Mise en place d'un tunnel IPSec entre 2 routeurs R1 et R2.

On y défini le type d'authentification, l'algorithme de hash, l'algorithme de chiffrement et le groupe Diffie-Hellman.

crypto isakmp policy 1
 authentication pre-shared
 hash sha
 encryption aes 128
 group 2

Puis on indique la clé partagée avec l'adresse du bout du tunnel.

crypto isakmp key LaCleSecrete address 172.16.171.2 netmask 255.255.255.255

L'access liste permet de spécifier quel trafic envoyer dans le tunnel.

crypto ipsec transform-set Aes_sha
 esp-aes 128 esp-sha-hmac

access-list 101 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
crypto map VPN_To_R2 10 ipsec-isakmp
 set peer 172.16.171.2
 match address 101
 set transform-set Aes_sha

interface se0/0
 ip address 172.16.171.1 255.255.255.0
 crypto map VPN_To_R2

sh crypto session
Crypto session current status

Interface: Vlan80
Session status: UP-ACTIVE
Peer: 192.168.0.78/500
  IKE SA: local 192.168.0.75/500 remote 192.168.0.78/500 Active
  IPSEC FLOW: permit 47 host 192.168.0.75 host 192.168.0.78
        Active SAs: 2, origin: crypto map

• Trouver le peer (l'IP de l'interface tunnel de l'équipement distant) :

sh ip arp vlan 80
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  192.168.0.78           21   0013.c37c.e940  ARPA   Vlan80
Internet  192.168.0.75            -   0000.0c07.d34d  ARPA   Vlan80
Internet  192.168.0.74            -   0007.ec74.d4f0  ARPA   Vlan80

Les “Age” = “-” sont les @ MAC locales, ici une adresse logique (HSRP) et une physique (celle du routeur). Le peer est donc le 192.168.0.78.

• Puis on renégocie le tunnel :

clear crypto session remote 192.168.0.78