Site-to-Site IPsec VPN конфигурация с CLI

[[Category::Cisco]] Примерна топология:

Етапи

Конфигурирането на Site-to-Site IPSec VPN на устройства на Cisco с CLI се състои от следните етапи:

1. Проверка за съвместимост на филтрирането на трафика (ACL) с необходимите протоколи за IPSec.
2. Конфигуриране на ISAKMP (IKE) политика.
3. Конфигуриране на т.нар. "transform set".
4. Дефиниране на ALC (crypto ACL), описваща кой трафик да преминава през тунела.
5. Поставяне на "crypto map", обобщаващ параметрите на тунела на съответен интерфейс.

Първоначална конфигурация на устройствата от топологията

R1

Router>
Router>enable
Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#hostname R1
R1(config)#interface fa0/0
R1(config-if)#ip address 11.0.0.1 255.255.0.0
R1(config-if)#no shutdown
R1(config-if)#int s0/0/0
R1(config-if)#ip address 81.0.0.1 255.0.0.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#router eigrp 101
R1(config-router)#network 81.0.0.0
R1(config-router)#network 11.0.0.0
R1(config-router)#no auto-summary
R1(config-router)#end
R1#

R2

Router>
Router>enable
Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#hostname R2
R2(config)#interface s0/0/0
R2(config-if)#ip address 81.0.0.2 255.0.0.0
R2(config-if)#clock rate 4000000
R2(config-if)#no shutdown
R2(config-if)#interface s0/0/1
R2(config-if)#ip address 194.141.69.2 255.255.255.0
R2(config-if)#clock rate 4000000
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#router eigrp 101
R2(config-router)#network 81.0.0.0
R2(config-router)#network 194.141.69.0
R2(config-router)#no auto-summary
R2(config-router)#end
R2#