Oʻzbеkiston rеspublikasi axborot tеxnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi




Download 7,38 Mb.
Pdf ko'rish
bet62/90
Sana15.12.2023
Hajmi7,38 Mb.
#119638
1   ...   58   59   60   61   62   63   64   65   ...   90
Bog'liq
Тармоқ хавфсизлиги 16 шрифт

Filial
Bosh ofis
192.168.1.0/24
A qurilma
GE0/1
GE0/1
1.1.1.1/24
Internet
Tunnel 1
10.1.1.1/24
Tunnel 1
10.1.1.2/24
14.4-rasm. IPSec asosidagi IKEv2 protokolining ishlash mexanizmi 
Amaliy qism 
Amaliy qismda tunnellash protokollari yordamida VPNni 
yaratish keltirilgan. VPNni sozlash uchun quyidagi koʻrsatmalarni 
bajarish kerak. 


171 
1. Bosh ofis marshrutizatori, filial marshrutizatori va ular 
oʻrtasida xizmat koʻrsatuvchi Internet-provayder marshrutizatoridan 
iborat topologiya yaratiladi (14.5-rasm). 
14.5-rasm. Tadqiq qilinayotgan tarmoq topologiyasi 
2. IP manzillarni rasmda koʻrsatilgandek sozlanadi. 
3. R0 va R2 marshrutizatorlarda NAT sozlamalarini oʻrnatiladi, 
masalan: 
R0(config)#interface fastEthernet 0/0 
R0(config-if)#ip nat outside (tashqi NAT interfeysiga ishora qiladi) 
R0(config-if)#exit 
R0(config)#int fa0/1 
R0(config-if)#ip nat inside (ichki NAT interfeysiga ishora qiladi) 
R0(config-if)#exit 
R0(config)#ip access-list standard vpnlab (kirish roʻyxatini sozlash) 
R0(config-std-nacl)#permit 192.168.i.0 0.0.0.255 (NATni marshrutizator 
LAN manzillariga qoʻllash uchun ruxsat berish) 
R0(config-std-nacl)#exit 
R0(config)#ip nat inside source list vpnlab interface fastEthernet 0/0 
overload (access-listning translatsiyasi va marshrutizator tashqi interfeysini 
koʻrsatish) 
R0(config)# 
4. 

(200.150.20.1) 
marshrutizator 
interfeysi 
foydalanuvchanligini 192.168.1.0 tarmogʻidagi kompyuterlarning 
biridan PING yordamida tekshiriladi. 


172 
5. NATni xuddi shu tarzda R2 marshrutizatorda sozlanadi va 
192.168.1.0 ikkinchi tarmogʻidagi kompyuterlardan birida R1 
marshrutizatorning ikkinchi interfeysi mavjudligi tekshiriladi.
6. Quyidagi buyruqlar yordamida R0da VPN sozlanadi: 
R0> 
R0>enable 
R0#configureterminal 
R0(config)#crypto isakmp policy 1(siyosat va uning parametrlarini 
yaratish) 
R0(config-isakmp)#encryption 3des (3des nosimmetrik shifrlash 
algoritmini sozlash) 
R0(config-isakmp)#hash md5 (md5 xesh funksiyasini sozlash) 
R0(config-isakmp)#authentication pre-share (oldindan kalitlarni 
almashtirish uchun defi-helman algoritmini sozlash) 
R0(config-isakmp)#group 2(2 Diffie-Hellman group 2) 
R0(config-isakmp)#exit 
R0(config)# 
Endi oldindan umumiy kalitni yaratishingiz va VPN ulanadigan 
marshrutizatorning IP-manzilini oʻrnatishingiz kerak: 
R0(config)#crypto isakmp key vpn key address 200.150.20k.2 
IPSec tunnelini qurish uchun zarur boʻlgan parametrlarni 
koʻrsatiladi: 
R0(config)#crypto ipsec transform-set TrSet esp-3des esp-md5-
hmac(Shifrlash va xeshlash algoritmi) 
Tunnelga qanday trafikni yuborish kerakligini koʻrsatadigan 
ACL roʻyxatini sozlash: 
R0>enable 
R0#configure terminal 
R0(config)#ip access-list extended vpntun 
R0(config-ext-nacl)#permit ip 192.168.i.0 0.0.0.255 192.168.(i+1).0 
0.0.0.255 (paketlarni i tarmoqdan (i+1) tarmoqqa tunnellash) 
R0(config-ext-nacl)#exit 
Kripto xaritasini yaratish: 


173 
R0(config)#cryptomap CrMap10 ipsec-isakmp
R0(config-crypto-map)#set peer 200.150.20k.2 (R2 tashqi interfeysi) 
R0(config-crypto-map)#set transform-set TrSet 
R0(config-crypto-map)#match address vpntun (access-list) 
R0(config-crypto-map)#exit 
R0(config)#interface fastEthernet 0/0 
R0(config-if)#crypto map CrMap (tashqi interfeysga kripto xaritasini 
biriktirish) 
7. R2 marshrutizator ham xuddi shu tarzda sozlanadi. 
8. PING soʻrovini chap tarmoqdagi kompyuterdan oʻngdagi 
kompyuterga joʻnatiladi. 
9. Xost mavjud emasligi tekshiriladi. 
10. PING soʻrovi qayta joʻnatiladi va R0 marshrutizatorga 
quyidagi buyruq kiritiladi: 
R0#show ip nat translations 
11. NAT mexanizmi tomonidan paketlarning rad etilishi haqida 
ma'lumot paydo boʻladi, bu barcha paketlarning oʻtishiga imkon 
bermaydi. 
12. Oldindan yaratilgan access-listni oʻchirib tashlab va ushbu 
tarmoqdan masofadan yuborilgan paketlarning qabul qilinishini 
koʻrsatadigan yangisi yaratiladi: 
R0(config)#no ip access-list standard vpntun 
R0(config)#ip access-list extended vpntun 
R0(config-ext-nacl)#deny ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255 
R0(config-ext-nacl)#permit ip 192.168.3.0 0.0.0.255 any R0(config-ext-
nacl)#exit 
R0(config)#exit 
13. Xuddi shu tarzda, R2 uchun kirish roʻyxati sozlanadi. 
14. PINGdan foydalangan holda bir-birlari uchun turli xil 
tarmoqlarda kompyuterlarning foydalanuvchanligi tekshiriladi. 
15. Paketlar endi muvaffaqiyatli yetib kelayotganligini koʻrsa 
boʻladi. 


174 

Download 7,38 Mb.
1   ...   58   59   60   61   62   63   64   65   ...   90




Download 7,38 Mb.
Pdf ko'rish

Bosh sahifa
Aloqalar

    Bosh sahifa



Oʻzbеkiston rеspublikasi axborot tеxnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi

Download 7,38 Mb.
Pdf ko'rish