Cisco Cihazlarda IPSec VPN Konfigürasyonu
Üye Değerlendirme: / 6
Kötüİyi 
Yazar Onur Cepheli   

Nihayet bir konfigürasyon makalesine gelebildik. Önceki makalelerden gördüğünüz gibi IPSec VPN teknik altyapısı karışık. Arkaplanda bir sürü algoritma çalıştığını gördük. Bu karışıklık bize konfigürasyon yaparken de etki edecek. Yazının devamında aşağıdaki topolojide bir IPSec VPN bağlantısı kuracağız.

 

Yukarıdaki topolojide R2 cihazını bir servis sağlayıcı cihazı olarak R1 ve R3 cihazlarını da firmamızın şubeleri olarak düşünebiliriz. Topolojide R1 ve R3 cihazlarına yapılacak olan konfigürasyonlar benzer olduğundan sadece R1 cihazına yaptığım konfigürasyonların çıktılarını alacağım.

 

Adım 1: Interesting Traffic Belirleme

Interesting traffic, yukarıdaki görselden de anlaşılacağı üzere hangi bağlantılarımızın IPSec ile güvene alınacağını hangilerinin ise alınmayacağını cihaza bildirecek olan yoldur. Interesting traffic belirlemek için Access control listler (ACL) kullanılır.

Yukarıdaki komut ile 10.1.1.0 IP adresli networkten 172.16.1.0 networküne olan tüm trafiğe izin verdik. İleride bu Access listi Interesting Traffic olarak uygulayacağız. Böylece iki network arasındaki tüm trafiği IPSec VPN üzerinden güvenli bir şekilde çıkaracağız.

 

Adım 2: IKE Faz 1

IKE Faz 1 için kullanılacak olan transform set burada belirlenir. Transform set, bağlantıda kullanılacak olan parametreleri içerir. İki uç arasında bağlantı kurulabilmesi için sahip olunan transform set parametrelerinin aynı olması gerekir.

Bir transform set de bulunacak parametreler aşağıda verilmiştir.

IKE encryption algoritması (DES, 3DES, veya AES)

IKE authentication algoritması (MD5 veya SHA-1)

IKE key (preshare, RSA signatures, nonces)

Diffie-Hellman versiyon (1, 2, veya 5)

IKE tunnel lifetime (time ve/veya byte count)

Biz, kuracağımız VPN bağlantısında encryption algoritması olarak 128bit AES, authentication algoritması olarak SHA-1, IKE key olarak “networkogren” ve Diffie-Hellman versiyon 2 kullanacağız.

Yukarıdaki ilk komut ile ISAKMP policy oluşturmaya başladık. Sonra sırasıyla authentication metodumuzu, data integrity algoritmasını, encryption algoritmasını ve diffie-hellman versiyonunu girdik. En son kullandığımız komut ile ISAKMP pre-shared keyini “networkogren” olarak girdik ve bağlantı kurulacak olan ucun IP adresini girdik.

 

Yazının devamını görebilmek için lütfen siteye giriş yapınız


Görüntüleme sayısı: 515

Bu yazıya ilk yorumu yazın

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.
 
< Önceki   Sonraki >

YAZILAR

Temel Network
Routing
Switching
IPv6
Network Yönetimi
VPN
Güvenlik

GİRİŞ






Kayıp Parola?
Hesabınız yok mu? Kayıt Ol

HABER AKIŞI



Her Hakkı Saklıdır © 2008 NetworkOgren.Com
Yayınlanan yazıların izin alınmadan kopyalanması ve kullanılması 5846 sayılı Fikir ve Sanat Eserleri Yasasına göre suçtur.