6846

Захист GRE-тунеля

Лабораторная работа

Информатика, кибернетика и программирование

Захист GRE-тунеля Завдання роботи: Створення GRE тунеля між двома маршрутизаторами Використання IPSec для захисту тунеля Топологія Сценарій У даній роботі ви налаштуєте GRE - тунель (GenericRoutingEncapsulation), захище...

Украинкский

2013-01-08

365 KB

3 чел.

Захист GRE-тунеля

Завдання роботи:

  •  Створення GRE тунеля між двома маршрутизаторами
  •  Використання IPSec для захисту тунеля

Топологія

Сценарій

У даній роботі ви налаштуєте GRE - тунель  (Generic Routing Encapsulation), захищений засобами IPSec. Такий спосіб захисту потоку даних є альтернативним до розглянутого в одній з попередніх робіт.

  1.  Адресація

Налаштуйте мережні інтерфейси, використавши адреси, вказані на топології. При необхідності задайте clock rate і виконайте команду no shutdown. Командою ping перевірте досяжність сусідніх хостів. Поки не виконаєте наступний крок (налаштування маршрутизації), не переходьте до налаштування тунелів.

R1# configure terminal

R1(config)# interface loopback0

R1(config-if)# ip address 172.16.1.1 255.255.255.0

R1(config-if)# interface fastethernet0/0

R1(config-if)# ip address 192.168.12.1 255.255.255.0

R1(config-if)# no shutdown

R2# configure terminal

R2(config)# interface fastethernet0/0

R2(config-if)# ip address 192.168.12.2 255.255.255.0

R2(config-if)# no shutdown

R2(config-if)# interface serial0/0/1

R2(config-if)# ip address 192.168.23.2 255.255.255.0

R2(config-if)# clockrate 64000

R2(config-if)# no shutdown

R3# configure terminal

R3(config)# interface loopback0

R3(config-if)# ip address 172.16.3.1 255.255.255.0

R3(config-if)# interface serial0/0/1

R3(config-if)# ip address 192.168.23.3 255.255.255.0

R3(config-if)# no shutdown

2. EIGRP маршрутизація

Сконфігуруйте EIGRP маршрутизацію (AS 1) для мереж 192.168.12.0/24 і 192.168.23.0/24. Не включайте в систему маршрутизації мережі з діапазону 172.16.0.0/16. Мережі класу С  будуть транзитними між мережами 172.16.1.0 і 172.16.3.0. Перевірте, щоб автоматична сумаризація була вимкнута.

R1(config)# router eigrp 1

R1(config-router)# no auto-summary

R1(config-router)# network 192.168.12.0

R2(config)# router eigrp 1

R2(config-router)# no auto-summary

R2(config-router)# network 192.168.12.0

R2(config-router)# network 192.168.23.0

R3(config)# router eigrp 1

R3(config-router)# no auto-summary

R3(config-router)# network 192.168.23.0

Командою show ip route перевірте досяжність між R1 і  R3.

3. Налаштування GRE тунеля

У глобальному режимі налаштування виконайте команду interface tunnel number. Для простоти, призначте тунельним інтерфейсам з обох сторін номер 0 (видалений маршрутизатор не знає номер тунельного інтерфейсу іншої сторони). Ви потрапляєте в режим конфігурації інтерфейсу. Далі, призначте IP адресу даного віртуального інтерфейсу (ip address address mask), а також адреси початкової і кінцевої точки тунеля (tunnel source address і  tunnel destination address, відповідно). Як початкова точка тунеля може бути вказано один з існуючих інтерфейсів маршрутизатора, адреса якого і буде використана. Таким чином, потрібний трафік буде інкапсульовано з даною адресою джерела. Тунельне з'єднання використовує GRE- інкапсуляцію за замовчуванням, тому явно указувати її не слід.

R1(config)# interface tunnel 0

R1(config-if)# ip address 172.16.13.1 255.255.255.0

R1(config-if)# tunnel source fastethernet0/0

R1(config-if)# tunnel destination 192.168.23.3

R3(config)# interface tunnel0

R3(config-if)# ip address 172.16.13.3 255.255.255.0

R3(config-if)# tunnel source serial0/0/1

R3(config-if)# tunnel destination 192.168.12.1

Перевірте досяжність віддаленої точки тунеля. Якщо ping успішний, це означає що тунельне з'єднання встановлено.

R1# ping 172.16.13.3

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.13.3, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 68/69/72 ms

R3# ping 172.16.13.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.13.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 68/68/72 ms

4. EIGRP маршрутизація через тунель

Після того, як тунельне з'єднання встановлено, організуємо через нього зв'язок з деякими віддаленими мережами. Тунельний інтерфейс GRE може використовуватися в системі маршрутизації разом з будь-якими іншими мережними інтерфейсами. Налаштуємо іншу систему маршрутизації (EIGRP AS 2) для маршрутизації між мережами діапазону 172.16.0.0/16. Вимкнемо автоматичну сумаризацію. Врахуйте, що R2 не бере участь в даному процесі маршрутизації, тому налаштування EIGRP AS 2 на ньому не потрібне.

R1(config)# router eigrp 2

R1(config-router)# no auto-summary

R1(config-router)# network 172.16.0.0

R3(config)# router eigrp 2

R3(config-router)# no auto-summary

R3(config-router)# network 172.16.0.0

За повідомленнями на консолі ви можете  спостерігати встановлення зв'язків між EIGRP - сусідами. В іншому разі перевірте досяжність між адресами 192.168.12.1 і 192.168.23.3 і навпаки, а також правильність налаштування тунельного з'єднання. Якщо налаштування пройшло успішно, ви зможете перевірити ping між loopback - інтерфейсами R1 і R3.

5. Налаштування IKE політик і поділюваних ключів сторін

Налаштуйте IKE політики сторін з'єднання, що захищається, використовуючи вказані нижче параметри. Якщо версія IOS у ваших маршрутизаторах не підтримує деякі перетворення, використовуйте інші, переконавшись, що налаштування на обох кінцях IPSec з'єднання збігаються.

R1(config)# crypto isakmp policy 10

R1(config-isakmp)# authentication pre-share

R1(config-isakmp)# encryption aes 256

R1(config-isakmp)# hash sha

R1(config-isakmp)# group 5

R1(config-isakmp)# lifetime 3600

R3(config)# crypto isakmp policy 10

R3(config-isakmp)# authentication pre-share

R3(config-isakmp)# encryption aes 256

R3(config-isakmp)# hash sha

R3(config-isakmp)# group 5

R3(config-isakmp)# lifetime 3600

Далі, налаштуйте ISAKMP ключі сторін з'єднання, що розділяються («cisco»).

R1(config)# crypto isakmp key cisco address 192.168.23.3

R3(config)# crypto isakmp key cisco address 192.168.12.1

6. Налаштування наборів IPSec перетворень

На кінцевих маршрутизаторах налаштуйте набори IPSec перетворень. Переконайтеся в узгодженості налаштувань обох сторін.

R1(config)# crypto ipsec transform-set mytrans esp-aes 256 esp-sha-hmac ahsha-hmac

R1(cfg-crypto-trans)# exit

R1(config)#

R3(config)# crypto ipsec transform-set mytrans esp-aes 256 esp-sha-hmac ahsha-hmac

R3(cfg-crypto-trans)# exit

R3(config)#

7. Визначення трафіку, що захищається

На термінуючих маршрутизаторах тунеля визначимо шифрований трафік (протокол gre, джерело і адресат - початкова і кінцева точка тунеля). Переконайтеся в коректному порядку інструкцій.

R1(config)# access-list 101 permit gre host 192.168.12.1 host 192.168.23.3

R3(config)# access-list 101 permit gre host 192.168.23.3 host 192.168.12.1

8. Створення і застосування криптографічних карт

Для шифрування трафіку GRE тунеля створіть і застосуйте кріптокарти IPSec до вихідних інтерфесів кінцевих маршрутизаторів. Деякі версії IOS дозволяють застосовувати кріптокарти до тунельних інтерфейсів.

R1(config)# crypto map mymap 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer

and a valid access list have been configured.

R1(config-crypto-map)# match address 101

R1(config-crypto-map)# set peer 192.168.23.3

R1(config-crypto-map)# set transform-set mytrans

R1(config-crypto-map)# exit

R1(config)# interface fastethernet 0/0

R1(config-if)# crypto map mymap

*Jan 22 07:01:30.147: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

R3(config)# crypto map mymap 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer

and a valid access list have been configured.

R3(config-crypto-map)# match address 101

R3(config-crypto-map)# set peer 192.168.12.1

R3(config-crypto-map)# set transform-set mytrans

R3(config-crypto-map)# interface serial 0/0/1

R3(config-if)# crypto map mymap

*Jan 22 07:02:47.726: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

9. Перевірка IPSec 

Командою show crypto ipsec sa перевірте, що кількість пакетів, що інкапсулюються і шифрованих, з часом збільшується.

R1# show crypto ipsec sa

interface: FastEthernet0/0

Crypto map tag: mymap, local addr 192.168.12.1

protected vrf: (none)

local ident (addr/mask/prot/port): (192.168.12.1/255.255.255.255/47/0)

remote ident (addr/mask/prot/port): (192.168.23.3/255.255.255.255/47/0)

current_peer 192.168.23.3 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 8, #pkts encrypt: 8, #pkts digest: 8

#pkts decaps: 8, #pkts decrypt: 8, #pkts verify: 8

...

Через декілька секунд повторіть команду show crypto ipsec sa.

R1# show crypto ipsec sa

interface: FastEthernet0/0

Crypto map tag: mymap, local addr 192.168.12.1

protected vrf: (none)

local ident (addr/mask/prot/port): (192.168.12.1/255.255.255.255/47/0)

remote ident (addr/mask/prot/port): (192.168.23.3/255.255.255.255/47/0)

current_peer 192.168.23.3 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 10, #pkts encrypt: 10, #pkts digest: 10

#pkts decaps: 10, #pkts decrypt: 10, #pkts verify: 10

...

Детальніше перевірку роботи механізмів IKE і IPSec було розглянуто в одній з попередніх робіт.

10. Моніторинг трафіку за допомогою Wireshark

Підключаючись до  каналів зв'язку і використовуючи аналізатор трафіку Wireshark ви зможете досліджувати вміст передаваних пакетів.

Щоб спостерігати за трафіком в незашифрованому вигляді, вимкніть криптографічні карти на інтерфейсах маршрутизаторів R1 і R3. Подивіться поточні налаштування мережних інтерфейсів Fastethernet0/0 на R1 та Serial0/0/1 на R3. Потім виконайте команду no crypto map name в режимі налаштування інтерфейсу, тим самим видаливши асоціації захисту ISAKMP. Маршрутизатор видасть попередження про відключення ISAKMP.

R1# show run interface fastethernet 0/0

Building configuration...

Current configuration : 120 bytes

!

interface FastEthernet0/0

ip address 192.168.12.1 255.255.255.0

duplex auto

speed auto

crypto map mymap

end

R1# configure terminal

R1(config)# interface fastethernet0/0

R1(config-if)# no crypto map mymap

*Jan 16 06:02:58.999: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is OFF

R3# show run interface serial 0/0/1

Building configuration...

Current configuration : 91 bytes

!

interface Serial0/0/1

ip address 192.168.23.3 255.255.255.0

crypto map mymap

end

R3# configure terminal

R3(config)# interface serial0/0/1

R3(config-if)# no crypto map mymap

*Jan 16 06:05:36.038: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is OFF

Перехоплюватимемо telnet - трафік, тому налаштуйте telnet - доступ і задайте відповідний пароль доступу на R3.

R3(config)# enable secret cisco

R3(config)# line vty 0 4

R3(config-line)# password cisco

R3(config-line)# login

Почніть перехоплення пакетів з інтерфейсу Ethernet маршрутизатора R1. Відкрийте telnet - з'єднання з loopback - інтерфейсу R1 до loopback - інтерфейсу R3. Застосуйте команду telnet destination (щоб вибрати як джерело telnet - з'єднання одну з IP - адрес маршрутизатора, використовуйте ключ /source команди telnet). Після того, як ви підключилися до R3, виконайте там одну - дві команди і відключіться. Зупиніть перехоплення пакетів. Пакети даної telnet- сесії передавалися за адресою loopback-интерфейса R3 через тунельне з'єднання, тому Wireshark покаже GRE - пакети.

R1# telnet 172.16.3.1

Trying 172.16.3.1 ... Open

User Access Verification

Password:

R3> enable

Password:

R3# show ip interface brief

Interface IP-Address OK? Method Status

Protocol

FastEthernet0/0 unassigned YES unset administratively down

down

FastEthernet0/1 unassigned YES unset administratively down

down

Serial0/0/0 unassigned YES unset administratively down

down

Serial0/0/1 192.168.23.3 YES manual up up

Serial0/1/0 unassigned YES unset administratively down

down

Serial0/1/1 unassigned YES unset administratively down

down

Loopback0 172.16.3.1 YES manual up up

Tunnel0 172.16.13.3 YES manual up up

R3# exit

[Connection to 172.16.3.1 closed by foreign host]

R1#

Зверніть увагу, що Wireshark сам класифікував ці пакети як telnet - трафік, хоча вони і були упаковані в GRE. У вікні проглядання пакетів ви можете бачити декілька рівнів інкапсуляції, в тому числі заголовки GRE. Оскільки зараз шифрування пакетів відключене, ви легко можете знайти відкритий текст telnet - команд.

Таким чином, незашифрований трафік може бути перехоплений в будь-якій точці по маршруту його проходження. Потім знов застосуйте раніше відключені криптографічні карти на маршрутизаторах R1 і R3 і встановіть telnet - сесію між ними.

R1(config)# interface fastethernet 0/0

R1(config-if)# crypto map mymap

R3(config)# interface serial0/0/1

R3(config-if)# crypto map mymap

Знову запустіть перехоплення пакетів, і виконайте у відкритій сесії ті ж команди, що і раніше.

R1# telnet 172.16.3.1

Trying 172.16.3.1 ... Open

User Access Verification

Password:

R3> enable

Password:

R3# show ip interface brief

Interface IP-Address OK? Method Status

Protocol

FastEthernet0/0 unassigned YES unset administratively down

down

FastEthernet0/1 unassigned YES unset administratively down

down

Serial0/0/0 unassigned YES unset administratively down

down

Serial0/0/1 192.168.23.3 YES manual up up

Serial0/1/0 unassigned YES unset administratively down

down

Serial0/1/1 unassigned YES unset administratively down

down

Loopback0 172.16.3.1 YES manual up up

Tunnel0 172.16.13.3 YES manual up up

R3#exit

[Connection to 172.16.3.1 closed by foreign host]

R1#

Після відключення telnet - з'єднання зупиніть перехоплення пакетів і подивіться результати перехоплення. Хоча обидві сесії telnet відбувалися приблизно однаково, ви побачите, що тепер до пакетів було застосовано VPN - інкапсуляцію та шифрування.

Зазначте, що протокол тепер ідентифікується не як telnet (TCP port 23), а як Encapsulating Security Protocol (ESP, IP protocol number 50). Пригадайте, що весь шифрований трафік повинен задовольняти ACL, заданим при налаштуванні IPSec.

Зверніть увагу, що адреси джерел і одержувачів перехоплених пакетів не відповідають адресам сторін telnet - сесії, а є адресами кінцевих точок VPN.

Нарешті, як би ви не форматували перехоплені пакети в Wireshark,  вміст сеансу відновити тепер не вийде. Таким чином, був досліджений ще один спосіб побудови VPN із застосуванням аутентифікації, шифрування і цілісності даних з набору засобів IPSec.

Результат налаштування

R1# show run

!

hostname R1

!

crypto isakmp policy 10

authentication pre-share

group 5

lifetime 3600

crypto isakmp key cisco address 192.168.23.3

!

crypto ipsec transform-set mytrans ah-sha-hmac esp-aes 256 esp-sha-hmac

!

crypto map mymap 10 ipsec-isakmp

set peer 192.168.23.3

set transform-set mytrans

match address 101

!

interface Tunnel0

ip address 172.16.13.1 255.255.255.0

tunnel source FastEthernet0/0

tunnel destination 192.168.23.3

!

interface Loopback0

ip address 172.16.1.1 255.255.255.0

!

interface FastEthernet0/0

ip address 192.168.12.1 255.255.255.0

crypto map mymap

no shutdown

!

router eigrp 1

network 192.168.12.0

no auto-summary

!

router eigrp 2

network 172.16.0.0

no auto-summary

!

access-list 101 permit gre host 192.168.12.1 host 192.168.23.3

end

R2# show run

hostname R2

!

interface FastEthernet0/0

ip address 192.168.12.2 255.255.255.0

no shutdown

!

interface Serial0/0/1

ip address 192.168.23.2 255.255.255.0

clock rate 64000

no shutdown

!

router eigrp 1

network 192.168.12.0

network 192.168.23.0

no auto-summary

!

end

R3# show run

hostname R3

!

enable secret 5 $1$kkTj$cIYDuP2yz3vA1ARGVwxd11

!

crypto isakmp policy 10

authentication pre-share

group 5

lifetime 3600

crypto isakmp key cisco address 192.168.12.1

!

crypto ipsec transform-set mytrans ah-sha-hmac esp-aes 256 esp-sha-hmac

!

crypto map mymap 10 ipsec-isakmp

set peer 192.168.12.1

set transform-set mytrans

match address 101

!

interface Loopback0

ip address 172.16.3.1 255.255.255.0

!

interface Tunnel0

ip address 172.16.13.3 255.255.255.0

tunnel source Serial0/0/1

tunnel destination 192.168.12.1

!

interface Serial0/0/1

ip address 192.168.23.3 255.255.255.0

crypto map mymap

no shutdown

!

router eigrp 1

network 192.168.23.0

no auto-summary

!

router eigrp 2

network 172.16.0.0

no auto-summary

!

access-list 101 permit gre host 192.168.23.3 host 192.168.12.1

!

line vty 0 4

password cisco

login

end


Лабораторна робота №3.2

Віртуальні тунелі IPSec

Завдання роботи

  •  Налаштування віртуального тунеля, захищеного засобами IPSec
  •  Використання віртуального тунеля як резервного каналу

Топологія

Сценарій

У даній роботі ви вивчите процес налаштування віртуальних тунельних інтерфейсів IPSec (Virtual Tunnel Interface  - VTI) і їх застосування як резервних каналів, що сполучають дві віддалені локальні мережі. Спосіб захисту тунельних з'єднань із застосуванням IPSec VTI є більш новим в порівнянні з IPSec поверх GRE, розглянутим в одній з попередніх робіт.

1. Адресація

Налаштуйте послідовні і loobback інтерфейси з адресами, вказаними на топології. Для послідовних з'єднань при необхідності задайте clock rate і виконайте команду no shutdown. Командою ping перевірте зв'язок із сусідніми хостами.

HQ# configure terminal

HQ(config)# interface loopback 0

HQ(config-if)# ip address 172.16.1.1 255.255.255.0

HQ(config-if)# interface fastethernet 0/0

HQ(config-if)# ip address 172.16.13.1 255.255.255.0

HQ(config-if)# no shutdown

HQ(config-if)# interface serial 0/0/0

HQ(config-if)# ip address 192.168.12.1 255.255.255.0

HQ(config-if)# clockrate 64000

HQ(config-if)# no shutdown

ISP# configure terminal

ISP(config-if)# interface serial 0/0/0

ISP(config-if)# ip address 192.168.12.2 255.255.255.0

ISP(config-if)# no shutdown

ISP(config-if)# interface serial 0/0/1

ISP(config-if)# ip address 192.168.23.2 255.255.255.0

ISP(config-if)# clockrate 64000

ISP(config-if)# no shutdown

BRANCH# configure terminal

BRANCH(config)# interface loopback 0

BRANCH(config-if)# ip address 172.16.3.1 255.255.255.0

BRANCH(config-if)# interface fastethernet 0/0

BRANCH(config-if)# ip address 172.16.13.3 255.255.255.0

BRANCH(config-if)# no shutdown

BRANCH(config-if)# interface serial 0/0/1

BRANCH(config-if)# ip address 192.168.23.3 255.255.255.0

BRANCH(config-if)# no shutdown

2. EIGRP маршрутизація

На HQ і BRANCH налаштуйте EIGRP маршрутизацію (AS 1). При цьому вкажіть діапазон мереж 172.16.0.0 і вимкніть автоматичну сумаризацію. Маршрутизатор ISP в даному процесі маршрутизації не бере участь.

HQ(config)# router eigrp 1

HQ(config-router)# no auto-summary

HQ(config-router)# network 172.16.0.0

BRANCH(config)# router eigrp 1

BRANCH(config-router)# no auto-summary

BRANCH(config-router)# network 172.16.0.0

Після цього між сусідніми маршрутизаторами мають бути встановлені «сусідські стосунки» (neighbor adjacencies) і, можливо, видані відповідні повідомлення на консолі маршрутизаторів. В іншому разі перевірте налаштування інтерфейсів, конфігурацію EIGRP і фізичну досяжність між сусідами.

3. Статичні маршрути

На HQ і BRANCH додайте маршрути за замовчуванням, що вказують на маршрутизатор ISP (дані маршрути емулюють з'єднання з Internet). Пам'ятайте, що дані маршрути не переважатимуть маршрути, отримані через EIGRP, оскільки останні будуть пріоритетнішими. Зазначимо, що ніякі маршрути на ISP налаштовувати не слід, оскільки всі мережі 192.168.X.0/24 даний маршрутизатор бачить як безпосередньо підключені.

HQ(config)# ip route 0.0.0.0 0.0.0.0 192.168.12.2

BRANCH(config)# ip route 0.0.0.0 0.0.0.0 192.168.23.2

Тепер все готово, щоб налаштувати резервний тунель через «Інтернет». Перед цим перевірте досяжність між HQ і BRANCH через ISP (досяжність loopback інтерфейсів). Перевірте виведення команди show ip route.

HQ# ping 192.168.23.3

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.23.3, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 56/56/56 ms

HQ# ping 172.16.3.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.3.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

HQ# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.12.2 to network 0.0.0.0

C 192.168.12.0/24 is directly connected, Serial0/0/0

172.16.0.0/24 is subnetted, 3 subnets

C 172.16.13.0 is directly connected, FastEthernet0/0

C 172.16.1.0 is directly connected, Loopback0

D 172.16.3.0 [90/156160] via 172.16.13.3, 00:01:56, FastEthernet0/0

S* 0.0.0.0/0 [1/0] via 192.168.12.2

BRANCH# ping 192.168.12.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 56/56/56 ms

BRANCH# ping 172.16.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

BRANCH# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.23.2 to network 0.0.0.0

172.16.0.0/24 is subnetted, 3 subnets

C 172.16.13.0 is directly connected, FastEthernet0/0

D 172.16.1.0 [90/156160] via 172.16.13.1, 00:02:32, FastEthernet0/0

C 172.16.3.0 is directly connected, Loopback0

C 192.168.23.0/24 is directly connected, Serial0/0/1

S* 0.0.0.0/0 [1/0] via 192.168.23.2

4. Параметри IKE політик і поділюваних ключів сторін

Налаштуйте IKE політики сторін захищуваного з'єднання, використовуючи вказані нижче параметри. Якщо версія IOS у ваших маршрутизаторах не підтримує деякі перетворення, застосуйте інші, переконавшись, що налаштування на обох кінцях з'єднання збігаються.

HQ(config)# crypto isakmp policy 10

HQ(config-isakmp)# authentication pre-share

HQ(config-isakmp)# encryption aes 256

HQ(config-isakmp)# hash sha

HQ(config-isakmp)# group 5

HQ(config-isakmp)# lifetime 3600

BRANCH(config)# crypto isakmp policy 10

BRANCH(config-isakmp)# authentication pre-share

BRANCH(config-isakmp)# encryption aes 256

BRANCH(config-isakmp)# hash sha

BRANCH(config-isakmp)# group 5

BRANCH(config-isakmp)# lifetime 3600

Далі, налаштуйте ISAKMP ключі сторін з'єднання («cisco»).

HQ(config)# crypto isakmp key cisco address 192.168.23.3

BRANCH(config)# crypto isakmp key cisco address 192.168.12.1

5. Налаштування наборів IPSec перетворень

На термінуючих маршрутизаторах налаштуйте набори IPSec перетворень. Переконайтесь в узгодженості налаштувань обох сторін.

HQ(config)# crypto ipsec transform-set mytrans esp-aes 256 esp-sha-hmac ahsha-hmac

HQ(cfg-crypto-trans)# exit

HQ(config)#

BRANCH(config)# crypto ipsec transform-set mytrans esp-aes 256 esp-sha-hmac

ah-sha-hmac

BRANCH(cfg-crypto-trans)# exit

BRANCH(config)#

6. Налаштування IPSec профілю

Після того, як параметри IKE і IPSec визначені, створимо IPSec -профіль, що зв'язує між собою дані параметри. Подібно до криптографічної карти, що застосовувалась в інших роботах, IPSec -профіль прив'язується до одного з мережних інтерфейсів. В результаті, весь трафік, що проходить через даний інтерфейс, буде захищений згідно даному IPSec -профілю. Тому, на відміну від криптографічних карт, в IPSec - профілі не вказано явно ACL захищуваного трафіку (налаштування IPSec профілю складається з інструкцій set, що визначають різні параметри).

Використовуючи глобальну команду crypto ipsec profile name визначте IPSec - профіль під ім'ям myprof.

HQ(config)# crypto ipsec profile myprof

У режимі налаштування IPSec -профіля прогляньте доступні параметри налаштування (set ?).

HQ(ipsec-profile)# set ?

identity Identity restriction.

isakmp-profile Specify isakmp Profile

pfs Specify pfs settings

security-association Security association parameters

transform-set Specify list of transform sets in priority order

Як можна побачити, доступні параметри налаштування схожі з параметрами криптографічних карт. Для вирішення нашого завдання необхідно тільки вказати криптоперетворення, визначене раніше. Аналогічно налаштуйте IPSec - профіль на маршрутизаторі BRANCH.

HQ(ipsec-profile)# set transform-set mytrans

BRANCH(config)# crypto ipsec profile myprof

BRANCH(ipsec-profile)# set transform-set mytrans

7. Створення віртуального тунеля IPSec (IPSec VTI)

Для тунелювання трафіку між маршрутизаторами HQ і BRANCH потрібно налаштувати тунельний інтерфейс на кожному з них і вказати IP-адреси кінцевих точок тунеля. Щоб при туннелюванні трафіку застосовувалася «рідна» інкапсуляція IPSec (у відмінності від IPSec поверх GRE, як в одній з попередніх робіт), змініть режим туннелювання командою tunnel mode mode в режимі налаштування інтерфейсу і вкажіть режим ipsec IPv4. Щоб застосувати профіль IPSec, налаштований раніше, вкажіть його командою tunnel protection ipsec profile name.

HQ(config)# interface tunnel 0

HQ(config-if)# ip address 172.16.113.1 255.255.255.0

HQ(config-if)# tunnel source serial 0/0/0

HQ(config-if)# tunnel destination 192.168.23.3

HQ(config-if)# tunnel mode ipsec ipv4

HQ(config-if)# tunnel protection ipsec profile myprof

BRANCH(config)# interface tunnel 0

BRANCH(config-if)# ip address 172.16.113.3 255.255.255.0

BRANCH(config-if)# tunnel source serial 0/0/1

BRANCH(config-if)# tunnel destination 192.168.12.1

BRANCH(config-if)# tunnel mode ipsec ipv4

BRANCH(config-if)# tunnel protection ipsec profile myprof

Використовуючи команду show crypto ipsec sa перевірте, що лічильники захищуваних пакетів збільшуються при передачі через тунель hello - повідомлень EIGRP. Також командою show ip eigrp neighbors перевірте, чи встановив EIGRP зв'язок із сусідніми маршрутизаторами.

HQ# show crypto ipsec sa

interface: Tunnel0

Crypto map tag: Tunnel0-head-0, local addr 192.168.12.1

protected vrf: (none)

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

current_peer 192.168.23.3 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 14, #pkts encrypt: 14, #pkts digest: 14

#pkts decaps: 16, #pkts decrypt: 16, #pkts verify: 16

<OUTPUT OMITTED>

HQ# show crypto ipsec sa

interface: Tunnel0

Crypto map tag: Tunnel0-head-0, local addr 192.168.12.1

protected vrf: (none)

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

current_peer 192.168.23.3 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 15, #pkts encrypt: 15, #pkts digest: 15

#pkts decaps: 17, #pkts decrypt: 17, #pkts verify: 17

<OUTPUT OMITTED>

HQ# show ip eigrp neighbors

IP-EIGRP neighbors for process 1

H Address Interface Hold Uptime SRTT RTO Q Seq

(sec) (ms) Cnt Num

1 172.16.113.3 Tu0 11 00:03:40 118 5000 0 15

0 172.16.13.3 Fa0/0 10 01:04:20 1 200 0 13

BRANCH# show crypto ipsec sa

interface: Tunnel0

Crypto map tag: Tunnel0-head-0, local addr 192.168.23.3

protected vrf: (none)

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

current_peer 192.168.12.1 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 40, #pkts encrypt: 40, #pkts digest: 40

#pkts decaps: 39, #pkts decrypt: 39, #pkts verify: 39

<OUTPUT OMITTED>

BRANCH# show crypto ipsec sa

interface: Tunnel0

Crypto map tag: Tunnel0-head-0, local addr 192.168.23.3

protected vrf: (none)

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

current_peer 192.168.12.1 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 41, #pkts encrypt: 41, #pkts digest: 41

#pkts decaps: 41, #pkts decrypt: 41, #pkts verify: 41

<OUTPUT OMITTED>

BRANCH# show ip eigrp neighbors

IP-EIGRP neighbors for process 1

H Address Interface Hold Uptime SRTT RTO Q Seq

(sec) (ms) Cnt Num

1 172.16.113.1 Tu0 11 00:03:48 118 5000 0 12

0 172.16.13.1 Fa0/0 12 01:04:28 333 1998 0 11

8. Перевірка функціонування EIGRP

На маршрутизаторі HQ виконайте команду show ip route і переконайтеся, що переважний маршрут до loopback - інтерфейсу маршрутизатора BRANCH проходить через «виділену лінію» (локальний інтерфейс Fastethernet0/0).

HQ# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.12.2 to network 0.0.0.0

C 192.168.12.0/24 is directly connected, Serial0/0/0

172.16.0.0/24 is subnetted, 4 subnets

C 172.16.13.0 is directly connected, FastEthernet0/0

C 172.16.1.0 is directly connected, Loopback0

D 172.16.3.0 [90/156160] via 172.16.13.3, 00:13:29, FastEthernet0/0

C 172.16.113.0 is directly connected, Tunnel0

S* 0.0.0.0/0 [1/0] via 192.168.12.2

Тепер вимкніть з'єднання з маршрутизатором BRANCH по «виділеній лінії».

BRANCH(config)# interface fastethernet 0/0

BRANCH(config-if)# shutdown

Через деякий час, коли термін життя з'єднання з сусіднім маршрутизатором закінчиться, на HQ знову виконайте команду show ip route.

*Jan 23 02:14:17.931: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 172.16.13.3

(FastEthernet0/0) is down: holding time expired

HQ# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.12.2 to network 0.0.0.0

C 192.168.12.0/24 is directly connected, Serial0/0/0

172.16.0.0/24 is subnetted, 4 subnets

C 172.16.13.0 is directly connected, FastEthernet0/0

C 172.16.1.0 is directly connected, Loopback0

D 172.16.3.0 [90/297372416] via 172.16.113.3, 00:00:44, Tunnel0

C 172.16.113.0 is directly connected, Tunnel0

S* 0.0.0.0/0 [1/0] via 192.168.12.2

Відключивши на маршрутизаторі BRANCH інтерфейс Fast Ethernet, ми симулювали відключення «виділеної лінії». Як бачите, даний маршрутизатор перемкнувся на використання захищеного тунеля через маршрутизатор ISP. Виконайте traceroute і переконайтеся, що маршрут тепер проходить через тунель.

Безумовно, що таке тунельне з'єднання повільніше, ніж виділена лінія і  може використовуватися тільки як тимчасове рішення. Знов вимкніть інтерфейс Fastethernet0/0 і перевірте на маршрутизаторі HQ, що основний канал знову використовується.

BRANCH(config)# interface fastethernet 0/0

BRANCH(config-if)# no shutdown

*Jan 23 02:18:56.959: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 172.16.13.3

(FastEthernet0/0) is up: new adjacency

HQ# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.12.2 to network 0.0.0.0

C 192.168.12.0/24 is directly connected, Serial0/0/0

172.16.0.0/24 is subnetted, 4 subnets

C 172.16.13.0 is directly connected, FastEthernet0/0

C 172.16.1.0 is directly connected, Loopback0

D 172.16.3.0 [90/156160] via 172.16.13.3, 00:00:29, FastEthernet0/0

C 172.16.113.0 is directly connected, Tunnel0

S* 0.0.0.0/0 [1/0] via 192.168.12.2

Якщо прийняти до уваги параметри пропускної здатності і затримки за замовчуванням на інтерфейсах the Fast Ethernet і Tunnel (для перевірки застосовується команда show interfaces interface-type interface-number), то легко пояснити, чому EIGRP віддає перевагу маршруту через мережу Fast Ethernet. Пам'ятйєте, що з точки зору EIGRP переважає маршрут з мінімальною композитною метрикою, залежною від мінімальної пропускної здатності по маршруту і сумарної затримки каналів маршруту. Очевидно, що для інтерфейсів Ethernet і Tunnel ці параметри істотно відрізняються. Якщо виникає необхідність змінювати значення цих параметрів, щоб змусити маршрутизацію задіяти інший канал як основний, скористайтеся командами bandwidth bandwidth та delay delay в режимі налаштування інтерфейсу.

HQ# show interfaces fastethernet 0/0

FastEthernet0/0 is up, line protocol is up

Hardware is MV96340 Ethernet, address is 0019.0623.4380 (bia 0019.0623.4380)

Internet address is 172.16.13.1/24

MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,

HQ# show interfaces tunnel 0

Tunnel0 is up, line protocol is up

Hardware is Tunnel

Internet address is 172.16.113.1/24

MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,

Результат налаштування

HQ# show run

!

hostname HQ

!

crypto isakmp policy 10

encr aes 256

authentication pre-share

group 5

lifetime 3600

crypto isakmp key cisco address 192.168.23.3

!

crypto ipsec transform-set mytrans ah-sha-hmac esp-aes 256 esp-sha-hmac

!

crypto ipsec profile myprof

set transform-set mytrans

!

interface Tunnel0

ip address 172.16.113.1 255.255.255.0

tunnel source Serial0/0/0

tunnel destination 192.168.23.3

tunnel mode ipsec ipv4

tunnel protection ipsec profile myprof

!

interface Loopback0

ip address 172.16.1.1 255.255.255.0

!

interface FastEthernet0/0

ip address 172.16.13.1 255.255.255.0

no shutdown

!

interface Serial0/0/0

ip address 192.168.12.1 255.255.255.0

clock rate 64000

no shutdown

!

router eigrp 1

network 172.16.0.0

no auto-summary

!

ip route 0.0.0.0 0.0.0.0 192.168.12.2

!

end

ISP# show run

!

hostname ISP

!

interface Serial0/0/0

ip address 192.168.12.2 255.255.255.0

no shutdown

!

interface Serial0/0/1

ip address 192.168.23.2 255.255.255.0

clock rate 64000

no shutdown

!

end

BRANCH# show run

hostname BRANCH

!

crypto isakmp policy 10

encr aes 256

authentication pre-share

group 5

lifetime 3600

crypto isakmp key cisco address 192.168.12.1

!

crypto ipsec transform-set mytrans ah-sha-hmac esp-aes 256 esp-sha-hmac

!

crypto ipsec profile myprof

set transform-set mytrans

!

interface Loopback0

ip address 172.16.3.1 255.255.255.0

!

interface Tunnel0

ip address 172.16.113.3 255.255.255.0

tunnel source Serial0/0/1

tunnel destination 192.168.12.1

tunnel mode ipsec ipv4

tunnel protection ipsec profile myprof

!

interface FastEthernet0/0

ip address 172.16.13.3 255.255.255.0

no shutdown

!

interface Serial0/0/1

ip address 192.168.23.3 255.255.255.0

no shutdown

!

router eigrp 1

network 172.16.0.0

no auto-summary

!

ip route 0.0.0.0 0.0.0.0 192.168.23.2

!

end


 

А также другие работы, которые могут Вас заинтересовать

77101. Единство и многообразие общественной жизни 110 KB
  Представление о мире как о замкнутой сфере перенесенное на развитие общества привело к идеям согласно которым общество развивается не бесконечно а в ограниченном круге повторяя уже пройденные в определенном ритме этапы Пифагор.