Cisco tunel VPN site-ul de configurare pentru site-ul IPSec între routere
configurare Cisco a tunelului Site VPN pentru site IPsec între routere.
Configurarea VPN Cisco.
ISAKMP (Asociația Internet Security și Key Management Protocol) si IPSec sunt foarte importante pentru crearea și criptarea tunelului VPN. ISAKMP, de asemenea, numit IKE (Internet Key Exchange), se negociază un protocol care permite două dispozitive să fie de acord asupra a ceea ce criterii vor fi puse în aplicare în tunelul de securitate prin IPsec. Negocierile ISAKMP constă în două faze: Faza 1 si Faza 2.
Faza 1 creează primul tunel, care protejează mai târziu mesajul ISAKMP peste la crearea Tunne. Faza 2 creează tunelul care protejează datele. IPSec apoi intră în joc pentru a cripta datele folosind algoritmi de criptare și oferă autentificare, criptare și servicii anti-play.
Cerințe IPSec VPN
Pentru a face configurarea VPN Cisco, vom împărți în două etape.
Aceste etape sunt:
(1) Configurare ISAKMP (ISAKMP Faza 1)
(2) Configurarea IPSec (ISAKMP Phase 2, ACL-uri (ACL), Crypto MAP)
Biroul 1 este configurat cu o rețea internă 10.10.10.0/24, iar biroul 2 este configurat cu o rețea 20.20.20.0/24. Scopul este de a conecta în siguranță, două rețele fără nici o restricție, dar cu criptare canal.
Configurarea ISAKMP (IKE) pe oborudovaniiCisco- (ISAKMP Faza 1)
IKE există numai pentru a stabili societăți de supraveghere (Security Association) pentru IPSec. Pentru a începe, vom începe să lucreze la birou 1, un router (R1).
Primul pas este de a configura politica ISAKMP Faza 1:
Politica isakmp R1 (config) # cripto 1
R1 (config-isakmp) 3DES # encr
R1 (config-isakmp) md5 hash #
R1 (config-isakmp) # autentificare pre-parts
R1 (config-isakmp) # grup 2
R1 (config-isakmp) 86400 # durată de viață
Comanda de mai sus se determină după cum urmează:
3DES - metoda de criptare pentru a fi utilizate pentru Faza 1.
MD5 - algoritm de hashing
Predistribuire - utilizarea cheie partajată ca metoda de autentificare
Grupul 2 - Diffie-Hellman este utilizat
86400 - durata de viață a cheii de sesiune. Acesta și-a exprimat sau killobaytah sau secunde. H Valorile implicit.
Rețineți că Faza 1 ISAKMP definite la nivel global. Acest lucru înseamnă că, dacă avem cinci birouri la distanță diferite și a înființat cinci faze diferite 1 ISAKMP (o fază pentru fiecare router la distanță), atunci router-ul încearcă să utilizeze un tunel VPN de la fiecare site-ul va trimite toate cele cinci de politică și de a folosi primul meci al setărilor tunel .
Apoi, vom determina cheia partajată de pre pentru autentificarea cu un festin (routerul R2) utilizând următoarea comandă:
R1 (config) # criptografic isakmp adresa cslit cheie 1.1.1.2
Pentru a configura IPSec, trebuie să configurați următoarele în ordine:
- Crearea IPSec Transformarea
Creați ACL avansată
Următorul pas este de a crea o listă de acces pentru a determina care traficul trebuie să treacă prin tunel VPN. În acest exemplu, acesta va conduce traficul de la rețea pentru a 10.10.10.0/24 20.20.20.0/24. liste de acces care definesc traficul VPN, uneori numita listă de acces cripto sau interesant in lista de acces de trafic.
R1 (config) # ip lista de acces extins VPN-TRAFICULUI
R1 (config-ext-clorură de sodiu) # ip permis 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255
Crearea IPSec Transformarea (Faza 2 ISAKMP politica)
Următorul pas este de a stabili un set de criterii care sunt folosite pentru a proteja datele noastre. Am numit TS:
R1 (config) # cripto-set ipsec transformatei TS esp-3DES esp-md5-HMAC
Această comandă definește următoarele:
- ESP-3DES - metoda de criptare
- MD5 - algoritm de hashing
Crypto este ultima etapă a instalării noastre și conectează ISAKMP definit anterior și IPSec împreună:
R1 (config) # criptografic hartă PAMC 10 ipsec-isakmp
R1 (config-cripto-hartă) # set de la egal la egal 1.1.1.2
R1 (config-cripto-map) # set-set TS transformatei
R1 (config-cripto-harta) # Adresa meci VPN-TRAFICULUI
Am numit PAMC nostru cripto.
Ultimul pas este de a aplica hărții cripto la interfața router ieșire. Aici, interfața de ieșire FastEthernet 0/1.
R1 (config) # interfață FastEthernet0 / 1
R1 (dacă configura cam) # cripto hartă PAMC
Vă rugăm să rețineți că puteți atribui numai harta cripto odnn la interfața.
Am finalizat IPSec cisconastroykuVPN în primul birou de pe router.
politica isakmp R2 (config) # crypto 1
R2 (config-isakmp) 3DES # encr
R2 (config-isakmp) md5 hash #
R2 (config-isakmp) # autentificare pre-parts
R2 (config-isakmp) # grup 2
R2 (config-isakmp) 86400 # durată de viață
R2 (config) # criptografic isakmp adresa cslit cheie 1.1.1.1
R2 (config) # ip lista de acces extins VPN-TRAFICULUI
R2 (config-ext-clorură de sodiu) # ip permis 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255
R2 (config) # cripto-set ipsec transformatei TS esp-3DES esp-md5-HMAC
R2 (config) # criptografic hartă PAMC 10 ipsec-isakmp
R2 (config-cripto-hartă) # set de la egal la egal 1.1.1.1
R2 (config-cripto-map) # set-set TS transformatei
R2 (config-cripto-harta) # Adresa meci VPN-TRAFICULUI
R2 (config) # interfață FastEthernet0 / 1
R2 (dacă configura cam) # cripto hartă PAMC
Dacă ați introdus toate comenzile, puteți începe să verificați tunelul în sine. Pentru a iniția un tunel VPN, trebuie să aveți că traficul a trecut prin ea, și puteți face protocolul ICMP:
R1 # ping 20.20.20.1 sursa FastEthernet0 / 0
Tipul scapă de secvență pentru a abandona.
Trimiterea 5, 100 bytes ICMP Ecouri la 20.20.20.1, timeout este de 2 secunde:
Pachet trimis cu o adresă sursă de 10.10.10.1
Rata de succes este de 80 la suta (4/5), tur-retur min / avg / max = 44/47/48 ms
Ping a fost prima dată afară, dar restul a primit un răspuns, cum era de așteptat. Timpul necesar pentru a ridica un tunel VPN pe Cisco timp de aproximativ 2 secunde, rezultând în primul ping - timeout expiră.
Pentru a testa tunelul VPN, utilizați sesiunea cripto comanda spectacol.
R1 # show-a sesiune cripto
Sesiunea Crypto starea curentă
Starea sesiunii:-UP ACTIVE
Peer: 1.1.1.2 portul 500
IKE SA: locală 1.1.1.1/500 la distanță 1.1.1.2/500 activă
IPSEC DEBIT: permis de ip 10.10.10.0/255.255.255.0 20.20.20.0/255.255.255.0