Вы находитесь на странице: 1из 5

Настройка IPsec между Cisco и NSX Edge.

1) На маршрутизаторе Cisco применить, как пример на 2811, следующую конфигурацию:


! no ip gratuitous-arps
enable ip icmp rate-limit unreachable 1000
! ip icmp rate-limit unreachable DF 1000
configure terminal !
! ip cef
no service pad no ipv6 cef
service tcp-keepalives-in no ip http server
service tcp-keepalives-out no ip http secure-server
service timestamps debug datetime msec localtime show-timezone !
service timestamps log datetime msec localtime show-timezone access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.2.0 0.0.0.255
service password-encryption !
service sequence-numbers crypto isakmp enable
! !
hostname cr3-lab crypto keyring KEY_RING
ip domain name lab.ru pre-shared-key address 185.31.133.87 key Sv4kGRT
! !
crypto key generate rsa modulus 1024 exit
ip ssh version 2 !
! crypto isakmp policy 10
service password-encryption encr aes 256
ip tftp source-interface Fa0/1 hash sha
! authentication pre-share
username admin privilege 15 secret cisco123 group 14
enable secret cisco123 lifetime 28800
boot-start-marker !
boot-end-marker crypto isakmp profile ISA_PROF
! keyring KEY_RING
logging buffered 128000 match identity address 0.0.0.0
! local-address Fa0/0
no aaa new-model !
no ip domain-lookup exit
no logging console !
! crypto ipsec transform-set ESP-AES256-SHA esp-aes 256 esp-sha-hmac
clock timezone MSK 3 0 mode tunnel
! !
no ip source-route exit
! description -- Link to PC1 --
crypto map IPSEC local-address Fa0/0 ip address 192.168.30.1 255.255.255.0
crypto map IPSEC 10 ipsec-isakmp no shutdown
set peer 185.31.133.87 duplex auto
set security-association lifetime seconds 600 speed auto
set transform-set ESP-AES256-SHA no cdp enable
set isakmp-profile ISA_PROF !
match address 101 ip route 0.0.0.0 0.0.0.0 93.174.51.81
! !
exit ip name-server 8.8.8.8
! !
interface Fa0/0 line vty 0 4
description -- Link to sw1-lab port Gi1/3 -- transport input ssh
ip address 93.174.51.83 255.255.255.248 login local
no shutdown logging synchronous
duplex auto privilege level 15
speed auto exec-timeout 60 0
no cdp enable !
crypto map IPSEC end
! !
interface Fa0/1

2) На sw1-telehouse нужно разрешить прохождение трафика между маршрутизаторами, указав в ACL их ip-адреса, например:

ip access-list extended inc_list


2183 permit ip host 185.31.133.87 host 93.174.51.83
Настройки NSX EDGE, как пример:
Разрешить прохождения трафика из удалённой приватной сети.
Если IPsec поднялся, то должно быть:

ВАЖНО!
Настройки IPsec должны быть одинаковы на обоих маршрутизаторах, а также, применимы в зависимости от поддержки на устройствах или операционных
системах.

Для NSX EDGE применимы следующие настройки:

Encryption Algorithm: AES (AES128-CBC), AES256 (AES256-CBC), Triple DES (3DES192-CBC), AES-GCM (AES128-GCM)

Diffie-Hellman Group: DH-2 (Diffie–Hellman group 2/ 1024 bit), DH-5 (Diffie–Hellman group 5/ 1536 bit),
DH-14 (Diffie–Hellman group 14/ 2048 bit), DH-15 (Diffie–Hellman group 15/ 3072-bit),
DH-16 (Diffie–Hellman group 16/ 4096 bit)

Authentication: Pre-Shared Key, Certificate

Digest Algorithm: MD5, SHA1

IKE Version: IKEv1