非常详细的IPsec VPN实验配置解说Word文档下载推荐.docx

非常详细的IPsec VPN实验配置解说Word文档下载推荐.docx

《非常详细的IPsec VPN实验配置解说Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《非常详细的IPsec VPN实验配置解说Word文档下载推荐.docx（11页珍藏版）》请在冰点文库上搜索。

转换集

//cisco：

转换集的名称

//esp-des：

用ESP做封装，用des做加密

//esp-md5-hmac：

用ESP封装，用MD5做哈希

//作用：

对感兴趣流用ESP封装，用DES做加密；

用ESP做封装，用MD5做哈唏。

CryptomapLAXDN10ipsec-isakmp//对第二阶段的策略做汇总。

因为一台路由器可能不止做一个VPN，有可能和很多路由器做VPN。

也就是有很多个第二阶段的策略。

所以说，这里是定义了一个加密图，是为了将策略汇总。

当有很多个第二阶段策略时，只需要配置多个mapid就可以了。

然后就根据MAPID来执行任务。

。

而不用定义多个map（注意：

一个端口只能配置一个map，从而将多个策略汇总到一个MAP中，然后在端口中调用MAP。

就可以起到节省端口的作用，对吧！

）。

即：

cryptomapyujianwei110ipsec-isakmp

cryptomapyujianwei220ipsec-isakmp

cryptomapyujianwei330ipsec-isakmp

cryptomapyujianwei440ipsec-isakmp

Setpeer192.168.1.1//配置对等体的要加密的地址

Settransform-setcisco//对第二阶段的转换集进行汇总

Matchaddress100//调用ACL100

R（config-if）#cryptomapLAXDN//调用cryptomap（加密图）策略到接口上

因为一个端口只能配置一个MAP，但是如果一台路由器要做很多VPN，那么此时如果用MAP就不用来很多端口，而只要用到一个MAP就可以。

一台路由器和不同的VPN连接，只需要MAPID就可以了。

IPSECVPN实验详解

由于Internet宽带接入的普及，它的带宽与价格非常的便宜（相对于专线而言）.8M的ADSL价位不到两千元/年.越来越多的企业开始发掘基于宽带接入的增值应用.由于VPN技术的成熟，如对数据的加密技术与VPNQos技术的发展，使得基于Internet接入的VPN应用日趋增多.

　　VPN技术可用于远程用户的接入（用于取代传统拨号接入技术）访问，用于对主线路的备份作为备份链路，甚至可以取代传统的专线地位用于企业各分支机构的专有网络互联.

　　用于取代专线或备份线路接入的Site-to-SiteVPN接入技术，用于远程终端用户接入访问的Remote-VPN（也叫EasyVPN，取代传统拨号接入）.

　　基于WEB页面访问的WEBVPN技术.又叫SSLVPN.

　　1.Site-to-sitevpn（三种类型）

　　站点间的VPN技术.IKE使用UDP端口500,IpsecESP和AH使用协议号50和51.因此如果要实现VPN穿越，必须在相应接口上配置访问列表以允许VPN流量通过。

　　Site-to-SiteVPN的配置通常可分为四个步骤：

　　1.传统路由及需互访的流量定义

　　定义路由设置

　　感兴趣的流量（即定义互访的内网主机流量以触发VPN参数协商）

　　2.定义IKE参数（IKE第一阶段安全关联协商）

　　定义ISAKMP策略

　　定义ISAKMP对等体和验证密钥

　　3.定义Ipsec参数（IKE第二阶段安全关联协商）

　　定义Ipsec的转换集Transform

　　定义Ipsec的加密映射（cryptomap）。

　　4.将加密映射应用到相应接口。

　　当路由器收到一个数据包时，它将检查安全策略（即所定义的感兴趣的流量）以决定是否为此数据包提供保护。

如果匹配访问列表所定义的流量，则路由器决定采用何种安全服务，并决定IPSEC端点所使用的地址，并检查是否存在一个安全关联（securityassociation）.

　　如果没有安全关联，则路由器将与对等体协商建立。

而IKE用来在站点路由器之间建立一个提供验证的安全通道，并在此安全通道上进行Ipsec安全关联的协商。

IKE首先验证它的对等体，可通过预共享密钥，公钥密码或数字签名来实现。

一旦对等体被验证通过，Diffe-Hellman协议用来产生一个共有的会话密钥。

　　1.1静态地址

　　1.站点间用于建立VPN的两台设备都有静态公网地址.

　　内部主机通过NAT地址转换后访问Internet.但内部主机之间的访问流量不通过NAT转换，而通过Ipsec加密进行访问。

如图所示，在远程站点间，由于专线费用过高，因此考虑与中心站点间采用IPsecVPN技术来实现远程分支站点与中心站点间的私网互联。

　　因为内网是私有地址，所以在上Internet时必须做NAT地址转换。

而通过VPN隧道在内网之间访问的时候，相当于两边私网通过专线互联，因此不需要做NAT。

　　1路由配置，NAT配置及感兴趣流量的定义

　　R1与R3分别是中心站点与分支站点的Internet接入路由器，在接入路由器上通常配置默认路由。

　　1.接口及路由配置

　　R1配置：

　　interfaceEthernet0/1

　　ipaddress10.1.1.1255.255.255.0

　　interfaceSerial1/0

　　ipaddress201.1.1.1255.255.255.0

　　iproute0.0.0.00.0.0.0Serial1/0

　　R2配置

　　ipaddress201.1.1.2255.255.255.0

　　!

　　interfaceSerial1/1

　　ipaddress202.1.1.1255.255.255.0

　　R3配置

　　ipaddress172.16.1.1255.255.255.0

　　ipaddress202.1.1.2255.255.255.0

　　iproute0.0.0.00.0.0.0Serial1/1

　　2.NAT配置

　　在R1和R3上分别做PAT地址转换，定义需要做NAT的访问列表。

　　R1（config）#inte0/1

　　R1（config-if）#ipnatinside

　　R1（config-if）#ints1/0

　　R1（config-if）#ipnatoutside

　　ipnatinsidesourcelist102interfaceSerial1/0overload

　　定义了访问列表102所指定的流量进行NAT转换，overload选项进行端口复用（PAT）

　　R1（config）#access-list102denyip10.1.1.00.0.0.255172.16.1.00.0.0.255

　　将10.1.1.0访问172.16.1.0的流量不进行NAT转换。

　　R1（config）#access-list102permitip10.1.1.00.0.0.255any

　　对去往Internet的流量进行NAT转换

　　R3配置：

　　R3（config）#inte0/1

　　R3（config-if）#ipnatinside

　　R3（config）#ints1/1

　　R3（config-if）#ipnatoutside

　　ipnatinsidesourcelist102interfaceSerial1/1overload

　　R3（config）#access-list102denyip172.16.1.00.0.0.25510.1.1.00.0.0.255

　　R3（config）#access-list102permitip172.16.1.00.0.0.255any

　　3.定义触发Ipsec保护的感兴趣的流量

　　R1

　　access-list101permitip10.1.1.00.0.0.255172.16.1.00.0.0.255

　　R3

　　access-list101permitip172.16.1.00.0.0.25510.1.1.00.0.0.255

　　2定义IKE参数

　　1.定义IKE加密策略：

IKE用来创建使用共享密钥的安全关联（SA）

　　R1（config）#cryptoisakmppolicy1

　　R1（config-isakmp）#?

　　ISAKMPcommands:

　　authenticationSetauthenticationmethodforprotectionsuite定义验证的方法

　　defaultSetacommandtoitsdefaults

　　encryptionSetencryptionalgorithmforprotectionsuite定义加密的方法

　　exitExitfromISAKMPprotectionsuiteconfigurationmode

　　groupSettheDiffie-HellmangroupDiffie-Hellman算法用于密钥的安全交换。

　　hashSethashalgorithmforprotectionsuite哈希算法用来验证数据的完整性

　　lifetimeSetlifetimeforISAKMPsecurityassociation

　　noNegateacommandorsetitsdefaults

　　R1（config-isakmp）#authenticationpre-share定义双方身份验证采用预共享密钥交换方式

　　R1（config）#cryptoisakmpkey0cisco（验证密钥为cisco）address202.1.1.2（对等体地址）

　　其它没有配置的参数有一个默认配置，加密算法默认为des，哈希算法为SHA-1,Diffie-Hellman采用组一的密钥交换方法，安全关联的生命周期为86400秒。

　　R3（config）#cryptoisakmppolicy1（1为策略编号，可以为不同站点配置不同策略号）

　　R3（config-isakmp）#authenticationpre-share

　　R3（config）#cryptoisakmpkey0ciscoaddress201.1.1.1

　　3.定义Ipsec参数（IKE第二阶段安全关联的建立）

　　1.定义要保护数据的加密和验证转换集方法（Transform设置）

　　R1：

　　R1（config）#cryptoipsectransform-setmytransesp-3des

　　R3（config）#cryptoipsectransform-setmytrans（设置的转换集命名）?

　　ah-md5-hmacAH-HMAC-MD5transform

　　ah-sha-hmacAH-HMAC-SHAtransform

　　comp-lzsIPCompressionusingtheLZScompressionalgorithm

　　esp-3desESPtransformusing3DES（EDE）cipher（168bits）

　　esp-aesESPtransformusingAEScipher

　　esp-desESPtransformusingDEScipher（56bits）

　　esp-md5-hmacESPtransformusingHMAC-MD5auth

　　esp-nullESPtransformw/ocipher

　　esp-sealESPtransformusingSEALcipher（160bits）

　　esp-sha-hmacESPtransformusingHMAC-SHAauth

　　这些都是对数据进行加密和完整性验证的方法集。

可以任选使用，但站点两端设置必须相同。

AH只能用于对数据包包头进行完整性检验，而ESP用于对数据的加密和完整性检验。

　　R3（config）#cryptoipsectransform-setmytransesp-3des

　　注意：

这里所定义的mytrans转换集要在后面的cryptomap中调用。

　　R3（cfg-crypto-trans）#mode?

　　transporttransport（payloadencapsulation）mode

　　tunneltunnel（datagramencapsulation）mode

　　在这里可以定义IPSEC工作在传输模式或隧道模式，传输模式通常用于主机与主机终端之间进行加密传输，而隧道模式则用于网络设备间建立VPN联接。

默认情况下，工作在tunnel模式。

　　2.定义加密映射：

加密映射把远程对等体，Transform定义的对流量的保护方法及感兴趣的流量关联在一起，

　　R1（config）#cryptomapmymap1ipsec-isakmp

　　R1（config-crypto-map）#setpeer203.1.1.2（设置对等体地址）

　　R1（config-crypto-map）#settransform-setmytrans（将前面的Transform设置关联起来）

　　R1（config-crypto-map）#matchaddress101（与第一步所定义的感兴趣的流量关联）

　　R3（config-crypto-map）#setpeer201.1.1.1

　　R3（config-crypto-map）#settransform-setmytrans

　　R3（config-crypto-map）#matchaddress101

　　4.将加密映射应用至接口

　　cryptomapmymap

　　5.检验配置

　　R1#ping172.16.1.1source10.1.1.1

　　Typeescapesequencetoabort.

　　Sending5,100-byteICMPEchosto172.16.1.1,timeoutis2seconds:

　　Packetsentwithasourceaddressof10.1.1.1

　　.!

!

　　可见双方站点内网通信联通性OK

　　R1#showcryptoengineconnectionsactive

　　IDInterfaceIP-AddressStateAlgorithmEncryptDecrypt

　　1Serial1/0201.1.1.1setHMAC_SHA+DES_56_CB00

　　2003Serial1/0201.1.1.1set3DES40

　　2004Serial1/0201.1.1.1set3DES04

　　可见已经为加密的流量建立了安全关联

　　R1#showcryptoisakmpsa

　　dstsrcstateconn-idslotstatus

　　202.1.1.2201.1.1.1QM_IDLE10ACTIVE

　　可见第一阶段安全关联已经建立成功

　　R1#showcryptoipsecsa

　　interface:

Serial1/0

　　Cryptomaptag:

mymap,localaddr201.1.1.1

　　protectedvrf:

（none）

　　localident（addr/mask/prot/port）:

（10.1.1.0/255.255.255.0/0/0）

　　remoteident（addr/mask/prot/port）:

（172.16.1.0/255.255.255.0/0/0）

　　current_peer202.1.1.2port500

　　PERMIT,flags={origin_is_acl,}

　　#pktsencaps:

22,#pktsencrypt:

22,#pktsdigest:

22

　　#pktsdecaps:

22,#pktsdecrypt:

22,#pktsverify:

　　#pktscompressed:

0,#pktsdecompressed:

0

　　#pktsnotcompressed:

0,#pktscompr.failed:

　　#pktsnotdecompressed:

0,#pktsdecompressfailed:

　　#senderrors3,#recverrors0

　　localcryptoendpt.:

201.1.1.1,remotecryptoendpt.:

202.1.1.2

　　pathmtu1500,ipmtu1500

　　currentoutboundspi:

0xE52E393E（3845011774）

　　inboundespsas:

　　spi:

0x62197B9E（1645837214）

　　transform:

esp-3des,

　　inusesettings={Tunnel,}

　　connid:

2004,flow_id:

SW:

4,cryptomap:

mymap

　　satiming:

remainingkeylifetime（k/sec）:

（4422230/3189）

　　IVsize:

8bytes

　　replaydetecti由于Internet宽带接入的普及，它的带宽与价格非常的便宜（相对于专线而言）.8M的ADSL价位不到两千元/年.越来越多的企业开始发掘基于宽带接入的增值应用.由于VPN技术的成熟，如对数据的加密技术与VPNQos技术的发展，使得基于Internet接入的VPN应用日趋增多.

　　ipaddres