Виртуальная инфраструктура Комплексное решение для развертывания
виртуальной 
Виртуальная инфраструктура. 
Виртуальная 
Виртуальные машины Compute Cloud 
Катастрофоустойчивая инфраструктура Послеаварийное восстановление 
Managed Kubernetes Service Cервис для быстрого развертывания кластеров Kubernetes 
Private Cloud Частное облако 
Hybrid Сloud Гибридное облако 
SAP-хостинг Размещение SAP-приложений в облаке 
Миграция в облако Перенос инфраструктуры клиента на площадку провайдера 
CloudMix Облачный сервис для удалённого видеопродакшена (Бета-тест) 
VDI Desktops Виртуальные рабочие места 
VDI Workspaces Виртуальные десктопы с GPU 
Виртуальная инфраструктура. 
Защита веб-приложений (WAF) Платформа защиты от атак 
Защита от распределенных сетевых атак (Anti-DDoS) Круглосуточный мониторинг и защита ресурсов 
Центр мониторинга информационной безопасности (SOC) Комплексная защита от киберугроз 
Антивирусная защита (Касперский) Антивирусная защита виртуальных серверов и рабочих станций 
Консалтинг ИБ Консалтинговые и проектные услуги 
WAF Premium Cервис для обеспечения непрерывной защиты веб-приложений от кибератак 
Защита от распределенных сетевых атак на базе Qrator Labs 
Managed Kubernetes Service Cервис для быстрого развертывания кластеров Kubernetes 
ML Platform 
Apache Kafka as a Service Управление кластерами Apache Kafka 
MTС IoT HUB 
Диск #CloudMTS Сервис для хранения и обмена файлами 
Офис Лайт #CloudMTS Удобное решение для офисной работы 
Офис #CloudMTS 
Корпоративная почта #CloudMTS 
МТС Линк от CloudMTS 
CloudVPN Interconnect Изолированные сетевые соединения 
Cloud SD-WAN Организация распределенной сетевой ИТ-инфраструктуры 
Cloud CDN Быстрая доставка статического контента 
Global Server Load Balancing (GSLB) 
Объектное хранилище Сервис хранения данных любого объема 
DBaaS for PostgreSQL 
DBaaS for Redis 
Резервное копирование виртуальных машин 
Резервное копирование рабочих станций 
Резервное копирование данных 
Hardware-as-a-Service (HaaS) Аренда выделенного оборудования 
Сolocation Авантаж Размещение оборудования в ЦОД 
Аутсорсинг ИТ Комплексные проекты и поддержка инфраструктуры 
Профессиональные сервисы Полный цикл сервисов в облаке 
Управление сервисами Пакетные решения в облаке 24/7 
1С-хостинг Облако и сервисы для приложений 1С 
Сопровождение 1C Поддержка пользователей и приложений 1C 
Лицензии 1С 
Аудит ИТ-инфраструктуры Анализ текущего состояния ИТ-систем 
Консалтинг ИБ Консалтинговые и проектные услуги 
Миграция в облако Перенос инфраструктуры клиента на площадку провайдера 
Облачная стратегия развития ИТ-инфраструктуры Разработка оптимальной модели развития в облаке 
Аутсорсинг ИБ Безопасность как услуга 
Сопровождение 1C Поддержка пользователей и приложений 1C 
Private Cloud Частное облако 
SAP-хостинг Размещение SAP-приложений в облаке 
Hardware-as-a-Service (HAAS) Аренда выделенного оборудования 
Hybrid Cloud Гибридное облако 
1С-хостинг Облако и сервисы для приложений 1С 
Новости Общие статьи про услуги, дайджесты 
Мероприятия Анонсы онлайн и оффлайн мероприятий 
Статьи Новости сервисов, платформы 
Cloud DevOps Бесплатный курс по DevOps и Kubernetes 
Облачный атлас Пройди квиз и оставь заявку на получение Гранта до 500 000 рублей на самые популярные облачные сервисы MTS 
Кодный день Пройди квиз и докажи, что ты настоящий кодер с крепким кофе в одной руке и бубном — в другой. 
Связаться с нами 
База знаний 
База знаний #CloudMTS - Virtual Infrastructure
- Disaster Recovery
- Кроссплатформенная миграция на базе Киберпротект
- Veeam Agent BaaS
- Veeam Cloud Connect
- Объектное хранилище #CloudMTS
- GPU Workspaces
- VDI Desktops
- Cloud CDN / Медиасервисы
- Диск #CloudMTS
- Техническая поддержка и отзывы
- DBaaS for PostgreSQL
- Containerum Kubernetes
- GPU SuperCloud
Настройка Policy-Based IPsec VPN между Cisco CSR1000v и NSX Edge Services Gateway
Настройка Policy-based IPsec на NSX Edge Services Gateway
| Настройка в рамках IKEv1 | |
|---|---|
Enable perfect forward secrecy: On Local Id и Local Endpoint: 213.108.129.202 Local Subnets: 192.168.101.0/24 Peer Id и Peer Endpoint: 176.118.31.163 Peer Subnets: 192.168.200.0/24 Encryption Algorithm: AES Authentication: PSK Pre-Shared Key: Changeme123 Diffie-Hellman Group: DH5 Digest Algorithm: SHA1 IKE Option: IKEv1 IKE Responder Only: Off Session Type: Policy Based Session |  |
| Настройка в рамках IKEv2 | |
|---|---|
Enable perfect forward secrecy: On Local Id и Local Endpoint: 213.108.129.202 Local Subnets: 192.168.101.0/24 Peer Id и Peer Endpoint: 176.118.31.163 Peer Subnets: 192.168.200.0/24 Encryption Algorithm: AES Authentication: PSK Pre-Shared Key: Changeme123 Diffie-Hellman Group: DH5 Digest Algorithm: SHA1 IKE Option: IKEv2 IKE Responder Only: Off Session Type: Policy Based Session |  |
Конфигурация Policy-based IPsec на Cisco CSR1000v
| Настройка в рамках IKEv1 |
|---|
1. Настроим IKE политику: crypto isakmp policy 10 encryption aes group 5 hash sha lifetime 28800 authentication pre-share 2. Настроим связку PSK ключа с Peer адресом: crypto isakmp key Changeme123 address 213.108.129.202 3. Настроим IPsec transform-set: crypto ipsec transform-set TS-EDGE-ESP-AES-SHA esp-aes esp-sha-hmac 4. Создадим IPsec access list: access-list 101 permit ip 192.168.200.0 0.0.0.255 192.168.101.0 0.0.0.255 5. Создадим Crypto Map и свяжем ее с политикой: crypto map VTI-EDGE-CMAP 1 ipsec-isakmp set transform-set TS-EDGE-ESP-AES-SHA set pfs group5 set peer 213.108.129.202 match address 101 6. Настроим внешний интерфейс на работу с созданной Crypto Map: interface GigabitEthernet1 crypto map VTI-EDGE-CMAP 7. Запустим ping до удаленной сети с использованием локальных сетей, объявленных в настройках туннеля: Router# ping 192.168.101.1 source gigabitEthernet 2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.101.1, timeout is 2 seconds: Packet sent with a source address of 192.168.200.1 .!!!! Success rate is 80 percent (4/5 ), round-trip min/avg/max = 12/12/13 ms Итого вся конфигурация , относящаяся к настройке Policy-based IPsec на Cisco CSR1000v с использованием IKEv1 выглядит следующим образом: Конфигурация Policy-based IPsec Cisco CSR1000v (IKEv1) crypto isakmp policy 10 encr aes authentication pre-share group 5 lifetime 28800 crypto isakmp key Changeme123 address 213.108.129.202 crypto ipsec transform-set TS-EDGE-ESP-AES-SHA esp-aes esp-sha-hmac mode tunnel crypto map VTI-EDGE-CMAP 1 ipsec-isakmp set peer 213.108.129.202 set transform-set TS-EDGE-ESP-AES-SHA set pfs group5 match address 101 interface GigabitEthernet1 crypto map VTI-EDGE-CMAP access-list 101 permit ip 192.168.200.0 0.0.0.255 192.168.101.0 0.0.0.255 |
| Настройка в рамках IKEv1 |
|---|
1. Создаем ISAKMP proposal: crypto ikev2 proposal VTI-EDGE-PROPOSAL encryption aes-cbc-128 integrity sha1 group 5 2. Создаем ISAKMP политику: crypto ikev2 policy VTI-EDGE-POLICY proposal VTI-EDGE-PROPOSAL 3. Настроим связку ключей IKEv2: crypto ikev2 keyring VTI-EDGE-KEYRING peer EDGE address 213.108.129.202 pre-shared-key local Changeme123 pre-shared-key remote Changeme123 4. Настраиваем IKEv2 профиль: crypto ikev2 profile VTI-EDGE-PROFILE match identity remote address 213.108.129.202 255.255.255.0 identity local address 176.118.31.163 authentication remote pre-share authentication local pre-share keyring local VTI-EDGE-KEYRING 5. Настраиваем IPsec Transform Set: crypto ipsec transform-set TS-EDGE-ESP-AES-SHA esp-aes esp-sha-hmac mode tunnel 6. Создадим IPsec access list: access-list 101 permit ip 192.168.200.0 0.0.0.255 192.168.101.0 0.0.0.255 7. Создадим Crypto Map и свяжем ее с политикой: crypto map VTI-EDGE-CMAP 1 ipsec-isakmp set transform-set TS-EDGE-ESP-AES-SHA set ikev2-profile VTI-EDGE-PROFILE set peer 213.108.129.202 match address 8. Настроим внешний интерфейс на работу с созданной Crypto Map: interface GigabitEthernet1 crypto map VTI-EDGE-CMAP 9. Запустим ping до удаленной сети с использованием локальных сетей, объявленных в настройках туннеля: Router# ping 192.168.101.1 source gigabitEthernet 2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.101.1, timeout is 2 seconds: Packet sent with a source address of 192.168.200.1 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 12/12/13 ms Итого вся конфигурация , относящаяся к настройке Policy-based IPsec на Cisco CSR1000v с использованием IKEv2 выглядит следующим образом: Конфигурация Policy-based IPsec Cisco CSR1000v (IKEv2) crypto ikev2 proposal VTI-EDGE-PROPOSAL encryption aes-cbc-128 integrity sha1 group 5 crypto ikev2 policy VTI-EDGE-POLICY proposal VTI-EDGE-PROPOSAL crypto ikev2 keyring VTI-EDGE-KEYRING peer EDGE address 213.108.129.202 pre-shared-key local Changeme123 pre-shared-key remote Changeme123 crypto ikev2 profile VTI-EDGE-PROFILE match identity remote address 213.108.129.202 255.255.255.0 identity local address 176.118.31.163 authentication remote pre-share authentication local pre-share keyring local VTI-EDGE-KEYRING crypto ipsec transform-set TS-EDGE-ESP-AES-SHA esp-aes esp-sha-hmac mode tunnel crypto map VTI-EDGE-CMAP 1 ipsec-isakmp set peer 213.108.129.202 set transform-set TS-EDGE-ESP-AES-SHA set ikev2-profile VTI-EDGE-PROFILE match address 101 interface GigabitEthernet1 crypto map VTI-EDGE-CMAP access-list 101 permit ip 192.168.200.0 0.0.0.255 192.168.101.0 0.0.0.255 |
Описания и инструкции, размещаемые на данном ресурсе, носят исключительно информационный характер и не могут рассматриваться в качестве гарантий, заверений, рекомендаций или документа, порождающего какие-либо обязательства МТС. Конкретные условия использования сервисов определяются договорами с клиентом. МТС не несет ответственности за содержание публикуемых инструкций и результаты их применения клиентом. Актуальность отдельных положений публикуемых описаний и инструкций необходимо уточнять у аккаунт-менеджера или службы технической поддержки support@cloud.mts.ru
