Настраиваем VPN IPsec Cisco


IPSec — это архитектура или набор концепций, используемых для защиты сетей IP.

Это название — не аббревиатура, а сокращенная версия наименования в серии документов RFC (RFC 4301; архитектура безопасности Интернет-протокола — Security Architecture for the internet protocol), для которой употребляется название «IPsecurity» или сокращенная версия — «IPSec».
Технология cisco vpn ipsec определяет набор функций, например таких, как аутентификация и шифрование, а также соответствующие правила для каждой из них. Например, стек протоколов TCP/IP (иногда также называемый архитектурой) включает в себя несколько взаимозаменяемых альтернативных протоколов; аналогично архитектура IPSec позволяет выбрать среди нескольких реализаций протоколов для каждой технологии сети VPN нужную технологию. Одно из преимуществ архитектуры IPSec — возможность изменения и добавления технологий, когда разрабатываются новые и усовершенствованные протоколы систем защиты.

Практический материал взят с сайта xgu.ru

Настройка IPsec Vpn на маршрутизаторах Cisco

В Cisco IOS нет возможности настроить режим в котором будет работать ISAKMP на первой фазе. По умолчанию для аутентификации IKE (rsa-sig, rsa-encr или preshared) используется основной режим (main mode). Однако, если нет соответствующей информации для того чтобы начать аутентификацию и есть preshared key соотнесеный с именем хоста, Cisco IOS может инициировать агрессивный режим (aggressive mode). Устройство под управлением Cisco IOS на запрос в агрессивном режиме ответит также в агрессивном режиме.

Настройка IKE

ISAKMP Policy

(config)#crypto isakmp enable
(config)#crypto isakmp policy 110
(config-isakmp)#authentication pre-share
(config-isakmp)#encryption 3des
(config-isakmp)#group 2
(config-isakmp)#hash md5
(config-isakmp)#lifetime 36000

Pre-shared key

(config)#crypto isakmp key 0 password address 192.168.6.6

Сторона, которая инициирует соединение отправляет все свои политики, а удаленная сторона сравнивает свои политики с ними в порядке приоритетности своих политик.

Для того чтобы посмотреть какая политика была выбрана (какое шифрование, аутентификация, алгоритм хэширования, группа DH) и используется для существующего соединения:

Router# sh crypto isakmp sa detail

Настройка IPsec
Настройка transform set

IPsec transform set

(config)#crypto ipsec transform-set SNRS esp-des
(cfg-crypto-trans)#mode tunnel
(cfg-crypto-trans)#end

Настройка crypto ACL

IPsec crypto ACL

(config)#ip access-list extended 101
(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255

Настройка crypto map

IPsec crypto map

(config)#crypto map SNRS-MAP 10 ipsec-isakmp
(config-crypto-map)#match address 101
(config-crypto-map)#set transform-set SNRS
(config-crypto-map)#set peer 192.168.6.6

Применение crypto map на интерфейсе

(config-if)#crypto map SNRS-MAP

Настройка Cisco VNP завершена.



Comments

  1. By Сергей

    Ответить

    • By admin

      Ответить

  2. By Salavat

    Ответить

  3. Ответить

  4. By grg

    Ответить

  5. By Heidi

    Ответить

  6. Ответить

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>