Configuration Example : Site-to-Site VPN for IPv6 IPsec
-
[Шаг 1. Настройка политики IKE и предварительно совместно используемого ключа:]
[Шаг 2. Настройка набора преобразований IPsec и профиля IPsec:]
[Шаг 3: Настройка профиля ISAKMP в IPv6:] Введение: В этом документе рассматривается VPN IPv6 IPsec «сайт-сайт» с использованием интерфейса виртуального туннеля с примером настройки. Функциональность Cisco IOS IPsec обеспечивает шифрование сетевых данных на уровне IP-пакетов, предлагая надежное, основанное на стандартах решение для обеспечения безопасности. IPsec предоставляет услуги аутентификации данных и защиты от повторного воспроизведения в дополнение к услугам конфиденциальности данных. С помощью IPsec данные могут передаваться по публичной сети без наблюдения, изменения или подделки.
Общие сценарии использования IPv6 IPSec:- VPN «сайт-сайт» — защита всего трафика IPv6 между двумя доверенными сетями
. 2) Настроенный безопасный туннель — защита трафика IPv6, туннелируемого через недоверенную сеть IPv4. - IPSec также можно использовать для защиты функций плоскости управления, например IPSec для защиты OSPFv3. Справочная информация: В следующем примере между CE1 и CE2 настроен защищенный IPSec туннель для связи через публичную сеть. Маршрутизаторы ISP_IR1 и ISP_IR2 имеют глобальный IPv6-адрес и не имеют информации о частных подсетях, присутствующих на CE1 и CE2. Схема топологии: ![Ipv6Ipvsec.jpg] Обзор конфигурации: VPN «сайт-сайт» настраивается на маршрутизаторе следующим образом: Шаг 1: Настройка политики IKE и предварительно совместно используемого ключа: Настройте одинаковую политику ISAKMP на маршрутизаторах CE1 и CE2 CE1#conf t
Введите команды конфигурации, по одной в каждой строке. Завершите ввод нажатием CNTL/Z.
CE1(config)#crypto isakmp policy 10
CE1(config-isakmp)#encryption 3des
CE1(config-isakmp)#group 2
CE1(config-isakmp)#authentication pre-share
CE1(config-isakmp)#exit Каждый маршрутизатор должен быть настроен с использованием одного и того же ключа, но в команде конфигурации должен быть указан адрес соответствующего интерфейса на маршрутизаторе-аналоге. CE1: CE1(config)#crypto isakmp key 0 ipsecvpn address ipv6 2002::1/128 CE2: CE2(config)#crypto isakmp key 0 ipsecvpn address ipv6 2001::1/128 Эти ключи являются ключами ISAKMP по умолчанию. Мы можем использовать несколько именованных ключей, которые используются, когда маршрутизатор является хостом удаленных клиентских VPN для нескольких разных групп клиентов. crypto keyring
keyring-name
……………(для указания кольца ключей) Шаг 2: Настройка набора преобразований IPsec и профиля IPsec: Настройте одинаковый набор преобразований IPsec и профиль IPsec на маршрутизаторах CE1 и CE2: CE1(config)#crypto ipsec transform-set ipv6_tran esp-3des esp-sha-hmac
CE1(cfg-crypto-trans)#mode tunnel
CE1(cfg-crypto-trans)#exit
CE1(config)#crypto ipsec profile ipv6_ipsec_pro ……(Этот набор преобразований необходимо привязать в VTI шаг 4)
CE1(ipsec-profile)#set transform-set ipv6_tran
CE1(ipsec-profile)#exit
CE1(config)# Шаг 3: Настройте профиль ISAKMP в IPv6: Профиль ISAKMP настраивается в маршрутизаторах CE1 и CE2. Убедитесь, что конфигурационное утверждение должно указывать идентификационный адрес соответствующего интерфейса на маршрутизаторе-аналоге. CE1(config)#crypto isakmp profile
3des% Профиль считается неполным, пока он не имеет соответствующих операторов
идентификации CE1(conf-isa-prof)#self-identity address ipv6
CE1(conf-isa-prof)#match identity address ipv6 2002::1/128
CE1(conf-isa-prof)#keyring default
CE1(conf-isa-prof)# exit
CE1(config)# Шаг 4: Настройка ipsec IPv6 VTI : Настройка IPv6 IPsec VTI на маршрутизаторе довольно проста CE1(config)#int tunnel 1
CE1(config-if)#ipv6 enable
CE1(config-if)#ipv6 address 2012::1/64
CE1(config-if)#tunnel source 2001::1
CE1(config-if)#tunnel destination 2002::1
CE1(config-if)#tunnel mode ipsec ipv6
CE1(config-if)#tunnel protection ipsec profile
ipv6_ipsec_proMar 1 01:32:30.907: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
CE1(config-if)#exit CE2(config)#int tunnel 1
CE2(config-if)#ipv6 enable
CE2(config-if)#ipv6 address 2012::2/64
CE2(config-if)#tunnel source 2002::1
CE2(config-if)#tunnel destination 2001::1
CE2(config-if)#tunnel mode ipsec ipv6
CE2(config-if)#tunnel protection ipsec profile
ipv6_ipsec_proMar 1 01:32:30.907: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP включен
CE2(config-if)#exit Чтобы сделать туннель оптимальным путем для сети удаленного сайта, необходимо настроить статические маршруты в маршрутизаторах CE1 и CE2. CE1: CE1(config)#ipv6 route FC01::/64 2012::2 CE2: CE2(config)#ipv6 route FC00::/64 2012::1 Команды проверки: 1) Эта команда отображает активные сеансы ISAKMP на маршрутизаторе CE1#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
IPv6 Crypto ISAKMP SA
dst: 2002::1
src: 2001::1
state: QM_IDLE conn-id: 1007 slot: 0 status: ACTIVE Для отображения сводной информации о конфигурации криптографических модулей. CE1#show crypto engine connection active
Соединения
криптографических движков
ID Интерфейс Тип Алгоритм Шифрование Дешифрование IP-адрес
1 Tu1 IPsec 3DES+SHA 0 95 2001::1
2 Tu1 IPsec 3DES+SHA 128 0 2001::1
1007 Tu1 IKE SHA+3DES 0 0 2001::1 CE1#ping fc01::1 source fc00::1
Введите последовательность символов для прерывания.
Отправка 5 ICMP-эхо-сообщений по 100 байт на FC01::1, время ожидания 2 секунды:
пакет отправлен с исходным адресом FC00::1
!!!!!
Успешность 100 процентов (5/5), минимальное/среднее/максимальное время прохождения = 36/187/388 мс
CE1#traceroute
Протокол [ip]: ipv6
Целевой адрес IPv6: fc01::1 Адрес
источника: fc00::1
Вставить заголовок маршрутизации источника? [нет]:
Числовое отображение? [нет]:
Таймаут в секундах [3]: Количество
проб [3]:
Минимальное время жизни [1]:
Максимальное время жизни [30]:
Приоритет [0]: Номер
порта [33434]:
Введите последовательность символов для прерывания.
Отслеживание маршрута до FC01::1
1 FC01::1 304 мс 184 мс 160 мс Связанная информация: http://www.cisco.com/en/US/docs/ios-xml/ios/ipv6/configuration/15-2mt/ip6-ipsec.html http://tools.ietf.org/html/rfc4294#page-10 Базовая начальная конфигурация:
- VPN «сайт-сайт» — защита всего трафика IPv6 между двумя доверенными сетями
-
Спасибо, Ашиш... очень полезно.
-
Здравствуйте, Акшай, Спасибо за ваш отзыв. С уважением, Ашиш Ширкар Технический менеджер сообщества (сетевая инфраструктура)
-
Здравствуйте, Я устроился в новую компанию и получил задание по настройке туннелирования. Я настроил все, как вы сказали. Однако мой руководитель сказал что-то о настройке таблицы маршрутизации и попросил меня сделать больше по этому заданию. После выполнения вышеуказанных шагов, не знаете ли вы, нужно ли настраивать что-то еще? Кстати, я использую FMC. Мне нужна помощь. Пожалуйста, сообщите мне, какие задачи необходимо выполнить для обеспечения безопасности этой настройки туннеля.
-
@Sow2534,
не могли бы вы более подробно объяснить, что такое «задача туннелирования». Мне интересно, будет ли VTI полезен в вашем сценарии:
https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/device-config/770/management-center-device-config-77/vpn-s2s.html
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти