IPsec в Cisco
Материал из Xgu.ru
- Короткий URL: ipsec/cisco
На этой странице рассматривается процедура настройки IPsec в Cisco.
Содержание |
[править] Настройка IPsec на маршрутизаторах Cisco
В Cisco IOS нет возможности настроить режим в котором будет работать ISAKMP на первой фазе. По умолчанию для аутентификации IKE (rsa-sig, rsa-encr или preshared) используется основной режим (main mode). Однако, если нет соответствующей информации для того чтобы начать аутентификацию и есть preshared key соотнесеный с именем хоста, Cisco IOS может инициировать агрессивный режим (aggressive mode). Устройство под управлением Cisco IOS на запрос в агрессивном режиме ответит также в агрессивном режиме.
[править] Настройка IKE
[править] ISAKMP Policy
(config)#crypto isakmp enable (config)#crypto isakmp policy 110 (config-isakmp)#authentication pre-share (config-isakmp)#encryption 3des (config-isakmp)#group 2 (config-isakmp)#hash md5 (config-isakmp)#lifetime 36000
Pre-shared key
(config)#crypto isakmp key 0 password address 192.168.6.6
Сторона, которая инициирует соединение отправляет все свои политики, а удаленная сторона сравнивает свои политики с ними в порядке приоритетности своих политик.
Для того чтобы посмотреть какая политика была выбрана (какое шифрование, аутентификация, алгоритм хэширования, группа DH) и используется для существующего соединения:
Router# sh crypto isakmp sa detail
[править] Настройка IPsec
[править] Настройка transform set
IPsec transform set
(config)#crypto ipsec transform-set SNRS esp-des (cfg-crypto-trans)#mode tunnel (cfg-crypto-trans)#end
[править] Настройка crypto ACL
IPsec crypto ACL
(config)#ip access-list extended 101 (config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255
[править] Настройка crypto map
IPsec crypto map
(config)#crypto map SNRS-MAP 10 ipsec-isakmp (config-crypto-map)#match address 101 (config-crypto-map)#set transform-set SNRS (config-crypto-map)#set peer 192.168.6.6
[править] Применение crypto map на интерфейсе
(config-if)#crypto map SNRS-MAP
[править] GRE и IPsec
Crypto-map применить только на физическом интерфейсе (в старых IOS, до 12.2(13)T, надо было и на туннельном и на физическом).
Ссылки:
[править] Разное
Для случаев, когда используются два интерфейса для терминирования одной и той же сессии IPsec, можно использовать команду crypto map local-address. Тогда будет устанавливаться только одна IPsec SA для трафика, который передается через оба интерфейса ([1]):
router(config)# crypto map <map-name> local-address <interface-id>
IP-адрес указанного интерфейса будет использоваться как локальный адрес для трафика IPsec (и IKE), который выходит с этого интерфейса или предназначен ему.
[править] Пример сети
[править] Пример конфигурации маршрутизаторов
Конфигурация dyn1:
! crypto isakmp policy 10 authentication pre-share crypto isakmp key cisco address 192.168.3.3 ! ! crypto ipsec transform-set SET esp-des ! crypto map MAP 10 ipsec-isakmp set peer 192.168.3.3 set transform-set SET match address 101 ! ! ! interface Tunnel0 ip address 192.168.100.1 255.255.255.0 tunnel source 192.168.2.1 tunnel destination 192.168.3.3 ! interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ! interface FastEthernet1/0 ip address 192.168.2.1 255.255.255.0 crypto map MAP ! router ospf 1 log-adjacency-changes network 192.168.1.0 0.0.0.255 area 0 network 192.168.100.0 0.0.0.255 area 0 ! ip route 192.168.3.3 255.255.255.255 192.168.2.2 ! access-list 101 permit gre host 192.168.2.1 host 192.168.3.3 !
Конфигурация dyn3:
crypto isakmp policy 10 authentication pre-share crypto isakmp key cisco address 192.168.2.1 ! ! crypto ipsec transform-set SET esp-des ! crypto map MAP 10 ipsec-isakmp set peer 192.168.2.1 set transform-set SET match address 101 ! ! ! interface Tunnel0 ip address 192.168.100.3 255.255.255.0 tunnel source 192.168.3.3 tunnel destination 192.168.2.1 ! interface FastEthernet0/0 ip address 192.168.3.3 255.255.255.0 crypto map MAP ! interface FastEthernet1/0 ip address 192.168.4.3 255.255.255.0 ! router ospf 1 log-adjacency-changes network 192.168.4.0 0.0.0.255 area 0 network 192.168.100.0 0.0.0.255 area 0 ! ip route 192.168.2.1 255.255.255.255 192.168.3.2 ! access-list 101 permit gre host 192.168.3.3 host 192.168.2.1 !
Конфигурация qua2:
! interface eth0 ip address 192.168.2.2/24 ! interface eth1 ip address 192.168.3.2/24 !
[править] Настройка IPsec на Cisco PIX/ASA
- Включить ISAKMP
- Создать ISAKMP Policy
- Создать туннельную группу
- Создать transform set
- Создать ACL (что шифровать)
- Настроить правило NAT 0
- Создать crypto map
- Применить crypto map
ASA(config)# isakmp enable outside ASA(config)# isakmp identity address
ASA(config)# isakmp policy 10 ASA(config-isakmp-policy)# authentication pre-share ASA(config-isakmp-policy)# exit
Настраиваем тип tunnel-group'ы:
ASA(config)# tunnel-group 192.168.2.1 type ipsec-l2l
Заходим в режим
ASA(config)# tunnel-group 192.168.2.1 ipsec-attributes ASA(config-tunnel-ipsec)# pre-shared-key cisco
ASA(config)# crypto ipsec transform-set ASA2 esp-des esp-none
ASA(config)# access-list VPNL2L permit ip host 192.168.1.10 host 192.168.2.10
ASA(config)# nat (inside) 0 access-list VPNL2L
ASA(config)# crypto map PEERASA2 10 match address VPNL2L ASA(config)# crypto map PEERASA2 10 set peer 192.168.2.2 ASA(config)# crypto map PEERASA2 10 set transform-set ASA1 ASA(config)# crypto map PEERASA2 interface outside
[править] Дополнительная информация
- An Introduction to IP Security (IPSec) Encryption — Введение в IPsec на сайте cisco.com
- Configuring Internet Key Exchange for IPSec VPNs
- Configuration Examples and TechNotes - Примеры конфигураций IPsec и IKE на сайте cisco.com
- IPsec Manual Keying Between Routers
ISAKMP Profile:
- DMVPN and Easy VPN Server with ISAKMP Profiles Configuration Example
- ISAKMP Profile Overview
- Working with ISAKMP Profiles
- ISAKMP Profiles
Cisco PIX/ASA: