Exempel 1

I denna laboration utför jag en enkel IPSec VPN implementation i två steg:

  1. ISAKMP konfiguration (FAS 1)
  2. IPSec konfiguration (ISAKMP FAS 2, ACL, Crypto MAP)

I exemplet kommer sajt till vänster och till höger att kommunicera genom en VPN tunnel. Till en början kan PCA inte IP-kommunicera med PCC, men efter Site-to-Site VPN implementering kommer de att kunna kommunicera via en IPSec tunnel.

Nätverkstopologi

ISAKMP konfiguration

VPN kräver att kommunicerande nätverk förhandlar först en säkerhetspolicy med hjälp av ISAKMP. Detta ska konfigureras:

  • Flera regler för alla säkerhetsmekanismer förhandlas och avtalas i säkerhetspolicy 10.
  • Kryptering i fas 1 görs med AES 256 bitar.
  • Autentisering görs med ett PSK kryptonyckel (digseckey) i enlighet med DH-algoritmen för grupp 5 (1536 bitar)
  • En PSL kryptonyckel skapas och användas varje gång IP-kommunikationen sker mellan sajterna.

IPSec konfiguration

  • Skapa en ACL för att identifiera nätverkstrafiken som ska skyddas.
  • Skapa en IPSec transform (ISAKMP fas 2)
  • Skapa en Crypto MAP som identifierar kommunicerande peer och dess nätverkstrafik som ska krypteras.
  • Tillämpa Crypto MAP på utgående interface på VPN-router

Konfigurationer

  • Router> enable
  • Router# configure terminal
  • Router(config)# hostname R1
  • R1(config)# no ip domain-lookup
  • R1(config)# interface Gig0/1
  • R1(config-if)# description Connected to LAN A
  • R1(config-if)# ip address 192.168.1.1 255.255.255.0
  • R1(config-if)# no shutdown
  • R1(config-if)# exit
  • R1(config)# interface Gig0/0
  • R1(config-if)# description Connected to R2
  • R1(config-if)# ip address 209.165.100.1 255.255.255.252
  • R1(config-if)# no shutdown
  • R1(config-if)# exit
  • R1(config)# ip route 0.0.0.0 0.0.0.0 209.165.100.2
  • ! Aktivera säkerhetsmodulen securityk9
  • R1(config)# show version
  • R1(config)# license boot module c1900 technology-package securityk9
  • ACCEPT? [yes/no]: yes
  • R1(config)# exit
  • R1# copy run start
  • R1# reload
  • Router> enable
  • Router# configure terminal
  • Router(config)# hostname R2
  • R2(config)# no ip domain-lookup
  • R2(config)# interface Gig0/0
  • R2(config-if)# description Connected to R1
  • R2(config-if)# ip address 209.165.100.2 255.255.255.252
  • R2(config-if)# no shutdown
  • R2(config-if)# exit
  • R2(config)# interface Gig0/1
  • R2(config-if)# description Connected to R3
  • R2(config-if)# ip address 209.165.200.2 255.255.255.252
  • R2(config-if)# no shutdown
  • R2(config-if)# exit
  • R2#
  • Router> enable
  • Router# configure terminal
  • Router(config)# hostname R3
  • R3(config)# no ip domain-lookup
  • R3(config)# interface Gig0/0
  • R3(config-if)# description Connected to R2
  • R3(config-if)# ip address 209.165.200.1 255.255.255.252
  • R3(config-if)# no shutdown
  • R3(config-if)# exit
  • R3(config)# interface Gig0/1
  • R3(config-if)# description Connected to LAN A
  • R3(config-if)# ip address 192.168.3.1 255.255.255.0
  • R3(config-if)# no shutdown
  • R3(config-if)# exit
  • R3(config)# ip route 0.0.0.0 0.0.0.0 209.165.200.2
  • Aktivera säkerhetsmodulen securityk9
  • R3(config)# show version
  • R3(config)# license boot module c1900 technology-package securityk9
  • ACCEPT? [yes/no]: yes
  • R3(config)# exit
  • R3# copy run start
  • R3# reload
  • Flera regler för alla säkerhetsmekanismer förhandlas och avtalas i säkerhetspolicy 10.
  • Kryptering i fas 1 görs med AES 256 bitar.
  • Autentisering görs med ett PSK kryptonyckel (digseckey) i enlighet med DH-algoritmen för grupp 5 (1536 bitar)
  • En PSK kryptonyckel skapas och användas autentisering varje gång IP-kommunikationen sker mellan sajterna.
  • !
  • R1# configure terminal
  • R1(config)# crypto isakmp policy 10
  • R1(config-isakmp)# encryption aes 256
  • R1(config-isakmp)# authentication pre-share
  • R1(config-isakmp)# group 5
  • R1(config-isakmp)# exit
  • R1(config)# crypto isakmp key digseckey address 209.165.200.1
  • R1(config)#
  1. Skapa en åtkomst-lista (Extended ACL) för att identifiera nätverkstrafiken som ska skyddas.
    • R1(config)# ip access-list extended VPN-TRAFFIC
    • R1(config-ext-nacl)# permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
  2. Skapa en IPSec Transform (ISAKMP Fas 2 policy)
    • R1(config)# crypto ipsec transform-set R1-to-R3 esp-aes 256 esp-sha-hmac
  3. Skapa en Crypto Map som identifierar vilken peer och dess nätverkstrafik ska krypteras
    • R1(config)# crypto map IPSEC-MAP 10 ipsec-isakmp
    • R1(config-crypto-map)# set peer 209.165.200.1
    • R1(config-crypto-map)# set transform-set R1-to-R3
    • R1(config-crypto-map)# set pfs group 5
    • R1(config-crypto-map)# set security-association lifetime seconds 86400
    • R1(config-crypto-map)# match address VPN-TRAFFIC
  4. Tillämpa Crypto Map till det publika interfacet av routern
    • R1(config)# interface Gig0/0
    • R1(config-if)# crypto map IPSEC-MAP

Observera att man bara kan tilldela en Crypto MAP till ett interface. Så snart vi tillämpar Crypto MAP på interfacet får man ett meddelande från routern som bekräftar att ISAKMP är på.

  • Flera regler för alla säkerhetsmekanismer förhandlas och avtalas i säkerhetspolicy 10.
  • Kryptering i fas 1 görs med AES 256 bitar.
  • Autentisering görs med ett PSK kryptonyckel (digseckey) i enlighet med DH-algoritmen för grupp 5 (1536 bitar)
  • En PSK kryptonyckel skapas och användas autentisering varje gång IP-kommunikationen sker mellan sajterna.
  • !
  • R3# configure terminal
  • R3(config)# crypto isakmp policy 10
  • R3(config-isakmp)# encryption aes 256
  • R3(config-isakmp)# authentication pre-share
  • R3(config-isakmp)# group 5
  • R3(config-isakmp)# exit
  • R3(config)# crypto isakmp key digseckey address 209.165.100.1
  • R3(config)#
  1. Skapa en åtkomst-lista (Extended ACL) för att identifiera nätverkstrafiken som ska skyddas
    • R3(config)# ip access-list extended VPN-TRAFFIC
    • R3(config-ext-nacl)# permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
  2. Skapa en IPSec Transform (ISAKMP Fas 2 policy)
    • R3(config)# crypto ipsec transform-set R3-to-R1 esp-aes 256 esp-sha-hmac
  3. Skapa en Crypto Map som identifierar vilken peer och dess nätverkstrafik ska krypteras
    • R3(config)# crypto map IPSEC-MAP 10 ipsec-isakmp
    • R3(config-crypto-map)# set peer 209.165.100.1
    • R3(config-crypto-map)# set transform-set R3-to-R1
    • R3(config-crypto-map)# set pfs group 5
    • R3(config-crypto-map)# set security-association lifetime seconds 86400
    • R3(config-crypto-map)# match address VPN-TRAFFIC
  4. Tillämpa Crypto Map till det publika interfacet av routern
    • R3(config)# interface Gig0/0
    • R3(config-if)# crypto map IPSEC-MAP

Observera att man bara kan tilldela en Crypto MAP till ett interface. Så snart vi tillämpar Crypto MAP på interfacet får man ett meddelande från routern som bekräftar att ISAKMP är på.