Cisco Site-to-Site IPsec VPN

IPsec interface’lerindeki ACL’lerin düzenlenmesi
isakmp policy’lerin oluşturulması
transform-set’lerin oluşturulması
Crypto ACL’lerin oluşturulması
Crypto map’lerin oluşturulması
Crypto map’lerin ilgili IPsec interface’lerine uygulanması

Merkez yapılandırması

ahp, esp ve isakmp(udp 500)’ye izin veren acl’ler yazılır, dış interface’e giriş yönünde uygulanır.
Merkez(config)#access-list 101 permit ahp host 30.0.0.1 host 20.0.0.1
Merkez(config)#access-list 101 permit esp host 30.0.0.1 host 20.0.0.1
Merkez(config)#access-list 101 permit udp host 30.0.0.1 host 20.0.0.1 eq isakmp
Merkez(config)#interface serial 0/0/0
Merkez(config-if)#ip access-group 101 in


isakmp policy oluşturulur (faz 1 yapılandırması):
Merkez(config)#crypto isakmp policy 5
Numarası 5 olan bir isakmp policy oluşturur. Küçük numaralı isakmp policy daha önceliklidir.
Merkez(config-isakmp)#authentication pre-share
Kimlik denetimi için önceden paylaşılmış anahtar kullanılacağını belirtir.
Merkez(config-isakmp)#encryption 3des
Şifreleme için 3des kullanılacağını belirtir.
Merkez(config-isakmp)#group 5
Diffie-Hellman 5 algoritmasının kullanılacağını belirtir.
Merkez(config-isakmp)#hash md5
Hash algoritması olarak md5 kullanılacağını belirtir.
Merkez(config-isakmp)#lifetime 43200
SA’nın saniye cinsinden geçerli olduğu süreyi belirtir.
Merkez(config-isakmp)#exit
Merkez(config)#crypto isakmp key ANAHTAR address 30.0.0.1
Önceden paylaşılmış anahtarı ve kullanılacağı eşi belirtir. Bu komut yerine
Merkez(config)#crypto isakmp identity hostname
Merkez(config)#crypto isakmp key ANAHTAR hostname Sube
komutları da kullanılabilir.


transform set oluşturulur, mode belirtilir (faz 2 yapılandırması):
Merkez(config)#crypto ipsec transform-set MYSET esp-md5-hmac esp-3des comp-lzs
Oluşturulan transform-set’te esp-md5-hmac ve esp-3des IPsec transform’larının kullanılacağını, ayrıca sıkıştırma yapılacağını belirtir.
Merkez(cfg-crypto-trans)#mode tunnel
Site-to-site VPN’de tunnel mode kullanılır.
Merkez(cfg-crypto-trans)#exit


Crypto ACL oluşturulur. Crypto ACL çıkış interface’ine çıkış yönünde uygulanacakmış gibi yazılır fakat uygulanmaz. Bunun yerine bir crypto map’te tanımlanır ve crypto map interface’e uygulanır.
Merkez(config)#access-list 102 permit ip 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255
Merkez router’ın LAN’ından Sube router’ın LAN’ına giden tüm IP trafiğinin şifreleneceğini belirtir. Burda dikkat edilmesi gereken nokta ACL’in kaynak ve hedef adres kısımlarının simetrik olmasıdır. Dolayısıyla crypto ACL yazarken “any” parametresinin kulanılması tavsiye edilmez. Çünkü simetriyi bozabileceği gibi bütün trafiğin belirtilen adrese gitmesine ve/veya IPsec uygulanamayan paketlerin drop edilmesine yol açabilir. Çünkü router crypto ACL ile tarif edilen trafiğin kendisine şifrelenmeden geldiğini görürse çöpe atacaktır.


Crypto map oluşturulur
Merkez(config)#crypto map MYMAP 3 ipsec-isakmp
3 numaralı bir crypto map oluşturur. Küçük numaralı crypto map daha önceliklidir.
Merkez(config-crypto-map)#match address 102
kullanılacak crypto ACL’i belirtir.
Merkez(config-crypto-map)#set peer 30.0.0.1
IPsec eşini belirtir. Eğer yedek bir IPsec eşi belirtilmek isteniyorsa bu komutun sonuna “default” parametresi eklenir, yedek IPsec eşi set peer komutuyla (default kullanılmadan) belirtilir.
Merkez(config-crypto-map)#set transform-set MYSET
kullanılacak transform-set’i belirtir.
Merkez(config-crypto-map)#set security-association lifetime seconds 43200
SA’nın geçerli olduğu süreyi belirtir.
Merkez(config-crypto-map)#exit


Crypto map çıkış interface’ine uygulanır
Merkez(config)#interface serial 0/0/0
Merkez(config-if)#crypto map MYMAP
ACL’de olduğu gibi bir interface’e sadece bir tane crypto map uygulanabilir. Fakat aynı isimli farklı numaralı crypto map’ler oluşturulursa interface bunları önceliklerine göre değerlendirecektir. Böylece farklı trafik türlerine farklı düzeyde güvenlik uygulanabilir ve trafiğin farklı IPsec eşlerine yönlendirilmesi sağlanabilir.


Şube yapılandırması da çok benzer olacaktır. Sadece IP adresleri değişir. İki tarafta da eşleşen en az bir isakmp policy ve gene en az bir transform-set olması gerekir. Fakat aslında iki tarafta da ihtiyaca göre istenildiği kadar isakmp policy ve transform-set oluşturulabilir.

Kontrol komutları:

show crypto isakmp policy faz 1 yapılandırma kontrolü

show crypto isakmp sa faz 1 durum kontrolü

show crypto ipsec transform-set {MYSET} faz 2 yapılandırma kontrolü

show crypto ipsec sa faz 2 durum kontrolü

show crypto map crypto map kontrolü

debug crypto isakmp isakmp olaylarını gösterir.

debug crypto ipsec IPsec olaylarını gösterir.

About cemerbas

Check Also

Context-Based Access Control (CBAC)

CBAC Özellikleri Cisco IOS Güvenlik Duvarı’nın açık kimliğinin bir özelliği olan CBAC, uygulama katmanı bilgilerine …

Bir yanıt yazın