Bog'liq Создание защищенных сетей VPN с помощью IPSec
Настройка IPSec на Cisco. Для настройки IPSec нам нужно настроить следующие по порядку:
- Создать расширенный ACL - Создать IPSec Transform - Создать Crypto Map - Применить crypto map до внешнего интерфейса Создание расширенных ACL Следующий шаг заключается в создании списка доступа и определить какой трафик должен проходить через туннель VPN. В данном примере это будет трафик из сети 10.10.10.0/24 в 20.20.20.0/24. Списков доступа, которые определяют VPN трафика иногда называют crypto access list или interesting traffic access-list. R1(config)# ip access-list extended VPN-TRAFFIC R1(config-ext-nacl)# permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255 Создание IPSec Transform (ISAKMP политика фазы 2) Следующий шаг заключается в создании набор критериев, которые используются для защиты наших данных. Мы назвали этот TS: R1(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac Эта команда определяет следующее:
- ESP-3DES - метод шифрования
- MD5 - алгоритм хэширования
Cisco настройка VPN Crypto Map Криптокарты является последним этапом нашей установки и соединяет ранее определенной ISAKMP и IPSec вместе:
R1(config)# crypto map CMAP 10 ipsec-isakmp R1(config-crypto-map)# set peer 1.1.1.2 R1(config-crypto-map)# set transform-set TS R1(config-crypto-map)# match address VPN-TRAFFIC Мы назвали наш криптокарты CMAP. Применить crypto map до внешнего интерфейса.
Последним шагом является применение криптокарты на исходящий интерфейс маршрутизатора. Здесь, исходящего интерфейса FastEthernet 0/1.
R1(config)# interfaceFastEthernet0/1 R1(config- if)# crypto map CMAP Обратите внимание, что вы можете назначить только однн crypto map к интерфейсу.
Мы завершили cisco настройку VPN IPSec в первом офисе на маршрутизаторе.
Теперь мы переходим к настройке маршрутизатора cisco во втором офисе. Настройки для маршрутизатора 2 идентичны, с той лишь разницей, что меняются IP адреса и аксес листы:
R2(config)# crypto isakmp policy 1 R2(config-isakmp)# encr 3des R2(config-isakmp)# hash md5 R2(config-isakmp)# authentication pre-share R2(config-isakmp)# group 2 R2(config-isakmp)# lifetime 86400 R2(config)# crypto isakmp key cslit address 1.1.1.1 R2(config)# ip access-list extended VPN-TRAFFIC R2(config-ext-nacl)# permit ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255 R2(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac R2(config)# crypto map CMAP 10 ipsec-isakmp R2(config-crypto-map)# set peer 1.1.1.1 R2(config-crypto-map)# set transform-set TS R2(config-crypto-map)# match address VPN-TRAFFIC R2(config)# interface FastEthernet0/1 R2(config- if)# crypto map CMAP