Часть II, модуль IV

Содержание

1. Remote Access VPNs .......................................................................................................................... 3

1.1 EasyVPN .......................................................................................................................................... 3
1.1.1 Easy VPN (с аутентификацией и авторизацией в локальной базе данных) .............................. 3
1.1.2 Easy VPN (Remote-Access VPN) (с аутентификацией и авторизацией через Radius) ................ 5
1.1.3 Easy VPN (Remote-Access VPN) (работа с использованием сертификатов) .............................. 8
1.2 FlexVPN ........................................................................................................................................ 10
1.2.1 FlexVPN (общая аутентификация и авторизация в локальной базе данных) ......................... 10
1.2.2 FlexVPN (индивидуальная авторизация в локальной базе данных EAP-AnyConnect) ........... 15
1.2.3 FlexVPN (индивидуальная авторизация в локальной базе данных EAP-AnyConnect с
запросом сертификата у пользователя) ............................................................................................ 18
1.2.4 FlexVPN (индивидуальная авторизация в локальной базе данных методом RSA-SIG) ......... 18
1.2.5 FlexVPN (групповая авторизация на Radius методом RSA-Signature) ..................................... 20
1.2.6 FlexVPN (индивидуальная аутентификация и авторизация на Radius методом EAP)............ 21
1.2.7 FlexVPN (индивид. аутентификация и авторизация на Radius методом AnyConnect-EAP) ... 22
1.2.8 FlexVPN. Настройка Accounting ................................................................................................. 22
Приложение A. Ручной запрос сертификата у Cisco Certificate Authority ............................... 23
1. Ручной запрос сертификата для VPN Client ........................................................................................ 23
2. Ручной запрос сертификата для Cisco Router .................................................................................... 25
Ссылки на полезные ресурсы ............................................................................................................. 26
Содержание следующих модулей...................................................................................................... 27

© Академия IT DarkMaycal Sysadmins

2
 1. Remote Access VPNs
1.1 EasyVPN
1.1.1 Easy VPN (с аутентификацией и авторизацией в локальной базе данных)
Общая конфигурация:
Router (config)# aaa new-model
aaa authentication login
Router (config)#
EASY_VPN_USERS local
aaa authorization network
Router (config)#
EASY_VPN_GROUP local
aaa authentication login default
Router (config)#
local
aaa authorization exec default
Router (config)#
local
Router (config)# username maycal password cisco
Router (config)# crypto isakmp policy 20
Router (config-isakmp)# authentication pre-share
Router (config-isakmp)# encr aes 256
Router (config-isakmp)# group 2
Router (config-isakmp)# lifetime 3600
crypto ipsec transform-set
Router (config)# SetForEasyVPN esp-aes 256 esp-
sha-hmac comp-lzs
crypto isakmp client configuration
Router (config)#
group remote-clients
Router (config-isakmp-group)# key strongkey
Router (config-isakmp-group)# domain darkmaycal.sysadmins
pool
Router (config-isakmp-group)# IP_POOL_FOR_EASY_VPN_CLIENT
S пул будет создан позже)
www.darkmaycal-it.ru
включение новой модели аутентификации,
авторизации и аккаунтинга
указываем, что группа EASY_VPN_USERS
будет аутентифицироваться в локальной
базе данных
указываем, что группа EASY_VPN_GROUP
будет авторизовываться в сети (получать
сетевые полномочия) в локальной базе
данных
указываем, что аутентификация на самом
роутере будет происходить в локальной
базе данных
указываем, что авторизация на самом
роутере будет происходить в локальной
базе данных
создаем локального пользователя maycal
и паролем cisco
создаем ISAKMP профиль с целью указания
параметров для фазы 1 (то, как будут
шифроваться служебные данные IPSec)
указываем, что аутентификация для IPSec
будет происходить по pre-shared ключу
шифрование данных сессии будет AES 256
бит
алгоритм обмена ключами Diffie-Hellman
будет 2
время жизни SA будет 3600
указываем параметры для второй фазы
IPSec (то, как будут шифроваться
пользовательские данные). Инкапсуляция
будет ESP, шифрование данные - aes 256,
при этом будет использоваться алгоритм
проверки целостности sha-hmac и будет
проводиться сжатие данных comp-lzs
создаем группу с названием remote-clients
задаем ключ для группы megakey
strongkey
задаем домен
указываем пул, из которого удаленным
клиентам будут раздаваться ip адреса (этот
3

Router (config-isakmp-group)# acl 100
Router (config-isakmp-group)# dns 192.168.1.10 (опционально)
Router (config-isakmp-group)# save-password
Router (config-isakmp-group)# group-lock
crypto isakmp profile
Router (config)#
IKE_PROFILE_FOR_EASY_VPN
match identity group remote-
Router (conf-isa-prof)#
clients
client authentication list
Router (conf-isa-prof)#
EASY_VPN_USERS
isakmp authorization list
Router (conf-isa-prof)#
EASY_VPN_GROUP
client configuration address
Router (conf-isa-prof)#
respond
Router (conf-isa-prof)# virtual-template 1
crypto ipsec profile
Router (config)#
FOR_EASY_VPN
Router (ipsec-profile)# set transform-set SetForEasyVPN
set isakmp-profile
Router (ipsec-profile)#
IKE_PROFILE_FOR_EASY_VPN
interface Virtual-Template1 type
Router (config)#
tunnel
Router (config-if)# ip unnumbered Ethernet1/0
Router (config-if)# tunnel mode ipsec ipv4
tunnel protection ipsec profile
Router (config-if)#
FOR_EASY_VPN
ip local pool
Router (config)# IP_POOL_FOR_EASY_VPN_CLIENT
S 140.20.20.1 140.20.20.100
access-list 100 permit ip
Router (config)#
192.168.0.0 0.0.255.255 any
Router# show ip local pool
Router# show crypto session
© Академия IT DarkMaycal Sysadmins
указываем access-list, который будет
использоваться для split tunneling
dns сервер, который будет раздаваться
удаленным клиентам по DHCP
(опционально) клиентам будет разрешено
сохранять пароль
привязывать xauth логин к имени группы
(не применять, если не созданы группы)
создаем isakmp профиль
IKE_PROFILE_FOR_EASY_VPN
этот профиль будет срабатывать, если
будет срабатывать client configuration
group remote-clients
указываем, какую группу для
аутентификации будем использовать
указываем, какую группу для авторизации
будем использовать
настраиваем роутер таким образом, чтобы
он выдавал им свою конфигурацию
привязываем шаблон виртуального
туннельного интерфейса
создаем ipsec профиль FOR_EASY_VPN
применяем к нему созданный ранее
SetForEasyVPN
применяем к нему созданный ранее
ISAKMP профиль
создаем шаблон виртуального
туннельного интерфейса
unnumbered указывает на то, что в
качестве ip адреса для этого туннельного
интерфейса будет использован ip адрес с
интерфейса Ethernet1/0
указываем режим работы интерфейса как
IPsec с использованием протокола ip
версии 4
для защиты IPsec будет использовать
созданный ранее профиль IPsec
FOR_EASY_VPN
cоздаем пул ip адресов, которые будем
раздавать удаленным сотрудникам
split tunneling. Указываем какие сети будут
доступны для удаленных сотрудников
посмотреть занятость ip-адресов и
количество подключившихся по группам
посмотреть клиентов, подключенных к
роутеру по EasyVPN
4
 Программы-клиенты:

1. Cisco VPN Client для Windows

2. Shrew Soft VPN Client для Windows
3. Аппаратный файрволл Cisco ASA
4. Аппаратный роутер Cisco IOS начиная с версии 12.2Т

1.1.2 Easy VPN (Remote-Access VPN) (с аутентификацией и авторизацией через Radius)

Для того, чтобы перевести аутентификацию и авторизацию на Radius, нужно строки:

aaa authentication login EASY_VPN_USERS local

aaa authorization network EASY_VPN_GROUP local

заменить на

aaa authentication login EASY_VPN_USERS group radius

aaa authorization network EASY_VPN_GROUP group radius

«crypto isakmp client configuration group remote-clients» с его параметрами нам больше не нужен, мы можем его
удалить. Все его параметры будет передаваться с помощью сетевой политики из Radius.

Настройка Radius, ключевые моменты:

1. В Windows NPS создадим RADIUS-клиента, укажем IP нашего роутера (на который будут терминироваться
VPN подключения и который будет обращаться к Radius) и придумаем пароль, например: HNDhfree

2. В Сisco роутере укажем радиус-сервер:

Для современных IOS 15:

перейдем в контекст редактирования

Router (config)# radius server ADRADIUS
address ipv4 123.20.20.5 auth-
Router (config-radius-server)#
port 1812 acct-port 1813
Router (config-radius-server)# key HNDhfree
radius-сервера
укажем ip адрес нашего radius-сервера, а
также порт для аутентификации и порт для
аккаунтинга
укажем ключ от radius-сервера

www.darkmaycal-it.ru
5

Router (config-radius-server)# ip radius source-interface lo0
Router# debug radius
укажем из-под какого интерфейса, а
соответственно из-под какого ip адреса
наш роутер будет обращаться к radius-
серверу
диагностика radius-сервера

Для ранних версий IOS 15 и IOS младше:

указываем ip адрес radius-сервера, порт для

radius-server host 123.20.20.5
Router (config)# auth-port 1812 acct-port 1813
key HNDhfree
Router (config)# ip radius source-interface lo0
Router# debug radius
аутентификации, порт для аккаутинга и
пароль от radius-сервера для подключения к
нему. Внимание! Указание портов
обязательно, по умолчанию используются
устаревшие номера портов
укажем из-под какого интерфейса, а
соответственно из-под какого ip адреса наш
роутер будет обращаться к radius-серверу
диагностика radius-сервера

3. В AD необходимо создать пользователя с именем remote-clients и паролем cisco и поместить его в группу,
например test. Этим пользователем и паролем будет аутентифицироваться наш Cisco роутер на самом
Radius. Пользователя наш роутер возьмет из crypto isakmp profile ike-profile-1 (match identity group remote-
clients), а вот пароль "cisco" указывать не нужно - он уже вшит в сам роутер. Предварительно нужно
изменить политику безопасности AD таким образом, чтобы он позволил сделать пароль длиной в 5
символов: http://pk-help.com/server/password-ad/

4. В NPS создать сетевую политику в качестве метода аутентификации оставить только PAP. Политику можно
назвать VPN_authorization, поскольку это именно авторизовывающая политика (выдает все параметры)

5. В политике сделаем условие подпадания под windows группу test.

6. Далее в той же самой политике в разделе "зависящие от поставщика" для вендора Cisco добавим
следующее:

ipsec:key-exchange=ike

ipsec:tunnel-type=ESP

ipsec:tunnel-password=megakey123

ipsec:addr-pool=POOL_1 (пул ip адресов, которые мы выдаем клиенту)

ipsec:inacl=100 (access-list № 100 сплит-туннелирования)

ipsec:user-save-password=1 (разрешить сохранять пароли)

7. Итак, при подключении с помощью Cisco VPN Client мы указываем группу remote-clients и пароль
megakey123. Таким образом мы, как VPN клиент авторизуемся и получаем все необходимые настройки,

© Академия IT DarkMaycal Sysadmins

6
 указанные выше. Теперь нужно настроить аутентификацию самого пользователя. Для этого в AD сделаем
нового пользователя maycal с любым паролем и добавим его в новую группу "test2"

8. Создадим новую политику (с аутентификацией только PAP) и назовем её VPN_authentication, сделаем

условие подпадания под windows группу test2.

Все, теперь можно подключаться по VPN с пользователем maycal и паролем, который мы указали.

Если что-то не получается, на радиус-сервере перейдем в CMD и зададим команду:

netsh ras diagnostics set rastracing * enabled

Потом, "в просмотре событий" (вызывается из диспетчера сервера), в разделе "безопасность" мы сможем
посмотреть аудит успеха или аудит отказа авторизации или аутентификации нашего роутера и клиента на радиус-
сервере.

www.darkmaycal-it.ru
7
 1.1.3 Easy VPN (Remote-Access VPN) (работа с использованием сертификатов)

Вся процедура выглядит следующем образом:

1. Развертывается CA
2. На роутер (к которому подключаются клиенты) выписывается сертификат.
3. Клиенту (который подключается к роутеру) тоже выписывается сертификат.
4. Производится изменение конфигурации роутера

1. Настройка СA. В примере ниже представлена самая базовая конфигурация:

переходим в режим настройки pki сервера

Router (config)# crypto pki server MY-CS
MY-CS
указываем, что будем хранить полную базу
Router (cs-server)# database level complete
данных сертификатов
указываем, что запросы на сертификат
Router (cs-server)# grant auto
будут подтверждаться автоматически
хэш от полей сертификата будет
создаваться с помощью алгоритма sha1 (а
Router (cs-server)# hash sha1 затем шифроваться закрытым ключом CA и
помещаться в поле digital signature
сертификата, выдаваемого пользователю)
указываем путь к базе данных, где будем
Router (cs-server)# database url unix:/cerbase
хранить сертификаты

2. Сертификат на роутер выписывается самым обычным образом через trustpoint. Поля сертификата –
любые.

3. Сертификат на клиента выписывается ручным образом: извлекаем корневой сертификат из СА, вставляем
его в VPN Client. С помощью VPN клиента формируем запрос сертификата. Внимание! При создании
запроса не сертификат в Cisco VPN Client, нужно заполнить поля CN и OU. Поле CN – любое значение, оно
не обязано совпадать с именем компьютера. Поле OU должно иметь значение «remote» без ковычек.
Другие поля необходимо оставить пустыми, в ином случае VPN соединение установлено не будет.
Вставляем этот запрос сертификата в CA и получаем выписанный сертификат. Этот выписанный
сертификат вставляем в VPN Client. Это и есть тот сертификат, по которому мы будем работать.
Подробнее об этой процедуре в видеоуроке (по FlexVPN), а также в приложении A.

4. На роутере добавим:

создаем карту сертификатов с

Router (config)# crypto pki certificate map VPN_Certs 10
именем VPN_Certs
указываем критерий
Router (ca-certificate-map)# subject-name co ou = remote срабатывания карты
сертификатов

© Академия IT DarkMaycal Sysadmins

8
Мы создаем карту сертификатов, которая будет отслеживать в сертификате (который будет прислать на роутер
VPN Client) поле OU. В нем должно быть написано: remote

Применяем команду: «crypto isakmp identity dn» (без неё работать не будет!)

из «crypto isakmp policy 20» убираем «authentication pre-share»

из «crypto isakmp profile FOR_EASY_VPN » убираем все «match», и добавляем:

match certificate VPN_Certs

client configuration group remote-clients

Полный IKEv1 профиль FOR_EASY_VPN будет выглядеть следующим образом:

заходим в ранее созданный

Router (config)# crypto isakmp profile FOR_EASY_VPN
isakmp профиль ike-profile-1
данный профиль, будет
срабатывать, если будет
Router (conf-isa-prof)# match certificate VPN_Certs
срабатывать карта сертификатов
VPN_Certs
указываем, какую группу для
client authentication list
Router (conf-isa-prof)# аутентификации будем
EASY_VPN_USERS
использовать
isakmp authorization list указываем, какую группу для
Router (conf-isa-prof)#
EASY_VPN_GROUP авторизации будем использовать
настраиваем роутер таким
Router (conf-isa-prof)# client configuration address respond образом, чтобы он выдавал им
свою конфигурацию
client configuration group remote- подключаем к isakmp профилю
Router (conf-isa-prof)#
clients группу remote-clients
подключаем к профилю шаблон
Router (conf-isa-prof)# virtual-template 1
виртуального интерфейса

На этом конфигурация завершена. Можно подключаться с использованием сертификатов.

www.darkmaycal-it.ru
9
 1.2 FlexVPN

1.2.1 FlexVPN (общая аутентификация и авторизация в локальной базе данных)

Необходимое условие: наличие центра сертификации CA

1. Получаем личный сертификат для Edge роутера от CA посредством trustpoint с именем FlexVPN-TP-CS2.

генерируем ключевую пару с

crypto key generate rsa label FLEXVPN-
Router (config)# именем FLEXVPN-KEYS-CS2 и
KEYS-CS2 modulus 2048
длиной ключа 2048 бит
создаем trustpoint с именем
Router (ca-trustpoint)# crypto pki trustpoint FlexVPN-TP-CS2
FlexVPN-TP-CS2
указываем адрес CA сервера, у
Router (ca-trustpoint)# enrollment url http://60.0.3.1:80 которого в последствии будем
запрашивать сертификат
fqdn
Router (ca-trustpoint)# задаем FQDN
46.151.155.19.darkmaycal.sysadmins
указываем значение, которое
будет помещено в поле «имя
владельца» будущего
сертификата. Внимание! В поле
subject-name
CN обязательно должен быть
Router (ca-trustpoint)# CN=46.151.155.19,OU=FLEXVPN,O=Dark
указан внешний, публичный IP
Maycal,C=RU
адрес роутера Edge. Примечание:
CN это Relative Distinguished Name
(RDN), как и OU, O, C и прочие
RDNs.
отключаем кеширование CRL
Router (ca-trustpoint)# crl cache none
файла
отключаем механизм проверки
сертификата на факт отзыва
посредством CRL файла.
Внимание! На первоначальных
Router (ca-trustpoint)# revocation-check none
этапах конфигурирования,
рекомендуется отключать этот
механизм для облегчения поиска
неисправностей.
подключаем к trustpoint ранее
Router (ca-trustpoint)# rsakeypair FLEXVPN-KEYS-CS2
созданную ключевую пару
запрашиваем сертификат самого҆
Router (config)# crypto pki authenticate FlexVPN-TP-CS2
CA
запрашиваем личный сертификат
Router (config)# crypto pki enroll FlexVPN-TP-CS2
у CA для роутера Edge

© Академия IT DarkMaycal Sysadmins

10
 2. Задаем параметры авторизации. Эти параметры будут передаваться на VPN клиент

с помощью пула с именем

FLEX_POOL указываем диапазон
ip local pool FLEX_POOL 172.16.0.1 IP адресов, которые будут
Router (config)#
172.16.254.254 присваиваться интерфейсу VPN
клиента Remote Access
сотрудников
создаем стандартный
Router (config)# ip access-list standard split_tunnel именованный ACL с именем
split_tunnel
в этом ACL указываем список
защищенных IPv4 подсетей
Router (config-std-nacl)# permit 60.0.2.1 (подсети, которые будут
добавлены в таблицу
маршрутизации VPN клиентов)
создаем политику авторизации с
crypto ikev2 authorization policy
Router (config)# именем
FLEXVPN_AUTHOR_POLICY
FLEXVPN_AUTHOR_POLICY
подключаем к политике ранее
Router (config-ikev2-author-
pool FLEX_POOL созданный пул с диапазоном IP
policy)#
адресов
активируем сплит-
Router (config-ikev2-author-
route set access-list split_tunnel туннелирование, подключая
policy)#
ранее созданный ACL

3. Настраиваем параметры первой фазы

создаем IKEv2 «предложение» c

Router (config)# crypto ikev2 proposal PROP1_FOR_FLEX
именем PROP1_FOR_FLEX
это «предложение» будет
включать шифрование AES с
длиной ключа 256 бит. Cipher
Router (config-ikev2-proposal)# encryption aes-cbc-256
Block Chaining (CBC) – режим
шифрования (метод применения
блочного шифра)
алгоритм проверки целостности
Router (config-ikev2-proposal)# integrity sha256
будет sha c длиной хэша 256 бит.
Router (config-ikev2-proposal)# group 14 указываем номер группы DH
crypto ikev2 policy
создаем политику с именем
Router (config)# IKEv2_POL_FOR_FLEX
IKEv2_POL_FOR_FLEX,
и подключаем к ней
Router (config-ikev2-policy)# proposal PROP1_FOR_FLEX «предложение» с именем
PROP1_FOR_FLEX

www.darkmaycal-it.ru
11
 4. Настраиваем параметры второй фазы

создаем transform-set с именем

crypto ipsec transform-set
TSET_FOR_FLEX и указываем
Router (config)# TSET_FOR_FLEX esp-aes 256 esp-
алгоритмы шифрования и
sha256-hmac
проверки целостности
активируем туннельный режим
Router (cfg-crypto-trans)# mode tunnel
IPSec

5. Создаем IKEv2 профиль – «сердце» FlexVPN

создаем IKEv2 профиль с именем

Router (config)# crypto ikev2 profile FLEX_IKEv2_PROF
match identity remote key-id
Router (config-ikev2-profile)#
*$AnyConnectClient$*
Router (config-ikev2-profile)# authentication local rsa-sig
authentication remote anyconnect-eap
Router (config-ikev2-profile)#
aggregate
Router (config-ikev2-profile)# pki trustpoint FlexVPN-TP-CS2
aaa authentication anyconnect-eap
Router (config-ikev2-profile)#
A_EAP_AUTHEN_LOCAL_LIST
aaa authorization group anyconnect-eap
Router (config-ikev2-profile)# list A_EAP_AUTHOR_LOCAL_LIST
FLEXVPN_AUTHOR_POLICY
FLEX_IKEv2_PROF
если VPN клиент будет присылать
идентификатор (identity)
*$AnyConnectClient$*, то IKEv2
профиль будет срабатывать.
для установления VPN
соединения, роутер должен
прислать клиенту свой личный
сертификат, подписанный RSA
алгоритмом.
для подключения к сети, VPN-
клиент должен будет
использовать метод
аутентификации anyconnect-eap,
при этом предоставить логин и
пароль (за запрос логина и
пароля отвечает команда
aggregate)
подключаем ранее созданный
trustpoint. За этим trustpoint
закреплен личный сертификат
роутера, который и будет
отправляться VPN клиентам.
для аутентификации будет
использован метод, указанный в
листе с именем
A_EAP_AUTHEN_LOCAL_LIST
для авторизации будет
использован метод, указанный в
листе с именем
A_EAP_AUTHOR_LOCAL_LIST. В
момент авторизации, будет
применена политика с именем
FLEXVPN_AUTHOR_POLICY

© Академия IT DarkMaycal Sysadmins

12
 конкретные параметры
авторизации (пул ip адресов,
подсети, которые будут
aaa authorization user anyconnect-eap добавлены в таблицу
Router (config-ikev2-profile)#
cached маршрутизации VPN клиентов и
прочее) будут получены в
процессе аутентификации
(неявная авторизация)
подключаем к профилю VTI
Router (config-ikev2-profile)# virtual-template 100 интерфейс с номером 100. VTI
интерфейс будет создан позже

6. Создаем IPSec профиль

создаем IPSec профиль с именем

Router (config)# crypto ipsec profile FLEX_IPSEC_PROF
FLEX_IPSEC_PROF
подключаем ранее созданный
Router (ipsec-profile)# set transform-set TSET_FOR_FLEX
transform-set
подключаем ранее созданный
Router (ipsec-profile)# set ikev2-profile FLEX_IKEv2_PROF
IKEv2 профиль

7. Создаем Virtual Tunnel Interface (VTI)

interface virtual-template 100 type создаем VTI интерфейс с

Router (config)#
tunnel номером 100
указываем, что на туннельный
интерфейс будет автоматически
назначаться тот же самый адрес,
Router (config-if)# ip unnumbered GigabitEthernet0/0
который назначен
администратором на интерфейс
GigabitEthernet0/0
устанавливаем оптимальный
Router (config-if)# ip mtu 1400
размер MTU
указываем, что VTI интерфейс
Router (config-if)# tunnel mode ipsec ipv4
будет работать с IPsec
tunnel protection ipsec profile подключаем ранее созданный
Router (config-if)#
FLEX_IPSEC_PROF IPSec профиль

8. Активируем и настраиваем AAA New Model

активируем новую модель

Router (config)# aaa new-model аутентификации, авторизации и
аккаутинга
указываем, что пользователи
через лист с именем
aaa authentication login
Router (config)# A_EAP_AUTHEN_LOCAL_LIST будут
A_EAP_AUTHEN_LOCAL_LIST local
аутентифицироваться в
локальной базе данных

www.darkmaycal-it.ru
13
 указываем, что пользователи
через лист с именем
aaa authorization network
Router (config)# A_EAP_AUTHOR_LOCAL_LIST будут
A_EAP_AUTHOR_LOCAL_LIST local
авторизовываться в локальной
базе данных
задаем логин и пароль
(credentials), которые клиенту
Router (config)# username Maycal password cisco необходимо будет ввести для
подключения к сети посредством
FlexVPN

9. Настройка функции HTTP-URL-based lookup

функция HTTP-URL-based lookup

Router (config)# no crypto ikev2 http-url cert
позволяет избежать
фрагментации, которая возникает
при передаче больших
сертификатов. По умолчанию
включена. Если роутер строит
VPN туннель с Cisco ASA, и при
этом ASA имеет неисправленный
баг CSCul48246, то ASA не сможет
согласовать функцию HTTP-URL-
based lookup, в результате чего
соединение не будет
установлено. Чтобы избежать
этой проблемы, следует
использовать команду no crypto
ikev2 http-url cert. Она отключит
функцию HTTP-URL-based lookup
на маршрутизаторе и позволит
ему взаимодействовать с ASA.

10. Настройка функции автоматической загрузки AnyConnect профиля на клиента при подключении
(требуется IOS-XE 16.9.1 или старше)

copy
загрузка .xml профиля в память
Router# ftp://Maycal:P6yqS*#1@123.20.20.5/an
роутера
prof.xml flash:
crypto vpn anyconnect profile anprof подключение .xml профиля к
Router (config)#
flash:/anprof.xml движку crypto vpn
повторно входим в ранее
Router (config)# crypto ikev2 profile FLEX_IKEv2_PROF
созданный IKEv2 профиль

© Академия IT DarkMaycal Sysadmins

14
 подключаем .xml профиль к IKEv2
профилю. Теперь при
подключении, AnyConnect VPN
клиенты будут получать
Router (config-ikev2-profile)# anyconnect profile anprof конфигурационный профиль
автоматически. *Данная команда
не будет применена, если роутер
не поддерживает функцию
передачи профиля

11. Команды диагностики

отобразить ассоциации
Router# show crypto ikev2 sa
безопасности первой фазы IKEv2
отобразить детальную
информацию по состоянию
Router# show crypto ikev2 sa detailed
ассоциаций безопасности первой
фазы IKEv2
показать информацию по крипто-
Router# show crypto session [detail]
сессиям
показать конфигурационные
show derived-config interface virtual-
Router# политики, установленные для
access 1
клиента

12. Поиск неисправностей

debug crypto ikev2 [с параметрами или

Router# запуск дибага первой фазы
без]
debug crypto ipsec [с параметрами или
Router# запуск дибага второй фазы
без]
Router# debug aaa authentication запуск дибага аутентификации

Router# debug aaa authorization запуск дибага авторизации

Router# debug crypto pki [все параметры] запуск дибага PKI

1.2.2 FlexVPN (индивидуальная авторизация в локальной базе данных EAP-AnyConnect)

1. Настраиваем политику авторизации для менеджеров:

удаляем политику авторизации с

no crypto ikev2 authorization policy
Router (config)# именем
FLEXVPN_AUTHOR_POLICY
FLEXVPN_AUTHOR_POLICY
Router (config)# no ip access-list standard split_tunnel удаляем старый ACL

www.darkmaycal-it.ru
15
 Router (config)# ip access-list standard SPLIT-MANAGERS создаем новый ACL
в этом ACL указываем список
защищенных IPv4 подсетей
permit host 123.20.20.5
Router (config-std-nacl)# (подсети, которые будут
permit 192.168.4.0 0.0.0.255
добавлены в таблицу
маршрутизации VPN клиентов)
crypto ikev2 authorization policy создаем новую политику
Router (config)#
MANAGERS авторизации
подключаем к политике ранее
созданный пул с диапазоном IP
Router (config-ikev2-author- адресов (тот же самый, который
pool FLEX_POOL
policy)# был ранее подключен к
ликвидированной политике
авторизации)
активируем сплит-
туннелирование, подключая
Router (config)# route set access-list SPLIT-MANAGERS
ранее созданный ACL для
менеджеров

2. Настраиваем политику авторизации для бухгалтеров:

ip access-list standard SPLIT-

Router (config)# создаем еще один ACL
BUHGALTERS
в этом ACL указываем список
защищенных IPv4 подсетей
Router (config-std-nacl)# permit host 123.20.20.5 (подсети, которые будут
добавлены в таблицу
маршрутизации VPN клиентов)
crypto ikev2 authorization policy создаем еще одну политику
Router (config)#
BUHGALTERS авторизации
подключаем к политике ранее
Router (config-ikev2-author- созданный пул с диапазоном IP
pool FLEX_POOL
policy)# адресов (такой же, как и в первой
политике)
активируем сплит-
Router (config-ikev2-author- туннелирование, подключая
route set access-list SPLIT-BUHGALTERS
policy)# ранее созданный ACL для
бухгалтеров

3. Создаем группы пользователей:

удаляем старого пользователя из

Router (config)# no username Maycal password сisco
локальной базы данных
создаем пользователя Vladimir,
username MANAGERS\Vladimir
Router (config)# который входит в группу
password cisco1
«менеджеры»
создаем пользователя Dmitriy,
username MANAGERS\Dmitriy password
Router (config)# который входит в группу
cisco2
«менеджеры»

© Академия IT DarkMaycal Sysadmins

16
 создаем пользователя Masha,
username BUHGALTERS\Masha
Router (config)# которая входит в группу
password cisco3
«бухгалтеры»
создаем пользователя Sveta,
username BUHGALTERS\Sveta password
Router (config)# которая входит в группу
cisco4
«бухгалтеры»

4. Создаем Name Mangler (избиратель):

создаем name-mangler
crypto ikev2 name-mangler
Router (config)# (избиратель) с именем
FLEX_MNGR_LOCAL_DB
FLEX_MNGR_LOCAL_DB
пользователь для anyconnect-eap
аутентификации будет вводить
значение имеющие вид:
«BUHGALTERS \Sveta», где
BUHGALTERS – prefix; «\» -
Router (config-ikev2-name-
eap prefix delimiter \ разделитель; Sveta – suffix.
mangler) #
Команда слева означает, что
name-mangler будет избирать
BUHGALTERS (это prefix до
разделителя «/») и передавать
механизмам FlexVPN.

5. Модифицируем IKEv2 профиль:

переходим к редактированию
Router(config)# crypto ikev2 profile FLEX_IKEv2_PROF
IKEv2 профиля
no aaa authorization group anyconnect-
удаляем старую отсылку к методу
Router(config-ikev2-profile)# eap list A_EAP_AUTHOR_LOCAL_LIST
авторизации
FLEXVPN_AUTHOR_POLICY
создаем новую отсылку к методу
aaa authorization group anyconnect-eap
авторизации и подключаем ранее
Router(config-ikev2-profile)# list A_EAP_AUTHOR_LOCAL_LIST name-
созданный избиратель с именем
mangler FLEX_MNGR_LOCAL_DB
FLEX_MNGR_LOCAL_DB

www.darkmaycal-it.ru
17
 1.2.3 FlexVPN (индивидуальная авторизация в локальной базе данных EAP-AnyConnect
с запросом сертификата у пользователя)

Модифицируем IKEv2 профиль:

переходим к редактированию
Router(config)# crypto ikev2 profile FLEX_IKEv2_PROF
IKEv2 профиля
для подключения к сети, VPN-
клиент должен будет
использовать метод
аутентификации anyconnect-eap,
при этом предоставить логин и
authentication remote anyconnect-eap
Router(config-ikev2-profile)# пароль (за запрос логина и
aggregate cert-request
пароля отвечает команда
aggregate). Кроме того,
пользователь должен будет
предоставить X.509 сертификат
(параметр cert-request)

1.2.4 FlexVPN (индивидуальная авторизация в локальной базе данных методом RSA-Signature)

1. Создаем карту сертификатов:

crypto pki certificate map создаем карту сертификатов с

Router(config)#
FLEXVPN_CERTS 10 именем FLEXVPN_CERTS
карта сертификатов будет
срабатывать, если сертификат
Router(ca-certificate-map)# subject-name co o = DarkMaycal клиента, в поле «имя владельца»
(subject-name), будет содержать
(co) O=DarkMaycal

2. Создаем новый Name Mangler (избиратель):

создаем новый избиратель с

Router (config)# crypto ikev2 name-mangler FLEX_MNGR
именем FLEX_MNGR
из полученного от клиента
сертификата, избиратель будет
Router (config-ikev2-name-
dn organization-unit копировать значение OU
mangler) #
(organization-unit) и передавать
его в профиль IKEv2

© Академия IT DarkMaycal Sysadmins

18
 3. Модифицируем IKEv2 профиль:

Router(config)# crypto ikev2 profile FLEX_IKEv2_PROF
Router(config-ikev2-profile)# match certificate FLEXVPN_CERTS
no authentication remote anyconnect-
Router(config-ikev2-profile)#
eap aggregate cert-request
Router(config-ikev2-profile)# authentication remote rsa-sig
no aaa authentication anyconnect-eap
Router(config-ikev2-profile)#
A_EAP_AUTHEN_LOCAL_LIST
no aaa authorization group anyconnect-
Router(config-ikev2-profile)# eap list A_EAP_AUTHOR_LOCAL_LIST
name-mangler FLEX_MNGR_LOCAL_DB
no aaa authorization user anyconnect-
Router(config-ikev2-profile)#
eap cached
aaa authorization group cert list
Router(config-ikev2-profile)# A_EAP_AUTHOR_LOCAL_LIST name-
mangler FLEX_MNGR
переходим к редактированию
IKEv2 профиля
подключаем ранее созданную
карту сертификатов (профиль
будет срабатывать, если будет
срабатывать карта сертификатов)
удаляем старый метод
аутентификации
VPN-клиент будет
аутентифицироваться только с
использованием сертификата RSA
удаляем отсылку к предыдущему
методу аутентификации
удаляем отсылку к предыдущему
методу авторизации
атрибуты не будут передаваться в
процессе аутентификации
создаем новую отсылку к методу
авторизации и подключаем ранее
созданный избиратель с именем
FLEX_MNGR

4. Удаляем предыдущий Name Mangler:

no crypto ikev2 name-mangler

Router (config)# удаляем предыдущий избиратель
FLEX_MNGR_LOCAL_DB

www.darkmaycal-it.ru
19
 1.2.5 FlexVPN (групповая авторизация на Radius методом RSA-Signature)

1. Указываем адрес Radius сервера:

в системе IOS создаем Radius

Router(config)# radius server FLEX-VPN-RAD
сервер с именем FLEX-VPN-RAD
указываем IP адрес Radius
сервера, а также порты, где 1645
address ipv4 123.20.20.5 auth-port 1645
Router (config-radius-server)# – порт для
acct-port 1646
аутентификации/авторизации,
1646 – порт для аккаутинга
указываем пароль для доступа к
Router (config-radius-server)# key W8GN32@
Radius серверу
в качестве интерфейса-источника,
из-под которого будут
Router(config)# ip radius source-interface lo0
направляться запросы на Radius,
устанавливаем loopback 0

2. Добавляем созданный сервер к Radius группе:

создаем группу Radius серверов с

Router(config)# aaa group server radius RADIUS-GROUP
именем RADIUS-GROUP
подключаем ранее созданный
Router(config-sg-radius) # server name FLEX-VPN-RAD
сервер к группе RADIUS-GROUP

3. Подключаем Radius сервер (группу серверов, содержащую конкретный Radius сервер) к AAA модели:

no aaa authentication login удаляем предыдущий лист

Router (config)#
A_EAP_AUTHEN_LOCAL_LIST local
no aaa authorization network
Router (config)#
A_EAP_AUTHOR_LOCAL_LIST local
aaa authorization network
Router (config)# A_EAP_AUTHOR_LOCAL_LIST group
RADIUS-GROUP
аутентификации
удаляем предыдущий лист
авторизации
теперь роутер будет искать
политики авторизации не в
локальной базе данных, а на
Radius сервере. К конкретному
Radius серверу, роутер будет
добираться через группу RADIUS-
GROUP

4. Удаляем более ненужные политики авторизации:

no crypto ikev2 authorization policy удаляем политику с именем

Router (config)#
MANAGERS MANAGERS
no crypto ikev2 authorization policy удаляем политику с именем
Router (config)#
BUHGALTERS BUHGALTERS

© Академия IT DarkMaycal Sysadmins

20
 1.2.6 FlexVPN (индивидуальная аутентификация и авторизация на Radius методом EAP)

1. Модифицируем IKEv2 профиль:

переходим к редактированию
Router(config)# crypto ikev2 profile FLEX_IKEv2_PROF
IKEv2 профиля
удаляем предыдущий метод
Router (config-ikev2-profile)# no authentication remote rsa-sig
аутентификации
authentication remote eap query- устанавливаем новый метод
Router (config-ikev2-profile)#
identity аутентификации EAP
no aaa authorization group cert list
удаляем старую отсылку к листу
Router (config-ikev2-profile)# A_EAP_AUTHOR_LOCAL_LIST name-
авторизации
mangler FLEX_MNGR
aaa authentication eap создаем отсылку к листу
Router (config-ikev2-profile)#
A_EAP_AUTHEN_LOCAL_LIST аутентификации
AAA-атрибуты будут передаваться
Router (config-ikev2-profile)# aaa authorization user eap cached
в процессе аутентификации
удаляем условие срабатывания
Router (config-ikev2-profile)# no match certificate FLEXVPN_CERTS
профиля по карте-сертификатов
условием срабатывания IKEv2
Router (config-ikev2-profile)# match identity remote address 0.0.0.0
профиля будет любой identity

2. Редактируем AAA-модель:

создаем связь между листом

аутентификации и группой Radius-
серверов (тот, кто будет
aaa authentication login
обращаться к листу
Router(config)# A_EAP_AUTHEN_LOCAL_LIST group
A_EAP_AUTHEN_LOCAL_LIST,
RADIUS-GROUP
будет понимать, что для
аутентификации следует
использовать Radius сервер)

3. Удаляем избиратель:

no crypto ikev2 name-mangler в системе IOS создаем Radius

Router(config)#
FLEX_MNGR сервер с именем FLEX-VPN-RAD

4. Удаляем карту сертификатов:

no crypto pki certificate map удаляем более неиспользуемую

Router(config)#
FLEXVPN_CERTS 10 карту сертификатов

www.darkmaycal-it.ru
21
 1.2.7 FlexVPN (индивидуальная аутентификация и авторизация на Radius методом AnyConnect-EAP)
Модифицируем IKEv2 профиль:
Router(config)# crypto ikev2 profile FLEX_IKEv2_PROF
no authentication remote eap query-
Router (config-ikev2-profile)#
identity
no aaa authentication eap
Router (config-ikev2-profile)#
A_EAP_AUTHEN_LOCAL_LIST
Router (config-ikev2-profile)# no aaa authorization user eap cached
no match identity remote address
Router (config-ikev2-profile)#
0.0.0.0
authentication remote anyconnect-eap
Router (config-ikev2-profile)#
aggregate cert-request
aaa authentication anyconnect-eap
Router (config-ikev2-profile)#
A_EAP_AUTHEN_LOCAL_LIST
aaa authorization user anyconnect-eap
Router (config-ikev2-profile)#
cached
1.2.8 FlexVPN. Настройка Accounting
aaa accounting network
Router(config)# FLEXVPN_ACC_LIST start-stop group
RADIUS-GROUP
Router(config)# crypto ikev2 profile FLEX_IKEv2_PROF
aaa accounting anyconnect-eap
Router (config-ikev2-profile)#
FLEXVPN_ACC_LIST
© Академия IT DarkMaycal Sysadmins
переходим к редактированию
IKEv2 профиля
удаляем предыдущий метод
аутентификации
удаляем предыдущую отсылку к
листу аутентификации
удаляем указание на неявную
авторизацию для предыдущего
метода eap
удаляем match-statement,
который использовался для
Windows VPN клиента
указываем метод аутентификации
anyconnect-eap с запросом
пароля пользователя и
опционально с запросом
сертификата пользователя - cert-
request
устанавливаем отсылку к листу
аутентификации для метода
anyconnect-eap
устанавливаем указание на
неявную авторизацию для нового
метода anyconnect-eap
связываем лист
FLEXVPN_ACC_LIST с радиус-
группой RADIUS-GROUP. «Start-
stop» означает, что accounting -
информация будет передаваться
на radius сервер как при
возникновении события, так и по
завершению события
переходим к редактированию
IKEv2 профиля
эта команда активирует
accounting для механизма
FlexVPN. Куда именно передавать
accounting-информацию,
написано в листе
FLEXVPN_ACC_LIST
22
 Приложение A. Ручной запрос сертификата у Cisco Certificate Authority

1. Ручной запрос сертификата для VPN Client

1. Получаем сертификат самого҆ Cisco CA. Для этого переходим на роутер с настроенным PKI сервером и
вводим команду:

команда вывода корневого CA сертификата

CA(config)# crypto pki export MY-CS pem terminal
на терминал. MY-CS это имя trustpoint

Выводом команды будет:

% The specified trustpoint is not enrolled (R1_CA).

% Only export the CA certificate in PEM format.

% CA certificate:

-----BEGIN CERTIFICATE-----

MIIB+TCCAWKgAwIBAgIBATANBgkqhkiG9w0BAQQFADAQMQ4wDAYDVQQDDAVSMV9D

< несколько строк удалено>

DGYNWd2ZD9fRjymWL0MLffgFQfNfMAj9kgploDQ=

-----END CERTIFICATE-----

2. Выделить все от -----BEGIN CERTIFICATE----- (включая) до -----END CERTIFICATE----- (тоже включая), после
чего скопировать и вставить в notepad и сохранить как TXT file (например C:\CACert.txt);

3. В VPN client перейти к «Certificates->Import->Browse»;

4. Выбрать файл C:\CACert.txt и нажать на кнопку «import». После этого в VPN Client можно будет увидеть
только что импортированный CA сертификат (предварительно включить отображение сертификатов из
хранилища CA);

5. Сгенерировать запрос на сам сертификат: «Certificates->Enroll->File->File Encoding=Base-64» и задать имя,

(например C:\CertReq.txt);

6. На следующем экране для работоспособности сертификата необходимо заполнить поле CN (любое

значение, оно не обязано совпадать с именем компьютера) и поле OU. Значение поля OU должно быть
«remote» без кавычек. Все остальные поля необходимо оставить пустыми. После этого нажать на кнопку
«enroll». В хранилище сертификатов отобразиться запрос на сертификат;

7. После этого открываем файл с запросом на сертификат, который мы только что сгенерировали:
C:\CertReq.txt. Он будет выглядеть следующий образом:

www.darkmaycal-it.ru
23
-----BEGIN NEW CERTIFICATE REQUEST-----

MIICXTCCAUUCAQAwGDEWMBQGA1UEAxMNU2FzYSBQb3ByYXZhazCCASIwDQYJKoZI

<несколько строк удалено>

NspPels4pIOCoWH6ELOeFdasXoSiceifzPyCJA3evykP

-----END NEW CERTIFICATE REQUEST-----

8. Копируем все содержимое этого файла и переходим к CA роутеру;

9. Вводим команду:

команда ввода через терминал

cry pki server MY-CS request pkcs10 terminal
CA# сформированного ранее запроса на
base64
сертификат. MY-CS это имя trustpoint

10. Результатом станет приглашение ко вводу. Вставляем скопированные данные из файла C:\CertReq.txt,
затем нажимаем enter, потом даем служебную команду: quit и опять нажимаем enter;

11. В результате мы получим сертификат для нашего VPN Client:

% Granted certificate:

MIICZDCCAc2gAwIBAgIBAjANBgkqhkiG9w0BAQQFADAQMQ4wDAYDVQQDDAVSMV9D

< несколько строк удалено >

Fzt2bU/jb0q3YPhHMolEY7qcutpNG6rLwcvQ6MlRMv1CWSQuIBpfyQ==

12. Выделить все, кроме "% Granted certificate:", и вставить это в файл, например GrantedCert.txt;

13. В VPN клиенте переходим по пути «Certificates, import->Browse» и в появившемся окне выбираем файл
GrantedCert.txt;

14. Завершаем процесс путем нажатия на кнопку "Import";

15. Теперь в хранилище сертификатов статус сертификата с "Request" сменится на "Cisco".

© Академия IT DarkMaycal Sysadmins

24
 2. Ручной запрос сертификата для Cisco Router

Если нет возможности автоматически запросить сертификат, то существует ручной режим:

1. Настройка trustpoint:

Router(config)# crypto pki trustpoint VPN-PKI создаем trustpoint с именем VPN-PKI

данный параметр, заданный для trustpoint,
Router(ca-trustpoint)# enrollment terminal pem указывает ручной метод запроса
сертификата
Router(ca-trustpoint)# … другие параметры trustpoint

2. Запрос сертификата:

поскольку в настройках trustpoint мы

указали enrollment terminal pem,
Router(config)# crypto pki authenticate VPN-PKI
результатом станет приглашение вручную
ввести сертификат CA

3. Получение CA сертификата. Переходим к роутеру с настроенным PKI (CA) и вводим команду:

команда выводит корневой CA сертификат

CA(config)# crypto pki export MY-CS pem terminal
на терминал. MY-CS это имя trustpoint

4. Выделить все от -----BEGIN CERTIFICATE----- (включая) до -----END CERTIFICATE----- (тоже включая), после
чего скопировать и вставить в роутер в ответ на приглашение.

5. Далее необходимо сформировать запрос на сертификат:

результатом этой команды должно стать

Router(config)# crypto pki enroll VPN-PKI получение запроса на сертификат. Он
должен отобразится на терминале.

6. Когда мы получим этот запрос, переходим на CA и пишем команду:

команда ввода через терминал

cry pki server MY-CS request pkcs10
CA# сформированного ранее запроса на
terminal base64
сертификат. MY-CS это имя trustpoint

www.darkmaycal-it.ru
25
 и вставляем туда сформированный запрос на сертификат. Результатом станет получение сертификата для
роутера, для которого мы его запрашиваем. Результат отобразится на экране.

7. Выделить все, кроме "% Granted certificate:", и вставить сертификат на роутер, для которого мы
запрашивали сертификат, предварительно выполнив команду:

результатом этой команды должно стать

Router(config)# crypto pki import VPN-PKI certificate приглашение к ручному вводу сертификата
через терминал

8. Операция завершена. Можно проверить состояние сертификата командой:

вывести список сертификатов, которые мы

Router# show crypto pki certificates
получили

Ссылки на полезные ресурсы

Скачать vios-adventerprisek9-
1. https://www27.zippyshare.com/v/QqoKIhny/file.html
m.vmdk.SPA.156-2.T
https://iecp.ru/articles/item/417680-sertificirovannye-ili- В каких случаях нужны сертифицированные
2.
nesertificirovannye-tokeny токены, ссылка 1
https://zen.yandex.ru/media/id/5a7978981410c39d566038
В каких случаях нужны сертифицированные
3. 82/proverte-sebia-sertificirovannye-ili-net-tokeny-vam-
токены, ссылка 2
nujno-ispolzovat--5b323dbf16f1a300a94526be
https://www.cisco.com/c/en/us/td/docs/ios-
4. xml/ios/sec_conn_ike2vpn/configuration/15-mt/sec-flex- Атрибуты Cisco AV-Pair (10 страница)
vpn-15-mt-book/sec-cfg-flex-serv.pdf
http://www.firewall.cx/cisco-technical-
5. knowledgebase/cisco-services-tech/1165-cisco-vpn-client- Установка Cisco VPN Client на Windows 10
windows-10-anniversary-update-break-and-fix.html
https://www.cisco.com/c/ru_ru/support/security/flexvpn/p
6. Site-to-Site FlexVPN. Миграция с DMVPN
roducts-configuration-examples-list.html
https://winitpro.ru/index.php/2018/10/26/politika-parolej- Изменение политики паролей Windows
7.
uchetnyx-zapisej-v-active-directory/ Server
https://www.ibm.com/developerworks/ru/library/wi-
8. Принципы работы DIAMETR
diameter/

© Академия IT DarkMaycal Sysadmins

26
 Содержание следующих модулей

1.1. SSL VPN на Cisco ASA .................................................................................................................. ………

1.1.1 SSL VPN (Remote-Access VPN) на Cisco ASA (работа с использованием сертификатов) ………….
1.1.2. Базовая настройка Cisco ASA ................................................................................................ ………
1.1.3. SSL VPN в туннельном режиме SVC (с использованием клиента Cisco AnyConnect)………………
1.1.4. SSL VPN в Clientless и Thin-Client режиме (с использованием web-браузера) на Cisco ASA …..
1.2. SSL VPN на Cisco IOS ................................................................................................................... ………
1.2.1. Установка Cisco Configuration Professional (CСP) .........................................................................
1.2.2. Русификация интерфейса SSL VPN на Cisco IOS ................................................................... ………
1.2.3. Настройка профиля на Cisco IOS для SSL VPN (SVC подключение через RDP) .................. ………
2. Мониторинг сети ............................................................................................................................. …
2.1. Simple Network Management Protocol (SNMP) ...................................................................... ………
2.2. Журналирование событий устройств. SysLog ....................................................................... ………
2.3. Контроль сетевого потока. NetFlow ....................................................................................... ………
3. Другие технологии .......................................................................................................................... …
3.1. Роутер в transparent mode ..................................................................................................... ………
Приложение A. Защита корпоративной сети .............................................................................. ………
Общие рекомендации по защите сети ......................................................................................................
Раздел 1. Защита от внутренних угроз .......................................................................................................
1. Ограничение доступа к устройству.........................................................................................................
1.1. Защита привилегированного режима Cisco IOS ...................................................................... ………
1.2. Настройка учетных записей IOS и линий управления без использования модели AAA ......……...
1.3. Использование модели AAA..................................................................................................... ………
1.4. Настройка привилегий в модели AAA .................................................................................... ……….
1.5. Использование технологии Parser View для разграничения прав доступа к устройству .... ……….
1.6. Настройка accounting в модели AAA........................................................................................ ………
2. Защита удаленного доступа к устройству с использованием SSH .......................................................
3. 802.1x ..................................................................................................................................................
4. Защита трафика Radius с помощью IPSec ...............................................................................................
5. Control Plane Protection.......................................................................................................................
6. Защита OSPF. Настройка аутентификации и фильтрации .....................................................................
7. Ограничение доступа между VLANs .......................................................................................................
8. Private VLANs (PVLAN)..........................................................................................................................
9. Защита активного сетевого оборудования Cisco ...................................................................................
9.1. Общая защита устройств............................................................................................................... …

www.darkmaycal-it.ru
27
 9.2. Защита ACCESS ............................................................................................................................... …
9.3. Защита DESTRIBUTION ................................................................................................................... …
9.4. Защита CORE .................................................................................................................................. …
9.5. Защита EDGE .................................................................................................................................. …
Раздел 2. Защита от внешних угроз ............................................................................................................
1. IP Spoofing Protection ..........................................................................................................................
2. Дополнительная защита от IP Spoofing используя uRPF .......................................................................
3. Конфигурация Zone-Based Policy Firewall на примере реальной организации ...................................
4. Система предотвращения вторжений. IOS IPS ......................................................................................
5. Защита от DDOS ...................................................................................................................................
Приложение B. Выбор сетевого оборудования Cisco и лицензирование .................................. …
1. Виды лицензий IOS .............................................................................................................................
1.1. Лицензирование маршрутизаторов ............................................................................................ …
1.2. Лицензирование коммутаторов................................................................................................... …
1.3. Получение и установка лицензий ................................................................................................ …
2. Выбор сетевого оборудования для корпоративной сети ....................................................................
2.1. Выбор ACCESS ................................................................................................................................ …
2.2. Выбор DESTRIBUTION .................................................................................................................... …
2.3. Выбор CORE ................................................................................................................................... …
2.4. Выбор EDGE (пограничного маршрутизатора) ............................................................................ …
2.5. Выбор DMZ коммутатора .............................................................................................................. …
Приложение C. Ручной запрос сертификата у Cisco Certificate Authority для VPN Client ........ …
Приложение D. Запросы для поиска firmware ................................................................................. …
Ссылки на полезные ресурсы .................................................................................................................

© Академия IT DarkMaycal Sysadmins, 2020 г.

Все права защищены.

© Академия IT DarkMaycal Sysadmins

28