IPsec est un ensemble de protocoles qui offre confidentialité intégrité authentification .
il y a deux protocole sur IPsec : AH et ESP .
il y a deux protocole sur IPsec : AH et ESP .
Règle :
1)Activer les fonctions crypto du routeur :
Router(config)#crypto isakmp enable
Router(config)#crypto isakmp enable
2)Configurer la police qui détermine type cryptage (encryption), type Hachage (hash), type d'authentification(authentication), Diffie-Hellman(group) :
Router(config)#crypto isakmp policy <1-10000>
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#encryption [3des|aes|des]
Router(config-isakmp)#hash [md5|sha]
Router(config-isakmp)#group [5|2|1]
Router(config-isakmp)#lifetime <60-86400>
Router(config-isakmp)#exit
3)Créatio d'un clé publique (pre-share):
Router(config)#crypto isakmp key mot_de_passe address @IP-autre-routeur
4)Configurer les options de transformations des données :
Router(config)#crypto ipsec transform-set nom-transform [ah-md5-hmac|ah-sha-hmac|esp-3des|esp-aes|esp-des|esp-md5-hmac|esp-sha-hmac]
fixer une valeur de Lifetime :
Router(config)#crypto ipsec security-association lifetime seconds <120-86400>
5)Création ACL qui va déterminer le trafic autorisé :
Router(config)#access-list <100-199> permit ip @IP-LAN-Source Masque-générique @IP-LAN-Destinataire Masque-générique
Router(config)#access-list <100-199> permit ip @IP-LAN-Source Masque-générique @IP-LAN-Destinataire Masque-générique
6)Configurer la crypto map qui va associé ACL, le traffic, et autre routeur :
Router(config)#crypto map nom-map <1-65535> ipsec-isakmp
Router(config-crypto-map)#set peer @IP-Autre-Routeur
Router(config-crypto-map)#set transform-set nom-transform
Router(config-crypto-map)#set security-association lifetime seconds <120-86400>
Router(config-crypto-map)#match address numéro-ACL
Router(config-crypto-map)#exit
7)Appliquer la crypto map sur l'interface de sortie :
Router(config)#interface type numéro
Router(config-if)#crypto map nom-map
Router(config-if)#exit
-Vérification :
Router#show crypto map
Router#show crypto ipsec sa
Exemple :
Router(config)#crypto map nom-map <1-65535> ipsec-isakmp
Router(config-crypto-map)#set peer @IP-Autre-Routeur
Router(config-crypto-map)#set transform-set nom-transform
Router(config-crypto-map)#set security-association lifetime seconds <120-86400>
Router(config-crypto-map)#match address numéro-ACL
Router(config-crypto-map)#exit
7)Appliquer la crypto map sur l'interface de sortie :
Router(config)#interface type numéro
Router(config-if)#crypto map nom-map
Router(config-if)#exit
-Vérification :
Router#show crypto map
Router#show crypto ipsec sa
Exemple :
R-FAI:
R-FAI(config)#interface se0/1/0
R-FAI(config-if)#no shutdown
R-FAI(config-if)#ip add 10.1.1.1 255.255.255.0
R-FAI(config-if)#exit
R-FAI(config)#interface se0/0/0
R-FAI(config-if)#no shutdown
R-FAI(config-if)#ip add 20.1.1.1 255.255.255.0
R-FAI(config-if)#
R-FAI(config-if)#exit
R-FAI(config)#router rip
R-FAI(config-router)#network 10.1.1.0
R-FAI(config-router)#network 20.1.1.0
R-FAI(config-router)#exit
R-1:
R-1(config)#interface f0/0
R-1(config-if)#no shutdown
R-1(config-if)#ip add 192.168.1.1 255.255.255.0
R-1(config-if)#exit
R-1(config)#interface se0/1/0
R-1(config-if)#no shutdown
R-1(config-if)#clock rate 64000
R-1(config-if)#ip add 10.1.1.2 255.255.255.0
R-1(config-if)#
R-1(config-if)#exit
R-1(config)#router rip
R-1(config-router)#network 192.168.1.0
R-1(config-router)#network 10.1.1.0
R-1(config-router)#exit
R-1(config)#crypto isakmp enable
R-1(config)#crypto isakmp policy 20
R-1(config-isakmp)#authentication pre-share
R-1(config-isakmp)#encryption 3des
R-1(config-isakmp)#hash md5
R-1(config-isakmp)#group 5
R-1(config-isakmp)#lifetime 3600
R-1(config-isakmp)#exit
R-1(config)#crypto isakmp key TRI-prof address 20.1.1.2
R-1(config)#crypto ipsec transform-set TRASFORM-TRI-prof esp-3des esp-md5-hmac
R-1(config)#crypto ipsec security-association lifetime seconds 1800
R-1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
R-1(config)#crypto map MAP-TRI-prof 20 ipsec-isakmp
R-1(config-crypto-map)#set peer 20.1.1.2
R-1(config-crypto-map)#set transform-set TRASFORM-TRI-prof
R-1(config-crypto-map)#set security-association lifetime seconds 900
R-1(config-crypto-map)#match address 101
R-1(config-crypto-map)#exit
R-1(config)#int se0/1/0
R-1(config-if)#crypto MAP-TRI-prof
R-1(config-if)#exit
R-FAI(config)#interface se0/1/0
R-FAI(config-if)#no shutdown
R-FAI(config-if)#ip add 10.1.1.1 255.255.255.0
R-FAI(config-if)#exit
R-FAI(config)#interface se0/0/0
R-FAI(config-if)#no shutdown
R-FAI(config-if)#ip add 20.1.1.1 255.255.255.0
R-FAI(config-if)#
R-FAI(config-if)#exit
R-FAI(config)#router rip
R-FAI(config-router)#network 10.1.1.0
R-FAI(config-router)#network 20.1.1.0
R-FAI(config-router)#exit
R-1:
R-1(config)#interface f0/0
R-1(config-if)#no shutdown
R-1(config-if)#ip add 192.168.1.1 255.255.255.0
R-1(config-if)#exit
R-1(config)#interface se0/1/0
R-1(config-if)#no shutdown
R-1(config-if)#clock rate 64000
R-1(config-if)#ip add 10.1.1.2 255.255.255.0
R-1(config-if)#
R-1(config-if)#exit
R-1(config)#router rip
R-1(config-router)#network 192.168.1.0
R-1(config-router)#network 10.1.1.0
R-1(config-router)#exit
R-1(config)#crypto isakmp enable
R-1(config)#crypto isakmp policy 20
R-1(config-isakmp)#authentication pre-share
R-1(config-isakmp)#encryption 3des
R-1(config-isakmp)#hash md5
R-1(config-isakmp)#group 5
R-1(config-isakmp)#lifetime 3600
R-1(config-isakmp)#exit
R-1(config)#crypto isakmp key TRI-prof address 20.1.1.2
R-1(config)#crypto ipsec transform-set TRASFORM-TRI-prof esp-3des esp-md5-hmac
R-1(config)#crypto ipsec security-association lifetime seconds 1800
R-1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
R-1(config)#crypto map MAP-TRI-prof 20 ipsec-isakmp
R-1(config-crypto-map)#set peer 20.1.1.2
R-1(config-crypto-map)#set transform-set TRASFORM-TRI-prof
R-1(config-crypto-map)#set security-association lifetime seconds 900
R-1(config-crypto-map)#match address 101
R-1(config-crypto-map)#exit
R-1(config)#int se0/1/0
R-1(config-if)#crypto MAP-TRI-prof
R-1(config-if)#exit
R-2:
R-2(config)#interface f0/0
R-2(config-if)#no shutdown
R-2(config-if)#ip add 192.168.2.1 255.255.255.0
R-2(config-if)#exit
R-2(config)#interface se0/1/0
R-2(config-if)#no shutdown
R-2(config-if)#ip add 20.1.1.2 255.255.255.0
R-2(config-if)#
R-2(config-if)#exit
R-2(config)#router rip
R-2(config-router)#network 192.168.2.0
R-2(config-router)#network 20.1.1.0
R-2(config-router)#exit
R-2(config)#crypto isakmp enable
R-2(config)#crypto isakmp policy 20
R-2(config-isakmp)#authentication pre-share
R-2(config-isakmp)#encryption 3des
R-2(config-isakmp)#hash md5
R-2(config-isakmp)#group 5
R-2(config-isakmp)#lifetime 3600
R-2(config-isakmp)#exit
R-2(config)#crypto isakmp key TRI-prof address 10.1.1.2
R-2(config)#crypto ipsec transform-set TRASFORM-TRI-prof esp-3des esp-md5-hmac
R-2(config)#crypto ipsec security-association lifetime seconds 1800
R-2(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
R-2(config)#crypto map MAP-TRI-prof 20 ipsec-isakmp
R-2(config-crypto-map)#set peer 10.1.1.2
R-2(config-crypto-map)#set transform-set TRASFORM-TRI-prof
R-2(config-crypto-map)#set security-association lifetime seconds 900
R-2(config-crypto-map)#match address 101
R-2(config-crypto-map)#exit
R-2(config)#int se0/1/0
R-2(config-if)#crypto MAP-TRI-prof
R-2(config-if)#exit