(!) VPN-туннель между шлюзом ZyWALL 2/5/35/70 и маршрутизатором Cisco

Можно ли настроить VPN-туннель IPSeс между межсетевым экраном ZyWALL 2/5/35/70 и маршрутизаторами Cisco?

Да. C помощью межсетевых экранов ZyWALL 2/5/35/70 можно установить VPN-туннель IPSec с маршрутизаторами Cisco (поддерживающими возможность создания VPN-туннелей). 


Приведем пример.


Настройки VPN-туннеля на межсетевом экране ZyWALL:






Настройки VPN-туннеля на маршрутизаторе Cisco 2811.


Обращаем ваше внимание, что настройки политики безопасности на ZyWALL и Cisco должны соответственно совпадать, в противном случае VPN-туннель между устройствами не сможет быть установлен.


В нашем примере используется функция NAT Traversal (NAT-T) для передачи VPN-трафика, минуя NAT. NAT Traversal позволяет устанавливать VPN-подключение, когда между двумя шлюзами IPSec находятся маршрутизаторы с поддержкой NAT. При использовании NAT Traversal происходит инкапсуляция пакетов ESP в UDP.
Обращаем внимание:
Оба шлюза IPSec, устанавливающие VPN-туннель, должны иметь поддержку NAT Traversal. 
Можно использовать NAT Traversal с протоколом ESP, используя режим Transport или Tunnel, но нельзя использовать NAT-T с протоколом AH.



!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key $password address $peer_ip

crypto isakmp fragmentation
crypto isakmp keepalive 10 periodic
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto map vpn local-address FastEthernet0/1
crypto map vpn 1 ipsec-isakmp
description Tunnel to $peer_ip
set peer $peer_ip
set transform-set ESP-3DES-SHA
match address 105
!
interface FastEthernet0/1
description Link to Internet
ip access-group 150 in
ip nat outside
ip virtual-reassembly
crypto map vpn
!
ip nat inside source route-map nonat interface FastEthernet0/1 overload
!
!
access-list 105 permit ip $local_network $local_netmask $remote_network $remote_netmask
access-list 110 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 110 permit ip 192.168.0.0 0.0.255.255 any
access-list 150 permit udp any host $my_ip_address eq isakmp
access-list 150 permit udp any host $my_ip_address eq non500-isakmp
access-list 150 permit esp any host $my_ip_address
access-list 150 permit gre any host $my_ip_address
access-list 150 permit tcp any host $my_ip_address eq 22
!
!
!
route-map nonat permit 10
match ip address 110
!

 

KB-1950

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0