При необходимости использовать защищенные туннели, и при желании сохранять конфигурацию минимальной, существует решение по организации cisco ipsec туннеля без использования crypto map.
Пример конфигурации для одного хоста (на другой стороне будет зеркальная конфигурация). Создание ключа SECRETKEY для удаленной стороны:
Описание трансформ сета:
Создание крипто профиля:
Настройки интерфейсов:
Интерфейс в сторону провайдера:
Проверка сессии:
Надо отметить что crypto map все же создались, но произошло это автоматически, и они не занимают место в конфигурации:
Теперь весь траффик между 172.16.0.0/30 идет шифрованный, а все остальное на этом интерфейсе — нет.
Всем спасибо за внимание, жду комментариев.
Пример конфигурации для одного хоста (на другой стороне будет зеркальная конфигурация). Создание ключа SECRETKEY для удаленной стороны:
crypto isakmp key SECRETKEY address 11.0.0.3
Описание трансформ сета:
crypto ipsec transform-set TS esp-3des esp-sha-hmac comp-lzs
Создание крипто профиля:
crypto ipsec profile A
set transform-set TS
Настройки интерфейсов:
interface Tunnel0
ip address 172.16.0.1 255.255.255.252
tunnel source FastEthernet0/0
tunnel destination 11.0.0.3
tunnel mode ipsec ipv4
tunnel protection ipsec profile A
Интерфейс в сторону провайдера:
interface FastEthernet0/0
ip address 10.0.0.1 255.0.0.0
Проверка сессии:
R1#show crypto session
Crypto session current status
Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 11.0.0.3 port 500
IKE SA: local 10.0.0.1/500 remote 11.0.0.3/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 4, origin: crypto map
Надо отметить что crypto map все же создались, но произошло это автоматически, и они не занимают место в конфигурации:
R1#show crypto map
Crypto Map "Tunnel0-head-0" 65536 ipsec-isakmp
Profile name: A
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
TS: { esp-3des esp-sha-hmac } , { comp-lzs } ,
}
Crypto Map "Tunnel0-head-0" 65537 ipsec-isakmp
Map is a PROFILE INSTANCE.
Peer = 11.0.0.3
Extended IP access list
access-list permit ip any any
Current peer: 11.0.0.3
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
TS: { esp-3des esp-sha-hmac } , { comp-lzs } ,
}
Always create SAs
Interfaces using crypto map Tunnel0-head-0:
Tunnel0
Теперь весь траффик между 172.16.0.0/30 идет шифрованный, а все остальное на этом интерфейсе — нет.
Всем спасибо за внимание, жду комментариев.
Комментарии (6)
milex
13.11.2015 20:23Первое, что пришло в голову после прочтения заголовка — crypto ipsec profile. Аналогично с Aclz, сразу всплывает в памяти «Сети для самых маленьких».
Aclz
Да, собственно, он один: habrahabr.ru/post/170895
Lennotoecom
Да, собственно, я писал самостоятельно, что выдает отсутствие crypto policy, как в той ссылке что вы указали.
Aclz
На всякий случай конкретизирую раздел по ссылке выше, относящийся к вашему посту: «IPSec VTI».