Cisco IPsec

From HackerNet
Revision as of 13:15, 14 May 2016 by Helikopter (talk | contribs) (Created page with "IPsec (RFC 4301) är en teknik för att skydda datakommunikation. Det finns i tunnel och transport mode beroende på om det ska tunnlas och krypteras eller endast krypteras. I...")
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to: navigation, search

IPsec (RFC 4301) är en teknik för att skydda datakommunikation. Det finns i tunnel och transport mode beroende på om det ska tunnlas och krypteras eller endast krypteras. IPsec funkar med IPv4/IPv6 och kan köras över en GRE-tunnel. Virtual Tunnel Interface (VTI) är routebara interface som används för att terminera IPsec-tunnlar, detta gör IPsec flexibelt och det kan användas både för unicast och multicast.

Se även ASA VPN.

Konfiguration

ISAKMP Policies 

crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2

PSK Authentication 

crypto isakmp key S3cr3ts address 3.3.3.3
crypto ipsec transform-set PHASE2 esp-aes esp-sha-hmac
 mode tunnel

Fas 2 med Static Crypto Map och RRI 

ip access-list extended CRYPTO
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
crypto map VPNMAP 10 ipsec-isakmp
 set peer 3.3.3.3
 set transform-set PHASE2
 set reverse-route distance 10
 match address CRYPTO

Interface 

interface GigabitEthernet0/1
 description Internet
 ip address 2.2.2.2 255.255.255.0
 ip access-group out-in in
 no ip unreachables
 ip nat outside
 crypto map VPNMAP

interface GigabitEthernet0/2
 description Inside
 ip address 192.168.1.1 255.255.255.0
 ip nat inside

NAT 

ip nat inside source list nat interface GigabitEthernet0/1 overload

Se även NAT.

Exempt 

ip access-list extended nat-exempt
 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 permit ip 192.168.1.0 0.0.0.255 any

ACL 

ip access-list extended out-in
 permit ip host 3.3.3.3 host 2.2.2.2
 deny   ip any any

Others
Se också: GETVPN

Retrieved from "https://hackernet.se/index.php?title=Cisco_IPsec&oldid=1774"