pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » cisco » ipsec
Trace: ipsec
informatique:cisco:ipsec

This is an old revision of the document!

Table of Contents

IPSec

Mise en place

Mise en place d'un tunnel IPSec entre 2 routeurs R1 et R2.

Définition de la policy ISAKMP

On y défini le type d'authentification, l'algorithme de hash, l'algorithme de chiffrement et le groupe Diffie-Hellman. 

crypto isakmp policy 1
 authentication pre-shared
 hash sha
 encryption aes 128
 group 2

Puis on indique la clé partagée avec l'adresse du bout du tunnel. 

crypto isakmp key LaCleSecrete address 172.16.171.2 netmask 255.255.255.255

Définition de la crypto map

L'access liste permet de spécifier quel trafic envoyer dans le tunnel. 

crypto ipsec transform-set Aes_sha
 esp-aes 128 esp-sha-hmac

access-list 101 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
crypto map VPN_To_R2 10 ipsec-isakmp
 set peer 172.16.171.2
 match address 101
 set transform-set Aes_sha

Appliquer la configuration sur une interface

interface se0/0
 ip address 172.16.171.1 255.255.255.0
 crypto map VPN_To_R2

Tunnel GRE over IPSec

Soient R1 et R2 2 routeurs reliés par leur interface fa0/1 (10.2.4.1 et 10.2.4.2/24) ; on monte un tunnel GRE entre eux (10.1.4.1 et 10.1.4.2/24) et un tunnel IPSec par dessus.

Sur R1 : 

crypto isakmp policy 1
 encryption 3des
 authentication pre-share
 group 2
!
crypto isakmp key secretkey address 10.2.4.2
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
 set peer 10.2.4.2
 set transform-set ESP-3DES-SHA
 match address 101
!
interface Tunnel0
 ip address 10.1.4.1 255.255.255.0
 ip mtu 1420
 tunnel source FastEthernet0/1
 tunnel destination 10.2.4.2
 tunnel path-mtu-discovery
 crypto map SDM_CMAP_1
!
interface FastEthernet0/1
 description Vers R2
 ip address 10.2.4.1 255.255.255.0
 duplex full
 speed 100
 crypto map SDM_CMAP_1
!
ip route 0.0.0.0 0.0.0.0 Tunnel0
ip route 10.2.4.2 255.255.255.255 FastEthernet0/1
!
access-list 101 remark SDM_ACL Category=4
access-list 101 permit gre host 10.2.4.1 host 10.2.4.2

Vérifs

show crypto isakmp key show crypto isakmp sa show crypto session detail

Etat des tunnels

sh crypto session
Crypto session current status

Interface: Vlan80
Session status: UP-ACTIVE
Peer: 192.168.0.78/500
  IKE SA: local 192.168.0.75/500 remote 192.168.0.78/500 Active
  IPSEC FLOW: permit 47 host 192.168.0.75 host 192.168.0.78
        Active SAs: 2, origin: crypto map

Renégocier un tunnel spécifique

  • Trouver le peer (l'IP de l'interface tunnel de l'équipement distant) :
sh ip arp vlan 80
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  192.168.0.78           21   0013.c37c.e940  ARPA   Vlan80
Internet  192.168.0.75            -   0000.0c07.d34d  ARPA   Vlan80
Internet  192.168.0.74            -   0007.ec74.d4f0  ARPA   Vlan80

Les “Age” = “-” sont les @ MAC locales, ici une adresse logique (HSRP) et une physique (celle du routeur). Le peer est donc le 192.168.0.78.

  • Puis on renégocie le tunnel :
clear crypto session remote 192.168.0.78
informatique/cisco/ipsec.1245232163.txt.gz · Last modified: 2013/10/14 20:52 (external edit)