1

Site-to-Site VPN (Cisco Router)

Készítette: Schubert Tamás (BMF)

Schubert Tamás

Site-to-Site VPN/1

Az intézményi informatikai biztonság tervezése

Site-to-Site VPN Tartalom • • • • • • • • • •

VPN megvalósítások a különböző OSI rétegekben Az IPsec folyamat lépései Internet Key Exchange (IKE) Az IKE és az IPSec folyamat működése a Cisco IOS-ben VPN konfigurációs példa Generic routing encapsulation (GRE) GRE Tunnel konfiguráció GRE Tunnel konfigurációs példa A GRE forgalom biztonságának megteremtése GRE IPsec felett – konfigurációs példa

Schubert Tamás

Site-to-Site VPN/2


VPN megvalósítások a különböző OSI rétegekben • Adott rétegben megvalósítás védi a fölötte lévő rétegeket • A hálózati rétegben megvalósított VPN média- és alkalmazás-független • Az alkalmazás rétegbeli VPN-t minden alkalmazásban külön-külön meg kell valósítani

Schubert Tamás

Site-to-Site VPN/3


VPN megvalósítások a különböző OSI rétegekben • A 4. OSI rétegben használt megoldások az SSL-lel biztosítják a titkosságot, a felhasználók hitelességét és az adatok sértetlenségét a TCP alkalmazások számára • Sikeres alkalmazások az elektronikus kereskedelem (e-commerce) területén • Nem elég rugalmas, nehéz megvalósítani, és nem alkalmazás-független • A legújabb technológiát a sokkal rugalmasabb Transport Layer Security (TLS) képviseli

Schubert Tamás

Site-to-Site VPN/4


VPN megvalósítások a különböző OSI rétegekben • Az OSI modell alsóbb rétegeiben – különösen az adatkapcsolati rétegben – alkalmazott védelem is gyakori volt korábban. Jellemzői: • Független a felső protokolloktól • Csak egy-egy kapcsolatot véd, így minden egyes összeköttetésre különkülön alkalmazni kell • Lehetővé teszi a man-in-the-middle támadást a közbenső állomásokon (forgalomirányítók) • Gyakran gyártó függő protokollokat használ • A 3. rétegben megvalósított védelem a legnépszerűbb

Schubert Tamás

Site-to-Site VPN/5


Az IPsec folyamat lépései 1. Érdemleges forgalom kezdeményezi az IPSec folyamatot. A védeni kívánt forgalom ACL-lel írható le 2. Az Internet Key Exchange (IKE) 1. fázisa hitelesíti az IPSec résztvevőit, és egyezteti az IKE SA-t (Security Association). Biztonságos csatornát épít ki a az IPSec SA kiépítéséhez a IKE 2. fázisában 3. Az IKE 2. fázisában az IKE folyamat egyezteti az IPSec SA paramétereit és létrehozza az SA-kat mindkét oldalon. E paraméterek alapján történi a biztonságos kommunikáció a felek között

Schubert Tamás

Site-to-Site VPN/6


Az IPsec folyamat lépései 4. Az adatátviteli fázisban az SA adatbázisban tárolt IPSec paraméterek alapján történik a biztonságos kommunikáció 5. Az IPSec csatorna vagy törlés vagy időtúllépés miatt bomlik le

Schubert Tamás

Site-to-Site VPN/7


Internet Key Exchange (IKE) • Az IKE (RFC 2409) az IPsec kialakítását könnyíti meg. • Az IKE az Internet Security Association and Key Management Protocol (ISAKMP) framework keretei között működik (RFC 2408 ). • Az IKE hitelesíti az IPSec folyamatban részt vevő feleket, egyezteti az IPSec kulcsokat, és egyezteti az IPSec security association paramétereket. • Az IKE alkalmazásának előnyei: Nem kell kézzel beállítani az IPSec paramétereket mindkét oldalon • Megadható az SA élettartama • A kulcsok változhatnak az IPSec kapcsolat során • Védelmet nyújt a visszajátszás típusú támadással szemben • Lehetővé teszi a CA infrastruktúra használatát • Lehetővé teszi a felek dinamikus hitelesítését • A felek kölcsönös hitelesítésének módjai: • Pre-shared kulcs használata • RSA encrypted nonces használata • RSA aláírás használata •

Schubert Tamás

Site-to-Site VPN/8


Az IKE és az IPSec folyamat működése a Cisco IOS-ben

Schubert Tamás

Site-to-Site VPN/9


Az IKE és az IPSec konfigurálása a Cisco IOS-ben 1. Az IKE policy meghatározása (IKE 1. fázis) 2. Az IPSec policy meghatározása (IKE 2. fázis) 3. A konfiguráció ellenőrzése • show running-configuration • show isakmp policy • show crypto map 4. A hálózati működés ellenőrzése titkosítás nélkül • ping 5. A hozzáférési lista ellenőrzése, hogy kompatibilis-e az IPSec-kel • show access-list

Schubert Tamás

Site-to-Site VPN/10


Az IKE és az IPSec konfigurálása a Cisco IOS-ben 1. Az IKE policy meghatározása (IKE 1. fázis) • Kulcscsere módja • Hitelesítés módja • IPSec társak (peer) IP-címei és állomásnevei • IKE 1. fázis policy • Titkosító algoritmus • Hash algoritmus • IKE SA élettartam

Schubert Tamás

Site-to-Site VPN/11


Az IKE és az IPSec konfigurálása a Cisco IOS-ben 1. Az IKE policy meghatározása (IKE 1. fázis) • ISAKMP alapértelmezett értékek

Schubert Tamás

Site-to-Site VPN/12


Az IKE és az IPSec konfigurálása a Cisco IOS-ben 2. Az IPSec policy meghatározása (IKE 2. fázis) • IPSec algoritmusok és paraméterek az optimális biztonság és hatékonyság elérésére • Transforms és transform sets meghatározása • Az IPSec társak részletes adatainak meghatározása • A védeni kívánt állomások IP-címeinek és alkalmazásainak meghatározása • Kézi vagy IKE által kezdeményezett SA-k konfigurálása

Schubert Tamás

Site-to-Site VPN/13


Az IKE és az IPSec konfigurálása a Cisco IOS-ben 2. Az IPSec policy meghatározása (IKE 2. fázis) • Transforms és transform sets meghatározása

Schubert Tamás

Site-to-Site VPN/14


Az IKE és az IPSec konfigurálása a Cisco IOS-ben 2. Az IPSec policy meghatározása (IKE 2. fázis) • Transforms és transform sets meghatározása

Schubert Tamás

Site-to-Site VPN/15


Az IKE és az IPSec konfigurálása a Cisco IOS-ben 2. Az IPSec policy meghatározása (IKE 2. fázis) • Az IPSec társak részletes adatainak meghatározása

Schubert Tamás

Site-to-Site VPN/16


Az IKE és az IPSec konfigurálása a Cisco IOS-ben 2. Az IPSec policy meghatározása (IKE 2. fázis) • Példa

Schubert Tamás

Site-to-Site VPN/17


Az IKE és az IPSec konfigurálása a Cisco IOS-ben 3. A konfiguráció ellenőrzése

Schubert Tamás

Site-to-Site VPN/18


Az IKE és az IPSec konfigurálása a Cisco IOS-ben 5. A hozzáférési lista ellenőrzése, hogy kompatibilis-e az IPSec-kel • Az alábbi ACL-részlettel ki kell egészíteni a meglévő hozzáférési listákat, hogy ne szűrjük ki az ISAKMP forgalmat

Schubert Tamás

Site-to-Site VPN/19


Az IKE és az IPSec konfigurálása a Cisco IOS-ben Az IKE be/kikapcsolása • [no] crypto isakmp enable • Globálisan engedélyezi vagy tiltja az IKE-t a forgalomirányítón • Az IKE alapértelmezetten be van kapcsolva • Az IKE globálisan minden interfészen engedélyezve vagy tiltva van • Az IKE forgalom ACL-lel tiltható interfészeken

Schubert Tamás

Site-to-Site VPN/20


Az IKE és az IPSec konfigurálása a Cisco IOS-ben Ha az IKE-t nem engedélyezzük • az IPSec-et manuálisan kell beállítani • az IPSec kapcsolat nem törlődik időtúllépés miatt • a titkosító kulcs nem változik a kapcsolat ideje alatt • a visszajátszás elleni védelem nem működik • a CA támogatás nem használható

Schubert Tamás

Site-to-Site VPN/21


VPN konfigurációs példa

R1

R2

192.168.12.0/24

R3

192.168.23.0/24

.1

.2

.2

Fa0/0

Fa0/0

S1/1

Loopback0: 172.16.1.1/24

.3 S1/1

Loopback0: 172.16.3.1/24

IPSec tunnel

Schubert Tamás

Site-to-Site VPN/22


VPN konfigurációs példa Konfiguráció VPN nélkül: R1 hostname R1 ! interface Loopback0 ip address 172.16.1.1 255.255.255.0 ! interface FastEthernet0/0 ip address 192.168.12.1 255.255.255.0 no shutdown ! router eigrp 1 network 172.16.0.0 network 192.168.12.0 no auto-summary

Schubert Tamás

Site-to-Site VPN/23


VPN konfigurációs példa Konfiguráció VPN nélkül: R2 hostname R2 ! interface FastEthernet0/0 ip address 192.168.12.2 255.255.255.0 no shutdown ! interface Serial1/1 ip address 192.168.23.2 255.255.255.0 clock rate 64000 no shutdown ! router eigrp 1 network 192.168.12.0 network 192.168.23.0 no auto-summary Schubert Tamás

Site-to-Site VPN/24


VPN konfigurációs példa Konfiguráció VPN nélkül: R3 hostname R3 ! interface Loopback0 ip address 172.16.3.1 255.255.255.0 ! interface Serial1/1 ip address 192.168.23.3 255.255.255.0 no shutdown ! router eigrp 1 network 172.16.0.0 network 192.168.23.0 no auto-summary

Schubert Tamás

Site-to-Site VPN/25


VPN konfigurációs példa Konfiguráció VPN-nel: R1 hostname R1 ! IKE 1. fázis crypto isakmp policy 10 ! Prioritás = 10 ! A prioritás arra való, hogy ha több policy-t adunk meg mindkét oldalon eltérő ! prioritással, a legnagyobb prioritású, azonos tartalmú policy lesz kiválasztva. ! A kisebb szám nagyobb prioritást jelent. encr 3des ! Titkosítás hash md5 ! Hash algotitmus authentication pre-share ! Pre-share hitelesítés group 5 ! Diffie-Hellman group lifetime 3600 ! Az SA élettartama crypto isakmp key cisco address 192.168.23.3 ! Pre-shared kulcs + a társ VPN végpont megadása ! Az ISAKMP konfiguráció ellenőrzése: show crypto isakmp policy Schubert Tamás

Site-to-Site VPN/26


VPN konfigurációs példa Konfiguráció VPN-nel: IPSec konfigurálása (IKE 2. fázis) 1. A transform set konfigurálása a crypto ipsec transform-set paranccsal 2. Az IPSec globális SA élettartamának konfigurálása a crypto ipsec security-association lifetime paranccsal 3. Crypto ACL konfigurálása az access-list paranccsal 4. Crypto map konfigurálása a crypto map paranccsal 5. A Crypto map hozzárendelése a VPN végponthoz az interfész crypto map paranccsal

Schubert Tamás

Site-to-Site VPN/27


VPN konfigurációs példa Konfiguráció VPN-nel: R1 (folytatás) ! IPSec konfigurálása (IKE 2. fázis) ! 1. A transform set konfigurálása crypto ipsec transform-set 50 ah-sha-hmac esp-3des esp-sha-hmac ! A transform set a biztonsági protokollok és algoritmusok egy kombinációját ! írja le. Az IPSec SA egyeztetés (negotiation) során kiválasztanak a megadott ! transform set-ek közül egyet. ! Legfeljebb egy AH és 2 ESP adható meg! ! 2. Az IPSec globális SA élettartamának konfigurálása crypto ipsec security-association lifetime seconds 1800

Schubert Tamás

Site-to-Site VPN/28


VPN konfigurációs példa Konfiguráció VPN-nel: IPSec konfigurálása (IKE 2. fázis) 3. Crypto ACL konfigurálása A Crypto ACL leírja, hogy milyen forgalmat kell védenie az IPSec protokollnak Az ACL szintaxisa hasonlít a kiterjesztett ACL-éhez A permit-tel megadott forgalmat védeni kell, a deny-al megadottat nem

Schubert Tamás

Site-to-Site VPN/29


VPN konfigurációs példa Konfiguráció VPN-nel: IPSec konfigurálása (IKE 2. fázis) 3. Crypto ACL konfigurálása A két végponton az ACL-ek egymás tükörképei legyenek Az ACL a kimenő irányra vonatkozik. Ez alapján dől el, hogy mely forgalmat kell titkosítani A válaszforgalmat is ugyanazzal az ACL-lel kell értelmezni a forrás és a cél megcserélésével

Schubert Tamás

Site-to-Site VPN/30


VPN konfigurációs példa Konfiguráció VPN-nel: 4. Crypto map konfigurálása a crypto map paranccsal Ez a parancs rendeli egymáshoz a különböző konfigurációs egységeket: • Milyen forgalmat véd az IPSec • A társ végpont megadása • A helyi cím megadása • Az IPSec típusának megadása • Az SA létesítésének módja (kézi vagy IKE) • Egyéb paraméterek

Schubert Tamás

Site-to-Site VPN/31


VPN konfigurációs példa Konfiguráció VPN-nel: R1 (folytatás) ! IPSec konfigurálása (IKE 2. fázis) ! 4. Crypto map konfigurálása crypto map MYMAP 10 ipsec-isakmp ! Létrehozza a crypto map-et ! Ugyanazt a nevet használva különböző sorszámokkal megadott crypto ! map-ek crypto map set-et alkotnak set peer 192.168.23.3 ! Megadja a társ végpontot set security-association lifetime seconds 900 ! Felülírja a globális konfigurációt set transform-set 50 ! Több transform set is megadható set pfs group5 ! Megadja a D-H group-ot match address 101 ! Hozzárendeli a crypto ACL-t

Schubert Tamás

Site-to-Site VPN/32


VPN konfigurációs példa Konfiguráció VPN-nel: R1 (folytatás) ! IPSec konfigurálása (IKE 2. fázis) ! 5. A Crypto map hozzárendelése a VPN végponthoz interface FastEthernet0/0 crypto map MYMAP

Schubert Tamás

! A crypto map hozzárendelése az interfészhez

Site-to-Site VPN/33


VPN konfigurációs példa Az IPSec konfiguráció ellenőrzése • Az ISAKMP policy megjelenítése: show crypto isakmp policy • A konfigurált transform set-ek megjelenítése: show crypto ipsec transform-set • Az IPSec SA-k pillanatnyi állapotának megjelenítése: show crypto ipsec sa • A konfigurált crypto map-ek megjelenítése: show crypto map • Az ISAKMP folyamat nyomkövetése: debug crypto isakmp • Az IPSec folyamat nyomkövetése: debug crypto ipsec

Schubert Tamás

Site-to-Site VPN/34


VPN konfigurációs példa Az IPSec konfiguráció: R1 hostname R1 ! crypto isakmp policy 10 encr 3des authentication pre-share group 5 lifetime 3600 ! crypto isakmp key cisco address 192.168.23.3 ! crypto ipsec security-association lifetime seconds 1800 ! crypto ipsec transform-set 50 ah-sha-hmac esp-3des esp-sha-hmac ! crypto map MYMAP 10 ipsec-isakmp set peer 192.168.23.3 set security-association lifetime seconds 900 set transform-set 50 set pfs group5 match address 101

Schubert Tamás

Site-to-Site VPN/35


VPN konfigurációs példa Az IPSec konfiguráció: R1 (folytatás) interface Loopback0 ip address 172.16.1.1 255.255.255.0 ! interface FastEthernet0/0 ip address 192.168.12.1 255.255.255.0 crypto map MYMAP no shutdown ! router eigrp 1 network 172.16.0.0 network 192.168.12.0 no auto-summary ! access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255

Schubert Tamás

Site-to-Site VPN/36


VPN konfigurációs példa Az IPSec konfiguráció: R3 hostname R3 ! crypto isakmp policy 10 encr 3des authentication pre-share group 5 lifetime 3600 ! crypto isakmp key cisco address 192.168.12.1 ! crypto ipsec security-association lifetime seconds 1800 ! crypto ipsec transform-set 50 ah-sha-hmac esp-3des esp-sha-hmac ! crypto map MYMAP 10 ipsec-isakmp set peer 192.168.12.1 set security-association lifetime seconds 900 set transform-set 50 set pfs group5 match address 101

Schubert Tamás

Site-to-Site VPN/37


VPN konfigurációs példa Az IPSec konfiguráció: R3 (folytatás) interface Loopback0 ip address 172.16.3.1 255.255.255.0 ! interface Serial1/1 ip address 192.168.23.3 255.255.255.0 crypto map MYMAP no shutdown ! router eigrp 1 network 172.16.0.0 network 192.168.23.0 no auto-summary ! access-list 101 permit ip 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255

Schubert Tamás

Site-to-Site VPN/38


Generic routing encapsulation (GRE) • • • • •

IP alagút (tunnel) protokoll A Cisco fejlesztette ki RFC 1701 Sokféle protokoll szállítható az IP alagútban (lásd a következő diát) Virtuális pont-pont kapcsolat (alagút) jön létre távoli forgalomirányítók virtuális interfészei között • A GRE használatával különféle protokollokat használó alhálózatok kapcsolhatók össze egyetlen, IP gerinchálózat segítségével • Az alagúton használt dinamikus forgalomirányító protokollok lehetővé teszik irányítási információk cseréjét a virtuális hálózaton

Schubert Tamás

Site-to-Site VPN/39


Generic routing encapsulation (GRE) Protocol Family

PTYPE

Reserved SNA OSI network layer XNS IP RFC 826 ARP Frame Relay ARP VINES DECnet (Phase IV) Transparent Ethernet Bridging Raw Frame Relay Ethertalk (Appletalk) Novell IPX RFC 1144 TCP/IP compression IP Autonomous Systems Secure Data Reserved …

0000 0004 00FE 0600 0800 0806 0808 0BAD 6003 6558 6559 809B 8137 876B 876C 876D FFFF

Schubert Tamás

Site-to-Site VPN/40

A GRE alagútban szállítható protokollok (Nem teljes lista)


Generic routing encapsulation (GRE) • • • • • •

Lényegében tetszőleges OSI Layer 3 protokollok szállíthatók az alagútban A GRE állapotmentes protokoll (nincs flow control) Nincs biztonsági funkciója (IPSec-et lehet használni) Legalább 24 bájt többletterhelés (IP fejléc: 20 bájt, GRE fejléc: 4 bájt) Az ábra az alapértelmezett GRE fejlécet ábrázolja A GRE alagútjában szállított protokoll az alábbi példában: IP

Schubert Tamás

Site-to-Site VPN/41


Generic routing encapsulation (GRE) • Opcionális fejléc mezők is használhatók • Key: o Hitelesítésre használható (nyílt szöveg, nem sokat ér) o Párhuzamos csatornák megkülönböztetésére is alkalmas • Sequence Number: A sorrenden kívül érkező csomagokat eldobja • GRE keepalive konfigurálható: Segítségével a forgalomirányító felismeri az alagút másik végének leállását, és ennek alapján megváltoztatja az irányítótábláját

Schubert Tamás

Site-to-Site VPN/42


GRE Tunnel konfiguráció • • • •

Tunnel 0 Tunnel source Tunnel destination Tunnel mode

- Virtuális interfész, az alagút logikai végpontja - Fizikai interfész, amelyen a tényleges forgalom halad - Az alagút távoli végpontja fizikai interfészének IP-címe - A szállított protokoll megadása

Serial 0/0

Schubert Tamás

Serial 0/0

Site-to-Site VPN/43


GRE Tunnel konfiguráció Működés • Ha a forgalomirányító kap egy csomagot, és az irányítótáblából az derül ki, hogy az alagúton kell továbbítani, a forgalomirányító a Tunnel interfész konfigurációjából megállapítja, hogy: o Melyik interfészen kell kiküldeni (tunnel source) o Mi a cél IP-cím (tunnel destination) o Beágyazza a csomagot (IP, GRE) o Beágyazza a csomagot (2. rétegű protokoll) o Kiküldi

Serial 0/0

Schubert Tamás

Serial 0/0

Site-to-Site VPN/44


GRE Tunnel konfiguráció Működés (folytatás) • Ha a forgalomirányítónak egy tunnel source-ként konfigurált interfészén GRE csomag érkezik, a forráscíméből megállapítja, hogy melyik tunnel interfészhez érkezett o Eltávolítja a külső IP fejlécet és a GRE fejlécet o A beágyazott 3. rétegű protokoll irányítótáblája alapján tovább küldi

Serial 0/0

Schubert Tamás

Serial 0/0

Site-to-Site VPN/45


GRE Tunnel konfigurációs példa • Az AS 1 autonóm körzet hálózata (pl. az Internet) a hordozó gerinchálózat • Az AS 2 autonóm körzet hálózata a virtuális hálózat • A példában mindkét hálózaton EIGRP forgalomirányító protokollt kell használni, a két autonóm körzet között nem biztosítunk átjárást • Az alagút EIGRP irányítási információt és bármilyen más forgalmat átvisz az AS 2 körzetbe tartozó hálózatok között • Az EIGRP 1 irányítótáblájában nincs bejegyzés a 172.16.0.0/16 hálózatról • Az EIGRP 2 irányítótáblájában nincs bejegyzés a 192.168.12.0/24 és a 192.168.23.0/24 hálózatról

Schubert Tamás

Site-to-Site VPN/46


A GRE forgalom biztonságának megteremtése • A GRE jó alagút protokoll. Bármilyen 3. rétegű protokoll szállítására alkalmas • Azonban nem rendelkezik biztonsági funkciókkal: titkosítás, adatforrás hitelesítés, integritás védelem • Az IPsec rendelkezik mindezekkel a biztonsági funkciókkal • Az IPsec viszont nem tökéletes alagút protokoll: o Multicast támogatása nem jó o Csak IP szállítására alkalmas o Forgalomirányító protokoll nem továbbítható • A megoldás: GRE IPsec felett

Schubert Tamás

Site-to-Site VPN/47


A GRE forgalom biztonságának megteremtése Tipikus alkalmazása: Logikai csillag topológia (Hub and spoke)

Schubert Tamás

Site-to-Site VPN/48


GRE IPsec felett – konfigurációs példa GRE IPsec felett • A beágyazó protokoll: IPsec • A beágyazott protokoll: GRE

Schubert Tamás

Site-to-Site VPN/49


GRE IPsec felett – konfigurációs példa R1 konfiguráció crypto isakmp policy 10 authentication pre-share group 5 lifetime 3600 crypto isakmp key cisco address 192.168.23.3 ! crypto ipsec transform-set mytrans ah-sha-hmac esp-aes 256 esp-sha-hmac ! crypto map mymap 10 ipsec-isakmp set peer 192.168.23.3 set transform-set mytrans match address 101 ! interface Tunnel0 ip address 172.16.13.1 255.255.255.0 tunnel source Serial 0/0/0 tunnel destination 192.168.23.3

Schubert Tamás

Site-to-Site VPN/50


GRE IPsec felett – konfigurációs példa R1 konfiguráció (folytatás) interface Loopback0 ip address 172.16.1.1 255.255.255.0 ! interface Serial 0/0/0 ip address 192.168.12.1 255.255.255.0 crypto map mymap no shutdown ! router eigrp 1 network 192.168.12.0 no auto-summary ! router eigrp 2 network 172.16.0.0 no auto-summary ! access-list 101 permit gre host 192.168.12.1 host 192.168.23.3 end

Schubert Tamás

Site-to-Site VPN/51


GRE IPsec felett – konfigurációs példa R3 konfiguráció crypto isakmp policy 10 authentication pre-share group 5 lifetime 3600 crypto isakmp key cisco address 192.168.12.1 ! crypto ipsec transform-set mytrans ah-sha-hmac esp-aes 256 esp-sha-hmac ! crypto map mymap 10 ipsec-isakmp set peer 192.168.12.1 set transform-set mytrans match address 101 ! interface Tunnel0 ip address 172.16.13.3 255.255.255.0 tunnel source Serial 0/0/1 tunnel destination 192.168.12.1

Schubert Tamás

Site-to-Site VPN/52


GRE IPsec felett – konfigurációs példa R3 konfiguráció (folytatás) interface Loopback0 ip address 172.16.3.1 255.255.255.0 ! interface Serial 0/0/1 ip address 192.168.23.3 255.255.255.0 crypto map mymap no shutdown ! router eigrp 1 network 192.168.23.0 no auto-summary ! router eigrp 2 network 172.16.0.0 no auto-summary ! access-list 101 permit gre host 192.168.23.3 host 192.168.12.1 end

Schubert Tamás

Site-to-Site VPN/53


GRE IPsec felett – konfigurációs példa R2 konfiguráció interface Serial0/0/0 ip address 192.168.12.2 255.255.255.0 no shutdown ! interface Serial0/0/1 ip address 192.168.23.2 255.255.255.0 clock rate 64000 no shutdown ! router eigrp 1 network 192.168.12.0 network 192.168.23.0 no auto-summary

Schubert Tamás

Site-to-Site VPN/54


1

Recommend Documents