Сравнение версий

Старая версия 7

changes.mady.by.user Сервисный центр Ethernet

Сохранено

по сравнению с

Новая версия 8

changes.mady.by.user Шарипова Людмила Дамировна

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Создадим политику протокола IKE. В политике указыважем раннее укажем ранее созданный набор алгоритмов, а также укажем общий известный ключ, который будет использован при аутентификации IKE-сессии:

...

Создадим политику протокола IKE. В политике указыважем раннее укажем ранее созданный набор алгоритмов, а также укажем общий известный ключ, который будет использован при аутентификации IKE-сессии:

...

Создадим шлюз протокола IKE. В данном разделе привяжем раннее созданную политику протокола IKE, укажем IP-адреса для построения IPsec туннеля и набор локальных и удаленных сетей, трафик между которыми необходимо будет шифровать. Также укажем версию протокола IKE и "policy«policy-based" based» в качестве режима перенаправления трафика в туннель:

...

Создадим политику для IPsec-туннеля. В политике указывается раннее ранее описанный набор алгоритмов для IPsec-туннеля.

...

  • R1 выступает в роли PKI-сервера - удостоверяющего центра с самоподписанным сертификатом;
  • На R1 и R2 настраиваются PKI-клиенты, запрашивающие выпуск сертификатов для IPsec VPN на R1.

...

Блок кода
esr# configure
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# ip address 198.51.100.1/24
esr(config-if-gi)# exit

Настроим NTP-клиент клиента на получение точного времени от шлюза интернетИнтернет-провайдера:

Блок кода
esr(config)# ntp enable
esr(config)# ntp server 198.51.100.15
esr(config-ntp-server)# exit
esr(config)#

...

На этом этапе необходимо применить конфигурацию на маршрутизаторе, чтобы получить цифровой отпечаток сертификата PKI-сервера из вывода команды "команды show crypto pki server", он нам понадобится в дальнейшей настройке PKI-клиентов:

...

Продолжим дальнейшую настройку PKI-клиента. Необходимо заполнить отличительное имя, URL для подключения к PKI-серверу (в случае маршрутизатора R1 - его собственный IP-адрес, назначенный на внешний интерфейс), раннее полученый ранее полученный цифровой отпечаток сертификата PKI-сервера и доменное имя маршрутизатора в качестве альтернативного имени клиентского сертификата:

...

Создадим политику протокола IKE. В политике указываем раннее ранее созданный набор алгоритмов, в качестве метода аутентификации выбираем "trustpoint" и в команде "команде crypto trustpoint" указываем имя раннее ранее созданного PKI-клиента, выписываемые им сертификаты будут использованы при аутентификации IKE-сессии:

...

Создадим шлюз протокола IKE. В данном разделе привяжем раннее созданную политику протокола IKE, укажем IP-адреса для построения IPsec туннеля и набор локальных и удаленных сетей, трафик между которыми необходимо будет шифровать. Также укажем версию протокола IKE и "policy«policy-based" based» в качестве режима перенаправления трафика в туннель:

Примечание

Важным моментом при настройке аутентификации по сертификатам X.509 является указание корректных " local id " и " remote id", присутствующих в сертификатах в качестве альтернативных имен сертификата. Поскольку раннее ранее в настройках PKI-клиента в качестве альтернативного имени было указано полное доменное имя маршрутизатора - укажем его и в командах "local id" и "remote id".

Блок кода
esr(config)# security ike gateway ike_gw1
esr(config-ike-gw)# ike-policy ike_pol1
esr(config-ike-gw)# local address 198.51.100.1
esr(config-ike-gw)# local network 10.0.0.0/16
esr(config-ike-gw)# remote address 203.0.113.1
esr(config-ike-gw)# remote network 192.0.2.0/24
esr(config-ike-gw)# local id dns r1.company.loc
esr(config-ike-gw)# remote id dns r2.company.loc
esr(config-ike-gw)# mode policy-based
esr(config-ike-gw)# exit

...

Создадим политику для IPsec-туннеля. В политике указывается раннее ранее описанный набор алгоритмов для IPsec-туннеля.

...

Создадим IPsec VPN. В VPN указывается указываются шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable:

...

Произведем настройку настройку PKI-клиента. Необходимо заполнить отличительное имя, URL для подключения к PKI-серверу (в случае маршрутизатора R2 - внешний IP-адрес маршрутизатора R1), раннее полученый ранее полученный цифровой отпечаток сертификата PKI-сервера и доменное имя маршрутизатора в качестве альтернативного имени клиентского сертификата:

...

Создадим политику протокола IKE. В политике указываем раннее ранее созданный набор алгоритмов, в качестве метода аутентификации выбираем "trustpoint" «trustpoint» и в команде "crypto trustpoint" указываем имя раннее ранее созданного PKI-клиента, выписываемые им сертификаты будут использованы при аутентификации IKE-сессии:

...

Создадим шлюз протокола IKE. В данном разделе привяжем раннее ранее созданную политику протокола IKE, укажем IP-адреса для построения IPsec туннеля и набор локальных и удаленных сетей, трафик между которыми необходимо будет шифровать.  Также Также укажем версию протокола IKE и "policy«policy-based" based» в качестве режима перенаправления трафика в туннель:

Примечание

Важным моментом при настройке аутентификации по сертификатам X.509 является указание корректных "local id" и "remote id"«local id» и «remote id», присутствующих в сертификатах в качестве альтернативных имен сертификата. Поскольку раннее ранее в настройках PKI-клиента в качестве альтернативного имени было указано полное доменное имя маршрутизатора - укажем его и в командах "local id" и " и remote id".


Блок кода
esr(config)# security ike gateway ike_gw1
esr(config-ike-gw)# ike-policy ike_pol1
esr(config-ike-gw)# remote address 198.51.100.1
esr(config-ike-gw)# remote network 10.0.0.0/16
esr(config-ike-gw)# local address 203.0.113.1
esr(config-ike-gw)# local network 192.0.2.0/24
esr(config-ike-gw)# local id dns r2.company.loc
esr(config-ike-gw)# remote id dns r1.company.loc
esr(config-ike-gw)# mode policy-based
esr(config-ike-gw)# exit

...

Создадим политику для IPsec-туннеля. В политике указывается раннее ранее описанный набор алгоритмов для IPsec-туннеля.

...

Создадим IPsec VPN. В VPN указывается указываются шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable:

...

<MODE> – режим переподключения, принимает следующие значения:

  • no – установленное подключение XAUTH будет удалено, если для нового подключения XAUTH инициатором соединения будет отправлено уведомление "INITIAL_CONTACT", будет назначен ранее использованный IP-адрес. В противном случае, установленное соединение XAUTH будет удержано. Для нового подключения XAUTH будет назначен новый IP-адрес.
  • never – установленное подключение XAUTH будет удержано. Для нового подключения XAUTH будет назначен новый IP-адрес. Уведомление "INITIAL_CONTACT" будет в любом случае проигнорировано.
  • replace – установленное подключение XAUTH будет удалено. Для нового подключения XAUTH будет использован ранее использованный IP-адрес.
  • keep – установленное подключение XAUTH будет удержано. Новое подключение XAUTH будет отклонено. 

...