Partie 1 : Activation des fonctions de
sécurité
Etape 1 : Activation du module securityK9
La licence du pack technologique de sécurité
doit être activée pour pouvoir effectuer ces
configurations.
Remarques : le mot de passe du mode
d'exécution utilisateur et celui du mode d'exécution
privilégié sont tous les deux Cisco.
17 Guy PUJOLLE, les Réseaux,
4èmeEd, éd.Eyrolles, Paris, juillet 2002.page 777
*********Norme définie par l'ISO pour permettre
l'interconnexion des systèmes hétérogènes.
L'architecture du modèle de référence d'interconnexion des
systèmes ouverts (ou modèle de référence OSI) est
hiérarchisée en sept couches.
34
o Nous allons exécuter la commande show
version en mode d'exécution utilisateur ou en mode
d'exécution privilégié pour vérifier que la licence
du pack technologique de sécurité est activée.
Technology Technology-package Technology-package
Current Type Next reboot
ipbase ipbasek9 Permanent ipbasek9
security None None None
uc None None None
data None None None
Configuration register is 0x2102
o Si ce n'est pas le cas, nous devons activer le module
securityk9 pour le prochain démarrage
du routeur, et accepter la licence, sans oublier d'enregistrer
la configuration et redémarrez.
R1 (config) # license boot module c2900
technology-package securityk9
R1 (config) # end
R1# copy running-config startup-config
R1# reload
o Après le redémarrage, nous allons
exécuter à nouveau la commande show version afin
de vérifier l'activation de la licence du pack technologique de
sécurité.
Technology Package License Information for Module:'c2900'
Technology Technology-package Technology-package
Current Type Next reboot
ipbase ipbasek9 Permanent ipbasek9
security securityk9 Evaluation securityk9
uc None None None
data None None None
35
o Nous allons répéter les étapes 1a à
1c avec R3. Partie 2 : Configuration des
paramètres IPsec sur R1
Étape 1 : Test de connectivité
Nous allons envoyer une requête Ping à partir de
PC-A vers PC-C.
Étape 2 : Identification de trafic
intéressant sur R1.
Maintenant nous allons configurons la liste de contrôle
d'accès 110 afin d'identifier le trafic issu du LAN sur R1
vers le LAN sur R3 comme étant le trafic
intéressant. Ce trafic intéressant déclenchera le
réseau privé virtuel IPsec à implémenter, pour
autant qu'il y ait du trafic entre les LAN de R1 et de
R3. Tout autre trafic provenant des LAN ne sera pas
chiffré. Rappelons-nous qu'en raison de l'instruction deny
any implicite, il n'est pas nécessaire d'ajouter
l'instruction à la liste.
R1 (config) # access-list 110 permit ip 192.168.1.0
0.0.0.255 192.168.3.0 0.0.0.255
Étape 3 : Configuration des
propriétés ISAKMP de phase 1 sur R1.
Nous configurons les propriétés 10
de la stratégie de chiffrement ISAKMP sur R1
avec la clé de chiffrement partagée
Cisco en nous referens au tableau ISAKMP de phase 1 pour
connaître les paramètres spécifiques à configurer.
Les valeurs par défaut ne doivent pas être configurées et
par conséquent seules les méthodes de chiffrement,
d'échange de clés et DH doivent être configurées.
R1(config)# crypto isakmp policy 10
R1(config-isakmp)# encryption aes
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# group 2
R1(config-isakmp)# exit
R1(config)# crypto isakmp key cisco address
10.2.2.1
36
Étape 4 : Configuration des
propriétés ISAKMP de phase 2 sur R1.
Nous créons d'abord le transform-set
VPN-SET de manière à utiliser esp-3des
et esp-sha-hmac, ensuite la carte de chiffrement
VPN-MAP qui lie ensemble tous les paramètres de
phase2.
R1(config)# crypto ipsec transform-set VPN-SET esp-3des
esp-sha-hmac R1(config)# crypto map VPN-MAP 10 ipsec-isakmp
R1(config-crypto-map)# description VPN connection to R3
R1(config-crypto-map)# set peer 10.2.2.1
R1(config-crypto-map)# set transform-set VPN-SET
R1(config-crypto-map)# match address 110
R1(config-crypto-map)# exit
Étape 5 : Configuration de la carte de chiffrement
sur l'interface de sortie. Enfin, nous lions la carte de chiffrement
VPN-MAP à l'interface Serial 0/0 de sortie.
R1(config)# interface S0/0
R1(config-if)# crypto map VPN-MAP
| 
