Cisco Cihazlarda Site-to-Site VPN

Çok karşımıza çıkacak ağ sistemlerinde en basit uzak bağlantı şekli site-to-site IPSec VPN olayını anlatmaya çalışacağım.

Yapılandırma altı adımda incelenebilir:

  1. IPsec interface’lerindeki ACL’lerin düzenlenmesi
  2. isakmp policy’lerin oluşturulması
  3. transform-set’lerin oluşturulması
  4. Crypto ACL’lerin oluşturulması
  5. Crypto map’lerin oluşturulması
  6. Crypto map’lerin ilgili IPsec interface’lerine uygulanması

Merkez yapılandırması

  1. ahp, esp ve isakmp(udp 500)’ye izin veren acl’ler yazılır, dış interface’e giriş yönünde uygulanır.
    Merkez(config)#access-list 101 permit ahp host 30.0.0.1 host 20.0.0.1
    Merkez(config)#access-list 101 permit esp host 30.0.0.1 host 20.0.0.1
    Merkez(config)#access-list 101 permit udp host 30.0.0.1 host 20.0.0.1 eq isakmp
    Merkez(config)#interface serial 0/0/0
    Merkez(config-if)#ip access-group 101 in
  2. isakmp policy oluşturulur (faz 1 yapılandırması):
    Merkez(config)#crypto isakmp policy 5
    Numarası 5 olan bir isakmp policy oluşturur. Küçük numaralı isakmp policy daha önceliklidir.
    Merkez(config-isakmp)#authentication pre-share
    Kimlik denetimi için önceden paylaşılmış anahtar kullanılacağını belirtir.
    Merkez(config-isakmp)#encryption 3des
    Şifreleme için 3des kullanılacağını belirtir.
    Merkez(config-isakmp)#group 5
    Diffie-Hellman 5 algoritmasının kullanılacağını belirtir.
    Merkez(config-isakmp)#hash md5
    Hash algoritması olarak md5 kullanılacağını belirtir.
    Merkez(config-isakmp)#lifetime 43200
    SA’nın saniye cinsinden geçerli olduğu süreyi belirtir.
    Merkez(config-isakmp)#exit
    Merkez(config)#crypto isakmp key ANAHTAR address 30.0.0.1
    Önceden paylaşılmış anahtarı ve kullanılacağı eşi belirtir. Bu komut yerine
    Merkez(config)#crypto isakmp identity hostname
    Merkez(config)#crypto isakmp key ANAHTAR hostname Sube
    komutları da kullanılabilir.
  3. transform set oluşturulur, mode belirtilir (faz 2 yapılandırması):
    Merkez(config)#crypto ipsec transform-set MYSET esp-md5-hmac esp-3des comp-lzs
    Oluşturulan transform-set’te esp-md5-hmac ve esp-3des IPsec transform’larının kullanılacağını, ayrıca sıkıştırma yapılacağını belirtir.
    Merkez(cfg-crypto-trans)#mode tunnel
    Site-to-site VPN’de tunnel mode kullanılır.
    Merkez(cfg-crypto-trans)#exit
  4. Crypto ACL oluşturulur. Crypto ACL çıkış interface’ine çıkış yönünde uygulanacakmış gibi yazılır fakat uygulanmaz. Bunun yerine bir crypto map’te tanımlanır ve crypto map interface’e uygulanır.
    Merkez(config)#access-list 102 permit ip 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255
    Merkez router’ın LAN’ından Sube router’ın LAN’ına giden tüm IP trafiğinin şifreleneceğini belirtir. Burda dikkat edilmesi gereken nokta ACL’in kaynak ve hedef adres kısımlarının simetrik olmasıdır. Çünkü router hangi trafiğe şifre çözme işlemi uygulayacağına bu ACL’in kaynak ve hedef adres kısımlarını yer değiştirip, ACL’i giriş yönünde uygulayarak karar verir. Dolayısıyla crypto ACL yazarken “any” parametresinin kulanılması tavsiye edilmez. Çünkü simetriyi bozabileceği gibi bütün trafiğin belirtilen adrese gitmesine ve/veya IPsec uygulanamayan paketlerin drop edilmesine yol açabilir.
  5. Crypto map oluşturulur
    Merkez(config)#crypto map MYMAP 3 ipsec-isakmp
    3 numaralı bir crypto map oluşturur. Küçük numaralı crypto map daha önceliklidir.
    Merkez(config-crypto-map)#match address 102
    kullanılacak crypto ACL’i belirtir.
    Merkez(config-crypto-map)#set peer 30.0.0.1
    IPsec eşini belirtir. Eğer yedek bir IPsec eşi belirtilmek isteniyorsa bu komutun sonuna “default” parametresi eklenir, yedek IPsec eşi set peer komutuyla (default kullanılmadan) belirtilir.
    Merkez(config-crypto-map)#set transform-set MYSET
    kullanılacak transform-set’i belirtir.
    Merkez(config-crypto-map)#set security-association lifetime seconds 43200
    SA’nın geçerli olduğu süreyi belirtir.
    Merkez(config-crypto-map)#exit
  6. Crypto map çıkış interface’ine uygulanır
    Merkez(config)#interface serial 0/0/0
    Merkez(config-if)#crypto map MYMAP
    ACL’de olduğu gibi bir interface’e sadece bir tane crypto map uygulanabilir. Fakat aynı isimli farklı numaralı crypto map’ler oluşturulursa interface bunları önceliklerine göre değerlendirecektir. Böylece farklı trafik türlerine farklı düzeyde güvenlik uygulanabilir ve trafiğin farklı IPsec eşlerine yönlendirilmesi sağlanabilir.

Şube yapılandırması da çok benzer olacaktır. Sadece IP adresleri değişir. İki tarafta da eşleşen en az bir isakmp policy ve gene en az bir transform-set olması gerekir. Fakat aslında iki tarafta da ihtiyaca göre istenildiği kadar isakmp policy ve transform-set oluşturulabilir.

Kontrol komutları:

show crypto isakmp policy faz 1 yapılandırma kontrolü

show crypto isakmp sa faz 1 durum kontrolü

show crypto ipsec transform-set {MYSET} faz 2 yapılandırma kontrolü

show crypto ipsec sa faz 2 durum kontrolü

show crypto map crypto map kontrolü

debug crypto isakmp isakmp olaylarını gösterir.

debug crypto ipsec IPsec olaylarını gösterir.