Oʻzbеkiston rеspublikasi axborot tеxnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi
Yüklə 7,38 Mb. Pdf görüntüsü
|
- Bu səhifədəki naviqasiya:
- Amaliy qism
| Filial
Bosh ofis 192.168.1.0/24 A qurilma GE0/1 GE0/1 1.1.1.1/24 Internet Tunnel 1 10.1.1.1/24 Tunnel 1 10.1.1.2/24 14.4-rasm. IPSec asosidagi IKEv2 protokolining ishlash mexanizmi Amaliy qism Amaliy qismda tunnellash protokollari yordamida VPNni yaratish keltirilgan. VPNni sozlash uchun quyidagi koʻrsatmalarni bajarish kerak. 171 1. Bosh ofis marshrutizatori, filial marshrutizatori va ular oʻrtasida xizmat koʻrsatuvchi Internet-provayder marshrutizatoridan iborat topologiya yaratiladi (14.5-rasm). 14.5-rasm. Tadqiq qilinayotgan tarmoq topologiyasi 2. IP manzillarni rasmda koʻrsatilgandek sozlanadi. 3. R0 va R2 marshrutizatorlarda NAT sozlamalarini oʻrnatiladi, masalan: R0(config)#interface fastEthernet 0/0 R0(config-if)#ip nat outside (tashqi NAT interfeysiga ishora qiladi) R0(config-if)#exit R0(config)#int fa0/1 R0(config-if)#ip nat inside (ichki NAT interfeysiga ishora qiladi) R0(config-if)#exit R0(config)#ip access-list standard vpnlab (kirish roʻyxatini sozlash) R0(config-std-nacl)#permit 192.168.i.0 0.0.0.255 (NATni marshrutizator LAN manzillariga qoʻllash uchun ruxsat berish) R0(config-std-nacl)#exit R0(config)#ip nat inside source list vpnlab interface fastEthernet 0/0 overload (access-listning translatsiyasi va marshrutizator tashqi interfeysini koʻrsatish) R0(config)# 4. R (200.150.20.1) marshrutizator interfeysi foydalanuvchanligini 192.168.1.0 tarmogʻidagi kompyuterlarning biridan PING yordamida tekshiriladi. 172 5. NATni xuddi shu tarzda R2 marshrutizatorda sozlanadi va 192.168.1.0 ikkinchi tarmogʻidagi kompyuterlardan birida R1 marshrutizatorning ikkinchi interfeysi mavjudligi tekshiriladi. 6. Quyidagi buyruqlar yordamida R0da VPN sozlanadi: R0> R0>enable R0#configureterminal R0(config)#crypto isakmp policy 1(siyosat va uning parametrlarini yaratish) R0(config-isakmp)#encryption 3des (3des nosimmetrik shifrlash algoritmini sozlash) R0(config-isakmp)#hash md5 (md5 xesh funksiyasini sozlash) R0(config-isakmp)#authentication pre-share (oldindan kalitlarni almashtirish uchun defi-helman algoritmini sozlash) R0(config-isakmp)#group 2(2 Diffie-Hellman group 2) R0(config-isakmp)#exit R0(config)# Endi oldindan umumiy kalitni yaratishingiz va VPN ulanadigan marshrutizatorning IP-manzilini oʻrnatishingiz kerak: R0(config)#crypto isakmp key vpn key address 200.150.20k.2 IPSec tunnelini qurish uchun zarur boʻlgan parametrlarni koʻrsatiladi: R0(config)#crypto ipsec transform-set TrSet esp-3des esp-md5- hmac(Shifrlash va xeshlash algoritmi) Tunnelga qanday trafikni yuborish kerakligini koʻrsatadigan ACL roʻyxatini sozlash: R0>enable R0#configure terminal R0(config)#ip access-list extended vpntun R0(config-ext-nacl)#permit ip 192.168.i.0 0.0.0.255 192.168.(i+1).0 0.0.0.255 (paketlarni i tarmoqdan (i+1) tarmoqqa tunnellash) R0(config-ext-nacl)#exit Kripto xaritasini yaratish: 173 R0(config)#cryptomap CrMap10 ipsec-isakmp R0(config-crypto-map)#set peer 200.150.20k.2 (R2 tashqi interfeysi) R0(config-crypto-map)#set transform-set TrSet R0(config-crypto-map)#match address vpntun (access-list) R0(config-crypto-map)#exit R0(config)#interface fastEthernet 0/0 R0(config-if)#crypto map CrMap (tashqi interfeysga kripto xaritasini biriktirish) 7. R2 marshrutizator ham xuddi shu tarzda sozlanadi. 8. PING soʻrovini chap tarmoqdagi kompyuterdan oʻngdagi kompyuterga joʻnatiladi. 9. Xost mavjud emasligi tekshiriladi. 10. PING soʻrovi qayta joʻnatiladi va R0 marshrutizatorga quyidagi buyruq kiritiladi: R0#show ip nat translations 11. NAT mexanizmi tomonidan paketlarning rad etilishi haqida ma'lumot paydo boʻladi, bu barcha paketlarning oʻtishiga imkon bermaydi. 12. Oldindan yaratilgan access-listni oʻchirib tashlab va ushbu tarmoqdan masofadan yuborilgan paketlarning qabul qilinishini koʻrsatadigan yangisi yaratiladi: R0(config)#no ip access-list standard vpntun R0(config)#ip access-list extended vpntun R0(config-ext-nacl)#deny ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255 R0(config-ext-nacl)#permit ip 192.168.3.0 0.0.0.255 any R0(config-ext- nacl)#exit R0(config)#exit 13. Xuddi shu tarzda, R2 uchun kirish roʻyxati sozlanadi. 14. PINGdan foydalangan holda bir-birlari uchun turli xil tarmoqlarda kompyuterlarning foydalanuvchanligi tekshiriladi. 15. Paketlar endi muvaffaqiyatli yetib kelayotganligini koʻrsa boʻladi. |