Authentication Header (AH): AH IP желісіндегі деректер пакеттерінің аутентификациясы мен тұтастығын қамтамасыз етеді. Ол деректердің тұтастығын қамтамасыз ету үшін әр пакетке хэш кодын (бақылау сомасын) қосады және жіберушінің түпнұсқалығын тексеруге мүмкіндік береді.
Encapsulating Security Payload (ESP): ESP деректердің аутентификациясын, құпиялылығын және тұтастығын қамтамасыз етеді. Ол деректерді рұқсатсыз кіруден қорғау үшін шифрлайды, сонымен қатар тұтастықты қамтамасыз ету үшін хэш кодын қосады.
Security Associations (SA): sa - бұл шифрлау кілттері мен алгоритмдер сияқты параметрлер жиынтығы, олар екі құрылғы арасындағы деректердің қауіпсіздігін қалай қамтамасыз ететінін анықтайды. SA деректермен алмасудың әр бағыты үшін параметрлерді анықтайды.
Key Management Protocols: IPsec деректерді шифрлау және шифрын ашу үшін кілттерді басқаруды қажет етеді. Құрылғыларға кілттерді қауіпсіз және автоматты түрде бөлісуге мүмкіндік беретін Ike (Internet key Exchange) сияқты бірнеше кілттерді басқару протоколдары бар.
IPsec әртүрлі мақсаттарда пайдаланылуы мүмкін, соның ішінде:
VPN құру: IPsec көбінесе виртуалды жеке желілерді (VPN) құру үшін қолданылады, бұл компаниялар мен ұйымдарға қашықтағы желілер немесе қашықтағы жұмысшылар арасында қауіпсіз байланыс орнатуға мүмкіндік береді.
Желілік жабдықты қорғау:IPsec маршрутизаторлар мен қосқыштарды рұқсатсыз кіру мен шабуылдардан қорғау үшін пайдаланылуы мүмкін.
Брандмауэр қауіпсіздігін қамтамасыз ету: ұйымдар әртүрлі желілер мен желі аймақтары арасындағы қауіпсіздікті қамтамасыз ету үшін IPsec пайдалана алады.
Ipsec – бұл IP деңгейіндегі желілік қауіпсіздіктің қуатты құралы және қазіргі заманғы желілерде деректерді қорғауда маңызды рөл атқарады.
Жұмыстың орындалу тәртібі: Топологияны Packet Tracer программасының көмегімен төменде көрсетілгендей құрдым:
Хост атауы мен IP мекенжайларын маршрутизаторлар, коммутаторлар және ПК конфигурациялау:
s
license boot module c1900 technology-package securityk9 командасы Cisco 1900 (C1900) маршрутизаторында қауіпсіздік лицензиясын (SecurityK9) белсендіру үшін қолданылады. Бұл команда Cisco 1900 маршрутизаторындағы қауіпсіздік мүмкіндіктерін белсендіреді, желідегі деректердің қауіпсіздігі мен құпиялылығын қамтамасыз ету үшін қосымша құралдарды ұсынады.
Crypto isakmp policy 10: конфигурацияның бұл бөлігі екі VPN құрылғысы арасында қауіпсіз байланыс орнату үшін isakmp (1 кезең) параметрлерін орнатады.
encryption aes 256: құрылғылар арасындағы трафикті шифрлау үшін шифрлау әдісін көрсетеді, бұл жағдайда 256 биттік кілті бар AES.
authentication pre-share: құрылғылар арасындағы аутентификация үшін алдын ала келісілген кілтті (PSK) қамтитын аутентификация әдісін көрсетеді.
2-топ: кілттерді бөлісу үшін Диффи-Хеллман тобын көрсетеді.
crypto isakmp key secretkey address 209.165.200.1: бұл жол маршрутизатор мен 209.165.200.1 IP мекенжайы бар қашықтағы серіктес арасында аутентификация үшін алдын ала келісілген кілтті (PSK) орнатады.
Crypto ipsec transform-set R1-R3 esp-aes 256 esp-sha-hmac: құрылғылар арасындағы трафикті қорғау үшін IPSec (2-кезең) түрлендіру параметрлерін орнатады.
Crypto map IPSEC-MAP 10 ipsec-isakmp: IPSEC-MAP деп аталатын криптокарта (crypto map) жасайды және оған 10 нөмірін береді. Мұнда сіз маршрутизатор мен қашықтағы серіктес арасында Қауіпсіз туннель жасау үшін Isakmp параметрлерін IPSec параметрлерімен байланыстырасыз.
set peer 209.165.200.1: қашықтағы серіктестің IP мекенжайын көрсетеді.
set transform-set R1-R3: берілген криптокарта үшін IPSec трансформациясын тағайындайды.
interface GigabitEthernet0/0: конфигурацияның бұл бөлігі IPSEC-MAP криптокартасын GigabitEthernet0 / 0 интерфейсімен байланыстырады, ол арқылы осы VPN конфигурациясы арқылы қорғалуы керек трафик өтеді.
Компьютерлер арасындағы байланысты пинг беру арқылы толық соңына дейін тексеру:
ҚОРЫТЫНДЫ Қорытындылай келе, зертханалық жұмыста IPSec протоколына түгелдей шолу жасадым. Желі топологиясына 2 дербес компьютер, 3 роутер, 2 коммутаторды қолдандым. Осы сызба арқылы екі локалдық желілерді транспорттық режимінде IPSec протоколымен байланыстырып және ортақ құпия арқылы аутентификацияладым. Жұмыстың дұрыс орындалғанын тексеру үшін дербес компьютерлерде ping командасын орындадым.