Безопасность и VPN : Протоколы IPSec Negotiation/IKE

Шифровка трафика по DLSw-соединению между маршрутизаторами

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

В примере конфигурации в этом документе существует два маршрутизатора с коммутацией соединения передачи данных (DLSw) узлы, установленные между их интерфейсами обратной связи. Весь трафик DLSw зашифрован между ними. Эта конфигурация работает для любого самогенерируемого трафика передачи маршрутизатора.

В этой конфигурации крипто-access-list общего назначения. Пользователь может быть более определенным и позволить трафик DLSw между этими двумя адресами обратной связи. В целом только трафик DLSw перемещается от интерфейса обратной связи до интерфейса обратной связи.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

При разработке и тестировании этой конфигурации использовались следующие версии программного и аппаратного обеспечения:

  • Cisco Выпуск ПО IOS� 12.0. Эта конфигурация была протестирована с 12.28T.

  • Cisco 2500-is56i-l.120-7. T

  • Cisco 2513

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Схема сети

В настоящем документе используется следующая схема сети:

/image/gif/paws/14128/dlsw.gif

Конфигурации

Эти конфигурации используются в данном документе:

  • Маршрутизатор А

  • Маршрутизатор В

Маршрутизатор А
Current configuration:
 !
 version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname RouterA
 !
 enable secret 5 $1$7WP3$aEqtNjvRJ9Vy6i41x0RJf0
 enable password ww
 !
 ip subnet-zero
 !
 cns event-service server
 
 source-bridge ring-group 20
 dlsw local-peer peer-id 1.1.1.1
 dlsw remote-peer 0 tcp 2.2.2.2
 !
 crypto isakmp policy 1
  hash md5
  authentication pre-share
 crypto isakmp key cisco123 address 99.99.99.2
 !
 crypto ipsec transform-set dlswset esp-des esp-md5-hmac 
 !
 crypto map dlswstuff 10 ipsec-isakmp
  set peer 99.99.99.2
  set transform-set dlswset 
  match address 101
 !
 !
 interface Loopback0
  ip address 1.1.1.1 255.255.255.0
  no ip directed-broadcast
 !
 interface TokenRing0
  ip address 10.2.2.3 255.255.255.0
  ring-speed 16
  source-bridge 2 3 20
  source-bridge spanning
  no ip directed-broadcast
  no mop enabled
 !
 interface Serial0
  ip address 99.99.99.1 255.255.255.0
  no ip directed-broadcast
  crypto map dlswstuff
 !
 ip classless
 ip route 0.0.0.0 0.0.0.0 99.99.99.2
 no ip http server
 !
 access-list 101 permit ip host 1.1.1.1 host 2.2.2.2
 !
 line con 0
  transport input none
 line aux 0
 line vty 0 4
  password ww
  login
 !
 end

Маршрутизатор В
Current configuration:
 !
 version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname RouterB
 !
 enable secret 5 $1$7WP3$aEqtNjvRJ9Vy6i41x0RJf0
 enable password ww
 !
 ip subnet-zero
 !
 cns event-service server
 
 source-bridge ring-group 10
 dlsw local-peer peer-id 2.2.2.2
 dlsw remote-peer 0 tcp 1.1.1.1
 !
 crypto isakmp policy 1
  hash md5
  authentication pre-share
 crypto isakmp key cisco123 address 99.99.99.1
 !
 crypto ipsec transform-set dlswset esp-des esp-md5-hmac 
 !
 crypto map dlswstuff 10 ipsec-isakmp
  set peer 99.99.99.1
  set transform-set dlswset 
  match address 101
 !
 !
 interface Loopback0
  ip address 2.2.2.2 255.255.255.0
  no ip directed-broadcast
 !
 interface TokenRing0
  ip address 10.1.1.3 255.255.255.0
  ring-speed 16
  source-bridge 2 3 10
  source-bridge spanning
  no ip directed-broadcast
  no mop enabled
 !
 interface Serial0
  ip address 99.99.99.2 255.255.255.0
  no ip directed-broadcast
  crypto map dlswstuff
 !
 ip classless
 ip route 0.0.0.0 0.0.0.0 99.99.99.1
 no ip http server
 !
 access-list 101 permit ip host 2.2.2.2 host 1.1.1.1
 !
 line con 0
  transport input none
 line aux 0
 line vty 0 4
  password ww
  login
 !
 end

Проверка

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Используйте этот раздел для устранения неполадок своей конфигурации.

команды "debug" и "show"

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Примечание: Обратитесь к документу Важная информация о командах отладки, прежде чем использовать команды debug.

  • debug crypto ipsec Эта команда отображает Протокол IP-безопасности (IPSec) согласования Фазы 2.

  • debug crypto isakmp Эта команда отображает согласования Протокола ISAKMP Фазы 1.

  • debug crypto engine Эта команда отображает трафик, который зашифрован.

  • show crypto ipsec sa Это отображает сопоставления безопасности Фазы 2.

  • show crypto isakmp sa Эта команда отображает сопоставления безопасности Фазы 1.

  • show dlsw peer Эта команда отображает состояние однорангового узла DLSw и статус подключения.


Дополнительные сведения


Document ID: 14128