Студопедия

Главная страница Случайная страница

Разделы сайта

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника






Методические указания. В данной лабораторной работе будет выполнена настройка внутрикорпоративной VPN-сети, которая объединяет три филиала компании посредством нескольких






В данной лабораторной работе будет выполнена настройка внутрикорпоративной VPN-сети, которая объединяет три филиала компании посредством нескольких VPN-туннелей, каждый из которых будет использовать различные алгоритмы шифрования и проверки целостности данных. В качестве исходной будет использоваться сеть из лабораторной работы №8 (Frame Relay без подинтерфейсов). Прежде чем приступить к настройке VPN, выполните следующие действия:

1. Удалите облако провайдера Frame Relay из логического рабочего пространства.

2. Сохраните конфигурации Маршрутизаторов 2, 3, и 4, а затем удалите из устройств модули с серийными интерфейсами.

3. Добавьте маршрутизатор Cisco 2811 на логическое рабочее пространство (далее он будет обозначаться как Маршрутизатор5). В него также необходимо добавить модуль NM-1FE2W.

4. В Маршрутизатор2 необходимо добавить модуль PT-ROUTER-NM-1CFE, а затем связать Маршрутизатор2 и Маршрутизатор5 каналом связи «медный перекрестный». Таким же каналом связи соедините Маршрутизатор5 и Маршрутизатор3, а также Маршрутизатор5 и Маршрутизатор4.

5. Настройте IP-адреса на интерфейсах маршрутизаторов так, как показано на рисунке (используйте маску 255.255.255.0):

Рис. 10.2. Настройка IP-адресов интерфейсов маршрутизатора.

6. Трафик между Маршрутизаторами 3, 4 и 5 будет проходить через сеть Интернет, именно поэтому внешние интерфейсы этих маршрутизаторов имеют публичные IP-адреса. Пометьте сеть Интернет, добавив два пустых облака CLOUD-PT-EMPTY и расположив их между маршрутизаторами так, как показано на рисунке:

Рис. 10.3. Изображение сети Интернет с помощью двух облаков

7. Необходимо настроить маршруты по умолчанию на маршрутизаторах 3 и 4. Зайдите в CLI Маршрутизатор3 и удалите старый маршрут по умолчанию (no ip route 0.0.0.0 0.0.0.0 10.0.0.2), а затем добавьте новый (ip route 0.0.0.0 0.0.0.0 109.172.10.1). Аналогичные действия проделайте на Маршрутизатор4 (no ip route 0.0.0.0 0.0.0.0 10.0.0.2, затем ip route 0.0.0.0 0.0.0.0 109.172.20.1).

8. Настройте маршрутизацию на Маршрутизатор2. Удалите старые недействительные маршруты до подсетей 192.168.6.0 и 192.168.7.0. Затем установите маршрут по умолчанию до Маршрутизатора5, войдите в режим конфигурации процесса OSPF и добавьте новую сеть 192.168.8.0, а также распространите маршрут по умолчанию с помощью команды redistribute static (в протоколе OSPF для распространения маршрутов по умолчанию необходимо добавить настройку default-information originate, без нее распространяться будут только статические маршруты, но не маршруты по умолчанию). Все перечисленные конфигурационные команды приведены ниже:

Рис. 10.4. Настройка маршрутизации на Маршрутизатор2

9. Настройте статические маршруты на Маршрутизаторе5 (рис. 10.5).

Рис. 10.5. Настройка статических маршрутов на Маршрутизатор5.

Теперь можно приступить к настройке VPN-туннелей:

1. Первый туннель будет связывать сеть 192.168.6.0, находящуюся за Маршрутизатор3, и сети 192.168.0.0 и 192.168.1.0, находящиеся за Маршрутизатор5. Сначала необходимо создать access-list, в котором будет описано, какой трафик должен быть зашифрован и передан по VPN-туннелю (рис. 10.6).

Рис. 10.6. Создание расширенного списка доступа на Маршрутизатор3

Список является расширенным, и пропускает через себя только трафик, идущий из сети 192.168.6.0 в сеть 192.168.0.0 или 192.168.1.0.

2. Для построения VPN-туннеля, двум маршрутизаторам нужно договориться, какие алгоритмы/механизмы защиты они будут использовать для своего защищенного соединения. Для конфигурации этих параметров настраивается протокол IKE. В документации Cisco термины IKE и ISAKMP, как правило, взаимозаменяемы. Процесс конфигурации состоит из двух фаз: настройка политики ISAKMP, а затем настройка transform-set и криптокарты. Настройте политику ISAKMP на Маршрутизатор3 (рис. 10.7)

Рис. 10.7. Настройка политики ISAKMP на Маршрутизатор3

Здесь «110» - идентификатор, обозначающий приоритет этой политики по сравнению с другими. Если на маршрутизаторе настроены сразу несколько политик, то первоначально для установления VPN-туннеля используется политика с наименьшим идентификатором. Команда encryption aes устанавливает алгоритм шифрования – AES. Команда hash md5 указывает, что будет использоваться хэш-функция, работающая по алгоритму MD5. Команда Authentication pre-share нужна для того, чтобы указать тип аутентификации – использование предустановленных общих ключей. Наконец, group 2 – это группа в алгоритме Диффи-Хеллмана, данная группа является оптимальным выбором между быстродействием (самая быстрая – group 1) и надежностью (самая надежная – group 5).

3. Перейдите в режим глобальной конфигурации и создайте ключ для аутентификации. Используйте команду crypto isakmp key cisco address 109.172.10.1, в которой «cisco» - ключ, а «109.172.10.1» - IP-адрес интерфейса маршрутизатора, с которым устанавливается VPN-туннель (в данном случае это Маршрутизатор5).

4. Теперь необходимо создать transform-set. Под этим термином подразумевается объект, который описывает параметры второй фазы. Введите команду crypto ipsec transform-set VPN-SET esp-aes esp-md5-hmac из режима конфигурации. Здесь «VPN-SET» - имя transform-set, «esp-aes» - алгоритм шифрования (обязательно должен совпадать с тем, что указывался в политике ISAKMP в первой фазе), «esp-md5-hmac» - алгоритм хэширования (также должен совпадать с алгоритмом, указанным в политике ISAKMP).

5. Далее требуется создать криптокарту (crypto map). Это объект, в котором находятся наборы правил, относящиеся к разным туннелям IPsec. К интерфейсу может быть применена только одна crypto map. Для того чтобы отличать правила, относящиеся к разным туннелям, правила группируются в наборы, которые объединяет общий порядковый номер правила. Для создания криптокарты введите следующие команды:

Рис. 10.8. Создание криптокарты

Здесь команда crypto map VPN-MAP 10 ipsec-isakmp создает криптокарту с именем «VPN-MAP» и набором правил с номером «10». Команда set peer 109.172.10.1 указывает противоположный маршрутизатор, с которым строится VPN-туннель, set transform-set VPN-SET привязывает transform-set с именем «VPN-SET» к криптокарте, а команда match address VPN устанавливает access-list, который будет использоваться в VPN-туннеле.

6. Привяжите криптокарту к интерфейсу. Зайдите в конфигурацию интерфейса, который связывает Маршрутизатор3 и Маршрутизатор5, а затем введите команду crypto map VPN-MAP. Настройка VPN-туннеля на Маршрутизатор3 на этом заканчивается, далее нужно указать точно такие же параметры на Маршрутизатор5.

7. Перейдите в CLI Маршрутизатор5 и повторите все введенные ранее команды, однако замените IP-адрес 109.172.10.1 на 109.172.10.2. Список всех команд в том порядке, в котором они должны быть введены, приведен ниже:

Рис. 10.9. Настройка VPN-туннеля на Маршрутизатор5

8. Проверьте связь между сетями 192.168.6.0 и 192.168.0.0. Echo-запросы должны успешно завершаться.

9. После проверки echo-запросами, введите команду show crypto ipsecsa на любом из маршрутизаторов, учавствующих в процессе шифрования трафика:

Рис. 10.10. Вывод команды show crypto ipsec sa

Выделенные строки указывают, сколько пакетов было зашифровано, а сколько – расшифровано. Это доказывает, что VPN-туннель успешно работает и защищает весь трафик, проходящий через него.

Далее необходимо настроить аналогичный VPN-туннель, который будет соединять сеть 192.168.7.0 с сетями 192.168.0.0 и 192.168.1.0. Однако параметры этого туннеля будут отличаться – вместо алгоритма шифрования AES будет использоваться алгоритм DES, а вместо хэш-функции MD5 будет использоваться SHA (Secure Hash Algorithm). Ниже приведены конфигурационные команды, которые необходимо ввести на Маршрутизатор4 для настройки такого туннеля:

Рис. 10.11. Настройка второго VPN-туннеля на Маршрутизатор4

Обратите внимание, что название интерфейса, к которому будет привязана криптокарта, должно совпадать с названием интерфейса, который связывает Маршрутизатор4 и Маршрутизатор5. Далее перечислены конфигурационные команды, которые необходимо ввести на Маршрутизатор5:

Рис. 10.12. Настройка второго VPN-туннеля на Маршрутизатор5

Завершающим этапом данной лабораторной работы будет настройка третьего VPN-туннеля, который будет шифровать трафик от сети 192.168.6.0 до сети 192.168.7.0. Этот туннель будет использовать алгоритм шифрования 3DES и алгоритм хэширования MD5. В третьем VPN-туннеле не потребуется создавать новые криптокарты на маршрутизаторах, можно добавить группу правил в существующие, изменив при этом номер группы этих правил (рис. 10.13):

Рис. 10.13. Настройка третьего VPN-туннеля на Маршрутизатор3

Обратите внимание, что IP-адрес в командах конфигурации – 109.172.20.2. При конфигурации VPN-туннеля необходимо указывать конечный IP-адрес, т.е тот адрес, на интерфейсе которого трафик должен быть расшифрован. Физически данные будут проходить через Маршрутизатор5, однако VPN-туннель – логический, поэтому фактически в параметрах можно указывать любой IP-адрес, необязательно чтобы он принадлежал интерфейсу на другом конце физического канала связи.

Далее перечислены конфигурационные команды, которые необходимо ввести на Маршрутизаторе4:

Рис. 10.14. Настройка третьего VPN-туннеля на Маршрутизатор4

На этом настройка VPN-сети завершена. Не забудьте проверьте связь сетей с помощью echo-запросов.

Заключение

Технология VPN отвечает основополагающим критериям сохранности информации: целостность, конфиденциальность, авторизованный доступ. В сравнении с сетями на основе Frame Relay виртуальные частные сети не менее надежны в плане защиты информации, однако в несколько раз дешевле, что делает данную технологию более привлекательной для использования с распределенными сетями.

Технология VPN обладает следующими плюсами:

- возможность развертывания распределенной сети без использования посредников (провайдеров);

- надежная конфиденциальность передаваемой информации;

- возможность использования широкого спектра VPN-устройств;

- не требует подключения дополнительных линий связи, потому что данные между удаленными сетями проходят через сеть Интернет.

Внедрение VPN в корпоративную сеть также имеет ряд недостатков:

- из-за необходимости шифровать и расшифровывать трафик, VPN-устройства сильнее расходуют свои вычислительные ресурсы, что может сказаться на пропускной способности сети;

- отсутствие устоявшихся стандартов аутентификации и обмена шифрованной информацией;

- отсутствие единых, надежных способов управления VPN-сетями;

- сетевые инженеры должны обладать высоким уровнем знаний при работе с VPN-сетями, так как эту технологию трудно настраивать и поддерживать.






© 2023 :: MyLektsii.ru :: Мои Лекции
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав.
Копирование текстов разрешено только с указанием индексируемой ссылки на источник.