Numéro d'article: 812076 - Dernière mise à jour: mercredi 21 décembre 2005 - Version: 4.1

Comment faire pour permettre à un client VPN IPSec Cisco de se connecter à un concentrateur VPN Cisco par le biais de ISA Server 2000

Voir les produits auxquels s'applique cet article

Sommaire

Agrandir tout | Réduire tout

Résumé

Cet article explique étape par étape comment permettre à un ordinateur client d'un réseau privé virtuel (VPN) Cisco Systems utilisant le protocole IPSec, sur le réseau interne, de se connecter à un concentrateur VPN Cisco externe à l'aide de la fonctionnalité de tunnellisation transparente par le biais de Microsoft Internet Security and Acceleration (ISA) Server 2000.

Retour au début

Prise en charge de la configuration du client VPN Cisco

Dans la plupart des cas, le trafic VPN IPSec ne passe pas par ISA Server 2000. Toutefois, le concentrateur Cisco 3300, avec les mises à jour de microprogramme les plus récentes, fait appel à la technologie de tunnellisation transparente qui utilise les ports UDP 500, 4500 et 10000 pour la communication sécurisée entre les clients VPN et les concentrateurs.

Pour prendre en charge cette configuration, créez les définitions de protocole suivantes :

Remarque L'ordinateur client doit être configuré en tant que client SecureNat.
Numéro de port : 500
Type de protocole : UDP
Sens : Envoyer et recevoir

Numéro de port : 4500
Type de protocole : UDP
Sens : Envoyer et recevoir

Numéro de port : 10000
Type de protocole : UDP
Sens : Envoyer et recevoir



En créant ces définitions de protocole, vous permettez au client SecureNat de se connecter au serveur VPN de Cisco par le biais du serveur ISA car l'ensemble du trafic est passé en tant que trafic UDP. Grâce à la technologie de tunnellisation transparente de Cisco, ce trafic peut traverser des pare-feu NAT (Network Address Translation).

Remarque Vous devez vous assurer que votre stratégie d'accès autorise ces trois protocoles personnalisés.

Création des définitions de protocole

Créez les nouveaux protocoles personnalisés pour activer la fonctionnalité de tunnellisation transparente. Pour cela, procédez comme suit :
  1. Démarrez le composant logiciel enfichable de gestion ISA. Pour cela, cliquez sur Démarrer, pointez sur Programmes, sur Microsoft ISA Server, puis cliquez sur Gestion ISA.
  2. Sous Éléments de stratégie, recherchez le conteneur Définitions de protocole.
  3. Cliquez avec le bouton droit sur Définitions de protocole, pointez sur Nouveau, puis cliquez sur Définition.
  4. Dans la zone Nom de la définition de protocole, tapez un nom descriptif pour cette définition (par exemple, Port 500 UDP Envoi et réception), puis cliquez sur Suivant.
  5. Dans la zone Numéro du port, tapez 500. Dans la liste Type de protocole, cliquez sur UDP. Dans la liste Sens, cliquez sur Envoyer et recevoir (ne cliquez pas sur Recevoir et envoyer), puis sur Suivant.
  6. Sous Voulez-vous utiliser des connexions secondaires ?, cliquez sur Non, puis sur Suivant.
  7. Vérifiez vos paramètres, puis cliquez sur Terminer.
  8. Dans le volet gauche, cliquez avec le bouton droit sur Définitions de protocole, pointez sur Nouveau, puis cliquez sur Définition.
  9. Dans la zone Nom de la définition de protocole, tapez un nom descriptif pour cette définition (par exemple, Port 4500 UDP Envoi et réception), puis cliquez sur Suivant.
  10. Dans la zone Numéro du port, tapez 4500. Dans la liste Type de protocole, cliquez sur UDP. Dans la liste Sens, cliquez sur Envoyer et recevoir (ne cliquez pas sur Recevoir et envoyer), puis sur Suivant.
  11. Sous Voulez-vous utiliser des connexions secondaires ?, cliquez sur Non, puis sur Suivant.
  12. Vérifiez vos paramètres, puis cliquez sur Terminer.
  13. Répétez les étapes ci-dessus pour créer un protocole en utilisant la valeur 10000 aux étapes 9 et 10.
Les nouveaux protocoles personnalisés sont répertoriés dans le volet droit sous Protocoles disponibles.

Création d'une règle de protocole

Créez une règle de protocole pour autoriser l'accès à l'aide des nouveaux protocoles personnalisés que vous avez créés. Pour cela, procédez comme suit :
  1. Démarrez le composant logiciel enfichable de gestion ISA. Pour cela, cliquez sur Démarrer, pointez sur Programmes, sur Microsoft ISA Server, puis cliquez sur Gestion ISA.
  2. Sous Stratégie d'accès, recherchez le conteneur Règles de protocole.
  3. Cliquez avec le bouton droit sur Règles de protocole, pointez sur Nouveau, puis cliquez sur Règle.
  4. Dans la zone Nom de la règle de protocole, tapez le nom de la règle (par exemple, tapez Autoriser le client VPN IPSec de Cisco), puis cliquez sur Suivant.
  5. Cliquez sur Autoriser, puis sur Suivant.
  6. Dans la liste Appliquer cette règle à, cliquez sur Protocoles sélectionnés.
  7. Dans la liste Protocoles, activez les cases à cocher correspondant aux trois protocoles personnalisés que vous avez créés précédemment, puis cliquez sur Suivant.
  8. Dans la liste Utiliser cette planification, cliquez sur la planification à utiliser pour autoriser ces protocoles (par exemple, cliquez sur Heures de travail), puis sur Suivant.
  9. Sous Appliquer la règle aux demandes de, cliquez sur Toutes les demandes (sauf si vous souhaitez restreindre ces protocoles à certains jeux d'adresses clients), puis sur Suivant.
  10. Vérifiez vos sélections de configuration, puis cliquez sur Terminer.
La nouvelle règle de protocole est répertoriée dans le volet droit sous Règles de protocole disponibles.

Remarque Après avoir effectué les étapes nécessaires pour ajouter le port UDP 10000 en tant que définition de protocole, vous devrez peut-être également ajouter le port UDP 20000 pour pouvoir travailler avec certains des nouveaux concentrateurs VPN de Cisco.

Remarque Cet article s'adresse aux clients SecureNAT. Vous devez supprimer le logiciel client pare-feu ISA.

Retour au début

Références

Pour savoir comment vous procurer ISA Server 2000 Service Pack 1 (SP1), reportez-vous au site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/isaserver/downloads/frsp1.mspx (http://www.microsoft.com/isaserver/downloads/frsp1.mspx)
Pour obtenir de l'aide supplémentaire et un support technique pour Microsoft Internet Security and Acceleration (ISA) Server, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/france/isaserver/default.mspx (http://www.microsoft.com/france/isaserver/default.mspx)
Pour plus d'informations sur ISA Server, reportez-vous au site Web non-Microsoft à l'adresse suivante : (en anglais uniquement)
http://www.isaserver.org (http://isaserver.org)
Pour plus d'informations sur les périphériques VPN de Cisco Systems, reportez-vous au site Web de Cisco à l'adresse suivante :
http://www.cisco.com/global/FR/products/vpn_security/vpn_security_home.shtml (http://www.cisco.com/global/FR/products/vpn_security/vpn_security_home.shtml)
Microsoft fournit des informations relatives aux contacts tiers afin de vous aider à trouver un support technique. Ces informations peuvent être modifiées sans préavis. Microsoft ne garantit en aucun cas l'exactitude des informations concernant les sociétés tierces.

Les produits tiers mentionnés dans cet article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.

Retour au début
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Internet Security and Acceleration Server 2000 Edition Standard
  • Microsoft BackOffice Server 2000
  • Microsoft Small Business Server 2000 Standard Edition
Retour au début
Mots-clés : 
kbhowtomaster kbhowto KB812076
Retour au début
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
 

Get Help Now

Contact a support professional by E-mail, Online, or Phone

Traductions disponibles