Захист даних. 
Застосування технології VPN для побудови корпоративних мереж на обладнанні CISCO

Захист даних у VPN здійснюється в двох напрямках[1] :

• · криптування інформації, яка передається через тунель
• · аутентифікація та авторизація користувачів VPN.

Суть технологій тунелювання на 3 рівні можна уяснити по схемі наведеній на рис. 5.

Рис. 5. Тунелювання на 3 рівні

Між рознесеними на місцевості мережами можна створити тунель (між маршрутизаторами М1 і М2). Сконфігурувати ці маршрутизатори відповідно для роботи по тунелю, продумати захист інформації на ділянці тунеля. Далі на конкретно наведеному прикладі показано порядок конфігурування (Додаток1).

Додаток. 1

• 1. Приклад конфігурування маршрутизаторів М1 і М2
• 1. Налаштування GRE на маршрутизаторі M1

M1# conf term.

M1 (config)# interface Tunnel 4.

M1(config-if)# ip address 192.169.2.1.

M1 (config-if)# ip mtu 1436.

M1(config-if)# ip nbar protocol-discovery.

M1(config-if)# ip atjst-mss 1436.

M1(config-if)# tunnel source 192.169.2.1.

M1 (config-if)# tunnel destination 192.169.2.2.

M1(config)# ip route 192.168.2.0 255.255.255.0 Tunnel 4.

2. Налаштування GRE на маршрутизаторі M2.

M2# conf term.

M2 (config)# interface Tunnel 4.

M2(config-if)# ip address 192.169.2.1.

M2 (config-if)# ip mtu 1436.

M2(config-if)# ip nbar protocol-discovery.

M2(config-if)# ip atjst-mss 1436.

M2(config-if)# tunnel source 192.169.2.1.

M2 (config-if)# tunnel destination 192.169.2.2.

M2(config)# ip route 192.168.1.0 255.255.255.0 Tunnel.

Для перевірки налаштування протоколу GRE використовують команди :

• · # show interfaces tunnel 4- перевірка налаштування інтерфейсів тунелю ;
• · # show ip interface brief.
• 3. Налаштування IPsec на маршрутизаторі M2

M2# conf term.

M2 (config)# crypto isakmp policy 100.

M2 (config-isakmp)# authentication pre-share.

M2 (config-isakmp)# hash sha.

M2 (config-isakmp)# encryption aes 128.

M2 (config-isakmp)# group 2.

M2 (config-isakmp)# lifetime 86 400.

M2 (config-isakmp)# exit.

M2 (config)# crypto isakmp key C1sc0Press address 10.9.9.2.

M2 (config)# end.

M2#.

4. Налаштування IPsec на маршрутизаторі M1.

M1# conf term.

M1 (config)# crypto isakmp policy 100.

M1(config-isakmp)# authentication pre-share.

M1(config-isakmp)# hash sha.

M1(config-isakmp)# encryption aes 128.

M1(config-isakmp)# group 2.

M1(config-isakmp)# lifetime 86 400.

M1(config-isakmp)# exit.

M1(config)# crypto isakmp key C1sc0Press address 10.10.9.1.

M1(config)#end.

M1#.

Для перевірки налаштування протоколу IPsec використаємо команди :

• · #debug crypto ipsecдля відображення подій в IPsec;
• · #debug crypto isakmдля відображення повідомлень відносячи до IKE.