4. Порядок выполнения работы

1. Предварительная настройка сетевого оборудования

Соберите сетевую топологию согласно рисунку 5.4.1.

Рисунок 5.4.1. Топология сети

Топология сети состоит из сетевого оборудования центрального офиса (2 ПК, коммутатор (Cisco 2960) и пограничный маршрутизатор (Cisco 2811), используемый для выхода в Интернет и связи с филиалом), филиала (2 ПК, коммутатор (Cisco 2960) и пограничный маршрутизатор (Cisco 2811), используемый для выхода в Интернет и связи с центральным офисом), а также маршрутизатора (Cisco 2811) Интернет провайдера, который симулирует сеть Интернет. Сетевые адреса всех устройств указаны в таблице 5.4.1.

Таблица 5.4.1

Сетевые адреса устройств

Сетевой элемент	Интерфейс	IP-адрес	Маска подсети
PC0	FastEthernet 0	192.168.1.2 (шлюз по умолчанию 192.168.1.1)	255.255.255.0 (24 бита)
PC1	FastEthernet 0	192.168.1.3 (шлюз по умолчанию 192.168.1.1)	255.255.255.0 (24 бита)
PC2	FastEthernet 0	192.168.2.2 (шлюз по умолчанию 192.168.2.1)	255.255.255.0 (24 бита)
PC3	FastEthernet 0	192.168.2.3 (шлюз по умолчанию 192.168.2.1)	255.255.255.0 (24 бита)
Router0 (центральный офис)	FastEthernet 0/0	210.210.1.2	255.255.255.252 (30 бит)
	FastEthernet 0/1	192.168.1.1	255.255.255.0 (24 бита)
Router1 (филиал)	FastEthernet 0/0	210.210.2.2	255.255.255.252 (30 бит)
	FastEthernet 0/1	192.168.2.1	255.255.255.0 (24 бита)
Router2 (Интернет провайдер)	FastEthernet 0/0	210.210.1.1	255.255.255.252 (30 бит)
	FastEthernet 0/1	210.210.2.1	255.255.255.252 (30 бит)

Каждому компьютеру присвойте IP-адрес. Для того чтобы назначить сетевые адреса компьютерам, один раз нажмите левой кнопкой мыши на устройстве и перейдите в закладку Desktop, а затем нажмите на IP Configurations. Введите IP-адрес, маску подсети и шлюз по умолчанию в соответствующие поля, как это показано на рисунке 5.4.2 для PC0. Повторите для других компьютеров.

Рисунок 5.4.2. Конфигурация PC0

Необходимо удостовериться в правильности введенных настроек. Для этого один раз нажмите левой кнопкой мыши на устройстве и перейдите в закладку Desktop, а затем нажмите на Command Prompt. Введите команду:

C:\>ipconfig

Сделайте снимок экрана. Повторите для других PC.

Настройте маршрутизатор центрального офиса Router0, для этого один раз нажмите по устройству и перейдите во вкладку CLI, на задаваемый вопрос введите no, затем вводите следующие команды (для завершения команды нажмите клавишу Tab):

Router>enable

Router#configure terminal

Router(config)#interface fastEthernet 0/0

Router(config-if)#ip address 210.210.1.2 255.255.255.252

Router(config-if)#no shutdown

Router(config-if)#exit

Router(config)#interface fastEthernet 0/1

Router(config-if)#ip address 192.168.1.1 255.255.255.0

Router(config-if)#no shutdown

Router(config-if)#exit

Назначьте маршрут по умолчанию для организации сетевой связности с филиалом и выхода в Интернет:

Router(config)#ip route 0.0.0.0 0.0.0.0 210.210.1.1

Router(config)#end

Router#wr mem

Router#show running-config (после введения команды используйте клавиши «Пробел» или «Enter» для просмотра настроек) найдите в выведенных настройках строчки с назначенными портам адресами и занесите снимок экрана в отчет (рисунок 5.4.3).

Рисунок 5.4.3. Вывод информации по проведенным настройкам Router0

Повторите настройки для маршрутизатора филиала, взяв необходимую информацию из таблицы 5.4.1.

Настройте маршрутизатор Интернет провайдера (используются публичные IP-адреса):

Router>enable

Router#configure terminal

Router(config)#interface fastEthernet 0/0

Router(config-if)#ip address 210.210.1.1 255.255.255.252

Router(config-if)#no shutdown

Router(config-if)#exit

Router(config)#interface fastEthernet 0/1

Router(config-if)#ip address 210.210.2.1 255.255.255.252

Router(config-if)#no shutdown

Router(config-if)#end

2. Настройка NAT

На Router0 и Router1 настройте NAT для доступа в Интернет (внутри корпоративной сети используются частные IP-адреса, которые не маршрутизируются в сети Интернет). Для настройки Router0 введите следующие команды:

Router>enable

Router#configure terminal

Router(config)#interface fastEthernet 0/0

Router(config-if)#ip nat outside

Router(config-if)#exit

Router(config)#interface fastEthernet 0/1

Router(config-if)#ip nat inside

Router(config-if)#exit

Создайте и настройте access-list (определяем трафик, который будем выпускать в Интернет):

Router(config)#ip access-list standard FOR-NAT

Router(config-std-nacl)#permit 192.168.1.0 0.0.0.255 (указываем сети)

Router(config-std-nacl)#exit

Router(config)#ip nat inside source list FOR-NAT interface fastEthernet 0/0 overload

Router(config)#end

Router#wr mem

Router#show running-config найдите в выведенных настройках строчки с созданным и настроенным access-list и занесите снимок экрана в отчет.

Проверьте доступность интерфейсов Router2 с PC0, т.е. возможность выхода в сеть Интернет с ПК центрального офиса. Для этого один раз нажмите левой кнопкой мыши на устройстве (PC0) и перейдите в закладку Desktop, а затем нажмите на Command Prompt (рисунок 5.4.4) и введите команду:

C:\>ping 210.210.1.1

Занесите снимок экрана в отчет.

Рисунок 5.4.4. Проверка доступности Интернета из центрального офиса

Маршрутизатор Интернет провайдера доступен, следовательно, NAT настроен верно.

Повторите настройки NAT для маршрутизатора филиала с необходимым изменением IP-адресов, а также проверьте связность PC2 с Router2 (IP-адрес 210.210.2.1) и занесите снимок экрана в отчет.

3. Настройка VPN

Выполните типовые настройки VPN на Router0.

Первая фаза

Создаем политику

Router>enable

Router#configure terminal

Router(config)#crypto isakmp policy 1

Команда crypto isakmp policy используется для создания IKE (Internet Key Exchange) политики, в которой указываются желаемые алгоритмы и параметры создаваемого защищенного канала, которые будут предложены на другой конец соединения для согласования.

Выбираем алгоритм шифрования и параметры, необходимые для построения ISAKMP мини-туннеля, через который будут передаваться параметры основного ISAKMP туннеля:

Router(config-isakmp)#encryption 3des

Router(config-isakmp)#hash md5

Router(config-isakmp)#authentication pre-share (алгоритм для обмена ключами)

Router(config-isakmp)#group 2

Router(config-isakmp)#exit

Настройка ключа аутентификации и пира (маршрутизатор, с которого мы строим VPN):

Router(config)#crypto isakmp key cisco address 210.210.2.2 (адрес пира, т.е. внешнего интерфейса на маршрутизаторе филиала)

Вторая фаза

Указываем параметры, необходимые для построения IPSec туннеля:

Router(config)#crypto ipsec transform-set TS esp-3des esp-md5-hmac

Далее определяем, какой трафик шифровать, т.е. передавать по VPN:

Router(config)#ip access-list extended FOR-VPN

Router(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 (сначала сеть источника, а после сеть назначения шифруемого трафика)

Router(config-ext-nacl)#exit

Создаем крипто-карту:

Router(config)#crypto map CMAP 10 ipsec-isakmp

Router(config-crypto-map)#set peer 210.210.2.2 (IP-адрес внешнего интерфейса маршрутизатора филиала)

Router(config-crypto-map)#set transform-set TS (параметры IPsec туннеля)

Router(config-crypto-map)#match address FOR-VPN (определяем, какой трафик шифровать)

Router(config-crypto-map)#exit

Привязываем крипто-карту к внешнему интерфейсу, т.к. он терминирует VPN подключение:

Router(config)#interface fastEthernet 0/0

Router(config-if)#crypto map CMAP

Получаем сообщение о том, что ISAKMP включился:

*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

Занесите снимок экрана в отчет. Повторите настройки на маршрутизаторе филиала. Также нужно настроить статическую маршрутизацию на маршрутизаторе Интернет провайдера (Router 2):

Router#configure terminal

Router(config)#ip route 192.168.1.0 255.255.255.0 210.210.1.2

Router(config)#ip route 192.168.2.0 255.255.255.0 210.210.2.2

Проверьте сетевую связность между центральным офисом и филиалом (между PC0 и PC2, рисунок 5.4.5):

Рисунок 5.4.5. Проверка связности между центральным офисом и филиалом

Связь не установлена, т.к. трафик VPN проходит через NAT. Внесем изменения в настройках NAT, чтобы нужный трафик проходил через VPN туннель (на Router0):

Router#show running-config найдите в выведенных настройках строчки с созданным access-list FOR-NAT (рисунок 5.4.6):

Рисунок 5.4.6. Текущие настройки NAT

Отмените эти настройки:

Router#configure terminal

Router(config)#no ip access-list standard FOR-NAT (т.к. стандартный access-list, то NAT применяется для всего трафика, включая VPN)

Создаем расширенный access-list для NAT (списки доступа ACL (access-list) разделяются на два типа: стандартные (Standard) - могут проверять только адреса источников и расширенные (Extended) - могут проверять адреса источников, а также адреса получателей, в случае IP ещё тип протокола и TCP/UDP порты):

Router(config)#ip access-list extended FOR-NAT

Сначала укажем запрещенный трафик, для которого не нужен NAT.

Router(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

Не нужно использовать NAT для трафика с источником 192.168.1.0, и адресом назначения 192.168.2.0- это трафик, который идет в VPN- туннель.

Остальной трафик разрешаем для NAT.

ACL (access-list) состоит из набора правил. В каждом правиле определяются параметры фильтрации (адреса, порты и т.д.) и действие, выполняемое над пакетом, если он соответствует всем критериям правила. Действий два: разрешить (permit) и запретить (deny). При разрешении пакет обрабатывается дальше, при запрете – сбрасывается. Правила проверяются последовательно, пока не будет найдено то, которому соответствует пакет. Над пакетом выполняется действие (permit/deny) и дальнейшая проверка правил прекращается. В конце любого ACL неявно находится правило, запрещающее весь трафик.

Router(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 any

Router(config-ext-nacl)#end

Router#show running-config найдите в выведенных настройках строчки с созданным access-list FOR-NAT и занесите снимок экрана в отчет (рисунок 5.4.7).

Рисунок 5.4.7. Новые настройки NAT

Повторите настройки для маршрутизатора филиала с изменением необходимых адресов.

Теперь повторите попытку проверить связность сети (отправьте эхо-запрос с PC0 на PC2 (рисунок 5.4.8) и с PC2 на PC1):

Рисунок 5.4.8. Проверка связности центрального офиса и филиала при измененных настройках NAT

Эхо-запрос проходит, следовательно, VPN-туннель настроен правильно. Выведите информацию по VPN на Router0 (show crypto isakmp sa— отображает состояние технологического туннеля Internet Security Association and Key Management Protocol (ISAKMP) SA):

Router#show crypto isakmp sa

Результаты показали, что технологический туннель построен верно (рисунок 5.4.9):

Рисунок 5.4.9. Информация по VPN на Router0

Выведите информацию по построению IPsec-туннеля (show crypto ipsec sa— отображает статистику активных IPSec туннелей). Повторите вывод для маршрутизатора филиала и занесите снимки экрана в отчет.