Сурков Л.В. - Виртуальные частные сети. IPSec-туннель (1075629), страница 2
Текст из файла (страница 2)
Список протоколов с именами иномерами можно посмотреть в файле /etc/protocols на компьютерах.Для трафика UDP и TCP:(config)# access-list <имя_ACL> [line <номер_строки>] extended {deny | permit}{tcp|udp} <адрес_отправителя> <маска> [<оператор> <порт>] <адрес_получателя><маска> [<оператор> <порт>]Оператор может принимать все значения, которые он может принимать вмаршрутизаторах и коммутаторах Cisco.Для трафика ICMP:(config)# access-list <имя_ACL> [line <номер_строки>] extended {deny | permit} icmp<адрес_отправителя> <маска> <адрес_получателя> <маска> [<тип_ICMP>]Для полей «адрес отправителя», «адрес получателя»модификаторы any и host.
Маска вводится в прямой форме.и«маска»действуютДля каждого порта можно контролировать два потока трафика: Inbound (входящий) — поток, проходящий от внешних узлов через порт в ASA; Outbound (исходящий) — поток, выходящий через порт ASA к внешним узлам.Таким образом, один пакет может быть подвергнут как входной, так и выходнойфильтрации.Список контроля входящего потока может применяться к отдельному порту или ковсему устройству в целом. При этом глобальный список контроля доступа неперекрывает интерфейсные списки, они применяются последовательно: сначалаинтерфейсный, затем глобальный.Для протоколов TCP и UDP ASA создает запись о двунаправленном соединении и,соответственно, разрешает обратный трафик, относящийся к этому соединению.
Дляпротокола ICMP ASA создает запись об однонаправленном соединении, поэтомутребуется разрешать обратный ICMP-трафик отдельно.Применить список контроля доступа к интерфейсу:(config)# access-group <имя_ACL> {in | out} interface <имя_интерфейса>Network Address Translation (NAT) ASA 5500 Series! Настройка интерфейса inside(config)# interface Vlan 1(config-if)# nameif inside(config-if)# security-level 100МГТУ им. БауманаКафедра ИУ-620115Сурков Л.В.Корпоративные сетиЛабораторный практикум «Виртуальные частные сети. IPSec-туннель» Rev.
01(config-if)# ip address <адрес> <маска>(config-if)# no shutdown(config-if)# exit! Настройка интерфейса outside(config)# interface Vlan 2(config-if)# nameif outside(config-if)# security-level 0(config-if)# ip address <адрес> <маска>(config-if)# no shutdown(config-if)# exit! Добавление порта к интерфейсу inside(config)# interface <имя>(config-if)# switchport access vlan 1(config-if)# no shutdown (config-if)# exit! Добавление порта к интерфейсу outside(config)# interface <имя>(config-if)# switchport access vlan 2(config-if)# no shutdown (config-if)# exit! Включение NAT (PAT)! Имена интерфейсов должны записываться в круглых скобках! Создание пула адресов, состоящего из одного адреса! Указываем, что адрес надо брать с интерфейса(config)# global (outside) <номер_NAT> interface! Создание правила NAT(config)# nat (inside) <номер_NAT> 0.0.0.0 0.0.0.0! Добавление маршрута по умолчанию к провадеру(config)# route outside 0.0.0.0 0.0.0.0 <IP-адрес_шлюза> <метрика>Настройка туннеля IPSec ASA 5500 Series! Настройка ISAKMP (фаза 1)! Выбор шифрования(config-if)# crypto isakmp policy <приоритет> encryption (aes|aes-192|aes-256 |des| 3des)! Выбор хеша(config)# crypto isakmp policy <приоритет> hash (md5 | sha)! Выбор метода аутентификации с общим ключом(config)# crypto isakmp policy <приоритет> authentication pre-share! Выбор группы Диффи-Хеллмана(config)# crypto isakmp policy <приоритет> group (1 | 2 | 5)! Задание времени жизни объединения безопасностиМГТУ им.
БауманаКафедра ИУ-620116Сурков Л.В.Корпоративные сетиЛабораторный практикум «Виртуальные частные сети. IPSec-туннель» Rev. 01! (в секундах от 120 до 2147483647)(config)# crypto isakmp policy <приоритет> lifetime <время>! Включение ISAKMP на интерфейсе outside(config)# crypto isakmp enable outside! Выбор метода идентификации сторон! address – по IP-адресу! hostname – по FQDN! key-id – по общему ключу! auto – (для аутентификации с общим ключом) по IP-адресу(config)# crypto isakmp identity (address | hostname | key-id <ключ> | auto)! Настройка IPSec (фаза 2)! Создание расширенного списка доступа для определения шифруемого трафика(config)#access-list<номер_ACL>permitip<адрес_отправителя><маска_адреса_отправителя> <адрес_получателя> <маска_адреса_получателя>! Создание набора алгоритмов для туннеля(config)# crypto ipsec transform-set <имя> <алгоритм> [<алгоритм> …]! Создание криптосвязи! Задание ACL для выбора шифруемого трафика(config)# crypto map <имя> <индекс> match address <номер_ACL>! Задание адреса соседа по туннелю(config)# crypto map <имя> <индекс> set peer <IP-адрес_соседа>! Задание набора алгоритмов (config)# crypto map <имя> <индекс> set transform-set<имя>! Задание времени жизни объединения безопасности(config)# crypto map <имя> <индекс> set security-association lifetime (seconds<время_в_секундах> | kilobytes <объем_трафика_в_килобайтах>)! Назначение криптосвязи на интерфейс(config)# crypto map <имя_криптосвязи> interface <имя_интерфейса>МГТУ им.
БауманаКафедра ИУ-620117Сурков Л.В.Корпоративные сетиЛабораторный практикум «Виртуальные частные сети. IPSec-туннель» Rev. 01Практическая частьЦель работы:Изучение протокола IPSec и способа его настройки в ОС Linux и на брандмауэреASA5505.Порядок выполнения работы:1. Соберите топологию сети, представленную на рисунке.Рисунок2. Настройте рабочие станции и брандмауэры таким образом, чтобы создатьчетыре различных IP-подсети: а, b, c и d (в соответствие с рисунком).3. Настройте IPSec-туннель, как это показано на рисунке.4.
Проверьте работоспособность сети, обратившись с машины #1 на машину #2.Литература1. James Boney, Cisco IOS in a Nutshell, 2-nd Ed., O`Reilly, 20082. Wendell Odom, Interconnecting Networking Devices Cisco, Part 2, Cisco Press,20083. НПП «Учтех-Профи», ОС Arch Linux, Лабораторный практикум, Челябинск,20104. Сурков Л.В.
Защита сетевого трафика с использованием IPSec исертификатов. МГТУ им. Н.Э.Баумана, каф. ИУ6, 20105. Сурков Л.В. Построение виртуальных частных сетей VPN в сетевой средеWindows Server 2008/2003. МГТУ им. Н.Э.Баумана, каф. ИУ6, 2010МГТУ им. БауманаКафедра ИУ-620118.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
