Tegyük fel tehát, hogy két telephelyünk van, a telephelyek LAN-jai igen egyszerűek, egyetlen subnetből áll mindkettő. A két telephely összekötésére csak publikus hálózaton keresztül van módunk, a telephelyek közti belső forgalmat természetesen nem tárhatjuk fel az világ számára. Egyszerű site-to-site IPSec VPN-re van tehát szükség Cisco routerek közt, amelyhez az IPSec-es IOS-en kívül egy-egy publikus, fix IPv4 címre van szükség mindkét oldalon. Topológia:
A IPSec VPN beállítások összefoglalása:
R1 | R2 | |
Phase 1 | ||
Encryption | AES256 | AES256 |
Authentication | SHA1 | SHA1 |
Diffie–Hellman Group | 5 | 5 |
Lifetime | 28800 sec | 28800 sec |
Phase 2 | ||
Encryption | AES128 | AES128 |
Authentication | MD5 | MD5 |
Diffie–Hellman Group | 5 | 5 |
Lifetime | 3600 sec | 3600 sec |
Peer IP | 10.1.1.2 | 10.1.1.1 |
Authentication method | PSK (“TITOK”) | PSK (“TITOK”) |
Local interface | FA0/0 | FA0/0 |
Local subnet | 10.2.2.0/24 | 10.3.3.0/24 |
Remote subnet | 10.3.3.0/24 | 10.2.2.0/24 |
NAT-T | nincs | nincs |
DPD | nincs | nincs |
PFS | van | van |
Compression | nincs | nincs |
A következő IOS parancsokkal húzhatjuk fel az IPSec tunnelt R1-en:
interface FastEthernet0/0A kékkel jelzett parancsok egybeesnek az IOS alapértelmezett értékeivel, így a show running-config nem fogja őket mutatni, be sem kell pötyögni, csak a teljesség kedvéért szerepelnek a parancsok közt. Az R1 konfigurációja természetesen ugyanezekkel a parancsokkal történik, az IP címeket és a subneteket éretelemszerűen fel kell cserélni, 10.1.1.1 helyett 10.1.1.2, 10.2.2.0 helyett 10.3.3.0 szerepel az R1-es parancsokban.
ip address 10.1.1.1 255.255.255.0
no shutdown
exit
interface FastEthernet0/1
ip address 10.2.2.1 255.255.255.0
no shutdown
exit
ip route 10.3.3.0 255.255.255.0 10.1.1.2
crypto isakmp policy 10
encr aes 256
hash sha
authentication pre-share
group 5
lifetime 28800
exit
crypto isakmp key TITOK address 10.1.1.2
access-list 100 permit ip 10.100.31.0 0.0.0.255 10.100.30.0 0.0.0.255
crypto ipsec transform-set TESZTSET esp-aes 128 esp-md5-hmac
crypto ipsec security-association lifetime seconds 3600
crypto map TESZTMAP 50 ipsec-isakmp
set peer 10.1.1.2
set pfs group5
set transform-set TESZTSET
match address 100
exit
interface FastEthernet0/0
crypto map TESZTMAP
exit
Nincsenek megjegyzések:
Megjegyzés küldése