quando il pacchetto ipsec di get del router fa apparire in crypto map acl

Naviga le tue risposte
-1

Quindi ho una domanda su IPSec.

Ad esempio, abbiamo un ACL esteso con una riga 10.10.10.0/24 10.20.20.0/24 su un lato (R1) e 10.20.20.0/24 10.10.10.0/24 sull'altro (R2).

Quando vediamo il traffico proveniente da un canale crittografato, cosa fa il router per primo (oltre a correlare lo SPI del pacchetto a una connessione)?

Ho anche difficoltà a capire la parte ACL di crypto map, guardiamo dentro quando riceviamo il traffico IPSec, e se lo facciamo, perché c'è solo una riga per 10.10.10.0 a 10.20.20.0 e nessuna da 10.20.20.0 a 10.10.10.0 per il traffico di ingresso (R1)?

UPD:

Stavo parlando di ACL che fa parte della mappa crittografica probabilmente è a causa del mio orrendo inglese . Ecco la configurazione di Cisco: 

int fa0/0
    ip 1.2.3.4
    crypto map myIPsecMap

crypto map myIPsecMap
    set transform-set ...
    match address myACL

myACL
    permit ip 10.10.10.0/24 10.20.20.0/24

Quando inviamo traffico da quel router controlliamo se è da 10.10.10.0/24 e andando a 10.20.20.0/24 quindi lo criptiamo (puro IPsec, no GRE), ma quando riceviamo traffico crittografato, ho sentito che esaminiamo anche l'ACL (ad es. myACL) per verificare se è da 10.20.20.0/24 e va a 10.10.10.0/24 (credo che sia più una domanda su ACL piuttosto che su IPsec stesso)

..

Ok, l'ho controllato io stesso e in effetti lo vedo nel mio ACL e se non aggiungo IP su entrambi i lati il tunnel di Isakmp si blocca sulla negoziazione, ho capito, per me era molto controintuitivo pensare all'ACL in quel modo rivisitato

    
posta azeko 19.10.2015 - 07:30
fonte

1 risposta

0

Il router deve elaborare il pacchetto a livello IP. Un pacchetto crittografato ha due IP diversi. Gli IP gateway che stanno creando il tunnel sicuro e gli IP reali di origine / destinazione verso le reti private che il tunnel sta proteggendo.

Vede che il traffico sta arrivando su un canale crittografato e cerca una Security Association (SA) con l'IP sorgente in entrata. Se trova un SA, il pacchetto viene decodificato e quindi reintrodotto nello stack di rete. Il livello IP decrittografato viene quindi elaborato.

A questo punto si trovano gli elenchi di controllo di accesso esteso oltre il canale crittografato, poiché gli indirizzi di origine e di destinazione sono ora in chiaro.

Per spiegare come funziona la configurazione, inizia con myACL . Quindi crei Crypto Map che contiene i parametri che desideri per il tuo tunnel IPSec. Il match address myACL significa semplicemente che il traffico deve corrispondere alla regola per essere crittografato. Associa l'ACL a un set di parametri IPSec.

L'ultima cosa che fai è applicare la mappa crittografica a un'interfaccia . Questo è ciò che fa crypto map myIPsecMap . Questo dice al router, per ogni pacchetto che viene inviato o ricevuto su questa interfaccia, deve tentare di applicare la mappa crittografica. "Applicare la mappa crittografica" controlla prima il tuo ACL per vedere se il traffico in entrata o in uscita corrisponde. Se lo fa, applicherà i parametri IPSec delineati da myIPsecMap . In caso contrario, continuerà lo stack normalmente.

    
risposta data 19.10.2015 - 16:47
fonte

Leggi altre domande sui tag

Microsoft EMET protegge dall'ultimo exploit Adobe Flash 0-day dell'Hacking Team? Qual è il modo migliore per trovare la fonte fisica di un segnale wifi? [duplicare]