Cisco IPsec VPN Yapılandırması
Cisco IPsec VPN, iki ağ arasında güvenli bir bağlantı oluşturmak için kullanılan bir protokoldür. IPsec, kriptografiyi kullanarak verileri şifrelemek ve kimlik doğrulamayı sağlamak için kullanılır.
Cisco IPsec VPN, iki ana türde yapılandırılabilir:
- LAN-to-LAN VPN: Bu tür VPN, iki farklı fiziksel konumdaki ağları birbirine bağlamak için kullanılır.
- Site-to-Site VPN: Bu tür VPN, bir şirketteki farklı ofisleri birbirine bağlamak için kullanılır.
Bu makalede, Cisco IPsec VPN’nin nasıl yapılandırıldığına dair bir kılavuz sunulmaktadır.
Gereklilikler
Cisco IPsec VPN’yi yapılandırmak için aşağıdaki gereksinimlere ihtiyacınız vardır:
- İki Cisco yönlendirici veya güvenlik duvarı
- Cisco IOS veya IOS-XE işletim sistemi
- IPsec için gerekli lisanslar
Ön Hazırlık
Cisco IPsec VPN’yi yapılandırmaya başlamadan önce, aşağıdaki adımları tamamlamanız gerekir:
- Yönlendiricilerinizi veya güvenlik duvarlarınızın IPsec için gerekli lisanslara sahip olduğundan emin olun.
- Yönlendiricilerinizi veya güvenlik duvarlarınızın IPsec için gerekli konfigürasyonlarına sahip olduğundan emin olun. Bu konfigürasyonlar, IPsec protokolünü ve şifreleme yöntemlerini içerir.
- Yönlendiricilerinizi veya güvenlik duvarlarınızın birbirleriyle iletişim kurabilecekleri bir bağlantıya sahip olduğundan emin olun.
LAN-to-LAN VPN Yapılandırması
LAN-to-LAN VPN’yi yapılandırmak için aşağıdaki adımları izleyin:
- Crypto map’leri tanımlayın. Crypto map’ler, IPsec bağlantılarının özelliklerini tanımlayan yapılardır. Her bir crypto map, aşağıdakileri tanımlar:
- Bağlantı adı
- Bağlantı türü
- Protokol
- Şifreleme yöntemi
- Kimlik doğrulama yöntemi
Aşağıdaki örnek, iki yönlendirici arasında bir LAN-to-LAN VPN için bir crypto map tanımlar:
crypto map mymap 10 ipsec-isakmp
match address 10.1.1.0 255.255.255.0
set peer 10.2.2.2
set transform-set myset
Bu crypto map, aşağıdaki özelliklere sahiptir:
- Bağlantı adı: mymap
- Bağlantı türü: LAN-to-LAN
- Protokol: IPsec
- Şifreleme yöntemi: AES-128
- Kimlik doğrulama yöntemi: RSA
- Transform set’leri tanımlayın. Transform set’leri, IPsec bağlantılarında kullanılan şifreleme ve kimlik doğrulama yöntemlerini tanımlayan yapılardır. Her bir transform set, aşağıdakileri tanımlar:
- Şifreleme yöntemi
- Şifreleme anahtar uzunluğu
- Kimlik doğrulama yöntemi
Aşağıdaki örnek, AES-128 şifreleme ve RSA kimlik doğrulamasını kullanan bir transform set tanımlar:
crypto ipsec transform-set myset aes-128 esp-sha-hmac
Bu transform set, aşağıdaki özelliklere sahiptir:
- Şifreleme yöntemi: AES-128
- Şifreleme anahtar uzunluğu: 128 bit
- Kimlik doğrulama yöntemi: RSA
- Politikaları tanımlayın. Politikalar, IPsec bağlantılarının izin vereceği veya engelleyeceği trafiği tanımlayan yapılardır. Her bir politika, aşağıdakileri tanımlar:
- Bağlantı adı
- Yerel IP aralığı
- Uzak IP aralığı
- Protokol
- Portlar
Aşağıdaki örnek, 10.1.1.0/24 ila 10.2.2.0/24 aralığındaki tüm TCP ve UDP trafiğine izin veren bir politika tanımlar:
“`
access-list 101 permit tcp 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255 eq 22
access-list 101 permit udp 10.1.1.0 0.0.0.255 10.2.2.0