Remote IPv6/Router/Cisco800

Z Support
Přejít na: navigace, hledání

Konfigurace IPSec VPN

Při konfiguraci IPSec VPN služby na směrovači Cisco 881-W musíme nejdříve nastavit ISAKMP politiku. Je také vhodné nastavit testování dostupnosti koncového bodu IPSec tunelu (keepalive).

crypto isakmp policy 1
 encr aes 256
 authentication pre-share
 group 2
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 30 10 periodic

Dále musíme nastavit přidělené jméno a heslo tunelu a upřesnit, pro jakou protistrany platí.

crypto isakmp peer address vzdálená_IP_adresa
 set aggressive-mode password heslo_tunelu
 set aggressive-mode client-endpoint fqdn jméno_tunelu

Nastavení šifrování a autentizace IPSec tunelu se provádí kombinací v tzv. transform setu.

crypto ipsec transform-set ESP-AES-256-SHA esp-aes 256 esp-sha-hmac

Provoz, který chceme zabezpečit, se vybírá pomocí access listů.

ip access-list extended webnet-vpn-traffic
 permit ip lokální_adresní_rozsah any
 deny   ip any any

Posledním krokem je vytvoření a aplikování tzv. crypto map, které kombinuje všechna předcházející nastavení.

crypto map VPN-WEBNET 1 ipsec-isakmp
 set peer vzdálená_IP_adresa
 set transform-set ESP-AES-256-SHA
 set pfs group2
 match address webnet-vpn-traffic

Crypto map se aplikuje na výstupní rozhraní. Protože IPSec tunel obalí původní IP provoz svojí vlastní hlavičkou, musíme zmenšit hodnotu MSS (Maximum Segment Size) pro TCP protokol a zamezit fragmentaci IP paketů.

interface OUTSIDE
 crypto map VPN-WEBNET
 ip mtu 1418
 ip tcp adjust-mss 1300
 crypto ipsec df-bit copy

Konfigurace protokolu IPv6

Pro tunelování IPv6 provozu ze vzdálené sítě použijeme ipv6ip tunely podle doporučení RFC4213.

interface TunnelXXX
 no ip address
 ipv6 address IPv6_adresa_pro_tunel
 tunnel source LoopbackXXX
 tunnel destination vzdálená_adresa_směrovače
 tunnel mode ipv6ip
ipv6 route ::/0 tunnel XXX

V konfiguraci směrovače/přepínače Cisco v síti ZČU WEBnet musíme přidat protější konec tunelu.

interface TunnelXXX
 no ip address
 ipv6 address IPv6_adresa_pro_tunel
 tunnel source LoopbackXXX
 tunnel destination lokální_adresa_směrovače
 tunnel mode ipv6ip

ipv6 route lokální_IPv6_adresní_rozsah tunnel XXX
Osobní nástroje
Jmenné prostory

Varianty
Zobrazení
Akce
Kdo jsem
Navigace
Často hledaná témata
Nástroje