Практически. БКС практические. Перечень лабораторных работ
 Скачать 1.44 Mb.
|
Часть 3: Настройка параметров IPsecШаг 1: Определите интересующий трафик на маршрутизаторе R1. Настройте список ACL 102 для определения трафика из локальной сети маршрутизатора R1 до локальной сети маршрутизатора R2 как интересующего. Данный интересующий трафик будет активировать IPsec VPN при наличии трафика между локальными сетями маршрутизаторов R1 и R2. Весь остальной трафик, передаваемый из этих локальных сетей, шифроваться не будет. Помните о действии неявного запрета «deny any» и о том, что добавление данного правила в список не требуется. R1(config)# access-list 102 permit ip 10.0.0.0 0.255.255.255 172.16.0.0 0.0.3.255 Повторите шаг 1а, чтобы настроить ACL-список 103 для определения трафика в локальной сети маршрутизатора R3 как интересующего. Шаг 2: Настройте параметры 1 фазы ISAKMP на маршрутизаторе R1. Настройте на маршрутизаторе R1 свойства криптографической политики ISAKMP 102, а также общий ключ шифрования cisco. Значения по умолчанию настраивать не нужно, поэтому требуется настроить только шифрование, способ обмена ключами и метод DH. R1(config)# crypto isakmp policy 102 R1(config-isakmp)# encryption aes R1(config-isakmp)# authentication pre-share R1(config-isakmp)# group 5 R1(config-isakmp)# exit R1(config)# crypto isakmp key cisco address 64.100.13.2 © Корпорация Cisco и/или её дочерние компании, 201 4. Все права защищены. В данном документе содержится общедоступная информация корпорации Cisco. Страница 3 из 5  Packet Tracer. Настройка GRE поверх IPsec (дополнительно) Повторите шаг 2а, чтобы настроить политику 103. При необходимости измените параметры адресации IP. Шаг 3: Настройте параметры 2 фазы ISAKMP на маршрутизаторе R1. Создайте набор преобразований (transform-set) VPN-SET для использования esp-aes и esp-sha-hmac. Затем создайте криптографическое сопоставление (crypto map) VPN-MAP, которое связывает вместе все параметры 2 фазы. Используйте порядковый номер 10 и определите его в качестве сопоставления ipsec- isakmp. R1(config)# crypto ipsec transform-set R1_R2_Set esp-aes esp-sha-hmac R1(config)# crypto map R1_R2_Map 102 ipsec-isakmp R1(config-crypto-map)# set peer 64.100.13.2 R1(config-crypto-map)# set transform-set R1_R2_Set R1(config-crypto-map)# match address 102 R1(config-crypto-map)# exit Повторите шаг 3а для настройки R1_R3_Set и R1_R3_Map. При необходимости измените параметры адресации. Шаг 4: Настройте криптографическое сопоставление для исходящего интерфейса. Наконец, привяжите криптографические сопоставления R1_R2_Map и R1_R3_Map к исходящему интерфейсу Serial 0/0/0. Примечание. Данный этап не оценивается. R1(config)# interface S0/0/0 R1(config-if)# crypto map R1_R2_Map R1(config-if)# crypto map R1_R3_Map Шаг 5: Настройка параметров IPsec на маршрутизаторах R2 и R3 Повторите шаги 1-5 на маршрутизаторах R2 и R3. Используйте те же имена списков контроля доступа, наборов и сопоставлений, что и для маршрутизатора R1. Обратите внимание, что каждому маршрутизатору требуется только одно зашифрованное подключение к маршрутизатору R1. Зашифрованное подключение между маршрутизаторами R2 и R3 отсутствует. |