11 Mart 2012 Pazar

Cisco Site to Site IPSec VPN Yapılandırılması


Yapılandırma altı adımda incelenebilir:
1.     IPsec interface’lerindeki ACL’lerin düzenlenmesi
2.     isakmp policy’lerin oluşturulması
3.     transform-set’lerin oluşturulması
4.     Crypto ACL’lerin oluşturulması
5.     Crypto map’lerin oluşturulması
6.     Crypto map’lerin ilgili IPsec interface’lerine uygulanması

Merkez yapılandırması
1.     ahp, esp ve isakmp(udp 500)’ye izin veren acl’ler yazılır, dış interface’e giriş yönünde uygulanır.
Merkez(config)#access-list 101 permit ahp host 30.0.0.1 host 20.0.0.1
Merkez(config)#access-list 101 permit esp host 30.0.0.1 host 20.0.0.1
Merkez(config)#access-list 101 permit udp host 30.0.0.1 host 20.0.0.1 eq isakmp
Merkez(config)#interface serial 0/0/0
Merkez(config-if)#ip access-group 101 in

2.      isakmp policy oluşturulur (faz 1 yapılandırması):
      Merkez(config)#crypto isakmp policy 5
Numarası 5 olan bir isakmp policy oluşturur. Küçük numaralı isakmp policy daha önceliklidir.
Merkez(config-isakmp)#authentication pre-share
Kimlik denetimi için önceden paylaşılmış anahtar kullanılacağını belirtir.
Merkez(config-isakmp)#encryption 3des
Şifreleme için 3des kullanılacağını belirtir.
Merkez(config-isakmp)#group 5
Diffie-Hellman 5 algoritmasının kullanılacağını belirtir.
Merkez(config-isakmp)#hash md5
Hash algoritması olarak md5 kullanılacağını belirtir.
Merkez(config-isakmp)#lifetime 43200
SA’nın saniye cinsinden geçerli olduğu süreyi belirtir.
Merkez(config-isakmp)#exit
Merkez(config)#crypto isakmp key ANAHTAR address 30.0.0.1
Önceden paylaşılmış anahtarı ve kullanılacağı eşi belirtir. Bu komut yerine
Merkez(config)#crypto isakmp identity hostname
Merkez(config)#crypto isakmp key ANAHTAR hostname Sube
komutları da kullanılabilir.

3.     transform set oluşturulur, mode belirtilir (faz 2 yapılandırması):
Merkez(config)#crypto ipsec transform-set MYSET esp-md5-hmac esp-3des comp-lzs
Oluşturulan transform-set’te esp-md5-hmac ve esp-3des IPsec transform’larının kullanılacağını, ayrıca sıkıştırma yapılacağını belirtir.
Merkez(cfg-crypto-trans)#mode tunnel
Site-to-site VPN’de tunnel mode kullanılır.
Merkez(cfg-crypto-trans)#exit

4.     Crypto ACL oluşturulur. Crypto ACL çıkış interface’ine çıkış yönünde uygulanacakmış gibi yazılır fakat uygulanmaz. Bunun yerine bir crypto map’te tanımlanır ve crypto map interface’e uygulanır.
Merkez(config)#access-list 102 permit ip 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255
Merkez router’ın LAN’ından Sube router’ın LAN’ına giden tüm IP trafiğinin şifreleneceğini belirtir. Burda dikkat edilmesi gereken nokta ACL’in kaynak ve hedef adres kısımlarının simetrik olmasıdır. Çünkü router hangi trafiğe şifre çözme işlemi uygulayacağına bu ACL’in kaynak ve hedef adres kısımlarını yer değiştirip, ACL’i giriş yönünde uygulayarak karar verir. Dolayısıyla crypto ACL yazarken “any” parametresinin kulanılması tavsiye edilmez. Çünkü simetriyi bozabileceği gibi bütün trafiğin belirtilen adrese gitmesine ve/veya IPsec uygulanamayan paketlerin drop edilmesine yol açabilir.

5.     Crypto map oluşturulur
Merkez(config)#crypto map MYMAP 3 ipsec-isakmp
3 numaralı bir crypto map oluşturur. Küçük numaralı crypto map daha önceliklidir.
Merkez(config-crypto-map)#match address 102
kullanılacak crypto ACL’i belirtir.
Merkez(config-crypto-map)#set peer 30.0.0.1
IPsec eşini belirtir. Eğer yedek bir IPsec eşi belirtilmek isteniyorsa bu komutun sonuna “default” parametresi eklenir, yedek IPsec eşi set peer komutuyla (default kullanılmadan) belirtilir.
Merkez(config-crypto-map)#set transform-set MYSET
kullanılacak transform-set’i belirtir.
Merkez(config-crypto-map)#set security-association lifetime seconds 43200
SA’nın geçerli olduğu süreyi belirtir.
Merkez(config-crypto-map)#exit

6.     Crypto map çıkış interface’ine uygulanır
Merkez(config)#interface serial 0/0/0
Merkez(config-if)#crypto map MYMAP
ACL’de olduğu gibi bir interface’e sadece bir tane crypto map uygulanabilir. Fakat aynı isimli farklı numaralı crypto map’ler oluşturulursa interface bunları önceliklerine göre değerlendirecektir. Böylece farklı trafik türlerine farklı düzeyde güvenlik uygulanabilir ve trafiğin farklı IPsec eşlerine yönlendirilmesi sağlanabilir.

Şube yapılandırması da çok benzer olacaktır. Sadece IP adresleri değişir. İki tarafta da eşleşen en az bir isakmp policy ve gene en az bir transform-set olması gerekir. Fakat aslında iki tarafta da ihtiyaca göre istenildiği kadar isakmp policy ve transform-set oluşturulabilir.
Kontrol komutları:
show crypto isakmp policy faz 1 yapılandırma kontrolü
show crypto isakmp sa faz 1 durum kontrolü
show crypto ipsec transform-set {MYSET} faz 2 yapılandırma kontrolü
show crypto ipsec sa faz 2 durum kontrolü
show crypto map crypto map kontrolü
debug crypto isakmp isakmp olaylarını gösterir.
debug crypto ipsec IPsec olaylarını gösterir.

Hiç yorum yok:

Yorum Gönder