2. Настройка Policy-based iPsec vpn.

Цели задачи:

- Настроить Route-based IPsec VPN от gi1/0/2.712 R1 до gi1/0/3.B.712 R0 и следующими параметрами:

IKE:

- группа Диффи-Хэллмана: 2;

- алгоритм шифрования: AES128;

- алгоритм аутентификации: MD5.

- PSK: 123FFF

IPsec:

- алгоритм шифрования: AES128;

- алгоритм аутентификации: MD5.

Шаг 1. На R1 из привилегированного режима командой config проходим в режим глобальной конфигурации.

R1# config

R1(config)#

Шаг 2. Создадим sub-интерфейс с IP-адрес, согласно таблице адресации, и определим к зоне безопасности.

R1(config)# interface gi 1/0/2.712

R1(config-subif)# ip address 192.N.72.1/24

R1(config-subif)# ip security zone LAN

R1(config-subif)# exit

Шаг 3. Список портов, для настройки правил взаимодействия между зонами безопасности с именем ISAKMP_PORT уже нами создан в предыдущем разделе, поэтому нам не надо его создавать.

Шаг 4.Создадим профиль протокола IKE, в котором укажем параметры, согласно условиям. Данные параметры безопасности используются для защиты IKE-соединения:

R1(config)# security ike proposal IKE_PROPOSAL_2

R1(config-ike-proposal)# dh-group 2

R1(config-ike-proposal)# authentication algorithm md5

R1(config-ike-proposal)# encryption algorithm aes128

R1(config-ike-proposal)# exit

Шаг 5. Создадим политику IKE, в которой укажем список профилей IKE, по которым могут согласовываться узлы и ключ аутентификации:

R1(config)# security ike policy IKE_POLICY_2

R1(config-ike-policy)# pre-shared-key hex 123FFF

R1(config-ike-policy)# proposal IKE_PROPOSAL_2

R1(config-ike-policy)# exit

Шаг 6. Создадим шлюз IKE, в котором указываем политику, версия протокола и режим перенаправления трафика. На этот пункт надо обратить внимание! :

R1(config)# security ike gateway IKE_GATEWAY_POLICY_BASED_2

R1(config-ike-gw)# ike-policy IKE_POLICY_2

R1(config-ike-gw)# local address 192.N.72.1

R1(config-ike-gw)# local network 192.168.33.253/32

R1(config-ike-gw)# remote address 192.N.72.253

R1(config-ike-gw)# remote network 192.168.34.N

R1(config-ike-gw)# mode policy-based

R1(config-ike-gw)# exit

Шаг 7. Создадим профиль параметров безопасности для IPsec-туннеля и укажем необходимые параметры.

R1(config)# security ipsec proposal IPSEC_PROPOSAL_2

R1(config-ipsec-proposal)# authentication algorithm md5

R1(config-ipsec-proposal)# encryption algorithm aes128

R1(config-ipsec-proposal)# exit

Шаг 8.Создадим политику для IPsec-туннеля, в которой укажем список профилей IPsec- туннеля, для согласования узлов.

R1(config)# security ipsec policy IPSEC_POLLICY

R1(config-ipsec-policy)# proposal IPSEC_PROPOSAL

R1(config-ipsec-policy)# exit

Шаг 9. Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.

R1(config)# security ipsec vpn IPSEC_VPN_POLICY_BASED

R1(config-ipsec-vpn)# mode ike

R1(config-ipsec-vpn)# ike establish-tunnel route

R1(config-ipsec-vpn)# ike gateway IKE_GATEWAY_POLICY_BASED

R1(config-ipsec-vpn)# ike ipsec-policy IPSEC_POLICY

R1(config-ipsec-vpn)# enable

R1(config-ipsec-vpn)# exit

R1(config)# exit

Шаг 10. Применим и подтвердим настроенную конфигурацию.

R1# commit

R1# confirm

Шаг 11. Проверим конфигурацию командами show (см. рис. 5 - 7).

Рис. 5.Команда show security ike proposal

Рис. 6. Команда show security ike policy

Рис. 7. Команда show security ike gateway