Remote IPv6/Router/Cisco800

Z Support
< Remote IPv6
Verze z 17:43, 20 únor 2013; Simekm (diskuse | příspěvky)

(rozdíl) ← Starší verze | zobrazit aktuální verzi (rozdíl) | Novější verze → (rozdíl)
Přejít na: navigace, hledání

Tento návod lze použít pro konfiguraci všech malých směrovačů firmy Cisco (řada 8xx, 1xxx a 2xxx).

Obsah

Konfigurace IPSec VPN

Při konfiguraci IPSec VPN služby na směrovači Cisco 881-W musíme nejdříve nastavit ISAKMP politiku. Je také vhodné nastavit testování dostupnosti koncového bodu IPSec tunelu (keepalive). 

crypto isakmp policy 1
 encr aes 256
 authentication pre-share
 group 2
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 30 10 periodic

Dále musíme nastavit přidělené jméno a heslo tunelu a upřesnit, pro jakou protistrany platí. 

crypto isakmp peer address vzdálená_IP_adresa
 set aggressive-mode password heslo_tunelu
 set aggressive-mode client-endpoint fqdn jméno_tunelu

Nastavení šifrování a autentizace IPSec tunelu se provádí kombinací v tzv. transform setu. 

crypto ipsec transform-set ESP-AES-256-SHA esp-aes 256 esp-sha-hmac

Provoz, který chceme zabezpečit, se vybírá pomocí access listů. 

ip access-list extended webnet-vpn-traffic
 permit ip lokální_adresní_rozsah any
 deny   ip any any

Posledním krokem je vytvoření a aplikování tzv. crypto map, které kombinuje všechna předcházející nastavení. 

crypto map VPN-WEBNET 1 ipsec-isakmp
 set peer vzdálená_IP_adresa
 set transform-set ESP-AES-256-SHA
 set pfs group2
 match address webnet-vpn-traffic

Crypto map se aplikuje na výstupní rozhraní. Protože IPSec tunel obalí původní IP provoz svojí vlastní hlavičkou, musíme zmenšit hodnotu MSS (Maximum Segment Size) pro TCP protokol a zamezit fragmentaci IP paketů. 

interface OUTSIDE
 crypto map VPN-WEBNET
 ip mtu 1418
 ip tcp adjust-mss 1300
 crypto ipsec df-bit copy

Konfigurace protokolu IPv6

Směrování protokolu IPv6 je potřeba nejdříve zapnout. 

ipv6 unicast-routing

Přidělený lokální IPv6 adresní rozsah musíme přiřadit k lokální síti. 

interface Vlan1
 ipv6 enable
 ipv6 address lokální_IPv6_adresa_směrovače
 ipv6 nd prefix default

Pro tunelování IPv6 provozu ze vzdálené sítě použijeme ipv6ip tunely podle doporučení RFC4213. 

interface TunnelXXX
 ipv6 enable
 ipv6 address IPv6_adresa_pro_tunel
 tunnel source LoopbackXXX
 tunnel destination vzdálená_adresa_směrovače
 tunnel mode ipv6ip
ipv6 route ::/0 tunnel XXX
Citováno z „http://support.zcu.cz/index.php?title=Remote_IPv6/Router/Cisco800&oldid=37409
Osobní nástroje
Jmenné prostory

Varianty
Zobrazení
Akce
Kdo jsem
Navigace
Často hledaná témata
Nástroje