enable - входим в привилегированный режим configure terminal - входим в режим глобальной настройки interface vlan 2 - настраиваем vlan 2 (по умолчанию 0/0 входит в vlan 2 и подключают к интернет) ip address 210.210.1.2 255.255.255.252 - задали ip адрес 210.210.1.2/30 no shutdown - включили интерфейс exit - вышли из настройки vlan 2 ----------------------------------------- NAT + icmp route outside 0.0.0.0 0.0.0.0 210.210.1.1 - создаем маршрут по умолчанию для локальки class-map inspection_default - создаем класс мап inspection_default match default-inspection-traffic - добавили правило exit - вышли из настройки inspection_default policy-map global_policy - создаем правила global_policy class inspection_default - добавляем созданный ранее класс мап inspect icmp - инспектируем icmp (ping) exit - вышли из настройки global_policy service-policy global_policy global - делаем global_policy глобальной политикой ---------------------------------------- Настройка первой фазы VPN enable - входим в привилегированный режим configure terminal - входим в режим глобальной настройки crypto ikev1 enable outside - включаем ikev1 на outside (на внешнем интерфейсе) crypto ikev1 policy 1 - определяем политику encr 3des - шифрование 3des hash md5 - хеширование md5 authentication pre-share - аутентификация обмен сертификатами group 2 - - алгоритм Ди́ффи-Хе́ллмана обмен ключей lifetime 43200 - (можно оставить по умолчанию) exit - вышли из crypto ikev1 policy 1 ---------------------------------------- Настройка ключа аутентификации и пир tunnel-group 210.210.2.2 type ipsec-l2l - создаем туннель указываем ipsec-l2l (site-to-site) tunnel-group 210.210.2.2 ipsec-attributes - создаем атребуты ikev1 pre-shared-key cisco - задаем пароль cisco exit ---------------------------------------- Вторая фаза crypto ipsec ikev1 transform-set TS esp-3des esp-md5-hmac ---------------------------------------- Определяем какой трафик шифровать access-list FOR-VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 - создаем access-list c именем FOR-VPN разрешаем icmp (ping) ---------------------------------------- Создаем криптокарту crypto map To-Site2 1 match address FOR-VPN - создаем карту с именем To-Site2 для трафика accsess-list с именем FOR-VPN crypto map To-Site2 1 set peer 210.210.2.2 - задаем peer с ip 210.210.2.2 ( удаленный офис) crypto map To-Site2 1 set security-association lifetime seconds 86400 - время жизни туннеля в секундах crypto map To-Site2 1 set ikev1 transform-set TS - привязываем к TS ---------------------------------------- Привязываем к интерфейсу crypto map To-Site2 interface outside - привязали на внешний интерфейс --------------------------------------- Создаем правило что бы ASA могла расшифровать VPN трафик и отправить его в локалку access-list FROM-VPN permit icmp 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0 - разрешили трафик из vpn попадать в локалку access-group FROM-VPN out interface inside - привязали к локальному интерфейсу --------------------------------------- На второй ASE будет вот так enable configure terminal crypto ikev1 enable outside crypto ikev1 policy 1 encr 3des hash md5 authentication pre-share group 2 lifetime 43200 exit tunnel-group 210.210.1.2 type ipsec-l2l tunnel-group 210.210.1.2 ipsec-attributes ikev1 pre-shared-key cisco exit crypto ipsec ikev1 transform-set TS esp-3des esp-md5-hmac access-list FOR-VPN extended permit icmp 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0 crypto map To-Site1 1 match address FOR-VPN crypto map To-Site1 1 set peer 210.210.1.2 crypto map To-Site1 1 set security-association lifetime seconds 86400 crypto map To-Site1 1 set ikev1 transform-set TS crypto map To-Site1 interface outside access-list FROM-VPN permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 access-group FROM-VPN out interface inside end write mem --------------------------------------- диагностика show crypto isakmp sa - проверяем туннель (isakmp) show crypto ipsec sa - проверим ipsec (шифрование пакетов) ---------------------------------------
Рубрики