پیکربندی تانل IP-SEC بصورت Site-To-Site VPN بر روی لینک Point To Point بین دو روتر سیسکو

: محمد محمدی; cisco; 23 فروردين 1396; امتیاز:

( 0 امتیاز )

قصد داریم با تجزیه و تحلیل زوایای فنی دستورات بکار رفته در پیکربندی IP-SEC ، با دقت و تمرکز بیشتری بصورت گام به گام در صدد درک بهتر نحوه پیکربندی این مکانیزم امنیتی برآییم.

طبق اطلاعات عنوان شده در این ویدئو، پیکربندی تانل IP-SEC بصورت Site-To-Site VPN شامل 5 مرحله به شرح موارد زیر میباشد:

مرحله اول: پیکربندی ISAKMP Policy که طی آن پارامتر های مختص به فاز اول ایجاد تانل IP-SEC یعنی مرحله برقراری Trust relation sheep بصورت تنظیم Pre-Shared key یا Certificate مشخص و در هر دوطرف تنظیم می گردد.
مرحله دوم: پیکربندی Transform set که در جریان آن پارامتر های مربوط به فاز دوم تانل IP-SEC و متد Encryption ، سایز کلید و الگوریتم Hashing مورد استفاده در جهت رمزنگاری داده های عبوری از داخل تانل مشخص می شوند.
مرحله سوم: مشخص نمودن ترافیک عبوری از داخل تانل از طریق تعریف Access-List می باشد.
مرحله چهارم: تعریف Crypto MAP جمع بندی و تعریف روابط بین پارامتر های تعریف شده در مراحل قبل خواهد بود.
مرحله پنجم: و آخرین قدم در بهره برداری از تانل امن IP-SEC شامل مشخص نمودن اینترفیس فیزیکی یا GRE Tunnel ی خواهد بود که قرار است ترافیک تانل IP-SEC از طریق آن به سمت روتر طرف مقابل هدایت شود.

Step By Step configuration of site-to-site IP-SEC VPN tunnel:

!========== phase 1 ================================

crypto isakmp policy 10

encr aes 256

authentication pre-share

group 5

lifetime 3600

crypto isakmp key imanP@SS address 172.16.16.10

crypto ipsec security-association lifetime seconds 1800

!========== phase 2 ================================

crypto ipsec transform-set TRNFSiman esp-aes 256 esp-sha-hmac

!========== phase 3 ================================

crypto map CMAP 10 ipsec-isakmp

set peer 172.16.16.10

set security-association lifetime seconds 900

set transform-set TRNFSiman

match address 123

!========== phase 4 ================================

access-list 123 permit ip 192.168.1.0 0.0.0.255 192.168.51.0 0.0.0.255

!========== phase 5 ================================

ip route 192.168.51.0 255.255.255.0 FastEthernet0/0

!========== Last step ==============================

TEHRAN(config)#interface fastEthernet 0/1

TEHRAN(config-if)#crypto map CMAP

جهت ارزیابی و پایش وضعیت تانل و بررسی ترافیک انتقال داده شده از روی آن می توانید از دستورات زیر استفاده کنید:

TEHRAN#sho crypto isakmp sa

IPv4 Crypto ISAKMP SA

dst src state conn-id slot status

172.16.16.10 172.16.16.9 QM_IDLE 1001 0 ACTIVE

IPv6 Crypto ISAKMP SA

TEHRAN#sho crypto ipsec sa

interface: FastEthernet0/1

Crypto map tag: CMAP, local addr 172.16.16.9

protected vrf: (none)

local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)

remote ident (addr/mask/prot/port): (192.168.51.0/255.255.255.0/0/0)

current_peer 172.16.16.10 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 612, #pkts encrypt: 612, #pkts digest: 612

#pkts decaps: 612, #pkts decrypt: 612, #pkts verify: 612

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0

#pkts not decompressed: 0, #pkts decompress failed: 0

#send errors 1, #recv errors 0

local crypto endpt.: 172.16.16.9, remote crypto endpt.: 172.16.16.10

path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1

current outbound spi: 0x0(0)

inbound esp sas:

inbound ah sas:

inbound pcp sas:

outbound esp sas:

outbound ah sas:

outbound pcp sas:

TEHRAN#

حامیان ما

پنل کاربری

دسترسی سریع به اموزش ها

Mikrotik

cisco

microsoft

linux

security

دانلود

voip

kerio

ویدیو

wireless

storage