Сравнение версий

Старая версия 9

changes.mady.by.user Шарипова Людмила Дамировна

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Шарипова Людмила Дамировна

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Блок кода
esr(config)# security ipsec policy ipsec_pol1
esr(config-ipsec-policy)# proposal ipsec_prop1
esr(config-ipsec-policy)# exit

Scroll Pagebreak

Создадим Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable:

...

R2 IP-адрес – 203.0.113.1;

Scroll Pagebreak

PKI:

  • R1 выступает в роли PKI-сервера – удостоверяющего центра с самоподписанным сертификатом;
  • На R1 и R2 настраиваются PKI-клиенты, запрашивающие выпуск сертификатов для IPsec VPN на R1.

...

  • группа Диффи-Хэллмана: 2;
  • алгоритм шифрования: AES 128 bit;
  • алгоритм аутентификации: MD5;
  • аутентификация по сертификатам X.509.
    Scroll Pagebreak

IPsec:

  • алгоритм шифрования: AES 128 bit;
  • алгоритм аутентификации: MD5.

...

Блок кода
esr(config)# crypto pki server 
esr(config-pki-server)# subject-name 
esr(config-pki-server-subject-name)# country RU
esr(config-pki-server-subject-name)# state Moscow
esr(config-pki-server-subject-name)# locality Moscow
esr(config-pki-server-subject-name)# organization Company
esr(config-pki-server-subject-name)# common-name ca.company.loc
esr(config-pki-server-subject-name)# exit
esr(config-pki-server)# source-interface gi 1/0/1
esr(config-pki-server)# challenge-password password
esr(config-pki-server)# lifetime 7
esr(config-pki-server)# enable 
esr(config-pki-server)# exit
esr(config)#

Scroll Pagebreak

На этом этапе необходимо применить конфигурацию на маршрутизаторе, чтобы получить цифровой отпечаток сертификата PKI-сервера из вывода команды команды show crypto pki server, он понадобится в дальнейшей настройке PKI-клиентов:

...

Блок кода
esr(config)# security ike proposal ike_prop1
esr(config-ike-proposal)# dh-group 2
esr(config-ike-proposal)# authentication algorithm md5
esr(config-ike-proposal)# encryption algorithm aes128
esr(config-ike-proposal)# exit

Scroll Pagebreak

Создадим политику протокола IKE. В политике указываем ранее созданный набор алгоритмов, в качестве метода аутентификации выбираем "trustpoint" и в команде команде crypto trustpoint указываем имя ранее созданного PKI-клиента, выписываемые им сертификаты будут использованы при аутентификации IKE-сессии:

...

Блок кода
esr(config)# security ipsec policy ipsec_pol1
esr(config-ipsec-policy)# proposal ipsec_prop1
esr(config-ipsec-policy)# exit

Scroll Pagebreak

Создадим Создадим IPsec VPN. В VPN указываются шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable:

...

Блок кода
esr(config)# crypto pki trustpoint TP_R2
esr(config-trustpoint)# subject-name 
esr(config-trustpoint-subject-name)# country RU
esr(config-trustpoint-subject-name)# state Moscow
esr(config-trustpoint-subject-name)# locality Moscow
esr(config-trustpoint-subject-name)# organization Company
esr(config-trustpoint-subject-name)# common-name r2.company.loc
esr(config-trustpoint-subject-name)# exit
esr(config-trustpoint)# subject-alt-name
esr(config-trustpoint-san)# dns r2.company.loc
esr(config-trustpoint-san)# exit
esr(config-trustpoint)# url http://198.51.100.1/
esr(config-trustpoint)# fingerprint 79:D2:B6:7E:DF:77:2D:C5:27:68:99:10:BA:EC:D2:47
esr(config-trustpoint)# challenge-password password
esr(config-trustpoint)# enable 
esr(config-trustpoint)# exit
esr(config)#

Scroll Pagebreak

Перейдем к настройке VPN.

...

Блок кода
esr(config)# security ike gateway ike_gw1
esr(config-ike-gw)# ike-policy ike_pol1
esr(config-ike-gw)# remote address 198.51.100.1
esr(config-ike-gw)# remote network 10.0.0.0/16
esr(config-ike-gw)# local address 203.0.113.1
esr(config-ike-gw)# local network 192.0.2.0/24
esr(config-ike-gw)# local id dns r2.company.loc
esr(config-ike-gw)# remote id dns r1.company.loc
esr(config-ike-gw)# mode policy-based
esr(config-ike-gw)# exit

Scroll Pagebreak

Создадим Создадим набор алгоритмов для IPsec-туннеля. В нем укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:

...

<MODE> – режим переподключения, принимает следующие значения:

  • no – установленное подключение XAUTH будет удалено, если для нового подключения XAUTH инициатором соединения будет отправлено уведомление "INITIAL_CONTACT", будет назначен ранее использованный IP-адрес. В противном случае, установленное соединение XAUTH будет удержано. Для нового подключения XAUTH будет назначен новый IP-адрес.
  • never – установленное подключение XAUTH будет удержано. Для нового подключения XAUTH будет назначен новый IP-адрес. Уведомление "INITIAL_CONTACT" будет в любом случае проигнорировано.
  • replace – установленное подключение XAUTH будет удалено. Для нового подключения XAUTH будет использован ранее использованный IP-адрес.
  • keep – установленное подключение XAUTH будет удержано. Новое подключение XAUTH будет отклонено. 

...