35 видео на IT - тематику на нашем YouTube канале

Ќастройка Site-To-Site IPSec VPN на Cisco

«ащищенный туннель между офисами

ћерион Ќетворкс

7 минут чтени€

ѕривет! —егодн€ мы расскажем про то как настроить Site-To-Site IPSec VPN туннель между роутерами Cisco. “акие VPN туннели используютс€ обеспечени€ безопасной передачи данных, голоса и видео между двум€ площадками (например, офисами или филиалами). “уннель VPN создаетс€ через общедоступную сеть интернет и шифруетс€ с использованием р€да продвинутых алгоритмов шифровани€, чтобы обеспечить конфиденциальность данных, передаваемых между двум€ площадками.

Site-To-Site IPSec VPN

¬ этой статье будет показано, как настроить и настроить два маршрутизатора Cisco дл€ создани€ посто€нного безопасного туннел€ VPN типа Ђсеть-сетьї через »нтернет с использованием протокола IP Security (IPSec) . ¬ рамках статьи мы предполагаем, что оба маршрутизатора Cisco имеют статический публичный IP-адрес.

ISAKMP (Internet Security Association and and Key Management Protocol) и IPSec необходимы дл€ построени€ и шифровани€ VPN-туннел€. ISAKMP, также называемый IKE (Internet Key Exchange) , €вл€етс€ протоколом согласовани€ (negotiation protocol), который позвол€ет двум хостам договариватьс€ о том, как создать сопоставление безопасности IPsec. —огласование ISAKMP состоит из двух этапов: фаза 1 и фаза 2.

¬о врем€ фазы 1 создаетс€ первый туннель, который защищает последующие сообщени€ согласовани€ ISAKMP. ¬о врем€ фазы 2 создаетс€ туннель, который защищает данные. «атем в игру вступает IPSec дл€ шифровани€ данных с использованием алгоритмов шифровани€ и предоставл€ющий аутентификацию, шифрование и защиту от повторного воспроизведени€.


“ребовани€ к IPSec VPN

„тобы упростить понимание настройки разделим его на две части:

  1. Ќастройка ISAKMP (‘аза 1 ISAKMP)
  2. Ќастройка IPSec (‘аза 2 ISAKMP, ACL, Crypto MAP)

ƒелать будем на примере, который показан на схеме Ц два филиала, оба маршрутизатора филиалов подключаютс€ к »нтернету и имеют статический IP-адрес, назначенный их провайдером. ѕлощадка є1 имеет внутреннею подсеть 10.10.10.0/24, а площадка є2 имеет подсеть 20.20.20.0/24. ÷ель состоит в том, чтобы безопасно соединить обе сети LAN и обеспечить полную св€зь между ними без каких-либо ограничений.

—хема Site-To-Site IPSec VPN-туннел€

Ќастройка ISAKMP (IKE) - ISAKMP Phase 1

IKE нужен только дл€ установлени€ SA (Security Association) дл€ IPsec. ѕрежде чем он сможет это сделать, IKE должен согласовать отношение SA (ISAKMP SA) с одноранговым узлом (peer).

Ќачнем с настройки маршрутизатора R1 первой площадки. ѕервым шагом €вл€етс€ настройка политики ISAKMP Phase 1:

R1(config)#  crypto isakmp policy 1
R1(config-isakmp)# encr 3des
R1(config-isakmp)# hash md5
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# group 2
R1(config-isakmp)# lifetime 86400

ѕриведенные выше команды означают следующее:

  • 3DES - метод шифровани€, который будет использоватьс€ на этапе 1
  • MD5 - алгоритм хешировани€
  • Pre-Share - использование предварительного общего ключа (PSK) в качестве метода проверки подлинности
  • Group 2 - группа ƒиффи-’еллмана, котора€ будет использоватьс€
  • 86400 - врем€ жизни ключа сеанса. ¬ыражаетс€ либо в килобайтах (сколько трафика должно пройти до смены ключа), либо в секундах. «начение установлено по умолчанию.

ћы должны отметить, что политика ISAKMP Phase 1 определ€етс€ глобально. Ёто означает, что если у нас есть п€ть разных удаленных площадок и настроено п€ть разных политик ISAKMP Phase 1 (по одной дл€ каждого удаленного маршрутизатора), то, когда наш маршрутизатор пытаетс€ согласовать VPN-туннель с каждой площадкой, он отправит все п€ть политик и будет использовать первое совпадение, которое прин€то обоими сторонами.

ƒалее мы собираемс€ определить Pre-Shared ключ дл€ аутентификации с нашим партнером (маршрутизатором R2) с помощью следующей команды:

R1(config)# crypto isakmp key merionet address 1.1.1.2

Pre-Shared ключ партнера установлен на merionet, а его публичный IP-адрес - 1.1.1.2.  аждый раз, когда R1 пытаетс€ установить VPN-туннель с R2 (1.1.1.2), будет использоватьс€ этот ключ.


Ќастройка IPSec Ц 4 простых шага

ƒл€ настройки IPSec нам нужно сделать следующее:

  • —оздать расширенный ACL
  • —оздать IPSec Transform
  • —оздать криптографическую карту (Crypto Map)
  • ѕрименить криптографическую карту к общедоступному (public) интерфейсу

ƒавайте рассмотрим каждый из вышеперечисленных шагов.


Ўаг 1: —оздаем расширенный ACL

Ќам нужно создать расширенный access-list (про настройку Extended ACL можно прочесть в этой статье) и в нем определить какой траффик мы хотим пропускать через VPN-туннель. ¬ этом примере это будет трафик из одной сети в другую с 10.10.10.0/24 по 20.20.20.0/24. »ногда такие списки называют crypto access-list или interesting traffic access-list.

R1(config)# ip access-list extended VPN-TRAFFIC
R1(config-ext-nacl)# permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255

Ўаг 2: —оздаем IPSec Transform

—ледующим шагом €вл€етс€ создание набора преобразовани€ (Transform Set), используемого дл€ защиты наших данных. ћы назвали его TS.

R1(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac

ѕриведенна€ выше команда определ€ет следующее:

  • ESP-3DES - метод шифровани€
  • MD5 - алгоритм хешировани€

Ўаг 3: —оздаем Crypto Map

Crypto Map €вл€етс€ последнем этапом нашей настройки и объедин€ет ранее заданные конфигурации ISAKMP и IPSec:

R1(config)# crypto map CMAP 10 ipsec-isakmp
R1(config-crypto-map)# set peer 1.1.1.2
R1(config-crypto-map)# set transform-set TS
R1(config-crypto-map)# match address VPN-TRAFFIC

ћы назвали нашу криптографическую карту CMAP. “ег ipsec-isakmp сообщает маршрутизатору, что эта криптографическа€ карта €вл€етс€ криптографической картой IPsec. ’от€ в этой карте (1.1.1.2) объ€влен только один пир, существует возможность иметь несколько пиров.


Ўаг 4: ѕримен€ем криптографическую карту к общедоступному интерфейсу

ѕоследний шаг - применить криптографическую карту к интерфейсу маршрутизатора, через который выходит траффик. «десь исход€щим интерфейсом €вл€етс€ FastEthernet 0/1.

R1(config)# interface FastEthernet0/1
R1(config- if)# crypto map CMAP

ќбратите внимание, что интерфейсу можно назначить только одну криптокарту.

 ак только мы применим криптографическую карту к интерфейсу, мы получаем сообщение от маршрутизатора, подтверждающее, что isakmp включен: УISAKMP is ONФ.

Ќа этом этапе мы завершили настройку IPSec VPN на маршрутизаторе ѕлощадки 1.

“еперь перейдем к маршрутизатору ѕлощадки 2 дл€ завершени€ настройки VPN. Ќастройки дл€ R2 идентичны, с отличи€ми лишь в IP-адресах пиров и ACL.

R2(config)# crypto isakmp policy 1
R2(config-isakmp)# encr 3des
R2(config-isakmp)# hash md5
R2(config-isakmp)# authentication pre-share
R2(config-isakmp)# group 2
R2(config-isakmp)# lifetime 86400

R2(config)# crypto isakmp key merionet address 1.1.1.1
R2(config)# ip access-list extended VPN-TRAFFIC
R2(config-ext-nacl)# permit ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255
 
R2(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac
R2(config)# crypto map CMAP 10 ipsec-isakmp
R2(config-crypto-map)# set peer 1.1.1.1
R2(config-crypto-map)# set transform-set TS
R2(config-crypto-map)# match address VPN-TRAFFIC

R2(config)# interface FastEthernet0/1
R2(config- if)# crypto map CMAP

“рансл€ци€ сетевых адресов (NAT) и VPN-туннели IPSec

¬ реальной схеме трансл€ци€ сетевых адресов (NAT), скорее всего, будет настроена дл€ предоставлени€ доступа в интернет внутренним хостам. ѕри настройке VPN-туннел€ типа ЂSite-To-Siteї об€зательно нужно указать маршрутизатору не выполн€ть NAT (deny NAT) дл€ пакетов, предназначенных дл€ удаленной сети VPN.

Ёто легко сделать, вставив оператор deny в начало списков доступа NAT, как показано ниже:

ƒл€ первого маршрутизатора:

R1(config)# ip nat inside source list 100 interface fastethernet0/1 overload
R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255
R1(config)# access-list 100 permit ip 10.10.10.0 0.0.0.255 any

ƒл€ второго маршрутизатора:

R2(config)# ip nat inside source list 100 interface fastethernet0/1 overload
R2(config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 10.10.10.0  0.0.0.255
R2(config)# access-list 100 permit ip 20.20.20.0 0.0.0.255 any

»нициализаци€ и проверка VPN-туннел€ IPSec

  этому моменту мы завершили нашу настройку, и VPN-туннель готов к запуску. „тобы инициировать VPN-туннель, нам нужно заставить один пакет пройти через VPN, и этого можно достичь, отправив эхо-запрос от одного маршрутизатора к другому:

R1# ping 20.20.20.1 source fastethernet0/0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.20.20.1, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.1
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 44/47/48 ms

ѕервое эхо-сообщение icmp (ping) получило тайм-аут, но остальные получили ответ, как и ожидалось. ¬рем€, необходимое дл€ запуска VPN-туннел€, иногда превышает 2 секунды, что приводит к истечению времени ожидани€ первого пинга.

„тобы проверить VPN-туннель, используйте команду show crypto session:

R1# show crypto session
Crypto session current status
Interface: FastEthernet0/1
Session status: UP-ACTIVE    
Peer: 1.1.1.2 port 500
  IKE SA: local 1.1.1.1/500 remote 1.1.1.2/500 Active
  IPSEC FLOW: permit ip 10.10.10.0/255.255.255.0 20.20.20.0/255.255.255.0
        Active SAs: 2, origin: crypto map

√отово! ћы только что успешно подн€ли Site-To-Site IPSEC VPN туннель между двум€ маршрутизаторами Cisco!


ѕолезна ли ¬ам эта стать€?


Ёти статьи могут быть вам интересны: