CISCO IPSEC Site to Site VPN: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Thomas (Diskussion | Beiträge) |
Thomas (Diskussion | Beiträge) |
||
| Zeile 65: | Zeile 65: | ||
unkerich#no debug crypto isakmp | unkerich#no debug crypto isakmp | ||
Crypto ISAKMP debugging is off | Crypto ISAKMP debugging is off | ||
| + | |||
| + | =Weiteres Beispiel= | ||
| + | <pre> | ||
| + | ! | ||
| + | crypto isakmp policy 20 | ||
| + | encr aes 256 | ||
| + | hash md5 | ||
| + | authentication pre-share | ||
| + | group 5 | ||
| + | crypto isakmp key geheimes-password address 192.168.241.13 | ||
| + | ! | ||
| + | ! | ||
| + | crypto ipsec transform-set AES256-MD5 esp-aes 256 esp-md5-hmac | ||
| + | crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac | ||
| + | ! | ||
| + | crypto map unkerich-raspberry-vpn 20 ipsec-isakmp | ||
| + | set peer 192.168.241.13 | ||
| + | set transform-set AES256-MD5 3DES-MD5 | ||
| + | match address 120 | ||
| + | ! | ||
| + | interface FastEthernet0/0 | ||
| + | ip address 192.168.244.97 255.255.248.0 | ||
| + | crypto map unkerich-raspberry-vpn | ||
| + | ! | ||
| + | |||
| + | access-list 120 permit ip 172.24.67.0 0.0.0.255 192.168.56.0 0.0.0.255 | ||
| + | </pre> | ||
Version vom 4. Februar 2016, 14:10 Uhr
Anlegen der Verbindungsdaten für Phase 1
unkerich(config)#crypto isakmp policy 10
Verschlüsselungsalgorithmus ist 3des
unkerich(config-isakmp)#encr 3des
Der Hashwert ist md5
unkerich(config-isakmp)#hash md5
unkerich(config-isakmp)#authentication pre-share
Diffie-Hellmangruppe 2
unkerich(config-isakmp)#group 2
Accesslist zur Gegenseite
unkerich(config)#access-list 120 permit ip 172.32.1.0 0.0.0.255 172.22.2.0 0.0.0.255
unkerich(config)#crypto isakmp key 0 sehr-geheim address 192.168.249.62
Transformset xinux-set "esp-3des esp-md5-hmac"
unkerich(config)#crypto ipsec transform-set xinux-set esp-3des esp-md5-hmac
Zusammenfassen Verbindungsdaten für Phase 2 basierend auf Phase 1 Policy 10
unkerich(config)#crypto map lurchi-unkerich 10 ipsec-isakmp
Gegenseite ist dies IP
unkerich(config-crypto-map)#set peer 192.168.249.62
Anwenden der Verbindungsdaten von xinux-set
unkerich(config-crypto-map)#set transform-set xinux-set
Trifft dann wenn Accessliste 120 zutrifft
unkerich(config-crypto-map)#match address 120
Anwenden der Crypto Map auf die Schnittstelle
unkerich(config)#interface FastEthernet0/1 unkerich(config-if)#crypto map lurchi-unkerich
Anzeigen der ISAKMP SA
unkerich#show crypto isakmp sa dst src state conn-id slot status 192.168.249.61 192.168.249.62 QM_IDLE 1 0 ACTIVE
Löschen der Phase 1 SA
unkerich#clear crypto isakmp
Löschen der Phase 2 SA
unkerich#clear crypto sa
Anzeigen der ISAKMP SA
unkerich#show crypto isakmp sa dst src state conn-id slot status 192.168.249.61 192.168.249.62 MM_NO_STATE 4 0 ACTIVE (deleted)
Debugen der Phase1
unkerich#debug crypto isakmp Crypto ISAKMP debugging is on unkerich#terminal monitor unkerich# dann pingen unkerich#no debug crypto isakmp Crypto ISAKMP debugging is off
Weiteres Beispiel
! crypto isakmp policy 20 encr aes 256 hash md5 authentication pre-share group 5 crypto isakmp key geheimes-password address 192.168.241.13 ! ! crypto ipsec transform-set AES256-MD5 esp-aes 256 esp-md5-hmac crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac ! crypto map unkerich-raspberry-vpn 20 ipsec-isakmp set peer 192.168.241.13 set transform-set AES256-MD5 3DES-MD5 match address 120 ! interface FastEthernet0/0 ip address 192.168.244.97 255.255.248.0 crypto map unkerich-raspberry-vpn ! access-list 120 permit ip 172.24.67.0 0.0.0.255 192.168.56.0 0.0.0.255