informatique:cisco:ipsec
This is an old revision of the document!
Table of Contents
IPSec
Mise en place
Mise en place d'un tunnel IPSec entre 2 routeurs R1 et R2.
Définition de la policy ISAKMP
On y défini le type d'authentification, l'algorithme de hash, l'algorithme de chiffrement et le groupe Diffie-Hellman.
crypto isakmp policy 1 authentication pre-shared hash sha encryption aes 128 group 2
Puis on indique la clé partagée avec l'adresse du bout du tunnel.
crypto isakmp key LaCleSecrete address 172.16.171.2 netmask 255.255.255.255
Définition de la crypto map
L'access liste permet de spécifier quel trafic envoyer dans le tunnel.
crypto ipsec transform-set Aes_sha esp-aes 128 esp-sha-hmac access-list 101 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255 crypto map VPN_To_R2 10 ipsec-isakmp set peer 172.16.171.2 match address 101 set transform-set Aes_sha
Appliquer la configuration sur une interface
interface se0/0 ip address 172.16.171.1 255.255.255.0 crypto map VPN_To_R2
Vérifs
Etat des tunnels
sh crypto session Crypto session current status Interface: Vlan80 Session status: UP-ACTIVE Peer: 192.168.0.78/500 IKE SA: local 192.168.0.75/500 remote 192.168.0.78/500 Active IPSEC FLOW: permit 47 host 192.168.0.75 host 192.168.0.78 Active SAs: 2, origin: crypto map
Renégocier un tunnel spécifique
- Trouver le peer (l'IP de l'interface tunnel de l'équipement distant) :
sh ip arp vlan 80 Protocol Address Age (min) Hardware Addr Type Interface Internet 192.168.0.78 21 0013.c37c.e940 ARPA Vlan80 Internet 192.168.0.75 - 0000.0c07.d34d ARPA Vlan80 Internet 192.168.0.74 - 0007.ec74.d4f0 ARPA Vlan80
Les “Age” = “-” sont les @ MAC locales, ici une adresse logique (HSRP) et une physique (celle du routeur). Le peer est donc le 192.168.0.78.
- Puis on renégocie le tunnel :
clear crypto session remote 192.168.0.78
informatique/cisco/ipsec.1245160062.txt.gz · Last modified: 2013/10/14 20:52 (external edit)