IPsecVPN配置大全.docx
《IPsecVPN配置大全.docx》由会员分享,可在线阅读,更多相关《IPsecVPN配置大全.docx(14页珍藏版)》请在冰点文库上搜索。
IPsecVPN配置大全
IPsecVPN配置大全(PDF版本见18楼)
给CCSP的学员授课,顺便就总结下.
转载请注明出处:
红头发(akaCCIE#15101)
一.基于PSK的IPsecVPN配置
首先IOS带k的就可以了,支持加密特性,拓扑如下:
topo.jpg(57.02KB)
2008-10-1120:
14
1.R1基本配置:
R1(config)#interfaceloopback0
R1(config-if)#ipaddress10.1.1.1255.255.255.0
R1(config-if)#noshutdown
R1(config-if)#interfaceserial0/0
R1(config-if)#ipaddress 192.168.1.1255.255.255.252
R1(config-if)#clockrate56000
R1(config-if)#noshutdown
R1(config-if)#exit
2.定义感兴趣流量与路由协议:
R1(config)#access-list100permitip10.1.1.00.0.0.25510.2.2.00.0.0.255
R1(config)#iproute0.0.0.00.0.0.0serial0/0
3.全局启用ISAKMP并定义对等体及其PSK(预共享密钥):
R1(config)#cryptoisakmpenable
R1(config)#cryptoisakmpkey91labaddress192.168.1.2
4.定义IKE策略:
R1(config)#cryptoisakmppolicy10
R1(config-isakmp)#encryptionaes128 /---默认是DES加密---/
R1(config-isakmp)#hashsha /---默认是SHA-1---/
R1(config-isakmp)#authenticationpre-share
R1(config-isakmp)#group2 /---默认是768位的DH1---/
R1(config-isakmp)#lifetime3600 /---默认是86400秒---/
R1(config-isakmp)#exit
5.定义IPSec转换集(transformset):
R1(config)#cryptoipsectransform-setttesp-aes128esp-sha-hmac
R1(cfg-crypto-trans)#modetunnel
R1(cfg-crypto-trans)#exit
6.定义cryptomap并应用在接口上:
R1(config)#cryptomapcisco10ipsec-isakmp
R1(config-crypto-map)#matchaddress100
R1(config-crypto-map)#setpeer192.168.1.2 /---定义要应用cryptomap的对等体地址---/
R1(config-crypto-map)#settransform-settt /---定义cryptomap要应用的IPsec转换集---/
R1(config-crypto-map)#exit
R1(config)#interfaceserial0/0
R1(config-if)#cryptomapcisco
*Mar 100:
08:
31.131:
%CRYPTO-6-ISAKMP_ON_OFF:
ISAKMPisON
R1(config-if)#end
R1#
R1配置完成.
同理,R2相关配置如下:
!
!
cryptoisakmppolicy10
encraes
authenticationpre-share
group2
cryptoisakmpkey91labaddress192.168.1.1
!
!
cryptoipsectransform-setttesp-aesesp-sha-hmac
!
cryptomapcisco10ipsec-isakmp
setpeer192.168.1.1
settransform-settt
matchaddress100
!
!
!
!
interfaceLoopback0
ipaddress10.2.2.1255.255.255.0
!
interfaceSerial0/0
ipaddress192.168.1.2255.255.255.252
cryptomapcisco
!
iproute0.0.0.00.0.0.0Serial0/0
!
access-list100permitip10.2.2.00.0.0.25510.1.1.00.0.0.255
二.采用积极模式并PSK的IPsecVPN配置
1.R1基本配置:
R1(config)#interfaceloopback0
R1(config-if)#ipaddress10.1.1.1255.255.255.0
R1(config-if)#noshutdown
R1(config-if)#interfaceserial0/0
R1(config-if)#ipaddress 192.168.1.1255.255.255.252
R1(config-if)#clockrate56000
R1(config-if)#noshutdown
R1(config-if)#exit
2.定义感兴趣流量与路由协议:
R1(config)#access-list100permitip10.1.1.00.0.0.25510.2.2.00.0.0.255
R1(config)#iproute0.0.0.00.0.0.0serial0/0
3.全局启用ISAKMP并定义对等体及其PSK(预共享密钥),采用积极模式:
R1(config)#cryptoisakmpenable
R1(config)#cryptoisakmppeeraddress192.168.1.2
R1(config-isakmp-peer)#setaggressive-modeclient-endpointipv4-address192.168.1.1
R1(config-isakmp-peer)#setaggressive-modepassword91lab
4.定义IKE策略:
R1(config)#cryptoisakmppolicy10
R1(config-isakmp)#encryptionaes128 /---默认是DES加密---/
R1(config-isakmp)#hashsha /---默认是SHA-1---/
R1(config-isakmp)#authenticationpre-share
R1(config-isakmp)#group2 /---默认是768位的DH1---/
R1(config-isakmp)#lifetime3600 /---默认是86400秒---/
R1(config-isakmp)#exit
5.定义IPSec转换集(transformset):
R1(config)#cryptoipsectransform-setttesp-aes128esp-sha-hmac
R1(cfg-crypto-trans)#modetunnel
R1(cfg-crypto-trans)#exit
6.定义cryptomap并应用在接口上:
R1(config)#cryptomapcisco10ipsec-isakmp
R1(config-crypto-map)#matchaddress100
R1(config-crypto-map)#setpeer192.168.1.2 /---定义要应用cryptomap的对等体地址---/
R1(config-crypto-map)#settransform-settt /---定义cryptomap要应用的IPsec转换集---/
R1(config-crypto-map)#exit
R1(config)#interfaceserial0/0
R1(config-if)#cryptomapcisco
*Mar 100:
08:
31.131:
%CRYPTO-6-ISAKMP_ON_OFF:
ISAKMPisON
R1(config-if)#end
R1#
R1配置完成.
同理,R2配置如下:
!
!
cryptoisakmppolicy10
encraes
authenticationpre-share
group2
!
cryptoisakmppeeraddress192.168.1.1
setaggressive-modepassword91lab
setaggressive-modeclient-endpointipv4-address192.168.1.1
!
!
cryptoipsectransform-setttesp-aesesp-sha-hmac
!
cryptomapcisco10ipsec-isakmp
setpeer192.168.1.1
settransform-settt
matchaddress100
!
!
!
!
interfaceLoopback0
ipaddress10.2.2.1255.255.255.0
!
interfaceSerial0/0
ipaddress192.168.1.2255.255.255.252
cryptomapcisco
!
iproute0.0.0.00.0.0.0Serial0/0
!
access-list100permitip10.2.2.00.0.0.25510.1.1.00.0.0.255
!
三.GRE隧道与IPsec的结合
GRE隧道本身不带安全特性,可以通过结合基于PSK的IPsec来实现安全功能.拓扑如下:
1.R1基本配置:
R1(config)#interfaceloopback0
R1(config-if)#ipaddress10.1.1.1255.255.255.0
R1(config-if)#noshutdown
R1(config-if)#interfaceserial0/0
R1(config-if)#ipaddress 192.168.1.1255.255.255.252
R1(config-if)#clockrate56000
R1(config-if)#noshutdown
R1(config)#interfacetunnel0
R1(config-if)#ipunnumberedserial0/0
/---所谓“借用IP地址”实际就是:
一个接口上没有配置IP地址,但是还想使用该接口。
就向其它有IP地址的接口借一个IP地址来。
如果被借用接口有多个IP地址,只能借来主IP地址。
如果被借用接口没有IP地址,则借用接口的IP地址为0.0.0.0。
该功能通过Ipunnumbered命令来实现。
---/
R1(config-if)#tunnelsourceserial0/0/---隧道源接口---/
R1(config-if)#tunneldestination192.168.1.1/---隧道目的接口---/
R1(config-if)#tunnelmodegreip /---可以不打,默认即为GRE---/
R1(config-if)#noshutdown
R1(config-if)#exit
2.定义感兴趣流量与路由协议:
R1(config)#access-list100permitgrehost192.168.1.1host192.168.1.2
R1(config)#iproute0.0.0.00.0.0.0serial0/0
R1(config)#iproute10.2.2.0255.255.255.0serial0/0
3.全局启用ISAKMP并定义对等体及其PSK(预共享密钥):
R1(config)#cryptoisakmpenable
R1(config)#cryptoisakmpkey91labaddress192.168.1.2
4.定义IKE策略:
R1(config)#cryptoisakmppolicy10
R1(config-isakmp)#encryptiondes128 /---默认是DES加密---/
R1(config-isakmp)#hashsha /---默认是SHA-1---/
R1(config-isakmp)#authenticationpre-share
R1(config-isakmp)#group2 /---默认是768位的DH1---/
R1(config-isakmp)#lifetime3600 /---默认是86400秒---/
R1(config-isakmp)#exit
5.定义IPSec转换集(transformset):
R1(config)#cryptoipsectransform-setttesp-aes128esp-sha-hmac
R1(cfg-crypto-trans)#modetunnel
R1(cfg-crypto-trans)#exit
6.定义cryptomap并应用在接口上:
R1(config)#cryptomapcisco10ipsec-isakmp
R1(config-crypto-map)#matchaddress100
R1(config-crypto-map)#setpeer192.168.1.2 /---定义要应用cryptomap的对等体地址---/
R1(config-crypto-map)#settransform-settt /---定义cryptomap要应用的IPsec转换集---/
R1(config-crypto-map)#exit
R1(config)#interfaceserial0/0
R1(config-if)#cryptomapcisco
*Mar 100:
08:
31.131:
%CRYPTO-6-ISAKMP_ON_OFF:
ISAKMPisON
R1(config-if)#end
R1#
R1配置完成.
同理,R2相关配置如下:
!
!
cryptoisakmppolicy10
encraes
authenticationpre-share
group2
cryptoisakmpkey91labaddress192.168.1.1
!
!
cryptoipsectransform-setttesp-aesesp-sha-hmac
!
cryptomapcisco10ipsec-isakmp
setpeer192.168.1.1
settransform-settt
matchaddress100
!
!
!
interfaceTunnel0
ipunnumberedSerial0/0
tunnelsourceSerial0/0
tunneldestination192.168.1.1
!
interfaceLoopback0
ipaddress10.2.2.1255.255.255.0
!
interfaceSerial0/0
ipaddress192.168.1.2255.255.255.252
cryptomapcisco
!
iproute0.0.0.00.0.0.0Serial0/0
!
access-list100permitgrehost10.2.2.1host10.1.1.1
!
四.IPsecVPN的高可用性
通常情况下,我们希望IPsecVPN流量可以在主从路由器之间做到无缝切换,可以通过HSRP与SSO相结合的方式来达到此目的.HSRP用于保证接入流量的热备份.一旦主路由器down掉后,HSRP立即将IKE信息与SA传递给备份路由器;而SSO允许主从路由器之间共享IKE与SA信息.
topo.jpg(66.28KB)
2008-10-1519:
48
SPOKE配置如下:
1.定义感兴趣流量与路由协议:
SPOKE(config)#access-list100permitip10.1.1.00.0.0.25510.2.2.00.0.0.255
SPOKE(config)#iproute0.0.0.00.0.0.0serial0/0
2.全局启用ISAKMP并定义对等体及其PSK(预共享密钥):
SPOKE(config)#cryptoisakmpenable
SPOKE(config)#cryptoisakmpkey91labaddress0.0.0.00.0.0.0
3.定义IKE策略:
SPOKE(config)#cryptoisakmppolicy10
SPOKE(config-isakmp)#encryptionaes128 /---默认是DES加密---/
SPOKE(config-isakmp)#hashsha /---默认是SHA-1---/
SPOKE(config-isakmp)#authenticationpre-share
SPOKE(config-isakmp)#group2 /---默认是768位的DH1---/
SPOKE(config-isakmp)#lifetime3600 /---默认是86400秒---/
SPOKE(config-isakmp)#exit
4.定义IPSec转换集(transformset):
SPOKE(config)#cryptoipsectransform-setnuaikoesp-aes128esp-sha-hmac
SPOKE(cfg-crypto-trans)#exit
5.定义cryptomap并应用在接口上:
SPOKE(config)#cryptomapccsp10ipsec-isakmp
SPOKE(config-crypto-map)#matchaddress100
SPOKE(config-crypto-map)#setpeer16.1.1.254 /---定义cryptomap的对等体地址,这里为对端HSRP的虚拟IP地址---/
SPOKE(config-crypto-map)#settransform-setnuaiko /---定义cryptomap要应用的IPsec转换集---/
SPOKE(config-crypto-map)#exit
SPOKE(config)#interfaceserial0/0
SPOKE(config-if)#cryptomapccsp
*Mar 100:
08:
31.131:
%CRYPTO-6-ISAKMP_ON_OFF:
ISAKMPisON
SPOKE(config-if)#end
SPOKE#
SPOKE配置完成.
HUB1配置如下:
1.定义感兴趣流量与路由协议:
HUB1(config)#access-list100permitip10.2.2.00.0.0.25510.1.1.00.0.0.255
HUB1(config)#iproute0.0.0.00.0.0.016.1.1.3
2.全局启用ISAKMP并定义对等体及其PSK(预共享密钥):
HUB1(config)#cryptoisakmpenable
HUB1(config)#cryptoisakmpkey91labaddress0.0.0.00.0.0.0
3.定义IKE策略:
HUB1(config)#cryptoisakmppolicy10
HUB1(config-isakmp)#encryptionaes128 /---默认是DES加密---/
HUB1(config-isakmp)#hashsha /---默认是SHA-1---/
HUB1(config-isakmp)#authenticationpre-share
HUB1(config-isakmp)#group2 /---默认是768位的DH1---/
HUB1(config-isakmp)#lifetime3600 /---默认是86400秒---/
HUB1(config-isakmp)#exit
4.定义IPSec转换集(transformset):
HUB1(config)#cryptoipsectransform-setnuaikoesp-aes128esp-sha-hmac
HUB1(cfg-crypto-trans)#exit
5.定义cryptomap:
HUB1(config)#cryptomapccsp10ipsec-isakmp
HUB1(config-crypto-map)#matchaddress100
HUB1(config-crypto-map)#setpeer173.1.1.1 /---定义要应用cryptomap的对等体地址---/
HUB1(config-crypto-map)#settransform-setnuaiko /-