Требуемые условия завершения
Задание:
9. Между маршрутизаторами RTR-HQ и RTR-BR сконфигурируйте защищенное соединение
- a) Все параметры на усмотрение участника.
- b) Используйте парольную аутентификацию.
- c) Обеспечьте динамическую маршрутизацию: ресурсы одного офиса должны быть доступны из другого офиса
- d) Для обеспечения динамической маршрутизации используйте протокол OSPF
Выполнение:
Для выполнения данного задания будет построен GRE-туннель с последующим шифрованием по средством IPSec:
RTR-HQ:
- Создадим туннель gre 1:
- поместив его в зону безопусности public;
- указав внешний IP-адрес RTR-HQ;
- указав внешний IP-адрес RTR-BR;
- указав IP-адрес туннельного интерфейса gre 1:
tunnel gre 1
ttl 16
ip firewall disable
local address 11.11.11.11
remote address 22.22.22.22
ip address 172.16.1.1/30
enable
exit- Также для проверки можно разрешить ICMP из зоны public в зону self (т.е. на RTR-HQ) для проверки связности туннельного интерфейса:
- И разрешаем трафик GRE:
security zone-pair public self
rule 1
description "ICMP"
action permit
match protocol icmp
enable
exit
rule 2
description "GRE"
action permit
match protocol gre
enable
exit
exit- Применияем и подтверждаем внесённые изменения:
do commit
do confirm- Проверяем:
RTR-BR:
Аналогично RTR-HQ, результат:
Проверяем (работоспособность) связность по туннельному интерфейсу:
- RTR-HQ -> RTR-BR:
- RTR-BR -> RTR-HQ:
Выполняем шифрование туннеля средствами IPsec
RTR-HQ | RTR-BR:
- Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:
security ike proposal ike_prop1
authentication algorithm md5
encryption algorithm aes128
dh-group 2
exit- Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:
security ike policy ike_pol1
pre-shared-key ascii-text P@ssw0rd
proposal ike_prop1
exit- Создадим шлюз протокола IKE. В данном профиле указывается GRE-туннель, политика, версия протокола и режим перенаправления трафика в туннель:
- RTR-HQ:
security ike gateway ike_gw1
ike-policy ike_pol1
local address 11.11.11.11
local network 11.11.11.11/32 protocol gre
remote address 22.22.22.22
remote network 22.22.22.22/32 protocol gre
mode policy-based
exit-
- RTR-BR:
security ike gateway ike_gw1
ike-policy ike_pol1
local address 22.22.22.22
local network 22.22.22.22/32 protocol gre
remote address 11.11.11.11
remote network 11.11.11.11/32 protocol gre
mode policy-based
exit- Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:
security ipsec proposal ipsec_prop1
authentication algorithm md5
encryption algorithm aes128
pfs dh-group 2
exit- Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.
security ipsec policy ipsec_pol1
proposal ipsec_prop1
exit- Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IP sec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.
security ipsec vpn ipsec1
ike establish-tunnel route
ike gateway ike_gw1
ike ipsec-policy ipsec_pol1
enable
exit- Настраиваем firewall:
security zone-pair public self
rule 3
description "ESP"
action permit
match protocol esp
enable
exit
rule 4
description "AH"
action permit
match protocol ah
enable
exit
exit- Применияем и подтверждаем внесённые изменения:
do commit
do confirm- Проверяем:
- RTR-HQ:
-
- RTR-BR:
- tcpdump -i ens34 (на ISP):
Таким образом, IPsec работает - корректно
Настраиваем динамическую маршрутизацию для связи локальных сетей через туннельный интерфейс:
RTR-HQ:
- Создадим OSPF-процесс с идентификатором 1 и перейдём в режим конфигурирования протокола OSPF
- Создадим и включим требуемую область
- Включим OSPF-процесс
router ospf 1
area 0.0.0.0
enable
exit
enable
exit- Для установления соседства с другими маршрутизаторами привяжем их к OSPF-процессу и области.
- Далее включим на интерфейсе маршрутизацию по протоколу OSPF:
- интерфейс gre 1 - для установления соседства
- интерфейс gi1/0/2.(100,200,300) - для обявления локальных сетей
- Далее включим на интерфейсе маршрутизацию по протоколу OSPF:
tunnel gre 1
ip ospf instance 1
ip ospf
exit
interface gigabitethernet 1/0/2.100
ip ospf instance 1
ip ospf
exit
interface gigabitethernet 1/0/2.200
ip ospf instance 1
ip ospf
exit
interface gigabitethernet 1/0/2.300
ip ospf instance 1
ip ospf
exit- Разрешаем трафик OSPF:
security zone-pair public self
rule 5
description "OSPF"
action permit
match protocol ospf
enable
exit
exit- Применияем и подтверждаем внесённые изменения:
do commit
do confirmRTR-BR:
Аналогично RTR-HQ, вроверяем:
- Установление соседства:
- RTR-HQ:
-
- RTR-BR:
- Таблицу маршрутизации:
- RTR-HQ:
-
- RTR-BR:
Последнее изменение: среда, 25 декабря 2024, 17:56
