Site-to-Site IPsec VPN конфигурация с CLI

от БАРЗИКТ Wiki
Направо към: навигация, търсене

[[Category::Cisco]] Примерна топология: IPSec Site to Site Topology.png

Етапи

Конфигурирането на Site-to-Site IPSec VPN на устройства на Cisco с CLI се състои от следните етапи:

  1. Проверка за съвместимост на филтрирането на трафика (ACL) с необходимите протоколи за IPSec.
  2. Конфигуриране на ISAKMP (IKE) политика.
  3. Конфигуриране на т.нар. "transform set".
  4. Дефиниране на ALC (crypto ACL), описваща кой трафик да преминава през тунела.
  5. Поставяне на "crypto map", обобщаващ параметрите на тунела на съответен интерфейс.

Първоначална конфигурация на устройствата от топологията

R1

Router>
Router>enable
Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#hostname R1
R1(config)#interface fa0/0
R1(config-if)#ip address 11.0.0.1 255.255.0.0
R1(config-if)#no shutdown
R1(config-if)#int s0/0/0
R1(config-if)#ip address 81.0.0.1 255.0.0.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#router eigrp 101
R1(config-router)#network 81.0.0.0
R1(config-router)#network 11.0.0.0
R1(config-router)#no auto-summary
R1(config-router)#end
R1#

R2

Router>
Router>enable
Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#hostname R2
R2(config)#interface s0/0/0
R2(config-if)#ip address 81.0.0.2 255.0.0.0
R2(config-if)#clock rate 4000000
R2(config-if)#no shutdown
R2(config-if)#interface s0/0/1
R2(config-if)#ip address 194.141.69.2 255.255.255.0
R2(config-if)#clock rate 4000000
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#router eigrp 101
R2(config-router)#network 81.0.0.0
R2(config-router)#network 194.141.69.0
R2(config-router)#no auto-summary
R2(config-router)#end
R2#

R3

Router>
Router>enable
Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#hostname R3
R3(config)#interface fa0/0
R3(config-if)#ip address 12.0.0.1 255.255.0.0
R3(config-if)#no shutdown
R3(config-if)#int s0/0/0
R3(config-if)#ip address 194.141.69.1 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#router eigrp 101
R3(config-router)#network 194.141.69.0
R3(config-router)#network 12.0.0.0
R3(config-router)#no auto-summary
R3(config-router)#end
R3#
Взето от „http://wiki.ict.academy/index.php?title=Site-to-Site_IPsec_VPN_конфигурация_с_CLI&oldid=94“.