|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Туннельный режим работы IPSecВ этом режиме берётся ваш изначальный IP-пакет, шифруется полностью, вместе с заголовком IP, добавляется служебная информация IPSec и новый заголовок IP: Это режим по умолчанию. Давайте опять разберёмся по ходу настройки. На локальной стороне: Сначала общую политику для фазы 1 – установление первого, вспомогательного туннеля: тип шифрования (по умолчанию DES) и аутентификации. Аутентификацию можно делать на основе сертификатов, но мы рассмотрим простой пример с предварительным ключом:
crypto isakmp policy 1 encr aes authentication pre-share
Часто задаются несколько таких политик с различными комбинациями шифрования, хеша и группы DH. Чем больше номер политики, тем позже он будет рассмотрен (в зависимости от того, кто инициирует соединение). То есть сначала выбирается политика с наименьшим номером – не совпали на обеих сторонах, выбирается следующая (с большим номером) и т.д. Логично, что самой безопасной должна быть первая.
crypto isakmp key CISCO address 200.0.0.1
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
Для упрощения траблшутинга имена для transform-set обычно даются по применённым протоколам.
crypto map MAP1 10 ipsec-isakmp set peer 200.0.0.1 set transform-set AES128-SHA match address 101
В нашем случае он выглядит так:
access-list 101 permit ip host 10.0.0.0 host 10.1.1.0
Будьте внимательны при задании ACL. Он определяет параметры не только исходящего трафика, но и входящего (в отличие от ACL для NAT, например). То бишь, если мы генерируем трафик с хоста с адресом 10.0.0.0 на 10.1.1.0, то он и только он будет шифроваться и отправляться именно в IPSec-туннель. Любой другой пойдёт простым путём.
Заметим, что шифрование, происходит практически в самую последнюю очередь, после маршрутизации. Последний шаг – привязка карты шифрования к интерфейсу. Пока вы этого не сделаете механизм не будет работать.
interface FastEthernet0/0 crypto map MAP1
crypto isakmp policy 1 encr aes authentication pre-share crypto isakmp key CISCO address 100.0.0.1 ! ! crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac ! crypto map MAP1 10 ipsec-isakmp set peer 100.0.0.1 set transform-set AES128-SHA match address 101 interface FastEthernet0/1 access-list 101 permit ip host 10.1.1.0 host 10.0.0.0
Но сколько бы вы после ни смотрели show crypto session или show crypto isakmp sa, вы увидите только Down. Туннель никак не поднимается. R1#sh crypto session Interface: FastEthernet0/0 R1#sh crypto isakmp sa
R1#ping 10.1.1.0 source 10.0.0.0 И как только вы это сделали, вас ждёт успех:
R1#sh crypto session Interface: FastEthernet0/0 R1#sh crypto isakmp sa
Начальная конфигурация: «IPsec» Задание: Подробности задачи тут Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.006 сек.) |