Índice
5. Verificação de configuração
Características
Os roteadores da série RSR suportam negociação IPSEC baseada em IP de interface virtual VRRP.
Cenários de aplicação
Se as intranets da sede e das filiais precisam ser capazes de compartilhar dados entre si, e você deseja que os dados sejam difíceis de serem interceptados, quebrados e roubados por hackers durante a transmissão da rede, de modo a garantir a segurança e confidencialidade dos dados, você pode Estabelecer uma VPN IPSec não apenas permite que a sede e as filiais acessem diretamente os recursos umas das outras, mas também criptografa a transmissão de dados para garantir a segurança dos dados. Se o endereço IP da sede for fixo, mas algumas filiais usam dial-up para acessar a Internet (o endereço IP não é fixo), e algumas filiais usam endereços IP fixos para acessar a Internet, então você pode habilitar IPSec estático e dinâmico no roteador da sede. VPN, o roteador da filial permite VPN IPSEC estática.
1. Requisitos de rede
Após a transformação do nivelamento da rede, uma seguradora utilizou a rede CN2 fornecida pela Telecom (a rede CN2 é uma rede portadora de próxima geração construída pela Telecom. Pode ser simplesmente entendida como uma rede portadora construída na rede MPLS para fornecer serviços VPN para empresas (Estes serviços VPN são transparentes para os clientes) e as empresas do condado podem se comunicar diretamente com as empresas provinciais/municipais. Para garantir a segurança dos negócios, os túneis IPSEC precisam ser estabelecidos entre roteadores de saída provinciais/cidades/condados. Devido ao grande número de empresas municipais e distritais, é necessário utilizar IPSEC dinâmico, caso contrário, um grande número de IPSEC estáticos precisa ser configurado manualmente, o que requer muita manutenção e é inflexível.
2. Topologia de rede
3. Pontos de configuração
1. Roteador da empresa provincial R1
- Os túneis IPSEC precisam ser estabelecidos com todas as empresas da cidade/condado. Para reduzir a quantidade de configuração e manutenção e aumentar a flexibilidade, o IPSEC dinâmico precisa ser configurado como um servidor IPSEC para aceitar a discagem IPSEC das empresas da cidade/condado.
2. Roteador da empresa municipal R2
- Precisa configurar o IPSEC estático e discar para a empresa provincial
- Os túneis IPSEC precisam ser estabelecidos com todas as empresas do condado. Para reduzir a quantidade de configuração e manutenção e aumentar a flexibilidade, o IPSEC dinâmico precisa ser configurado como um servidor IPSEC para aceitar a discagem IPSEC das empresas do condado.
- Há apenas uma saída de rede externa e tanto o IPSEC estático quanto o IPSEC dinâmico precisam ser implementados nesta interface.
3. Roteador da empresa do condado R3
- O IPSEC estático precisa ser configurado e discado para a empresa provincial/municipal
Coisas a serem observadas ao usar IPSEC dinâmico:
1. Você deve prestar atenção se os dados de negócios podem desencadear a negociação de túneis IPSEC.
2. O mapeamento de criptografia dinâmica não é usado pelo dispositivo para iniciar novas negociações IPSec com pares remotos, mas é usado para aceitar negociações IPSec iniciadas por pares remotos.
3. Ou seja, a parte que configura o mapa de criptografia dinâmica não pode iniciar ativamente a negociação IPSEC.
4. Na indústria financeira, todos os negócios são geralmente iniciados a partir de instituições de nível inferior para instituições de nível superior, pelo que pode estimular o estabelecimento de túneis IPSEC.
5. Após estabelecer o túnel IPSEC, os dados podem ser comunicados em ambas as direções.
6. O RSR50/RSR50E deve ser equipado com uma placa de criptografia AIM-VPN para funções IPSEC (como verificar se o RSR50/RSR50E está equipado com uma placa de criptografia AIM-VPN, consulte o apêndice no final deste artigo)
7. Os segmentos de rede IP que precisam usar IPSEC para acesso mútuo não podem se sobrepor.
4. Etapas de configuração
1. Roteador da empresa provincial R1
As empresas provinciais configuram túneis dinâmicos IPSEC, consulte (Configuração típica ---> Segurança ---> IPSEC ---> IPSEC usa túneis dinâmicos (modo principal))
2. Roteador da empresa municipal R2
O roteador da empresa municipal R2 precisa ser configurado com IPSEC estático e dinâmico. Preste atenção à integração do IPSEC estático e dinâmico em um mapa criptográfico:
mapa dinâmico de criptografia dymap 1
definir conjunto de transformação myset
mapa criptográfico mymap 5 ipsec-isakmp
definir par 14.0.0.1
definir conjunto de transformação myset
endereço de correspondência 100
crypto map mymap 10 ipsec-isakmp dymap dinâmico //IPSEC dinâmico e estático são integrados em um mapa de criptografia e relacionados através de Sequence munber
Nota: Qualquer entrada de mapa criptografado que faça referência a um mapa dinâmico é a entrada de mapa criptografado de prioridade mais baixa no conjunto de mapas criptografados (não importa quão grande seja o número de sequência configurado, é equivalente à configuração do maior número de sequência), portanto, outras entradas de mapa criptografado serão ser avaliado primeiro, quando as entradas do mapa criptográfico dinâmico forem verificadas quando nenhuma outra entrada do mapa criptográfico estático corresponder.
3. Roteador da empresa do condado R3
A empresa do condado configura túneis estáticos IPSEC, consulte (Configuração típica ---> Segurança ---> IPSEC ---> IPSEC usa túneis estáticos)
Observe que a empresa provincial R1 e a empresa municipal R2 precisam definir o fluxo de interesse e as regras do mapa criptográfico, respectivamente.
mapa criptográfico mymap 5 ipsec-isakmp
definir par 14.0.0.1
definir conjunto de transformação myset
endereço de correspondência 100
mapa criptográfico mymap 10 ipsec-isakmp
definir par 24.0.0.2
definir conjunto de transformação myset
endereço de correspondência 101
5. Verificação de configuração
1. Estimular o estabelecimento de um túnel IPSEC entre o roteador da empresa municipal R2 e o roteador da empresa provincial R1
R2#ping 1.1.1.1 então 2.2.2.2
Enviando 5 ecos ICMP de 100 bytes para 1.1.1.1, o tempo limite é de 2 segundos:
<pressione Ctrl+C para quebrar>
.!!!!
A taxa de sucesso é de 80 por cento (4/5), ida e volta mín/média/máx = 1/12/20 ms
R2#sho chorar isakmp sa
destinofonteestadoconn-idlifetime(segundo)
14.0.0.124.0.0.2QM_IDLE3386378
R2#sho chorar ipsec ativado
Interface: Fast Ethernet 0/0
Tag do mapa criptográfico: meu mapa, endereço local 24.0.0.2
mídia 1.500 pessoas
=================================
tipo de item:estático, seqno:5, id=32
identidade local (endereço/máscara/prot/porta): ( 2.2.2.0/0.0.0.255/0/0 ))
identificação remota (endereço/máscara/prot/porta): ( 1.1.1.0/0.0.0.255/0/0) )
PERMITIR
#pkts encaps: 4 , #pkts criptografar: 4 , #pkts digerir 4
#pkts decaps: 4 , #pkts descriptografar: 4 , #pkts verificar 4
#enviar erros 0, #recv erros 0
Entrada esp sas:
spi:0x3f944b2d (1066683181)
transformar: esp-3des esp-md5-hmac
configurações em uso={Túnel,}
mapa criptográfico mymap 5
tempo sa: vida útil restante da chave (k/s): (4606999/3574)
Tamanho IV: 8 bytes
Suporte para detecção de repetição: Y
Saída esp sas:
spi:0x4012256 (67183190)
transformar: esp-3des esp-md5-hmac
configurações em uso={Túnel,}
mapa criptográfico mymap 5
tempo sa: vida útil restante da chave (k/s): (4606999/3574)
Tamanho IV: 8 bytes
Suporte para detecção de repetição: Y
2. Estimular o túnel IPSEC entre o roteador da empresa do condado R3 e o roteador da empresa provincial R1
R3#ping 1.1.1.1 então 3.3.3.3
Enviando 5 ecos ICMP de 100 bytes para 1.1.1.1, o tempo limite é de 2 segundos:
<pressione Ctrl+C para quebrar>
.!!!!
A taxa de sucesso é de 80 por cento (4/5), ida e volta mín/média/máx = 10/22/30 ms
R3#sho chorar isakmp sa
destinofonteestadoconn-idlifetime(segundo)
14.0.0.134.0.0.3QM_IDLE3386390
R3#sho chorar ipsec ativado
Interface: Fast Ethernet 0/0
Tag do mapa criptográfico: meu mapa, endereço local 34.0.0.3
mídia 1.500 pessoas
=================================
tipo de item:estático, seqno:5, id=32
identidade local (endereço/máscara/prot/porta): ( 3.3.3.0/0.0.0.255/0/0) )
identificação remota (endereço/máscara/prot/porta): ( 1.1.1.0/0.0.0.255/0/0) )
PERMITIR
#pkts encaps: 4 , #pkts criptografar: 4 , #pkts digerir 4
#pkts decaps: 4 , #pkts descriptografar: 4 , #pkts verificar 4
#enviar erros 0, #recv erros 0
Entrada esp sas:
spi:0x173938a6 (389626022)
transformar: esp-3des esp-md5-hmac
configurações em uso={Túnel,}
mapa criptográfico mymap 5
tempo sa: vida útil restante da chave (k/s): (4606998/3587)
Tamanho IV: 8 bytes
Suporte para detecção de repetição: Y
Saída esp sas:
spi:0x499357 (4821847)
transformar: esp-3des esp-md5-hmac
configurações em uso={Túnel,}
mapa criptográfico mymap 5
tempo sa: vida útil restante da chave (k/s): (4606998/3587)
Tamanho IV: 8 bytes
Suporte para detecção de repetição: Y
=================================
tipo de item:estático, seqno:10, id=34
identidade local (endereço/máscara/prot/porta): (3.3.3.0/0.0.0.255/0/0))
identificação remota (endereço/máscara/prot/porta): (2.2.2.0/0.0.0.255/0/0))
PERMITIR
#pkts encapsula: 0, #pkts criptografa: 0, #pkts digest 0
#pkts decaps: 0, #pkts descriptografar: 0, #pkts verificar 0
#enviar erros 0, #recv erros 0
Nenhum sa é criado agora.
3. Estimule o túnel IPSEC entre o roteador R3 da empresa do condado e o roteador R2 da empresa municipal
R3#ping 2.2.2.2 então 3.3.3.3
Enviando 5 ecos ICMP de 100 bytes para 2.2.2.2, o tempo limite é de 2 segundos:
<pressione Ctrl+C para quebrar>
.!!!!
Ver informações IPSEC relacionadas ao R2
R2#sho chorar isakmp sa
destinofonteestadoconn-idlifetime(segundo)
34.0.0.324.0.0.2QM_IDLE3686370
14.0.0.124.0.0.2QM_IDLE 33 85869
R2#sho chorar ipsec ativado
Interface: Fast Ethernet 0/0
Tag do mapa criptográfico: meu mapa, endereço local 24.0.0.2
mídia 1.500 pessoas
=================================
tipo de item:estático, seqno:5, id=32
identidade local (endereço/máscara/prot/porta): (2.2.2.0/0.0.0.255/0/0))
identificação remota (endereço/máscara/prot/porta): (1.1.1.0/0.0.0.255/0/0))
PERMITIR
#pkts encaps: 4, #pkts criptografar: 4, #pkts digest 4
#pkts decaps: 4, #pkts descriptografar: 4, #pkts verificar 4
#enviar erros 0, #recv erros 0
Entrada esp sas:
spi:0x3f944b2d (1066683181)
transformar: esp-3des esp-md5-hmac
configurações em uso={Túnel,}
mapa criptográfico mymap 5
tempo sa: vida útil restante da chave (k/s): (4606999/3064)
Tamanho IV: 8 bytes
Suporte para detecção de repetição: Y
Saída esp sas:
spi:0x4012256 (67183190)
transformar: esp-3des esp-md5-hmac
configurações em uso={Túnel,}
mapa criptográfico mymap 5
tempo sa: vida útil restante da chave (k/s): (4606999/3064)
Tamanho IV: 8 bytes
Suporte para detecção de repetição: Y
=================================
tipo de item:temporário, número de sequência:0, id=37
identidade local (endereço/máscara/prot/porta): ( 2.2.2.0/0.0.0.255/0/0 ))
identidade local (endereço/máscara/prot/porta): ( 3.3.3.0/0.0.0.255/0/0 ))
PERMITIR
#pkts encaps: 4 , #pkts criptografar: 4 , #pkts digerir 4
#pkts decaps: 4 , #pkts descriptografar: 4 , #pkts verificar 4
#enviar erros 0, #recv erros 0
Entrada esp sas:
spi:0x67a19141 (1738641729)
transformar: esp-3des esp-md5-hmac
configurações em uso={Túnel,}
mapa criptográfico meu mapa 0
tempo sa: vida útil restante da chave (k/s): (4607999/3566)
Tamanho IV: 8 bytes
Suporte para detecção de repetição: Y
Saída esp sas:
spi:0x6ca7929b (1822921371)
transformar: esp-3des esp-md5-hmac
configurações em uso={Túnel,}
mapa criptográfico meu mapa 0
tempo sa: vida útil restante da chave (k/s): (4607999/3566)
Tamanho IV: 8 bytes
Suporte para detecção de repetição: Y