Образовательный проект «SnakeProject» Михаила Козлова

⇒ CISCO ⇐

Voice(Asterisk\Cisco)

Microsoft

Powershell

Python

SQL\T-SQL

FreeBSD and Nix

1С

Общая

WEB Разработка

ORACLE SQL \ JAVA

Мото

Стрельба, пневматика, оружие

Саморазвитие и психология

IPSEC Site-to-Site VPNs на Cisco

IPSEC Site-to-Site VPNs на Cisco
 

Настраиваем ISAKMP политику

Первым шагом для настройки IPSEC туннеля  - глобальное объявление ISAKMP:

RouterA(config)#  crypto isakmp enable

Следующим шагом будет создание ISAKMP политики, которая определит алгоритм и используемые протоколы при обмене ключами (IKE Phase 1). Для создание ISAKMP политики выполните следующие каманды:

RouterA(config)#  crypto isakmp policy 1

RouterA(config-isakmp)#  encryption des

RouterA(config-isakmp)#  hash sha

RouterA(config-isakmp)#  authentication rsa-sig

RouterA(config-isakmp)#  group 1

RouterA(config-isakmp)#  lifetime 86400

Команда crypto isakmp policy задает политику. Цифра 1 устанавливает приоритет, так как мы можем иметь несколько ISAKMP политик. Чем ниже число, тем выше приоритет политики.

Чтобы проверить конфигурацию политики ISAKMP выполните команду:

RouterA#  show crypto isakmp policy

Настройка аунтификации (Pre-Shared Keys)

Для того чтобы создать ключ аунтификации(pre-shared key), мы должны создать ключевую строку и указать в ней IP адрес удаленного хоста (или его имя)

RouterA(config)#  crypto isakmp policy 1

RouterA(config-isakmp)#  authentication pre-share

RouterA(config)#  crypto isakmp key MYKEY address 77.1.1.1

или

RouterA(config)#  crypto isakmp key MYKEY hostname REMOTEHOST

Помните, оба ключа и ISAKMP политики должны быть идентичными на обоих роутерах

Pre-Shared Keys это наиболее простой метод аунтификации. Намного безопасней использовать  RSA Digital Signatures

Настройка аунтификации (Digital Signatures)

Для использования Digital Signatures  с сервера сертификации(Certificate Authority – CA) выполните следующие команды:

RouterA(config)#  crypto isakmp policy 1

RouterA(config-isakmp)#  authentication rsa-sig

Далее настраиваем  специфисные параметры CA.  Так как сертификаты зависят от времени их установки, то время должно быть точным:

RouterA(config)#  clock timezone est +4

RouterA(config)#  clock set  12:00:00 15 february 2012

Далее необходимо задать имя хоста и имя домена:

RouterA(config)#  hostname RouterA

RouterA(config)#  ip domain-name YOURDOMAIN.COM

Генерируем RSA ключи. Будьте внимательны, ключи не сгенерируются без настроек имени и домена:

RouterA(config)#  crypto key generate rsa

The name for the keys will be RouterA.YOURDOMAIN.COM

How many bits in the modulus [512]: 512

Количество бит определяет степень шифрования. Число может варьироваться в пределах от 360 до 2048, со значением по умолчанию 512. Чем выше данное число, тем выше степень шифрования, но и дольше генерируются ключи.

Для проверки сгенерированного ключа выполните команду:

RouterA#  show crypto key mypubkey rsa

Далее настраиваем сертификацию:

RouterA(config)#  crypto ca identity MYCERTIFICATE

RouterA(ca-identity)#  enrollment url http://MYURL/certsrv/mscep/mscep.dll

Данная команда указывает где лежит конкретный ключ на сервере сертификации windows.

CA должен пройти проверку подлинности, для уверенности в его действиях.

RouterA(config)#  crypto ca authenticate MYCERTIFICATE

В завершении подписываем сертификат цифровой подписью:

RouterA(config)#  crypto ca enroll MYCERTIFICATE

Обратите внимание!: роутер будет запрашивать пароль в процессе регистрации. Случайный пароль тут не подойдет. Откройте в браузере файл http://MYURL/certsrv/mscep/mscep.dll, где будет отображен пароль. Его и необходимо использовать. Пароль чувствительный к регистру.

Сертификат будет либо принят, либо отклонен, в зависимости от правильности ввода пароля.

Для просмотра настроенного сертификаты выполните команду:

RouterA#  show crypto ca certificates

Остальные настройки идентичны настройке с применением pre-shared keys.

Настройка IPSEC Transform Set

Настроим IPSEC Transform Set policy:

RouterA(config)#  crypto ipsec transform-set MYSET  ah-sha-hmac esp-des

ESP и AH могут быть использованы одновременно. В следующей таблице каждый
из возможных вариантов:

AH Transforms                 ESP Encryption  Transforms       ESP Authentication Tranforms

ah-md5-hmac                                  esp-des                                                               esp-md5-hmac

ah-sha-hmac                                   esp-3des                                             esp-sha-hmac

                                                               esp-null

таким образом если мы хотим только  ESP с 3DES для шифрованием и md5 для
аутентификации, то выполним:

RouterA(config)#  crypto ipsec transform-set MYSET  esp-3des esp-md5-hmac

Движение трафика через туннель

Далее мы должны указать какой трафик будет проходить через наш IPSEC туннель.

Используем для этого acl листы:

RouterA(config)#  access-list 100 permit ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255

Здесь мы определяем что трафик с хостов сети 192.168.1.x/24 инициализирован для прохода через IPSEC туннель. Мы будем ссылаться на этот acl позже в нашей конфигурации.

Для роутера В настройка будет выглядеть так:

RouterB(config)#  access-list 100 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255

Настройка IPSEC Crypto Map

Далее мы настроим crypto map которая определит все ранее настроенные IPSEC SA параметры, включающая в себя ACL, SA peer, IKE transform-set.

RouterA(config)#  crypto map MYTUNNEL 1 ipsec-isakmp

RouterA(config-crypto-map)#  match address 100

RouterA(config-crypto-map)#  set security-association lifetime seconds 1800

RouterA(config-crypto-map)#  set peer 77.1.1.1

RouterA(config-crypto-map)#  set transform-set MYSET

Мы привязываем эту crypto map на интерфейс, через который у нас будет установлен туннель:

RouterA(config)#  interface s0/0

RouterA(config-if)#  crypto map MYTUNNEL

Для просмотра настроенного crypto map выполните следующую команду:

RouterA#  show crypto map

Настройка GRE туннеля поверх IPSEC туннеля

Generic Routing Encapsulation (GRE) – представляет собой протокол туннелирования, и не выполняет функции безопасности, таких как шифровании или хеширование. Тем не менее, GRE поддерживает протоколы, отличные от IP (например, IPX или Appletalk)
и поддерживает multicast traffic, в том числе протоколы маршрутизации (например,
RIP, OSPF, или EIGRP) GRE подменяет оригинальный IP заголовок, и подставляет свой и IP заголовки.

Для настройки GRE туннеля:

RouterA(config)#  interface Tunnel0

RouterA(config-if)#  ip address 1.1.1.1 255.0.0.0

RouterA(config-if)#  tunnel source s0/0

RouterA(config-if)#  tunnel destination 77.1.1.1

RouterB(config)#  interface Tunnel0

RouterB(config-if)#  ip address 1.1.1.2 255.0.0.0

RouterB(config-if)#  tunnel source s0/0

RouterB(config-if)#  tunnel destination 66.1.1.1

Параметр tunnel source на локальном роутере, превращается в tunnel destination на удаленном.

Мультифункциональный протокол GRE может быть использован с функциональности безопасности протокола IPSEC. GRE чаще всего используется с транспортным режимом IPSEC. Туннелирование GRE происходит до применения шифрования пакета IPSEC.

IPSEC конфигурация остается прежней, за исключением списка ACL, который будет ссылаться только на трафик GRE.

Troubleshooting IPSEC

Следующие команды используются для поиска неисправностей для IPSEC и ISAKMP:

RouterA#  show crypto isakmp sa

RouterA#  show crypto ipsec sa

RouterA#  show crypto isakmp policy

RouterA#  show crypto isakmp transform-set

RouterA#  show crypto map

RouterA#  debug crypto isakmp

RouterA#  debug crypto ipsec

Для удаления настроек ISAKMP или IPSEC SA используйте команды:

RouterA#  clear crypto isakmp

RouterA#  clear crypto sa

Комментарии пользователей