Objectifs de certification

ENCOR 350-401

  • 2.2 Configure and verify data path virtualization technologies

    • 2.2.a VRF
    • 2.2.b GRE and IPsec tunneling
  • 5.5 Describe the components of network security design

    • 5.5.a Threat defense
    • 5.5.b Endpoint security
    • 5.5.c Next-generation firewall
    • 5.5.d TrustSec, MACsec
    • 5.5.e Network access control with 802.1X, MAB, and WebAuth

Lab pare-feu et VPN IPSEC

Ce Lab est un complément VPN IPSEC site-à-site au Lab Cisco IOS Zone Based Firewall.

1. Enoncé

On ajoute un routeur à la topologie firewall nommé “remote” adressé sur son interface externe G0/1 en 192.168.122.250/24 et sur son interface LAN G0/0 en 192.168.14.1/24.

Le routeur “remote” et le routeur R1 connectent leur LAN via un tunnel VPN IPSEC site-à-site, entre 192.168.14.0/24 de “remote” et 192.168.59.0/24 de R1.

Il est nécessaire de configurer le tunnel IPSEC sur “remote”, de configurer le tunnel sur R1 et d’adater le pare-feu de ce dernier.

Topologie de lab

2. Mise en place de Remote

hostname remote
!
interface G0/0
 ip address 192.168.14.1 255.255.255.0
 ip nat inside
 no shutdown
!
interface GigabitEthernet0/1
 ! ip address 192.168.122.250 255.255.255.0
 ip address dhcp
 ip nat outside
 no shutdown
!
ip dhcp pool lan
 network 192.168.14.0 255.255.255.0
 default-router 192.168.14.1
 dns-server 1.1.1.1
ip route 0.0.0.0 0.0.0.0 192.168.122.1
ip access-list extended LAN_REMOTE
 permit ip 192.168.14.0 0.0.0.255 any
!
ip nat inside source list LAN_REMOTE interface G0/1 overload
end

3. Paramètres ISAKMP et IPSEC

  • ISAKMP Policy
    • Chiffrement AES 256
    • Authentification : pre-share
    • Groupe DH5
    • Durée : 7200s
    • Clé : cisco123
  • Transform Set :
    • esp-aes 256
    • esp-sha-hmac

4. Configuration VPN de Remote

ObjetNom
Transform Setto-R1-set
Crypto Mapcm-to-R1
Crypto ACLcrypto-acl
NAT ACLLAN_REMOTE
Peer VPN192.168.122.162

4.1. Solution

hostname remote
crypto isakmp policy 1
 encr aes 256
 authentication pre-share
 group 5
 lifetime 7200
!
crypto isakmp key cisco123 address 192.168.122.162
!
crypto ipsec transform-set to-R1-set esp-aes 256 esp-sha-hmac
!
crypto map cm-to-R1 1 ipsec-isakmp
 set peer 192.168.122.162
 set transform-set to-R1-set
 match address crypto-acl
!
interface G0/1
 crypto map cm-to-R1
!
ip access-list extended crypto-acl
 permit ip 192.168.14.0 0.0.0.255 192.168.59.0 0.0.0.255
!
ip access-list extended LAN_REMOTE
 5 deny ip 192.168.14.0 0.0.0.255 192.168.59.0 0.0.0.255
 10 permit ip 192.168.14.0 0.0.0.255 any
!
ip nat inside source list LAN_REMOTE interface G0/1 overload
end

4.2. Questionnaire

  • Quel est le trafic qui doit passer dans le tunnel (source et destination) ?
    • Réponse : 192.168.14.0 0.0.0.255 192.168.59.0 0.0.0.255
  • Quel est le trafic qui doit être traduit (source) ?
    • Réponse : 192.168.14.0 0.0.0.255 any
  • Quel est le trafic qui ne doit pas être traduit (source et destination) ?
    • Réponse : 192.168.14.0 0.0.0.255 192.168.59.0 0.0.0.255

5. Configuration VPN de R1

ObjetNom
Transform Setto-remote-set
Crypto Mapcm-to-remote
Crypto ACLcrypto-acl
NAT ACLLAN_NAT
Peer VPN192.168.122.250

5.1. Solution

hostname R1
crypto isakmp policy 1
 encr aes 256
 authentication pre-share
 group 5
 lifetime 7200
!
crypto isakmp key cisco123 address 192.168.122.250
!
crypto ipsec transform-set to-remote-set esp-aes 256 esp-sha-hmac
!
crypto map cm-to-remote 1 ipsec-isakmp
 set peer 192.168.122.250
 set transform-set to-remote-set
 match address crypto-acl
!
interface G0/1
 crypto map cm-to-remote
!
ip access-list extended crypto-acl
 permit ip 192.168.59.0 0.0.0.255 192.168.14.0 0.0.0.255
!
no ip access-list standard LAN_NAT
ip access-list extended LAN_NAT
 5 deny ip 192.168.59.0 0.0.0.255 192.168.14.0 0.0.0.255
 10 permit ip 192.168.59.0 0.0.0.255 any
 20 permit ip 192.168.101.0 0.0.0.255 any
!
end

5.2. Questionnaire

  • Quel est le trafic qui doit passer dans le tunnel (source et destination) ?
    • Réponse : 192.168.59.0 0.0.0.255 192.168.14.0 0.0.0.255
  • Quel est le trafic qui doit être traduit (source) ?
    • Réponse : 192.168.59.0 0.0.0.255 any et 192.168.101.0 0.0.0.255 any
  • Quel est le trafic qui ne doit pas être traduit (source et destination) ?
    • Réponse : 192.168.59.0 0.0.0.255 192.168.14.0 0.0.0.255

6. Adaptation du pare-feu R1

ObjetNom
ACLISAKMP_IPSEC
Class Mapvpn-class

6.1. Solution

ip access-list extended ISAKMP_IPSEC
 permit udp any any eq isakmp
 permit ahp any any
 permit esp any any
 permit udp any any eq non500-isakmp
class-map type inspect match-any vpn-class
 match access-group name ISAKMP_IPSEC
policy-map type inspect to-self-policy
 class type inspect vpn-class
  inspect
end

6.2. Questionnaire

  • Quel sont les protocoles à autoriser ?
    • Réponse : UDP500, AHP (IP 51) et ESP (IP50)
  • Sur quelle Policy Map appliquer les règles qui autorisent le trafic ISAKMP / IPSEC ?
    • Réponse : to-self-policy

7. Vérifications

7.1. Vérifier la connectivité de bout-en-bout

  • Comment vérifier la connectivité de bout-en-bout ?
remote#ping 192.168.59.1 source 192.168.14.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.59.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.14.1
.!!!!

7.2. Vérifier le trafic VPN vu par le pare-feu

  • Comment vérifier le trafic VPN vu par le pare-feu ?
R1#show policy-map type inspect zone-pair | b vpn-class
    Class-map: vpn-class (match-any)
      Match: access-group name ISAKMP_IPSEC
        1 packets, 176 bytes
        30 second rate 0 bps
R1#sh access-lists ISAKMP_IPSEC
Extended IP access list ISAKMP_IPSEC
    10 permit udp any any eq isakmp (1 match)
    20 permit ahp any any
    30 permit esp any any
    40 permit udp any any eq non500-isakmp