Узелки на память. Cisco — Cisco IPSEC

  1. Создание политики isakmp :
    crypto isakmp policy 10
      encr aes
      authentication pre-share
      group 2
  2. Ключ для соединения с пиром :
    crypto isakmp key secret address xxx.xxx.xxx.xxx
  3. Выбор  transform-set :
    crypto ipsec transform-set SET esp-des 
     mode tunnel
    
    
  4. Настройка access-list-ов. Принцип настройки листа — весь трафик должен быть deny, кроме трафика, который должен шифроваться, например для двух роутеров Cisco с сетями приватная сеть : 192.168.0.1/24, публичный ip: 1.1.1.1 (локальный), и 192.168.1.1/24 и 2.2.2.2 (удаленная сторона), это будет выглядеть так :
    ip access-list extended ACL_IPSEC
     permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
     permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
     permit ip host 1.1.1.1 host 2.2.2.2
     permit ip host 2.2.2.2 host 1.1.1.1
     deny   ip any any  
  5. Создаем crypto-map :
    crypto map IPSEC 10 ipsec-isakmp 
     set peer xxx.xxx.xxx.xxx
     set transform-set SET 
     match address ACL_IPSEC
  6. На заключительном этапе, данный crypto-map привязывается с требуемому внешнему интерфейсу с помощью : crypto map IPSEC
  7. Ставим роутинги для сетей :
    ip route 192.168.1.0 255.255.255.0 2.2.2.2

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *