При необходимости использовать защищенные туннели, и при желании сохранять конфигурацию минимальной, существует решение по организации cisco ipsec туннеля без использования crypto map.
Пример конфигурации для одного хоста (на другой стороне будет зеркальная конфигурация). Создание ключа SECRETKEY для удаленной стороны:
crypto isakmp key SECRETKEY address 11.0.0.3 Описание трансформ сета:
crypto ipsec transform-set TS esp-3des esp-sha-hmac comp-lzs Создание крипто профиля:
crypto ipsec profile A set transform-set TS Настройки интерфейсов:
interface Tunnel0 ip address 172.16.0.1 255.255.255.252 tunnel source FastEthernet0/0 tunnel destination 11.0.0.3 tunnel mode ipsec ipv4 tunnel protection ipsec profile A Интерфейс в сторону провайдера:
interface FastEthernet0/0 ip address 10.0.0.1 255.0.0.0 Проверка сессии:
R1#show crypto session Crypto session current status Interface: Tunnel0 Session status: UP-ACTIVE Peer: 11.0.0.3 port 500 IKE SA: local 10.0.0.1/500 remote 11.0.0.3/500 Active IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0 Active SAs: 4, origin: crypto map Надо отметить что crypto map все же создались, но произошло это автоматически, и они не занимают место в конфигурации:
R1#show crypto map Crypto Map "Tunnel0-head-0" 65536 ipsec-isakmp Profile name: A Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N Transform sets={ TS: { esp-3des esp-sha-hmac } , { comp-lzs } , } Crypto Map "Tunnel0-head-0" 65537 ipsec-isakmp Map is a PROFILE INSTANCE. Peer = 11.0.0.3 Extended IP access list access-list permit ip any any Current peer: 11.0.0.3 Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N Transform sets={ TS: { esp-3des esp-sha-hmac } , { comp-lzs } , } Always create SAs Interfaces using crypto map Tunnel0-head-0: Tunnel0 Теперь весь траффик между 172.16.0.0/30 идет шифрованный, а все остальное на этом интерфейсе — нет.
Всем спасибо за внимание, жду комментариев.
ссылка на оригинал статьи http://habrahabr.ru/post/270841/
Добавить комментарий