راه اندازی IPSec بین دو روتر سیسکو

راه اندازی IPSec بین دو روتر سیسکو

هدف ما در این مقاله اتصال دو شبکه private در بستر اینترنت می باشد . زمانی که بستر MPLS نداریم و می خواهیم دو روتر سیسکو را در دو جای مختلف به هم وصل کنیم از IPSec استفاده می کنیم . برای این کار Service Provider دو Static ip به ما می دهد که همدیگر را ping می کنند . در واقع راه اندازی IPSec شباهت زیادی به راه اندازی Tunnel دارد و ترافیک در IPSec به هیچ عنوان قابل مشاهده نمی باشد . از تانل IPIP نیز می توان استفاده کرد اما به اندازه IPSec امن نمی باشد . از مبحث CCNA Security یک سری  الگوریتم رمز نگاری در راه اندازی  IPSec استفاده می شود.

مرحله اول راه اندازی ip sec:

در روتر شماره 1 کامندهای زیر را وارد می کنیم :

Router(config)#crypto isakmp enable

Router(config)#crypto isakmp policy NUMBER

Router(config-isakmp)#authentication pre-share

Router(config-isakmp)#hash sha

Router(config-isakmp)#encryption aes

{Router(config-isakmp)#group {1-2-5

Router(config)#crypto isakmp keyo pass address IP

به جای NUMBER یه عدد دلخواه قرار می دهیم . بین اعداد 1 و 2 و 5 با توجه به سناریو عدد 2 را انتخاب می کنیم . به جای کلمه IP ، ip مربوط به interface روتر شماره 2 را قرار می دهیم . تمام کامند های بالا را در روتر شماره 2 وارد می کنیم.

مرحله دوم راه اندازی ip sec:

کامند های زیر را در روتر شماره 1 وارد می کنیم:

Router(config)#crypto ipsec transform-set NAME esp-aes esp-sha

Router(config)#crypto map NAME SEQ ipsec-isakmp

Router(config-crypto-map)#set peer IP

Router(config-crypto-map)#set transform-set NAME

Router(config-crypto-map)#match address ACL

*Router(config)#access-list ACL permit ip 192.168.1.0  0.0.0.255  192.68.2.0  0.0.0.255

Router(config-if)#crypto map NAME

به جای کلمه NAME یک اسم دلخواه قرار می دهیم . به جای SEQ شماره 10 یا 20 یا هر شماره دلخواه دیگری را قرار می دهیم . به جای IP ، ip مربوط به interface روتر شماره 2 را قرار می دهیم . به جای ACL شماره Extended Access-list که باید بین اعداد 100 تا 199 باشد را انتخاب می کنیم (یک عدد دلخواه بین 100 تا 199) . در نهایت در کامند آخر وارد interface serial  شده و کامند مورد نظر را وارد می کنیم.در روتر مقابل نیز کامند های بالا را مانند روتر شماره 1 وارد می کنیم فقط در کامند * ip ها را جابه جا می کنیم .در مرحله آخر در هر دو روتر  به سمت همدیگر Default Route می نویسیم.

Router(config)#ip route 0.0.0.0  0.0.0.0 TYPE MOD/NUM

حتی با نرم افزار Wireshark نیز نمی توان به اطلاعات داخل بسته ها نفوذ کرد./تهیه و تنظیم:محمدعلی آقا زمانی

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

13 − 9 =