Узелки на память. Cisco — Cisco IPSEC

Опубликовано автором

  1. Создание политики isakmp : 
    crypto isakmp policy 10
  encr aes
  authentication pre-share
  group 2
  2. Ключ для соединения с пиром : 
    crypto isakmp key secret address xxx.xxx.xxx.xxx
  3. Выбор  transform-set : 
    crypto ipsec transform-set SET esp-des 
 mode tunnel
  4. Настройка access-list-ов. Принцип настройки листа — весь трафик должен быть deny, кроме трафика, который должен шифроваться, например для двух роутеров Cisco с сетями приватная сеть : 192.168.0.1/24, публичный ip: 1.1.1.1 (локальный), и 192.168.1.1/24 и 2.2.2.2 (удаленная сторона), это будет выглядеть так : 
    ip access-list extended ACL_IPSEC
 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
 permit ip host 1.1.1.1 host 2.2.2.2
 permit ip host 2.2.2.2 host 1.1.1.1
 deny   ip any any  
  5. Создаем crypto-map : 
    crypto map IPSEC 10 ipsec-isakmp 
 set peer xxx.xxx.xxx.xxx
 set transform-set SET 
 match address ACL_IPSEC
  6. На заключительном этапе, данный crypto-map привязывается с требуемому внешнему интерфейсу с помощью : crypto map IPSEC
  7. Ставим роутинги для сетей : 
    ip route 192.168.1.0 255.255.255.0 2.2.2.2

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *