четверг, 8 ноября 2012 г.

IP-SEC + GRE


На основе http://www.justadmin.ru/cisco/ipsec-site-to-site-vpns-na-cisco/
Также http://www.firewall.cx/cisco-technical-knowledgebase/cisco-routers/867-cisco-router-site-to-site-ipsec-vpn.html
http://xgu.ru/wiki/Cisco_IOS_Site-to-Site_VPN

1. Первоначальная настройка центрального сервера (на примере Оренбурга - 14-ая подсеть)

1) ISAKMP фаза 1
crypto isakmp enable
crypto isakmp policy 1
  encryption aes
  hash sha512
  authentication pre-share
  group 2
  lifetime 86400

проверка:
show crypto isakmp policy

2) Аутентификация
crypto isakmp key бла-бла-бла address 79.122.198.50

3) Настройка IPSEC Transform Set
crypto ipsec transform-set TRF_SET1 ah-sha-hmac esp-aes

4) Создание профиля IPSEC
crypto ipsec profile IPSEC_PROF1
  set transform-set TRF_SET1

6) Настройки GRE туннеля:
interface Tunnel14
 ip addr 10.2.14.1 255.255.255.252
 tunnel source fa1/0
 tunnel destination 79.122.198.50
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile IPSEC_PROF1

7) Настройка маршрутизации

router eigrp 65001
 no autosummary
 network 10.1.0.0 0.0.255.255
 network 10.2.14.0 0.0.0.3

2. Настройка филиала (на примере Оренбурга)


1) ISAKMP фаза 1
crypto isakmp enable
crypto isakmp policy 1
  encryption aes
  hash sha512
  authentication pre-share
  group 2
  lifetime 86400

2) Аутентификация
crypto isakmp key бла-бла-бла address 84.204.30.84

3) Настройка IPSEC Transform Set
crypto ipsec transform-set TRF_SET1 ah-sha-hmac esp-aes

4) Создание профиля IPSEC
crypto ipsec profile IPSEC_PROF1
  set transform-set TRF_SET1

6) Настройки GRE туннеля:
interface Tunnel0
 ip addr 10.2.14.2 255.255.255.252
 tunnel source fa4
 tunnel destination 84.204.30.84
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile IPSEC_PROF1

7) Настройка маршрутизации EIGRP

router eigrp 65001
  no autosummary
  network 10.14.0.0 0.0.255.255
  network 10.2.14.0 0.0.0.3


3. Настройка центрального маршрутизатора на дополнительные филиалы (на примере Екатеринбурга - 16 подсеть)

1) Доп. пароль на конкретный филиал
crypto isakmp key 3edc4rFV address 81.17.6.154

2) Настройки GRE туннеля:
interface Tunnel16
 ip addr 10.2.16.1 255.255.255.252
 tunnel source fa1/0
 tunnel destination 81.17.6.154
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile IPSEC_PROF1

3) Добавление маршрутов

router eigrp 65001
 network 10.2.16.0 0.0.0.3


Комментариев нет:

Отправить комментарий