×

Warning message

  • Cisco Support Forums is in Read Only mode while the site is being migrated.
  • Cisco Support Forums is in Read Only mode while the site is being migrated.

Mise en place de VPN site à site entre UC500

Document

Tue, 05/25/2010 - 08:26
May 18th, 2009
User Badges:
  • Cisco Employee,


Contexte :


Vous cherchez à interconnecter deux UC500 en VPN et permettre aux PCs et aux téléphones de communiquer entre eux.


Suivez alors ce guide.



Topologie:


VPN.jpg


Les plans d'adressage IP sont les suivants:

- VLAN data UC500 XX : 192.168.XX.0 /24

- VLAN voix UC500 XX : 10.XX.1.0 /24

- VLAN data UC500 YY : 192.168.YY.0 /24

- VLAN voix UC500 YY : 10.YY.1.0 /24


Adressage WAN :

- 172.16.XX.0 /30 pour l'UC500 XX ; où .1 est le coté opérateur et .2 le côté client

- 172.16.YY.0 /30 pour l'UC500 YY ; où .1 est le coté opérateur et .2 le côté client


Ainsi, les adresses IP des CME sur les VLANs voix sont les suivants:

- 10.XX.1.1 pour l'UC500 XX

- 10.YY.1.1 pour l'UC500 YY



Dans ce cas, nous avons créé des codes sites, permettant aux numéros des 2 UC500s de s'overlapper. Si vous utilisez des plages de numéros distants, vous pouvez vous passer de ces codes sites.

- 8XX pour l'UC500 XX

- 8YY pour l'UC500 YY


Ainsi le poste 201 côté UC500 XX, sera joignable par le numéro 8XX201 côté UC500 YY




1. Configuration de l'UC500 XX :


!configuration VPN Site à Site PODXX
!
do clear ip nat translation forced
!
no ip nat inside source list 1 interface FastEthernet0/0 overload
no access-list 1


crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 172.16.YY.2
!
!
crypto ipsec transform-set UC500 esp-aes esp-md5-hmac
!
crypto map POD 1 ipsec-isakmp
set peer 172.16.YY.2
set transform-set UC500
match address 150
reverse-route static
!


!
interface FastEthernet0/0
crypto map POD
no ip access-group 104 in
!


ip route 10.YY.1.0 255.255.255.0 172.16.XX.1
ip route 192.168.YY.0 255.255.255.0 172.16.XX.1
!
ip nat inside source list 151 interface FastEthernet0/0 overload
!
no access-list 104
access-list 104 deny   ip 10.1.10.0 0.0.0.3 any
access-list 104 deny   ip 192.168.XX.0 0.0.0.255 any
access-list 104 deny   ip 10.XX.1.0 0.0.0.255 any
access-list 104 permit esp host 172.16.YY.2 host 172.16.XX.2
access-list 104 permit udp host 172.16.YY.2 eq isakmp host 172.16.XX.2 eq isakmp
access-list 104 permit icmp any host 172.16.XX.2 echo-reply
access-list 104 permit icmp any host 172.16.XX.2 time-exceeded
access-list 104 permit icmp any host 172.16.XX.2 unreachable
access-list 104 deny   ip 10.0.0.0 0.255.255.255 any
access-list 104 deny   ip 172.16.0.0 0.15.255.255 any
access-list 104 deny   ip 192.168.0.0 0.0.255.255 any
access-list 104 deny   ip 127.0.0.0 0.255.255.255 any
access-list 104 deny   ip host 255.255.255.255 any
access-list 104 deny   ip host 0.0.0.0 any
access-list 104 deny   ip any any log
access-list 150 permit ip 192.168.XX.0 0.0.0.255 192.168.YY.0 0.0.0.255
access-list 150 permit ip 192.168.XX.0 0.0.0.255 10.YY.1.0 0.0.0.255
access-list 150 permit ip 10.XX.1.0 0.0.0.255 10.YY.1.0 0.0.0.255
access-list 150 permit ip 10.XX.1.0 0.0.0.255 192.168.YY.0 0.0.0.255
access-list 151 deny   ip 192.168.XX.0 0.0.0.255 192.168.YY.0 0.0.0.255
access-list 151 deny   ip 192.168.XX.0 0.0.0.255 10.YY.1.0 0.0.0.255
access-list 151 deny   ip 10.XX.1.0 0.0.0.255 10.YY.1.0 0.0.0.255
access-list 151 deny   ip 10.XX.1.0 0.0.0.255 192.168.YY.0 0.0.0.255
access-list 151 permit ip 192.168.XX.0 0.0.0.255 any
access-list 151 permit ip 10.XX.1.0 0.0.0.3 any
!
!


interface FastEthernet0/0
ip access-group 104 in




2. Configuration de l'UC500 YY :


!configuration VPN Site à Site PODYY
!
do clear ip nat translation forced
!
no ip nat inside source list 1 interface FastEthernet0/0 overload
no access-list 1


crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 172.16.XX.2
!
!
crypto ipsec transform-set UC500 esp-aes esp-md5-hmac
!
crypto map POD 1 ipsec-isakmp
set peer 172.16.XX.2
set transform-set UC500
match address 150
reverse-route static
!


!
interface FastEthernet0/0
crypto map POD
no ip access-group 104 in
!


ip route 10.XX.1.0 255.255.255.0 172.16.YY.1
ip route 192.168.XX.0 255.255.255.0 172.16.YY.1
!
ip nat inside source list 151 interface FastEthernet0/0 overload
!
no access-list 104
access-list 104 deny   ip 10.1.10.0 0.0.0.3 any
access-list 104 deny   ip 192.168.YY.0 0.0.0.255 any
access-list 104 deny   ip 10.YY.1.0 0.0.0.255 any
access-list 104 permit esp host 172.16.XX.2 host 172.16.YY.2
access-list 104 permit udp host 172.16.XX.2 eq isakmp host 172.16.YY.2 eq isakmp
access-list 104 permit icmp any host 172.16.YY.2 echo-reply
access-list 104 permit icmp any host 172.16.YY.2 time-exceeded
access-list 104 permit icmp any host 172.16.YY.2 unreachable
access-list 104 deny   ip 10.0.0.0 0.255.255.255 any
access-list 104 deny   ip 172.16.0.0 0.15.255.255 any
access-list 104 deny   ip 192.168.0.0 0.0.255.255 any
access-list 104 deny   ip 127.0.0.0 0.255.255.255 any
access-list 104 deny   ip host 255.255.255.255 any
access-list 104 deny   ip host 0.0.0.0 any
access-list 104 deny   ip any any log
access-list 150 permit ip 192.168.YY.0 0.0.0.255 192.168.XX.0 0.0.0.255
access-list 150 permit ip 192.168.YY.0 0.0.0.255 10.XX.1.0 0.0.0.255
access-list 150 permit ip 10.YY.1.0 0.0.0.255 10.XX.1.0 0.0.0.255
access-list 150 permit ip 10.YY.1.0 0.0.0.255 192.168.XX.0 0.0.0.255
access-list 151 deny   ip 192.168.YY.0 0.0.0.255 192.168.XX.0 0.0.0.255
access-list 151 deny   ip 192.168.YY.0 0.0.0.255 10.XX.1.0 0.0.0.255
access-list 151 deny   ip 10.YY.1.0 0.0.0.255 10.XX.1.0 0.0.0.255
access-list 151 deny   ip 10.YY.1.0 0.0.0.255 192.168.XX.0 0.0.0.255
access-list 151 permit ip 192.168.YY.0 0.0.0.255 any
access-list 151 permit ip 10.YY.1.0 0.0.0.3 any
!
!


interface FastEthernet0/0
ip access-group 104 in



3. Configuration des paramètres voip (configuration à faire de chaque côté) :


voice service voip
allow-connections h323 to h323
allow-connections h323 to sip
allow-connections sip to h323
allow-connections sip to sip
no supplementary-service h450.2
no supplementary-service h450.3
supplementary-service h450.12
no supplementary-service sip moved-temporarily
no supplementary-service sip refer

h323

call start slow



4. Définissez l'interface du vlan voix comme source du flux H.323 (si connexion H.323 entre sites) :


Coté UC500 XX:


interface vlan 100

h323-gateway voip bind scraddr 10.XX.1.1



Coté UC500 YY:


interface vlan 100

h323-gateway voip bind scraddr 10.YY.1.1



/* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-qformat:yes; mso-style-parent:""; mso-padding-alt:0in 5.4pt 0in 5.4pt; mso-para-margin:0in; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-fareast-font-family:"Times New Roman"; mso-fareast-theme-font:minor-fareast; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi;}



5. Configuration des translation de numéros :


L'objectif de ces translations est, lors de la transmission d'un appel à l'UC500 voisin, de rajouter son propre code site (règle 801), utile pour rappeler un correspondant  et d'enlever le code site distant (règle 800), afin de rendre le numéro intelligible par l'UC500 distant.


Coté UC500 XX:


voice translation-rule 800

rule 1 /8../ //

voice  translation-rule 801

rule 1 // /8XX/


voice translation-profile SITE_A_SITE

translate calling 801

translate called 800


Coté UC500 YY:


voice translation-rule 800

rule 1 /8../ //

voice  translation-rule 801

rule 1 // /8YY/


voice translation-profile SITE_A_SITE

translate calling 801

translate called 800



5. Configuration des dial-peer :


Il s'agit maintenant de configurer des dial-peer indiquant à chacun des UC500 comment joindre les numéros de son voisin, tout en appliquant les translations ci-dessus.


Coté UC500 XX:


dial-peer voice 800 voip

translation-profile outgoing SITE_A_SITE

destination-pattern 8YY...

session target ipv4:10.YY.1.1


Coté UC500 YY:


dial-peer voice 800 voip

translation-profile outgoing SITE_A_SITE

destination-pattern 8XX...

session target ipv4:10.XX.1.1







/* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-qformat:yes; mso-style-parent:""; mso-padding-alt:0in 5.4pt 0in 5.4pt; mso-para-margin:0in; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-fareast-font-family:"Times New Roman"; mso-fareast-theme-font:minor-fareast; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi;}
Loading.
xavier.bruns_2 Tue, 06/09/2009 - 10:01
User Badges:

Bonjour,


Comment coupler le VPN site to site entre UC500 et l'accès VPN remote ?


Le problèmes c'est que la configuration VPN utilise les crypto-map et qu'une seule crypto map peut être affectée à l'interface.


Merci

Patrick Cardot Wed, 07/15/2009 - 03:11
User Badges:
  • Cisco Employee,

Les configurations VPN Site à Site et EZVPN Remote Access ne se téléscopent pas dans la configuration de l'UC 500. A savoir que les jeux de commandes sont différents et ne se recouvrent pas. Donc il n'y a pas de risques d'interférences.


Le seul inconvénient sur lequel on tombera est que seule la configuration EZVPN serveur peut se faire via CCA. La configuration VPN site à SIte doit être faite en ligne de commande.


L'éssai à faire dans l'UC 500 est donc :


1- Créer la fonction concentrateur VPN avec CCA

Puis

2- ajouter en console une configuration Site à Site ( un "copier / coller " de la configuation fournie plus haut dans cet exemple )


Je vais prendre le temps de d'ajouter ici dés que possible, une procédure de paramétrage complète qui détaille cet configuration.


Patrick

aureliensoyez Tue, 05/25/2010 - 08:26
User Badges:

Je dois jsutement mettre en place un site à site entre nos 2 agences, mais uniquement la partie Data...

Alors du coup...Patrick... c'est qd tu veux :-)



Quid de la fonction Multisite Manager de CCA 2.2.4 ???

Actions

This Document

Related Content