تونل IPSec بین سودار و cisco

نحوه تنظیم تونل ipsec در cisco و سودار

در این مقاله قصد داریم نحوه تنظیم تونل ipsec بین روتر سیسکو و روتر سودار را شرح دهیم . تونل ipsec دارای دو فاز است که فاز اول تنظیم IKE و فاز دوم تنظیم IPSec می باشد .در ادامه نحوه پیکربندی روتر سیسکو و سودار را در این دو فاز به صورت گام به گام ارائه می دهیم .

cisco with ipsec

۱.نحوه تنظیم ike (فاز اول)

IKE پروتکلی است برای راه اندازی و تشکیل SA که جهت استفاده در تونل ipsec به کار گرفته می شود .
در سیسکو تنظیم profile برای بخش ike استفاده می شود . این تنظیم در سودار در proposal مربوط به ike انجام می پذیرد :

تنظیمات ‌IKE در سودار

crypto ikev2 proposal PH1-PROPOSAL
 integrity sha-256
 encryption aes-256
 group 20  
! 
crypto ikev2 profile PH1-PROFILE  
 keyring local PH1-KEYRING
 identity local address 222.1.1.1
 match identity remote address 222.2.2.2
 authentication local pre-share
 authentication remote pre-share
 proposal 
! 
crypto ikev2 keyring PH1-KEYRING
 peer CISCO
  address 200.1.2.2
  pre-shared-key salam
  identity address 222.2.2.2
!  

تنظیمات IKE در cisco

crypto ikev2 proposal PP 
 encryption aes-cbc-256
 integrity sha256
 group 20
! 
no crypto ikev2 policy default
crypto ikev2 policy pL 
 proposal PP
! 
crypto ikev2 keyring KEYRING
 peer SOODAR
  address 200.1.2.1
  identity address 222.1.1.1
  pre-shared-key salam
 !
crypto ikev2 profile PF
 match identity remote address 222.1.1.1 255.255.255.255 
 identity local address 222.2.2.2
 authentication remote pre-share
 authentication local pre-share
 keyring local KEYRING

۲.نحوه تنظیم ipsec (فاز دوم)

تنظیمات ipsec در سودار

crypto ipsec transform-set TS esp hmac sha-256 cipher aes-256
 mode transport
! 
crypto ipsec profile PH2-PROFILE
 set transform-set TS
 set ikev2-profile PH1-PROFILE
! 

تنظیمات ipsec در Cisco

crypto ipsec transform-set TS esp-aes 256 esp-sha256-hmac 
 mode transport
! 
crypto ipsec profile IPPF
 set transform-set TS 
 set ikev2-profile PF
! 

۳.ساخت تونل gre و محافظت آن با ipsec

دقت شود که مقدار mtu در اینترفیس gre باید از مقدار پیش فرض به ۱۳۸۰ تغییر کند تا سربار افزایشی ipsec روی بسته ها هم در نظر گرفته شود :

تونل gre محافظت شده در سودار

interface tunnel10
 tunnel source 200.1.2.1
 tunnel destination 200.1.2.2
 tunnel protection ipsec profile PH2-PROFILE
 no shutdown
 ip address 10.0.12.1/24

تونل gre محافظت شده در Cisco

interface Tunnel21
 ip address 10.0.12.21 255.255.255.0
 tunnel source 200.1.2.2
 tunnel destination 200.1.2.1
 tunnel protection ipsec profile IPPF

۴.اضافه کردن static route

در آخرین مرحله باید یک route اضافه کنیم تا دسترسی بین pc1 , pc2 از طریق تونل ipsec برقرار شود . برای این کار باید در سیسکو route شبکه 1.1.1.0/24 و در روتر سودار route شبکه 2.1.1.0/24 را از طریق تونلی که ایجاد کرده ایم تعریف نماییم :

static route در سودار

ip route 2.1.1.0/24 tunnel10

static route در Cisco

ip route 1.1.1.0 255.255.255.0 Tunnel21