Разлика между версии на „Site-to-Site IPsec VPN конфигурация с CLI“
от БАРЗИКТ Wiki
(→R3) |
|||
| Ред 10: | Ред 10: | ||
#Поставяне на "crypto map", обобщаващ параметрите на тунела на съответен интерфейс. | #Поставяне на "crypto map", обобщаващ параметрите на тунела на съответен интерфейс. | ||
==Първоначална конфигурация на устройствата от топологията== | ==Първоначална конфигурация на устройствата от топологията== | ||
| − | ===R1=== | + | ===Маршрутизатор R1=== |
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap;white-space: -pre-wrap;white-space: -o-pre-wrap; word-wrap: break-word"> | <pre style="white-space: pre-wrap; white-space: -moz-pre-wrap;white-space: -pre-wrap;white-space: -o-pre-wrap; word-wrap: break-word"> | ||
Router> | Router> | ||
| Ред 31: | Ред 31: | ||
R1# | R1# | ||
</pre> | </pre> | ||
| − | ===R2=== | + | ===Маршрутизатор R2=== |
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap;white-space: -pre-wrap;white-space: -o-pre-wrap; word-wrap: break-word"> | <pre style="white-space: pre-wrap; white-space: -moz-pre-wrap;white-space: -pre-wrap;white-space: -o-pre-wrap; word-wrap: break-word"> | ||
Router> | Router> | ||
| Ред 53: | Ред 53: | ||
R2(config-router)#end | R2(config-router)#end | ||
R2#</pre> | R2#</pre> | ||
| − | ===R3=== | + | ===Маршрутизатор R3=== |
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap;white-space: -pre-wrap;white-space: -o-pre-wrap; word-wrap: break-word"> | <pre style="white-space: pre-wrap; white-space: -moz-pre-wrap;white-space: -pre-wrap;white-space: -o-pre-wrap; word-wrap: break-word"> | ||
Router> | Router> | ||
| Ред 73: | Ред 73: | ||
R3(config-router)#end | R3(config-router)#end | ||
R3# | R3# | ||
| + | </pre> | ||
| + | |||
| + | ==Етап 1 - Проверка за филтриране на трафика== | ||
| + | Препоръчително е да се провери дали между двете мрежи, които трябва да комуникират през IPSec VPN не са филтрирани AH, ESP и UDP порт 500. | ||
| + | |||
| + | Примерни ACE, разрешаващи необходимия трафик са: | ||
| + | <pre style="white-space: pre-wrap; white-space: -moz-pre-wrap;white-space: -pre-wrap;white-space: -o-pre-wrap; word-wrap: break-word"> | ||
| + | access-list 101 permit ahp host 81.0.0.1 host 194.141.69.2 | ||
| + | access-list 101 permit esp host 81.0.0.1 host 194.141.69.2 | ||
| + | access-list 101 permit udp host 81.0.0.1 host 194.141.69.2 eq isakmp | ||
</pre> | </pre> | ||
Версия от 13:16, 27 март 2015
[[Category::Cisco]]
Примерна топология:
Съдържание
Етапи
Конфигурирането на Site-to-Site IPSec VPN на устройства на Cisco с CLI се състои от следните етапи:
- Проверка за съвместимост на филтрирането на трафика (ACL) с необходимите протоколи за IPSec.
- Конфигуриране на ISAKMP (IKE) политика.
- Конфигуриране на т.нар. "transform set".
- Дефиниране на ALC (crypto ACL), описваща кой трафик да преминава през тунела.
- Поставяне на "crypto map", обобщаващ параметрите на тунела на съответен интерфейс.
Първоначална конфигурация на устройствата от топологията
Маршрутизатор R1
Router> Router>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname R1 R1(config)#interface fa0/0 R1(config-if)#ip address 11.0.0.1 255.255.0.0 R1(config-if)#no shutdown R1(config-if)#int s0/0/0 R1(config-if)#ip address 81.0.0.1 255.0.0.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#router eigrp 101 R1(config-router)#network 81.0.0.0 R1(config-router)#network 11.0.0.0 R1(config-router)#no auto-summary R1(config-router)#end R1#
Маршрутизатор R2
Router> Router>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname R2 R2(config)#interface s0/0/0 R2(config-if)#ip address 81.0.0.2 255.0.0.0 R2(config-if)#clock rate 4000000 R2(config-if)#no shutdown R2(config-if)#interface s0/0/1 R2(config-if)#ip address 194.141.69.2 255.255.255.0 R2(config-if)#clock rate 4000000 R2(config-if)#no shutdown R2(config-if)#exit R2(config)#router eigrp 101 R2(config-router)#network 81.0.0.0 R2(config-router)#network 194.141.69.0 R2(config-router)#no auto-summary R2(config-router)#end R2#
Маршрутизатор R3
Router> Router>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname R3 R3(config)#interface fa0/0 R3(config-if)#ip address 12.0.0.1 255.255.0.0 R3(config-if)#no shutdown R3(config-if)#int s0/0/0 R3(config-if)#ip address 194.141.69.1 255.255.255.0 R3(config-if)#no shutdown R3(config-if)#exit R3(config)#router eigrp 101 R3(config-router)#network 194.141.69.0 R3(config-router)#network 12.0.0.0 R3(config-router)#no auto-summary R3(config-router)#end R3#
Етап 1 - Проверка за филтриране на трафика
Препоръчително е да се провери дали между двете мрежи, които трябва да комуникират през IPSec VPN не са филтрирани AH, ESP и UDP порт 500.
Примерни ACE, разрешаващи необходимия трафик са:
access-list 101 permit ahp host 81.0.0.1 host 194.141.69.2 access-list 101 permit esp host 81.0.0.1 host 194.141.69.2 access-list 101 permit udp host 81.0.0.1 host 194.141.69.2 eq isakmp
