Проект «SnakeProject» Михаила КозловаРегистрация

Навигация
⇒CISCO⇒

⇒ORACLE SQL \ JAVA⇒

⇐Voice(Asterisk\Cisco)
⇐Microsoft
⇐Powershell
⇐Python
⇐SQL\T-SQL
⇐FreeBSD and Nix
⇐1С
⇐Общая
⇐WEB Разработка
⇐Мото

CISCO: ipsec + gre (3 примера)


 

IPSec + GRE туннели

 

1. Чистый GRE


Дано два роутера, смотрящие в интернет(внутренние сети Router1 - 192.168.1.0/24 Router2 - 192.168.2.0/24):

Router1 (config)# int Fa0/1 
Router1 (config-if)# ip address 1.1.1.1 255.255.255.0 

Router2 (config)# int Fa0/1 
Router2 (config-if)# ip address 2.2.2.2 255.255.255.0 


Создаем тоннели GRE (keepalive 20 - интервал проверки соседа, если недоступен - интерфейс выключится):

Router1 (config)# int Tunnel0
Router1 (config-if)# tunnel mode gre ip
Router1 (config-if)# ip address 192.168.10.1 255.255.255.0
Router1 (config-if)# tunnel source Fa0/1
Router1 (config-if)# tunnel destination 2.2.2.2
Router1 (config-if)# keepalive 20

Router2 (config)# int Tunnel0
Router2 (config-if)# tunnel mode gre ip
Router2 (config-if)# ip address 192.168.10.2 255.255.255.0
Router2 (config-if)# tunnel source Fa0/1
Router2 (config-if)# tunnel destination 1.1.1.1
Router2 (config-if)# keepalive 20

Создаем маршрутизацию до внутренних сетей за роутерами:

Router1 (config)# ip route 192.168.2.0 192.168.10.2
Router2 (config)# ip route 192.168.1.0 192.168.10.1


Смотрим дебаг:
show ip int brief


2. GRE + шифрование на базе IPSec (шаг один необходим, т.к. реализация с ipsec профилем)


Первая фаза(протокол IKE, сервисный туннель ISAKMP):

Router1 (config)# crypto isakmp policy 10 
Router1 (config-isakmp)# encryption aes 
Router1 (config-isakmp)# authentication pre-share 

Router2 (config)# crypto isakmp policy 10 
Router2 (config-isakmp)# encryption aes 
Router2 (config-isakmp)# authentication pre-share 


Вторая фаза (протокол IPSec, основной туннель):

Router1 (config)# crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
Router1 (cfg-crypto-trans)# mode transport
Router1 (config)# crypto isakmp key Your_Secret_Key address 2.2.2.2

Router2 (config)# crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
Router2 (cfg-crypto-trans)# mode transport
Router2 (config)# crypto isakmp key Your_Secret_Key address 1.1.1.1


Профиль IPSec:

Router1 (config)# crypto ipsec profile IPSecRouter2 
Router1 (ipsec-profile)# set transform-set AES128-SHA 
Router1 (config)# int Tunnel0
Router1 (config)# tunnel protection ipsec profile IPSecRouter2 

Router2 (config)# crypto ipsec profile IPSecRouter1 
Router2 (ipsec-profile)# set transform-set AES128-SHA 
Router2 (config)# int Tunnel0
Router2 (config)# tunnel protection ipsec profile IPSecRouter1 


Смотрим дебаг:
show crypto isakmp sa
show crypto ipsec sa
show crypto isakmp policy
show crypto ipsec transform-set


3. IPSec + crypto-map (шаг 1 не нужен т.к. реализация не трбует GRE, вместо профиля из шага 2 ипользуется crypto-map)


Первая фаза(протокол IKE, сервисный туннель ISAKMP):

Router1 (config)# crypto isakmp policy 10 
Router1 (config-isakmp)# encryption aes 
Router1 (config-isakmp)# authentication pre-share 

Router2 (config)# crypto isakmp policy 10 
Router2 (config-isakmp)# encryption aes 
Router2 (config-isakmp)# authentication pre-share 


Вторая фаза (протокол IPSec, основной туннель):

Router1 (config)# crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
Router1 (cfg-crypto-trans)# mode tunnel
Router1 (config)# crypto isakmp key Your_Secret_Key address 2.2.2.2

Router2 (config)# crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
Router2 (cfg-crypto-trans)# mode tunnel
Router2 (config)# crypto isakmp key Your_Secret_Key address 1.1.1.1


Указание crypto-map:

Router1 (config)# access-list 20 permit gre host 192.168.10.1 host 192.168.10.2
Router1 (config)# crypto map Router2 10 ipsec-isakmp
Router1 (config-crypto-map)# set peer 2.2.2.2
Router1 (config-crypto-map)# set transform-set AES128-SHA
Router1 (config-crypto-map)# match address 20
Router1 (config)# int Fa0/1 
Router1 (config-if)# crypto map Router2

Router2 (config)# access-list 10 permit gre host 192.168.10.2 host 192.168.10.1
Router2 (config)# crypto map Router1 10 ipsec-isakmp
Router2 (config-crypto-map)# set peer 1.1.1.1
Router2 (config-crypto-map)# set transform-set AES128-SHA
Router2 (config-crypto-map)# match address 10
Router2 (config)# int Fa0/1 
Router2 (config-if)# crypto map Router1


Смотрим дебаг:
show crypto map

 

Разница в рализациях mode tunnel и mode transport:

В mode transport шифруется только содержимое пакета, ip-заголовок - нет 


В mode tunnel шифруется целиком пакет вместе с ip-заголовком и помещается в новый ip-пакет 

mode tunnel - предпочтителен для удаленных соединений через интернет филиалов и т.п.


Немного использовал:
http://alitlebitaboutcisco.blogspot.ru/2011/06/gre-over-ipsec_6950.html
http://xgu.ru/wiki/IPsec_%D0%B2_Cisco


Комментарии пользователей

Эту новость ещё не комментировалиНаписать комментарий
Анонимам нельзя оставоять комментарии, зарегистрируйтесь!

© Snakeproject.ru создан в 2013 году. При копировании материала с сайта - оставьте ссылку.


Яндекс.Метрика

Goon Каталог сайтов Рейтинг@Mail.ru