VPN完全配置指南.pdf

1、Cisco VPN 完全配置指南完全配置指南 详解路由器的站点到站点详解路由器的站点到站点 IPSec VPN 连接问题（连接问题（2）五、简化配置五、简化配置 L2L 配置的建立很复杂，使用两个特性简化了这个过程，IPSec profile（IPSec 配置文件）和 Virtual Tunnel Interface（虚拟隧道接口）。1、IPSec 配置文件配置文件 IPSec 配置文件是用于从一个 crypto map 条目中抽象信息，然后把它放入到一个配置文件中，该配置文件接着在一个 crypto map 条目内被引用，配置文件可以含有传输集、PFS组的信息、身份验证类型和 SA 的生存周

2、期，当远程对等设备有类似的连接属性时，这就使得 crypto map 条目的配置非常简单。可以使用下面的命令建立 IPSec 的配置文件。Router(config)#crypto ipsec profile profile_name Router(ipsec-profile)#set transform-set transform_set_name1 transform-set-name2.transform-set-name6 Router(ipsec-profile)#set pfs DH_group_#Router(ipsec-profile)#set identity DN_poli

3、cy_name Router(ipsec-profile)#set security-association level per-host Router(ipsec-profile)#set security-association lifetime seconds seconds|kilobytes kilobytes Router(ipsec-profile)#set security-association idle-time seconds 可以使用命令 show crypto ipsec profiles 查看 IPSec 配置文件。在 crypto map 条目内，引用配置文件，可

4、以使用下面的命令。Router(config)#crypto map map_name seq_#ipsec-isakmp Router(config-crypto-m)#set profile profile_name 2、IPSec 隧道接口隧道接口 IPSec 虚拟隧道接口（VTI）简化了需要被 IPSec 保护的 GRE 隧道的配置，IPSec 虚拟隧道接口通过清除建立 IPSec 会话到一个特定的物理接口的静态映射来减少配置，VTI类似于一个 GRE 隧道（但是不完全相同）。实际加密过程发生在隧道中，当转发到隧道接口时，流量被加密，这包括单播和组播的流量，静态或动态路由选择都可以把这

5、个数据包转发到隧道接口，并且静态或动态路由选择都可用于识别目标在隧道的位置，下面是 IPSec VTI 的工作步骤。数据包到达路由器的内部接口 路由选择表把数据包路由到虚拟隧道接口 进入隧道的数据包基于配置的 IPSec 的配置文件被保护 进入隧道的数据包被路由到一台路由器的出接口，并且转发到目标设备 配置 IPSec VTI 下面是配置并且建立一个 IPSec 虚拟接口的基本命令。制作：张选波Router(config)#crypto ipsec profile profile_name Router(ipsec-profile)#set transform-set transform_se

6、t_name1 transform-set-name2.transform-set-name6 Router(ipsec-profile)#exit Router(config)#interface tunnel port_#Router(config-if)#ip address IP_address subnet_mask Router(config-if)#tunnel source IP_address_on_router|local_interface_name Router(config-if)#tunnel destination IP_address_of_dst_router

7、|name_of_dst_router Router(config-if)#keepalive seconds retries Router(config-if)#tunnel mode ipsec ipv4 Router(config-if)#tunnel protection ipsec profile profile_name IPSec 虚拟通道接口需要配置一个 IPSec 配置文件，至少要有一个传输集，接着建立一个隧道接口，隧道命令与 GRE 隧道命令是一样的，只有下面两个是不一样的。tunnel mode ipsec ipv4 命令指定了这不是一个 GRE 封装，而是一个 IPVv

8、4 数据包的IPSec 封装过程。tunnel protection ipsec profile 命令指定了用于配置的一个 IPSec 配置文件。IPSec VTI 配置示例 如上图所示，具体配置如下所示。RTRA(config)#crypto isakmp policy 10 RTRA(config-isakmp)#encryption aes 128 RTRA(config-isakmp)#hash sha RTRA(config-isakmp)#authentication pre-share RTRA(config-isakmp)#group 2 RTRA(config-isakmp)

9、#exit RTRA(config)#crypto isakmp key cisco123 address 193.1.1.1 255.255.255.255 no-xauth RTRA(config)#crypto ipsec transform-set RTRtran esp-aes esp-sha-hmac RTRA(cfg-crypto-trans)#exit RTRA(config)#crypto ipsec profile VTI RTRA(ipsec-profile)#set transform-set RTRtran 制作：张选波RTRA(ipsec-profile)#exit

10、 RTRA(config)#interface tunnel 0 RTRA(config-if)#ip address 192.168.3.1 255.255.255.0 RTRA(config-if)#tunnel source 192.1.1.1 RTRA(config-if)#tunnel destination 193.1.1.1 RTRA(config-if)#tunnel mode ipsec ipv4 RTRA(config-if)#tunnel protection ipsec VTI RTRA(config)#interface Ethernet0/0 RTRA(config

11、-if)#ip address 192.1.1.1 255.255.255.0 RTRA(config-if)#exit RTRA(config)#interface Ethernet 1/0 RTRA(config-if)#ip address 192.168.1.1 255.255.255.0 RTRA(config-if)#exit RTRA(config)#ip route 192.168.2.0 255.255.255.0 tunnel0 RTRB(config)#crypto isakmp policy 10 RTRB(config-isakmp)#encryption aes 1

12、28 RTRB(config-isakmp)#hash sha RTRB(config-isakmp)#authentication pre-share RTRB(config-isakmp)#group 2 RTRB(config-isakmp)#exit RTRB(config)#crypto isakmp key cisco123 address 192.1.1.1 255.255.255.255 no-xauth RTRB(config)#crypto ipsec transform-set RTRtran esp-aes esp-sha-hmac RTRB(cfg-crypto-tr

13、ans)#exit RTRB(config)#crypto ipsec profile VTI RTRB(ipsec-profile)#set transform-set RTRtran RTRB(ipsec-profile)#exit RTRB(config)#interface tunnel 0 RTRB(config-if)#ip address 192.168.3.2 255.255.255.0 RTRB(config-if)#tunnel source 193.1.1.1 RTRB(config-if)#tunnel destination 192.1.1.1 RTRB(config

14、-if)#tunnel mode ipsec ipv4 RTRB(config-if)#tunnel protection ipsec VTI RTRB(config)#interface Ethernet0/0 RTRB(config-if)#ip address 193.1.1.1 255.255.255.0 RTRB(config-if)#exit RTRB(config)#interface Ethernet 1/0 RTRB(config-if)#ip address 192.168.2.1 255.255.255.0 RTRB(config-if)#exit RTRB(config

15、)#ip route 192.168.1.0 255.255.255.0 tunnel0 可以使用命令 show interface tunnel 0、show crypto session、show ip route 来验证制作：张选波配置。RTRA#show crypto session Crypto session current status Interface:Tunnel0 Session status:UP-ACTIVE Peer:193.1.1.1 port 500 IKE SA:local 192.1.1.1/500 remote 193.1.1.1/500 Active I

16、PSEC FLOW:permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0 Active SAs:4,origin:crypto map 六六 IPSec 冗余冗余 在实施 IPSec 时，可以使用某些冗余的选项，其中包括具有反向路由注入（RRI）的热备份路由协议（HSRP）和 IPSec 状态防火墙切换，这两项都使用 HSRP 来实施冗余。带有 RRI 的 HSRP 提供机箱的切换，而 IPSec 状态防火墙切换提供了一种透明的切换。1、具有、具有 RRI 的的 HSRP HSRP 和 RRI 工作在一起来提供机箱冗余，使用这种类型的冗余，如果一台路由器失效了，一

17、台冗余的路由器可以接替它的角色，并且重新构建失效的连接，因此，某些用户数据连接在 IPSec 会话重新构建期间将会失败。RRI 最初的开发是为了提供远程访问会话的冗余，然而，在思科路由器上，使用 HSRP也可以用于提供对 L2L 会话的冗余。可将其配置为静态和动态的 crypto map，当用动态crypto map 时，路由器将为远程对等设备所保护的每一个子网或主机建立一个静态路由远程对等设备将在 ISAKMP/IKE 阶段 1 期间与具有动态 crypto map 的本地对等设备共享该信息。使用静态的 crypto map，路由器将为每一台对等设备的 crypto ACL 中所列出的每一个

18、目标网络建立一条静态路由，当 RRI 静态路由被建立后，它们会被自动地重分发到路由器上所有配置的任何本地路由选择协议。当用于 IPSec 冗余时，HSRP 备份的 IP 地址（虚拟地址）被用做本地的 IPSec 身份（隧道的端点），通过使用这个地址，如果主 HSRP 的路由器失效了，一台备份的路由器会将自己提升为主角色，同一个 IP 地址用于终止隧道，因此，远程 IPSec 对等设备不需要了解每一台冗余对等设备的具体地址，而只需要了解虚拟地址，当切换状态发生时，对等设备将不得不重新构建 IPSec 会话，也就是说，这个解决方案并不提供基于状态的冗余。在 HSRP组的成员之间没有 IPSec 信

19、息的复制。RRI 的一路限制，是路由选择信息只在一个 IPSec 会话建立或重新构建时才会交换，因此，当隧道起来的时候，路由出现或消失，远程对等设备将不会了解该信息。另外，具有RRI 的 HSRP 并不提供状态切换，当活动的路由器失效时，所有的 IPSec 会话都将丢失，需要重新构建到一台备份路由器的 IPSec 会话。具有 RRI 的 HSRP 的配置可以和动态或静态的 crypto map 一起使用，如果使用的星型拓扑，如下图所示。制作：张选波 当建立动态的 crypto map 时，需要至少指出一个传输集并使用 RRI。Router(config)#crypto dynamic dyna

20、mic_map_name seq_#Router(config-crypto-m)#set transform-set transform_name Router(config-crypto-m)#reverse-route Router(config-crypto-m)#exit Router(config)#crypto map static_map_name seq_#dynamic dynamic_map_name 使用一个静态的 crypto map，至少配置如下的内容。Router(config)#crypto map static_map_name seq_#ipsec-isak

21、mp Router(config-crypto-m)#set peer IP_address_or_name Router(config-crypto-m)#match address crypto_ACL_#_or_name Router(config-crypto-m)#set transform-set transform_name Router(config-crypto-m)#reverse-route 使用一个静态的 crypto map，路由选择信息不是通过 crypto ACL 语句学习的，而是当IPSec 隧道构建的时候，通过远程对等设备动态地学习到的。可以使用下面的命令，配

22、置 HSRP。Router(config)#interface type slot_#/port_#Router(config-if)#standby name HSRP_group_name Router(config-if)#standby ip virtual_IP_address Router(config-if)#standby timers hello_seconds dead_seconds Router(config-if)#standby track interface_name Router(config-if)#standby preempt Router(config-

23、if)#standby delay minimum minimum_delay reload reload_delay Router(config-if)#crypto map static_map_name redundancy HSRP_group_name 具有 RRI 的 HSRP 配置示例 按照上图的拓扑进行配置 RTRA(config)#crypto isakmp policy 10 RTRA(config-isakmp)#encryption aes RTRA(config-isakmp)#hash md5 制作：张选波RTRA(config-isakmp)#authentica

24、tion pre-share RTRA(config-isakmp)#group 2 RTRA(config-isakmp)#exit RTRA(config)#crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0 no-xauth RTRA(config)#crypto isakmp keepalive 10 RTRA(config)#crypto isakmp nat keepalive 20 RTRA(config)#crypto ipsec transform-set RTRtrans esp-aes esp-sha-hmac RTRA(

25、cfg-crypto-trans)#exit RTRA(config)#crypto dynamic-map dynmap 10 RTRA(config-crypto-map)#set transform-set RTRtrans RTRA(config-crypto-map)#reverse-route RTRA(config-crypto-map)#exit RTRA(config)#crypto map statmap 65000 ipsec-isakmp dynamic dynmap RTRA(config-crypto-map)#exit RTRA(config)#router os

26、pf 1 RTRA(config-router)#redistribute static subnets RTRA(config-router)#network 192.168.1.0 0.0.0.255 area 0 RTRA(config-router)#exit RTRA(config)#ip access-list extended perimeter RTRA(config-ext-nacl)#permit udp any host 192.1.1.251 eq 500 RTRA(config-ext-nacl)#permit esp any host 192.1.1.251 RTR

27、A(config-ext-nacl)#permit udp any host 192.1.1.251 eq 4500 RTRA(config-ext-nacl)#permit udp host 192.1.1.252 eq 1985 host 224.0.0.2 eq 1985 RTRA(config-ext-nacl)#deny ip any any RTRA(config)#interface Ethernet0/0 RTRA(config-if)#description Connection to Internet RTRA(config-if)#ip address 192.1.1.2

28、53 255.255.255.0 RTRA(config-if)#ip access-group perimeter in RTRA(config-if)#standby ip 192.1.1.251 RTRA(config-if)#standby timers 1 4 RTRA(config-if)#standby name RRI RTRA(config-if)#standby track Ethernet1/0 RTRA(config-if)#crypto map statmap redundancy RRI RTRA(config-if)#exit RTRA(config)#inter

29、face Ethernet1/0 RTRA(config-if)#description Connection to Internal network RTRA(config-if)#ip address 192.168.1.253 255.255.255.0 RTRA(config-if)#no shutdown RTRA(config-if)#exit RTRC(config#crypto isakmp policy 10 制作：张选波RTRC(config-isakmp)#encryption aes 128 RTRC(config-isakmp)#hash md5 RTRC(confi

30、g-isakmp)#authentication pre-share RTRC(config-isakmp)#group 2 RTRC(config-isakmp)#exit RTRC(config#crypto isakmp key cisco123 address 192.1.1.251 no-xauth RTRC(config#crypto isakmp keepalive 10 RTRC(config#crypto isakmp nat keepalive 20 RTRC(config#ip access-list extended cryptoACL RTRC(config-ext-

31、nacl)#permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 RTRC(config-ext-nacl)#exit RTRC(config#crypto ipsec transform-set RTRtrans esp-aes esp-sha-hmac RTRC(cfg-crypto-trans)#exit RTRC(config#crypto map statmap 10 ipsec-isakmp RTRC(config-crypto-map)#set peer 192.1.1.251 RTRC(config-crypto-map)#

32、set transform-set RTRtrans RTRC(config-crypto-map)#match address cryptoACL RTRC(config-crypto-map)#reverse-route RTRC(config-crypto-map)#exit RTRC(config#interface Ethernet0 RTRC(config-if)#description Internet Connection RTRC(config-if)#ip address 193.1.1.17 255.255.255.0 RTRC(config-if)#crypto map

33、 statmap RTRC(config-if)#no shutdown RTRC(config-if)#exit RTRC(config#interface FastEthernet0 RTRC(config-if)#ip address 192.168.2.1 255.255.255.0 RTRC(config-if)#no shutdown 在这个例子中，使用了共享密钥，因为远程站点的地址是未知的，不得不对密钥使用通配置符，在这种特殊的情况中，可使用一个名字的身份验证类型，或更好的，使用证书除此之外。还对 ISAKMP 和 NAT 配置了 keepalive 来确保如果 IPSec 会话中断，并拆除。允许RTRC 重新建立到同一个地址的 IPSec 会话。OSPF 的配置将静态路由重分到 OSPF 的进程中，通常，也可以建立一个路由图来限制这种重分发的过程。Perimeter ACL