Главная
››
Поддержка
››
Управление инфраструктурой vCloud (IaaS, Infrastructure as a Service)
››
Управление сервисами vCloud

Настройка IPsec site-to-site с Cisco Router

Для использования защищённого доступа к виртуальной инфраструктуре IaaS под управлением VMware vCloud Director рекомендуем использовать туннелирование трафика с помощью алгоритмов шифрования данных. В данной статье представлена информация по настройке IPsec site-to-site VPN.

Используемая топология:

Публичный IP в офисе - 91.10.20.254
Публичный IP vShield Edge - 109.248.46.105
Адресация используемая в облачной инфраструктуре - 10.50.100.0/24
Адресация используемая в офисе - 192.168.0.0/24

1. В разделе «Administration» перейдите в ваш виртуальный дата-центр. В появившемся меню настроек перейдите во вкладку «Edge Gateways». Выберите нужный «vShield Edge». Нажмите правой кнопкой мыши, в появившемся меню выберите опцию «Edge Gateway Services»

2. Откройте вкладку VPN и нажмите на «Enable VPN». Для смены IP-адреса с которого будет устанавливаться VPN-соединение, нажмите на кнопку «Configure Public IPs». Для создания нового VPN-соединения нажмите кнопку «Add»

3. В открывшемся окне настройте следующие параметры:

Name – имя VPN-соединения
Establish VPN to – с кем установить соединение:
- A remote network – удалённая сеть, например ваш офис

Для установки соединения с удалённой сетью, требуется настроить следующие параметры.

Local Networks – указываем сеть в облачной инфраструктуре: 10.50.100.0/24
Peer Networks – указываем офисную сеть: 192.168.0.0/24
Local Endpoint – по умолчанию OutsideZone
Local ID – 109.248.46.105
Peer ID – 91.10.20.254
Peer IP – 91.10.20.254
Encryption protocol – алгоритм шифрования, для примера выбираем AES
Shared key – общий секретный ключ

Важно: по умолчанию используется в PFS и DH group 2.

Для применения настроек нажмите кнопку ОК.

Настройка VPN для Cisco:
crypto isakmp policy 10
encr aes
hash sha
authentication pre-share
group 2
set pfs group2
crypto isakmp key #key address 109.248.46.105
crypto ipsec transform-set MCLOUDS-TS esp-aes esp-sha-hmac

ip access-list extended MCLOUDS-VPN-TRAFFIC
remark traffic for tunnel
permit ip 192.168.0.0 0.0.0.255 10.50.100.0 0.0.0.255
exit

ip access-list extended MCLOUDS-VPN-NO-NAT
deny 192.168.0.0 0.0.0.255 10.50.100.0 0.0.0.255
permit ip 192.168.0.0 0.0.0.255 any
exit

ip nat inside source list MCLOUDS-VPN-NO-NAT interface #interface overload

crypto map MCLOUDS-VPN-MAP 10 ipsec-isakmp
set peer 109.248.46.105
set transform-set MCLOUDS-TS
match address MCLOUDS-VPN-TRAFFIC

interface public
crypto map MCLOUDS-VPN-MAP