التطبيق العملي والأوامر لل
DMVPN With IPSec .
Information Security D-12
===================
في كتابات اليوم سنظيف بروتكول ال IPSec على ال DMVPN . لكي نجعل الخطوط بين الروترات او بين ال Hub R1 و الفروع R2/3 مؤمنة ، محمية ، و مشفرة !! وهل نحتاج هذا ؟ ولماذا ؟
نعم نحتاج لسببين : الاول ان الخطوط بين الفروع في حقيقة الامر ستبحر في الانترنيت لذالك نحتاج ان نوفر الحماية لهذا الترفك المار خلال هذة الخطوط . وربما تسائل أين الانترنيت الذي تتكلم عنة !! في مثالنا يوجد فقط Switch و ثلاث روترات !!! نعم ال Switch يمثل الانترنيت في مثالنا او يمثل ال ISP .
السبب الاخر والمهم ان ال DMVPN تبنى على ال GRE Tunnel Interface وهذا الانترفيس غير محمي ، بمعنى الاترفك الذي يمر من خلالة مكشوف وغير مؤمن . لذالك اقتضى الامر ان نستعين بالية او ببروتكول يساعدنا على تشفير مافي داخل هذا الانترفيس ، وهذا البروتكول هو ال IPSec . لذالك ال DMVPN تعمل بدون ال IPSec . لكنها ستكون غير محمية .
السيناريو هو ثلاث فروع تتمثل بي ثلاث روترات R1/R2/R3 , مربوطة بي Switch والذي يمثل دور ال ISP .
3 روترات مربوطة بي Switch Multilayer , الانترفيس في الروترات كلها هو F0/0 , الانترفيسات في السوج
R1 F0/0—> Switch F0/1
R2 F0/0—> Switch F0/2
R3 F0/0—> Switch F0/3
====================
R1 F0/0—> 150.1.1.1/24
R1 F0/0—> 150.1.2.2/24
R1 F0/0—> 150.1.3.3/24
====================
Switch F0/1—> 150.1.1.10/24
Switch F0/2—> 150.1.2.10/24
Switch F0/2—> 150.1.3.10/24
====================
نعمل الروت اولا بين الروترات من خلال Default Route , لكي يتأسس الاتصال بين الروترات الثلالثة ، (مرة اخرى يجب ان نتذكر ان هذة العناوين او الايبيات من المفترض حقيقية من ال ISP . وتسمى هذة العناوين NBMA تذكر هذا)
====================
R1—> IP Route 0.0.0.0 0.0.0.0 150.1.1.10
R2—> IP Route 0.0.0.0 0.0.0.0 150.1.2.10
R3—> IP Route 0.0.0.0 0.0.0.0 150.1.3.10
====================
نلاحظ هنا ان ال Switch Multiyear هو ال Next Hop للروترات ، النتيجة الروترات سوف تتصل في ما بينها . ماهي فائدة هنا !!
الروترات هنا تمثل فروع او شركات متفرقة يربطها ال ISP والذي يتمثل بي ال SWITCH في مثالنا هذا .
==============
تمت عملية الروت مابين الفروع و ال ISP . لننتقل الى إعدادات ال DMVPN بدون ال IPSec .
الأوامر كما يأتي :
R1
====
R1#Interface Tunnel 1
R1#IP add 10.1.1.1 255.255.255.0
R1#Tunnel source 150.1.1.1
R1#Tunnel Mode GRE Multipoint
R1# IP NHRP Network-ID 111
====================
R2
===
R2#Interface Tunnel 2
R2#IP add 10.1.1.2 255.255.255.0
R2#Tunnel source 150.1.2.2
R2#Tunnel Mode GRE Multipoint
R2#IP NHRP Network-ID 222
R2#IP NHRP Map 10.1.1.1 150.1.1.1
R2#IP NHRP NHS 150.1.1.1
====================
R3
===
R3#Interface Tunnel 3
R3#IP add 10.1.1.2 255.255.255.0
R3#Tunnel source 150.1.2.2
R3#Tunnel Mode GRE Multipoint
R3#IP NHRP Network-ID 222
R3#IP NHRP Map 10.1.1.1 150.1.1.1
R3#IP NHRP NHS 150.1.1.1
====================
الان ننتقل الى المرحلة المهمة في هذا المقال ، إعدادات ال IPSec . تذكر سوف نقوم بإضافة الفيز الاول والثاني في جميع الروترات . وبشكل متطابق ، اذا ليس لديك فكرة عن الفيز الاول والثاني راجع الكتابات الاولى في هذة السلسلة .
بعدها نعمل بروفيل للتشفير يضم كل إعدادات ال IPSec و سيسمى هذا البروفيل CCIE . وسيكون معرف عن كل الروترات وبالأخص ال Hub او ال R1 . ما فائدة هذا البروفيل ؟؟؟
لو لم يكن موجود هذا البروفيل . سوف ينبغي علينا اضافة إعدادات الفيز الاول والثاني لكل فرع جديد ينظم الى الشركة . بمعنى اننا لو لدينا خمسة روترات إضافية ، يجب ان نعود الى ال Hub R1 ونضيف خمسة Crypto Map كل واحدة خاصة بروتر من هذة الروترات او الفروع الخمسة وهذا يعني اننا نقوم بعمل ال
VPN Site-To-Site
لكننا مع الية عمل ال DMVPN والتي تتمثل بالمرونة والديناميكية ، من خلال ال mGRE نستطيع ان نستفاد من هذة النقطة ونضع بروفيل او BOX يمثل الية تشفير سهلة التوزيع .
لنتعرف على الاوامر الخاصة بي ال IPSec التي يجب إضافتها في الروترات الثلاثة :
R1
==
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 86400
==============
crypto isakmp key CCNP address 0.0.0.0 0.0.0.0
==============
crypto ipsec transform-set DHARI esp-3des esp-md5-hmac
==============
crypto ipsec profile CCIE
set security-association lifetime seconds 86400
set transform-set DHARI
==============
interface Tunnel 1
tunnel protection ipsec profile CCIE
===================
R2
==
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 86400
==============
crypto isakmp key CCNP address 0.0.0.0 0.0.0.0
==============
crypto ipsec transform-set DHARI esp-3des esp-md5-hmac
==============
crypto ipsec profile CCIE
set security-association lifetime seconds 86400
set transform-set DHARI
==============
interface Tunnel 2
tunnel protection ipsec profile CCIE
===================
R3
==
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 86400
==============
crypto isakmp key CCNP address 0.0.0.0 0.0.0.0
==============
crypto ipsec transform-set DHARI esp-3des esp-md5-hmac
==============
crypto ipsec profile CCIE
set security-association lifetime seconds 86400
set transform-set DHARI
==============
interface Tunnel 3
tunnel protection ipsec profile CCIE
===================
لاحظ الاوامر المهمة في جميع الروترات بما يخص ال IPSec وعملة مع ال DMVPN هي :
1. crypto isakmp key CCNP address
0.0.0.0 0.0.0.0
================
2. crypto ipsec profile CCIE
set security-association lifetime seconds 86400
set transform-set DHARI
=============
3. interface Tunnel 3
tunnel protection ipsec profile CCIE
==============
الامر الاول : وهو الذي يجعل تاسيس الاتصال المشفر مفتوح لكل العناوين . بعد التحقق من المفتاح وهو ال CCNP في مثالنا . حيث سيقوم الروتر الثاني بتأسيس نفق IPSec مع الروتر الثالث بواسطة هذا الامر . اما اذا أردنا ان يكون التأسيس ملزم بال Hub R1 فعلينا ان نضع عنوان ال R1 بدل ال 0.0.0.0 .
==============
الامر الثاني : فائدتة تكوين البروفيل الذي سيكون فية كل أدوات التشفير وبالأحرى سيكون فية ال IPSec والمسمى DHARI في مثالنا ، وسيكون اسم هذا البروفيل CCIE .
===============
الامر الثالث : وهو يفيد بربط البروفيل ال CCIE مع الانترفيس ال Tunnel المسوؤل عن عمل ال DMVPN .
================
اخيراً اوامر التحقق :
Router#Show Crypto Session
Router#Show Crypto Map
Router#Show DMVPN
Router#Show IP NHRP
================
حاول تطبيق هذا الاب وستكتشف المزيد . ألقاكم في الكتابات القادمة وستكون خاصة بي ال GET VPN . تابعونا …
ضاري خالد ،
allnetworklabs.wordpress.com 