6846

Захист GRE-тунеля

Лабораторная работа

Информатика, кибернетика и программирование

Захист GRE-тунеля Завдання роботи: Створення GRE тунеля між двома маршрутизаторами Використання IPSec для захисту тунеля Топологія Сценарій У даній роботі ви налаштуєте GRE - тунель (GenericRoutingEncapsulation), захище...

Украинкский

2013-01-08

365 KB

3 чел.

Захист GRE-тунеля

Завдання роботи:

  •  Створення GRE тунеля між двома маршрутизаторами
  •  Використання IPSec для захисту тунеля

Топологія

Сценарій

У даній роботі ви налаштуєте GRE - тунель  (Generic Routing Encapsulation), захищений засобами IPSec. Такий спосіб захисту потоку даних є альтернативним до розглянутого в одній з попередніх робіт.

  1.  Адресація

Налаштуйте мережні інтерфейси, використавши адреси, вказані на топології. При необхідності задайте clock rate і виконайте команду no shutdown. Командою ping перевірте досяжність сусідніх хостів. Поки не виконаєте наступний крок (налаштування маршрутизації), не переходьте до налаштування тунелів.

R1# configure terminal

R1(config)# interface loopback0

R1(config-if)# ip address 172.16.1.1 255.255.255.0

R1(config-if)# interface fastethernet0/0

R1(config-if)# ip address 192.168.12.1 255.255.255.0

R1(config-if)# no shutdown

R2# configure terminal

R2(config)# interface fastethernet0/0

R2(config-if)# ip address 192.168.12.2 255.255.255.0

R2(config-if)# no shutdown

R2(config-if)# interface serial0/0/1

R2(config-if)# ip address 192.168.23.2 255.255.255.0

R2(config-if)# clockrate 64000

R2(config-if)# no shutdown

R3# configure terminal

R3(config)# interface loopback0

R3(config-if)# ip address 172.16.3.1 255.255.255.0

R3(config-if)# interface serial0/0/1

R3(config-if)# ip address 192.168.23.3 255.255.255.0

R3(config-if)# no shutdown

2. EIGRP маршрутизація

Сконфігуруйте EIGRP маршрутизацію (AS 1) для мереж 192.168.12.0/24 і 192.168.23.0/24. Не включайте в систему маршрутизації мережі з діапазону 172.16.0.0/16. Мережі класу С  будуть транзитними між мережами 172.16.1.0 і 172.16.3.0. Перевірте, щоб автоматична сумаризація була вимкнута.

R1(config)# router eigrp 1

R1(config-router)# no auto-summary

R1(config-router)# network 192.168.12.0

R2(config)# router eigrp 1

R2(config-router)# no auto-summary

R2(config-router)# network 192.168.12.0

R2(config-router)# network 192.168.23.0

R3(config)# router eigrp 1

R3(config-router)# no auto-summary

R3(config-router)# network 192.168.23.0

Командою show ip route перевірте досяжність між R1 і  R3.

3. Налаштування GRE тунеля

У глобальному режимі налаштування виконайте команду interface tunnel number. Для простоти, призначте тунельним інтерфейсам з обох сторін номер 0 (видалений маршрутизатор не знає номер тунельного інтерфейсу іншої сторони). Ви потрапляєте в режим конфігурації інтерфейсу. Далі, призначте IP адресу даного віртуального інтерфейсу (ip address address mask), а також адреси початкової і кінцевої точки тунеля (tunnel source address і  tunnel destination address, відповідно). Як початкова точка тунеля може бути вказано один з існуючих інтерфейсів маршрутизатора, адреса якого і буде використана. Таким чином, потрібний трафік буде інкапсульовано з даною адресою джерела. Тунельне з'єднання використовує GRE- інкапсуляцію за замовчуванням, тому явно указувати її не слід.

R1(config)# interface tunnel 0

R1(config-if)# ip address 172.16.13.1 255.255.255.0

R1(config-if)# tunnel source fastethernet0/0

R1(config-if)# tunnel destination 192.168.23.3

R3(config)# interface tunnel0

R3(config-if)# ip address 172.16.13.3 255.255.255.0

R3(config-if)# tunnel source serial0/0/1

R3(config-if)# tunnel destination 192.168.12.1

Перевірте досяжність віддаленої точки тунеля. Якщо ping успішний, це означає що тунельне з'єднання встановлено.

R1# ping 172.16.13.3

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.13.3, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 68/69/72 ms

R3# ping 172.16.13.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.13.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 68/68/72 ms

4. EIGRP маршрутизація через тунель

Після того, як тунельне з'єднання встановлено, організуємо через нього зв'язок з деякими віддаленими мережами. Тунельний інтерфейс GRE може використовуватися в системі маршрутизації разом з будь-якими іншими мережними інтерфейсами. Налаштуємо іншу систему маршрутизації (EIGRP AS 2) для маршрутизації між мережами діапазону 172.16.0.0/16. Вимкнемо автоматичну сумаризацію. Врахуйте, що R2 не бере участь в даному процесі маршрутизації, тому налаштування EIGRP AS 2 на ньому не потрібне.

R1(config)# router eigrp 2

R1(config-router)# no auto-summary

R1(config-router)# network 172.16.0.0

R3(config)# router eigrp 2

R3(config-router)# no auto-summary

R3(config-router)# network 172.16.0.0

За повідомленнями на консолі ви можете  спостерігати встановлення зв'язків між EIGRP - сусідами. В іншому разі перевірте досяжність між адресами 192.168.12.1 і 192.168.23.3 і навпаки, а також правильність налаштування тунельного з'єднання. Якщо налаштування пройшло успішно, ви зможете перевірити ping між loopback - інтерфейсами R1 і R3.

5. Налаштування IKE політик і поділюваних ключів сторін

Налаштуйте IKE політики сторін з'єднання, що захищається, використовуючи вказані нижче параметри. Якщо версія IOS у ваших маршрутизаторах не підтримує деякі перетворення, використовуйте інші, переконавшись, що налаштування на обох кінцях IPSec з'єднання збігаються.

R1(config)# crypto isakmp policy 10

R1(config-isakmp)# authentication pre-share

R1(config-isakmp)# encryption aes 256

R1(config-isakmp)# hash sha

R1(config-isakmp)# group 5

R1(config-isakmp)# lifetime 3600

R3(config)# crypto isakmp policy 10

R3(config-isakmp)# authentication pre-share

R3(config-isakmp)# encryption aes 256

R3(config-isakmp)# hash sha

R3(config-isakmp)# group 5

R3(config-isakmp)# lifetime 3600

Далі, налаштуйте ISAKMP ключі сторін з'єднання, що розділяються («cisco»).

R1(config)# crypto isakmp key cisco address 192.168.23.3

R3(config)# crypto isakmp key cisco address 192.168.12.1

6. Налаштування наборів IPSec перетворень

На кінцевих маршрутизаторах налаштуйте набори IPSec перетворень. Переконайтеся в узгодженості налаштувань обох сторін.

R1(config)# crypto ipsec transform-set mytrans esp-aes 256 esp-sha-hmac ahsha-hmac

R1(cfg-crypto-trans)# exit

R1(config)#

R3(config)# crypto ipsec transform-set mytrans esp-aes 256 esp-sha-hmac ahsha-hmac

R3(cfg-crypto-trans)# exit

R3(config)#

7. Визначення трафіку, що захищається

На термінуючих маршрутизаторах тунеля визначимо шифрований трафік (протокол gre, джерело і адресат - початкова і кінцева точка тунеля). Переконайтеся в коректному порядку інструкцій.

R1(config)# access-list 101 permit gre host 192.168.12.1 host 192.168.23.3

R3(config)# access-list 101 permit gre host 192.168.23.3 host 192.168.12.1

8. Створення і застосування криптографічних карт

Для шифрування трафіку GRE тунеля створіть і застосуйте кріптокарти IPSec до вихідних інтерфесів кінцевих маршрутизаторів. Деякі версії IOS дозволяють застосовувати кріптокарти до тунельних інтерфейсів.

R1(config)# crypto map mymap 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer

and a valid access list have been configured.

R1(config-crypto-map)# match address 101

R1(config-crypto-map)# set peer 192.168.23.3

R1(config-crypto-map)# set transform-set mytrans

R1(config-crypto-map)# exit

R1(config)# interface fastethernet 0/0

R1(config-if)# crypto map mymap

*Jan 22 07:01:30.147: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

R3(config)# crypto map mymap 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer

and a valid access list have been configured.

R3(config-crypto-map)# match address 101

R3(config-crypto-map)# set peer 192.168.12.1

R3(config-crypto-map)# set transform-set mytrans

R3(config-crypto-map)# interface serial 0/0/1

R3(config-if)# crypto map mymap

*Jan 22 07:02:47.726: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

9. Перевірка IPSec 

Командою show crypto ipsec sa перевірте, що кількість пакетів, що інкапсулюються і шифрованих, з часом збільшується.

R1# show crypto ipsec sa

interface: FastEthernet0/0

Crypto map tag: mymap, local addr 192.168.12.1

protected vrf: (none)

local ident (addr/mask/prot/port): (192.168.12.1/255.255.255.255/47/0)

remote ident (addr/mask/prot/port): (192.168.23.3/255.255.255.255/47/0)

current_peer 192.168.23.3 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 8, #pkts encrypt: 8, #pkts digest: 8

#pkts decaps: 8, #pkts decrypt: 8, #pkts verify: 8

...

Через декілька секунд повторіть команду show crypto ipsec sa.

R1# show crypto ipsec sa

interface: FastEthernet0/0

Crypto map tag: mymap, local addr 192.168.12.1

protected vrf: (none)

local ident (addr/mask/prot/port): (192.168.12.1/255.255.255.255/47/0)

remote ident (addr/mask/prot/port): (192.168.23.3/255.255.255.255/47/0)

current_peer 192.168.23.3 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 10, #pkts encrypt: 10, #pkts digest: 10

#pkts decaps: 10, #pkts decrypt: 10, #pkts verify: 10

...

Детальніше перевірку роботи механізмів IKE і IPSec було розглянуто в одній з попередніх робіт.

10. Моніторинг трафіку за допомогою Wireshark

Підключаючись до  каналів зв'язку і використовуючи аналізатор трафіку Wireshark ви зможете досліджувати вміст передаваних пакетів.

Щоб спостерігати за трафіком в незашифрованому вигляді, вимкніть криптографічні карти на інтерфейсах маршрутизаторів R1 і R3. Подивіться поточні налаштування мережних інтерфейсів Fastethernet0/0 на R1 та Serial0/0/1 на R3. Потім виконайте команду no crypto map name в режимі налаштування інтерфейсу, тим самим видаливши асоціації захисту ISAKMP. Маршрутизатор видасть попередження про відключення ISAKMP.

R1# show run interface fastethernet 0/0

Building configuration...

Current configuration : 120 bytes

!

interface FastEthernet0/0

ip address 192.168.12.1 255.255.255.0

duplex auto

speed auto

crypto map mymap

end

R1# configure terminal

R1(config)# interface fastethernet0/0

R1(config-if)# no crypto map mymap

*Jan 16 06:02:58.999: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is OFF

R3# show run interface serial 0/0/1

Building configuration...

Current configuration : 91 bytes

!

interface Serial0/0/1

ip address 192.168.23.3 255.255.255.0

crypto map mymap

end

R3# configure terminal

R3(config)# interface serial0/0/1

R3(config-if)# no crypto map mymap

*Jan 16 06:05:36.038: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is OFF

Перехоплюватимемо telnet - трафік, тому налаштуйте telnet - доступ і задайте відповідний пароль доступу на R3.

R3(config)# enable secret cisco

R3(config)# line vty 0 4

R3(config-line)# password cisco

R3(config-line)# login

Почніть перехоплення пакетів з інтерфейсу Ethernet маршрутизатора R1. Відкрийте telnet - з'єднання з loopback - інтерфейсу R1 до loopback - інтерфейсу R3. Застосуйте команду telnet destination (щоб вибрати як джерело telnet - з'єднання одну з IP - адрес маршрутизатора, використовуйте ключ /source команди telnet). Після того, як ви підключилися до R3, виконайте там одну - дві команди і відключіться. Зупиніть перехоплення пакетів. Пакети даної telnet- сесії передавалися за адресою loopback-интерфейса R3 через тунельне з'єднання, тому Wireshark покаже GRE - пакети.

R1# telnet 172.16.3.1

Trying 172.16.3.1 ... Open

User Access Verification

Password:

R3> enable

Password:

R3# show ip interface brief

Interface IP-Address OK? Method Status

Protocol

FastEthernet0/0 unassigned YES unset administratively down

down

FastEthernet0/1 unassigned YES unset administratively down

down

Serial0/0/0 unassigned YES unset administratively down

down

Serial0/0/1 192.168.23.3 YES manual up up

Serial0/1/0 unassigned YES unset administratively down

down

Serial0/1/1 unassigned YES unset administratively down

down

Loopback0 172.16.3.1 YES manual up up

Tunnel0 172.16.13.3 YES manual up up

R3# exit

[Connection to 172.16.3.1 closed by foreign host]

R1#

Зверніть увагу, що Wireshark сам класифікував ці пакети як telnet - трафік, хоча вони і були упаковані в GRE. У вікні проглядання пакетів ви можете бачити декілька рівнів інкапсуляції, в тому числі заголовки GRE. Оскільки зараз шифрування пакетів відключене, ви легко можете знайти відкритий текст telnet - команд.

Таким чином, незашифрований трафік може бути перехоплений в будь-якій точці по маршруту його проходження. Потім знов застосуйте раніше відключені криптографічні карти на маршрутизаторах R1 і R3 і встановіть telnet - сесію між ними.

R1(config)# interface fastethernet 0/0

R1(config-if)# crypto map mymap

R3(config)# interface serial0/0/1

R3(config-if)# crypto map mymap

Знову запустіть перехоплення пакетів, і виконайте у відкритій сесії ті ж команди, що і раніше.

R1# telnet 172.16.3.1

Trying 172.16.3.1 ... Open

User Access Verification

Password:

R3> enable

Password:

R3# show ip interface brief

Interface IP-Address OK? Method Status

Protocol

FastEthernet0/0 unassigned YES unset administratively down

down

FastEthernet0/1 unassigned YES unset administratively down

down

Serial0/0/0 unassigned YES unset administratively down

down

Serial0/0/1 192.168.23.3 YES manual up up

Serial0/1/0 unassigned YES unset administratively down

down

Serial0/1/1 unassigned YES unset administratively down

down

Loopback0 172.16.3.1 YES manual up up

Tunnel0 172.16.13.3 YES manual up up

R3#exit

[Connection to 172.16.3.1 closed by foreign host]

R1#

Після відключення telnet - з'єднання зупиніть перехоплення пакетів і подивіться результати перехоплення. Хоча обидві сесії telnet відбувалися приблизно однаково, ви побачите, що тепер до пакетів було застосовано VPN - інкапсуляцію та шифрування.

Зазначте, що протокол тепер ідентифікується не як telnet (TCP port 23), а як Encapsulating Security Protocol (ESP, IP protocol number 50). Пригадайте, що весь шифрований трафік повинен задовольняти ACL, заданим при налаштуванні IPSec.

Зверніть увагу, що адреси джерел і одержувачів перехоплених пакетів не відповідають адресам сторін telnet - сесії, а є адресами кінцевих точок VPN.

Нарешті, як би ви не форматували перехоплені пакети в Wireshark,  вміст сеансу відновити тепер не вийде. Таким чином, був досліджений ще один спосіб побудови VPN із застосуванням аутентифікації, шифрування і цілісності даних з набору засобів IPSec.

Результат налаштування

R1# show run

!

hostname R1

!

crypto isakmp policy 10

authentication pre-share

group 5

lifetime 3600

crypto isakmp key cisco address 192.168.23.3

!

crypto ipsec transform-set mytrans ah-sha-hmac esp-aes 256 esp-sha-hmac

!

crypto map mymap 10 ipsec-isakmp

set peer 192.168.23.3

set transform-set mytrans

match address 101

!

interface Tunnel0

ip address 172.16.13.1 255.255.255.0

tunnel source FastEthernet0/0

tunnel destination 192.168.23.3

!

interface Loopback0

ip address 172.16.1.1 255.255.255.0

!

interface FastEthernet0/0

ip address 192.168.12.1 255.255.255.0

crypto map mymap

no shutdown

!

router eigrp 1

network 192.168.12.0

no auto-summary

!

router eigrp 2

network 172.16.0.0

no auto-summary

!

access-list 101 permit gre host 192.168.12.1 host 192.168.23.3

end

R2# show run

hostname R2

!

interface FastEthernet0/0

ip address 192.168.12.2 255.255.255.0

no shutdown

!

interface Serial0/0/1

ip address 192.168.23.2 255.255.255.0

clock rate 64000

no shutdown

!

router eigrp 1

network 192.168.12.0

network 192.168.23.0

no auto-summary

!

end

R3# show run

hostname R3

!

enable secret 5 $1$kkTj$cIYDuP2yz3vA1ARGVwxd11

!

crypto isakmp policy 10

authentication pre-share

group 5

lifetime 3600

crypto isakmp key cisco address 192.168.12.1

!

crypto ipsec transform-set mytrans ah-sha-hmac esp-aes 256 esp-sha-hmac

!

crypto map mymap 10 ipsec-isakmp

set peer 192.168.12.1

set transform-set mytrans

match address 101

!

interface Loopback0

ip address 172.16.3.1 255.255.255.0

!

interface Tunnel0

ip address 172.16.13.3 255.255.255.0

tunnel source Serial0/0/1

tunnel destination 192.168.12.1

!

interface Serial0/0/1

ip address 192.168.23.3 255.255.255.0

crypto map mymap

no shutdown

!

router eigrp 1

network 192.168.23.0

no auto-summary

!

router eigrp 2

network 172.16.0.0

no auto-summary

!

access-list 101 permit gre host 192.168.23.3 host 192.168.12.1

!

line vty 0 4

password cisco

login

end


Лабораторна робота №3.2

Віртуальні тунелі IPSec

Завдання роботи

  •  Налаштування віртуального тунеля, захищеного засобами IPSec
  •  Використання віртуального тунеля як резервного каналу

Топологія

Сценарій

У даній роботі ви вивчите процес налаштування віртуальних тунельних інтерфейсів IPSec (Virtual Tunnel Interface  - VTI) і їх застосування як резервних каналів, що сполучають дві віддалені локальні мережі. Спосіб захисту тунельних з'єднань із застосуванням IPSec VTI є більш новим в порівнянні з IPSec поверх GRE, розглянутим в одній з попередніх робіт.

1. Адресація

Налаштуйте послідовні і loobback інтерфейси з адресами, вказаними на топології. Для послідовних з'єднань при необхідності задайте clock rate і виконайте команду no shutdown. Командою ping перевірте зв'язок із сусідніми хостами.

HQ# configure terminal

HQ(config)# interface loopback 0

HQ(config-if)# ip address 172.16.1.1 255.255.255.0

HQ(config-if)# interface fastethernet 0/0

HQ(config-if)# ip address 172.16.13.1 255.255.255.0

HQ(config-if)# no shutdown

HQ(config-if)# interface serial 0/0/0

HQ(config-if)# ip address 192.168.12.1 255.255.255.0

HQ(config-if)# clockrate 64000

HQ(config-if)# no shutdown

ISP# configure terminal

ISP(config-if)# interface serial 0/0/0

ISP(config-if)# ip address 192.168.12.2 255.255.255.0

ISP(config-if)# no shutdown

ISP(config-if)# interface serial 0/0/1

ISP(config-if)# ip address 192.168.23.2 255.255.255.0

ISP(config-if)# clockrate 64000

ISP(config-if)# no shutdown

BRANCH# configure terminal

BRANCH(config)# interface loopback 0

BRANCH(config-if)# ip address 172.16.3.1 255.255.255.0

BRANCH(config-if)# interface fastethernet 0/0

BRANCH(config-if)# ip address 172.16.13.3 255.255.255.0

BRANCH(config-if)# no shutdown

BRANCH(config-if)# interface serial 0/0/1

BRANCH(config-if)# ip address 192.168.23.3 255.255.255.0

BRANCH(config-if)# no shutdown

2. EIGRP маршрутизація

На HQ і BRANCH налаштуйте EIGRP маршрутизацію (AS 1). При цьому вкажіть діапазон мереж 172.16.0.0 і вимкніть автоматичну сумаризацію. Маршрутизатор ISP в даному процесі маршрутизації не бере участь.

HQ(config)# router eigrp 1

HQ(config-router)# no auto-summary

HQ(config-router)# network 172.16.0.0

BRANCH(config)# router eigrp 1

BRANCH(config-router)# no auto-summary

BRANCH(config-router)# network 172.16.0.0

Після цього між сусідніми маршрутизаторами мають бути встановлені «сусідські стосунки» (neighbor adjacencies) і, можливо, видані відповідні повідомлення на консолі маршрутизаторів. В іншому разі перевірте налаштування інтерфейсів, конфігурацію EIGRP і фізичну досяжність між сусідами.

3. Статичні маршрути

На HQ і BRANCH додайте маршрути за замовчуванням, що вказують на маршрутизатор ISP (дані маршрути емулюють з'єднання з Internet). Пам'ятайте, що дані маршрути не переважатимуть маршрути, отримані через EIGRP, оскільки останні будуть пріоритетнішими. Зазначимо, що ніякі маршрути на ISP налаштовувати не слід, оскільки всі мережі 192.168.X.0/24 даний маршрутизатор бачить як безпосередньо підключені.

HQ(config)# ip route 0.0.0.0 0.0.0.0 192.168.12.2

BRANCH(config)# ip route 0.0.0.0 0.0.0.0 192.168.23.2

Тепер все готово, щоб налаштувати резервний тунель через «Інтернет». Перед цим перевірте досяжність між HQ і BRANCH через ISP (досяжність loopback інтерфейсів). Перевірте виведення команди show ip route.

HQ# ping 192.168.23.3

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.23.3, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 56/56/56 ms

HQ# ping 172.16.3.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.3.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

HQ# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.12.2 to network 0.0.0.0

C 192.168.12.0/24 is directly connected, Serial0/0/0

172.16.0.0/24 is subnetted, 3 subnets

C 172.16.13.0 is directly connected, FastEthernet0/0

C 172.16.1.0 is directly connected, Loopback0

D 172.16.3.0 [90/156160] via 172.16.13.3, 00:01:56, FastEthernet0/0

S* 0.0.0.0/0 [1/0] via 192.168.12.2

BRANCH# ping 192.168.12.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 56/56/56 ms

BRANCH# ping 172.16.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

BRANCH# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.23.2 to network 0.0.0.0

172.16.0.0/24 is subnetted, 3 subnets

C 172.16.13.0 is directly connected, FastEthernet0/0

D 172.16.1.0 [90/156160] via 172.16.13.1, 00:02:32, FastEthernet0/0

C 172.16.3.0 is directly connected, Loopback0

C 192.168.23.0/24 is directly connected, Serial0/0/1

S* 0.0.0.0/0 [1/0] via 192.168.23.2

4. Параметри IKE політик і поділюваних ключів сторін

Налаштуйте IKE політики сторін захищуваного з'єднання, використовуючи вказані нижче параметри. Якщо версія IOS у ваших маршрутизаторах не підтримує деякі перетворення, застосуйте інші, переконавшись, що налаштування на обох кінцях з'єднання збігаються.

HQ(config)# crypto isakmp policy 10

HQ(config-isakmp)# authentication pre-share

HQ(config-isakmp)# encryption aes 256

HQ(config-isakmp)# hash sha

HQ(config-isakmp)# group 5

HQ(config-isakmp)# lifetime 3600

BRANCH(config)# crypto isakmp policy 10

BRANCH(config-isakmp)# authentication pre-share

BRANCH(config-isakmp)# encryption aes 256

BRANCH(config-isakmp)# hash sha

BRANCH(config-isakmp)# group 5

BRANCH(config-isakmp)# lifetime 3600

Далі, налаштуйте ISAKMP ключі сторін з'єднання («cisco»).

HQ(config)# crypto isakmp key cisco address 192.168.23.3

BRANCH(config)# crypto isakmp key cisco address 192.168.12.1

5. Налаштування наборів IPSec перетворень

На термінуючих маршрутизаторах налаштуйте набори IPSec перетворень. Переконайтесь в узгодженості налаштувань обох сторін.

HQ(config)# crypto ipsec transform-set mytrans esp-aes 256 esp-sha-hmac ahsha-hmac

HQ(cfg-crypto-trans)# exit

HQ(config)#

BRANCH(config)# crypto ipsec transform-set mytrans esp-aes 256 esp-sha-hmac

ah-sha-hmac

BRANCH(cfg-crypto-trans)# exit

BRANCH(config)#

6. Налаштування IPSec профілю

Після того, як параметри IKE і IPSec визначені, створимо IPSec -профіль, що зв'язує між собою дані параметри. Подібно до криптографічної карти, що застосовувалась в інших роботах, IPSec -профіль прив'язується до одного з мережних інтерфейсів. В результаті, весь трафік, що проходить через даний інтерфейс, буде захищений згідно даному IPSec -профілю. Тому, на відміну від криптографічних карт, в IPSec - профілі не вказано явно ACL захищуваного трафіку (налаштування IPSec профілю складається з інструкцій set, що визначають різні параметри).

Використовуючи глобальну команду crypto ipsec profile name визначте IPSec - профіль під ім'ям myprof.

HQ(config)# crypto ipsec profile myprof

У режимі налаштування IPSec -профіля прогляньте доступні параметри налаштування (set ?).

HQ(ipsec-profile)# set ?

identity Identity restriction.

isakmp-profile Specify isakmp Profile

pfs Specify pfs settings

security-association Security association parameters

transform-set Specify list of transform sets in priority order

Як можна побачити, доступні параметри налаштування схожі з параметрами криптографічних карт. Для вирішення нашого завдання необхідно тільки вказати криптоперетворення, визначене раніше. Аналогічно налаштуйте IPSec - профіль на маршрутизаторі BRANCH.

HQ(ipsec-profile)# set transform-set mytrans

BRANCH(config)# crypto ipsec profile myprof

BRANCH(ipsec-profile)# set transform-set mytrans

7. Створення віртуального тунеля IPSec (IPSec VTI)

Для тунелювання трафіку між маршрутизаторами HQ і BRANCH потрібно налаштувати тунельний інтерфейс на кожному з них і вказати IP-адреси кінцевих точок тунеля. Щоб при туннелюванні трафіку застосовувалася «рідна» інкапсуляція IPSec (у відмінності від IPSec поверх GRE, як в одній з попередніх робіт), змініть режим туннелювання командою tunnel mode mode в режимі налаштування інтерфейсу і вкажіть режим ipsec IPv4. Щоб застосувати профіль IPSec, налаштований раніше, вкажіть його командою tunnel protection ipsec profile name.

HQ(config)# interface tunnel 0

HQ(config-if)# ip address 172.16.113.1 255.255.255.0

HQ(config-if)# tunnel source serial 0/0/0

HQ(config-if)# tunnel destination 192.168.23.3

HQ(config-if)# tunnel mode ipsec ipv4

HQ(config-if)# tunnel protection ipsec profile myprof

BRANCH(config)# interface tunnel 0

BRANCH(config-if)# ip address 172.16.113.3 255.255.255.0

BRANCH(config-if)# tunnel source serial 0/0/1

BRANCH(config-if)# tunnel destination 192.168.12.1

BRANCH(config-if)# tunnel mode ipsec ipv4

BRANCH(config-if)# tunnel protection ipsec profile myprof

Використовуючи команду show crypto ipsec sa перевірте, що лічильники захищуваних пакетів збільшуються при передачі через тунель hello - повідомлень EIGRP. Також командою show ip eigrp neighbors перевірте, чи встановив EIGRP зв'язок із сусідніми маршрутизаторами.

HQ# show crypto ipsec sa

interface: Tunnel0

Crypto map tag: Tunnel0-head-0, local addr 192.168.12.1

protected vrf: (none)

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

current_peer 192.168.23.3 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 14, #pkts encrypt: 14, #pkts digest: 14

#pkts decaps: 16, #pkts decrypt: 16, #pkts verify: 16

<OUTPUT OMITTED>

HQ# show crypto ipsec sa

interface: Tunnel0

Crypto map tag: Tunnel0-head-0, local addr 192.168.12.1

protected vrf: (none)

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

current_peer 192.168.23.3 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 15, #pkts encrypt: 15, #pkts digest: 15

#pkts decaps: 17, #pkts decrypt: 17, #pkts verify: 17

<OUTPUT OMITTED>

HQ# show ip eigrp neighbors

IP-EIGRP neighbors for process 1

H Address Interface Hold Uptime SRTT RTO Q Seq

(sec) (ms) Cnt Num

1 172.16.113.3 Tu0 11 00:03:40 118 5000 0 15

0 172.16.13.3 Fa0/0 10 01:04:20 1 200 0 13

BRANCH# show crypto ipsec sa

interface: Tunnel0

Crypto map tag: Tunnel0-head-0, local addr 192.168.23.3

protected vrf: (none)

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

current_peer 192.168.12.1 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 40, #pkts encrypt: 40, #pkts digest: 40

#pkts decaps: 39, #pkts decrypt: 39, #pkts verify: 39

<OUTPUT OMITTED>

BRANCH# show crypto ipsec sa

interface: Tunnel0

Crypto map tag: Tunnel0-head-0, local addr 192.168.23.3

protected vrf: (none)

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

current_peer 192.168.12.1 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 41, #pkts encrypt: 41, #pkts digest: 41

#pkts decaps: 41, #pkts decrypt: 41, #pkts verify: 41

<OUTPUT OMITTED>

BRANCH# show ip eigrp neighbors

IP-EIGRP neighbors for process 1

H Address Interface Hold Uptime SRTT RTO Q Seq

(sec) (ms) Cnt Num

1 172.16.113.1 Tu0 11 00:03:48 118 5000 0 12

0 172.16.13.1 Fa0/0 12 01:04:28 333 1998 0 11

8. Перевірка функціонування EIGRP

На маршрутизаторі HQ виконайте команду show ip route і переконайтеся, що переважний маршрут до loopback - інтерфейсу маршрутизатора BRANCH проходить через «виділену лінію» (локальний інтерфейс Fastethernet0/0).

HQ# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.12.2 to network 0.0.0.0

C 192.168.12.0/24 is directly connected, Serial0/0/0

172.16.0.0/24 is subnetted, 4 subnets

C 172.16.13.0 is directly connected, FastEthernet0/0

C 172.16.1.0 is directly connected, Loopback0

D 172.16.3.0 [90/156160] via 172.16.13.3, 00:13:29, FastEthernet0/0

C 172.16.113.0 is directly connected, Tunnel0

S* 0.0.0.0/0 [1/0] via 192.168.12.2

Тепер вимкніть з'єднання з маршрутизатором BRANCH по «виділеній лінії».

BRANCH(config)# interface fastethernet 0/0

BRANCH(config-if)# shutdown

Через деякий час, коли термін життя з'єднання з сусіднім маршрутизатором закінчиться, на HQ знову виконайте команду show ip route.

*Jan 23 02:14:17.931: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 172.16.13.3

(FastEthernet0/0) is down: holding time expired

HQ# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.12.2 to network 0.0.0.0

C 192.168.12.0/24 is directly connected, Serial0/0/0

172.16.0.0/24 is subnetted, 4 subnets

C 172.16.13.0 is directly connected, FastEthernet0/0

C 172.16.1.0 is directly connected, Loopback0

D 172.16.3.0 [90/297372416] via 172.16.113.3, 00:00:44, Tunnel0

C 172.16.113.0 is directly connected, Tunnel0

S* 0.0.0.0/0 [1/0] via 192.168.12.2

Відключивши на маршрутизаторі BRANCH інтерфейс Fast Ethernet, ми симулювали відключення «виділеної лінії». Як бачите, даний маршрутизатор перемкнувся на використання захищеного тунеля через маршрутизатор ISP. Виконайте traceroute і переконайтеся, що маршрут тепер проходить через тунель.

Безумовно, що таке тунельне з'єднання повільніше, ніж виділена лінія і  може використовуватися тільки як тимчасове рішення. Знов вимкніть інтерфейс Fastethernet0/0 і перевірте на маршрутизаторі HQ, що основний канал знову використовується.

BRANCH(config)# interface fastethernet 0/0

BRANCH(config-if)# no shutdown

*Jan 23 02:18:56.959: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 172.16.13.3

(FastEthernet0/0) is up: new adjacency

HQ# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.12.2 to network 0.0.0.0

C 192.168.12.0/24 is directly connected, Serial0/0/0

172.16.0.0/24 is subnetted, 4 subnets

C 172.16.13.0 is directly connected, FastEthernet0/0

C 172.16.1.0 is directly connected, Loopback0

D 172.16.3.0 [90/156160] via 172.16.13.3, 00:00:29, FastEthernet0/0

C 172.16.113.0 is directly connected, Tunnel0

S* 0.0.0.0/0 [1/0] via 192.168.12.2

Якщо прийняти до уваги параметри пропускної здатності і затримки за замовчуванням на інтерфейсах the Fast Ethernet і Tunnel (для перевірки застосовується команда show interfaces interface-type interface-number), то легко пояснити, чому EIGRP віддає перевагу маршруту через мережу Fast Ethernet. Пам'ятйєте, що з точки зору EIGRP переважає маршрут з мінімальною композитною метрикою, залежною від мінімальної пропускної здатності по маршруту і сумарної затримки каналів маршруту. Очевидно, що для інтерфейсів Ethernet і Tunnel ці параметри істотно відрізняються. Якщо виникає необхідність змінювати значення цих параметрів, щоб змусити маршрутизацію задіяти інший канал як основний, скористайтеся командами bandwidth bandwidth та delay delay в режимі налаштування інтерфейсу.

HQ# show interfaces fastethernet 0/0

FastEthernet0/0 is up, line protocol is up

Hardware is MV96340 Ethernet, address is 0019.0623.4380 (bia 0019.0623.4380)

Internet address is 172.16.13.1/24

MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,

HQ# show interfaces tunnel 0

Tunnel0 is up, line protocol is up

Hardware is Tunnel

Internet address is 172.16.113.1/24

MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,

Результат налаштування

HQ# show run

!

hostname HQ

!

crypto isakmp policy 10

encr aes 256

authentication pre-share

group 5

lifetime 3600

crypto isakmp key cisco address 192.168.23.3

!

crypto ipsec transform-set mytrans ah-sha-hmac esp-aes 256 esp-sha-hmac

!

crypto ipsec profile myprof

set transform-set mytrans

!

interface Tunnel0

ip address 172.16.113.1 255.255.255.0

tunnel source Serial0/0/0

tunnel destination 192.168.23.3

tunnel mode ipsec ipv4

tunnel protection ipsec profile myprof

!

interface Loopback0

ip address 172.16.1.1 255.255.255.0

!

interface FastEthernet0/0

ip address 172.16.13.1 255.255.255.0

no shutdown

!

interface Serial0/0/0

ip address 192.168.12.1 255.255.255.0

clock rate 64000

no shutdown

!

router eigrp 1

network 172.16.0.0

no auto-summary

!

ip route 0.0.0.0 0.0.0.0 192.168.12.2

!

end

ISP# show run

!

hostname ISP

!

interface Serial0/0/0

ip address 192.168.12.2 255.255.255.0

no shutdown

!

interface Serial0/0/1

ip address 192.168.23.2 255.255.255.0

clock rate 64000

no shutdown

!

end

BRANCH# show run

hostname BRANCH

!

crypto isakmp policy 10

encr aes 256

authentication pre-share

group 5

lifetime 3600

crypto isakmp key cisco address 192.168.12.1

!

crypto ipsec transform-set mytrans ah-sha-hmac esp-aes 256 esp-sha-hmac

!

crypto ipsec profile myprof

set transform-set mytrans

!

interface Loopback0

ip address 172.16.3.1 255.255.255.0

!

interface Tunnel0

ip address 172.16.113.3 255.255.255.0

tunnel source Serial0/0/1

tunnel destination 192.168.12.1

tunnel mode ipsec ipv4

tunnel protection ipsec profile myprof

!

interface FastEthernet0/0

ip address 172.16.13.3 255.255.255.0

no shutdown

!

interface Serial0/0/1

ip address 192.168.23.3 255.255.255.0

no shutdown

!

router eigrp 1

network 172.16.0.0

no auto-summary

!

ip route 0.0.0.0 0.0.0.0 192.168.23.2

!

end


 

А также другие работы, которые могут Вас заинтересовать

44910. Условия и история становления PR в России и за рубежом 23.15 KB
  Публикации статей с целью воздействия на общ. срв д влияния на общ. Появление известного дядюшка Сэм общественно-политические плакаты с призывами к борьбе за независимость публикация статей для влияние на общ. Липсет политолог в новых политических стратегиях постоянно апеллировал к общественному мнению.
44911. Оценка эффективности хозяйственной деятельности 14.08 KB
  Оценка деятельности как предварительная оценка так и заключительная необходима для руководителей предприятия и экономистов поскольку позволяет подвести итоги работы организации и определить ее будущие перспективы. Комплексная оценка эффективности предполагает изучение всех сторон хозяйственной деятельности предприятия снабжение производство продажа товаров и их потребление всех видов анализа деятельности предприятия. Цель комплексной оценки хозяйственной деятельности предприятия повышение эффективности его работы на основе...
44912. Эпоха Возрождения или Ренессанс 27.65 KB
  В своем основном педагогическом трактате О первоначальном воспитании детей а также в других трудах по вопросам воспитания О благовоспитанности детей Беседы Метод обучения Способ писать письма Роттердамский определил необходимость сочетания античной и христианской традиций при выработке педагогических идеалов а также принцип активности воспитанника врожденные способности могут быть реализованы лишь через напряженный труд Школа Витторино да Фельтре Дом радости Создал светское учебное заведение нового типа дававшее...
44914. Нагрузки и воздействия на трубопровод 15.03 KB
  Поэтому учитывая продолжительность сроков эксплуатации трубопроводов и высокую изменчивость нагрузок и воздействий исходная информация о нагрузках и воздействиях должна быть подготовлена с учетом фактора времени. Для нестандартных условий работы должна быть применена расширенная процедура анализа нагрузок и воздействий на трубопровод и расчета напряженнодеформированного состояния. Для каждой из позиций должна быть реализована специализированная методика анализа нагрузок и воздействий на трубопровод. Перечень и уровень функциональных...
44915. Определитель порядка п, его свойства 14.2 KB
  Определитель n – порядка соответствует квадратной матрице А называется сумма произведение элементов матрицы взятых по одному из каждой строки и каждого столбца причем со знаком если число инверсий в произв. Определитель не меняется при транспонировании. Это означает что определитель матрицы равен определителю транспонированной матрицы матрицы в которой строки заменены соответствующими столбцами. Если одна из строк определителя состоит из нулей то определитель равен нулю.
44916. Canada. Канада 17.07 KB
  Canada is the second largest country in the world. Only Russia has a greater land area. Canada is situated in North America. Canada is slightly larger than the United States, but has only about a tenth as many people. About 28 million people live in Canada.
44917. Форматирование жесткого диска 19.97 KB
  Этот каталог должен существовать в каждой файловой системе поскольку он выполняет служебную роль: при проверке файловой системы командой fsck в этом каталоге собираются потерянные файлы и подкаталоги. Команда fsck Основная функция программы fsck заключается в восстановлении логической непротиворечивости файловой системы созданной в разделе жесткого диска. Формат запуска команды следующий: [root] fsck [опции] [t fstype] [fsoptions] filesystem где fstype тип проверяемой файловой системы а в качестве filesystem можно указать либо имя...
44918. Творчество Кузьмі Сергеевича Петров-Водкина 28.05 KB
  Эротизм в творчестве Некоторые работы Петрова-Водкина были восприняты как содержащие эротизм. Среди картин Петрова-Водкина присутствует немало изображений обнажённых мужчин. В 1910е годы складывается особая художественно-теоретическая система Петрова-Водкина где главную роль играет принцип сферической перспективы который позволяет ему изображая натуру в ракурсах сверху и сбоку передавать ощущение земли как планеты. Картины Петрова-Водкина: Утренний натюрморт; Берег; Девушки на Волге; Купание красного коня; 1918 год в Петрограде; ...