首页  »   交换机/路由器

cisco路由器上作IPSec-VPN

网友分享于:2013-07-17  浏览:0次
cisco路由器上做IPSec-VPN

session 1 ipsec知识点

IPsec(IP Security)ip安全的简称

    在实施VPN时,除了实现隧道功能以外,还要实现数据安全,两者缺一不可;在隧道方面,之前所讲到的GRE就是最常用的隧道技术,而在数据安全方面,其实就是要让数据加密传输,至于如何对数据进行加密传输,有一个使用最广泛,且最经典的技术方案,这就是IPsec(IP Security),IPsec最突出,也是最主要的功能就是保证VPN数据的安全传输。

    IPsec定义了使用什么样的方法来管理相互之间的认证,以及使用什么样的方法来保护数据,IPsec只是定义了一些方法,而IPsec本身并不是一个协议,就像OSI(Open System Interconnect)参考模型一样,OSI并不是一个协议,OSI只是一个框架,一个模型,OSI里面包含着多个协议,如TCP,UDP,IP,ICMP等等;IPsec中同样也包含着为之服务的各种协议去实现IPsec要完成的各个功能,只有这样,IPsec才能起到作用。

 

IPsec能够起到的功能有:

数据源认证(Data origin authentication),确保发送源真实可靠。

保护数据完整性(Data integrity),确保数据不被中截获篡改。
保证数据私密性(Data confidentiality),确保数据加密不被明文形式读取。

防止中间人攻击(Man-in-the-Middle),防止中间人截获数据。

防止数据被重放(Anti-Replay),防止数据被黑客读取篡改后再传输给接收方。

 

为IPsec服务的总共有三个协议:

IKE(Internet Key Exchange)

ESP(Encapsulating Security Protocol)

AH(Authentication Header)

虽然总共是三个协议,但分为两类:

IKE(Internet Key Exchange)

    IKE是个混合协议,其中包含部分Oakley协议以及内置在ISAKMP(Internet Security Association and Key Management Protocol协议中的部分SKEME协议,所以IKE也可写为ISAKMP/Oakley,它是针对密钥安全的,是用来保证密钥的安全传输、交换以及存储,主要是对密钥进行操作,并不对用户的实际数据进行操作。

    IKE(Internet key Exchange)网密钥交换,基于Internet安全联盟(sa)和密钥管理协议(ISAKAMP)义的框架.它为2个对等体提供了相互验证、交换密钥管理信息以及协商安全服务的手段,但是没有规定如何让进行验证,和采取什么样的算法的密钥。通俗的说,它为加密传输提供了交通工具,但是传送什么东西却留给了其他的规定(如ipsec

    ESP(Encapsulating Security Protocol)和AH(Authentication Header)主要工作是如何保护数据安全,也就是如何加密数据,是直接对用户数据进行操作的。因为在实施VPN时,除了实现隧道功能以外,还要实现数据安全,两者缺一不可;在之前我的提到的GRE隧道技术中,只能实现隧道而不能实现安全,而IPSec则可以为隧道提供数据保护功能,从而构建一个完整的VPN体系。IPsec除了能够为隧道提供数据保护来实现VPN之外,IPsec还可以自己单独作为隧道协议来提供隧道的建立,如果IPsec自己单独作为隧道协议来使用,那么IPsec就不需要借助任何其它隧道协议就能独立实现VPN功能;IPsec到底是只使用数据保护功能再配合其它隧道协议,还是自己独立实现隧道来完成VPN功能,可以由配置者自己决定。

注:AH和ESP都有防止数据被篡改的认证机制,而ESP还有加密数据的机制,AH没有加密数据的机制,只有通过封装来实现对数据的保护机制,不像ESP可以对数据直接加密。

重点:这里的ESP和AH的认证和下面的认证(Authentication)不是一个概念,下面的是指两个对等体之间的认证,就是保证双方vpn通道的对接点(如两台route或防火墙)是合法的不是黑客冒充的,而AH和ESP中的认证时指对于ipsec中交换的秘钥的合法可靠性和对于数据的合法可靠性的认证,防止被中间篡改不过一般只用ESP协议,因为ESP既有认证机制也有加密机制。

 

认证(Authentication)

    IKE会在VPN对等体之间采用认证机制(Authentication),认证可以有效确保会话是来自于真正的对等体而不是攻击者,因为如果最开始本身就是在和一个攻击者或黑客进行会话和协商,那么后面的所有工作都是白废,所以保证只和合法的对等体会话是非常重要的;IKE的认证方式有三种:

一、Pre-Shared Keys (PSK)

二、Public Key Infrastructure (PKI) using X.509 Digital Certificates

三、RSA encrypted nonce

其中Pre-Shared Keys (PSK)是最简单的,使用由管理员事先在双方定义好的密码,认证时,只有双方密码匹配之后,后续的工作才能继续;配置时通常可以包含IP地址,子网以及掩码,也可以指定为任意地址来代替固定地址,适用于IP地址不固定的环境。 PKI是使用第三方证书做认证,叫做Certificate Authority (CA),,里面包含名字、序列号,有效期以及其它可以用来确认身份的参数;证书也可以被取消。(本文只涉及Pre-Shared Keys与共享秘钥PSK)

 

密钥算法(Diffie-Hellman)

    虽然IKE使用了认证来保证会话一定是来自合法的对等体,但是单靠认证也无法保证密钥的安全,因为数据还是有可能被第三者截获,所以IKE还必须有一套机制来保证密钥的安全,因为只要密钥泄露,就全玩完了。在密钥方面,IKE使用了称为Diffie-Hellman的算法在VPN对等体之间建立安全的密钥用来加密数据, Diffie-Hellman使用了极为复杂的数学算法,最后将在VPN对等体之间计算出只有它们自己才知道的密钥,即使他们的会话被第三者监控,也无法推算出密钥,本文不对Diffie-Hellman的详细计算过程做介绍,因为这也不是本文的最终目的。 Diffie-Hellman算法目前有3种密钥长度可选,所以在配置时,需要定义Diffie-Hellman的密钥长度,分别有如下选择:

Group 1 密钥长度为768 bit,也是默认的密钥长度;

Group 2 密钥长度为1024 bit;

Group 5 密钥长度为1536 bit。 

    用于数据加密的密钥的值是靠算法计算出来的,是不能由管理员定义和修改的,只能在配置IKE的时候选择其中一组秘钥算法,默认不配置是group1秘钥算法。

    也就是说,esp只是个协议。是用于定义使用哪种方法来加密,而DES、3DES等是esp中定义的加密方法对应的具体算法。(esp与3eds的关系相当于,替换法与用第N个数字替换第N+2个数字,这样的关系。用简单的话说就是:我们使用替换法(esp)为秘钥/数据来加密,具体是用数据中的字符串的第N个数字来替换第N+2个数字(3des),来形成一个新的加密后的秘钥/数据,然后在隧道中传输)密钥算法(Diffie-Hellman)的选择就是让配置者定义密钥将使用多少个bit的长度来进行的加密,如果选择group的1024bit长度,就是要将密钥设置成1024bit长,然后在使用esp对着1024bit的秘钥进行3des或者des算法加密处理,最终形成一个加密后的秘钥,传递给隧道的对端

注:IPSec目前只支持IPv4 Unicast(IPv4 单播),不支持其它任何协议(如视频的组播流量,IGP路由协议用组播来建立邻居,所以iPv4不支持IGP协议,除非使用GRE over IPSEC)。

 

SASecurity Associations安全联盟

    定义了各种类型的安全措施,包括ip包加密和认证的相关信息相当于ipces中的规则、契约规定如何加密,如何认证)。但是sa是单向传递的就是说,2个对等体上必须要有相同的sa规则认证、加密等每一个对应一个套sa规则

    IPsec的所有会话都是在通道中传输的包括协商密钥,传递用户数据这样的通道称为SA(Security Association)SA并不是隧道,而是一组规则,就好比是需要会话的对等体之间必须遵守的一份合同。SA中的规则能够保证所有数据的安全传递,因此SA中包含了之前提到的保证数据和密钥安全时必不可少的认证、加密等安全策略,这些需要用到的技术,都要在SA中定义。
    因为VPN之间传输的数据需要加密才能保证安全,并且加密时所用到的密钥要
更加安全,所以对待密钥,我们也需要付出巨大的努力。在密钥的安全上,由IKE负责,而数据的安全,则由IPsec负责,虽然是这么说,但需要注意,IKE也是IPsec不可分割的一部分,IKE不是独立存在的。 SA并不是只有一个,由于密钥安全和数据安全我们是分开对待的,所以SA有两个,分别是定义了如何保护密钥和如何保护数据,这两个SA就是: ISAKMP Security Association(IKE SA) IPsec Security Association(IPsec SA) 每个SA都有lifetime,过期后SA便无效,lifetime使用time (second) 和volume limit (byte count)来衡量,在建立SA时就会协商出来,双方会比对,最终取值小的一方;通常是时间先过期,在要过期最后120秒之前,会自动重建另一条SA,避免活动的SA到期后无法传输数据,这样就能实现平滑过渡,以丢最少的包。注:IKE SA等同于ISAKMP SA。(本段内容特别重要,可明确理解ipsec配置过程)

    IKE SA IKE SA要保护的对象是与密钥有关的,IKE并不直接关心用户数据并且IKE SA是为安全协商IPsec SA服务的(IKE第一阶段的协商为IPSEC第二阶段服务铺路)IKE SA的lifetime默认为86,400 seconds即一天,默认没有volume limit。

 

IPsec SA

    用户的数据流量真正是在IPsec SA上传递的,而不是在IKE SA;IPsec SA直接为用户数据流服务,IPsec SA中的所有安全策略都是为了用户数据流的安全。 每个IPsec对等体都有一对IPsec SA,一个是去往远程目的地的,而另一个是从远程回来的,也就是一进一出,都存放在本地SA Database中。

    IPsec SA的lifetime默认为3600 seconds,即1小时;默认volume limit为4,608,000 Kbytes,即4.608 Gbyte。 因为SA有两个,分为IKE SA和IPsec SA,两个SA分别定义了如何保护密钥以及如何保护数据,其实这两个SA都是由IKE建立起来的,所以将IKE的整个运行过程分成了两个Phase(阶段),即:第一阶段和第二阶段

IKE Phase One 和 IKE Phase Two

 

IKE Phase One
   
 IKE Phase One的主要工作就是建立IKE SA(ISAKMP SA),IKE SA的服务对象并不是用户数据,而是密钥流量以及为IPsec SA阶段服务的IKE SA的协商阶段被称为main mode(主模式),但是IKE也是需要保护自己的流量安全的(这些流量并非用户流量),所以IKE SA之间也需要协商出一整套安全策略,否则后续的密钥和IPsec SA的建立就不能得到安全保证;
IKE SA之间需要协商的套安全策略包括:

1、认证方式(Authentication,用于对合法对端的认证

共总有Pre-Shared Keys (PSK),Public Key Infrastructure (PKI),RSA encrypted nonce三种,默认为PKI。

2、加密算法(Encryption)

总共有DES,3DES,AES 128,AES 192,AES 256,默认为DES。

3、Hash算法(HMAC,用于对秘钥和数据的认证

总共有SHA-1,MD5,默认为SHA-1。

4、密钥算法

(Diffie-Hellman) Groups 1 (768 bit),Group 2(1024 bit),Group 5(1536 bit),默认为Groups 1 (768 bit)。

5、Lifetime 随用户定义,默认为86,400 seconds,但没有volume limit。 NAT穿越(NAT Traversal)默认为开启状态,无须手工配置。

 

IKE Phase Two
   
 IKE Phase Two的目的是要建立IPsec SA,由于IKE SA的服务对象并不是用户数据,而是密钥流量,以及为IPsec SA服务的,IKE SA是为IPsec SA做准备的,所以如果没有IKE SA,就不会有IPsec SA;IPsec SA是基于IKE SA来建立的,建立IPsec SA的过程称为 快速模式(quick mode)。IPsec SA才是真正为用户数据服务的,用户的所有流量都是在IPsec SA中传输的,用户流量靠IPsec SA来保护,IPsec SA同样也需要协商出一整套安全策略,其中包括:

1、加密算法(Encryption)

总共有DES,3DES,AES 128,AES 192,AES 256,默认为DES。

2、Hash算法(HMAC用于对数据的认证

总共有SHA-1,MD5,默认为SHA-1。

3、Lifetime

随用户定义,默认为3600 seconds,即1小时;默认volume limit为4,608,000 Kbytes,即4.608 Gbyte。

 

session 2 ipsec的两种模式

IPsec Mode

共有Tunnel mode和Transport mode,默认为Tunnel mode。

    从上可以看出,IPsec SA中没有协商认证方式(Authentication)和密钥算法(Diffie-Hellman),因为IKE SA时已经认证过了,所以后面已经不需要再认证;并且密钥是在IKE SA完成的,所以在IPsec SA中也就谈不了密钥算法了,但也可以强制再算。
    因为在实施VPN时,除了实现隧道功能以外,还要实现数据安全,两者缺一不
可;在之前我的提到的隧道技术中,只能实现隧道而不能实现安全,而IPSec则可以为隧道提供数据保护功能,从而构建一个完整的VPN体系。IPsec除了能够为隧道提供数据保护来实现VPN之外,IPsec还可以自己单独作为隧道协议来提供隧道的建立,如果IPsec自己单独作为隧道协议来使用,那么IPsec就不需要借助任何其它隧道协议就能独立实现VPN功能;IPsec到底是只使用数据保护功能再配合其它隧道协议,还是自己独立实现隧道来完成VPN功能,完全由IPsec Mode来控制。

IPsec Mode分两种: Tunnel mode隧道模式和Transport mode传输模式

    Tunnel mode(默认模式)通过Internet连接的远程网络之间,当双方需要直接使用对方私有IP地址来互访时,因为私有IP网段是不能传递到Internet上进行路由的,所以目标地址是私有IP的数据包到达Internet后是会被丢弃的,要使地址是私有IP的数据包在Internet上传递,数据包的包头就必须带有公网IP;在之前,我们详细介绍过最常用的隧道协议GRE的工作原理,其根本功能就是要实现隧道功能,通过隧道连接的两个远程网络就如同直连,因为隧道将数据包原来的私有IP地址先隐藏起来,在外部封装上公网IP,等数据包通过公网IP被路由到该IP的路由器后,再由该路由器剥除数据包外层的公网IP,从而发现数据包的私有IP后,再通过私有IP将数据包发到真正的目的地,为此,GRE需要完成多次封装,总共有3次,换句话说,就是在GRE隧道中传输的数据包都有3个包头,GRE中的IP数据包是一层套一层,总共有3个IP地址。
    IPsec中的Tunnel mode就拥有着与GRE相同的隧道功能,那就是将数据包原来的私有IP地址先隐藏起来,在外部封装上公网IP,等数据包通过公网IP被路由到该IP的路由器后,再由该路由器剥除数据包外层的公网IP,从而发现数据包的私有
IP后,再通过私有IP将数据包发到真正的目的地,所以,IPsec的Tunnel mode也会对原始数据包封装多个IP包头,当IPsec工作在Tunnel mode时,数据包的封装过程如下:


    从图中可以看出,当IPsec工作在Tunnel mode时,整个原始数据包都会被加密,包括数据部分和包头部分,正因为该封装形式隐藏了原始的IP 包头,导致了原始IP包头不可见,那么路由器就无法对该数据包进行路由,所以需要添加一个新的IP包头来正常路由,通常是加密设备自己的IP地址被加到新IP包头中,这个地址也可在IOS中定义;并且我们可以确定这个IP地址一定是在传输网(通常指公网Internet)中可以被路由的。至少为什么同时出现3个包头,理论同GRE隧道的原理,因为要实现隧道功能,此部分的理论可以参见之前GRE隧道部分。 IPsec包头的大小共32字节,而普通IP包头大小为20字节,所以可以看出,原始IP数据包经过Tunnel模式的IPsec封装之后,会多出大约52字节大小的包头。当原始数据包被Tunnel模式的IPsec封装时,这种封装方式被认为更安全,因为原始数据包的所有内容,包括数据部分,以及真正的源IP和目的IP都被加密了,所以更安全。

    Transport mode IPsec除了作为安全协议来为隧道提供数据保护之外,也可以自己单独作为隧道协议来提供隧道的建立,如果IPsec自己单独作为隧道协议来使用,那么IPsec就不需要借助任何其它隧道协议就能独立实现VPN功能;这些都是由IPsec Mode来控制的,如果IPsec要自己独立实现隧道来完成VPN功能,就需要工作在Tunnel mode,Tunnel模式的IPsec不仅实现了隧道功能,也保留了数据安全,实现了完整的VPN功能。如果IPsec不需要实现隧道功能,而只需要实现保护数据的安全功能,就只要工作在Transport mode即可,因为Transport模式的IPsec只有安全功能而没有隧道功能,所以还要再配合其它隧道协议,最终实现完整的VPN功能。当IPsec工作在Transport mode时,数据包的封装过程如下:


    从图中可以看出,当IPsec工作在Transport mode时,IPsec包头是添加在原始IP包头与上层协议(如传输层)之间的,所以原始IP包头在传输过程中还是可见的,同样也容易被分析。因为没有新IP包头被加入,所以没有多少增加的字节。由于数据包被Transport模式的IPsec封装时,原始IP包头在最外面,路由过程中是根据原始IP包头来路由的,所以当通过Internet连接的远程网络之间需要直接使用对方私有IP地址来互访时,此封装不可行,因为Transport mode没有实现隧道功能,所以如果要实现VPN功能,Transport模式的IPsec就应该配合p2p GRE over IPsec来使用。


ESP(Encapsulating Security Protocol)
    为IPsec服务的协议总共有三个:IKE(Internet Key Exchange),ESP(Encapsulating Security Protocol)以及AH(Authentication Header),其中IKE是针对密钥安全的,是用来保证密钥的安全传输、交换以及存储,主要是对密钥进行操作,并不对用户的实际数据进行操作,如果要保护用户数据,需要靠ESP(Encapsulating Security Protocol)和(Authentication Header),ESP和AH主要工作是如何保护数据安全,也就是如何加密数据,是直接对用户数据进行操作的,IPsec对用户数据的保护,靠ESP和AH的封装。



    ESP包头中使用IP协议号50来标识,意为IP协议号为50的数据包都被当作ESP数据包来处理;从上图中也可以看出,即使是封装ESP,也分为两种情况,因为IPsec本身分为两种模式,所以在进行安全封装数据包时,不同的模式,也会有不同的封装格式。从图中还可以看出,原始数据包经过ESP封装之后,只是数据被加密了,而原始的IP包头是没有改变的,虽然是这样,但也会使用其它方式,如HMAC来保证数据的安全性,其中包括:

1、保护数据完整性(Data integrity)

2、防止中间人攻击(Man-in-the-Middle)

3、防止数据被重放(Anti-Replay)

4、同样也提供数据认证(Data authentication)


AH(Authentication Header)

AH对用户数据包的封装过程如下:



AH包头中使用IP协议号51来标识,从图中可以发现,原始数据包经过AH封装之后,并没有被加密,这是因为AH封装并不使用常规的方法去加密数据部分,而是采用隐藏数据的方法,也就是相当于加一个防改写的封条给数据,很显然,这简直就是掩耳盗铃,如果数据机密要求高,千万不要单独使用AH封装。

 

ESP和AH结合

    在一个IPsec Security Association (SA)中可以同时使用ESP和AH,而ESP拥有和AH相同的认证功能,以及数据保护方法,所以只使用ESP就是最理想的。

 

Transform Set
    Transform set 是一组算法集合,通过它来定义使用怎样的算法来封装数据包,比如之前所说的ESP封装,AH封装都需要通过Transform set来定义,还可以定义其它一些加密算法以及HMAC算法;通过定义transform set,就可以让用户来选择保护数据的强度,因此transform set就是定义了数据包是受到怎样的保护。

 

Crypto Map
    Crypto map是思科的IOS中配置IPsec的组件,执行两个主要功能:选择需要加密处理的数据;定义数据加密的策略以及数据发往的对端。选择需要加密处理的数据就是定义什么样的流量需要被保护,因为也许用户并不是需要所有的数据都被保护,所以需要先匹配指定的流量才行;

    定义数据加密的策略以及数据发往的对端,也就相当于定义数据的目的地,有时,这也表示隧道的终点。其实Crypto map除了以上两个功能以外,还包含其它一些功能,如定义IPsec的Mode;Crypto map中的策略是分组存放的,以序号区分,如果一个Crypto map有多个策略组,则最低号码的组优先;当配置完Crypto map后,需要应用到接口上才能生效,并且一个接口只能应用一个Crypto map。 Crypto map还分为静态map(static map)和动态map(dynamic map),如果需要简单的区分它们,就是数据发往的对端是否固定,如果是动态map,那么对端是不固定的,在存在隧道的时候,也就表示隧道的终点是不固定的,但源始终是自己。

 

隧道分离(Split Tunneling)
    Split Tunneling只在远程VPN(remote VPN)时才有,因为当远程VPN用户的VPN隧道建立之后,该用户的所有流量都将被发送到隧道之上,这样一来,原本用户正常的用户,比如发往Internet的流量也被发到隧道上,结果就会造成远程VPN用户与Internet失去连接;为了让用户需要走VPN隧道的流量才被发送到隧道上,而其它流量,还是从原来的接口发送而不被IPsec封装,所以需要将用户的流量分为两类,从而区分对待,这就是隧道分离(Split Tunneling);其实Split Tunneling和非远程VPN有某些相同之处,非远程VPN也有定义感兴趣流量的功能,这个功能就是指定什么样的流量通过VPN传输,什么样的流量正常传输;在最终的结果是,这两个功能在配置上是一样的。

 

IPsec LAN-to-LAN VPN(LAN-to-LAN VPN)
概述
    在IPsec VPN范畴的VPN中,有多种形式的VPN,各形式的VPN因为架构和使用环境的不同而不同,但在IPsec VPN范畴内的各VPN中,都是以IPsec为基础的,在本小节中要讲到的是IPsec VPN之LAN-to-LAN VPN,有时也被称为Site-to-Site VPN,该形式的VPN是IPsec VPN中最简单的VPN,但并不代表该形式的VPN是最常用的。 在配置IPsec VPN范畴的VPN时,无论配置哪种形式,基本上需要如下几个重要步骤:

1、配置IKE(ISAKMP)策略 定义认证标识

2、配置IPsec transform

3、定义感兴趣流量

4、创建crypto map

5、将crypto map应用于接口

其中每步的具体内容为:

1、配置IKE(ISAKMP)策略

2、定义IKE Phase One中的一些策略,包括加密算法(Encryption),Hash算法(HMAC),密钥算法(Diffie-Hellman),认证方式(Authentication)等等,每项的具体信息请参考前文内容。

3、定义认证标识(Pre-Sahred)

无论前面定义了何种认证方式,都需要添加认证信息,如密码、数字证书等等。

4、配置IPsec transform

也就是定义Phase Two中一些加密算法以及HMAC算法,此transform set就是定义了VPN流量中的数据包是受到怎样的保护。

5、定义感兴趣流量

定义哪些流量需要通过VPN来传输,通过IPsec来保护;匹配流量的方法为定义ACL,建议使用Extended ACL来匹配指定的流量,ACL中被permit匹配的的流量表示加密,而被deny匹配的流量则表示不加密。

注:在配置ACL定义感兴趣流量时需要格外注意的是ACL中不要使用any来表示源或者目标,否则会出问题。

6、创建crypto map

用于将之前定义的ACL,加密数据发往的对端,以及IPsec transform结合在crypto map中。

7、将crypto map应用于接口

crypto map配置后,是不会生效的,必须将crypto map应用到接口上,目前还没有听说crypto map对接口类型有任何要求,也就是正常接口都可以应用,当然必须是三层可路由接口。

 

session 3 实例配置Router-to-Router LAN-to-LAN VPN

配置site to site VPN拓扑如下要实现2个网络之间的ip流量ipsec


网络基础配置:

Router1(config)#interface s0/0

Router1(config-interface)#ip address 210.1.61.1 255.255.255.252

Router1(config-interface)#no shutdown

Router1(config-interface)#exit

 

Router2(config)#interface f1/0

Router2(config-interface)#ip address 172.16.1.1 255.255.255.0

Router2(config-interface)#no shutdown

Router2(config-interface)#exit

Router2(config)#ip route 0.0.0.0 0.0.0.0 s0/0

 

第一步.配置第一阶段配置IEK参数,协商秘钥的安全参数。

RA的配置
Router1(config)#crypto isakmp enable               启用iek协商

Router1(config-isakmp)#authentication per-share    规定使用预共享秘钥PSK来认证对等体是否合法
Router1(config)#crypto isakmp policy 1-10000       创建iek协商策略(数字小则优)           
Router1(config-isakmp)#hash {md5\sha1}           配置在建立连接时协商IKE使用的散列算法
Router1(config-isakmp)#encryption {DES\3DES}     配置在建立连接时协商IEK使用的加密算法

Router1(config-isakmp)#lifetime 60               配置SA的生存时间,超过将重新协商

 

第二部,配置对等体认证PSK

Router(config)#crypto isakmp key 0 123 address 211.195.161.55   

配置预共享秘钥参数和对端地址,key 0表示在running-config中以明文保存PSK密码

 

第三步.配置第二阶段配置ipsec参数,协商通过ipsec隧道的数据的安全参数。

R1中配置
Router1(config)crypto ipsec transform-set {transformName}{AH-md5-hmac\AH-sha-hmac}{ESP-des\ESP-3des\ESP-null}  

配置ipsec传输集名称和参数(AH和ESP的)可单独用AH或ESP,也可以两者都用。AH只有认证机制,ESP有认证机制和加密机制,但是没有AH的认证机制好。

 

第四步.配置感兴趣的流量。定义需要进行加密走vpn隧道的流量

Router1(config)#access-list 101 permit ip 172.16.1.0 0.0.0.255 172.20.1.0 0.0.0.255
Router1(config)#access-list 101 deny any any

 

第五步.将crypt map应用于接口上

R1中配置
Router1(config)#crypto map {mapname} {优先级(1-65535)则小而优} ipsec-isakmp      

创建crypto map名称和优先级,最后的"ipsec-isakmp"表明两端对等体IEK自动协商


Routrt1(config)#match address {access-listnumber}  指定ACL100匹配的流量为感兴趣流量

Routrt1(config)#set peer 211.195.161.55            指定与211.195.161.55建立ipsec对等体
Routrt1(config)#set transform-set {transformName} 
 调用的ipsec transform为之前配置的{transformName}

 

第六步.将crypt map应用于接口上
Routrt1(config)#interface S0/0
Routrt1(config)#crypto map {MapName}      映射ipsec配置到端口
完成RA中的配置,RB中配置同RA中一样(对端IP和ACL改为RA所在网络和接口IP就可以了)

在R2上也使用相同的配置与R1建立对等体关系,然后建立ipsec-vpn,使用两端内网进行测试完成ipsec建立。

 

检查命令:

show crypto isakmp policy

show crypto ipsec transform-set

show crypto ipsec sa

show crypto map

show crypto isakmp peers


相关解决方案

最新解决方案