Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
Sous-résaux LAN dupliqués
Configuration Tunnel IPSec entre routeurs avec Sous-résaux LAN dupliqués ccnp_cch
2
Sommaire • Rappel théorique • Configuration • Vérification
• Introduction Composants utilisés • Rappel théorique • Configuration - Schéma du réseau - Configurations • Vérification • Résolution de problèmes ccnp_cch
3
Introduction Ce document fournit un exemple de réseau qui simule deux sociétés qui fusionnent avec le même plan d'adressage IP. Deux routeurs sont connectés avec un tunnel VPN IPSec et les adresses des réseaux derrière les routeurs sont les mêmes. Pour accéder d'un côté à l'autre, NAT est utilisé sur les routeurs pour changer les adresses source et destination des différents sous-réseaux. Composants utilisés Les informations présentées dans ce document sont basées les versions logicielles et matérielles suivantes : ● Router A : Routeur Cisco 3640 opérant avec Cisco IOS® Software Release 12.3(4)T ● Router B: Routeur Cisco 2621 opérant avec Cisco IOS® Software Release 12.3(5) Rappel théorique Dans cet exemple quand le host du Site A accède à la même adresse IP d'un host du site B, il se connecte à l'adresse au lieu de l'adresse actuelle quand le host du site B accède au site A, il se connecte à l'adresse 1.2. NAT sur le routeur A traduit toutes les adresses x.x pour qu'elles apparais- sent comme une entrée de host x.x. NAT sur le routeur B traduit l'adresse 172. pour qu'elle apparaisse comme x.x. La fonction de cryptage sur chaque routeur crypte le trafic traduit et transmis sur les interfaces serial. Notez que NAT est réalisé avant la fonction de cryptage sur le routeur. Note : Cette configuration permet aux deux réseaux de communiquer. Elle ne permet pas la connectivité Internet. Vous avez besoin de chemins additionnels vers Internet pour une connectivité avec des sites autres que les deux sites; en d'autres termes vous devez ajouter un routeur ou un pare-feu sur chaque site avec des routes configurées. ccnp_cch
4
Configuration ccnp_cch
Dans cette section sont présentées les informations nécessaires à la configuration des fonctionnalités décrites dans ce document. Schéma du réseau e0/0 Routeur A s0/0 NAT pool x.x s0/0 NAT pool x.x Routeur B e0/0 ccnp_cch
5
Configurations ccnp_cch Routeur A Current configuration : 1404 bytes !
version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password−encryption hostname SV3−2 boot−start−marker boot−end−marker no aaa new−model ip subnet−zero ip audit notify log ip audit po max−events 100 ip ssh break−string no ftp−server write−enable !−−− Paramètres Internet Key Exchange (IKE). crypto isakmp policy 10 encr 3des hash md5 authentication pre−share crypto isakmp key cisco123 address !−−− Paramètres IPSec. crypto ipsec transform−set myset1 esp−3des esp−md5−hmac crypto map mymap 10 ipsec−isakmp set peer set transform−set myset1 !−−− Cryptage du trafic vers l'autre extrémité. match address 100 ccnp_cch
6
ccnp_cch ! interface Serial0/0 description Interface to Internet
ip address ip nat outside clockrate crypto map mymap interface Ethernet0/0 ip address no ip directed−broadcast ip nat inside half−duplex !−−− Ceci est la configuration NAT. ip nat inside source static network /16 no−alias ip http server no ip http secure−server ip classless ip route Serial0/0 !−−− Sélection du trafic intéressant. access−list 100 permit ip control−plane line con 0 line aux 0 line vty 0 4 end ccnp_cch
7
ccnp_cch Routeur B Current configuration : 1255 bytes ! version 12.3
service timestamps debug datetime msec service timestamps log datetime msec no service password−encryption hostname SV3−15 boot−start−marker boot−end−marker memory−size iomem 15 no aaa new−model ip subnet−zero ip audit notify log ip audit po max−events 100 !−−− Paramètres IKE. crypto isakmp policy 10 encr 3des hash md5 authentication pre−share crypto isakmp key cisco123 address !−−− Paramètres IPSec. crypto ipsec transform−set myset1 esp−3des esp−md5−hmac crypto map mymap 10 ipsec−isakmp set peer set transform−set myset1 !−−− Cryptage du trafic vers l'autre extrémité. match address 100 interface FastEthernet0/0 ip address ip nat inside duplex auto speed auto ccnp_cch
8
Résolution de problèmes
! interface Serial0/0 description Interface to Internet ip address ip nat outside crypto map mymap !−−− Ceci est la configuration NAT. ip nat inside source static network /16 no−alias ip http server no ip http secure−server ip classless ip route Serial0/0 !−−− Sélectionne le trafic intéressant. access−list 100 permit ip line con 0 line aux 0 line vty 0 4 end Vérification Dans cette section sont présentées des informations que vous pouvez utiliser pour vé- rifier que votre configuration fonctionne correctement. ● show crypto ipsec sa - Affiche les associations de sécurité phase 2 (IPSec). ● show crypto isakmp sa - Affiche les associations de sécurité phase 1 (ISAKMP). ● show ip nat translation - Affiche les traductions NAT en cours d'utilisation. Résolution de problèmes Dans cette section sont présentées des informations que vous pouvez utiliser pour ré- soudre des problèmes liés à votre configuration. Commandes pour résolution de problèmes ● debug crypto ipsec sa − Affiche les négociations IPSec (phase 2). ● debug crypto isakmp sa − Affiche les négociations ISAKMP (phase 1). ● debug crypto engine − Affiche les sessions cryptées. ccnp_cch
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.