Академический Документы
Профессиональный Документы
Культура Документы
Objectifs
Scnario
Dans cet atelier, vous allez mettre en place un Easy VPN Server pour une
Agence de Voyage pour se connecter au (H.Q) en utilisant IOS Command
Line Interface IOS (CLI).
L'hte A est une simulation dun employ qui prtend se connecter de sa
maison par Internet.
ISP (FAI) est une simulation dun routeur reprsentant la connexion Internet
la fois pour lutilisateur domicile et le sige de la socit (H.Q)
tape 1: configuration de l'adressage
# configure terminal
(config) # interface FastEthernet 0/0
(config-if) # ip add 192.168.10.1 255.255.255.0
(config-if) # no shutdown
(config-if) # interface srie 1/0
# configure terminal
(config) # interface Loopback 0
(config-if) # ip add 172.16.2.1 255.255.255.0
(config-if) # interface de serial 1/1
(config-if) # ip add 192.168.12.2 255.255.255.0
(config-if) # no shutdown
(config-if) # interface srie 1/0
(config-if) # ip add 172.16.23.2 255.255.255.0
(config-if) # clock rate 64000
(config-if) # no shutdown
# configure terminal
(config) # interface Loopback 0
(config-if) # ip add 172.16.3.1 255.255.255.0
(config-if) # interface srie 1/0
(config-if) # ip add 172.16.23.3 255.255.255.0
(config-if) # no shutdown
Le fait denvoyer tout le trafic dont la destination nexiste pas dans la table
de routage des routeurs de lentreprise ncessite une route statique par
dfaut. Cette entre statique devra tre redistribue via le protocole EIGRP
HQ (config) # ip route 0.0.0.0 0.0.0.0 192.168.12.1
HQ (config) # router eigrp 100
HQ (config-routeur) # redistribute static
tape 4: Activer AAA sur HQ
AAA doit tre activ sur le routeur (HQ) pour excuter le Easy VPN Server. A cet
effet, crer un nom d'utilisateur local et il faut s'assurer que l'authentification
seffectuera travers la base de donnes locale.
HQ (config) # username cisco password cisco
Crer un pool pour que les clients VPN puissent obtenir leur adresses IP.
HQ (config) # ip local pool VPNCLIENTS 172.16.2.100 172.16.2.200
tape 6: Configurer l'autorisation du groupe
Les politiques ISAKMP sont dfinies globalement et donc utilisables par tous les
tunnels configurs sur le routeur. Leur utilisation se fait squentiellement, par
ordre croissant, en fonction de leur priorit (10 dans notre exemple). Ds
qu'une politique matche celle du peer, c'est elle qui est utilise.
On y dfinit le type d'authentification, l'algorithme de hashage, l'algorithme de
chiffrement et le groupe Diffie-Hellman.
On doit mettre en place une politique ISAKMP qui sera utilise lors de la
ngociation IKE (Phase I). Utilisez les paramtres ci-aprs. Si votre version IOS
ne supporte pas les mmes paramtres, essayez de changer votre IOS (12.4).
HQ
HQ
HQ
HQ
HQ
On peut indiquer une cl partage ainsi que l'adresse du bout du tunnel (IP
du peer).
HQ (config) # crypto isakmp key LaCleSecrete address 192.168.12.1
key ciscogroup
pool VPNCLIENTS
acl 100
netmask 255.255.255.0
Configurer un Transform Set utiliser avec le VPN. Utiliser l'algorithme 3DES pour
le chiffrement et la fonction de hachage SHA-HMAC pour l'intgrit des donnes.
HQ(config)# crypto ipsec transform-set mytrans esp-3des esp-sha-hmac
HQ(cfg-crypto-trans)# exit
DPD (Dead Peer Detection) est un mcanisme natif d'IKE qui permet de
dtecter un problme sur le tunnel IPsec.
Le DPD est dsactiv par dfaut. Le DPD on-demand permet de ne vrifier
que le peer est up que lorsque le routeur a du trafic envoyer vers lui, ce qui
rduit sa charge CPU.
Cisco IOS Keepalive Feature est un mcanisme similaire au DPD mais
propritaire Cisco.
On configure le DPD avec la commande suivante : crypto isakmp keepalive
seconds
Laisser l'assistant pour installer tous les fichiers ncessaires. Vers la fin du
processus, l'assistant tentera d'ajouter des interfaces rseau virtuelles
requises pour l'utilisation de VPN.
Cela peut prendre un certain temps.
A la fin de l'installation, vous serez invit redmarrer. Cliquez sur Terminer
pour laisser votre redmarrage de l'ordinateur.
Etape 12: Test de l'accs de client sans connexion VPN