168.3.254 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#interface FastEthernet 0/0
R3(config-if)#ip address 10.2.2.1 255.255.255.252
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#router rip
R3(config-router)#version 2
R3(config-router)#no auto-summary
R3(config-router)#network 10.2.2.0
R3(config-router)#network 192.168.3.0
R3(config-router)#exit

Visualisation des paquets échangés

Pour comprendre l’apport de l’intégration du protocole IPsec dans le réseau, on va analyser les trames
échangées avant l’implémentation du tunnel.

Pour faire ceci, il faut :

1. Passer du mode Realtime au mode simulation


2. Sur PC1, ouvrir l’invité de commandes et entrer la commande ”tracert 192.168.3.1” (cette
commande permet de dresser une cartographie des routeurs présents entre une machine source et
une machine cible.)

3. Dans la barre latérale, activer ”Auto Capture/Play” et suivre les échanges des paquets.

Inspecter le contenu des paquets. Cliquer dessus pour vérifier leurs entêtes.
Configuration du VPN IPSEC

1.Activer ISAKMP

R1(config)#crypto isakmp enable

2.Détermination de la politique ISAKMP

Pour qu’il y ait communication IPSec possible, il faut que les 2 peers trouvent un accord sur une
politique ISAKMP commune. Une politique ISAKM contient: l’Algorithme d’encryption, l’Algorithme
de hachage,le groupe Diffie-Hellman et la durée de vie du chiffrement de la clé.

R1(config)# crypto isakmp key 12345 address 10.2.2.1

4.Création du Transform Set

Le transform set est l’association d’une méthode de chiffrement et d’authentification. Cette phase va permettre
durant l’établissement d’une association (basée sur ISAKMP) de se mettre d’accord durant les échanges afin de
fixer la méthode de sécurisation des données. Les paramètres du transform set devrons être les mêmes des deux
côtés.

Le transform set va permettre de sécuriser les flux déterminés à partir d’une access-list associée à une crypto map.

R1(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac


5.Configuration de la crypto map

La carte de cryptage (ou crypto map) permet de lier les SA négociées et la politique de sécurité (SP :
Security Policy). En d’autres termes, elle permet de renseigner :

◦ L’autre extrémité du tunnel vers lequel le trafic IPSec devrait être envoyé ;
◦ L’adresse locale à employer pour le trafic d’IPSec ;
◦ Quelle sécurité d’IPSec devrait être appliquée à ce trafic (transform-sets)
◦ Durée de vie de du tunnel IPSec

R1(config)#crypto map nom_de_map 10 ipsec-isakmp


R1(config-crypto-map)#set peer 10.2.2.1
R1(config-crypto-map)#set transform-set 50
R1(config-crypto-map)#set security-association lifetime seconds 900

6.Configuration d’une liste de contrôle d’accès

Il faut configurer une liste d’accès qui définit le trafic à sécuriser.

7.Activer ISAKMP sur l’interface concernée

Il faut lier la crypto map ainsi définie à une interface du routeur par laquelle le trafic d’IPSec passera.

Tout trafic arrivant ou sortant de cette interface est comparé avec le trafic à sécuriser défini dans une
liste d’accès: s’il y a correspondance ce dernier est chiffré.

R1(config)#interface FastEthernet 0/0


R1(config-if)#crypto map m1ssice2

R1(config-if)#exit

On procède de la même manière à la configuration de routeur R3

Vérifications

On vérifie la map m1ssice2 :

R1#show cypto map

Vous aimerez peut-être aussi