Académique Documents
Professionnel Documents
Culture Documents
Configurando tnel VPN entre um sistema HiPath 3000 V7 e um HiPath 2000 V2.0.
Verso: 1.0 Categoria: HiPath 2000/3000 Autor: Clvis Aristides Ribeiro Data: 03/03/2009
VPN
Contedo
1 2 3 4 5 Objetivo....................................................................................................... 3 Apresentao Bsica.................................................................................. 3 Caractersticas de funcionamento............................................................ 4 Configurando os sistemas HiPath 3000 V7 e o HiPath 2000 V2.0......... 5 Restries...................................................................................................26
Pgina 2/26
VPN
Objetivo
Este informativo tcnico tem como objetivo demonstrar como se configura um tnel VPN padro entre os sistemas HiPath 2000 V2.0 e um HiPath 3000 V7, esta mesma configurao se aplicar se for configurado um tnel VPN entre dois sistemas HiPath 2000 V2.0 ou dois sistemas HiPath 3000 V7.
2 Apresentao Bsica.
A facilidade de tnel VPN nos sistemas HiPath 2000 2.0 e HiPath 3000 V7 um dispositivo de segurana para que os clientes tenham seu fluxo de voz e dados protegidos atravs de encriptao de pacotes em uma rede no segura. Para configurar tneis VPN nos sistemas HiPath 2000 e HiPath 3000 so necessrias as licenas de CA e de IPSEC nos dois sistemas. A licena de CA ser utilizada em caso de tnel VPN atravs de certificado. Obs.: Os endereos IP utilizados neste informativo tcnico so endereos de teste, os endereos IP do cliente provavelmente sero diferentes e devero ser fixos. O IPtrunking entre as centrais dever ser configurado apontando o endereo IP da interface LAN de cada sistema (IPtrunking padro). Em caso de dvida sobre limite de trafego de dados atravs do tnel VPN nos sistemas HiPath 2000 V2.0 e HiPath 3000 V7 consulte os manuais dos sistemas, pois cada cliente ter seu cenrio e trafego de dados (voz e dados) diferentes.
Pgina 3/26
VPN
3 Caractersticas de funcionamento.
Aps configurar um tnel VPN entre os sistemas HiPath 2000 V2.0 e HiPath 3000 V7 os dados que trafegaro entre estes sistemas sero encriptados, assim sendo, no podero ser alterados ou visualizados por terceiros. Veja abaixo um exemplo de uma captura de pacotes feito sobre um tnel VPN entre os sistemas HiPath 2000 V2.0 e HiPath 3000 V7:
Fig. 1
Neste momento da captura de pacotes estava em curso uma chamada entre o ramal 101 do HiPath 3000 V7 e o ramal 205 do HiPath 2000 V2.0, pois esta configurado um IPtrunking entre os dois sistemas. Como voc pode notar os pacotes trocados entre os dois sistemas foram encriptados e no podem ser alterados ou visualizados por terceiros.
Pgina 4/26
VPN
Fig. 2
As verses utilizadas no cenrio do informativo tcnico so as seguintes: HiPath 3800 V7 R5.5.0; HG1500 V7 R5.2.0 HiPath 2000 V2.0 R5.3.0; Manager E V7.0 R5.3.0; Java verso V6.
Pgina 5/26
VPN 2- Como j informado anteriormente os sistemas devero ter as licenas de IPSEC e CA para podermos configurar o tnel VPN. HiPath 3000 V7
Fig. 4
Pgina 6/26
VPN
1. Configure o endereo IP da WAN. Ser necessrio reset do mdulo HG1500 aps esta configurao;
Fig. 5
Fig. 6
Pgina 7/26
VPN 3. Criar uma rota esttica para alcanar a rede do HiPath 2000 atravs do tunel VPN;
Fig. 7
Fig. 8
Pgina 8/26
Fig. 9
6. Configurar o tnel VPN conforme campos abaixo (lembre-se que os endereos IP utilizados mudam conforme a rede do cliente):
Pgina 9/26
VPN
SHA1 hours Suggested Lifetime of the Session Keys: Suggested Lifetime of the Key Exchange Session:
8 8
min.
0 0
sec.
0 0
Megabyte
0
Kilobyte
0
unlimited
7. Configurar o tnel VPN para funcionar com pre-shared key. A pr-shared key dever ser a mesma na configurao do tnel VPN nos dois sistemas interligados, exemplo de senha: siemens. (O cliente dever escolher sua senha);
Fig. 10
Pgina 10/26
VPN
8. Criar as seguintes regras (rules): 1 Criar regra (rules) para acesso ao prprio mdulo HG1500 do sistema HiPath 3000 (Matriz);
Fig. 11
Fig. 12
Pgina 11/26
VPN
Source Address
Type: Subnet IP Subnet Address: 172.24.13.0 Subnet Mask: 255.255.255.0
Destination Address
Type: Host IP Address: 172.24.13.100
Source Address
Type: Host IP Address: 172.24.13.100
Destination Address
Type: Subnet IP Subnet Address: 172.24.13.0 Subnet Mask: 255.255.255.0
Pgina 12/26
VPN
Source Address
Type: Host IP Address: 10.10.10.20
Destination Address
Type: Host IP Address: 10.10.10.30 6 Criar regra oposta da regra 5;
Source Address
Type: Host IP Address: 10.10.10.30
Destination Address
Type: Host IP Address: 10.10.10.20
Pgina 13/26
Source Address
Type: Subnet IP Subnet Address: 172.24.13.0 Subnet Mask: 255.255.255.0
Destination Address
Type: Subnet IP Subnet Address: 172.24.12.0 Subnet Mask: 255.255.255.0
Pgina 14/26
VPN
Source Address
Type: Subnet IP Subnet Address: 172.24.12.0 Subnet Mask: 255.255.255.0
Destination Address
Type: Subnet IP Subnet Address: 172.24.13.0 Subnet Mask: 255.255.255.0
Fig. 13
Pgina 15/26
VPN
10. Ativar o IPSEC no HiPath 3000 (ativar os tneis VPN configurados no HiPath 3000);
Fig. 14
11. O IPSEC j esta ativado no HiPath 3000, todos os tneis VPN configurados j esto ativos;
Fig. 15
Pgina 16/26
VPN
1. Configure o endereo IP da WAN. Ser necessrio reset do HiPath 2000 aps esta configurao;
Fig. 16
Fig. 17
Pgina 17/26
VPN
3. Criar uma rota esttica para alcanar a rede do HiPath 3000 atravs do tnel VPN;
Fig.18
Fig. 19
Pgina 18/26
VPN
Fig. 20
6. Configurar o tnel VPN conforme campos abaixo (lembre-se que os endereos IP utilizados mudam conforme a rede do cliente):
Pgina 19/26
VPN
MD5 SHA1 Hrs. Vida til recomendada das chaves de sesso: Vida til recomendada da sesso de mudana de chave:
8 8
Mn.
0 0
s
0 0
Gigabyte Megabyte Kilobyte ilimitado Volume de dados recomendado das chaves de sesso:
0 0 0
ndice de parmetros de segurana: Chave de sesso (codificao): Chave de sesso (hash): ndice de parmetros de segurana: Chave de sesso (codificao): Chave de sesso (hash):
Activar 'Perfect Forward Secrecy': Procedimento de autenticao para os parceiros VPN: Chave pr-compartilhada: Repetio da chave pr-compartilhada : Nota: ainda no h certificado disponvel. Grupo DH 1 Grupo DH 2 Grupo DH 5
Chaves pr-compartilhadas
Pgina 20/26
VPN
7. Configurar o tnel VPN para funcionar com pre-shared key. A pr-shared key dever ser mesma na configurao do tnel VPN nos dois sistemas interligados, exemplo de senha: siemens (O cliente dever escolher sua senha);
Fig. 21
8. Criar as seguintes regras (rules): 1 Criar regra (rules) para acesso ao prprio sistema HiPath 2000 (Filial);
Fig. 22
Pgina 21/26
Fig. 23
Endereo de origem
Tipo: Host Endereo IP: 10.10.10.30
Endereo de destino
Tipo: Host Endereo IP: 10.10.10.20
Pgina 22/26
VPN
Endereo de origem
Tipo: Host Endereo IP: 10.10.10.20
Endereo de destino
Tipo: Host Endereo IP: 10.10.10.30
Endereo de origem
Tipo: Subrede Endereo subrede IP: 172.24.12.0 Mscara de subrede: 255.255.255.0
Endereo de destino
Tipo: Subrede Endereo subrede IP: 172.24.13.0 Mscara de subrede: 255.255.255.0
Pgina 23/26
VPN
Endereo de origem
Tipo: Subrede Endereo subrede IP: 172.24.13.0 Mscara de subrede: 255.255.255.0
Endereo de destino
Tipo: Subrede Endereo subrede IP: 172.24.12.0 Mscara de subrede: 255.255.255.0
Fig. 24
Pgina 24/26
VPN
10. Ativar o IPSEC no HiPath 2000 (ativar os tneis VPN configurados no HiPath 2000);
Fig. 25
11. O IPSEC j esta ativado no HiPath 2000, todos os tneis VPN configurados j esto ativos;
Fig. 26
Aps efetuar todo o procedimento acima o tnel VPN entre os sistemas j dever estar funcionando.
Pgina 25/26
VPN
5 Restries.
Os testes foram feitos em ambiente de Laboratrio; Utilizamos os sistemas HiPath 2000 V2.0 R5.3.0 e o HiPath 3800 V7 R5.5.0 para efetuar este IT, portanto para obter as facilidades descritas neste IT os sistemas devero utilizar estas verses ou verses superiores. Dependemos da rede do cliente para esta VPN funcionar.
Pgina 26/26