<![CDATA[Configuration Example : Site-to-Site VPN for IPv6 IPsec]]>[Шаг 1. Настройка политики IKE и предварительно совместно используемого ключа:]
[Шаг 2. Настройка набора преобразований IPsec и профиля IPsec:]
[Шаг 3: Настройка профиля ISAKMP в IPv6:] Введение: В этом документе рассматривается VPN IPv6 IPsec «сайт-сайт» с использованием интерфейса виртуального туннеля с примером настройки. Функциональность Cisco IOS IPsec обеспечивает шифрование сетевых данных на уровне IP-пакетов, предлагая надежное, основанное на стандартах решение для обеспечения безопасности. IPsec предоставляет услуги аутентификации данных и защиты от повторного воспроизведения в дополнение к услугам конфиденциальности данных. С помощью IPsec данные могут передаваться по публичной сети без наблюдения, изменения или подделки.
Общие сценарии использования IPv6 IPSec:

  1. VPN «сайт-сайт» — защита всего трафика IPv6 между двумя доверенными сетями
    . 2) Настроенный безопасный туннель — защита трафика IPv6, туннелируемого через недоверенную сеть IPv4.
  2. IPSec также можно использовать для защиты функций плоскости управления, например IPSec для защиты OSPFv3. Справочная информация: В следующем примере между CE1 и CE2 настроен защищенный IPSec туннель для связи через публичную сеть. Маршрутизаторы ISP_IR1 и ISP_IR2 имеют глобальный IPv6-адрес и не имеют информации о частных подсетях, присутствующих на CE1 и CE2. Схема топологии: ![Ipv6Ipvsec.jpg] Обзор конфигурации: VPN «сайт-сайт» настраивается на маршрутизаторе следующим образом: Шаг 1: Настройка политики IKE и предварительно совместно используемого ключа: Настройте одинаковую политику ISAKMP на маршрутизаторах CE1 и CE2 CE1#conf t
    Введите команды конфигурации, по одной в каждой строке. Завершите ввод нажатием CNTL/Z.
    CE1(config)#crypto isakmp policy 10
    CE1(config-isakmp)#encryption 3des
    CE1(config-isakmp)#group 2
    CE1(config-isakmp)#authentication pre-share
    CE1(config-isakmp)#exit Каждый маршрутизатор должен быть настроен с использованием одного и того же ключа, но в команде конфигурации должен быть указан адрес соответствующего интерфейса на маршрутизаторе-аналоге. CE1: CE1(config)#crypto isakmp key 0 ipsecvpn address ipv6 2002::1/128 CE2: CE2(config)#crypto isakmp key 0 ipsecvpn address ipv6 2001::1/128 Эти ключи являются ключами ISAKMP по умолчанию. Мы можем использовать несколько именованных ключей, которые используются, когда маршрутизатор является хостом удаленных клиентских VPN для нескольких разных групп клиентов. crypto keyring
    keyring-name
    ……………(для указания кольца ключей) Шаг 2: Настройка набора преобразований IPsec и профиля IPsec: Настройте одинаковый набор преобразований IPsec и профиль IPsec на маршрутизаторах CE1 и CE2: CE1(config)#crypto ipsec transform-set ipv6_tran esp-3des esp-sha-hmac
    CE1(cfg-crypto-trans)#mode tunnel
    CE1(cfg-crypto-trans)#exit
    CE1(config)#crypto ipsec profile ipv6_ipsec_pro ……(Этот набор преобразований необходимо привязать в VTI шаг 4)
    CE1(ipsec-profile)#set transform-set ipv6_tran
    CE1(ipsec-profile)#exit
    CE1(config)# Шаг 3: Настройте профиль ISAKMP в IPv6: Профиль ISAKMP настраивается в маршрутизаторах CE1 и CE2. Убедитесь, что конфигурационное утверждение должно указывать идентификационный адрес соответствующего интерфейса на маршрутизаторе-аналоге. CE1(config)#crypto isakmp profile
    3des% Профиль считается неполным, пока он не имеет соответствующих операторов
    идентификации CE1(conf-isa-prof)#self-identity address ipv6
    CE1(conf-isa-prof)#match identity address ipv6 2002::1/128
    CE1(conf-isa-prof)#keyring default
    CE1(conf-isa-prof)# exit
    CE1(config)# Шаг 4: Настройка ipsec IPv6 VTI : Настройка IPv6 IPsec VTI на маршрутизаторе довольно проста CE1(config)#int tunnel 1
    CE1(config-if)#ipv6 enable
    CE1(config-if)#ipv6 address 2012::1/64
    CE1(config-if)#tunnel source 2001::1
    CE1(config-if)#tunnel destination 2002::1
    CE1(config-if)#tunnel mode ipsec ipv6
    CE1(config-if)#tunnel protection ipsec profile
    ipv6_ipsec_proMar 1 01:32:30.907: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
    CE1(config-if)#exit CE2(config)#int tunnel 1
    CE2(config-if)#ipv6 enable
    CE2(config-if)#ipv6 address 2012::2/64
    CE2(config-if)#tunnel source 2002::1
    CE2(config-if)#tunnel destination 2001::1
    CE2(config-if)#tunnel mode ipsec ipv6
    CE2(config-if)#tunnel protection ipsec profile
    ipv6_ipsec_pro    Mar 1 01:32:30.907: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP включен
    CE2(config-if)#exit Чтобы сделать туннель оптимальным путем для сети удаленного сайта, необходимо настроить статические маршруты в маршрутизаторах CE1 и CE2. CE1: CE1(config)#ipv6 route FC01::/64 2012::2 CE2: CE2(config)#ipv6 route FC00::/64 2012::1 Команды проверки: 1) Эта команда отображает активные сеансы ISAKMP на маршрутизаторе CE1#show crypto isakmp sa
    IPv4 Crypto ISAKMP SA
    dst src state conn-id slot status
    IPv6 Crypto ISAKMP SA
    dst: 2002::1
    src: 2001::1
    state: QM_IDLE conn-id: 1007 slot: 0 status: ACTIVE Для отображения сводной информации о конфигурации криптографических модулей. CE1#show crypto engine connection active
    Соединения
    криптографических движков
    ID Интерфейс Тип Алгоритм Шифрование Дешифрование IP-адрес
    1 Tu1 IPsec 3DES+SHA 0 95 2001::1
    2 Tu1 IPsec 3DES+SHA 128 0 2001::1
    1007 Tu1 IKE SHA+3DES 0 0 2001::1 CE1#ping fc01::1 source fc00::1
    Введите последовательность символов для прерывания.
    Отправка 5 ICMP-эхо-сообщений по 100 байт на FC01::1, время ожидания 2 секунды:
    пакет отправлен с исходным адресом FC00::1
    !!!!!
    Успешность 100 процентов (5/5), минимальное/среднее/максимальное время прохождения = 36/187/388 мс
    CE1#traceroute
    Протокол [ip]: ipv6
    Целевой адрес IPv6: fc01::1 Адрес
    источника: fc00::1
    Вставить заголовок маршрутизации источника? [нет]:
    Числовое отображение? [нет]:
    Таймаут в секундах [3]: Количество
    проб [3]:
    Минимальное время жизни [1]:
    Максимальное время жизни [30]:
    Приоритет [0]: Номер
    порта [33434]:
    Введите последовательность символов для прерывания.
    Отслеживание маршрута до FC01::1
    1 FC01::1 304 мс 184 мс 160 мс Связанная информация: http://www.cisco.com/en/US/docs/ios-xml/ios/ipv6/configuration/15-2mt/ip6-ipsec.html http://tools.ietf.org/html/rfc4294#page-10 Базовая начальная конфигурация:

135431-CE2.txt.zip

135429-ISR_IR2.txt.zip

135432-CE1.txt.zip

135430-ISR_IR1.txt.zip

]]>https://sla247.ru/forum/topic/1661/configuration-example-site-to-site-vpn-for-ipv6-ipsecRSS for NodeFri, 15 May 2026 07:22:40 GMTTue, 24 Feb 2026 20:52:21 GMT60<![CDATA[Reply to Configuration Example : Site-to-Site VPN for IPv6 IPsec on Tue, 24 Feb 2026 20:52:25 GMT]]>@Sow2534,
не могли бы вы более подробно объяснить, что такое «задача туннелирования». Мне интересно, будет ли VTI полезен в вашем сценарии:
https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/device-config/770/management-center-device-config-77/vpn-s2s.html

]]>https://sla247.ru/forum/post/12345https://sla247.ru/forum/post/12345Tue, 24 Feb 2026 20:52:25 GMT<![CDATA[Reply to Configuration Example : Site-to-Site VPN for IPv6 IPsec on Tue, 24 Feb 2026 20:52:24 GMT]]>Здравствуйте, Я устроился в новую компанию и получил задание по настройке туннелирования. Я настроил все, как вы сказали. Однако мой руководитель сказал что-то о настройке таблицы маршрутизации и попросил меня сделать больше по этому заданию. После выполнения вышеуказанных шагов, не знаете ли вы, нужно ли настраивать что-то еще? Кстати, я использую FMC. Мне нужна помощь. Пожалуйста, сообщите мне, какие задачи необходимо выполнить для обеспечения безопасности этой настройки туннеля.

]]>https://sla247.ru/forum/post/12344https://sla247.ru/forum/post/12344Tue, 24 Feb 2026 20:52:24 GMT<![CDATA[Reply to Configuration Example : Site-to-Site VPN for IPv6 IPsec on Tue, 24 Feb 2026 20:52:23 GMT]]>Здравствуйте, Акшай, Спасибо за ваш отзыв. С уважением, Ашиш Ширкар Технический менеджер сообщества (сетевая инфраструктура)

]]>https://sla247.ru/forum/post/12343https://sla247.ru/forum/post/12343Tue, 24 Feb 2026 20:52:23 GMT<![CDATA[Reply to Configuration Example : Site-to-Site VPN for IPv6 IPsec on Tue, 24 Feb 2026 20:52:22 GMT]]>Спасибо, Ашиш... очень полезно.

]]>https://sla247.ru/forum/post/12342https://sla247.ru/forum/post/12342Tue, 24 Feb 2026 20:52:22 GMT