МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ,
СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
(СПбГУТ)
Факультет Инфокоммуникационных сетей и систем
Кафедра Защищенных систем связи
Дисциплина Основы маршрутизации в компьютерных сетях
ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №7
Направление/специальность подготовки
10.03.01 Информационная безопасность
(код и наименование направления/специальности)
Выполнили:
Травкина Е.А., ИКБ-14
(Ф.И.О., № группы) (подпись)
Федченко А.С., ИКБ-14
(Ф.И.О., № группы) (подпись)
Мельцин Л.М., ИКБ-14
(Ф.И.О., № группы) (подпись)
Преподаватель:
доц. Беккель Л.С.
(Ф.И.О., № группы) (подпись)
7.1.1 Настройка iPsec.
1. Настройка Route-based IPsec VPN.
Цели задачи:
- Настроить Route-based IPsec VPN с помощью VTI-туннеляот gi1/0/2.711 R1 до gi1/0/3.B.711 R0 и следующими параметрами:
IKE:
- группа Диффи-Хэллмана: 2;
- алгоритм шифрования: AES128;
- алгоритм аутентификации: MD5.
- PSK: 123FFF
IPsec:
- алгоритм шифрования: AES128;
- алгоритм аутентификации: MD5.
N – номер стойки соответствующий бригаде, в нашем случае 10.
Шаг 1. На R1 из привилегированного режима командой config проходим в режим глобальной конфигурации.
R1# config
R1(config)#
Шаг 2. Создадим sub-интерфейс с IP-адрес, согласно таблице адресации, и определим к зоне безопасности.
R1(config)# interface gi 1/0/2.711
R1(config-subif)# ip address 192.N.71.1/24
R1(config-subif)# security-zone LAN
R1(config-subif)# exit
Шаг 3. Создадим и активируем VTI-туннель, через который будет передаваться трафик в IPsec-туннель. В качестве локального адреса будем использовать адрес gi 1/0/2.711 R1, а удалённого адрес gi1/0/3.B.711 R0, также настроим адресацию внутри туннеля, по таблице адресации это 203.N.113.1/30.
R1(config)# tunnel vti N
R1(config-vti)# local address 192.N.71.1
R1(config-vti)# remote address 192.N.71.253
R1(config-vti)# ip address 203.N.113.1/30
R1(config-vti)# enable
R1(config-vti)# exit
Шаг 4. Создадим список портов, который пригодиться при настройки правил взаимодействия между зонами безопасности.
R1(config)# object-group service ISAKMP_PORT
R1(config-object-group service)# port-range 500,4500
R1(config-object-group service)# exit
Шаг 5. Создадим статический маршрут до каждой подсети, которая находится за IPsec-туннелем, и направим каждый маршрут через VTI-туннель. У маршрутизатора R1 этой подсетью будет Loopback 3 c IP-адресом 192.168.33.254/24
R1(config)# ip route 192.168.33.254 tunnel vti N
Шаг 6.Создадим профиль протокола IKE, в котором укажем параметры, согласно условиям. Данные параметры безопасности используются для защиты IKE-соединения:
R1(config)# security ike proposal IKE_PROPOSAL
R1(config-ike-proposal)# dh-group 2
R1(config-ike-proposal)# authentication algorithm md5
R1(config-ike-proposal)# encryption algorithm aes128
R1(config-ike-proposal)# exit
Шаг 7. Создадим политику IKE, в которой укажем список профилей IKE, по которым могут согласовываться узлы и ключ аутентификации:
R1(config)# security ike policy IKE_POLICY
R1(config-ike-policy)# pre-shared-key hex 123FFF
R1(config-ike-policy)# proposal IKE_PROPOSAL
R1(config-ike-policy)# exit
Шаг 8. Создадим шлюз IKE, в котором указываем VTI-туннель, политика, версия проток и режим перенаправления трафика в туннель:
R1(config)# security ike gateway IKE_GATEWAY_ROUTE_BASED
R1(config-ike-gw)# ike-policy IKE_POLICY
R1(config-ike-gw)# mode route-based
R1(config-ike-gw)# bind-interface vti N1
R1(config-ike-gw)# exit
Шаг 9. Создадим профиль параметров безопасности для IPsec-туннеля и укажем необходимые параметры.
R1(config)# security ipsec proposal IPSEC_PROPOSAL
R1(config-ipsec-proposal)# authentication algorithm md5
R1(config-ipsec-proposal)# encryption algorithm aes128
R1(config-ipsec-proposal)# exit
Шаг 10.Создадим политику для IPsec-туннеля, в которой укажем список профилей IPsec-туннеля, для согласования узлов.
R1(config)# security ipsec policy IPSEC_POLICY
R1(config-ipsec-policy)# proposal IPSEC_PROPOSAL
R1(config-ipsec-policy)# exit
Шаг 11. Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всехпараметров включим туннель командой enable.
R1(config)# security ipsec vpn IPSEC_VPN_ROUTE_BASED
R1(config-ipsec-vpn)# mode ike
R1(config-ipsec-vpn)# ike establish-tunnel route
R1(config-ipsec-vpn)# ike gateway IKE_GATEWAY_ROUTE_BASED
R1(config-ipsec-vpn)# ike ipsec-policy IPSEC_POLICY
R1(config-ipsec-vpn)# enable
R1(config-ipsec-vpn)# exit
Шаг 12. Настроим взаимодействие между зонами безопасности и разрешим протоколы AH, ESP и IKE.
R1(config)# security zone-pair LAN self
R1(config-zone-pair)# rule 90
R1(config-zone-pair-rule)# action permit
R1(config-zone-pair-rule)# match protocol esp
R1(config-zone-pair-rule)# enable
R1(config-zone-pair-rule)# exit
R1(config-zone-pair)# rule 95
R1(config-zone-pair-rule)# action permit
R1(config-zone-pair-rule)# match protocol ah
R1(config-zone-pair-rule)# enable
R1(config-zone-pair-rule)# exit
R1(config-zone-pair)# rule 100
R1(config-zone-pair-rule)# action permit
R1(config-zone-pair-rule)# match protocol udp
R1(config-zone-pair-rule)# match destination-port ISAKMP_PORT
R1(config-zone-pair-rule)# enable
R1(config-zone-pair-rule)# exit
Шаг 13. Применим и подтвердим настроенную конфигурацию.
R1# commit
R1# confirm
Шаг 14. Проверим конфигурацию командами show (см. рис. 1 - 4).
Рис. 1. Команда show security ipsec vpn status IPSEC_VPN
Рис. 2. Команда show security ipsec vpn configuration IPSEC_VPN
Рис. 3. Команда show security ike proposal
Рис. 4. Команда show security ike policy