Site to site IPsec VPN with IKEv2 on Cisco Routers
Dans cet atelier, nous allons mettre en place un VPN IPsec site to site avec le protocole de gestion de clés IKEv2 (Internet Key Exchange version 2) en environnement Cisco.
Architecture
/image%2F3625927%2F20240323%2Fob_b0dc49_capture-d-ecran-2024-03-19-124843.png)
Les configs IP
Le routeur Internet
!
interface FastEthernet0/0
ip address 10.10.1.1 255.255.255.252
duplex auto
speed auto
end
!
interface FastEthernet0/1
ip address 10.10.2.1 255.255.255.252
duplex auto
speed auto
end
!
Le routeur de Dakar
!
interface Ethernet0/0
ip address 10.10.2.2 255.255.255.252
end
!
interface Ethernet0/1
ip address 172.16.0.254 255.255.255.0
end
!
ip route 0.0.0.0 0.0.0.0 10.10.2.1
!
Le routeur de St-Louis
!
interface Ethernet0/0
ip address 10.10.1.2 255.255.255.252
end
!
!
interface Ethernet0/1
ip address 192.168.1.254 255.255.255.0
end
!
ip route 0.0.0.0 0.0.0.0 10.10.1.1
Configs du Tunnel
Sur Dakar
- Config de la proposition IKE et définition de l'ACL pour le trafic
crypto ikev2 proposal dakar-st_louis
encryption aes-gcm-256
prf sha512
group 5
!
!
access-list 100 permit ip 172.16.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 deny ip any any
!
- Config de la politique IKE
crypto ikev2 policy Dkr-TO-St-Louis
proposal dakar-st_louis
!
!
- Config du Keyring
crypto ikev2 keyring KEYRING
peer St-louis
address 10.10.1.2
pre-shared-key P@sser123##!
!
!
- Définition du profil
crypto ikev2 profile DKR-TO-ST_LOUIS
match address local 10.10.2.2
match identity remote address 10.10.1.2 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local KEYRING
!
- Config de l'ensemble de transformations et du chiffrement et du hashage de la Payload
crypto ipsec transform-set IPSEC_IKEv2 esp-aes 256
mode tunnel
!
- Config de la crypto map (carte de chiffrement)
crypto map MY_MAP 10 ipsec-isakmp
set peer 10.10.1.2
set transform-set IPSEC_IKEv2
set ikev2-profile DKR-TO-ST_LOUIS
match address 100
!
!
Application de la crypto map sur l'interface WAN (e0/0)
/image%2F3625927%2F20240323%2Fob_2a0ae6_100.png)
Config sur St-Louis
- Config de la proposition IKE et définition de l'ACL pour le trafic
crypto ikev2 proposal St-Louis-TO-Dkr
encryption aes-gcm-256
prf sha512
group 5
!
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.0.255
access-list 100 deny ip any any
!
- Config de la politique IKE
crypto ikev2 policy St-Louis-TO-Dkr
proposal St-Louis-TO-Dkr
!
- Config du Keyring
crypto ikev2 keyring KEYRING
peer Dakar
address 10.10.2.2
pre-shared-key P@sser123##!
!
!
- Définition du profil
crypto ikev2 profile ST-LOUIS-TO-DAKAR
match address local 10.10.1.2
match identity remote address 10.10.2.2 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local KEYRING
!
- Config de l'ensemble de transformations et du chiffrement et du hashage de la Payload
!
crypto ipsec transform-set IPSEC_IKEv2 esp-aes 256
mode tunnel
!
- Config de la crypto map (carte de chiffrement)
crypto map MY_MAP 10 ipsec-isakmp
set peer 10.10.2.2
set transform-set IPSEC_IKEv2
set ikev2-profile ST-LOUIS-TO-DAKAR
match address 100
!
Avant d'appliquer la crypto map sur l'interface WAN, nous allons activer le debug IKEv2 sur Dakar afin de voir les événements en temps réel, (ce n'est qu'un choix).
debug crypto ikev2
Activons maintenant la crypto map sur St-Louis
/image%2F3625927%2F20240323%2Fob_a461c3_101.png)
Et lorsque du trafic est généré
/image%2F3625927%2F20240323%2Fob_3f5773_106.png)
Voici les infos qui s'affichent sur la console de routeur de Dakar
/image%2F3625927%2F20240323%2Fob_120b19_103.png)
Il nous dit dans sa langue que le tunnel IKEv2 est bien monté !
Les infos de la security association
/image%2F3625927%2F20240323%2Fob_0604e1_110.png)
Les sessions IKEv2
/image%2F3625927%2F20240323%2Fob_f8cd4f_111.png)
La crypto map
/image%2F3625927%2F20240323%2Fob_84b2da_112.png)
Une autre preuve de sécurité
/image%2F3625927%2F20240323%2Fob_2fa1ef_115.png)
En résumé, IKEv2 est un protocole de sécurité puissant, fiable et flexible, conçu pour offrir des communications VPN sécurisées, efficaces et adaptables dans les réseaux modernes. Son support pour la mobilité des périphériques et la réconciliation des politiques en fait un choix populaire pour les organisations recherchant des solutions VPN sécurisées et polyvalentes. 😉