TECH DOC

Категории

Основы [2]
Cisco [19]
MPLS [1]

Map

Теги

Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Поделиться

Каталог статей

Главная » Статьи » Lan » Cisco

Простая IPSEC конфигурaция между Router и PIX
Данный документ иллюстрирует простую IPSEC конфигурацию между роутером и Cisco Secure PIX Firewall версии 6.х. Мы будем использовать приватное адресное пространство во время передачи трафика между LAN головного офиса и LAN удаленного офиса, а также будем транслировать внутренние хосты в маршрутизируемые адреса, когда пользователи локальной сети получают доступ в Интернет. Чтобы выполнить данную задачу, необходимо избежать попадания Интернет трафика в туннель между двумя офисами и для этого мы будем использовать команду route-map
 
 
Рассмотрим сетевую диаграмму
 
 
 
 
На стороне PIX, команды access-list и nat 0 работают вместе. Когда пользователь из сети 10.1.1.0 обращается к сети 10.2.2.0, мы используем лист доступа, чтобы разрешить шифровать сетевой трафик 10.1.1.0 без использования NAT. Однако когда, те же самые пользователи идут куда-либо еще они транслируются в 172.17.63.210 через PAT.

Следующие конфигурационные команды требуются на PIX Firewall для того, чтобы трафик не проходил через PAT, когда идет в туннель, но в тоже самое время, трафик в Internet должен быть транслирован PAT.
access-list nonat permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
nat (inside) 0 access-list nonat
nat (inside) 1 10.1.1.0 255.255.255.0 0 0
 
На роутере, используются команды route-map и access-list, чтобы завернуть сетевой трафик 10.2.2.0 в туннель IPSEC без использования NAT. Однако, когда те же самые пользователи обратятся куда-либо еще, они транслируются в адрес 172.17.63.210 через PAT.
Конфигурация PIX
 
 PIX Version 6.3(5)
 nameif ethernet0 outside security0
 nameif ethernet1 inside security100

 !--- Трафик к роутеру

 access-list ipsec permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0

 !--- Не выполняем трансляцию адресов (NAT) трафика к роутеру:

 access-list nonat permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0

 ip address outside 172.17.63.213 255.255.255.240
 ip address inside 10.1.1.1 255.255.255.0

 global (outside) 1 172.17.63.210

 !--- Не выполняем NAT для трафика идущего к роутеру

 nat (inside) 0 access-list nonat
 nat (inside) 1 10.1.1.0 255.255.255.0 0 0

 route outside 0.0.0.0 0.0.0.0 172.17.63.209 1

 !--- IPSec политика:
 sysopt connection permit-ipsec

 crypto ipsec transform-set avalanche esp-des esp-md5-hmac
 crypto ipsec security-association lifetime seconds 3600

 crypto map forsberg 21 ipsec-isakmp
 crypto map forsberg 21 match address ipsec
 crypto map forsberg 21 set peer 172.17.63.230
 crypto map forsberg 21 set transform-set avalanche
 crypto map forsberg interface outside

 !--- IKE политика:

 isakmp enable outside
 isakmp key cisco address 172.17.63.230 netmask 255.255.255.255
 isakmp identity address
 isakmp policy 20 authentication pre-share
 isakmp policy 20 encryption des
 isakmp policy 20 hash md5
 isakmp policy 20 group 1
 : end
 
Конфигурация Router
 !--- IKE политика:
 crypto isakmp policy 11
 hash md5
 authentication pre-share
 crypto isakmp key cisco address 172.17.63.213
 !
 !--- IPSec политика:
 crypto ipsec transform-set sharks esp-des esp-md5-hmac
 !
 !
 crypto map nolan 11 ipsec-isakmp
 set peer 172.17.63.213
 set transform-set sharks

 !--- Включаем трафик между приватными сетями в процесс шифрования
 match address 120
 !
 !
 interface Ethernet0
 ip address 172.17.63.230 255.255.255.240
 no ip directed-broadcast
 ip nat outside
 crypto map nolan
 !
 interface Ethernet1
 ip address 10.2.2.1 255.255.255.0
 no ip directed-broadcast
 ip nat inside
 !
 ip nat pool branch 172.17.63.230 172.17.63.230 netmask 255.255.255.240

 !--- Исключаем приватную сеть из процесса NAT:

 ip nat inside source route-map nonat pool branch overload
 ip classless
 ip route 0.0.0.0 0.0.0.0 172.17.63.225

 !--- Включаем трафик между приватными сетями в процесс шифрования

 access-list 120 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255

 !--- Исключаем приватную сеть из процесса NAT:
 access-list 130 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
 access-list 130 permit ip 10.2.2.0 0.0.0.255 any

 !--- Исключаем приватную сеть из процесса NAT:
 route-map nonat permit 10
 match ip address 130
 !
 end
 
 
Нижеследующие команды показывают состояние IPSEC туннеля и помогут проверить, что все работает правильно.
 
  • show crypto isakmp sa - Показывает все текущие ассоциации безопасности IKE (SA)
  • show crypto ipsec sa - Показывает текущие состояние ассоциаций безопасности IPSEC
  • show crypto engine connections active - Показывает текущие IPSEC соединения и информацию о количестве шифрованных и дешифрованных пакетах.
 


Источник: http://www.ciscolab.ru/security/152-pixrouter.html
Категория: Cisco | Добавил: Kogr (04.01.2010) | Автор: HunSolo W
Просмотров: 2194 | Рейтинг: 0.0/0

Поиск

Vir Actiy

IP

Узнай свой IP адрес

Scan File

Scan URL

+

Бесплатный анализ сайта

Статьи , новости информационных технологий , обзоры , описание ошибок , Операционные системы , системные ошибки , новые технологии , аутсорсинг , windows , Linux , VoIP , FreeBSD , Cisco , информационная безопасность , Win7 , Win8 , server , проблемы с серверами , ИТ , управление инфраструктурой и многое другое…