Remote IPv6/Router/Cisco800

Aktuální verze z 17:43, 20 únor 2013

Tento návod lze použít pro konfiguraci všech malých směrovačů firmy Cisco (řada 8xx, 1xxx a 2xxx).

Obsah

1 Konfigurace IPSec VPN
2 Konfigurace protokolu IPv6

[editovat] Konfigurace IPSec VPN

Při konfiguraci IPSec VPN služby na směrovači Cisco 881-W musíme nejdříve nastavit ISAKMP politiku. Je také vhodné nastavit testování dostupnosti koncového bodu IPSec tunelu (keepalive).

crypto isakmp policy 1
 encr aes 256
 authentication pre-share
 group 2
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 30 10 periodic

Dále musíme nastavit přidělené jméno a heslo tunelu a upřesnit, pro jakou protistrany platí.

crypto isakmp peer address vzdálená_IP_adresa
 set aggressive-mode password heslo_tunelu
 set aggressive-mode client-endpoint fqdn jméno_tunelu

Nastavení šifrování a autentizace IPSec tunelu se provádí kombinací v tzv. transform setu.

crypto ipsec transform-set ESP-AES-256-SHA esp-aes 256 esp-sha-hmac

Provoz, který chceme zabezpečit, se vybírá pomocí access listů.

ip access-list extended webnet-vpn-traffic
 permit ip lokální_adresní_rozsah any
 deny   ip any any

Posledním krokem je vytvoření a aplikování tzv. crypto map, které kombinuje všechna předcházející nastavení.

crypto map VPN-WEBNET 1 ipsec-isakmp
 set peer vzdálená_IP_adresa
 set transform-set ESP-AES-256-SHA
 set pfs group2
 match address webnet-vpn-traffic

Crypto map se aplikuje na výstupní rozhraní. Protože IPSec tunel obalí původní IP provoz svojí vlastní hlavičkou, musíme zmenšit hodnotu MSS (Maximum Segment Size) pro TCP protokol a zamezit fragmentaci IP paketů.

interface OUTSIDE
 crypto map VPN-WEBNET
 ip mtu 1418
 ip tcp adjust-mss 1300
 crypto ipsec df-bit copy

[editovat] Konfigurace protokolu IPv6

Směrování protokolu IPv6 je potřeba nejdříve zapnout.

ipv6 unicast-routing

Přidělený lokální IPv6 adresní rozsah musíme přiřadit k lokální síti.

interface Vlan1
 ipv6 enable
 ipv6 address lokální_IPv6_adresa_směrovače
 ipv6 nd prefix default

Pro tunelování IPv6 provozu ze vzdálené sítě použijeme ipv6ip tunely podle doporučení RFC4213.

interface TunnelXXX
 ipv6 enable
 ipv6 address IPv6_adresa_pro_tunel
 tunnel source LoopbackXXX
 tunnel destination vzdálená_adresa_směrovače
 tunnel mode ipv6ip
ipv6 route ::/0 tunnel XXX

Remote IPv6/Router/Cisco800

Aktuální verze z 17:43, 20 únor 2013

Obsah

[editovat] Konfigurace IPSec VPN

[editovat] Konfigurace protokolu IPv6

Osobní nástroje

Jmenné prostory

Varianty

Zobrazení

Akce

Hledat

Kdo jsem

Navigace

Často hledaná témata

Nástroje

@@ Řádka 1: / Řádka 1: @@
+__FORCETOC__
+Tento návod lze použít pro konfiguraci všech malých směrovačů firmy Cisco (řada 8xx, 1xxx a 2xxx).
 == Konfigurace IPSec VPN  ==
-Při konfiguraci IPSec VPN služby na směrovači Cisco 881-W musíme nejdříve nastavit ISAKMP politiku. Je vhodné nastavit testování dostupnosti koncového bodu IPSec tunelu (keepalive).
+Při konfiguraci IPSec VPN služby na směrovači Cisco 881-W musíme nejdříve nastavit ISAKMP politiku. Je také vhodné nastavit testování dostupnosti koncového bodu IPSec tunelu (keepalive).
   crypto isakmp policy 1
    encr aes 256
@@ Řádka 7: / Řádka 9: @@
   crypto isakmp invalid-spi-recovery
   crypto isakmp keepalive 30 10 periodic
-Musíme nastavit přidělené jméno a heslo tunelu klíč a upřesnit, pro jakou IP adresu nebo hostname protistrany platí.
+Dále musíme nastavit <span style="color:#00ff00">přidělené jméno a heslo tunelu</span> a upřesnit, pro jakou protistrany platí.
-  crypto isakmp peer address vzdálená_IP_adresa
+  crypto isakmp peer address <span style="color:#00ff00">vzdálená_IP_adresa</span>
-   set aggressive-mode password heslo_tunelu
+   set aggressive-mode password <span style="color:#00ff00">heslo_tunelu</span>
-   set aggressive-mode client-endpoint fqdn jméno_tunelu
+   set aggressive-mode client-endpoint fqdn <span style="color:#00ff00">jméno_tunelu</span>
 Nastavení šifrování a autentizace IPSec tunelu se provádí kombinací v tzv. transform setu.
   crypto ipsec transform-set ESP-AES-256-SHA esp-aes 256 esp-sha-hmac
 Provoz, který chceme zabezpečit, se vybírá pomocí access listů.
   ip access-list extended webnet-vpn-traffic
-   permit ip lokální_adresní_rozsah any
+   permit ip <span style="color:#00ff00">lokální_adresní_rozsah</span> any
    deny   ip any any
 Posledním krokem je vytvoření a aplikování tzv. crypto map, které kombinuje všechna předcházející nastavení.
   crypto map VPN-WEBNET 1 ipsec-isakmp
-   set peer vzdálená_IP_adresa
+   set peer <span style="color:#00ff00">vzdálená_IP_adresa</span>
    set transform-set ESP-AES-256-SHA
    set pfs group2
@@ Řádka 31: / Řádka 33: @@
 == Konfigurace protokolu IPv6  ==
+Směrování protokolu IPv6 je potřeba nejdříve zapnout.
+ ipv6 unicast-routing
+<span style="color:#00ff00">Přidělený lokální IPv6 adresní rozsah</span> musíme přiřadit k lokální síti.
+ interface Vlan1
+  ipv6 enable
+  ipv6 address <span style="color:#00ff00">lokální_IPv6_adresa_směrovače</span>
+  ipv6 nd prefix default
 Pro tunelování IPv6 provozu ze vzdálené sítě použijeme ipv6ip tunely podle doporučení RFC4213.
   interface TunnelXXX
-   no ip address
+   ipv6 enable
-   ipv6 address IPv6_adresa_pro_tunel
+   ipv6 address <span style="color:#00ff00">IPv6_adresa_pro_tunel</span>
    tunnel source LoopbackXXX
-   tunnel destination vzdálená_adresa_směrovače
+   tunnel destination <span style="color:#00ff00">vzdálená_adresa_směrovače</span>
    tunnel mode ipv6ip
   ipv6 route ::/0 tunnel XXX
-V konfiguraci směrovače/přepínače Cisco v síti ZČU WEBnet musíme přidat protější konec tunelu.
- interface TunnelXXX
-  no ip address
-  ipv6 address IPv6_adresa_pro_tunel
-  tunnel source LoopbackXXX
-  tunnel destination lokální_adresa_směrovače
-  tunnel mode ipv6ip
- ipv6 route lokální_IPv6_adresní_rozsah tunnel XXX