IPsec Configuration
Internet Protocol Security (IPsec)
- S'assurer que les ACL configure sur les interfaces ne bloque pas le tunnel IP
- ESP is assigned IP protocol number 50
- AH is assigned IP protocol number 51
- ISAKMP uses UDP port 500
- Creation d'une politique ISAKMP (IKE)
- Configuration du protocol VPN IPsec
- AH: Authentication Header (Authentification + Integrite)
- ESP: Encapsulating Security Payload (Authentification + Integrite + Chiffrement)
- Creation des ACLs pour definir les reseaux qui peuvent communiquer
- Configuration de la crytop map
- Application de la crypto map sur une interface
Etape 1. Autorisation du trafic IPsec
R1(config)# ip access-list extended INBOUND
R1(config-ext-nacl)# permit ahp host 172.30.2.2 host 172.30.1.2
R1(config-ext-nacl)# permit esp host 172.30.2.2 host 172.30.1.2
R1(config-ext-nacl)# permit udp host 172.30.2.2 host 172.30.1.2 eq isakmp
R1(config-ext-nacl)# deny any any
R1(config-ext-nacl)# exit
R1(config-if)# interface Serial0/0/0
R1(config-if)# no shutdown
R1(config-if)# ip access-group INBOUND in
Etape 2. Creation d'une politique ISAKMP (IKE phase 1) Le numero de la policy (ici 100) est local. donc elles peuvent etre different entre R1 et R2.
R1(config)# crypto isakmp policy 100
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# encryption 3des
R1(config-isakmp)# group 2
R1(config-isakmp)# hash sha
R1(config-isakmp)# lifetime 86400
Etape 3. Création de la Pre-Shared Key
R1(config)# crypto isakmp key <KEY> address <PEER>
R1(config)# crypto isakmp key cisco123 address 172.30.2.2
Etape 4. Création d'in politique IPsec (IKE phase 2) définition des algorithmes de chiffrement et de hachage VPN IPsec (Transform Sets)
R1(config)# crypto ipsec transform-set USE-ESP esp-aes esp-sha-hmac
Etape 5. Définir les réseaux qui sont autorisés à communiquer entre eux.
R1(config)# access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255
Etape 5. Configuration d'un Crypto Map pour la politique IPsec
R1(config)# crypto map MYMAP 10 ipsec-isakmp
R1(config-crypto-map)# match address 110
R1(config-crypto-map)# set peer 172.30.2.2 default
R1(config-crypto-map)# set peer 172.30.2.3 !-- Backup
R1(config-crypto-map)# set pfs group1
R1(config-crypto-map)# set transform-set USE-ESP
R1(config-crypto-map)# set security-association lifetime seconds 86400
Etape 6. Application de la crypto map sur l'interface.
R1(config)# interface s0/0/0
R1(config-if)# crypto map MYMAP
Verification de la configuration
| Show Command | Description |
|---|---|
| show crypto map | Displays configured crypto maps |
| show crypto isakmp policy | Displays configured IKE policies |
| show crypto ipsec sa | Displays established IPsec tunnels |
| show crypto transform-set | Display configured IPsec tranform sets |
| debug crypto isakmp | Debug IKE events |
| debug crypto ipsec | Debug IPsec events |
| show crypto session | Voir les status des sessions IPsec |