Configurația VPN IPSEC constă în următorii pași:
1) Descrierea politicii ISAKMP. Procesată de sus în jos, cea mai sigură ar trebui să fie pe partea de sus.
2) Descrierea politicii IPSEC - Set de transformare.
3) Descrierea traficului de interese, care va fi protejat de IPSEC. Acest lucru se face folosind ACL.
4) Colectați setul rezultat ca cripto-hartă și alocați-l interfeței.
cripto isakmp politica 10! numărul de politică
Encr Aes! tipul de criptare
hash sha256! tipul de hashing
autentificare pre-share! metoda de autentificare
grupul 2! Grupul DH
durata de viata 240! toată viața
cripto isakmp cheie IPSECVPN adresa 100.0.0.2! PSK pentru o sărbătoare specifică
2
crypto ipsec transforma setul IPSEC-TS esp-aes esp-sha-hmac! creați un set de transformări ESP cu criptare AES și hash SHA
3
Creați un ACL care descrie traficul de care suntem interesați, pe care îl vom apăra IPSEC.
Listă extinsă de acces IP FOR-IPSEC
10 permit ip gazdă 10.0.0.1 gazdă 10.0.0.2
20 refuza orice ip
interfață FastEthernet0 / 0
adresa IP 100.0.0.1 255.255.255.252
duplex auto
viteza auto
cripto harta MYMAP! aplicați cripto-harta rezultată la interfață
capăt
Comenzi pentru trablasting:
sh crypto isakmp sa
sh crypto ipsec sa
debug cripto ipsec
Cum funcționează VPN-ul IPSEC.
IPSEC VPN constă din 2 etape:
1) Reconcilierea tunelului.
2) Transmisia datelor, printr-un tunel convenit.
Sarcinile de coordonare.
- Creați un canal securizat.
- Tunel de potrivire peste canalul securizat Cadru:
- Asociația de securitate prin Internet și Protocolul de gestionare a cheilor (ISAKMP).
Implementarea actuală:
- Exchange Internet Key (IKE).
Care sunt diferențele?
- ISAKMP spune că cheia trebuie generată.
- IKE vă spune cum să-l generați.
Transfer de date prin IPSEC.
După ce parametrii tunelului sunt consecvenți, traficul poate fi transmis (încapsulat) folosind două protocoale:
- Antetul de autentificare (AH).
Incapsularea volumului de securitate (ESP).
AH și ESP oferă împreună:
- Autentificare.
- Verificarea integrității.
- Criptare.
AH este numai autentificare.
ESP este atât autentificare, cât și criptare.
Formatul de încapsulare IPSEC.
ESP și AH suportă 2 formate de încapsulare:
1) Mod Transport - modifică antetul original.
2) Tunnel Mode - lasă titlul original, dar adaugă unul nou din partea de sus.
Număr ESP al atașamentului la IP - 50. AH - 51.
IKE.
IKE utilizează portul 500 UDP (ISAKMP).
IKE folosește două faze de reconciliere pentru a crea SA (asociații de securitate).
- Faza 1 (Faza 1) - creați un canal securizat.
- Faza 2 - crearea unui tunel securizat.
AH / ESP utilizează SA pentru a transfera date pe tunel.
Faza 1 coordonează 5 atribute, numite politică pentru crearea unui canal securizat.
Există două moduri de reconciliere a politicilor:
- Modul principal - modificare mai lentă și mai sigură.
- Mod agresiv - modificare mai rapidă și puțin mai sigură.
Politica ISAKMP include 5 atribute care trebuie să fie aceleași pentru crearea unui SA.
- Metoda de autentificare - PSK, RSA-SIG, RSA-ENC.
- algoritm Hashing - MD5, SHA.
- Grupul Diffie-Hellman este 1, 2, 5.
- Tip de criptare - DES, 3DES, AES.
- Durata de viață a tunelului este în kilobyte sau secunde.
Există 3 tipuri de autentificare:
- Cheie pre-distribuită (PSK) - ambii participanți cunosc aceeași cheie (parolă).
- Semnături RSA - ambele părți au încredere reciproce în certificatele.
- RSA Encripted nonces (numai IOS) - sunt utilizate cheile RSA.
Hashing.
Utilizați pentru a vă asigura că pachetele nu au fost modificate.
Există 2 tipuri:
- MD5 - 128 biți.
- SHA - 160 de biți. Un tip mai sigur.
Grupurile Diffie-Hellman.
Folosit pentru a genera o cheie, care ulterior va fi cheia simetrică pentru criptare. Utilizează logica cheii publice / private.
Grupurile au următoarea lungime:
- Grupul 1 - 768 de biți.
- Grupul 2 - 1024 de biți.
- Grupul 3 - 1536 de biți.
Criptare.
DES - standard de criptare a datelor. 56 biți.
3DES - standard triplu de criptare a datelor. 168 biți.
AES - standard avansat de criptare. 128, 192, 256 de biți. Mai rapid și mai sigur decât restul.
IKE faza 2.
În prima fază, se creează un canal securizat pentru interacțiunea dintre colegii IPSEC.
Acum, SA poate fi creat, iar materialul cheie este generat.
SA sunt două sesiuni unidirecționale.
În cea de-a doua fază, se utilizează un "set de transformare" special. Acestea descriu deja procesarea traficului.
Setul de transformare include:
- ACL, care descrie traficul de interes.
- Cum se trimite traficul:
* AH - numai autentificare MD5, SHA.
* Autentificare ESP-MD5 / SHA și criptare DES / 3DES / AES.
- Cât timp va fi considerată validă cheia. (IPSEC SA LIFETIME).
Pachetul arată astfel în modul tunel:
În modul tunel, sistemul ESP protejează întregul pachet sursă, inclusiv antetul său original.
Astfel, pachetul arată în modul de transport:
În modul de transport, ESP transferă antetul IP original la începutul pachetului.
ESP constă din următoarele componente și câmpuri:
- ESP HEADER (index de parametri de securitate 32 biți, număr secvență 32 biți)
- Trailer ESP (0-2040 biți Padding, 8 biți Lungime de șpaclu, 8 antet Antet Următor)
- Authenticarea ESP (lungime variabilă)
DMVPN este o tehnologie VPN suprapusă de la punctul la mai multe puncte.
Proiectarea DMVPN:
Site-urile de la distanță construiesc tuneluri statice către un loc central (hub-and-spoke).
Spock-urile transmit informații despre rute către Hub prin tuneluri statice. EIGRP, OSPF, BGP pot fi utilizate pentru aceasta.
Localizează înaintea traseului Hub prin tuneluri statice. Locurile de pe spațiile rămase sunt rulate de trafic prin tuneluri dinamice. De ce să folosiți DMVPN?
- Spokey utilizează un model standard de configurare (gestionare mai ușoară a configurației).
- Adăugarea unui nou Spock nu necesită configurație suplimentară pe Hub sau pe alte Spoka.
- Sprijină IPv4, IPv6, unicast multicast, rutare statică și dinamică.
Componentele DMVPN:
1) Traseul de trafic:
- GRE multipunct (mGRE).
- Următorul Protocol de Rezoluție al Hop (NHRP).
2) Criptarea traficului:
- IPSEC.
DMVPN poate fi folosit fără IPSEC, dar în majoritatea cazurilor va fi necesară criptarea.
Trimiteți-le prietenilor: