Настройка Site-to-Site VPN (Router-Router). Продолжение

Логическое продолжение предыдущей статьи, демонстрирует добавление в существующую топологию еще одного удаленного филиала, и настройку Site-to-Site VPN.

Изменения в топологии

Добавлен маршрутизатор удаленного офиса (FIL2-GW) Dynamips c3725

В Slot1 маршрутизатора Dynamips c3725 эмулирующего сеть Интернет добавлено расширение NM-1FE-TX

Добавлен компьютер (FIL2-Host) qemu машина Windows XP SP3 для эмуляции клиента в Удаленном офисе

Сети и адреса

2.2.3.2 - внешний IP для сети Удаленного офиса

192.168.3.1 - основной шлюз для сети Удаленного офиса (внутренний интерфейс FIL2-GW)

192.168.3.0/24 - внутренняя сеть Удаленного офиса

Эмуляция сети Интернет

enable

configure terminal

interface FastEthernet0/0

description site1

ip address 2.2.1.1 255.255.255.252

no shutdown

interface FastEthernet0/1

description site2

ip address 2.2.2.1 255.255.255.252

no shutdown

exit

interface FastEthernet1/0

description site3

ip address 2.2.3.1 255.255.255.252

no shutdown

exit

exit

write mem

Конфигурация маршрутизатора Центрального офиса (CO-GW)

enable

configure terminal

int fa0/0

ip nat outside

exit

int fa0/1

ip nat inside

exit

ip access-list extended FOR-NAT

deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

permit ip 192.168.1.0 0.0.0.255 any

exit

ip nat inside source list FOR-NAT interface fa0/0 overload

ip route 0.0.0.0 0.0.0.0 2.2.1.1

crypto isakmp policy 1

encryption 3des

hash md5

authentication pre-share

group 2

exit

crypto isakmp key cisco address 2.2.2.2

crypto ipsec transform-set TS esp-3des esp-md5-hmac

exit

crypto isakmp key cisco address 2.2.3.2

crypto ipsec transform-set TS esp-3des esp-md5-hmac

exit

ip access-list extended FOR-VPN

permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

exit

crypto map CMAP 10 ipsec-isakmp

set peer 2.2.2.2

set peer 2.2.3.2

set transform-set TS

match address FOR-VPN

exit

interface fa0/0

crypto map CMAP

exit

interface FastEthernet0/0

ip address 2.2.1.2 255.255.255.252

no shutdown

exit

interface FastEthernet0/1

ip address 192.168.1.1 255.255.255.0

no shutdown

exit

exit

write mem

Конфигурация маршрутизатора Удаленного офиса (FIL-GW)

Без изменений

enable

configure terminal

int fa0/0

ip nat outside

exit

int fa0/1

ip nat inside

exit

ip access-list extended FOR-NAT

deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

permit ip 192.168.2.0 0.0.0.255 any

exit

ip nat inside source list FOR-NAT interface fa0/0 overload

ip route 0.0.0.0 0.0.0.0 2.2.2.1

crypto isakmp policy 1

encryption 3des

hash md5

authentication pre-share

group 2

exit

crypto isakmp key cisco address 2.2.1.2

crypto ipsec transform-set TS esp-3des esp-md5-hmac

exit

ip access-list extended FOR-VPN

permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

exit

crypto map CMAP 10 ipsec-isakmp

set peer 2.2.1.2

set transform-set TS

match address FOR-VPN

exit

interface fa0/0

crypto map CMAP

exit

interface FastEthernet0/0

ip address 2.2.2.2 255.255.255.252

no shutdown

exit

interface FastEthernet0/1

ip address 192.168.2.1 255.255.255.0

no shutdown

exit

exit

write mem

Конфигурация маршрутизатора Удаленного офиса (FIL2-GW)

enable

configure terminal

int fa0/0

ip nat outside

exit

int fa0/1

ip nat inside

exit

ip access-list extended FOR-NAT

deny ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

permit ip 192.168.3.0 0.0.0.255 any

exit

ip nat inside source list FOR-NAT interface fa0/0 overload

ip route 0.0.0.0 0.0.0.0 2.2.3.1

crypto isakmp policy 1

encryption 3des

hash md5

authentication pre-share

group 2

exit

crypto isakmp key cisco address 2.2.1.2

crypto ipsec transform-set TS esp-3des esp-md5-hmac

exit

ip access-list extended FOR-VPN

permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

exit

crypto map CMAP 10 ipsec-isakmp

set peer 2.2.1.2

set transform-set TS

match address FOR-VPN

exit

interface fa0/0

crypto map CMAP

exit

interface FastEthernet0/0

ip address 2.2.3.2 255.255.255.252

no shutdown

exit

interface FastEthernet0/1

ip address 192.168.3.1 255.255.255.0

no shutdown

exit

exit

write mem

Выполнение команды show crypto isakmp sa на маршрутизаторе Центрального офиса (CO-GW)

на маршрутизаторе Удаленного офиса (FIL2-GW)

на маршрутизаторе Удаленного офиса (FIL-GW)