Технологии управления сетью

Эта статья рассказывает, как настроить Pix Firewall с последующей привязкой к IPSec.

Примечание: В PIX версии 7.2 и выше, intra-interface является ключевым словом, который позволяет пропускать и выпускать весь трафик на том же самом интерфейсе, а не только IPSEC трафик.

Необходимые требования:
До того, как Вы попытаетесь использовать эту конфигурацию, убедитесь, что Вами соблюдены все требования для установки:

• Cisco VPN Client версии 4.х
• The hub PIX Security устройство нуждается в версии 7.0.1 или выше.

Компонентное использование:
Информация в данном документе основывается на PIX или ASA security устройствах версии 7.0.1. Все устройства, используемые в статье, взяты с заводской конфигурацией.

Соглашение:
Более подробную информацию можно посмотреть здесь: http://www.cisco.com/en/US/tech/tk801/tk36/technologies_tech_note09186a0080121ac5.shtml

Сетевая диаграмма

Конфигурация:

В этой статье используются следующие конфигурации:

• PIX/ASA
• VPN Client

PIX/ASA

PIX Version 7.0(1)
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 172.18.124.98 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet5
shutdown
no nameif
no security-level
no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname W2N-5.6-PIX515-A
ftp mode passive

!— Command that permits IPsec traffic to enter and exit the same interface.

same-security-traffic permit intra-interface
access-list 100 extended permit icmp any any echo-reply
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500

!— The address pool for the VPN Clients.

ip local pool vpnpool 192.168.10.1-192.168.10.254

no failover
monitor-interface outside
monitor-interface inside
icmp permit any outside
no asdm history enable
arp timeout 14400
nat-control

!— The global address for Internet access used by VPN Clients.
!— Note: Uses an RFC 1918 range for lab setup.
!— Apply an address from your public range provided by your ISP.

global (outside) 1 172.18.124.166

!— The NAT statement to define what to encrypt (the addresses from the vpn-pool).

nat (outside) 1 192.168.10.0 255.255.255.0

nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 10.10.10.2 10.10.10.2 netmask 255.255.255.255
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute

!— The configuration of group-policy for VPN Clients.

group-policy clientgroup internal
group-policy clientgroup attributes
vpn-idle-timeout 20

!— Forces VPN Clients over the tunnel for Internet access.

split-tunnel-policy tunnelall

no snmp-server location
no snmp-server contact
snmp-server enable traps snmp

!— Configuration of IPsec Phase 2.

crypto ipsec transform-set myset esp-3des esp-sha-hmac

!— Crypto map configuration for VPN Clients that connect to this PIX.

crypto dynamic-map rtpdynmap 20 set transform-set myset

!— Binds the dynamic map to the crypto map process.

crypto map mymap 20 ipsec-isakmp dynamic rtpdynmap

!— Crypto map applied to the outside interface.

crypto map mymap interface outside

!— Enable ISAKMP on the outside interface.

isakmp identity address
isakmp enable outside

!— Configuration of ISAKMP policy.

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0

!— Configuration of tunnel-group with group information for VPN Clients.

tunnel-group rtptacvpn type ipsec-ra

!— Configuration of group parameters for the VPN Clients.

tunnel-group rtptacvpn general-attributes
address-pool vpnpool

!— Disable user authentication.

authentication-server-group none
authorization-server-group LOCAL

!— Bind group-policy parameters to the tunnel-group for VPN Clients.

default-group-policy clientgroup
tunnel-group rtptacvpn ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:1a1ad58226e700404e1053159f0c5fb0
: end

Примечание 1:
Команда sysopt connection permit-ipsec нуждается в настройке.
Команда show running-config sysopt проверяет была ли она сконфигурирована.

Примечание 2:
Добавьте следующий листинг для опциональной настройки UDP транспорта.

group-policy clientgroup attributes
vpn-idle-timeout 20
ipsec-udp enable
ipsec-udp-port 10000
split-tunnel-policy tunnelspecified
split-tunnel-network-list value splittunnel

Примечание 3: Настройка следующей команды глобальной конфигурации
PIX устройства предоставляет возможность VPN клиентам устанавливать соединения IPsec поверх TCP:

isakmp ipsec-over-tcp port 10000

VPN Client
Следующие шаги помогут Вам сконфигурировать VPN Client:

1) Выберите Connection Entries > New.

2) Введите PIX и групповую информацию.

3) (Необязательно) Нажмите Enable Transparent Tunneling под закладкой “Транспорт”.

4) Сохраните профиль.

Проверка конфигурации:

• show crypto isakmp sa – Отображает все текущие IKE ассоциации безопасности для соединения.
• show crypto ipsec sa – Отображает все текущие SAs. Просматривает шифрованные и дешифрованные пакеты в SA, которые определены в трафике VPN клиента.

Попытайтесь выполнить команду пинг, какого-нибудь внешнего IP-адреса от клиента.
Например, www.cisco.com.

Примечание:
Внутренний интерфейс PIX не может быть проверян командой пинг внутри тунеля пока не выполнена команда management-access в режиме глобальной конфигурации.

PIX1(config)#management-access inside
PIX1(config)#show management-access
management-access inside

Проверка работоспособности VPN клиента:

Следующие шаги позволят проверить правильность настройки:

1) Нажмите правой кнопкой мыши по значку VPN клиента, находящегося в правом нижнем углу и выбирите меню statistics для проверки шифрования и дешифрования.

2) Выберите Route detail в меню, который проверяет правильность прохождения пакетов по тунелю.

искатьНастройка VPN-клиента для использования на сайте

автор: Gozar

IP-телефония (VoIP) — система связи, при которой аналоговый звуковой сигнал от одного абонента дискретизируется (кодируется в цифровой) вид, компрессируется и пересылается по цифровым каналам связи до второго абонента, где производится обратная операция — декомпрессия, декодирование и воспроизведение аналогового сигнала.

В данной статье будет рассмотрено как сконфигурировать голосовые сетевые модули (voice network modules) интерфейсов ваших маршрутизаторов на приём и передачу (E&M), обмен между офисами (foreign exchange office – FXO), и обмен между станциями (FXS). Голосовые сетевые модули конвертируют телефонные голосовые сигналы, которые трансформируются через IP сеть.

Введение:

I. Обзор VoIP.
II. Примеры конфигурации Voice Over IP.

I. Обзор VoIP

Для того, чтобы использовать VoIP Вам потребуется:

а) Голосовой сетевой модуль;
б) Голосовой интерфейс для соединений.

Вы можете инсталировать один голосовой интерфейс в двухканальный голосовой сетевой модуль и два голосовых инерфейса в четырёхканальный модуль. Также необходим как минимум один иной или WAN интерфейс для работы VoIP через сеть.

Передача голоса поверх IP позволяет вашему маршрутизатору пропускать VoIP трафик через IP сеть. VoIP предлагает следующие преимущества:

1) Пропускать звонки;
2) Удалённая PBX оснастка через WANs (внешние сети);
3) Обьединённое голос/данные групообразование;
4) Обычная телефонная сеть(простая старая телефонная система – POST) – Телефонные интернет шлюзы.

II. Примеры конфигурации Voice Over IP

1) FXS-to-FXS соединение используя RSVP;
2) Связь пользователей PBX с E&M каналом связи;
3) FXO шлюз через PSTN;
4) FXO шлюз через PSTN (PLAR MODE).

FXS-to-FXS соединение используя RSVP

В качестве примера рассмотрим маленькую компанию, состоящую их двух офисов.
Основное телефонное устройство подключенно к маршрутизатору RLB-1, поэтому маршрутизатор может быть сконфигурирован для одной POST станции и одной VoIP точки. Маршрутизаторы RLB-w и RLB-e установлены через WAN соединение между двумя офисами. Так как POST телефонное устройство подключается к маршрутизатору RLB-2 оно так же будет сконфигурировано для одной POST и VoIP точки.

Configuration for Router RLB-1

hostname RLB-1

! Create voip dial-peer 2
dial-peer voice 2 voip

! Define its associated telephone number and IP address
destination-pattern 14155553001
sess-target ipv4:40.0.0.1

! Request RSVP
req-qos controlled-load

! Create pots dial-peer 1
dial-peer voice 1 pots

! Define its associated telephone number and voice port
destination-pattern 14085554001
port 0/0

! Configure serial interface 0
interface Serial0
ip address 10.0.0.1 255.0.0.0
no ip mroute-cache

! Configure RTP header compression
ip rtp header-compression
ip rtp compression-connections 25

! Enable RSVP on this interface
ip rsvp bandwidth 48 48
fair-queue 64 256 36
clockrate 64000

router igrp 888
network 10.0.0.0
network 20.0.0.0
network 40.0.0.0

Configuration for Router RLB-w

hostname RLB-w

! Configure serial interface 0
interface Serial0
ip address 10.0.0.2 255.0.0.0

! Configure RTP header compression
ip rtp header-compression
ip rtp compression-connections 25

! Enable RSVP on this interface
ip rsvp bandwidth 96 96
fair-queue 64 256 3

! Configure serial interface 1
interface Serial1
ip address 20.0.0.1 255.0.0.0

! Configure RTP header compression
ip rtp header-compression
ip rtp compression-connections 25

! Enable RSVP on this interface
ip rsvp bandwidth 96 96
fair-queue 64 256 3

! Configure IGRP
router igrp 888
network 10.0.0.0
network 20.0.0.0
network 40.0.0.0

Configuration for Router RLB-e

hostname RLB-e

! Configure serial interface 0
interface Serial0
ip address 40.0.0.2 255.0.0.0

! Configure RTP header compression
ip rtp header-compression
ip rtp compression-connections 25

! Enable RSVP on this interface
ip rsvp bandwidth 96 96
fair-queue 64 256 3

! Configure serial interface 1
interface Serial1
ip address 20.0.0.2 255.0.0.0

! Configure RTP header compression
ip rtp header-compression
ip rtp compression-connections 25

! Enable RSVP on this interface
ip rsvp bandwidth 96 96
fair-queue 64 256 3
clockrate 128000

! Configure IGRP
router igrp 888
network 10.0.0.0
network 20.0.0.0
network 40.0.0.0

Configuration for Router RLB-2

hostname RLB-2

! Create pots dial-peer 2
dial-peer voice 2 pots

! Define its associated telephone number and voice-port
destination-pattern 14155553001
port 0/0

! Create voip dial-peer 1
dial-peer voice 1 voip

!Define its associated telephone number and IP address
destination-pattern 14085554001
sess-target ipv4:10.0.0.1

! Configure serial interface 0
interface Serial0
ip address 40.0.0.1 255.0.0.0
no ip mroute-cache

! Configure RTP header compression
ip rtp header-compression
ip rtp compression-connections 25

! Enable RSVP on this interface
ip rsvp bandwidth 96 96
fair-queue 64 256 3
clockrate 64000

! Configure IGRP
router igrp 888
network 10.0.0.0
network 20.0.0.0
network 40.0.0.0

Связь пользователей PBX с E&M каналом связи

Данный пример рассматривает, как сконфигурировать VoIP канал PBX c E&M линией связи.

Компании необходимо подключить два офиса:
первый в S.T(California) и второй в S.L.(CUtah). Каждый офис имеет в наличии внутреннюю телефонную сеть, используя PBX, соединяющую голосовую сеть через E&M интерфейс. Оба офиса используют E&M порт типа II. Каждый E&M интерфейс соединённый с маршрутизатором, использует два голосовых соединительных интерфейса. Пользователи California набирая 801-555, связываются дистанционно с пользователями второго офиса. И наоборот, пользователи CUtah набирая 408-555, связываются с первым офисом:

Router SJ Configuration

hostname router SJ

!Configure pots dial-peer 1
dial-peer voice 1 pots
destination-pattern 1408555….
port 0/0

!Configure pots dial-peer 2
dial-peer voice 2 pots
destination-pattern 1408555….
port 0/1

!Configure voip dial-peer 3
dial-peer voice 3 voip
destination-pattern 1801555….
session target ipv4:172.16.65.182
ip precedence 5

!Configure the E&M interface
voice-port 0/0
signal immediate
operation 4-wire
type 2

voice-port 0/1
signal immediate
operation 4-wire
type 2

!Configure the serial interface 0
interface serial0
ip address 172.16.1.123
no shutdown

Router SLC Configuration

hostname router SLC

!Configure pots dial-peer 3
dial-peer voice 3 pots
destination-pattern 1801555….
port 0/0

!Configure pots dial-peer 4
dial-peer voice 4 pots
destination-pattern 1801555….
port 0/1

!Configure voip dial-peer 1
dial-peer voice 1 voip
destination-pattern 1408555….
session target ipv4:172.16.1.123
ip precedence 5

!Configure the E&M interface
voice-port 0/0
signal immediate
operation 4-wire
type 2

voice-port 0/1
signal immediate
operation 4-wire
type 2

!Configure the serial interface 0
interface serial0
ip address 172.16.65.182
no shutdown

FXO шлюз через PSTN

Следующий пример показывает, как сконфигурировать VoIP канал через PSTN шлюз, используя FXO соединение.

Пользователи S.J. соединяются с маршрутизатором S.J, а пользователи S.L.C c маршрутизатором SLC. Маршрутизатор SLC соединяет напрямую по PSTN через FXO интерфейс:

Router SJ Configuration

hostname router SJ

! Configure pots dial-peer 1
dial-peer voice 1 pots
destination-pattern 14085554000
port 0/0

! Configure voip dial-peer 2
dial-peer voice 2 voip
destination-pattern 1801…….
session target ipv4:172.16.65.182
ip precedence 5

! Configure serial interface 0
interface serial0
clock rate 2000000
ip address 172.16.1.123
no shutdown

Router SLC Configuration

hostname router SLC

! Configure pots dial-peer 1
dial-peer voice 1 pots
destination-pattern 1801…….
port 0/0

! Configure voip dial-peer 2
dial-peer voice 2 voip
destination-pattern 14085554000
session target ipv4:172.16.1.123
ip precedence 5

! Configure serial interface 0
interface serial0
ip address 172.16.65.182
no shutdown

FXO шлюз через PSTN (PLAR MODE)

Следующий пример показывает, как сконфигурировать VoIP канал через PSTN шлюз, используя FXO соединение. (PLAR модель)

Router SJ Configuration

hostname router SJ

! Configure pots dial-peer 1
dial-peer voice 1 pots
destination-pattern 14085554000
port 0/0

! Configure voip dial-peer 2
dial-peer voice 2 voip
destination-pattern 1801…….
session target ipv4:172.16.65.182
ip precedence 5

! Configure the serial interface 0
interface serial0
clock rate 2000000
ip address 172.16.1.123
no shutdown

Router SLC Configuration

hostname router SLC

! Configure pots dial-peer 1
dial-peer voice 1 pots
destination-pattern 1801…….
port 0/0

! Configure voip dial-peer 2
dial-peer voice 2 voip
destination-pattern 14085554000
session target ipv4:172.16.1.123
ip precedence 5

! Configure the voice port
voice port 0/0
connection plar 14085554000

! Configure the serial interface 0
interface serial0
ip address 172.16.65.182
no shutdown

искатьНастройка VoIP на CISCO на сайте

автор: Gozar

В данной статье рассматривается настройка ip адресации Cisco роутеров.

Базовой и требуемой задачей для конфигурации ip необходимо асcоциировать ip адрес с сетевым интерфейсом. Задействуйте необходимые интерфейсы и разрешите коммуникацию с хостами, которые подключены к задействованому интерфесу. Также необходимо указать маску подсети для настраиваемого ip адреса.

Для настройки ip адресации нужно выполнить следующие шаги:

1) Ассоциация ip адреса с сетевым интерфейсом (обязательно)

2) Включение ip routing (опционально)

3) Включение IP Bridging (опционально)

4) Включение интегрированного Routing и Bridging (опционально)

5) Настройка процесса роутинга (опционально)

6) Настройка обработки пакетов broadcast (опционально)

7) Мониторинг и поддержка ip адресации (опционально)

Ассоциация ip адреса с сетевым интерфейсом

Существует ряд ip адресов, которые зарезервированы для специальных целей и не могут быть использованы для «внешних» хостов, подсетей или сетевых адресов.
Официальное описание этих адресов могут быть найдены в документе RFC 1166.

Для настройки ip адреса на нужном интерфейсе выполните следующие команды:

Router#conf t
Router(config)#conf int et 0
Router(config-if)# ip address ip-address mask
Пример:
Router(config-if)#ip address 192.5.10.1 255.255.255.0

Настройка нескольких ip адресов на одном сетевом интерфейсе:

Проделайте все шаги из преведущего примера, только вместо последней команды выполните:

Router(config-if)# ip address ip-address mask secondary

Использование Subnet Zero:

Согласно документам RFC 791 нулевой адрес подсети определять не рекомендуется. И всё же, введя в ваших маршрутизаторах команду ip subnet-zero, вы сможете присвоить хостам в подсети 0 адреса от 1 до 127 (имеются в виду маски подсетей для сетей класса С), а в подсети 128 – адреса от 129 до 254. Такой подход позволяет несколько расширить число допустимых адресов. Если следовать RFC, вы сможете воспользоваться в лучшем случае только маской подсети 192 (двухбитовые адреса подсетей). Т.е маски 255.255.255.0 и 255.255.255.128 будут вам недоступны.

Осторожно!
Использование нулевого адреса подсети увеличивает число возможных подсетей на 1. Однако этот адрес не следйует применять, если не всё программное обеспечение допускает такое расширение.

Отключение классов поведения маршрутизации:

По умочанию classless routing behavior включены. Когда эта опция активирована, то маршрутизатор передаёт пакеты по «лучшему» маршруту на его усмотрение с учётом того, что нет маршрута по умолчанию.
Если деативизировать classless routing при отсутствии «основного» маршрута, то пакеты будут отброшены.

Выключить эту функцию можно командой:
Router(config)# no ip classless

Включение IP ROUTING:

Данная опция задействована по умолчанию. Если Вы используете bridge, то ip routing необходимо выключить.

Для включения ip routing выполните следующую команду:
Router(config)# ip routing

Для отключения соответственно:
Router(config)#no ip routing

Шлюз по умолчанию:
Для того, чтобы Ваш маршрутизатор «знал» куда отправить пакеты не из своей подсети нужно задать гейт, через который «не известные» пакеты будут идти. Делается это командой:
Router(config)# ip default-gateway ip-address

Включение IP BRIDGING:

Включить его можно следующим образом:

1) Отключите ip routing
Router(config)# no ip routing

2) Настройте интерфейс, на котором будет работать bridge
Router(config)# interface type number

3) Создайте группу для bridge
Router(config-if)# bridge-group group

Настройка обработки пакетов broadcast:

По умолчанию броадкаст пакеты не маршрутизируются. Это предотвращает расход трафика в Вашей сети. Если есть необходимость включения маршрутизации броадкаст пакетов, наберите команду:
Router(config-if)# ip directed-broadcast [access-list-number]

искатьадресация Cisco роутеров на сайте

автор: Gozar