راه اندازی IPSec VPN بین 3 روتر
سلام خدمت اساتید گرامی
برای راه اندازی IPSec VPN بین این سه روتر چه شرایطی و باید در نظر بگیرم؟
آیا بعد از برقراری ارتباط اولیه بین این روترها میتونم دستورات مربوط به کانفیگ IPSec رو وارد کنم ؟؟؟
شامل: create extended ACL, create ipsec Transform, creat crypto map,Apply crypto map to the public Interface ,configure an ISAKMP
اصلا IPSec و باید تحت چه بستری راه اندازی کرد؟ !!!!
4 پاسخ
خیلی ممنون استاد منظور از MPLS Cloud اینه که بستر مخابراتی MPLS هست؟ اینجوری گفته میشه؟
گفته شده که (to MPLS Cloud) بین این سه روتر IPSec VPN راه اندازی شه. میخوام راجع به این موضوع بدونم؟ این یه بستر مخابراتی هست؟
در این مورد هیچی نمیدونم و نیاز به اطلاعات دارم.
و اینکه آیا اول باید site-to-site VPN و برقرار کنیم؟
با این زیر ساخت برای راه اندازی مشکلی وجود ندارد.بین روترها tunnel راه اندازی کنید و ipsec را پیکربندی کنید.در ادامه یک نمونه پیکربندی را قرار می دهم:
version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R3 ! boot-start-marker boot-end-marker ! enable secret 5 $1$2xPd$eixd8G7G0q2q7Ph2lzq4S1 ! no aaa new-model memory-size iomem 5 ip cef ! ! ip inspect name myfw tcp ip inspect name myfw udp ip inspect name myfw ftp ip inspect name myfw realaudio ip inspect name myfw smtp ip inspect name myfw streamworks ip inspect name myfw vdolive ip inspect name myfw tftp ip inspect name myfw rcmd ip inspect name myfw http ip auth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3 ! ! no ip domain lookup ip domain name lab.local ! ! ! ! ! ! ! ! crypto isakmp policy 10 authentication pre-share crypto isakmp key ciscokey address 192.168.1.1 ! ! crypto ipsec transform-set to_R1 esp-des esp-md5-hmac crypto ipsec transform-set to_daphne esp-des esp-md5-hmac ! crypto map myvpn 10 ipsec-isakmp set peer 192.168.1.1 set transform-set to_R1 match address 101 ! ! ! interface Tunnel0 ip address 192.168.3.2 255.255.255.0 keepalive 10 3 tunnel source 192.168.2.2 tunnel destination 192.168.1.1 ! interface FastEthernet0/0 ip address 172.16.1.1 255.255.255.0 ip nat inside ip virtual-reassembly speed 100 full-duplex ! interface Serial0/0 ip address 192.168.2.2 255.255.255.0 ip inspect myfw out ip nat outside ip virtual-reassembly clock rate 2000000 crypto map myvpn ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/1 no ip address shutdown clock rate 2000000 ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 192.168.2.1 ip route 10.0.0.0 255.255.255.0 192.168.3.1 ip route 192.168.1.0 255.255.255.0 Serial0/0 ! ip http server no ip http secure-server ip nat pool ourpool 192.168.2.10 192.168.2.20 netmask 255.255.255.0 ip nat inside source route-map nonat pool ourpool overload ! access-list 101 permit gre host 192.168.2.2 host 192.168.1.1 access-list 103 permit gre host 192.168.1.1 host 192.168.2.2 access-list 103 permit udp host 192.168.1.1 eq isakmp host 192.168.2.2 access-list 103 permit esp host 192.168.1.1 host 192.168.2.2 access-list 103 permit icmp any any access-list 175 deny ip 172.16.1.0 0.0.0.255 10.0.0.0 0.0.0.255 access-list 175 permit ip 172.16.1.0 0.0.0.255 any route-map nonat permit 10 match ip address 175 ! ! ! control-plane ! ! ! line con 0 exec-timeout 0 0 privilege level 15 logging synchronous line aux 0 exec-timeout 0 0 privilege level 15 logging synchronous line vty 0 4 login ! ! end
سلام منظورتون از تحت چه بستری چیست؟