| Both sides previous revisionPrevious revisionNext revision | Previous revision |
| tssltd:соединение_первого_типа._инкапсуляция_l4 [2025/01/23 16:53] – i.sharapov | tssltd:соединение_первого_типа._инкапсуляция_l4 [2025/01/24 15:31] (current) – i.sharapov |
|---|
| [[tssltd:общие_настройки|Вернуться к оглавлению]] | [[tssltd:мксз_diamond_next|Вернуться к оглавлению]] |
| |
| ==== Описание параметров ==== | ==== Описание параметров (Соединение первого типа) ==== |
| |
| <WRAP indent> | <WRAP indent> |
| </WRAP> | </WRAP> |
| |
| ==== Настройка защищенного соединения ==== | |
| | ==== Настройки ip адреса на сетевых интерфейсах ==== |
| |
| <WRAP indent> | <WRAP indent> |
| === Настройки ip адреса на сетевых интерфейсах === | По умолчанию сетевой интерфейс на устройстве находится в состоянии "**Down**". Для изменения состояния необходимо подключиться к устройству через web интерфейс. В главном меню выбрать пункт "**Сетевые настройки - Интерфейс Ethernet**". В таблице "**Интерфейсы Ethernet**" необходимо выбрать нужный сетевой интерфейс и нажать на кнопку "**Редактировать**". В новом окне в таблице "Настроить ethernet интерфейс" в поле "**Состояние**" необходимо задать значение "**Up**". После изменения состояния для сетевого интерфейса необходимо нажать на кнопку "**ОК**" и "**Сохранить**". |
| | |
| По умолчанию сетевой интерфейс на устройстве находится в состоянии "Down". Для изменения состояния необходимо подключиться к устройству через web интерфейс. В главном меню выбрать пункт "Сетевые настройки - Интерфейс Ethernet". В таблице "Интерфейсы Ethernet" необходимо выбрать нужный сетевой интерфейс и нажать на кнопку "Редактировать". В новом окне в таблице "Настроить ethernet интерфейс" в поле "Состояние" необходимо задать значение "Up". После изменения состояния для сетевого интерфейса необходимо нажать на кнопку "ОК" и "Сохранить". | |
| |
| {{ :tssltd:interface_state.jpg |}} | {{ :tssltd:interface_state.jpg |}} |
| {{ :tssltd:ip_config_2.jpg |}} | {{ :tssltd:ip_config_2.jpg |}} |
| |
| <wrap todo>Для "**Устройства 2**" необходимо сделать аналогичную настройку. Изменить состояние сетевого интерфейса "**GigabitEthernet8/0/0**" с "**Down**" на "**Up**" и задать ip адрес "**192.168.250.1/24**".</wrap> | |
| |
| После изменения состояния сетевого интерфейса и задания сетевого адреса на обоих устройствах, можно подключиться к каждому устройству по протоколу ssh и проверить настройки и сетевую доступность. В консольном режиме необходимо перейти в режим просмотра информации на уровне “data plane” с помощью команды “vppctl” и выполнить команду “show interface <interface_name>” и "sh interface address <interface_name>". При выполнении команд в консоли допускаются сокращения, например, “sh interface” и "sh int addr". | Для "**Устройства 2**" необходимо сделать аналогичную настройку. Изменить состояние сетевого интерфейса "**GigabitEthernet8/0/0**" с "**Down**" на "**Up**" и задать ip адрес "**192.168.250.1/24**". |
| | |
| | |
| | После изменения состояния сетевого интерфейса и задания сетевого адреса на обоих устройствах, можно подключиться к каждому устройству по протоколу ssh и проверить настройки и сетевую доступность. В консольном режиме необходимо перейти в режим просмотра информации на уровне “**data plane**” с помощью команды “**vppctl**” и выполнить команду “**show interface <interface_name>**” и "**sh interface address <interface_name>**". При выполнении команд в консоли допускаются сокращения, например, “**sh interface” и "sh int addr**". |
| |
| <code> | <code> |
| vpp# | vpp# |
| </code> | </code> |
| | </WRAP> |
| |
| | ==== Создание LCP интерфейса ==== |
| |
| === Создание LCP интерфейса === | <WRAP indent> |
| LCP интерфейс необходим для того, чтобы устройства смогли установить защищенное соединение, согласовать ключевую информацию и другие параметры. LCP интерфейс является отображением физического интерфейса, через который обмениваются сетевым трафиком устройства, на уровне управления. | LCP интерфейс необходим для того, чтобы устройства смогли установить защищенное соединение, согласовать ключевую информацию и другие параметры. LCP интерфейс является отображением физического интерфейса, через который обмениваются сетевым трафиком устройства, на уровне управления. |
| |
| Для создания LCP интерфейса необходимо подключиться к устройству через web интерфейс. В главном меню выбрать пункт "**Сетевые настройки - Интерфейс LCP**". В таблице "**Интерфейс LCP**" необходимо нажать на кнопку "**Добавить интерфейс**". В новом окне в таблице "**Настроить LCP интерфейс**" в поле "Название" необходимо задать название для LCP интерфейса, в поле "**Имя нижележащего интерфейса**" необходимо выбрать физический интерфейс. На обоих устройствах необходимо задать имя для LCP интерфейс "**lcp_vpn**". После задания параметров для LCP интерфейса необходимо нажать на кнопку "ОК" и "Сохранить". | Для создания LCP интерфейса необходимо подключиться к устройству через web интерфейс. В главном меню выбрать пункт "**Сетевые настройки - Интерфейс LCP**". В таблице "**Интерфейс LCP**" необходимо нажать на кнопку "**Добавить интерфейс**". В новом окне в таблице "**Настроить LCP интерфейс**" в поле "Название" необходимо задать название для LCP интерфейса, в поле "**Имя нижележащего интерфейса**" необходимо выбрать физический интерфейс. На обоих устройствах необходимо задать имя для LCP интерфейс "**lcp_vpn**". После задания параметров для LCP интерфейса необходимо нажать на кнопку "**ОК**" и "**Сохранить**". |
| |
| {{ :tssltd:lcp_create_1.jpg |}} | {{ :tssltd:lcp_create_1.jpg |}} |
| {{ :tssltd:lcp_create_3.jpg |}} | {{ :tssltd:lcp_create_3.jpg |}} |
| |
| <wrap todo>Для "**Устройства 2**" необходимо сделать аналогичную настройку. Для LCP интерфейса необходимо задать как нижележащий интерфейс - "**GigabitEthernet8/0/0**" .</wrap> | |
| | Для "**Устройства 2**" необходимо сделать аналогичную настройку. Для LCP интерфейса необходимо задать как нижележащий интерфейс - "**GigabitEthernet8/0/0**" . |
| |
| После создания LCP интерфейса можно подключиться к каждому устройству по протоколу ssh и проверить настройки. В консольном уровне управления необходимо выполнить команду "**ifconfig lcp_vpn**". Обратите внимание, что на LCP интерфейсе автоматически будет задан такой же ip адрес, как и на физическом интерфейсе, который был задан как нижележащий при настройке. Командой "**ping**" можно проверить сетевую доступность. | После создания LCP интерфейса можно подключиться к каждому устройству по протоколу ssh и проверить настройки. В консольном уровне управления необходимо выполнить команду "**ifconfig lcp_vpn**". Обратите внимание, что на LCP интерфейсе автоматически будет задан такой же ip адрес, как и на физическом интерфейсе, который был задан как нижележащий при настройке. Командой "**ping**" можно проверить сетевую доступность. |
| </code> | </code> |
| |
| === Создание VPN интерфейса === | </WRAP> |
| |
| | ==== Создание VPN интерфейса ==== |
| | |
| | <WRAP indent> |
| Для построения защищенного соединения между устройствами необходимо создать интерфейс VPN. Это логический интерфейс, который будет связан с механизмами шифрования. Весь трафик, который мы будем передавать на этот сетевой интерфейс, будет попадать в защищенное соединение. | Для построения защищенного соединения между устройствами необходимо создать интерфейс VPN. Это логический интерфейс, который будет связан с механизмами шифрования. Весь трафик, который мы будем передавать на этот сетевой интерфейс, будет попадать в защищенное соединение. |
| |
| </WRAP> | </WRAP> |
| |
| === Работа с ключевой информацией === | ==== Работа с ключевой информацией ==== |
| <WRAP indent> | <WRAP indent> |
| | Для построения защищенного соединения на устройство необходимо загрузить ключевую информацию. Ключевая информация включает в себя корневой сертификат и ключ. Корневой сертификат необходимо загрузить на каждое устройство, ключ у каждого устройства должен быть свой. |
| | |
| | Для загрузки корневого сертификата необходимо подключиться к устройству через web интерфейс. В главном меню выбрать пункт "**VPN - Сертификаты и ключи**". В таблице "**Сертификаты и ключевые пары**" необходимо нажать на кнопку "**Добавить объект ИОК**". В новом окне, в таблице "**Добавление объекта ИОК**" необходимо нажать на кнопку "**Загрузить объект ИОК**". Далее в проводнике необходимо выбрать файл с корневым сертификатом. После добавления корневого сертификата необходимо нажать на кнопку "**ОК**" и "**Сохранить**". |
| | |
| | {{ :tssltd:key_1.jpg |}} |
| | |
| | {{ :tssltd:key_2.jpg |}} |
| | |
| | {{ :tssltd:key_3.jpg |}} |
| | |
| | Далее необходимо загрузить ключевую пару. Загрузка происходит аналогично, но для ключа необходимо ввести пароль от контейнера. |
| | |
| | {{ :tssltd:key_4.jpg |}} |
| | |
| | После загрузки корневого сертификата и ключевой пары можно переходить к настройке защищенного соединения. |
| | |
| |
| </WRAP> | </WRAP> |
| |
| === Настройка защищенного соединения === | ==== Настройка защищенного соединения ==== |
| <WRAP indent> | <WRAP indent> |
| Для настройки защищенного соединения необходимо подключиться к устройству через web интерфейс. В главном меню выбрать пункт "**VPN - VPN-сервис**". В таблице "**VPN-сервис**" необходимо нажать на кнопку "**Добавить сервис**". В новом окне в таблице "**Настроить VPN сервис**" необходимо задать параметры для сервиса. | Для настройки защищенного соединения необходимо подключиться к устройству через web интерфейс. В главном меню выбрать пункт "**VPN - VPN-сервис**". В таблице "**VPN-сервис**" необходимо нажать на кнопку "**Добавить сервис**". В новом окне в таблице "**Настроить VPN сервис**" необходимо задать параметры для сервиса. |
| |
| <wrap important>Обратите внимание, что часть параметров имеет значения по умолчанию. Эти значения подобраны оптимальным образом. Не рекомендуется без необходимости изменять их.</wrap> | Обратите внимание, что часть параметров имеет значения по умолчанию. Эти значения подобраны оптимальным образом. Не рекомендуется без необходимости изменять их. |
| |
| Параметры для защищенного соединения для первого устройства представлены в таблице: | Параметры для защищенного соединения для первого устройства представлены в таблице: |
| {{ :tssltd:vpn_service_start.jpg |}} | {{ :tssltd:vpn_service_start.jpg |}} |
| |
| Работа сервиса означает, что устройства пробуют установить защищенное соединение согласно настройкам, которые были заданы. Фактически соединение может быть не установлено. Для проверки, что защищенное соединение установлено, можно посмотреть либо журналы событий. Для этого необходимо в главном меню выбрать пункт "**Журналы событий - Журнал VPN**". Для заданного сервиса должна быть запись вида "**Handshake finished**". Также проверить, что защищенное соединение установлено, можно через консольное подключение. Для этого необходимо подключиться к устройству по протоколу ssh, перейти в режим просмотра информации на уровне “data plane” с помощью команды “vppctl” и выполнить команду “show dmvpn tunnels”. | Работа сервиса означает, что устройства пробуют установить защищенное соединение согласно настройкам, которые были заданы. Фактически соединение может быть не установлено. Для проверки, что защищенное соединение установлено, можно посмотреть либо журналы событий. Для этого необходимо в главном меню выбрать пункт "**Журналы событий - Журнал VPN**". Для заданного сервиса должна быть запись вида "**Handshake finished**". Также проверить, что защищенное соединение установлено, можно через консольное подключение. Для этого необходимо подключиться к устройству по протоколу ssh, перейти в режим просмотра информации на уровне “**data plane**” с помощью команды “**vppctl**” и выполнить команду “**show dmvpn tunnels**”. |
| |
| <code> | <code> |
| </WRAP> | </WRAP> |
| |
| === Настройка сетевого адреса на VPN интерфейсах === | ==== Настройка сетевого адреса на VPN интерфейсах ==== |
| <WRAP indent> | <WRAP indent> |
| |
| |
| Аналогичную проверку можно выполнить с "**Устройства 2**". | Аналогичную проверку можно выполнить с "**Устройства 2**". |
| </wrap> | </WRAP> |
| |
| ==== Проверка защищенного соединения ==== | ===== Проверка защищенного соединения ===== |
| |
| <WRAP indent> | <WRAP indent> |
| Чтобы разобраться как передаются данные через служебный канала и канал с полезной нагрузкой, представим себе, что в разрез канала мы подключили дополнительное устройство, на котором осуществляем захват сетевого трафика с помощью утилиты "**tcpdump**". | Чтобы разобраться как передаются данные через служебный канала и канал с полезной нагрузкой, представим себе, что в разрез канала мы подключили дополнительное устройство, на котором осуществляем захват сетевого трафика с помощью утилиты "**tcpdump**". |
| |
| Для захвата сетевого трафика можно использовать такую команду "tcpdump -ni enp0s20f3 host 192.168.250.1". Если через канала не передается полезная нагрузка, то мы сможем увидеть только каналообразующий трафик, которые идет на сетевой порт 1025 по протоколу UDP и трафик протокола arp. | Для захвата сетевого трафика можно использовать такую команду "**tcpdump -ni enp0s20f3 host 192.168.250.1**". Если через канала не передается полезная нагрузка, то мы сможем увидеть только каналообразующий трафик, которые идет на сетевой порт 1025 по протоколу UDP и трафик протокола arp. |
| |
| <code> | <code> |
| 16:34:59.182265 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 | 16:34:59.182265 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 |
| 16:34:59.182372 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 | 16:34:59.182372 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 |
| 16:35:00.171922 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 | |
| 16:35:00.172027 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 | |
| 16:35:01.184237 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 | |
| 16:35:01.184350 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 | |
| 16:35:02.171890 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 | |
| 16:35:02.171999 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 | |
| 16:35:03.171870 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 | |
| 16:35:03.171978 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 | |
| 16:35:04.171861 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 | |
| 16:35:04.171970 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 | |
| 16:35:05.129626 IP 192.168.250.1.34309 > 192.168.250.2.1025: UDP, length 22 | |
| 16:35:05.129741 IP 192.168.250.2.1025 > 192.168.250.1.34309: UDP, length 22 | |
| 16:35:05.171839 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 | |
| 16:35:05.171928 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 | |
| </code> | </code> |
| |
| |
| |
| [[tssltd:общие_настройки|Вернуться к оглавлению]] | [[tssltd:мксз_diamond_next|Вернуться к оглавлению]] |
