informatique:cisco:ipsec
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revisionLast revisionBoth sides next revision | ||
informatique:cisco:ipsec [2011/03/02 20:15] – édition externe 127.0.0.1 | informatique:cisco:ipsec [2013/04/18 14:43] – pteu | ||
---|---|---|---|
Line 59: | Line 59: | ||
* **RRI** (Reverse Route Injection) : une route statique est créé sur le serveur Cisco Easy VPN pour l'IP interne de chaque client VPN. Cela permet de les injecter ensuite dans l'IGP. | * **RRI** (Reverse Route Injection) : une route statique est créé sur le serveur Cisco Easy VPN pour l'IP interne de chaque client VPN. Cela permet de les injecter ensuite dans l'IGP. | ||
- | Méthodes d' | + | **Méthodes d' |
* couple nom d' | * couple nom d' | ||
* OTP (One Time Password) | * OTP (One Time Password) | ||
Line 66: | Line 66: | ||
* certificats numériques | * certificats numériques | ||
- | Algorithmes de chiffrements symétriques : on utilise la même clé pour chiffrer et déchiffrer | + | **Algorithmes de chiffrements symétriques** : on utilise la même clé pour chiffrer et déchiffrer |
* DES (Data Encryption Standard) ; vulnérable car basé sur des clés de 56 bits | * DES (Data Encryption Standard) ; vulnérable car basé sur des clés de 56 bits | ||
* 3DES (3 chiffrements DES à la suite) | * 3DES (3 chiffrements DES à la suite) | ||
* AES (Advanced Encryption Standard) ; clés de 128, 192 ou 256 bits | * AES (Advanced Encryption Standard) ; clés de 128, 192 ou 256 bits | ||
- | Algorithmes de chiffrement asymétriques : paire de clés publique et privée | + | **Algorithmes de chiffrement asymétriques** : paire de clés publique et privée |
* RSA (Rivest Shamir Adleman) ; on peut utiliser différentes longueurs de clés ; il est recommandé aujourd' | * RSA (Rivest Shamir Adleman) ; on peut utiliser différentes longueurs de clés ; il est recommandé aujourd' | ||
- | Méthodes de hashage : | + | **Méthodes de hashage** : |
* HMAC (Hash-based Message Encryption Code) | * HMAC (Hash-based Message Encryption Code) | ||
* MD5 (Message Digest 5) | * MD5 (Message Digest 5) | ||
Line 82: | Line 82: | ||
====PKI==== | ====PKI==== | ||
- | PKI (Public Key Infrastructure) est un sytème | + | **PKI** (Public Key Infrastructure) est un système |
====NAT Traversal==== | ====NAT Traversal==== | ||
Line 97: | Line 97: | ||
====Définition de la policy ISAKMP==== | ====Définition de la policy ISAKMP==== | ||
- | On y définit le type d' | + | (Phase 1) |
- | crypto isakmp policy | + | Les politiques ISAKMP sont définies globalement et donc utilisables par tous les tunnels configurés sur le routeur. Leur utilisation se fait séquentiellement, |
- | | + | |
- | hash sha | + | |
- | | + | |
- | group 2 | + | |
- | Le " | + | On y définit le type d' |
- | Puis on indique la clé partagée | + | <code bash> |
- | crypto isakmp key LaCleSecrete address 172.16.171.2 | + | crypto isakmp policy 1 |
+ | | ||
+ | hash sha | ||
+ | | ||
+ | group 2 | ||
+ | </ | ||
+ | |||
+ | Puis on indique la clé partagée | ||
+ | <code bash> | ||
+ | crypto isakmp key LaCleSecrete address 172.16.171.2 | ||
+ | </ | ||
====Définition de la crypto map==== | ====Définition de la crypto map==== | ||
- | Définition du '' | + | Définition du '' |
- | crypto ipsec transform-set | + | <code bash> |
- | | + | crypto ipsec transform-set |
+ | | ||
+ | ! | ||
+ | ! paramètre facultatifs | ||
+ | mode transport | ||
+ | </ | ||
| | ||
- | Crypto | + | Définition de la crypto |
- | crypto map VPN_To_R2 10 ipsec-isakmp | + | <code bash> |
- | | + | crypto map VPN_To_R2 10 ipsec-isakmp |
- | | + | set peer 172.16.171.2 |
- | | + | match address 101 |
+ | set transform-set | ||
+ | set pfs group2 | ||
+ | </ | ||
- | Définition de l' | + | Définition de l' |
- | access-list 101 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255 | + | <code bash> |
+ | access-list 101 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255 | ||
+ | </ | ||
====Appliquer la crypto map sur une interface==== | ====Appliquer la crypto map sur une interface==== | ||
- | | + | <code bash> |
- | | + | interface se0/0 |
- | | + | ip address 172.16.171.1 255.255.255.0 |
+ | | ||
+ | </ | ||
Line 257: | Line 275: | ||
| | ||
+ | |||
+ | ====Accélération matérielle==== | ||
+ | |||
+ | Sur certains châssis on peut utiliser des modules d' | ||
+ | <code bash> | ||
+ | ! prise en charge de la crypto par la carte SPA | ||
+ | crypto engine gre vpnblade | ||
+ | ! | ||
+ | ! prise en charge par la carte supervisor | ||
+ | crypto engine gre supervisor | ||
+ | </ | ||
=====Vérifs===== | =====Vérifs===== | ||
Line 266: | Line 295: | ||
show crypto engine connection active | show crypto engine connection active | ||
- | ====Etat des tunnels==== | + | ====État des tunnels==== |
- | < | + | < |
- | sh crypto session | + | show crypto session |
Crypto session current status | Crypto session current status | ||
Line 291: | Line 320: | ||
|DOWN |None |None (flow exists)| | |DOWN |None |None (flow exists)| | ||
|DOWN |None |None (no flow)| | |DOWN |None |None (no flow)| | ||
+ | |||
+ | |||
+ | Plus de détails : on précise l' | ||
+ | <code bash> | ||
+ | Router1# | ||
+ | |||
+ | interface: Vlan2784 | ||
+ | Crypto map tag: cm100, local addr 10.0.0.1 | ||
+ | |||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | #pkts encaps: 2949679701, #pkts encrypt: 2949679701, #pkts digest: 2949679701 | ||
+ | #pkts decaps: 1599171374, #pkts decrypt: 1599171374, #pkts verify: 1599171374 | ||
+ | #pkts compressed: 0, #pkts decompressed: | ||
+ | #pkts not compressed: 0, #pkts compr. failed: 0 | ||
+ | #pkts not decompressed: | ||
+ | #send errors 0, #recv errors 0 | ||
+ | |||
+ | local crypto endpt.: 10.0.0.1, remote crypto endpt.: 10.1.1.1 | ||
+ | path mtu 1500, ip mtu 1500 | ||
+ | | ||
+ | PFS (Y/N): Y, DH group: group5 | ||
+ | |||
+ | | ||
+ | spi: 0x3988518B(965235083) | ||
+ | transform: esp-3des esp-sha-hmac , | ||
+ | in use settings ={Tunnel, } | ||
+ | conn id: 8079, flow_id: :6079, sibling flags 80000240, | ||
+ | sa timing: remaining key lifetime (k/sec): (911080/ | ||
+ | IV size: 8 bytes | ||
+ | replay detection support: N | ||
+ | Status: ACTIVE | ||
+ | |||
+ | | ||
+ | |||
+ | | ||
+ | |||
+ | | ||
+ | spi: 0xDA4B403D(3662364733) | ||
+ | transform: esp-3des esp-sha-hmac , | ||
+ | in use settings ={Tunnel, } | ||
+ | conn id: 8080, flow_id: :6080, sibling flags 80000240, | ||
+ | sa timing: remaining key lifetime (k/sec): (3101942/ | ||
+ | IV size: 8 bytes | ||
+ | replay detection support: N | ||
+ | Status: ACTIVE | ||
+ | |||
+ | | ||
+ | |||
+ | | ||
+ | </ | ||
+ | |||
+ | Autres commandes, en vrac : | ||
+ | <code bash> | ||
+ | show crypto engine accel stat slot x/y detail et/ou | ||
+ | show crypto ipsec sa | ||
+ | ! | ||
+ | show crypto ace polo detail | ||
+ | show int tunnel351 stats | ||
+ | show crypto vlan | ||
+ | show crypto engine accelerator statistic all | ||
+ | show ip int tu351 | ||
+ | ! | ||
+ | clear crypto engine accelerator counter all | ||
+ | clear crypto session local 10.4.101.97 | ||
+ | </ | ||
====Renégocier un tunnel spécifique==== | ====Renégocier un tunnel spécifique==== | ||
Line 315: | Line 413: | ||
* [[http:// | * [[http:// | ||
+ | En vrac, des liens destinés à comprendre et debugger l' | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// |
informatique/cisco/ipsec.txt · Last modified: 2013/10/14 20:44 by 127.0.0.1