Все сказанное (в контексте настроек ) будет также справедливо с одной стороны для роутеров D-Link DFL-210 и D-Link DFL-800, D-Link DFL-860 и с другой стороны для всей линейки HP MSR, например MSR 20-11, MSR30-40 и т.д. с операционной системой Comware.
Версия firmware у D-Link DFL 260: 2.26.00.06-12653 Sep 23 2009
Версия Comware у HP MSR 900: Version 5.20, Release 2104P02
По условиям задачи нужно объединить несколько локальных сетей по разные стороны этих роутеров.
За роутером HP MSR 900 находятся следующие локальные сети:
172.24.24.0 /24, 172.24.27.0 /24, 172.24.28.0 /24, 7.7.7.0 /25
За роутером D-Link DFL-260 находятся следующие локальные сети:
192.168.10.0 /24, 192.168.97.0 /24, 192.168.99.0 /24
Каждая сеть должна взаимодействовать с каждой сетью посредством защищенного канала IPsec.
Настройка IPSec на D-Link:
В разделе Objects -> Address book указываем переменные названия сетей, которые будут использоваться в настройке, а также внешний адрес удаленной системы:
Рис. 1
На вкладке General указываем «интересный» трафик для шифрования: в данном случае это пакеты, с source address, входящие в список local_nets направляющиеся в удаленные сети описываемые списком treolan_nets (Remote network). Так же в этой вкладке указывается внешний IP-адрес удаленной системы (peer) описанный в переменной treolan_wan_ip, режим инкапсуляции (в данном случае Tunnel, но так же может быть и Transport). Далее указываются алгоритмы двух фаз IPSec. В этом заключается главная сложность, так как они указываются не явно, а в виде прессетов, как в данном случае – High, который включает себя сразу несколько алгоритмов (3des, aes-128). Соответственно, на другой стороне должны быть предложены алгоритмы из этого списка. Так же указываются таймеры для первой и второй фазы.
Рис.2
На вкладке Authentication выбираем способ аутентификации – либо посредством сертификатов X.509 либо, как в данном случае посредством pre-shared key. Так же на этой вкладке выбирается ID Type – в данном случае Auto.
Рис 3.
Вкладка XAuth расширенной аутентификации. В данном примере мы не используем расширенную аутентификацию по логину и паролю.
Рис. 4
Во вкладке Routing не параметров, напрямую связанных с IPSec, но в ней следует выставить
параметры , для того, чтобы в таблицу роутинга D-Link добавлялся маршрут удаленной сети, после установления защищенного соединения. Так же тут можно выставить параметры для DHCP, MTU.
Рис. 5
На вкладке IKE Settings выставляются параметры первой фазы IKE, в данном случае мы используем способ обмена данными Main, и PFS DH group 2. Так же в этой вкладке выставляется на какой основе будут использоваться SA (в данном случае на основе сетей), использование NAT traversal и Dead Peer Detection.
Рис. 6
Следующие две вкладки Keep-alive и Advanced определяют параметры keep-alive и необходимость добавления рута для удаленной сети автоматически в таблицу роутинга, что на мой взгляд дублирует параметр на вкладке Routing.
Рис. 7
Рис. 8
Во вкладке файервола следует определить, как будут взаимодействовать сети между собой, явно разрешить прохождение трафика:
Рис. 9
Настройки на HP MSR 900
Роутер HP MSR 900 может быть настроен как посредством web-интерфейса, так и посредством командной строки. В данном примере приводится настройка роутера посредством командной строки в соответствии с настройками, сделанными выше на роутере D-Link DFL-200.
Определяем интересный трафик, который должен подвергнутся шифрованию, посредством ACL:
acl number 3102
rule 0 permit ip source 172.24.24.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 5 permit ip source 172.24.24.0 0.0.0.255 destination 192.168.99.0 0.0.0.255
rule 10 permit ip source 172.24.24.0 0.0.0.255 destination 192.168.97.0 0.0.0.255
rule 15 permit ip source 172.24.27.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 20 permit ip source 172.24.27.0 0.0.0.255 destination 192.168.99.0 0.0.0.255
rule 25 permit ip source 172.24.27.0 0.0.0.255 destination 192.168.97.0 0.0.0.255
rule 30 permit ip source 172.24.28.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 35 permit ip source 172.24.28.0 0.0.0.255 destination 192.168.99.0 0.0.0.255
rule 40 permit ip source 172.24.28.0 0.0.0.255 destination 192.168.97.0 0.0.0.255
rule 45 permit ip source 7.7.7.0 0.0.0.127 destination 192.168.10.0 0.0.0.255
Определяем параметры первой фазы (IKE):
ike proposal 30
encryption-algorithm aes-cbc 128
dh group2
authentication-algorithm md5
sa duration 28800
Определяем pre-shared key и внешний ip-address удаленной стороны:
ike peer dlink
pre-shared-key cipher tV25g2ESoeV6NW8L+60nNQ==
remote-address 82.179.xx.xx
Определяем параметры второй фазы IPSec:
ipsec proposal tran1
esp authentication-algorithm sha1
esp encryption-algorithm aes 128
Создаем policy map, который будет применен к внешнему интерфейсу:
ipsec policy map_dlink 10 isakmp
security acl 3102
pfs dh-group2
ike-peer dlink
proposal tran1
Применяем созданный policy map к внешнему интерфейсу:
interface Ethernet0/0
ipsec policy map_dlink
Определяем роутинг для удаленных сетей, в данном случае он совпадает с default-routing, в противном случае здесь нужно было бы описать все удаленные сети и направить их на тот интерфейс, к которому привязан policy map:
ip route-static 0.0.0.0 0.0.0.0 195.26.xx.zz1
Комментариев нет:
Отправить комментарий