Ce document utilise la configuration réseau suivante :
Remarque: Les schémas d’adressage d’IP utilisés dans cette configuration ne sont pas légalement routables sur Internet. Ce sont des adresses RFC 1918 qui ont été utilisées dans un environnement de laboratoire.
Exécutez ces étapes afin de créer le tunnel VPN :
- Ouvrez votre navigateur et entrez https://<Adresse IP de l’interface d’ASA qui a été configurée pour l’accès à ASDM> pour accéder à l’ASDM sur l’ASA.Prenez soin d’autoriser tous les avertissements que votre navigateur vous donne en ce qui concerne l’authenticité de certificat SSL. Le nom d’utilisateur par défaut et le mot de passe sont tous deux vides.
L’ASA présente cette fenêtre pour permettre le téléchargement de l’application ASDM. Cet exemple charge l’application sur l’ordinateur local et ne fonctionne pas dans une applet Java.
- Cliquez sur Download ASDM Launcher and Start ASDM pour télécharger le programme d’installation de l’application ASDM.
- Une fois que les téléchargements de lanceur ASDM, exécutent les étapes dirigées par les demandes afin d’installer le logiciel et exécuter le lanceur de Cisco ASDM.
- Écrivez l’adresse IP pour l’interface que vous avez configurée avec le HTTP – commande. En outre, écrivez un nom d’utilisateur et mot de passe si vous spécifiiez un.Cet exemple utilise cisco123 pour le nom d’utilisateur et le mot de passe.
- Exécutez l’Assistant IPsec VPN une fois que l’application ASDM se connecte à l’ASA.
- Choisissez le site à site pour le type de tunnel VPN d’IPsec, et cliquez sur Next.
- Spécifiez l’adresse IP externe du partenaire distant. Entrez les informations d’authentification à utiliser, qui sont la clé pré-partagée dans cet exemple. La clé pré-partagée utilisée dans cet exemple est cisco123. La valeur Tunnel Group Name sera votre adresse IP externe par défaut si vous configurez un VPN L2L. Cliquez sur Next (Suivant).
- Spécifiez les attributs à utiliser pour l’IKE, également connus sous le nom de « Phase 1 ». Ces attributs doivent être identiques sur l’ASA et sur le routeur IOS. Cliquez sur Next (Suivant).
- Spécifiez les attributs à utiliser pour IPsec, également connus sous le nom de « Phase 2 ». Ces attributs doivent correspondre sur l’ASA et sur le routeur IOS. Cliquez sur Next (Suivant).
- Spécifiez les hôtes dont le trafic devrait être autorisé à passer par le tunnel VPN. Dans cette étape, vous devez fournir les réseaux locaux et les réseaux distants pour le tunnel VPN. Cliquez sur le bouton à côté des réseaux locaux comme affiché ici pour choisir l’adresse de réseau local du menu déroulant.
- Choisissez l’adresse de réseau local, et cliquez sur OK.
- Cliquez sur le bouton à côté des réseaux distants afin de choisir l’adresse de réseau distant du menu déroulant.
- Choisissez l’adresse de réseau distant, et cliquez sur OK.Remarque: Si vous n’avez pas le réseau distant dans la liste, alors le réseau doit être ajouté à la liste. Cliquez sur Add afin de faire ainsi.
- Activez la case à cocher Exempt ASA side host/network from address translation afin d’empêcher le trafic du tunnel de subir latraduction d’adresses de réseau. Cliquez sur Next (Suivant).
- Les attributs définis par l’assistant VPN sont affichés dans ce récapitulatif. Vérifiez une deuxième fois la configuration et cliquez sur Finish quand vous êtes satisfait que les configurations sont correctes.
Configuration de Cisco CP de routeur
Exécutez ces étapes afin de configurer le tunnel VPN de site à site sur le routeur Cisco IOS :
- Choisissez configurent > Sécurité > VPN > site à site VPN, et cliquent sur la case d’option à côté de créent un site à site VPN.Lancement de clic la tâche sélectionnée.
- Choisissez l’assistant pas à pas afin de procéder à la configuration, et cliquez sur Next.
- Dans la prochaine fenêtre, fournissez les informations de connexion VPN dans les espaces respectifs. Choisissez l’interface du tunnel VPN du menu déroulant. Ici, FastEthernet0 est choisi. Dans la section Peer Identity, choisissez Peer with static IP addresset fournissez l’adresse IP de l’homologue distant. Puis, fournissez les clés pré-partagées (cisco123 dans cet exemple) dans la section d’authentification. Pour finir, cliquez sur Next.
- Cliquez sur Add afin d’ajouter les propositions d’IKE qui spécifient l’algorithme de chiffrement, l’algorithme d’authentification, et la méthode d’échange de clés.
- Fournissez l’algorithme de chiffrement, l’algorithme d’authentification, et la méthode d’échange de clés, et puis cliquez sur OK. L’algorithme de chiffrement, l’algorithme d’authentification, et les valeurs de méthode d’échange de clés devraient s’assortir avec les données fournies dans l’ASA.
- Cliquez sur Next (Suivant).
- Dans cette nouvelle fenêtre, les détails de jeu de transformations sont fournis. Le jeu de transformations (Transform Set) spécifie les algorithmes de chiffrement et d’intégrité utilisés pour protéger les données dans le tunnel VPN. Cliquez sur Add afin de fournir ces détails. Vous pouvez ajouter un certain nombre de jeux de transformations comme nécessaire à l’aide de cette méthode.
- Fournissez les détails de jeu de transformations (intégrité et algorithmes de chiffrement), et cliquez sur OK.
- Choisissez le jeu de transformations requis à utiliser du menu déroulant, et cliquez sur Next.
- Dans la fenêtre suivante, fournissez les détails au sujet du trafic à protéger par le tunnel VPN. Fournissez les réseaux sources et de destination du trafic à protéger de sorte que le trafic entre les réseaux sources et de destination spécifiés soit protégé. Dans cet exemple, le réseau source est 10.20.10.0 et le réseau de destination est 10.10.10.0. Cliquez sur Next (Suivant).
- Cette fenêtre affiche le résumé de la configuration du VPN de site à site. Vérifiez la connectivité VPN de test après avoir configuré la case à cocher si vous voulez tester la connectivité VPN. Ici, la case est cochée car la connectivité doit être vérifiée. Cliquez surFinish (Terminer).
- Début de clic afin de vérifier la connectivité VPN.
- Dans la prochaine fenêtre, le résultat du test de connectivité VPN est fourni. Ici, vous pouvez voir si le tunnel est activé ou désactivé (Up ou Down). En cet exemple de configuration, le tunnel est « vers le haut de », suivant les indications de vert.
Cela termine la configuration sur le routeur Cisco IOS.
Configuration de l’interface de ligne de commande ASA
ASA |
---|
ASA# show run : Saved ASA Version 8.2 ! hostname ASA enable password 8Ry2YjIyt7RRXU24 encrypted names ! !--- Configure the outside interface. ! interface Ethernet0/1 nameif outside security-level 0 ip address 172.16.1.1 255.255.255.0 !--- Configure the inside interface. ! interface Ethernet0/2 nameif inside security-level 100 ip address 10.10.10.1 255.255.255.0 !-- Output suppressed ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid access-list 100 extended permit ip any any access-list inside_nat0_outbound extended permit ip 10.10.10.0 255.255.255.0 10.20.10.0 255.255.255.0 !--- This access list (inside_nat0_outbound) is used !--- with the nat zero command. This prevents traffic which !--- matches the access list from undergoing network address translation (NAT). !--- The traffic specified by this ACL is traffic that is to be encrypted and !--- sent across the VPN tunnel. This ACL is intentionally !--- the same as (outside_1_cryptomap). !--- Two separate access lists should always be used in this configuration. access-list outside_1_cryptomap extended permit ip 10.10.10.0 255.255.255.0 10.20.10.0 255.255.255.0 !--- This access list (outside_cryptomap) is used !--- with the crypto map outside_map !--- to determine which traffic should be encrypted and sent !--- across the tunnel. !--- This ACL is intentionally the same as (inside_nat0_outbound). !--- Two separate access lists should always be used in this configuration. pager lines 24 mtu inside 1500 mtu outside 1500 no failover asdm image disk0:/asdm-613.bin asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 10.10.10.0 255.255.255.0 nat (inside) 0 access-list inside_nat0_outbound !--- NAT 0 prevents NAT for networks specified in !--- the ACL inside_nat0_outbound. access-group 100 in interface outside route outside 0.0.0.0 0.0.0.0 172.16.1.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute http server enable http 0.0.0.0 0.0.0.0 dmz no snmp-server location no snmp-server contact !--- PHASE 2 CONFIGURATION ---! !--- The encryption types for Phase 2 are defined here. crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac !--- Define the transform set for Phase 2. crypto map outside_map 1 match address outside_1_cryptomap !--- Define which traffic should be sent to the IPsec peer. crypto map outside_map 1 set peer 172.17.1.1 !--- Sets the IPsec peer crypto map outside_map 1 set transform-set ESP-DES-SHA !--- Sets the IPsec transform set "ESP-AES-256-SHA" !--- to be used with the crypto map entry "outside_map". crypto map outside_map interface outside !--- Specifies the interface to be used with !--- the settings defined in this configuration. !--- PHASE 1 CONFIGURATION ---! !--- This configuration uses isakmp policy 10. !--- The configuration commands here define the Phase !--- 1 policy parameters that are used. crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption des hash sha group 1 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list ! tunnel-group 172.17.1.1 type ipsec-l2l !--- In order to create and manage the database of connection-specific !--- records for ipsec-l2l—IPsec (LAN-to-LAN) tunnels, use the command !--- tunnel-group in global configuration mode. !--- For L2L connections the name of the tunnel group MUST be the IP !--- address of the IPsec peer. tunnel-group 172.17.1.1 ipsec-attributes pre-shared-key * !--- Enter the pre-shared-key in order to configure the !--- authentication method. telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list ! class-map inspection_default match default-inspection-traffic ! ! !-- Output suppressed! username cisco123 password ffIRPGpDSOJh9YLq encrypted privilege 15 Cryptochecksum:be38dfaef777a339b9e1c89202572a7d : end |
Configuration de la CLI du routeur
Routeur |
---|
Building configuration... Current configuration : 2403 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname R3 ! boot-start-marker boot-end-marker ! no logging buffered ! username cisco123 privilege 15 password 7 1511021F07257A767B no aaa new-model ip subnet-zero ! ! ip cef ! ! ip ips po max-events 100 no ftp-server write-enable ! !--- Configuration for IKE policies. !--- Enables the IKE policy configuration (config-isakmp) !--- command mode, where you can specify the parameters that !--- are used during an IKE negotiation. Encryption and Policy details are hidden !---as the default values are chosen. crypto isakmp policy 2 authentication pre-share !--- Specifies the pre-shared key "cisco123" which should !--- be identical at both peers. This is a global !--- configuration mode command. crypto isakmp key cisco123 address 172.16.1.1 ! ! !--- Configuration for IPsec policies. !--- Enables the crypto transform configuration mode, !--- where you can specify the transform sets that are used !--- during an IPsec negotiation. crypto ipsec transform-set ASA-IPSEC esp-des esp-sha-hmac ! !--- Indicates that IKE is used to establish !--- the IPsec Security Association for protecting the !--- traffic specified by this crypto map entry. crypto map SDM_CMAP_1 1 ipsec-isakmp description Tunnel to172.16.1.1 !--- Sets the IP address of the remote end. set peer 172.16.1.1 !--- Configures IPsec to use the transform-set !--- "ASA-IPSEC" defined earlier in this configuration. set transform-set ASA-IPSEC !--- !--- Specifies the interesting traffic to be encrypted. match address 100 ! ! ! !--- Configures the interface to use the !--- crypto map "SDM_CMAP_1" for IPsec. interface FastEthernet0 ip address 172.17.1.1 255.255.255.0 duplex auto speed auto crypto map SDM_CMAP_1 ! interface FastEthernet1 ip address 10.20.10.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet2 no ip address ! interface Vlan1 ip address 10.77.241.109 255.255.255.192 ! ip classless ip route 10.10.10.0 255.255.255.0 172.17.1.2 ip route 10.77.233.0 255.255.255.0 10.77.241.65 ip route 172.16.1.0 255.255.255.0 172.17.1.2 ! ! ip nat inside source route-map nonat interface FastEthernet0 overload ! ip http server ip http authentication local ip http secure-server ! !--- Configure the access-lists and map them to the Crypto map configured. access-list 100 remark SDM_ACL Category=4 access-list 100 remark IPSec Rule access-list 100 permit ip 10.20.10.0 0.0.0.255 10.10.10.0 0.0.0.255 ! ! ! !--- This ACL 110 identifies the traffic flows using route map access-list 110 deny ip 10.20.10.0 0.0.0.255 10.10.10.0 0.0.0.255 access-list 110 permit ip 10.20.10.0 0.0.0.255 any route-map nonat permit 10 match ip address 110 ! control-plane ! ! line con 0 login local line aux 0 line vty 0 4 privilege level 15 login local transport input telnet ssh ! end |