IPsec в Cisco

Материал из Xgu.ru

Перейти к: навигация, поиск
stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Короткий URL: ipsec/cisco

На этой странице рассматривается процедура настройки IPsec в Cisco.

Содержание

[править] Настройка IPsec на маршрутизаторах Cisco

В Cisco IOS нет возможности настроить режим в котором будет работать ISAKMP на первой фазе. По умолчанию для аутентификации IKE (rsa-sig, rsa-encr или preshared) используется основной режим (main mode). Однако, если нет соответствующей информации для того чтобы начать аутентификацию и есть preshared key соотнесеный с именем хоста, Cisco IOS может инициировать агрессивный режим (aggressive mode). Устройство под управлением Cisco IOS на запрос в агрессивном режиме ответит также в агрессивном режиме.

[править] Настройка IKE

[править] ISAKMP Policy

(config)#crypto isakmp enable
(config)#crypto isakmp policy 110 
(config-isakmp)#authentication pre-share
(config-isakmp)#encryption 3des
(config-isakmp)#group 2
(config-isakmp)#hash md5
(config-isakmp)#lifetime 36000

Pre-shared key

(config)#crypto isakmp key 0 password address 192.168.6.6

Сторона, которая инициирует соединение отправляет все свои политики, а удаленная сторона сравнивает свои политики с ними в порядке приоритетности своих политик.

Для того чтобы посмотреть какая политика была выбрана (какое шифрование, аутентификация, алгоритм хэширования, группа DH) и используется для существующего соединения:

Router# sh crypto isakmp sa detail 

[править] Настройка IPsec

[править] Настройка transform set

IPsec transform set

(config)#crypto ipsec transform-set SNRS esp-des 
(cfg-crypto-trans)#mode tunnel
(cfg-crypto-trans)#end

[править] Настройка crypto ACL

IPsec crypto ACL

(config)#ip access-list extended 101
(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255

[править] Настройка crypto map

IPsec crypto map

(config)#crypto map SNRS-MAP 10 ipsec-isakmp
(config-crypto-map)#match address 101
(config-crypto-map)#set transform-set SNRS
(config-crypto-map)#set peer 192.168.6.6

[править] Применение crypto map на интерфейсе

(config-if)#crypto map SNRS-MAP

[править] GRE и IPsec

Crypto-map применить только на физическом интерфейсе (в старых IOS, до 12.2(13)T, надо было и на туннельном и на физическом).

Ссылки:

[править] Разное

Для случаев, когда используются два интерфейса для терминирования одной и той же сессии IPsec, можно использовать команду crypto map local-address. Тогда будет устанавливаться только одна IPsec SA для трафика, который передается через оба интерфейса ([1]):

router(config)# crypto map <map-name> local-address <interface-id>

IP-адрес указанного интерфейса будет использоваться как локальный адрес для трафика IPsec (и IKE), который выходит с этого интерфейса или предназначен ему.

[править] Пример сети

GRE.png

[править] Пример конфигурации маршрутизаторов

Конфигурация dyn1:

!
crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco address 192.168.3.3
!
!
crypto ipsec transform-set SET esp-des
!
crypto map MAP 10 ipsec-isakmp
 set peer 192.168.3.3
 set transform-set SET
 match address 101
!
!
!
interface Tunnel0
 ip address 192.168.100.1 255.255.255.0
 tunnel source 192.168.2.1
 tunnel destination 192.168.3.3
!
interface FastEthernet0/0
 ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet1/0
 ip address 192.168.2.1 255.255.255.0
 crypto map MAP
!
router ospf 1
 log-adjacency-changes
 network 192.168.1.0 0.0.0.255 area 0
 network 192.168.100.0 0.0.0.255 area 0
!
ip route 192.168.3.3 255.255.255.255 192.168.2.2
!
access-list 101 permit gre host 192.168.2.1 host 192.168.3.3
!


Конфигурация dyn3:

crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco address 192.168.2.1
!
!
crypto ipsec transform-set SET esp-des
!
crypto map MAP 10 ipsec-isakmp
 set peer 192.168.2.1
 set transform-set SET
 match address 101
!
!
!
interface Tunnel0
 ip address 192.168.100.3 255.255.255.0
 tunnel source 192.168.3.3
 tunnel destination 192.168.2.1
!
interface FastEthernet0/0
 ip address 192.168.3.3 255.255.255.0
 crypto map MAP
!
interface FastEthernet1/0
 ip address 192.168.4.3 255.255.255.0
!
router ospf 1
 log-adjacency-changes
 network 192.168.4.0 0.0.0.255 area 0
 network 192.168.100.0 0.0.0.255 area 0
!
ip route 192.168.2.1 255.255.255.255 192.168.3.2
!
access-list 101 permit gre host 192.168.3.3 host 192.168.2.1
!

Конфигурация qua2:

!
interface eth0
 ip address 192.168.2.2/24
!
interface eth1
 ip address 192.168.3.2/24
!

[править] Настройка IPsec на Cisco PIX/ASA

  1. Включить ISAKMP
  2. Создать ISAKMP Policy
  3. Создать туннельную группу
  4. Создать transform set
  5. Создать ACL (что шифровать)
  6. Настроить правило NAT 0
  7. Создать crypto map
  8. Применить crypto map
ASA(config)# isakmp enable outside 
ASA(config)# isakmp identity address 
ASA(config)# isakmp policy 10 
ASA(config-isakmp-policy)# authentication pre-share 
ASA(config-isakmp-policy)# exit

Настраиваем тип tunnel-group'ы:

ASA(config)# tunnel-group 192.168.2.1 type ipsec-l2l 

Заходим в режим

ASA(config)# tunnel-group 192.168.2.1 ipsec-attributes 
ASA(config-tunnel-ipsec)# pre-shared-key cisco
ASA(config)# crypto ipsec transform-set ASA2 esp-des esp-none 
ASA(config)# access-list VPNL2L permit ip host 192.168.1.10 host 192.168.2.10
ASA(config)# nat (inside) 0 access-list VPNL2L
ASA(config)# crypto map PEERASA2 10 match address VPNL2L
ASA(config)# crypto map PEERASA2 10 set peer 192.168.2.2
ASA(config)# crypto map PEERASA2 10 set transform-set ASA1
ASA(config)# crypto map PEERASA2 interface outside 

[править] Дополнительная информация

ISAKMP Profile:

Cisco PIX/ASA:

[править] Материалы по IPsec на xgu.ru