vpn
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
CCNA Security Eğitimi - Gökhan AKIN’2009
İTÜ BİDB Ağ Grubu / Gökhan AKIN
“SITE TO SITE VPN” KONFIGURASYONU
Gökhan AKIN / İTÜ’BİDB 2009
MERKEZ Router:
0- IP konfigurasyonu
MERKEZ(config)#interface fastEthernet 0/0
MERKEZ(config-if)#ip address 20.0.0.1 255.0.0.0
MERKEZ(config-if)#no shutdown
MERKEZ(config-if)#exit
MERKEZ(config)#interface serial 0/1/0
MERKEZ(config-if)#ip address 10.0.0.1 255.0.0.0
MERKEZ(config-if)#no shutdown
MERKEZ(config-if)#clock rate 64000
MERKEZ(config-if)#exit
MERKEZ(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.2
1- Faz 1 konfigurasyonu
MERKEZ(config)#crypto isakmp policy 100
MERKEZ(config-isakmp)#authentication pre-share
MERKEZ(config-isakmp)#encryption 3des
(des|3des|aes)
MERKEZ(config-isakmp)#group 2 (1|2|5)
MERKEZ(config-isakmp)#hash md5
(md5|sha)
MERKEZ(config-isakmp)#exit
MERKEZ(config)#crypto isakmp key 0 cisco123 address 10.0.0.2
(cisco 123 kullanilacak şifredir. 10.0.0.2 karşı tarafın IP adresidir.)
Not: Konfigürasyon boyunca koyu yazılanlar şu anda Cisco Router’lar için tercih edilmesi
tavsiye edilen güvenli protokollerdir.
2- Faz 2 Konfigurasyonu
MERKEZ(config)#crypto ipsec transform-set TEST esp-aes esp-sha-hmac
MERKEZ(cfg-crypto-trans)#mode tunnel
MERKEZ(cfg-crypto-trans)#exit
MERKEZ(config)#access-list 102 permit ip 20.0.0.0 0.0.0.255 30.0.0.0 0.0.0.255
1
CCNA Security Eğitimi - Gökhan AKIN’2009
İTÜ BİDB Ağ Grubu / Gökhan AKIN
MERKEZ(config)#crypto map MYMAP 10 ipsec-isakmp
MERKEZ(config-crypto-map)#match address 102
MERKEZ(config-crypto-map)#set transform-set TEST
MERKEZ(config-crypto-map)#set peer 10.0.0.2
(10.0.0.2 karşı tarafın IP adresidir.)
MERKEZ(config-crypto-map)#exit
3- VPN’in devreye alınması
MERKEZ(config)# interface serial 0/1/0
MERKEZ(config-if)# crypto map MYMAP
4- Kontrol Komutları
Faz 1 konfigurasyon kontrolu
MERKEZ#show crypto isakmp policy
Faz 1’in durum kontrolu
MERKEZ#show crypto isakmp sa
dst src state conn-id slot status
10.0.0.2 10.0.0.1 QM_IDLE 1 0 ACTIVE
Faz 2 konfigurasyon kontrolu
MERKEZ#show crypto ipsec transform-set TEST
SUBE Router:
Faz 2’in durum kontrolu
MERKEZ#show crypto ipsec sa
interface: Serial0/1/0
Crypto map tag: MYMAP, local addr 10.0.0.1
protected vrf: (none)
local ident (addr/mask/prot/port): (20.0.0.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (30.0.0.0/255.255.255.0/0/0)
current_peer 10.0.0.2 port 500
PERMIT, flags={origin_is_acl,ipsec_sa_request_sent}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
…………
0- IP konfigurasyonu
SUBE(config)#interface fastEthernet 0/0
SUBE(config-if)#ip address 30.0.0.1 255.0.0.0
SUBE(config-if)#no shutdown
2
CCNA Security Eğitimi - Gökhan AKIN’2009
İTÜ BİDB Ağ Grubu / Gökhan AKIN
SUBE(config-if)#exit
SUBE(config)#interface serial 0/1/0
SUBE(config-if)#ip address 10.0.0.2 255.0.0.0
SUBE(config-if)#no shutdown
SUBE(config-if)#clock rate 64000
SUBE(config-if)#exit
SUBE (config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1
1- Faz 1 konfigurasyonu
SUBE(config)#crypto isakmp policy 100
SUBE(config-isakmp)#authentication pre-share
SUBE(config-isakmp)#encryption 3des (des|3des|aes)
SUBE(config-isakmp)#group 2 (1|2|5)
SUBE(config-isakmp)#hash md5
(md5|sha)
SUBE(config-isakmp)#exit
SUBE(config)#crypto isakmp key 0 cisco123 address 10.0.0.1
2- Faz 2 Konfigurasyonu
SUBE(config)#crypto ipsec transform-set TEST esp-aes esp-sha-hmac
SUBE(cfg-crypto-trans)#mode tunnel
SUBE(cfg-crypto-trans)#exit
SUBE(config)#access-list 102 permit ip 30.0.0.0 0.0.0.255 20.0.0.0 0.0.0.255
SUBE(config)#crypto map MYMAP 10 ipsec-isakmp
SUBE(config-crypto-map)#match address 102
SUBE(config-crypto-map)#set transform-set TEST
SUBE(config-crypto-map)#set peer 10.0.0.1
SUBE(config-crypto-map)#exit
3- VPN’in devreye alınması
SUBE(config)# interface serial 0/1/0
SUBE(config-if)# crypto map MYMAP
4- Kontrol Komutları
Faz 1 konfigurasyon kontrolu
SUBE#show crypto isakmp policy
Faz 1’in durum kontrolu
SUBE#show crypto isakmp sa
3
CCNA Security Eğitimi - Gökhan AKIN’2009
İTÜ BİDB Ağ Grubu / Gökhan AKIN
dst src state conn-id slot status
10.0.0.1 10.0.0.2 QM_IDLE 1 0 ACTIVE
Faz 2 konfigurasyon kontrolu
SUBE#show crypto ipsec transform-set MINE
Faz 2’in durum kontrolu
SUBE#show crypto ipsec sa
4