entre trois routeurs utilisant des Configuration IPSec entre trois routeurs utilisant des adresses privées ccnp_cch
Sommaire • Introduction - Versions logicielles et matérielles • Configuration - Schéma du réseau - Configurations • Vérification ccnp_cch
Introduction Cet exemple illustre une configuration totalement maillée avec trois routeurs utilisant des adresses privées. Les fonctionnalités comprises dans cette configuration sont : ● ESP (Encapsulation Security Payload) - DES (Data Encryption Standard). ● Clés pré-partagées. ● Réseaux privés derrière chaque routeur (192.168.1.0, 192.168.2.0, 192.168.3.0). ● Configuration de isakmp et crypto map. ● Définition du trafic à placer dans le tunnel en utilisant les listes d'accès et les route-map. Versions logicielles et matérielles Cette configuration a été développée et testée en utilisant les versions logicielles et matérielles suivantes : ● Cisco IOS Release 12.0.6(5)T et suivantes ● Routeurs Cisco configurés avec IPSec Configuration Schéma du réseau Serial 0 100.232.202.210 Ethernet0 200.154.17.130 R1 R2 FastEthernet0 192.168.1.1/24 Ethernet0 192.168.3.1 WAN Serial0 100.228.202.154 R3 FastEthernet0 192.168.2.1/24 ccnp_cch
Configurations ccnp_cch Routeur R1 Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password−encryption hostname R1 logging buffered 4096 debugging enable password clock timezone est 8 ip subnet−zero !−−− Configuration de la politique IKE (Internet Key Exchange) et !−−− des clés pré-partagées pour chaque extrémité. !−−− La politique IKE est définie pour chaque extrémité. crypto isakmp policy 4 authentication pre−share !−−− Clés pré-partagées avec les autres extrémités. crypto isakmp key xxxxxx1234 address 100.228.202.154 crypto isakmp key xxxxxx1234 address 200.154.17.130 !−−− Politiques IPSec: crypto ipsec transform−set encrypt−des esp−des crypto map combined local−address Serial0 !−−− Configurer l'autre extrémité, le transform−set et le trafic à !--- à crypter pour les tunnels avec les autres extrémités. crypto map combined 20 ipsec−isakmp set peer 100.228.202.154 set transform−set encrypt−des match address 106 crypto map combined 30 ipsec−isakmp set peer 200.154.17.130 match address 105 ccnp_cch
ccnp_cch ! interface Serial0 ip address 100.232.202.210 255.255.255.252 no ip directed−broadcast ip nat outside no ip route−cache no ip mroute−cache no fair−queue no cdp enable !−−− Application de la crypto map à l'interface. crypto map combined interface FastEthernet0 ip address 192.168.1.1 255.255.255.0 ip nat inside !−−− Definition du trafic pour NAT (Network Address Translation). ip nat inside source route−map nonat interface Serial0 overload ip classless ip route 0.0.0.0 0.0.0.0 100.232.202.209 no ip http server !−−− ACL (Access Control List) pour le trafic à crypter dans le tunnel. access−list 105 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 access−list 106 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 !−−− ACL pour empêcher le passage du trafic NAT dans le tunnel. access−list 150 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 access−list 150 deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 !−−− ACL pour le NAT du trafic passant hors du tunnel. access−list 150 permit ip 192.168.1.0 0.0.0.255 any no cdp run !−−− Ne pas faire de NAT pour le trafic IPSec. route−map nonat permit 10 match ip address 150 line con 0 transport input none line aux 0 password 7 aaaaaaa login local modem InOut transport input all speed 38400 flowcontrol hardware line vty 0 4 exec−timeout 30 0 password aaaaaa login end ccnp_cch
ccnp_cch Routeur R2 Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime service password−encryption hostname R2 enable secret 5 aaaaa enable password 7 aaaaaaa clock timezone EST 8 ip subnet−zero !−−− Configuration de la politique IKE (Internet Key Exchange) et !−−− des clés pré-partagées pour chaque extrémité. !−−− La politique IKE est définie pour chaque extrémité. crypto isakmp policy 4 authentication pre−share !−−− Clés pré-partagées avec les autres extrémités. crypto isakmp key xxxxxx1234 address 100.228.202.154 crypto isakmp key xxxxxx1234 address 100.232.202.210 !−−− Politiques IPSec: crypto ipsec transform−set encrypt−des esp−des crypto ipsec transform−set 1600_box esp−des !−−− Configurer l'autre extrémité, le transform−set et le trafic à !--- à crypter pour les tunnels avec les autres extrémités. crypto map combined local−address Ethernet1 crypto map combined 7 ipsec−isakmp set peer 100.232.202.210 set transform−set 1600_box match address 105 crypto map combined 8 ipsec−isakmp set peer 100.228.202.154 match address 106 ccnp_cch
ccnp_cch interface Ethernet0 ip address 192.168.3.1 255.255.255.0 no ip directed−broadcast ip nat inside ! interface Ethernet1 ip address 200.154.17.130 255.255.255.224 no ip route−cache ip nat outside !−−− Application de la crypto map à l'interface. crypto map combined !−−− Définition du trafic pour NAT (Network Address Translation). ip nat inside source route−map nonat interface Ethernet1 overload ip classless ip route 0.0.0.0 0.0.0.0 200.154.17.129 no ip http server !-−− ACL (Access Control List) pour le trafic à crypter dans le tunnel. access−list 105 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 access−list 106 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 !−−− ACL pour empêcher le passage du trafic NAT dans le tunnel. access−list 150 deny ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 access−list 150 deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 !−−− ACL pour le NAT du trafic passant hors du tunnel. access−list 150 permit ip any any no cdp run !−−− Ne pas faire de NAT pour le trafic IPSec. route−map nonat permit 10 match ip address 150 line con 0 password 7 aaaaa transport input none line vty 0 4 exec−timeout 0 0 password 7 aaaaaa login end ccnp_cch
ccnp_cch Routeur R3 Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password−encryption hostname R3 logging buffered 4096 debugging enable secret 5 aaaaa enable password aaaaa clock timezone est 8 ip subnet−zero !−−− Configuration de la politique IKE (Internet Key Exchange) et !−−− des clés pré-partagées pour chaque extrémité. !−−− La politique IKE est définie pour chaque extrémité. crypto isakmp policy 4 authentication pre−share !−−− Clés pré-partagées avec les autres extrémités. crypto isakmp key xxxxxx1234 address 100.232.202.210 crypto isakmp key xxxxxx1234 address 200.154.17.130 !−−− Politiques IPSec: crypto ipsec transform−set encrypt−des esp−des crypto ipsec transform−set 1600_box esp−des !−−− Configurer l'autre extrémité, le transform−set et le trafic à !--- à crypter pour les tunnels avec les autres extrémités. crypto map combined local−address Serial0 crypto map combined 7 ipsec−isakmp set peer 100.232.202.210 set transform−set encrypt−des match address 106 crypto map combined 8 ipsec−isakmp set peer 200.154.17.130 set transform−set 1600_box match address 105 ccnp_cch
ccnp_cch interface Serial0 ip address 100.228.202.154 255.255.255.252 no ip directed−broadcast no ip route−cache ip nat outside !−−− Application de la crypto map à l'interface. crypto map combined ! interface FastEthernet0 ip address 192.168.2.1 255.255.255.0 ip nat inside no cdp enable !−−− Définition du trafic pour NAT (Network Address Translation). ip nat inside source route−map nonat interface Serial0 overload ip classless ip route 0.0.0.0 0.0.0.0 100.228.202.153 no ip http server !-−− ACL (Access Control List) pour le trafic à crypter dans le tunnel. access−list 105 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 access−list 106 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 !−−− ACL pour empêcher le passage du trafic NAT dans le tunnel. access−list 150 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 access−list 150 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 !−−− ACL pour le NAT du trafic passant hors du tunnel. access−list 150 permit ip 192.168.2.0 0.0.0.255 any no cdp run !−−− Ne pas faire de NAT pour le trafic IPSec. route−map nonat permit 10 match ip address 150 line con 0 transport input none line vty 0 4 password aaaa login local modem InOut transport input all speed 115200 flowcontrol hardware end ccnp_cch
Vérification ● show crypto engine connections active − Montre les paquets cryptés et décryp- tés entre les extrémités IPSec. ● show crypto isakmp sa − Affiche toutes les associations de sécurité IKE (SAs) à une extrémité. ● show crypto ipsec sa − Affiche les paramètres utilisés les associations de sécurité [IPSec]. Note: Les commandes debug suivantes doivent être exécutées sur les deux routeurs IPSec d'extrémités. La remise à zéro des associations de sécurité doit être faîte sur les deux routeurs d'extrémité. ● debug crypto isakmp − Affiche les erreurs durant la Phase 1. ● debug crypto ipsec − Affiche les erreurs durant la Phase 2. ● debug crypto engine − Affiche les information de la machine de cryptage. ● clear crypto connection connection−id [slot | rsm | vip] − Arrête une session de cryptage en cours. Les sessions de cryptage se terminent normalement quand une session expire. Utilisez la commande show crypto cisco connections pour appren- dre la valeur de connection−id. ● clear crypto isakmp − Efface les associations de sécurité de la Phase 1. ● clear crypto sa − Efface les associations de sécurité de la Phase 2. ccnp_cch