IPSec Настройка. Практика.

2021.07.10. Kurapov Alexey.

IPSec. Настройка.

IPsec – это набор протоколов, использующихся для обеспечения сервисов приватности и аутентификации на сетевом уровне модели OSI. Эти протоколы можно разделить на два класса – протоколы защиты передаваемых данных (AH, ESP) и протоколы обмена ключами (IKE).

Для установления безопасных Интернет сессий необходимы однонаправленные Secure associations (SA) между участниками соединений. SA определяют, какие операции должны применяться к пакету. Они определяют: метод аутентификации, алгоритм шифрования, ключи шифрования и аутентификации, время жизни ключа шифрования, время жизни SA и номер последовательности (sequence number) для предотвращения повторений.

Secure associations могут быть установлены вручную или автоматически. Для автоматического установления SA используется IKE.

     Рассмотрим следующую топологию:

Построение IP соединения проходит в две фазы:

1.      ISAKMP SA – происходит согласование ISAKMP Policy:

  • ·        метода аутентификации – PSK или PKI,
  • ·        метода безопасного обмена крипто ключами – DH Group,
  • ·        метода шифрования
  • ·        метода хэширования.

 Настройка ISAKMP Policy:

 

 

Просмотр ISAKMP Policy:

 

                                 

Настройка PSK (pre-shared key)

 

Просмотр PSK (pre-shared key):

 

2.      IPSec SA – происходит согласование политик для основного IPSec туннеля, а именно:

  • ·        протокола – ESP или AH,
  • ·        метода инкапсуляции – Tunnel или Transport,
  • ·        метода шифрования,
  • ·        метода хэширования,
  • ·        Proxy Identities – какой трафик подлежит шифрованию.

             Настройка IPSec Transform-Set:

указали

  • ·        метод шифрования –AES,
  • ·        метод хэширования  - SHA,  HMAC (добавляет в функцию хэширования секретную часть),
  • ·        метод инкапсуляции – Tunnel 


Просмотр IPSec Transform-Set: 

                                 

        Определим Proxy Identities – какой трафик подлежит шифрованию.

       Для этого создадим access-list и crypto map, crypto map прикрепим  к интерфейсу

    1. ACL:

 

         В ACL указываем интересующий нас трафик – от хоста с адресом 1.1.1.1 до хоста – 2.2.2.2, обратный трафик, также будет шифроваться.

     2. Crypto Map:

ipsec-isakmp – тип crypto-map.             

               

      Просмотр конфигурации ACL и Crypto-Map:

                                 

           3. Crypto-map вешаем на sub интерфейс:

 

    Прописываем маршруты по умолчанию: 

 

                        

          Проверка:

1.          Запускаем ping c R1 до R2:

Данные не подвергаются шифрованию, т.к. не подпадают по ACL:

 

2.  

        Запускаем ping c R1 до R2 с указанием source:

 

В Wireshark видим, что данные шифруются в обе стороны:

 

                               

            Т.о. настроили ip sec туннель, в следующих статьях рассмотрим более подробно команды для проверки ipsec туннеля, отличия протоколов ESP и AH и режимов tunnel и transport, а также будет приведена полная конфигурация маршрутизаторов.

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

Изображение
Nexus NX-OS. vPC. Практика. Часть 1. 2021.11. 24 . Kurapov Alexey .   Nexus NX-OS. vPC. Part 1. Nexus и Catalyst -   одно из отличий: Nexus   - коммутаторы Cisco со скоростью коммутации с порта на порт, не более 2-3 мкс, в отличии от, например, Catalyst 9 x 00 , с задержкой порядка 50 мкс. В больших или распределенных ЦОД-ах, при наличии множества next - hop , данный параметр является критичным для ряда приложений, когда требуется задержка при обращении сервера приложений к БД на уровне не более 2-3 мс.   vPC – для чего? В кампусных сетях для обеспечения надежности доступности хостов или сетевого оборудования в L 2 домене используется понятие LACP – несколько линков работают одновременно и не блокируются протоколом STP .   Особенно важно обеспечить аналогичную работу в ЦОД-е/-ах, где используются 10/25/40/100 Gb линки и неиспользование части из них весьма дорого. В обычной ситуации сервер подключенный к двум разным физическим коммутаторам...
Далее...
Изображение
  MPLS Part 3.  Практика . MPLS LDP Tunnels Part 3. 2023.05.10. Kurapov Alexey. MPLS Part 3 MPLS LDP Tunnels Part 3                     Схема сети такая же, как и раньше:   Рассмотрим откуда берутся метки.                     В выводе команды show ip cef , также есть MPLS метка:                       Откуда берутся метки? Как только включаем LDP на интерфейсах, появляется дополнительная таблица – таблица MPLS Forwarding :                     Данная таблица называется LIB – Label Information Base , или LFIB – Label Forwarding Information Base , в ней есть метки для всех известных R 1 префиксов.   ...
Далее...
Изображение
MPLS Part 8.  Практика . MPLS  L3 VPN Part 5. MPLS L3 VPN PE-CE routing with OSPF Part 1. 2023.09.19. Kurapov Alexey. MPLS Part 8 MPLS L3 VPN Part 5                   MPLS L3 VPN PE-CE routing with OSPF Part 1.                       Топология сети не изменилась:                         Ранее научились отдавать connected сети, теперь перейдем к динамической маршрутизации – CE - PE routing .                     PE – Provider Router , этот роутер терминирует на себе vrf .                     CE – граничный роутер клиента, смотрит в сторо...
Далее...