CHAPITRE 6 : TESTS ET CHOIX DE LA SOLUTION A ADOPTER
1. Architecture du réseau d‟agences d‟ECOBANK Bénin
5.3. Configuration
Nous disposerons pour notre travail d‟un réseau WAN constitué de 2 sites distants : le site GAB et le site ECOBANK Bénin. Sur les différents sites nous disposerons :
Un routeur Cisco. Le routeur Cisco 881G-sec-K9 with 3G Modem avec comme IOS „„Advanced Security Feature Set‟‟ pour le site GAB et le routeur Cisco 1941-sec-K9 pour le site ECOBANK Bénin.
Une connexion Internet avec une adresse IP fixe du réseau de l‟opérateur pour le routeur 3G. Cette adresse sera connue et inscrite dans la carte SIM fournie par l‟opérateur GSM. L‟adresse publique (adresse internet) d‟ECOBANK Bénin sera utilisée pour joindre le réseau local derrière le routeur Cisco 1941 distant.
Signalons que le routeur Cisco 1941, sis au siège d‟ECOBANK Bénin, fait office de passerelle VPN pour les GAB off-site et se situe dans une zone démilitarisée (DMZ). Toute connexion en partance ou en provenance des guichets est autorisée ou bloquée par un firewall ASA à inspection d‟état situé entre routeur VPN et le LAN d‟ECOBANK Bénin.
Réalisé par CHOUTY Nabil A. Page 79 Pour des raisons de sécurité, les adresses IP utilisées pour nos configurations sont arbitraires et n‟appartiennent pas au LAN d‟ECOBANK Bénin. Le tableau 5.1 inventorie les adresses IP utilisées pour notre configuration.
Tableau 5.1 : Inventaire des adresses IP
Site GAB Site ECOBANK Bénin
Adresse réseau 10.12.13.0/29 10.12.14.0/24
Interface LAN / IP locale du routeur 10.12.13.6 10.12.14.254 Interface WAN / IP Internet du routeur 82.1.1.1/24 82.2.2.2 Interface WAN / IP du VPN 10.12.15.1 10.12.15.2
Adresse IP GAB 10.12.13.1 x
La liaison entre les deux routeurs distants que nous souhaitons créer par le VPN (10.12.15.0 /30) est symbolisée par un tunnel crypté traversant le nuage Internet. Les extrémités du tunnel crypté, au niveau des routeurs, sont en réalité des interfaces virtuelles créées qui permettront aux 2 sites distants de communiquer entre eux de manière sécurisée. Le schéma simplifié du principe est illustré par la figure 5.5.
Réalisé par CHOUTY Nabil A. Page 80
Figure 5.3 : Schéma simplifié du principe VPN
5.3.1. Scénario 1
Création d’un profile GSM data sur l’interface 3G du routeur Cisco 881G
Elle se fait avec les commandes suivantes:
Router> enable
Router# cellular 0 gsm profile create 1 apn_gsm chap nom_gsm azerty
Où:
1 est le numéro de profil crée. On peut en créer jusqu‟à 16.
apn_gsm est le nom du point d‟accès (APN) de l‟opérateur GSM.
chap est le type d‟authentification.
nom_gsm nom d‟utilisateur fourni par l‟opérateur GSM.
azerty le mot de passe fourni par l‟opérateur GSM.
Sélection du profil créé
Réalisé par CHOUTY Nabil A. Page 81
Router# chat-script gsm "" "ATDT*99#1" TIMEOUT 60 "CONNECT"
Configuration du nom d’hôte et de l’interface cellulaire
Cela revient à configurer au niveau de l‟interface 3G l‟adresse IP, le protocole point-à-point (ppp), à définir un groupe pour la numérotation et associer sa liste à l‟interface. Les fonctions remplies par certaines des commandes Cisco utilisées dans cette section sont explicitées en annexe dans le tableau A.7.1.
Router # configure terminal
Router (config) # hostname Routeur_GAB Routeur_GAB (config) # ip domain-lookup Routeur_GAB (config) # interface cellular 0 Routeur_GAB (config-if) # ip address negociated Routeur_GAB (config-if) # ip nat outside
Routeur_GAB (config-if) # encapsulation ppp
Routeur_GAB (config-if) # ppp chap hostname nom_gsm Routeur_GAB (config-if) # ppp chap password azerty Routeur_GAB (config-if) # ppp ipcp dns request Routeur_GAB (config-if) # ppp ipcp route default Routeur_GAB (config-if) # dialer in-band
Routeur_GAB (config-if) # dialer string gsm Routeur_GAB (config-if) # dialer-group 1
Routeur_GAB (config-if) # async mode interactive
Réalisé par CHOUTY Nabil A. Page 82
Routeur_GAB (config-if) # no shutdown
Configuration de l’interface LAN
Routeur_GAB (config) # interface fa 0/0
Routeur_GAB (config-if) # ip address 10.12.13.6 255.255.255.248 Routeur_GAB (config-if) # ip nat inside
Routeur_GAB (config-if) # no shutdown
Configuration de la ligne 3
La configuration de cette ligne permet d‟établir la communication entre le modem de l‟interface 3G et le routeur.
Routeur_GAB (config) # line 3
Routeur_GAB (config-if) # script dialer gsm Routeur_GAB (config-if) # modem InOut Routeur_GAB (config-if) # no exec Routeur_GAB (config-if) # exit
Configuration de la route par défaut et des listes d’accès
Routeur_GAB (config) # ip route 0.0.0.0 0.0.0.0 Cellular0
Routeur_GAB (config) # ip nat inside source list 110 interface Cellular0 overload Routeur_GAB (config) # access-list 110 deny ip 10.12.13.0 255.255.255.248 10.12.14.0 255.255.255.0
Routeur_GAB (config) # access-list 110 permit ip 10.12.13.0 255.255.255.248 any
Réalisé par CHOUTY Nabil A. Page 83
Routeur_GAB (config) # access-list 1 permit any Routeur_GAB (config) # dialer-list 1 protocol ip list 1
Sur le routeur du site ECOBANK Bénin
Router# configure terminal
Router (config) # hostname Routeur_ECO Routeur_ECO (config) # ip domain-lookup Routeur_ECO (config) # interface serial 0/0/0
Routeur_ECO (config-if) # ip address 82.2.2.2 255.0.0.0 Routeur_ECO (config-if) # no shutdown
Routeur_ECO (config-if) # exit
Routeur_ECO (config) # interface FastEthernet 0/0
Routeur_ECO (config-if) # ip address 10.12.14.254 255.255.255.0 Routeur_ECO (config-if) # no shutdown
Routeur_ECO (config-if) # ip route 0.0.0.0 0.0.0.0 serial 0/0/0
Création d’un tunnel GRE entre les deux sites distants
Routeur_GAB (config) # crypto ipsec profile vpn_gab
Routeur_GAB (ipsec-profile) # set transform-set plan_cryptage Routeur_GAB (ipsec-profile) # exit
Routeur_GAB (config) # interface tunnel 0
Routeur_GAB (config-if) # ip address 10.12.15.1 255.255.255.252
Réalisé par CHOUTY Nabil A. Page 84
Routeur_GAB (config-if) # keepalive 30 5 Routeur_GAB (config-if) # tunnel mode gre ip Routeur_GAB (config-if) # tunnel source 81.1.1.1 Routeur_GAB (config-if) # tunnel destination 82.2.2.2
Routeur_GAB (config-if) # tunnel protection ipsec profile vpn_gab Routeur_GAB (config-if) # exit
Routeur_GAB (config) # ip route 10.12.14.0 255.255.255.0 tunnel 0 Routeur_GAB (config) # ip access-list extended vpn_to_site_ecobank
Routeur_GAB (config-ext-nacl) # permit gre 10.12.13.0 255.255.255.248 10.12.14.0 255.255.255.0
Configuration du VPN site-à-site
Sur le routeur du site GAB
Activation de ISAKMP (le protocole qui gère l‟échange de clé).
Routeur_GAB (config) # crypto isakmp enable
Création d‟une stratégie de négociation des clés et d‟établissement de la liaison VPN.
Routeur_GAB (config) # crypto isakmp policy 10 Routeur_GAB (config-isakmp) # encryption 3des
Routeur_GAB (config-isakmp) # authentication pre-share Routeur_GAB (config-isakmp) # hash sha
Routeur_GAB (config-isakmp) # group 2
Réalisé par CHOUTY Nabil A. Page 85
Routeur_GAB (config-isakmp) # lifetime 86400 Routeur_GAB (config-isakmp) # exit
Création de la clé pré-partagée associée à l‟autre extrémité du tunnel VPN.
Routeur_GAB (config) # crypto isakmp key cisco@123 address 82.2.2.2
Création de la méthode de cryptage et d‟authentification et du mode de transport du trafic.
Routeur_GAB (config) # crypto ipsec transform-set plan_cryptage 3des esp-sha-hmac
Routeur_GAB (cfg-crypto-trans) # mode tunnel Routeur_GAB (cfg-crypto-trans) # exit
Routeur_GAB (config) # crypto ipsec security-association lifetime seconds 1800
Création d‟une liste d‟accès pour identifier le trafic à traiter par le VPN.
Routeur_GAB (config) # ip access-list extended vpn
Routeur_GAB (config-ext-nacl) # permit ip 10.12.13.0 255.255.255.248 10.12.14.0 255.255.255.0
Création de la crypto-map à associer à une interface ou plusieurs interfaces
Réalisé par CHOUTY Nabil A. Page 86
Routeur_GAB (config) # crypto map tunnel_gab 10 ipsec-isakmp Routeur_GAB (config-crypto-map) # set peer 82.2.2.2
Routeur_GAB (config-crypto-map) # set security-association lifetime seconds 900 Routeur_GAB (config-crypto-map) # set transform-set plan_cryptage
Routeur_GAB (config-crypto-map) # match address vpn
Application de la crypto-map à l‟interface 3G du routeur.
Routeur_GAB (config) # interface cellular0
Routeur_GAB (config-if) # crypto map tunnel_gab Routeur_GAB (config-if) # exit
Sur le routeur du site ECOBANK Bénin
Routeur_ECO (config) # crypto isakmp enable Routeur_ECO (config) # crypto isakmp policy 10 Routeur_ECO (config-isakmp) # encryption 3des
Routeur_ECO (config-isakmp) # authentication pre-share Routeur_ECO (config-isakmp) # hash sha
Routeur_ECO (config-isakmp) # group 2
Routeur_ECO (config-isakmp) # lifetime 86400 Routeur_ECO (config-isakmp) # exit
Routeur_ECO (config) # crypto isakmp key cisco@123 address 82.1.1.1
Réalisé par CHOUTY Nabil A. Page 87
Routeur_ECO (config) # crypto ipsec transform-set plan_cryptage 3des esp-sha-hmac
Routeur_ECO (cfg-crypto-trans) # mode tunnel Routeur_ECO (cfg-crypto-trans) # exit
Routeur_ECO (config) # crypto ipsec security-association lifetime seconds 1800 Routeur_ECO (config) # ip access-list extended vpn
Routeur_ECO (config-ext-acl) # permit ip 10.12.14.0 255.255.255.0 10.12.13.0 255.255.255.248
Routeur_ECO (config) # crypto map tunnel_gab 10 ipsec-isakmp Routeur_ECO (config-crypto-map) # set peer 82.1.1.1
Routeur_ECO (config-crypto-map) # set security-association lifetime seconds 900 Routeur_ECO (config-crypto-map) # set transform-set plan_cryptage
Routeur_ECO (config-crypto-map) # match address vpn Routeur_ECO (config) # interface Serial 0/0/0
Routeur_ECO (config-if) # crypto map tunnel_gab Routeur_ECO (config-if) # exit
Routeur_ECO (config) # interface tunnel 0
Routeur_ECO (config-if) # ip address 10.12.15.2 255.255.255.252 Routeur_ECO (config-if) # keepalive 30 5
Routeur_ECO (config-if) # tunnel mode gre ip Routeur_ECO (config-if) # tunnel source 82.2.2.2 Routeur_ECO (config-if) # tunnel destination 81.1.1.1
Routeur_ECO (config-if) # tunnel protection ipsec profile name vpn_gab
Réalisé par CHOUTY Nabil A. Page 88
Routeur_ECO (config-if) # exit
Routeur_ECO (config) # ip route 10.12.13.0 255.255.255.248 tunnel 0 Routeur_ECO (config) # ip access-list extended vpn_to_gab
Routeur_ECO (config-ext-nacl) # permit gre 10.12.14.0 255.255.255.0 10.12.13.0 255.255.255.248
5.3.2. Scénario 2
Dans ce scénario, l‟adresse IP publique du routeur sis au siège ne sera plus utilisée. On utilisera des adresses IP privées pour réaliser la connexion radio point-à-point entre ECOBANK et l‟opérateur GSM. Ainsi, dans la configuration du routeur au niveau du GAB on remplacera l‟adresse IP publique par une adresse IP privée. On retiendra le sous-réseau 192.168.0.0 /29 pour la connexion radio point-à-point. Par contre pour le routeur sis à ECOBANK Bénin, l‟interface WAN du routeur sera reliée à l‟antenne radio et une route statique vers l‟autre extrémité de la liaison radio point-à-point sera définie dans la configuration globale (nom d‟hôte et des interfaces). Cette route sera définit comme suit :
Routeur_ECO (config) # ip classless
Routeur_ECO (config) # ip route 82.1.1.1 255.0.0.0 192.168.0.2 Routeur_ECO (config) # end
Où 192.168.0.2 est l‟adresse IP de l‟autre extrémité de la liaison radio point-to-point.
Un partenariat doit être établi entre les deux parties, le DIT ECOBANK Bénin et l‟opérateur GSM, pour que le trafic du GAB, une fois
Réalisé par CHOUTY Nabil A. Page 89 dans le réseau cœur de l‟opérateur, soit authentifié et routé vers les interfaces appropriées.
Conclusion partielle
Le VPN est une avancée significative permettant aux entreprises de fournir des accès applicatifs en toute sécurité à leurs succursales et agences distantes. Les VPN permettent ainsi aux entreprises de réaliser des économies considérables sur leurs réseaux de données en passant par les réseaux partagés protégés par des tunnels VPN cryptés.
Réalisé par CHOUTY Nabil A. Page 90
QUATRIEME PARTIE :
RESULTATS ET DISCUSSIONS
Réalisé par CHOUTY Nabil A. Page 91 CHAPITRE 6 : TESTS ET CHOIX DE LA SOLUTION A
ADOPTER
Introduction
Dans ce chapitre, nous parlerons des tests effectués et de l‟outil utilisé pour les réaliser. De la discussion issue des résultats obtenus des deux scénarii, nous dégagerons le scénario à adopter pour l‟interconnexion du GAB.