Образовательный проект «SnakeProject» Михаила Козлова

⇒ CISCO ⇐

Voice(Asterisk\Cisco)

Microsoft

Powershell

Python

SQL\T-SQL

FreeBSD and Nix

1С

Общая

WEB Разработка

ORACLE SQL \ JAVA

Мото

Стрельба, пневматика, оружие

Саморазвитие и психология

CISCO: ipsec + gre (3 примера)

IPSec + GRE туннели

1. Чистый GRE

Дано два роутера, смотрящие в интернет(внутренние сети Router1 - 192.168.1.0/24 Router2 - 192.168.2.0/24):

Router1 (config)# int Fa0/1 
Router1 (config-if)# ip address 1.1.1.1 255.255.255.0 

Router2 (config)# int Fa0/1 
Router2 (config-if)# ip address 2.2.2.2 255.255.255.0 

Создаем тоннели GRE (keepalive 20 - интервал проверки соседа, если недоступен - интерфейс выключится):

Router1 (config)# int Tunnel0
Router1 (config-if)# tunnel mode gre ip
Router1 (config-if)# ip address 192.168.10.1 255.255.255.0
Router1 (config-if)# tunnel source Fa0/1
Router1 (config-if)# tunnel destination 2.2.2.2
Router1 (config-if)# keepalive 20

Router2 (config)# int Tunnel0
Router2 (config-if)# tunnel mode gre ip
Router2 (config-if)# ip address 192.168.10.2 255.255.255.0
Router2 (config-if)# tunnel source Fa0/1
Router2 (config-if)# tunnel destination 1.1.1.1
Router2 (config-if)# keepalive 20

Создаем маршрутизацию до внутренних сетей за роутерами:

Router1 (config)# ip route 192.168.2.0 192.168.10.2
Router2 (config)# ip route 192.168.1.0 192.168.10.1

Смотрим дебаг:
show ip int brief

2. GRE + шифрование на базе IPSec (шаг один необходим, т.к. реализация с ipsec профилем)

Первая фаза(протокол IKE, сервисный туннель ISAKMP):

Router1 (config)# crypto isakmp policy 10 
Router1 (config-isakmp)# encryption aes 
Router1 (config-isakmp)# authentication pre-share 

Router2 (config)# crypto isakmp policy 10 
Router2 (config-isakmp)# encryption aes 
Router2 (config-isakmp)# authentication pre-share 

Вторая фаза (протокол IPSec, основной туннель):

Router1 (config)# crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
Router1 (cfg-crypto-trans)# mode transport
Router1 (config)# crypto isakmp key Your_Secret_Key address 2.2.2.2

Router2 (config)# crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
Router2 (cfg-crypto-trans)# mode transport
Router2 (config)# crypto isakmp key Your_Secret_Key address 1.1.1.1

Профиль IPSec:

Router1 (config)# crypto ipsec profile IPSecRouter2 
Router1 (ipsec-profile)# set transform-set AES128-SHA 
Router1 (config)# int Tunnel0
Router1 (config)# tunnel protection ipsec profile IPSecRouter2 

Router2 (config)# crypto ipsec profile IPSecRouter1 
Router2 (ipsec-profile)# set transform-set AES128-SHA 
Router2 (config)# int Tunnel0
Router2 (config)# tunnel protection ipsec profile IPSecRouter1 

Смотрим дебаг:
show crypto isakmp sa
show crypto ipsec sa
show crypto isakmp policy
show crypto ipsec transform-set

3. IPSec + crypto-map (шаг 1 не нужен т.к. реализация не трбует GRE, вместо профиля из шага 2 ипользуется crypto-map)

Первая фаза(протокол IKE, сервисный туннель ISAKMP):

Router1 (config)# crypto isakmp policy 10 
Router1 (config-isakmp)# encryption aes 
Router1 (config-isakmp)# authentication pre-share 

Router2 (config)# crypto isakmp policy 10 
Router2 (config-isakmp)# encryption aes 
Router2 (config-isakmp)# authentication pre-share 

Вторая фаза (протокол IPSec, основной туннель):

Router1 (config)# crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
Router1 (cfg-crypto-trans)# mode tunnel
Router1 (config)# crypto isakmp key Your_Secret_Key address 2.2.2.2

Router2 (config)# crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
Router2 (cfg-crypto-trans)# mode tunnel
Router2 (config)# crypto isakmp key Your_Secret_Key address 1.1.1.1

Указание crypto-map:

Router1 (config)# access-list 20 permit gre host 192.168.10.1 host 192.168.10.2
Router1 (config)# crypto map Router2 10 ipsec-isakmp
Router1 (config-crypto-map)# set peer 2.2.2.2
Router1 (config-crypto-map)# set transform-set AES128-SHA
Router1 (config-crypto-map)# match address 20
Router1 (config)# int Fa0/1 
Router1 (config-if)# crypto map Router2

Router2 (config)# access-list 10 permit gre host 192.168.10.2 host 192.168.10.1
Router2 (config)# crypto map Router1 10 ipsec-isakmp
Router2 (config-crypto-map)# set peer 1.1.1.1
Router2 (config-crypto-map)# set transform-set AES128-SHA
Router2 (config-crypto-map)# match address 10
Router2 (config)# int Fa0/1 
Router2 (config-if)# crypto map Router1

Смотрим дебаг:
show crypto map

Разница в рализациях mode tunnel и mode transport:

В mode transport шифруется только содержимое пакета, ip-заголовок - нет 

В mode tunnel шифруется целиком пакет вместе с ip-заголовком и помещается в новый ip-пакет 

mode tunnel - предпочтителен для удаленных соединений через интернет филиалов и т.п.

Немного использовал:
http://alitlebitaboutcisco.blogspot.ru/2011/06/gre-over-ipsec_6950.html
http://xgu.ru/wiki/IPsec_%D0%B2_Cisco

Комментарии пользователей