6846

Захист GRE-тунеля

Лабораторная работа

Информатика, кибернетика и программирование

Захист GRE-тунеля Завдання роботи: Створення GRE тунеля між двома маршрутизаторами Використання IPSec для захисту тунеля Топологія Сценарій У даній роботі ви налаштуєте GRE - тунель (GenericRoutingEncapsulation), захище...

Украинкский

2013-01-08

365 KB

3 чел.

Захист GRE-тунеля

Завдання роботи:

  •  Створення GRE тунеля між двома маршрутизаторами
  •  Використання IPSec для захисту тунеля

Топологія

Сценарій

У даній роботі ви налаштуєте GRE - тунель  (Generic Routing Encapsulation), захищений засобами IPSec. Такий спосіб захисту потоку даних є альтернативним до розглянутого в одній з попередніх робіт.

  1.  Адресація

Налаштуйте мережні інтерфейси, використавши адреси, вказані на топології. При необхідності задайте clock rate і виконайте команду no shutdown. Командою ping перевірте досяжність сусідніх хостів. Поки не виконаєте наступний крок (налаштування маршрутизації), не переходьте до налаштування тунелів.

R1# configure terminal

R1(config)# interface loopback0

R1(config-if)# ip address 172.16.1.1 255.255.255.0

R1(config-if)# interface fastethernet0/0

R1(config-if)# ip address 192.168.12.1 255.255.255.0

R1(config-if)# no shutdown

R2# configure terminal

R2(config)# interface fastethernet0/0

R2(config-if)# ip address 192.168.12.2 255.255.255.0

R2(config-if)# no shutdown

R2(config-if)# interface serial0/0/1

R2(config-if)# ip address 192.168.23.2 255.255.255.0

R2(config-if)# clockrate 64000

R2(config-if)# no shutdown

R3# configure terminal

R3(config)# interface loopback0

R3(config-if)# ip address 172.16.3.1 255.255.255.0

R3(config-if)# interface serial0/0/1

R3(config-if)# ip address 192.168.23.3 255.255.255.0

R3(config-if)# no shutdown

2. EIGRP маршрутизація

Сконфігуруйте EIGRP маршрутизацію (AS 1) для мереж 192.168.12.0/24 і 192.168.23.0/24. Не включайте в систему маршрутизації мережі з діапазону 172.16.0.0/16. Мережі класу С  будуть транзитними між мережами 172.16.1.0 і 172.16.3.0. Перевірте, щоб автоматична сумаризація була вимкнута.

R1(config)# router eigrp 1

R1(config-router)# no auto-summary

R1(config-router)# network 192.168.12.0

R2(config)# router eigrp 1

R2(config-router)# no auto-summary

R2(config-router)# network 192.168.12.0

R2(config-router)# network 192.168.23.0

R3(config)# router eigrp 1

R3(config-router)# no auto-summary

R3(config-router)# network 192.168.23.0

Командою show ip route перевірте досяжність між R1 і  R3.

3. Налаштування GRE тунеля

У глобальному режимі налаштування виконайте команду interface tunnel number. Для простоти, призначте тунельним інтерфейсам з обох сторін номер 0 (видалений маршрутизатор не знає номер тунельного інтерфейсу іншої сторони). Ви потрапляєте в режим конфігурації інтерфейсу. Далі, призначте IP адресу даного віртуального інтерфейсу (ip address address mask), а також адреси початкової і кінцевої точки тунеля (tunnel source address і  tunnel destination address, відповідно). Як початкова точка тунеля може бути вказано один з існуючих інтерфейсів маршрутизатора, адреса якого і буде використана. Таким чином, потрібний трафік буде інкапсульовано з даною адресою джерела. Тунельне з'єднання використовує GRE- інкапсуляцію за замовчуванням, тому явно указувати її не слід.

R1(config)# interface tunnel 0

R1(config-if)# ip address 172.16.13.1 255.255.255.0

R1(config-if)# tunnel source fastethernet0/0

R1(config-if)# tunnel destination 192.168.23.3

R3(config)# interface tunnel0

R3(config-if)# ip address 172.16.13.3 255.255.255.0

R3(config-if)# tunnel source serial0/0/1

R3(config-if)# tunnel destination 192.168.12.1

Перевірте досяжність віддаленої точки тунеля. Якщо ping успішний, це означає що тунельне з'єднання встановлено.

R1# ping 172.16.13.3

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.13.3, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 68/69/72 ms

R3# ping 172.16.13.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.13.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 68/68/72 ms

4. EIGRP маршрутизація через тунель

Після того, як тунельне з'єднання встановлено, організуємо через нього зв'язок з деякими віддаленими мережами. Тунельний інтерфейс GRE може використовуватися в системі маршрутизації разом з будь-якими іншими мережними інтерфейсами. Налаштуємо іншу систему маршрутизації (EIGRP AS 2) для маршрутизації між мережами діапазону 172.16.0.0/16. Вимкнемо автоматичну сумаризацію. Врахуйте, що R2 не бере участь в даному процесі маршрутизації, тому налаштування EIGRP AS 2 на ньому не потрібне.

R1(config)# router eigrp 2

R1(config-router)# no auto-summary

R1(config-router)# network 172.16.0.0

R3(config)# router eigrp 2

R3(config-router)# no auto-summary

R3(config-router)# network 172.16.0.0

За повідомленнями на консолі ви можете  спостерігати встановлення зв'язків між EIGRP - сусідами. В іншому разі перевірте досяжність між адресами 192.168.12.1 і 192.168.23.3 і навпаки, а також правильність налаштування тунельного з'єднання. Якщо налаштування пройшло успішно, ви зможете перевірити ping між loopback - інтерфейсами R1 і R3.

5. Налаштування IKE політик і поділюваних ключів сторін

Налаштуйте IKE політики сторін з'єднання, що захищається, використовуючи вказані нижче параметри. Якщо версія IOS у ваших маршрутизаторах не підтримує деякі перетворення, використовуйте інші, переконавшись, що налаштування на обох кінцях IPSec з'єднання збігаються.

R1(config)# crypto isakmp policy 10

R1(config-isakmp)# authentication pre-share

R1(config-isakmp)# encryption aes 256

R1(config-isakmp)# hash sha

R1(config-isakmp)# group 5

R1(config-isakmp)# lifetime 3600

R3(config)# crypto isakmp policy 10

R3(config-isakmp)# authentication pre-share

R3(config-isakmp)# encryption aes 256

R3(config-isakmp)# hash sha

R3(config-isakmp)# group 5

R3(config-isakmp)# lifetime 3600

Далі, налаштуйте ISAKMP ключі сторін з'єднання, що розділяються («cisco»).

R1(config)# crypto isakmp key cisco address 192.168.23.3

R3(config)# crypto isakmp key cisco address 192.168.12.1

6. Налаштування наборів IPSec перетворень

На кінцевих маршрутизаторах налаштуйте набори IPSec перетворень. Переконайтеся в узгодженості налаштувань обох сторін.

R1(config)# crypto ipsec transform-set mytrans esp-aes 256 esp-sha-hmac ahsha-hmac

R1(cfg-crypto-trans)# exit

R1(config)#

R3(config)# crypto ipsec transform-set mytrans esp-aes 256 esp-sha-hmac ahsha-hmac

R3(cfg-crypto-trans)# exit

R3(config)#

7. Визначення трафіку, що захищається

На термінуючих маршрутизаторах тунеля визначимо шифрований трафік (протокол gre, джерело і адресат - початкова і кінцева точка тунеля). Переконайтеся в коректному порядку інструкцій.

R1(config)# access-list 101 permit gre host 192.168.12.1 host 192.168.23.3

R3(config)# access-list 101 permit gre host 192.168.23.3 host 192.168.12.1

8. Створення і застосування криптографічних карт

Для шифрування трафіку GRE тунеля створіть і застосуйте кріптокарти IPSec до вихідних інтерфесів кінцевих маршрутизаторів. Деякі версії IOS дозволяють застосовувати кріптокарти до тунельних інтерфейсів.

R1(config)# crypto map mymap 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer

and a valid access list have been configured.

R1(config-crypto-map)# match address 101

R1(config-crypto-map)# set peer 192.168.23.3

R1(config-crypto-map)# set transform-set mytrans

R1(config-crypto-map)# exit

R1(config)# interface fastethernet 0/0

R1(config-if)# crypto map mymap

*Jan 22 07:01:30.147: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

R3(config)# crypto map mymap 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer

and a valid access list have been configured.

R3(config-crypto-map)# match address 101

R3(config-crypto-map)# set peer 192.168.12.1

R3(config-crypto-map)# set transform-set mytrans

R3(config-crypto-map)# interface serial 0/0/1

R3(config-if)# crypto map mymap

*Jan 22 07:02:47.726: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

9. Перевірка IPSec 

Командою show crypto ipsec sa перевірте, що кількість пакетів, що інкапсулюються і шифрованих, з часом збільшується.

R1# show crypto ipsec sa

interface: FastEthernet0/0

Crypto map tag: mymap, local addr 192.168.12.1

protected vrf: (none)

local ident (addr/mask/prot/port): (192.168.12.1/255.255.255.255/47/0)

remote ident (addr/mask/prot/port): (192.168.23.3/255.255.255.255/47/0)

current_peer 192.168.23.3 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 8, #pkts encrypt: 8, #pkts digest: 8

#pkts decaps: 8, #pkts decrypt: 8, #pkts verify: 8

...

Через декілька секунд повторіть команду show crypto ipsec sa.

R1# show crypto ipsec sa

interface: FastEthernet0/0

Crypto map tag: mymap, local addr 192.168.12.1

protected vrf: (none)

local ident (addr/mask/prot/port): (192.168.12.1/255.255.255.255/47/0)

remote ident (addr/mask/prot/port): (192.168.23.3/255.255.255.255/47/0)

current_peer 192.168.23.3 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 10, #pkts encrypt: 10, #pkts digest: 10

#pkts decaps: 10, #pkts decrypt: 10, #pkts verify: 10

...

Детальніше перевірку роботи механізмів IKE і IPSec було розглянуто в одній з попередніх робіт.

10. Моніторинг трафіку за допомогою Wireshark

Підключаючись до  каналів зв'язку і використовуючи аналізатор трафіку Wireshark ви зможете досліджувати вміст передаваних пакетів.

Щоб спостерігати за трафіком в незашифрованому вигляді, вимкніть криптографічні карти на інтерфейсах маршрутизаторів R1 і R3. Подивіться поточні налаштування мережних інтерфейсів Fastethernet0/0 на R1 та Serial0/0/1 на R3. Потім виконайте команду no crypto map name в режимі налаштування інтерфейсу, тим самим видаливши асоціації захисту ISAKMP. Маршрутизатор видасть попередження про відключення ISAKMP.

R1# show run interface fastethernet 0/0

Building configuration...

Current configuration : 120 bytes

!

interface FastEthernet0/0

ip address 192.168.12.1 255.255.255.0

duplex auto

speed auto

crypto map mymap

end

R1# configure terminal

R1(config)# interface fastethernet0/0

R1(config-if)# no crypto map mymap

*Jan 16 06:02:58.999: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is OFF

R3# show run interface serial 0/0/1

Building configuration...

Current configuration : 91 bytes

!

interface Serial0/0/1

ip address 192.168.23.3 255.255.255.0

crypto map mymap

end

R3# configure terminal

R3(config)# interface serial0/0/1

R3(config-if)# no crypto map mymap

*Jan 16 06:05:36.038: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is OFF

Перехоплюватимемо telnet - трафік, тому налаштуйте telnet - доступ і задайте відповідний пароль доступу на R3.

R3(config)# enable secret cisco

R3(config)# line vty 0 4

R3(config-line)# password cisco

R3(config-line)# login

Почніть перехоплення пакетів з інтерфейсу Ethernet маршрутизатора R1. Відкрийте telnet - з'єднання з loopback - інтерфейсу R1 до loopback - інтерфейсу R3. Застосуйте команду telnet destination (щоб вибрати як джерело telnet - з'єднання одну з IP - адрес маршрутизатора, використовуйте ключ /source команди telnet). Після того, як ви підключилися до R3, виконайте там одну - дві команди і відключіться. Зупиніть перехоплення пакетів. Пакети даної telnet- сесії передавалися за адресою loopback-интерфейса R3 через тунельне з'єднання, тому Wireshark покаже GRE - пакети.

R1# telnet 172.16.3.1

Trying 172.16.3.1 ... Open

User Access Verification

Password:

R3> enable

Password:

R3# show ip interface brief

Interface IP-Address OK? Method Status

Protocol

FastEthernet0/0 unassigned YES unset administratively down

down

FastEthernet0/1 unassigned YES unset administratively down

down

Serial0/0/0 unassigned YES unset administratively down

down

Serial0/0/1 192.168.23.3 YES manual up up

Serial0/1/0 unassigned YES unset administratively down

down

Serial0/1/1 unassigned YES unset administratively down

down

Loopback0 172.16.3.1 YES manual up up

Tunnel0 172.16.13.3 YES manual up up

R3# exit

[Connection to 172.16.3.1 closed by foreign host]

R1#

Зверніть увагу, що Wireshark сам класифікував ці пакети як telnet - трафік, хоча вони і були упаковані в GRE. У вікні проглядання пакетів ви можете бачити декілька рівнів інкапсуляції, в тому числі заголовки GRE. Оскільки зараз шифрування пакетів відключене, ви легко можете знайти відкритий текст telnet - команд.

Таким чином, незашифрований трафік може бути перехоплений в будь-якій точці по маршруту його проходження. Потім знов застосуйте раніше відключені криптографічні карти на маршрутизаторах R1 і R3 і встановіть telnet - сесію між ними.

R1(config)# interface fastethernet 0/0

R1(config-if)# crypto map mymap

R3(config)# interface serial0/0/1

R3(config-if)# crypto map mymap

Знову запустіть перехоплення пакетів, і виконайте у відкритій сесії ті ж команди, що і раніше.

R1# telnet 172.16.3.1

Trying 172.16.3.1 ... Open

User Access Verification

Password:

R3> enable

Password:

R3# show ip interface brief

Interface IP-Address OK? Method Status

Protocol

FastEthernet0/0 unassigned YES unset administratively down

down

FastEthernet0/1 unassigned YES unset administratively down

down

Serial0/0/0 unassigned YES unset administratively down

down

Serial0/0/1 192.168.23.3 YES manual up up

Serial0/1/0 unassigned YES unset administratively down

down

Serial0/1/1 unassigned YES unset administratively down

down

Loopback0 172.16.3.1 YES manual up up

Tunnel0 172.16.13.3 YES manual up up

R3#exit

[Connection to 172.16.3.1 closed by foreign host]

R1#

Після відключення telnet - з'єднання зупиніть перехоплення пакетів і подивіться результати перехоплення. Хоча обидві сесії telnet відбувалися приблизно однаково, ви побачите, що тепер до пакетів було застосовано VPN - інкапсуляцію та шифрування.

Зазначте, що протокол тепер ідентифікується не як telnet (TCP port 23), а як Encapsulating Security Protocol (ESP, IP protocol number 50). Пригадайте, що весь шифрований трафік повинен задовольняти ACL, заданим при налаштуванні IPSec.

Зверніть увагу, що адреси джерел і одержувачів перехоплених пакетів не відповідають адресам сторін telnet - сесії, а є адресами кінцевих точок VPN.

Нарешті, як би ви не форматували перехоплені пакети в Wireshark,  вміст сеансу відновити тепер не вийде. Таким чином, був досліджений ще один спосіб побудови VPN із застосуванням аутентифікації, шифрування і цілісності даних з набору засобів IPSec.

Результат налаштування

R1# show run

!

hostname R1

!

crypto isakmp policy 10

authentication pre-share

group 5

lifetime 3600

crypto isakmp key cisco address 192.168.23.3

!

crypto ipsec transform-set mytrans ah-sha-hmac esp-aes 256 esp-sha-hmac

!

crypto map mymap 10 ipsec-isakmp

set peer 192.168.23.3

set transform-set mytrans

match address 101

!

interface Tunnel0

ip address 172.16.13.1 255.255.255.0

tunnel source FastEthernet0/0

tunnel destination 192.168.23.3

!

interface Loopback0

ip address 172.16.1.1 255.255.255.0

!

interface FastEthernet0/0

ip address 192.168.12.1 255.255.255.0

crypto map mymap

no shutdown

!

router eigrp 1

network 192.168.12.0

no auto-summary

!

router eigrp 2

network 172.16.0.0

no auto-summary

!

access-list 101 permit gre host 192.168.12.1 host 192.168.23.3

end

R2# show run

hostname R2

!

interface FastEthernet0/0

ip address 192.168.12.2 255.255.255.0

no shutdown

!

interface Serial0/0/1

ip address 192.168.23.2 255.255.255.0

clock rate 64000

no shutdown

!

router eigrp 1

network 192.168.12.0

network 192.168.23.0

no auto-summary

!

end

R3# show run

hostname R3

!

enable secret 5 $1$kkTj$cIYDuP2yz3vA1ARGVwxd11

!

crypto isakmp policy 10

authentication pre-share

group 5

lifetime 3600

crypto isakmp key cisco address 192.168.12.1

!

crypto ipsec transform-set mytrans ah-sha-hmac esp-aes 256 esp-sha-hmac

!

crypto map mymap 10 ipsec-isakmp

set peer 192.168.12.1

set transform-set mytrans

match address 101

!

interface Loopback0

ip address 172.16.3.1 255.255.255.0

!

interface Tunnel0

ip address 172.16.13.3 255.255.255.0

tunnel source Serial0/0/1

tunnel destination 192.168.12.1

!

interface Serial0/0/1

ip address 192.168.23.3 255.255.255.0

crypto map mymap

no shutdown

!

router eigrp 1

network 192.168.23.0

no auto-summary

!

router eigrp 2

network 172.16.0.0

no auto-summary

!

access-list 101 permit gre host 192.168.23.3 host 192.168.12.1

!

line vty 0 4

password cisco

login

end


Лабораторна робота №3.2

Віртуальні тунелі IPSec

Завдання роботи

  •  Налаштування віртуального тунеля, захищеного засобами IPSec
  •  Використання віртуального тунеля як резервного каналу

Топологія

Сценарій

У даній роботі ви вивчите процес налаштування віртуальних тунельних інтерфейсів IPSec (Virtual Tunnel Interface  - VTI) і їх застосування як резервних каналів, що сполучають дві віддалені локальні мережі. Спосіб захисту тунельних з'єднань із застосуванням IPSec VTI є більш новим в порівнянні з IPSec поверх GRE, розглянутим в одній з попередніх робіт.

1. Адресація

Налаштуйте послідовні і loobback інтерфейси з адресами, вказаними на топології. Для послідовних з'єднань при необхідності задайте clock rate і виконайте команду no shutdown. Командою ping перевірте зв'язок із сусідніми хостами.

HQ# configure terminal

HQ(config)# interface loopback 0

HQ(config-if)# ip address 172.16.1.1 255.255.255.0

HQ(config-if)# interface fastethernet 0/0

HQ(config-if)# ip address 172.16.13.1 255.255.255.0

HQ(config-if)# no shutdown

HQ(config-if)# interface serial 0/0/0

HQ(config-if)# ip address 192.168.12.1 255.255.255.0

HQ(config-if)# clockrate 64000

HQ(config-if)# no shutdown

ISP# configure terminal

ISP(config-if)# interface serial 0/0/0

ISP(config-if)# ip address 192.168.12.2 255.255.255.0

ISP(config-if)# no shutdown

ISP(config-if)# interface serial 0/0/1

ISP(config-if)# ip address 192.168.23.2 255.255.255.0

ISP(config-if)# clockrate 64000

ISP(config-if)# no shutdown

BRANCH# configure terminal

BRANCH(config)# interface loopback 0

BRANCH(config-if)# ip address 172.16.3.1 255.255.255.0

BRANCH(config-if)# interface fastethernet 0/0

BRANCH(config-if)# ip address 172.16.13.3 255.255.255.0

BRANCH(config-if)# no shutdown

BRANCH(config-if)# interface serial 0/0/1

BRANCH(config-if)# ip address 192.168.23.3 255.255.255.0

BRANCH(config-if)# no shutdown

2. EIGRP маршрутизація

На HQ і BRANCH налаштуйте EIGRP маршрутизацію (AS 1). При цьому вкажіть діапазон мереж 172.16.0.0 і вимкніть автоматичну сумаризацію. Маршрутизатор ISP в даному процесі маршрутизації не бере участь.

HQ(config)# router eigrp 1

HQ(config-router)# no auto-summary

HQ(config-router)# network 172.16.0.0

BRANCH(config)# router eigrp 1

BRANCH(config-router)# no auto-summary

BRANCH(config-router)# network 172.16.0.0

Після цього між сусідніми маршрутизаторами мають бути встановлені «сусідські стосунки» (neighbor adjacencies) і, можливо, видані відповідні повідомлення на консолі маршрутизаторів. В іншому разі перевірте налаштування інтерфейсів, конфігурацію EIGRP і фізичну досяжність між сусідами.

3. Статичні маршрути

На HQ і BRANCH додайте маршрути за замовчуванням, що вказують на маршрутизатор ISP (дані маршрути емулюють з'єднання з Internet). Пам'ятайте, що дані маршрути не переважатимуть маршрути, отримані через EIGRP, оскільки останні будуть пріоритетнішими. Зазначимо, що ніякі маршрути на ISP налаштовувати не слід, оскільки всі мережі 192.168.X.0/24 даний маршрутизатор бачить як безпосередньо підключені.

HQ(config)# ip route 0.0.0.0 0.0.0.0 192.168.12.2

BRANCH(config)# ip route 0.0.0.0 0.0.0.0 192.168.23.2

Тепер все готово, щоб налаштувати резервний тунель через «Інтернет». Перед цим перевірте досяжність між HQ і BRANCH через ISP (досяжність loopback інтерфейсів). Перевірте виведення команди show ip route.

HQ# ping 192.168.23.3

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.23.3, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 56/56/56 ms

HQ# ping 172.16.3.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.3.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

HQ# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.12.2 to network 0.0.0.0

C 192.168.12.0/24 is directly connected, Serial0/0/0

172.16.0.0/24 is subnetted, 3 subnets

C 172.16.13.0 is directly connected, FastEthernet0/0

C 172.16.1.0 is directly connected, Loopback0

D 172.16.3.0 [90/156160] via 172.16.13.3, 00:01:56, FastEthernet0/0

S* 0.0.0.0/0 [1/0] via 192.168.12.2

BRANCH# ping 192.168.12.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 56/56/56 ms

BRANCH# ping 172.16.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

BRANCH# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.23.2 to network 0.0.0.0

172.16.0.0/24 is subnetted, 3 subnets

C 172.16.13.0 is directly connected, FastEthernet0/0

D 172.16.1.0 [90/156160] via 172.16.13.1, 00:02:32, FastEthernet0/0

C 172.16.3.0 is directly connected, Loopback0

C 192.168.23.0/24 is directly connected, Serial0/0/1

S* 0.0.0.0/0 [1/0] via 192.168.23.2

4. Параметри IKE політик і поділюваних ключів сторін

Налаштуйте IKE політики сторін захищуваного з'єднання, використовуючи вказані нижче параметри. Якщо версія IOS у ваших маршрутизаторах не підтримує деякі перетворення, застосуйте інші, переконавшись, що налаштування на обох кінцях з'єднання збігаються.

HQ(config)# crypto isakmp policy 10

HQ(config-isakmp)# authentication pre-share

HQ(config-isakmp)# encryption aes 256

HQ(config-isakmp)# hash sha

HQ(config-isakmp)# group 5

HQ(config-isakmp)# lifetime 3600

BRANCH(config)# crypto isakmp policy 10

BRANCH(config-isakmp)# authentication pre-share

BRANCH(config-isakmp)# encryption aes 256

BRANCH(config-isakmp)# hash sha

BRANCH(config-isakmp)# group 5

BRANCH(config-isakmp)# lifetime 3600

Далі, налаштуйте ISAKMP ключі сторін з'єднання («cisco»).

HQ(config)# crypto isakmp key cisco address 192.168.23.3

BRANCH(config)# crypto isakmp key cisco address 192.168.12.1

5. Налаштування наборів IPSec перетворень

На термінуючих маршрутизаторах налаштуйте набори IPSec перетворень. Переконайтесь в узгодженості налаштувань обох сторін.

HQ(config)# crypto ipsec transform-set mytrans esp-aes 256 esp-sha-hmac ahsha-hmac

HQ(cfg-crypto-trans)# exit

HQ(config)#

BRANCH(config)# crypto ipsec transform-set mytrans esp-aes 256 esp-sha-hmac

ah-sha-hmac

BRANCH(cfg-crypto-trans)# exit

BRANCH(config)#

6. Налаштування IPSec профілю

Після того, як параметри IKE і IPSec визначені, створимо IPSec -профіль, що зв'язує між собою дані параметри. Подібно до криптографічної карти, що застосовувалась в інших роботах, IPSec -профіль прив'язується до одного з мережних інтерфейсів. В результаті, весь трафік, що проходить через даний інтерфейс, буде захищений згідно даному IPSec -профілю. Тому, на відміну від криптографічних карт, в IPSec - профілі не вказано явно ACL захищуваного трафіку (налаштування IPSec профілю складається з інструкцій set, що визначають різні параметри).

Використовуючи глобальну команду crypto ipsec profile name визначте IPSec - профіль під ім'ям myprof.

HQ(config)# crypto ipsec profile myprof

У режимі налаштування IPSec -профіля прогляньте доступні параметри налаштування (set ?).

HQ(ipsec-profile)# set ?

identity Identity restriction.

isakmp-profile Specify isakmp Profile

pfs Specify pfs settings

security-association Security association parameters

transform-set Specify list of transform sets in priority order

Як можна побачити, доступні параметри налаштування схожі з параметрами криптографічних карт. Для вирішення нашого завдання необхідно тільки вказати криптоперетворення, визначене раніше. Аналогічно налаштуйте IPSec - профіль на маршрутизаторі BRANCH.

HQ(ipsec-profile)# set transform-set mytrans

BRANCH(config)# crypto ipsec profile myprof

BRANCH(ipsec-profile)# set transform-set mytrans

7. Створення віртуального тунеля IPSec (IPSec VTI)

Для тунелювання трафіку між маршрутизаторами HQ і BRANCH потрібно налаштувати тунельний інтерфейс на кожному з них і вказати IP-адреси кінцевих точок тунеля. Щоб при туннелюванні трафіку застосовувалася «рідна» інкапсуляція IPSec (у відмінності від IPSec поверх GRE, як в одній з попередніх робіт), змініть режим туннелювання командою tunnel mode mode в режимі налаштування інтерфейсу і вкажіть режим ipsec IPv4. Щоб застосувати профіль IPSec, налаштований раніше, вкажіть його командою tunnel protection ipsec profile name.

HQ(config)# interface tunnel 0

HQ(config-if)# ip address 172.16.113.1 255.255.255.0

HQ(config-if)# tunnel source serial 0/0/0

HQ(config-if)# tunnel destination 192.168.23.3

HQ(config-if)# tunnel mode ipsec ipv4

HQ(config-if)# tunnel protection ipsec profile myprof

BRANCH(config)# interface tunnel 0

BRANCH(config-if)# ip address 172.16.113.3 255.255.255.0

BRANCH(config-if)# tunnel source serial 0/0/1

BRANCH(config-if)# tunnel destination 192.168.12.1

BRANCH(config-if)# tunnel mode ipsec ipv4

BRANCH(config-if)# tunnel protection ipsec profile myprof

Використовуючи команду show crypto ipsec sa перевірте, що лічильники захищуваних пакетів збільшуються при передачі через тунель hello - повідомлень EIGRP. Також командою show ip eigrp neighbors перевірте, чи встановив EIGRP зв'язок із сусідніми маршрутизаторами.

HQ# show crypto ipsec sa

interface: Tunnel0

Crypto map tag: Tunnel0-head-0, local addr 192.168.12.1

protected vrf: (none)

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

current_peer 192.168.23.3 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 14, #pkts encrypt: 14, #pkts digest: 14

#pkts decaps: 16, #pkts decrypt: 16, #pkts verify: 16

<OUTPUT OMITTED>

HQ# show crypto ipsec sa

interface: Tunnel0

Crypto map tag: Tunnel0-head-0, local addr 192.168.12.1

protected vrf: (none)

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

current_peer 192.168.23.3 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 15, #pkts encrypt: 15, #pkts digest: 15

#pkts decaps: 17, #pkts decrypt: 17, #pkts verify: 17

<OUTPUT OMITTED>

HQ# show ip eigrp neighbors

IP-EIGRP neighbors for process 1

H Address Interface Hold Uptime SRTT RTO Q Seq

(sec) (ms) Cnt Num

1 172.16.113.3 Tu0 11 00:03:40 118 5000 0 15

0 172.16.13.3 Fa0/0 10 01:04:20 1 200 0 13

BRANCH# show crypto ipsec sa

interface: Tunnel0

Crypto map tag: Tunnel0-head-0, local addr 192.168.23.3

protected vrf: (none)

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

current_peer 192.168.12.1 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 40, #pkts encrypt: 40, #pkts digest: 40

#pkts decaps: 39, #pkts decrypt: 39, #pkts verify: 39

<OUTPUT OMITTED>

BRANCH# show crypto ipsec sa

interface: Tunnel0

Crypto map tag: Tunnel0-head-0, local addr 192.168.23.3

protected vrf: (none)

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

current_peer 192.168.12.1 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 41, #pkts encrypt: 41, #pkts digest: 41

#pkts decaps: 41, #pkts decrypt: 41, #pkts verify: 41

<OUTPUT OMITTED>

BRANCH# show ip eigrp neighbors

IP-EIGRP neighbors for process 1

H Address Interface Hold Uptime SRTT RTO Q Seq

(sec) (ms) Cnt Num

1 172.16.113.1 Tu0 11 00:03:48 118 5000 0 12

0 172.16.13.1 Fa0/0 12 01:04:28 333 1998 0 11

8. Перевірка функціонування EIGRP

На маршрутизаторі HQ виконайте команду show ip route і переконайтеся, що переважний маршрут до loopback - інтерфейсу маршрутизатора BRANCH проходить через «виділену лінію» (локальний інтерфейс Fastethernet0/0).

HQ# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.12.2 to network 0.0.0.0

C 192.168.12.0/24 is directly connected, Serial0/0/0

172.16.0.0/24 is subnetted, 4 subnets

C 172.16.13.0 is directly connected, FastEthernet0/0

C 172.16.1.0 is directly connected, Loopback0

D 172.16.3.0 [90/156160] via 172.16.13.3, 00:13:29, FastEthernet0/0

C 172.16.113.0 is directly connected, Tunnel0

S* 0.0.0.0/0 [1/0] via 192.168.12.2

Тепер вимкніть з'єднання з маршрутизатором BRANCH по «виділеній лінії».

BRANCH(config)# interface fastethernet 0/0

BRANCH(config-if)# shutdown

Через деякий час, коли термін життя з'єднання з сусіднім маршрутизатором закінчиться, на HQ знову виконайте команду show ip route.

*Jan 23 02:14:17.931: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 172.16.13.3

(FastEthernet0/0) is down: holding time expired

HQ# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.12.2 to network 0.0.0.0

C 192.168.12.0/24 is directly connected, Serial0/0/0

172.16.0.0/24 is subnetted, 4 subnets

C 172.16.13.0 is directly connected, FastEthernet0/0

C 172.16.1.0 is directly connected, Loopback0

D 172.16.3.0 [90/297372416] via 172.16.113.3, 00:00:44, Tunnel0

C 172.16.113.0 is directly connected, Tunnel0

S* 0.0.0.0/0 [1/0] via 192.168.12.2

Відключивши на маршрутизаторі BRANCH інтерфейс Fast Ethernet, ми симулювали відключення «виділеної лінії». Як бачите, даний маршрутизатор перемкнувся на використання захищеного тунеля через маршрутизатор ISP. Виконайте traceroute і переконайтеся, що маршрут тепер проходить через тунель.

Безумовно, що таке тунельне з'єднання повільніше, ніж виділена лінія і  може використовуватися тільки як тимчасове рішення. Знов вимкніть інтерфейс Fastethernet0/0 і перевірте на маршрутизаторі HQ, що основний канал знову використовується.

BRANCH(config)# interface fastethernet 0/0

BRANCH(config-if)# no shutdown

*Jan 23 02:18:56.959: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 172.16.13.3

(FastEthernet0/0) is up: new adjacency

HQ# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.12.2 to network 0.0.0.0

C 192.168.12.0/24 is directly connected, Serial0/0/0

172.16.0.0/24 is subnetted, 4 subnets

C 172.16.13.0 is directly connected, FastEthernet0/0

C 172.16.1.0 is directly connected, Loopback0

D 172.16.3.0 [90/156160] via 172.16.13.3, 00:00:29, FastEthernet0/0

C 172.16.113.0 is directly connected, Tunnel0

S* 0.0.0.0/0 [1/0] via 192.168.12.2

Якщо прийняти до уваги параметри пропускної здатності і затримки за замовчуванням на інтерфейсах the Fast Ethernet і Tunnel (для перевірки застосовується команда show interfaces interface-type interface-number), то легко пояснити, чому EIGRP віддає перевагу маршруту через мережу Fast Ethernet. Пам'ятйєте, що з точки зору EIGRP переважає маршрут з мінімальною композитною метрикою, залежною від мінімальної пропускної здатності по маршруту і сумарної затримки каналів маршруту. Очевидно, що для інтерфейсів Ethernet і Tunnel ці параметри істотно відрізняються. Якщо виникає необхідність змінювати значення цих параметрів, щоб змусити маршрутизацію задіяти інший канал як основний, скористайтеся командами bandwidth bandwidth та delay delay в режимі налаштування інтерфейсу.

HQ# show interfaces fastethernet 0/0

FastEthernet0/0 is up, line protocol is up

Hardware is MV96340 Ethernet, address is 0019.0623.4380 (bia 0019.0623.4380)

Internet address is 172.16.13.1/24

MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,

HQ# show interfaces tunnel 0

Tunnel0 is up, line protocol is up

Hardware is Tunnel

Internet address is 172.16.113.1/24

MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,

Результат налаштування

HQ# show run

!

hostname HQ

!

crypto isakmp policy 10

encr aes 256

authentication pre-share

group 5

lifetime 3600

crypto isakmp key cisco address 192.168.23.3

!

crypto ipsec transform-set mytrans ah-sha-hmac esp-aes 256 esp-sha-hmac

!

crypto ipsec profile myprof

set transform-set mytrans

!

interface Tunnel0

ip address 172.16.113.1 255.255.255.0

tunnel source Serial0/0/0

tunnel destination 192.168.23.3

tunnel mode ipsec ipv4

tunnel protection ipsec profile myprof

!

interface Loopback0

ip address 172.16.1.1 255.255.255.0

!

interface FastEthernet0/0

ip address 172.16.13.1 255.255.255.0

no shutdown

!

interface Serial0/0/0

ip address 192.168.12.1 255.255.255.0

clock rate 64000

no shutdown

!

router eigrp 1

network 172.16.0.0

no auto-summary

!

ip route 0.0.0.0 0.0.0.0 192.168.12.2

!

end

ISP# show run

!

hostname ISP

!

interface Serial0/0/0

ip address 192.168.12.2 255.255.255.0

no shutdown

!

interface Serial0/0/1

ip address 192.168.23.2 255.255.255.0

clock rate 64000

no shutdown

!

end

BRANCH# show run

hostname BRANCH

!

crypto isakmp policy 10

encr aes 256

authentication pre-share

group 5

lifetime 3600

crypto isakmp key cisco address 192.168.12.1

!

crypto ipsec transform-set mytrans ah-sha-hmac esp-aes 256 esp-sha-hmac

!

crypto ipsec profile myprof

set transform-set mytrans

!

interface Loopback0

ip address 172.16.3.1 255.255.255.0

!

interface Tunnel0

ip address 172.16.113.3 255.255.255.0

tunnel source Serial0/0/1

tunnel destination 192.168.12.1

tunnel mode ipsec ipv4

tunnel protection ipsec profile myprof

!

interface FastEthernet0/0

ip address 172.16.13.3 255.255.255.0

no shutdown

!

interface Serial0/0/1

ip address 192.168.23.3 255.255.255.0

no shutdown

!

router eigrp 1

network 172.16.0.0

no auto-summary

!

ip route 0.0.0.0 0.0.0.0 192.168.23.2

!

end


 

А также другие работы, которые могут Вас заинтересовать

25004. Понятие информации. Информационные процессы 48.19 KB
  Мы говорим: я получил важную информацию у меня недостаточно информации для принятия решения кто владеет информацией правит миром не особенно задумываясь о том что же такое информация. В этом заключена одна из особенностей понятия информации: оно относится к числу базовых понятий таких как число в математике которые можно пояснять уточнять использовать но нельзя однозначно определить. Юристы например используют определение из закона Об информации информатизации и защите информации: информация сведения о лицах предметах...
25005. Принтер — основное устройство для вывода инфор 48.5 KB
  Во время печати на его поверхность подается высокое напряжение которое распределяет статический заряд по поверхности барабана. У цветных лазерных принтеров соответствующие и стоимость и скорость печати. Поскольку лазер формирует прообраз изображения целиком на барабане то к моменту печати он уже полностью должен быть в памяти принтера. Большой объем памяти требуется при печати большого потока документов.
25006. Сканеры. Принцип действия и классификация сканеров 137.87 KB
  В процессе сканирования оригинал освещается источником света. В основном все планшетные сканеры рассчитаны на получение копии с одного оригинала однако к некоторым моделям сканеров прилагаются дополнительные приспособления для последовательной подачи и сканирования нескольких оригиналов. К преимуществам планшетных сканеров следует отнести простоту использования возможность сканирования как плоских оригиналов в широком диапазоне размеров так и небольших трех мерных объектов. При необходимости сканирования оригиналов нестандартного большого...
25007. Вопросы по Информационным технологиям 25.5 KB
  Виды информации. Виды компьютерной графики. Виды. Виды.
25008. Развитие Интернета и мультимедиа 79.26 KB
  А с помощью графического редактора Swift3D можно сделать эту графику еще и трехмерной вполне возможно что в скором времени фильмы с двумерной графикой отойдут в прошлое. Кроме того в окне присутствует шкала линейка времени timeline со слоями и кадрами на которой регистрируется положение объекта во времени и пространстве. Слои будут прокручиваться параллельно порядок слоев на линейке времени соответствует их взаимному расположению в кадре. Чтобы перейти в тот или иной кадр для его редактирования щелкните по нему мышью на шкале...
25009. Внешние Запоминающие устройства 36.5 KB
  Накопители на магнитных дисках имеют две разновидности накопители на жестких магнитных дисках и накопители на гибких магнитных дисках. Дисковые накопители являются основным устройством для хранения данных. Эти устройства могут считывать и записывать данные на жесткие и гиб кие магнитные диски. Магнитное поле проникает в магнитный слой диска упорядочивает его магнитные частицы домены то в одном то в другом направлении т.
25010. Word. Текстовый процессор Microsoft Word. Отображение документа на экране 49.95 KB
  С помощью Word можно быстро и с высоким качеством подготовить любой документ от простой записки до оригинал-макета сложного издания. Во-первых Word дает возможность выполнять все без исключения традиционные операции над текстом предусмотренные в современной компьютерной технологии: набор и модификацию...
25011. Формы в редакторе Word 156 KB
  Форма – это документ в котором есть изменяемые и неизменяемые элементы. Подготовка стандартных документов нескольким адресатам состоит из основных шагов команда Сервис Слияние: Создание основного документа. Вывод стандартного документа. Создание основного документа.
25012. Об информационной этике и праве 88 KB
  Как должно быть Базовые законы которые являются фундаментом применения программ и баз данных были приняты достаточно давно: закон № 35231 О правовой охране программ для электронных вычислительных машин и баз данных 23. Основными объектами информационной деятельности на ЭВМ закон признает программу для ЭВМ и базу данных. Программа для ЭВМ объективная форма совокупности данных и команд предназначенных для функционирования электронных вычислительных машин ЭВМ и других компьютерных устройств с целью получения определенного...