(K) Konfiguracja protokołu IPsec over GRE*

Konfiguracja protokołu IPsec over GRE

Konfiguracja protokołu IPsec over GRE

Konfiguracja polisy isakmp

(config)# [no] crypto isakmp enable

Aktywuje / Dezaktywuje protokół ISAKMP.

(config)# crypto isakmp policy 1-10000(Priorytet)

Tworzy nową polisę ISAKMP o określonym numerze ID.

(config-isakmp)# encryption {des / 3des / aes {128 / 192 / 256}}

Określa wykorzystywany algorytm szyfrujący

(config-isakmp)# authentication {pre-share / rsa-encr / rsa-sig}

Określa metodę autentykacji.
* pre-share
* rsa-encr
* rsa-sig

(config-isakmp)# group {1 / 2 / 5 / 15 / 16 / 19 / 20 / 21 / 24}

Określa numer grupy DH (Diffie-Hellman).

(config-isakmp)# hash {md5 / sha / sha256 / sha384 / sha512}

Określa algorytm haszujący (HASH).

(config-isakmp)# lifetime 60-86400(sekundy)(86400)

Określa czas życia połączenia IPsec.

Konfiguracja klucza współdzielonego

(config)# crypto isakmp key klucz address adres-IP [maska]

Przypisuje określony klucz współdzielonym, do wskazanego adresu IP.

Konfiguracja IKE fazy drugiej

(config)# crypto ipsec transform-set nazwa-transform-set [Algorytmy-transform-set]

Określa algorytmy wykorzystywane w fazie drugiej wymiany IKE.

(config)# mode transport

Określa model enkapsulacji tunelu VPN (IPsec).

Konfiguracja profilu IPsec

(config)# crypto ipsec profil nazwa-profilu-ipsec

Przechodzi do poziomu konfiguracji profilu IPsec.

(config)# set transform-set nazwa-transform-set

Przypisuje transfer-set do konfigurowanego profilu IPsec.

Konfiguracja interfejsu wirtualnego GRE

(config)# interface tunnel 0-2147483647(tunel-ID)

Tworzy nowy interfejs wirtualny (Tunel GRE).

(config-if)# ip address adres-IP

Przypisuje adres IP, do konfigurowanego konfigurowanego tunelu GRE.

(config-if)# tunnel source {adres-IP / interfejs}

Określa interfejs źródłowy wykorzystywany przy enkapsulacji oraz dekapsulacja ruchu sieciowego, kierowanego na interfejs wirtualny (Tunel). Źródłem tunelu GRE może być zarówno interfejs fizyczny jak i wirtualny (Loopback), który zapewnia osiągalność pomimo awarii jednego z interfejsów fizycznych.

(config-if)# tunnel destination adres-IP

Określa adres IP urządzenia docelowego (Końcówki tunelu GRE).

(config-if)# bandwidth 1-00000000(Kbps)*

Interfejsy wirtualne nie posiadają koncepcji opóźnień (Latency), ani statycznie przypisanego pasa (Bandwidth). Związku z tym administrator sam powinien określić wartość, która będzie wykorzystywana przez protokoły routingu w procesie poszukiwaniu najlepszej trasy dotarcia do sieci docelowej bądź przez funkcję QoS.

(config-if)# keepalive [0-32767] [1-255]*

Tunel GRE domyślnie stanowi połączenie Point-to-Point wykrywane jako aktywne „Up”, w sytuacji w której urządzenie lokalne posiada trasę do docelowego adresu IP [tunnel destination adres-IP]. Jeżeli takowy adres nie znajduje się w tablicy routingu interfejs pozostaje nieaktywny „Down”. Funkcja Keepalive sprawdza ponadto stan połączenia „line protocol” aby ruter nie musiał polegać jedynie na czasach protokołów routingu dynamicznego.

(config-if)# ip mtu 68-17916*

Określa wartość MTU względem konfigurowanego interfejsu sieciowego. Jako że enkapsulacja GRE dodaje do ramki pakietu IP minimum 24 bajty, maksymalna wielkość pakietu może zostać przekroczona a tym samym wymagana będzie fragmentacja. Aby ograniczyć potrzebę fragmentacji, należy skonfigurować niższą wartość MTU, niż ta domyślnie stosowana (1500), w przypadku tuneli DMVPN zaleca się stosowanie wartości 1400.

# show interface tunnel 0-2147483647(tunel-ID)

Wyświetla szczegółowe informacje na temat interfejsu wirtualnego (Tunelu GRE).

(config-if)# tunnel protection ipsec profile nazwa-profilu-ipsec

Przypisuje profil IPsec do konfigurowanego tunelu GRE.

Komendy Show, Debug, Clear

Komendy show running-config

# show running-config | section crypto isakmp

Wyświetla konfigurację polisy ISAKMP.

# show running-config | section crypto isakmp|crypto ipsec|crypto map|ip access-list

Wyświetla konfiguracje IPsec.

Komendy show IKE Phase 1

# show crypto isakmp sa

Wyświetla

# show crypto isakmp sa active

Wyświetla wszystkie aktywne asocjacje IKE SA (Internet Key Exchange Security Assosations).

# show crypto isakmp sa [detail]

Wyświetla

# show crypto isakmp profile

Wyświetla

# show crypto isakmp policy

Wyświetla skonfigurowane / domyślne polisy ISAKMP.

# show crypto isakmp key

Wyświetla

# show crypto isakmp default policy

Wyświetla

# show crypto isakmp diagnose error count

Wyświetla

Komendy show IKE Phase 2

# show crypto ipsec sa

Wyświetla szczegółowe informacje na temat asocjacji IPSec SA (Internet Protocol Security Security Assosations).

# show crypto ipsec sa detail

Wyświetla

# show crypto map

Wyświetla

Inne komendy show

# show crypto session [detail]

Wyświetla wszystkie asocjacje IKE SA (Internet Key Exchange Security Assosations).

# show crypto ipsec security-association lifetime

Wyświetla

# show crypto ipsec security-association idle-time

Wyświetla

# show crypto isakmp sa active

Wyświetla

Komendy debug

# debug crypto isakmp

Debaguje

# debug crypto ipsec

Debaguje

Komendy clear

# clear crypto isakmp

Czyści

# clear crypto sa

Czyści

Pozostałe tematy związane z protokołem IPSec

PDFPRINT

Robert T Kucharski

Cisco Network Engineer in GPW.

Dodaj komentarz