The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

IPSec между Cisco и D-Link (cisco ipsec tunnel)


<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>
Ключевые слова: cisco, ipsec, tunnel,  (найти похожие документы)
From: Roman Shramko <http://dormestmass.blogspot.com>; Newsgroups: Date: Mon, 3 Jan 2008 14:31:37 +0000 (UTC) Subject: IPSec между Cisco и D-Link Оригинал: http://dormestmass.blogspot.com/2007/11/ipsec-cisco-d-link.html Тема поднятия криптованного канала между D-Link и цисками конечно уже несколько избита. Хотя, до недавнего времени у меня были некоторые пробелы в этом направлении. Просто не доводилось использовать такую схему подключения. Как правило, в варианте подключения, который я использую, присутствует два маршрутизатора cisco, между которыми поднят GRE-туннель. Ну и в настройках IPSec интересным трафиком (ну который нам надо закриптовать) является именно этот GRE-трафик. Все логично, легко и просто. Вот сегодня столкнулся с ситуацией, когда надо закриптовать трафик между нашей сеткой и сетью, находящейся за D-Link-ом. В этих устройствах отсутствует возможность построения GRE-туннелей, поэтому в начале этот вариант показался тупиковым. Но, всё оказалось не так плохо. Явный туннель строить не пришлось :) Итак, есть две сети, которые нужно объединить посредством IPSec, скажем 132.132.132.0/30 со стороны циски и 192.192.192.0/30 со стороны длинка. Внешний интерфейс на cisco имеет адрес xxx.xxx.xxx.xxx, а на d-link -- yyy.yyy.yyy.yyy. Ну и схема: +==============+---- cisco --------------------- d-link ---+==============+ 132.132.132/30 xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy 192.192.192/30 Настройки на D-Link-e: Local subnet: 192.192.192.0 Local netmask: 255.255.255.252 Remote subnet: 132.132.132.0 Remote netmask: 255.255.255.252 Remote gateway: xxx.xxx.xxx.xxx Preshared key: mycryptokey Настройки IKE proposal: DH group: Group2 Encryption algorithm: 3DES Auth algorithm: md5 Настройки IPSec proposal: DH group: Group2 Encap protocol: ESP Encryption algorithm: 3DES Auth algorithm: sha Life time: 28800 Маршрут на удаленную сеть, как оказалось прописывать не надо, ДЛинк берет его из настроек (как не удивительно :)). Настройки циски с другой стороны. Политика для фазы 1 (которая в длинке описана в параметрах IKE proposal): ! crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 ! Собственно, сам pre-shared ключик: crypto isakmp key mycryptokey address yyy.yyy.yyy.yyy Настройки для фазы 2: ! crypto ipsec transform-set unodostres esp-3des esp-sha-hmac ! crypto map remotenet 10 ipsec-isakmp set peer yyy.yyy.yyy.yyy set security-association lifetime seconds 28800 set transform-set unodostres set pfs group2 match address 110 ! Параметры transform-set + map естессно должны соответствовать длинковским IPSec proposal. Интересный трафик, который нужно закриптовать, описан через АЦЛ (а в длинке это выглядит как Local Network - Remote Network): ! access-list 110 permit ip 192.192.192.0 0.0.0.3 132.132.132.0 0.0.0.3 access-list 110 permit ip 132.132.132.0 0.0.0.3 192.192.192.0 0.0.0.3 ! Ну и необходимо применить наш crypto map на интерфейсе с внешним IP: interface Serial4/0.41 point-to-point ... ip address xxx.xxx.xxx.xxx 255.255.255.252 crypto map remotenet ... ! Для того, чтобы это все работало, на cisco необходимо явно указать маршрут на удаленную сеть. ip route 192.192.192.0 255.255.255.252 Serial 4/0.41 Основная сложность заключалась в подборе соответствующих друг-другу параметров IKE, IPSec и интересного трафика в ACL. При правильных настройках IPSec поднимается практически моментально. Для проверки работоспособности схемы проще всего всунуть какой-нить промежуточный маршрутизатор между cisco и d-link и запустить на нем tcpdump. Особо желающие могут поиграться с debug ip packets на циске :))). Особо хочу поблагодарить господина Е.А. Ефремова из Запорожского ООО "Сiiч-IIнфоком" за его неоценимую помощь в настройке данной схемы.

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

Обсуждение [ RSS ]
  • 1, ip (??), 13:07, 11/04/2008 [ответить]  
  • +/
    эта строчка в ACL лишняя:

    access-list 110 permit ip 192.192.192.0 0.0.0.3 132.132.132.0 0.0.0.3

     
     
  • 2, kid (??), 20:14, 01/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    А как без этого понять какой трафик надо расшифровать?!
     
     
  • 3, pavel2084 (ok), 13:23, 15/12/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Я не знаток... но все же... вроде бы у вас Tonnel mode, в заголовке IP пакета как от D-link в сторону Cisco так и в другом направлении, в заголовке IP пакета, в поле protocol, будет стоят ID 50 - ESP.
     

  • 4, Вячеслав (??), 13:46, 24/02/2010 [ответить]  
  • +/
    как не странно но в DLink DFL есть GRE туннели
     
  • 5, vilos (?), 11:31, 07/05/2013 [ответить]  
  • +/
    И о чем статья?
    Человек явно далек от сетей.
    О каком устройстве D-Link идет речь?
    DFL, DI-824VUP+ или что то другое?
    Зайдите на сайт D-Link удивитесь сколько там устройств...да,да... не только есть DIR-300. Даже уровень CORE есть.
    И Вячеслав из комментариев прав - на DFL есть GRE, только вот DFL не каждый умеет готовить.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру