A találmány megvalósítási IPSec VPN alagutak a berendezés cisco
Ebben a cikkben, nézzük a különböző technológiák statikus site-to-site IPSec Cisco berendezések a helyzetben, hogy az egyik vagy a másik technológia magában foglalja az eredeti csomag új főcím, és ez hogyan befolyásolja a végső mérete és szerkezete a csomag.
Itt használjuk ezt az egyszerű, gyűjtött GNS3 topológia:
A tranzit router fogja kísérni az ICMP-csomagokat útválasztók közötti lupbekami Mezei A. és B. Mezei parancsok kell tüntetni az árutovábbítási router annak érdekében, hogy képes legyen nézni a áthaladó forgalom érdekes számunkra, ábrán szemléltetjük.
A kezdéshez kövesse az ICMP ping a router webhely, hogy hogyan néz ki, mielőtt a csomagot a különféle perverzió őket:
WebhelyA # ping 192.168.3.3 forrás lo0 mérete 100
A hibakeresés a tranzit router lásd:
* Szeptember február 12: 20: 06,715: IP: s = 192.168.1.1 (FastEthernet1 / 0), d = 192.168.3.3, len 100. bemeneti funkció ... ..
Nos, ez valójában érthető - ICMP-csomag mérete 100 byte - így jött a tranzit router. Ie most (csomag), ha figyelmen kívül hagyjuk a fejléc és a pótkocsi az adatkapcsolati réteg, a következő:
Most kísérletet.
1. IPSec a „klasszikus» kripto-térkép
Azonnal konfigurációmenedzsment hogy WebhelyA WebhelyB és útválasztók. Úgy fog kinézni (mind a legegyszerűbb formája, az összes felesleges sikerült eltávolítani, hogy ne töltse be a felesleges cikke információ):
hostname WebhelyA
!
crypto isakmp politika 10
encr aes
hitelesítés előre megosztott
2. csoport
crypto isakmp kulcs cisco cím 10.1.23.3
!
crypto ipsec át-set TS ESP-AES ESP-sha-hmac
mód alagút
!
crypto térkép CRYPTOMAP 10 IPSec isakmp
set peer 10.1.23.3
set átalakítani beállított TS
mérkőzés cím CRYPTOACL
!
interfész Loopback0
ip cím 192.168.1.1 255.255.255.0
!
interfész FastEthernet1 / 0
ip cím 10.1.12.1 255.255.255.0
crypto térkép CRYPTOMAP
!
ip route 0.0.0.0 0.0.0.0 10.1.12.2
!
ip hozzáférés-lista kiterjesztett CRYPTOACL
engedély ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
hostname WebhelyB
!
crypto isakmp politika 10
encr aes
hitelesítés előre megosztott
2. csoport
crypto isakmp kulcs cisco cím 10.1.12.1
!
crypto ipsec át-set TS ESP-AES ESP-sha-hmac
mód alagút
!
crypto térkép CRYPTOMAP 10 IPSec isakmp
set peer 10.1.12.1
set átalakítani beállított TS
mérkőzés cím CRYPTOACL
!
interfész Loopback0
ip cím 192.168.3.3 255.255.255.0
!
interfész FastEthernet1 / 0
ip cím 10.1.23.3 255.255.255.0
crypto térkép CRYPTOMAP
!
ip route 0.0.0.0 0.0.0.0 10.1.23.2
!
ip hozzáférés-lista kiterjesztett CRYPTOACL
engedély ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
WebhelyA # ping 192.168.3.3 forrás lo0 mérete 100
A hibakeresés a tranzit router most ezt látjuk:
* Szeptember február 12: 44: 15,579: IP: s = 10.1.12.1 (FastEthernet1 / 0), d = 10.1.23.3 (FastEthernet1 / 1), len ... 168.
Most Package „nyom”, mint 68 byte tovább. Mi ez további általános? Nézzük meg az alábbi képet:
Másodszor, mezőket ESP protokoll - fejlécet. pótkocsi és hitelesítés terén. Hossza kapcsolódó területeken az ESP függ a kiválasztott titkosítási / darabolási algoritmus. A mi esetünkben vettünk IPSec transzformációt beállítani az algoritmusok és az AES sha volt (ez a választás, és mi fogja hagyni a jövő kísérlet). Ha például ahelyett, AES használt des - csomag mérete kapcsolatos területeken ESP lenne kevesebb. A mi esetünkben ez egyenlő a 168 (összesen csomag hossza) - 100 (az eredeti méretét csomag) - 20 (méret, az új IP fejléc) = 48 bájt.
2. GRE over IPSec
GRE over IPSec kialakulásával jár GRE-alagutat a VPN-átjáró majd titkosítja GRE-forgalmat.
Először is, nézzük csak létre GRE-alagút között WebhelyA és WebhelyB nélkül hozzá kapcsolódó IPSec:
hostname WebhelyA
!
crypto isakmp politika 10
encr aes
hitelesítés előre megosztott
2. csoport
crypto isakmp kulcs cisco cím 10.1.23.3
!
crypto ipsec át-set TS ESP-AES ESP-sha-hmac
mód alagút
!
crypto térkép CRYPTOMAP 10 IPSec isakmp
set peer 10.1.23.3
set átalakítani beállított TS
mérkőzés cím CRYPTOACL
!
interfész Loopback0
ip cím 192.168.1.1 255.255.255.0
!
interfész Tunnel0
ip számozatlan FastEthernet1 / 0
alagút forrás FastEthernet1 / 0
alagút cél 10.1.23.3
!
interfész FastEthernet1 / 0
ip cím 10.1.12.1 255.255.255.0
crypto térkép CRYPTOMAP
!
ip route 0.0.0.0 0.0.0.0 10.1.12.2
ip route 192.168.3.0 255.255.255.0 Tunnel0
!
ip hozzáférés-lista kiterjesztett CRYPTOACL
engedély ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
hostname WebhelyB
!
crypto isakmp politika 10
encr aes
hitelesítés előre megosztott
2. csoport
crypto isakmp kulcs cisco cím 10.1.12.1
!
crypto ipsec át-set TS ESP-AES ESP-sha-hmac
mód alagút
!
crypto térkép CRYPTOMAP 10 IPSec isakmp
set peer 10.1.12.1
set átalakítani beállított TS
mérkőzés cím CRYPTOACL
!
interfész Loopback0
ip cím 192.168.3.3 255.255.255.0
!
interfész Tunnel0
ip számozatlan FastEthernet1 / 0
alagút forrás FastEthernet1 / 0
alagút cél 10.1.23.3
!
interfész FastEthernet1 / 0
ip cím 10.1.23.3 255.255.255.0
crypto térkép CRYPTOMAP
!
ip route 0.0.0.0 0.0.0.0 10.1.23.2
ip route 192.168.3.0 255.255.255.0 Tunnel0
!
ip hozzáférés-lista kiterjesztett CRYPTOACL
engedély ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
A táblázatban írt be vannak jelölve, és törölni kell - áthúzás.
Megerősíti, hogy a fenti igaz, elvégzi a hagyományos ICMP:
WebhelyA # ping 192.168.3.3 forrás lo0 mérete 100
Lássuk, mit mutat hibakeresés tranzit router:
* Szeptember február 14: 54: 32,183: IP: s = 10.1.12.1 (FastEthernet1 / 0), d = 10.1.23.3 (FastEthernet1 / 1), len 124. küldő teljes csomag
Ez tényleg, mint várták.
Most adjuk hozzá IPSec «fel» GRE. Ehhez létre IPSec profilt, és akassza fel az alagút felület minden VPN-átjáró:
crypto ipsec át-set TS ESP-AES ESP-sha-hmac
mód közlekedés
Újabb ping a router oldalon egy tranzit router a következő látható:
* Szeptember február 15: 49: 00,802: IP: s = 10.1.12.1 (FastEthernet1 / 0), d = 10.1.23.3 (FastEthernet1 / 1), len 168. küldő teljes csomag
Most, a csomag hosszát - 168 bájt. 16 kevesebb, mint az alagút rendszer. Miért nem 20, mert a méret az IP fejléc, ahonnan már megmenekült 20 byte? Mivel ez a cím is titkosított ESP, és a hossza a titkosított, mint általában, nem egyenlő a hossza az eredeti. Ebben az esetben ez nem olyan fontos. Fontos, hogy megszabadulunk extra fejléc, és így csökkenti a rezsi legalább egy részét. Úgy néz ki, GRE over IPSec szállítási mód, az alábbiak szerint:
Lássuk a két pontot, amelyek tükrözik azokat a dolgokat, a fent említett, és hasznos lesz tovább:
WebhelyA # sh int alagút 0 | i szállítás | védelem
Alagút protokoll / szállítási GRE / IP
Alagút közlekedési MTU 1434 bájt
Tunnel védelem IPSec (profil «IPSECPROFILE»)
WebhelyA # sh kripto IPsec | i befutó | kimenő | beállítás
aktuális kimenő spi: 0xD761501C (3613478940)
Bejövő esp sas:
használatban settings = Transport.>
kimenő esp sas:
használatban settings = Transport.>
Itt világosan látható, hogy az alagút felület GRE / IPI mód, hogy megvédje azt használ IPSec szállítási módot.
3. Virtual Tunnel Interface (VTI)
Mi VTI, és miben különbözik a hagyományos GRE over IPSec? Anélkül, hogy részletesen, azt mondom: ez ugyanaz a GRE over IPSec, azaz Építőipari épült alagút interfészek (amelyen keresztül előnyösen működhet routing protokollok és egyéb multicast forgalom) minden a maga előnye, de kizárva magát GRE fejlécet. Ie ha vesszük a legújabb rendszer, amely a GRE over IPSec IPSec szállítási mód és kapcsolja be a statikus VTI, megkapjuk ezt:
Ha összehasonlítjuk az első kép, ahol az alagutak létrehozásához használt kriptográfiai térképet, ez nagyon nehéz észrevenni a különbséget. A nehéz, mert nem azok. A kilépés csomagot ugyanúgy néz ki, függetlenül attól, hogy a konfiguráció az alagút technológia. A hossza is 168 byte hosszú és a lehető legkisebb a kiválasztott titkosítási algoritmus / hash és mérete a forrás csomag. A következtetés: VTI technológia Cisco útválasztók tervezték, hogy az építési VPN-alagutak, amelyek minden előnyét GRE over IPSec technológiával (így például, a dinamikus útválasztás támogatás), miközben a minimális overhead (ugyanaz, mint a technológia használata Cryptoworks térkép).
Annak érdekében, hogy az alagutak GRE IPSec feletti az előző példában a VTI, meg kell, hogy jelentős változások, a VPN-átjáró konfiguráció:
Mi segítünk Önnek a „mosógép nem centrifugál a mosási”
Valódi ügyfél vélemény körülbelül Tinedol krém kezelésére gomba a lábát.
fertőtleníti az érintett bőrt és erősíti a vérereket és a lágy szövetek.
Ez a gyógyszer már régen bebizonyította hatékonyságát Legfőbb előnye rendszer ellátás Még ha nem látható az összes tünet, meg kell kezdeni a Tinedol megelőzésre sürgős gomba lábán fejlődik nagyon gyorsan most jelentéktelen hámlás, viszketés, és miután pár napon belül kell menni klinika ital antibiotikumok 5-ször egy nap, nem a probléma ma Treat mellett, a gomba fertőző Ha beteg vagy valaki otthon van a beteg az egész családnak.
Ezután a krémet, óvatosan dörzsölje, majd várja meg, amíg felszívódik Tinedol az alkalmazott eszközök kell, hogy legyen, naponta egyszer egy hónapban.
Tinedol eredeti gyógyszernek nincs ellenjavallat Az egyetlen dolog, ami ahhoz vezethet, hogy a mellékhatások sajátosság alkatrészek kenőcs befolyásolja a minőséget és a megnyilvánulása káros hatások lehetnek a termék tárolási körülmények között.
Valóban, minden orvosi külső készítmények legyen contra Tehát van Tinedola, de korlátozás kizárólag azokra a személyekre, akik az egyéni intolerancia egy komponens például, hogy valaki allergiás a borsmenta vagy metil-parabén, de ezek az emberek egységét tehát a tejszín és a úgy vélik, hogy szinte általános.
134 szavazattal átlagosan 4,61 5.
A működési elve a kenőcs.
Kenőcs Tinedol működési elvek és összetételét.
Farsenol segít megszüntetni a káros baktériumok, küzd a rossz szag.
Mi segítünk Önnek a „Hol van a mosógép”
17 órán agoRidiculousness Season 9 Episode 22 Episode legdurvább valaha. szerző. admin tévéműsorok ... elvégzése után érettségi, Alexa Vega megpróbálta őt szerencsét hatású, és vált népszerűvé vele korai szerepek számos népszerű televíziós jár, mint például - Evening Shade,
új tévéműsorok a héten
"Houdini y Doyle, dos amigos contra el crimen - TV - Teleprograma Hay un esclarecedor momento en el primer capG-Tulo de Houdini y Doyle en el que un De todas formas, la sorozat que los canales AXN y AXN White estrenan el