La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

entre trois routeurs utilisant des

Publié parFranck Blanchette Modifié depuis plus de 5 années

Présentations similaires

Présentation au sujet: "entre trois routeurs utilisant des"— Transcription de la présentation:

1 entre trois routeurs utilisant des
Configuration IPSec entre trois routeurs utilisant des adresses privées ccnp_cch

2 Sommaire • Introduction Versions logicielles et matérielles • Configuration Schéma du réseau Configurations • Vérification ccnp_cch

3 Introduction Cet exemple illustre une configuration totalement maillée avec trois routeurs utilisant des adresses privées. Les fonctionnalités comprises dans cette configuration sont : ● ESP (Encapsulation Security Payload) - DES (Data Encryption Standard) ● Clés pré-partagées ● Réseaux privés derrière chaque routeur ( , , ) ● Configuration de isakmp et crypto map ● Définition du trafic à placer dans le tunnel en utilisant les listes d'accès et les route-map. Versions logicielles et matérielles Cette configuration a été développée et testée en utilisant les versions logicielles et matérielles suivantes : ● Cisco IOS Release (5)T et suivantes ● Routeurs Cisco configurés avec IPSec Configuration Schéma du réseau Serial 0 Ethernet0 R1 R2 FastEthernet0 /24 Ethernet0 WAN Serial0 R3 FastEthernet0 /24 ccnp_cch

4 Configurations ccnp_cch Routeur R1 Current configuration: !
version 12.0 service timestamps debug uptime service timestamps log uptime no service password−encryption hostname R1 logging buffered 4096 debugging enable password clock timezone est 8 ip subnet−zero !−−− Configuration de la politique IKE (Internet Key Exchange) et !−−− des clés pré-partagées pour chaque extrémité. !−−− La politique IKE est définie pour chaque extrémité. crypto isakmp policy 4 authentication pre−share !−−− Clés pré-partagées avec les autres extrémités. crypto isakmp key xxxxxx1234 address crypto isakmp key xxxxxx1234 address !−−− Politiques IPSec: crypto ipsec transform−set encrypt−des esp−des crypto map combined local−address Serial0 !−−− Configurer l'autre extrémité, le transform−set et le trafic à !--- à crypter pour les tunnels avec les autres extrémités. crypto map combined 20 ipsec−isakmp set peer set transform−set encrypt−des match address 106 crypto map combined 30 ipsec−isakmp set peer match address 105 ccnp_cch

5 ccnp_cch ! interface Serial0
ip address no ip directed−broadcast ip nat outside no ip route−cache no ip mroute−cache no fair−queue no cdp enable !−−− Application de la crypto map à l'interface. crypto map combined interface FastEthernet0 ip address ip nat inside !−−− Definition du trafic pour NAT (Network Address Translation). ip nat inside source route−map nonat interface Serial0 overload ip classless ip route no ip http server !−−− ACL (Access Control List) pour le trafic à crypter dans le tunnel. access−list 105 permit ip access−list 106 permit ip !−−− ACL pour empêcher le passage du trafic NAT dans le tunnel. access−list 150 deny ip access−list 150 deny ip !−−− ACL pour le NAT du trafic passant hors du tunnel. access−list 150 permit ip any no cdp run !−−− Ne pas faire de NAT pour le trafic IPSec. route−map nonat permit 10 match ip address 150 line con 0 transport input none line aux 0 password 7 aaaaaaa login local modem InOut transport input all speed 38400 flowcontrol hardware line vty 0 4 exec−timeout 30 0 password aaaaaa login end ccnp_cch

6 ccnp_cch Routeur R2 Current configuration: ! version 12.0
service timestamps debug uptime service timestamps log uptime service password−encryption hostname R2 enable secret 5 aaaaa enable password 7 aaaaaaa clock timezone EST 8 ip subnet−zero !−−− Configuration de la politique IKE (Internet Key Exchange) et !−−− des clés pré-partagées pour chaque extrémité. !−−− La politique IKE est définie pour chaque extrémité. crypto isakmp policy 4 authentication pre−share !−−− Clés pré-partagées avec les autres extrémités. crypto isakmp key xxxxxx1234 address crypto isakmp key xxxxxx1234 address !−−− Politiques IPSec: crypto ipsec transform−set encrypt−des esp−des crypto ipsec transform−set 1600_box esp−des !−−− Configurer l'autre extrémité, le transform−set et le trafic à !--- à crypter pour les tunnels avec les autres extrémités. crypto map combined local−address Ethernet1 crypto map combined 7 ipsec−isakmp set peer set transform−set 1600_box match address 105 crypto map combined 8 ipsec−isakmp set peer match address 106 ccnp_cch

7 ccnp_cch interface Ethernet0 ip address 192.168.3.1 255.255.255.0
no ip directed−broadcast ip nat inside ! interface Ethernet1 ip address no ip route−cache ip nat outside !−−− Application de la crypto map à l'interface. crypto map combined !−−− Définition du trafic pour NAT (Network Address Translation). ip nat inside source route−map nonat interface Ethernet1 overload ip classless ip route no ip http server !-−− ACL (Access Control List) pour le trafic à crypter dans le tunnel. access−list 105 permit ip access−list 106 permit ip !−−− ACL pour empêcher le passage du trafic NAT dans le tunnel. access−list 150 deny ip access−list 150 deny ip !−−− ACL pour le NAT du trafic passant hors du tunnel. access−list 150 permit ip any any no cdp run !−−− Ne pas faire de NAT pour le trafic IPSec. route−map nonat permit 10 match ip address 150 line con 0 password 7 aaaaa transport input none line vty 0 4 exec−timeout 0 0 password 7 aaaaaa login end ccnp_cch

8 ccnp_cch Routeur R3 Current configuration: ! version 12.0
service timestamps debug uptime service timestamps log uptime no service password−encryption hostname R3 logging buffered 4096 debugging enable secret 5 aaaaa enable password aaaaa clock timezone est 8 ip subnet−zero !−−− Configuration de la politique IKE (Internet Key Exchange) et !−−− des clés pré-partagées pour chaque extrémité. !−−− La politique IKE est définie pour chaque extrémité. crypto isakmp policy 4 authentication pre−share !−−− Clés pré-partagées avec les autres extrémités. crypto isakmp key xxxxxx1234 address crypto isakmp key xxxxxx1234 address !−−− Politiques IPSec: crypto ipsec transform−set encrypt−des esp−des crypto ipsec transform−set 1600_box esp−des !−−− Configurer l'autre extrémité, le transform−set et le trafic à !--- à crypter pour les tunnels avec les autres extrémités. crypto map combined local−address Serial0 crypto map combined 7 ipsec−isakmp set peer set transform−set encrypt−des match address 106 crypto map combined 8 ipsec−isakmp set peer set transform−set 1600_box match address 105 ccnp_cch

9 ccnp_cch interface Serial0 ip address 100.228.202.154 255.255.255.252
no ip directed−broadcast no ip route−cache ip nat outside !−−− Application de la crypto map à l'interface. crypto map combined ! interface FastEthernet0 ip address ip nat inside no cdp enable !−−− Définition du trafic pour NAT (Network Address Translation). ip nat inside source route−map nonat interface Serial0 overload ip classless ip route no ip http server !-−− ACL (Access Control List) pour le trafic à crypter dans le tunnel. access−list 105 permit ip access−list 106 permit ip !−−− ACL pour empêcher le passage du trafic NAT dans le tunnel. access−list 150 deny ip access−list 150 deny ip !−−− ACL pour le NAT du trafic passant hors du tunnel. access−list 150 permit ip any no cdp run !−−− Ne pas faire de NAT pour le trafic IPSec. route−map nonat permit 10 match ip address 150 line con 0 transport input none line vty 0 4 password aaaa login local modem InOut transport input all speed flowcontrol hardware end ccnp_cch

10 Vérification ● show crypto engine connections active − Montre les paquets cryptés et décryp-
tés entre les extrémités IPSec. ● show crypto isakmp sa − Affiche toutes les associations de sécurité IKE (SAs) à une extrémité. ● show crypto ipsec sa − Affiche les paramètres utilisés les associations de sécurité [IPSec]. Note: Les commandes debug suivantes doivent être exécutées sur les deux routeurs IPSec d'extrémités. La remise à zéro des associations de sécurité doit être faîte sur les deux routeurs d'extrémité. ● debug crypto isakmp − Affiche les erreurs durant la Phase 1. ● debug crypto ipsec − Affiche les erreurs durant la Phase 2. ● debug crypto engine − Affiche les information de la machine de cryptage. ● clear crypto connection connection−id [slot | rsm | vip] − Arrête une session de cryptage en cours. Les sessions de cryptage se terminent normalement quand une session expire. Utilisez la commande show crypto cisco connections pour appren- dre la valeur de connection−id. ● clear crypto isakmp − Efface les associations de sécurité de la Phase 1. ● clear crypto sa − Efface les associations de sécurité de la Phase 2. ccnp_cch

Télécharger ppt "entre trois routeurs utilisant des"

Présentations similaires

Effacer la Configuration LWAPP sur un LAP

Effacer la Configuration LWAPP sur un LAP
– NAT et PAT - 1.

– NAT et PAT - 1.
Implémenter les VPNs ( Virtual Private Networks)

Implémenter les VPNs ( Virtual Private Networks)
Sécurité - Configuration de Secure Shell sur les Commutateurs et les Routeurs avec l'IOS Cisco ccnp_cch.

Sécurité - Configuration de Secure Shell sur les Commutateurs et les Routeurs avec l'IOS Cisco ccnp_cch.
Sécurité - Configuration du PIX avec un seul réseau interne

Sécurité - Configuration du PIX avec un seul réseau interne
Sécurité - ASA/PIX 7.x - Adresse IP statique pour Client VPN IPSec avec configuration CLI et ASDM ccnp_cch.

Sécurité - ASA/PIX 7.x - Adresse IP statique pour Client VPN IPSec avec configuration CLI et ASDM ccnp_cch.
Remote Desktop Protocol l'Appliance de Sécurité

Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - Configuration d'un

Sécurité - Configuration d'un
Application Inverse MUX

Application Inverse MUX
QoS - Propagation de la Politique de QoS via BGP

QoS - Propagation de la Politique de QoS via BGP
Configurer NAT et PAT statique pour support d'un serveur Web interne

Configurer NAT et PAT statique pour support d'un serveur Web interne
(Certificate Revocation List)

(Certificate Revocation List)
Commande ip nat service

Commande ip nat service
Sécurité - Configuration du PIX

Sécurité - Configuration du PIX
Sécurité - Configuration NTP sur le PIX avec ou sans Tunnel IPSec

Sécurité - Configuration NTP sur le PIX avec ou sans Tunnel IPSec
Sécurité - ASA7.x/PIX 6.x et plus

Sécurité - ASA7.x/PIX 6.x et plus
Sécurité - Configuration d'un

Sécurité - Configuration d'un
Tunnel pour paquets IP Multicast

Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77

Configuration Routeur SOHO77
Configuration d'un accès

Configuration d'un accès

Présentations similaires

Annonces Google