🔒

TD — Configuration VPN IPSec

Cisco Packet Tracer — Tunnel VPN site-à-site avec IKE Phase 1 & Phase 2

📚 Matière
Cyber-Sécurité
📅 Date
12 janvier 2026
🔧 Outil
Cisco Packet Tracer
☑️ État
En cours
🔐 Protocole
IPSec IKE Phase 1 & 2
🔑 Clé PSK
cisco
🎯
Objectif : Configurer un tunnel VPN IPSec site-à-site entre R1 et R2 pour chiffrer le trafic entre le réseau 192.168.1.0/24 (Site 1) et 192.168.2.0/24 (Site 2) via R3 (simulant Internet).
📋 Table des matières
Étape 1Topologie et adressage Étape 2Configuration de base (PC0, PC1, R1, R2, R3 + RIPv2) Étape 3Test de connectivité — Ping avant VPN Étape 4Phase 1 IKE — Politique ISAKMP Étape 5Phase 2 IKE — Transform-set et Crypto-map Étape 6Vérification de la configuration VPN RécapTableau récapitulatif des commandes IKE
01
🗺️ Topologie et adressage
Schéma réseau · Tableau d'adressage
📌
Topologie : PC0 → Switch0 → R1 ↔ R3 ↔ R2 → Switch1 → PC1
R3 simule Internet entre R1 et R2. Le tunnel VPN IPSec est établi entre R1 (1.1.1.1) et R2 (2.2.2.2).
Topologie VPN IPSec site-à-site Site 1 Internet / R3 Site 2 PC0 192.168.1.2 SW0 R1 Fa0/0: .1.1 Fa0/1: 1.1.1.1 R3 1.1.1.2 ↔ 2.2.2.1 simule Internet R2 Fa0/1: 2.2.2.2 Fa0/0: .2.1 SW1 PC1 192.168.2.2 🔒 Tunnel VPN IPSec IKE Phase 1 (ISAKMP) + Phase 2 (ESP) Routage : RIPv2 sur R1, R2, R3 Clé PSK : cisco · Crypto-map : CMAP-TD_VPN
AppareilInterfaceAdresse IPMasquePasserelle
R1Fa0/0192.168.1.1/24
R1Fa0/11.1.1.1/30
R2Fa0/0192.168.2.1/24
R2Fa0/12.2.2.2/30
R3Fa0/01.1.1.2/30
R3Fa0/12.2.2.1/30
PC0NIC192.168.1.2/24192.168.1.1
PC1NIC192.168.2.2/24192.168.2.1
02
⚙️ Configuration de base — PC, R1, R2, R3
Interfaces · RIPv2 · Routing

Configuration des PC

PC0PC Site 1192.168.1.2/24
IP Configuration
IPv4 Address  : 192.168.1.2
Subnet Mask   : 255.255.255.0
Default Gateway: 192.168.1.1
PC1PC Site 2192.168.2.2/24
IP Configuration
IPv4 Address  : 192.168.2.2
Subnet Mask   : 255.255.255.0
Default Gateway: 192.168.2.1

Configuration des routeurs

R1Routeur 1 — Site 11.1.1.1 · 192.168.1.1
Cisco IOS — R1
conf t
interface fa0/0
  ip address 192.168.1.1 255.255.255.0
  no shutdown

interface fa0/1
  ip address 1.1.1.1 255.255.255.252
  no shutdown

router rip
  version 2
  network 192.168.1.0
  network 1.0.0.0
R2Routeur 2 — Site 22.2.2.2 · 192.168.2.1
Cisco IOS — R2
conf t
interface fa0/0
  ip address 192.168.2.1 255.255.255.0
  no shutdown

interface fa0/1
  ip address 2.2.2.2 255.255.255.252
  no shutdown

router rip
  version 2
  network 192.168.2.0
  network 2.0.0.0
R3Routeur 3 — Internet (transit)1.1.1.2 · 2.2.2.1
Cisco IOS — R3
conf t
interface fa0/0
  ip address 1.1.1.2 255.255.255.252
  no shutdown

interface fa0/1
  ip address 2.2.2.1 255.255.255.252
  no shutdown

router rip
  version 2
  network 1.0.0.0
  network 2.0.0.0
03
🏓 Test de connectivité — Ping avant VPN
Vérifier que le routage RIP fonctionne avant de configurer le tunnel
💡
Dans un premier temps, pinger les deux PC pour vérifier que le routage fonctionne. Le trafic transite en clair à ce stade — le VPN n'est pas encore configuré.
PC0 → ping PC1
! Depuis PC0
C:\> ping 192.168.2.2
Pinging 192.168.2.2 with 32 bytes of data: Reply from 192.168.2.2: bytes=32 time<1ms TTL=125 Reply from 192.168.2.2: bytes=32 time=2ms TTL=125 Reply from 192.168.2.2: bytes=32 time<1ms TTL=125 Reply from 192.168.2.2: bytes=32 time=11ms TTL=125 Packets: Sent = 4, Received = 4, Lost = 0 (0% loss) Minimum = 0ms, Maximum = 11ms, Average = 3ms
PC1 → ping PC0
! Depuis PC1
C:\> ping 192.168.1.2
Pinging 192.168.1.2 with 32 bytes of data: Reply from 192.168.1.2: bytes=32 time<1ms TTL=125 Reply from 192.168.1.2: bytes=32 time=1ms TTL=125 Reply from 192.168.1.2: bytes=32 time=10ms TTL=125 Reply from 192.168.1.2: bytes=32 time=11ms TTL=125 Packets: Sent = 4, Received = 4, Lost = 0 (0% loss)
Connectivité de bout en bout confirmée via RIPv2. On peut maintenant configurer le tunnel VPN IPSec.
04
🔐 Phase 1 IKE — Politique ISAKMP
Durée de vie du tunnel · Authentification · Chiffrement · Hash · DH

La phase 1 crée un tunnel sécurisé entre les deux routeurs pour faire transiter le trafic de management. Les paramètres doivent être identiques sur R1 et R2.

1
Créer la police ISAKMP (priorité 10)
La priorité 10 laisse de la place pour insérer d'autres polices si besoin. La police avec la priorité 1 est la plus prioritaire.
2
Méthode d'authentification : pre-share
Utilisation d'une clé pré-partagée (PSK) — plus simple à configurer que RSA.
3
Chiffrement : AES 128 bits
AES (Advanced Encryption Standard) — si la longueur n'est pas précisée, Cisco utilise 128 bits par défaut.
4
Algorithme de hash : MD5
Assure l'intégrité des paquets échangés pendant la négociation IKE.
5
Groupe Diffie-Hellman : 2 (1024 bits)
Permet l'échange de clés de manière sécurisée sans les transmettre en clair.
6
Durée de vie du tunnel : 21 600 secondes (6h)
À l'expiration, les clés sont renégociées automatiquement.
R1Phase 1 ISAKMPPeer : 2.2.2.2
Cisco IOS — R1
R1# configure terminal

! Créer la police ISAKMP
crypto isakmp policy 10
  authentication pre-share
  encryption aes 128
  hash md5
  group 2
  lifetime 21600
  exit

! Définir la clé PSK et l'adresse du peer
crypto isakmp key cisco address 2.2.2.2

! ACL : trafic à chiffrer (Site 1 → Site 2)
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
R2Phase 1 ISAKMPPeer : 1.1.1.1
Cisco IOS — R2
R2# configure terminal

crypto isakmp policy 10
  authentication pre-share
  encryption aes 128
  hash md5
  group 2
  lifetime 21600
  exit

! Clé identique, peer inverse
crypto isakmp key cisco address 1.1.1.1

! ACL miroir (Site 2 → Site 1)
access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
05
🛡️ Phase 2 IKE — Transform-set et Crypto-map
Protocoles AH + ESP · Chiffrement des données · Application sur interface

La phase 2 crée le tunnel de données chiffrées. Elle utilise un transform-set (groupe d'algorithmes) et une crypto-map appliquée à l'interface WAN.

📌
AH vs ESP :
AH (port 51) : authentification + intégrité, mais pas de confidentialité
ESP (port 50) : authentification + intégrité + confidentialité → à préférer
Ici on combine les deux : ah-sha-hmac + esp-aes 256
R1Phase 2 — Transform-set + Crypto-mapPeer : 2.2.2.2
Cisco IOS — R1
R1# configure terminal

! Créer le transform-set (algorithmes de chiffrement)
crypto ipsec transform-set TD_VPN ah-sha-hmac esp-aes 256

! Créer la crypto-map
crypto map CMAP-TD_VPN 1 ipsec-isakmp
  match address 100             ! ACL définie en phase 1
  set transform-set TD_VPN
  set peer 2.2.2.2
  exit

! Appliquer la crypto-map sur l'interface WAN
interface fa0/1
  crypto map CMAP-TD_VPN
R2Phase 2 — Transform-set + Crypto-mapPeer : 1.1.1.1
Cisco IOS — R2
R2# configure terminal

crypto ipsec transform-set TD_VPN ah-sha-hmac esp-aes 256

crypto map CMAP-TD_VPN 1 ipsec-isakmp
  match address 100
  set transform-set TD_VPN
  set peer 1.1.1.1             ! Peer inverse
  exit

interface fa0/1
  crypto map CMAP-TD_VPN
06
✅ Vérification de la configuration VPN
Commandes show crypto · Test ping après VPN
💡
Faire un ping depuis PC0 vers PC1 pour déclencher la négociation du tunnel, puis vérifier les SA avec les commandes ci-dessous.

Vérifier la politique ISAKMP (Phase 1)

R1
R1# show crypto isakmp policy
Global IKE policy Protection suite of priority 10 encryption algorithm: AES - Advanced Encryption Standard (128 bit keys). hash algorithm: Message Digest 5 authentication method: Pre-Shared Key Diffie-Hellman group: #2 (1024 bit) lifetime: 21600 seconds, no volume limit

Vérifier la crypto-map (Phase 2)

R1
R1# show crypto map
Crypto Map CMAP-TD_VPN 1 ipsec-isakmp Peer = 2.2.2.2 Extended IP access list 100 access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 Current peer: 2.2.2.2 Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N Transform sets={ TD_VPN, } Interfaces using crypto map CMAP-TD_VPN: FastEthernet0/1

Vérifier les Security Associations IPSec (après ping)

R1
R1# show crypto ipsec sa
📋 Résultat show crypto ipsec sa (extrait)
interface: FastEthernet0/1 Crypto map tag: CMAP-TD_VPN, local addr 1.1.1.1 local ident: (192.168.1.0/255.255.255.0/0/0) remote ident: (192.168.2.0/255.255.255.0/0/0) current_peer 2.2.2.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6 #pkts decaps: 6, #pkts decrypt: 6, #pkts verify: 6 Status: ACTIVE

Les compteurs encrypt/decrypt confirment que le trafic est bien chiffré dans le tunnel.

Le tunnel VPN IPSec est actif (ACTIVE). Les paquets entre PC0 et PC1 transitent maintenant chiffrés via R3, sans que R3 puisse lire leur contenu.
07
📊 Récapitulatif des commandes IKE
Tableau complet Phase 1 et Phase 2

Phase 1 du protocole IKE

ActionCommande
Créer la police ISAKMPcrypto isakmp policy [priorité]
Méthode d'authentificationauthentication [pre-share | rsa-encr | rsa-sig]
Chiffrementencryption [3des | aes | des]
Algorithme de hashhash [md5 | sha | sha256 | sha384 | sha512]
Groupe Diffie-Hellmangroup {numéro-DH}
Durée de vielifetime {secondes}
Clé PSK + peercrypto isakmp key {mdp} address {IP-peer}
ACL trafic à chiffreraccess-list 100 permit ip {src} {wc} {dst} {wc}
Vérifier la policeshow crypto isakmp policy
Détails tunnel phase 1show crypto isakmp sa detail

Phase 2 du protocole IKE

ActionCommande
Créer le transform-setcrypto ipsec transform-set {nom} [chiffrement] [auth]
Mode ESPmode [tunnel | transport]
Créer la crypto-mapcrypto map {nom} [seq] ipsec-isakmp
Lier l'ACL à la crypto-mapmatch address {numéro-ACL}
Spécifier le transform-setset transform-set {nom}
Spécifier le peerset peer {IP-peer}
Appliquer à l'interface WANinterface fa0/1 → crypto map {nom}
Vérifier la crypto-mapshow crypto map
Détails tunnel phase 2show crypto ipsec sa
Vérifier chiffrement actifshow crypto engine connections active

BTS SIO SISR — Cyber-Sécurité — TD Configuration VPN IPSec — Cisco Packet Tracer