вторник, 10 мая 2011 г.

Туннель IPSec между HP MSR 900 и D-Link DFL200

В данном примере рассматривается взаимодействие роутеров двух разных вендоров по протоколу IPSec для создания защищенного соединения между двумя сайтами. В примере участвуют роутеры D-Link DFL-260 и HP MSR 900.

Все сказанное (в контексте настроек )  будет также справедливо  с одной стороны для роутеров D-Link DFL-210 и D-Link DFL-800, D-Link DFL-860 и с другой стороны для всей линейки HP MSR, например MSR 20-11, MSR30-40 и т.д. с операционной системой Comware.
Версия firmware у D-Link DFL 260: 2.26.00.06-12653 Sep 23 2009
Версия Comware у HP MSR 900: Version 5.20, Release 2104P02
По условиям задачи нужно объединить несколько локальных сетей по разные стороны этих роутеров.
За роутером HP MSR 900 находятся следующие локальные сети:
172.24.24.0 /24,  172.24.27.0 /24,  172.24.28.0 /24,  7.7.7.0 /25
За роутером D-Link DFL-260 находятся следующие локальные сети:
192.168.10.0 /24, 192.168.97.0 /24, 192.168.99.0 /24
Каждая сеть должна взаимодействовать с каждой сетью посредством защищенного канала IPsec.


Настройка IPSec на D-Link:
В разделе Objects -> Address book указываем переменные названия сетей, которые будут использоваться в настройке, а также внешний адрес удаленной системы:
Рис. 1

На вкладке General указываем «интересный» трафик для шифрования: в данном случае это пакеты, с source address, входящие в список local_nets направляющиеся в удаленные сети описываемые списком treolan_nets (Remote network). Так же в этой вкладке указывается внешний IP-адрес удаленной системы (peer) описанный в переменной treolan_wan_ip, режим инкапсуляции (в данном случае Tunnel, но так же может быть и Transport). Далее указываются алгоритмы двух фаз IPSec. В этом заключается главная сложность, так как они указываются не явно, а в виде прессетов, как в данном случае – High, который включает себя сразу несколько алгоритмов (3des, aes-128).  Соответственно, на другой стороне должны быть предложены алгоритмы из этого списка. Так же указываются таймеры для первой и второй фазы.
Рис.2

На вкладке Authentication выбираем способ аутентификации – либо посредством сертификатов X.509 либо, как в данном случае посредством pre-shared key. Так же на этой вкладке выбирается ID Type – в данном случае Auto.

Рис 3.
Вкладка XAuth расширенной аутентификации. В данном примере мы не используем расширенную аутентификацию по логину и паролю.


Рис. 4

Во вкладке Routing не параметров, напрямую связанных с IPSec, но в ней следует выставить

параметры , для того, чтобы в таблицу роутинга D-Link добавлялся маршрут удаленной сети, после установления защищенного соединения. Так же тут можно выставить параметры для DHCP, MTU.

Рис. 5

На вкладке IKE Settings выставляются параметры первой фазы IKE, в данном случае мы используем способ обмена данными Main, и PFS DH group 2. Так же в этой вкладке выставляется на какой основе будут использоваться SA (в данном случае на основе сетей), использование NAT traversal и Dead Peer Detection.



Рис. 6



Следующие две вкладки Keep-alive и Advanced определяют параметры keep-alive и необходимость добавления рута для удаленной сети автоматически в таблицу роутинга, что на мой взгляд дублирует параметр на вкладке Routing.

 Рис. 7

Рис. 8


Во вкладке файервола следует определить, как будут взаимодействовать сети между собой, явно разрешить прохождение трафика:
Рис. 9

Настройки на HP MSR 900

Роутер HP MSR 900 может быть настроен как посредством web-интерфейса, так и посредством командной строки. В данном примере приводится настройка роутера посредством командной строки в соответствии с настройками, сделанными выше на роутере D-Link DFL-200.

Определяем интересный трафик, который должен подвергнутся шифрованию, посредством ACL:
acl number 3102
 rule 0 permit ip source 172.24.24.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
 rule 5 permit ip source 172.24.24.0 0.0.0.255 destination 192.168.99.0 0.0.0.255
 rule 10 permit ip source 172.24.24.0 0.0.0.255 destination 192.168.97.0 0.0.0.255
 rule 15 permit ip source 172.24.27.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
 rule 20 permit ip source 172.24.27.0 0.0.0.255 destination 192.168.99.0 0.0.0.255
 rule 25 permit ip source 172.24.27.0 0.0.0.255 destination 192.168.97.0 0.0.0.255
 rule 30 permit ip source 172.24.28.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
 rule 35 permit ip source 172.24.28.0 0.0.0.255 destination 192.168.99.0 0.0.0.255
 rule 40 permit ip source 172.24.28.0 0.0.0.255 destination 192.168.97.0 0.0.0.255
 rule 45 permit ip source 7.7.7.0 0.0.0.127 destination 192.168.10.0 0.0.0.255

Определяем параметры первой фазы (IKE):
ike proposal 30
 encryption-algorithm aes-cbc 128
 dh group2
 authentication-algorithm md5
 sa duration 28800

Определяем pre-shared key и внешний ip-address удаленной стороны:
ike peer dlink
 pre-shared-key cipher tV25g2ESoeV6NW8L+60nNQ==
 remote-address 82.179.xx.xx

Определяем параметры второй фазы IPSec:
ipsec proposal tran1
 esp authentication-algorithm sha1
 esp encryption-algorithm aes 128

Создаем policy map, который будет применен к внешнему интерфейсу:
ipsec policy map_dlink 10 isakmp
 security acl 3102
 pfs dh-group2
 ike-peer dlink
 proposal tran1

Применяем созданный policy map к внешнему интерфейсу:
interface Ethernet0/0
  ipsec policy map_dlink

Определяем роутинг для удаленных сетей, в данном случае он совпадает с default-routing, в противном случае здесь нужно было бы описать все удаленные сети и направить их на тот интерфейс, к которому привязан policy map:
ip route-static 0.0.0.0 0.0.0.0 195.26.xx.zz1

Комментариев нет:

Отправить комментарий