Ключевые слова:cisco, ipsec, tunnel, (найти похожие документы)
From: Roman Shramko <http://dormestmass.blogspot.com>;
Newsgroups:
Date: Mon, 3 Jan 2008 14:31:37 +0000 (UTC)
Subject: IPSec между Cisco и D-Link
Оригинал: http://dormestmass.blogspot.com/2007/11/ipsec-cisco-d-link.html
Тема поднятия криптованного канала между D-Link и цисками конечно уже
несколько избита. Хотя, до недавнего времени у меня были некоторые
пробелы в этом направлении. Просто не доводилось использовать такую
схему подключения.
Как правило, в варианте подключения, который я использую, присутствует
два маршрутизатора cisco, между которыми поднят GRE-туннель. Ну и в
настройках IPSec интересным трафиком (ну который нам надо
закриптовать) является именно этот GRE-трафик. Все логично, легко и
просто.
Вот сегодня столкнулся с ситуацией, когда надо закриптовать трафик
между нашей сеткой и сетью, находящейся за D-Link-ом. В этих
устройствах отсутствует возможность построения GRE-туннелей, поэтому в
начале этот вариант показался тупиковым.
Но, всё оказалось не так плохо. Явный туннель строить не пришлось :)
Итак, есть две сети, которые нужно объединить посредством IPSec,
скажем 132.132.132.0/30 со стороны циски и 192.192.192.0/30 со стороны
длинка. Внешний интерфейс на cisco имеет адрес xxx.xxx.xxx.xxx, а на
d-link -- yyy.yyy.yyy.yyy.
Ну и схема:
+==============+---- cisco --------------------- d-link ---+==============+
132.132.132/30 xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy 192.192.192/30
Настройки на D-Link-e:
Local subnet: 192.192.192.0
Local netmask: 255.255.255.252
Remote subnet: 132.132.132.0
Remote netmask: 255.255.255.252
Remote gateway: xxx.xxx.xxx.xxx
Preshared key: mycryptokey
Настройки IKE proposal:
DH group: Group2
Encryption algorithm: 3DES
Auth algorithm: md5
Настройки IPSec proposal:
DH group: Group2
Encap protocol: ESP
Encryption algorithm: 3DES
Auth algorithm: sha
Life time: 28800
Маршрут на удаленную сеть, как оказалось прописывать не надо, ДЛинк
берет его из настроек (как не удивительно :)).
Настройки циски с другой стороны. Политика для фазы 1 (которая в
длинке описана в параметрах IKE proposal):
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
!
Собственно, сам pre-shared ключик:
crypto isakmp key mycryptokey address yyy.yyy.yyy.yyy
Настройки для фазы 2:
!
crypto ipsec transform-set unodostres esp-3des esp-sha-hmac
!
crypto map remotenet 10 ipsec-isakmp
set peer yyy.yyy.yyy.yyy
set security-association lifetime seconds 28800
set transform-set unodostres
set pfs group2
match address 110
!
Параметры transform-set + map естессно должны соответствовать
длинковским IPSec proposal. Интересный трафик, который нужно
закриптовать, описан через АЦЛ (а в длинке это выглядит как Local
Network - Remote Network):
!
access-list 110 permit ip 192.192.192.0 0.0.0.3 132.132.132.0 0.0.0.3
access-list 110 permit ip 132.132.132.0 0.0.0.3 192.192.192.0 0.0.0.3
!
Ну и необходимо применить наш crypto map на интерфейсе с внешним IP:
interface Serial4/0.41 point-to-point
...
ip address xxx.xxx.xxx.xxx 255.255.255.252
crypto map remotenet
...
!
Для того, чтобы это все работало, на cisco необходимо явно указать
маршрут на удаленную сеть.
ip route 192.192.192.0 255.255.255.252 Serial 4/0.41
Основная сложность заключалась в подборе соответствующих друг-другу
параметров IKE, IPSec и интересного трафика в ACL. При правильных
настройках IPSec поднимается практически моментально.
Для проверки работоспособности схемы проще всего всунуть какой-нить
промежуточный маршрутизатор между cisco и d-link и запустить на нем
tcpdump. Особо желающие могут поиграться с debug ip packets на циске
:))).
Особо хочу поблагодарить господина Е.А. Ефремова из Запорожского ООО
"Сiiч-IIнфоком" за его неоценимую помощь в настройке данной схемы.
Я не знаток... но все же... вроде бы у вас Tonnel mode, в заголовке IP пакета как от D-link в сторону Cisco так и в другом направлении, в заголовке IP пакета, в поле protocol, будет стоят ID 50 - ESP.
И о чем статья?
Человек явно далек от сетей.
О каком устройстве D-Link идет речь?
DFL, DI-824VUP+ или что то другое?
Зайдите на сайт D-Link удивитесь сколько там устройств...да,да... не только есть DIR-300. Даже уровень CORE есть.
И Вячеслав из комментариев прав - на DFL есть GRE, только вот DFL не каждый умеет готовить.
