четверг, 31 марта 2011 г.

IPSEC между роутерами Cisco и HP MSR

В этом посте будет рассмотрено создание ipsec-туннелей между Cisco 2811 и HP MSR900 в двух вариантах:
а) Site-to-site ipsec с привязкой crypto map к внешнему интерфейсу;
б) IPSec с использованием ipsec profile и привязкой к виртуальным интерфейсам (VTI)



В решении участвует маршрутизатор Cisco 2811:
sh version
Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(22)T, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Fri 10-Oct-08 00:05 by prod_rel_team

ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)

System image file is "flash:c2800nm-advipservicesk9-mz.124-22.T.bin"

И маршрутизатор HP MSR900:
Comware Software, Version 5.20, Release 2104P02
Copyright (c) 2004-2010 Hangzhou H3C Tech. Co., Ltd. All rights reserved.
H3C MSR900 uptime is 0 week, 0 day, 19 hours, 4 minutes
Last reboot 2011/03/30 11:51:44
System returned to ROM By <Reboot> Command.

CPU type: FREESCALE MPC8313 266MHz
256M bytes DDR2 SDRAM Memory
256M bytes Flash Memory

   Рассмотрим первый вариант настройки классического site-to-site туннеля с привязкой crypto map к внешнему интерфейсу. "Интересный" трафик, которые подлежит шифрованию в этом случае определяется соответствующим access-list. Будем считать, что нужно организовать обмен зашифрованным трафиком между сетью 172.21.21.0/24 (за Cisco 2811) и сетью 172.24.24.0/24 (за HP MSR 900). Настройки первой и второй фазы IPSEC в первом и втором варианте решений будут одинаковыми.

######################## Конфигурация ispec посредством crypto map Cisco2811:



# ACL для выделения трафика, подлежащего шифрованию
access-list 101 permit ip 172.21.21.0 0.0.0.255 172.24.24.0 0.0.0.255
#настройки первой фазы ipsec
crypto isakmp policy 5
 hash md5
 authentication pre-share
 encryption des
 group 2
 lifetime 28800


crypto isakmp key cisco address 195.26.yy.yy
crypto isakmp aggressive-mode disable


#настройки второй фазы ipsec
crypto ipsec transform-set espdes esp-des esp-md5-hmac


#непосредственно crypto map,который будет привязан к внешнему интерфейсу
crypto map MAP 10 ipsec-isakmp
 description TEST_DESCR
 set peer 195.26.yy.yy
 set security-association lifetime seconds 28800
 set transform-set esp3des
 set pfs group2
 match address 101


#привязка crypto map к интерфейсу
interface GigabitEthernet0/0
  crypto map MAP

######################## Конфигурация  ispec посредством policy map  HP MSR900:
# ACL для выделения трафика, подлежащего шифрованию
acl number 3101
 rule 0 permit ip source 172.24.24.0 0.0.0.255 destination 172.21.21.0 0.0.0.255
#настройки первой фазы ipsec
ike proposal 10
 dh group2
 authentication-algorithm md5
 encryption-algorithm des-cbc

ike peer cisco
   pre-shared-key cisco
   remote-address 94.25.xx.xx 

#настройки второй фазы ipsec   
ipsec proposal tran1
  esp authentication-algorithm md5
  esp encryption-algorithm des

#непосредственно policy map,который будет привязан к внешнему интерфейсу
ipsec policy map1 10 isakmp
 security acl 3101
 pfs dh-group2
 ike-peer cisco
 proposal tran1
 sa duration time-based 28800


#привязка policy map к интерфейсу:
interface Ethernet0/0
 ipsec no-nat-process enable
 ipsec policy map1

Проверяем туннель с Cisco

#ping 172.24.24.1 source 172.21.21.1


Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.24.24.1, timeout is 2 seconds:
Packet sent with a source address of 172.21.21.1
!!!!!

#####################################
В некоторых задачах бывает неизвестен трафик, который следует зашифровать и передать на другую сторону туннеля. В этом случае применяется технология виртуальных туннелей (VTI). Трафик направленный в этот туннель будет зашифрован.

######################## Конфигурация ispec посредством profile и VTI Cisco2811:

#параметры первой фазы ipsec: 
crypto isakmp policy 5
 hash md5
 authentication pre-share 
 encryption des
 group 2
 lifetime 28800


crypto isakmp key cisco address 195.26.yy.yy
crypto isakmp aggressive-mode disable


#параметры второй фазы ipsec 
crypto ipsec transform-set espdes esp-des esp-md5-hmac


#создание профиля ipsec:
crypto ipsec profile lanit
 set security-association lifetime seconds 28800
 set transform-set espdes
 set pfs group2


#создания виртуального интерфейса с привязкой к нему профиля шифрования:
interface Tunnel1
 ip address 172.25.5.2 255.255.255.0
 ip mtu 1440
 ip tcp adjust-mss 1440
 tunnel source GigabitEthernet0/0
 tunnel destination 195.26.yy.yy
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile lanit

######################## Конфигурация ispec посредством profile и VTI HP MSR900:

#параметры первой фазы ipsec:
ike proposal 10
 dh group2
 authentication-algorithm md5
 encryption-algorithm des-cbc


ike peer cisco
   pre-shared-key cisco
   remote-address 94.25.xx.xx 


#параметры второй фазы ipsec   
ipsec proposal tran1
  esp authentication-algorithm md5
  esp encryption-algorithm des


#создание профиля ipsec:
ipsec profile lanit
 pfs dh-group2
 ike-peer cisco
 proposal tran1
 sa duration time-based 28800


#создание виртуального интерфейса с привязкой к нему профиля шифрования:
interface Tunnel1
 mtu 1440
 ip address 172.25.5.1 255.255.255.0
 source 195.26.yy.yy
 destination 94.25.xx.xx
 ipsec no-nat-process enable
 tunnel-protocol ipsec ipv4
 ipsec profile lanit

#Проверяем туннель с HP MSR 900
ping 172.25.5.2

  PING 172.25.5.2: 56  data bytes, press CTRL_C to break
    Reply from 172.25.5.2: bytes=56 Sequence=1 ttl=255 time=41 ms
    Reply from 172.25.5.2: bytes=56 Sequence=2 ttl=255 time=42 ms
    Reply from 172.25.5.2: bytes=56 Sequence=3 ttl=255 time=39 ms
    Reply from 172.25.5.2: bytes=56 Sequence=4 ttl=255 time=40 ms
    Reply from 172.25.5.2: bytes=56 Sequence=5 ttl=255 time=44 ms

  --- 172.25.5.2 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 39/41/44 ms



##################################################

PS: При конфигурировании ipsec на устройствах разных производителей имеет смысл как можно подробнее конфигурировать параметры обоих фаз ipsec, не полагаясь на настройки по умолчанию, так как у разных вендоров эти default settings могут быть разными и, на первый взгляд, похожие конфигурации могут не совпадать (при этом быть рабочими при работе двух устройств одного вендора).

Комментариев нет:

Отправить комментарий