...
Создадим политику протокола IKE. В политике указыважем раннее укажем ранее созданный набор алгоритмов, а также укажем общий известный ключ, который будет использован при аутентификации IKE-сессии:
| Блок кода |
|---|
esr(config)# security ike policy ike_pol1 esr(config-ike-policy)# pre-shared-key hexadecimal 123FFF esr(config-ike-policy)# proposal ike_prop1 esr(config-ike-policy)# exit |
| Scroll Pagebreak |
|---|
Создадим шлюз протокола IKE. В данном разделе привяжем раннее созданную политику протокола IKE, укажем IP-адреса для построения IPsec туннеля и набор локальных и удаленных сетей, трафик между которыми необходимо будет шифровать. Также укажем версию протокола IKE и "policy-based" в качестве режима перенаправления трафика в туннель:
...
Создадим политику протокола IKE. В политике указыважем раннее укажем ранее созданный набор алгоритмов, а также укажем общий известный ключ, который будет использован при аутентификации IKE-сессии:
...
Создадим шлюз протокола IKE. В данном разделе привяжем раннее созданную политику протокола IKE, укажем IP-адреса для построения IPsec туннеля и набор локальных и удаленных сетей, трафик между которыми необходимо будет шифровать. Также укажем версию протокола IKE и "policy«policy-based" based» в качестве режима перенаправления трафика в туннель:
...
Создадим политику для IPsec-туннеля. В политике указывается раннее ранее описанный набор алгоритмов для IPsec-туннеля.
| Блок кода |
|---|
esr(config)# security ipsec policy ipsec_pol1 esr(config-ipsec-policy)# proposal ipsec_prop1 esr(config-ipsec-policy)# exit |
| Scroll Pagebreak |
|---|
Создадим Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable:
...
R2 IP-адрес – 203.0.113.1;
| Scroll Pagebreak |
|---|
PKI:
- R1 выступает в роли PKI-сервера - – удостоверяющего центра с самоподписанным сертификатом;
- На R1 и R2 настраиваются PKI-клиенты, запрашивающие выпуск сертификатов для IPsec VPN на R1.
...
- группа Диффи-Хэллмана: 2;
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5;
- аутентификация по сертификатам X.509.
Scroll Pagebreak
IPsec:
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5.
...
| Блок кода |
|---|
esr# configure esr(config)# interface gigabitethernet 1/0/1 esr(config-if-gi)# ip address 198.51.100.1/24 esr(config-if-gi)# exit |
Настроим NTP-клиент клиента на получение точного времени от шлюза интернетИнтернет-провайдера:
| Блок кода |
|---|
esr(config)# ntp enable esr(config)# ntp server 198.51.100.15 esr(config-ntp-server)# exit esr(config)# |
...
| Блок кода |
|---|
esr(config)# crypto pki server esr(config-pki-server)# subject-name esr(config-pki-server-subject-name)# country RU esr(config-pki-server-subject-name)# state Moscow esr(config-pki-server-subject-name)# locality Moscow esr(config-pki-server-subject-name)# organization Company esr(config-pki-server-subject-name)# common-name ca.company.loc esr(config-pki-server-subject-name)# exit esr(config-pki-server)# source-interface gi 1/0/1 esr(config-pki-server)# challenge-password password esr(config-pki-server)# lifetime 7 esr(config-pki-server)# enable esr(config-pki-server)# exit esr(config)# |
| Scroll Pagebreak |
|---|
На этом этапе необходимо применить конфигурацию на маршрутизаторе, чтобы получить цифровой отпечаток сертификата PKI-сервера из вывода команды "show crypto pki server", он нам понадобится в дальнейшей настройке PKI-клиентов:
...
Продолжим дальнейшую настройку PKI-клиента. Необходимо заполнить отличительное имя, URL для подключения к PKI-серверу (в случае маршрутизатора R1 - – его собственный IP-адрес, назначенный на внешний интерфейс), раннее полученый ранее полученный цифровой отпечаток сертификата PKI-сервера и доменное имя маршрутизатора в качестве альтернативного имени клиентского сертификата:
...
| Блок кода |
|---|
esr(config)# security ike proposal ike_prop1 esr(config-ike-proposal)# dh-group 2 esr(config-ike-proposal)# authentication algorithm md5 esr(config-ike-proposal)# encryption algorithm aes128 esr(config-ike-proposal)# exit |
| Scroll Pagebreak |
|---|
Создадим политику протокола IKE. В политике указываем раннее ранее созданный набор алгоритмов, в качестве метода аутентификации выбираем "trustpoint" и в команде "crypto trustpoint" указываем имя раннее ранее созданного PKI-клиента, выписываемые им сертификаты будут использованы при аутентификации IKE-сессии:
...
Создадим шлюз протокола IKE. В данном разделе привяжем раннее созданную политику протокола IKE, укажем IP-адреса для построения IPsec туннеля и набор локальных и удаленных сетей, трафик между которыми необходимо будет шифровать. Также укажем версию протокола IKE и "policy«policy-based" based» в качестве режима перенаправления трафика в туннель:
| Примечание |
|---|
Важным моментом при настройке аутентификации по сертификатам X.509 является указание корректных " local id " и " remote id", присутствующих в сертификатах в качестве альтернативных имен сертификата. Поскольку раннее ранее в настройках PKI-клиента в качестве альтернативного имени было указано полное доменное имя маршрутизатора - – укажем его и в командах "local id" и "remote id". |
| Блок кода |
|---|
esr(config)# security ike gateway ike_gw1 esr(config-ike-gw)# ike-policy ike_pol1 esr(config-ike-gw)# local address 198.51.100.1 esr(config-ike-gw)# local network 10.0.0.0/16 esr(config-ike-gw)# remote address 203.0.113.1 esr(config-ike-gw)# remote network 192.0.2.0/24 esr(config-ike-gw)# local id dns r1.company.loc esr(config-ike-gw)# remote id dns r2.company.loc esr(config-ike-gw)# mode policy-based esr(config-ike-gw)# exit |
...
Создадим политику для IPsec-туннеля. В политике указывается раннее ранее описанный набор алгоритмов для IPsec-туннеля.
| Блок кода |
|---|
esr(config)# security ipsec policy ipsec_pol1 esr(config-ipsec-policy)# proposal ipsec_prop1 esr(config-ipsec-policy)# exit |
| Scroll Pagebreak |
|---|
Создадим Создадим IPsec VPN. В VPN указывается указываются шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable:
...
Произведем настройку настройку PKI-клиента. Необходимо заполнить отличительное имя, URL для подключения к PKI-серверу (в случае маршрутизатора R2 - – внешний IP-адрес маршрутизатора R1), раннее полученый ранее полученный цифровой отпечаток сертификата PKI-сервера и доменное имя маршрутизатора в качестве альтернативного имени клиентского сертификата:
| Блок кода |
|---|
esr(config)# crypto pki trustpoint TP_R2 esr(config-trustpoint)# subject-name esr(config-trustpoint-subject-name)# country RU esr(config-trustpoint-subject-name)# state Moscow esr(config-trustpoint-subject-name)# locality Moscow esr(config-trustpoint-subject-name)# organization Company esr(config-trustpoint-subject-name)# common-name r2.company.loc esr(config-trustpoint-subject-name)# exit esr(config-trustpoint)# subject-alt-name esr(config-trustpoint-san)# dns r2.company.loc esr(config-trustpoint-san)# exit esr(config-trustpoint)# url http://198.51.100.1/ esr(config-trustpoint)# fingerprint 79:D2:B6:7E:DF:77:2D:C5:27:68:99:10:BA:EC:D2:47 esr(config-trustpoint)# challenge-password password esr(config-trustpoint)# enable esr(config-trustpoint)# exit esr(config)# |
| Scroll Pagebreak |
|---|
Перейдем к настройке VPN.
...
Создадим политику протокола IKE. В политике указываем раннее ранее созданный набор алгоритмов, в качестве метода аутентификации выбираем "trustpoint" «trustpoint» и в команде "crypto trustpoint" указываем имя раннее ранее созданного PKI-клиента, выписываемые им сертификаты будут использованы при аутентификации IKE-сессии:
...
Создадим шлюз протокола IKE. В данном разделе привяжем раннее ранее созданную политику протокола IKE, укажем IP-адреса для построения IPsec туннеля и набор локальных и удаленных сетей, трафик между которыми необходимо будет шифровать. Также Также укажем версию протокола IKE и "policy«policy-based" based» в качестве режима перенаправления трафика в туннель:
| Примечание |
|---|
Важным моментом при настройке аутентификации по сертификатам X.509 является указание корректных "local id" и "remote id"«local id» и «remote id», присутствующих в сертификатах в качестве альтернативных имен сертификата. Поскольку раннее ранее в настройках PKI-клиента в качестве альтернативного имени было указано полное доменное имя маршрутизатора - – укажем его и в командах "local id" и " и remote id". |
| Блок кода |
|---|
esr(config)# security ike gateway ike_gw1 esr(config-ike-gw)# ike-policy ike_pol1 esr(config-ike-gw)# remote address 198.51.100.1 esr(config-ike-gw)# remote network 10.0.0.0/16 esr(config-ike-gw)# local address 203.0.113.1 esr(config-ike-gw)# local network 192.0.2.0/24 esr(config-ike-gw)# local id dns r2.company.loc esr(config-ike-gw)# remote id dns r1.company.loc esr(config-ike-gw)# mode policy-based esr(config-ike-gw)# exit |
| Scroll Pagebreak |
|---|
Создадим Создадим набор алгоритмов для IPsec-туннеля. В нем укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:
...
Создадим политику для IPsec-туннеля. В политике указывается раннее ранее описанный набор алгоритмов для IPsec-туннеля.
...
Создадим IPsec VPN. В VPN указывается указываются шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable:
...
<MODE> – режим переподключения, принимает следующие значения:
- no – установленное подключение XAUTH будет удалено, если для нового подключения XAUTH инициатором соединения будет отправлено уведомление "INITIAL_CONTACT", будет назначен ранее использованный IP-адрес. В противном случае, установленное соединение XAUTH будет удержано. Для нового подключения XAUTH будет назначен новый IP-адрес.
- never – установленное подключение XAUTH будет удержано. Для нового подключения XAUTH будет назначен новый IP-адрес. Уведомление "INITIAL_CONTACT" будет в любом случае проигнорировано.
- replace – установленное подключение XAUTH будет удалено. Для нового подключения XAUTH будет использован ранее использованный IP-адрес.
- keep – установленное подключение XAUTH будет удержано. Новое подключение XAUTH будет отклонено.
...