Oct 21,2008
Először egy egyszerűbb kisvállalati topológiával kezdeném, melyet GNS3-ban készítettem. Az ábrán három telephely és “WAN” felhő található. Két telephelyen PIX (8.0(3 )) a harmadikon 3725-ös router (advanced security IOS) építi fel a VPN kapcsolatot. A “LAN”-okhoz 1-1 VMware-el emulált PC-t lehet kapcsolni. A felhőhőz PPP és PPPoE beágyazással csatlakoztam. A felhőben a két 7200-as routert egy Frame-Relay switch kapcsol össze. A felhőhöz a telephelyeken kívül még hozzá kapcsolódik a fizikai hálókártya, mely segítségével a HOST gépről remote access VPN-t lehet tesztelni.
A következőkben a hálózati eszközök konfigurációja rövid kommettel látható:
Wan felhő:
7200a router:
version 12.4
hostname 7200a
ip cef
username 2691 password 0 cisco
!
interface Serial1/0
description frame_relay
no ip address
encapsulation frame-relay
!
interface Serial1/0.1 point-to-point
ip address 10.10.10.253 255.255.255.252
frame-relay interface-dlci 101
!
interface Serial1/1
ip address 78.124.30.249 255.255.255.252
encapsulation ppp
serial restart-delay 0
ppp authentication chap
!
interface FastEthernet2/0
ip address 213.146.106.1 255.255.255.252
duplex auto
speed auto
!
interface FastEthernet2/1
no ip address
shutdown
duplex auto
speed auto
!
router rip
version 2
network 10.0.0.0
network 78.0.0.0
network 213.146.106.0
!
ip route 0.0.0.0 0.0.0.0 10.10.10.254
ip route 78.124.30.252 255.255.255.252 78.124.30.253
ip route 78.124.30.252 255.255.255.252 78.124.30.250
!
line con 0
exec-timeout 600 0
logging synchronous
!!PPPoE server config (for ROME Pix)
!! Felhasználó név és jelszó beállítás a Pix-hez
username rome password romepass
!! Engedélyezzük a virtual private dial-up network -öt (VPDN).
vpdn enable
!! VPDN group létrehozása a PPPoE-hez
vpdn-group pppoex
accept-dialin
protocol pppoe
virtual-template 1
!
interface fa2/0
ip address 213.146.106.1 255.255.255.252
pppoe enable !!PPPoE engedélyezése az interface-n
no sh
!!Virtuális interface a PPPoE-hez
interface Virtual-Template 1
mtu 1492
ip unnumbered fa2/0
peer default ip address pool pixpool
ppp authentication pap
! IP pool létrehozása a PPPoE felhasználónknak
ip local pool pixpool 213.146.106.2
7200b router:
hostname 7200b
ip cef
username Budapest password 0 cisco
!
interface FastEthernet0/0
ip address 172.16.1.254 255.255.255.0
no shut
!
interface Serial1/0
ip address 64.32.128.1 255.255.255.252
encapsulation ppp
ppp authentication chap
no sh
!
interface Serial1/1
description frame-relay
no ip address
encapsulation frame-relay
no sh
!
interface Serial1/1.10 point-to-point
ip address 10.10.10.254 255.255.255.252
frame-relay interface-dlci 202
!
router rip
version 2
network 10.0.0.0
network 64.0.0.0
network 172.16.0.0
!
ip route 0.0.0.0 0.0.0.0 10.10.10.253
line con 0
exec-timeout 600 0
logging synchronous
end
Rome:
Rome Pix:
hostname Rome
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
nameif outside
security-level 0
pppoe client vpdn group pppoex !!Interface PPPoE grouphoz rendelése
ip address pppoe !! IP address kérés PPPoE servertől
no shut
!
interface Ethernet1
nameif inside
security-level 100
ip address 172.18.0.1 255.255.255.0
no shut
!!Routing
route outside 0.0.0.0 0.0.0.0 213.146.106.1 1
route inside 172.19.0.0 255.255.255.0 172.18.0.2 1
PPPoE kliens beállítás:
!! VPDN group létrehozása a PPPoE-hez (dialout)
vpdn group pppoex request dialout pppoe
!!VPDN group-ban felhasználó név létrehozása
vpdn group pppoex localname rome
!!Authentication protocol
vpdn group pppoex ppp authentication pap
!!Felhasználó név és jelszó beállítás (ugyan annak kell lennie mint a serveren)
vpdn username rome password romepass
!!Site to site VPN Budapest router felé
!!Internet Security Association Key Management Protocol, IPsec VPN !kiépítésére tett kapcsolatteremtés egyes fázisait írja le, ez adja meg a kulcsere protokollnak és biztonsági szabályok egyzetetési mechanizmusának keretét. Jelenleg cask az IKE (Internet Key Exchange) protocol támogatott ISAKMP alatt.
isakmp enable outside
isakmp identity address
!IKE 1. fázisa: IPSec SA paraméterek beállítása:
isakmp policy 20
authentication pre-share !!előre beállított kulcsot használ
encryption 3des !!Titkosító algoritmus
hash md5 !!Kivonatoló algoritmus
group 2 !!Diffie-Hellman kulcscserélő algoritmus.
lifetime 86400 !!IPSec SA éllettartam (Security Acciciation)
!!Pre-share key beállítása:
Crypto isakmp key cisco123 address 64.32.128.2
!Engedélyezi az 50 ,51-es IP protokollt és az UDP 500 as portot, (ezen zajlik az IKE egyeztetés. És engedélyezi az VPN végpontok kommunikációját, és az adott !végpontok mögötti hálózatot.
sysopt connection permit-ipsec
!A végpontunk mögötti hálózatból a másik végpont mögötti hálózatba titkosított adapt küldését engedélyezzük.
access-list budapest_vpn permit ip 172.18.0.0 255.255.255.0 192.168.10.0 255.255.255.0
!nonat address translation ACL
access-list nonat_acl extended permit ip 172.18.0.0 255.255.255.0 192.168.10.0 255.255.255.0
nat (inside) 0 access-list nonat_acl
! AH és ESP átalakítási készlet létrehozása (a felek megegyzenek abban a készletben amely mindkettőnél ugyan az.
crypto ipsec transform-set bptrset esp-3des esp-md5-hmac
!Titkosítási leképezés definiálása:
! 1 interface-n ugyanazzal a névvel cask 1 titkosítási leképezési lista de különböző !sorszámmal több is használható
crypto map ipsec_map 2 match address budapest_vpn
crypto map ipsec_map 2 set peer 64.32.128.2
crypto map ipsec_map 2 set transform-set bptrset
crypto map ipsec_map interface outside
isakmp nat-traversal 20
! Tnnel group definiálása:
tunnel-group 64.32.128.2 type ipsec-l2l
tunnel-group 64.32.128.2 ipsec-attributes
pre-shared-key cisco123
!!Site to site VPN Berlin Pix felé
access-list berlin_vpn permit ip 172.18.0.0 255.255.255.0 192.168.30.0 255.255.255.0
access-list nonat_acl extended permit ip 172.18.0.0 255.255.255.0 192.168.30.0 255.255.255.0
nat (inside) 0 access-list nonat_acl
sysopt connection permit-ipsec
crypto ipsec transform-set berlintrst esp-3des esp-md5-hmac
crypto map ipsec_map 3 match address berlin_vpn
crypto map ipsec_map 3 set peer 78.124.30.254
crypto map ipsec_map 3 set transform-set berlintrst
crypto map ipsec_map interface outside
tunnel-group 78.124.30.254 type ipsec-l2l
tunnel-group 78.124.30.254 ipsec-attributes
pre-shared-key cisco123
!!Remote access VPN
!! Vpn user-ek számára kiosztásra kerölü IP tartomány
ip local pool vpnpool 172.18.1.0-172.18.1.255
!!ACL a VPN felhasználóknak:
access-list remotevpn extended permit ip 172.18.1.0 255.255.255.0 172.19.0.0 255.255.255.0
access-list remotevpn extended deny ip any any
!!átalakítási készlet létrehozása
crypto ipsec transform-set remotetrst esp-aes-256 esp-sha-hmac
!Dinamikus leképezési lista (mivel nem ismerjük a user-ek IP címét) és hozzá kapcsoljuk az átalakítási készletet
crypto dynamic-map reacess 10 set transform-set remotetrst
crypto map ipsec_map 10 ipsec-isakmp dynamic reacess
crypto map ipsec_map interface outside
access-list nonat_acl extended permit ip 172.18.0.0 255.255.255.0 172.18.1.0 255.255.255.0
nat (inside) 0 access-list nonat_acl
isakmp enable outside
isakmp policy 10
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
!!VPN group definiálása:
group-policy ra-policy internal
group-policy ra-policy attributes
vpn-filter value remotevpn !! remotevpn ACL hozzáillesztése a group policy-hez
!! Helyi VPN userek definiálása
username cisco password cisco123
username cisco attributes
vpn-framed-ip-address 172.18.1.3 255.255.255.255
!!Tunnel group létrehozása a remote access VPN-hez
tunnel-group ciscovpn type remote-access
tunnel-group ciscovpn ipsec-attributes
pre-shared-key cisco123
tunnel-group ciscovpn general-attributes
address-pool vpnpool !!vpnpool helyi ip címtartomány a tunnel-group-hoz
default-group-policy ra-policy !!ra-policy nevű group policy tunnel-group-hoz rendelve.
Berlin:
2960 (internet router):
version 12.4
hostname 2691
ip cef
username 7200a password 0 cisco
interface FastEthernet0/0
ip address 78.124.30.253 255.255.255.252
no sh
!
interface Serial1/0
ip address 78.124.30.250 255.255.255.252
encapsulation ppp
ppp authentication chap
no sh
ip route 0.0.0.0 0.0.0.0 78.124.30.249
end
Berlin Pix:
PIX Version 8.0(3)
!
hostname Berlin
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 78.124.30.254 255.255.255.252
no shut
!
interface Ethernet1
nameif inside
security-level 100
ip address 192.168.30.1 255.255.255.0
no sh
access-list rome_vpn permit ip 192.168.30.0 255.255.255.0 172.18.0.0 255.255.255.0
access-list nonat_acl extended permit ip 192.168.30.0 255.255.255.0 172.18.0.0 255.255.255.0
nat (inside) 0 access-list nonat_acl
route outside 0.0.0.0 0.0.0.0 78.124.30.254
sysopt connection permit-ipsec
crypto ipsec transform-set rometrset esp-3des esp-md5-hmac
crypto map ipsec_map 1 match address rome_vpn
crypto map ipsec_map 1 set peer 213.146.106.2
crypto map ipsec_map 1 set transform-set rometrset
crypto map ipsec_map interface outside
isakmp enable outside
isakmp identity address
isakmp policy 20
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
isakmp nat-traversal 20
tunnel-group 213.146.106.2 type ipsec-l2l
tunnel-group 213.146.106.2 ipsec-attributes
pre-shared-key cisco123
Budapest:
Budapest router:
version 12.4
hostname Budapest
ip cef
username 7200b password 0 cisco
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco123 address 213.146.106.2
crypto ipsec transform-set rometrst esp-3des esp-md5-hmac
crypto map vpn 10 ipsec-isakmp
set peer 213.146.106.2
set transform-set rometrst
match address 101
interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
no sh
!
interface Serial1/0
ip address 64.32.128.2 255.255.255.252
encapsulation ppp
ppp authentication chap
crypto map vpn
no sh
ip classless
ip route 0.0.0.0 0.0.0.0 64.32.128.1
access-list 101 permit 192.168.10.0 255.255.255.0 172.18.0.0 255.255.255.0
end
Ha van vmi észrevételetek, vagy kérdésetek, csak írjatok!
Popularity: 69% [?]
Related posts:
- VPN Hozzáférés #1 – Cisco VPN Kliens – Local Auth Sziasztok, megpróbálom összeszedni a gondolataimat a VPN Hozzáféréssel kapcsolatban, ezért...
- Cisco Remote Access VPN – MS CA Server – MS Radius Végül elkészült a Cisco VPN Klienssel használható Remote Access...
- Ipsec fontos portok Amennyiben egy PIX vagy egyéb security eszköz van a...
- DMZ network cisco PIX/ASA- val A következőkben röviden leírom hogy, lehet létrehozni DMZ network-öt...
- GETVPN based solutions Sziasztok! Mostanában megint kevés időm van blogolni, de azért néha...
Recent Posts
Recent Comments
Cisco blogs
Tags
CCIE Pursuit
Tools
Categories
stat
Support
Events
Feeds
Highest Rated
- Configuration lock
- IPsec VPN Cisco PIX-el
- DMZ network cisco PIX/ASA- val
- Vége a vizsgaidőszaknak
- Voice: Trunk-group Resource Management
Now Reading
Planned books:
- Inside Cisco IOS Software Architecture (CCIE Professional Development) (CCIE Professional Developmen by Vijay Bollapragada
- CCNA Security Official Exam Certification Guide (Exam 640-553) (Exam Certification Guide) by Michael Watkins
- Designing Cisco Network Service Architectures (ARCH) (Authorized Self-Study Guide) (2nd Edition) (Se by Keith Hutton
- Deploying Cisco Wide Area Application Services (Networking Technology) by Zach Seils
-
CCIE Routing and Switching Exam Quick Reference Sheets: Exam 350-001 v3.0 by Anthony Sequeira
Current books:
Recent books:
None
Archives
- June 2010
- April 2010
- March 2010
- February 2010
- January 2010
- November 2009
- October 2009
- September 2009
- August 2009
- July 2009
- June 2009
- May 2009
- April 2009
- March 2009
- February 2009
- January 2009
- December 2008
- November 2008
- October 2008
- September 2008
- August 2008
- July 2008
- June 2008
- May 2008
- April 2008
- March 2008
- February 2008
- January 2008
- December 2007
- November 2007
- October 2007
One Response for "IPsec VPN Cisco PIX-el"
Szép összefoglaló post a VPN technológiákról:))
Üdv,
Xcke
Leave a reply