Построение IPSEC туннелей на маршрутизаторе с двумя PIX, используя профайлы ISAKMP : Программирование для всех. Языки программирования, программирование баз данных, технологии. Статьи для програмиста скачать бесплатно учебники книги документация форум : Статьи

Источник: www.ciscolab.ru

В этом документе мы рассмотрим пример построения IPSEC туннелей используя профайлы ISAKMP на роутере c двумя PIX в удаленных офисах. Один из удаленных офисов использует конфигурацию LAN-to-LAN, а другой конфигурируется как EasyVPN Client. Маршрутизатор использует локальную аутентификацию для EasyVPN туннеля и аутентификацию RADIUS для программного Cisco VPN клиента. Удаленные пользователи подключаются к корпоративной сети, используя ПО Cisco VPN Client.

Диаграмма показана на рисунке ниже.

Построение IPSEC туннелей на маршрутизаторе с двумя PIX, используя профайлы ISAKMP

Маршрутизатор 1750 выступает в качестве VPN концентратора и терминирует IPSEC туннели с своими удаленными офисами. Один из офисов (192.168.10.0/24) формирует LAN-to-LAN VPN туннель к маршрутизатору. Второй офис (192.168.30.0/24) работает как EasyVPN клиент

Конфигурация VPN 1750 Hub Router

hostname VPN1750

!--- имя и пароль локальная аутентификации EzVPN.

username jerry password 0 wells123
username cisco password 0 letmein

!--- Включаем AAA.
aaa new-model
!
!--- Метод регистрации по умолчанию local.
aaa authentication login default local

!--- RADIUS аутентификация для VPN Клиента.
aaa authentication login userauth group radius local

!--- Локальная аутентификация для EzVPN Client.
aaa authentication login EZVPN local
aaa authorization exec default local

!--- Локальная групповая авторизация для VPN клиента.
aaa authorization network groupauthor local

!--- Локальная авторизация для EzVPN Client.
aaa authorization network EZVPN local
!
ip subnet-zero
ip cef

!--- Спецификация ключей для аутентификации по Фазе 1.
crypto keyring vpn
pre-shared-key address 172.18.124.196 key cisco123
!

!--- Указываем политику ISAKMP.

crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
!

!--- Конфигурация EzVPN Client которая указывает используемые группу, ключ и IP пул.
crypto isakmp client configuration group polo
key mark123
pool ezpool
!

!--- Конфигурация VPN Client указывает используемые группу, ключ и IP пул.
crypto isakmp client configuration group tennis
key matchpoint
domain cisco.com
pool vpnpool

!--- Профиль ISAKMP для LAN-to-LAN туннеля.
crypto isakmp profile l2lvpn
keyring vpn
match identity address 172.18.124.196 255.255.255.255

!--- Профиль ISAKMP для EzVPN Client.
crypto isakmp profile ezvpnprofile
match identity group polo
client authentication list EZVPN
isakmp authorization list EZVPN
client configuration address respond

!--- Профиль ISAKMP для программного VPN Client.
crypto isakmp profile softclient
match identity group tennis
client authentication list userauth
isakmp authorization list groupauthor
client configuration address respond
!
!

!--- Устанавливаем tranform-set.

crypto ipsec transform-set pix501 esp-3des esp-sha-hmac
crypto ipsec transform-set vpnclient esp-3des esp-sha-hmac
crypto ipsec transform-set ezvpn esp-3des esp-md5-hmac
!

!--- Указываем карту шифрования и  профайл ISAKMP для VPN Client.
crypto dynamic-map rtpmap 10
set transform-set vpnclient
set isakmp-profile softclient

!--- Указываем карту шифрования и  профайл ISAKMP для EzVPN Client.
crypto dynamic-map rtpmap 20
set transform-set ezvpn
set isakmp-profile ezvpnprofile
!
!
crypto map rtp 5 ipsec-isakmp dynamic rtpmap

!--- Указываем карту шифрования и  профайл ISAKMP для LAN-to-LAN.
crypto map rtp 10 ipsec-isakmp
set peer 172.18.124.196
set transform-set pix501
set isakmp-profile l2lvpn
match address 101
!
!
interface Ethernet0
ip address 192.168.40.1 255.255.255.0
!
interface FastEthernet0
ip address 172.18.124.195 255.255.255.0
speed auto

!--- Применяем crypto map на внешний интерфейс.
crypto map rtp
!

!--- Пул адресов для VPN Client.
ip local pool vpnpool 10.50.50.1 10.50.50.10

!--- Пул адресов для EzVPN Client.
ip local pool ezpool 172.25.70.1 172.25.70.10
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.124.1
!

!--- Лист доступа определяющий трафик для шифрования.
access-list 101 permit ip 192.168.40.0 0.0.0.255 192.168.10.0 0.0.0.255
!

!--- Указываем сервер аутентификации для пользователей  VPN Client.
radius-server host 192.168.40.5 auth-port 1645 acct-port 1646 key cisco123
!
end

Конфигурация PIX-501 - LAN-to-LAN

PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 100full

nameif ethernet0 outside security0
nameif ethernet1 inside security100

!--- Лист доступа для трафика подлежащего шифрованию.
access-list 101 permit ip 192.168.10.0 255.255.255.0 192.168.40.0 255.255.255.0

!--- NAT 0 для шифрованного трафика - мы исключаем шифрованный трафик из NAT.
access-list nonat permit ip 192.168.10.0 255.255.255.0 192.168.40.0 255.255.255.0

ip address outside 172.18.124.196 255.255.255.0
ip address inside 192.168.10.1 255.255.255.0

global (outside) 1 interface

!--- Обход NAT для IPsec трафика.
nat (inside) 0 access-list nonat

nat (inside) 1 192.168.10.0 255.255.255.0 0 0
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1

!--- Эта команда позволяет обойти ACL на внешнем интерфейсе для шифрованных пакетов.
sysopt connection permit-ipsec

!--- Конфигурация IPsec Phase 2.
crypto ipsec transform-set fox esp-3des esp-sha-hmac
crypto map fox 10 ipsec-isakmp
crypto map fox 10 match address 101
crypto map fox 10 set peer 172.18.124.195
crypto map fox 10 set transform-set fox
crypto map fox interface outside

!--- Конфигурация IPsec Phase 1.
isakmp enable outside

!--- IKE ключ используемый для аутентификации удаленной стороны.
isakmp key ******** address 172.18.124.195 netmask 255.255.255.255

isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
!
: end

Конфигурация PIX-506-B - EzVPN Client

PIX Version 6.3(3)
nameif ethernet0 outside security0
nameif ethernet1 inside security100

hostname PIX-506-B

!--- Определяем IP адреса внешнего и внутреннего интерфейсов.

ip address outside 172.18.124.197 255.255.255.0
ip address inside 192.168.30.1 255.255.255.0
!
global (outside) 1 interface
nat (inside) 1 192.168.30.0 255.255.255.0 0 0
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
!
sysopt connection permit-ipsec
crypto ipsec transform-set tiger esp-3des esp-md5-hmac
telnet timeout 5
ssh timeout 5
console timeout 0

!--- Определяем IP адрес EzVPN сервера.
vpnclient server 172.18.124.195

!--- Указываем используемый режим (client-mode или Network Extension Mode).
vpnclient mode client-mode

!--- Определяем параметры соединения EzVPN.

vpnclient vpngroup polo password ********
vpnclient username jerry password ********

!--- Включаем VPN Client на PIX.
vpnclient enable
!
: end

Конфигурация VPN Client Configuration

Запускаем VPN клиент и создаем новое соединение с требуемыми параметрами

После создания соединения, нажимаем кнопку Connect и аутентифицируемся с пользовательскими параметрами, которые отконфигурированы на RADIUS сервере (имя и пароль)

Проверка установленных соединений
На роутере команда show crypto isakmp sa покажет все текущие IKE SA с соседями.

VPN1750#show crypto isakmp sa
dst                    src                   state              conn-id  slot

!--- VPN Client.
172.18.124.195  172.18.173.80  QM_IDLE            3       0

!--- VPN между маршрутизатором и PIX-506-B.
172.18.124.195  172.18.124.197  QM_IDLE           2       0

!--- EzVPN между маршрутизатором и PIX-501
172.18.124.195  172.18.124.196  QM_IDLE            1      0

По материалам: www.cisco.com

При разработке CMS S.Builder наша команда активно использовала AJAX. Теперь вот решили поделиться накопленным опытом. Начнем с этого хабратопика. Не буду здесь затрагивать различные фреймворки и библиотеки. Свой код всегда роднее. Для работы с AJAX-ом в S.Builder написана библиотека sbAJAX. Можете качать и пользоваться :). В этом файле есть функция sbEvalJS. Для тех, кто не знает, объясню. При подгрузке через AJAX и вставке на страницу HTML-кода, содержащего JavaScript, JavaScript выполняться не будет или полезут баги. Эта функция как раз решает поставленную задачу.

Обзор нового релиза самой мощной Ajax библ....

Хотя наш обзор немного запоздал, оригинальный Dojo 1.2 вышел в релизной версии ещё 6-го октября, но сейчас мы наверстаем упущенное. И так, Dojo Toolkit — это самая мощная и гибкая ajax-библиотека из всех, что есть на рынке, она активно развивается и имеет большое комьюнити. Кстати, это самое комьюнити, совместно с компанией Sitepen, имеет ещё несколько проектов, среди которых и Cometd и некоторые другие, не менее интересные, о которых мы скоро вам расскажем. Сегодня же все внимание на флагманский продукт — Dojo 1.2.

Если вы профессиональный веб-разработчик и постоянно имеете дело с разработкой и отладкой сложных AJAX приложений, то наверняка знаете и используете Firebug — плагин для браузера Firefox, предназначенный для отладки и исследования веб-приложений. Текущая его версия, 1.2х достаточно стабильная и функциональна, чтобы помочь в 99% проблем, которые могут возникнуть при разработке. Но и этот инструмент не лишён если не недостатков, то некоторых фич, которые могли бы облегчить работу. И даже идеальный инструмент можно сделать ещё более идеальным, как бы это не звучало.