班浩呆的技術研究網站

2011-10-27

[Cisco Router]做點對點的 IPSec 加密(上)

[Depolyment] Cisco Router 做點對點的 IPSec 加密(上)

這一篇我們要討論的是Cisco Router的點對點IPsec的加密機制.因為這篇文章我想用實際機器來做而不想用模擬器來模擬,所以浩呆去借了不少設備來。

首先這要感謝我前公司的協理(我都叫他老大)借給我了兩台Cisco 1721 Router,然後也感謝現在公司的同事戴倫兄借我L3的Switch。

 

一開始我們先來討論一下情境:

常常在公司會遇到一個狀況,公司可能有一些小分據點,分據點的人常常不多而且也不一定有MIS駐點。而像ERP系統、Protal網站或是一些自行開發的應用程式
一定都是放在總公司,這時分據點要連線回總公司大致上會有下列的選擇:

1. 總公司有架VPN設備,目前比較常見的就是撥SSL-VPN回總公司,出差的人員也常常會利用這總方式。但一般來說SSL-VPN撥接帳號就會有授權的問題,
   有些廠商是算Current User的授權方式。有些廠商是以帳號授權的方式在販賣License。

2. 拉VPN專線,這個Solution 就比較貴了。如果你的分據點人數沒有很多,用這個專案可能會有點划不來。

這一篇文章我們就是要討論另一種節省費用的另一種方式,自己在兩個端點設置Cisco Router。然後用Cisco Router上提供的IPSec功能來對通道加密。這樣的情況下,
由兩端的Cisco來交換內部路由。這樣在分據點的使用者就可以不在撥接VPN的方式下去連線到總公司的一些AP,除了省去使用者使用上的麻煩,Cisco 17XX 系列的Router
也並不是很貴。上拍賣網站去買二手的,甚至可以用不到5000元就可以買到了。其實還滿划算的。

在開始時做前我們先看一下這次要做的Lab架構,先參考下圖:

1

首先在Cisco Router兩邊我們建立兩個網段來模擬,在右邊我們就先假設他是總公司(Primary),而左邊我們就假設為分公司(Branch)。
1. 右邊我們設定他是 192.168.0.1的網段,遮罩為255.255.255.0。
2. 左邊我們假設為分公司的網段,IP位置為192.168.1.0,遮罩為255.255.255.0。
3. 總公司的Cisco Router(Master) 上有兩張網卡,一邊我們設定為總公司內部網段的Gateway,ip位置為192.168.0.254。另一邊我們設定為10.0.0.1的網段。
4. 分公司的Cisco Router(Branch) 上有兩張網卡,一邊我們設定為分公司內部網段的Gateway,ip位置為192.168.1.254。另一邊我們設定為10.0.0.2的網段。

 

接著我們就把這張圖給實際架設出來:(這邊中間的電腦是負責錄製封包,)

SONY DSC

 

第一階段任務--我們要在沒有加密的情況下讓在兩邊的Cisco 後端的網路的電腦可以互相Ping到對方。(這部分就是要交換兩邊的Routing Table)。

首先我們就經由Console介面來連到總公司的Cisco Router,輸入 Sh ver的指令可以看到關於這台Router的相關資訊。

如果你不會經由Console連到Cisco Route,在請參考以下的文章 :

Cisco Route 1700 – 如何更新 Cisco Router 的IOS
http://www.dotblogs.com.tw/toysboy21/archive/2011/10/18/44101.aspx

sh ver

 

從Sh conf 的指令中我們可以看到這台路由器有兩個網路介面.

Interface Ethernet0/0

interface FastEtherent0/0

sh conf_2

 

接著我們輸入conf t 來設定網卡

輸入 interface e0/0 進入到使用者介面來設定IP位置
接著 ip address 192.168.0.254 255.255.255.0 來設定IP設定

 

interface 0 setting

,。,。,。,。,。,。

接下來我們就可以TelNet 到我們的Cisco設備上面去了.
如何開放Cisco 可以Telnet 請參考這篇 "如何讓您的Cisco 可以接受Telnet 連線"

接著我們要去設定這張外部網卡的IP位置. 接下來我們就可以轉在Telnet的畫面
裡面來操作了.

在這邊我們設定IP位置為10.0.0.1/24

8


設定完成我們來測試這個網路卡是否有被設通? 我們用總公司的Web Server這台電腦去Ping 192.168.0.254 這個Gateway.
這邊發現我們去Ping 192.168.0.254 是會通的.

6

而我們去Ping 總公司的Cisco Router 外部介面10.0.0.1也是會通的,
因為你的Cisco Router知道他自己有個介面是這個IP

5

您也可以在Cisco上去Ping其他的設備. 這邊我們試著從總公司的 Cisco 上去Ping 內部的Web Server電腦.

7

 

接下來我們到分公司的Cisco Router去

從Conf t 的指令中我們也可以看到分公司的Cisco Router 裡面也是有兩個網路介面

在interface FastEtherent的網路介面我們設定的 10.0.0.2/24

Branch_2

 

設定完成我們可以從Cisco 上面互 Ping 這邊我們確認兩邊的Cisco 都可以Ping 到對方.

12

 

接著我們在192.168.0.1 這台電腦上去Ping 10.0.0.2...猜猜結果如何?? 結果是不會通的.
因為在Branch 的 Cisco 上並沒有路由告知他要到 192.168.0.1 的IP要送到哪裡去?

所以我們要在這邊下一行指令告訴 Branch,要到192.168.0.0 255.255.255.0 這個網段的封包都送到 10.0.0.1 這個介面去

14

 

在從總公司內部電腦(192.168.0.0/24)裡面去Ping 10.0.0.2的網段,我們發現已經可以從192.168.0.0去Ping到對方的Branch Router了

15

 

接著一樣要到總公司Primary 的Cisco Router 上去設定路由,讓總公司的192.168.0.0/24 網段 可以Ping 到遠方的 192.168.1.0/24的網段.

16

設定完成後我們來測試看我們是否可以從192.168.0.0/24 網段來Ping 192.168.1.0/24. 如果兩邊內網都可以Ping得到的話這部分也成功了,基本上兩個網段已經互通了。

 

 

接著我在總公司的Web Server電腦上(192.168.0.1/24) 架了一個IIS網站,接著我們要用分公司的電腦去存取這個網站。(這部分的設定就不墬述了)

在存取過程中我們用擔任Sniffer的機器來錄製中間傳輸的封包。這邊我們可以發現我們錄到的Http封包都會是明碼。這也就是接下來我們要解決的問題了,我們在下一篇文章再來討論設定問題。

18

19