Для системного администратора

Первая часть статьи находится тут

Настройка ASA 7.x

Подключитесь к ASA с правами администратора. Для настройки параметров управления подключением (phase 1) войдите в политику ISAKMP и установите параметры использования совместно используемого ключа, использование 3DES/SHA для шифрования и проверки целосности, укажите использование Diffie-Hellman group 2 (1024-bit) и генерацию ключа каждые 86400 секунд (24 часа).

crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp enable outside

Теперь настроим tunnel-group для удаленного хоста и укажем аутентификацию на основе ключа.

tunnel-group 63.166.231.17 type ipsec-l2l
tunnel-group 63.166.231.17 ipsec-attributes
pre-shared-key mMWsT0umh_UQmh]yevjNBW_F

Для обмена данными (phase 2) создадим правило доступа которое определяет какой трафик защищается в данном туннеле. В данном примере создадим правило которое определяет весь IP трафик из сети 10.12.0.0/24 в сеть 172.16.1.0/24.

access-list branch_office extended permit ip 10.12.0.0 255.255.255.0 172.16.1.0 255.255.255.0

Создадим правило NAT исключающее любой трафик попадающий под вышеописанное правило доступа из NAT.

nat (inside) 0 access-list branch_office

Определим какой алгоритм шифрования должен будет использоваться для защиты данного трафика. В данном примере укажем 3DES и SHA1.

crypto ipsec transform-set branch_office esp-3des esp-sha-hmac

Создаем crypto map.

crypto map branch_office_map 1 match address branch_office
crypto map branch_office_map 1 set pfs group2
crypto map branch_office_map 1 set peer 63.166.231.17
crypto map branch_office_map 1 set transform-set branch_office

Активируемcrypto map на внешнем интерфейса ASA.

crypto map branch_office_map interface outside

Настройка Cisco PIX 6.x

Создание site-to-site VPN в Cisco PIX лишь слегка отличается от конфигурации ASA. К примеру, при настройке параметров первой фазы подключения используйте следующую команду:

crypto isakmp policy 10 authen pre-share
crypto isakmp policy 10 encrypt 3des
crypto isakmp policy 10 hash sha
crypto isakmp policy 10 group 2
crypto isakmp policy 10 lifetime 86400
crypto isakmp key mMWsT0umh_UQmh]yevjNBW_F address 63.166.231.17 netmask 255.255.255.255
crypto isakmp enable outside

Создадим правило доступа определяющее какой трафик защищается с использованием туннеля.

access-list branch_office permit ip 10.12.0.0 255.255.255.0 172.16.1.0 255.255.255.0

Исключим данный трафик из NAT.

nat (inside) 0 access-list branch_office

Защитим трафик с помощью 3DES и SHA1.

crypto ipsec transform-set branch_office esp-3des esp-sha-hmac

Создадим crypto map.

crypto map branch_office_map 1 ipsec-isakmp
crypto map branch_office_map 1 match address branch_office
crypto map branch_office_map 1 set peer 63.166.231.17
crypto map branch_office_map 1 set transform-set branch_office
crypto map branch_office_map 1 set pfs group2

Активируем crypto map на внешнем интерфейсе PIX.

crypto map branch_office_map interface outside

В отличие от ASA, PIX требует создания правила, разрешающего трафику в туннеле проходить через файервол. Для нашего сценария с филиалом (полностью доверенная сеть), разрешим весь IP трафик из сети 172.16.1.0/24 в сеть 10.12.0.0/24 и назначим это правило на внешний интерфейс.

access-list main_office_in permit ip 172.16.1.0 255.255.255.0 10.12.0.0 255.255.255.0
access-group main_office_in in interface outside

Полезная информация

Данная информация будет интересна любым приверженцам эмо. Отличный эмо форум для общения, знакомств и многое другое.