Примеры настройки защищенных тунелей (Virtual Private Network) на базе IPSec 0) Описание стенда приватные сети сеть 11.0.0.0/8 ! сеть 15.0.0.0/8 ! открытая часть сети сеть 111.0.0.0/8 ! сеть 211.0.0.0/8 ! I ! I ! V NSG-800 роутер с VPN (пограничный роутер) A = публичная сеть 10.0.0.0/8 = защищенный тунель 11.0.0.0/8 <=> 12.0.0.0/8 -- AH (AH-MD5_HMAC) = защищенный тунель 15.0.0.0/8 <=> 16.0.0.0/8 -- AH (AH-SHA-HAMC) = защищенный тунель 111.0.0.0/8 <=> 112.0.0.0/8 -- ESP (ESP-DES) = защищенный тунель 211.0.0.0/8 <=> 212.0.0.0/8 -- ESP (ESP-3DES-SHA) = = V cisco2600 роутер с VPN (пограничный роутер) A I ! V ! сеть 12.0.0.0/8 ! сеть 16.0.0.0/8 ! открытая часть сети сеть 112.0.0.0/8 ! сеть 212.0.0.0/8 ! Трафик приватных сетей передается в защищенных тунелях между интерфейсами пограничных маршрутизаторов 10.0.2.17 (NSG-800) и 10.0.0.31 (Cisco-2600). Весь остальной трафик принимается и отсылается указанными интерфейсами без какой-либо обработки. 1). Организация защищенного тунеля между сетями с использованием механизма аутентификации Authentication Header (AH) MD5-HMAC. a) Настройка NSG-800 - Конфигурирование диапазона адресов, которые нужно отсылать в защищенном тунеле ! access-list 151 permit ip 11.0.0.0 0.255.255.255 12.0.0.0 0.255.255.255 ! - Создание правила преобразования (обработки) трафика, направляемого и получаемого из тунеля. Определить механизм аутентификации (AH) MD5-HMAC ! crypto transform-set 1 ah ah-md5-hmac ! - Описание тунеля. Назначение индекса (SPI) и определение секретного ключа. Установка ссылок на соответстующие правило преобразование и диапазон адресов, защищаемого трафика. Определение IP-адреса конечной точки тунеля (интерфейс маршрутизатора, работающего в паре с данным) ! crypto map 1 10 set transform-set 1 set peer 10.0.0.31 set session-key ah 1000 authenticator 11223344556677889900112233445566 match address 151 ! - Включение механизма тунелирования на интерфейсе, который начинает защищенный тунель. ! interface eth0 crypto map 1 ! б) Настройка со стороны cisco access-list 151 permit ip 12.0.0.0 0.255.255.255 11.0.0.0 0.255.255.255 crypto ipsec transform-set 1 ah-md5-hmac ! crypto map 3 10 ipsec-manual set peer 10.0.2.17 set session-key inbound ah 1000 11223344556677889900112233445566 set session-key outbound ah 1000 11223344556677889900112233445566 set transform-set 1 match address 151 ! interface FastEthernet0/0 ip address 10.0.0.31 255.0.0.0 crypto map 3 в) Краткое описание работы стенда трафик между приватными сетяим 11.0.0.0/8 и 12.0.0.0/8 отсылается по публичной сети 10.0.0.0 в некотором безопасном тунеле. Тунель образован между роутерами NSG-800 (10.0.2.17) и cisco (10.0.0.31). Весь пакет, ключая заголовок, передается как данные в IP-пакете между двумя роутерами. В результирующем пакете присутствует также значение хэш-функции над исходным пакетом, что подтверждает его аутентичность и целостность. 2. Организация защищенного тунеля между сетями с использованием механизма аутентификации Authentication Header (AH) SHA1-HMAC. Отличие от предыдущего примера заключается только в определении иного правила преобразования (transform-set) и диапазона адресов (access-list). - На роутере NSG-800 ! crypto transform-set 2 ah ah-sha-hmac ! access-list 152 permit ip 15.0.0.0 0.255.255.255 16.0.0.0 0.255.255.255 ! ! crypto map 1 20 set transform-set 2 set peer 10.0.0.31 set session-key ah 2000 authenticator 1122334455667788990011223344556677889900 match address 152 ! interface eth0 crypto map 1 - На роутере Cisco-2600 ! crypto ipsec transform-set 2 ah-sha-hmac ! crypto map 3 20 ipsec-manual set peer 10.0.2.17 set session-key inbound ah 2000 1122334455667788990011223344556677889900 set session-key outbound ah 2000 1122334455667788990011223344556677889900 set transform-set 2 match address 152 ! access-list 152 permit ip 16.0.0.0 0.255.255.255 15.0.0.0 0.255.255.255 3. Организация закрытого защищенного тунеля между сетями с использованием протокола Encapsulating Security Payload (ESP). В приведенном примере шифрование данных исходного пакета осуществляется с использованием 56-битного ключа (DES-CBC), опциональная возможность аутентификации не используется. Схема стенда практически идентична п.1, за исключением: - диапазон адресов (приватных) сетей, который должен передаваться в закрытом тунеле (111.0.0.0/8 и 112.0.0.0/8). - определение иных правил преобразования (transform-set), соответствующих протоколу ESP (с использованием DES-шифрования). a) Настройки роутера NSG-800 ! access-list 153 permit ip 111.0.0.0 0.255.255.255 112.0.0.0 0.255.255.255 ! crypto transform-set 3 esp des ! crypto map 1 30 set transform-set 3 set peer 10.0.0.31 set session-key esp 3000 cipher 1122334455667788 match address 153 ! interface eth0 crypto map 1 ! б) Настройки роутера Cisco-2600 ! crypto ipsec transform-set 3 esp-des ! crypto map 3 30 ipsec-manual set peer 10.0.2.17 set session-key inbound esp 3000 cipher 1122334455667788 set session-key outbound esp 3000 cipher 1122334455667788 set transform-set 3 match address 153 ! access-list 153 permit ip 112.0.0.0 0.255.255.255 111.0.0.0 0.255.255.255 ! interface FastEthernet0/0 ip address 10.0.0.31 255.0.0.0 crypto map 3 ! в) Краткое описание работы стенда трафик между приватными сетяим 111.0.0.0/8 и 112.0.0.0/8 отсылается по публичной сети 10.0.0.0 в некотором безопасном тунеле. Тунель образован между роутерами NSG-800 (10.0.2.17) и cisco (10.0.0.31). Весь пакет, ключая заголовок, шифруется по алгоритму DES (длина ключа 56-бит ) и передается как данные в IP-пакете между двумя роутерами. На противоположной стороне тунеля данные пакета расшифровываются и передаются в соответствующую приватную сеть. 4. Организация закрытого защищенного тунеля между сетями с использованием протокола Encapsulating Security Payload (ESP) и дополнительно Authentication Header (AH). В приведенном примере шифрование данных исходного пакета осуществляется с использованием 168-битного ключа (DES-CBC), опциональная возможность аутентификации в протоколе ESP - вариант SHA. Схема стенда практически идентична п.1, за исключением: - диапазон адресов (приватных) сетей, который должен передаваться в закрытом тунеле (211.0.0.0/8 и 212.0.0.0/8). - определение иных правил преобразования (transform-set), соответствующих протоколу ESP (с использованием 3DES-шифрования) и аутентификация в рамках протокола ESP - вариант SHA. a) Настройки роутера NSG-800 ! access-list 154 permit ip 211.0.0.0 0.255.255.255 212.0.0.0 0.255.255.255 ! crypto transform-set 4 esp 3des-sha-hmac ! crypto map 1 40 set transform-set 4 set peer 10.0.0.31 set session-key esp 4000 cipher 112233445566778899001122334455667788990011223344 authenticator 1122334455667788990011223344556677889900 match address 154 ! ! interface eth0 crypto map 1 ! б) Настройки роутера Cisco-2600 ! crypto ipsec transform-set 4 esp-3des esp-sha-hmac ! crypto map 3 40 ipsec-manual set peer 10.0.2.17 set session-key inbound esp 4000 cipher 112233445566778899001122334455667788990011223344 authenticator 1122334455667788990011223344556677889900 set session-key outbound esp 4000 cipher 112233445566778899001122334455667788990011223344 authenticator 1122334455667788990011223344556677889900 set transform-set 4 match address 154 ! access-list 154 permit ip 212.0.0.0 0.255.255.255 211.0.0.0 0.255.255.255 ! interface FastEthernet0/0 ip address 10.0.0.31 255.0.0.0 crypto map 3 ! в) Краткое описание работы стенда трафик между приватными сетяим 211.0.0.0/8 и 212.0.0.0/8 отсылается по публичной сети 10.0.0.0 в некотором безопасном тунеле. Тунель образован между роутерами NSG-800 (10.0.2.17) и cisco (10.0.0.31). Весь пакет, ключая заголовок, шифруется по алгоритму 3DES (длина ключа 168-бит ) и передается как данные в IP-пакете между двумя роутерами. Дополнительно передается аутентификационный заголовок (вариант SHA), обеспечивающий аутентичность и целостность.