return

Задача №7.2

27 февраля 2013, 10:59

Конфигурация: «IPsec»
Примечание:
Задача может быть решена, как теоретически, так и практически.
Если Вы будете пробовать задачу на практике, то внимательно соблюдайте условия задачи.
Условия задачи:
Маршрутизатор R1 стоит в центральном офисе и к нему будут подключены 3 филиала (для данной задачи достаточно маршрутизаторов R1, R2, R3. R3 — в роли одного из филиалов). В филиалах используются маршрутизаторы с разными возможностями, и необходимо использовать разные политики IPsec. Всего есть 3 различные политики.
На маршрутизаторе R3, кроме туннеля в центральный офис также есть несколько туннелей с партнерами. Поэтому тут тоже созданы различные политики.
Трафик передается только из филиалов в центральный офис, между филиалами коммуникаций нет.
Со стороны филиала R3 в центральный офис R1 генерируются данные, которые инициируют туннель VPN.
Вопрос: Какую политику защиты данных будут использовать маршрутизаторы для построения туннеля между собой?

Конфигурация R1 (только IPsec):

crypto isakmp policy 1
encr des
authentication pre-share
group 1
hash md5
!
crypto isakmp policy 2
encr 3des
authentication pre-share
group 2
hash sha
!
crypto isakmp policy 3
encr aes
authentication pre-share
group 5
hash sha
!
crypto isakmp key cisco address 200.0.0.1
crypto isakmp key cisco123 address 202.0.0.1
crypto isakmp key cisco456 address 203.0.0.1
!
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
!
crypto map MAP1 10 ipsec-isakmp
set peer 200.0.0.1
set transform-set AES128-SHA
match address 101
crypto map MAP1 20 ipsec-isakmp
set peer 202.0.0.1
set transform-set 3DES-SHA
match address 102
crypto map MAP1 30 ipsec-isakmp
set peer 203.0.0.1
set transform-set DES-MD5
match address 103
!
!
interface FastEthernet0/0
crypto map MAP1
!
!
access-list 101 permit ip host 10.0.0.0 host 10.1.1.0
access-list 102 permit ip host 10.0.0.0 host 10.2.2.0
access-list 103 permit ip host 10.0.0.0 host 10.3.3.0

Конфигурация R3 (только IPsec):

hostname R3
!
crypto isakmp policy 40
encr aes
authentication pre-share
group 5
hash sha
!
crypto isakmp policy 50
encr 3des
authentication pre-share
group 2
hash sha
!
crypto isakmp policy 100
encr des
authentication pre-share
group 1
hash md5
!
crypto isakmp key cisco address 100.0.0.1
crypto isakmp key partner1 address 22.0.0.1
crypto isakmp key partner2 address 23.0.0.1
!
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
!
crypto map MAP1 10 ipsec-isakmp
set peer 100.0.0.1
set transform-set AES128-SHA
match address 101
crypto map MAP1 20 ipsec-isakmp
set peer 22.0.0.1
set transform-set 3DES-SHA
match address 102
crypto map MAP1 30 ipsec-isakmp
set peer 23.0.0.1
set transform-set DES-MD5
match address 103
!
!
interface FastEthernet0/1
crypto map MAP1
!
!
access-list 101 permit ip host 10.0.0.0 host 10.1.1.0
access-list 102 permit ip host 10.0.0.0 host 10.20.20.0
access-list 103 permit ip host 10.0.0.0 host 10.30.30.0

Ответ

like 0 views 17783 message 4

4 коментария

  • Мне кажется, что в конфигурации R3 ошибка в ACL 101, 102, 103:
    access-list 101 permit ip host 10.0.0.0 host 10.1.1.0
    access-list 102 permit ip host 10.0.0.0 host 10.20.20.0
    access-list 103 permit ip host 10.0.0.0 host 10.30.30.0

    Должно быть:
    access-list 101 permit ip host 10.1.1.0 host 10.0.0.0
    access-list 102 permit ip host 10.1.1.0 host 10.20.20.0
    access-list 103 permit ip host 10.1.1.0 host 10.30.30.0

    28 апреля 2018, 11:12
  • Георгий Владимиров

    Добрый день!

    Поясните, пожалуйста, смысл, и, может быть, примеры применения команды group из следующего фрагмента файла конфигурации. Спасибо!

    crypto isakmp policy 100
    encr des
    authentication pre-share
    group 1

    7 марта 2016, 14:53
  • Здравствуйте.
    Прошу прощения за долгое молчание.
    Ваш вопрос ещё актуален?

    13 марта 2014, 09:04
  • Леонид Воронкин

    Это группы Диффи Хеллмана — группы чисел, которые будут применяться в алгоритме. Эти числа удовлетворяют определенным условиям. Условия эти необходимы, чтобы не снижать криптостойкость алгоритма, математическими методами.

    13 октября 2016, 13:27

Ещё статьи

Сети для самых матёрых. Часть пятнадцатая. QoS
Все выпуски СДСМ...14. Сети для самых маленьких. Часть четырнадцатая. Путь пакета 13. Сети для самых матёрых. Часть тринадцатая. MPLS Traffic Engineering 12. Сети для самых матёрых. Часть двенадцатая. MPLS L2VPN ...
like 367 89665 12
18 августа 2018
Сети для самых маленьких. Часть седьмая. VPN
Все выпуски12. Сети для самых маленьких. Часть двенадцатая. MPLS L2VPN 11.1. Сети для самых маленьких. Микровыпуск №6. MPLS L3VPN и доступ в Интернет 11. Сети для самых маленьких. Часть одиннадцатая. ...
like 53 466956 125
27 февраля 2013
Анонс подкаста sysadmins. Выпуск 5. CommuniGate Pro \\\\28.07 11:30 Мск
Помните наш выпуск про почтовые сервера? Помните, что мы ничего не сказали про CommuniGate Pro и что-то блеяли про то, что нет специалистов по этому продукту? Так вот, мы осознали ...
like 0 2960 0
27 июля 2018