--------------------------------------------------------------------------------------------
配置实例:
步骤:
1、configure crypto ACL 配置感兴趣流,需要加密的流量就是感兴趣流。
2、establish ISAKMP policy 第一阶段的策略
3、configure IPsec transform set 第二阶段的策略
4、configure crypto map
5、apply crypto map to the interface 在接口下应用
6、configure interface ACL 确定在外网接口放行哪些流量
一、定义感兴趣流:
ip access-list extended VPN
permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
二、IKE第一阶段
crypto isakmp policy 10
encryption des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 202.100.1.2 pre-share key 的定义
三、IKE第二阶段
crypto ipsec transform-set MYSET esp-des esp-md5-hmac
mode tunnel
四、把感兴趣流与转换集映射一下
crypto map MYMAP 100 ipsec-isakmp
set peer 202.100.1.2 设置VPN对等体的地址
set tranform-set MYSET 设置转换集
match address VPN 感兴趣流和转换集的绑定
五、MAP与接口绑定
int s0
crypto map MYMAP
六、设定接口只允许跑VPN流量,在接口入设置
access-list 100 permit udp any eq 500 any eq isakmp
access-list 100 permit esp any any
access-list 100 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255 由于ACL会二次查找,所以还要放行私网的流量
show crypto isakmp policy
show crypto isakmp sa 第一阶段的SA
show crypto ipsec sa 第二阶段的SA
show crypto engine connections active
show crypto map
crypto ipsec security-association lifetime [seconds|kilobytes] 第二阶段的一个协商时间,也就是说多长时间后重新协商密匙。也可按已发了多少流量来进行协商。哪个数值先到就先起效。
cryto isakmp keepalive 10 3
IPsec通道的终结:
当流量超过上限后或者超时自动终结
clear crypto isakmp 清第一阶段
clear crypto sa 清第二阶段
clear crypto session 在新版的IOS中,用这条命令全清
debug crypto isakmp
debug crypto ipsec
配置IPsec-VPN的注意点:
1、路由
2、感兴趣流量
3、策略
4、调用
接口设定ACL:
设定接口只允许跑VPN流量,在接口入设置
access-list 100 permit udp any eq 500 any eq isakmp
access-list 100 permit esp any any
或access-list 100 permit ahp any any
注意:在老IOS中,对包解密后还会再匹配一次访问列表,新的IOS中就不会,所以在老的IOS中要加入一条
access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
IPsec中的路由问题:
R1 需要有4.4.4.0的路由
R2 需要有4.4.4.0 1.1.1.0 30.0.0.0的路由
R3 需要有1.1.1.0 4.4.4.0 20.0.0.0的路由
R4 需要有1.1.1.0的路由
-------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------
GRE
GRE通用路由封装---一个三层协议,能够将各种不同的数据包封装成IP包,然后通过IP网络进行传输。也就是说能对其它的IP包或非IP包进行再封装,在原始包头的前面增加一个GRE包头和一个新IP包头。明文传送,没有安全性。在IP中的协议号47。
GRE封装格式:
20字节 4字节
GRE有很好的隧道特性
1、支持多协议
2、支持组播
缺点是不安全
IPsec的特点:
1、能提供安全的传输保证
2、但只能支持IP,不能支持其他协议
小知识:在tunnal中,指定目标地址之后,只要在本地路由表中有这个地址,tunnal就会up
GRE over IPsec(实用性很高的技术,不像IPsecVPN那样麻烦)
原理:在tunnel中,先用GRE对数据包封装成IP包,再用IPsec加密,默认是通道模式
红色部分是加密的部分
IPsec只能对IP包加密,不能对非IP包加密。
注意在GRE over IPsec中感兴趣流的定义:(所有的GRE流量都是感兴趣流)
access-list 100 permit gre host 202.100.13.3 host 202.100.12.2 必须定义公网地址
因为当感兴趣流量过来时:
1、先查路由,进入tunnel口
2、封装GRE后,进入S口撞击map
当封装了GRE后,外部的IP地址用的就是公网地址了,所以感兴趣流量必须定义为公网地址。
由于在接口下会两次检查ACL,所以如果在物理接口下放ACL,要同时放行ESP和GRE流量,还有isakmp的协商流量。
GRE over IPsec 技术建议使用传输模式
因为通信点等于加密点
试验:
一、配置tunnel
interface tunnel 1
tunnel source 202.100.1.1
tunnel destination 202.100.1.2
tunnel gre ip
ip address 12.1.1.1
二、运行路由协议
router eigrp 90
network 172.16.1.0 0.0.0.255
network 12.1.1.0 0.0.0.255
三、开始配置IPsec,先定义感兴趣流:(注意这里的定义)
ip access-list extended VPN
permit gre any any
四、IKE第一阶段
crypto isakmp policy 10
encryption des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 202.100.1.2 pre-share key 的定义
五、IKE第二阶段
crypto ipsec transform-set MYSET esp-des esp-md5-hmac
mode tunnel
六、把感兴趣流与转换集映射一下
crypto map MYMAP 100 ipsec-isakmp
set peer 202.100.1.2 设置VPN对等体的地址
set tranform-set MYSET 设置转换集
match address VPN 感兴趣流和转换集的绑定
七、MAP与接口绑定
int s0
crypto map MYMAP
八、设定接口只允许跑VPN流量,在接口入方向设置
用在物理接口下--
access-list 100 permit udp any eq 500 any eq isakmp
access-list 100 permit esp any any
access-list 100 permit gre any any
-----------------------------------------------------------------------------------------
-----------------------------------------------------------------------------------------
site-to-site VPN的缺点:
1、需要两端有固定的公网IP
2、两端的配置太过复杂
RemoteVPN--easyVPN---remote access 使用这种方法
实现两个主要目的:
1、简单的client配置,easy VPN remote
2、中心的server,动态的推送配置到client,easy VPN server
所以client很easy,server端的配置一点都不easy
远程连接有哪些困难需要克服:
1、IPsec的客户端使用server端未知的IP地址来连接网关,这样就不可能在两端定义一个预共享密钥。
2、IPsec的客户端通常希望用私网IP进入专用网络,而不是公网IP
3、IPsec的客户端必须使用DNS服务器、DHCP服务器和其他一些在专用网络上作为信息主要来源的服务器,而不是使用ISP的服务器。
4、IPsec客户端常在PAT设备之后进行连接,但由于ESP要加密TCP或UDP头中的信息,端口自然也加密了,PAT将不能正常工作。
为解决以上难题,设计了IKE协商的1.5阶段。
IKE的1.5阶段由两部分组成--
1、x-auth扩展认证
2、模式配置
在远程IPsec连接中,通常使用IKE主动模式。只有三条消息交换。
扩展认证--允许认证IPsec客户端的使用者,被IPsec网关认证。
可以先让所有的客户都使用同一个预共享密钥连接到IPsec网关,然后再使用扩展认证来确定用户的身份,等于要进行两次认证。这样就解决了第一个问题(IPsec两端无法定义预共享密钥的难题)。
扩展认证是基于每一个用户的,一般靠IPsec网关与AAA服务器结合来实现。
扩展认证在IKE第一阶段完成后进行,扩展认证总共有四个消息的交换。
消息一:IPsec网关发向客户端,询问用户名和密码
消息二:客户端发向IPsec网关,回应用户名和密码
消息三:IPsec验证完毕后,通知客户端成功或失败
消息四:如果收到成功的消息,客户端返回一个确认
模式配置:
允许IPsec网关为客户端推送一个内部的IP地址和DNS服务器等信息。这样客户端就可以用这个内部的IP地址进入专用网络。
NAT-T也叫NAT透明
用于解决在发生PAT的情况下进行正确的地址转换
解决方法--将ESP分组再封装进一个UDP头中。
VPN 3005以上的设备都可以做server
1700、1800可以做client,实际上不光可以用硬件来做client,软件也可以做,在移动办公中就是软件做
1800以上都可以做server
remote-VPN配置
server端配置
aaa new-model //启用AAA
aaa authentication login REMOTE local
aaa authorization network REMOTE local
username wolf password 0 cisco //建立本地数据库
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
encryption des
crypto isakmp client configuration group IPSEC-GROUP 组名,设不同组的目地是为内部不同的部门分配不同的IP
key xiangweixing 组密码 组名和组密码是一对,需要用户端也是一样的配置
pool IP-POOL
crypto ipsec transform-set MYSET esp-des esp-md5-hmac
crypto dynamic-map MYMAP 10
set transform-set MYSET
reverse-route 反向路由注入
crypto map CISCO client authentication list REMOTE 启用XAUTH
crypto map CISCO isakmp authorization list REMOTE
crypto map CISCO client configuration address respond 地址推送方式(分强制推送和请求推送)
crypto map CISCO 10 ipsec-isakmp dynamic MYMAP
interface s1/0
crypto map CISCO
ip local pool IP-POOL 172.16.1.20 172.16.1.50
----------------------------------------------------------------
client端配置
crypto ipsec client ezvpn EZVPN
group IPSEC-GROUP key xiangweixing
conn manual
peer 202.100.1.1 对端地址
mode client
int s1/0
crypto ipsec client ezvpn EZVPN outside
int e0/0
crypto ipsec client ezvpn EZVPN inside
ip route 0.0.0.0 0.0.0.0 s1/0
R2#crypto ipsec client ezvpn connect
R2#crypto ipset client ezvpn xauth
在客户端查看:
show crypto session
show crypto ipsec client ezvpn
在服务器端查看:
show crypto session group
show crypto session summary
配置实例:
步骤:
1、configure crypto ACL 配置感兴趣流,需要加密的流量就是感兴趣流。
2、establish ISAKMP policy 第一阶段的策略
3、configure IPsec transform set 第二阶段的策略
4、configure crypto map
5、apply crypto map to the interface 在接口下应用
6、configure interface ACL 确定在外网接口放行哪些流量
一、定义感兴趣流:
ip access-list extended VPN
permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
二、IKE第一阶段
crypto isakmp policy 10
encryption des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 202.100.1.2 pre-share key 的定义
三、IKE第二阶段
crypto ipsec transform-set MYSET esp-des esp-md5-hmac
mode tunnel
四、把感兴趣流与转换集映射一下
crypto map MYMAP 100 ipsec-isakmp
set peer 202.100.1.2 设置VPN对等体的地址
set tranform-set MYSET 设置转换集
match address VPN 感兴趣流和转换集的绑定
五、MAP与接口绑定
int s0
crypto map MYMAP
六、设定接口只允许跑VPN流量,在接口入设置
access-list 100 permit udp any eq 500 any eq isakmp
access-list 100 permit esp any any
access-list 100 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255 由于ACL会二次查找,所以还要放行私网的流量
show crypto isakmp policy
show crypto isakmp sa 第一阶段的SA
show crypto ipsec sa 第二阶段的SA
show crypto engine connections active
show crypto map
crypto ipsec security-association lifetime [seconds|kilobytes] 第二阶段的一个协商时间,也就是说多长时间后重新协商密匙。也可按已发了多少流量来进行协商。哪个数值先到就先起效。
cryto isakmp keepalive 10 3
IPsec通道的终结:
当流量超过上限后或者超时自动终结
clear crypto isakmp 清第一阶段
clear crypto sa 清第二阶段
clear crypto session 在新版的IOS中,用这条命令全清
debug crypto isakmp
debug crypto ipsec
配置IPsec-VPN的注意点:
1、路由
2、感兴趣流量
3、策略
4、调用
接口设定ACL:
设定接口只允许跑VPN流量,在接口入设置
access-list 100 permit udp any eq 500 any eq isakmp
access-list 100 permit esp any any
或access-list 100 permit ahp any any
注意:在老IOS中,对包解密后还会再匹配一次访问列表,新的IOS中就不会,所以在老的IOS中要加入一条
access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
IPsec中的路由问题:
R1 需要有4.4.4.0的路由
R2 需要有4.4.4.0 1.1.1.0 30.0.0.0的路由
R3 需要有1.1.1.0 4.4.4.0 20.0.0.0的路由
R4 需要有1.1.1.0的路由
-------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------
GRE
GRE通用路由封装---一个三层协议,能够将各种不同的数据包封装成IP包,然后通过IP网络进行传输。也就是说能对其它的IP包或非IP包进行再封装,在原始包头的前面增加一个GRE包头和一个新IP包头。明文传送,没有安全性。在IP中的协议号47。
GRE封装格式:
20字节 4字节
GRE有很好的隧道特性
1、支持多协议
2、支持组播
缺点是不安全
IPsec的特点:
1、能提供安全的传输保证
2、但只能支持IP,不能支持其他协议
小知识:在tunnal中,指定目标地址之后,只要在本地路由表中有这个地址,tunnal就会up
GRE over IPsec(实用性很高的技术,不像IPsecVPN那样麻烦)
原理:在tunnel中,先用GRE对数据包封装成IP包,再用IPsec加密,默认是通道模式
红色部分是加密的部分
IPsec只能对IP包加密,不能对非IP包加密。
注意在GRE over IPsec中感兴趣流的定义:(所有的GRE流量都是感兴趣流)
access-list 100 permit gre host 202.100.13.3 host 202.100.12.2 必须定义公网地址
因为当感兴趣流量过来时:
1、先查路由,进入tunnel口
2、封装GRE后,进入S口撞击map
当封装了GRE后,外部的IP地址用的就是公网地址了,所以感兴趣流量必须定义为公网地址。
由于在接口下会两次检查ACL,所以如果在物理接口下放ACL,要同时放行ESP和GRE流量,还有isakmp的协商流量。
GRE over IPsec 技术建议使用传输模式
因为通信点等于加密点
试验:
一、配置tunnel
interface tunnel 1
tunnel source 202.100.1.1
tunnel destination 202.100.1.2
tunnel gre ip
ip address 12.1.1.1
二、运行路由协议
router eigrp 90
network 172.16.1.0 0.0.0.255
network 12.1.1.0 0.0.0.255
三、开始配置IPsec,先定义感兴趣流:(注意这里的定义)
ip access-list extended VPN
permit gre any any
四、IKE第一阶段
crypto isakmp policy 10
encryption des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 202.100.1.2 pre-share key 的定义
五、IKE第二阶段
crypto ipsec transform-set MYSET esp-des esp-md5-hmac
mode tunnel
六、把感兴趣流与转换集映射一下
crypto map MYMAP 100 ipsec-isakmp
set peer 202.100.1.2 设置VPN对等体的地址
set tranform-set MYSET 设置转换集
match address VPN 感兴趣流和转换集的绑定
七、MAP与接口绑定
int s0
crypto map MYMAP
八、设定接口只允许跑VPN流量,在接口入方向设置
用在物理接口下--
access-list 100 permit udp any eq 500 any eq isakmp
access-list 100 permit esp any any
access-list 100 permit gre any any
-----------------------------------------------------------------------------------------
-----------------------------------------------------------------------------------------
site-to-site VPN的缺点:
1、需要两端有固定的公网IP
2、两端的配置太过复杂
RemoteVPN--easyVPN---remote access 使用这种方法
实现两个主要目的:
1、简单的client配置,easy VPN remote
2、中心的server,动态的推送配置到client,easy VPN server
所以client很easy,server端的配置一点都不easy
远程连接有哪些困难需要克服:
1、IPsec的客户端使用server端未知的IP地址来连接网关,这样就不可能在两端定义一个预共享密钥。
2、IPsec的客户端通常希望用私网IP进入专用网络,而不是公网IP
3、IPsec的客户端必须使用DNS服务器、DHCP服务器和其他一些在专用网络上作为信息主要来源的服务器,而不是使用ISP的服务器。
4、IPsec客户端常在PAT设备之后进行连接,但由于ESP要加密TCP或UDP头中的信息,端口自然也加密了,PAT将不能正常工作。
为解决以上难题,设计了IKE协商的1.5阶段。
IKE的1.5阶段由两部分组成--
1、x-auth扩展认证
2、模式配置
在远程IPsec连接中,通常使用IKE主动模式。只有三条消息交换。
扩展认证--允许认证IPsec客户端的使用者,被IPsec网关认证。
可以先让所有的客户都使用同一个预共享密钥连接到IPsec网关,然后再使用扩展认证来确定用户的身份,等于要进行两次认证。这样就解决了第一个问题(IPsec两端无法定义预共享密钥的难题)。
扩展认证是基于每一个用户的,一般靠IPsec网关与AAA服务器结合来实现。
扩展认证在IKE第一阶段完成后进行,扩展认证总共有四个消息的交换。
消息一:IPsec网关发向客户端,询问用户名和密码
消息二:客户端发向IPsec网关,回应用户名和密码
消息三:IPsec验证完毕后,通知客户端成功或失败
消息四:如果收到成功的消息,客户端返回一个确认
模式配置:
允许IPsec网关为客户端推送一个内部的IP地址和DNS服务器等信息。这样客户端就可以用这个内部的IP地址进入专用网络。
NAT-T也叫NAT透明
用于解决在发生PAT的情况下进行正确的地址转换
解决方法--将ESP分组再封装进一个UDP头中。
VPN 3005以上的设备都可以做server
1700、1800可以做client,实际上不光可以用硬件来做client,软件也可以做,在移动办公中就是软件做
1800以上都可以做server
remote-VPN配置
server端配置
aaa new-model //启用AAA
aaa authentication login REMOTE local
aaa authorization network REMOTE local
username wolf password 0 cisco //建立本地数据库
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
encryption des
crypto isakmp client configuration group IPSEC-GROUP 组名,设不同组的目地是为内部不同的部门分配不同的IP
key xiangweixing 组密码 组名和组密码是一对,需要用户端也是一样的配置
pool IP-POOL
crypto ipsec transform-set MYSET esp-des esp-md5-hmac
crypto dynamic-map MYMAP 10
set transform-set MYSET
reverse-route 反向路由注入
crypto map CISCO client authentication list REMOTE 启用XAUTH
crypto map CISCO isakmp authorization list REMOTE
crypto map CISCO client configuration address respond 地址推送方式(分强制推送和请求推送)
crypto map CISCO 10 ipsec-isakmp dynamic MYMAP
interface s1/0
crypto map CISCO
ip local pool IP-POOL 172.16.1.20 172.16.1.50
----------------------------------------------------------------
client端配置
crypto ipsec client ezvpn EZVPN
group IPSEC-GROUP key xiangweixing
conn manual
peer 202.100.1.1 对端地址
mode client
int s1/0
crypto ipsec client ezvpn EZVPN outside
int e0/0
crypto ipsec client ezvpn EZVPN inside
ip route 0.0.0.0 0.0.0.0 s1/0
R2#crypto ipsec client ezvpn connect
R2#crypto ipset client ezvpn xauth
在客户端查看:
show crypto session
show crypto ipsec client ezvpn
在服务器端查看:
show crypto session group
show crypto session summary
- 评论[支持者: 0 人 ,反对者: 0 人,中立者: 0 人] 查看评论信息
