Cisco VPN тунел настройка сайт, за да IPSec място между маршрутизатори

Cisco конфигурация на тунел сайта VPN към сайта IPsec между маршрутизатори.

Създаване на VPN Cisco.

ISAKMP (Асоциация Internet Security и Key Management Protocol) и IPSec са много важни за създаването и криптиране на тунела VPN. В ISAKMP, наричан още IKE (Internet Key Exchange), преговаряме с протокол, който позволява две устройства, за да се споразумеят за по какви критерии ще се реализира в тунела за сигурност чрез IPsec. преговори ISAKMP се състои от две фази: Фаза 1 и Фаза 2.

Фаза 1 създава първия тунел, който защитава по-късно ISAKMP послание при създаването Tunne. Фаза 2 създава тунела, който защитава данните. След това IPSec да влезе в игра за криптиране на данни с помощта на алгоритми за криптиране и автентификация осигурява, криптиране и анти-пакетни услуги.

IPSec VPN Изисквания

За да направите Cisco VPN настройка, ние го разделете на два етапа.

Тези етапи са:

(1) Конфигуриране ISAKMP (ISAKMP Фаза 1)

(2) Конфигуриране IPSec (ISAKMP Фаза 2, ACL-(ACL-), Crypto MAP)

Office 1 е конфигуриран с вътрешна мрежа 10.10.10.0/24 и офис 2 е конфигуриран с мрежа 20.20.20.0/24. Целта е да се здраво свързване на две мрежи, без никакви ограничения, но с канал криптиране.

Конфигуриране ISAKMP (IKE) на oborudovaniiCisco- (ISAKMP Фаза 1)

IKE съществува само за да се установи SAs (Асоциация за сигурност) за IPsec. За да започнете, ние ще започнем да работим в офиса 1 рутер (R1).

Първата стъпка е да изберете ISAKMP политика на Фаза 1:

политика R1 (конфигурационния) # крипто ISAKMP 1

R1 (конфигурационния-ISAKMP) # encr 3DES

R1 (конфигурационния-ISAKMP) # хеш md5

R1 (конфигурационния-ISAKMP) # удостоверяване предварително дял

R1 (конфигурационния-ISAKMP) # група 2

R1 (конфигурационния-ISAKMP) # 86400 живот

Тази команда се определя, както следва:

3DES - метод за криптиране, за да бъдат използвани за Фаза 1.

MD5 - хеширане алгоритъм

Предварително споделяне - използването на споделен ключ като метод за удостоверяване

Група 2 - на Diffie-Hellman се използва

86400 - живота на ключа за достъп. Той изрази или killobaytah или секунди. Н Стойностите по подразбиране.

Имайте предвид, че фаза 1 ISAKMP дефинирани в световен мащаб. Това означава, че ако имаме пет различни отдалечени офиси и създаване на пет различна фаза 1 ISAKMP (една фаза за всяко дистанционно рутер), а след това на рутера се опитва да използват VPN тунел от всеки сайт, той ще изпрати всичките пет политика и да използва първия мач от настройките на тунела ,

След това ние ще се определи предварително споделен ключ за удостоверяване с угощение (маршрутизатор R2), като се използва следната команда:

R1 (довереник) # криптографски ключ ISAKMP cslit адрес 1.1.1.2

За да конфигурирате IPSec, ние трябва да конфигурирате следните, за да:

- Създаване на IPSec Transform

Създаване напреднал ACL

Следващата стъпка е да се създаде списък за достъп да се определи кои трафик трябва да мине през тунела VPN. В този пример, ще карам на трафика от мрежата за 10.10.10.0/24 20.20.20.0/24. списъци за достъп, които определят VPN трафик понякога наричани крипто списък за достъп или интересен трафик достъп списък.

R1 (довереник) # IP достъп списък удължен VPN-ТРАФИК
R1 (довереник-вътр-NaCl) # разрешение IP 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255

Създаване на IPSec Transform (Фаза 2 ISAKMP политика)

Следващата стъпка е да се създаде набор от критерии, които се използват за защита на нашите данни. Обадихме този TS:

R1 (конфигурационния) # крипто IPSec трансформация зададена TS ESP-3DES ESP-md5-HMAC

Тази команда определя следното:

- ESP-3DES - метод за криптиране

- MD5 - хеширане алгоритъм

Crypto е последният етап от нашата инсталация и се свързва по-рано дефинираната ISAKMP и IPSec заедно:

R1 (конфигурационния) # крипто карта СМАР 10 IPSec-ISAKMP

R1 (довереник-крипто-карта) # набор партньорска 1.1.1.2

R1 (довереник-крипто-карта) # набор трансформацията зададена TS

R1 (довереник-крипто-карта) # мач адрес VPN-ТРАФИК

Обадихме ни крипто СМАР.

Последната стъпка е да се приложи карта за шифроване на изходящи рутер интерфейс. Тук, изходящ интерфейс FastEthernet 0/1.

R1 (конфигурационния) # интерфейс FastEthernet0 / 1
R1 (конфигурирана ако) # крипто карта СМАР

Моля, имайте предвид, че можете да зададете само odnn крипто карта на интерфейса.

Приключихме IPSec cisconastroykuVPN в първия офис на рутера.

политика R2 (конфигурационния) # крипто ISAKMP 1

R2 (конфигурационния-ISAKMP) # encr 3DES

R2 (конфигурационния-ISAKMP) # хеш md5

R2 (конфигурационния-ISAKMP) # удостоверяване предварително дял

R2 (конфигурационния-ISAKMP) # група 2

R2 (конфигурационния-ISAKMP) # 86400 живот

R2 (довереник) # криптографски ключ ISAKMP cslit адрес 1.1.1.1

R2 (довереник) # IP достъп списък удължен VPN-ТРАФИК

R2 (довереник-вътр-NaCl) # разрешение IP 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255

R2 (конфигурационния) # крипто IPSec трансформация зададена TS ESP-3DES ESP-md5-HMAC

R2 (конфигурационния) # крипто карта СМАР 10 IPSec-ISAKMP

R2 (довереник-крипто-карта) # набор партньорска 1.1.1.1

R2 (довереник-крипто-карта) # набор трансформацията зададена TS

R2 (довереник-крипто-карта) # мач адрес VPN-ТРАФИК

R2 (конфигурационния) # интерфейс FastEthernet0 / 1

R2 (конфигурирана ако) # крипто карта СМАР

Ако сте въвели всички команди, можете да започнете да се провери самия тунел. За да наредите VPN тунел, трябва да имате, че трафикът преминава през него, и можете да направите, ICMP протокол:

R1 # пинг 20.20.20.1 източник fastethernet0 / 0

Вид избягва последователност, за да се откажем.

Изпращане 5, 100 байта ICMP Echos да 20.20.20.1, изчакване е 2 секунди:

Packet изпращат с адреса източник на 10.10.10.1

скорост успех е 80% (4/5), двупосочен мин / ср / макс = 44/47/48 MS

Ping е първият път, но останалата част имам отговор, както се очаква. Необходимото време да вземете VPN тунел на Cisco за около 2 секунди, в резултат на първия пинг - изчакване изтече.

За да тествате VPN тунела, използвайте крипто сесия командния шоу.

R1 # шоу крипто сесия

Crypto сесия актуално състояние

Статус на сесия: UP-ACTIVE

Peer: 1.1.1.2 порт 500

IKE SA: местно 1.1.1.1/500 дистанционно 1.1.1.2/500 Активен

IPSEC ПОТОК: разрешително IP 10.10.10.0/255.255.255.0 20.20.20.0/255.255.255.0