تونل IPSec بین سودار و cisco
نحوه تنظیم تونل ipsec در cisco و سودار
در این مقاله قصد داریم نحوه تنظیم تونل ipsec بین روتر سیسکو و روتر سودار را شرح دهیم . تونل ipsec دارای دو فاز است که فاز اول تنظیم IKE و فاز دوم تنظیم IPSec می باشد .در ادامه نحوه پیکربندی روتر سیسکو و سودار را در این دو فاز به صورت گام به گام ارائه می دهیم .
۱.نحوه تنظیم ike (فاز اول)
IKE پروتکلی است برای راه اندازی و تشکیل SA که جهت استفاده در تونل ipsec به کار گرفته می شود .
در سیسکو تنظیم profile برای بخش ike استفاده می شود . این تنظیم در سودار در proposal مربوط به ike انجام می پذیرد :
تنظیمات IKE در سودار
crypto ikev2 proposal PH1-PROPOSAL
integrity sha-256
encryption aes-256
group 20
!
crypto ikev2 profile PH1-PROFILE
keyring local PH1-KEYRING
identity local address 222.1.1.1
match identity remote address 222.2.2.2
authentication local pre-share
authentication remote pre-share
proposal
!
crypto ikev2 keyring PH1-KEYRING
peer CISCO
address 200.1.2.2
pre-shared-key salam
identity address 222.2.2.2
!
تنظیمات IKE در cisco
crypto ikev2 proposal PP
encryption aes-cbc-256
integrity sha256
group 20
!
no crypto ikev2 policy default
crypto ikev2 policy pL
proposal PP
!
crypto ikev2 keyring KEYRING
peer SOODAR
address 200.1.2.1
identity address 222.1.1.1
pre-shared-key salam
!
crypto ikev2 profile PF
match identity remote address 222.1.1.1 255.255.255.255
identity local address 222.2.2.2
authentication remote pre-share
authentication local pre-share
keyring local KEYRING
۲.نحوه تنظیم ipsec (فاز دوم)
تنظیمات ipsec در سودار
crypto ipsec transform-set TS esp hmac sha-256 cipher aes-256
mode transport
!
crypto ipsec profile PH2-PROFILE
set transform-set TS
set ikev2-profile PH1-PROFILE
!
تنظیمات ipsec در Cisco
crypto ipsec transform-set TS esp-aes 256 esp-sha256-hmac
mode transport
!
crypto ipsec profile IPPF
set transform-set TS
set ikev2-profile PF
!
۳.ساخت تونل gre و محافظت آن با ipsec
دقت شود که مقدار mtu در اینترفیس gre باید از مقدار پیش فرض به ۱۳۸۰ تغییر کند تا سربار افزایشی ipsec روی بسته ها هم در نظر گرفته شود :
تونل gre محافظت شده در سودار
interface tunnel10
tunnel source 200.1.2.1
tunnel destination 200.1.2.2
tunnel protection ipsec profile PH2-PROFILE
no shutdown
ip address 10.0.12.1/24
تونل gre محافظت شده در Cisco
interface Tunnel21
ip address 10.0.12.21 255.255.255.0
tunnel source 200.1.2.2
tunnel destination 200.1.2.1
tunnel protection ipsec profile IPPF
۴.اضافه کردن static route
در آخرین مرحله باید یک route اضافه کنیم تا دسترسی بین pc1 , pc2 از طریق تونل ipsec برقرار شود . برای این کار باید در سیسکو route شبکه 1.1.1.0/24 و در روتر سودار route شبکه 2.1.1.0/24 را از طریق تونلی که ایجاد کرده ایم تعریف نماییم :
static route در سودار
ip route 2.1.1.0/24 tunnel10
static route در Cisco
ip route 1.1.1.0 255.255.255.0 Tunnel21