您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 经营企划 > Cisco路由器实现IPSEC-VPN配置
Cisco路由器实现IPSECVPN配置(站点到站点)2013-07-2223:10:50|分类:接入网技术|标签:ipsecvpnahespsite-to-site|举报|字号订阅下载LOFTER客户端目标a.分公司172.16.10.0/24,网络的主机可以通过VPN访问总部服务器10.10.33.0/24,但不能访问Internetb.分公司的其它客户端(172.16.0.0/24)可以访问Internet实验设备1、Cisco路由器(IOS为12.4)2、客户机3台,IP地址,见拓扑图,F0/0连接外网实验步骤R1上的配置Router(config)#hostnameR1R1(config)#intf0/0R1(config-if)#ipadd100.0.0.1255.255.255.0R1(config-if)#noshR1(config-if)#intf0/1R1(config-if)#ipadd172.16.10.254255.255.255.0R1(config-if)#nosh//配置默认路由R1(config-if)#iproute0.0.0.00.0.0.0100.0.0.2在IPSEC中,IKE被用来自动协商SA和密钥,如果被关闭用cryptoisakmpenable启用R1(config)#cryptoisakmppolicy1//建立IKE协商策略,编号为1R1(config-isakmp)#encryption3des//设置加密使用的算法为3DESR1(config-isakmp)#hashsha//设置密钥认证的算法为shaR1(config-isakmp)#authenticationpre-share//告诉router要先使用预共享密钥,手工指定R1(config-isakmp)#group2R1(config-isakmp)#lifetime10000//声明SA的生存时间为10000,超过后SA将重新协商R1(config-isakmp)#exitR1(config)#cryptoisakmpkey0testaddress100.0.0.2//设置加密密钥为test,要求二端的密码相匹配,和对端地址(总部Router地址)配置访问控制列表注意:1.当一个路由器接收到发往另一个路由器的内部网络报文时,IPSEC被启动,访问列表被用于确定哪些业务将启动IKE和IPSEC协商2.Crypto访问控制列表必须是互为镜像的,如:R1加密了所有流向R2的TCP流量,则R2必须加密流回R1的所有TCP流量R1(config)#access-list100permitip172.16.10.00.0.0.25510.10.33.00.0.0.255//定义从172.16.10.0网络发往10.10.33.0的报文全部加密//配置IPSEC传输模式,用于定义VPN隧道的认证类型,完整性与负载加密R1(config)#cryptoipsectransform-setvpn-setesp-desah-sha-hmacR1(cfg-crypto-trans)#modetunnel//可选R1(cfg-crypto-trans)#exitR1(config)#cryptoipsecsecurity-associationlifetimeseconds1800//定义生存周期1800秒//配置cayptmap(加密映射)R1(config)#cryptomaptest-map1ipsec-isakmp//创建cryptomap//IPSEC-ISAKMP表示采用自动协调,名为test-map,编号1为优先级,越小优先级越高R1(config-crypto-map)#setpeer100.0.0.2//设定cryptomap所对应的VPN链路对端IPR1(config-crypto-map)#settransform-setvpn-set//指定cryptomap所使用传输模式名R1(config-crypto-map)#matchaddress100//指定此cryptomap使用的访问控制列表R1(config-crypto-map)#exit//将映射应用到对应的接口上,VPN就可生效了R1(config)#intf0/0R1(config-if)#cryptomaptest-map//配置PATR1(config)#access-list1deny172.16.10.00.0.0.255//研发部不能访问InternetR1(config)#access-list1permit172.16.0.00.0.255.255//其它部门可以访问InternetR1(config)#ipnatinsidesourcelist1interfacef0/0overload//在F0/0上启用PATR1(config)#intf0/0R1(config-if)#ipnatoutsideR1(config)#intf0/1R1(config-if)#ipnatinsideR2上的配置(总部上路由器设置)R2(config)#intf0/0R2(config-if)#ipadd100.0.0.2255.255.255.0R2(config-if)#noshR2(config)#intf0/1R2(config-if)#ipadd10.10.33.254255.255.255.0R2(config-if)#noshR2(config-if)#iproute0.0.0.00.0.0.0100.0.0.1//IPSECVPN的配置,含义与R1基本相同R2(config)#cryptoisakmppolicy1//建立IKE协商策略,编号为1R2(config-isakmp)#encryption3desR2(config-isakmp)#hashsha//设置密钥认证的算法为shaR2(config-isakmp)#authenticationpre-share//告诉router要先使用预共享密钥,手工指定R2(config-isakmp)#group2R2(config-isakmp)#lifetime10000R2(config-isakmp)#exitR2(config)#cryptoisakmpkey0testaddress100.0.0.1//设置共享密钥为test,要求二端的密码相匹配,和对端地址(总部Router地址)R2(config)#access-list100permitip10.10.33.00.0.0.255172.16.10.00.0.0.255//定义从10.10.33.0网络发往172.16.10.0的报文全部加密R2(config)#cryptoipsectransform-setvpn-setesp-desah-sha-hmac//加密算法二边要匹配R2(cfg-crypto-trans)#modetunnelR2(cfg-crypto-trans)#exitR2(config)#cryptoipsecsecurity-associationlifetimeseconds1800R2(config)#cryptomaptest-map1ipsec-isakmp//IPSEC-ISAKMP表示采用自动协调,名为test-map,编号1为优先级,越小优先级越高R2(config-crypto-map)#setpeer100.0.0.1//设定cryptomap所对应的VPN链路对端IPR2(config-crypto-map)#settransform-setvpn-set//指定cryptomap所使用传输模式名R2(config-crypto-map)#matchaddress100//指定此cryptomap使用的访问控制列表R2(config-crypto-map)#exit应用到接口,生效R2(config-crypto-map)#intf0/0R2(config-if)#cryptomaptest-map相关验证结果的查看命令显示ISAKMP协商策略的结果R2#shcryptoisakmppolicy查看管理连接SA的状态R2#shcryptoisakmpsa显示IPSEC变换集R2#shcryptoipsectransform-set显示数据数据连接SA的细节信息R2#shcryptoipsecsa显示CryptoMap的信息R2#shcryptomap==================================================================================上面内容转自新浪博文:按上面的配置好后,发现用分公司172.16.10.0/24可以ping通10.10.33.0/24,但是从抓包来看,流量并未使用ipsecvpn,而是直接传输的,ipsecvpn没有生效。通过抓包发现,采用上面的配置时,若使用172.16.10.0/24ping10.10.33.0/24,源地址是100.0.0.1,也就是路由器的外部全局地址,但是ipsec的隧道兴趣流规则定义是对于源地址为172.16.10.00.0.0.255目标地址为10.10.33.00.0.0.255的流量才使用,于是我认为应该在R1添加一句access-list100permitip100.0.0.00.0.0.25510.10.33.00.0.0.255让源地址为100.0.0.1的流量也是兴趣流。添加后再ping时,发现ping不通10.10.33.0/24了,于是抓包,从wireshark里面看有quickmode的网络包,说明流量已经是走ipsecvpn了,但是由于某些原因未能通讯上,此时再看R2的CONSOLE,发现有“ProcessingofQuickmodefailed”消息提示。通过检查R2的配置,发现兴趣流也没有定义是源地址为100.0.0.2,目上标地址是172.16.10.0的情况,于是我觉得可能是ipsecvpn协商失败导致的,因为过来的是ipsec流量,但是返回的数据却不是,因而失败。所以我再在R2上添加了一条ACL:access-list100permitip10.10.33.00.0.0.255100.0.0.00.0.0.255,后来再ping就通了,从网络包看也是使用esp封装的。总结:感兴趣流量的源地址和目标地址应该是peer两端的地址,而不是内网的地址
本文标题:Cisco路由器实现IPSEC-VPN配置
链接地址:https://www.777doc.com/doc-4293148 .html