Sous-résaux LAN dupliqués Configuration Tunnel IPSec entre routeurs avec Sous-résaux LAN dupliqués ccnp_cch

Sommaire • Rappel théorique • Configuration • Vérification • Introduction - Composants utilisés • Rappel théorique • Configuration - Schéma du réseau - Configurations • Vérification • Résolution de problèmes ccnp_cch

Introduction Ce document fournit un exemple de réseau qui simule deux sociétés qui fusionnent avec le même plan d'adressage IP. Deux routeurs sont connectés avec un tunnel VPN IPSec et les adresses des réseaux derrière les routeurs sont les mêmes. Pour accéder d'un côté à l'autre, NAT est utilisé sur les routeurs pour changer les adresses source et destination des différents sous-réseaux. Composants utilisés Les informations présentées dans ce document sont basées les versions logicielles et matérielles suivantes : ● Router A : Routeur Cisco 3640 opérant avec Cisco IOS® Software Release 12.3(4)T ● Router B: Routeur Cisco 2621 opérant avec Cisco IOS® Software Release 12.3(5) Rappel théorique Dans cet exemple quand le host 172.16.1.2 du Site A accède à la même adresse IP d'un host du site B, il se connecte à l'adresse 172.19.1.2 au lieu de l'adresse actuelle 172.16.1.2. quand le host du site B accède au site A, il se connecte à l'adresse 172.18. 1.2. NAT sur le routeur A traduit toutes les adresses 172.16.x.x pour qu'elles apparais- sent comme une entrée de host 172.18.x.x. NAT sur le routeur B traduit l'adresse 172. 16.1.2 pour qu'elle apparaisse comme 172.19.x.x. La fonction de cryptage sur chaque routeur crypte le trafic traduit et transmis sur les interfaces serial. Notez que NAT est réalisé avant la fonction de cryptage sur le routeur. Note : Cette configuration permet aux deux réseaux de communiquer. Elle ne permet pas la connectivité Internet. Vous avez besoin de chemins additionnels vers Internet pour une connectivité avec des sites autres que les deux sites; en d'autres termes vous devez ajouter un routeur ou un pare-feu sur chaque site avec des routes configurées. ccnp_cch

Configuration ccnp_cch Dans cette section sont présentées les informations nécessaires à la configuration des fonctionnalités décrites dans ce document. Schéma du réseau 172.16.1.2 e0/0 172.16.1.1 Routeur A s0/0 10.5.76.58 NAT pool 172.18.x.x s0/0 10.5.76.57 NAT pool 172.19.x.x Routeur B e0/0 172.16.1.1 172.16.1.2 ccnp_cch

Configurations ccnp_cch Routeur A Current configuration : 1404 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password−encryption hostname SV3−2 boot−start−marker boot−end−marker no aaa new−model ip subnet−zero ip audit notify log ip audit po max−events 100 ip ssh break−string no ftp−server write−enable !−−− Paramètres Internet Key Exchange (IKE). crypto isakmp policy 10 encr 3des hash md5 authentication pre−share crypto isakmp key cisco123 address 10.5.76.57 !−−− Paramètres IPSec. crypto ipsec transform−set myset1 esp−3des esp−md5−hmac crypto map mymap 10 ipsec−isakmp set peer 10.5.76.57 set transform−set myset1 !−−− Cryptage du trafic vers l'autre extrémité. match address 100 ccnp_cch

ccnp_cch ! interface Serial0/0 description Interface to Internet ip address 10.5.76.58 255.255.0.0 ip nat outside clockrate 128000 crypto map mymap interface Ethernet0/0 ip address 172.16.1.1 255.255.255.0 no ip directed−broadcast ip nat inside half−duplex !−−− Ceci est la configuration NAT. ip nat inside source static network 172.16.0.0 172.18.0.0 /16 no−alias ip http server no ip http secure−server ip classless ip route 0.0.0.0 0.0.0.0 Serial0/0 !−−− Sélection du trafic intéressant. access−list 100 permit ip 172.18.0.0 0.0.255.255 172.19.0.0 0.0.255.255 control−plane line con 0 line aux 0 line vty 0 4 end ccnp_cch

ccnp_cch Routeur B Current configuration : 1255 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password−encryption hostname SV3−15 boot−start−marker boot−end−marker memory−size iomem 15 no aaa new−model ip subnet−zero ip audit notify log ip audit po max−events 100 !−−− Paramètres IKE. crypto isakmp policy 10 encr 3des hash md5 authentication pre−share crypto isakmp key cisco123 address 10.5.76.58 !−−− Paramètres IPSec. crypto ipsec transform−set myset1 esp−3des esp−md5−hmac crypto map mymap 10 ipsec−isakmp set peer 10.5.76.58 set transform−set myset1 !−−− Cryptage du trafic vers l'autre extrémité. match address 100 interface FastEthernet0/0 ip address 172.16.1.1 255.255.255.0 ip nat inside duplex auto speed auto ccnp_cch

Résolution de problèmes ! interface Serial0/0 description Interface to Internet ip address 10.5.76.57 255.255.0.0 ip nat outside crypto map mymap !−−− Ceci est la configuration NAT. ip nat inside source static network 172.16.0.0 172.19.0.0 /16 no−alias ip http server no ip http secure−server ip classless ip route 0.0.0.0 0.0.0.0 Serial0/0 !−−− Sélectionne le trafic intéressant. access−list 100 permit ip 172.19.0.0 0.0.255.255 172.18.0.0 0.0.255.255 line con 0 line aux 0 line vty 0 4 end Vérification Dans cette section sont présentées des informations que vous pouvez utiliser pour vé- rifier que votre configuration fonctionne correctement. ● show crypto ipsec sa - Affiche les associations de sécurité phase 2 (IPSec). ● show crypto isakmp sa - Affiche les associations de sécurité phase 1 (ISAKMP). ● show ip nat translation - Affiche les traductions NAT en cours d'utilisation. Résolution de problèmes Dans cette section sont présentées des informations que vous pouvez utiliser pour ré- soudre des problèmes liés à votre configuration. Commandes pour résolution de problèmes ● debug crypto ipsec sa − Affiche les négociations IPSec (phase 2). ● debug crypto isakmp sa − Affiche les négociations ISAKMP (phase 1). ● debug crypto engine − Affiche les sessions cryptées. ccnp_cch