Лабораторная работа №6 Изучение протокола iPsec
Основная цель: Изучить работу протокола IPsec
Оборудование: 2 маршрутизатора С3640 с двумя NM-1FE-TX, 2 коммутатора, 2 персональных компьютера.
1 Соберем в среде GNS 3 следующую топологию:
Рисунок 2.86 – Топология Сети
2 Настройка машрутизаторов
2.1 Настройка IP-адресов интерфейсов
Таблица 1 – Команды маршрутизаторов
|
Маршрутизатор R1 |
Маршрутизатор R2 |
|
Router1#conf t Router1(config)#int f0/0 Router1(config-if)#ip address 192.168.1.1 255.255.255.0 Router1(config-if)#no shut Router1(config-if)#exit Router1(config)#int f1/0 Router1(config-if)#ip address 1.1.1.1 255.255.255.0 Router1(config-if)#no shut Router1(config-if)#exit
|
Router2#conf t Router2(config)#int f0/0 Router2(config-if)#ip address 192.168.2.1 255.255.255.0 Router2(config-if)#no shut Router2(config-if)#exit Router2(config)#int f1/0 Router2(config-if)#ip address 1.1.1.2 255.255.255.0 Router2(config-if)#no shut Router2(config-if)#exit
|
2.2 Настройка первой фазы IPSec – фазы IKE (настройка политики шифрования)
Таблица 2 – Команды маршрутизаторов
|
Маршрутизатор 1 |
|
Router1(config)#crypto isakmp policy 1 - создаем политику подключения 1-й фазыRouter1(config-isakmp)#authentication pre-share - выбираем метод аутентификации по ключуRouter1(config-isakmp)#hash sha - выбираем алгоритм хэшированияRouter1(config-isakmp)#encryption aes 128 - выбираем метод шифрованияRouter1(config-isakmp)#group 2 - выбираем группу Diffie-Hellman которая будет использоваться для безопасного обмена ключами Router1(config-isakmp)#lifetime 86400 - указываем жизненный период подключенияRouter1(config-isakmp)#exit Router1(config)#crypto isakmp key qwer address 1.1.1.2 - задаем ключ (qwer) подключения и указываем адрес удаленного маршрутизатора к которому его нужно применить. |
|
Маршрутизатор 2 |
|
Router2(config)#crypto isakmp policy 1 Router2(config-isakmp)#authentication pre-share Router2(config-isakmp)#hash sha Router2(config-isakmp)#encryption aes 128 Router2(config-isakmp)#group 2 Router2(config-isakmp)#lifetime 86400 Router2(config-isakmp)#exit Router2(config)#crypto isakmp key qwer address 1.1.1.1 |
Остановимся подробнее на создании политики crypto isakmp policy 1. Мы создаем политику и указываем параметры подключения нашего шифрованного туннеля, такие как метод аутентификации, метод хэширования, шифрования и т.д. Нужно обратить внимание на номер созданной нами политики "1". Можно создавать множество различных политик с параметрами подключения и чем ниже номер политики тем выше ее приоритет. Зачем это сделано?
В случае если у нас много туннелей и разные удаленные устройства поддерживают разные алгоритмы шифрования. Соответственно мы создаем несколько политик и при установлении соединения они будут просматриваться по очереди по порядковому номеру.
Допустим параметры подключения политики 1 не подошли тогда роутер смотрит следующую политику в своем списке если такая имеется. Принято политикам с более жесткими параметрами безопасности давать номер с более высоким приоритетом, а политикам с менее жесткими параметрами безопасности номер с меньшим приоритетом. Это сделано для того, что если используется несколько политик безопасности в первую очередь маршрутизатор пытался установить более безопасное соединение и только в случае если это невозможно (к примеру удаленный маршрутизатор не поддерживает какой-то алгоритм шифрования) пытался установить менее безопасное соединение. В нашем случае будет использоваться только одна политика, поэтому этот номер не играет роли. Так же мы задали ключ по которому будет осуществляться соединение. Настройка первой фазы закончена.
2.3 Настройка второй фазы IPSec – фазы IPSec
2.3.1 Cоздадим набор параметров безопасности для второй фазы
2.3.2 Создадим список доступа, который опеределяет какие пакеты куда будут попадать
2.3.3 Производим непосредственную настройку второй фазы
Таблица 3 – Команды маршрутизаторов
|
Маршрутизатор 1 |
|
Router1(config)#crypto ipsec transform-set SET esp-aes esp-sha - создаем transform-set для маршрутизатора Router1 Router1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 - этот список доступа будет указывать на то, что если пакет пришел из сети 192.168.1.0 и должен быть отправлен в сеть 192.168.2.0, то он будет попадать под данное правило и перенаправляться в туннель. Router1(config)#crypto map MAIN 1 ipsec-isakmp - создаем так называемую крипто карту с номером 1. Номер используется для того что бы можно было создавать несколько подключений, т.е. можно их создавать одна за другой для всех наших туннелей. Не надо путать с политиками. Там номер говорит о приоритете подключения. Здесь это просто номер и не несет какой-то смысловой нагрузки. Router1(config-crypto-map)#set peer 1.1.1.2 - ip адрес удаленного маршрутизатораRouter1(config-crypto-map)#match address 101 - применяем созданный ранее список доступаRouter1(config-crypto-map)#set transform-set SET - применяем созданный ранее transform-setRouter1(config-crypto-map)#exit |
Окончание таблицы 3 – Команды маршрутизаторов
|
Маршрутизатор 2 |
|
Router2(config)#crypto ipsec transform-set SET esp-aes esp-sha Router2(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 Router2(config)#crypto map MAIN 1 ipsec-isakmp Router2(config-crypto-map)#set peer 1.1.1.1 Router2(config-crypto-map)#match address 101 Router2(config-crypto-map)#set transform-set SET Router2(config-crypto-map)#exit |
2.4 Применяем криптокарты на внешние интерфейсы f1/0 на каждом из маршрутизаторов и прописываем статические маршруты для доступа к сетям
Таблица 4 – Команды маршрутизаторов
|
Маршрутизатор 1 |
|
Router1(config)#int f1/0 Router1(config-if)#crypto map MAIN Router1(config)#ip route 192.168.2.0 255.255.255.0 1.1.1.2 |
|
Маршрутизатор 2 |
|
Router2(config)#int f1/0 Router2(config-if)#crypto map MAIN Router2 (config)#ip route 192.168.1.0 255.255.255.0 1.1.1.1 |
2.5 Настраиваем DHCP сервер на каждом из маршрутизаторов
Таблица 5 – Команды маршрутизаторов
|
Маршрутизатор 1 |
|
R1(config)#ipdhcpexcluded-address192.168.1.1 192.168.1.10 -здесь указывается диапазон адресов, которые исключаются из пула нашего DHCP-сервера R1(config)#servicedhcp-запускаем сервисы DHCP R1(config-if)#ipdhcppoolqwerty-создаем пул для DHCP-сервера R1(dhcp-config)#network192.168.1.0 255.255.255.0 -определяем сеть для DHCP-сервера R1(dhcp-config)#default-router192.168.1.1 -устанавливаем адрес для маршрута по умолчанию R1(dhcp-config)#dns-server192.168.1.1 -настраиваем адрес DNS-сервера R1(dhcp-config)#domain-namemail.ru-устанавливаем доменное имя R1(dhcp-config)#exit |
|
Маршрутизатор 2 |
|
R2(config)#ip dhcp excluded-address 192.168.2.1 192.168.2.10 R2(config)#service dhcp R2(config-if)#ip dhcp pool qwerty R2(dhcp-config)#network 192.168.2.0 255.255.255.0 R2(dhcp-config)#default-router 192.168.2.1 R2(dhcp-config)#dns-server 192.168.2.1 R2(dhcp-config)#domain-name mail.ru R2(dhcp-config)#exit |
2.6 При помощи анализатора трафика WireShak, захватите пакет протокола IPSeс
Рисунок 2.87 – Пакеты В WireShark
Отчет о лабораторной работе должен содержать:
1. Исходную топологию;
2. Конфигурационные файлы;
3. IPsec сообщения перехватываемые программой Wireshark.
Контрольные вопросы:
Понятие VPN (Основные положения, преимущества и недостатки)
Туннелирование в VPN
Классификация VPN (общая)
Протокол PPTP
Протокол L2F
Протокол L2TP
Основные протоколы входящие в IPSec
Этапы установления соединения
Алгоритм Диффи-Хеллмана
Протокол SSL
Инфраструктура открытых ключей
Сравнение протоколов PPTP, L2F, L2TP, IPSec, SSL (Область применения, основные преимущества и недостатки)