GETVPN实验手册

实验：VPN-GETVPNKS1(config)#ipdomainnamewolf.com//为了产生密钥，要先配置域名KS1(config)#cryptokeygeneratersamodulus1024labelgetvpnexportableThenameforthekeyswillbe:getvpn//产生一个名字为getvpn，长度为1024，可导出RSA的密钥对密钥是不可导出的，打上exportable，让密钥可导KS1(config)#cryptokeyexportrsagetvpnpemterminal3deswolfccies//导出名字为getvpn的RSA密钥对，使用3des加密算法来加密导出后的私钥，加密密码为wolfcciesKS2(config)#cryptokeyimportrsagetvpnterminalwolfccies--------------------------------------产生RSA密钥并且在密钥服务器间同步之后，我们需要在首要密钥服务器上配置GETVPN配置GETVPN步骤过多，方便记忆分成：外三内三记忆法外一：配置ISAKMP第一阶段策略KS1(config)#cryptoisakmppolicy10KS1(config-isakmp)#authenticationpre-shareKS1(config)#cryptoisakmpkey0ciscoaddress172.16.1.1KS1(config)#cryptoisakmpkey0ciscoaddress172.16.1.2KS1(config)#cryptoisakmpkey0ciscoaddress172.16.1.102密钥服务器之间也可以使用ISAKMP第一阶段进行认证外二：配置感兴趣流KS1(config)#ipaccess-listextendedgetvpntrafficKS1(config-ext-nacl)#permitip10.0.0.00.255.255.25510.0.0.00.255.255.255企业内部需要保护网络可以被汇总为10.0.0.0/8外三：配置IPSECProfileKS1(config)#cryptoipsectransform-setgetvpn-setesp-desesp-md5-hmac以此转换集来加密感兴趣流KS1(config)#cryptoipsecprofilegetvpn-profileKS1(ipsec-profile)#settransform-setgetvpn-set内一：配置KS1为密钥服务器KS1(config)#cryptogdoigroupmygroup//配置GETVPN组的组名为“mygroup”KS1(config-gdoi-group)#identitynumber88888//配置GETVPN组ID为“88888”，所有组成员都需要使用相同的IDKS1(config-gdoi-group)#serverlocal//配置本地路由器KS1为密钥服务器KS1(gdoi-local-server)#addressipv4172.16.1.101//配置服务器地址内二：配置密钥更新1.单播（内二A）2.组播（内二B）GETVPN同时只能采用一种密钥更新传输方式，因此实际配置时需要选择其中一种KS1(gdoi-local-server)#rekeytransportunicast//这里使用单播传送密钥信息，默认为组播*Mar100:23:51.515:%GDOI-5-KS_REKEY_TRANS_2_UNI:GroupmygrouptransitionedtoUnicastRekey.KS1(gdoi-local-server)#rekeyauthenticationmypubkeyrsagetvpn//配置对密钥更新信息做签名的RSA密钥对“getvpn”KS1(gdoi-local-server)#rekeyalgorithmaes256//配置密钥更新信息的加密算法，可选KS1(gdoi-local-server)#rekeyaddressipv4106//定义组播密钥更新流量的ACL为多少KS1(config)#access-list106permitudphost172.16.1.101eq848host239.0.1.2eq848//密钥更新地址为239.0.1.2，这个地址可以按需分配内三：配置IPSEC安全关联KS1(config)#cryptogdoigroupmygroupKS1(config-gdoi-group)#serverlocalKS1(gdoi-local-server)#saipsec1//配置第一个IPSEC安全关联KS1(gdoi-sa-ipsec)#matchaddressipv4getvpntraffic//匹配感兴趣流KS1(gdoi-sa-ipsec)#profilegetvpn-profile//对感兴趣流使用profile进行保护KS1(gdoi-sa-ipsec)#replaytimewindow-size2//基于时间的防重放，窗口大小为2s--------------------------------------GM1：GETVPN配置配置GETVPN的组成员主要分为3个步骤1.配置ISAKMP第一阶段策略GM1(config)#cryptoisakmppolicy10GM1(config-isakmp)#authenticationpre-shareGM1(config)#cryptoisakmpkey0ciscoaddress172.16.1.101GM1(config)#cryptoisakmpkey0ciscoaddress172.16.1.102//需要配置与首要和次要密钥服务器进行认证的预共享密钥2.配置GETVPN组GM1(config)#cryptogdoigroupmygroupGM1(config-gdoi-group)#identitynumber88888//需要和密钥服务器配置相同的组IDGM1(config-gdoi-group)#serveraddressipv4172.16.1.101//GM1首先向172.16.1.101密钥服务器发起注册GM1(config-gdoi-group)#serveraddressipv4172.16.1.102//如果向172.16.1.101密钥服务器发起注册失败后，在去向172.16.1.102发起注册3.配置加密图GM1(config)#cryptomapcisco10gdoi//使用GDOI协议为cryptomap提供密钥资源（TEK）%NOTE:Thisnewcryptomapwillremaindisableduntilavalidgrouphasbeenconfigured.GM1(config-crypto-map)#setgroupmygroupGM1(config)#intf0/0GM1(config-if)#cryptomapciscoGM2：GETVPN配置1.配置ISAKMP第一阶段策略GM2(config-isakmp)#authenticationpre-shareGM2(config)#cryptoisakmpkey0ciscoaddress172.16.1.101GM2(config)#cryptoisakmpkey0ciscoaddress172.16.1.1022.配置GETVPN组GM2(config)#cryptogdoigroupmygroupGM2(config-gdoi-group)#identitynumber88888GM2(config-gdoi-group)#serveraddressipv4172.16.1.101GM2(config-gdoi-group)#serveraddressipv4172.16.1.1023.配置加密图GM2(config)#cryptomapcisco10gdoi%NOTE:Thisnewcryptomapwillremaindisableduntilavalidgrouphasbeenconfigured.GM2(config-crypto-map)#setgroupmygroupGM2(config)#intf0/0GM2(config-if)#cryptomapcisco查看首要服务器GETVPN状态KS1#showcryptogdoigroupmygroup首要密钥服务器KS1上查看注册的组成员KS1#showcryptogdoiksmembers查看组成员GETVPN状态GM1#showcryptogdoigroupmygroup--------------------------------------在首要密钥服务器KS1上配置次要密钥服务器KS2实现高可用性，防止单点故障，在KS1上启用了密钥服务器的冗余，并指定了次要服务器的地址KS1(config)#cryptogdoigroupmygroupKS1(config-gdoi-group)#serverlocalKS1(gdoi-local-server)#redundancyKS1(gdoi-coop-ks-config)#peeraddressipv4172.16.1.102配置次要密钥服务器KS2同样按照外三内三的步骤KS2(config)#cryptoisakmppolicy10KS2(config-isakmp)#authenticationpre-shareKS2(config)#cryptoisakmpkey0ciscoaddress172.16.1.1KS2(config)#cryptoisakmpkey0ciscoaddress172.16.1.2KS2(config)#cryptoisakmpkey0ciscoaddress172.16.1.101KS2(config)#ipaccess-listextendedgetvpntrafficKS2(config-ext-nacl)#permitip10.0.0.00.255.255.25510.0.0.00.255.255.255KS2(config)#cryptoipsectransform-setTSesp-desesp-md5-hmacKS2(config)#cryptoipsecprofilegetvpn-profileKS2(ipsec-profile)#settransform-setTSKS2(config)#cryptogdoigroupmygroupKS2(config-gdoi-group)#identitynumber88888KS2(config-gdoi-group)#serverlocalKS2(gdoi-local-server)#rekeyauthenticationmypubkeyrsagetvpnKS2(gdoi-local-server)#rekeyalgorithmaes256KS2(gdoi-local-server)#rekeyaddressipv4106KS2(config)#access-list106permitudphost172.16.1.102eq848host239.0.1.2eq848KS2(config)#cryptogdoigroupmygroupKS2(config-gdoi-group)#serverlocalKS2(gdoi-local-server)#saipsec1KS2(gdoi-sa-ipsec)#profilegetvpn-profileKS2(gdoi-sa-ipsec)#matchaddressipv4getvpntrafficKS2(gdoi-sa-ipsec)#replaytimewind