DiTun
Техподдержка Фактор-ТСВ приведенном примере применена типовая схема коммутации
Предварительная настройка интерфейсов на NX-1:
NX-1(config)# interface ethernet 1
NX-1(config-if-ethernet1)# ip address 192.168.1.1/24
NX-1(config-if-ethernet1)# enable
NX-1(config-if-ethernet1)# interface ethernet 3
NX-1(config-if-ethernet3)# ip address 192.168.10.1/24
NX-1(config-if-ethernet3)# enable
Создание интерфейса ditun:
NX-1(config)# interface ditun 0
NX-1(config-if-ditun0)# id 1
id: целое число (до 5 цифр), идентифицирующее туннель; значение этого параметра должно совпадать на обоих концах туннеля
NX-1(config-if-ditun0)# alg encrypt
ALG: алгоритм трансформации данных в туннеле; возможные значения:
- Compression - только сжатие данных;
- Encryption - только шифрование данных;
- Both - и сжатие, и шифрование данных;
- None - никакой трансформации данных не производится
NX-1(config-if-ditun0)# local 192.168.10.1 – «local: задает IP-адрес локального конца туннеля.»
NX-1(config-if-ditun0)# remote 192.168.10.2 – «remote: задает IP-адрес удаленного конца туннеля.»
NX-1(config-if-ditun0)# serial 000 – «serial: номер серии ключей - целое десятичное число, равное номеру серии ключей, используемой в данной криптографической сети.»
NX-1(config-if-ditun0)# local-cn 10 – «local-cn: целое число (до 5 цифр), равное номеру данного узла в криптографической сети.»
NX-1(config-if-ditun0)# remote-cn 20 – «remote-cn: целое число (до 5 цифр), равное номеру в криптографической сети того узла, с которым будет выполняться обмен информацией по данному туннелю.»
NX-1(config-if-ditun0)# enable – «Делает интерфейс активным.»
Создание маршрута до удаленной внутренней сети:
NX-1(config)# ip route 192.168.20.0/24 ditun 0
Аналогично настраивается NX-2:
NX-2(config)# interface ethernet 1
NX-2(config-if-ethernet1)# ip address 192.168.20.1/24
NX-2(config-if-ethernet1)# enable
NX-2(config-if-ethernet1)# interface ethernet 3
NX-2(config-if-ethernet3)# ip address 192.168.10.2/24
NX-2(config-if-ethernet3)# enable
NX-2(config)# interface ditun 0
NX-2(config-if-ditun0)# id 1
NX-2(config-if-ditun0)# alg encrypt
NX-2(config-if-ditun0)# local 192.168.10.2
NX-2(config-if-ditun0)# remote 192.168.10.1
NX-2(config-if-ditun0)# serial 222
NX-2(config-if-ditun0)# local-cn 20
NX-2(config-if-ditun0)# remote-cn 10
NX-2(config-if-ditun0)# enable
NX-2(config)# ip route 192.168.1.0/24 ditun 0
Для проверки работоспособности туннеля, запустим утилиту ping и отправим ICMP запросы между PC-1 и NX-2, прослушивая туннель утилитой tcpdump:
NX-2# tcpdump ditun 0 verbose
tcpdump: listening on ditun0, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
15:37:52.236071 IP (tos 0x0, ttl 64, id 878, offset 0, flags [none], proto ICMP (1), length 60)
192.168.10.2 > 192.168.1.2: ICMP echo reply, id 1, seq 682, length 40
15:37:53.242447 IP (tos 0x0, ttl 64, id 1066, offset 0, flags [none], proto ICMP (1), length 60)
192.168.10.2 > 192.168.1.2: ICMP echo reply, id 1, seq 683, length 40
15:37:54.249692 IP (tos 0x0, ttl 64, id 1252, offset 0, flags [none], proto ICMP (1), length 60)
192.168.10.2 > 192.168.1.2: ICMP echo reply, id 1, seq 684, length 40
15:37:55.254712 IP (tos 0x0, ttl 64, id 1383, offset 0, flags [none], proto ICMP (1), length 60)
192.168.10.2 > 192.168.1.2: ICMP echo reply, id 1, seq 685, length 40