Configuration - IPSEC sur ADSL sur Cisco 2600/3600 avec Carte ADSL-WIC et cryptage hardware ccnp_cch

Sommaire - Composants utilisés  Configuration  Problèmes  Introduction - Composants utilisés  Configuration - Schéma du réseau - Configurations  Problèmes  Vérification  Résolution de problèmes  Conclusion ccnp_cch

Introduction ccnp_cch Avec l'expansion d'Internet, les sites distants exigent que leurs connexions vers les si- tes centraux soient à la fois fiables et sécurisés. Les VPN (Virtual Private Network) pro- tègent l'information entre les sites distants et les sites centraux lorsqu'elle traverse In- ternet. IPSec (IP Security) peut être utilisé pour garantir que les données qui passent à travers ce VPN sont cryptées. Le cryptage fournit une autre couche de sécurité pour le réseau. Tunnel VPN Sites distants Site Central Tunnel VPN Ce schéma montre un VPN IPSec typique . Un certain nombre de connexions d'accès distants et site à site sont réalisées entre les sites distants et les sites centraux. Usuel- lement des liaisons WAN traditionnelles telles que Frame Relay, RNIS sont fournies en- tre les sites. Ces connexions pouvaient inclure des frais d'installation coûteux et un coût mensuel élevé. pour les utilisateurs RNIS les temps de connexion pouvaient être longs. L'ADSL (Asymetric Digital Subscriber Line) offre une alternative toujours disponible et de bas coût à ces liaisons WAN traditionnelles. Les données cryptées avec IPSec sur une liaison ADSL offrent une connexion fiable et sécurisée et permet de faire des éco- nomies. La mise en place d'un équipement traditionnel de ADSL requiert un modem ADSL qui est connecté à un équipement qui génère et reçoit du trafic IPSec. Le sché- ma suivant montre un réseau ADSL typique. DSL Modem DSL Sites Distants Site Central Agrégateur DSL DSLAM Modem DSL ccnp_cch

Configuration ccnp_cch Les routeurs Cisco 2600 et 3600 supportent la carte d'interface WIC-1ADSL qui est une carte d'interface WAN. Cette carte WIC-IADSL est une solution d'accès distant et multi-service conçue pour satisfaire les besoins d'un site distant. l'introduction de la carte WIC-1ADSL et des modules de cryptage matériel répondent aux exigences d'IPSec et du DSL dans un site distant à une solution routeur unique. La carte WIC-1ADSL élimine le besoin d'un modem ADSL séparé. Le module de cryptage matériel a des per- formances dix fois supérieures à du cryptage logiciel. Composants utilisés Les informations présentées dans ce document sont basées sur les versions matériel- les et logicielles suivantes: Routeurs Cisco Séries 2600/3600  Cisco IOS Software Release 12.1(5)YB Enterprise Plus 3DES Feature set  DRAM 64MB pour le routeur Cisco série 2600, DRAM 96 MB pour le routeur Cisco série 3600.  Flash 16MB pour le Cisco série 2600, Flash 32MB pour le routeur Cisco série 3600.  WIC-1ADSL  Modules de cryptage matériel - AIM−VPN/BP and AIM−VPN/EP pour routeur Cisco série 2600 - NM−VPN/MP pour le routeur Cisco 3620/3640 - AIM−VPN/HP pour le routeur Cisco 3660 - Cisco IOS Software Release 12.1(5)DC1 - DRAM 64 MB - Flash 8 MB Cisco 6160 :  Cisco IOS Software Release 12.1(7)DA2  DRAM 64 MB  Flash 16 MB Configuration Dans cette section sont présentées les informations que vous pouvez utiliser pour con- figuer les fonctionnalités décrits dans ce document. Schéma du réseau Ce test simule une connexion CPN IPSec qui utilise l'ADSL dans un environnement de site distant. Le routeur Cisco 2600/3600 avec la carte ADSL-WIC et le module de cryptage matériel communiquent avec un DSLAM Cisco 6160. Le système Cisco 6400 est utilisé comme équipement d'agrégation qui termine une session PPP initiée à partir du routeur Cisco 2600. Le tunnel IPSec débute sur le routeur 2600 et se termine sur le routeur 3600 au ccnp_cch

site central équipement d'extrémité IPSec dans ce scénario site central équipement d'extrémité IPSec dans ce scénario. L'équipement d'extrémité est configuré pour accepter les connexions de tout client au d'un point à point indivi- duel. L'équipement d'extrémité est aussi testé uniquement avec des clés pré-partagées, 3DES, ESP-SHA (Secure Hash Algorithm)-HMAC (Hash-based Message Authentication Code). Site Central DSL Site Distant 2.2.2.0/24 10.1.1.0/24 10.1.100.101 1.1.1.0/24 IP .5 .10 .1 2600 ADSL-WIC AIM-VPN/BP Serveur IPSec 3600 Agrégateur 6400 DSLAM 6160 PPP Session IPSec Configurations Ce document utilise ces configurations:  Cisco 2600 Router  IPSec Headend Device − Cisco 3600 Router  Cisco 6160 DSLAM  Cisco 6400 Node Route Processor (NRP) Notez ces points au sujet des configurations:  Une clé pré-partagée est utilisée. Pour établir des sessions IPSec vers plusieurs ex- trémités, vous devez définir plusieurs instructions de définition de clé ou vous devez configurer une crypto map dynamique. Si toutes les sessions partagent une seule clé, vous devez utiliser une adresse d'extrémité 0.0.0.0.  Le transform set peut être défini pour ESP, AH (Authentication Header) ou les deux pour une double authentification.  Au moins une définition de politique de cryptage doit être définie par extrémité. Les crypto maps engagent l'extrémité à exécuter la création de la session IPSec. La déci- sion est basée sur la correspondance d'adresse définie dans la liste d'accès. Dans cet exemple c'est la liste d'accès 101.  Les crypto maps doivent être définies pour l'interface physique (interface ATM0/0/0 dans ce cas) et l'interface virtual-template.        ccnp_cch

 La configuration présentée dans ce document traite uniquement d'un tunnel IPSec sur une connexion DSL. Des fonctionnalités additionnelles de sécurité sont proba- blement nécessaires pour assurer que votre réseau n'est pas vulnérable. Ces fonc- tionnalités de sécurité peuvent inclure des listes de contrôle d'accès (ACLs) addition- nelles, du NAT (Network Address Translation) et l'utilisation d'un pare-feu. Chacune de ces fonctionnalités peut être utilisée pour restreindre le trafic non IPSec de et vers le routeur. Routeur Cisco 2600 crypto isakmp policy 10 !−−− Définit les paramètres ISAKMP à négocier. authentication pre−share !−−− Définit la clé pré-partagée à échanger avec l'extrémité. crypto isakmp key pre−shared address 10.1.1.5 ! crypto ipsec transform−set strong esp−des esp−sha−hmac !−−− Définit le transform set pour ESP et/ou AH. crypto map vpn 10 ipsec−isakmp set peer 10.1.1.5 set transform−set strong match address 102 !−−− Définit la politique de cryptage qui inclut l'adresse !--- de l'extrémité, le transform set utilisé et aussi la !−−− liste d'accès qui définit les paquets qui doivent être !−−− cryptés. interface ATM0/0 no ip address atm vc−per−vp 256 no atm ilmi−keepalive dsl operating−mode auto no fair−queue interface ATM0/0.1 point−to−point pvc 0/35 encapsulation aal5mux ppp dialer dialer pool−member 1 crypto map vpn !−−− Applique la crypto map à la sous-interface ATM. interface FastEthernet0/1 ip address 1.1.1.1 255.255.255.0 duplex 100 speed full ccnp_cch

Equipement IPSec d'extrémité - Routeur Cisco 3600 ! interface Dialer1 ip address 10.1.100.101 255.255.255.0 dialer pool 1 encapsulation ppp ppp pap sent−username 2621a password 7 045802150C2E crypto map vpn !−−− Applique la crypto map à l'interface Dialer. ip classless ip route 2.2.2.0 255.255.255.0 10.1.1.5 ip route 10.1.1.0 255.255.255.0 10.1.100.1 !−−− Routes statiques entre le routeur 2600 et le Serveur IPSec. ip route 0.0.0.0 0.0.0.0 Dialer1 access−list 102 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 !−−− Liste d'accès qui définit les adresses dont le trafic doit !--- être crypté. end Equipement IPSec d'extrémité - Routeur Cisco 3600 crypto isakmp policy 10 !−−− Définit les paramètres ISAKMP à négocier. authentication pre−share !−−− Définit la clé pré-partagée à échanger avec l'extrémité. crypto isakmp key pre−shared address 10.1.100.101 ! crypto ipsec transform−set strong esp−des esp−sha−hmac !−−− Définit le transform set pour ESP et/ou AH. crypto map vpn 10 ipsec−isakmp set peer 10.1.100.101 set transform−set strong match address 102 !−−− Définit la politique de cryptage qui inclut l'adresse !--- de l'extrémité, le transform set utilisé et aussi la !−−− liste d'accès qui définit les paquets qui doivent être !−−− cryptés. ccnp_cch

ccnp_cch ! interface FastEthernet0/0 ip address 10.1.1.5 255.255.255.0 duplex 100 speed full crypto map vpn !−−− Applique la crypto map à l'interface FastEthernet. interface FastEthernet0/1 ip address 2.2.2.1 255.255.255.0 full−duplex ip route 1.1.1.0 255.255.255.0 10.1.1.10 ip route 10.1.100.0 255.255.255.0 10.1.1.10 access−list 102 permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 !−−− Liste d'accès qui définit les adresses dont le trafic doit !--- être crypté. end DSLAM Cisco 6160 dsl−profile full dmt bitrate maximum fast downstream 10240 upstream 1024 dmt bitrate maximum interleaved downstream 0 upstream 0 ! atm address 47.0091.8100.0000.0004.6dd6.7c01.0004.6dd6.7c01.00 atm router pnni no aesa embedded−number left−justified none 1 level 56 lowest redistribute atm−static interface atm0/0 no ip address atm maxvp−number 0 atm maxvc−number 4096 atm maxvci−bits 12 interface atm 1/2 dsl profile full no atm ilmi−keepalive atm soft−vc 0 35 dest−address 47.0091.8100.0000.0004.c12b.cd81.4000.0c80.8000.00 0 36 rx−cttr 1 tx−cttr 1 !−−− Les deux lignes précédentes correspondent à une seule !--- commande. L'adresse du Network Service Access Point (NSAP) !−−− vient du NSP sur le Cisco 6400. ccnp_cch

ccnp_cch NRP Cisco 6400 ! username cisco password cisco vc−class atm pppoa encapsulation aal5mux ppp Virtual−template1 interface loopback 0 ip address 10.1.100.1 255.255.255.0 interface atm 0/0/0 no ip address no ip route−cache no ip mroute−cache no atm auto−configuration atm ilmi−keepalive 10 pvc 0/16 ilmi hold−queue 1000 in interface atm 0/0/0.1 multipoint no ip mroute−cach class−int pppoa pvc 0/36 interface fast 0/0/0 ip address 10.1.1.10 255.255.255.0 half−duplex interface Virtual−Template1 ip unnumbered Loopback0 peer default ip address pool pppoa ppp authentication pap chap ppp ipcp accept−address ppp multilink no ppp multilink fragmentation ip local pool pppoa 10.1.100.2 10.1.100.100 ccnp_cch

Problèmes Vérification ccnp_cch Les connexions ADSL peuvent être configurées avec une interface virtual-template ou une interface dialer. Une interface dialer est utilisée pour configurer l'équipement DSL du client pour qu'il reçoive une adresse de l'opérateur (adresse IP négociée). Une interface virtual-template est une interface logique et elle ne supporte pas l'option de négociation d'adresse qui est nécessaire dans un environnement DSL. Les interfaces virtual-template n'ont pas été initialement implémentées pour des environnements DSL. Aujourd'hui une inter- face dialer est la configuration recommandée du côté équipement DSL client. Ces problèmes ont été résolus dans la release 12.2(4)T du logiciel IOS Cisco. Vérification Cette section fournit des informations que vous pouvez utiliser pour confirmer que vo- tre configuration fonctionne correctement. Plusieurs commandes show peuvent être utilisées pour vérifier que la session IPSec est établie entre les extrémités. Les commandes sont utiles uniquement sur les extré- mités IPSec, les routeur Cisco série 2600 et 3600 dans ce cas.  show crypto engine connections active - Affiche chaque SA phase II construite et le volume de trafic transmis.  show crypto ipsec sa - Affiche chaque SA phase II construite entre extrémités. Ceci est un extrait de sortie de la commande show crypto engine connections active. show crypto engine connections active ID Interface IP−Address State Algorithm Encrypt Decrypt 1 <none> <none> set HMAC_SHA+DES_56_CB 0 0 200 Virtual−Template1 10.1.100.101 set HMAC_SHA 0 4 201 Virtual−Template1 10.1.100.101 set HMAC_SHA 4 0 Ceci est un extrait de la sortie de la commande show crypto ipsec sa. show crypto ipsec sa Interface: Virtual−Template1 Crypto map tag: vpn, local addr. 10.1.100.101 Local ident (addr/mask/prot/port): (1.1.1.0/255.255.255.0/0/0) Remote ident (addr/mask/prot/port): (2.2.2.0/255.255.255.0/0/0) Current_peer: 10.1.1.5 PERMIT, flags= {origin_is_acl,} #pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4 #pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr failed: 0, # pkts decompress failed: 0 #send errors 11, #recv errors 0 ccnp_cch

Résolution de problèmes #send errors 11, #recv errors 0 local crypto endpt: 10.1.100.101, remote crypto endpt.: 10.1.1.5 path mtu 1500, media mtu 1500 current outbound spi: BB3629FB inbound esp sas: spi: 0x70C3B00B(1891872779) transform: esp−des, esp−md5−hmac in use settings ={Tunnel,} slot: 0, conn id: 2000, flow_id: 1, crypto map: vpn sa timing: remaining key lifetime (k/sec): (4607999/3446) IV size: 8 bytes Replay detection support: Y Inbound ah sas: Inbound pcp sas: Outbound esp sas: Spi: 0xBB3629FB(3140889083) Transform: esp−des, esp−md5−hmac In use settings ={Tunnel,} Slot:0, conn id: 2001, flow_id: 2, crypto map: vpn Sa timing: remaining key lifetime (k/sec): (4607999/3446) IV size: 8bytes Outbound ah sas: Outbound pcp sas: Résolution de problèmes Cette section fournit des informations que vous pouvez utiliser pour résoudre des pro- blèmes liés à votre configuration. Le message "Modem state = 0x8" qui est rapporté par la commande debug atm events signifie usuellement que l'interface WIC-1ADSL ne reçoit pas le signal "Carrier Detect" du DSLAM connecté. Dans ce cas, le client doit vérifier si le signal arrive sur les deux conducteurs situés au milieu de la prise RJ-11. Quelques opérateurs trans- mettent le signal sur les deux broches extrêmes. Commandes pour résolution de problèmes  debug crypto IPSec - Affiche les évènements IPSec.  debug crypto Isakmp - Affiche les messages des évènements IKE. ccnp_cch

Résumé L'implémentation de IPSec sur ADSL fournit une connexion réseau fiable et sécurisée entre des sites distants et un site central. L'utilisation de routeurs Cisco série 2600/ 3600 avec une carte WIC-ADSL et des modules de cryptage "hardware" offrent un coût réduit pour le client car l'ADSL et IPSec peuvent coexister avec une solution d'équipe- ment unique. ccnp_cch