return

Задача №7.2

27 февраля 2013, 10:59

Конфигурация: «IPsec»
Примечание:
Задача может быть решена, как теоретически, так и практически.
Если Вы будете пробовать задачу на практике, то внимательно соблюдайте условия задачи.
Условия задачи:
Маршрутизатор R1 стоит в центральном офисе и к нему будут подключены 3 филиала (для данной задачи достаточно маршрутизаторов R1, R2, R3. R3 — в роли одного из филиалов). В филиалах используются маршрутизаторы с разными возможностями, и необходимо использовать разные политики IPsec. Всего есть 3 различные политики.
На маршрутизаторе R3, кроме туннеля в центральный офис также есть несколько туннелей с партнерами. Поэтому тут тоже созданы различные политики.
Трафик передается только из филиалов в центральный офис, между филиалами коммуникаций нет.
Со стороны филиала R3 в центральный офис R1 генерируются данные, которые инициируют туннель VPN.
Вопрос: Какую политику защиты данных будут использовать маршрутизаторы для построения туннеля между собой?

Конфигурация R1 (только IPsec):

crypto isakmp policy 1
encr des
authentication pre-share
group 1
hash md5
!
crypto isakmp policy 2
encr 3des
authentication pre-share
group 2
hash sha
!
crypto isakmp policy 3
encr aes
authentication pre-share
group 5
hash sha
!
crypto isakmp key cisco address 200.0.0.1
crypto isakmp key cisco123 address 202.0.0.1
crypto isakmp key cisco456 address 203.0.0.1
!
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
!
crypto map MAP1 10 ipsec-isakmp
set peer 200.0.0.1
set transform-set AES128-SHA
match address 101
crypto map MAP1 20 ipsec-isakmp
set peer 202.0.0.1
set transform-set 3DES-SHA
match address 102
crypto map MAP1 30 ipsec-isakmp
set peer 203.0.0.1
set transform-set DES-MD5
match address 103
!
!
interface FastEthernet0/0
crypto map MAP1
!
!
access-list 101 permit ip host 10.0.0.0 host 10.1.1.0
access-list 102 permit ip host 10.0.0.0 host 10.2.2.0
access-list 103 permit ip host 10.0.0.0 host 10.3.3.0

Конфигурация R3 (только IPsec):

hostname R3
!
crypto isakmp policy 40
encr aes
authentication pre-share
group 5
hash sha
!
crypto isakmp policy 50
encr 3des
authentication pre-share
group 2
hash sha
!
crypto isakmp policy 100
encr des
authentication pre-share
group 1
hash md5
!
crypto isakmp key cisco address 100.0.0.1
crypto isakmp key partner1 address 22.0.0.1
crypto isakmp key partner2 address 23.0.0.1
!
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
!
crypto map MAP1 10 ipsec-isakmp
set peer 100.0.0.1
set transform-set AES128-SHA
match address 101
crypto map MAP1 20 ipsec-isakmp
set peer 22.0.0.1
set transform-set 3DES-SHA
match address 102
crypto map MAP1 30 ipsec-isakmp
set peer 23.0.0.1
set transform-set DES-MD5
match address 103
!
!
interface FastEthernet0/1
crypto map MAP1
!
!
access-list 101 permit ip host 10.0.0.0 host 10.1.1.0
access-list 102 permit ip host 10.0.0.0 host 10.20.20.0
access-list 103 permit ip host 10.0.0.0 host 10.30.30.0

Ответ

like 0 views 16544 message 4

4 коментария

  • Мне кажется, что в конфигурации R3 ошибка в ACL 101, 102, 103:
    access-list 101 permit ip host 10.0.0.0 host 10.1.1.0
    access-list 102 permit ip host 10.0.0.0 host 10.20.20.0
    access-list 103 permit ip host 10.0.0.0 host 10.30.30.0

    Должно быть:
    access-list 101 permit ip host 10.1.1.0 host 10.0.0.0
    access-list 102 permit ip host 10.1.1.0 host 10.20.20.0
    access-list 103 permit ip host 10.1.1.0 host 10.30.30.0

    28 апреля 2018, 11:12
  • Георгий Владимиров

    Добрый день!

    Поясните, пожалуйста, смысл, и, может быть, примеры применения команды group из следующего фрагмента файла конфигурации. Спасибо!

    crypto isakmp policy 100
    encr des
    authentication pre-share
    group 1

    7 марта 2016, 14:53
  • Здравствуйте.
    Прошу прощения за долгое молчание.
    Ваш вопрос ещё актуален?

    13 марта 2014, 09:04
  • Леонид Воронкин

    Это группы Диффи Хеллмана — группы чисел, которые будут применяться в алгоритме. Эти числа удовлетворяют определенным условиям. Условия эти необходимы, чтобы не снижать криптостойкость алгоритма, математическими методами.

    13 октября 2016, 13:27

Ещё статьи

Забег по дата-центрам Таллина
Наш Сашка Мамонт специально съездил за границу, чтобы рассказать читателям linkmeup, а как у них в Эстонии строят ЦОДы. Никогда не замечали, что все статьи про дата-центры заканчиваются как под ...
like 0 4965 2
27 ноября 2017
АДСМ4. Жизненный цикл сетевого оборудования и архитектура системы автоматизации
Продолжаем наш забег по сетевой автоматизации. Итак, сеть спроектирована, IPAM запущен. И вот-вот начнут съезжаться миллионы наших стоек. Будем готовиться к этому. Мы всё дальше от фантазий и абстрактных разговоров ...
like 617 2736 3
20 апреля 2021
Ответ к задаче №8.5
interface FastEthernet0/0description Balagan_Telecom_Internetip address 101.0.0.2 255.255.255.252bandwidth 9000!interface FastEthernet0/1description Philkin_Certificate_Internetip address 102.0.0.2 255.255.255.252bandwidth 3000!!router bgp 64500no synchronizationbgp log-neighbor-changesbgp bestpath as-path multipath-relaxmaximum-paths 2bgp dmzlink-bwnetwork 100.0.0.0 mask 255.255.254.0neighbor 101.0.0.1 remote-as 64501neighbor 101.0.0.1 prefix-list ...
like 0 7444 4
19 июля 2013