return

Задача №7.2

27 февраля 2013, 10:59

Конфигурация: «IPsec»
Примечание:
Задача может быть решена, как теоретически, так и практически.
Если Вы будете пробовать задачу на практике, то внимательно соблюдайте условия задачи.
Условия задачи:
Маршрутизатор R1 стоит в центральном офисе и к нему будут подключены 3 филиала (для данной задачи достаточно маршрутизаторов R1, R2, R3. R3 — в роли одного из филиалов). В филиалах используются маршрутизаторы с разными возможностями, и необходимо использовать разные политики IPsec. Всего есть 3 различные политики.
На маршрутизаторе R3, кроме туннеля в центральный офис также есть несколько туннелей с партнерами. Поэтому тут тоже созданы различные политики.
Трафик передается только из филиалов в центральный офис, между филиалами коммуникаций нет.
Со стороны филиала R3 в центральный офис R1 генерируются данные, которые инициируют туннель VPN.
Вопрос: Какую политику защиты данных будут использовать маршрутизаторы для построения туннеля между собой?

Конфигурация R1 (только IPsec):

crypto isakmp policy 1
encr des
authentication pre-share
group 1
hash md5
!
crypto isakmp policy 2
encr 3des
authentication pre-share
group 2
hash sha
!
crypto isakmp policy 3
encr aes
authentication pre-share
group 5
hash sha
!
crypto isakmp key cisco address 200.0.0.1
crypto isakmp key cisco123 address 202.0.0.1
crypto isakmp key cisco456 address 203.0.0.1
!
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
!
crypto map MAP1 10 ipsec-isakmp
set peer 200.0.0.1
set transform-set AES128-SHA
match address 101
crypto map MAP1 20 ipsec-isakmp
set peer 202.0.0.1
set transform-set 3DES-SHA
match address 102
crypto map MAP1 30 ipsec-isakmp
set peer 203.0.0.1
set transform-set DES-MD5
match address 103
!
!
interface FastEthernet0/0
crypto map MAP1
!
!
access-list 101 permit ip host 10.0.0.0 host 10.1.1.0
access-list 102 permit ip host 10.0.0.0 host 10.2.2.0
access-list 103 permit ip host 10.0.0.0 host 10.3.3.0

Конфигурация R3 (только IPsec):

hostname R3
!
crypto isakmp policy 40
encr aes
authentication pre-share
group 5
hash sha
!
crypto isakmp policy 50
encr 3des
authentication pre-share
group 2
hash sha
!
crypto isakmp policy 100
encr des
authentication pre-share
group 1
hash md5
!
crypto isakmp key cisco address 100.0.0.1
crypto isakmp key partner1 address 22.0.0.1
crypto isakmp key partner2 address 23.0.0.1
!
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
!
crypto map MAP1 10 ipsec-isakmp
set peer 100.0.0.1
set transform-set AES128-SHA
match address 101
crypto map MAP1 20 ipsec-isakmp
set peer 22.0.0.1
set transform-set 3DES-SHA
match address 102
crypto map MAP1 30 ipsec-isakmp
set peer 23.0.0.1
set transform-set DES-MD5
match address 103
!
!
interface FastEthernet0/1
crypto map MAP1
!
!
access-list 101 permit ip host 10.0.0.0 host 10.1.1.0
access-list 102 permit ip host 10.0.0.0 host 10.20.20.0
access-list 103 permit ip host 10.0.0.0 host 10.30.30.0

Ответ

like 0 views 17581 message 4

4 коментария

  • Мне кажется, что в конфигурации R3 ошибка в ACL 101, 102, 103:
    access-list 101 permit ip host 10.0.0.0 host 10.1.1.0
    access-list 102 permit ip host 10.0.0.0 host 10.20.20.0
    access-list 103 permit ip host 10.0.0.0 host 10.30.30.0

    Должно быть:
    access-list 101 permit ip host 10.1.1.0 host 10.0.0.0
    access-list 102 permit ip host 10.1.1.0 host 10.20.20.0
    access-list 103 permit ip host 10.1.1.0 host 10.30.30.0

    28 апреля 2018, 11:12
  • Георгий Владимиров

    Добрый день!

    Поясните, пожалуйста, смысл, и, может быть, примеры применения команды group из следующего фрагмента файла конфигурации. Спасибо!

    crypto isakmp policy 100
    encr des
    authentication pre-share
    group 1

    7 марта 2016, 14:53
  • Здравствуйте.
    Прошу прощения за долгое молчание.
    Ваш вопрос ещё актуален?

    13 марта 2014, 09:04
  • Леонид Воронкин

    Это группы Диффи Хеллмана — группы чисел, которые будут применяться в алгоритме. Эти числа удовлетворяют определенным условиям. Условия эти необходимы, чтобы не снижать криптостойкость алгоритма, математическими методами.

    13 октября 2016, 13:27

Ещё статьи

Анонс подкаста. Выпуск 78 \\\\\18.08 18:08 Мск
Не опять, а снова у нас в гостях ребята из VMware. И на этот раз они расскажут про SD-WAN. Когда: 18.08 18:08 Мск Кто: Дмитрий Жечков, VMware Networking & Security ...
like 0 2852 0
13 августа 2019
Сети для самых маленьких. Часть ой, всё
Дорогие мои друзья, отважные критики, тихие читатели и тайные почитатели, СДСМ заканчивается. Я не могу похвастаться тем, что за 7 лет я затронул все темы сетевой сферы или тем, что ...
like 1 15507 21
8 апреля 2019
АДСМ0. Планирование
СДСМ закончился, а бесконтрольное желание писать — осталось. Долгие годы наш брат страдал от выполнения рутинной работы, скрещивал пальцы перед коммитом и недосыпал из-за ночных ролбэков. Но тёмным временам приходит ...
like 426 38021 15
2 июня 2019