This is an old revision of the document!
Table of Contents
IPSec
Mise en place
Mise en place d'un tunnel IPSec entre 2 routeurs R1 et R2.
Définition de la policy ISAKMP
On y défini le type d'authentification, l'algorithme de hash, l'algorithme de chiffrement et le groupe Diffie-Hellman.
crypto isakmp policy 1 authentication pre-shared hash sha encryption aes 128 group 2
Puis on indique la clé partagée avec l'adresse du bout du tunnel.
crypto isakmp key LaCleSecrete address 172.16.171.2 netmask 255.255.255.255
Définition de la crypto map
L'access liste permet de spécifier quel trafic envoyer dans le tunnel.
crypto ipsec transform-set Aes_sha esp-aes 128 esp-sha-hmac access-list 101 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255 crypto map VPN_To_R2 10 ipsec-isakmp set peer 172.16.171.2 match address 101 set transform-set Aes_sha
Appliquer la configuration sur une interface
interface se0/0 ip address 172.16.171.1 255.255.255.0 crypto map VPN_To_R2
Tunnel GRE over IPSec
Soient R1 et R2 2 routeurs reliés par leur interface fa0/1 (10.2.4.1 et 10.2.4.2/24) ; on monte un tunnel GRE entre eux (10.1.4.1 et 10.1.4.2/24) et un tunnel IPSec par dessus.
Sur R1 :
crypto isakmp policy 1 encryption 3des authentication pre-share group 2 ! crypto isakmp key secretkey address 10.2.4.2 crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! crypto map SDM_CMAP_1 1 ipsec-isakmp set peer 10.2.4.2 set transform-set ESP-3DES-SHA match address 101 ! interface Tunnel0 ip address 10.1.4.1 255.255.255.0 ip mtu 1420 tunnel source FastEthernet0/1 tunnel destination 10.2.4.2 tunnel path-mtu-discovery crypto map SDM_CMAP_1 ! interface FastEthernet0/1 description Vers R2 ip address 10.2.4.1 255.255.255.0 duplex full speed 100 crypto map SDM_CMAP_1 ! ip route 0.0.0.0 0.0.0.0 Tunnel0 ip route 10.2.4.2 255.255.255.255 FastEthernet0/1 ! access-list 101 remark SDM_ACL Category=4 access-list 101 permit gre host 10.2.4.1 host 10.2.4.2
Vérifs
show crypto isakmp key show crypto isakmp sa show crypto session detail
Etat des tunnels
sh crypto session Crypto session current status Interface: Vlan80 Session status: UP-ACTIVE Peer: 192.168.0.78/500 IKE SA: local 192.168.0.75/500 remote 192.168.0.78/500 Active IPSEC FLOW: permit 47 host 192.168.0.75 host 192.168.0.78 Active SAs: 2, origin: crypto map
Renégocier un tunnel spécifique
- Trouver le peer (l'IP de l'interface tunnel de l'équipement distant) :
sh ip arp vlan 80 Protocol Address Age (min) Hardware Addr Type Interface Internet 192.168.0.78 21 0013.c37c.e940 ARPA Vlan80 Internet 192.168.0.75 - 0000.0c07.d34d ARPA Vlan80 Internet 192.168.0.74 - 0007.ec74.d4f0 ARPA Vlan80
Les “Age” = “-” sont les @ MAC locales, ici une adresse logique (HSRP) et une physique (celle du routeur). Le peer est donc le 192.168.0.78.
- Puis on renégocie le tunnel :
clear crypto session remote 192.168.0.78