Тема поднятия криптованного канала между D-Link и цисками конечно уже
несколько избита. Хотя, до недавнего времени у меня были некоторые
пробелы в этом направлении. Просто не доводилось использовать такую
схему подключения.
Как правило, в варианте подключения, который я использую, присутствует
два маршрутизатора cisco, между которыми поднят GRE-туннель. Ну и в
настройках IPSec интересным трафиком (ну который нам надо
закриптовать) является именно этот GRE-трафик. Все логично, легко и
просто.
Вот сегодня столкнулся с ситуацией, когда надо закриптовать трафик
между нашей сеткой и сетью, находящейся за D-Link-ом. В этих
устройствах отсутствует возможность построения GRE-туннелей, поэтому в
начале этот вариант показался тупиковым.
Но, всё оказалось не так плохо. Явный туннель строить не пришлось :)
Итак, есть две сети, которые нужно объединить посредством IPSec,
скажем 132.132.132.0/30 со стороны циски и 192.192.192.0/30 со стороны
длинка. Внешний интерфейс на cisco имеет адрес xxx.xxx.xxx.xxx, а на
d-link -- yyy.yyy.yyy.yyy.
!
crypto ipsec transform-set unodostres esp-3des esp-sha-hmac
!
crypto map remotenet 10 ipsec-isakmp
set peer yyy.yyy.yyy.yyy
set security-association lifetime seconds 28800
set transform-set unodostres
set pfs group2
match address 110
!
Параметры transform-set + map естессно должны соответствовать
длинковским IPSec proposal. Интересный трафик, который нужно
закриптовать, описан через АЦЛ (а в длинке это выглядит как Local
Network - Remote Network):
!
access-list 110 permit ip 192.192.192.0 0.0.0.3 132.132.132.0 0.0.0.3
access-list 110 permit ip 132.132.132.0 0.0.0.3 192.192.192.0 0.0.0.3
!
Ну и необходимо применить наш crypto map на интерфейсе с внешним IP:
Для того, чтобы это все работало, на cisco необходимо явно указать
маршрут на удаленную сеть.
ip route 192.192.192.0 255.255.255.252 Serial 4/0.41
Основная сложность заключалась в подборе соответствующих друг-другу
параметров IKE, IPSec и интересного трафика в ACL. При правильных
настройках IPSec поднимается практически моментально.
Для проверки работоспособности схемы проще всего всунуть какой-нить
промежуточный маршрутизатор между cisco и d-link и запустить на нем
tcpdump. Особо желающие могут поиграться с debug ip packets на циске
:))).
Особо хочу поблагодарить господина Е.А. Ефремова из Запорожского ООО
"Сiiч-IIнфоком" за его неоценимую помощь в настройке данной схемы.
684 Прочтений • [IPSec между Cisco и D-Link (cisco ipsec tunnel)] [08.05.2012] [Комментариев: 0]
Vova
