非常详细的IPsec VPN实验配置解说.docx
- 文档编号:6741336
- 上传时间:2023-05-10
- 格式:DOCX
- 页数:11
- 大小:24.36KB
非常详细的IPsec VPN实验配置解说.docx
《非常详细的IPsec VPN实验配置解说.docx》由会员分享,可在线阅读,更多相关《非常详细的IPsec VPN实验配置解说.docx(11页珍藏版)》请在冰点文库上搜索。
非常详细的IPsecVPN实验配置解说
IPsecVPN
第一阶段:
配置策略IsakmpSA
Cryptoisakmppolicy10//定义策略,且优先级为10
Encryptiondes//数据的保密性配置
Hashmd5//数据的完整性配置
Authenticationpre-share//身份的验证方为预共享密钥(另外一种是数字签名)
Group2//密钥长度为1024bit
Lifetime86400//配置ISAKMP建立的SA的寿命
Exit
Cryptoisakmpkeywtuwiejfaddress192.168.1.1
//配置预共享密钥的密钥为:
wtuwiejf,远程对等体的IP地址为192.168.1.1(验证对方的IP)
注:
可通过showcryptoisakmppolicy来查看刚才配置的内容
Access-list100permitiphost192.168.1.1host192.168.2.1//定义感兴趣流量
//有了ACK定义的流量,才有第二阶段的策略可做,加密策略,哈希策略,隧道模式。
注:
传输模式默认为隧道传输模式。
第二阶段:
配置第二阶段的策略,名称叫做转换集。
是对感兴趣流做封装加密策略。
Cryptoipsectransform-setciscoesp-desesp-md5-hmac
//transform-set:
转换集
//cisco:
转换集的名称
//esp-des:
用ESP做封装,用des做加密
//esp-md5-hmac:
用ESP封装,用MD5做哈希
//作用:
对感兴趣流用ESP封装,用DES做加密;用ESP做封装,用MD5做哈唏。
CryptomapLAXDN10ipsec-isakmp//对第二阶段的策略做汇总。
因为一台路由器可能不止做一个VPN,有可能和很多路由器做VPN。
也就是有很多个第二阶段的策略。
所以说,这里是定义了一个加密图,是为了将策略汇总。
当有很多个第二阶段策略时,只需要配置多个mapid就可以了。
然后就根据MAPID来执行任务。
。
而不用定义多个map(注意:
一个端口只能配置一个map,从而将多个策略汇总到一个MAP中,然后在端口中调用MAP。
就可以起到节省端口的作用,对吧!
)。
即:
cryptomapyujianwei110ipsec-isakmp
cryptomapyujianwei220ipsec-isakmp
cryptomapyujianwei330ipsec-isakmp
cryptomapyujianwei440ipsec-isakmp
Setpeer192.168.1.1//配置对等体的要加密的地址
Settransform-setcisco//对第二阶段的转换集进行汇总
Matchaddress100//调用ACL100
R(config-if)#cryptomapLAXDN//调用cryptomap(加密图)策略到接口上
因为一个端口只能配置一个MAP,但是如果一台路由器要做很多VPN,那么此时如果用MAP就不用来很多端口,而只要用到一个MAP就可以。
一台路由器和不同的VPN连接,只需要MAPID就可以了。
IPSECVPN实验详解
由于Internet宽带接入的普及,它的带宽与价格非常的便宜(相对于专线而言).8M的ADSL价位不到两千元/年.越来越多的企业开始发掘基于宽带接入的增值应用.由于VPN技术的成熟,如对数据的加密技术与VPNQos技术的发展,使得基于Internet接入的VPN应用日趋增多.
VPN技术可用于远程用户的接入(用于取代传统拨号接入技术)访问,用于对主线路的备份作为备份链路,甚至可以取代传统的专线地位用于企业各分支机构的专有网络互联.
用于取代专线或备份线路接入的Site-to-SiteVPN接入技术,用于远程终端用户接入访问的Remote-VPN(也叫EasyVPN,取代传统拨号接入).
基于WEB页面访问的WEBVPN技术.又叫SSLVPN.
1.Site-to-sitevpn(三种类型)
站点间的VPN技术.IKE使用UDP端口500,IpsecESP和AH使用协议号50和51.因此如果要实现VPN穿越,必须在相应接口上配置访问列表以允许VPN流量通过。
Site-to-SiteVPN的配置通常可分为四个步骤:
1.传统路由及需互访的流量定义
定义路由设置
感兴趣的流量(即定义互访的内网主机流量以触发VPN参数协商)
2.定义IKE参数(IKE第一阶段安全关联协商)
定义ISAKMP策略
定义ISAKMP对等体和验证密钥
3.定义Ipsec参数(IKE第二阶段安全关联协商)
定义Ipsec的转换集Transform
定义Ipsec的加密映射(cryptomap)。
4.将加密映射应用到相应接口。
当路由器收到一个数据包时,它将检查安全策略(即所定义的感兴趣的流量)以决定是否为此数据包提供保护。
如果匹配访问列表所定义的流量,则路由器决定采用何种安全服务,并决定IPSEC端点所使用的地址,并检查是否存在一个安全关联(securityassociation).
如果没有安全关联,则路由器将与对等体协商建立。
而IKE用来在站点路由器之间建立一个提供验证的安全通道,并在此安全通道上进行Ipsec安全关联的协商。
IKE首先验证它的对等体,可通过预共享密钥,公钥密码或数字签名来实现。
一旦对等体被验证通过,Diffe-Hellman协议用来产生一个共有的会话密钥。
1.1静态地址
1.站点间用于建立VPN的两台设备都有静态公网地址.
内部主机通过NAT地址转换后访问Internet.但内部主机之间的访问流量不通过NAT转换,而通过Ipsec加密进行访问。
如图所示,在远程站点间,由于专线费用过高,因此考虑与中心站点间采用IPsecVPN技术来实现远程分支站点与中心站点间的私网互联。
因为内网是私有地址,所以在上Internet时必须做NAT地址转换。
而通过VPN隧道在内网之间访问的时候,相当于两边私网通过专线互联,因此不需要做NAT。
1路由配置,NAT配置及感兴趣流量的定义
R1与R3分别是中心站点与分支站点的Internet接入路由器,在接入路由器上通常配置默认路由。
1.接口及路由配置
R1配置:
interfaceEthernet0/1
ipaddress10.1.1.1255.255.255.0
interfaceSerial1/0
ipaddress201.1.1.1255.255.255.0
iproute0.0.0.00.0.0.0Serial1/0
R2配置
interfaceSerial1/0
ipaddress201.1.1.2255.255.255.0
!
interfaceSerial1/1
ipaddress202.1.1.1255.255.255.0
R3配置
interfaceEthernet0/1
ipaddress172.16.1.1255.255.255.0
interfaceSerial1/1
ipaddress202.1.1.2255.255.255.0
iproute0.0.0.00.0.0.0Serial1/1
2.NAT配置
在R1和R3上分别做PAT地址转换,定义需要做NAT的访问列表。
R1配置:
R1(config)#inte0/1
R1(config-if)#ipnatinside
R1(config-if)#ints1/0
R1(config-if)#ipnatoutside
ipnatinsidesourcelist102interfaceSerial1/0overload
定义了访问列表102所指定的流量进行NAT转换,overload选项进行端口复用(PAT)
R1(config)#access-list102denyip10.1.1.00.0.0.255172.16.1.00.0.0.255
将10.1.1.0访问172.16.1.0的流量不进行NAT转换。
R1(config)#access-list102permitip10.1.1.00.0.0.255any
对去往Internet的流量进行NAT转换
R3配置:
R3(config)#inte0/1
R3(config-if)#ipnatinside
R3(config)#ints1/1
R3(config-if)#ipnatoutside
ipnatinsidesourcelist102interfaceSerial1/1overload
R3(config)#access-list102denyip172.16.1.00.0.0.25510.1.1.00.0.0.255
R3(config)#access-list102permitip172.16.1.00.0.0.255any
3.定义触发Ipsec保护的感兴趣的流量
R1
access-list101permitip10.1.1.00.0.0.255172.16.1.00.0.0.255
R3
access-list101permitip172.16.1.00.0.0.25510.1.1.00.0.0.255
2定义IKE参数
1.定义IKE加密策略:
IKE用来创建使用共享密钥的安全关联(SA)
R1
R1(config)#cryptoisakmppolicy1
R1(config-isakmp)#?
ISAKMPcommands:
authenticationSetauthenticationmethodforprotectionsuite定义验证的方法
defaultSetacommandtoitsdefaults
encryptionSetencryptionalgorithmforprotectionsuite定义加密的方法
exitExitfromISAKMPprotectionsuiteconfigurationmode
groupSettheDiffie-HellmangroupDiffie-Hellman算法用于密钥的安全交换。
hashSethashalgorithmforprotectionsuite哈希算法用来验证数据的完整性
lifetimeSetlifetimeforISAKMPsecurityassociation
noNegateacommandorsetitsdefaults
R1(config-isakmp)#authenticationpre-share定义双方身份验证采用预共享密钥交换方式
R1(config)#cryptoisakmpkey0cisco(验证密钥为cisco)address202.1.1.2(对等体地址)
其它没有配置的参数有一个默认配置,加密算法默认为des,哈希算法为SHA-1,Diffie-Hellman采用组一的密钥交换方法,安全关联的生命周期为86400秒。
R3
R3(config)#cryptoisakmppolicy1(1为策略编号,可以为不同站点配置不同策略号)
R3(config-isakmp)#authenticationpre-share
R3(config)#cryptoisakmpkey0ciscoaddress201.1.1.1
3.定义Ipsec参数(IKE第二阶段安全关联的建立)
1.定义要保护数据的加密和验证转换集方法(Transform设置)
R1:
R1(config)#cryptoipsectransform-setmytransesp-3des
R3
R3(config)#cryptoipsectransform-setmytrans(设置的转换集命名)?
ah-md5-hmacAH-HMAC-MD5transform
ah-sha-hmacAH-HMAC-SHAtransform
comp-lzsIPCompressionusingtheLZScompressionalgorithm
esp-3desESPtransformusing3DES(EDE)cipher(168bits)
esp-aesESPtransformusingAEScipher
esp-desESPtransformusingDEScipher(56bits)
esp-md5-hmacESPtransformusingHMAC-MD5auth
esp-nullESPtransformw/ocipher
esp-sealESPtransformusingSEALcipher(160bits)
esp-sha-hmacESPtransformusingHMAC-SHAauth
这些都是对数据进行加密和完整性验证的方法集。
可以任选使用,但站点两端设置必须相同。
AH只能用于对数据包包头进行完整性检验,而ESP用于对数据的加密和完整性检验。
R3(config)#cryptoipsectransform-setmytransesp-3des
注意:
这里所定义的mytrans转换集要在后面的cryptomap中调用。
R3(cfg-crypto-trans)#mode?
transporttransport(payloadencapsulation)mode
tunneltunnel(datagramencapsulation)mode
在这里可以定义IPSEC工作在传输模式或隧道模式,传输模式通常用于主机与主机终端之间进行加密传输,而隧道模式则用于网络设备间建立VPN联接。
默认情况下,工作在tunnel模式。
2.定义加密映射:
加密映射把远程对等体,Transform定义的对流量的保护方法及感兴趣的流量关联在一起,
R1:
R1(config)#cryptomapmymap1ipsec-isakmp
R1(config-crypto-map)#setpeer203.1.1.2(设置对等体地址)
R1(config-crypto-map)#settransform-setmytrans(将前面的Transform设置关联起来)
R1(config-crypto-map)#matchaddress101(与第一步所定义的感兴趣的流量关联)
R3
R3(config-crypto-map)#setpeer201.1.1.1
R3(config-crypto-map)#settransform-setmytrans
R3(config-crypto-map)#matchaddress101
4.将加密映射应用至接口
R1:
interfaceSerial1/0
cryptomapmymap
!
R3
interfaceSerial1/1
cryptomapmymap
!
5.检验配置
R1#ping172.16.1.1source10.1.1.1
Typeescapesequencetoabort.
Sending5,100-byteICMPEchosto172.16.1.1,timeoutis2seconds:
Packetsentwithasourceaddressof10.1.1.1
.!
!
!
!
可见双方站点内网通信联通性OK
R1#showcryptoengineconnectionsactive
IDInterfaceIP-AddressStateAlgorithmEncryptDecrypt
1Serial1/0201.1.1.1setHMAC_SHA+DES_56_CB00
2003Serial1/0201.1.1.1set3DES40
2004Serial1/0201.1.1.1set3DES04
可见已经为加密的流量建立了安全关联
R1#showcryptoisakmpsa
dstsrcstateconn-idslotstatus
202.1.1.2201.1.1.1QM_IDLE10ACTIVE
可见第一阶段安全关联已经建立成功
R1#showcryptoipsecsa
interface:
Serial1/0
Cryptomaptag:
mymap,localaddr201.1.1.1
protectedvrf:
(none)
localident(addr/mask/prot/port):
(10.1.1.0/255.255.255.0/0/0)
remoteident(addr/mask/prot/port):
(172.16.1.0/255.255.255.0/0/0)
current_peer202.1.1.2port500
PERMIT,flags={origin_is_acl,}
#pktsencaps:
22,#pktsencrypt:
22,#pktsdigest:
22
#pktsdecaps:
22,#pktsdecrypt:
22,#pktsverify:
22
#pktscompressed:
0,#pktsdecompressed:
0
#pktsnotcompressed:
0,#pktscompr.failed:
0
#pktsnotdecompressed:
0,#pktsdecompressfailed:
0
#senderrors3,#recverrors0
localcryptoendpt.:
201.1.1.1,remotecryptoendpt.:
202.1.1.2
pathmtu1500,ipmtu1500
currentoutboundspi:
0xE52E393E(3845011774)
inboundespsas:
spi:
0x62197B9E(1645837214)
transform:
esp-3des,
inusesettings={Tunnel,}
connid:
2004,flow_id:
SW:
4,cryptomap:
mymap
satiming:
remainingkeylifetime(k/sec):
(4422230/3189)
IVsize:
8bytes
replaydetecti由于Internet宽带接入的普及,它的带宽与价格非常的便宜(相对于专线而言).8M的ADSL价位不到两千元/年.越来越多的企业开始发掘基于宽带接入的增值应用.由于VPN技术的成熟,如对数据的加密技术与VPNQos技术的发展,使得基于Internet接入的VPN应用日趋增多.
VPN技术可用于远程用户的接入(用于取代传统拨号接入技术)访问,用于对主线路的备份作为备份链路,甚至可以取代传统的专线地位用于企业各分支机构的专有网络互联.
用于取代专线或备份线路接入的Site-to-SiteVPN接入技术,用于远程终端用户接入访问的Remote-VPN(也叫EasyVPN,取代传统拨号接入).
基于WEB页面访问的WEBVPN技术.又叫SSLVPN.
1.Site-to-sitevpn(三种类型)
站点间的VPN技术.IKE使用UDP端口500,IpsecESP和AH使用协议号50和51.因此如果要实现VPN穿越,必须在相应接口上配置访问列表以允许VPN流量通过。
Site-to-SiteVPN的配置通常可分为四个步骤:
1.传统路由及需互访的流量定义
定义路由设置
感兴趣的流量(即定义互访的内网主机流量以触发VPN参数协商)
2.定义IKE参数(IKE第一阶段安全关联协商)
定义ISAKMP策略
定义ISAKMP对等体和验证密钥
3.定义Ipsec参数(IKE第二阶段安全关联协商)
定义Ipsec的转换集Transform
定义Ipsec的加密映射(cryptomap)。
4.将加密映射应用到相应接口。
当路由器收到一个数据包时,它将检查安全策略(即所定义的感兴趣的流量)以决定是否为此数据包提供保护。
如果匹配访问列表所定义的流量,则路由器决定采用何种安全服务,并决定IPSEC端点所使用的地址,并检查是否存在一个安全关联(securityassociation).
如果没有安全关联,则路由器将与对等体协商建立。
而IKE用来在站点路由器之间建立一个提供验证的安全通道,并在此安全通道上进行Ipsec安全关联的协商。
IKE首先验证它的对等体,可通过预共享密钥,公钥密码或数字签名来实现。
一旦对等体被验证通过,Diffe-Hellman协议用来产生一个共有的会话密钥。
1.1静态地址
1.站点间用于建立VPN的两台设备都有静态公网地址.
内部主机通过NAT地址转换后访问Internet.但内部主机之间的访问流量不通过NAT转换,而通过Ipsec加密进行访问。
如图所示,在远程站点间,由于专线费用过高,因此考虑与中心站点间采用IPsecVPN技术来实现远程分支站点与中心站点间的私网互联。
因为内网是私有地址,所以在上Internet时必须做NAT地址转换。
而通过VPN隧道在内网之间访问的时候,相当于两边私网通过专线互联,因此不需要做NAT。
1路由配置,NAT配置及感兴趣流量的定义
R1与R3分别是中心站点与分支站点的Internet接入路由器,在接入路由器上通常配置默认路由。
1.接口及路由配置
R1配置:
interfaceEthernet0/1
ipaddres
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 非常详细的IPsec VPN实验配置解说 非常 详细 IPsec VPN 实验 配置 解说
![提示](https://static.bingdoc.com/images/bang_tan.gif)