При настройке оборудования Cisco Systems совместно с NSG Linux 2.1 необходимо обратить внимание на следующие моменты.

а) Маршрутизация при использовании туннелей

В маршрутизаторах Cisco наличие туннеля само по себе не оказывает никакого влияния на таблицу маршрутизации. Иначе говоря, помимо создания туннеля, необходимо вручную сконфигурировать маршрут в удаленную сеть, находящуюся на другой стороне туннеля (обычный статический маршрут). Пример конфигурации (фрагмент, непосредственно связанный с маршрутизацией):

!
interface  FastEthernet0/0
ip  address  10.0.0.31  255.0.0.0
!
crypto  map  test1  1  ipsec-manual
set  peer  10.0.2.11
............................
!
ip  route  192.168.1.0  255.255.255.0  10.0.2.11
!

Здесь 10.0.0.31 — IP-адрес публичного интерфейса Cisco, 10.0.2.11 — IP-адрес удаленного маршрутизатора. Последняя строка означает, что неизвестная для данного устройства сеть 192.168.1.0 с маской 255.255.255.0 находится за точкой 10.0.2.11.

При удалении туннеля следует удалить и статические маршруты, проходящие через этот туннель.

В NSG Linux 2.1 для создания маршрутов в удаленные сегменты приватной сети необходимо и достаточно указать значения left/rightsourceip (де-факто каждому устройству требуется только адрес его собственного приватного интерфейса). Тогда при установлении и удалении туннелей автоматически будут создаться/удаляться и соответствующие записи в таблице маршрутизации.

б) Организация туннеля — стадия MAIN MODE

1. При инициализации туннеля со стороны NSG предлагается сразу весь (!) пакет предложений, содержащихся в узле esp.
2. При получении запроса на установление туннеля список предложений, поступивший от удаленной стороны, поочередно сравнивается в приведенным выше списком. Первый совпавший вариант отсылается в качестве подтверждения (выбора).
3. В Cisco все варианты туннелей ISAKMP образуют приоритетное множество предложений (policies), которые при посылке отсылаются в порядке, определяемом приоритетом policy, а при приеме предложений начинают проверяться в соответствии с приоритетом.

в) Организация туннеля — стадия QUICK MODE

1. При инициализации туннеля со стороны NSG предлагается (или выбирается из предложенных) пакет из всех предложений, перечисленных в узле esp.
2. В маршрутизаторах Cisco конкретное множество правил преобразования и их приоритет определяются в самом описании crypto map. Это устанавливается перечислением в параметре
       (config-crypto-map)# transform-set предложение_1 предложение_2 ...
   Если инициатором соединения был удаленный маршрутизатор, то устройство NSG выберет из присланных ему алгоритмов первый, который будет найден в списке esp.

г) Использование протоколов динамической маршрутизации и рекурсивное попадание пакетов в туннель

При использовании протоколов динамической маршрутизации (RIP, OSPF и др.) внутри туннелей IPsec необходимо учитывать, что пакеты этих протоколов должны были бы иметь IP-адреса источника и назначения, совпадающие с адресами туннельных интерфейсов. Реализация IPsec в продуктах Cisco не допускает такую ситуацию, поскольку в этом случае зашифрованный пакет снова подпадает под критерии отбора для шифрования, и процесс зацикливается. Пакет бесконечно возвращается на этап шифрования и никогда не будет отправлен.

Для устранения данной проблемы в программном обеспечении Cisco реализован специальный механизм Virtual Tunnel Interface (VTI) и специальный тип объектов VirtualAccess. Возможно также использовать в access-list фильтрацию по типу протокола 4 уровня.

Обратно в узел ipsec...