return

Задача №7.2

27 февраля 2013, 10:59

Конфигурация: «IPsec»
Примечание:
Задача может быть решена, как теоретически, так и практически.
Если Вы будете пробовать задачу на практике, то внимательно соблюдайте условия задачи.
Условия задачи:
Маршрутизатор R1 стоит в центральном офисе и к нему будут подключены 3 филиала (для данной задачи достаточно маршрутизаторов R1, R2, R3. R3 — в роли одного из филиалов). В филиалах используются маршрутизаторы с разными возможностями, и необходимо использовать разные политики IPsec. Всего есть 3 различные политики.
На маршрутизаторе R3, кроме туннеля в центральный офис также есть несколько туннелей с партнерами. Поэтому тут тоже созданы различные политики.
Трафик передается только из филиалов в центральный офис, между филиалами коммуникаций нет.
Со стороны филиала R3 в центральный офис R1 генерируются данные, которые инициируют туннель VPN.
Вопрос: Какую политику защиты данных будут использовать маршрутизаторы для построения туннеля между собой?

Конфигурация R1 (только IPsec):

crypto isakmp policy 1
encr des
authentication pre-share
group 1
hash md5
!
crypto isakmp policy 2
encr 3des
authentication pre-share
group 2
hash sha
!
crypto isakmp policy 3
encr aes
authentication pre-share
group 5
hash sha
!
crypto isakmp key cisco address 200.0.0.1
crypto isakmp key cisco123 address 202.0.0.1
crypto isakmp key cisco456 address 203.0.0.1
!
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
!
crypto map MAP1 10 ipsec-isakmp
set peer 200.0.0.1
set transform-set AES128-SHA
match address 101
crypto map MAP1 20 ipsec-isakmp
set peer 202.0.0.1
set transform-set 3DES-SHA
match address 102
crypto map MAP1 30 ipsec-isakmp
set peer 203.0.0.1
set transform-set DES-MD5
match address 103
!
!
interface FastEthernet0/0
crypto map MAP1
!
!
access-list 101 permit ip host 10.0.0.0 host 10.1.1.0
access-list 102 permit ip host 10.0.0.0 host 10.2.2.0
access-list 103 permit ip host 10.0.0.0 host 10.3.3.0

Конфигурация R3 (только IPsec):

hostname R3
!
crypto isakmp policy 40
encr aes
authentication pre-share
group 5
hash sha
!
crypto isakmp policy 50
encr 3des
authentication pre-share
group 2
hash sha
!
crypto isakmp policy 100
encr des
authentication pre-share
group 1
hash md5
!
crypto isakmp key cisco address 100.0.0.1
crypto isakmp key partner1 address 22.0.0.1
crypto isakmp key partner2 address 23.0.0.1
!
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
!
crypto map MAP1 10 ipsec-isakmp
set peer 100.0.0.1
set transform-set AES128-SHA
match address 101
crypto map MAP1 20 ipsec-isakmp
set peer 22.0.0.1
set transform-set 3DES-SHA
match address 102
crypto map MAP1 30 ipsec-isakmp
set peer 23.0.0.1
set transform-set DES-MD5
match address 103
!
!
interface FastEthernet0/1
crypto map MAP1
!
!
access-list 101 permit ip host 10.0.0.0 host 10.1.1.0
access-list 102 permit ip host 10.0.0.0 host 10.20.20.0
access-list 103 permit ip host 10.0.0.0 host 10.30.30.0

Ответ

like 0 views 20795 message 4

4 коментария

  • Мне кажется, что в конфигурации R3 ошибка в ACL 101, 102, 103:
    access-list 101 permit ip host 10.0.0.0 host 10.1.1.0
    access-list 102 permit ip host 10.0.0.0 host 10.20.20.0
    access-list 103 permit ip host 10.0.0.0 host 10.30.30.0

    Должно быть:
    access-list 101 permit ip host 10.1.1.0 host 10.0.0.0
    access-list 102 permit ip host 10.1.1.0 host 10.20.20.0
    access-list 103 permit ip host 10.1.1.0 host 10.30.30.0

    28 апреля 2018, 11:12
  • Георгий Владимиров

    Добрый день!

    Поясните, пожалуйста, смысл, и, может быть, примеры применения команды group из следующего фрагмента файла конфигурации. Спасибо!

    crypto isakmp policy 100
    encr des
    authentication pre-share
    group 1

    7 марта 2016, 14:53
  • Здравствуйте.
    Прошу прощения за долгое молчание.
    Ваш вопрос ещё актуален?

    13 марта 2014, 09:04
  • Леонид Воронкин

    Это группы Диффи Хеллмана — группы чисел, которые будут применяться в алгоритме. Эти числа удовлетворяют определенным условиям. Условия эти необходимы, чтобы не снижать криптостойкость алгоритма, математическими методами.

    13 октября 2016, 13:27

Ещё статьи

Linkmeup.ru теперь на HTTPS
Да возрадуются подписчики, безопасники и параноики! Сайт теперь доступен через HTTPS! https://linkmeup.ru Технически http будет по-прежнему доступен на всякий, но мы уже не будем на него ссылаться А ещё из ...
like 0 6690 8
17 декабря 2016
Сети для самых маленьких. Часть четырнадцатая. Путь пакета
Одно из удивительнейших достижений современности — это то, как, сидя в Норильске, человек может чатиться со своим другом в Таиланде, параллельно покупать билет на вечерний самолёт к нему, расплачиваясь банковской ...
like 313 88682 6
22 декабря 2017
Каверзные сетевые вопросы
Давно была идея собрать воедино интересные вопросы, касающиеся сетей. Объединяет их то, что все они довольно простые, но мы подчас о них не задумываемся (я во всяком случае о них ...
like 0 103392 23
7 августа 2013