Mainos / Advertisement:
Ero sivun ”Cisco IPSec” versioiden välillä
Siirry navigaatioon
Siirry hakuun
| Rivi 44: | Rivi 44: | ||
<pre> | <pre> | ||
| − | ip access-list | + | access-list 100 deny ip 10.10.0.0 0.0.0.255 10.11.0.0 0.0.0.255 |
| − | permit ip 10. | + | access-list 100 permit ip 10.10.0.0 0.0.0.255 any |
| + | access-list 101 permit ip 10.10.0.0 0.0.0.255 10.11.0.0 0.0.0.255 | ||
</pre> | </pre> | ||
| Rivi 55: | Rivi 56: | ||
set transform-set MY-SET | set transform-set MY-SET | ||
set pfs group2 | set pfs group2 | ||
| − | match address | + | match address 101 |
</pre> | </pre> | ||
Versio 1. maaliskuuta 2017 kello 21.29
Sisällysluettelo
Site to Site
Käytössämme on kaksi Cisco reititintä. Ohje on tehty 1800 sarjaisille reitittimille.
R2:
- fa0/0 192.168.1.2
- fa0/1 10.10.0.1
R3:
- fa0/0 192.168.1.3
- fa0/1 10.11.0.1
Varmista että sinulla on default route konfiguroitu vaikka sitä ei olisi oikeasti olemassa. Me käytämme 192.168.1.1 osoitetta.
R2 Reitittimen konfiguaatiot
Luodaan ISAKMP Policy phace 1:lle.
Create an ISAKMP policy for Phase 1
crypto isakmp policy 10 encr aes 256 hash sha authentication pre-share exit
Luo Pre-Shared Key cisco IP:lle 192.168.1.3
crypto isakmp key 0 cisco address 192.168.1.3
crypto ipsec transform-set MY-SET esp-aes 128 esp-sha-hmac exit crypto ipsec security-association lifetime seconds 3600
Salli IPSec sisällepäin
access-list 100 deny ip 10.10.0.0 0.0.0.255 10.11.0.0 0.0.0.255 access-list 100 permit ip 10.10.0.0 0.0.0.255 any access-list 101 permit ip 10.10.0.0 0.0.0.255 10.11.0.0 0.0.0.255
Luodaan Crypto Map
crypto map CMAP 10 ipsec-isakmp set peer 192.168.1.3 set transform-set MY-SET set pfs group2 match address 101
Lisää Crypto Map sitten ulospäin menevään interfaceen
interface 0/0 crypto map CMAP
R3 reitittimen konfiguraatiot
Tee sitten samat konfiguraatiot toiselle reitittimelle paitsi että muutat IP-osoitteet vastakkain.
Testaaminen
show crypto session
Mainos / Advertisement:
