Практические советы по выбору и настройке Cisco VPN

Практические советы
по выбору и настройке
Cisco VPN
ведущий:
Сергей Кучеренко
16 апреля 2013
serg.kucherenko@getccna.ru

О
чем
Мы
поговорим:

§  Классификация
и
принципы
построения
виртуальных
частных
сетей

§  Введение
в
криптографию

§  Логика
работы
Cisco
IOS/ASA
OS
c
Различными
VPN
технологиями

§  Принципы
выбора
VPN
технологии
под
специфическую
задачу

§  Организация
защищенного
удаленного
доступа
при
помощи
Easy
VPN
и
SSL
VPN

§  Построение
защищенных
распределённых
корпоративных
сетей
при
помощи

DMVPN

§  Новые
подходы
и
принципы
работы
FlexVPN

§  Возможности
реализации
сертифицированного
VPN

решения
на
базе
модуля
NME-‐RVPN

§  Демонстрация
настройки
отказоустойчивой
DMVP
топологии

VPN
и
их
классификация:

VPN
(Virtual
Private
Network)
–
общее
название
для
группы
технологий
основной

задачей
которых
является
организация
распределенной
корпоративной
сети
через

общую
среду
передачи
данных
(ex:
Internet),
либо
же

доступа

По
степени
доверия
По
назначению

VPN

Trusted
Intranet

VPN
VPN

Extranet

Secured
VPN
VPN

Remote
Access

VPN

По
степени
доверия:

Trusted
VPN
(Доверенный
VPN)
–
построение
VPN
без
использование
защиты

передаваемого
трафика
(ex:
шифрование),
Обычно
используется
при
использованием

провайдером
технология
предполагающих
изоляцию
заказчиков
друг
от
друга:

§  MPLS
VPN
–
L3
VPN
применяемая
операторами
связи,
сеть
оператора
для

потребителя
услуги
выглядит
как
один
большой
маршрутизатор,
при
этом
потребители

изолированы
друг
от
друга.

§  VPLS
–
L2
VPN
применяемая
операторами
связи,
сеть
оператора
для
потребителя

услуги
выглядит
как
один
большой
коммутатор,

при
этом
потребители
изолированы
друг
от
друга

Secured
VPN
(Защищенный

VPN)
–
VPN
которые
предполагает
защиту

трафика
с
помощью
различных
криптографических
методов

Bank
ABC
Moscow
Oﬃce
Bank
ABC
Kiev
Oﬃce

192.168.101.0/24
195.5.101.1/24
195.5.110.1/24
192.168.110.0/24

Internet

Ты
ли
Router
в
Киевском
офисе

1 Да
я,
знаю
пароль:cisco/У
меня
есть
сертификат

Host
A
DAT 2 ! Host
B

Обратные

DAT SRC_IP:
DST_IP:
A
@2a
преобразования

A
A
B
3 4
Контро Контро ! SRC_IP:
DST_IP:
SRC_IP:
DST_IP:

DAT SRC_IP:
DST_IP:

льная
льная

сумма
сумма
@2a
A
B
195.5.101.1
195.5.101.1
A
A
B

При
таком
подходе
может
происходить
(используется
один
или
несколько
способов
защиты):

1.  Аутентификация
–
конечные
устройства
проверяют
принадлежность
друг
друга
к
данной
VPN

сети

2.  Шифрование
–
передаваемые
данные
скрываться,
только
участники
VPN
сети
способны
их

прочитать

3.  Проверка
целостности
–
проверяется
что
пакеты
были
доставлены
в
неизменённом
виде

4.  Инкапсуляция
(Туннелированные)
–

IP
адресация
исходных
пакетов
скрываются
за

адресами
конечных
точек
туннеля

По
назначению:

§  Intranet
VPN
–
Организация
VPN
сети
между
территориально
распределенными

подразделениями
одной
организации.
Существует
большое

количество
вариантов
организации
такого
типа
VPN
сети.

§  Extranet
VPN
-‐
VPN
сети
между
различными
организациями

(Ex:
подключение
банка
к
процессинговому
центру).При

такого
типа
VPN
подключения
как
правило

используются
дополнительные
защиты:
Firewall/IPS.

§  Remote
Access
VPN
–
VPN
для

доступа
мобильных
сотрудников
к
ресурсам
предприятия.

Разделяется
на
два
подвида:

Client
VPN
-‐

на
устройство
сотрудника
ставится
специально

ПО
(VPN
client),
на
устройстве
создается
виртуальный

сетевой
адаптер
которому
присваивается
внутренний
IP

Кроме
того
функционал
VPN
клиента
присутствует
в
Cisco
IOS
и

ASA.

Clientless
–
клиент
не
требуется,
доступ
к
ресурсам

предприятия

через
браузер

Cisco
VPN

По
назначению
VPN
Cisco
можно
разделить
следующим
образом:

Remote
Access
Intranet

VPN
VPN

Extranet
Site-‐to-‐Site

VPN

Easy
VPN
Crypto
Map

(D)VTI

Dynamic
VTI

Flex
VPN

DMVPN

Anyconnect
(SSL)

GET
VPN

Clientless
(SSL)

MacSec

Основы
криптографии:

Шифрование
(encrypqon)
–
обратимое
преобразование
информации,
при
котором

ее
исходное
состояние
могут
восстановить
только
авторизированные
пользователи.

Компоненты
шифрования:

§  Алгоритм
–
стандарт
преобразования
принцип
работы
которого

как
правило
обще
известен.
Алгоритмы
разделяться
на:

a)  Симметричные
(Symmetric)

b)  Асимметричные
(Asymmetric)

§  Ключ
(Key)–
уникальный
параметр
известный
только
авторизированный

участника
позволяющий
используя
всем
известный
алгоритм
уникально
скрывать

информацию.

a)  Симметричное
шифрование:

195.5.101.1/24
195.5.110.1/24

Internet

Encryp‰on/Decryp‰on
Encryp‰on/Decryp‰on

process
process

DAT ! DAT
A
@2a
A

Симметричные
алгоритмы
шифрования
предполагают
наличия
общего
ключа
у
обоих
участников

процесса,
этот
ключ
как
для
так
и
для
расшифровки
информации.
К

таким
алгоритмам
относятся:

§  DES/3DES

§  AES

§  Локальные
алгоритмы

Основной
проблемой
симметричного
является
безопасная
доставка
общего
ключа

b)
Асимметричное
шифрование:

Moscow
Kiev

195.5.101.1/24
195.5.110.1/24

Internet

Kiev

Moscow

Public
Key
Public
Key

Encryp‰on
Decryp‰on

process
process

DAT ! DAT
A
@2a
A

Moscow
Kiev

Private
Key
Private
Key

Kiev

Moscow
Public
Key

Public
Key

Ассиметричное
шифрование
создание
двух
ключей:
Приватного
и
Публичного,
при
этом
ключи

связаны
между
собой
–
Все
что
была
зашифровано
публичным
ключом

можно
расшифровать

приватным
и
на

оборот.

Алгоритмы
ассиметричного
шифрования:
RSA,
Diﬃe–Hellman
….

Note:
ассиметричное
шифроване
ресурсоемкий
процесс.
Для
данных
не
используется,

в
основном
для
генерации
сессионных
ключей
для
симметричных
алгоритмов,
а
так
же
для

создания
цифровых
сертификатов.

Хеширование
(hashing)

–
не
обратимое
предполагающее

сообщения
переменной
длинны
в
строку
постоянной
длинны.

В
VPN
технологиях
для
проверки
сообщения
(предотвращение
его

изменения
в
пути=контроль
целостности)

195.5.101.1/24
195.5.110.1/24

Internet

DAT
A

?
DAT DAT
HASH
HASH
HASH

A
A

Если
на
принимающей
стороне
рассчитанное
и
полученное
значение
совпадут,
значит
пакет

не
менялся
на
маршруте
следования.

Алгоритмы

Хеширования:

§  MD5

§  SHA

§  Локальные
стандарта

Цифровая
подпись
–
построенный
на
алгоритмах
асимметричного
способ

однозначной
проверки
личности
отправителя.

R1.moscow.corp.com
R2.kiev.corp.com

195.5.101.1/24
195.5.110.1/24

Internet

Kiev

Moscow

Public
Key
Public
Key

Encryp‰on
Decryp‰on

process
process

R1.moscow.corp
.com

Data
Already
Kiev

Moscow
Encrypted

Private
Key

Private
Key
! !
2!3:
2!3:

@2a
@2a

Digital

Signature

Использование
Digital
Signature
следующие
этапы:

1.  С
Private
key
зашифровывается
идентификатор
(ex:
его
FQDN)

2.  Цифровая
подпись
добавляется
к
передаваемым
данным

3.  Принимающие

используя
открытый
ключ
отправителя
расшифровывает
Digital
Signature
и

может
прочитать
имя
отправителя

Note:

Здесь
срабатывает
правила
взаимосвязи
между
Private
и
Public
key
а
так
же
то
что
Private
key
никому
не

передается
а
следовательно
только
отправитель
мог
зашифровать
свое
имя.

Сертификаты

–
способ
аутентификации
устройствами/пользователями
друг
друга

базирующийся
на
PKI

PKI
(Public
Key
Infrastructure)
–
инфраструктура
публичных
ключей.

Данная
возможность
получения
всеми
устройствами

цифровых
сертификатов
–
электронный
документ
который
выдаться
центром
сертификации

(Cer1ﬁcate
Authority(CA)-‐
приложение
запущенное
на
сервере
или
сетевом
устройстве)
и

подтверждает
подлинность
устройства/пользователя.

Технология
в
VPN
применяется
для
точек
сети
или
удаленных
пользователей.

Традиционно
для
использовались
pre-‐shared
key
(ключ
известный
обоим

устройствам
которые
создают
туннель),

но
данный
подход
имеет
проблемы
с
масштабированием

При
построении
Full-‐mash
VPN
сети
на
каждом

нужно
указать
n-‐1
pre-‐shared
ключей.

Сертификаты
–
как
это
работает?
1.
МаршрутизаторNY

с
включенным

функционалом

CA
генерирует
свой
-‐

1 это
root
и
все
желающие
получить

NY
у
этого
CA
должны
доверять
его

IOS_CA_NY.corp.com

Private
Key
сертификату.

CRL
list
Сертификат
содержит:

§  Имя
устройства(LDAP
X500
format)

§  Его
Публичный
ключ(NY
public
Key)

§  Его
цифровую
подпись
(Digital
Signature)

NY
§  Cerqficate
life
qme

Router
Moscow
выполняет:

Public
Key
§  CDP
URL
–
ссылка
на
CRL
list*

1.
Запрос
Root
Cerqficate,
администратор
должен

Кроме
того
создаться
CRL
(Cer‰ficate
Revoca‰on

подтвердить
что
он
доверяет
этому
CA
list)
–
список
отозванных
сертификатов

IOS_CA_NY.corp.co
2.
R1
посылает
запрос
на
получение
сертификата,
в
котором:

m
*
-‐
опционально

§  Router
Public
Key

§  Router
name
(LDAP
X500
format)

Router
Kiev
выполняет:

CA
генерирует
и
возвращает
в
котором:

Тот
же
набор
действий
что
приводит
к

§  Router
Public
Key
получению
сертификата

§  Cerqficate
life
qme

§  Router
name
(LDAP
X500
format)

§  CA
Name(LDAP
X500
format)

§  CA
Digital
Signature

R1.corp.com
R2.corp.com

1 2 Kiev

Moscow
R2.corp.com

R1.corp.com
Private
Key

Private
Key

R
Moscow
public
key

R
Kiev
public
key

Moscow
Internet
Kiev
R2
name
encrypted

R1
name
encrypted

by

R2

private
key

by
R1

private
key

Check
CA
Signature
Check
CA
Signature

Check
Peer
Signature
Authen‰ca‰on
–
Check
Peer
Signature
Kiev

Moscow
Check
CRL
List
Cer‰ficate
Exchange
Check
CRL
List
Public
Key

Public
Key
Cer‰ficate
Life‰me
Cer‰ficate
Life‰me

Набор
протоколов
IPsec:

Исторически
сложилось
так
что
протокол
IP
не
имел
никаких
встроенных
средств
защиты
передаваемых

данных,
для
этих
целей
существует
расширение
IPsec.

IPsec
(IP
security)
–
набор
стандартов
задачей
которых
является
обеспечить
(может
быть
обеспечено
все
или

некоторые
части):

§  Согласование
параметров
защиты
между
устройствами(Nego‰a‰on
Protocols)

§  Защищённая
генерация
ключей
для

(Session
key
genera‰on)

§  Инкапсуляцию
трафика
(Encapsula‰on
methods)

§  Шифрование
трафика
(Encryp‰on
protocols)

§  Проверку
предаваемого
трафика(Hashing
Protocols)

IPsec

§  DES

§  IKEv1,2
§  DH1
§  MD5

§  3DES

(ISAKMP)
§  DH2
§  AH
Hashing
§  SHA

§  AES

§  Manual

Nego‰a‰on
§ 
Session
key

DH5
§  ESP
Encryp‰on
§  Local
protocols
§  Local

protocols
§  DH7
Encapsula‰on
protocols
standards
standard
genera‰on
s

Crypto
ISAKMP
profile
–
VPN
Gatekeeper
in
Cisco
IOS

Crypto
ISAKMP
Profile
–
компонент
в
конфигурации
IOS
VPN
который
дает
гибко
применять
VPN

политики
для
различных
Peer.

По
логике
работы

VPN
в
Cisco
IOS
ещё
до
начала

согласования
IKE,
для
каждого
входящего
соединения

выполняется
поиск
соответствующего
ему
ISAKMP
Profile

Если
про
файлов
нет
или

соответствие
не
найдено
идет
проверка
IKE
policy

Crypto
ISAKMP
Profile
Match
–
поиск
соответствующего
peer
profile
проходит
по
IKE
ID,

этот
параметр
всегда
присутствует
в
IKE
Proposal
пакете.

IKE
ID
зависит
от
типа
VPN
и

настроек
удаленной
стороны.
Match
доступен
по:

§  Group
name
–
имя
VPN
group
настроенной
на
клиенте
или
значение
поля
OU
в

цифровом
сертификате
peer

§  IP
address
–
ip
address
или
адрес
сети
в
которой
находится
peer

§  Host
{FQDN|domain}
–
FQDN
имя
peer,
или
domain
в
этом
имени

§  User
{FQDN|domain}
–
FQDN
имя
пользователя,
или
domain
в
этом
имени

Наиболее
часто
для
Iden‰ty
Match
используются
Group
name

&
IP
address

Случаи
использования
Crypto
ISAKMP
Profile:

§  Требуются
различные
IKE
phase
1
параметры
для
разных
peer
–
например
мы
хотим
использовать
для

различных
Peer
различные
Trustpoints

§  На
маршрутизаторе
настроен
VRF
–
IKE
profile
обязательный
компонент
VRF-‐aware
IPsec

§  Использование
различных
типов
VPN
на
одном
–
на
пример
на
одном
маршрутизаторе
мы

принимаем
как
Site-‐to-‐Site
так
и
Remote
Access
VPN

IKE

(Internet
Key
Exchange)–
этот
набор
позволяющий
двум
участникам
VPN

согласовать

параметры
защиты,
аутентифицировать
друг
друга
а
так
же
создать
ключи
для

трафика
данных.

Процесс
работы
IKE
состоит
из
двух
этапов*:

1.  IKE
phase
1–
согласование
контрольного
и
защищенная
аутентификация

участников.
В
процессе
работы
согласовываем:

§  Control
Connec‰on
Encryp‰on
(Варианты:
DES/3DES/AES/Local
Standards)

§  Control
Connec‰on
Hashing
(Варианты:
MD5/SHA-‐HMAC/Local
Standards)

§  Authen‰ca‰on
Type
(Варианты:
Pre-‐shared
key/Cer‰ﬁcate)

§  Session
key
genera‰on
type
(Варианты:
DH1/DH2…)

Note:

В
результате
участники
должны
выбрать
одинаковые
параметры,
установить
защищённое

соединение
и
аутентифицировать
друг
друга.

*
-‐
фаза
IKE
1.5

Используется
для
Remote
Access
VPN

IKE
phase
1
может
работать
в
двух
режимах:

Main
Mode:

Main
Mode
–
процесс
состоит
из

Согласование

шести
сообщений
(приведен
на
рисунке).

Этот
тип
является
более

Генерация

ключей

безопасным.

Aggressive
Mode
–
обмен
тремя

Аутентификация
сообщениями,
устанавливается

быстрее,
менее
безопасный
режим

2.

IKE
phase
1,5
–
расширение
к
стандарту
IKE,
является
не
обязательным
этапом.
Этот
этап
при

установки

Remote
access
IPsec
соединения.

На
этом
этапе
два
основных
действия:

§  Xauth

(Extended
Authenqcaqon)
–
аутентификация
и
авторизация
подключаемого
пользователя

§  Push

Conﬁguraqon
–
в
зависимости
от

результата
аутентификации/авторизации
клиенту
возвращается

целый
ряд
настроек:

a)  IP
address

b)  DNS/WINS
server
IP

c)  Domain
name

d)  Split
Tunnel
Network
List

e)  Split
DNS
domain
list

f)  И
другие

3.
IKE
phase
2–
согласование
защиты
данных,
задача
фазы
шифрованный

туннель
для
передачи
данных

В
процессе
работы
согласовываем:

§  Encapsula‰on
method
and
his
mode
(Варианты:
AH
transport/AH
tunnel/ESP
transport/ESP
tunnel)

§  Интересный
трафик

-‐
сети
при
обмене
данными
между
которыми
требуется
шифрование*

*
-‐
относится
только
к
традиционным
VPN
на
crypto
map,
для
всех
остальных
более
современных

типов
VPN
в
качестве
указания
что
шифровать
таблица
маршрутизации

§  Data
Connec‰on
Encryp‰on
(Варианты:
DES/3DES/AES)

§  Data
Hashing
(Варианты:
MD5/SHA-‐HMAC)

IKE
использует
UDP
des‰na‰on
port
500,
всегда
нужно
убедиться
что
этот
порт
не
блокируется
нигде
на
транзите

IKE
Phase
2
завершается
установкой
двух
зашифрованных
соединений
(одно
на
прием
другое
на
передачу
на

каждом
устройстве)
–
каждое
такое
называется
Security
Associaqon

Security
Associaqon
–
уникально
идентифицирует
каждое
VPN
соединение,
для
того
чтоб
могло

понять
к
какому
VPN

соединению
относится
данный
пакет
специальная
метка
SPI
(security

parameter
index)

Encapsulaqon
methods
and
their
modes-‐
два
метода
инкапсуляции
пакетов:

AH
(Authenqcaqon
header)
-‐

более
старый
способ
инкапсуляции,
при
его
использовании
доступен
только

контроль
пакетов.

Использует
IP
protocol
51

Может
работать
в
двух
режимах:

1.  AH
transport
mode
–
сокрытие
адресов
источника
и
получателя
не
происходит

2.  AH
tunnel
mode
–
сокрытие
адресов
источника
и
получателя
Note:
из
за
того
что
пакет

аутентифицируется
целиком

VPN
построенный
на
AH
не

может
пройти
через
NAT

ESP
(Encapsulated
security
payload)
-‐

более
новый
способ
инкапсуляции,
при
его
доступна
как

проверка
так
и
пакетов.

Использует
IP
protocol
50

Может
работать
в
двух
режимах:
Note:
В
отличии
от
AH
ESP
способен
проходить

1.  ESP
transport
mode
через
NAT
за
счет
того
что
IP
header
не

2.  ESP
tunnel
mode
аутентифицируется
.

В
случи
со
sta‰c
NAT
никаких
проблем
вообще
не

возникает.

В
случае
присутствия
на
транзите
устройств

выполняющих
Dynamic
NAT
для
их
успешного

преодоления
используется:

NAT-‐T
(NAT
traversal)
–
позволяющая

преодолевать
ESP
пакетам
Dynamic
PAT.
Как
это

работает:

1.
На
этапе
IKE
выявляют

NAT
на
транзите
(Детектирование
за

счет
помещения
в
пакет
hash
IP
header)

2.
Для
передачи
данных
начинают

des‰na‰on
UDP
port
4500

Работа
Cisco
c
различными
VPN
технологиями

Условно
по
логике
работы
все
Secured
VPN
реализованные
на
оборудовании

компании
Cisco
можно
разделить
на
несколько
групп.
Каждая
группа
характеризуется
своим

уникальным
набором
функций
понимание
которого
крайне
важно
при
выборе
ее

внедрении
и
последующем
поиске
и
устранении
не
исправностей.

Cisco
VPN

VPN
on
Dedicated
Tunnel
Less

L2
VPN
SSL
VPN

Crypto
Maps
Tunnel
Interface
VPN

L2L
Crypto
map
Staqc
VTI
GETVPN
MacSec
Clientless

Easy
VPN
Dynamic
VTI
Client

DMVPN

Flex
VPN

Логика
работы
VPN
(Crypto
Map)

R2.corp.com

192.168.110.0/24

1.
IKE
phase
1
195.5.110.1/24

R1.corp.com

192.168.101.0/24
F0/0

Rouqng
Table

1
195.5.101.1/24
Packet
to

Internet
S*
0.0.0.0/0
f0/1
192.168.101.100

F0/0

ISAKMP
profile

IKE
phase
1
2 ISAKMP

Tunnel
Group
IF
traffic
go

F0/0
Crypto
map

Search
политики
profile
Sequence

FROM
Number
100

3 (192.168.110.0/24)

No
Match
TO
Seq

ISAKMP
policy
10

Drop
(192.168.101.0/24)

200

Check
IF
Specified
Seq

THEN

.
Connecqon

.

300

Encrypt

No
Match

. AND

Send
to
195.5.101.1

ISAKMP
policy
IKE
phase
1

Drop
65535
Check
политики

Connecqon
4
DH
key
generaqon

NAT-‐T

5
DH
key
generaqon

Key
Ring
from
NAT-‐T

Tunnel
Group

ISAKMP
Profile

6 Kiev
pre-‐
shared
key
or

No
Match
Tunnel
Secured
by
Cerqficate
Authen‰ca‰on
No
Match

Authen‰ca‰on

Drop
IKE
phase
1
policy
Moscow
pre-‐
shared
key
or
Drop
Connecqon

Connecqon

Cerqficate

Match
Match

Go
to
IKE
Phase
2
Go
to
IKE
Phase
2

R_kiev.corp.com

192.168.110.0/24

2.
IKE
phase
2
195.5.110.1/24

R_moscow.corp.com

192.168.101.0/24
F0/0

195.5.101.1/24

Internet

F0/0

Search
Peer

IP
(195.5.110.1)
in
crypto

map
on
F0/0
interface

1 На
стороне
Kiev
Crypto
Map

Crypto-‐Map
VPN
seq
100
была
найдена
при
обработке

исходящего
пакета

No
Match

Crypto-‐Map
VPN

Crypto-‐Map
VPN
seq
65535

Drop
seq
65535

Tunnel
Secured
by
IKE
phase
1
policy

No

Connecqon

Mach
Методы
защиты
Phase
2/Proxy
Idenqty
(Crypto
ACL)/ 3 Match

DH
для
генерации
ключей
защиты
данных
Parameters
Match

Извлечь
из
Crypto
map:
2 Drop

§  Transform
set
–
какими
Connecqon

алгоритмами
защищать
данные
Методы
защиты
Phase
2/Proxy
Idenqty
(Crypto
ACL)/
§  Crypto
ACL
–
трафик
между
DH
для
генерации
ключей
защиты
данных

какими
сетями
шифровать

No
Match

Parameters
Match
Прием
Передача

Drop

Connecqon
Передача
Прием

Отличия
в
случае
Easy
VPN:

1.
Инициатор
(Client)
в
место
crypto
map
IPSEC
Client
Proﬁle
(Описание
как
выполнить
к
Server)

2.
На
стороне
сервера
приходит
аутентификация/авторизация
-‐

a)
ASA
–
правила
AAA
извлекаются
из
tunnel-‐group

b)
Router
–
правила
AAA
из
Crypto-‐map
or
ISAKMP

Proﬁle

3.
Выполняется
Push
на
клиента

а)
ASA
–
конфигурация
извлекается
из
Group-‐policy

b)
Router
–
из
ISAKMP
Client
Group
or
Radius

Логика
работы
VPN
(Dedicated
Tunnel
Interface)

192.168.110.0/24

1.
IKE
phase
1/2
195.5.110.1/24

R1.corp.com

192.168.101.0/24
F0/0

Rouqng
Table

1
195.5.101.1/24
Packet
to

Internet
S
192.168.101.0/24
Tunnel
0
192.168.101.100

F0/0

Rouqng
Table
Tunnel
0

S
192.168.110.0/24
Tunnel
0
172.16.1.1/24

IKE
phase
1
Tunnel
src:
195.5.110.1

Tunnel
0

Nego‰a‰on
Tunnel
dst:
195.5.101.1

172.16.1.2/24

Tunnel
src:
195.5.101.1
IKE
Phase
2
security
Policy

Tunnel
dst:
195.5.110.1
(IPsec
Profile)

IKE
Phase
2
security
Policy
IKE
phase
1

(IPsec
Profile)
Authen‰ca‰on

No
Match

No
Match
IKE
phase
2
Policy

Parameters
Match
Parameters
Match

Proxy
Iden‰ty
0.0.0.0/0
Drop

Drop
Connecqon

Connecqon

Прием
Передача

Передача
Прием

Отличия
в
случае
DVTI:

1.
Инициатор
(Client)
в
место
Tunnel
Interface
IPSEC
Client
Profile

2.
На
сервере
и
клиенте*
туннельные
интерфейсы
создаются
динамически

2.
На
стороне
сервера
приходит
аутентификация/авторизация
-‐

Router
–
правила
AAA
из
ISAKMP
Profile

3.
Выполняется
Push
на
клиента
-‐
Router
–
из
ISAKMP
Client
Group
or
Radius

Отличия
в
случае
DMVPN:

1.
протокола
NHRP
для
динамического
определения
Tunnel
Des‰na‰on

*-‐в
случаи
Hardware
Client

Логика
работы
VPN
(Tunnel
Less
VPN)

192.168.10.0/24

KS
primary
GOOP
Protected
by
IKE
phase
1

KS
secondary

encrypt
192.168.0.0/16
GM
GM
encrypt
192.168.0.0/16

to
192.168.0.0/16
to
192.168.0.0/16

GDOI
Protected
by
IKE
GDOI
Protected
by
IKE

phase
1
phase
1

MPLS

VPN

PE1
PE2

Rouqng
Table
Rouqng
Table

GM
O
192.168.100.0/24
via
PE2
GM

O
192.168.110.0/24
via
PE1

Прием
From
Any
Прием
From
Any

Передача

To
Any
Передача

To
Any

192.168.100.0/24
SRC_IP:
DST_IP:

192.168.110.0/24

Encrypted
Data

192.168.100.10
192.168.110.10

SRC_IP:
DST_IP:

192.168.100.10
192.168.110.10

GETVPN

–
без
туннельного
(сокрытие
исходных
IP
адресов
не
происходит).

Маршрутизаторы
в
этой
разделятся
на

два
типа:

§  Key
server
(KS)–
маршрутизатор
отвечающей
за
регистрацию
всех
других
Routers
в
группе,

периодическую
генерацию
ключа
для
защиты
данных
и
безопасную
доставку
этого
ключа
всем

участникам
группы.

Кроме
того
сообщает
всем
–
какой
именно
трафик
они
должны
шифровать.

§  Group
Member
(GM)
–
должен
зарегистрироваться
на
своем
Key
server(s)
и
получать
с
него
всю

необходимую
информацию,
при
наличии
интересного
трафика
выполнять
его
защиту.

COOP
(Co-‐operaqve
Key
Server)
-‐

резервирования
Key
Server

Логика
работы
L2

VPN
(MacSec)

MACSEC

(IEEE
802.1AE)–
на
L2
дающая
выполнять
ПК-‐
Коммутатор,
Коммутатор
–
Коммутатор,
на
скорости
интерфейса.
Процес

hop-‐by-‐hop

MacSec
Enabled
SW:

1.
End
Staqon-‐Switch
encrypqon
§  3750/3560-‐X
with
C3KX-‐SM-‐10G
802.1X-‐REV
Enabled
AAA

§  45хх
with
Sup
7-‐E,
Sup
7L-‐E
and
WS-‐X47XX
line
cards
Server:

§  MacSec
Enabled
NIC
§  65xx
with
Sup
2T
and
6900
series
line
cards
§  Cisco
ACS

§  Cisco
Anyconnect
§  Nexus
7000
all
line
cards
except
F-‐Series
§  Cisco
ISE

Corporate

Network

802.1X
Using
EAP-‐TLS
or
EAP-‐FAST

connec‰vity
connec‰vity

associa‰on
key
(CAK)
MaCsec
Key
Agreement
(MKA)
associa‰on
key
(CAK)

Session
Key
Genera‰on
Radius
Access
Accept

connec‰vity
AVP:CAC

MacSec
Protected
associa‰on
key
(CAK)

2.
Switch
to
Switch

encrypqon
Seed
Device

Corporate

Network

Network
Device
Admission
Control
Network
Device
Admission
Control

(NDAC)
provide
802.1x
using
EAP-‐FAST
(NDAC)
provide
802.1x
using
EAP-‐FAST

Security
Associa‰on
Protocol
(SAP)

Session
Key
Genera‰on

MacSec
Protected

Принципы
выбора
VPN
под

специфическую
задачу

1.
Способ

§  Remote
Access
VPN
§  Site-‐to-‐Site
VPN

VS

2.
Уровень
модели
OSI
на
котором
будет
происходить
туннелированные

§  Transport
Layer
–
единственная
SSL
VPN,
возможно
как
клиентская
так
и
без

клиентская
реализация

§  Network
Layer
-‐

все
другие
кроме
MacSec

§  Data
link
Layer
–
MacSec,
L2
между

площадками

3.
Наличие
требования
локальных
регуляторов

NME-‐RVPN

2.
VPN
топология
(site-‐to-‐site
only)

§  Hub
and
spoke/hierarchical
hub
and
§  Full
mash/parqal
mash

spoke/Centralized
Hub
and
spoke

VS

3.
Реализация
отказоустойчивых
подключений

§  Dynamic
rouqng
§  IOS
IP
SLA

Dynamic

rou‰ng

VS

protocol

Провайдер
1
Провайдер
2
Провайдер
1
Провайдер
2

Ping

3.
Тип
транспорта

§  Internet

§  WAN:

Услуга
от
оператора:

a)  VPN
MPLS

b)  VPLS

c)  Предоставление
волокна/предоставление
λ
в
волокне

4.
Требуется
mulqcast
traﬃc
–

Не
все
VPN
поддерживают
передачу
через

туннели
mul‰cast
traﬃc

5.
Размеры
сети–

Количество
узлов
сейчас,
планируемый
рост

Что
получается:

Способ
Уровень
модели
Топология
Отказоустойчивость
Транспорт
Поддержка
Применение

OSI
Mulqcast

L2L
Crypto
Site-‐to-‐Site
Network
Hub
and
Spoke
SLA/IKE
Dead
pear
Internet/
нет
Не
большие

map
Detec‰on/
State
full

IPSEC
WAN
филиальные
сети

Easy
VPN
Remote
Access
Network
Hub
and
Spoke
SLA/IKE
Dead
pear
Internet
нет
Просто
уделенный

(Client
to
Site)
Detec‰on/
State
full

IPSEC
доступ

Staqc
VTI
Site-‐to-‐Site
Network
Hub
and
Spoke
Dynamic
Rou‰ng
Internet/
да
через
hub
Не
большие

WAN
филиальные
сети
с

поддержкой

Dynamic
Rouqng

Dynamic
Remote
Access
Network
Hub
and
Spoke
SLA/IKE
Dead
pear
Detec‰on
Internet
да
через
hub
Удаленный
доступ
с

VTI
(Client
to
Site)
гибким
QoS

DMVPN
Site-‐to-‐Site
Network
Hub
and
Spoke/
Dynamic
Rou‰ng
Internet/
да
через
hub
Крупные

Spoke
to
Spoke
WAN
распределенные

сети

Flex
VPN
Site-‐to-‐Site/
Network
Hub
and
Spoke
SLA/IKE
Dead
pear
Internet/
да
через
hub
Единое
решение

Remote
Access
(Client
to
Site)/
Detec‰on/

WAN

для
поддержки

Hub
and
Spoke/
Dynamic
Rou‰ng

Remote
Access
&

Spoke
to
Spoke
Site-‐to-‐Site

GETVPN
Site-‐to-‐Site
Network
Any-‐to-‐Any
KS:COOP
WAN:
Да
Крупные

GM:Dynamic
Rou‰ng
MPLS
VPN
распределенные

VPLS
сети
имеющий
WAN

MacSec
Device-‐to-‐Device
Data
Link
Any-‐to-‐any
EtherChannel
LAN
Да
Шифрование
L2

Virtual
Port
Channel
Dark
Fiber

Clientless
Remote
Access
Transport
Hub
and
Spoke
Failover
Internet
Нет
Удаленный
доступ

SSL
VPN

(Client
to
Site)
через
WEB
Браузер

Client
SSL
Remote
Access
Transport
with
Hub
and
Spoke
Failover
Internet
Нет
Гибкий
уделенный

VPN

Network
(Client
to
Site)
доступ

encapsulated

доступа

Cisco
Easy
VPN
–
доступа
использующая
в
качестве
набор


IPSEC.
По
логике
участники
построение
VPN
сети
делятся
на
два
типа:

§  Server
–
которое
принимает
от
удаленных
клиентов,
проводит
их

аутентификацию
и
настройку
(Выдает
IP
адрес
в
сети,
сообщает
трафик
для
каких
сетей

следует
отправлять
в
туннель,
а
так
же
выдает
настройки)

Роль
Easy
VPN
Server
доступна
на
Cisco
IOS,
Cisco
ASA.

§  Client–
осуществляет
к
определенному

серверу,
на
клиенте
описаны
все
возможные

варианты
политик
защиты
данных,
клиент
посылает
все
эти
политики
на
сервер,
и
сервер
выбирает
из

них
наиболее
подходящую.

Роль
Client
Может
выполнять:

§  Cisco
Easy
VPN
Client
–
ПО
устанавливаемое
на

ПК
пользователя

§  Hardware
IPsec
Client
–
функционал

Router
&
ASA

На
клиенте
выполняются

базовые
настройки:

§  Указывается
IP/Name
VPN
Server

§  Задается
имя
Group
(Указывается
в
ручную,
или

OU
ﬁeld
из
сертификата)

§  Настройки
необходимый
для
XAUTH

§  В
случае
Hardware
Client
–
причина
инициализации
туннеля

DAP

(Dynamic
Access
Policy)*

Authoriza‰on:

Username/Password/Cer‰ficate
Authen‰ca‰on:
ASA
-‐
Group-‐Policy:
Local/Radius/Policy
name

LOCAL/RADIUS/LDAP
from
AD
group
name

Router
–
ISAKMP
Client
Profile:
Local/Radius

Проверить
включен
ли
Firewall

Configura‰on
(IP/DNS/WINS)

192.168.151.10/24

Расширенная

Route
to:
Client
ACL

0.0.0.0/0
Original
IP
IPSec
SRC_IP:
DST_IP:
and
other

Packet
Header
195.5.111.10
195.5.110.1

Proxy

Server

195.5.110.1/24

SRC_IP:
DST_IP:
Internet
192.168.110.0/24

192.168.151.10
192.168.110.10

195.5.111.10/24

Host
B

Cisco
Easy
VPN
Hardware
Client,
как
это
работает

a)  Client
Mode


Configura‰on
(IP/DNS/WINS)

192.168.100.0/24
195.5.111.10/24
195.5.110.1/24

Internet
192.168.110.0/24

Dynamic
PAT

SRC_IP:
DST_IP:
SRC_IP:
DST_IP:

192.168.100.10
192.168.110.10
192.168.151.10/24
192.168.151.10
192.168.110.10

SA
for
Interes‰ng
Traff

b)  Network
Extension
Mode


My
local
network
–
192.168.100.0/24
Sta‰c
route
to:

192.168.100.0/24

192.168.100.0/24
195.5.111.10/24
195.5.110.1/24

Internet
192.168.110.0/24

SRC_IP:
DST_IP:
SRC_IP:
DST_IP:

192.168.100.10
192.168.110.10
192.168.100.10
192.168.110.10

b)  Network
Extension
Mode
Plus
–
отличие
от
предыдущего
в
том
что
Router
Client
получает

IP
из
корпоративного
адресного
пространства
для
управления

Область
применения
технологии:

простого
доступа
для

VPN
сети
с
не
большими
подразделениями,
имеющими
собственный
выход
в

интернет,
и
не
большими
требованиями
по
доступу
к
ресурсам
центрального
офиса

технологических
сетей
(сети
банкоматов,
терминалы
самообслуживания)

доступа

Cisco
SSL
VPN
–
предполагающая
в
качестве
транспортного
протокола
SSL,

существуют
две
реализации:

Client
SSL
VPN
–Как
и
при

IPSEC

для
доступа
клиенту
требуется

специальное
ПО
–
VPN
клиент
(Cisco
AnyConnect),
при
установке
которого
создаться
виртуальный
сетевой

адаптер
на
который
будет
назначаться
IP
address
из
сети
и
через
него
будет
осуществляется

защищенный
обмен
информацией.

ПО
устанавливается
с
ASA/Router,
либо
в
ручную

имеет
ряд
дополнительных
функций:

§  Возможность
установки
клиента
на
мобильные

§  Оценка
состояния
рабочей
станции
(Host
Scan)

§  Start
Before
Login
–
запуск
VPN
требуется
для
входа
в
систему

§  Always
ON
VPN
–
автоматически
запускать
клиента
при
входе
в
систему

§  Перенаправление
h¦p/h¦ps/§p
трафика
на
Cisco
Web
Security
Appliance

§  Сам
клиент
имеет
модульную
структуру
которая
дает
целый
ряд
возможностей
не

имеющих
прямого
отношения
к
VPN:

a)  Менеджер
проводных
и
беспроводных
подключений

b)  Клиент
Cisco
ScanSafe

Cisco
Client
SSL
,
как
это
работает
+
функции

на
WEB
портале

Client
Download

Сбор
информации
о
состоянии
системы*
DAP

(Dynamic
Access
Policy)*

OS
Version/An‰virus
type/Firewall
type
...*

Username/Password/Group

Authoriza‰on:

Authen‰ca‰on:
ASA
-‐
Group-‐Policy:
Local/Radius/Policy
name

LOCAL/RADIUS/LDAP
from
AD
group
name

Router
–
ISAKMP
Client
Proﬁle:
Local/Radius

Se¨ngs

SRC_IP:
DST_IP:

192.168.151.10
Facebook

195.5.111.10/24

195.5.110.1/24

SRC_IP:
DST_IP:
Internet
192.168.110.0/24

192.168.151.10
192.168.110.10

Original
IP
SSL
SRC_IP:
DST_IP:

Packet
Header
195.5.111.10
195.5.110.1

192.168.151.10/24

Route
to:
SRC_IP:
DST_IP:

0.0.0.0/0
192.168.151.10
192.168.110.10

*
-‐
ASA
only

Cisco
Clientless
SSL
,
как
это
работает
+
функции

В
самом
простом
случае
на
портале
может
осуществляется
публикация

h¦p/h¦ps/cifs
ресурсов

При
browser
plugin
(java
applet)
добавляются:

§  RDP

§  Telnet/SSH

§  VNC

Плагины
нужно
загрузить
на
ASA,
после
этого
появляется
доступ
к
таким
ресурсам
через
портал

IT
user

на
WEB
портале

195.5.110.1/24

Internet

на
WEB
портале

Finance

user

Область
применения
технологии:

§  Удаленный
доступ
с
мобильных
устройств

§  Clientless
доступ

§  Проверка
“здоровья”
подключающейся
рабочей
станции

§  Защита
Web
доступа

Следует
быть
внимательным
при
выборе
лицензии

Кроме
того
некоторые
функции
требуют
лицензий:
проверка
рабочей
станции,
Доступ
с

мобильных
устройств,
фильтрация
Web
трафикa

h¦p://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect31/feature/guide/anyconnect31features.html

DMVPN

–
использующая
как
основу
VTI
но
при
этом
des‰na‰on
IP
для
туннеля
узнается

динамически,
с
использованием
специального
протокола

NHRP
(Next
Hop
Resoluqon
Protocol)

NHRP
–
В
DMVPN
для
поиска
по
Tunnel
interface
IP
Address
NBMA
address

интересного
нам
peer
(NBMA
address

в
логике
DMVPN
–
IP
address
физического
интерфейса
который

для
установки
туннеля)

По
логике
DMVPN
маршрутизаторы
делятся
на
два
типа:

§  Hub
-‐

маршрутизатор
к
которому
подключатся
Spoke

и
регистрируют
свои
соответствия
NHRP
Address
to

Tunnel
Address.
В
последствии
Hub
отвечает
на
запросы
spoke
об
этих
соответствиях

§ 
Spoke
–
имеет
статический
туннель
на
Hub
.
Как
средство
принятия
решения
нужно
ли
шифровать

маршрутизация,
весь
трафик
который
попадает
по

в
туннель
–
шифруется,

если
трафик
направляется

на
другой
spoke
NHRP
для
поиска
его
Public
IP

и
создается

динамический
туннель.

DMVPN
Как
это
работает

IKE
Phase
1
Tunnel
0
IKE
Phase
1

IKE
Phase
2
tunnels
172.16.1.1/24
IKE
Phase
2
tunnels

NHRP
Map
172.16.1.2(192.168.100.0/24)

Tunnel
src:
195.5.1.11
NHRP
Map
172.16.1.2(192.168.100.0/24)

to
195.5.111.10
Rouqng
tuning
to
195.5.111.10

NHRP
Base
Setup

Dynamic
Rouqng
Protocol
Dynamic
Rouqng
Protocol

NHRP
Setup
in
HUB
Style

IPsec
Profile

Who
have

172.16.1.2
and
192.168.110.0?

195.5.110.10
Tunnel
0

Tunnel
0

172.16.1.3/24

192.168.1.0/24

172.16.1.2/24

Tunnel
src:
195.5.111.10
Tunnel
src:
195.5.110.10

NHRP
Base
Setup
NHRP
Base
Setup

NHRP
Setup
in
SPOKE
Style
NHRP
Setup
in
SPOKE
Style

(where
find
HUB)
195.5.1.1
(where
find
HUB)

IPsec
Profile
Rouqng
Table
Rouqng
Table
IPsec
Profile

D
192.168.1.0/24
Tunnel
0
Internet
D
192.168.1.0/24
Tunnel
0

D
192.168.110.0/24
Tunnel
0
D
192.168.100.0/24
Tunnel
0

195.5.111.10
195.5.110.10

IKE
Phase
1

IKE
Phase
2
tunnels

192.168.100.0/24
SRC_IP:
DST_IP:
192.168.110.0/24

Encrypted
Data

195.5.111.10
195.5.110.10

SRC_IP:
DST_IP:

192.168.100.10
192.168.110.10

DMVPN
история
версий:

DMVPN
phase
1:
DMVPN
phase
2:

§  Трафик
всегда
идет
через
hub
§  Появились
Spoke-‐to-‐Spoke

Dynamic
Tunnels

DMVPN
phase
3:

§  Иерархический
hub
and
spoke,
spoke-‐to-‐spoke
tunnels
между
разными

регионами

In
phase
2:

In
phase
3:

Новые
подходы
и
принципы
работы
FlexVPN

Flex
VPN
–
новый
подход
к
настройки
различных
видов
VPN
использующих
в
качестве
основы
VTI.
Данный

подход
унификацию
настроек
всех

VPN
технологий.

этого
подхода
дает
очень
гибко
применять
политики
для
каждого

подключающегося
устройства/пользователя.

Flex
VPN
базируется
на
стандарта
IKEv2
имеющего
целый
ряд
новых
функций
и

возможностей:

Radius
Server

§  4-‐6
сообщений
для
установки
IPsec
SA

(в
случае
выполнения
рекомендаций)

§  Настройка
двух
сторонней
аутентификации:

authen1ca1on
local|authen1ca1on
remote

При
этом
на
направлениях
можно

разные
типы

§  Аутентификация
IKE
phase
1.5
–
EAP

§  Защита
от
DoS
за
счет
cookies

§  IKE
Rou‰ng
–
Push
и
установка
маршрутов
в

Rou‰ng
Table
без

динамической

Для
настройки
важно
понимание
логики
работы

ISAKMP
Proﬁle

используемые
для
настройки
в
IOS:

§  AAA
Framework
–
используем
для:

a)  Authenqcaqon
login
–
Radius
only.
Для
проведения
IKE
1.5
EAP
Authen‰ca‰on

b)  Authorizaqon
Network
–
для
назначение
настроек
на

Ini‰ator
(Local
Or
Radius)

§  IKEv2
общие
настройки:

a)  IKEv2
Proposal
–
наборы
правил
защиты

b)  IKEv2
Policy
–
связка
Proposal
c
VRF
на
локальном
или
с
конкретным
интерфейсом

c)  IKEv2
Key
Ring
–
в
случае
pre-‐shared
authen‰ca‰on.
Задаем
Peer
IP/Name
и
Key
для
него.

Кроме
того
задаем
Iden‰ty
–
как
представимcя
peer
а
так
же
собственный
ключ.

§  IKEv2
расширенные
настройки:

a)  IKEv2
Proﬁle
–
Match/Set
элемент:

Match
(Peer)
Set

IP/FQDN/Domain…
AAA
eap
authen‰ca‰on

“OU”/Cer‰ﬁcate
Map

AAA
authoriza‰on
IF:

Local
with
IKEv2
authoriza‰on

Radius
with
ikev2
name-‐mangler

email
Key
Ring

PKI
trustpoint

…..

c)  IKEv2
name-‐mangler
–
извлекает
указанную
администратором
часть
из
IKE
Iden‰ty
для
авторизации

d)  IKEv2
authorizaqon
policy
–
набор
настроек
который
будет
помещена
на
Ini‰ator
в
случаи
локальной

авторизации

Сертифицированные
VPN

решения
Cisco

В
чем
актуальность
сертифицированных
VPN
решений:

§  Ограничения
на
ввоз
крипто
средств
на
территорию
Таможенного
союза

§  Требования
локальных
нормативных
актов
отечественные
стандарты

сертифицированного
VPN:

NME-‐RVPN
(МСМ)
с
ПО
CSP
VPN
Gate
–
Решение
CSP
VPN
Gate
на
платформе

Модуль
в
ISR
G1/G2
(2811…/2911…)
Cisco
UCS
C-‐200
–
Высоко
производительное
решение
для

Согласование
VPN
сессий:IKE
большого
количества
филиалов

Аутентификация:
Pre-‐Shared/Cer‰ﬁcate
или
связи
между
ЦОД

Шифрование:
ГОСТ
28147-‐89/DES/3DES/AES

Целостность:
ГОСТ
Р
34.11-‐94/SHA/MD5

Цифровая
подпись:ГОСТ
Р
34.10-‐94/ГОСТ
Р
34.10-‐2001

Интерфейсы:
2
*1G
(внешний
и
внутренний)

К
USB
может
быть
подключен
GSM/CDMA/WiMAX

Возможные
варианты
внедрения
решений:

Простой
Site-‐to-‐Site
(Модуль
за
маршрутизатором)
–

R1_RVPN
R2_RVPN

R1
R2

.1
195.5.111.10/24
195.5.110.1/24
.1

.2
Internet
.2

192.168.101.0/24
Sta‰c
PAT
Sta‰c
PAT
192.168.110.0/24

172.16.1.0/24
172.16.2.0/24

UDP
500
UDP
500

UDP
4500
UDP
4500

Отказоустойчивость
в
центральном
офисе(Reverse
route
injecqon)
–

10.0.0.0/24
Rou‰ng
table

RVPN_1
D
192.168.101.0/24
via
.2

.2
D
192.168.101.0/24
via
.3

R1_RVPN
R1
R2
.2

.1
195.5.111.10/24
195.5.110.1/24
.1

Internet

.2

.3

RVPN_2

.3

192.168.101.0/24
172.16.1.0/24

Sta‰c
PAT
Sta‰c
PAT
192.168.110.0/24

UDP
500
UDP
500
172.16.2.0/24

UDP
4500
UDP
4500

Dynamic
Rou‰ng

в
качестве
DMVPN
–

В
такой
DMVPN
без
шифрования.
Информация
о
сетях
Internal

(Внутренний
интерфейс
модуля)
помещается
в
процес
туннельных
интерфейсов.
Это
дает

VPN
устройствам
во
всей
сети
обменятся
информацией
о
Internal
Networks.

DMVPN
demo
topology

R1

R4
Easy
VPN
Server

192.168.4.0/24
DMVPN
HUB
Primary

195.5.5.0/24

.4

.1
.1

R2

Internet
DMVPN
HUB
192.168.1.0/24

Secondary

R3

.2
.2

192.168.3.0/24

.3

.100

Слушателям
сегодняшнего
вебинара
предоставляется
скидка
на
ближайший
курс

CCNA
Security:

h¦p://skillfactory.ru/courses/ccna_security

Промо
код
для
получения
скидки
-‐
#SECFW

Запись
семинара
а
также
ссылка
на
презентацию
будут
доступны
на
нашем
канале

в
YouTube

h¦p://www.youtube.com/user/SkillFactoryVideo

Спасибо
за
внимание!

Практические советы по выбору и настройке Cisco VPN

More Related Content

What's hot

Viewers also liked

Similar to Практические советы по выбору и настройке Cisco VPN

More from SkillFactory

Практические советы по выбору и настройке Cisco VPN