Yapılandırma altı adımda
incelenebilir:
1. IPsec interface’lerindeki
ACL’lerin düzenlenmesi
2. isakmp policy’lerin
oluşturulması
3. transform-set’lerin
oluşturulması
4. Crypto ACL’lerin
oluşturulması
5. Crypto map’lerin oluşturulması
6. Crypto map’lerin ilgili
IPsec interface’lerine uygulanması
Merkez yapılandırması
1. ahp, esp ve isakmp(udp
500)’ye izin veren acl’ler yazılır, dış interface’e giriş yönünde uygulanır.
Merkez(config)#access-list 101 permit ahp host 30.0.0.1 host 20.0.0.1
Merkez(config)#access-list 101 permit esp host 30.0.0.1 host 20.0.0.1
Merkez(config)#access-list 101 permit udp host 30.0.0.1 host 20.0.0.1 eq isakmp
Merkez(config)#interface serial 0/0/0
Merkez(config-if)#ip access-group 101 in
Merkez(config)#access-list 101 permit ahp host 30.0.0.1 host 20.0.0.1
Merkez(config)#access-list 101 permit esp host 30.0.0.1 host 20.0.0.1
Merkez(config)#access-list 101 permit udp host 30.0.0.1 host 20.0.0.1 eq isakmp
Merkez(config)#interface serial 0/0/0
Merkez(config-if)#ip access-group 101 in
2. isakmp policy oluşturulur
(faz 1 yapılandırması):
Merkez(config)#crypto isakmp policy 5
Numarası 5 olan bir isakmp policy oluşturur. Küçük numaralı isakmp policy daha önceliklidir.
Merkez(config-isakmp)#authentication pre-share
Kimlik denetimi için önceden paylaşılmış anahtar kullanılacağını belirtir.
Merkez(config-isakmp)#encryption 3des
Şifreleme için 3des kullanılacağını belirtir.
Merkez(config-isakmp)#group 5
Diffie-Hellman 5 algoritmasının kullanılacağını belirtir.
Merkez(config-isakmp)#hash md5
Hash algoritması olarak md5 kullanılacağını belirtir.
Merkez(config-isakmp)#lifetime 43200
SA’nın saniye cinsinden geçerli olduğu süreyi belirtir.
Merkez(config-isakmp)#exit
Merkez(config)#crypto isakmp key ANAHTAR address 30.0.0.1
Önceden paylaşılmış anahtarı ve kullanılacağı eşi belirtir. Bu komut yerine
Merkez(config)#crypto isakmp identity hostname
Merkez(config)#crypto isakmp key ANAHTAR hostname Sube
komutları da kullanılabilir.
Numarası 5 olan bir isakmp policy oluşturur. Küçük numaralı isakmp policy daha önceliklidir.
Merkez(config-isakmp)#authentication pre-share
Kimlik denetimi için önceden paylaşılmış anahtar kullanılacağını belirtir.
Merkez(config-isakmp)#encryption 3des
Şifreleme için 3des kullanılacağını belirtir.
Merkez(config-isakmp)#group 5
Diffie-Hellman 5 algoritmasının kullanılacağını belirtir.
Merkez(config-isakmp)#hash md5
Hash algoritması olarak md5 kullanılacağını belirtir.
Merkez(config-isakmp)#lifetime 43200
SA’nın saniye cinsinden geçerli olduğu süreyi belirtir.
Merkez(config-isakmp)#exit
Merkez(config)#crypto isakmp key ANAHTAR address 30.0.0.1
Önceden paylaşılmış anahtarı ve kullanılacağı eşi belirtir. Bu komut yerine
Merkez(config)#crypto isakmp identity hostname
Merkez(config)#crypto isakmp key ANAHTAR hostname Sube
komutları da kullanılabilir.
3. transform set
oluşturulur, mode belirtilir (faz 2 yapılandırması):
Merkez(config)#crypto ipsec transform-set MYSET esp-md5-hmac esp-3des comp-lzs
Oluşturulan transform-set’te esp-md5-hmac ve esp-3des IPsec transform’larının kullanılacağını, ayrıca sıkıştırma yapılacağını belirtir.
Merkez(cfg-crypto-trans)#mode tunnel
Site-to-site VPN’de tunnel mode kullanılır.
Merkez(cfg-crypto-trans)#exit
Merkez(config)#crypto ipsec transform-set MYSET esp-md5-hmac esp-3des comp-lzs
Oluşturulan transform-set’te esp-md5-hmac ve esp-3des IPsec transform’larının kullanılacağını, ayrıca sıkıştırma yapılacağını belirtir.
Merkez(cfg-crypto-trans)#mode tunnel
Site-to-site VPN’de tunnel mode kullanılır.
Merkez(cfg-crypto-trans)#exit
4. Crypto ACL oluşturulur.
Crypto ACL çıkış interface’ine çıkış yönünde uygulanacakmış gibi yazılır fakat
uygulanmaz. Bunun yerine bir crypto map’te tanımlanır ve crypto map interface’e
uygulanır.
Merkez(config)#access-list 102 permit ip 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255
Merkez router’ın LAN’ından Sube router’ın LAN’ına giden tüm IP trafiğinin şifreleneceğini belirtir. Burda dikkat edilmesi gereken nokta ACL’in kaynak ve hedef adres kısımlarının simetrik olmasıdır. Çünkü router hangi trafiğe şifre çözme işlemi uygulayacağına bu ACL’in kaynak ve hedef adres kısımlarını yer değiştirip, ACL’i giriş yönünde uygulayarak karar verir. Dolayısıyla crypto ACL yazarken “any” parametresinin kulanılması tavsiye edilmez. Çünkü simetriyi bozabileceği gibi bütün trafiğin belirtilen adrese gitmesine ve/veya IPsec uygulanamayan paketlerin drop edilmesine yol açabilir.
Merkez(config)#access-list 102 permit ip 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255
Merkez router’ın LAN’ından Sube router’ın LAN’ına giden tüm IP trafiğinin şifreleneceğini belirtir. Burda dikkat edilmesi gereken nokta ACL’in kaynak ve hedef adres kısımlarının simetrik olmasıdır. Çünkü router hangi trafiğe şifre çözme işlemi uygulayacağına bu ACL’in kaynak ve hedef adres kısımlarını yer değiştirip, ACL’i giriş yönünde uygulayarak karar verir. Dolayısıyla crypto ACL yazarken “any” parametresinin kulanılması tavsiye edilmez. Çünkü simetriyi bozabileceği gibi bütün trafiğin belirtilen adrese gitmesine ve/veya IPsec uygulanamayan paketlerin drop edilmesine yol açabilir.
5. Crypto map oluşturulur
Merkez(config)#crypto map MYMAP 3 ipsec-isakmp
3 numaralı bir crypto map oluşturur. Küçük numaralı crypto map daha önceliklidir.
Merkez(config-crypto-map)#match address 102
kullanılacak crypto ACL’i belirtir.
Merkez(config-crypto-map)#set peer 30.0.0.1
IPsec eşini belirtir. Eğer yedek bir IPsec eşi belirtilmek isteniyorsa bu komutun sonuna “default” parametresi eklenir, yedek IPsec eşi set peer komutuyla (default kullanılmadan) belirtilir.
Merkez(config-crypto-map)#set transform-set MYSET
kullanılacak transform-set’i belirtir.
Merkez(config-crypto-map)#set security-association lifetime seconds 43200
SA’nın geçerli olduğu süreyi belirtir.
Merkez(config-crypto-map)#exit
Merkez(config)#crypto map MYMAP 3 ipsec-isakmp
3 numaralı bir crypto map oluşturur. Küçük numaralı crypto map daha önceliklidir.
Merkez(config-crypto-map)#match address 102
kullanılacak crypto ACL’i belirtir.
Merkez(config-crypto-map)#set peer 30.0.0.1
IPsec eşini belirtir. Eğer yedek bir IPsec eşi belirtilmek isteniyorsa bu komutun sonuna “default” parametresi eklenir, yedek IPsec eşi set peer komutuyla (default kullanılmadan) belirtilir.
Merkez(config-crypto-map)#set transform-set MYSET
kullanılacak transform-set’i belirtir.
Merkez(config-crypto-map)#set security-association lifetime seconds 43200
SA’nın geçerli olduğu süreyi belirtir.
Merkez(config-crypto-map)#exit
6. Crypto map çıkış
interface’ine uygulanır
Merkez(config)#interface serial 0/0/0
Merkez(config-if)#crypto map MYMAP
ACL’de olduğu gibi bir interface’e sadece bir tane crypto map uygulanabilir. Fakat aynı isimli farklı numaralı crypto map’ler oluşturulursa interface bunları önceliklerine göre değerlendirecektir. Böylece farklı trafik türlerine farklı düzeyde güvenlik uygulanabilir ve trafiğin farklı IPsec eşlerine yönlendirilmesi sağlanabilir.
Merkez(config)#interface serial 0/0/0
Merkez(config-if)#crypto map MYMAP
ACL’de olduğu gibi bir interface’e sadece bir tane crypto map uygulanabilir. Fakat aynı isimli farklı numaralı crypto map’ler oluşturulursa interface bunları önceliklerine göre değerlendirecektir. Böylece farklı trafik türlerine farklı düzeyde güvenlik uygulanabilir ve trafiğin farklı IPsec eşlerine yönlendirilmesi sağlanabilir.
Şube yapılandırması da
çok benzer olacaktır. Sadece IP adresleri değişir. İki tarafta da eşleşen en az
bir isakmp policy ve gene en az bir transform-set olması gerekir. Fakat aslında
iki tarafta da ihtiyaca göre istenildiği kadar isakmp policy ve transform-set
oluşturulabilir.
Kontrol komutları:
show crypto isakmp policy faz 1 yapılandırma
kontrolü
show crypto isakmp sa faz 1 durum kontrolü
show crypto ipsec
transform-set {MYSET}
faz 2 yapılandırma kontrolü
show crypto ipsec sa faz 2 durum kontrolü
show crypto map crypto map kontrolü
debug crypto isakmp isakmp olaylarını
gösterir.
debug crypto ipsec IPsec olaylarını
gösterir.
Hiç yorum yok:
Yorum Gönder