Cisco — различия между версиями
Admin (обсуждение | вклад) |
Admin (обсуждение | вклад) (→L2TP IPSec) |
||
| Строка 37: | Строка 37: | ||
Настройка L2TP | Настройка L2TP | ||
| + | |||
Алгоритм поднятия L2TP-туннеля на Cisco почти такой же, как алгоритм поднятия PPTP-туннеля, отличается только сам протокол — вместо pptp, указываем l2tp, что вполне логично. | Алгоритм поднятия L2TP-туннеля на Cisco почти такой же, как алгоритм поднятия PPTP-туннеля, отличается только сам протокол — вместо pptp, указываем l2tp, что вполне логично. | ||
1. vpdn | 1. vpdn | ||
| − | + | глобально включаем vpdn: | |
| − | + | ||
| − | + | ||
Router(config)#vpdn enable | Router(config)#vpdn enable | ||
| + | |||
2. vpdn-group | 2. vpdn-group | ||
— создаем и настраиваем vpdn-группу: | — создаем и настраиваем vpdn-группу: | ||
| − | |||
| − | |||
| − | |||
| − | |||
Router(config)#vpdn-group L2TP-IPSEC | Router(config)#vpdn-group L2TP-IPSEC | ||
Router(config-vpdn)#accept-dialin | Router(config-vpdn)#accept-dialin | ||
Router(config-vpdn-acc-in)#protocol l2tp | Router(config-vpdn-acc-in)#protocol l2tp | ||
Router(config-vpdn-acc-in)#virtual-template 3 | Router(config-vpdn-acc-in)#virtual-template 3 | ||
| + | |||
3. interface virtual-template | 3. interface virtual-template | ||
— создаем и настраиваем шаблон виртуального интерфейса: | — создаем и настраиваем шаблон виртуального интерфейса: | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
Router(config)#interface virtual-template 3 | Router(config)#interface virtual-template 3 | ||
Router(config-if)# ip unnumbered FastEthernet0/0 | Router(config-if)# ip unnumbered FastEthernet0/0 | ||
Router(config-if)#peer default ip address pool L2TP-IPSEC-POOL | Router(config-if)#peer default ip address pool L2TP-IPSEC-POOL | ||
Router(config-if)#encapsulation ppp | Router(config-if)#encapsulation ppp | ||
| + | |||
4. ip local pool | 4. ip local pool | ||
— создаем пул адресов, которые будут выдаваться при поднятии туннеля: | — создаем пул адресов, которые будут выдаваться при поднятии туннеля: | ||
| − | |||
| − | |||
Router(config)#ip local pool L2TP-IPSEC-POOL 50.50.50.1 50.50.50.15 | Router(config)#ip local pool L2TP-IPSEC-POOL 50.50.50.1 50.50.50.15 | ||
| + | |||
5. username | 5. username | ||
— создаем пользователя: | — создаем пользователя: | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
Router(config)#aaa new-model | Router(config)#aaa new-model | ||
Router(config)#aaa authentication ppp default local | Router(config)#aaa authentication ppp default local | ||
| Строка 85: | Строка 72: | ||
Настройка IPSec | Настройка IPSec | ||
| + | |||
IPSec — это не протокол, а стандарт, состоящий из 3 протоколов: | IPSec — это не протокол, а стандарт, состоящий из 3 протоколов: | ||
ESP (Encapsulating Security Payload) шифрует данные | ESP (Encapsulating Security Payload) шифрует данные | ||
| + | |||
AH (Authentication Header) отвечает за аутентификацию источника и проверку целостности данных | AH (Authentication Header) отвечает за аутентификацию источника и проверку целостности данных | ||
| + | |||
IKE (Internet Key Exchange protocol) используется для согласования параметров и создания защищенного туннеля | IKE (Internet Key Exchange protocol) используется для согласования параметров и создания защищенного туннеля | ||
| Строка 111: | Строка 101: | ||
алгоритм хеширования — md5 | алгоритм хеширования — md5 | ||
время жизни ключа шифрования — 3600 сек — 1 час, после истечения lifetime ключ меняется | время жизни ключа шифрования — 3600 сек — 1 час, после истечения lifetime ключ меняется | ||
| − | + | ||
| − | + | ||
| − | + | ||
| − | + | ||
| − | + | ||
| − | + | ||
Router(config)#crypto isakmp policy 10 | Router(config)#crypto isakmp policy 10 | ||
Router(config-isakmp)#encryption 3des | Router(config-isakmp)#encryption 3des | ||
| Строка 128: | Строка 113: | ||
— создаем pre-shared key, который используется для создания ISAKMP-туннеля: | — создаем pre-shared key, который используется для создания ISAKMP-туннеля: | ||
| − | |||
| − | |||
Router(config)#crypto isakmp key cisco address 0.0.0.0 0.0.0.0 no-xauth | Router(config)#crypto isakmp key cisco address 0.0.0.0 0.0.0.0 no-xauth | ||
Router(config)#crypto isakmp keepalive 3600 | Router(config)#crypto isakmp keepalive 3600 | ||
Смотрим параметры новосозданной ISAKMP-полиси: | Смотрим параметры новосозданной ISAKMP-полиси: | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
Router#show crypto isakmp policy | Router#show crypto isakmp policy | ||
| Строка 167: | Строка 137: | ||
— cоздаем transform-set — набор протоколов, которые поддерживает сторона для установления IPSEC. transform-set определяет, как будут шифроваться данные: | — cоздаем transform-set — набор протоколов, которые поддерживает сторона для установления IPSEC. transform-set определяет, как будут шифроваться данные: | ||
| − | |||
| − | |||
Router(config)#crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac | Router(config)#crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac | ||
Router(cfg-crypto-trans)#mode transport | Router(cfg-crypto-trans)#mode transport | ||
| + | |||
Есть два режима работы IPSec: | Есть два режима работы IPSec: | ||
туннельный (он включен по умолчанию) — шифруются данные вместе с ip-заголовками | туннельный (он включен по умолчанию) — шифруются данные вместе с ip-заголовками | ||
| + | |||
транспортный — шифруются только данные | транспортный — шифруются только данные | ||
| + | |||
Для работы совместо с L2TP нам нужен транспортный режим, что мы и задаем в настройка transform-set’a командой mode transport | Для работы совместо с L2TP нам нужен транспортный режим, что мы и задаем в настройка transform-set’a командой mode transport | ||
| − | |||
| − | |||
4. crypto dynamic-map | 4. crypto dynamic-map | ||
— создаем динамическую карту шифрования, назовем ее, например, 3DES-MD5-DYNMAP, и к ней привязываем transform-set: | — создаем динамическую карту шифрования, назовем ее, например, 3DES-MD5-DYNMAP, и к ней привязываем transform-set: | ||
| − | |||
| − | |||
| − | |||
Router(config)#crypto dynamic-map 3DES-MD5-DYNMAP 10 | Router(config)#crypto dynamic-map 3DES-MD5-DYNMAP 10 | ||
Router(config-crypto-map)#set transform-set 3DES-MD5 | Router(config-crypto-map)#set transform-set 3DES-MD5 | ||
| + | |||
5. crypto-map | 5. crypto-map | ||
— создаем статическую карту шифрования, связываем динамическую карту шифрования со статической: | — создаем статическую карту шифрования, связываем динамическую карту шифрования со статической: | ||
| − | |||
Router(config)#crypto map 3DES-MD5-MAP 10 ipsec-isakmp dynamic 3DES-MD5-DYNMAP | Router(config)#crypto map 3DES-MD5-MAP 10 ipsec-isakmp dynamic 3DES-MD5-DYNMAP | ||
| + | |||
6. interface | 6. interface | ||
| + | |||
— привязываем статическую карту шифрования к интерфейсу: | — привязываем статическую карту шифрования к интерфейсу: | ||
| − | |||
| − | |||
| − | |||
| − | |||
Router(config)#interface fastEthernet 0/0 | Router(config)#interface fastEthernet 0/0 | ||
Router(config-subif)#crypto map 3DES-MD5-MAP | Router(config-subif)#crypto map 3DES-MD5-MAP | ||
Версия 12:07, 28 марта 2017
Отложенная перезагрузка
В этой команде есть возможность задать отложенную перезагрузку:
reload in [mmm | [hh:]mm]]
Перед вводом потенциально опасных команд включаем отложенную перезагрузку и выполняем конфигурацию. Если напартачили — маршрутизатор перезагрузится через указанное время и мы снова на него сможем попасть.
router#reload in 10 Reload scheduled for 20:23:48 UAW Mon Nov 3 2008 (in 10 minutes) by srn on vty1 (10.10.10.66) Proceed with reload? [confirm]
После успешной конфигурации отменяем перезагрузку:
router#reload cancel router# *** *** --- SHUTDOWN ABORTED --- *** .Nov 3 20:14:03: %SYS-5-SCHEDULED_RELOAD_CANCELLED: Scheduled reload cancelled at 20:14:03 UAW Mon Nov 3 2008
Теперь можно сохранить изменения.
Взято отсюда - http://oldie.ronix.net.ua/2008/11/cisco.html
Нешифрованый туннель
interface Tunnel10 ip address 77.73.26.133 255.255.255.252 shutdown tunnel source 77.73.25.22 tunnel destination 130.193.65.14 tunnel mode ipip
L2TP IPSec
Настройка L2TP
Алгоритм поднятия L2TP-туннеля на Cisco почти такой же, как алгоритм поднятия PPTP-туннеля, отличается только сам протокол — вместо pptp, указываем l2tp, что вполне логично.
1. vpdn
глобально включаем vpdn:
Router(config)#vpdn enable
2. vpdn-group — создаем и настраиваем vpdn-группу:
Router(config)#vpdn-group L2TP-IPSEC Router(config-vpdn)#accept-dialin Router(config-vpdn-acc-in)#protocol l2tp Router(config-vpdn-acc-in)#virtual-template 3
3. interface virtual-template — создаем и настраиваем шаблон виртуального интерфейса: Router(config)#interface virtual-template 3 Router(config-if)# ip unnumbered FastEthernet0/0 Router(config-if)#peer default ip address pool L2TP-IPSEC-POOL Router(config-if)#encapsulation ppp
4. ip local pool — создаем пул адресов, которые будут выдаваться при поднятии туннеля: Router(config)#ip local pool L2TP-IPSEC-POOL 50.50.50.1 50.50.50.15
5. username — создаем пользователя: Router(config)#aaa new-model Router(config)#aaa authentication ppp default local Router(config)#aaa authorization network default local Router(config)#username vpn password strong_pass
Настройка IPSec
IPSec — это не протокол, а стандарт, состоящий из 3 протоколов:
ESP (Encapsulating Security Payload) шифрует данные
AH (Authentication Header) отвечает за аутентификацию источника и проверку целостности данных
IKE (Internet Key Exchange protocol) используется для согласования параметров и создания защищенного туннеля
Процесс согласования параметров и создания туннеля происходит в 2 этапа — первая и вторая фаза IKE. В результате работы IKE создается 2 туннеля — ISAKMP-туннель и, собственно, защищенный туннель для передачи данных. ISAKMP-туннель после второй фазы IKE не разрывается, он служит для обновления ключей шифрования основного канала (ключи обновляются каждые N секунд, время обновления можно задать в настройках isakmp policy командой lifetime)
При первой фазе IKE стороны «меряются» ISAKMP-полисями, поэтому первым делом…
1. crypto isakmp policy — создаем ISAKMP policy
ISAKMP policy используется для создания ISAKMP Tunnel при первой фазе IKE. Уже по ISAKMP туннелю стороны договариваются об SA (Security Association) основного шифрованого канала (метод шифрования, ключи). Создание второго туннеля уже для шифрования данных — это вторая фаза IKE.
Чем меньше номер policy, тем она приоритетнее. Если сторонам не удалось согласовать параметры для построения ISAKMP туннеля, используя политику, например, 10, то они переходят к согласованию, используя политику 20 и т.д.
номер политики — 10 алгоритм шифрования — 3des метод аутентификации — pre-shared keys задаем длину ключа — Diffie-Hellman (DH) группа 2 — 1024 bit алгоритм хеширования — md5 время жизни ключа шифрования — 3600 сек — 1 час, после истечения lifetime ключ меняется
Router(config)#crypto isakmp policy 10 Router(config-isakmp)#encryption 3des Router(config-isakmp)#authentication pre-share Router(config-isakmp)#group 2 Router(config-isakmp)#hash md5 Router(config-isakmp)#lifetime 3600
2. crypto isakmp key
— создаем pre-shared key, который используется для создания ISAKMP-туннеля:
Router(config)#crypto isakmp key cisco address 0.0.0.0 0.0.0.0 no-xauth Router(config)#crypto isakmp keepalive 3600 Смотрим параметры новосозданной ISAKMP-полиси:
Router#show crypto isakmp policy
Global IKE policy Protection suite of priority 10 encryption algorithm: Three key triple DES hash algorithm: Message Digest 5 authentication method: Pre-Shared Key Diffie-Hellman group: #2 (1024 bit) lifetime: 3600 seconds, no volume limit Router#show crypto isakmp key Keyring Hostname/Address Preshared Key
default 0.0.0.0 [0.0.0.0] cisco
При второй фазе IKE для создания туннеля для шифрованых данных стороны «меряются» transform-set’ами
3. crypto ipsec transform-set — cоздаем transform-set — набор протоколов, которые поддерживает сторона для установления IPSEC. transform-set определяет, как будут шифроваться данные:
Router(config)#crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac Router(cfg-crypto-trans)#mode transport
Есть два режима работы IPSec:
туннельный (он включен по умолчанию) — шифруются данные вместе с ip-заголовками
транспортный — шифруются только данные
Для работы совместо с L2TP нам нужен транспортный режим, что мы и задаем в настройка transform-set’a командой mode transport
4. crypto dynamic-map — создаем динамическую карту шифрования, назовем ее, например, 3DES-MD5-DYNMAP, и к ней привязываем transform-set: Router(config)#crypto dynamic-map 3DES-MD5-DYNMAP 10 Router(config-crypto-map)#set transform-set 3DES-MD5
5. crypto-map
— создаем статическую карту шифрования, связываем динамическую карту шифрования со статической:
Router(config)#crypto map 3DES-MD5-MAP 10 ipsec-isakmp dynamic 3DES-MD5-DYNMAP
6. interface
— привязываем статическую карту шифрования к интерфейсу:
Router(config)#interface fastEthernet 0/0 Router(config-subif)#crypto map 3DES-MD5-MAP
- Jun 16 11:46:56.183: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ONip
При подключении к L2TP/IPSec в VPN-клиенте помимо ip-адреса сервера, логина и пароля, нужно указать ключ (Shared Secret). Этот ключ мы задавали командой crypto isakmp key, в моем примере ключ cisco.
