VPNaaS — настройка IPSEC Site-to-Site между виртуальным роутером и Cisco 861

1

На приведенной выше схеме видно два роутера. Первый, на базе cisco 861, имеет публичный адрес 192.168.90.1 и локальную сеть 10.1.202.0/24. Второй, облачный виртуальный роутер, имеет публичный адрес 192.168.80.1 и локальную сеть 10.1.101.0/24.

Задача сводится к тому, чтобы с помощью VPN IPSec тоннеля организовать защищенный канал передачи данных типа site-to-site между локальными подсетями.

Для начала определимся с параметрами тоннеля:

  • Алгоритм авторизации: sha1
  • Алгоритм шифрования: 3des
  • Режим инкапсуляции: tunnel
  • DH Group: modp1536
  • Протокол трансформации: ESP
  • Secret: sim-cloud.test

Перейдем к настройке IPSec подключения со стороны роутера cisco 861.

По умолчанию роутер cisco 861 имеет четыре LAN порта — FastEthernet 0-3, которые включены в Vlan1, и WAN порт – FastEthernet 4.

2

1.    Создаем isakmp-политику.

Router (config)# crypto isakmp policy 1
Router (config-isakmp)# encr 3des
Router (config-isakmp)# hash sha
Router (config-isakmp)# authentication pre-share
Router (config-isakmp)# group 5

2.    Создаем pre shared ключ для аутентификации с пиром vRouter.

Router (config)# crypto isakmp key sim-cloud.test address 192.168.80.1

В роли ключа  — sim-cloud.test

3.    Создание IPSec Transform-set

Следующий шаг заключается в создании набор критериев, которые используются для защиты наших данных.

Router (config)# crypto ipsec transform-set TS esp-aes esp-sha-hmac

esp-aes — метод шифрования.
sha — алгоритм хеширования.

4.    Создаем CryptoMap.

Соединяем ранее определенные ISAKMP и IPSec вместе.

Router (config)# crypto map MY_MAP 1 ipsec-isakmp
Router (config-crypto-map)# set peer 192.168.80.1
Router (config-crypto-map)# set transform-set TS
Router (config-crypto-map)# set pfs group5
Router (config-crypto-map)# match address VPN-TRAFFIC

5.    Создание расширенных ACL.

Следующий шаг заключается в создании списка доступа и определения какой трафик должен проходить через туннель VPN. В данном примере это будет трафик из сети 10.1.202.0/24 в 10.1.101.0/24. Списков доступа, которые определяют VPN трафика иногда называют crypto access list или interesting traffic access-list.

Router (config)# ip access-list extended VPN-TRAFFIC
Router (config-ext-nacl)# permit ip 10.1.202.0 0.0.0.255 10.1.101.0 0.0.0.255

6.    Применить crypto map до внешнего интерфейса.

Последним шагом является применение крипто карты на исходящий интерфейс маршрутизатора. В нашем случае —  FastEthernet 4.

Router (config)# interface FastEthernet4
Router (config- if)# crypto map MY_MAP

На этом настройка со стороны роутера cisco 861 закончена.

 

Настройка IPSec подключения со стороны облачного виртуального роутера

Все операции при создании VPN IPSec соединения производятся в меню “Сеть – VPN”.

1.    Настройка политики IKE.

Важные параметры обведены красным. Их значения мы определили ранее. Для параметра «Совершенная прямая секретность» выбираем значение «group 5», что соответствует 1536 bits MODP group.

3

2.    Настраиваем политику IPSec.

Важные параметры обведены красным. Значения параметров «алгоритм авторизации», «Алгоритм шифрования», «Совершенная прямая секретность» повторяются и должны совпадать с указанными в политике IKE. Режим инкапсуляции и протокол трансформации должны быть такими же, как и в настройках cisco 861.

4

3.    Настройка сервиса VPN.

Указываем название сервиса, выбираем со списка виртуальный маршрутизатор (для которого настраивается IPSec тоннель) и подсеть, которую хотим отдать в тоннель.

5

4.    Настройка IPSec подключения.

Последним этапом является настройка самого подключения. Из выпадающих списков выбираем настроенные ранее сервис VPN, политику IKE и политику IPSec. В полях «Публичный IPv4/IPv6 адрес или FQDN шлюза пира» и «Идентификатор маршрутизатора пира для аутентификации (Peer ID)» указываем публичный адрес маршрутизатора cisco. В поле «Подсеть(и) удаленного пира» указываем адрес подсети, которая находится за удаленным роутером cisco. И в последнем поле устанавливаем ранее оговоренное значение ключа —  sim-cloud.test.

6

На этом настройка IPSec тоннеля между облачным виртуальным роутером и cisco 861 окончена. Для проверки VPN туннель, использовать команду show crypto session:

7

Со стороны облачного роутера в колонке «статус» напротив подключения отобразится значение «Активный».

8