В этом посте будет рассмотрено создание ipsec-туннелей между Cisco 2811 и HP MSR900 в двух вариантах:
а) Site-to-site ipsec с привязкой crypto map к внешнему интерфейсу;
б) IPSec с использованием ipsec profile и привязкой к виртуальным интерфейсам (VTI)
Рассмотрим первый вариант настройки классического site-to-site туннеля с привязкой crypto map к внешнему интерфейсу. "Интересный" трафик, которые подлежит шифрованию в этом случае определяется соответствующим access-list. Будем считать, что нужно организовать обмен зашифрованным трафиком между сетью 172.21.21.0/24 (за Cisco 2811) и сетью 172.24.24.0/24 (за HP MSR 900). Настройки первой и второй фазы IPSEC в первом и втором варианте решений будут одинаковыми.
######################## Конфигурация ispec посредством crypto map Cisco2811:
# ACL для выделения трафика, подлежащего шифрованию
access-list 101 permit ip 172.21.21.0 0.0.0.255 172.24.24.0 0.0.0.255
#настройки первой фазы ipsec
crypto isakmp policy 5
hash md5
authentication pre-share
encryption des
group 2
lifetime 28800
crypto isakmp key cisco address 195.26.yy.yy
crypto isakmp aggressive-mode disable
#настройки второй фазы ipsec
crypto ipsec transform-set espdes esp-des esp-md5-hmac
#непосредственно crypto map,который будет привязан к внешнему интерфейсу
crypto map MAP 10 ipsec-isakmp
description TEST_DESCR
set peer 195.26.yy.yy
set security-association lifetime seconds 28800
set transform-set esp3des
set pfs group2
match address 101
#привязка crypto map к интерфейсу
interface GigabitEthernet0/0
crypto map MAP
######################## Конфигурация ispec посредством policy map HP MSR900:
#привязка policy map к интерфейсу:
Проверяем туннель с Cisco
#ping 172.24.24.1 source 172.21.21.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.24.24.1, timeout is 2 seconds:
Packet sent with a source address of 172.21.21.1
!!!!!
#####################################
В некоторых задачах бывает неизвестен трафик, который следует зашифровать и передать на другую сторону туннеля. В этом случае применяется технология виртуальных туннелей (VTI). Трафик направленный в этот туннель будет зашифрован.
######################## Конфигурация ispec посредством profile и VTI Cisco2811:
#параметры первой фазы ipsec:
crypto isakmp policy 5
hash md5
authentication pre-share
encryption des
group 2
lifetime 28800
crypto isakmp key cisco address 195.26.yy.yy
crypto isakmp aggressive-mode disable
#параметры второй фазы ipsec
crypto ipsec transform-set espdes esp-des esp-md5-hmac
#создание профиля ipsec:
crypto ipsec profile lanit
set security-association lifetime seconds 28800
set transform-set espdes
set pfs group2
#создания виртуального интерфейса с привязкой к нему профиля шифрования:
interface Tunnel1
ip address 172.25.5.2 255.255.255.0
ip mtu 1440
ip tcp adjust-mss 1440
tunnel source GigabitEthernet0/0
tunnel destination 195.26.yy.yy
tunnel mode ipsec ipv4
tunnel protection ipsec profile lanit
######################## Конфигурация ispec посредством profile и VTI HP MSR900:
#параметры первой фазы ipsec:
ike proposal 10
dh group2
authentication-algorithm md5
encryption-algorithm des-cbc
ike peer cisco
pre-shared-key cisco
remote-address 94.25.xx.xx
#параметры второй фазы ipsec
ipsec proposal tran1
esp authentication-algorithm md5
esp encryption-algorithm des
#создание профиля ipsec:
ipsec profile lanit
pfs dh-group2
ike-peer cisco
proposal tran1
sa duration time-based 28800
#создание виртуального интерфейса с привязкой к нему профиля шифрования:
interface Tunnel1
mtu 1440
ip address 172.25.5.1 255.255.255.0
source 195.26.yy.yy
destination 94.25.xx.xx
ipsec no-nat-process enable
tunnel-protocol ipsec ipv4
ipsec profile lanit
#Проверяем туннель с HP MSR 900
ping 172.25.5.2
##################################################
PS: При конфигурировании ipsec на устройствах разных производителей имеет смысл как можно подробнее конфигурировать параметры обоих фаз ipsec, не полагаясь на настройки по умолчанию, так как у разных вендоров эти default settings могут быть разными и, на первый взгляд, похожие конфигурации могут не совпадать (при этом быть рабочими при работе двух устройств одного вендора).
а) Site-to-site ipsec с привязкой crypto map к внешнему интерфейсу;
б) IPSec с использованием ipsec profile и привязкой к виртуальным интерфейсам (VTI)
В решении участвует маршрутизатор Cisco 2811:
sh version
Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(22)T, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Fri 10-Oct-08 00:05 by prod_rel_team
ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
System image file is "flash:c2800nm-advipservicesk9-mz.124-22.T.bin"
И маршрутизатор HP MSR900:
Comware Software, Version 5.20, Release 2104P02
Copyright (c) 2004-2010 Hangzhou H3C Tech. Co., Ltd. All rights reserved.
H3C MSR900 uptime is 0 week, 0 day, 19 hours, 4 minutes
Last reboot 2011/03/30 11:51:44
System returned to ROM By <Reboot> Command.
CPU type: FREESCALE MPC8313 266MHz
256M bytes DDR2 SDRAM Memory
256M bytes Flash Memory
Рассмотрим первый вариант настройки классического site-to-site туннеля с привязкой crypto map к внешнему интерфейсу. "Интересный" трафик, которые подлежит шифрованию в этом случае определяется соответствующим access-list. Будем считать, что нужно организовать обмен зашифрованным трафиком между сетью 172.21.21.0/24 (за Cisco 2811) и сетью 172.24.24.0/24 (за HP MSR 900). Настройки первой и второй фазы IPSEC в первом и втором варианте решений будут одинаковыми.
######################## Конфигурация ispec посредством crypto map Cisco2811:
# ACL для выделения трафика, подлежащего шифрованию
access-list 101 permit ip 172.21.21.0 0.0.0.255 172.24.24.0 0.0.0.255
#настройки первой фазы ipsec
crypto isakmp policy 5
hash md5
authentication pre-share
encryption des
group 2
lifetime 28800
crypto isakmp key cisco address 195.26.yy.yy
crypto isakmp aggressive-mode disable
#настройки второй фазы ipsec
crypto ipsec transform-set espdes esp-des esp-md5-hmac
#непосредственно crypto map,который будет привязан к внешнему интерфейсу
crypto map MAP 10 ipsec-isakmp
description TEST_DESCR
set peer 195.26.yy.yy
set security-association lifetime seconds 28800
set transform-set esp3des
set pfs group2
match address 101
#привязка crypto map к интерфейсу
interface GigabitEthernet0/0
crypto map MAP
# ACL для выделения трафика, подлежащего шифрованию
acl number 3101
acl number 3101
rule 0 permit ip source 172.24.24.0 0.0.0.255 destination 172.21.21.0 0.0.0.255
#настройки первой фазы ipsec
ike proposal 10
dh group2
authentication-algorithm md5
encryption-algorithm des-cbc
ike peer cisco
pre-shared-key cisco
remote-address 94.25.xx.xx
#настройки второй фазы ipsec
ipsec proposal tran1
esp authentication-algorithm md5
esp encryption-algorithm des
#непосредственно policy map,который будет привязан к внешнему интерфейсу
ipsec policy map1 10 isakmp
security acl 3101
pfs dh-group2
ike-peer cisco
proposal tran1
sa duration time-based 28800
#привязка policy map к интерфейсу:
interface Ethernet0/0
ipsec no-nat-process enable
ipsec policy map1
#ping 172.24.24.1 source 172.21.21.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.24.24.1, timeout is 2 seconds:
Packet sent with a source address of 172.21.21.1
!!!!!
В некоторых задачах бывает неизвестен трафик, который следует зашифровать и передать на другую сторону туннеля. В этом случае применяется технология виртуальных туннелей (VTI). Трафик направленный в этот туннель будет зашифрован.
######################## Конфигурация ispec посредством profile и VTI Cisco2811:
#параметры первой фазы ipsec:
crypto isakmp policy 5
hash md5
authentication pre-share
encryption des
group 2
lifetime 28800
crypto isakmp key cisco address 195.26.yy.yy
crypto isakmp aggressive-mode disable
#параметры второй фазы ipsec
crypto ipsec transform-set espdes esp-des esp-md5-hmac
#создание профиля ipsec:
crypto ipsec profile lanit
set security-association lifetime seconds 28800
set transform-set espdes
set pfs group2
#создания виртуального интерфейса с привязкой к нему профиля шифрования:
interface Tunnel1
ip address 172.25.5.2 255.255.255.0
ip mtu 1440
ip tcp adjust-mss 1440
tunnel source GigabitEthernet0/0
tunnel destination 195.26.yy.yy
tunnel mode ipsec ipv4
tunnel protection ipsec profile lanit
######################## Конфигурация ispec посредством profile и VTI HP MSR900:
#параметры первой фазы ipsec:
ike proposal 10
dh group2
authentication-algorithm md5
encryption-algorithm des-cbc
ike peer cisco
pre-shared-key cisco
remote-address 94.25.xx.xx
#параметры второй фазы ipsec
ipsec proposal tran1
esp authentication-algorithm md5
esp encryption-algorithm des
#создание профиля ipsec:
ipsec profile lanit
pfs dh-group2
ike-peer cisco
proposal tran1
sa duration time-based 28800
#создание виртуального интерфейса с привязкой к нему профиля шифрования:
interface Tunnel1
mtu 1440
ip address 172.25.5.1 255.255.255.0
source 195.26.yy.yy
destination 94.25.xx.xx
ipsec no-nat-process enable
tunnel-protocol ipsec ipv4
ipsec profile lanit
#Проверяем туннель с HP MSR 900
ping 172.25.5.2
PING 172.25.5.2: 56 data bytes, press CTRL_C to break
Reply from 172.25.5.2: bytes=56 Sequence=1 ttl=255 time=41 ms
Reply from 172.25.5.2: bytes=56 Sequence=2 ttl=255 time=42 ms
Reply from 172.25.5.2: bytes=56 Sequence=3 ttl=255 time=39 ms
Reply from 172.25.5.2: bytes=56 Sequence=4 ttl=255 time=40 ms
Reply from 172.25.5.2: bytes=56 Sequence=5 ttl=255 time=44 ms
--- 172.25.5.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 39/41/44 ms
PS: При конфигурировании ipsec на устройствах разных производителей имеет смысл как можно подробнее конфигурировать параметры обоих фаз ipsec, не полагаясь на настройки по умолчанию, так как у разных вендоров эти default settings могут быть разными и, на первый взгляд, похожие конфигурации могут не совпадать (при этом быть рабочими при работе двух устройств одного вендора).
Комментариев нет:
Отправить комментарий