ಪರಿಸ್ಥಿತಿ
ನಾನು ಮೂರು ತಿಂಗಳ ಕಾಲ C-Terra VPN ಉತ್ಪನ್ನಗಳ ಆವೃತ್ತಿ 4.3 ರ ಡೆಮೊ ಆವೃತ್ತಿಯನ್ನು ಸ್ವೀಕರಿಸಿದ್ದೇನೆ. ಹೊಸ ಆವೃತ್ತಿಗೆ ಬದಲಾಯಿಸಿದ ನಂತರ ನನ್ನ ಎಂಜಿನಿಯರಿಂಗ್ ಜೀವನವು ಸುಲಭವಾಗುತ್ತದೆಯೇ ಎಂದು ನಾನು ಕಂಡುಹಿಡಿಯಲು ಬಯಸುತ್ತೇನೆ.
ಇಂದು ಕಷ್ಟವೇನಲ್ಲ, 3 ರಲ್ಲಿ 1 ತ್ವರಿತ ಕಾಫಿಯ ಒಂದು ಚೀಲ ಸಾಕು. ಡೆಮೊಗಳನ್ನು ಹೇಗೆ ಪಡೆಯುವುದು ಎಂದು ನಾನು ನಿಮಗೆ ಹೇಳುತ್ತೇನೆ. ನಾನು GRE-over-IPsec ಮತ್ತು IPsec-over-GRE ಸ್ಕೀಮ್ಗಳನ್ನು ನಿರ್ಮಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತೇನೆ.
ಡೆಮೊ ಪಡೆಯುವುದು ಹೇಗೆ
ಡೆಮೊ ಪಡೆಯಲು ನೀವು ಮಾಡಬೇಕಾದ ಚಿತ್ರದಿಂದ ಇದು ಅನುಸರಿಸುತ್ತದೆ:
- ಗೆ ಪತ್ರ ಬರೆಯಿರಿ [ಇಮೇಲ್ ರಕ್ಷಿಸಲಾಗಿದೆ] ಕಾರ್ಪೊರೇಟ್ ವಿಳಾಸದಿಂದ;
- ಪತ್ರದಲ್ಲಿ, ನಿಮ್ಮ ಸಂಸ್ಥೆಯ TIN ಅನ್ನು ಸೂಚಿಸಿ;
- ಉತ್ಪನ್ನಗಳು ಮತ್ತು ಅವುಗಳ ಪ್ರಮಾಣವನ್ನು ಪಟ್ಟಿ ಮಾಡಿ.
ಡೆಮೊಗಳು ಮೂರು ತಿಂಗಳವರೆಗೆ ಮಾನ್ಯವಾಗಿರುತ್ತವೆ. ಮಾರಾಟಗಾರರು ತಮ್ಮ ಕಾರ್ಯವನ್ನು ಮಿತಿಗೊಳಿಸುವುದಿಲ್ಲ.
ಚಿತ್ರವನ್ನು ವಿಸ್ತರಿಸುವುದು
ಸೆಕ್ಯುರಿಟಿ ಗೇಟ್ವೇ ಡೆಮೊ ಒಂದು ವರ್ಚುವಲ್ ಯಂತ್ರ ಚಿತ್ರವಾಗಿದೆ. ನಾನು VMWare ಕಾರ್ಯಸ್ಥಳವನ್ನು ಬಳಸುತ್ತಿದ್ದೇನೆ. ಬೆಂಬಲಿತ ಹೈಪರ್ವೈಸರ್ಗಳು ಮತ್ತು ವರ್ಚುವಲೈಸೇಶನ್ ಪರಿಸರಗಳ ಸಂಪೂರ್ಣ ಪಟ್ಟಿ ಮಾರಾಟಗಾರರ ವೆಬ್ಸೈಟ್ನಲ್ಲಿ ಲಭ್ಯವಿದೆ.
ನೀವು ಪ್ರಾರಂಭಿಸುವ ಮೊದಲು, ಡೀಫಾಲ್ಟ್ ವರ್ಚುವಲ್ ಮೆಷಿನ್ ಇಮೇಜ್ನಲ್ಲಿ ಯಾವುದೇ ನೆಟ್ವರ್ಕ್ ಇಂಟರ್ಫೇಸ್ಗಳಿಲ್ಲ ಎಂಬುದನ್ನು ದಯವಿಟ್ಟು ಗಮನಿಸಿ:
ತರ್ಕವು ಸ್ಪಷ್ಟವಾಗಿದೆ, ಬಳಕೆದಾರನು ತನಗೆ ಅಗತ್ಯವಿರುವಷ್ಟು ಇಂಟರ್ಫೇಸ್ಗಳನ್ನು ಸೇರಿಸಬೇಕು. ನಾನು ಏಕಕಾಲದಲ್ಲಿ ನಾಲ್ಕು ಸೇರಿಸುತ್ತೇನೆ:
ಈಗ ನಾನು ವರ್ಚುವಲ್ ಯಂತ್ರವನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತೇನೆ. ಪ್ರಾರಂಭವಾದ ತಕ್ಷಣ, ಗೇಟ್ವೇಗೆ ಬಳಕೆದಾರಹೆಸರು ಮತ್ತು ಪಾಸ್ವರ್ಡ್ ಅಗತ್ಯವಿರುತ್ತದೆ.
ಎಸ್-ಟೆರ್ರಾ ಗೇಟ್ವೇಯಲ್ಲಿ ವಿವಿಧ ಖಾತೆಗಳೊಂದಿಗೆ ಹಲವಾರು ಕನ್ಸೋಲ್ಗಳಿವೆ. ನಾನು ಅವರ ಸಂಖ್ಯೆಯನ್ನು ಪ್ರತ್ಯೇಕ ಲೇಖನದಲ್ಲಿ ಎಣಿಸುತ್ತೇನೆ. ಸದ್ಯಕ್ಕೆ:
Login as: administrator
Password: s-terra
ನಾನು ಗೇಟ್ವೇ ಅನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತಿದ್ದೇನೆ. ಪ್ರಾರಂಭವು ಕ್ರಿಯೆಗಳ ಅನುಕ್ರಮವಾಗಿದೆ: ಪರವಾನಗಿಯನ್ನು ನಮೂದಿಸುವುದು, ಜೈವಿಕ ಯಾದೃಚ್ಛಿಕ ಸಂಖ್ಯೆಯ ಜನರೇಟರ್ ಅನ್ನು ಹೊಂದಿಸುವುದು (ಕೀಬೋರ್ಡ್ ಸಿಮ್ಯುಲೇಟರ್ - ನನ್ನ ದಾಖಲೆ 27 ಸೆಕೆಂಡುಗಳು) ಮತ್ತು ನೆಟ್ವರ್ಕ್ ಇಂಟರ್ಫೇಸ್ ನಕ್ಷೆಯನ್ನು ರಚಿಸುವುದು.
ನೆಟ್ವರ್ಕ್ ಇಂಟರ್ಫೇಸ್ಗಳ ನಕ್ಷೆ. ಇದು ಸುಲಭವಾಯಿತು
ಆವೃತ್ತಿ 4.2 ಸಕ್ರಿಯ ಬಳಕೆದಾರರನ್ನು ಸಂದೇಶಗಳೊಂದಿಗೆ ಸ್ವಾಗತಿಸಿದೆ:
Starting IPsec daemon….. failed
ERROR: Could not establish connection with daemon
ಸಕ್ರಿಯ ಬಳಕೆದಾರ (ಅನಾಮಧೇಯ ಎಂಜಿನಿಯರ್ ಪ್ರಕಾರ) ತ್ವರಿತವಾಗಿ ಮತ್ತು ದಾಖಲಾತಿ ಇಲ್ಲದೆ ಯಾವುದನ್ನಾದರೂ ಹೊಂದಿಸಬಹುದಾದ ಬಳಕೆದಾರ.
ಇಂಟರ್ಫೇಸ್ನಲ್ಲಿ IP ವಿಳಾಸವನ್ನು ಹೊಂದಿಸಲು ಪ್ರಯತ್ನಿಸುವ ಮೊದಲು ಏನೋ ತಪ್ಪಾಗಿದೆ. ಇದು ನೆಟ್ವರ್ಕ್ ಇಂಟರ್ಫೇಸ್ ನಕ್ಷೆಯ ಬಗ್ಗೆ ಅಷ್ಟೆ. ಇದನ್ನು ಮಾಡುವುದು ಅಗತ್ಯವಾಗಿತ್ತು:
/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
service networking restart
ಪರಿಣಾಮವಾಗಿ, ಭೌತಿಕ ಇಂಟರ್ಫೇಸ್ ಹೆಸರುಗಳ ಮ್ಯಾಪಿಂಗ್ (0000:02:03.0) ಮತ್ತು ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಮ್ (eth0) ಮತ್ತು ಸಿಸ್ಕೊ ತರಹದ ಕನ್ಸೋಲ್ (ಫಾಸ್ಟ್ಎಥರ್ನೆಟ್0/0) ನಲ್ಲಿ ಅವುಗಳ ತಾರ್ಕಿಕ ಪದನಾಮಗಳನ್ನು ಒಳಗೊಂಡಿರುವ ನೆಟ್ವರ್ಕ್ ಇಂಟರ್ಫೇಸ್ ನಕ್ಷೆಯನ್ನು ರಚಿಸಲಾಗಿದೆ:
#Unique ID iface type OS name Cisco-like name
0000:02:03.0 phye eth0 FastEthernet0/0
ಇಂಟರ್ಫೇಸ್ಗಳ ತಾರ್ಕಿಕ ಪದನಾಮಗಳನ್ನು ಅಲಿಯಾಸ್ ಎಂದು ಕರೆಯಲಾಗುತ್ತದೆ. ಅಲಿಯಾಸ್ಗಳನ್ನು /etc/ifaliases.cf ಫೈಲ್ನಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗಿದೆ.
ಆವೃತ್ತಿ 4.3 ರಲ್ಲಿ, ವರ್ಚುವಲ್ ಯಂತ್ರವನ್ನು ಮೊದಲು ಪ್ರಾರಂಭಿಸಿದಾಗ, ಇಂಟರ್ಫೇಸ್ ನಕ್ಷೆಯನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ರಚಿಸಲಾಗುತ್ತದೆ. ನೀವು ವರ್ಚುವಲ್ ಗಣಕದಲ್ಲಿ ನೆಟ್ವರ್ಕ್ ಇಂಟರ್ಫೇಸ್ಗಳ ಸಂಖ್ಯೆಯನ್ನು ಬದಲಾಯಿಸಿದರೆ, ದಯವಿಟ್ಟು ಇಂಟರ್ಫೇಸ್ ನಕ್ಷೆಯನ್ನು ಮರುಸೃಷ್ಟಿಸಿ:
/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
systemctl restart networking
ಯೋಜನೆ 1: GRE-over-IPsec
ನಾನು ಎರಡು ವರ್ಚುವಲ್ ಗೇಟ್ವೇಗಳನ್ನು ನಿಯೋಜಿಸುತ್ತೇನೆ, ಚಿತ್ರದಲ್ಲಿ ತೋರಿಸಿರುವಂತೆ ನಾನು ಬದಲಾಯಿಸುತ್ತೇನೆ:
ಹಂತ 1. IP ವಿಳಾಸಗಳು ಮತ್ತು ಮಾರ್ಗಗಳನ್ನು ಹೊಂದಿಸಿ
VG1(config) #
interface fa0/0
ip address 172.16.1.253 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.1.253 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.254VG2(config) #
interface fa0/0
ip address 172.16.1.254 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.2.254 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.253IP ಸಂಪರ್ಕವನ್ನು ಪರಿಶೀಲಿಸಲಾಗುತ್ತಿದೆ:
root@VG1:~# ping 172.16.1.254 -c 4
PING 172.16.1.254 (172.16.1.254) 56(84) bytes of data.
64 bytes from 172.16.1.254: icmp_seq=1 ttl=64 time=0.545 ms
64 bytes from 172.16.1.254: icmp_seq=2 ttl=64 time=0.657 ms
64 bytes from 172.16.1.254: icmp_seq=3 ttl=64 time=0.687 ms
64 bytes from 172.16.1.254: icmp_seq=4 ttl=64 time=0.273 ms
--- 172.16.1.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 0.273/0.540/0.687/0.164 msಹಂತ 2: GRE ಅನ್ನು ಹೊಂದಿಸಿ
ಅಧಿಕೃತ ಸ್ಕ್ರಿಪ್ಟ್ಗಳಿಂದ GRE ಅನ್ನು ಹೊಂದಿಸುವ ಉದಾಹರಣೆಯನ್ನು ನಾನು ತೆಗೆದುಕೊಳ್ಳುತ್ತೇನೆ. ನಾನು ವಿಷಯಗಳೊಂದಿಗೆ /etc/network/interfaces.d ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ gre1 ಫೈಲ್ ಅನ್ನು ರಚಿಸುತ್ತೇನೆ.
VG1 ಗಾಗಿ:
auto gre1
iface gre1 inet static
address 1.1.1.1
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.254 local 172.16.1.253 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1VG2 ಗಾಗಿ:
auto gre1
iface gre1 inet static
address 1.1.1.2
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.253 local 172.16.1.254 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1ನಾನು ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ಹೆಚ್ಚಿಸುತ್ತೇನೆ:
root@VG1:~# ifup gre1
root@VG2:~# ifup gre1ಪರಿಶೀಲಿಸಲಾಗುತ್ತಿದೆ:
root@VG1:~# ip address show
8: gre1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1400 qdisc noqueue state UNKNOWN group default qlen 1
link/gre 172.16.1.253 peer 172.16.1.254
inet 1.1.1.1/30 brd 1.1.1.3 scope global gre1
valid_lft forever preferred_lft forever
root@VG1:~# ip tunnel show
gre0: gre/ip remote any local any ttl inherit nopmtudisc
gre1: gre/ip remote 172.16.1.254 local 172.16.1.253 ttl 64 tos inherit key 1ಸಿ-ಟೆರ್ರಾ ಗೇಟ್ವೇ ಅಂತರ್ನಿರ್ಮಿತ ಪ್ಯಾಕೆಟ್ ಸ್ನಿಫರ್ ಅನ್ನು ಹೊಂದಿದೆ - tcpdump. ನಾನು pcap ಫೈಲ್ಗೆ ಟ್ರಾಫಿಕ್ ಡಂಪ್ ಅನ್ನು ಬರೆಯುತ್ತೇನೆ:
root@VG2:~# tcpdump -i eth0 -w /home/dump.pcapನಾನು GRE ಇಂಟರ್ಫೇಸ್ಗಳ ನಡುವೆ ಪಿಂಗ್ ಮಾಡಲು ಪ್ರಾರಂಭಿಸುತ್ತೇನೆ:
root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=0.850 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=0.974 ms
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 0.850/0.915/0.974/0.043 msGRE ಸುರಂಗವು ಚಾಲನೆಯಲ್ಲಿದೆ ಮತ್ತು ಚಾಲನೆಯಲ್ಲಿದೆ:
ಹಂತ 3. GOST GRE ನೊಂದಿಗೆ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿ
ನಾನು ಗುರುತಿನ ಪ್ರಕಾರವನ್ನು ಹೊಂದಿಸಿದ್ದೇನೆ - ವಿಳಾಸದ ಮೂಲಕ. ಪೂರ್ವನಿರ್ಧರಿತ ಕೀಲಿಯೊಂದಿಗೆ ದೃಢೀಕರಣ (ಬಳಕೆಯ ನಿಯಮಗಳ ಪ್ರಕಾರ, ಡಿಜಿಟಲ್ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಬಳಸಬೇಕು):
VG1(config)#
crypto isakmp identity address
crypto isakmp key KEY address 172.16.1.254ನಾನು IPsec ಹಂತ I ನಿಯತಾಂಕಗಳನ್ನು ಹೊಂದಿಸಿದ್ದೇನೆ:
VG1(config)#
crypto isakmp policy 1
encr gost
hash gost3411-256-tc26
auth pre-share
group vko2ನಾನು IPsec ಹಂತ II ನಿಯತಾಂಕಗಳನ್ನು ಹೊಂದಿಸಿದ್ದೇನೆ:
VG1(config)#
crypto ipsec transform-set TSET esp-gost28147-4m-imit
mode tunnelನಾನು ಎನ್ಕ್ರಿಪ್ಶನ್ಗಾಗಿ ಪ್ರವೇಶ ಪಟ್ಟಿಯನ್ನು ರಚಿಸುತ್ತೇನೆ. ಉದ್ದೇಶಿತ ಸಂಚಾರ - GRE:
VG1(config)#
ip access-list extended LIST
permit gre host 172.16.1.253 host 172.16.1.254ನಾನು ಕ್ರಿಪ್ಟೋ ನಕ್ಷೆಯನ್ನು ರಚಿಸುತ್ತೇನೆ ಮತ್ತು ಅದನ್ನು WAN ಇಂಟರ್ಫೇಸ್ಗೆ ಬಂಧಿಸುತ್ತೇನೆ:
VG1(config)#
crypto map CMAP 1 ipsec-isakmp
match address LIST
set transform-set TSET
set peer 172.16.1.253
interface fa0/0
crypto map CMAPVG2 ಗಾಗಿ, ಸಂರಚನೆಯನ್ನು ಪ್ರತಿಬಿಂಬಿಸಲಾಗಿದೆ, ವ್ಯತ್ಯಾಸಗಳು:
VG2(config)#
crypto isakmp key KEY address 172.16.1.253
ip access-list extended LIST
permit gre host 172.16.1.254 host 172.16.1.253
crypto map CMAP 1 ipsec-isakmp
set peer 172.16.1.254ಪರಿಶೀಲಿಸಲಾಗುತ್ತಿದೆ:
root@VG2:~# tcpdump -i eth0 -w /home/dump2.pcaproot@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=1128 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=126 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=1.07 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=1.12 ms
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.077/314.271/1128.419/472.826 ms, pipe 2
ISAKMP/IPsec ಅಂಕಿಅಂಶಗಳು:
root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 1 (172.16.1.253,500)-(172.16.1.254,500) active 1086 1014
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 1 (172.16.1.253,*)-(172.16.1.254,*) 47 ESP tunn 480 480GRE ಟ್ರಾಫಿಕ್ ಡಂಪ್ನಲ್ಲಿ ಯಾವುದೇ ಪ್ಯಾಕೆಟ್ಗಳಿಲ್ಲ:
ತೀರ್ಮಾನ: GRE-over-IPsec ಯೋಜನೆಯು ಸರಿಯಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ.
ಚಿತ್ರ 1.5: IPsec-over-GRE
ನಾನು ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ IPsec-over-GRE ಅನ್ನು ಬಳಸಲು ಯೋಜಿಸುವುದಿಲ್ಲ. ನಾನು ಬಯಸುತ್ತೇನೆ ಏಕೆಂದರೆ ನಾನು ಸಂಗ್ರಹಿಸುತ್ತೇನೆ.
GRE-over-IPsec ಯೋಜನೆಯನ್ನು ಬೇರೆ ರೀತಿಯಲ್ಲಿ ನಿಯೋಜಿಸಲು:
- ಗೂಢಲಿಪೀಕರಣ ಪ್ರವೇಶ ಪಟ್ಟಿಯನ್ನು ಸರಿಪಡಿಸಿ - LAN1 ನಿಂದ LAN2 ಗೆ ಉದ್ದೇಶಿತ ಸಂಚಾರ ಮತ್ತು ಪ್ರತಿಯಾಗಿ;
- GRE ಮೂಲಕ ರೂಟಿಂಗ್ ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ;
- GRE ಇಂಟರ್ಫೇಸ್ನಲ್ಲಿ ಕ್ರಿಪ್ಟೋಮ್ಯಾಪ್ ಅನ್ನು ಸ್ಥಗಿತಗೊಳಿಸಿ.
ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, ಸಿಸ್ಕೋ ತರಹದ ಗೇಟ್ವೇ ಕನ್ಸೋಲ್ನಲ್ಲಿ ಯಾವುದೇ GRE ಇಂಟರ್ಫೇಸ್ ಇಲ್ಲ. ಇದು ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಂನಲ್ಲಿ ಮಾತ್ರ ಅಸ್ತಿತ್ವದಲ್ಲಿದೆ.
ನಾನು ಸಿಸ್ಕೋ ತರಹದ ಕನ್ಸೋಲ್ಗೆ GRE ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ಸೇರಿಸುತ್ತೇನೆ. ಇದನ್ನು ಮಾಡಲು, ನಾನು /etc/ifaliases.cf ಫೈಲ್ ಅನ್ನು ಸಂಪಾದಿಸುತ್ತೇನೆ:
interface (name="FastEthernet0/0" pattern="eth0")
interface (name="FastEthernet0/1" pattern="eth1")
interface (name="FastEthernet0/2" pattern="eth2")
interface (name="FastEthernet0/3" pattern="eth3")
interface (name="Tunnel0" pattern="gre1")
interface (name="default" pattern="*")ಅಲ್ಲಿ gre1 ಎಂಬುದು ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಂನಲ್ಲಿ ಇಂಟರ್ಫೇಸ್ ಪದನಾಮವಾಗಿದೆ, Tunnel0 ಎಂಬುದು ಸಿಸ್ಕೋ ತರಹದ ಕನ್ಸೋಲ್ನಲ್ಲಿ ಇಂಟರ್ಫೇಸ್ ಪದನಾಮವಾಗಿದೆ.
ನಾನು ಫೈಲ್ನ ಹ್ಯಾಶ್ ಅನ್ನು ಮರು ಲೆಕ್ಕಾಚಾರ ಮಾಡುತ್ತೇನೆ:
root@VG1:~# integr_mgr calc -f /etc/ifaliases.cf
SUCCESS: Operation was successful.ಈಗ Tunnel0 ಇಂಟರ್ಫೇಸ್ Cisco ತರಹದ ಕನ್ಸೋಲ್ನಲ್ಲಿ ಕಾಣಿಸಿಕೊಂಡಿದೆ:
VG1# show run
interface Tunnel0
ip address 1.1.1.1 255.255.255.252
mtu 1400ಎನ್ಕ್ರಿಪ್ಶನ್ಗಾಗಿ ಪ್ರವೇಶ ಪಟ್ಟಿಯನ್ನು ಸರಿಪಡಿಸಲಾಗುತ್ತಿದೆ:
VG1(config)#
ip access-list extended LIST
permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255ನಾನು GRE ಮೂಲಕ ರೂಟಿಂಗ್ ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡುತ್ತೇನೆ:
VG1(config)#
no ip route 0.0.0.0 0.0.0.0 172.16.1.254
ip route 192.168.3.0 255.255.255.0 1.1.1.2ನಾನು ಕ್ರಿಪ್ಟೋಮ್ಯಾಪ್ ಅನ್ನು Fa0 / 0 ನಿಂದ ತೆಗೆದುಹಾಕುತ್ತೇನೆ ಮತ್ತು ಅದನ್ನು GRE ಇಂಟರ್ಫೇಸ್ಗೆ ಬಂಧಿಸುತ್ತೇನೆ:
VG1(config)#
interface Tunnel0
crypto map CMAPVG2 ಗೆ ಇದು ಹೋಲುತ್ತದೆ.
ಪರಿಶೀಲಿಸಲಾಗುತ್ತಿದೆ:
root@VG2:~# tcpdump -i eth0 -w /home/dump3.pcaproot@VG1:~# ping 192.168.2.254 -I 192.168.1.253 -c 4
PING 192.168.2.254 (192.168.2.254) from 192.168.1.253 : 56(84) bytes of data.
64 bytes from 192.168.2.254: icmp_seq=1 ttl=64 time=492 ms
64 bytes from 192.168.2.254: icmp_seq=2 ttl=64 time=1.08 ms
64 bytes from 192.168.2.254: icmp_seq=3 ttl=64 time=1.06 ms
64 bytes from 192.168.2.254: icmp_seq=4 ttl=64 time=1.07 ms
--- 192.168.2.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.064/124.048/492.972/212.998 msISAKMP/IPsec ಅಂಕಿಅಂಶಗಳು:
root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 2 (172.16.1.253,500)-(172.16.1.254,500) active 1094 1022
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 2 (192.168.1.0-192.168.1.255,*)-(192.168.2.0-192.168.2.255,*) * ESP tunn 352 352ಇಎಸ್ಪಿ ಟ್ರಾಫಿಕ್ ಡಂಪ್ನಲ್ಲಿ, ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಜಿಆರ್ಇಯಲ್ಲಿ ಸುತ್ತುವರಿಯಲಾಗಿದೆ:
ತೀರ್ಮಾನ: IPsec-over-GRE ಸರಿಯಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ.
ಫಲಿತಾಂಶಗಳು
ಒಂದು ಕಪ್ ಕಾಫಿ ಸಾಕಾಗಿತ್ತು. ನಾನು ಡೆಮೊ ಆವೃತ್ತಿಯನ್ನು ಪಡೆಯಲು ಸೂಚನೆಗಳನ್ನು ಚಿತ್ರಿಸಿದ್ದೇನೆ. GRE-over-IPsec ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗಿದೆ ಮತ್ತು ಪ್ರತಿಯಾಗಿ ನಿಯೋಜಿಸಲಾಗಿದೆ.
ಆವೃತ್ತಿ 4.3 ರಲ್ಲಿ ನೆಟ್ವರ್ಕ್ ಇಂಟರ್ಫೇಸ್ಗಳ ನಕ್ಷೆಯು ಸ್ವಯಂಚಾಲಿತವಾಗಿದೆ! ನಾನು ಮತ್ತಷ್ಟು ಪರೀಕ್ಷಿಸುತ್ತಿದ್ದೇನೆ.
ಅನಾಮಧೇಯ ಇಂಜಿನಿಯರ್
t.me/anonymous_engineer
ಮೂಲ: www.habr.com