Filial
Bosh ofis
192.168.1.0/24
A qurilma
GE0/1
GE0/1
1.1.1.1/24
Internet
Tunnel 1
10.1.1.1/24
Tunnel 1
10.1.1.2/24
14.4-rasm. IPSec asosidagi IKEv2 protokolining ishlash mexanizmi
Amaliy qism
Amaliy qismda tunnellash protokollari yordamida VPNni
yaratish keltirilgan. VPNni sozlash uchun quyidagi koʻrsatmalarni
bajarish kerak.
171
1. Bosh ofis marshrutizatori, filial marshrutizatori va ular
oʻrtasida xizmat koʻrsatuvchi Internet-provayder marshrutizatoridan
iborat topologiya yaratiladi (14.5-rasm).
14.5-rasm. Tadqiq qilinayotgan tarmoq topologiyasi
2. IP manzillarni rasmda koʻrsatilgandek sozlanadi.
3. R0 va R2 marshrutizatorlarda NAT sozlamalarini oʻrnatiladi,
masalan:
R0(config)#interface fastEthernet 0/0
R0(config-if)#ip nat outside (tashqi NAT interfeysiga ishora qiladi)
R0(config-if)#exit
R0(config)#int fa0/1
R0(config-if)#ip nat inside (ichki NAT interfeysiga ishora qiladi)
R0(config-if)#exit
R0(config)#ip access-list standard vpnlab (kirish roʻyxatini sozlash)
R0(config-std-nacl)#permit 192.168.i.0 0.0.0.255 (NATni marshrutizator
LAN manzillariga qoʻllash uchun ruxsat berish)
R0(config-std-nacl)#exit
R0(config)#ip nat inside source list vpnlab interface fastEthernet 0/0
overload (access-listning translatsiyasi va marshrutizator tashqi interfeysini
koʻrsatish)
R0(config)#
4.
R
(200.150.20.1)
marshrutizator
interfeysi
foydalanuvchanligini 192.168.1.0 tarmogʻidagi kompyuterlarning
biridan PING yordamida tekshiriladi.
172
5. NATni xuddi shu tarzda R2 marshrutizatorda sozlanadi va
192.168.1.0 ikkinchi tarmogʻidagi kompyuterlardan birida R1
marshrutizatorning ikkinchi interfeysi mavjudligi tekshiriladi.
6. Quyidagi buyruqlar yordamida R0da VPN sozlanadi:
R0>
R0>enable
R0#configureterminal
R0(config)#crypto isakmp policy 1(siyosat va uning parametrlarini
yaratish)
R0(config-isakmp)#encryption 3des (3des nosimmetrik shifrlash
algoritmini sozlash)
R0(config-isakmp)#hash md5 (md5 xesh funksiyasini sozlash)
R0(config-isakmp)#authentication pre-share (oldindan kalitlarni
almashtirish uchun defi-helman algoritmini sozlash)
R0(config-isakmp)#group 2(2 Diffie-Hellman group 2)
R0(config-isakmp)#exit
R0(config)#
Endi oldindan umumiy kalitni yaratishingiz va VPN ulanadigan
marshrutizatorning IP-manzilini oʻrnatishingiz kerak:
R0(config)#crypto isakmp key vpn key address 200.150.20k.2
IPSec tunnelini qurish uchun zarur boʻlgan parametrlarni
koʻrsatiladi:
R0(config)#crypto ipsec transform-set TrSet esp-3des esp-md5-
hmac(Shifrlash va xeshlash algoritmi)
Tunnelga qanday trafikni yuborish kerakligini koʻrsatadigan
ACL roʻyxatini sozlash:
R0>enable
R0#configure terminal
R0(config)#ip access-list extended vpntun
R0(config-ext-nacl)#permit ip 192.168.i.0 0.0.0.255 192.168.(i+1).0
0.0.0.255 (paketlarni i tarmoqdan (i+1) tarmoqqa tunnellash)
R0(config-ext-nacl)#exit
Kripto xaritasini yaratish:
173
R0(config)#cryptomap CrMap10 ipsec-isakmp
R0(config-crypto-map)#set peer 200.150.20k.2 (R2 tashqi interfeysi)
R0(config-crypto-map)#set transform-set TrSet
R0(config-crypto-map)#match address vpntun (access-list)
R0(config-crypto-map)#exit
R0(config)#interface fastEthernet 0/0
R0(config-if)#crypto map CrMap (tashqi interfeysga kripto xaritasini
biriktirish)
7. R2 marshrutizator ham xuddi shu tarzda sozlanadi.
8. PING soʻrovini chap tarmoqdagi kompyuterdan oʻngdagi
kompyuterga joʻnatiladi.
9. Xost mavjud emasligi tekshiriladi.
10. PING soʻrovi qayta joʻnatiladi va R0 marshrutizatorga
quyidagi buyruq kiritiladi:
R0#show ip nat translations
11. NAT mexanizmi tomonidan paketlarning rad etilishi haqida
ma'lumot paydo boʻladi, bu barcha paketlarning oʻtishiga imkon
bermaydi.
12. Oldindan yaratilgan access-listni oʻchirib tashlab va ushbu
tarmoqdan masofadan yuborilgan paketlarning qabul qilinishini
koʻrsatadigan yangisi yaratiladi:
R0(config)#no ip access-list standard vpntun
R0(config)#ip access-list extended vpntun
R0(config-ext-nacl)#deny ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255
R0(config-ext-nacl)#permit ip 192.168.3.0 0.0.0.255 any R0(config-ext-
nacl)#exit
R0(config)#exit
13. Xuddi shu tarzda, R2 uchun kirish roʻyxati sozlanadi.
14. PINGdan foydalangan holda bir-birlari uchun turli xil
tarmoqlarda kompyuterlarning foydalanuvchanligi tekshiriladi.
15. Paketlar endi muvaffaqiyatli yetib kelayotganligini koʻrsa
boʻladi.
|