Как на Cisco завести ipsec от DFL 860E и DFL 870

Posted by

А что, если у Вас несколько сетевых маршрутизаторов марки D-Link, к примеру, D-Link DFL 860E & D-Link DFL 870 которые Вы бы хотели объединить в одну единую сеть с маршрутизатором Cisco. И тут, наверное, также, как и я Вы сперва встали в ступор и как же это сделать, если смотреть на заметки настройки , то можно заметить, что нужно лишь передать парольную фразу, настроить фразы (Phrase 1 & Phrase 2). Когда смотришь примеры из интернета то там люди описывают свой опыт с одним каналом, а у Вас другая ситуация, канал есть – только их теперь несколько. И вот только теперь начинаешь читать документацию более вдумчиво и понимаешь, что все просто – главное, чтобы было желание сделать задачу, а не отмахнуться.

Предварительные действия:

Настройки на D-Link по части IKE & IPSEC одинаковы: DES, SHA1

Все ниже приводимое опирается на мои заметки по части опубликованного применительно к туннелям настройка отдельно D-Link DFL 860E и D-Link DFL 870 до Cisco, а на ней уже принимаем следующими конфигурационными настройками сети где трафик будет ходить трафик. Сейчас я объединю настройки на Cisco в один единый конфигурационный файл.

conf t

crypto isakmp policy 10

default encryption des

default hash sha

authentication pre-share

group 2

crypto isakmp key 712mbddr@ address WAN-DFL-860E

crypto isakmp key 712mbddr@ address WAN-DFL-870

crypto ipsec transform-set TUNNEL esp-des esp-sha-hmac

mode tunnel

crypto map DFL 10 ipsec-isakmp

description cisco_to_dfl_860e_870

set peer WAN-DFL-860E

set peer WAN-DFL-870

set transform-set TUNNEL

set pfs group2

match address 101

interface GigabitEthernet0/0/0

crypto map DFL

И правила для доступа трафика перед cisco к сетям перед DFL:

ip access-list extended 101

permit ip 172.33.111.0 0.0.0.255 <DFL-860-NETWORK> 0.0.0.255

permit ip 172.33.111.0 0.0.0.255 <DFL-870-NETWORK> 0.0.0.255

ip access-list extended NAT

deny ip 172.33.111.0 0.0.0.255 <DFL-860-NETWORK> 0.0.0.255

deny ip 172.33.111.0 0.0.0.255 <DFL-870-NETWORK> 0.0.0.255

permit ip 172.33.111.0 0.0.0.255 any

Каналы поднялись.

Router#show crypto isakmp sa

IPv4 Crypto ISAKMP SA

dst             src             state          conn-id status

<WAN-CISCO>  WAN-DFL-860E QM_IDLE           1093 ACTIVE

<WAN-CISCO>  WAN-DFL-870 QM_IDLE           1097 ACTIVE

IPv6 Crypto ISAKMP SA

Проверяю, как видит D-LINK DFL 870 подключение через IPSEC до Cisco

Local Network Remote Network LocalEndpoint Remote Endpoint Algorithms
<DFL-870-NETWORK> 172.33.111.0/24 WAN-DFL-870 WAN-CISCO dec-cbc,hmac-sha1-96

Проверяю, как видит D-Link DFL 860E подключение через IPSEC до Cisco

Remote Gateway Local Net Remote net Protocol
WAN-CISCO <DFL-860E-NETWORK> 172.33.111.0/24 des-cbc

Видно, что ipsec-туннель успешно поднят, а принимающие правила на обоих устройствах разрешаю доступ из одной сети в другую и наоборот.

Заметка работоспособна. На этом у меня пока все с уважением автор блога Олло Александр aka ekzorchik.