Cisco настройка VPN туннеля Site to Site IPsec между маршрутизаторами.




Полезная ссылка: О нас и наших клиентах

 

Настройка VPN cisco.

 

Cisco VPN Site to Site IPSec используются для  безопасной передачи данных, голоса и видео между двумя удаленными офисами. Туннель VPN создается по сети Интернет и шифруются с использованием ряда передовых алгоритмов шифрования для обеспечения конфиденциальности передаваемых данных между двумя узлами.

Эта статья покажет, как установить и настроить два Cisco маршрутизаторах и сконфигурировать  Cisco VPN Site to Site через Интернет, используя IP Security (IPSec) протокола. В данном примере мы предположим, что оба Cisco маршрутизаторы имеют статический публичный IP-адрес.

 

ISAKMP (Internet Security Association and Key Management Protocol) и IPSec очень важны для создания и шифрования туннеля VPN. ISAKMP, еще называется IKE (Internet Key Exchange), являются протоколом переговоров, который позволяет двум устройствам договориться о том, какие критерии безопасность будут реализованы  в тунеле через IPsec. ISAKMP переговоры состоит из двух фаз: фазы 1 и фазы 2.

Полезная ссылка: Консультация по настройке оборудования Cisco

Фаза 1 создает первый тоннель, который защищает последующие сообщение через ISAKMP при создании туннео. Фаза 2 создает туннель, который защищает данные. IPSec затем вступает в игру для шифрования данных с использованием алгоритмов шифрования и обеспечивает аутентификацию, шифрование и анти-воспроизведения услуг.


Требования IPSec VPN

Чтобы сделать настройку cisco VPN, мы разделим его на два этапа.

Эти этапы являются:


(1)  Configure ISAKMP (ISAKMP Фаза 1)

(2)  Configure IPSec  (ISAKMP Фаза 2, ACLs(списки доступа), Crypto MAP)

 

Теперь перейдем к примеру. Возьмем небольшой центральный офис и удаленный офис( офис 1 и офис 2). На обеих концах стоят маршрутизаторы cisco. Оба маршрутизатора  подключения к Интернету и иметь статический IP-адрес присвоенный провайдером, как показано на диаграмме:


Офис 1 сконфигурирован с внутренней сетью 10.10.10.0/24, а офис 2 конфигурируется с сетью 20.20.20.0/24. Цель состоит в том, чтобы надежно соединить обе сети без каких-либо ограничений, но с шифрованием каналов.


 

Настройка ISAKMP (IKE) на оборудовании Cisco - (ISAKMP Фаза 1)

IKE существует только установить SAs (Security Association) для IPsec.  Для начала мы начнем работать в офисе 1,  маршрутизатор (R1).


Первый шаг заключается в настройке фазы 1 ISAKMP политика:

R1(config)#  crypto isakmp policy 1

R1(config-isakmp)# encr 3des

R1(config-isakmp)# hash md5

R1(config-isakmp)# authentication pre-share

R1(config-isakmp)# group 2

R1(config-isakmp)# lifetime 86400

 

Приведенные выше команды определяют следующие:

3DES - метод шифрования, который будет использоваться для Фазы 1.

MD5 - алгоритм хэширования

Pre-share  - использование Общий ключ в качестве метода аутентификации

Group 2  - Диффи-Хелмана, используемый

86400 - жизнь ключа сеанса. Выражено либо в киллобайтах или секундах. З начение по умолчанию.

 

Следует отметить, что фаза 1 ISAKMP  определяется в глобальном масштабе. Это означает, что если у нас есть пять различных удаленных офисов и настроены пять различных фаз 1 ISAKMP  (по одной фазе для каждого удаленного маршрутизатора), то когда маршрутизатор пытается использовать туннель VPN с каждого сайта он пошлет всех пяти политику и использовать первое совпадение настройки туннеля.

Затем мы собираемся определить pre shared  ключ для аутентификации с пиром (R2 маршрутизатор) с помощью следующей команды:

R1(config)# crypto isakmp key cslit address 1.1.1.2 

 

pre shared ключ пиров установлен в cslit и его IP адрес 1.1.1.2. Каждый раз, когда R1 пытается установить туннель VPN с R2 (1.1.1.2), это pre shared ключ будет использоваться.

 

Настройка IPSec на Cisco.

Для настройки IPSec нам нужно настроить следующие по порядку:

Создать расширенный ACL

- Создать  IPSec Transform

Создать Crypto Map

Применить crypto map до внешнего интерфейса

 

Создание расширенных ACL

 

Следующий шаг заключается в создании списка доступа и определить какой трафик должен проходить через туннель VPN. В данном примере это будет трафик из сети 10.10.10.0/24 в 20.20.20.0/24. Списков доступа, которые определяют VPN трафика иногда называют crypto access list  или interesting traffic access-list.

 

R1(config)# ip access-list extended VPN-TRAFFIC
R1(config-ext-nacl)# permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255

 

Создание IPSec Transform (ISAKMP политика фазы 2) 

 

Следующий шаг заключается в создании набор критериев, которые используются для защиты наших данных. Мы назвали этот TS:

R1(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac

Эта команда определяет следующее:

ESP-3DES - метод шифрования

MD5 - алгоритм хэширования

 

Cisco настройка VPN Crypto Map

Криптокарты является последним этапом нашей установки и соединяет ранее определенной ISAKMP и IPSec вместе:

R1(config)# crypto map CMAP 10 ipsec-isakmp

R1(config-crypto-map)# set peer 1.1.1.2

R1(config-crypto-map)# set transform-set TS

R1(config-crypto-map)# match address VPN-TRAFFIC

Мы назвали наш криптокарты CMAP.  

 

Применить crypto map до внешнего интерфейса.

Последним шагом является применение криптокарты на исходящий интерфейс маршрутизатора. Здесь, исходящего интерфейса FastEthernet 0/1.

R1(config)# interface FastEthernet0/1
R1(config- if)# crypto map CMAP

 

Обратите внимание, что вы можете назначить только однн crypto map к интерфейсу.

Мы завершили cisco настройку VPN IPSec  в первом офисе на маршрутизаторе.

Теперь мы переходим к настройке маршрутизатора cisco во втором офисе.

 

Настройки для маршрутизатора 2 идентичны, с той лишь разницей, что меняются IP адреса и аксес листы:

R2(config)# crypto isakmp policy 1

R2(config-isakmp)# encr 3des

R2(config-isakmp)# hash md5

R2(config-isakmp)# authentication pre-share

R2(config-isakmp)# group 2

R2(config-isakmp)# lifetime 86400

R2(config)# crypto isakmp key cslit address 1.1.1.1

R2(config)# ip access-list extended VPN-TRAFFIC

R2(config-ext-nacl)# permit ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255

 

R2(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac

R2(config)# crypto map CMAP 10 ipsec-isakmp

R2(config-crypto-map)# set peer 1.1.1.1

R2(config-crypto-map)# set transform-set TS

R2(config-crypto-map)# match address VPN-TRAFFIC

R2(config)# interface FastEthernet0/1

R2(config- if)# crypto map CMAP

 

Проверка настройки VPN IPsec на Cisco/

Если вы ввели все команды, то  можно приступать к проверки самого туннеля. Чтобы инициировать туннель VPN, необходимо что бы трафик прошел через него, а это можно сделать протоколом ICMP:

R1# ping 20.20.20.1 source fastethernet0/0

Type escapes sequence to abort.

Sending 5, 100-byte ICMP Echos to 20.20.20.1, timeout is 2 seconds:

Packet sent with a source address of 10.10.10.1

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 44/47/48 ms

Первый пинг получил тайм-аут, но остальные получили ответ, как и ожидалось. Время, необходимое, чтобы поднять VPN туннель на Cisco около 2 секунд, в результате чего первая пинг – истечение тайм-аута.

Для проверки VPN туннель, использовать команду show crypto session:

R1# show crypto session

Crypto session current status

Interface: FastEthernet0/1

Session status: UP-ACTIVE

Peer: 1.1.1.2 port 500

IKE SA: local 1.1.1.1/500 remote 1.1.1.2/500 Active

IPSEC FLOW: permit ip 10.10.10.0/255.255.255.0 20.20.20.0/255.255.255.0



Обновлен 12 июл 2014. Создан 20 авг 2013



  Комментарии       
Всего 4, последний 2 года назад
musor2000 31 окт 2014 ответить
Господа объясните как поднять второй тоннель?
   
juniper 20 ноя 2014 ответить
Добрый день. второй туннель поднять где: между одним из узлов первого туннеля и каким-то третьим или между теми же двумя узлами? Опять-таки необходимо уточнение. Пишите мне на почту, помогу настроить.
kkuzmin 25 фев 2015 ответить
Спасибо Вам огромное, очень помогли, я боролся с туннелем 3 суток, он все таки поднялся, но... пинги не ходят. Буду биться головой о стену ;)
arm.an 01 сен 2015 ответить
У меня тоже ping не ходит, и еще команда show crypto session нету
Имя или Email


При указании email на него будут отправляться ответы
Как имя будет использована первая часть email до @
Сам email нигде не отображается!
Зарегистрируйтесь, чтобы писать под своим ником

____

______
Яндекс.Метрика