Remote IPv6/Router/ASA

Z Support
Přejít na: navigace, hledání
Nepodporované zařízení
Konfigurace zařízení pro provoz protokolu IPv6 vyžaduje nestandardní konfiguraci na straně sítě WEBnet a a proto nebude v síti WEBnet podporováno.


Obsah

Konfigurace IPSec VPN

Při konfiguraci IPSec VPN služby na zařízení Cisco ASA musíme nejdříve nastavit ISAKMP a IPSec politiku a povolit ji na vnějším rozhraní.

crypto ikev1 enable outside
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ikev1 policy 1
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400

Dále musíme nastavit přidělené jméno a heslo tunelu a upřesnit, pro jakou protistrany platí.

crypto isakmp identity key-id jméno_tunelu
group-policy WEBnet internal
group-policy WEBnet attributes
 vpn-tunnel-protocol ikev1 
tunnel-group vzdálená_IP_adresa type ipsec-l2l
tunnel-group vzdálená_IP_adresa general-attributes
 default-group-policy WEBnet
tunnel-group vzdálená_IP_adresa ipsec-attributes
 ikev1 pre-shared-key heslo_tunelu
 isakmp keepalive threshold 10 retry 2

Provoz, který chceme zabezpečit, se vybírá pomocí access listů.

access-list VPN extended permit ip lokální_adresní_rozsah any4

Posledním krokem je vytvoření a aplikování tzv. crypto mapy, které kombinuje všechna předcházející nastavení.

crypto map VPN-WEBNET 1 match address VPN
crypto map VPN-WEBNET 1 set peer vzdálená_IP_adresa
crypto map VPN-WEBNET 1 set pfs 
crypto map VPN-WEBNET 1 set ikev1 phase1-mode aggressive 
crypto map VPN-WEBNET 1 set ikev1 transform-set ESP-AES-256-SHA
crypto map VPN-WEBNET 1 set df-bit clear-df
crypto map VPN-WEBNET 1 set reverse-route
crypto map VPN-WEBNET interface outside

Konfigurace protokolu IPv6

Nejdříve musíme zapnout podporu protokolu IPv6 na vnitřním rozhraní sítě.

Interface vlan1
 ipv6 enable
 ipv6 address lokální_IPv6_adresa
 ipv6 nd prefix lokální_ipv6_adresní_rozsah

Dále už postupujeme stejně, jako v případě nastavování IPSec tunelu. Musíme nastavit přidělené jméno a heslo IPv6 tunelu a upřesnit, pro jakou protistrany platí.

crypto isakmp identity key-id jméno_IPv6_tunelu
group-policy WEBnet internal
group-policy WEBnet attributes
 vpn-tunnel-protocol ikev1 
tunnel-group vzdálená_IP_adresa type ipsec-l2l
tunnel-group vzdálená_IP_adresa general-attributes
 default-group-policy WEBnet
tunnel-group vzdálená_IP_adresa ipsec-attributes
 ikev1 pre-shared-key heslo_IPv6_tunelu
 isakmp keepalive threshold 10 retry 2

Provoz, který chceme zabezpečit, se vybírá pomocí access listů.

access-list VPN_IPv6 extended permit ip lokální_IPv6_adresní_rozsah any6

Posledním krokem je vytvoření a aplikování tzv. crypto mapy, které kombinuje všechna předcházející nastavení.

crypto map VPN-WEBNET 2 match address VPN_IPv6
crypto map VPN-WEBNET 2 set peer vzdálená_IP_adresa
crypto map VPN-WEBNET 2 set pfs 
crypto map VPN-WEBNET 2 set ikev1 phase1-mode aggressive 
crypto map VPN-WEBNET 2 set ikev1 transform-set ESP-AES-256-SHA
crypto map VPN-WEBNET 2 set df-bit clear-df
crypto map VPN-WEBNET 2 set reverse-route
Osobní nástroje
Jmenné prostory

Varianty
Zobrazení
Akce
Kdo jsem
Navigace
Často hledaná témata
Nástroje