TP Sécurité Packet Tracer - Configuration d'un VPN d'accès distant et d'un client VPN CFI_Site_Paris

Objectifs  Partie 1: Configuration de base des équipements réseau ▪ Configuration des paramètres de base tels que le nom de host, les adresses IP des interfaces et les mots de passe d’accès. ▪ Configuration du routage statique.  Partie 2: Configuration d'un VPN d'accès distant ▪ Configurer le routeur R3 pour être Server VPN avec la CLI ▪ Configurer un serveur RADIUS pour l'authentification ▪ Configurer un client VPN sur PC-A et PC-B ▪ Vérifier la configuration ▪ Test du fonctionnement du VPN CFI_Site_Paris

Ressources requises • 3 routeurs 2811 avec deux interfaces série • 2 commutateurs Cisco 2960 • PC-A, PC-C: PC génériques • PC-B : PC potable CFI_Site_Paris

R2 R1 R3 S3 S1 PC-B PC-A PC-C Table d'adressage IP CFI_Site_Paris DCE DCE 10.1.1.0/30 10.2.2.0/30 S0/0/0 S0/0/1 R1 R3 Fa0/1 Fa0/1 192.168.1.0/24 Fa0/5 Fa0/5 Fa0/6 Fa0/24 S1 Fa0/8 S3 PC-B Fa0/18 PC-A 192.168.3.0/24 PC-C Table d'adressage IP Equipement Interface Adresse IP Masque Passerelle par défaut Port de commutateur R1 Fa0/1 192.168.1.1 255.255.255.0 N/A S1 Fa0/5 S0/0/0 10.1.1.1 255.255.255.252 R2 S0/0/0 10.1.1.2 (DCE) S0/0/1 10.2.2.2 R3 Fa0/1 192.168.3.1 S3 Fa0/5 S0/0/1 10.2.2.1 PC-A Carte 192.168.1.3 192.168.1.1 S1 Fa0/6 PC-B Carte 192.168.1.4 S1 Fa0/8 PC-C Carte 192.168.3.3 192.168.3.1 S3 Fa0/18 RADIUS Carte 192.168.3.10 S3 Fa0/24 CFI_Site_Paris

Partie 1: Configuration de base du routeur Dans la partie 1 de ce lab, vous construisez le réseau et vous configurez les paramètres de base tels que les adresses IP des interfaces et le routage dynamique, l'accès à l'équipement et les mots de passe. Note: Toutes les tâches doivent être exécutées sur R1, R2 et R3. La procédure pour R1 est celle utilisée comme exemple. Etape 1: Câblage du réseau selon la topologie précédente. Câblez le réseau selon la topologie donnée. Etape 2: Configuration des paramètres de base de chaque routeur. a. Configurez les noms de hosts conformément à la topologie. b. Configurez les adresses IP des interfaces en vous aidant du tableau fourni page précédente. c. Configurez les horloges pour le routeur R2 qui a des câbles série DCE attachés aux interfaces serial (s0/0/0 et s0/0/1). R2(Config)# interface serial s0/0/0 R2(config-if)# clock rate 2000000 d. Pour éviter que le routeur tente de traduire des commandes incorrectement entrées , dévalidez la recherche DNS. R1(Config)# no ip domain-lookup Etape 3: Configuration des routes statiques par défaut de R1 vers R2 et R3 vers R2 a. Configurez une route statique par défaut de R1 vers R2 et R3 vers R2. R1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2 R3(config)#ip route 0.0.0.0 0.0.0.0 10.2.2.2 Etape 4: Configuration des routes statiques sur R2. a. Configurez une route statique de R2 vers le LAN de R1. R2(config)#ip route 192.168.1.0 255.255.255.0 10.1.1.1 b. Configurez une route statique de R2 vers le LAN de R3. R2(config)#ip route 192.168.3.0 255.255.155.0 10.2.2.1 CFI_Site_Paris

Partie 2: Configuration de R3 comme serveur VPN Etape 5: Configuration des paramètres IP des PC hosts. a. Configurez l'adresse IP statique, le masque de sous-réseau et la passerelle par défaut pour PC-A, PC-B et PC-C comme le montre le tableau précédent. b. Configurez l'adresse IP statique, le masque de sous-réseau et la passerelle par défaut pour le serveur RADIUS comme le montre le tableau précédent. Etape 6: Vérification de la connectivité entre PC-A et R3. a. Entrez une commande ping à partir de PC-A vers l'interface S0/0/1 de R3 à l'adresse 10.2.2.1. PC-A:\> ping 10.2.2.1 Est-ce que la commande réussit?_____________ Si la commande échoue, vous devez résoudre le problème avant de continuer. Etape 7: Sauvegarde de la configuration de base des trois routeurs Sauvegardez la configuration courante dans la configuration de démarrage. R1#copy running-config startup-config Partie 2: Configuration de R3 comme serveur VPN Etape 1: Configurez les noms d'utilisateurs suivants: R3(config)#username vpnuser1 secret vpnuser1pass R3(config)#username vpnuser2 secret vpnuser2pass Etape 2: Configuration du serveur RADIUS pour les deux utilisateurs. Clé secrète : PT_Radius Sur R3: R3(config)# radius-server host 192.168.3.10 auth-port 1812 key PT_Radius Etape 3: Configurer le service AAA a. Entrez la commande suivante sur R3: R3(config)#aaa new-model R3(config)#aaa authentication login UserVPN group radius local R3(config)#aaa authorization network VPNgroup group radius local Etape 4: Configurer le pool d'adresses pour l'affectation des adresses aux clients VPN R3(config)#ip local pool VPN_POOL 192.168.3.100 192.168.3.150 CFI_Site_Paris

Etape 5: Configuration des paramètres ISAKMP R3(config)#crypto isakmp client configuration group VPN_Access R3(config-isakmp-group)# key cisco12345 R3(config-isakmp-group)# pool VPN_POOL R3(config-isakmp-group)# netmask 255.255.255.0 Etape 6: Configuration des paramètres IPSec. a. Configuration du transform-set R3(config)#crypto ipsec transform-set 3DESSHA esp-des esp-sha-hmac Etape 7: Configuration de la crypto map a. Création de la crypto map R3(config)# crypto dynamic-map Dynmap 1 R3(config-crypto-map)# set transform-set 3DESSHA b. Configuration des paramètres de la crypto map R3(config)# crypto map Dynmap client authentication list UserVPN R3(config)# crypto map Dynmap isakmp authorization list VPNgroup R3(config)# crypto map Dynmap client configuration address respond R3(config)# crypto map Dynmap 1 ipsec-isakmp dynamic Dynmap a. Affectation de la crypto map à l'interface s0/0/1 R3(config)# interface s0/0/1 R3(config-if)# crypto map Dynmap CFI_Site_Paris

Partie 3: Configuration des clients VPN a. Sur PC_A et PC_B configurez le client VPN pour le groupe VPN_Access et la clé pré-partagée cisco12345 Partie 4: Vérification des connexions VPN a. Connectez le client VPN vpnuser1 sur PC_A puis vérifiez l'existence du VPN sur R3 avec la commande show crypto ipsec sa. Cliquez sur l'icône b. Connectez le client VPN vpnuser2 sur PC_B puis vérifiez l'existence du VPN CFI_Site_Paris