Соответствие настроек IPSec туннелей для роутеров iRZ и Cisco
Эта статья содержит вспомогательную информацию для настройки туннелей IPSec между оборудованием Cisco и iRZ. В ней сопоставлены наименования полей в веб-интерфейсе роутеров iRZ (VPN / Tunnels - IPSec Tunnels) и в конфигурационных файлах Cisco.
Со стороны iRZ
Сопоставление настроек с точки зрения роутеров iRZ. Представлено следующим образом:
Настройки iRZ => Синтаксис Cisco
Source address
Физический интерфейс, через который будет строиться туннель (на стороне роутера iRZ).
Source Address => interface Ethernet0/0
ip address 172.16.10.1 255.255.255.Remote Address
Удалённый пир, с которым строится IPSec туннель.
Remote Address => crypto map cmap 10 ipsec-isakmp
set peer 172.16.10.2Local Identifier
Как локальный участник должен быть идентифицирован для аутентификации.
Local Identifier => crypto ikev2 profile ikev2profile
identity local fqdn router1@example.comRemote Identifier
Как удаленный участник должен быть идентифицирован для аутентификации.
Remote Identifier => crypto ikev2 profile ikev2profile
identity local fqdn left@example.comKey Exchange Mode
Способ обмена ключами; какой протокол следует использовать для инициализации соединения. В примере разбирается IKEv2.
DPD Delay
Интервал в секундах, через который будет определяться доступность узла на противоположном конце туннеля
DPD Delay => crypto ikev2 profile ikev2profile
dpd 30 6 periodicLocal Subnets
Список адресов сетей с локальной стороны, между которыми устанавливается туннель (записываются в формате CIDR).
Local Subnets => ip access-list extended cryptoacl
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255Remote Subnets
Список адресов сетей с удаленной стороны, между которыми устанавливается туннель (записываются в формате CIDR).
Remote Subnets => ip access-list extended cryptoacl
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255Параметры Phase #1
IKE Encryption Выбор алгоритма шифрования: AES 128, AES 192, AES 256, 3DES.
IKE Hash Выбор алгоритма для проверки целостности данных: SHA-1, SHA-256, SHA512, SHA-384, MD5.
DH Group Выбор криптографического алгоритма, который позволяет двум точкам обмениваться ключами через незащищенный канал. Числа – обозначают сложность ключа, чем выше, тем надежнее ключ.
Lifetime Время жизни ключа в секундах, создаваемого на этапе фазы 1. Рекомендуется устанавливать значение минимум в два раза больше, чем у фазы 2 (например 86400 секунд, что соответствует 24 часам).
crypto ikev2 proposal ikev2proposal
Phase #1 IKE Encryption => encryption aes-cbc-128
Phase #1 IKE HASH => integrity sha1
Phase #1 DH Group => group 5
crypto isakmp policy 1
Phase #1 Lifetime => lifetime 28800Параметры Phase #2
IKE Encryption Выбор алгоритма шифрования: AES 128, AES 192, AES 256, 3DES.
IKE Hash Выбор алгоритма для проверки целостности данных: SHA-1, SHA-256, SHA512, SHA-384, MD5.
Lifetime Время жизни ключа в секундах, создаваемого на этапе фазы 2. Рекомендуется устанавливать значение меньше, чем у фазы 1 (например 3600 секунд, что соответствует 1 часу).
Phase #2 ESP Encryption, ESP Hash => crypto ipsec transform-set TS esp-aes esp-sha-hmac
crypto map cmap 10 ipsec-isakmp
Phase #2 Lifetime => set security-association lifetime seconds 3600Authentication Methods
Pre-Shared Key (psk) – по общему ключу, pubkey – по сертификату и ключу RSA
Pre-Shared Key
Общий ключ, который ранее был передан между двумя сторонами
crypto ikev2 keyring keys
peer strongswan
address 172.16.10.2
Pre-Shared Key => pre-shared-key local cisco
Pre-Shared Key => pre-shared-key remote ciscoPUBKEY
Для того чтобы использовать открытый ключ, требуется предварительно его сгенерировать.
crypto ikev2 profile ikev2profile Remote Identifier => match identity remote fqdn right@example.com Authentication Method => authentication local rsa-sig Authentication Method => authentication remote rsa-sig Local Identifier => identity local fqdn left@example.com
Со стороны Cisco
Сопоставление настроек с точки зрения роутеров Cisco. Представлено следующим образом:
Синтаксис Cisco => Настройки iRZ
Параметры Phase #1
crypto ikev2 proposal ikev2proposal encryption aes-cbc-128 => Phase #1 IKE Encryption integrity sha1 => Phase #1 IKE HASH group 5 => Phase #1 DH Group
Способ обмена ключами
Какой протокол следует использовать для инициализации соединения (в примере IKEv2)
crypto ikev2 policy ikev2policy match fvrf any proposal ikev2proposal crypto ikev2 keyring keys peer strongswan address 172.16.10.2 => Remote Address pre-shared-key local cisco => Pre-Shared Key (Authentication Method = "psk") pre-shared-key remote cisco => Pre-Shared Key (Authentication Method = "psk")
Аутентификация и DPD
Как окальный и удаленный участник должны быть идентифицированы для аутентификации. Интервал, через который будет определяться доступность узла на противоположном конце туннеля
crypto ikev2 profile ikev2profile match identity remote address 172.16.10.2 255.255.255.255 => Remote Identifier match identity remote fqdn right@example.com => Remote Identifier authentication local pre-share => Authentication Method = "psk" authentication remote pre-share => Authentication Method = "psk" authentication local rsa-sig => Authentication Method = "pubkey" authentication remote rsa-sig => Authentication Method = "pubkey" dpd 30 6 periodic => DPD Delay identity local fqdn left@example.com => Local Identifier keyring local keys
Параметры Phase #2
crypto ipsec transform-set TS esp-aes esp-sha-hmac => Phase #2 ESP Encryption, ESP Hash mode tunnel crypto map cmap 10 ipsec-isakmp set peer 172.16.10.2 => Remote Address set transform-set TS set ikev2-profile ikev2profile set security-association lifetime seconds 3600 => Phase #2 Lifetime match address cryptoacl
Интерфейсы, через который будет строиться туннель
interface Ethernet0/1 ip address 192.168.1.1 255.255.255.0 interface Ethernet0/0 ip address 172.16.10.1 255.255.255.0 crypto map cmap
Local Subnets , Remote Subnets
Диапазон адресов с локальной и удаленной стороны, между которыми строится туннель
ip access-list extended cryptoacl permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 => Local Subnets , Remote Subnets
Сервис поддержки клиентов работает на платформе UserEcho
