Задача №7.2
0
20090
4
Конфигурация: «IPsec»
Примечание:
Задача может быть решена, как теоретически, так и практически.
Если Вы будете пробовать задачу на практике, то внимательно соблюдайте условия задачи.
Условия задачи:
Маршрутизатор R1 стоит в центральном офисе и к нему будут подключены 3 филиала (для данной задачи достаточно маршрутизаторов R1, R2, R3. R3 — в роли одного из филиалов). В филиалах используются маршрутизаторы с разными возможностями, и необходимо использовать разные политики IPsec. Всего есть 3 различные политики.
На маршрутизаторе R3, кроме туннеля в центральный офис также есть несколько туннелей с партнерами. Поэтому тут тоже созданы различные политики.
Трафик передается только из филиалов в центральный офис, между филиалами коммуникаций нет.
Со стороны филиала R3 в центральный офис R1 генерируются данные, которые инициируют туннель VPN.
Вопрос: Какую политику защиты данных будут использовать маршрутизаторы для построения туннеля между собой?
Конфигурация R1 (только IPsec):
crypto isakmp policy 1
encr des
authentication pre-share
group 1
hash md5
!
crypto isakmp policy 2
encr 3des
authentication pre-share
group 2
hash sha
!
crypto isakmp policy 3
encr aes
authentication pre-share
group 5
hash sha
!
crypto isakmp key cisco address 200.0.0.1
crypto isakmp key cisco123 address 202.0.0.1
crypto isakmp key cisco456 address 203.0.0.1
!
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
!
crypto map MAP1 10 ipsec-isakmp
set peer 200.0.0.1
set transform-set AES128-SHA
match address 101
crypto map MAP1 20 ipsec-isakmp
set peer 202.0.0.1
set transform-set 3DES-SHA
match address 102
crypto map MAP1 30 ipsec-isakmp
set peer 203.0.0.1
set transform-set DES-MD5
match address 103
!
!
interface FastEthernet0/0
crypto map MAP1
!
!
access-list 101 permit ip host 10.0.0.0 host 10.1.1.0
access-list 102 permit ip host 10.0.0.0 host 10.2.2.0
access-list 103 permit ip host 10.0.0.0 host 10.3.3.0
Конфигурация R3 (только IPsec):
hostname R3
!
crypto isakmp policy 40
encr aes
authentication pre-share
group 5
hash sha
!
crypto isakmp policy 50
encr 3des
authentication pre-share
group 2
hash sha
!
crypto isakmp policy 100
encr des
authentication pre-share
group 1
hash md5
!
crypto isakmp key cisco address 100.0.0.1
crypto isakmp key partner1 address 22.0.0.1
crypto isakmp key partner2 address 23.0.0.1
!
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
!
crypto map MAP1 10 ipsec-isakmp
set peer 100.0.0.1
set transform-set AES128-SHA
match address 101
crypto map MAP1 20 ipsec-isakmp
set peer 22.0.0.1
set transform-set 3DES-SHA
match address 102
crypto map MAP1 30 ipsec-isakmp
set peer 23.0.0.1
set transform-set DES-MD5
match address 103
!
!
interface FastEthernet0/1
crypto map MAP1
!
!
access-list 101 permit ip host 10.0.0.0 host 10.1.1.0
access-list 102 permit ip host 10.0.0.0 host 10.20.20.0
access-list 103 permit ip host 10.0.0.0 host 10.30.30.0
0
20090
4
Ещё статьи
4 коментария
Мне кажется, что в конфигурации R3 ошибка в ACL 101, 102, 103:
access-list 101 permit ip host 10.0.0.0 host 10.1.1.0
access-list 102 permit ip host 10.0.0.0 host 10.20.20.0
access-list 103 permit ip host 10.0.0.0 host 10.30.30.0
Должно быть:
access-list 101 permit ip host 10.1.1.0 host 10.0.0.0
access-list 102 permit ip host 10.1.1.0 host 10.20.20.0
access-list 103 permit ip host 10.1.1.0 host 10.30.30.0
Добрый день!
Поясните, пожалуйста, смысл, и, может быть, примеры применения команды group из следующего фрагмента файла конфигурации. Спасибо!
Здравствуйте.
Прошу прощения за долгое молчание.
Ваш вопрос ещё актуален?
Это группы Диффи Хеллмана — группы чисел, которые будут применяться в алгоритме. Эти числа удовлетворяют определенным условиям. Условия эти необходимы, чтобы не снижать криптостойкость алгоритма, математическими методами.