VPN SOLOANDRIANINA Antonio Virtual Private Network Router X config Activation du module de sécurité securityk9 (r2911). (config)# license boot module c2900 technology-package securityk9 # copy run start (config)# reload (config)# show version Appliance des stratégies de chiffrement avec ISAKMP (end-to-end sec). (config)# crypto isakmp policy 10 (config-isakmp)# encryption aes (config-isakmp)# authentication pre-share Algorithme DH pour le partage de clé. (config-isakmp)# group 5 Précision de la clé d’échange (KEYVPN). (config)# crypto isakmp key KeyVPN address 83.0.0.1 Méthode de cryptage (CRYPSET). Aes-esp : cryptage Esp-sha-hmac : methode d’authentification (config)# crypto ipsec transform-set CrypSET esp-aes esp-sha-hmac Configuration des ACLs du NAT existant pour interdire la translation d’addresse vers le réseau X. (config)# ip access-list extended LAN (config-ext-nacl)# no permit ip 192.168.20.0 0.0.0.255 any (config-ext-nacl)# deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 (config-ext-nacl)# permit ip 192.168.20.0 0.0.0.255 any Autorisation du réseau A à communiquer avec le réseau Y. (config)# ip access-list extended VPN (config-ext-nacl)# permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 Antonyomar 1 VPN SOLOANDRIANINA Antonio Faire une cryptomap que l’on positionnera sur l’interface outside (VpnMAP). (config)# crypto map VpnMAP 10 ipsec-isakmp (config-crypto-map)# set peer 83.0.0.1 (config-crypto-map)# set transform-set CrypSET (config-crypto-map)# match address VPN (config)# interface serial 0/0/0 (config-if)# crypto map VPNMAP *Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON Router Y config (config)# crypto isakmp policy 10 (config-isakmp)# encryption aes (config-isakmp)# authentication pre-share (config-isakmp)# group 5 (config)# crypto isakmp key KeyVPN address 80.0.0.1 (config)# crypto ipsec transform-set CrypSET esp-aes esp-sha-hmac Création de l’ACL LAN du NAT. (config)# ip access-list extended LAN (config-ext-nacl)# no permit ip 192.168.10.0 0.0.0.255 any (config-ext-nacl)# deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 (config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 any Création de l’ACL nommé VPN. (config)# ip access-list extended VPN (config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 Création du Cryptomap. (config)# crypto map VpnMap 10 ipsec-isakmp (config-crypto-map)# set peer 80.0.0.1 (config-crypto-map)# set transform-set CryptSET (config-crypto-map)# match address VPN Attribution du cryptomap sur l’interface outside. Antonyomar 2 VPN SOLOANDRIANINA Antonio (config)# interface serial 0/0/0 (config-if)# crypto map VPNMAP Test & verification C:\>ping 192.168.10.1 #show crypto ipsec sa Antonyomar 3