Remote IPv6/Router/Cisco800

Z Support
< Remote IPv6(Rozdíly mezi verzemi)
Přejít na: navigace, hledání
m (Konfigurace protokolu IPv6)
m (Konfigurace protokolu IPv6)
Řádka 42: Řádka 42:
 
Pro tunelování IPv6 provozu ze vzdálené sítě použijeme ipv6ip tunely podle doporučení RFC4213.
 
Pro tunelování IPv6 provozu ze vzdálené sítě použijeme ipv6ip tunely podle doporučení RFC4213.
 
  interface TunnelXXX
 
  interface TunnelXXX
   no ip address
+
   ipv6 enable
 
   ipv6 address <span style="color:#00ff00">IPv6_adresa_pro_tunel</span>
 
   ipv6 address <span style="color:#00ff00">IPv6_adresa_pro_tunel</span>
 
   tunnel source LoopbackXXX
 
   tunnel source LoopbackXXX

Verze z 15:53, 19 únor 2013

Konfigurace IPSec VPN

Při konfiguraci IPSec VPN služby na směrovači Cisco 881-W musíme nejdříve nastavit ISAKMP politiku. Je také vhodné nastavit testování dostupnosti koncového bodu IPSec tunelu (keepalive).

crypto isakmp policy 1
 encr aes 256
 authentication pre-share
 group 2
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 30 10 periodic

Dále musíme nastavit přidělené jméno a heslo tunelu a upřesnit, pro jakou protistrany platí.

crypto isakmp peer address vzdálená_IP_adresa
 set aggressive-mode password heslo_tunelu
 set aggressive-mode client-endpoint fqdn jméno_tunelu

Nastavení šifrování a autentizace IPSec tunelu se provádí kombinací v tzv. transform setu.

crypto ipsec transform-set ESP-AES-256-SHA esp-aes 256 esp-sha-hmac

Provoz, který chceme zabezpečit, se vybírá pomocí access listů.

ip access-list extended webnet-vpn-traffic
 permit ip lokální_adresní_rozsah any
 deny   ip any any

Posledním krokem je vytvoření a aplikování tzv. crypto map, které kombinuje všechna předcházející nastavení.

crypto map VPN-WEBNET 1 ipsec-isakmp
 set peer vzdálená_IP_adresa
 set transform-set ESP-AES-256-SHA
 set pfs group2
 match address webnet-vpn-traffic

Crypto map se aplikuje na výstupní rozhraní. Protože IPSec tunel obalí původní IP provoz svojí vlastní hlavičkou, musíme zmenšit hodnotu MSS (Maximum Segment Size) pro TCP protokol a zamezit fragmentaci IP paketů.

interface OUTSIDE
 crypto map VPN-WEBNET
 ip mtu 1418
 ip tcp adjust-mss 1300
 crypto ipsec df-bit copy

Konfigurace protokolu IPv6

Směrování protokolu IPv6 je potřeba nejdříve zapnout.

ipv6 unicast-routing

Přidělený lokální IPv6 adresní rozsah musíme přiřadit k lokální síti.

interface Vlan1
 ipv6 enable
 ipv6 address lokální_IPv6_adresa_směrovače
 ipv6 nd prefix default

Pro tunelování IPv6 provozu ze vzdálené sítě použijeme ipv6ip tunely podle doporučení RFC4213.

interface TunnelXXX
 ipv6 enable
 ipv6 address IPv6_adresa_pro_tunel
 tunnel source LoopbackXXX
 tunnel destination vzdálená_adresa_směrovače
 tunnel mode ipv6ip
ipv6 route ::/0 tunnel XXX
Osobní nástroje
Jmenné prostory

Varianty
Zobrazení
Akce
Kdo jsem
Navigace
Často hledaná témata
Nástroje