МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ,

СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ

УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»

(СПбГУТ)

Факультет Инфокоммуникационных сетей и систем

Кафедра Защищенных систем связи

Дисциплина Основы маршрутизации в компьютерных сетях

ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №7

Направление/специальность подготовки

10.03.01 Информационная безопасность

(код и наименование направления/специальности)

Выполнили:

Травкина Е.А., ИКБ-14

(Ф.И.О., № группы) (подпись)

Федченко А.С., ИКБ-14

(Ф.И.О., № группы) (подпись)

Мельцин Л.М., ИКБ-14

(Ф.И.О., № группы) (подпись)

Преподаватель:

доц. Беккель Л.С.

(Ф.И.О., № группы) (подпись)

7.1.1 Настройка iPsec.

1. Настройка Route-based IPsec VPN.

Цели задачи:

- Настроить Route-based IPsec VPN с помощью VTI-туннеляот gi1/0/2.711 R1 до gi1/0/3.B.711 R0 и следующими параметрами:

IKE:

- группа Диффи-Хэллмана: 2;

- алгоритм шифрования: AES128;

- алгоритм аутентификации: MD5.

- PSK: 123FFF

IPsec:

- алгоритм шифрования: AES128;

- алгоритм аутентификации: MD5.

N – номер стойки соответствующий бригаде, в нашем случае 10.

Шаг 1. На R1 из привилегированного режима командой config проходим в режим глобальной конфигурации.

R1# config

R1(config)#

Шаг 2. Создадим sub-интерфейс с IP-адрес, согласно таблице адресации, и определим к зоне безопасности.

R1(config)# interface gi 1/0/2.711

R1(config-subif)# ip address 192.N.71.1/24

R1(config-subif)# security-zone LAN

R1(config-subif)# exit

Шаг 3. Создадим и активируем VTI-туннель, через который будет передаваться трафик в IPsec-туннель. В качестве локального адреса будем использовать адрес gi 1/0/2.711 R1, а удалённого адрес gi1/0/3.B.711 R0, также настроим адресацию внутри туннеля, по таблице адресации это 203.N.113.1/30.

R1(config)# tunnel vti N

R1(config-vti)# local address 192.N.71.1

R1(config-vti)# remote address 192.N.71.253

R1(config-vti)# ip address 203.N.113.1/30

R1(config-vti)# enable

R1(config-vti)# exit

Шаг 4. Создадим список портов, который пригодиться при настройки правил взаимодействия между зонами безопасности.

R1(config)# object-group service ISAKMP_PORT

R1(config-object-group service)# port-range 500,4500

R1(config-object-group service)# exit

Шаг 5. Создадим статический маршрут до каждой подсети, которая находится за IPsec-туннелем, и направим каждый маршрут через VTI-туннель. У маршрутизатора R1 этой подсетью будет Loopback 3 c IP-адресом 192.168.33.254/24

R1(config)# ip route 192.168.33.254 tunnel vti N

Шаг 6.Создадим профиль протокола IKE, в котором укажем параметры, согласно условиям. Данные параметры безопасности используются для защиты IKE-соединения:

R1(config)# security ike proposal IKE_PROPOSAL

R1(config-ike-proposal)# dh-group 2

R1(config-ike-proposal)# authentication algorithm md5

R1(config-ike-proposal)# encryption algorithm aes128

R1(config-ike-proposal)# exit

Шаг 7. Создадим политику IKE, в которой укажем список профилей IKE, по которым могут согласовываться узлы и ключ аутентификации:

R1(config)# security ike policy IKE_POLICY

R1(config-ike-policy)# pre-shared-key hex 123FFF

R1(config-ike-policy)# proposal IKE_PROPOSAL

R1(config-ike-policy)# exit

Шаг 8. Создадим шлюз IKE, в котором указываем VTI-туннель, политика, версия проток и режим перенаправления трафика в туннель:

R1(config)# security ike gateway IKE_GATEWAY_ROUTE_BASED

R1(config-ike-gw)# ike-policy IKE_POLICY

R1(config-ike-gw)# mode route-based

R1(config-ike-gw)# bind-interface vti N1

R1(config-ike-gw)# exit

Шаг 9. Создадим профиль параметров безопасности для IPsec-туннеля и укажем необходимые параметры.

R1(config)# security ipsec proposal IPSEC_PROPOSAL

R1(config-ipsec-proposal)# authentication algorithm md5

R1(config-ipsec-proposal)# encryption algorithm aes128

R1(config-ipsec-proposal)# exit

Шаг 10.Создадим политику для IPsec-туннеля, в которой укажем список профилей IPsec-туннеля, для согласования узлов.

R1(config)# security ipsec policy IPSEC_POLICY

R1(config-ipsec-policy)# proposal IPSEC_PROPOSAL

R1(config-ipsec-policy)# exit

Шаг 11. Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всехпараметров включим туннель командой enable.

R1(config)# security ipsec vpn IPSEC_VPN_ROUTE_BASED

R1(config-ipsec-vpn)# mode ike

R1(config-ipsec-vpn)# ike establish-tunnel route

R1(config-ipsec-vpn)# ike gateway IKE_GATEWAY_ROUTE_BASED

R1(config-ipsec-vpn)# ike ipsec-policy IPSEC_POLICY

R1(config-ipsec-vpn)# enable

R1(config-ipsec-vpn)# exit

Шаг 12. Настроим взаимодействие между зонами безопасности и разрешим протоколы AH, ESP и IKE.

R1(config)# security zone-pair LAN self

R1(config-zone-pair)# rule 90

R1(config-zone-pair-rule)# action permit

R1(config-zone-pair-rule)# match protocol esp

R1(config-zone-pair-rule)# enable

R1(config-zone-pair-rule)# exit

R1(config-zone-pair)# rule 95

R1(config-zone-pair-rule)# action permit

R1(config-zone-pair-rule)# match protocol ah

R1(config-zone-pair-rule)# enable

R1(config-zone-pair-rule)# exit

R1(config-zone-pair)# rule 100

R1(config-zone-pair-rule)# action permit

R1(config-zone-pair-rule)# match protocol udp

R1(config-zone-pair-rule)# match destination-port ISAKMP_PORT

R1(config-zone-pair-rule)# enable

R1(config-zone-pair-rule)# exit

Шаг 13. Применим и подтвердим настроенную конфигурацию.

R1# commit

R1# confirm

Шаг 14. Проверим конфигурацию командами show (см. рис. 1 - 4).

Рис. 1. Команда show security ipsec vpn status IPSEC_VPN

Рис. 2. Команда show security ipsec vpn configuration IPSEC_VPN

Рис. 3. Команда show security ike proposal

Рис. 4. Команда show security ike policy