Дата  Запланированые курсы
05.08 Adobe InDesign для профессионалов
19.08 Автоматизация работы в Excel с использованием VBA
26.08 Инструменты бизнес-анализа Microsoft Excel: PowerPivot, PowerView
02.09 Управление IT- проектами
02.09 Поисковая оптимизация (SEO)
02.09 DEV-QT10. Прикладное программирование на С++ с использованием Qt. Базовый уровень
02.09 DEV-PYQT. Разработка оконных приложений Python c использованием Qt
02.09 DEV-OCPJP. Подготовка к сдаче сертификационных экзаменов серии Oracle Certified Professional Java Programmer
09.09 Основы создания веб-сайтов. Adobe Dreamweaver
16.09 Поисковая оптимизация (SEO) для профессионалов
16.09 Разработка Web-приложений (Основы PHP)
30.09 Введение в тестирование программного обеспечения
30.09 Введение в тестирование программного обеспечения
30.09 Введение в тестирование программного обеспечения
21.10 Профессиональная верстка сайтов. HTML5 и CSS3
28.10 DEV-PYWEB. Разработка WEB приложений на языке Python
25.11 Поисковая оптимизация (SEO)
09.12 Поисковая оптимизация (SEO) для профессионалов
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Разбираюсь с IPsec
Jenyar1
#1 Оставлено : 15 марта 2010 г. 19:49:29(UTC)
Ранг: Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 15.07.2008(UTC)
Сообщений: 14
Баллов: 42

Уважаемые преподаватели и не менее уважаемые студенты и те кто просто шёл мимо :)

Подскажите пожалуйста несколько моментов в работе IPsec, данную конфигурацию я выполнял средствам GNS по примеру из учебника:

Топология необходимо открыть ссылку в новом окне narod.ru/disk/187...B3%D0%B8%D1%8F.bmp.html

Замечания к топологии ВМ1(192.168.1.2)<->(192.168.1.1)Роутер_1(84.10.12.1 / tu0 172.16.16.1) <->(84,10,12,2) ISP1( 62,152,15,1) <->(62,152,15,2) ISP2 (94,15,20,1) <-> (94,15,20,2 / tu0 172.16.16.2)Роутер_2(192.168.2.1)<-> ВМ2(192,168,2,2)

1)Почему такая трассировка с вирт.машины (ВМ2) когда sa для isakmp и ipsec сформированы у меня такой вывод
1)192.168.2.1...ms
2)192.168.1.2...ms
конец

я думал тут как минимум должны быть хопы с 172.16.х.х которые у меня определены как адреса туннельных интерфейсов

2)Не совсем понятно и назначение ип адресов туннельных интерфейсов, я "подозреваю", что это point-to-point логическая сетка между туннельными интерфейсами, поправьте меня, если я не прав.

3)На обоих пирах я создаю ACL, которые явно указывают хосты ( роутеры) между которыми будет реализовано gre инкапсуляция...подразумевая неявное deny в конце acl, тем не менее хосты только благодаря статическому маршруту в ту сеть через туннельный интерфейс доступны друг другу...неясно остаётся как они попадают в туннель

4)Решение задачи динамической маршрутизации между двумя площадками в лоб не помогло...я так понимаю хотя gre и создан в частности для этих целей, но потребуется ещё и задание дополнительных правил в ACL?



Конфиг роутер 1

Код:



spoke_1#show run
Building configuration...

Current configuration : 1134 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname spoke_1
!
!
memory-size iomem 15
ip subnet-zero
!
!
!
ip cef
!
crypto isakmp policy 1
hash md5
authentication pre-share
group 5
lifetime 120
crypto isakmp key cisco address 94.15.20.2
!
!
crypto ipsec transform-set test ah-md5-hmac
mode transport
!
crypto map vpn 1 ipsec-isakmp
set peer 94.15.20.2
set transform-set test
match address 100
!
call rsvp-sync
!
!
!
!
interface Tunnel0
ip address 172.16.16.1 255.255.255.252
ip mtu 1400
tunnel source FastEthernet1/0
tunnel destination 94.15.20.2
tunnel path-mtu-discovery
!
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
full-duplex
!
interface FastEthernet1/0
ip address 84.10.12.1 255.255.255.252
speed auto
full-duplex
crypto map vpn
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 84.10.12.2
ip route 192.168.2.0 255.255.255.0 Tunnel0
ip http server
!
!
!
!
access-list 100 permit gre host 84.10.12.1 host 94.15.20.2
!
!
dial-peer cor custom
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
login
!
end

spoke_1#




Конфиг роутер 2

Код:



crypto isakmp policy 1
hash md5
authentication pre-share
group 5
lifetime 120
crypto isakmp key cisco address 84.10.12.1
!
!
crypto ipsec transform-set test ah-md5-hmac
mode transport
!
crypto map vpn 1 ipsec-isakmp
set peer 84.10.12.1
set transform-set test
match address 100
!
call rsvp-sync
!
!
!
!
!
interface Tunnel0
ip address 172.16.16.2 255.255.255.252
ip mtu 1400
tunnel source FastEthernet1/0
tunnel destination 84.10.12.1
tunnel path-mtu-discovery
!
interface Ethernet0/0
ip address 192.168.2.1 255.255.255.0
full-duplex
!
interface FastEthernet1/0
ip address 94.15.20.2 255.255.255.252
duplex auto
speed auto
crypto map vpn
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 94.15.20.1
ip route 192.168.1.0 255.255.255.0 Tunnel0
ip http server
!
!
!!
!
access-list 100 permit gre host 94.15.20.2 host 84.10.12.1
!
!
dial-peer cor custom
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
login
!
end

Router#





Заранее спасибо
не без уважения Ваш студент :)

Реклама
Igor.Arkhimandritov
#2 Оставлено : 15 марта 2010 г. 21:49:16(UTC)
Ранг: Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 02.03.2004(UTC)
Сообщений: 14
Баллов: 42
Откуда: Russia

1. Первый хоп - адрес ближайшего к VM2 интерфейса маршрутизатора. Второй хоп почему-то пропущен (должен быть 172.16.16.1), возможно из-за того, что на тоннельном интерфейсе не было проверено значение TTL внутреннего пакета(глюк, иногда бывает).
2. Правильно понимаете [:)]
3. Этими ACL вы не ФИЛЬТРУЕТЕ трафик, а только указываете протоколу IPSec, какой трафик обрабатывать. Т.е. всё,что попадает под deny, пойдёт не зашифрованным. В вашем случае клиентский трафик попадает в тоннель, а весь GRE трафик шифруется на внешнем интерфейсе.
4. Не вижу никаких проблем с динамической маршрутизацией. Не забудьте только ввести сеть 172.16.16.0/24 в домен маршрутизации.
Jenyar1
#3 Оставлено : 15 марта 2010 г. 22:34:45(UTC)
Ранг: Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 15.07.2008(UTC)
Сообщений: 14
Баллов: 42

И.Б., Спасибо Большое,

только не до конца ясно...указывая и применяя асl (какой трафик отрабатывать) "я" инкапсулирую исходный пакет созданный допустим хостом 192.168.2.2 в gre пакет c ip - заголовком 172.16.16.2 и назначения 172.16.16.1 и уже всё это вкладываю в ип-пакет с белыми адресами?
а так как эти приватные сети (192.х.х.х) доступны только через этот туннель клиентский трафик в моём случае попадает в туннель я правильно понял?
Igor.Arkhimandritov
#4 Оставлено : 17 марта 2010 г. 21:42:32(UTC)
Ранг: Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 02.03.2004(UTC)
Сообщений: 14
Баллов: 42
Откуда: Russia

Немного не так [;)].
Пакет от клиентского хоста попадает в тоннельный интерфейс согласно таблице маршрутизации. Тоннель проходит через физ. интерфейс, на котором висит crypto map. Так как все тоннельные пакеты (gre) удовлетворяют условию, прописанному в ACL, они обрабатываются айписеком. Т.е если вы вообще выключите IPSec, тоннель будет существовать, однако трафик, который по нему передаётся, шифроваться не будет. Кстати, для конфигурирования GRE+IPSec удобнее пользоваться IPsec Profiles.
Jenyar1
#5 Оставлено : 18 марта 2010 г. 0:43:23(UTC)
Ранг: Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 15.07.2008(UTC)
Сообщений: 14
Баллов: 42

да я знаю этот вариант, но он не поддерживается старыми иосами.

И.Б., спасибо большое
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.