IPsec Site-to-Site VPN - объединение сетей IPsec RA VPN - подключение удаленного пользователя IPsec Remout Access VPN - подключение удаленного пользователя -------------------------------------- Первая фаза enable - входим в привилегированный режим configure terminal - входим в режим глобальной настройки crypto isakmp policy 1 - создаем политику encryption 3des - выбираем алгоритм шифрование 3des hash md5 - выбираем алгоритм хеширования md5 authentication pre-share - аутентификация обмен сертификатами group 2 - алгоритм Ди́ффи-Хе́ллмана обмен ключей exit - вышли из crypto isakmp policy 1 -------------------------------------- Настройка ключа аутентификации и пира crypto isakmp key cisco address 210.210.2.2 - секретный ключ будет cisco а адрес пира -------------------------------------- Вторая фаза crypto ipsec transform-set TS esp-3des esp-md5-hmac - задаем параметры необходимы для построения ipsec тунеля -------------------------------------- Определяем какой трафик мы будем шифровать ip access-list extended FOR-VPN - создаем расширенный access-list с именем FOR-VPN permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 - (используется cisco wild card) разрешаем трафик с 192.168.1.0/24 на 192.168.2.0/24 exit - вышли из FOR-VPN -------------------------------------- Создаем криптокарту crypto map CMAP 10 ipsec-isakmp - создаем криптокарту с именем CMAP set peer 210.210.2.2 - указываем пир (внешний адрес филиала) set transform-set TS - указываем параметры ipsec туннеля match address FOR-VPN - указываем какой трафик нужны шифровать exit - вышли из создания криптокарты CMAP -------------------------------------- Привязываем к интерфейсу криптокарту interface fastEthernet 0/0 - выбираем интерфейс fastEthernet 0/0 (смотрит в интернет outside) crypto map CMAP - привязали криптокарту к интерфейсу exit - вышли из настройки интерфейса -------------------------------------- Также нужно настроить NAT no ip access-list standard FOR-NAT - удалим существующий access-list с именем FOR-NAT ip access-list extended FOR-NAT - создадим расширенный access-list с именем FOR-NAT deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 - правила запрета NAT трафика из 192.168.1.0/24 в сеть 192.168.2.0/24 permit ip 192.168.1.0 0.0.0.255 any - остальной трафик разрешаем NAT exit - вышли из создания расширенного списка FOR-NAT☺ -------------------------------------- Повторяем все на другой стороне (изменив ip address !!!) show crypto isakmp sa - проверка состояния технологического туннеля show crypto ipsec sa - проверка состояния ipsec тунеля
Рубрики