D 10.0.33.0 [90/28185600] via 10.70.5.2, 00:02:06, Tunnel5
D 10.0.41.0 [90/26882560] via 10.70.5.2, 00:02:07, Tunnel5
D 10.0.42.0 [90/26882560] via 10.70.5.2, 00:02:07, Tunnel5
C 10.0.71.0 is directly connected, FastEthernet0/0
D 10.0.72.0 [90/26882560] via 10.70.1.1, 00:01:19, Tunnel1
D 10.0.74.0 [90/28162560] via 10.70.5.2, 00:02:06, Tunnel5
D 10.0.75.0 [90/26882560] via 10.70.5.2, 00:02:07, Tunnel5
C 10.70.1.0 is directly connected, Tunnel1
D 10.70.2.0 [90/28160000] via 10.70.1.1, 00:01:19, Tunnel1
D 10.70.3.0 [90/29440000] via 10.70.5.2, 00:02:06, Tunnel5
D 10.70.4.0 [90/28160000] via 10.70.5.2, 00:02:07, Tunnel5
C 10.70.5.0 is directly connected, Tunnel5
172.16.0.0/24 is subnetted, 4 subnets
C 172.16.1.0 is directly connected, FastEthernet0/1
C 172.16.4.0 is directly connected, Ethernet1/0
C 192.168.3.0/24 is directly connected, Ethernet1/1
Полная настройка маршрутизаторов сети представлена в приложениях А – Д.
3 НАСТРОЙКА ТУННЕЛЕЙ И ИХ ШИФРОВАНИЕ С ПОМОЩЬЮ ПРОТОКОЛА IPSEC
Для передачи пакетов между филиалами используется сеть интернет, которая представляет из себя определенную угрозу перехвата пакетов, то есть завладение злоумышленниками, а так же угроза их видоизменению. Во избежание подобных угроз воспользуемся технологией виртуальных частных сетей (VPN - Virtual Private Network). Используя данную технологию можно создавать виртуальные туннели между любыми точками сети. В данной работе используются туннели типа «точка-точка» на основе протокола GRE.
В данной курсовой работе создаем всего шесть туннелей между каждыми двумя офисами корпоративной сети. Для каждого туннеля создаем виртуальные интерфейсы и свои отдельные сети. В таблице 3.1 приведены адреса туннелей.
Таблица 3.1 Адреса туннелей
Сеть |
Адрес |
Центральный офис |
|
Tunnel1 |
10.70.1.2 |
Tunnel5 |
10.70.5.2 |
Tunnel6 |
10.70.6.2 |
Филиал 1 |
|
Tunnel1 |
10.70.1.1 |
Tunnel2 |
10.70.2.2 |
Филиал 2 |
|
Tunnel2 |
10.70.2.1 |
Tunnel3 |
10.70.3.2 |
Филиал 3 |
|
Tunnel3 |
10.70.3.1 |
Tunnel4 |
10.70.4.2 |
Tunnel6 |
10.70.6.1 |
Филиал 4 |
|
Tunnel4 |
10.70.4.1 |
Tunnel5 |
10.70.5.1 |
При настройке туннеля указывается имя, IP адрес туннеля, интерфейс источника туннеля и адрес назначения туннеля.
Для ЦО настройка первого туннеля (Tunnel1) будет следующая:
#enable // заходим в привилегированный режим
#conf t // заходим в режим конфигурации
#interface Tunnel1 // создаем туннельный интерфейс
#ip address 10.70.1.2 255.255.255.0 // присваиваем адрес туннельному интерфейсу: [адрес] [маска]
#tunnel source FastEthernet0/1 // обозначаем выходную точку туннеля на данном маршрутизаторе через интерфейс FastEthernet0/1
#tunnel destination 172.16.10.1 // обозначаем точку назначения туннеля через адрес порта последнего маршрутизатора в туннеле
Таким образом поднимаем первый туннель. Его изображение показана ниже на рисунке 3.1.
Рисунок 3.1 Туннель 1
Проверить настроился ли туннель можно просмотрев в симуляции передаваемый пакет. Если в нем указано, что данные пакуются в GRE пакете, значит туннель настроен. На рисунке 3.2 показана структура пакета.
Рисунок 3.2 Пакет, содержащий пакет GRE.
Для обеспечения большей надежности настраиваем шифрование в туннелях. Применим ассиметричное шифрование AES, с помощью протокола шифрования IPsec. Покажем для примера настройку шифрования на маршрутизаторе в ЦО:
#enable // заходим в привилегированный режим
#conf t // заходим в режим конфигурации
#crypto isakmp enable // включаем работу протокола IPsec
#crypto isakmp policy 1 // создаем политику безопасности с приоритетом 1
#encryption aes // выбораем метод шифрования AES
#authentication pre-share // выбирается способ первичной аутентификации соседей
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.