La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Configuration Routeur Cisco comme Serveur VPN distant avec SDM

Présentations similaires


Présentation au sujet: "Configuration Routeur Cisco comme Serveur VPN distant avec SDM"— Transcription de la présentation:

1 Configuration Routeur Cisco comme Serveur VPN distant avec SDM
ccnp_cch

2 Sommaire • Configuration • Vérification • Résolution de problèmes
• Introduction - Prérequis Composants utilisés • Configuration - Schéma du réseau Configurations • Vérification - Exemple de sortie • Résolution de problèmes - Commandes pour résolution de problèmes ccnp_cch

3 Procédure de configuration
Introduction Ce document décrit comment utiliser SDM (Security Device Manager) Cisco pour confi- gurer le routeur Cisco pour qu'il agisse comme serveur Easy VPN. Le SDM Cisco vous permet de configurer votre routeur comme serveur VPN pour le client VPN Cisco en utilisant une interface d'administration basée sur le web et facile à utiliser. Une fois que la configuration du routeur Cisco est terminée, elle peut être vérifiée en utilisant le client VPN Cisco. Prérequis Ce document suppose que le routeur Cisco est totalement opérationnel et configuré pour permettre au SDM Cisco de faire des modifications. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes :  Cisco 3640 Router with Cisco IOS® Software Release 12.3(14T)  Security Device Manager Version 2.31  Cisco VPN Client Version 4.8 Configuration Dans cette section sont présentées les informations nécessaires pour la configurer la fonctionnalité Easy VPN Server qui permet à un utilisateur distant de communiquer en utilisant IPSec avec toute passerelle VPN IOS Cisco. Internet Easy VPN Server /24 .2 .1 Utilisateur Mobile Client VPN Procédure de configuration Exécutez ces étapes pour configurer le routeur Cisco comme un serveur VPN distant en utilisant le SDM Select Configure > VPN > Easy VPN Server à partir de la fenêtre Home et cliquez sur Launch Easy VPN Server Wizard. ccnp_cch

4 2. AAA doit être validé sur le routeur avant que la configuration de débuter la configu-
ration Easy VPN Server. Cliquez sur Yes pour continuer. Le message "AAA has been successfully enabled on the router" est affiché dans la fenêtre Enable AAA. Cliquez sur OK pour commencer la configuration Easy VPN Server. 3. Cliquez sur Next pour commencer avec l'assistant Easy VPN Server. ccnp_cch

5 4. Sélectionnez l'interface sur laquelle les connexions client se terminent et le type
d'authentification. ccnp_cch

6 5. Cliquez sur Next pour configurer les politiques IKE (Internet Key Exchange) et utili-
sez le bouton Add pour créer une nouvelle politique. Les configurations des deux extrémités du tunnel doivent correspondre exactement. Cependant le client VPN Cisco sélectionne automatiquement la bonne configuration pour lui-même. Par conséquent, aucune configuration IKE n'est nécessaire sur le PC client. 6. Cliquez sur Next pour choisir le transform set par défaut ou ajouter un nouveau transform set pour spécifier les algorithmes de cryptage et d'authentification. Dans ce cas le transform set par défaut est utilisé. ccnp_cch

7 7. Cliquez sur Next pour créer une nouvelle liste de méthodes AAA (Authentication,
Authorization, Accounting) réseau pour la recherche de politiques de groupe ou pour choisir une liste de méthodes réseau existantes utilisées pour l'authentifica- tion de groupe. ccnp_cch

8 8. Configurez l'authentification utilisateur sur le serveur Easy VPN
8. Configurez l'authentification utilisateur sur le serveur Easy VPN. Vous pouvez sto- cker les détails de l'authentification utilisateur sur un serveur externe tel un ser- veur RADIUS, la base de données locale ou les deux. Une liste de méthodes d'au- thentification de login est utilisée pour décider de l'ordre dans lequel les détails de l'authentification de l'utilisateur doivent être recherchés. ccnp_cch

9 9. Cette fenêtre vous permet d'ajouter, éditer, cloner ou effacer des politiques de grou-
pe sur la base de données locale. ccnp_cch

10 10. Entrez un nom pour Tunnel Group Name
10. Entrez un nom pour Tunnel Group Name. Fournissez la clé pré-partagée utilisée pour l'authentification. Créez un nouveau pool ou sélectionnez un pool existant utilisé pour allouer les adresses IP au clients VPN. 11. Cette fenêtre montre un résumé des actions que vous avez effectuées. Cliquez sur Finish si vous êtes satisfait de votre configuration. ccnp_cch

11 12. SDM transmet la configuration vers le routeur pour mettre à jour la configuration
courante. Cliquez sur OK pour terminer. 13. Après avoir terminé, vous pouvez éditer et modifier de nouveau la configuration si nécessaire. ccnp_cch

12 Configuration du routeur (Serveur VPN)
Building configuration... Current configuration : 3336 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password−encryption hostname Router boot−start−marker boot−end−marker enable password cisco aaa new−model !−−− Pour configurer l'authentification AAA au login, utilisez la !--- commande aaa authentication login en mode de configuration global aaa authentication login default local ccnp_cch

13 ccnp_cch ! !−−− Le nom de liste "sdm_vpn_xauth_ml_1" est spécifié pour
!−−− l'authentification des clients. aaa authentication login sdm_vpn_xauth_ml_1 local aaa authorization exec default local aaa authorization network sdm_vpn_group_ml_1 local aaa session−id common resource policy ip cef !−−− Certificat RSA généré après l'entrée de la commande !−−− ip http secure−server. crypto pki trustpoint TP−self−signed− enrollment selfsigned subject−name cn=IOS−Self−Signed−Certificate− revocation−check none rsakeypair TP−self−signed− crypto pki certificate chain TP−self−signed− certificate self−signed 01 C A5 A D0609 2A F70D 30312E30 2C F532D 53656C66 2D E65642D D E17 0D 375A170D A E302C F 532D5365 6C662D E65 642D D F300D 06092A F70D D ED61BD43 0AD C7D7DB1 BB3147AA 784F3B46 9E63E63C 5CD BC46596 DB1AEB B18 8A B0447 B4B5C FFFD5511 A4BA79EC 239BCEA2 823F94EE 438B2E0A 5D90E9ED 8158BC8D 04F67C21 AEE1DB6F 046A0EF3 4C8798BE 0A FD5A690 7C E7C58AA3 FB4CCE4F D 90EB4A33 A F D FF FF D 11040A F F D B F02DF 5000A FEF08 8B CD301D D 0E B F02DF50 00A FEF088B CD300D06 092A F70D C12AB266 0E85DAF6 264AC86F E31DF628 BE7792B ED AAB3BABE B1F1C6CA 7E5C0D19 B E5AECC78 C5ECBE56 871EB4D3 39B60AD1 AB0B97FE 515B4CC6 81BEE802 DC02BD1B A0D10EE9 0FD79D72 B44C0143 6E39C06B D 57D02A8F 750DA100 ABEEB1F1 B02A8B1F B746942B 892D1514 B2CC9D58 A28F08E2 quit !−−− Crée un compte utilisateur avec tous les privilèges. username sdmsdm privilege 15 password 0 sdmsdm ccnp_cch

14 ccnp_cch ! !−−− Crée une politique isakmp 1 avec les paramètres comme
!−−− cryptage 3des, clé pré-partagée pour l'authentification !--- et DH group 2. crypto isakmp policy 1 encr 3des authentication pre−share group 2 crypto isakmp client configuration group vpn !−−− Définit le clé pré-partagée sdmsdm. key sdmsdm pool SDM_POOL_1 netmask !−−− Définit les paramètres du transform set. crypto ipsec transform−set ESP−3DES−SHA esp−3des esp−sha−hmac crypto dynamic−map SDM_DYNMAP_1 1 set transform−set ESP−3DES−SHA reverse−route !−−− Spécifie les paramètres de crypto map. crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1 crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1 crypto map SDM_CMAP_1 client configuration address respond crypto map SDM_CMAP_ ipsec−isakmp dynamic SDM_DYNMAP_1 interface Ethernet0/0 no ip address shutdown half−duplex interface FastEthernet1/0 ip address duplex auto speed auto interface Serial2/0 ip address no fair−queue !−−− Applique la crypto map SDM_CMAP1 à l'interface. crypto map SDM_CMAP_1 interface Serial2/1 ccnp_cch

15 Vérification ccnp_cch
interface Serial2/2 no ip address shutdown ! interface Serial2/3 !−−− Crée un pool local nommé SDM_POOL_1 pour délivrer des !−−− adresse IP aux clients. ip local pool SDM_POOL_ !−−− Commandes pour valider http et https requis pour le SDM. ip http server ip http secure−server control−plane line con 0 line aux 0 line vty 0 4 password cisco end Vérification Tentez de connecter le routeur Cisco en utilisant le client VPN Cisco pour vérifier que le routeur Cisco est configuré avec succès Sélectionnez Connection Entries> New. ccnp_cch

16 ccnp_cch 2. Entrez les informations de votre connexion.
Le champ Host doit contenir l'adresse IP ou le nom de host de l'extrémité du tun- nel du serveur Easy VPN (routeur Cisco). L'information Group authentication doit correspondre à celle utilisée à l'étape 8. Cliquez sur Save quand vous avez terminé. 3. sélectionnez la connexion nouvellement crée puis cliquez sur Connect. ccnp_cch

17 4. Entrez un nom d'utilisateur et un mot de passe pour l'authentification étendue
(Xauth). Cette information est déterminé paramètres Xauth de l'étape 7. 5. Une fois que la connexion est établie avec succès, sélectionnez Statistics à partir du menu Status pour afficher les détails du tunnel. Cette montre les informations de trafic et de cryptage. ccnp_cch

18 ccnp_cch Cette fenêtre montre que le "split tunneling" est configuré.
6. Sélectionnez Log> Log Settings pour valider les niveaux de log dans le client VPN Cisco. ccnp_cch

19 7. Sélectionnez Log> Log Windows pour voir les entrées de log dans le client VPN
Cisco. ccnp_cch


Télécharger ppt "Configuration Routeur Cisco comme Serveur VPN distant avec SDM"

Présentations similaires


Annonces Google