2011-01-31

IPSec site-to-site VPN Cisco routerekkel

Sok forrásból meríthetünk, ha Cisco IOS alatti site-to-site VPN példákat szeretnénk látni, az itt bemutatandó természetesen nem különbözik gyökeresen ezen példáktól, szóval különösebb újdonság jellege nem lesz a dolognak. Valójában csak egy referencia konfigurációt szeretnék bemutatni ebben a posztban, amire később bármikor tudok hivatkozni, és amit később majd olyan posztok fognak követni, amelyekben megváltozik ez vagy az a részlet.

Tegyük fel tehát, hogy két telephelyünk van, a telephelyek LAN-jai igen egyszerűek, egyetlen subnetből áll mindkettő. A két telephely összekötésére csak publikus hálózaton keresztül van módunk, a telephelyek közti belső forgalmat természetesen nem tárhatjuk fel az világ számára. Egyszerű site-to-site IPSec VPN-re van tehát szükség Cisco routerek közt, amelyhez az IPSec-es IOS-en kívül egy-egy publikus, fix IPv4 címre van szükség mindkét oldalon. Topológia:


A IPSec VPN beállítások összefoglalása:


R1 R2
Phase 1

Encryption AES256 AES256
Authentication SHA1 SHA1
Diffie–Hellman Group 5 5
Lifetime 28800 sec 28800 sec
Phase 2

Encryption AES128 AES128
Authentication MD5 MD5
Diffie–Hellman Group 5 5
Lifetime 3600 sec 3600 sec



Peer IP 10.1.1.2 10.1.1.1
Authentication method PSK (“TITOK”) PSK (“TITOK”)
Local interface FA0/0 FA0/0
Local subnet 10.2.2.0/24 10.3.3.0/24
Remote subnet 10.3.3.0/24 10.2.2.0/24
NAT-T nincs nincs
DPD nincs nincs
PFS van van
Compression nincs nincs

A következő IOS parancsokkal húzhatjuk fel az IPSec tunnelt R1-en:

interface FastEthernet0/0
ip address 10.1.1.1 255.255.255.0
no shutdown
exit

interface FastEthernet0/1
ip address 10.2.2.1 255.255.255.0
no shutdown
exit

ip route 10.3.3.0 255.255.255.0 10.1.1.2

crypto isakmp policy 10
encr aes 256
hash sha
authentication pre-share
group 5
lifetime 28800
exit

crypto isakmp key TITOK address 10.1.1.2

access-list 100 permit ip 10.100.31.0 0.0.0.255 10.100.30.0 0.0.0.255

crypto ipsec transform-set TESZTSET esp-aes 128 esp-md5-hmac
crypto ipsec security-association lifetime seconds 3600

crypto map TESZTMAP 50 ipsec-isakmp
set peer 10.1.1.2
set pfs group5
set transform-set TESZTSET
match address 100
exit

interface FastEthernet0/0
crypto map TESZTMAP
exit


A kékkel jelzett parancsok egybeesnek az IOS alapértelmezett értékeivel, így a show running-config nem fogja őket mutatni, be sem kell pötyögni, csak a teljesség kedvéért szerepelnek a parancsok közt. Az R1 konfigurációja természetesen ugyanezekkel a parancsokkal történik, az IP címeket és a subneteket éretelemszerűen fel kell cserélni, 10.1.1.1 helyett 10.1.1.2, 10.2.2.0 helyett 10.3.3.0 szerepel az R1-es parancsokban.

Nincsenek megjegyzések:

Megjegyzés küldése