Günümüzde ADSL teknolojisinin yaygın bir şekilde kullanılması ile firmaların şubeleri ile mecut internet baglantıları üzerinden baglantı saglama istekleri çok sık karşılaştıgımız bir durumdur. Mevcut bu baglantının üzerinden site to site bir çözüm saglamak hem fiyat hemde admistrative açıdan avantaj saglamaktadır. Gönderilecek yada alınacak verilerin boyutları çok olmadıkça ve şube sayısı artmadıkça site to site en çok kullanılan tekniklerden biridir. Biz burda Cisco PIX device ile site to site bir network yapısı oluşturacaz.
Cisco PIX SDM ile Site-to-Site VPN
Sahip olduğunuz iki adet Cisco PIX ile şubeleriniz arasında VPN trafiğinin nasıl kurulacağını PDM arayüzünü kullanarak anlatacağım .
Bir merkez birde şubemizin bulunduğunu düşünürsek , öncelikle merkez ofisteki Cisco PIX ten konfigürasyona başlayalım .
Cisco PIX te diğer Cisco cihazları gibi consol dan konfigüre edilir . PIX ın bir artısı ise arayüzede sahip olmasıdır. Satın aldığınız PIX ın ethernet interface i için atanmış bir ip adresi olmadığı için bu ara yüze erişmek için öncelikle consol kablosu ile ethernet interface i up yapmalı ve bir ip atamalısınız . Benim pix in ethernet interface inin ip adresi 192.168.1.1 dir.
İnternet Explorer da bu ip adresini yazdığımda ise karşıma PDM yazılımı çıkmaktadır . Ancak PDM in çalışabilmesi için ise bilgisayarınızda Java yüklü olmalıdır.
Açılan menüden “Wizards” bölümüne geliyor ve “VPN Wizard” sekmesine tıklıyoruz.
Şekil 1
Şekil 2
Cisco PIX üzerinde VPN Server ve Site to Site VPN seçenekleri vardır. Yani merkez ofisteki PIX i isterseniz aynı bir ISA Server gibi VPN Server haline getirebilir ve PIX Vpn Client yazılımı yüklü herhangi bir makineden VPN tüneli açabilirsiniz . Bizim amacımız ise iki PIX arasında VPN kurmak olduğu için ilk seçeneği seçiyor. Hemen altta bulunan interface seçeneği ise VPN özelliğinin hangi interface için açılacağını seçiyoruz .
Şekil 3
Bu bölümde ise öncelikle uzak noktanın sabit olan Real ip adresini yazıyoruz. Aramızdaki kimlik doğrulama için ise Pre-shared key veya sertifika kullanabiliriz. Ben ortak anahtar yöntemini kullanacağım . Yani her iki PIX üzerine de aynı Key değerlerini girerek kimlik doğrulamayı sağlayacağım .
Şekil 4
Bu ekranda ise açılacak olan VPN Tunelinin şifreleme ve kimlik doğrulama algoritmalarını seçiyoruz. 3DES yeterli bir güvenlik sağlayacaktır.
Şekil 5
[LOCAL SITE ]
Bu ekranda ise şirket içi network ip adresimizi tanımlamamız gerekmektedir. Interface kısmından “inside” seçili iken iç network ID sini yazıyoruz ve işaretli olan butona basıyoruz.
Şekil 6
Karşımıza çıkan ekranda ise bu kayıt için bir isim veriyoruz ve tanımlamayı bitiriyoruz. Bundan sonra çıkacak ekranları da “next” butonu yardımı ile geçiyoruz ve aşağıdaki ekranı görmüş oluyoruz.
Şekil 7
[ REMOTE SITE ]
Burada da uzak ofisimizin iç network ID sini belirtiyoruz.. Yine aynı butonu kullanarak tanımlama ekranını görüyouz.
Şekil 8
Burada da iç network ID mizi belirlerken verdiğimiz isim gibi dış network için de bir isim vermeliyiz. Ama şu önemli konuya dikkat etmelisiniz , iki isimde aynı olmamalı. Aynı verirseniz zaten size uyarı verecektir.
Şekil 9
Burada da seçme butonuna tıklayarak dış network’ü de seçtikten sonra finish diyerek kurulum işlemimizi bitiriyoruz.
Bu wizard sayesinde iki adet cisco PIX device ile VPN Tüneli kurmuş oluyoruz. Bundan sonra yazacağınız kurallar çerçevesinde iki şubenizi güvenli bir şekilde bağlayabilirsiniz.