По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Как следует из названий, проприетарный протокол компании Cisco System EIGRP (Enhanced Interior Gateway Routing Protocol), это протокол «внутреннего шлюза». EIGRP имеет множество преимуществ по сравнению с протоколом RIP (Routing Information Protocol) и своим непосредственным предшественником, протоколом IGRP (Interior Gateway Routing Protocol). По существу, EIGRP это расширенная версия протокола IGRP. Как и RIP, IGRP известен как дистанционно – векторный протокол, но по сравнению с ним он имеет улучшенные характеристики алгоритма расчета оптимального пути до пункта назначения. Метрики IGRP основываются на таких параметрах как полоса пропускания и задержка, в тоже время для протокола RIP важным является длинна маршрута, выраженная в «хопах», то есть количестве узлов на пути следования.
Протокол EIGRP включает в себя алгоритмы, которые часто встречаются в продвинутых протокол маршрутизации, которые работают по принципу «состояния канала». EIGRP использует оптимизированный по сравнению с RIP и IGRP метод предотвращения петель в сети, обеспечивая 100 – процентную гарантию отсутствия петель.
Важное преимущество EIGRP – это высокий показатель масштабируемости и высокая скорость сходимости сети. Итак, давайте разберем конкретные преимущества EIGRP по сравнению с IGRP:
Быстрая сходимость
Поддержка CIDR (бесклассовая адресация) и VLSM (маска подсети переменной длины)
Использует более совершенный алгоритм DUAL (Diffusing Update Algorithm), для определения качества того или иного маршрута.
Может использовать маршруты других протоколов маршрутизации.
Протокол совместим с IGRP и может выполнять маршрутизацию таких протоколов как IPX и Apple AppleTalk
EIGRP представляется как гибридный протокол, который содержит в себе как функционал дистанционно – векторного протокола маршрутизации, так и «состояния канала». Перечислим следующие характеристики:
EIGRP использует множество метрик для определения качества маршрута в добавок к «дистанции»:
Полоса пропускания и задержка (метрики по умолчанию)
Надежность, загрузка, MTU (опциональные метрики)
Оценка качества маршрута с помощью DUAL2
EIGRP, как и протокол OSPF, отправляет сообщения об изменении маршрутизации только тогда, когда в сети случаются какие-либо изменения (для сравнения, RIP и IGRP обновляет широковещательные сообщения периодически)
Протокол EIGRP в рамках сходимости, обменивается только «Hello» сообщениями с соседними маршрутизаторами.
EIGRP не поддерживается на маршрутизаторах других компаний, кроме Cisco.
EIGRP использует следующие административные значения для маршрутов:
Значение 90, для маршрутов полученных по EIGRP
Значение 170, для маршрутов полученных в рамках других протоколов маршрутизации
Компоненты EIGRP
Протокол EIGRP (Enhanced Interior Gateway Routing Protocol) состоит из 4 – х важных компонентов:
Обнаружение соседей
Речь пойдет о технологии, которую используют маршрутизаторы Cisco чтобы обнаружить присутствие напрямую подключенных маршрутизаторов соседей. Процесс обнаружения, позволяет маршрутизаторам использовать небольшие пакеты с маленькой нагрузкой, в рамках которых они передают сообщения «Hello». Отправка подобных пакетов позволяет определить, нормально ли функционирует сосед, или же он недоступен. Маршрутизатор отвечает на эти сообщения, и только после этого маршрутизаторы начинают работу. В случае не ответа, маршрутизатор считается неактивным и процесса коммуникаций не происходит.
Reliable Transport Protocol (RTP)
Или другими словами, надежный транспортный протокол. Обеспечивает надежную и гарантированную доставку юникаст или мультикаст сообщения соседям маршрутизаторам. В рамках эффективного использования RTP, маршрутизаторы используют его только по необходимости.
DUAL алгоритм
Алгоритм маршрутизации, который используется EIGRP для расчета, определения и отслеживания маршрутов без петель. DUAL использует метрики для определения наиболее оптимального маршрута основываясь на «feasible successor» (или «возможный приемник»,о котором мы расскажем во второй части статьи).
Дополнительные модули протокола
Независимые модули, которые используются протоколом EIGRP в рамках сетевого уровня модели OSI для отправки и получения сообщений. Модуль IP для протокола EIGRP носит название IP-EIGRP и предназначен для отправки и получения EIGRP пакетов инкапсулированных в IP – пакеты. IP-EIGRP взаимодействует с DUAL для вычисления маршрутов, которые в дальнейшем хранятся в таблицах маршрутизации.
Во второй части статьи мы продолжим рассказ о таблицах маршрутизации EIGRP
Универсальная платформа маршрутизации (Versatile Routing Platform VRP) - это сетевая операционная система, применяемая в сетевых устройствах Huawei, таких как маршрутизаторы и коммутаторы. Он предоставляет пользователям этих сетевых устройств согласованную и мощную платформу конфигурации за счет стандартизации сетевых, пользовательских и управляющих интерфейсов.
Основанная на модели TCP/IP, архитектура иерархической системы VRP объединяет возможности управления устройствами и сетями, технологии сетевых приложений и технологии передачи данных, такие как маршрутизация, многопротокольная коммутация по меткам (MPLS), виртуальная частная сеть (VPN) и технологии безопасности, с операционной системой в реальном времени.
Чтобы гарантировать, что платформа конфигурации остается актуальной и актуальной для современных технологий, VRP эволюционировала от VRP1.0, впервые выпущенного в 1998 году, до VRP8.X, его последняя версия.
Многие из сетевых устройств низкого и среднего уровня, которые в настоящее время используются в корпоративных сетях, используют VRP5.X. Далее мы будем рассматривать версию VRP5.12.
VRP- Командная строка
Командная строка VRP предназначена для настройки и управления сетевыми устройствами Huawei.
Командная строка
Командные строки VRP - это символьные строки, используемые для настройки функций и развертывания служб на сетевых устройствах Huawei. Командная строка состоит из ключевых слов и параметров. Ключевые слова - это одно или несколько слов, которые однозначно идентифицируют, соответствуют и обычно описывают инструкцию, выполняемую командной строкой, а параметры определяют данные, используемые в качестве входных данных для ключевых слов. Например, в командной строке ping ip-адрес (который проверяет подключение устройства), ping является ключевым словом, а ip-адрес представляет собой заданный пользователем параметр, такой как 192.168.1.1. Сетевые устройства Huawei обычно поставляются неконфигурированными по умолчанию, поэтому пользователь должен ввести командные строки в интерфейс командной строки устройства (CLI), чтобы настроить функциональность устройства.
CLI
CLI предоставляет средства взаимодействия с устройством. Через CLI вы можете вводить командные строки для настройки устройств. Командные строки VRP (их насчитывается тысячи), классифицируются по функциям и регистрируются в различных представлениях команд.
Команда View
CLI предоставляет несколько команд view, из которых наиболее часто используются команды view из режима пользователя, системы и интерфейса. Чтобы ввести и использовать командные строки в CLI, необходимо сначала получить доступ к пользовательскому режиму (как показано на рис. 1). Этот режим позволяет запрашивать основную информацию и состояние устройства и получать доступ к другим режимам, но не позволяет настраивать сервисные функции. Вы можете настроить сервисные функции и выполнить основные команды конфигурации в системном режиме (как показано на рис. 2), доступ к которому можно получить из пользовательского режима, выполнив команду system-view.
Системный режим также позволяет получить доступ к другим режимам, таким как режим интерфейса (как показано на рисунке 3). В режиме интерфейса вы можете настроить параметры и службы для указанного интерфейса.
Командная строка в каждом режиме содержит имя хоста устройства ("Huawei" на предыдущих рисунках), которое в режиме пользователя заключено в угловые скобки (. , .) и во всех других видах заключены в квадратные скобки ([]). В некоторых режимах командная строка может содержать дополнительную информацию (например, идентификатор интерфейса GigabitEthernet4/0/1 в предыдущем примере режиме интерфейса).
Командный и пользовательский уровни
Команды VRP классифицируются в зависимости от выполняемой ими функции: команды уровня 0 (уровень посещения) проверяют сетевое подключение, команды уровня 1 (уровень мониторинга) отображают состояние сети и базовую информацию об устройстве, команды уровня 2 (уровень конфигурации) настраивают службы для устройства, и команды уровня 3 (уровень управления) управляют определенными функциями устройства, такими как загрузка или выгрузка файлов конфигурации.
Чтобы ограничить, какие команды может запускать пользователь, пользователям назначаются разные уровни пользователя. Всего доступно 16 пользовательских уровней, от уровня 0 до уровня 15. Уровень 0 является наиболее ограничительным, причем разрешающая способность увеличивается для каждого последующего уровня. По умолчанию уровни с 4 по 15 совпадают с уровнями 3, поэтому пользователи, которым назначены эти уровни, имеют одинаковые разрешения и могут выполнять все команды VRP. Однако пользовательские уровни могут быть настроены, если требуется более тонкая детализация управления. Например, вы можете повысить до уровня 15 уровень пользователя определенных команд, чтобы эти команды могли выполнять только пользователи, назначенные этому уровню. Однако изменение назначений по умолчанию может усложнить задачи по эксплуатации и обслуживанию и ослабить безопасность устройства. В таблице 1 приведено сопоставление по умолчанию между уровнями пользователя и команды.
Таблица 1. Сопоставление уровней
Пользовательский
уровень
Командный
уровень
Описание
0
0
Команды для диагностики сети (такие как ping и tracert) и
удаленный вход (например, telnet)
1
0,1
Команды для обслуживания системы, такие как display. Конкретные команды display, такие display current-configuration и display saved-configuration, являются командами уровня управления (требуются пользователи уровня 3).
2
0,1,2
Команды для настройки сервиса, такие как команды маршрутизации
3-15
0,1,2,3
Команды для управления основными операциями системы, такими как файловые системы, загрузка по FTP, управление пользователями, настройка уровня команд и диагностика неисправностей
Использование командных строк
В этой части рассмотрим, как использовать командные строки VRP.
Доступ к командному режиму
Как уже упоминалось в первой части, пользовательский вид - это первый вид, отображаемый после загрузки VRP. Если отображается Huawei (а курсор справа от мигает), вы находитесь в режиме пользователя. В этом режиме вы можете запускать команды для запроса базовой информации и статуса устройства. Например, для настройки интерфейса необходимо получить доступ к системному режиму, а затем получить доступ к режиму интерфейса. Команды для этого - system-view и interface interface-type interface- number. Ниже показано, как получить доступ к режиму интерфейса GigabitEthernet 1/0/0
system-view
[Huawei]
[Huawei] interface gigabitethernet 1/0/0
[Huawei-GigabitEthernet1/0/0]
Выход из командной строки
Команда quit позволяет вам выйти из текущего режима и вернуться к режиму верхнего уровня. В предыдущем примере текущим режимом является режим интерфейса, а системным режимом является режимом верхнего уровня режим интерфейса. Выполнение команды quit в режиме интерфейса покажет следующее.
[Huawei-GigabitEthernet1/0/0] quit
[Huawei]
Чтобы вернуться к режиму пользователя, снова введите команду quit.
[Huawei] quit
<Huawei>
Иногда необходимо вернуться в пользовательский режим, не выполняя команду quit несколько раз. Команда return позволяет вам напрямую вернуться к режиму пользователя.
[Huawei-GigabitEthernet1/0/0] return
<Huawei>
Вы также можете использовать сочетания клавиш Ctrl + Z в любом режиме, чтобы вернуться к режиму пользователя.
Редактирование командной строки
Вы можете ввести до 510 символов в командной строке. Однако, если вы заметите ошибку в длинной командной строке, перепечатывание 510 символов станет трудоемким. В таблице 2 перечислены общие функциональные клавиши, которые не чувствительны к регистру, для редактирования командных строк VRP. Обратите внимание, что курсор не может переместиться в подсказку (например, [Huawei-GigabitEthernet1 /0/0]), и подсказка также не может быть отредактирована.
Таблица 2. Функциональные клавиши
Клавиша
Назначение
Backspace
Удаляет символ слева от курсора
← или Ctrl+B
Перемещает курсор на один символ влево
→ или Ctrl+F
Перемещает курсор на один символ вправо (только вправо до конца команды)
Delete
Удаляет символ, выделенный курсором (все символы, следующие за удаленным символом, сдвигаются на один пробел влево)
↑ или Ctrl+P
Отображает последнюю введенную команду, которая была выполнена. Система хранит историю выполненных команд, позволяя отображать их по одной (нажимайте повторно для просмотра предыдущих команд)
↓ или Ctrl+N
Отображает следующую самую последнюю команду в сохраненном списке истории
Ввод сокращенных ключевых слов
Окончание командной строки автоматически заполняет частично введенные ключевые слова, если система может найти уникальное совпадение. Например, вы можете ввести такие комбинации, как d cu, di cu или dis cu, и нажать Tab, и система автоматически отобразит команду display current-configuration. однако d c и dis c не возвращают совпадения, поскольку другие команды, такие как display cpu-defend, display clock и display current-configuration, также соответствуют этим частичным ключевым словам.
Получение помощи
Запоминание тысяч командных строк VRP может показаться сложной задачей. Знак вопроса (?) облегчает задачу. Вы можете ввести? в любой момент, чтобы получить онлайн помощь. Помощь классифицируется как полная или частичная.
Полная справка, например, отображает список команд, доступных в текущем режиме. Ввод знака ? в пользовательском режиме отобразит следующее.
Из списка вы можете выбрать, какая команда вам нужна. Например, ключевое слово display описывается как Display information. Это ключевое слово содержится в более чем одной команде, поэтому введите любую букву, чтобы выйти из справки, введите display и пробел, а затем введите знак?. В результате отобразится следующая информация.
Из этого списка вы можете определить, какое ключевое слово связать с display. Например, при запуске команды display current-configuration отображаются текущие конфигурации устройства.
Частичная помощь идеально подходит для тех случаев, когда вы уже знаете часть командной строки. Например, если вы знаете dis для display и для с current- configuration, но не можете запомнить полную командную строку, используйте частичную справку. Ввод dis и ? показывает следующее.
Единственное ключевое слово, которое соответствует dis - это display. Чтобы определить вторую часть командной строки, введите dis, пробел, c и ?.
Несколько ключевых слов начинаются с c; однако легко определить, что необходимая командная строка display current-configuration.
Использование сочетаний клавиш
Сочетания клавиш облегчают ввод команд. Предварительно определенные сочетания клавиш называются системными сочетаниями клавиш. Некоторые из часто используемых системных сочетаний клавиш перечислены в таблице 3.
Таблица 3. Обычно используемые системные сочетания клавиш
Клавиши
Назначение
Ctrl+A
Перемещает курсор в начало текущей строки
Ctrl+E
Перемещает курсор в конец текущей строки
Esc+N
Перемещает курсор вниз на одну строку
Esc+P
Перемещает курсор вверх на одну строку
Ctrl+C
Останавливает работающую функцию
Ctrl+Z
Возвращает к виду пользователя
Tab
Обеспечивает завершение командной строки. Нажатие Tab после ввода частичного ключевого слова автоматически завершает ключевое слово, если система находит уникальное соответствие
Системные сочетания клавиш нельзя изменить; тем не менее, вы можете определить свои собственные (известные как пользовательские сочетания клавиш). Определенные пользователем сочетания клавиш могут обеспечить дополнительное удобство, но могут конфликтовать с некоторыми командами - поэтому определение таких клавиш не рекомендуется.
В этой статье произведем настройку туннеля IPSec между Palo Alto и Cisco ASA Firewall. Далее будет использован брандмауэр Palo Alto с прошивкой PANOS 8.1.10. Хотя, конфигурация почти такая же и в других версиях PANOS. Для понимания этой статьи вам необходимы базовые знания по IPSec VPN. Для настройки этой конфигурации вам не нужна дополнительная лицензия на обоих устройствах. Для настройки туннеля IPSec необходимо иметь статический маршрутизируемый IP- адрес. Итак, давайте начнем настройку!
Как настроить IPSec VPN между Cisco ASA и брандмауэром Palo Alto
Что нужно сделать - настроить туннель IPSec между Cisco ASA и брандмауэром Palo Alto
Как выше говорилось, вам понадобиться статический маршрутизируемый IP-адрес как в Palo Alto, так и в брандмауэре Cisco ASA. В этом примере я использую два маршрутизируемых IP- адреса на обоих брандмауэрах Palo Alto и Cisco ASA (между ними настроена связь, и они доступны друг другу). IP-адрес 1.1.1.1 настроен на брандмауэре Cisco ASA и 2.2.2.2 настроен на брандмауэре Palo Alto как показано ниже:
Как вы заметили, подсеть LAN 192.168.1.0/24 связана с Cisco ASA, а с другой стороны, подсеть LAN 192.168.2.0/24 связана с брандмауэром Palo Alto. Прежде чем перейти к части конфигурации, просто проверьте доступность обоих устройств с помощью утилиты ping.
admin@PA-220> ping host 1.1.1.1
PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data
64 bytes from 1.1.1.1: icmp_seq1 ttl=64 time=0.177 ms
64 bytes from 1.1.1.1: icmp_seq2 ttl=64 time=0.157 ms
Шаги по настройке туннеля IPSec на брандмауэре Palo Alto
Во-первых, мы настроим туннель IPSec на брандмауэре Palo Alto. Для настройки фазы 1 и фазы 2 туннеля IPSec в Palo Alto необходимо выполнить следующие действия.
Создание зоны безопасности на брандмауэре Palo Alto
Во-первых, нам нужно создать отдельную зону безопасности на брандмауэре Palo Alto. Для того чтобы настроить зону безопасности, вам нужно перейти Network >> Zones>> Add. Здесь вам нужно указать название зоны безопасности. Вы можете ввести любое удобное имя.
Создание туннельного интерфейса на брандмауэре Palo Alto
Вам необходимо определить отдельный виртуальный туннельный интерфейс для туннеля IPSec. Чтобы определить интерфейс туннеля, перейдите в раздел Network >> Interfaces>> Tunnel. Выберите виртуальный маршрутизатор, который в моем случае используется по умолчанию. Кроме того, в файле зоны безопасности необходимо выбрать зону безопасности, определенную на Шаге 1. Хотя для этого интерфейса вам не нужно указывать IP-адрес IPv4 или IPv6. Кроме того, вы можете прикрепить профиль управления на вкладке Advanced, если вам это нужно.
Определение IKE Crypto Profile [Фаза 1 туннеля IPSec]
Теперь вам нужно определить фазу 1 туннеля IPSec. Вам нужно зайти Network >> Network Profiles >> IKE Crypto >> Add. Здесь вам нужно дать дружественное имя для IKE Crypto profile. Затем определите DH группу, метод шифрования и аутентификации. По умолчанию срок службы ключа составляет 8 часов. Вы можете изменить его в соответствии с вашим требованием.
Определение Crypto Profile IPSec [Фаза 2 туннеля IPSec]
Теперь вам нужно определить фазу 2 туннеля IPSec. Вам нужно перейти Network>> Network Profiles >> IPSec Crypto >> Add. Здесь, вы должны дать понятное имя для профиля шифрования по протоколу IPSec. Выберите протокол IPsec в соответствии с вашими требованиями. У вас есть ESP (Encapsulation Security Protocol) и AH (Authentication Header) протокол для IPSec. Затем определите группу DH, метод шифрования и аутентификации. По умолчанию срок службы ключа составляет 1 час. Вы можете изменить его в соответствии с вашим требованием.
Определение профиля шлюза IKE
Теперь вам нужно перейти Network >> Network Profiles >> IKE Gateways >> Add. На вкладке Общие (General) необходимо определить имя профиля шлюза IKE. В поле Interface вам нужно ввести/определить свой интернет-интерфейс, в моем случае ethernet1/1, который имеет IP-адрес 2.2.2.2. Установите переключатель в поле Peer IP Address Type в IP. Укажите адрес в поле Peer address, в моем случае 1.1.1.1. Выберите метод аутентификации в поле Authentication, т. е. выберите или общий ключ (Pre Shared Key) или сертификат (Certificate). В этом сценарии я использую предварительный общий ключ (Pre-shared Key). Затем определите предварительный общий ключ (Pre-shared Key) и запишите его, потому что он нужен для определения в FortiGate Firewall. Введите в поля Local Identification и Peer Identification локальный и удаленный IP-адреса.
Нажмите на Advanced Option, в IKEv1 выберите Ike Crypto Profile, который определяется на Шаге 3.
Создание туннеля IPSec
Мы определили шлюз IKE и IPSec Crypto profile для нашего туннеля IPSec. Теперь мы должны определить туннель IPSec. Перейдите в раздел Network >> IPSec Tunnels >> Add. Определите удобное имя для туннеля IPSec. Затем выберите туннельный интерфейс, который определен в шаге 2. Выберите профили для Ike Gateway и IPsec Crypto Profile, которые определены в шаге 3 и шаге 5 соответственно.
Перейдите на вкладку идентификаторы (IDs) прокси-серверов и определите локальные и удаленные сети. В этом сценарии я использую подсети 192.168.1.0/24 и 192.168.2.0/24 в LAN.
Создание политики безопасности для туннельного трафика IPSec
Теперь вам нужно создать профиль безопасности, который позволяет передавать трафик из зоны VPN в зону доверия. Вам нужно перейти Policies >> Security >> Add, чтобы определить новую политику.
Настройка маршрута для одноранговой частной сети
Теперь вам нужно предоставить статический маршрут для частной сети. Просто перейдите в раздел Network >> Virtual Routers >> Default >> Static Routes >> Add. Выберите имя для этого маршрута и определите целевую сеть для этого маршрута, т.е. 192.168.1.0/24 в данном примере. Выберите следующий переход к туннельному интерфейсу, который определен в шаге 2.
Мы закончили настройку туннеля IPSec в брандмауэре Palo Alto. Теперь мы настроим туннель IPSec в FortiGate Firewall.
Этапы настройки туннеля IPSec в брандмауэре Cisco ASA
Теперь мы настроим туннель IPSec в брандмауэре Cisco ASA. Здесь, в этом примере, я использую программное обеспечение Cisco ASA версии 9.8 (1). Хотя конфигурация туннеля IPSec такая же и в других версиях.
Ниже показаны основные шаги настройки IPSec на Cisco ASA:
Настройка фазы 1 (IKEv1)
Определение туннельной группы (Tunnel Group) и предварительного общего ключа (Pre-Shared Key)
Настройка фазы 2 (IPSec)
Настройка расширенного ACL (Extended ACL) и криптографической карты (Crypto Map)
Итак, давайте начнем настройку с настройки фазы 1 Cisco ASA. Перейдите в режим глобальной конфигурации Cisco ASA и начните с приведенных ниже команд
Настройка фазы 1 (IKEv1) на Cisco ASA
ciscoasa(config)# crypto ikev1 enable outside
ciscoasa(config)# crypto ikev1 policy 10
ciscoasa(config-ikev1-policy)# authentication pre-share
ciscoasa(config-ikev1-policy)# encryption 3des
ciscoasa(config-ikev1-policy)# hash md5
ciscoasa(config-ikev1-policy)# group 2
ciscoasa(config-ikev1-policy)# lifetime 7200
Теперь давайте быстро разберемся в значении каждой команды.
Encryption: 3des – используется для шифрования трафика фазы 1
Хэш: md5 – это алгоритм хеширования. Он аутентифицирует наши данные с помощью хэша
Group: 2 – Диффи Хеллман группа 2
Authentication – в этом примере мы используем предварительный общий ключ в качестве аутентификации
Lifetime: 7200 – 86400 срок службы по умолчанию для Фазы 1
В Cisco ASA нам нужно включить криптографию IKEv1 к интерфейсу, обращенному к интернету. Итак, мы можем сделать это с помощью приведенной ниже команды:
ciscoasa(config)# crypto ikev1 enable outside
Настройка туннельной группы и предварительного общего ключа на Cisco ASA
Теперь нам нужно определить туннельный интерфейс и предварительный общий ключ. В этой статье я использую сеть GNS3 в качестве предварительного общего ключа.
ciscoasa(config)# tunnel-group 2.2.2.2 type ipsec-l2l
ciscoasa(config)# tunnel-group 2.2.2.2 ipsec-attributes
ciscoasa(config-tunnel-ipsec)# ikev1 pre-shared-key GNS3Network
Настройка IPSec IKEv1 (Фаза 2)
Здесь нам нужно определить методы шифрования и аутентификации для IPSec Фазы 2
ciscoasa(config-ikev1-policy)# crypto ipsec ikev1 transform-set ESP-AES-SHA esp-3des esp-md5-hmac
ciscoasa(config)# crypto ipsec security-association lifetime seconds 7200
А теперь давайте быстро разберемся в каждой команде.
ESP: ESP означает инкапсулирование полезной нагрузки безопасности, и это протокол IPSec
3DES: 3DES – это один из алгоритмов шифрования
MD5: MD5 – это алгоритм хеширования, который используется для поддержания целостности данных
7200 секунд: срок службы ключа IPSec Phase2
Настройка криптографической карты (Crypto MAP) и расширенного ACL (Extended ACL) для разрешения трафика IPSec на Cisco ASA
Это заключительный этап нашей конфигурации. Здесь нам нужно определить расширенный ACL, чтобы разрешить трафик. Кроме того, здесь нам нужно настроить криптокарту и вызвать настроенную криптокарту на внешний интерфейс. Я настраиваю два адресных объекта для упрощения списка управления доступом (ACL).
Адресный объект и расширенный ACL для разрешения трафика
ciscoasa(config)# object-group network local-network
ciscoasa(config-network-object-group)# network-object 192.168.1.0 255.255.255.0
ciscoasa(config-network-object-group)# object-group network remote-network
ciscoasa(config-network-object-group)# network-object 192.168.2.0 255.255.255.0
ciscoasa(config-network-object-group)# access-list asa-paloalto-vpn extended permit ip object-group local-network object-group remote-network
Настройка криптографической карты
ciscoasa(config)# crypto map outside_map 10 match address asa-paloalto-vpn
ciscoasa(config)# crypto map outside_map 10 set pfs group2
ciscoasa(config)# crypto map outside_map 10 set peer 2.2.2.2
ciscoasa(config)# crypto map outside_map 10 set ikev1 transform-set ESP-ASE-SHA
Включение криптокарты на внешнем интерфейсе
ciscoasa(config)# crypto map outside_map interface outside
Инициирование туннеля IPSec и проверка трафика с помощью Wireshark
На этом этапе мы просто должны инициировать трафик по туннелю IPSec. Если обе фазы туннеля IPSec работают, то ваша настройка идеальна. Итак, давайте получим доступ к CLI брандмауэра Palo Alto и инициируем туннель IPSec:
admin@PA-VM>test vpn ipsec-sa
admin@PA-VM>test vpn ipsec-sa
Теперь давайте получим доступ к туннелям Device >> IPSec и проверим состояние только что созданного туннеля IPSec! Если оба фазовых туннеля находятся в состоянии UP, то они будут выглядеть так, как показано на рисунке ниже:
А теперь давайте запустим трафик с одного из брандмауэров. Я инициирую движения в направлении Palo Alto межсетевой экран от Cisco ASA.
ciscoasa# ping 192.168.2.1
Type escape sequence to abort
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
?!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 30/30/30 ms
Первый пакет отбрасывается только из-за запроса и ответа ARP. Больше никакой пакет не будет отброшен.
Необязательно: если вы пытаетесь инициировать трафик от IP интерфейса Cisco ASA (т.е. в данном примере), вам нужно разрешить доступ управления к подсети.
ciscoasa(config)# management-access inside
Устранение неполадок в туннеле IPSec
В этой части этой статьи мы обсудим некоторые основные команды, которые помогут вам устранить неполадки туннеля IPSec, настроенного между Cisco ASA и маршрутизатором Cisco.
Устранение неполадок туннеля IPSec на брандмауэре Cisco ASA
ciscoasa# show running-config ipsec
ciscoasa# show running-config crypto ikev1
ciscoasa# show running-config crypto map
Устранение неполадок IPSec-туннель на брандмауэре Palo Alto
Давайте откроем Monitor >> System и воспользуемся фильтром "(subtype eq vpn)". Здесь вы найдете все журналы, связанные с VPN.
Если у вас возникли проблемы с туннелем IPSec, вы можете использовать следующие команды для запуска туннеля IPSec:
admin@PA-CM>test vpn ipsec-sa
admin@PA-CM>test vpn ipsec-sa
Анализ трафика IPSec через Wireshark
Во время настройки туннеля IPSec мы определили ESP (Encapsulating Security Payload) как протокол IPsec, поэтому весь реальный трафик, который идет к одноранговому концу, будет зашифрован с помощью этого протокола. Таким образом, вы найдете только ESP- пакеты в захвате пакетов, как показано ниже
Резюме
В этой статье мы настраиваем туннель IPSec между брандмауэром Cisco ASA и брандмауэром следующего поколения Palo Alto. Мы также обсудили алгоритмы шифрования и аутентификации. Однако для настройки IPSec VPN между двумя удаленными сетями необходимо использовать статические маршрутизируемые IP-адреса.