Сегодня очень часто возникает проблема кооперации
оборудования разных вендоров. Особенно остро эта проблема касается сетевого
оборудования такого типа, как маршрутизаторы. Эта задача осложняется тем, что у каждого производителя есть
собственные проприетарные стандарты реализации тех или иных протоколов
статической и динамической маршрутизации, сервисов, предоставляемых
маршрутизатором. Одной из таких сложностей есть реализация шифрованного
туннеля IPSEC между
удаленными офисами на оборудовании Juniper и Cisco.
Для реализации был выбран route-based IPSEC
на основе gre туннеля в
Cisco и, так называемого, st-туннеля в Juniper. Для начала реализуем gre-st туннель
между Juniper и Cisco.
Пример конфигурации на Cisco:
interface Tunnel0
ipaddress
10.11.17.1 255.255.255.252 / Внутренний
интерфейс туннеля
ipmtu 1350
tunnel source 5.5.5.5 / Наш внешний IP адрес
tunnel destination 6.6.6.6 / Адрес назначения
tunnelmodeipsecipv4 /Говорим, что используем IPSEC
tunnel protection ipsec profile IPSEC-Server /Какие настройка IPSEC используем
Соответственно,
на стороне Juniper реализуем st-туннель
с такими же параметрами.
Далее
описываем политику IPSEC на Cisco:
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
lifetime 28800
crypto isakmp key pre-shared-key
address 6.6.6.6 /tunnel-destination
crypto ipsec
transform-set ServerTransformSet esp-3des esp-sha-hmac
crypto ipsec profile
IPSEC-Server
set transform-set ServerTransformSet
Важно, чтобы параметры IPSEC были аналогичными и на
стороне Juniper.
Для проверки статуса туннеля можно выполнить следующие
команды:
show crypto ipsecsa
show crypto isakmpsa
Если в друг туннель не установился можно провести debug:
debugcryptoisakmp
Если все опции шифрования настроены правильно - IPSEC должен пройти две стадии согласования, и установится шифрованный туннель. Также плюсом использования route-based IPSEC может быть его использование в протоколе динамической маршрутизации OSPF.
Денис Григорьев
Комментариев нет:
Отправить комментарий