Skip to content

وب سایت شخصی ایمان منصوری

کتاب هفته

Sybex Advance Internetworking Guide

Sybex Press
Cisco
  Advance Advanced
Internetworking Guide
2009
Download Here

آخرین زمان Update

 22 شهريور 1389, 11:30 ق.ظ 

نمایش بازدیدکنندگان

mod_vvisit_counterامروز63
mod_vvisit_counterهمه روزها166581

افراد آنلاين در سايت

حاضرين در سايت : 8 نفر مهمان
Advertisement

Site-To-Site VPN IPsec Tunnel
امتياز: / 5
ضعيفعالي 

CCSP

استفاده از VPN بر روی بستر های IP-Based مثل اینترنت در نقش یک تکنولوژی جدید در ارتباطات Remote Access و Remote Connectivity و جایگزین شدن آن به جای تکنولوژی هایی نظیر Dial Up و یا خطوط Point-to-Point و Point-to-Multi-Point به عنوان یکی از مباحث روز تکنولوژی شبکه محسوب می شود. لذا زمانی که سخن از VPN در میان است ،  ایمن بودن بستر مهم ترین نکته است که باید مورد توجه قرار گیرد. قالب IPSec یک Framework امنیتی است که امروزه از آن برای ایمن سازی ارتباطات ip-based در VPN استفاده می شود. ارتباطات VPN به دو صورت در شبکه ها اعمال می شود : Tunnel Mode و Transport Mode. مدل Tunnel حالتی است که از لایه 3 به بالا مورد پوشش Ipsec قرار می گیرد و این روش در زمان هایی مفید واقع می شود که ارتباط Site-to-Site مورد نیاز باشد. روش Transport Mode حالتی است که اطلاعات لایه 4 و بالاتر مورد حفاظت واقع می شود. این حالت از Ipsec بیشتر در شبکه های LAN می تواند مورد استفاده قرار گیرد.

ایجاد یک ارتباط Ipsec در ساده ترین حالت در 3 مرحله انجام می شود :

1.       در این مرحله ترافیک مورد نظر که باید ایمن شود شناسایی می شود. برای انجام اینکار از ACL هایExtended استفاده می شود.

2.       در مرحله بعدی که    IKE Phase 1 نام دارد ، یک یا چند Policy بین Peer ها negotiate می شود. در این negotiation پارامتر های لازم جهت ایجاد یک ارتباط ایمن فراهم می شود.  سپس key  های لازم برای انجام Encryption بر روی packet ها بین Peer ها در مراحل بعدی ، ارسال می شود که از این پس این Key به عنوان Encryption Key در الگوریتم Symmetric مورد نظر استفاده می شود. این Key Exchange بتوسط DH یا Diffi-Helman صورت می گیرد. به علاوه در این مرحله Peer Authentication صورت می گیرد تا از صحت Peer اطمینان حاصل شود. این Authentication می تواند توسط یک  pre-shared key و یا CA انجام شود. تمامی آنچه ذکر شد وظیفه ISAKMP و Oakley می باشد.

3.       در گام بعدی یا IKE Phase 2 با استفاده از Encryption Key رد و بدل شده در مرحله اول ، پارامترهای مربوط به Ipsec Tunnel و life time مربوط به key های ارتباط تنظیم می شوند. این پارامتر ها درقالب transform-set در ios تنظیم می شوند.  سپس این تنظیمات در قالب یک Crypto-map تعریف می شوند که این crypto-map به یک interface اعمال می شود.

در زیر یک نمونه ارتباط Site-to-Site نوشته شده است .

IPSEC1


RTR1

RTR1#en

< - - IKE Phase 1 - - >

RTR1(config)#crypto isakmp policy 1

RTR1(config-isakmp)#encr 3des

RTR1(config-isakmp)#hash md5

RTR1(config-isakmp)#authentication pre-share

RTR1(config-isakmp)#group 2

RTR1(config-isakmp)#lifetime 36000

RTR1(config-isakmp)#exit

RTR1(config)#crypto isakmp key cisco address 217.218.219.2

RTR1(config)#crypto ipsec security-association lifetime seconds 36000

< - - IKE Phase 2 - - >

RTR1(config)#crypto ipsec transform-set LAB esp-3des esp-md5-hmac

RTR1(config)#crypto map MYLAB 1 ipsec-isakmp

RTR1(config-crypto-map)#set peer 217.218.219.2

RTR1(config-crypto-map)#set transform-set LAB

RTR1(config-crypto-map)#match address IPSEC

RTR1(config-crypto-map)#exit

RTR1(config)#interface FastEthernet0/0

RTR1(config-if)# ip address 217.218.219.1 255.255.255.0

RTR1(config-if)# duplex full

RTR1(config-if)#crypto map MYLAB

RTR1(config-if)#exit

< - - Interesting Traffic - - >

RTR1(config)#ip access-list extended IPSEC

RTR1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255

RTR1(config-ext-nacl)#exit

< - - Traffic route - - >

RTR1(config)#ip route 0.0.0.0 0.0.0.0 217.218.219.2

 

 

RTR2

RTR2#en

< - - IKE Phase 1 - - >

RTR2(config)#crypto isakmp policy 1

RTR2(config-isakmp)#encr 3des

RTR2(config-isakmp)#hash md5

RTR2(config-isakmp)#authentication pre-share

RTR2(config-isakmp)#group 2

RTR2(config-isakmp)#lifetime 36000

RTR2(config-isakmp)#exit

RTR2(config)#crypto isakmp key cisco address 217.218.219.1

RTR2(config)#crypto ipsec security-association lifetime seconds 36000

< - - IKE Phase 2 - - >

RTR2(config)#crypto ipsec transform-set LAB esp-3des esp-md5-hmac

RTR2(config)#crypto map MYLAB 1 ipsec-isakmp

RTR2(config-crypto-map)#set peer 217.218.219.1

RTR2(config-crypto-map)#set transform-set LAB

RTR2(config-crypto-map)#match address IPSEC

RTR2(config-crypto-map)#exit

RTR2(config)#interface FastEthernet0/0

RTR2(config-if)# ip address 217.218.219.2 255.255.255.0

RTR2(config-if)# duplex full

RTR2(config-if)#crypto map MYLAB

RTR2(config-if)#exit

< - - Interesting Traffic - - >

RTR2(config)#ip access-list extended IPSEC

RTR2(config-ext-nacl)#permit ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255

RTR2(config-ext-nacl)#exit

< - - Traffic route - - >

RTR2(config)#ip route 0.0.0.0 0.0.0.0 217.218.219.1



: بيننده: 4881 :: ايميل

  نظرات (5)
 1 Site-To-Site VPN IPsec Tunnel
نوشته شده توسط This e-mail address is being protected from spam bots, you need JavaScript enabled to view it , روشن 02 مرداد
:p
 2 vpn
نوشته شده توسط This e-mail address is being protected from spam bots, you need JavaScript enabled to view it , روشن 13 شهريور
very good
 3 IP-Sec
نوشته شده توسط This e-mail address is being protected from spam bots, you need JavaScript enabled to view it , روشن 30 فروردين
aya Authentication be gheyr az Pre-Shared key ham darad
 4 thanks
نوشته شده توسط This e-mail address is being protected from spam bots, you need JavaScript enabled to view it , روشن 20 بهمن
دست گلت درد نکنه.
 5 مانیتو
نوشته شده توسط احساخ, روشن 27 دي
سلام 
 
حالا چطور میشود این را مانیتور کرد 
که ببینیم کار میکنه یا نه

نوشتن نظر
نام:
ايميل:
صفحه اصلي:
عنوان:
BBCode:Web AddressEmail AddressBold TextItalic TextUnderlined TextQuoteCodeOpen ListList ItemClose List
نظر:



كد:* Code
من اين نظر را دوستانه جهت تماس ارسال ميكنم
 
< بعد   قبل >
برگشت به قبل