تونل IPSec بین سودار و cisco

نحوه تنظیم تونل ipsec در cisco و سودار

در این مقاله قصد داریم نحوه تنظیم تونل ipsec بین روتر سیسکو و روتر سودار را شرح دهیم . تونل ipsec دارای دو فاز است که فاز اول تنظیم IKE و فاز دوم تنظیم IPSec می باشد .در ادامه نحوه پیکربندی روتر سیسکو و سودار را در این دو فاز به صورت گام به گام ارائه می دهیم .

cisco with ipsec

۱.نحوه تنظیم ike (فاز اول)

IKE پروتکلی است برای راه اندازی و تشکیل SA که جهت استفاده در تونل ipsec به کار گرفته می شود .
در سیسکو تنظیم profile برای بخش ike استفاده می شود . این تنظیم در سودار در proposal مربوط به ike انجام می پذیرد :

تنظیمات ‌IKE در سودار

crypto ikev2 proposal PH1-PROPOSAL
 integrity sha-256
 encryption aes-256
 group 20  
! 
crypto ikev2 profile PH1-PROFILE  
 keyring local PH1-KEYRING
 identity local address 222.1.1.1
 match identity remote address 222.2.2.2
 authentication local pre-share
 authentication remote pre-share
 proposal 
! 
crypto ikev2 keyring PH1-KEYRING
 peer CISCO
  address 200.1.2.2
  pre-shared-key salam
  identity address 222.2.2.2
!  

تنظیمات IKE در cisco

crypto ikev2 proposal PP 
 encryption aes-cbc-256
 integrity sha256
 group 20
! 
no crypto ikev2 policy default
crypto ikev2 policy pL 
 proposal PP
! 
crypto ikev2 keyring KEYRING
 peer SOODAR
  address 200.1.2.1
  identity address 222.1.1.1
  pre-shared-key salam
 !
crypto ikev2 profile PF
 match identity remote address 222.1.1.1 255.255.255.255 
 identity local address 222.2.2.2
 authentication remote pre-share
 authentication local pre-share
 keyring local KEYRING

۲.نحوه تنظیم ipsec (فاز دوم)

تنظیمات ipsec در سودار

crypto ipsec transform-set TS esp hmac sha-256 cipher aes-256
 mode transport
! 
crypto ipsec profile PH2-PROFILE
 set transform-set TS
 set ikev2-profile PH1-PROFILE
! 

تنظیمات ipsec در Cisco

crypto ipsec transform-set TS esp-aes 256 esp-sha256-hmac 
 mode transport
! 
crypto ipsec profile IPPF
 set transform-set TS 
 set ikev2-profile PF
! 

۳.ساخت تونل gre و محافظت آن با ipsec

دقت شود که مقدار mtu در اینترفیس gre باید از مقدار پیش فرض به ۱۳۸۰ تغییر کند تا سربار افزایشی ipsec روی بسته ها هم در نظر گرفته شود :

تونل gre محافظت شده در سودار

interface tunnel10
 tunnel source 200.1.2.1
 tunnel destination 200.1.2.2
 tunnel protection ipsec profile PH2-PROFILE
 no shutdown
 ip address 10.0.12.1/24

تونل gre محافظت شده در Cisco

interface Tunnel21
 ip address 10.0.12.21 255.255.255.0
 tunnel source 200.1.2.2
 tunnel destination 200.1.2.1
 tunnel protection ipsec profile IPPF

۴.اضافه کردن static route

در آخرین مرحله باید یک route اضافه کنیم تا دسترسی بین pc1 , pc2 از طریق تونل ipsec برقرار شود . برای این کار باید در سیسکو route شبکه 1.1.1.0/24 و در روتر سودار route شبکه 2.1.1.0/24 را از طریق تونلی که ایجاد کرده ایم تعریف نماییم :

static route در سودار

ip route 2.1.1.0/24 tunnel10

static route در Cisco

ip route 1.1.1.0 255.255.255.0 Tunnel21