Mainos / Advertisement:

Cisco IPSec

Kohteesta Taisto
Versio hetkellä 1. maaliskuuta 2017 kello 21.31 – tehnyt Minh (keskustelu | muokkaukset) (→‎R2 Reitittimen konfiguaatiot)
Siirry navigaatioon Siirry hakuun


Site to Site

Käytössämme on kaksi Cisco reititintä. Ohje on tehty 1800 sarjaisille reitittimille.

R2:

  • fa0/0 192.168.1.2
  • fa0/1 10.10.0.1

R3:

  • fa0/0 192.168.1.3
  • fa0/1 10.11.0.1

Varmista että sinulla on default route konfiguroitu vaikka sitä ei olisi oikeasti olemassa. Me käytämme 192.168.1.1 osoitetta.

R2 Reitittimen konfiguaatiot

Luodaan ISAKMP Policy phace 1:lle.

Create an ISAKMP policy for Phase 1

crypto isakmp policy 10
 encr aes 256
 hash sha
 authentication pre-share
exit

Luo Pre-Shared Key cisco IP:lle 192.168.1.3

crypto isakmp key 0 cisco address 192.168.1.3
crypto ipsec transform-set MY-SET esp-aes  128 esp-sha-hmac
exit
crypto ipsec security-association lifetime seconds 3600

Salli IPSec sisällepäin

access-list 100 deny   ip 10.10.0.0 0.0.0.255 10.11.0.0 0.0.0.255
access-list 100 permit ip 10.10.0.0 0.0.0.255 any
access-list 101 permit ip 10.10.0.0 0.0.0.255 10.11.0.0 0.0.0.255

Luodaan Crypto Map

crypto map CMAP 10 ipsec-isakmp
  set peer 192.168.1.3
  set transform-set MY-SET
  set pfs group2
  match address 101

Lisää Crypto Map sitten ulospäin menevään interfaceen sekä luo konfiguroi NAT ulospäin fa0/0 interfaceen.

interface FastEthernet0/0
 ip address 192.168.1.2 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 crypto map CMAP
!
interface FastEthernet0/1
 ip address 10.10.0.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
!
ip nat inside source list 100 interface FastEthernet0/0 overload

R3 reitittimen konfiguraatiot

Tee sitten samat konfiguraatiot toiselle reitittimelle paitsi että muutat IP-osoitteet vastakkain.

Testaaminen

 show crypto session
Mainos / Advertisement: