Корпоративные VPN на базе Cisco::Журнал СА 6.2009
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6227
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6933
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4217
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3009
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3807
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3824
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6317
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3172
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3462
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7279
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10647
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12367
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14000
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9126
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7079
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5389
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4617
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3428
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3156
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3402
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3027
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Корпоративные VPN на базе Cisco

Архив номеров / 2009 / Выпуск №6 (79) / Корпоративные VPN на базе Cisco

Рубрика: Сети /  Сети

Иван Панин

Корпоративные VPN на базе Cisco

В статье рассматривается несколько технологий построения VPN-туннеля: IPSec VPN Site-to-Site, Easy-VPN и DMVPN на базе маршрутизаторов Cisco. Преимущества и недостатки, топологии и конфигурации.

IPSec VPN Site-to-Site

Первый способ Site-to-Site или Intranet VPN представлен на рис. 1, используется для объединения в защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи. В основе решения лежит сеть VPN с предварительно настроенными в каждой точке входа в сеть туннелями для передачи защищаемого трафика. Таким образом, все политики доступа и параметры взаимодействия конфигурируются отдельно для каждого устройства доступа и каждой удаленной подсети.

Рисунок 1. VPN Site-to-Site

Рисунок 1. VPN Site-to-Site

В данном примере топология представляет собой звезду, маршрутизатор А расположен в центральном офисе компании, В и С – в дополнительных.

Настройка RouterА

Создаем политику ISAKMP (Internet Security Association and Key Management Protocol) с приоритетом 1 (приоритет от 1 до 10000, 1 является самым высоким) и входим в режим конфигурации ISAKMP. Здесь устанавливаем общие параметры для установки туннеля. Указываем алгоритмы хэш-функции и шифрования.

Метод аутентификации. Определяем схему обмена ключами Диффи-Хеллмана [1] (group 2 – 1024 бита, Cisco IOS (Interwork Operating System) также поддерживает 1 и 5 группы) для протокола IKE (Internet Key Exchange). IP-адреса и крипто-ключи должны совпадать с соответствующими на удаленных маршрутизаторах. При смене ключа необходимо очистить крипто-сессию командой:

clear crypto session

Также здесь можно указать время жизни туннеля, команда «lifetime <60-86400>» в секундах.

crypto isakmp policy 1

 hash md5

 encryption 3des

 authentication pre-share

 group 2

crypto isakmp key cisco123 address 172.16.2.1

crypto isakmp key cisco124 address 172.16.3.1

Далее определяется список выполняемых операций (transform – изменений) для установки подлинности данных, конфиденциальности и сжатия. В нашем примере протокол шифрования сетевого трафика ESP (Encapsulation Security Payload) использует DES (Data Encryption Standard) и MD5 (Message Digest 5).

crypto ipsec transform-set rtpset esp-des esp-md5-hmac

Создаем расширенные списки контроля доступа acl (Access Control List) 102 и 103. В них указываем подсети, трафик между которыми будем шифровать.

access-list 102 permit ip 192.168.1.0 0.0.0.255 10.10.2.0 0.0.0.255

access-list 103 permit ip 192.168.1.0 0.0.0.255 10.10.3.0 0.0.0.255

Создаем крипто-карты для удаленных VPN-маршрути-заторов B и C. Указываем соответствующие IP-адреса, определенный ранее transform-set и списки доступа.

Здесь также можно задействовать классификацию качества обслуживания QoS (Quality of Service), до того как пакет попадет в туннель.

crypto map rtp 2 ipsec-isakmp

 set peer 172.16.2.1

 set transform-set rtpset

 match address 102

crypto map rtp 3 ipsec-isakmp

 set peer 172.16.3.1

 set transform-set rtpset

 match address 103

exit

Теперь назначаем внешнему интерфейсу созданную крипто-карту rtp. И указываем максимальный размер сегмента MSS (Maximum Segment Size) [2].

interface GigabitEthernet0/1

 ip address 172.16.1.1 255.255.255.0

 ip tcp adjust-mss 1400

 crypto map rtp

Настройка RouterВ

crypto isakmp policy 1

 hash md5

 encryption 3des

 authentication pre-share

 group 2

crypto isakmp key cisco123 address 172.16.1.1

crypto ipsec transform-set rtpset esp-des esp-md5-hmac

 

access-list 101 permit ip 10.10.2.0 0.0.0.255 192.168.1.0 0.0.0.255

 

crypto map rtp 2 ipsec-isakmp

 set peer 172.16.1.1

 set transform-set rtpset

 match address 101

 

fastEthernet0/1

ip address 172.16.2.1 255.255.255.0

 ip tcp adjust-mss 1400

 crypto map rtp

RouterC настраивается аналогично RouterB.

Резюме

Наиболее распространенная технология, основанная на открытых стандартах, поддерживается наибольшим числом производителей оборудования и программного обеспечения. Идеальна для построения гетерогенных VPN-сетей.

Однако отсутствует возможность динамической маршрутизации между узлами сети (поддержка только IP-трафика) и установки соединения между отдельными узлами компании без участия центрального маршрутизатора. Отсутствует механизм автоматического переключения на резервный канал. Нет возможности назначить отдельную QoS-политику для каждого туннеля.

EasyVPN

В основе решения стоит размещение всех параметров взаимодействия и политик безопасности на центральном сервере сети VPN (Easy VPN Server) [5], к которому подключаются удаленные устройства VPN – аппаратные (Easy VPN Remote) и программные (VPN Client) клиенты. Перед установкой зашифрованного соединения клиент сети Easy VPN проходит процедуру проверки подлинности с последующей загрузкой политик безопасности с сервера.

В случае использования VPN Client на удаленный компьютер устанавливается клиентское программное обеспечение Cisco VPN Client, на текущий момент доступна версия 5.x для Windows 2000/XP/Vista.

На рис. 2 представлена логическая схема подключения, при которой удаленный компьютер становится полноценным участником корпоративной сети.

Рисунок 2. EasyVPN

Рисунок 2. EasyVPN

 Трафик от VPN Client, адресованный сети 192.168.1.x, направляется через туннель, а остальное движение может быть настроено по трем вариантам:

  •  через маршрутизатор А;
  •  напрямую через линк клиента;
  •  или вообще запрещен на время сеанса работы.

Авторизация клиента может быть настроена двумя способами: предопределенный ключ Pre-Shared Keys (PSK) – набор символов, далее рассматривается в примере или по сертификату X.509: Public Key Infrastructure (PKI).

При реализации с небольшим числом дополнительных офисов можно выбрать PSK, однако когда их число растет, управлять индивидуальными PSK становится проблематично и лучше выбрать PKI.

Настройка VPN Server (маршрутизатор А) для подключения EasyVPN Client

Задействуем модель аутентификации, авторизации и учета ААА (Authentication, Authorization, Accounting){1}.

aaa new-model

aaa authentication login local

aaa authorization networkt authgroup local

Создаем политику с приоритетом 1, которая будет использоваться при подключении клиентов, и входим в режим конфигурации ISAKMP.

Определяем группу Diffie-Hellman, указываем алгоритмы хэш-функции и шифрования, а также пул динамического назначения IP-адресов{2}.

crypto isakmp policy 1

 authentication pre-share

 group 2

 hash md5

 encryption 3de

crypto isakmp client configuration address-pool local easy-vpn-group-dynpool

Создаем групповую политику IKE, содержащую атрибуты для удаленных клиентов. Указываем имя группы (логин), пароль, первичный сервер имен, домен, пул, маску сети, дополнительно можно указать WINS-сервер. А также разрешаем клиенту работу в его локальной сети на время работы VPN-туннеля.

crypto isakmp client configuration group authgroup

key easyvpnpassowrd

 dns 192.168.1.254 

 domain company.ru

 pool easy-vpn-group-dynpool

 include-local-lan

netmask 255.255.255.0

Далее определяется список выполняемых операций (transform – изменений) для установки подлинности данных, конфиденциальности и сжатия{3}.

crypto ipsec transform-set rtpset esp-des esp-md5-hmac

Создаем динамическую криптокарту rtp с порядковым номером 100, указываем transform-set и RRI (Reverse Route Injection) чтобы вещать маршруты на удаленные сети{3}.

crypto dynamic-map rtp 100

 set transform-set rtpset

 reverse-route

Применяем метод поиска ключей (IKE-запросы) для установления подлинности и разрешений группы. Настраиваем маршрутизатор для ответов на запросы удаленных клиентов{4}.

crypto map rtp isakmp authorization list authgroup

crypto map rtp client configuration address respond

Создаем профиль криптокарты:

crypto map rtp 100 ipsec-isakmp dynamic rtp

Ведение журнала подключений:

crypto logging session

Создаем пул адресов для группы VPN-клиентов:

ip local pool easy-vpn-group-dynpool 10.10.1.2 10.10.1.5

Список доступа для внешнего сетевого интерфейса. Открываем порты для VPN-клиентов: Authentication Header Protocol(AHP), ESP и UPD ISAKMP:

access-list 101 permit udp any host 172.16.1.1 eq non500-isakmp

access-list 101 permit udp any host 172.16.1.1 eq isakmp

access-list 101 permit esp any host 172.16.1.1

access-list 101 permit ahp any host 172.16.1.1

access-list 101 permit icmp any any echo

access-list 101 permit icmp any any echo-reply

access-list 101 deny ip any any log

Не забываем про инспектирование сессий:

ip inspect name FW isakmp

ip inspect name FW tcp

ip inspect name FW udp

ip inspect name FW icmp

Дополнительные протоколы выбираем, исходя из потребностей.

Конфигурирование сетевых интерфейсов: назначаем криптокарту (включить VPN-сервер), список доступа, входящий и исходящий интерфейсы для процесса трансляции сетевых адресов NAT.

interface GigabitEthernet0/1

 ip address 172.16.1.1 255.255.255.0

 ip access-group 101 in

 ip nat outside

 crypto map rtp

ip inspect FW out

interface GigabitEthernet0/0

 ip address 192.168.1.1 255.255.255.0

 ip nat inside

 ip inspect FW in

exit

Исключаем VPN-трафик из процесса NAT между внутренней подсетью 192.168.1.0/24 и удаленной 10.10.1.0/24 (VPN-клиенты):

access-list 110 deny ip 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255

access-list 110 permit ip 192.168.1.0 0.0.0.255 any

route-map ISP permit 10

match ip address 110

ip nat inside source route-map ISP interface gi0/1 overload

С чем пришлось столкнуться. За маршрутизатором А спрятан почтовый сервер, IP: 192.168.1.2. На внешнем DNS-сервере в записи «A» для mx-записи указан IP 172.16.1.1, а на внутреннем DNS указан 192.168.1.2. C внешнего интерфейса настроено перенаправление 25 порта.

ip nat inside source static tcp 192.168.1.2 25 172.16.1.1 25 extendable

Однако VPN-клиенты не могли отправлять почту через внутренний почтовый сервер.

В качестве решения можно использовать дополнительную карту маршрутизации для исключения трафика из процесса NAT, тем самым направить его через туннель.

access-list 111 deny tcp 10.10.1.0 0.0.0.255 host 192.168.1.2 eq smtp

access-list 111 permit tcp any host 172.16.1.1 eq smtp

route-map smtp-for-vpn permit 10

match ip address 111

ip nat inside source static tcp 192.168.1.2 25 172.16.1.1 25 route-map smtp-for-vpn extendable

Настройка VPN Client

Программный VPN-клиент доступен для загрузки на веб-сайте компании Cisco Systems по адресу [4]. После установки в операционной системе автоматически будет создан виртуальный сетевой интерфейс, MTU установлено значение 1300. На рис. 3 представлен интерфейс создания нового подключения.

Рисунок 3. Настройки подключения

Рисунок 3. Настройки подключения

После успешного соединения с VPN-сервером в трее появится «замок» (см. рис. 4).

Рисунок 4. Соединение установлено

Рисунок 4. Соединение установлено

Cостояние текущих подключений можно посмотреть при помощи команды: «show crypto session», очистить текущие: «clear crypto session».

Блок конфигурации VPN Server для подключения VPN Remote

Задействуем аутентификацию для локальных пользователей, авторизация групп – см. выше {1}.

aaa authentication login authuser local

Создаем пользователя для удаленного подключения:

username ezvpn privilege 0 password cisco120

Настройка политики isakmp выполнена выше {2}.

Настраиваем групповую политику для удаленного подключения. Задаем ключ и разрешаем клиенту сохранять пароль в конфигурации:

crypto isakmp client configuration group easy-vpn-conn

key cisco121

save-password

Набор преобразования для протоколов безопасности IPSec и динамическая карта созданы выше {3}.

Задействуем расширенную аутентификацию XAUTH (Extended Authentication) для криптокарты (имя и пароль пользователя сisco сохранили в конфигурации маршрутизатора VPN Remote):

crypto map rtp client authentication list authuser

Авторизация групп для криптокарты задействована ранее {4}.

По аналогии с VPN Client необходимо исключить VPN-трафик из процесса NAT и разрешить доступ на внешнем интерфейсе. В списки доступа 110 и 101 добавляем:

access-list 110 deny ip 192.168.1.0 0.0.0.255 10.10.5.0 0.0.0.255

access-list 101 permit ip 10.10.5.0 0.0.0.255 192.168.1.0 0.0.0.255

Настройка VPN Remote

Указываем параметры подключения: автоматическое поднятие IPSec-туннеля, имя и ключ для соответствующей группы на VPN-сервере, IP-адрес сервера.

Расширенная аутентификация (Xauth) является дополнительной опцией, для включения которой на стороне сервера необходимо настроить криптокарту cм. выше {4}. Аутентификация через Xauth может быть настроена в трех вариантах, интерактивная – через командную строку (CLI), веб-интерфейс и сохранение имени и пароля – в конфигурации, как показано ниже:

crypto ipsec client ezvpn easy-vpn-conn

 connect auto

 group ez-remote-group key cisco121

 mode network-extension

 peer 172.16.1.1

 username cisco password cisco120

 xauth userid mode local

Назначим конфигурацию Easy VPN внешнему интерфейсу:

interface Vlan 2

 ip address 10.10.5.1 255.255.255.0

 crypto ipsec client ezvpn easy-vpn-conn inside

Определяем интерфейс, который получит доступ и будет доступен на VPN-сервере:

interface Vlan 2

ip address 10.10.5.1 255.255.255.0

crypto ipsec client ezvpn easy-vpn-conn inside

Также необходимо добавить маршрут для внутренней подсети за RouterA, на нем маршрут до подсети 10.10.5.0 создастся автоматически при поднятии туннеля:

ip route 192.168.1.0 255.255.255.0 172.16.1.1

Резюме

Объем настроек оборудования в удаленных офисах сводится к минимуму и состоит в подготовке универсального шаблона конфигурации. В дальнейшем этот шаблон может быть легко тиражирован на все устройства сети VPN без ущерба для уровня безопасности. В случае программного VPN Client, кроме установки на ПК, затрат вообще никаких не требуется. Таким образом, технология Easy VPN значительно минимизирует затраты на сопровождение благодаря автоматической загрузке конфигураций и политик с центрального узла. Существует возможность переключения на резервный канал, статические политики QoS для каждого узла.

К недостаткам можно отнести: ограничения динамической маршрутизации и отсутствие поддержки мобильных устройств.

Альтернативой является Cisco AnyConnect Client – новое поколение VPN-клиента Cisco, работающего по протоколу SSL. Отличительной особенностью является возможность его автоматической загрузки на компьютер, который до этого не имел VPN-клиента, а также поддержка Windows Mobile версий 5.0 и 6.0. Однако полная поддержка данного клиента реализована лишь в Сisco Adaptive Security Appliances (ASA).

Dynamic Multipoint VPN (DMVPN)

В основе технологии лежит механизм динамического установления соединений между узлами сети. Cisco DMVPN может быть развернут как совместно с системами безопасности Cisco IOS Firewall и Cisco IOS IPS, так и вместе с такими необходимыми в современных сетях механизмами, как QoS, IP Multicast, Split Tunneling. Используя возможности Cisco DMVPN, можно создавать крупные VPN-сети с десятками и сотнями узлов с возможностью балансировки загрузки каналов и резервирования.

В основе DMVPN [6] лежат несколько технологий:

  •  mGRE-туннели (Multiple Generic Routing Encapsulation);
  •   протокол NHRP [7] (Next Hop Resolution Protocol);
  • протоколы динамической маршрутизации;
  • профили IPsec (IPsec profiles).

На рис. 5 представлена Dual-DMVPN[8] топология с двумя центральными маршрутизаторами Hub 1 и 2, настроенными с одним mGRE-туннелем, а удаленные Spoke 1, 2 и 3 настроены с двумя mGRE-туннелями, подключенными к DMVPN-1 и 2 сетям (желтые облака).

Рисунок 5. Dual-hub Router, Dual-DMVPN Topology

Рисунок 5. Dual-hub Router, Dual-DMVPN Topology

NHRP – клиент-серверный протокол преобразования адресов, позволяющий всем хостам, которые находятся в NBMA (Non Broadcast Multiple Access) сети, динамически найти физические адреса друг друга, обращаясь к next-hop серверу (NHS). После этого хосты могут обмениваться информацией напрямую.

Алгоритм работы DMVPN

  • Hub-маршрутизатор работает как NHS, а spoke-марш-рутизаторы – клиенты.
  • Hub-маршрутизатор хранит и обслуживает базу данных NHRP, в которой хранятся соответствия между физическими адресами и адресами mGRE-туннелей spoke-маршрутизаторов.
  • На каждом spoke-маршрутизаторе, hub-маршрутизатор статически указан как NHS и задано соответствие между физическим адресом и адресом mGRE-туннеля hub-маршрутизатора.
  • При включении каждый spoke-маршрутизатор регистрируется на NHS и при необходимости запрашивает у сервера информацию об адресах других spoke-маршрутизаторов для построения туннелей spoke-to-spoke.
  • Для взаимодействия между собой все маршрутизаторы должны принадлежать одной сети NHRP, принадлежность к сети определяется идентификатором сети (network ID).
  • По средствам протокола EIGRP (Enhanced Interior Gateway Routing Protocol) распространяется информация о маршрутах к внутренним подсетям за hub- и spoke-маршрутизаторами.
  • При потере связи с активным NHS, spoke-клиент использует альтернативный туннель.

MGRE-туннель позволяет одному GRE-интерфейсу поддерживать несколько IPsec-туннелей и упрощает количество и сложность настроек по сравнению с GRE-туннелями точка-точка. Также mGRE-интерфейс позволяет использовать динамически назначенные IP-адреса на spoke-маршрутизаторах.

Настройка DMVPN на Hub-1

  • IP subnet: 10.10.1.0/24
  • NHRP network ID: 100001
  • Tunnel key: 100001
  • Dynamic routing protocol: EIGRP

Создаем политику ISAKMP, указываем ключ и разрешаем аутентификацию с любого IP-адреса:

crypto isakmp policy 1

authentication pre-share

crypto isakmp key cisco119 address 0.0.0.0 0.0.0.0

Определяем список выполняемых операций (transform) для установки подлинности данных, конфиденциальности и сжатия. Возможны два варианта: туннельный режим – инкапсуляция и защита всей IP-дейтаграммы и транспортный режим – инкапсулирует или защищает только полезную часть, что делает его подверженным атакам, но более экономичным за счет отсутствия дополнительного IP-заголовка ~ 20 байт на пакет.

crypto IPsec transform-set rtpset esp-des esp-md5-hmac

mode transport

crypto IPsec profile vpnprof

set transform-set rtpset

Создание туннельного интерфейса:

interface Tunnel1

! Полоса пропускания 1000 Кбит

  bandwidth 1000

  ip address 10.10.1.1 255.255.255.0

! Так как GRE добавляет дополнительные заголовки к IP-пакету,

! необходимо изменить значение MTU[2] на интерфейсе

  ip mtu 1400

  no ip next-hop-self eigrp 1

! Включаем NHRP с указанием идентификатора сети

  ip nhrp network-id 100001

! Аутентификации (опционально)

  ip nhrp authentication cisco118

! Автоматическое добавление соответствия между адресами

! spoke-маршрутизаторов

  ip nhrp map multicast dynamic

! NHRP NBA-адреса действительны в течении 10 минут

  ip nhrp holdtime 600

  no ip split-horizon eigrp 1

! Необходимо изменить значение MSS[2]

  ip tcp adjust-mss 1360

! Задержка пропускной способности интерфейса

! (десятки микросекунд)

  delay 1000

! Настройка соответствия между туннельным интерфейсом

! и физическим

! В качестве адреса отправителя в пакете выходящем

! из mGRE-интерфейса будет использоваться IP-адрес

! физического интерфейса, а адрес получателя будет

! выучен динамически с помощью протокола NHRP

  tunnel source Vlan1

Включаем mGRE-туннель, задаем идентификатор, профиль IPSec:

tunnel mode gre multipoint

  tunnel key 100001

  tunnel protection IPsec profile vpnprof

 interface Vlan1

  ip address 172.16.1.1 255.255.255.0

 interface Vlan2

  ip address 192.168.1.1 255.255.255.0

Динамическая маршрутизация:

router eigrp 1

network 10.10.1.0 0.0.0.255

network 192.168.1.0 0.0.0.255

no auto-summary

Настройка DMVPN на Hub-2

Конфигурация Hub-2 аналогична Hub-1, отличия лишь в DMVPN:

  • IP subnet: 10.10.2.0/24
  • NHRP network ID: 100002
  • Tunnel key: 100002

Настройка DMVPN на Spoke-1

 crypto isakmp policy 1

  authentication pre-share

 crypto isakmp key cisco119 address 0.0.0.0 0.0.0.0

 crypto IPsec transform-set rtpset esp-des esp-md5-hmac

  mode transport

 crypto IPsec profile vpnprof

  set transform-set rtpset

 interface Tunnel1

  bandwidth 1000

  ip address 10.10.1.101 255.255.255.0

  ip mtu 1400

  ip nhrp authentication cisco118

! Статическое соответствие между адресом mGRE-туннеля

! и физическим адресом hub-маршрутизатора

!(первый адрес- адрес туннельного интерфейса,

! второй — адрес внешнего физического интерфейса)

ip nhrp map 10.10.1.1 172.16.1.1

! Адрес внешнего физического интерфейса hub-маршрутизатора

! указывается как получатель multicast-пакетов от локального

! маршрутизатора

ip nhrp map multicast 172.16.1.1

  ip nhrp network-id 100001

  ip nhrp holdtime 300

! Адрес туннельного интерфейса hub-маршрутизатора

! указывается как next-hop-сервер

ip nhrp nhs 10.10.1.1

ip tcp adjust-mss 1360

  delay 1000

  tunnel source Vlan1

  tunnel mode gre multipoint

  tunnel key 100001

  tunnel protection IPsec profile vpnprof shared

 interface Tunnel2

  bandwidth 1000

  ip address 10.10.2.101 255.255.255.0

  ip mtu 1400

  ip nhrp authentication cisco118

ip nhrp map 10.10.2.1 172.16.1.2

ip nhrp map multicast 172.16.1.2

  ip nhrp network-id 100002

  ip nhrp holdtime 300

ip nhrp nhs 10.10.2.1

ip tcp adjust-mss 1360

  delay 1000

  tunnel source Vlan1

  tunnel mode gre multipoint

  tunnel key 100002

  tunnel protection IPsec profile vpnprof shared

 interface Vlan1

  !ip address dhcp hostname Spoke1

  ip address 172.16.1.101 255.255.255.0

 interface Vlan2

  ip address 192.168.101.1 255.255.255.0

 router eigrp 1

  network 10.10.1.0 0.0.0.255

  network 10.10.2.0 0.0.0.255

  network 192.168.101.0 0.0.0.255

  no auto-summary

Настройка DMVPN на Spoke-2, Spoke-n

Конфигурация аналогична Spoke-1, отличия лишь во внутренних IP-подсетях согласно рис. 5.

Резюме

Сеть может быть построена как с использованием одного, так и нескольких центральных узлов для обеспечения резервирования устройств и каналов связи. Пересылка информации об IP-сетях осуществляется по зашифрованным туннелям между подразделениями компании при помощи протоколов динамической маршрутизации. Добавление нового узла в сеть VPN не требует изменений в конфигурации как соседних узлов сети VPN, так и центрального узла сети. Отдельные узлы смогут устанавливать соединения VPN между собой без участия центрального узла. Возможна реализация политик QoS с различным приоритетом для разных узлов сети.

Недостатком выступает отсутствие возможности назначить отдельную QoS-политику для каждого туннеля, альтернативными технологиями в данном случае являются Point-to-Point GRE over Ipsec [9] и Virtual Tunnel Interface(VTI) [9].

Заключение

Рассмотренные способы настройки VPN применимы и вполне достаточны для большого числа современных компаний, однако в данной статье рассмотрены далеко не все технологии. Также на базе маршрутизаторов Cisco Systems могут быть реализованы такие технологии, как GRE VPN, MPLS VPN, VTI VPN и Web VPN, обладающие дополнительными преимуществами и недостатками, но это уже темы для следующих статей.

Перечень VPN-платформ на базе маршрутизаторов Cisco, поддерживающих рассмотренные технологии, доступен по адресу [9].

Приложение

О технологии

VPN (Virtual Private Network – виртуальная частная сеть) – логическая сеть, создаваемая поверх другой сети, например Интернета. За счёт шифрования создаются закрытые каналы, позволяющие объединить территориально разрозненные подразделения организации, надомных и мобильных работников в единую сеть. Учитывая современный ритм бизнеса, VPN является незаменимой технологией.

  1. Алгоритм Диффи-Хеллмана – http://ru.wikipedia.org/wiki/Diffie-Hellman.
  2. Resolve IP Fragmentation, MTU, MSS – http://www.cisco.com/en/US/tech/tk827/tk369/technologies_white_paper09186a00800d6979.shtml.
  3. Site-to-Site Tunnel Between IOS Routers – http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080223a59.shtml.
  4. Software VPN Client – http://www.cisco.com/kobayashi/sw-center/sw-vpn.shtml.
  5. Easy VPN – http://www.cisco.com/en/US/products/sw/secursw/ps2308/products_configuration_example09186a008032b637.shtml.
  6. Dynamic Multipoint VPNhttp://www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and_MAN/DMVPN_1.html.
  7. Configuring NHRP – http://www.cisco.com/en/US/docs/ios/ipaddr/configuration/guide/iad_cfg_nhrp_ps9587_TSD_Products_Configuration_Guide_Chapter.html.
  8. Sharing IPsec with Tunnel Protection – http://www.cisco.com/en/US/docs/ios/security/configuration/guide/share_ipsec_w_tun_protect.html.
  9. IPsec VPN WAN Design Overview – http://www.cisco.com/application/pdf/en/us/guest/netsol/ns130/c649/ccmigration_09186a0080685ce6.pdf.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru