pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » cisco » ipsec
Trace:
informatique:cisco:ipsec

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
Next revisionBoth sides next revision
informatique:cisco:ipsec [2011/07/07 09:08] – sh crypto ipsec sa pteuinformatique:cisco:ipsec [2013/04/10 10:02] – [Définition de la crypto map] pteu
Line 112: Line 112:
 ====Définition de la crypto map==== ====Définition de la crypto map====
  
-Définition du ''tranform-set'' qui spécifie la politique de sécurité d'IPsec (algorithme de chiffrement + d'authentification) : +Définition du ''transform-set'' qui spécifie la politique de sécurité d'IPsec (algorithme de chiffrement + d'authentification + mode IPSec (transport ou tunnel, tunnel par défaut)) : 
-  crypto ipsec transform-set Aes_sha +<code bash> 
-   esp-aes 128 esp-sha-hmac+crypto ipsec transform-set Aes_sha 
 + esp-aes 128 esp-sha-hmac 
 + mode transport 
 +</code>
      
-Crypto map = associer un transform-set à un peer et à une ACL (cf plus bas) : +Définition de la crypto map = associer un transform-set à un peer et à une ACL (cf plus bas) : 
-  crypto map VPN_To_R2 10 ipsec-isakmp +<code bash> 
-   set peer 172.16.171.2 +crypto map VPN_To_R2 10 ipsec-isakmp 
-   match address 101 + set peer 172.16.171.2 
-   set transform-set Aes_sha+ match address 101 
 + set transform-set Aes_sha 
 + set pfs group2 
 +</code>
  
 Définition de l'access-list qui spécifie quel trafic sera envoyé dans le tunnel. Définition de l'access-list qui spécifie quel trafic sera envoyé dans le tunnel.
-  access-list 101 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255+<code bash> 
 +access-list 101 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255 
 +</code>
  
 ====Appliquer la crypto map sur une interface==== ====Appliquer la crypto map sur une interface====
Line 257: Line 265:
      remote-ip 10.1.1.2      remote-ip 10.1.1.2
  
 +
 +====Accélération matérielle====
 +
 +Sur certains châssis on peut utiliser des modules d'accélération hardware ; c'est le cas des cartes AIM sur les châssis 3825 ou des carte SPA pour les châssis 650X. Dans ce dernier exemple si on utilise des tunnels GRE + IPsec il peut être intéressant dans certains cas de forcer la prise en charge des tunnels GRE chiffrés par la carte supervisor :
 +<code bash>
 +! prise en charge de la crypto par la carte SPA
 +crypto engine gre vpnblade
 +!
 +! prise en charge par la carte supervisor
 +crypto engine gre supervisor
 +</code>
  
 =====Vérifs===== =====Vérifs=====
Line 266: Line 285:
   show crypto engine connection active   show crypto engine connection active
  
-====Etat des tunnels====+====État des tunnels====
  
-<code> +<code bash
-sh crypto session+show crypto session
 Crypto session current status Crypto session current status
  
Line 295: Line 314:
 Plus de détails : on précise l'adresse ip du peer pour n'afficher que son tunnel ; on récupère avec cette commande le mode IPSec (tunnel ou transport), les compteurs in/out, les SAs, etc. Plus de détails : on précise l'adresse ip du peer pour n'afficher que son tunnel ; on récupère avec cette commande le mode IPSec (tunnel ou transport), les compteurs in/out, les SAs, etc.
 <code bash> <code bash>
-Router1#sh crypto ipsec sa peer 10.1.1.1+Router1#show crypto ipsec sa peer 10.1.1.1
  
 interface: Vlan2784 interface: Vlan2784
Line 344: Line 363:
  
      outbound pcp sas:      outbound pcp sas:
 +</code>
 +
 +Autres commandes, en vrac :
 +<code bash>
 +show crypto engine accel stat slot x/y detail et/ou
 +show crypto ipsec sa
 +!
 +show crypto ace polo detail
 +show int tunnel351 stats
 +show crypto vlan
 +show crypto engine accelerator statistic all
 +show ip int tu351
 +!
 +clear crypto engine accelerator counter all
 +clear crypto session local 10.4.101.97
 </code> </code>
  
Line 369: Line 403:
   * [[http://www.cisco.com/en/US/docs/ios/12_3t/secur/command/reference/sec_s2gt.html|Security Commands: show crypto isakmp key through subject-name]]   * [[http://www.cisco.com/en/US/docs/ios/12_3t/secur/command/reference/sec_s2gt.html|Security Commands: show crypto isakmp key through subject-name]]
  
 +En vrac, des liens destinés à comprendre et debugger l'IPSec :
 +  * [[http://www.cisco.com/en/US/docs/ios/12_2t/12_2t13/feature/guide/ftprefrg.html|Pre-fragmentation For Ipsec VPNs]]
 +  * [[http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gtIPSctm.html|IPSec Virtual Tunnel Interface]]
 +  * [[http://www.cisco.com/en/US/docs/ios-xml/ios/sec_conn_dmvpn/configuration/xe-3s/Sharing_IPSec_with_Tunnel_Protection.html|Sharing IPSec with Tunnel Protection]]
 +  * [[http://www.cisco.com/en/US/docs/interfaces_modules/shared_port_adapters/configuration/6500series/76ovwvpn.html|Overview of the IPsec VPN SPA]]
 +  * [[http://www.cisco.com/en/US/tech/tk827/tk369/technologies_white_paper09186a00800d6979.shtml|Resolve IP Fragmentation, MTU, MSS, and PMTUD Issues with GRE and IPSEC]] (white paper)
 +  * [[http://www.cisco.com/en/US/docs/interfaces_modules/shared_port_adapters/configuration/6500series/76cfvpnb.html|Configuring IPsec VPN Fragmentation and MTU]]
 +  * [[http://www.cisco.com/en/US/docs/ios/12_2/security/command/reference/srfipsec.html|IPSec Network Security Commands]]
informatique/cisco/ipsec.txt · Last modified: 2013/10/14 20:44 by 127.0.0.1