logo

Соответствие настроек IPSec туннелей для роутеров iRZ и Cisco

Эта статья содержит вспомогательную информацию для настройки туннелей IPSec между оборудованием Cisco и iRZ. В ней сопоставлены наименования полей в веб-интерфейсе роутеров iRZ (VPN / Tunnels - IPSec Tunnels) и в конфигурационных файлах Cisco.

Со стороны iRZ

Сопоставление настроек с точки зрения роутеров iRZ. Представлено следующим образом:

Настройки iRZ => Синтаксис Cisco

Source address

Физический интерфейс, через который будет строиться туннель (на стороне роутера iRZ).

Source Address       =>   interface Ethernet0/0
                          ip address 172.16.10.1 255.255.255.

Remote Address

Удалённый пир, с которым строится IPSec туннель.

Remote Address       =>   crypto map cmap 10 ipsec-isakmp
                          set peer 172.16.10.2

Local Identifier

Как локальный участник должен быть идентифицирован для аутентификации.

Local Identifier       =>   crypto ikev2 profile ikev2profile
                            identity local fqdn router1@example.com

Remote Identifier

Как удаленный участник должен быть идентифицирован для аутентификации.

Remote Identifier       =>  crypto ikev2 profile ikev2profile
                            identity local fqdn left@example.com

Key Exchange Mode

Способ обмена ключами; какой протокол следует использовать для инициализации соединения. В примере разбирается IKEv2.

DPD Delay

Интервал в секундах, через который будет определяться доступность узла на противоположном конце туннеля

DPD Delay       =>  crypto ikev2 profile ikev2profile
                    dpd 30 6 periodic

Local Subnets

Список адресов сетей с локальной стороны, между которыми устанавливается туннель (записываются в формате CIDR).

Local Subnets     => ip access-list extended cryptoacl
                     permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

Remote Subnets

Список адресов сетей с удаленной стороны, между которыми устанавливается туннель (записываются в формате CIDR).

Remote Subnets       =>  ip access-list extended cryptoacl
                         permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

Параметры Phase #1

IKE Encryption Выбор алгоритма шифрования: AES 128, AES 192, AES 256, 3DES.

IKE Hash Выбор алгоритма для проверки целостности данных: SHA-1, SHA-256, SHA512, SHA-384, MD5.

DH Group Выбор криптографического алгоритма, который позволяет двум точкам обмениваться ключами через незащищенный канал. Числа – обозначают сложность ключа, чем выше, тем надежнее ключ.

Lifetime Время жизни ключа в секундах, создаваемого на этапе фазы 1. Рекомендуется устанавливать значение минимум в два раза больше, чем у фазы 2 (например 86400 секунд, что соответствует 24 часам).

                                  crypto ikev2 proposal ikev2proposal
Phase #1 IKE Encryption       =>  encryption aes-cbc-128
Phase #1 IKE HASH             =>  integrity sha1
Phase #1 DH Group             =>  group 5

                                  crypto isakmp policy 1
Phase #1 Lifetime             =>  lifetime 28800

Параметры Phase #2

IKE Encryption Выбор алгоритма шифрования: AES 128, AES 192, AES 256, 3DES.

IKE Hash Выбор алгоритма для проверки целостности данных: SHA-1, SHA-256, SHA512, SHA-384, MD5.

Lifetime Время жизни ключа в секундах, создаваемого на этапе фазы 2. Рекомендуется устанавливать значение меньше, чем у фазы 1 (например 3600 секунд, что соответствует 1 часу).

Phase #2 ESP Encryption, ESP Hash   =>  crypto ipsec transform-set TS esp-aes esp-sha-hmac
                                        crypto map cmap 10 ipsec-isakmp
Phase #2 Lifetime                   =>  set security-association lifetime seconds 3600

Authentication Methods

Pre-Shared Key (psk) – по общему ключу, pubkey – по сертификату и ключу RSA

Pre-Shared Key

Общий ключ, который ранее был передан между двумя сторонами

                                crypto ikev2 keyring keys
                                peer strongswan
                                address 172.16.10.2
Pre-Shared Key              =>  pre-shared-key local cisco
Pre-Shared Key              =>  pre-shared-key remote cisco

PUBKEY

Для того чтобы использовать открытый ключ, требуется предварительно его сгенерировать.

                                crypto ikev2 profile ikev2profile
Remote Identifier            => match identity remote fqdn right@example.com
Authentication Method        => authentication local rsa-sig
Authentication Method        =>  authentication remote rsa-sig
Local Identifier             =>  identity local fqdn left@example.com

Со стороны Cisco

Сопоставление настроек с точки зрения роутеров Cisco. Представлено следующим образом:

Синтаксис Cisco => Настройки iRZ

Параметры Phase #1

crypto ikev2 proposal ikev2proposal
 encryption aes-cbc-128                         => Phase #1 IKE Encryption
 integrity sha1                                 => Phase #1 IKE HASH
 group 5                                        => Phase #1 DH Group

Способ обмена ключами

Какой протокол следует использовать для инициализации соединения (в примере IKEv2)

crypto ikev2 policy ikev2policy
 match fvrf any
 proposal ikev2proposal

crypto ikev2 keyring keys
 peer strongswan
  address 172.16.10.2                           => Remote Address
  pre-shared-key local cisco                    => Pre-Shared Key (Authentication Method = "psk")
  pre-shared-key remote cisco                   => Pre-Shared Key (Authentication Method = "psk")

Аутентификация и DPD

Как окальный и удаленный участник должны быть идентифицированы для аутентификации. Интервал, через который будет определяться доступность узла на противоположном конце туннеля

crypto ikev2 profile ikev2profile
 match identity remote address 172.16.10.2 255.255.255.255  => Remote Identifier
 match identity remote fqdn right@example.com               => Remote Identifier
 authentication local pre-share                             => Authentication Method = "psk"
 authentication remote pre-share                            => Authentication Method = "psk"
 authentication local rsa-sig                               => Authentication Method = "pubkey"
 authentication remote rsa-sig                              => Authentication Method = "pubkey"
 dpd 30 6 periodic                                          => DPD Delay
 identity local fqdn left@example.com                       => Local Identifier
 keyring local keys

Параметры Phase #2

crypto ipsec transform-set TS esp-aes esp-sha-hmac       => Phase #2 ESP Encryption, ESP Hash
 mode tunnel

crypto map cmap 10 ipsec-isakmp
 set peer 172.16.10.2                                    => Remote Address
 set transform-set TS
 set ikev2-profile ikev2profile
 set security-association lifetime seconds 3600          => Phase #2 Lifetime
 match address cryptoacl

Интерфейсы, через который будет строиться туннель

interface Ethernet0/1
 ip address 192.168.1.1 255.255.255.0

interface Ethernet0/0
 ip address 172.16.10.1 255.255.255.0
 crypto map cmap

Local Subnets , Remote Subnets

Диапазон адресов с локальной и удаленной стороны, между которыми строится туннель

ip access-list extended cryptoacl
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255      => Local Subnets, Remote Subnets