1

На приведенной выше схеме видим два роутера. Первый, на базе cisco 861, имеет публичный адрес 192.168.90.1 и локальную сеть 10.1.202.0/24. Второй, облачный виртуальный роутер, имеет публичный адрес 192.168.80.1 и локальную сеть 10.1.101.0/24.

Задача состоит в том, чтобы с помощью VPN IPSec-тоннеля организовать защищенный канал передачи данных типа site-to-site между локальными подсетями.

Для начала определимся с параметрами тоннеля:

  • Алгоритм авторизации: sha1
  • Алгоритм шифрования: 3des
  • Режим инкапсуляции: tunnel
  • DH Group: modp1536
  • Протокол трансформации: ESP
  • Secret: sim-cloud.test

Перейдем к настройке IPSec-подключения со стороны роутера cisco 861

По умолчанию роутер cisco 861 имеет четыре LAN-порта FastEthernet 0-3, которые включены в Vlan1, и WAN-порт – FastEthernet 4:

2

1.    Создаем isakmp-политику:

Router (config)# crypto isakmp policy 1
Router (config-isakmp)# encr 3des
Router (config-isakmp)# hash sha
Router (config-isakmp)# authentication pre-share
Router (config-isakmp)# group 5

2.    Создаем pre shared ключ для аутентификации с пиром vRouter:

Router (config)# crypto isakmp key sim-cloud.test address 192.168.80.1

В роли ключа  — sim-cloud.test

3.    Создание IPSec Transform-set:

Следующий шаг заключается в создании набор критериев, которые используются для защиты наших данных.

Router (config)# crypto ipsec transform-set TS esp-aes esp-sha-hmac

esp-aes — метод шифрования.
sha — алгоритм хеширования.

4.    Создаем CryptoMap:

Соединяем ранее определенные ISAKMP и IPSec вместе.

Router (config)# crypto map MY_MAP 1 ipsec-isakmp
Router (config-crypto-map)# set peer 192.168.80.1
Router (config-crypto-map)# set transform-set TS
Router (config-crypto-map)# set pfs group5
Router (config-crypto-map)# match address VPN-TRAFFIC

5.    Создание расширенных ACL:

Следующий шаг заключается в создании списка доступа и определения какой трафик должен проходить через туннель VPN. В данном примере это будет трафик из сети 10.1.202.0/24 в 10.1.101.0/24. Списков доступа, которые определяют VPN трафика иногда называют crypto access list или interesting traffic access-list.

Router (config)# ip access-list extended VPN-TRAFFIC
Router (config-ext-nacl)# permit ip 10.1.202.0 0.0.0.255 10.1.101.0 0.0.0.255

6.    Применить crypto map до внешнего интерфейса:

Последним шагом является применение криптокарты на исходящий интерфейс маршрутизатора. В нашем случае – FastEthernet 4.

Router (config)# interface FastEthernet4
Router (config- if)# crypto map MY_MAP

На этом настройка со стороны роутера cisco 861 закончена.

 

Настройка IPSec-подключения со стороны облачного виртуального роутера

Все операции при создании VPN IPSec соединения производятся в меню «Сеть – VPN».

1.    Настройка политики IKE

Важные параметры обведены красным. Их значения мы определили ранее. Для параметра «Совершенная прямая секретность» выбираем значение group 5, что соответствует 1536 bits MODP group:

2.    Настраиваем политику IPSec

Важные параметры обведены красным. Значения параметров «Алгоритм авторизации», «Алгоритм шифрования», «Совершенная прямая секретность» повторяются и должны совпадать с указанными в политике IKE. Режим инкапсуляции и протокол трансформации должны быть такими же, как и в настройках cisco 861:

3.    Настройка сервиса VPN

Указываем название сервиса, выбираем из списка виртуальный маршрутизатор (для которого настраивается IPSec-тоннель) и подсеть, которую хотим отдать в тоннель:

4.    Настройка IPSec-подключения

Последним этапом является настройка самого подключения. Из выпадающих списков выбираем настроенные ранее сервис VPN, политику IKE и политику IPSec. В полях «Публичный IPv4/IPv6 адрес или FQDN шлюза пира» и «Идентификатор маршрутизатора пира для аутентификации (Peer ID)» указываем публичный адрес маршрутизатора cisco. В поле «Подсеть(и) удаленного пира» указываем адрес подсети, которая находится за удаленным роутером cisco. И в последнем поле устанавливаем ранее оговоренное значение ключа – sim-cloud.test:

На этом настройка IPSec-тоннеля между облачным виртуальным роутером и cisco 861 окончена. Для проверки VPN-туннеля можно использовать команду show crypto session:

7

Со стороны облачного роутера в колонке «Статус» напротив подключения отобразится значение «Активный»: