Задание:

  • Настройте защищенный туннель между HQ-RTR и BR-RTR
  • Внесите необходимые изменения в конфигурацию динамической маршрутизации, протокол динамической маршрутизации должен возобновить работу после перенастройки туннеля
  • Выбранное программное обеспечение, обоснование его выбора и его основные параметры, изменения в конфигурации динамической маршрутизации отметьте в отчёте.

Вариант реализации:

HQ-RTR:

  • Включить протокол IKE:
hq-rtr(config)#crypto-ipsec ike enable
hq-rtr(config)#
  • Настроить профили IPsec:
    • для создания туннеля IPsec используется протокол IKE (Internet Key Exchange);
    •  есть две фазы построения IPsec туннеля: IKE фаза 1 и IKE фаза 2;
hq-rtr(config)#crypto-ipsec profile CIPROFILE ike-v2
hq-rtr(config-ipsec-ikev2)#mode tunnel
hq-rtr(config-ipsec-ikev2)#
    • IKE фаза 1:
      • на IKE этапе 1 два узла договариваются о протоколах шифрования, аутентификации, хеширования и других протоколах, которые они хотят использовать, а также о некоторых других необходимых параметрах;
      • на этом этапе устанавливается сеанс ISAKMP (Internet Security Association and Key Management Protocol);
      • это также называется туннелем ISAKMP или туннелем первой фазы IKE;
      • туннель IKE фазы 1 используется только для управляющего трафика.
hq-rtr(config-ipsec-ikev2)#ike-phase1
hq-rtr(config-ipsec-ikev2-ph1)#proposal aes256-sha256-modp2048
hq-rtr(config-ipsec-ikev2-ph1)#auth pre-shared-key P@ssw0rd
hq-rtr(config-ipsec-ikev2-ph1)#exit
hq-rtr(config-ipsec-ikev2)#
    • IKE фаза 2:
      • этот туннель используется как безопасный метод для организации второго туннеля, называемого туннелем IKE фазы 2 или туннелем IPsec;
      • второй туннель предназначен уже для непосредственной передачи пользовательских данных а также для управляющих данных;
      • после завершения фазы 2 IKE появится туннель фазы 2 IKE (или туннель IPsec), который можно использовать для защиты пользовательских данных.
hq-rtr(config-ipsec-ikev2)#ike-phase2 
hq-rtr(config-ipsec-ikev2-ph2)#protocol esp 
hq-rtr(config-ipsec-ikev2-ph2)#proposal aes256-sha256 
hq-rtr(config-ipsec-ikev2-ph2)#local-ts 172.16.1.2
hq-rtr(config-ipsec-ikev2-ph2)#remote-ts 172.16.2.2
hq-rtr(config-ipsec-ikev2-ph2)#exit
hq-rtr(config-ipsec-ikev2)#exit
hq-rtr(config)#
  • Задать крипто-карту:
    • необходимо указать, к какому пиру следует применять соответствующий профиль IPsec
hq-rtr(config)#crypto-map CMAP 10
hq-rtr(config-crypto-map)#match peer 172.16.2.2
hq-rtr(config-crypto-map)#set crypto-ipsec profile CIPROFILE 
hq-rtr(config-crypto-map)#exit
hq-rtr(config)#
  • Задать карты фильтрации:
    • для каждого маршрутизатора необходимо вычленить исходящий трафик который нужно зашифровать и входящий, который нужно дешифровать;
    • исходящий (из локальной сети в туннель) трафик фильтруется по адресам локальной и удалённой подсети;
    • фильтруется любой тип трафика;
    • к фильтр-карте привязана криптографическая карта crypto-map, которая, в свою очередь, ссылается на профиль crypto-ipsec;
    • трафик шифруется в соответствии с параметрами указанными в профиле IPsec и отправляется в туннель.
      • для туннеля используется одна карта фильтрации, которая последовательно обрабатывает исходящий и входящий трафик, и оканчивается разрешающим правилом для прочего трафика:
hq-rtr(config)#filter-map ipv4 FMAP 5
hq-rtr(config-filter-map-ipv4)#match gre host 172.16.1.2 host 172.16.2.2
hq-rtr(config-filter-map-ipv4)#set crypto-map CMAP peer 172.16.2.2
hq-rtr(config-filter-map-ipv4)#exit
hq-rtr(config)#
hq-rtr(config)#filter-map ipv4 FMAP 10
hq-rtr(config-filter-map-ipv4)#match udp host 172.16.2.2 eq 4500 host 172.16.1.2 eq 4500
hq-rtr(config-filter-map-ipv4)#set crypto-map CMAP peer 172.16.2.2
hq-rtr(config-filter-map-ipv4)#exit
hq-rtr(config)#
hq-rtr(config)#filter-map ipv4 FMAP 15
hq-rtr(config-filter-map-ipv4)#match any any any
hq-rtr(config-filter-map-ipv4)#set accept
hq-rtr(config-filter-map-ipv4)#exit
hq-rtr(config)#
  • Применить фильтр-карты к необходимым L3-интерфейсам во входящем направлении:
hq-rtr(config)#interface isp
hq-rtr(config-if)#set filter-map in FMAP 10
hq-rtr(config-if)#exit
hq-rtr(config)#
hq-rtr(config)#interface tunnel.0
hq-rtr(config-if-tunnel)#set filter-map in FMAP 10
hq-rtr(config-if-tunnel)#exit
hq-rtr(config)#
hq-rtr(config)#write memory
Building configuration...

hq-rtr(config)#

P.S.

Для шифрования туннеля используется протокол IKEv2, для которого NAT traversal включён по умолчанию.

BR-RTR:

  • Аналогично HQ-RTR, но зеркально:
br-rtr(config)#crypto-ipsec ike enable
br-rtr(config)#
br-rtr(config)#crypto-ipsec profile CIPROFILE ike-v2
br-rtr(config-ipsec-ikev2)#mode tunnel
br-rtr(config-ipsec-ikev2)#ike-phase1
br-rtr(config-ipsec-ikev2-ph1)#proposal aes256-sha256-modp2048
br-rtr(config-ipsec-ikev2-ph1)#auth pre-shared-key P@ssw0rd
br-rtr(config-ipsec-ikev2-ph1)#exit
br-rtr(config-ipsec-ikev2)#
br-rtr(config-ipsec-ikev2)#ike-phase2 
br-rtr(config-ipsec-ikev2-ph2)#protocol esp 
br-rtr(config-ipsec-ikev2-ph2)#proposal aes256-sha256 
br-rtr(config-ipsec-ikev2-ph2)#local-ts 172.16.2.2
br-rtr(config-ipsec-ikev2-ph2)#remote-ts 172.16.1.2
br-rtr(config-ipsec-ikev2-ph2)#exit
br-rtr(config-ipsec-ikev2)#exit
br-rtr(config)#
br-rtr(config)#crypto-map CMAP 10
br-rtr(config-crypto-map)#match peer 172.16.1.2
br-rtr(config-crypto-map)#set crypto-ipsec profile CIPROFILE 
br-rtr(config-crypto-map)#exit
br-rtr(config)#
br-rtr(config)#filter-map ipv4 FMAP 5
br-rtr(config-filter-map-ipv4)#match gre host 172.16.2.2 host 172.16.1.2
br-rtr(config-filter-map-ipv4)#set crypto-map CMAP peer 172.16.1.2
br-rtr(config-filter-map-ipv4)#exit
br-rtr(config)#
br-rtr(config)#filter-map ipv4 FMAP 10
br-rtr(config-filter-map-ipv4)#match udp host 172.16.1.2 eq 4500 host 172.16.2.2 eq 4500
br-rtr(config-filter-map-ipv4)#set crypto-map CMAP peer 172.16.1.2
br-rtr(config-filter-map-ipv4)#exit
br-rtr(config)#
br-rtr(config)#filter-map ipv4 FMAP 15
br-rtr(config-filter-map-ipv4)#match any any any
br-rtr(config-filter-map-ipv4)#set accept
br-rtr(config-filter-map-ipv4)#exit
br-rtr(config)#
br-rtr(config)#interface isp
br-rtr(config-if)#set filter-map in FMAP 10
br-rtr(config-if)#exit
br-rtr(config)#
br-rtr(config)#interface tunnel.0
br-rtr(config-if-tunnel)#set filter-map in FMAP 10
br-rtr(config-if-tunnel)#exit
br-rtr(config)#
br-rtr(config)#write memory
Building configuration...

br-rtr(config)#

Проверить:

  • Проверьте настроены ли подключения IPsec:
    • HQ-RTR:

    • BR-RTR:

  • Проверьте состояние туннелей:
    • HQ-RTR:
      • поле state туннеля IKE фазы 1 должно иметь значение ESTABLISHED;
      • поле state дочернего туннеля IKE фазы 2 должно иметь значение INSTALLED:

    • BR-RTR:
      • поле state туннеля IKE фазы 1 должно иметь значение ESTABLISHED;
      • поле state дочернего туннеля IKE фазы 2 должно иметь значение INSTALLED:

  • С ВМ ISP, установив tcpdump запустить захват на интерфейсах в сторону HQ-RTR или BR-RTR:
    • если конфигурация произведена верно, вы должны увидеть передачу зашифрованных пакетов ESP

Last modified: Friday, 31 October 2025, 2:36 PM