Установка и настройка защищённого соединения и динамической маршрутизации в ОС Linux

  1. Между маршрутизаторами RTR-HQ и RTR-BR сконфигурируйте защищенное соединение
  2. Используйте парольную аутентификацию
  3. Будет выполняться настройка GRE-туннеля с последующим шифрованием, через IPSec:

Для RTR-HQ и RTR-BR

Будем использовать зоны безопасности:

  • trusted -для LAN ( для внутренних сетей) gi1/0/3 (на SW-HQ)
  • untrusted – для WAN (для сетей внешних) gi1/0/4 (на ISP)

  • Создаем зоны безопасности (RTR-HQ и RTR-BR)

security zone trusted

exit

security zone untrusted

exit

interface gi1/0/4

  security-zone untrusted

exit

interface gigabitethernet 1/0/3

  security-zone trusted

exit

do commit

Проверяем командой sh security zone

 Разрешаем ICMP отовсюду:

  • для доступа к маршрутизатору из локальной сети (LAN)

security zone-pair trusted self

  rule 1

    description «ICMP»

    action permit

    match protocol icmp

    enable

  exit

exit

  • для доступа к маршрутизатору из внешней сети сети (WAN)

security zone-pair untrusted self

  rule 1

    description «ICMP»

    action permit

    match protocol icmp

    enable

  exit

exit

  • для проходящего трафика из локальной сети во внешнюю

security zone-pair trusted untrusted

  rule 1

    description «ICMP»

    action permit

    match protocol icmp

    enable

  exit

exit

  • для прохождения трафика с внешней сети в локальную

security zone-pair untrusted trusted

  rule 1

    description «ICMP»

    action permit

    match protocol icmp

    enable

  exit

exit

Создадим туннель GRE 1

tunnel gre 1   ttl 64   security-zone untrusted   local address 192.168.100.2   remote address 192.168.200.2   ip address 4.4.4.1/30   enable exittunnel gre 1   ttl 64   security-zone untrusted   local address 192.168.200.2   remote address 192.168.100.2   ip address 4.4.4.2/30   enable exit  

do commit

do confirm

Разрешаем получение пакетов GRE:

security zone-pair untrusted self

  rule 2

    description «GRE»

    action permit

    match protocol gre

    enable

  exit

exit

do commit

do confirm

Настраиваем динамическую маршрутизацию для связи локальных сетей через туннельный интерфейс:

  • Создадим OSPF-процесс с идентификатором 1 и перейдём в режим конфигурирования протокола OSPF
  • Создадим и включим требуемую область
  • Включим OSPF-процесс

router ospf 1

  area 0.0.0.0

    enable

  exit

  enable

exit

  • Для установления соседства с другими маршрутизаторами привяжем их к OSPF-процессу и области.
  • Далее включим на интерфейсе маршрутизацию по протоколу OSPF:
    • интерфейс gre 1 — для установления соседства
    • интерфейс gi1/0/ 3— для объявления локальных сетей (порт смотрящий в LAN)

interface gigabitethernet 1/0/3

  ip ospf instance 1

  ip ospf

exit

tunnel gre 1

  ip ospf instance 1

  ip ospf

exit

Разрешаем трафик OSPF:

security zone-pair untrusted self

  rule 3

    description «OSPF»

    action permit

    match protocol ospf

    enable

  exit

exit

do commit

do confirm

Проверяем связность с клиентов