Configurazione VPN Site To Site IPSEC VPN

IPSec VPN è una funzione di sicurezza che ti consente di creare un collegamento di comunicazione sicuro (chiamato anche tunnel VPN) tra due reti diverse situate in siti diversi. I router Cisco IOS possono essere utilizzati per configurare il tunnel VPN tra due siti. Il traffico come dati, voce, video, ecc. Può essere trasmesso in modo sicuro attraverso il tunnel VPN. In questo post, mostrerò i passaggi per configurare il tunnel VPN IPSec da sito a sito in Cisco IOS Router . Puoi anche configurare unaVPN IPSec con IP dinamico in Cisco IOS Router .

Configurare il tunnel VPN IPSec da site to site nel router Cisco IOS

Lo schema seguente mostra il nostro semplice scenario. I due siti hanno un indirizzo IP pubblico statico come mostrato nel diagramma. R1 è configurato con 70.54.241.1/24 e R2 è configurato con 199.88.212.2/24 indirizzo IP. A partire da ora, entrambi i router hanno impostazioni di base come indirizzi IP, sovraccarico NAT, route predefinita, nomi host, accessi SSH, ecc.

Esistono due fasi nella configurazione IPSec denominate Fase 1 e Fase 2. Iniziamo la configurazione con R1 . Prima di iniziare a configurare la VPN IPSec, assicurarsi che entrambi i router possano raggiungersi. Ho già verificato che entrambi i router possono eseguire il ping l’un l’altro, quindi iniziamo la configurazione VPN.

Passaggio 1. Configurazione di IPSec Fase 1 (politica ISAKMP)

R1(config)#crypto isakmp policy 5 
R1(config-isakmp)#hash sha
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 2
R1(config-isakmp)#lifetime 86400
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#exit
R1(config)#crypto isakmp key cisco@123 address 199.88.212.2

Ecco i dettagli di ciascun comando usato sopra,

crypto isakmp policy 5 – Questo comando crea il criterio ISAKMP numero 5. È possibile creare più policy, ad esempio 7, 8, 9 con diversa configurazione. I router che partecipano alla negoziazione di Fase 1 cercano di abbinare una politica ISAKMP corrispondente all’elenco delle politiche una per una. Se viene soddisfatta una politica, la negoziazione IPSec passa alla fase 2.
hash sha – Verrà utilizzato l’algoritmo SHA.
pre-condivisione di autenticazione: il metodo di autenticazione è una chiave pre-condivisa.
gruppo 2 – Il gruppo Diffie-Hellman da utilizzare è il gruppo 2.
crittografia 3des : l’algoritmo di crittografia 3DES verrà utilizzato per la fase 1.
durata 86400 – La durata della fase 1 è di 86400 secondi.
crypto isakmp key cisco @ 123 address 199.88.212.2 – La password della Fase 1 è cisco @ 123 e l’indirizzo IP peer remoto è 199.88.212.2.

Passaggio 2. Configurazione di IPSec Fase 2 (set di trasformazione)
R1(config)#crypto ipsec transform-set MY-SET esp-aes 128 esp-md5-hmac
R1(cfg-crypto-trans)#crypto ipsec security-association lifetime seconds 3600

Ecco i dettagli del comando usato sopra,

crypto ipsec transform-set MY-SET – Crea un trasform-set chiamato MY-SET
esp-aes – Verranno utilizzati il metodo di crittografia AES e il protocollo IPSec ESP.
esp-md5-hmac – Verrà utilizzato l’algoritmo di hashing MD5.
crypto ipsec secondi di durata dell’associazione di sicurezza – Questa è la quantità di tempo in cui esiste la sessione di fase 2 prima della rinegoziazione.

Passaggio 3. Configurazione dell’ACL esteso per traffico interessante.

R1(config)#ip access-list extended VPN-TRAFFIC
R1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

Questo ACL definisce l'interessante traffico che deve passare attraverso il tunnel VPN. Qui, 
il traffico proveniente dalla rete 192.168.1.0 alla rete 192.168.2.0 passerà 
attraverso il tunnel VPN. Questo ACL verrà utilizzato nel passaggio 4 di Crypto Map. 

Passaggio 4. Configura Crypto Map. 
R1(config)#crypto map IPSEC-SITE-TO-SITE-VPN 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.

R1(config-crypto-map)#match address VPN-TRAFFIC 
R1(config-crypto-map)#set peer 199.88.212.2 
R1(config-crypto-map)#set transform-set MY-SET

Ecco i dettagli del comando usato sopra, mappa crittografica IPSEC-STE-TO-STE-VPN 10 ipsec-isakmp – Crea una nuova mappa crittografica con il numero di sequenza 10.

Puoi creare più numeri di sequenza con lo stesso nome di mappa crittografica se hai più siti.
match address VPN-TRAFFIC – Corrisponde al traffico interessante dall’ACL denominato VPN-TRAFFIC.
set peer 199.88.212.2 – Questo è l’indirizzo IP pubblico di R2.
set transform-set MY-SET : collega il trasform-set in questa configurazione della mappa crittografica.

Passaggio 5. Applicare Crypto Map all’interfaccia in uscita di R1.


R1(config)#int fa0/0 R1(config-if)#crypto map IPSEC-SITE-TO-SITE-VPN 
*Mar 1 05:43:51.114: 
%CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

Passaggio 6. Escludere il traffico VPN dal sovraccarico NAT.


R1(config)#ip access-list extended 101 
R1(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 
R1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 any 
R1(config-ext-nacl)#exit 
R1(config)#ip nat inside source list 101 interface FastEthernet0/0 overload 
Sopra ACL 101 escluderà il traffico interessante da NAT. Ora ripeti gli stessi passaggi in R2.


R2(config)#crypto isakmp policy 5
R2(config-isakmp)#hash sha 
R2(config-isakmp)#authentication pre-share 
R2(config-isakmp)#group 2 R2(config-isakmp)#lifetime 86400 
R2(config-isakmp)#encryption 3des R2(config-isakmp)#exit 
R2(config)#crypto isakmp key cisco@123 address 70.54.241.2


Passaggio 2. Configurazione di IPSec Fase 2 (set di trasformazione) 

R2(config)#crypto ipsec transform-set MY-SET esp-aes 128 esp-md5-hmac 
R2(cfg-crypto-trans)#crypto ipsec security-association lifetime seconds 3600

Passaggio 3. Configurazione dell’ACL esteso per traffico interessante. R2(config)#ip access-list extended VPN-TRAFFIC


R2(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255


Passaggio 4. Configura Crypto Map. 

R2(config)#crypto map IPSEC-SITE-TO-SITE-VPN 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.


R2(config-crypto-map)#match address VPN-TRAFFIC 
R2(config-crypto-map)#set peer 70.54.241.2 
R2(config-crypto-map)#set transform-set MY-SET

Passaggio 5. Applicare Crypto Map all’interfaccia in uscita


R2(config)#int fa0/1 R2(config-if)#crypto map IPSEC-SITE-TO-SITE-VPN 
*Mar 1 19:16:14.231: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

Passaggio 6. Escludere il traffico VPN dal sovraccarico NAT.

R1(config)#ip access-list extended 101 
R1(config-ext-nacl)#deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 
R1(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 any 
R1(config-ext-nacl)#exit 
R1(config)#ip nat inside source list 101 interface FastEthernet0/1 overload

Verifica e test. Per testare la connessione VPN eseguiamo il ping da R1 a PC2.

R1#ping 192.168.2.1 source 192.168.1.254 Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: 
Packet sent with a source address of 192.168.1.254 !!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 52/54/56 ms