Главная > Cisco > Шаблон для настройки IPsec туннелей на маршрутизаторах Cisco

Шаблон для настройки IPsec туннелей на маршрутизаторах Cisco

26 марта 2015

Пример настройки IPsec туннелей на маршрутизаторах Cisco с использованием IPsec профилей.
Использование IPsec профилей немного упрощает создание новых туннелей.

IPsec профиль применяется на туннельном интерфейсе.
После применения любой трафик исходящий из туннельного интерфейса инициирует создание IPsec туннеля, source и destination адреса туннельного интерфейса используются для создания IPsec-туннеля. Адреса могут быть прописаны в настройках интерфейса или получены динамически с помощью NHRP

Создаем политики IPSec

! Создаем политики для первой фазы
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
lifetime 3600
!
!Задаем общий ключ
!crypto isakmp key Pre-shared key address destination IP

! Создаем политики для второй фазы
! Описываем transform-set
crypto ipsec transform-set ESP-AES-SHA1 esp-aes 256 esp-sha-hmac
!
!Создаем профиль IPSec
crypto ipsec profile IPsecGRE
set transform-set ESP-AES-SHA1

Создаем GRE туннели

interface Tunnel0
description
bandwidth 100000
ip address 192.168.254.1 255.255.255.252
ip mtu 1400
ip flow egress
ip nhrp authentication DMVPN_NW
ip nhrp network-id 100000
ip nhrp holdtime 360
! Добавляем интерфейс в нужную зону (если есть ZBF)
zone-member security DMVPN-ZONE
ip tcp adjust-mss 1360
delay 1000
tunnel source local external IP/Interface
tunnel destination destination IP
tunnel key 100000
tunnel protection ipsec profile IPsecGRE

Обновляем ACL для ZBF (если есть ZBF)

access-list 102 permit ip host destination IP host local external IP

Обновляем OSPF(если нужно)

router ospf 1
passive-interface default
no passive-interface Tunnel0
network 192.168.254.0 0.0.0.255 area 0

Categories: Cisco Tags: , ,
Комментирование отключено.