[ главная ]   [ рейтинг статей ]   [ справочник радиолюбителя ]   [ новости мира ИТ ]



Ответов: 0
25-02-12 07:01







   Web - программирование
PHP


ASP






XML



CSS

SSI





   Программирование под ОС











   Web - технологии








   Базы Данных









   Графика






Данные




Web - технологии / Сети /

Построение IPSEC туннеля между аппаратным VPN клиентом на PIX и концентратором VPN 3000

Данный документ предоставляет пошаговую конфигурацию для потребителей, кто хочет развернуть функциональность Cisco VPN Hardware Client на PIX 501/506. Эта функциональность была введена в PIX версии 6.2 и используется для создания IPSec туннеля с концентратором VPN 3000, Cisco IOS Router или PIX Firewall.
Конфигурация аппаратного клиента PIX 501/506 одинакова, независимо от головного VPN оборудования, будь то концентратор VPN 3000, роутер или PIX. Компьютерам находящимися за аппаратным VPN клиентом более не нужно инсталлировать ПО VPN Client для того, чтобы обеспечить безопасную связь с устройствами, лежащими за головным оборудованием

VPN Hardware Client может работать либо режиме сетевого расширения (NEM), либо в клиентском режиме. В NEM, сетевой администратор способен получить доступ к устройствам, лежащими за PIX VPN Hardware Client, для удаленного доступа и устранения неисправностей. В режиме клиента, сетевые устройства за PIX 501/506 недоступны из головного офиса.
Помните, что PIX 501 и PIX 506/506E могут работать как Easy VPN Remote и как Easy VPN Server, а PIX 515/515E, PIX 525, и PIX 535 могут работать только в режиме сервера.

В данном примере PIX 506 настраивается для того, чтобы инициировать VPN туннель с концентратором Cisco VPN 3000 в режиме NEM. На концентраторе работает протокол динамической маршрутизации RIP v2 для того, чтобы изучать и вещать маршруты. Также на концентраторе включена функциональность Reverse Route Injection (RRI), так, что он может вещать маршруты на удаленные сети, находящиеся за аппаратным VPN клиентом PIX 506, используя RIP к Cisco роутеру 2600, как трафик инициируемый от роутера Cisco 3620.

 

Построение IPSEC туннеля между аппаратным VPN клиентом на PIX и концентратором VPN 3000


На концентраторе не включено сплит туннелирование поэтому весь трафик уходящий от роутера 3620 шифруется и высылается на концентратор VPN 3000, который в свою очередь перенаправляет этот трафик в соответствие своей маршрутной политике. Эта политика определяется на концентраторе и может быть изменена, основываясь на индивидуальных требованиях компании, и выталкивается аппаратному клиенту во время фазы согласования туннеля.
PIX 506 конфигурируется как DHCP сервер для динамической раздачи IP адресов на E1 интерфейсе. На роутере Cisco 2621 работает RIP версии 2.

О том как конфигурировать концентратор смотрите статью Конфигурация IPSEC между Cisco VPN Client и Концентратором Cisco VPN3000 ранее опубликованной на данном сайте.

Конфигурация Cisco 3620 Router

<!--code1-->
<!--ecode1-->interface FastEthernet0/1
    ip address dhcp  

!--- DHCP запрашивает  IP от  PIX, который конфигурирован как сервер DHCP
<!--code2-->
<!--ecode2-->

Конфигурация Cisco 2621 Router

<!--code1-->
<!--ecode1-->hostname 2621
!
interface FastEthernet0/1
ip address 10.10.10.2 255.255.255.0

!--- Посылаем только RIP версии 2.
ip rip send version 2

!--- Принимаем только RIP версии 2.
ip rip receive version 2
!
!--- Включаем RIP версии 2.
router rip
  version 2
  network 10.0.0.0
  no auto-summary
! <!--code2-->
<!--ecode2-->

Конфигурация PIX

Нет необходимости конфигурировать ACL для того, чтобы разрешить трафик, т.к. соединение инициируется от PIX 506, а не от VPN концентратора. По умолчанию трафик разрешен от inside в outside.

<!--code1-->
<!--ecode1-->PIX Version 6.2

!--- На PIX 501/506, это конфигурация по умолчанию
nameif ethernet0 outside security0

nameif ethernet1 inside security100

hostname 506

!--- Вам нужно вручну указать скорость и дуплекс на интерфейсах, в случае когда присоединенное устройство не поддерживает авто-согласование
interface ethernet0 auto
interface ethernet1 auto

ip address outside 172.21.48.22 255.255.255.224
ip address inside 172.16.1.1 255.255.255.0

route outside 0.0.0.0 0.0.0.0 172.21.48.25 1
no sysopt route dnat

!--- Определяем пул для DHCP сервера.
dhcpd address 172.16.1.10-172.16.1.20 inside

!--- Это необязательно.
dhcpd lease 3600

!--- Это необязательно.
dhcpd ping_timeout 750

dhcpd domain cisco.com

!--- Вам нужно включить DHCP на внутреннем интерфейсе.
dhcpd enable inside

!--- Имя группы и пароль должны соответствовать тем, что определены на VPN концентраторе
vpnclient vpngroup beta password ********

!--- Имя пользователя и пароль должны соответствовать тем, что определены на VPN концентраторе
vpnclient username cisco password ********

!--- Указываем  IP адрес VPN концентратора.
vpnclient server 172.21.48.25

!--- Используем NEM.
vpnclient mode network-extension-mode

vpnclient enable




Комментарии

 Ваш комментарий к данному материалу будет интересен нам и нашим читателям!



Последние статьи: Web - технологии / Сети /

Будущие интернет-каналы могут быть созданы на основе нанотрубок
30-01-2011   

Американские исследователи из Корнельского университета говорят, что углеродные нанотрубки способны передавать и принимать фотоны света в наномасштабах точно также, как радиостанции работают с радиоволнами.

... подробнее

Кол. просмотров: общее - 6399 сегодня - 0

Ботнет
15-03-2010   

В статье речь пойдет о том, что такое зомби-сети, или ботнеты, как они формируются, кто и как наживается с их помощью, а также о том, каковы тенденции развития ботнетов... подробнее

Кол. просмотров: общее - 5043 сегодня - 1

Как работает NAT
15-03-2010   

Если Вы читаете этот документ, то скорее всего вы подсоединены к Интернету, и используете трансляцию сетевых адресов (Network Address Translation, NAT) прямо сейчас! Интернет стал настолько огромным, чем кто-либо мог себе представить... подробнее

Кол. просмотров: общее - 4709 сегодня - 0

Построение безопасных сетей на основе VPN
15-03-2010   

В современных условиях развития информационных технологий, преимущества создания виртуальных частных сетей неоспоримы. Но прежде чем перечислить наиболее очевидные и полезные способы организации виртуальных частных сетей... подробнее

Кол. просмотров: общее - 4993 сегодня - 1

NAS – сетевая система хранения данных
15-03-2010   

NAS (англ. Network Attached Storage) – сетевая система хранения данных. Сетевые хранилища представляют собой внешние жёсткие диски... подробнее

Кол. просмотров: общее - 4444 сегодня - 0



  WWW.COMPROG.RU - 2009-2012 | Designed and Powered by Zaipov Renat | Projects