30选5玩法|福彩30选5开奖结果321|
 

分类:VPN

CISCO

笔者做easy vpn实验,配置如下,已验证成功。client是891路由器,版本12.4,VPN Server是ASA,版本8.1。

aaa authentication login rtr-remote local
aaa authorization network rtr-remote local

clock timezone HKST 8  //时间需正确

crypto pki trustpoint testca  //证书名
enrollment mode ra
enrollment url http://1.1.1.1:80/certsrv/mscep/mscep.dll //在线注册CA
revocation-check none 
rsakeypair test.domain.com  //密钥对,hostname是test,域名是domain.com,大小最好1024

crypto pki certificate chain testca
ip domain name domain.com

username user privilege 15 password 0 passwd

------中间广告---------

crypto isakmp policy 1  //必需和server一致
encr aes 256
group 2
crypto isakmp keepalive 100
!
crypto isakmp client configuration group testgroup
key 123
domain domain.com
crypto isakmp profile pro  //profile
ca trust-point testca  //指定证书
match identity group testgroup 
client configuration address respond
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set set1 esp-aes 256 esp-sha-hmac  //和policy对应

crypto ipsec client ezvpn ezvpn
connect auto
mode network-extension
peer 10.10.10.10  //VPN Server地址
xauth userid mode interactive
!
!
crypto dynamic-map dymap 1
set transform-set set1
set isakmp-profile pro
reverse-route
!
!
crypto map mymap isakmp authorization list rtr-remote
crypto map mymap client configuration address respond
crypto map mymap 10 ipsec-isakmp dynamic dymap

interface Loopback0
description inside
ip address 192.168.1.1 255.255.255.0
crypto ipsec client ezvpn ezvpn inside  //inside接口必须指定,而且是双up

interface GigabitEthernet0  //outside接口
ip address dhcp
duplex auto
speed auto
crypto map mymap
crypto ipsec client ezvpn ezvpn

 

来自http://blog.sina.com.cn/s/blog_5e4115b501013foj.html

IPSec over GRE隧道

No Comments VPN , ,

实验背景:

单独配置基于预共享密钥的IPSec VPN,可以实现不同站点之间的网络互联,但是IPSec工作于网络层,是不能和NAT一起使用的,否则就会造成数据源和目的地址的混乱;而且不能形成内网之间的路由协议。这就需要将IPSec运行在GRE(tunnel)隧道之上,真实物理接口运行NAT进行网络地址转换,这就避免了IPSec VPN和NAT之间的冲突。使用GRE隧道的另外一个好处是可以在各个站点的隧道之间学习路由协议。GRE是通用路由封装协议,可以实现?#25105;?#19968;种网络层协议在另一种网络层协议上的封装。

实验目的:

1、 在模拟公网上配置OSPF路由协议,在各个站点之间配置EIGRP路由协议。

2、 了解GRE隧道的建立过程

3、 将IPSec VPN应用于GRE隧道之上实现安全的通信

4、 在出口路由器上做NAT实现?#25509;?#22320;址到公有地址的转换

5、 测试各个过程的运行结果

实验网络拓扑:

clip_image002[8]

实验步骤

1. 配置网络互联的基本?#38382;?/strong>

1.1配置R2和R3网络之间的基本?#38382;?#24182;启用OSPF路由协议

注意:在R2和R3上各配置了一条默认路由指向两边的末梢网络,这样公网就可以访问内网的数据了。

image

image

1.2使用show ip route查看R2和R3是否学习到了OSPF路由条目(OSPF路由条目以O IA显示)

image

1.3配置私网出口路由R1和R4的基本?#38382;?#24182;配置一条默认路由指向公网

clip_image006[8]

clip_image007[8]

2. 配置GRE隧道,并启用EIGRP路由协议

2.1在R1和R4上配置tunnel 1,并启用EIGRP路由协议。注意:只宣告内网网段和tunnel隧道的网段。

clip_image008[8]

clip_image009[8]

2.2使用show ip route查看内网之间学习的EIGRP路由条目(EIGRP的路由条目以D显示)

image

image

3. 配置IPSec,并将其应用到GRE隧道上

3.1在R1和R4上分别配置IPSec VPN,并应用Crypto MAP到GRE隧道上(Tunnel 1)。

image

image

image

image

image image

4. 测试站点之间的连通性

4.1下面是ping之前和ping之后加密的数据

clip_image014[9]

`$LFS@4Q6HIS0HA4SS[UC}A

5. 配置NAT实现网络地址转换

5.1在R1和R4上配置NAT(PAT),将私网地址全部转换成路由出口公网的IP地址

clip_image016[9]

clip_image017[9]

5.2然后在PC1上分别ping私网的IP地址和公网的IP地址,可以发现ping公网的IP地址都进行了NAT地址转换,而ping私网的IP地址都经过了隧道加密。

clip_image018[9]

clip_image019[9]

[CCIE那点事]原创:第三集:手把手交你配置ADSL+IPSEC VPN

No Comments VPN ,

第三集来了,潮爆了有没有.

回顾

本文标题:[CCIE那点事]原创:第一集:手把手交你配置VPN之L2L站点到站点VPN

本文链接:http://www.rygqfb.tw/?p=1862转载请注明转自CCIE那点事

本文标题:[CCIE那点事]原创:第二集:手把手交你配置VPN之L2L+ezvpn

本文链接:http://www.rygqfb.tw/?p=3020转载请注明转自CCIE那点事

为毛要写这篇呢,因为有人问了.分公司是ADSL拔号上网的怎么配置VPN与总部互联.我相信这也是很多网络工程师碰到的问题.

在企业呆过的IT都知道,ADSL和LAN企业用的话便宜,2M一月估计也就是个2000多块.EPON光纤这种就不一样了.价格要翻几翻

所以大部分企业都是选用ADSL和总公司,总部的IDC或机房具有固定IP的设备来互联了.扯太远了哈哈.

测试目的

分公司 r4 4.4.4.0 网?#25991;?#19982;总部server 8.8.8.0互通

测试环境

GNS3  2961 c2691-advsecurityk9-mz[1].124-11.T2.bin

?#23433;?#22810;话,上图

clipboard[3]

图在这里了有点复杂,我介绍一个

1.图中包含一个ADSL SERVER 用于模据ISP

2.一个IPSEC VPN server  R8

3.ADSL + vpn client  vpnadsl

4.模拟内网服务器R4 与 VPN REMOTE

5.模拟总部服务器 server

本来想用cisco packet tracer做的,测试了好长时间发现不支持.所以只能找GNS3了.

精简配置,其他的全删

adsl server的配置

vpdn enable    /*启用VPDN

!

vpdn-group 1   /*配置VPDN组

! Default L2TP VPDN group

accept-dialin       /*允许呼入

  protocol pppoe /*协议封装为pppoe

  virtual-template 1    /*应用虚模版1

username cisco password 0 cisco   /*拔号用户名和密码

!

bba-group pppoe global       /*启用全局bba组

virtual-template 1                 /*绑定虚模版1

!

!

interface Loopback1             /*作地址借用

ip address 223.1.1.1 255.255.255.0

!

interface FastEthernet0/0   

ip address 8.8.8.1 255.255.255.0

speed auto

full-duplex

!

interface FastEthernet0/1

pppoe enable group global    /*端口起用pppoe

!

interface Virtual-Template1     /*配置虚模版

ip unnumbered Loopback1    /*借用lo1接口地址

peer default ip address pool cisco     /*指定IP 地址池

ppp authentication chap                   /*验证为chap模式

!

ip local pool cisco 223.1.1.2 223.1.1.100  /*分配地址池

!

总部VPN配置 R8

配置我不解释 了,请看前两集

hostname R8

crypto isakmp policy 10

encr 3des

authentication pre-share

group 2

crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0

!

!

crypto ipsec transform-set newset esp-3des esp-md5-hmac

!

crypto dynamic-map map1 10

set transform-set newset

!

crypto dynamic-map mymap1 10

set transform-set newset

!

!

crypto map map1 100 ipsec-isakmp dynamic mymap1 discover

!

!

!

!

interface FastEthernet0/0

ip address 8.8.8.2 255.255.255.0

ip nat outside

ip virtual-reassembly

duplex auto

speed auto

crypto map map1

!

interface FastEthernet0/1

ip address 10.1.1.1 255.255.255.0

ip nat inside

ip virtual-reassembly

duplex auto

speed auto

!

ip route 0.0.0.0 0.0.0.0 8.8.8.1

!

!

no ip http server

no ip http secure-server

ip nat inside source list nonat interface FastEthernet0/0 overload

!

ip access-list extended VPN_B01

permit ip 10.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255

ip access-list extended nonat

deny   ip 10.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255

permit ip any any

最点来了 vpn+adsl 路由器配置

hostname vpnadsl

vpdn enable

!

vpdn-group 1

request-dialin

  protocol pppoe

!

crypto isakmp policy 10

encr 3des

authentication pre-share

group 2

crypto isakmp key cisco123 address 8.8.8.2

!

!

crypto ipsec transform-set newset esp-3des esp-md5-hmac

!

crypto map map1 5 ipsec-isakmp

set peer 8.8.8.2

set transform-set newset

match address VPN_HUB

!

bba-group pppoe global

!

!

interface FastEthernet0/0

ip address 1.1.1.1 255.255.255.0

ip nat inside

ip virtual-reassembly

speed auto

full-duplex

!

interface FastEthernet0/1

no ip address

speed auto

full-duplex

pppoe enable group global

pppoe-client dial-pool-number 1

!

interface Dialer0

ip address negotiated

ip nat outside                       /*所有的特性都是做在这里哦,注意

ip virtual-reassembly

encapsulation ppp             

dialer pool 1

dialer-group 1

ppp authentication chap pap callin   /*pap的写法是  ppp pap hostname xxx pass xxx

ppp chap hostname cisco

ppp chap password 0 cisco

crypto map map1                     /*应用ipsec

!

ip route 0.0.0.0 0.0.0.0 Dialer0

ip route 4.4.4.0 255.255.255.0 1.1.1.2

!

ip nat inside source list nonat interface Dialer0 overload

!

ip access-list extended VPN_HUB

permit ip 4.4.4.0 0.0.0.255 10.1.1.0 0.0.0.255

ip access-list extended nonat

deny   ip 4.4.4.0 0.0.0.255 10.1.1.0 0.0.0.255

permit ip any any

!

dialer-list 1 protocol ip permit

测试结果,很OK,达到实验目的,测试完成

*Mar  1 01:36:02.007: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

*Mar  1 01:36:10.779: ISAKMP:(0): SA request profile is (NULL)

*Mar  1 01:36:10.779: ISAKMP: Created a peer struct for 8.8.8.2, peer port 500

*Mar  1 01:36:10.783: ISAKMP: New peer created peer = 0x648CE15C peer_handle = 0x80000005

*Mar  1 01:36:10.783: ISAKMP: Locking peer struct 0x648CE15C, refcount 1 for isakmp_initiator

*Mar  1 01:36:10.783: ISAKMP: local port 500, remote port 500

*Mar  1 01:36:10.783: ISAKMP: set new node 0 to QM_IDLE     

*Mar  1 01:36:10.787: ISAKMP: Find a dup sa in the avl tree during calling isadb_insert sa = 64186BF4

*Mar  1 01:36:10.787: ISAKMP:(0):Can not start Aggressive mode, trying Main mode.

*Mar  1 01:36:10.787: ISAKMP:(0):found peer pre-shared key matching 8.8.8.2

*Mar  1 01:36:10.791: ISAKMP:(0): constructed NAT-T vendor-07 ID

*Mar  1 01:36:10.791: ISAKMP:(0): constructed NAT-T vendor-03 ID

*Mar  1 01:36:10.791: ISAKMP:(0): constructed NAT-T vendor-02 ID

*Mar  1 01:36:10.795: ISAKMP:(0):Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_MM

*Mar  1 01:36:10.795: ISAKMP:(0):Old State = IKE_READY  New State = IKE_I_MM1

*Mar  1 01:36:10.795: ISAKMP:(0): beginning Main Mode exchange

*Mar  1 01:36:10.799: ISAKMP:(0): sending packet to 8.8.8.2 my_port 500 peer_port 500 (I) MM_NO_STATE

*Mar  1 01:36:10.799: ISAKMP:(0):Sending an IKE IPv4 Packet.

*Mar  1 01:36:11.283: ISAKMP (0:0): received packet from 8.8.8.2 dport 500 sport 500 Global (I) MM_NO_STATE

*Mar  1 01:36:11.287: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH

*Mar  1 01:36:11.287: ISAKMP:(0):Old State = IKE_I_MM1  New State = IKE_I_MM2

*Mar  1 01:36:11.291: ISAKMP:(0): processing SA payload. message ID = 0

*Mar  1 01:36:11.295: ISAKMP:(0): processing vendor id payload

*Mar  1 01:36:11.295: ISAKMP:(0): vendor ID seems Unity/DPD but major 245 mismatch

*Mar  1 01:36:11.295: ISAKMP (0:0): vendor ID is NAT-T v7

*Mar  1 01:36:11.295: ISAKMP:(0):found peer pre-shared key matching 8.8.8.2

*Mar  1 01:36:11.299: ISAKMP:(0): local preshared key found

*Mar  1 01:36:11.299: ISAKMP : Scanning profiles for xauth …

*Mar  1 01:36:11.299: ISAKMP:(0):Checking ISAKMP transform 1 against priority 10 policy

*Mar  1 01:36:11.299: ISAKMP:      encryption 3DES-CBC

*Mar  1 01:36:11.303: ISAKMP:      hash SHA

*Mar  1 01:36:11.303: ISAKMP:      default group 2

*Mar  1 01:36:11.303: ISAKMP:      auth pre-share

*Mar  1 01:36:11.303: ISAKMP:      life type in seconds

*Mar  1 01:36:11.303: ISAKMP:      life duration (VPI) of  0x0 0x1 0x51 0x80

*Mar  1 01:36:11.307: ISAKMP:(0):atts are acceptable. Next payload is 0

*Mar  1 01:36:11.307: ISAKMP:(0): processing vendor id payload

*Mar  1 01:36:11.307: ISAKMP:(0): vendor ID seems Unity/DPD but major 245 mismatch

*Mar  1 01:36:11.311: ISAKMP (0:0): vendor ID is NAT-T v7

*Mar  1 01:36:11.311: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE

*Mar  1 01:36:11.311: ISAKMP:(0):Old State = IKE_I_MM2  New State = IKE_I_MM2

*Mar  1 01:36:11.323: ISAKMP:(0): sending packet to 8.8.8.2 my_port 500 peer_port 500 (I) MM_SA_SETUP

*Mar  1 01:36:11.323: ISAKMP:(0):Sending an IKE IPv4 Packet.

*Mar  1 01:36:11.327: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE

*Mar  1 01:36:11.327: ISAKMP:(0):Old State = IKE_I_MM2  New State = IKE_I_MM3

*Mar  1 01:36:11.967: ISAKMP (0:0): received packet from 8.8.8.2 dport 500 sport 500 Global (I) MM_SA_SETUP

*Mar  1 01:36:11.971: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH

*Mar  1 01:36:11.971: ISAKMP:(0):Old State = IKE_I_MM3  New State = IKE_I_MM4

*Mar  1 01:36:11.979: ISAKMP:(0): processing KE payload. message ID = 0

*Mar  1 01:36:12.087: ISAKMP:(0): processing NONCE payload. message ID = 0

*Mar  1 01:36:12.087: ISAKMP:(0):found peer pre-shared key matching 8.8.8.2

*Mar  1 01:36:12.095: ISAKMP:(1005): processing vendor id payload

*Mar  1 01:36:12.095: ISAKMP:(1005): vendor ID is Unity

*Mar  1 01:36:12.099: ISAKMP:(1005): processing vendor id payload

*Mar  1 01:36:12.099: ISAKMP:(1005): vendor ID is DPD

*Mar  1 01:36:12.099: ISAKMP:(1005): processing vendor id payload

*Mar  1 01:36:12.103: ISAKMP:(1005): speaking to another IOS box!

*Mar  1 01:36:12.103: ISAKMP:(1005):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE

*Mar  1 01:36:12.103: ISAKMP:(1005):Old State = IKE_I_MM4  New State = IKE_I_MM4

*Mar  1 01:36:12.111: ISAKMP:(1005):Send initial contact

*Mar  1 01:36:12.111: ISAKMP:(1005):SA is doing pre-shared key authentication using id type ID_IPV4_ADDR

*Mar  1 01:36:12.115: ISAKMP (0:1005): ID payload

next-payload : 8

type         : 1

address      : 223.1.1.2

protocol     : 17

port         : 500

length       : 12

*Mar  1 01:36:12.115: ISAKMP:(1005):Total payload length: 12

*Mar  1 01:36:12.119: ISAKMP:(1005): sending packet to 8.8.8.2 my_port 500 peer_port 500 (I) MM_KEY_EXCH

*Mar  1 01:36:12.123: ISAKMP:(1005):Sending an IKE IPv4 Packet.

*Mar  1 01:36:12.123: ISAKMP:(1005):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE

*Mar  1 01:36:12.127: ISAKMP:(1005):Old State = IKE_I_MM4  New State = IKE_I_MM5

*Mar  1 01:36:12.579: ISAKMP (0:1005): received packet from 8.8.8.2 dport 500 sport 500 Global (I) MM_KEY_EXCH

*Mar  1 01:36:12.583: ISAKMP:(1005): processing ID payload. message ID = 0

*Mar  1 01:36:12.583: ISAKMP (0:1005): ID payload

next-payload : 8

type         : 1

address      : 8.8.8.2

protocol     : 17

port         : 500

length       : 12

*Mar  1 01:36:12.587: ISAKMP:(0):: peer matches *none* of the profiles

*Mar  1 01:36:12.587: ISAKMP:(1005): processing HASH payload. message ID = 0

*Mar  1 01:36:12.591: ISAKMP:(1005):SA authentication status:

authenticated

*Mar  1 01:36:12.591: ISAKMP:(1005):SA has been authenticated with 8.8.8.2

*Mar  1 01:36:12.591: ISAKMP: Trying to insert a peer 223.1.1.2/8.8.8.2/500/,  and inserted successfully 648CE15C.

*Mar  1 01:36:12.595: ISAKMP:(1005):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH

*Mar  1 01:36:12.595: ISAKMP:(1005):Old State = IKE_I_MM5  New State = IKE_I_MM6

*Mar  1 01:36:12.603: ISAKMP:(1005):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE

*Mar  1 01:36:12.603: ISAKMP:(1005):Old State = IKE_I_MM6  New State = IKE_I_MM6

*Mar  1 01:36:12.611: ISAKMP:(1005):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE

*Mar  1 01:36:12.611: ISAKMP:(1005):Old State = IKE_I_MM6  New State = IKE_P1_COMPLETE

*Mar  1 01:36:12.619: ISAKMP:(1005):beginning Quick Mode exchange, M-ID of 1720065028

*Mar  1 01:36:12.619: ISAKMP:(1005):QM Initiator gets spi

*Mar  1 01:36:12.627: ISAKMP:(1005): sending packet to 8.8.8.2 my_port 500 peer_port 500 (I) QM_IDLE     

*Mar  1 01:36:12.627: ISAKMP:(1005):Sending an IKE IPv4 Packet.

*Mar  1 01:36:12.631: ISAKMP:(1005):Node 1720065028, Input = IKE_MESG_INTERNAL, IKE_INIT_QM

*Mar  1 01:36:12.631: ISAKMP:(1005):Old State = IKE_QM_READY  New State = IKE_QM_I_QM1

*Mar  1 01:36:12.631: ISAKMP:(1005):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE

*Mar  1 01:36:12.635: ISAKMP:(1005):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE       /*如果不成功注意定位

*Mar  1 01:36:13.487: ISAKMP (0:1005): received packet from 8.8.8.2 dport 500 sport 500 Global (I) QM_IDLE     

*Mar  1 01:36:13.491: ISAKMP:(1005): processing HASH payload. message ID = 1720065028

*Mar  1 01:36:13.495: ISAKMP:(1005): processing SA payload. message ID = 1720065028

*Mar  1 01:36:13.495: ISAKMP:(1005):Checking IPSec proposal 1

*Mar  1 01:36:13.495: ISAKMP: transform 1, ESP_3DES

*Mar  1 01:36:13.495: ISAKMP:   attributes in transform:

*Mar  1 01:36:13.495: ISAKMP:      encaps is 1 (Tunnel)

*Mar  1 01:36:13.499: ISAKMP:      SA life type in seconds

*Mar  1 01:36:13.499: ISAKMP:      SA life duration (basic) of 3600

*Mar  1 01:36:13.499: ISAKMP:      SA life type in kilobytes

*Mar  1 01:36:13.499: ISAKMP:      SA life duration (VPI) of  0x0 0x46 0x50 0x0

*Mar  1 01:36:13.503: ISAKMP:      authenticator is HMAC-MD5

*Mar  1 01:36:13.503: ISAKMP:(1005):atts are acceptable.

*Mar  1 01:36:13.507: ISAKMP:(1005): processing NONCE payload. message ID = 1720065028

*Mar  1 01:36:13.507: ISAKMP:(1005): processing ID payload. message ID = 1720065028

*Mar  1 01:36:13.507: ISAKMP:(1005): processing ID payload. message ID = 1720065028

*Mar  1 01:36:13.515: ISAKMP:(1005): Creating IPSec SAs

*Mar  1 01:36:13.519:         inbound SA from 8.8.8.2 to 223.1.1.2 (f/i)  0/ 0

        (proxy 10.1.1.0 to 4.4.4.0)

*Mar  1 01:36:13.519:         has spi 0x34C7B52D and conn_id 0

*Mar  1 01:36:13.519:         lifetime of 3600 seconds

*Mar  1 01:36:13.519:         lifetime of 4608000 kilobytes

*Mar  1 01:36:13.519:         outbound SA from 223.1.1.2 to 8.8.8.2 (f/i) 0/0

        (proxy 4.4.4.0 to 10.1.1.0)

*Mar  1 01:36:13.523:         has spi  0xBE4D8EE6 and conn_id 0

*Mar  1 01:36:13.523:         lifetime of 3600 seconds

*Mar  1 01:36:13.523:         lifetime of 4608000 kilobytes

*Mar  1 01:36:13.527: ISAKMP:(1005): sending packet to 8.8.8.2 my_port 500 peer_port 500 (I) QM_IDLE     

*Mar  1 01:36:13.527: ISAKMP:(1005):Sending an IKE IPv4 Packet.

*Mar  1 01:36:13.531: ISAKMP:(1005):deleting node 1720065028 error FALSE reason "No Error"

*Mar  1 01:36:13.531: ISAKMP:(1005):Node 1720065028, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH

1 01:36:13.531: ISAKMP:(1005):Old State = IKE_QM_I_QM1  New State = IKE_QM_PHASE2_COMPLETE   /*如果不成功注意定位

*Mar  1 01:36:21.867: %SYS-5-CONFIG_I: Configured from console by console

ping 测试

r4#ping 10.1.1.2 repeat 10000

server#

*Mar  1 02:22:38.047: ICMP: echo reply sent, src 10.1.1.2, dst 4.4.4.2

*Mar  1 02:22:38.423: ICMP: echo reply sent, src 10.1.1.2, dst 4.4.4.2

*Mar  1 02:22:38.551: ICMP: echo reply sent, src 10.1.1.2, dst 4.4.4.2

*Mar  1 02:22:38.799: ICMP: echo reply sent, src 10.1.1.2, dst 4.4.4.2

附原版配置  http://pan.baidu.com/share/link?shareid=2163115506&uk=4144237329

[CCIE那点事]原创:第二集:手把手交你配置VPN之L2L+ezvpn

1 Comment VPN ,

看完第一集有没有神马感觉呢,现在有空了来写第二集.

回顾

本文标题:[CCIE那点事]原创:第一集:手把手交你配置VPN之L2L站点到站点VPN

第二集我们来?#27493;?L2L VPN和EZVPN同?#31508;?#29992;?#37027;?#20917;.

哪些情况会使用到这种结合的VPN呢.哈哈.当然是远程办公了.

现在我们来?#27493;?/p>

1.怎么配置L2LVPN  这个上篇已经讲了

2.怎么配置EZVPN  

分三阶段看的比较清楚.

第0阶段.

1.配置AAA

2.配置帐号密码

第一阶段

3.配置IKE策略

4.配置IKE组

第二阶段

5.配置?#25442;?#38598; 

6.配置动态图

7.配置?#31361;?#31471;的静态?#25104;?#22270;

8.应用

9.配置EZVPN的地址池    这个最后配没关系,最好是放在最后.

10.配置遂道分离的ACL   这个最后配没关系,最好是放在最后.

上图才是硬道理

拓扑和上期变化不大,主要是加了台laptop模拟远程用户连接到公司内网进行工作.

这个情形几乎覆盖到所有现在的公司.因为出于安全?#30446;?#34385;,所有公司都会采取这?#22336;?#27861;.以前的做法是内部OA系统和邮件系?#25345;?#25509;放到公

网上,这样是用户方遍了,但其来讲基本就没有安全性了,因为存在一种叫暴力破解的方法.这里不多讲.咱是搞安全的,不是搞黑客的.

clipboard[3]

hub做为总部的主路由器同时配置 L2L VPN 和EZVPN

b01?#25925;荓2L到总部.

实验目的

laptop1通过EZVPN 连接到总部并获得 3.1.1.100-200的地址,并且可以访问 1.1.1.0总部内网.这个段的地址.

HUB配置来了,这次只要动这个路由器就OK了.其它?#30446;?#20197;不动.

hostname hub

!

aaa new-model   /*开启    AAA不熟?#37027;?#30475; :http://www.rygqfb.tw/?p=3008  AAA详解

!

aaa authentication login ezauthen local         /*连接的验证方式 本地?#29616;?标识符ezauthen 这个后面会用到.

!

aaa authorization network ezauthor local      /*对访问网络用户的服务请求(包括PPP、SLIP等协议)进行授权

                                                                            /*标识符ezauthor  这个后面会用到.

!

username cisco password 0 cisco

!

————–第一阶段配置IKE协商说白了就是配置建立tunnel的信息———-

crypto isakmp policy 100

encr 3des                                

authentication pre-share

group 2                    /*上次没讲.这个玩意是1024加密

!

!

crypto isakmp client configuration group ezgp               /*配置EZVPN的组, EZVPN拔号需要

key cisco123

pool ezpool

ACL XXX   /*这个模拟器不支持,这个地址可以做遂道分离,所以后面导致只能访问1.1.1.0段.不能访问2.2.2.0段.

!

!

————–第二阶段配置加密方式,对流量进行加密———-

crypto ipsec transform-set newset esp-3des esp-md5-hmac               /*这玩意不变,不清楚?#37027;?#30475;上集.

!

crypto dynamic-map mymap 10           /*配置动态图  

set transform-set newset

!

crypto map map1 client authentication list ezauthen    /*调用ezauthen ?#38053;突?#31471;进行验证

crypto map map1 isakmp authorization list ezauthor   /*调用authorization?#38053;突?#31471;进行授权

crypto map map1 client configuration address respond   /*这个配置是让?#31361;?#31471;主动请求服务器才回复相应信息.

crypto map map1 100 ipsec-isakmp dynamic mymap   /*将动态?#25104;?mymap 与静态?#25104;?map1关联

!

spanning-tree mode pvst

!

interface FastEthernet0/0

ip address 10.1.1.1 255.255.255.0

ip nat outside

duplex auto

speed auto

crypto map map1           /*应用静态?#25104;?

!

ip local pool ezpool 3.1.1.100 3.1.1.200     /*EZVPN?#31361;?#31471;的地址池.

acl xxx   因为这个版本不支持,所以我也没?#34892;?

效果测试

1.进入PC,配置VPN

clipboard[23]

配置信息 都在配置里面.

clipboard[24]

连接成功.

clipboard[25]clipboard[26]

PC1端PING测试 无问题,哈哈,话说这个软件很好用呢.?#31361;?#31471;都不用配直接就有VPN?#31361;?#31471;.思科?#25925;?#24456;人性化的嘛..

clipboard[27]

clipboard[28]

原理神马的就不讲了,网上的版本好多.自己看吧,真的需求的话我就自己写个好懂的给你们.

第三集预告   adsl + ipsec vpn

ADSL + IPSEC vpn配置

No Comments VPN ,

配置需求:总部是静态ip地址,分部是ADSL拨号的动态ip,而且vpn设备在adsl拨号设备后面,问两端如何做ipsec vpn。

主要涉及到2个vpn的知识:Dynamic map(R4做)和ipsec的两个端口(udp500和udp4500)

拓扑图如下:

配置过程:
1、配置ISP,R3做为PPPOE server,主要命令如下

vpdn enable
vpdn-group 1
accept-dialin
protocol pppoe
virtual-template 1
username cisco password cisco
ip local pool cisco 218.2.2.2 218.2.2.10
int lo0
ip add 218.2.2.1 255.255.255.0
int virtual-template 1
ip unnumber lo0
peer default ip address pool cisco
ppp authentication chap
int e0/0
pppoe enable

2、配置R2做为pppoe接入,主要命令如下

vpdn enablevpdn-group 1
request-dialin
protocol pppoeint e0/3
pppoe enable
pppoe-client dial-pool-number 1

int dialer0
encapsulation ppp
ip address negotiated
ppp authentication chap pap callin
dialer pool 1
dialer-group 1
ppp chap hostname cisco
ppp chap password cisco
dialer-list 1 protocol ip permit
ip route 0.0.0.0 0.0.0.0 dialer 0

配置完成之后R2能看到获取的地址

R2#sh ip int bri
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 192.168.1.1 YES manual up up
Dialer0 218.2.2.2 YES IPCP up up

3、配置R1-R4 4台路由器的接口和NAT等,保证网络连通

R1#ping 218.1.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 218.1.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/52/108 ms

4、配置VPN
R1正常配置,注意R1没有配置NAT

crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 123456 address 218.1.1.2
!
!
crypto ipsec transform-set test esp-3des
!
crypto map mymap 1000 ipsec-isakmp
set peer 218.1.1.2
set transform-set test
match address 101
!
interface Ethernet0/0
ip address 192.168.1.2 255.255.255.0
half-duplex
crypto map mymap
!
access-list 101 permit ip 192.168.100.0 0.0.0.255 192.168.10.0 0.0.0.255

R2配置两条端口?#25104;?/p>

ip nat inside source static udp 192.168.1.2 4500 interface Dialer0 4500
ip nat inside source static udp 192.168.1.2 500 interface Dialer0 500

R4端配置Dynamic-map,注意R4的NAT配置

crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 123456 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set test esp-3des
!
crypto dynamic-map mymap1 1000
set transform-set test
!
crypto map mymap 1000 ipsec-isakmp dynamic mymap1 discover
!
interface Ethernet0/0
ip address 218.1.1.2 255.255.255.0
ip nat outside
ip virtual-reassembly
half-duplex
crypto map mymap
!
ip nat inside source list 101 interface Ethernet0/0 overload
!
access-list 101 deny ip 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 101 permit ip any any

配置完成之后在R1端发起?#34892;?#36259;流(R4为动态map,所以只能由R1发起)

R1#ping 192.168.10.1 so 192.168.100.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.100.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/69/144 ms

最后查看一下R1和R4端的VPN状态

R1#sh crypto isakmp sa
dst src state conn-id slot status
218.1.1.2 192.168.1.2 QM_IDLE 1 0 ACTIVE

R4#sh crypto isakmp sa

配置结束。

IPSEC VPN 主模式和积极模式详解

No Comments VPN ,

主模式和积极模式?#37027;?#21035;:
1、?#25442;?#28040;息的数量:主模式为6条,而积极模式只有3条,而且?#38382;?#19978;也不同。
主模式中,每两条是对称的,也就是对等体都向对方发送相同类型字段的消息,这样的消息?#25442;?#20849;分为三次,一共是6条;
而在积极模式中,首先由sa的发起者发送一条消息给sa的接受者,sa的接受者收到第一条消息以后,会将自己的sa协商消息附上签名?#29616;?#20449;息后发回给sa的发起者,这是第二条信息,第三条信息再由sa的发起者发送给sa的接受者,这条信息中包含了sa的发起者?#37027;?#21517;?#29616;?#20449;息。 这有点类似于TCP的三次握手。
2、对于NAT穿越的支持:这也要视对等体双方的?#29616;?#26041;式而定,主要?#37027;?#21035;在预共享密钥?#37027;?#20917;下。
如果是预共享密钥?#37027;?#20917;下,主模式是不支持NAT穿越的,而积极模式可以支持NAT穿越。
而在证书?#29616;さ那?#20917;下,主模式和积极模式都是支持NAT穿越的。
3、对于对等体标识的使用:对于主模式,在对等体标识的配置使用上,只能使用ip地址进行标识;而对于积极模式,则可以使用ip地址或者域名进行对等体的标识。
这也是由于主模式和积极模式的消息?#25442;换扑?#20915;定的。主模式中,第1、2条信息中,双方?#25442;?#20102;一些协商信息,如加密算法、?#29616;?#31639;法(hash)、DH组、?#29616;?#26426;制等;在双方?#25442;?#30340;第3、4条消息中,双方?#25442;?#20102;公共密钥,在?#25442;?#20102;公共密钥之后,就可以根据DH算法生成后续所需的密钥了(SKEYID),其中包括给数据加密的对称密钥。这在DH算法中,需要用到双方定义的预共享密钥。而在一个设备有多个对等体?#37027;?#20917;下,设备需要使用ID信息(如域名信息)来判定对应的对等体的预共享密钥,而这个ID信息是在消息5、6中双?#35762;?#36827;行?#25442;?#30340;,所以设备这时候只能使用IP地址进行对等体预共享密钥的匹配。所以主模式中无法使用域名信息来进行对等体标识。
而对于积极模式,由于其在第一条信息?#25442;皇本?#21457;送了对应的ID信息,sa的接收方可以根据该ID信息匹配对应的预共享密钥,从而?#25169;?#23545;应的SKEYID。故积极模式是可以使用IP地址或者域名来进行对等体标识的。但是由于积极模式中,是在加密身份信息的安全sa建立之前就进行了身份信息的?#25442;唬?#25152;以?#25442;?#30340;消息都是明文的,ID信息也是明文的,这带来了安全隐患。
4、对于DH组的协商:在主模式中,双方使用消息1、2进行了所使用的DH组的协商,但是在积极模式中,双方没有协商就进行了DH信息的?#25442;唬?#25152;以DH组是确定的。
5、协商速度及协商能力:由于信息?#25442;?#30340;数量较少,所以积极模式下,协商的速度更快,但是协商能力不如主模式。

IPSEC VPN 两个阶段的协商过程详细介绍

No Comments VPN ,

第一阶段

有主模式和积极模式2种

注意!!!只有remote vpn和Easy vpn是积极模式的,其他都是用主模式来协商的

让IKE对等体彼此验证对方并确定会话密钥,这个阶段永DH进行密钥?#25442;?创建完IKE SA后,所有后续的协商都将通过加密合完整性检查来保护

phase 1帮助在对等体之间创建了一条安全通道,使后面的phase 2过程协商受到安全保护

第二阶段

快速模式

协商IPSEC SA使用的安全?#38382;?创建IPSEC SA,使用AH或ESP来加密IP数据流

总结

第一阶段作用—–对等体之间彼此验证对方,并协商出IKE SA,保护第二阶段中IPSEC SA协商过程

第二阶段作用—–协商IPSEC 单向SA,为保护IPS数据流而创建

主模式协商

IKE phase 1在IPSEC对等体间?#25442;?条消息,这些消息的具体格式取决于使用的对等体?#29616;?#26041;法

一,使用预共享密钥进行验证的主模式(6条)

协商过程使用ISAKMP消息格式来传递(UDP 500)

第一阶段

准备工作

在前2条消息发送以前,发送者和接受者必须先?#25169;?#20986;各自的cookie(可以防重放和DOS攻击),这些cookie用于标识每个单独的协商?#25442;?#28040;息

cookie—RFC建议将源目IP,源目端口,本地生成的随机数,日期和时间进行散列操作.cookie成为留在IKE协商中?#25442;?#20449;息的唯一标识, 实际上cookie是用来防止DOS攻击的,它把和其他设备建立IPSEC所需要的连接信息不是以缓存的?#38382;?#20445;存在路由器里,而是把这些信息HASH成个 cookie值

1&2消息

消息1—发送方向对等体发送一条包含一组或多组策略提议,在策略提议中包括5元组(加密算法,散?#20852;?#27861;,DH,?#29616;?#26041;法,IKE SA寿命)

消息2—接受方查看IKE策略消息,并尝试在本地寻找与之匹配的策略,?#19994;?#21518;,则有一条消息去回应

注意!!!发起者会将它的所有策略发送给接受者,接受者则在自己的策略中寻找与之匹配的策略(对?#20154;?#24207;从优先级号小的到大的)(默认策略实际就是个模版没 作用,如果?#29616;?#21482;配置预共享的话,其他?#38382;?#23601;会copy默认策略里的)

在1&2消息中报错可能出现的原因

1,peer路由不通

2,crypto iskmp key没有设置

3,一阶段的策略不匹配

3&4消息

这2条消息,用于?#25442;籇H的公开信息和随机数

两个对等体根据DH的公开信息都算出了双方相等的密植后,两个nonce连通预共享密钥生成第一个skeyID

随后便根据SKEY__ID来?#25169;?#20986;其他几个skeyID

skeyID_d—用来协商出后续IPSEC SA加密使用的密钥的

skeyID_a—为后续的IKE消息协商以及IPSEC SA协商进行完整性检查(HMAC中的密钥)

skeyID_e—为后续的IKE消息协商以及IPSEC SA协商进行加密

5&6消息

这2条消息用于双方彼此验证,这个过程是受skeyID_e加密保护的

为了正确生成密钥,每一个对等体必须?#19994;接?#23545;方相对应的预共享密钥,当?#34892;?#22810;对等体连接时,每一对对等体两端都需要配置预共享密钥,每一对等体都必须使用 ISAKMP分组的源IP来查找与其对等体对应的预共享密钥(此时由于ID还没到,彼此先用HASH来彼此验证对方)

HASH?#29616;?#25104;分---SKEYID_a,cookieA,cookieB,preshare_key,SA paload,转换集,策略

在5&6消息中报错可能出现的原因

1,crypto iskmp key设置错了

消息6–接受者处理过程

1,用skeyID_e对消息进行加密   2,用ID(源IP)查找出与共享密钥 3,skeyID_a和preshare-key等一堆东西一起来?#25169;鉎ASH 4,和收到的HASH做比较

第二阶段(3条)

phase 2的目标是协商IPSEC SA,而且只有一种模式,快速模式,快速模式的协商是受IKE SA保护的

1&2消息

消息1—发送方发送一条报文,其中包含HASH,IPSEC策略提议,NONCE和可选的DH,身份ID

HASH:是用于给接受方作完整性检查的,用于再次?#29616;?#23545;等体(必须)HASH的成分和5-6阶?#25105;?#26679;

IPSEC策略提议:其中包括了安全协议,SPI,散?#20852;?#27861;,隧道模式,IPSEC SA生命周期(必须)

NONCE:用于防重放攻击,还被用作密码生成的材料,仅当启用PFS时用到

ID:描述IPSEC SA是为哪些地址,协议和端口建立的

PFS(利用DH?#25442;?可选):用了PFS后就会在第二阶段重新DH出个数据加密KEY,这个KEY和以前IKE协商出来的KEY没有任何关系,然后由这 个新KEY来加密数据,只有到这个IPSEC SA的生命周期后,会再次DH出新的KEY,这样,安全性就提高了(普通等ipec SA过期或密钥超?#31508;保?#37325;新生成的数据加密密钥?#25925;?#26681;据以阶段DH出来的skeyID_d衍生出来的)(PFS启用后,数据加密部分使用的密钥就没有了衍 生的过程)

DH:重新协商IPSEC SA实使用的密钥(正常情况下IPSEC阶?#38382;?#29992;的密钥都是由skeyID_d衍生而来,密钥之间都有一定的关系,就算IPSEC SA超时,新的KEY?#25925;?#21644;skeyID_d有一定的关系)

在1&2消息中报错可能出现的原因

1,ipsec trasport不匹配

2,?#34892;?#36259;流不对称

消息2—使用相同的消息进行相应

3消息

发送方发送第三条消息,其中包含一个HASH,其作用时确认接受方的消息以及证明发送方处于Active状态(表示发送方的第一条消息不是伪造的)

CISCO VPN配置详解

5 Comments VPN ,

Cisco VPN配置

Ip sec参考

基于IPSEC的VPN配置步骤

第一步 配置IKE协商

R1(config)#crypto isakmp policy 1  建立IKE协商策略

R1(config-isakmap)# hash md5      设置密钥验证所用的算法

R1(config-isakmap)# authentication pre-share  设置路由要使用的预先共享的密钥

R1(config)#  crypto isakmp key  123  address 192.168.1.2  设置共享密钥和对端地址 123是密钥

R2(config)#crypto isakmp policy 1 

R2(config-isakmap)# hash md5     

R2(config-isakmap)# authentication pre-share 

R2(config)#  crypto isakmp key  123  address 192.168.1.1

第二步 配置IPSEC相关?#38382;?/p>

R1(config)# crypto ipsec transform-set cfanhome ah-md5-hmac esp-des  配置传输模式以及验证的算法和加密的的算法  cfanhome这里是给这个传输模式取个名字

R1(config)# access-list 101 permit ip  any any 我这里简单的写 但是大家做的时候可不能这样写

这里是定义访问控制列表

R2(config)# crypto ipsec transform-set cfanhome ah-md5-hmac esp-des  两边的传输模式的名字要一样

R2(config)# access-list 101 permit ip  any any 

第三步 应用配置到端口 假设2个端口都是s0/0

R1(config)# crypto map cfanhomemap 1 ipsec-isakmp 采用IKE协商,优先级为1 这里的cfanhomemap是一个表的名字

R1(config-crypto-map)#  set peer 192.168.1.2 指定VPN链路对端的IP地址

R1(config-crypto-map)#  set transform-set  cfanhome  指定先前所定义的传输模式

R1(config-crypto-map)#  match address 101 指定使用的反问控制列表 这里的MATCH是匹配的意思

R1(config)# int s0/0

R1(config-if)# crypto map cfanhomemap 应用此表到端口

      R2和R1在最后的配置基本一样 这里就不一一写出来了

——————————————————————————————————————–

IPsec配置超级指南(大纲,说明,实例,实验)

IPsec-VPN–virtual private network

什么是VPN–虚拟专用网

VPN作用–通过公网实现远程连接,将?#25509;?#32593;络联系起来

VPN的类型:

1、overlay的VPN,例如IPsec-VPN

2、peer-to-peer的VPN,例如MPLS-VPN

还可以分为二层VPN和三层VPN

IPsec-VPN是三层的VPN

IPsec-VPN的分类:

1、site-to-site VPN ?#27493;?LAN-to-LAN VPN (要求两个站点都要有固定的IP)

2、EASY-VPN ?#27493;?remote VPN (通常用于连接没有固定IP的站点)

IPsec-VPN提供三个特性:

1、authentication  每一个IP包的?#29616;?/p>

2、data integrity  验证数据完整性,保证在传输过程中没有被人为改动

3、confidentiality (私密性)数据包的加密

《知识准备》

在学习IPsec技术之前,先要学习以?#24405;?#28857;知识

1、加密机制

2、DH密钥?#25442;?#31639;法

3、?#29616;?#26426;制

4、散列机制

加密机制–密码学分为两类:

对称加密算法—使用一把密匙来对信息提供安全的保护。只有一个密匙,即用来加密,也用来解密

特点:

1、速度快

2、密文紧凑

3、用于大量数据的传送

对称加密代表:DES、3DES、AES

3DES–有三个密匙,用第一个密匙加密,用第二个密匙解密,再用第三个密匙加密

非对称加密—有一对密匙,一个叫公匙,一个叫私匙,如果用其中一个加密,必须用另一个解密。

特点:

1、速度慢

2、密文不紧凑

3、通常只用于数字签名,或加密一些小文件。

非对称加密的代表:RSA、ECC

非对称加密代表RSA–有一对密匙,一个公匙,一个私匙,私匙加密,公匙解密,或者公匙加密,私匙解密

非对称加密可以有两种应用:

1、公钥加密,私钥解密,叫加密

2、私钥加密,公钥解密,叫数字签名

理想的应用方法,用非对称加密法来传送对称加密的密匙,或用在数字签名当?#23567;?#29992;对称加密法来加密实?#23454;?#25968;据。

数字签名不但证明了消息的内容,还证明了发送方的身份。

密钥化的HASH–使用密钥对生成的消息摘要进行加密时,被称为加密的消息摘要。

diffie-hellman key exchange–DH算法

是一种安全的让通信双方协商出一个共享密匙的方法。

用对方的公匙和自已的私匙产生一个双方都能知道的KEY(?#27493;?#20849;享的密秘),作对称加密用

DH group 1的长度是768位  (产生出的KEY的长度)

DH group 2的长度是1024位

?#29616;?#26426;制–(这里所指的是设备的?#29616;ぃ?#32780;不是用户的?#29616;ぃ?/p>

现代的基本加密技术要依赖于消息之目标接收者已知的一项秘密,关键的问题是如何保障密钥的安全。

1、用户名和密码

2、OTP(one time password)一次性密码

3、生物?#29616;ぃ?#25351;纹、眼膜)

4、预共享密钥

5、数字证书

6、加密临时值

散列机制–用来做完整性检验

散列函数(就是HASH)–把一大堆数据经过?#25169;?#24471;到一个较小的、定长的值,散列是一种不可逆函数。这意味着一旦明文生成散列,就不可能或者说极端困?#35328;?#23558;其由散列转换成明文。

HASH的特点:

1、不管输入什么数据,输出是定长的

2、只要输入有一点微小变化,输出就会发生很大的变化,也就是雪崩效应

3、不可逆

HASH的算法:

1、md5  提供128位的输出 md5是验证,不是加密技术,用来做哈希

2、SHA  提供160位的输出

HMAC–使用散列的消息?#29616;?#32534;码,或者叫密钥化的HASH,是一种使用HASH来进行?#29616;?#30340;机制。可以用来做预共享密钥的?#29616;ぁ?/p>

—————————————————————————————-

IP sec 的组成–IPsec协议集包括三个协议:

1、internet key exchange(IKE)密匙?#25442;?#21327;议

协议双方使用的算法,密匙,协商在两个对等体之间建立一条遂道的?#38382;?#21327;商完成再用下面的方法封装数据。

   IKE动态的,周期性的在两个PEER之间更新密钥

2、encapsulating secutity payload(ESP)封装安全负载

可以对数据包?#29616;ぃ?#21152;密,封装,IP中协议号–50,通常使用3DES来进行加密

3、authentication header (AH)

只提供?#29616;ぃ?#23553;装,不提供加密,明文传送,IP中协议号–51

IPsecVPN的两种模式–

一、传输模式:

不产生新的IP头,在原包?#20998;?#21518;插入一个字段,当通信点等于加密点用这?#22336;?#27861;

原始IP头 | (ESP或AH) | Data

二、通道模式:

产生一个新IP包头,当通信点不等于加密点用这?#22336;?#27861;,site-to-site的VPN就是这种模式,因为通信点的IP头通常不是一个公网上可路由的头部,而新的IP头用的是两个peer之间的IP地址。

新IP头 | (ESP或AH) | 原始IP头 | Data

通信点:实际通信的设备

加密点:进行加密的设备

ESP封装中只对原始IP分组进行完整性检验

AH封装中进行完整性检验还包括新的IP头

——————————————————————————————–

IKE密匙?#25442;?#21327;议

IKE的作用:用于在两个peer之间协商建立IPsec-VPN通道

1、协商?#38382;?/p>

2、产生KEY,?#25442;籏EY、更新KEY

3、?#36816;?#26041;进行?#29616;?/p>

4、对密钥进行管理

也是由三个不同的协议组成:

1、ISAKMP–定义了信息?#25442;?#30340;体?#21040;?#26500;,也就是格式

2、SKEME–实现公钥加密?#29616;?#30340;机制

3、Oakley–提供在两个IPsec对等体间达成相同加密密钥的基于模式的机制

ISAKMP基于UDP,源目端口都是500

site-to-site ipsec VPN的协商过程,分两个阶段

要想在两个站点之间安全的传输IP数据流,它们之间必须要先进行协商,协商它们之间所采用的加密算法,封装技术以及密钥。这个协商过程是通过IKE来完成的,IKE协商分两个阶段运行:

阶?#25105;唬?#22312;两个对等体设备之间建立一个安全的管理连接。没有实?#23454;?#25968;据通过这个连接。这个管理连接是用来保护第二阶段协商过程的。

阶段二:当对等体之间有了安全的管理连接之后,它们就可以接着协商用于构建安全数据连接的安全?#38382;?#36825;个协商过程是安全的,加了密的。协商完成后,将在两个站点间形成安全的数据连接。用户就可以利用这些安全的数据连接来传输自已的数据了。

第一阶段:建立ISAKMP SA  协商的是以下信息:

1、对等体之间采用何?#22336;?#24335;做?#29616;ぃ?#26159;预共享密钥?#25925;?#25968;字证书。

2、双方使用哪种加密算法

3、双方使用哪种HMAC方式,是MD5?#25925;荢HA

4、双方使用哪种Diffie-Hellman密钥组

5、使用哪?#20013;?#21830;模式(主模?#20132;?#20027;动模式)

6、还要协商SA的生存期

第二阶段:建立IPsec SA  协商的是以下信息:

1、双方使用哪?#22336;?#35013;技术,AH?#25925;荅SP

2、双方使用哪种加密算法

3、双方使用哪种HMAC方式,是MD5?#25925;荢HA

4、使用哪种传输模式,是隧道模?#20132;故?#20256;输模式

5、还要协商SA的生存期

第一阶段的协商过程总共有6条消息:

1、消息1和消息2用于peer之间协商加密机制

   ISAKMP包含有ISAKMP头、SA负载、提议负载、转换负载等字段

总之是让双方协商好我们之间使用啥子协议、加密方法

具体是要协定四个东东:加密机制、散列机制、DH组、?#29616;?#26426;制

2、消息3和消息4用于相互之间?#25442;?#20844;共密匙

两端的peer先各自生成自已的私匙和公匙,同时?#20849;?#29983;一个临时值。然后再使用消息3或消息4将各自的公匙和临时值进行?#25442;弧?/p>

?#25442;?#23436;公匙后,每个peer先根据对方的公匙和自已的私匙生成一个共享秘密(使用DH算法),再根据共享秘密、对方和自已的临时值、预共享密钥产生出三个SKEY:

   SKEYID_d–此密匙被用于?#25169;?#21518;续IPsec密匙资源

   SKEYID_a–此密匙被用于提供后续IKE消息的数据完整性以及?#29616;?/p>

   SKEYID_e–此密匙被用于对后续IKE消息进行加密

消息3和4的ISAKMP包含以下字段:ISAKMP包头、密匙?#25442;?#36127;载(KE)、临时值负载

3、消息5和消息6用于两个peer之间进行?#29616;ぃ?#36825;两个消息是用SKEYID_e进行过加密的。

每个peer根据一大堆东东(包括SKEYID-a、预共享密钥、标识ID)生成一个Hash值,再将这个值和自已的标识ID(通常是IP或主机名)发送给对方。当然,使用的就是消息5或消息6。

每个peer收到对方的ID和Hash值后,先根据对方的ID?#19994;?#23545;方的公匙,再?#25169;?#26412;地Hash值,如果本地Hash值和对方的Hash值一样,就表示?#29616;?#25104;功。

这一步完成后,IKE SA被建立,主模式?#29616;?#23436;成

第二阶段的协商过程总共有3条消息:

1、第一、二条信息是两个peer之间协商形成IPsec SA的封装协议、模式、加密算法,还要互发用DH重新生成的新的公匙和临时值,以及其它一些?#38382;?#20687;SPI、ID等?#21462;?/p>

2、第三条消息通常由发起者发送给响应者,起一个确认的作用,也用来验证通信信道的?#34892;?#24615;

第三条信息发送前,两端的peer必须先用和DH相关的信息(新的私钥和对方公钥)生成一个新的DH秘密,然后用该值和SKEYID_d以及其他一些?#38382;?#19968;起来生成最终加解密的KEY。

——————————————————————————————–

SA–安全关联

SA是两个通信实体经协商建立起来的一?#20013;?#23450;,它们决定了用来保护数据包安全的IPsec协议、转码方式、密钥、以及密钥的?#34892;?#23384;在时间等?#21462;?#20219;何IPsec实施方案始终会构建一个SA数据库(SA DB),由它来维护IPsec协议用来保障数据包安全的SA记录。

SA是单向的–如果两个主机(比如A和B)正在通过ESP进行安全通信,那么主机A就需要 有一个SA,即SA(OUT),用来处理外发的数据包,另外还需要有一个不同的SA,即SA(IN)用来处理进入的数据包。主机A的SA(OUT)和主机 B的SA(IN)将共享相同的加密?#38382;?#27604;如密钥)。

SA还要根据协议来区分,如果两个主机间同?#31508;?#29992;ESP和AH,对于ESP和AH会生成不同的SA。

SADB–安全关联数据库,包含双方协商的IKE和IPsec安全信息

SPI–安全?#38382;?#32034;引,是一个32位的值,用来标识用于处理数据包的特定的那个安全联盟。或者这样理解,用于唯一定义一条单向的IPsec通道。这个号码存在于ESP包?#20998;校?#36890;道两端必须一致。

SA分为两种–

1、IKE(ISAKMP)SA    协商对IKE数据流进行加密以及对对等体进行验证的算法

2、IPsec SA           协商对对等体之间的IP数据流进行加密的算法

对等体之间的IKE SA只能有一个

对等体之间的IPsec SA可以有多个

PFS–完善转发安全性,是一种IKE协商中发起者可以向响应者提供建议的属性,是一种强制对等体双方在快速模式?#25442;?#20013;产生新的DH秘密的属性。这允许使用新的DH秘密生成用于加密数据的加密密钥。

——————————————————————————————–

配置实例:

步骤:

1、configure crypto ACL               配置?#34892;?#36259;流,需要加密的流量就是?#34892;?#36259;流。

2、establish ISAKMP policy            第一阶段的策略

3、configure IPsec transform set      第二阶段的策略

4、configure crypto map

5、apply crypto map to the interface  在接口下应用

6、configure interface ACL            确定在外网接口放行哪些流量

一、定义?#34892;?#36259;流:

ip access-list extended VPN

  permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255

二、IKE第一阶段

crypto isakmp policy 10

  encryption des

  hash md5

  authentication pre-share

  group 2

crypto isakmp key cisco address 202.100.1.2     pre-share key 的定义

三、IKE第二阶段

crypto ipsec transform-set MYSET esp-des esp-md5-hmac

  mode tunnel

四、把?#34892;?#36259;流与转换集?#25104;?#19968;下

crypto map MYMAP 100 ipsec-isakmp

  set peer 202.100.1.2    设置VPN对等体的地址

  set tranform-set MYSET  设置转换集

  match address VPN     ?#34892;?#36259;流和转换集的绑定

五、MAP与接口绑定

int s0

  crypto map MYMAP

六、设定接口只允许跑VPN流量,在接口入设置

access-list 100 permit udp any eq 500 any eq isakmp

access-list 100 permit esp any any

access-list 100 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255  由于ACL会二次查找,所以还要放行私网的流量

show crypto isakmp policy

show crypto isakmp sa  第一阶段的SA

show crypto ipsec sa   第二阶段的SA

show crypto engine connections active

show crypto map

crypto ipsec security-association lifetime [seconds|kilobytes]   第二阶段的一个协商时间,也就是说多长时间后重新协商密匙。也可按已发了多少流量来进行协商。哪个数值先到就先起效。

cryto isakmp keepalive 10 3

IPsec通道的终结:

当流量超过上限后或者超时自动终结

clear crypto isakmp   清第一阶段

clear crypto sa   清第二阶段

clear crypto session  在新版的IOS中,用这条命令全清

debug crypto isakmp

debug crypto ipsec

配置IPsec-VPN的注意点:

1、路由

2、?#34892;?#36259;流量

3、策略

4、调用

接口设定ACL:

设定接口只允许跑VPN流量,在接口入设置

access-list 100 permit udp any eq 500 any eq isakmp

access-list 100 permit esp any any

或access-list 100 permit ahp any any

注意:在老IOS中,对包解密后还会再匹配一次访问列表,新的IOS中就不会,所以在老的IOS中要加入一条

access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255

IPsec中的路由问题:

R1  需要有4.4.4.0的路由

R2  需要有4.4.4.0  1.1.1.0  30.0.0.0的路由

R3  需要有1.1.1.0  4.4.4.0  20.0.0.0的路由

R4  需要有1.1.1.0的路由

——————————————————————————————-

——————————————————————————————-

GRE

GRE通用路由封装—一个三层协议,能够将各种不同的数据包封装成IP包,然后通过IP网络进行传输。也就是?#30340;?#23545;其它的IP包或非IP包进行再封装,在原始包头?#37027;?#38754;增加一个GRE包头和一个新IP包头。明文传送,没有安全性。在IP中的协议号47。

GRE封装格式:

20字节  4字节

GRE有很好的隧道特性

1、支持多协议

2、支持组播

缺点是不安全

IPsec的特点:

1、能提供安全的传输保证

2、但只能支持IP,不能支持其他协议

小知识:在tunnal中,指定目标地?#20998;?#21518;,只要在本地路由表中有这个地址,tunnal就会up

GRE over IPsec(实用性很高的技术,不像IPsecVPN那样麻烦)

原理:在tunnel中,先用GRE对数据包封装成IP包,再用IPsec加密,默认是通道模式

红色部分是加密的部分

IPsec只能对IP包加密,不能对非IP包加密。

注意在GRE over IPsec中?#34892;?#36259;流的定义:(所有的GRE流量都是?#34892;?#36259;流)

access-list 100 permit gre host 202.100.13.3 host 202.100.12.2  必须定义公网地址

因为?#22791;行?#36259;流量过来时:

1、先查路由,进入tunnel口

2、封装GRE后,进入S口?#19981;鱩ap

当封装了GRE后,外部的IP地址用的就是公网地址了,所以?#34892;?#36259;流量必须定义为公网地址。

由于在接口下会两次检查ACL,所以如果在物理接口?#36335;臕CL,要同时放行ESP和GRE流量,还有isakmp的协商流量。

GRE over IPsec 技术建议使用传输模式

因为通信点等于加密点

试验:

一、配置tunnel

interface tunnel 1

  tunnel source 202.100.1.1

  tunnel destination 202.100.1.2

  tunnel gre ip

  ip address 12.1.1.1

二、运行路由协议

router eigrp 90

  network 172.16.1.0 0.0.0.255

  network 12.1.1.0 0.0.0.255

三、开始配置IPsec,先定义?#34892;?#36259;流:(注意这里的定义)

ip access-list extended VPN

  permit gre any any

四、IKE第一阶段

crypto isakmp policy 10

  encryption des

  hash md5

  authentication pre-share

  group 2

crypto isakmp key cisco address 202.100.1.2   pre-share key 的定义

五、IKE第二阶段

crypto ipsec transform-set MYSET esp-des esp-md5-hmac

  mode tunnel

六、把?#34892;?#36259;流与转换集?#25104;?#19968;下

crypto map MYMAP 100 ipsec-isakmp

  set peer 202.100.1.2    设置VPN对等体的地址

  set tranform-set MYSET  设置转换集

  match address VPN     ?#34892;?#36259;流和转换集的绑定

七、MAP与接口绑定

int s0

  crypto map MYMAP

八、设定接口只允许跑VPN流量,在接口入方向设置

用在物理接口下–

access-list 100 permit udp any eq 500 any eq isakmp

access-list 100 permit esp any any

access-list 100 permit gre any any

—————————————————————————————–

—————————————————————————————–

site-to-site VPN的缺点:

1、需要两端有固定的公网IP

2、两端的配置太过复杂

RemoteVPN–easyVPN—remote access 使用这?#22336;?#27861;

实现两个主要目的:

1、简单的client配置,easy VPN remote

2、中心的server,动态的?#25169;?#37197;置到client,easy VPN server

所以client很easy,server端的配置一点都不easy

远程连接有哪些困难需要克服:

1、IPsec?#30446;突?#31471;使用server端未知的IP地址来连接网关,这样就不可能在两端定义一个预共享密钥。

2、IPsec?#30446;突?#31471;通常希望用私网IP进入专用网络,而不是公网IP

3、IPsec?#30446;突?#31471;必须使用DNS服务器、DHCP服务器和其他一些在专用网络上作为信息主要来源的服务器,而不是使用ISP的服务器。

4、IPsec?#31361;?#31471;常在PAT设备之后进行连接,但由于ESP要加密TCP或UDP?#20998;?#30340;信息,端口自然?#24067;?#23494;了,PAT将不能正常工作。

为解决以上难题,设计了IKE协商的1.5阶段。

IKE的1.5阶段由两部分组成–

1、x-auth扩展?#29616;?/p>

2、模式配置

在远程IPsec连接中,通常使用IKE主动模式。只有三条消息?#25442;弧?/p>

扩展?#29616;?#8211;允许?#29616;Psec?#31361;?#31471;的使用者,被IPsec网关?#29616;ぁ?/p>

可以先让所有?#30446;突?#37117;使用同一个预共享密钥连接到IPsec网关,然后再使用扩展?#29616;?#26469;确定用户的身份,等于要进行两次?#29616;ぁ?#36825;样就解决了第一个问题(IPsec两端无法定义预共享密钥的难题)。

扩展?#29616;?#26159;基于每一个用户的,一般靠IPsec网关与AAA服务器结合来实现。

扩展?#29616;?#22312;IKE第一阶段完成后进行,扩展?#29616;?#24635;共有四个消息的?#25442;弧?/p>

消息一:IPsec网关发向?#31361;?#31471;,询问用户名和密码

消息二:?#31361;?#31471;发向IPsec网关,回应用户名和密码

消息三:IPsec验证完毕后,通知?#31361;?#31471;成功或失败

消息?#27169;?#22914;果收到成功的消息,?#31361;?#31471;返回一个确认

模式配置:

允许IPsec网关为?#31361;?#31471;?#25169;?#19968;个内部的IP地址和DNS服务器等信息。这样?#31361;?#31471;就可以用这个内部的IP地址进入专用网络。

NAT-T?#27493;蠳AT透明

用于解决在发生PAT?#37027;?#20917;下进行正确的地址转换

解决方法–将ESP分组再封装进一个UDP?#20998;小?/p>

VPN 3005以上的设备都可以做server

1700、1800可以做client,实际上不光可以用?#24067;?#26469;做client,软件也可以做,在移动办公中就是软件做

1800以上都可以做server

remote-VPN配置

server端配置

aaa new-model                                                          //启用AAA

aaa authentication login REMOTE local

aaa authorization network REMOTE local

username wolf password 0 cisco      //建立本地数据库

crypto isakmp policy 10

hash md5

authentication pre-share

group 2

encryption des

crypto isakmp client configuration group IPSEC-GROUP  组名,设不同组的目地是为内部不同的部门分配不同的IP

key xiangweixing   组密码 组名和组密码是一对,需要用户端也是一样的配置

pool IP-POOL

crypto ipsec transform-set MYSET esp-des esp-md5-hmac

crypto dynamic-map MYMAP 10

set transform-set MYSET

reverse-route        反向路由注入

crypto map CISCO client authentication list REMOTE       启用XAUTH

crypto map CISCO isakmp authorization list REMOTE

crypto map CISCO client configuration address respond        地址?#25169;?#26041;式(分强制?#25169;?#21644;请求?#25169;?

crypto map CISCO 10 ipsec-isakmp dynamic MYMAP

interface s1/0

crypto map CISCO

ip local pool IP-POOL 172.16.1.20 172.16.1.50

—————————————————————-

client端配置

crypto ipsec client ezvpn EZVPN

  group IPSEC-GROUP key xiangweixing

  conn manual

  peer 202.100.1.1   对端地址

  mode client

int s1/0

  crypto ipsec client ezvpn EZVPN outside

int e0/0

  crypto ipsec client ezvpn EZVPN inside

ip route 0.0.0.0 0.0.0.0 s1/0

R2#crypto ipsec client ezvpn connect

R2#crypto ipset client ezvpn xauth

在?#31361;?#31471;查看:

show crypto session

show crypto ipsec client ezvpn

在服务器端查看:

show crypto session group

show crypto session summary

ipsec vpn实例教程

clip_image001[2]

以下为路由器A的配置,路由器B只需对相应配置做更改即可

1:配置IKE

router(config)# crypto isakmp enable #启用IKE(默认是启动的)

router(config)# crypto isakmp policy 100 #建立IKE策略,优先级为100

router(config-isakmp)# authentication pre-share #使用预共享的密码进行身份验证

router(config-isakmp)# encryption des #使用des加密方式

router(config-isakmp)# group 1 #指定密钥位数,group 2安全性更高,但更耗cpu

router(config-isakmp)# hash md5 #指定hash算法为MD5(其他方式:sha,rsa)

router(config-isakmp)# lifetime 86400 #指定SA?#34892;?#26399;时间。默认86400秒,两端要一致

以上配置可通过show crypto isakmp policy显示。VPN两端路由器的上述配置要完全一样。

2:配置Keys

router(config)# crypto isakmp key cisco1122 address 10.0.0.2

–(设置要使用的预共享密钥和指定vpn另一端路由器的IP地址)

3:配置IPSEC

router(config)# crypto ipsec transform-set abc esp-des esp-md5-hmac

配置IPSec?#25442;?#38598;

abc这个名字可?#36816;?#20415;取,两端的名字也可不一样,但其他?#38382;?#35201;一致。

router(config)# crypto ipsec security-association lifetime 86400

ipsec安全关联存活期,也可不配置,在下面的map里指定即可

router(config)# access-list 110 permit tcp 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255

router(config)# access-list 110 permit tcp 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255

4.配置IPSEC加密?#25104;?/p>

router(config)# crypto map mymap 100 ipsec-isakmp 创建加密图

router(config-crypto-map)# match address 110 用ACL来定义加密的通信

router(config-crypto-map)# set peer 10.0.0.2 标识对方路由器IP地址

router(config-crypto-map)# set transform-set abc 指定加密图使用的IPSEC?#25442;?#38598;

router(config-crypto-map)# set security-association lifetime 86400

router(config-crypto-map)# set pfs group 1

5.应用加密图到接口

router(config)# interface ethernet0/1

router(config-if)# crypto map mamap

相关知识点:

对称加密或?#25509;?#23494;钥加密:加密解密使用相同的私钥

DES–数据加密标准 data encryption standard

3DES–3倍数据加密标准 triple data encryption standard

AES–高级加密标准 advanced encryption standard

一些技术提供验证:

MAC–消息验证码 message authentication code

HMAC–散列消息验证码 hash-based message authentication code

MD5和SHA是提供验证的散列函数

对称加密被用于大容量数据,因为非对称加密站用大量cpu资源

非对称或公共密钥加密:

RSA rivest-shamir-adelman

用公钥加密,私钥解密。公钥是公开的,但只有私钥的拥有者才能解密

两个散列常用算法:

HMAC-MD5 使用128位的共享?#25509;?#23494;钥

HMAC-SHA-I 使用160位的?#25509;?#23494;钥

ESP协议:用来提供机密性,数据源验证,无连接完整性和反重放服务,并且通过防止流量分析来限制流量的机密性,这些服务以来于SA建立和实现时的选择。

加密是有DES或3DES算法完成。可选的验证和数据完整性由HMAC,keyed SHA-I或MD5提供

IKE–internet密钥?#25442;唬?#20182;提供IPSEC对等体验证,协商IPSEC密钥和协商IPSEC安全关联

实现IKE的组件

1:des,3des 用来加密的方式

2:Diffie-Hellman 基于公共密钥的加密协议允许对方在不安全的信道上建立公共密钥,在IKE中被用来建立会话密钥。group 1表示768位,group 2表示1024位

3:MD5,SHA–验证数据包的散?#20852;?#27861;。RAS签名–基于公钥加密系统

clip_image003[1]

r1(config)#int f0/0
r1(config-if)#ip add 50.50.50.50 255.255.255.0
r1(config-if)#no shu
r1(config-if)#int f1/0
r1(config-if)#ip add 20.20.20.20 255.255.255.0
r1(config-if)#no shu
r1(config)#ip route 0.0.0.0 0.0.0.0 20.20.20.21       做一条默认路由使全网互通
r1(config)#crypto isakmp policy 1
r1(config-isakmp)#authentication pre-share             启用定义共享密钥
r1(config-isakmp)#encryption 3des                      加密使用3DES算法
r1(config-isakmp)#hash md5                            验证密钥使用MD5杂凑算法
r1(config)#crypto isakmp key 0 123 address 20.20.20.21 设置共享密钥为123和对端地址
r1(config)#crypto isakmp transform-set zhao ah-md5-h esp-3des 传输模式名为zhao验证为md5加密为3des
r1(config)#accress-list 101 permit ip 50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255 配置ACL
r1(config)#crypto map jin 1 ipsec-isakmp                创建crypto map名字为jin
r1(config-crypto-map)#set peer 20.20.20.21              指定链路对端IP地址
r1(config-crypto-map)#set transfrom-set zhao             指定传输模式zhao
r1(config-crypto-map)#match address 101                指定应用访控列表
r1(config)#int f0/0
r1(config)#crypto map jin                               应用到接口
r2(config)#int f0/0r2(config-if)#ip add 60.60.60.60 255.255.255.0
r2(config-if)#no shu
r2(config-if)#int f1/0
r2(config-if)#ip add 20.20.20.21 255.255.255.0
r2(config-if)#no shu
r2(config)#ip route 0.0.0.0 0.0.0.0 20.20.20.20        做一条默认路由使全网互通
r2(config)#crypto isakmp policy 1
r2(config-isakmp)#authentication pre-share             启用定义共享密钥
r2(config-isakmp)#encryption 3des                      加密使用3DES算法
r2(config-isakmp)#hash md5                            验证密钥使用MD5杂凑算法
r2(config)#crypto isakmp key 0 123 address 20.20.20.20             设置共享密钥为123和对端地址
r2(config)#crypto isakmp transform-set zhao ah-md5-h esp-3des         传输模式名为zhao验证为md5加密为3des
r2(config)#accress-list 101 permit ip 60.60.60.0 0.0.0.255 50.50.50.0 0.0.0.255          配置ACL
r2(config)#crypto map jin 1 ipsec-isakmp                创建crypto map名字为jin
r2(config-crypto-map)#set peer 20.20.20.21              指定链路对端IP地址
r2(config-crypto-map)#set transfrom-set zhao             指定传输模式zhao
r2(config-crypto-map)#match address 101                指定应用访控列表
r2(config)#int f0/0
r2(config)#crypto map jin
vpcs1:ip 50.50.50.48 50.50.50.50 24
vpcs2:ip 50.50.50.49 50.50.50.50 24
vpcs3:ip 60.60.60.48 60.60.60.60 24
vpcs4:ip 60.60.60.49 60.60.60.60 24

cisco IPSec VPN配置

VPN主要分两?#22336;?#24335;:
1、site-to site 站点到站点,多用于总部与分支办公室连接
2、access-vpn     远程访问VPN,多用于移动用户与总部进行连接。
这次我做的是站点到站点与访问VPN的结合,稍做改动就可以把服务切换到ACCESS VPN模式,具体步骤如下:
10.1.1.0 —- Main Office   —-202——————99—–Home Office —–192.168.1.0
总部:
crypto isakmp policy 1   //定义isakmp策略
   hash md5              //采用MD5,对数据进行完整性验证
   authentication pre-share   //采用pre-share?#29616;?#26041;式
crypto isakmp key xxxxxx address 0.0.0.0 0.0.0.0 //指定密钥,同时指定对端可为?#25105;釯P
crypto ipsec transform-set xxxset esp-des esp-md5-hmac   //VPN第二步,指定IPSec传输集,采用esp-des加密,MD5完整性验证
crypto dynamic-map xxxmap 10   //定义动态map,分支办公室IP不做限制
   set transform-set xxxset
   match address 185
crypto map xxxtrans 10 ipsec-isakmp dynamic xxxmap   //正规map
int f0/0 //内网接口
   ip ad 10.1.1.1 255.255.255.0
   ip nat inside
int f0/1   //外网接口
   ip ad 202.202.202.1 255.255.255.240
   ip nat outside
   crypto map xxxtrans    //应用map
ip route 0.0.0.0 0.0.0.0 int f0/1 //默认路由指向外网出口
ip nat pool tele 202.202.202.2 202.202.202.6 netmask 255.255.255.240
ip nat inside source route-map nonat pool tele overload   //路由策略指定进行具体NAT转换的数据
access-list 185 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255 //指定与分支办公室连接的IP数据流,符合条件的进行VPN传输
access-list 190 deny ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255  
access-list 190 permit ip 10.1.1.0 0.0.0.255 any  
//指定与分支办公室连接的IP数据流,符合条件的进行NAT转换,第一句将到远程站点的访问否定了,不让其进行地址转换
route-map nonat permit 10 //定义route-map,为NAT转换服务
   match ip address 190
分支办公室:
crypto isakmp policy 1   //定义策略为1
   hash md5   //定义md5算法,完整性验证方法
   authentication pre-share   //定义为pre-share密钥?#29616;?#26041;式
crypto isakmp key xxxxxx address 202.202.202.1   //定义pre-share密钥为xxxxxx,总部IP为202.202.202.1
crypto ipsec transform-set xxxset esp-des esp-md5-hmac   //创建变换集esp-des esp-md5-hmac,定义加密方式为des,完整性验证为md5
crypto map xxxmap 1 ipsec-isakmp   //创建正规map
   set peer 202.202.202.1   //定义总部IP
   set transform-set xxxset   //使用上面定义的变换集xxxset
   match address 185   //援引访问列表定义的敏感流量,即进行VPN转换的流量
int f0/0
   ip ad 192.168.1.0 255.255.255.0
   ip nat inside
int f0/1
   ip ad 99.99.99.1 255.255.255.0   //这里很有可能是动态IP
   ip nat outside
   crypto map xxxmap
ip route 0.0.0.0 0.0.0.0 f0/1   //默认路由指向出口
access-list 185 permit ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255
// 指定需进行VPN转换的数据流
access-list 190 deny ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 190 permit ip 192.168.1.0 0.0.0.255 any
// 指定需进行正常NAT转换的数据流,符合条件的直接从出口访问公网,不符合的不做NAT转换,直接进行VPN加密并输送至公司总部端
route-map nonat permit 10
   match ip address 190
vpdn enable   //以下是ADSL拨号配置
int f0/1
   pppoe enable
   pppoe-client dialer-pool-number 1 //定义dialer-pool
int dialer1
   mtu 1492             //VPN连接中许多问题是MTU造成的
   ip address negotiated   //IP地址与对端协商,ISP随机提供动态IP
   encapsulation ppp
   dialer pool 1 //引用dialer pool
   dialer-group 1 //引用敏感流量,符合条件的触发ADSL拨号
   ppp authentication pap callin   //定义pap明文密码传输
   ppp pap sent-username xxxx2223030 password 7 ******
dialer-list 1 protocol ip permit //定义敏感流量,这里为所有流量

Ip sec参考

基于IPSEC的VPN配置步骤

第一步 配置IKE协商

R1(config)#crypto isakmp policy 1  建立IKE协商策略

R1(config-isakmap)# hash md5      设置密钥验证所用的算法

R1(config-isakmap)# authentication pre-share  设置路由要使用的预先共享的密钥

R1(config)#  crypto isakmp key  123  address 192.168.1.2  设置共享密钥和对端地址 123是密钥

R2(config)#crypto isakmp policy 1 

R2(config-isakmap)# hash md5     

R2(config-isakmap)# authentication pre-share 

R2(config)#  crypto isakmp key  123  address 192.168.1.1

第二步 配置IPSEC相关?#38382;?/p>

R1(config)# crypto ipsec transform-set cfanhome ah-md5-hmac esp-des  配置传输模式以及验证的算法和加密的的算法  cfanhome这里是给这个传输模式取个名字

R1(config)# access-list 101 permit ip  any any 我这里简单的写 但是大家做的时候可不能这样写

这里是定义访问控制列表

R2(config)# crypto ipsec transform-set cfanhome ah-md5-hmac esp-des  两边的传输模式的名字要一样

R2(config)# access-list 101 permit ip  any any 

第三步 应用配置到端口 假设2个端口都是s0/0

R1(config)# crypto map cfanhomemap 1 ipsec-isakmp 采用IKE协商,优先级为1 这里的cfanhomemap是一个表的名字

R1(config-crypto-map)#  set peer 192.168.1.2 指定VPN链路对端的IP地址

R1(config-crypto-map)#  set transform-set  cfanhome  指定先前所定义的传输模式

R1(config-crypto-map)#  match address 101 指定使用的反问控制列表 这里的MATCH是匹配的意思

R1(config)# int s0/0

R1(config-if)# crypto map cfanhomemap 应用此表到端口

      R2和R1在最后的配置基本一样 这里就不一一写出来了

——————————————————————————————————————–

IPsec配置超级指南(大纲,说明,实例,实验)

IPsec-VPN–virtual private network

什么是VPN–虚拟专用网

VPN作用–通过公网实现远程连接,将?#25509;?#32593;络联系起来

VPN的类型:

1、overlay的VPN,例如IPsec-VPN

2、peer-to-peer的VPN,例如MPLS-VPN

还可以分为二层VPN和三层VPN

IPsec-VPN是三层的VPN

IPsec-VPN的分类:

1、site-to-site VPN ?#27493;?LAN-to-LAN VPN (要求两个站点都要有固定的IP)

2、EASY-VPN ?#27493;?remote VPN (通常用于连接没有固定IP的站点)

IPsec-VPN提供三个特性:

1、authentication  每一个IP包的?#29616;?/p>

2、data integrity  验证数据完整性,保证在传输过程中没有被人为改动

3、confidentiality (私密性)数据包的加密

《知识准备》

在学习IPsec技术之前,先要学习以?#24405;?#28857;知识

1、加密机制

2、DH密钥?#25442;?#31639;法

3、?#29616;?#26426;制

4、散列机制

加密机制–密码学分为两类:

对称加密算法—使用一把密匙来对信息提供安全的保护。只有一个密匙,即用来加密,也用来解密

特点:

1、速度快

2、密文紧凑

3、用于大量数据的传送

对称加密代表:DES、3DES、AES

3DES–有三个密匙,用第一个密匙加密,用第二个密匙解密,再用第三个密匙加密

非对称加密—有一对密匙,一个叫公匙,一个叫私匙,如果用其中一个加密,必须用另一个解密。

特点:

1、速度慢

2、密文不紧凑

3、通常只用于数字签名,或加密一些小文件。

非对称加密的代表:RSA、ECC

非对称加密代表RSA–有一对密匙,一个公匙,一个私匙,私匙加密,公匙解密,或者公匙加密,私匙解密

非对称加密可以有两种应用:

1、公钥加密,私钥解密,叫加密

2、私钥加密,公钥解密,叫数字签名

理想的应用方法,用非对称加密法来传送对称加密的密匙,或用在数字签名当?#23567;?#29992;对称加密法来加密实?#23454;?#25968;据。

数字签名不但证明了消息的内容,还证明了发送方的身份。

密钥化的HASH–使用密钥对生成的消息摘要进行加密时,被称为加密的消息摘要。

diffie-hellman key exchange–DH算法

是一种安全的让通信双方协商出一个共享密匙的方法。

用对方的公匙和自已的私匙产生一个双方都能知道的KEY(?#27493;?#20849;享的密秘),作对称加密用

DH group 1的长度是768位  (产生出的KEY的长度)

DH group 2的长度是1024位

?#29616;?#26426;制–(这里所指的是设备的?#29616;ぃ?#32780;不是用户的?#29616;ぃ?/p>

现代的基本加密技术要依赖于消息之目标接收者已知的一项秘密,关键的问题是如何保障密钥的安全。

1、用户名和密码

2、OTP(one time password)一次性密码

3、生物?#29616;ぃ?#25351;纹、眼膜)

4、预共享密钥

5、数字证书

6、加密临时值

散列机制–用来做完整性检验

散列函数(就是HASH)–把一大堆数据经过?#25169;?#24471;到一个较小的、定长的值,散列是一种不可逆函数。这意味着一旦明文生成散列,就不可能或者说极端困?#35328;?#23558;其由散列转换成明文。

HASH的特点:

1、不管输入什么数据,输出是定长的

2、只要输入有一点微小变化,输出就会发生很大的变化,也就是雪崩效应

3、不可逆

HASH的算法:

1、md5  提供128位的输出 md5是验证,不是加密技术,用来做哈希

2、SHA  提供160位的输出

HMAC–使用散列的消息?#29616;?#32534;码,或者叫密钥化的HASH,是一种使用HASH来进行?#29616;?#30340;机制。可以用来做预共享密钥的?#29616;ぁ?/p>

—————————————————————————————-

IP sec 的组成–IPsec协议集包括三个协议:

1、internet key exchange(IKE)密匙?#25442;?#21327;议

协议双方使用的算法,密匙,协商在两个对等体之间建立一条遂道的?#38382;?#21327;商完成再用下面的方法封装数据。

   IKE动态的,周期性的在两个PEER之间更新密钥

2、encapsulating secutity payload(ESP)封装安全负载

可以对数据包?#29616;ぃ?#21152;密,封装,IP中协议号–50,通常使用3DES来进行加密

3、authentication header (AH)

只提供?#29616;ぃ?#23553;装,不提供加密,明文传送,IP中协议号–51

IPsecVPN的两种模式–

一、传输模式:

不产生新的IP头,在原包?#20998;?#21518;插入一个字段,当通信点等于加密点用这?#22336;?#27861;

原始IP头 | (ESP或AH) | Data

二、通道模式:

产生一个新IP包头,当通信点不等于加密点用这?#22336;?#27861;,site-to-site的VPN就是这种模式,因为通信点的IP头通常不是一个公网上可路由的头部,而新的IP头用的是两个peer之间的IP地址。

新IP头 | (ESP或AH) | 原始IP头 | Data

通信点:实际通信的设备

加密点:进行加密的设备

ESP封装中只对原始IP分组进行完整性检验

AH封装中进行完整性检验还包括新的IP头

——————————————————————————————–

IKE密匙?#25442;?#21327;议

IKE的作用:用于在两个peer之间协商建立IPsec-VPN通道

1、协商?#38382;?/p>

2、产生KEY,?#25442;籏EY、更新KEY

3、?#36816;?#26041;进行?#29616;?/p>

4、对密钥进行管理

也是由三个不同的协议组成:

1、ISAKMP–定义了信息?#25442;?#30340;体?#21040;?#26500;,也就是格式

2、SKEME–实现公钥加密?#29616;?#30340;机制

3、Oakley–提供在两个IPsec对等体间达成相同加密密钥的基于模式的机制

ISAKMP基于UDP,源目端口都是500

site-to-site ipsec VPN的协商过程,分两个阶段

要想在两个站点之间安全的传输IP数据流,它们之间必须要先进行协商,协商它们之间所采用的加密算法,封装技术以及密钥。这个协商过程是通过IKE来完成的,IKE协商分两个阶段运行:

阶?#25105;唬?#22312;两个对等体设备之间建立一个安全的管理连接。没有实?#23454;?#25968;据通过这个连接。这个管理连接是用来保护第二阶段协商过程的。

阶段二:当对等体之间有了安全的管理连接之后,它们就可以接着协商用于构建安全数据连接的安全?#38382;?#36825;个协商过程是安全的,加了密的。协商完成后,将在两个站点间形成安全的数据连接。用户就可以利用这些安全的数据连接来传输自已的数据了。

第一阶段:建立ISAKMP SA  协商的是以下信息:

1、对等体之间采用何?#22336;?#24335;做?#29616;ぃ?#26159;预共享密钥?#25925;?#25968;字证书。

2、双方使用哪种加密算法

3、双方使用哪种HMAC方式,是MD5?#25925;荢HA

4、双方使用哪种Diffie-Hellman密钥组

5、使用哪?#20013;?#21830;模式(主模?#20132;?#20027;动模式)

6、还要协商SA的生存期

第二阶段:建立IPsec SA  协商的是以下信息:

1、双方使用哪?#22336;?#35013;技术,AH?#25925;荅SP

2、双方使用哪种加密算法

3、双方使用哪种HMAC方式,是MD5?#25925;荢HA

4、使用哪种传输模式,是隧道模?#20132;故?#20256;输模式

5、还要协商SA的生存期

第一阶段的协商过程总共有6条消息:

1、消息1和消息2用于peer之间协商加密机制

   ISAKMP包含有ISAKMP头、SA负载、提议负载、转换负载等字段

总之是让双方协商好我们之间使用啥子协议、加密方法

具体是要协定四个东东:加密机制、散列机制、DH组、?#29616;?#26426;制

2、消息3和消息4用于相互之间?#25442;?#20844;共密匙

两端的peer先各自生成自已的私匙和公匙,同时?#20849;?#29983;一个临时值。然后再使用消息3或消息4将各自的公匙和临时值进行?#25442;弧?/p>

?#25442;?#23436;公匙后,每个peer先根据对方的公匙和自已的私匙生成一个共享秘密(使用DH算法),再根据共享秘密、对方和自已的临时值、预共享密钥产生出三个SKEY:

   SKEYID_d–此密匙被用于?#25169;?#21518;续IPsec密匙资源

   SKEYID_a–此密匙被用于提供后续IKE消息的数据完整性以及?#29616;?/p>

   SKEYID_e–此密匙被用于对后续IKE消息进行加密

消息3和4的ISAKMP包含以下字段:ISAKMP包头、密匙?#25442;?#36127;载(KE)、临时值负载

3、消息5和消息6用于两个peer之间进行?#29616;ぃ?#36825;两个消息是用SKEYID_e进行过加密的。

每个peer根据一大堆东东(包括SKEYID-a、预共享密钥、标识ID)生成一个Hash值,再将这个值和自已的标识ID(通常是IP或主机名)发送给对方。当然,使用的就是消息5或消息6。

每个peer收到对方的ID和Hash值后,先根据对方的ID?#19994;?#23545;方的公匙,再?#25169;?#26412;地Hash值,如果本地Hash值和对方的Hash值一样,就表示?#29616;?#25104;功。

这一步完成后,IKE SA被建立,主模式?#29616;?#23436;成

第二阶段的协商过程总共有3条消息:

1、第一、二条信息是两个peer之间协商形成IPsec SA的封装协议、模式、加密算法,还要互发用DH重新生成的新的公匙和临时值,以及其它一些?#38382;?#20687;SPI、ID等?#21462;?/p>

2、第三条消息通常由发起者发送给响应者,起一个确认的作用,也用来验证通信信道的?#34892;?#24615;

第三条信息发送前,两端的peer必须先用和DH相关的信息(新的私钥和对方公钥)生成一个新的DH秘密,然后用该值和SKEYID_d以及其他一些?#38382;?#19968;起来生成最终加解密的KEY。

——————————————————————————————–

SA–安全关联

SA是两个通信实体经协商建立起来的一?#20013;?#23450;,它们决定了用来保护数据包安全的IPsec协议、转码方式、密钥、以及密钥的?#34892;?#23384;在时间等?#21462;?#20219;何IPsec实施方案始终会构建一个SA数据库(SA DB),由它来维护IPsec协议用来保障数据包安全的SA记录。

SA是单向的–如果两个主机(比如A和B)正在通过ESP进行安全通信,那么主机A就需要 有一个SA,即SA(OUT),用来处理外发的数据包,另外还需要有一个不同的SA,即SA(IN)用来处理进入的数据包。主机A的SA(OUT)和主机 B的SA(IN)将共享相同的加密?#38382;?#27604;如密钥)。

SA还要根据协议来区分,如果两个主机间同?#31508;?#29992;ESP和AH,对于ESP和AH会生成不同的SA。

SADB–安全关联数据库,包含双方协商的IKE和IPsec安全信息

SPI–安全?#38382;?#32034;引,是一个32位的值,用来标识用于处理数据包的特定的那个安全联盟。或者这样理解,用于唯一定义一条单向的IPsec通道。这个号码存在于ESP包?#20998;校?#36890;道两端必须一致。

SA分为两种–

1、IKE(ISAKMP)SA    协商对IKE数据流进行加密以及对对等体进行验证的算法

2、IPsec SA           协商对对等体之间的IP数据流进行加密的算法

对等体之间的IKE SA只能有一个

对等体之间的IPsec SA可以有多个

PFS–完善转发安全性,是一种IKE协商中发起者可以向响应者提供建议的属性,是一种强制对等体双方在快速模式?#25442;?#20013;产生新的DH秘密的属性。这允许使用新的DH秘密生成用于加密数据的加密密钥。

——————————————————————————————–

配置实例:

步骤:

1、configure crypto ACL               配置?#34892;?#36259;流,需要加密的流量就是?#34892;?#36259;流。

2、establish ISAKMP policy            第一阶段的策略

3、configure IPsec transform set      第二阶段的策略

4、configure crypto map

5、apply crypto map to the interface  在接口下应用

6、configure interface ACL            确定在外网接口放行哪些流量

一、定义?#34892;?#36259;流:

ip access-list extended VPN

  permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255

二、IKE第一阶段

crypto isakmp policy 10

  encryption des

  hash md5

  authentication pre-share

  group 2

crypto isakmp key cisco address 202.100.1.2     pre-share key 的定义

三、IKE第二阶段

crypto ipsec transform-set MYSET esp-des esp-md5-hmac

  mode tunnel

四、把?#34892;?#36259;流与转换集?#25104;?#19968;下

crypto map MYMAP 100 ipsec-isakmp

  set peer 202.100.1.2    设置VPN对等体的地址

  set tranform-set MYSET  设置转换集

  match address VPN     ?#34892;?#36259;流和转换集的绑定

五、MAP与接口绑定

int s0

  crypto map MYMAP

六、设定接口只允许跑VPN流量,在接口入设置

access-list 100 permit udp any eq 500 any eq isakmp

access-list 100 permit esp any any

access-list 100 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255  由于ACL会二次查找,所以还要放行私网的流量

show crypto isakmp policy

show crypto isakmp sa  第一阶段的SA

show crypto ipsec sa   第二阶段的SA

show crypto engine connections active

show crypto map

crypto ipsec security-association lifetime [seconds|kilobytes]   第二阶段的一个协商时间,也就是说多长时间后重新协商密匙。也可按已发了多少流量来进行协商。哪个数值先到就先起效。

cryto isakmp keepalive 10 3

IPsec通道的终结:

当流量超过上限后或者超时自动终结

clear crypto isakmp   清第一阶段

clear crypto sa   清第二阶段

clear crypto session  在新版的IOS中,用这条命令全清

debug crypto isakmp

debug crypto ipsec

配置IPsec-VPN的注意点:

1、路由

2、?#34892;?#36259;流量

3、策略

4、调用

接口设定ACL:

设定接口只允许跑VPN流量,在接口入设置

access-list 100 permit udp any eq 500 any eq isakmp

access-list 100 permit esp any any

或access-list 100 permit ahp any any

注意:在老IOS中,对包解密后还会再匹配一次访问列表,新的IOS中就不会,所以在老的IOS中要加入一条

access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255

IPsec中的路由问题:

R1  需要有4.4.4.0的路由

R2  需要有4.4.4.0  1.1.1.0  30.0.0.0的路由

R3  需要有1.1.1.0  4.4.4.0  20.0.0.0的路由

R4  需要有1.1.1.0的路由

——————————————————————————————-

——————————————————————————————-

GRE

GRE通用路由封装—一个三层协议,能够将各种不同的数据包封装成IP包,然后通过IP网络进行传输。也就是?#30340;?#23545;其它的IP包或非IP包进行再封装,在原始包头?#37027;?#38754;增加一个GRE包头和一个新IP包头。明文传送,没有安全性。在IP中的协议号47。

GRE封装格式:

20字节  4字节

GRE有很好的隧道特性

1、支持多协议

2、支持组播

缺点是不安全

IPsec的特点:

1、能提供安全的传输保证

2、但只能支持IP,不能支持其他协议

小知识:在tunnal中,指定目标地?#20998;?#21518;,只要在本地路由表中有这个地址,tunnal就会up

GRE over IPsec(实用性很高的技术,不像IPsecVPN那样麻烦)

原理:在tunnel中,先用GRE对数据包封装成IP包,再用IPsec加密,默认是通道模式

红色部分是加密的部分

IPsec只能对IP包加密,不能对非IP包加密。

注意在GRE over IPsec中?#34892;?#36259;流的定义:(所有的GRE流量都是?#34892;?#36259;流)

access-list 100 permit gre host 202.100.13.3 host 202.100.12.2  必须定义公网地址

因为?#22791;行?#36259;流量过来时:

1、先查路由,进入tunnel口

2、封装GRE后,进入S口?#19981;鱩ap

当封装了GRE后,外部的IP地址用的就是公网地址了,所以?#34892;?#36259;流量必须定义为公网地址。

由于在接口下会两次检查ACL,所以如果在物理接口?#36335;臕CL,要同时放行ESP和GRE流量,还有isakmp的协商流量。

GRE over IPsec 技术建议使用传输模式

因为通信点等于加密点

试验:

一、配置tunnel

interface tunnel 1

  tunnel source 202.100.1.1

  tunnel destination 202.100.1.2

  tunnel gre ip

  ip address 12.1.1.1

二、运行路由协议

router eigrp 90

  network 172.16.1.0 0.0.0.255

  network 12.1.1.0 0.0.0.255

三、开始配置IPsec,先定义?#34892;?#36259;流:(注意这里的定义)

ip access-list extended VPN

  permit gre any any

四、IKE第一阶段

crypto isakmp policy 10

  encryption des

  hash md5

  authentication pre-share

  group 2

crypto isakmp key cisco address 202.100.1.2   pre-share key 的定义

五、IKE第二阶段

crypto ipsec transform-set MYSET esp-des esp-md5-hmac

  mode tunnel

六、把?#34892;?#36259;流与转换集?#25104;?#19968;下

crypto map MYMAP 100 ipsec-isakmp

  set peer 202.100.1.2    设置VPN对等体的地址

  set tranform-set MYSET  设置转换集

  match address VPN     ?#34892;?#36259;流和转换集的绑定

七、MAP与接口绑定

int s0

  crypto map MYMAP

八、设定接口只允许跑VPN流量,在接口入方向设置

用在物理接口下–

access-list 100 permit udp any eq 500 any eq isakmp

access-list 100 permit esp any any

access-list 100 permit gre any any

—————————————————————————————–

—————————————————————————————–

site-to-site VPN的缺点:

1、需要两端有固定的公网IP

2、两端的配置太过复杂

RemoteVPN–easyVPN—remote access 使用这?#22336;?#27861;

实现两个主要目的:

1、简单的client配置,easy VPN remote

2、中心的server,动态的?#25169;?#37197;置到client,easy VPN server

所以client很easy,server端的配置一点都不easy

远程连接有哪些困难需要克服:

1、IPsec?#30446;突?#31471;使用server端未知的IP地址来连接网关,这样就不可能在两端定义一个预共享密钥。

2、IPsec?#30446;突?#31471;通常希望用私网IP进入专用网络,而不是公网IP

3、IPsec?#30446;突?#31471;必须使用DNS服务器、DHCP服务器和其他一些在专用网络上作为信息主要来源的服务器,而不是使用ISP的服务器。

4、IPsec?#31361;?#31471;常在PAT设备之后进行连接,但由于ESP要加密TCP或UDP?#20998;?#30340;信息,端口自然?#24067;?#23494;了,PAT将不能正常工作。

为解决以上难题,设计了IKE协商的1.5阶段。

IKE的1.5阶段由两部分组成–

1、x-auth扩展?#29616;?/p>

2、模式配置

在远程IPsec连接中,通常使用IKE主动模式。只有三条消息?#25442;弧?/p>

扩展?#29616;?#8211;允许?#29616;Psec?#31361;?#31471;的使用者,被IPsec网关?#29616;ぁ?/p>

可以先让所有?#30446;突?#37117;使用同一个预共享密钥连接到IPsec网关,然后再使用扩展?#29616;?#26469;确定用户的身份,等于要进行两次?#29616;ぁ?#36825;样就解决了第一个问题(IPsec两端无法定义预共享密钥的难题)。

扩展?#29616;?#26159;基于每一个用户的,一般靠IPsec网关与AAA服务器结合来实现。

扩展?#29616;?#22312;IKE第一阶段完成后进行,扩展?#29616;?#24635;共有四个消息的?#25442;弧?/p>

消息一:IPsec网关发向?#31361;?#31471;,询问用户名和密码

消息二:?#31361;?#31471;发向IPsec网关,回应用户名和密码

消息三:IPsec验证完毕后,通知?#31361;?#31471;成功或失败

消息?#27169;?#22914;果收到成功的消息,?#31361;?#31471;返回一个确认

模式配置:

允许IPsec网关为?#31361;?#31471;?#25169;?#19968;个内部的IP地址和DNS服务器等信息。这样?#31361;?#31471;就可以用这个内部的IP地址进入专用网络。

NAT-T?#27493;蠳AT透明

用于解决在发生PAT?#37027;?#20917;下进行正确的地址转换

解决方法–将ESP分组再封装进一个UDP?#20998;小?/p>

VPN 3005以上的设备都可以做server

1700、1800可以做client,实际上不光可以用?#24067;?#26469;做client,软件也可以做,在移动办公中就是软件做

1800以上都可以做server

remote-VPN配置

server端配置

aaa new-model                                                          //启用AAA

aaa authentication login REMOTE local

aaa authorization network REMOTE local

username wolf password 0 cisco      //建立本地数据库

crypto isakmp policy 10

hash md5

authentication pre-share

group 2

encryption des

crypto isakmp client configuration group IPSEC-GROUP  组名,设不同组的目地是为内部不同的部门分配不同的IP

key xiangweixing   组密码 组名和组密码是一对,需要用户端也是一样的配置

pool IP-POOL

crypto ipsec transform-set MYSET esp-des esp-md5-hmac

crypto dynamic-map MYMAP 10

set transform-set MYSET

reverse-route        反向路由注入

crypto map CISCO client authentication list REMOTE       启用XAUTH

crypto map CISCO isakmp authorization list REMOTE

crypto map CISCO client configuration address respond        地址?#25169;?#26041;式(分强制?#25169;?#21644;请求?#25169;?

crypto map CISCO 10 ipsec-isakmp dynamic MYMAP

interface s1/0

crypto map CISCO

ip local pool IP-POOL 172.16.1.20 172.16.1.50

—————————————————————-

client端配置

crypto ipsec client ezvpn EZVPN

  group IPSEC-GROUP key xiangweixing

  conn manual

  peer 202.100.1.1   对端地址

  mode client

int s1/0

  crypto ipsec client ezvpn EZVPN outside

int e0/0

  crypto ipsec client ezvpn EZVPN inside

ip route 0.0.0.0 0.0.0.0 s1/0

R2#crypto ipsec client ezvpn connect

R2#crypto ipset client ezvpn xauth

在?#31361;?#31471;查看:

show crypto session

show crypto ipsec client ezvpn

在服务器端查看:

show crypto session group

show crypto session summary

ipsec vpn实例教程

clip_image001[3]

以下为路由器A的配置,路由器B只需对相应配置做更改即可

1:配置IKE

router(config)# crypto isakmp enable #启用IKE(默认是启动的)

router(config)# crypto isakmp policy 100 #建立IKE策略,优先级为100

router(config-isakmp)# authentication pre-share #使用预共享的密码进行身份验证

router(config-isakmp)# encryption des #使用des加密方式

router(config-isakmp)# group 1 #指定密钥位数,group 2安全性更高,但更耗cpu

router(config-isakmp)# hash md5 #指定hash算法为MD5(其他方式:sha,rsa)

router(config-isakmp)# lifetime 86400 #指定SA?#34892;?#26399;时间。默认86400秒,两端要一致

以上配置可通过show crypto isakmp policy显示。VPN两端路由器的上述配置要完全一样。

2:配置Keys

router(config)# crypto isakmp key cisco1122 address 10.0.0.2

–(设置要使用的预共享密钥和指定vpn另一端路由器的IP地址)

3:配置IPSEC

router(config)# crypto ipsec transform-set abc esp-des esp-md5-hmac

配置IPSec?#25442;?#38598;

abc这个名字可?#36816;?#20415;取,两端的名字也可不一样,但其他?#38382;?#35201;一致。

router(config)# crypto ipsec security-association lifetime 86400

ipsec安全关联存活期,也可不配置,在下面的map里指定即可

router(config)# access-list 110 permit tcp 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255

router(config)# access-list 110 permit tcp 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255

4.配置IPSEC加密?#25104;?/p>

router(config)# crypto map mymap 100 ipsec-isakmp 创建加密图

router(config-crypto-map)# match address 110 用ACL来定义加密的通信

router(config-crypto-map)# set peer 10.0.0.2 标识对方路由器IP地址

router(config-crypto-map)# set transform-set abc 指定加密图使用的IPSEC?#25442;?#38598;

router(config-crypto-map)# set security-association lifetime 86400

router(config-crypto-map)# set pfs group 1

5.应用加密图到接口

router(config)# interface ethernet0/1

router(config-if)# crypto map mamap

相关知识点:

对称加密或?#25509;?#23494;钥加密:加密解密使用相同的私钥

DES–数据加密标准 data encryption standard

3DES–3倍数据加密标准 triple data encryption standard

AES–高级加密标准 advanced encryption standard

一些技术提供验证:

MAC–消息验证码 message authentication code

HMAC–散列消息验证码 hash-based message authentication code

MD5和SHA是提供验证的散列函数

对称加密被用于大容量数据,因为非对称加密站用大量cpu资源

非对称或公共密钥加密:

RSA rivest-shamir-adelman

用公钥加密,私钥解密。公钥是公开的,但只有私钥的拥有者才能解密

两个散列常用算法:

HMAC-MD5 使用128位的共享?#25509;?#23494;钥

HMAC-SHA-I 使用160位的?#25509;?#23494;钥

ESP协议:用来提供机密性,数据源验证,无连接完整性和反重放服务,并且通过防止流量分析来限制流量的机密性,这些服务以来于SA建立和实现时的选择。

加密是有DES或3DES算法完成。可选的验证和数据完整性由HMAC,keyed SHA-I或MD5提供

IKE–internet密钥?#25442;唬?#20182;提供IPSEC对等体验证,协商IPSEC密钥和协商IPSEC安全关联

实现IKE的组件

1:des,3des 用来加密的方式

2:Diffie-Hellman 基于公共密钥的加密协议允许对方在不安全的信道上建立公共密钥,在IKE中被用来建立会话密钥。group 1表示768位,group 2表示1024位

3:MD5,SHA–验证数据包的散?#20852;?#27861;。RAS签名–基于公钥加密系统

原创:CISCO路由器配置VPN: ?#30053;?#19968;路远程接VPN到L2LVPN服务器

No Comments VPN ,

拓扑如下:

clip_image001

 

这个实例中,我们使用一个叫 split-tunneling 遂道分离的技术,这个特性允许ipsec的远程?#31361;?#31471;特定的流量(ACL判断)走加密通道.

或不走加密通道.遂道分离起用后,不是到对端VPN的流量加不会加密.

默认不启用,那么将所有流量都会被加密,或者说你只能访问公司内部应用,而无法上internet.

下面是配置步骤.

 

下面这个配置是让远程vpn user访问所有站点.或分公司.

完整步骤:

1.

建立一个给vpn ?#31361;?#35775;问vpn tunnel 用的独立的IP地址池,并建立相关的用户名和密码.

 

o??? HQ_HUB(config)#ip local pool ippool 10.10.120.10 10.10.120.50
o??? HQ_HUB(config)#username vpnuser password 0 vpnuser123

2. 让指定流量不走nat (走VPN的必须不NAT).

3.? HQ_HUB(config)#ip access-list extended NAT_Exempt
4.? HQ_HUB(config-ext-nacl)#deny ip 10.10.10.0 0.0.0.255 10.10.120.0 0.0.0.255
5.? HQ_HUB(config-ext-nacl)#deny ip 10.10.120.0 0.0.0.255 10.20.20.0 0.0.0.255
6.? HQ_HUB(config-ext-nacl)#deny ip 10.10.120.0 0.0.0.255 172.16.1.0 0.0.0.255
7.? HQ_HUB(config-ext-nacl)#permit ip host 10.10.10.0 any
8.? HQ_HUB(config-ext-nacl)#exit
用route-map 调用acl 并?#20197;?#21040; nat上面.
HQ_HUB(config)#route-map nonat permit 10
HQ_HUB(config-route-map)#match ip address NAT_Exempt
HQ_HUB(config)#ip nat inside source route-map nonat interface Serial2/0 overload

 

9. 允许L2L与vpn用户通信.

10.HQ_HUB(config)#ip access-list extended VPN_BO1
11.HQ_HUB(config-ext-nacl)#permit ip 10.10.120.0 0.0.0.255 172.16.1.0 0.0.0.255
12.HQ_HUB(config-ext-nacl)#exit
13.HQ_HUB(config)#ip access-list extended VPN_BO2
14.HQ_HUB(config-ext-nacl)#permit ip 10.10.120.0 0.0.0.255 10.20.20.0 0.0.0.255
15.HQ_HUB(config-ext-nacl)#exit

注意:反掩码

16. 配置 split-tunneling

配置之前你必须在路由器上面配置ACL,不然会报错.

在这个例子中 access-list split_tunnel? 允许

10.10.10.0 /24 and 10.20.20.0/24 and 172.16.1.0/24 网段走TUNNEL

非这三个网站不进行加密.

HQ_HUB(config)#ip access-list extended split_tunnel
HQ_HUB(config-ext-nacl)#permit ip 10.10.10.0 0.0.0.255 10.10.120.0 0.0.0.255
HQ_HUB(config-ext-nacl)#permit ip 10.20.20.0 0.0.0.255 10.10.120.0 0.0.0.255
HQ_HUB(config-ext-nacl)#permit ip 172.16.1.0 0.0.0.255 10.10.120.0 0.0.0.255
HQ_HUB(config-ext-nacl)#exit

17.配置本地?#29616;?#21644;授权,?#31361;?#31471;信息

比如VPN?#31361;?#31471;的 wins,dns,?#34892;?#36259;流量池,

18.HQ_HUB(config)#aaa new-model
19.HQ_HUB(config)#aaa authentication login userauthen local
20.HQ_HUB(config)#aaa authorization network groupauthor local
21.HQ_HUB(config)#crypto isakmp client configuration group vpngroup
22.HQ_HUB(config-isakmp-group)#key cisco123
23.HQ_HUB(config-isakmp-group)#dns 10.10.10.10
24.HQ_HUB(config-isakmp-group)#wins 10.10.10.20
25.HQ_HUB(config-isakmp-group)#domain cisco.com
26.HQ_HUB(config-isakmp-group)#pool ippool
27.HQ_HUB(config-isakmp-group)#acl split_tunnel
28.HQ_HUB(config-isakmp-group)#exit

29.

创建vpn tunnel 必需配置dynamic map 和cryto map 信息

30.HQ_HUB(config)#crypto isakmp profile vpnclient
31.HQ_HUB(config-isakmp-group)#match identity group vpngroup
32.HQ_HUB(config-isakmp-group)#client authentication list userauthen
33.HQ_HUB(config-isakmp-group)#isakmp authorization list groupauthor
34.HQ_HUB(config-isakmp-group)#client configuration address respond
35.HQ_HUB(config-isakmp-group)#exit
36.HQ_HUB(config)#crypto dynamic-map dynmap 10
37.HQ_HUB(config-crypto-map)#set transform-set newset
38.HQ_HUB(config-crypto-map)#set isakmp-profile vpnclient
39.HQ_HUB(config-crypto-map)#reverse-route
40.HQ_HUB(config-crypto-map)#exit
41.HQ_HUB(config)#crypto map map1 65535 ipsec-isakmp dynamic dynmap
42.HQ_HUB(config)#interface serial 2/0
43.HQ_HUB(config-if)#crypto map map1
Example Configuration
Example Configuration 2
HQ_HUB#show running-config
Building configuration...

Current configuration : 3524 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname HQ_HUB
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
aaa session-id common
!
resource policy
!
!
!
ip cef
!
!
?
!--- Output is suppressed

!
username vpnuser password 0 vpnuser123
!
!
!
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 group 2
crypto isakmp key cisco123 address 192.168.11.2
crypto isakmp key cisco123 address 192.168.12.2
!
crypto isakmp client configuration group vpngroup
 key cisco123
 dns 10.10.10.10
 wins 10.10.10.20
 domain cisco.com
 pool ippool
 acl split_tunnel
crypto isakmp profile vpnclient
?? match identity group vpngroup
?? client authentication list userauthen
?? isakmp authorization list groupauthor
?? client configuration address respond
!
!
crypto ipsec transform-set newset esp-3des esp-md5-hmac
crypto ipsec transform-set remote-set esp-3des esp-md5-hmac
!
crypto dynamic-map dynmap 10
 set transform-set remote-set
 set isakmp-profile vpnclient
 reverse-route
!
!
crypto map map1 5 ipsec-isakmp
 set peer 192.168.11.2
 set transform-set newset
 match address VPN_BO1
crypto map map1 10 ipsec-isakmp
 set peer 192.168.12.2
 set transform-set newset
 match address VPN_BO2
crypto map map1 65535 ipsec-isakmp dynamic dynmap
!
!
interface Ethernet0/0
 ip address 10.10.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!

interface Serial2/0
 ip address 192.168.10.10 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 clock rate 64000
 crypto map map1
!
!
ip local pool ippool 10.10.120.10 10.10.120.50
ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 192.168.10.1
!
ip nat inside source route-map nonat interface Serial2/0 overload
!
ip access-list extended NAT_Exempt
 deny ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255
 deny ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255
 deny ip 10.10.10.0 0.0.0.255 10.10.120.0 0.0.0.255
 deny ip 10.10.120.0 0.0.0.255 10.20.20.0 0.0.0.255
 deny ip 10.10.120.0 0.0.0.255 172.16.1.0 0.0.0.255
 permit ip host 10.10.10.0 any
ip access-list extended VPN_BO1
 permit ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255
 permit ip 10.10.120.0 0.0.0.255 172.16.1.0 0.0.0.255
ip access-list extended VPN_BO2
 permit ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255
 permit ip 10.10.120.0 0.0.0.255 10.20.20.0 0.0.0.255
ip access-list extended split_tunnel
 permit ip 10.10.10.0 0.0.0.255 10.10.120.0 0.0.0.255
 permit ip 10.20.20.0 0.0.0.255 10.10.120.0 0.0.0.255
 permit ip 172.16.1.0 0.0.0.255 10.10.120.0 0.0.0.255



!
route-map nonat permit 10
 match ip address NAT_Exempt
!
!
control-plane
!
line con 0
line aux 0
line vty 0 4
!
!
end
HQ_HUB#

 

验证

用下面方法来验证VPN是否正常.

 

· ping

Extended Ping
HQ_HUB#ping

?
!--- In order to make the L2L VPN tunnel with BO1 
!--- to be established.

Protocol [ip]:
Target IP address: 172.16.1.2
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 10.10.10.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.2, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.1
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 132/160/172 ms

HQ_HUB#ping

?
!--- In order to make the L2L VPN tunnel with BO2 
!--- to be established.

Protocol [ip]:
Target IP address: 10.20.20.10
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 10.10.10.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.20.20.10, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.1
....!
Success rate is 20 percent (1/5), round-trip min/avg/max = 64/64/64 ms
show crypto isakmp sa
HQ_HUB#show crypto isakmp sa
dst???????????? src???????????? state????????? conn-id slot status
192.168.12.2??? 192.168.10.10?? QM_IDLE????????????? 2??? 0 ACTIVE
192.168.11.2??? 192.168.10.10?? QM_IDLE????????????? 1??? 0 ACTIVE
show crypto ipsec sa
HQ_HUB#show crypto ipsec sa

interface: Serial2/0
??? Crypto map tag: map1, local addr 192.168.10.10

?? protected vrf: (none)
?? local? ident (addr/mask/prot/port): (10.10.120.0/255.255.255.0/0/0)
?? remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
?? current_peer 192.168.11.2 port 500
???? PERMIT, flags={origin_is_acl,}
??? #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
??? #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
??? #pkts compressed: 0, #pkts decompressed: 0
??? #pkts not compressed: 0, #pkts compr. failed: 0
??? #pkts not decompressed: 0, #pkts decompress failed: 0
??? #send errors 0, #recv errors 0

???? local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.11.22
???? path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0
???? current outbound spi: 0x0(0)


???? local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.12.2
???? path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0
???? current outbound spi: 0x0(0)


?? protected vrf: (none)
?? local? ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
?? remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
?? current_peer 192.168.12.2 port 500
???? PERMIT, flags={origin_is_acl,}
??? #pkts encaps: 1, #pkts encrypt: 1, #pkts digest: 1
??? #pkts decaps: 1, #pkts decrypt: 1, #pkts verify: 1
??? #pkts compressed: 0, #pkts decompressed: 0
??? #pkts not compressed: 0, #pkts compr. failed: 0
??? #pkts not decompressed: 0, #pkts decompress failed: 0
??? #send errors 4, #recv errors 0

???? local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.12.2
???? path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0
???? current outbound spi: 0xF1328(987944)

???? inbound esp sas:
????? spi: 0xAD07C262(2902966882)
??????? transform: esp-3des esp-md5-hmac ,
??????? in use settings ={Tunnel, }
??????? conn id: 2004, flow_id: SW:4, crypto map: map1
??????? sa timing: remaining key lifetime (k/sec): (4601612/3292)
??????? IV size: 8 bytes
??????? replay detection support: Y
??????? Status: ACTIVE

???? inbound ah sas:

???? inbound pcp sas:

???? outbound esp sas:
????? spi: 0xF1328(987944)
??????? transform: esp-3des esp-md5-hmac ,
??????? in use settings ={Tunnel, }
??????? conn id: 2003, flow_id: SW:3, crypto map: map1
??????? sa timing: remaining key lifetime (k/sec): (4601612/3291)
??????? IV size: 8 bytes
??????? replay detection support: Y
??????? Status: ACTIVE

???? outbound ah sas:

???? outbound pcp sas:

?? protected vrf: (none)
?? local? ident (addr/mask/prot/port): (10.10.120.0/255.255.255.0/0/0)
?? remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
?? current_peer 192.168.12.2 port 500
???? PERMIT, flags={origin_is_acl,}
??? #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
??? #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
??? #pkts compressed: 0, #pkts decompressed: 0
??? #pkts not compressed: 0, #pkts compr. failed: 0
??? #pkts not decompressed: 0, #pkts decompress failed: 0
??? #send errors 0, #recv errors 0

???? local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.12.2
???? path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0
???? current outbound spi: 0x0(0)


?? protected vrf: (none)
?? local? ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
?? remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
?? current_peer 192.168.11.2 port 500
???? PERMIT, flags={origin_is_acl,}
??? #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
??? #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
??? #pkts compressed: 0, #pkts decompressed: 0
??? #pkts not compressed: 0, #pkts compr. failed: 0
??? #pkts not decompressed: 0, #pkts decompress failed: 0
??? #send errors 11, #recv errors 0

???? local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.11.2
???? path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0
???? current outbound spi: 0x978B3F93(2542485395)

???? inbound esp sas:
????? spi: 0x2884F32(42487602)
??????? transform: esp-3des esp-md5-hmac ,
??????? in use settings ={Tunnel, }
??????? conn id: 2002, flow_id: SW:2, crypto map: map1
??????? sa timing: remaining key lifetime (k/sec): (4421529/3261)
??????? IV size: 8 bytes
??????? replay detection support: Y
??????? Status: ACTIVE

???? inbound ah sas:

???? inbound pcp sas:

???? outbound esp sas:
????? spi: 0x978B3F93(2542485395)
??????? transform: esp-3des esp-md5-hmac ,
??????? in use settings ={Tunnel, }
??????? conn id: 2001, flow_id: SW:1, crypto map: map1
??????? sa timing: remaining key lifetime (k/sec): (4421529/3261)
??????? IV size: 8 bytes
??????? replay detection support: Y
??????? Status: ACTIVE



???? local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.12.2
???? path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0
???? current outbound spi: 0x0(0)

?? protected vrf: (none)
?? local? ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
?? remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
?? current_peer 192.168.12.2 port 500
???? PERMIT, flags={origin_is_acl,}
??? #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
??? #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
??? #pkts compressed: 0, #pkts decompressed: 0
??? #pkts not compressed: 0, #pkts compr. failed: 0
??? #pkts not decompressed: 0, #pkts decompress failed: 0
??? #send errors 0, #recv errors 0

???? local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.12.2
???? path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0
???? current outbound spi: 0x0(0)
??? protected vrf: (none)
?? local? ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
?? remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
?? current_peer 192.168.11.2 port 500
???? PERMIT, flags={origin_is_acl,}
??? #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
??? #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
??? #pkts compressed: 0, #pkts decompressed: 0
??? #pkts not compressed: 0, #pkts compr. failed: 0
??? #pkts not decompressed: 0, #pkts decompress failed: 0
??? #send errors 0, #recv errors 0

???? local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.11.2
???? path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0
???? current outbound spi: 0x0(0)
????? local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.12.2
???? path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0
???? current outbound spi: 0x0(0)
 HQ_HUB#

原创:CISCO路由器配置VPN:配置一个新的L2LVPN到L2LVPN服务器

No Comments VPN ,

本文档旨在教你一步一步的配置L2LVPN

前提:

 

要求:

确认你已经配置好了L2LVPN并且正在正常运行.

设备版本

· 路由器IOS versions 12.4 and 12.2

· ASA IOS version 8.0

本配置基于实验环境,所有的设备使用本文档的时候都已清空配置.

如你的?#24039;?#20135;设备,请确认你能看懂本配置.

 

拓扑

 

clip_image001

下面配置是由 主L2L和分L2L设备导出.

这个配置是HQ 和BO1 起L2L 遂道的配置.

Current HQ (HUB) Router Configuration
HQ_HUB#show running-config

 

 

service timestamps debug datetime msec

 

service timestamps log datetime msec

 

no service password-encryption

 

hostname HQ_HUB

 

 

boot-start-marker

 

boot-end-marker

 

!

 

!

 

no aaa new-model

 

!

 

resource policy

 

 

ip cef

 

 

crypto isakmp policy 10

 

 encr 3des

 

 authentication pre-share

 

 group 2

 

crypto isakmp key cisco123 address 192.168.11.2

 

!

 

!

 

crypto ipsec transform-set newset esp-3des esp-md5-hmac

 

!

 

crypto map map1 5 ipsec-isakmp

 

 set peer 192.168.11.2

 

 set transform-set newset

 

 match address VPN_BO1

 

!

 

!

 

!

 

!

 

interface Ethernet0/0

 

 ip address 10.10.10.1 255.255.255.0

 

 ip nat inside

 


 


 

interface Serial2/0

 

 ip address 192.168.10.10 255.255.255.0

 

 ip nat outside

 

 ip virtual-reassembly

 

 clock rate 64000

 

 crypto map map1

 

!
ip http server

 

no ip http secure-server

 

!

 

ip route 0.0.0.0 0.0.0.0 192.168.10.1

 

!

 

ip nat inside source route-map nonat interface Serial2/0 overload

 

!

 

ip access-list extended NAT_Exempt

 

 deny ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255

 

 permit ip 10.10.10.0 0.0.0.255 any

 

ip access-list extended VPN_BO1

 

 permit ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255

 

!

 

route-map nonat permit 10

 

 match ip address NAT_Exempt

 

#
BO1 ASA Configuration
CiscoASA#show running-config

 

 

ASA Version 8.0(2)

 

!

 

hostname CiscoASA

 

enable password 8Ry2YjIyt7RRXU24 encrypted

 

names

 

!

 

interface Ethernet0

 

 nameif inside

 

 security-level 100

 

 ip address 172.16.1.1 255.255.255.0

 

!

 

interface Ethernet1

 

 nameif outside

 

 security-level 0

 

 ip address 192.168.11.2 255.255.255.0

 


passwd 2KFQnbNIdI.2KYOU encrypted

 

ftp mode passive

 

access-list 100 extended permit ip 172.16.1.0 255.255.255.0 10.10.10.0 255.255.255.0

 

access-list nonat extended permit ip 172.16.1.0 255.255.255.0 10.10.10.0 255.255.255.0

 

access-list ICMP extended permit icmp any any

 

pager lines 24

 

mtu outside 1500

 

mtu inside 1500

 

no failover

 

icmp unreachable rate-limit 1 burst-size 1

 

asdm image flash:/asdm-602.bin

 

no asdm history enable

 

arp timeout 14400

 

global (outside) 1 interface

 

nat (inside) 0 access-list nonat

 

nat (inside) 1 10.10.10.0 255.255.255.0

 

access-group ICMP in interface outside

 

route outside 0.0.0.0 0.0.0.0 192.168.11.1 1

 

snmp-server enable traps snmp authentication linkup linkdown coldstart

 

crypto ipsec transform-set newset esp-3des esp-md5-hmac

 

crypto map map1 5 match address 100

 

crypto map map1 5 set peer 192.168.10.10

 

crypto map map1 5 set transform-set newset

 

crypto map map1 interface outside

 

crypto isakmp enable outside

 

crypto isakmp policy 1

 

 authentication pre-share

 

 encryption 3des

 

 hash sha

 

 group 2

 

 lifetime 86400

 

crypto isakmp policy 65535

 

 authentication pre-share

 

 encryption 3des

 

 hash sha

 

 group 2

 

 lifetime 86400

 

telnet timeout 5

 

ssh timeout 5

 

console timeout 0

 

threat-detection basic-threat

 

threat-detection statistics access-list

 

!

 

class-map inspection_default

 

 match default-inspection-traffic

 

!

 

!

 


!

 

service-policy global_policy global

 

tunnel-group 192.168.10.10 type ipsec-l2l

 

tunnel-group 192.168.10.10 ipsec-attributes

 

 pre-shared-key *

 


方案背景.

当前 hq与BO1之间已经有了L2L VPN

你的公司需要开一个新的分公司 BO2.这个新公司需要链到总公司.

此外还有一个特殊要求,允许所有的员工在家里办公.

 

clip_image002

配置前请确认 HQ总部的L2L VPN已配置好.

 

完成下列步骤:

1.

建一个新的ACL(?#34892;?#36259;流量)给 crypto map :

2.? HQ_HUB(config)#ip access-list extended VPN_BO2

 

3.? HQ_HUB(config-ext-nacl)#permit ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255

 

4.? HQ_HUB(config-ext-nacl)#exit

5. 将?#34892;?#36259;流量做NONAT? NAT 0

 

6.? HQ_HUB(config)#ip access-list extended NAT_Exempt

 

7.? HQ_HUB(config-ext-nacl)#deny ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255

 

8.? HQ_HUB(config-ext-nacl)#permit ip 10.10.10.0 0.0.0.255 any

将ACL加到 route map nonat:

HQ_HUB(config)#route-map nonat permit 10

 

HQ_HUB(config-route-map)#match ip address NAT_Exempt

 

HQ_HUB(config)#ip nat inside source route-map nonat interface Serial2/0 overload

9. 第一阶段:指定L2L VPN对端地址

10.HQ_HUB(config)#crypto isakmp key cisco123 address 192.168.12.2

这个密码两端必须一至.

11.

为一个新的vpn tunnel创建一个新的crypto map

与HQ总部L2LVPN使用相同的?#25442;?#38598;,与第二阶段配置一至.

12.HQ_HUB(config)#crypto map map1 10 ipsec-isakmp

 

13. HQ_HUB(config-crypto-map)#set peer 192.168.12.2

 

14. HQ_HUB(config-crypto-map)#set transform-set newset

 

15. HQ_HUB(config-crypto-map)#match address VPN_BO2

16. 现在你已经配置了一个VPN TUNNEL,你必须发送?#34892;?#36259;流量已激活VPN tunnel.

实现方法,使用扩展ping 用本地地址PING远端VPN地址.

在这个实例里面用10.20.20.16PING10.10.10.0使HQ与新分公司bo2之间VPN TUNNEL建立完成.

现在已经有两个TUNNEL 连到了总部HQ.

 

Example Configuration
HUB_HQ – Added a New L2L VPN Tunnel Configuration
HQ_HUB#show running-config

 

Building configuration...

 


 

Current configuration : 2230 bytes

 

!

 

version 12.4

 

service timestamps debug datetime msec

 

service timestamps log datetime msec

 

no service password-encryption

 

!

 

hostname HQ_HUB

 

!

 

boot-start-marker

 

boot-end-marker

 

!

 

!

 

no aaa new-model

 

!

 

resource policy

 

!

 

ip cef

 


 

!

 

crypto isakmp policy 10

 

 authentication pre-share

 

 encryption 3des

 

 group 2

 

crypto isakmp key cisco123 address 192.168.11.2

 

crypto isakmp key cisco123 address 192.168.12.2

 

!

 

!

 

crypto ipsec transform-set newset esp-3des esp-md5-hmac

 

!

 

crypto map map1 5 ipsec-isakmp

 

 set peer 192.168.11.2

 

 set transform-set newset

 

 match address VPN_BO1

 

crypto map map1 10 ipsec-isakmp

 

 set peer 192.168.12.2

 

 set transform-set newset

 

 match address VPN_BO2

 

!

 

!

 

interface Ethernet0/0

 

 ip address 10.10.10.1 255.255.255.0

 

 ip nat inside

 

 ip virtual-reassembly

 

!

 


 

interface Serial2/0

 

 ip address 192.168.10.10 255.255.255.0

 

 ip nat outside

 

 ip virtual-reassembly

 

 clock rate 64000

 

 crypto map map1

 

!

 

!

 

ip http server

 

no ip http secure-server

 

!

 

ip route 0.0.0.0 0.0.0.0 192.168.10.1

 

!

 

ip nat inside source route-map nonat interface Serial2/0 overload

 

!

 


 

ip access-list extended NAT_Exempt

 

 deny ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255

 

 deny ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255

 

 permit ip 10.10.10.0 0.0.0.255 any

 

ip access-list extended VPN_BO1

 

? permit ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255

 

ip access-list extended VPN_BO2

 

 permit ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255

 


 


 


 

!

 

route-map nonat permit 10

 

 match ip address NAT_Exempt

 

!

 

!

 

control-plane

 

!

 

!

 

!

 

line con 0

 

line aux 0

 

line vty 0 4

 

!

 

!

 

end

 

HQ_HUB#
BO2 L2L VPN Tunnel Configuration
BO2#show running-config

 

Building configuration...

 


 

3w3d: %SYS-5-CONFIG_I: Configured from console by console

 

Current configuration : 1212 bytes

 

!

 

version 12.1

 

no service single-slot-reload-enable

 

service timestamps debug uptime

 

service timestamps log uptime

 

no service password-encryption

 

!

 

hostname BO2

 

!

 

!

 

!

 

!

 

!

 

!

 

ip subnet-zero

 

!

 

!

 

!

 

crypto isakmp policy 10

 

 authentication pre-share

 

 encryption 3des

 

 group 2

 

crypto isakmp key cisco123 address 192.168.10.10

 

!

 

!

 

crypto ipsec transform-set newset esp-3des esp-md5-hmac

 

!

 

crypto map map1 5 ipsec-isakmp

 

 set peer 192.168.10.10

 

 set transform-set newset

 

 match address 100

 

!

 

!

 

!

 

!

 

interface Ethernet0

 

 ip address 10.20.20.10 255.255.255.0

 

 ip nat inside

 

!

 


 

!

 

interface Ethernet1

 

 ip address 192.168.12.2 255.255.255.0

 

 ip nat outside

 

 crypto map map1

 

!

 

interface Serial0

 

 no ip address

 

 no fair-queue

 

!

 

interface Serial1

 

 no ip address

 

 shutdown

 

!

 

ip nat inside source route-map nonat interface Ethernet1 overload

 

ip classless

 

ip route 0.0.0.0 0.0.0.0 192.168.12.1

 

ip http server

 

!

 

access-list 100 permit ip 10.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255

 

access-list 150 deny ip 10.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255

 

access-list 150 permit ip 10.20.20.0 0.0.0.255 any

 

route-map nonat permit 10

 

 match ip address 150

 

!

 

!

 

!

 

line con 0

 

line aux 0

 

line vty 0 4

 

 login

 

!

 

end

 


 

BO2#
30选5玩法