ipsec-vpn-思科IPSEC-VPN-详细配置方法

阶段一配置IKE建立ike协商全#cryptoisakmppolicy+优先级（1最优先）#authenticationper-share(使用预共享密钥)#encrytiondes/3des(指定密钥加密算法)#hashmd5/sha1(指定密钥认证算法)#lifetime+时间秒sa存活时间默认24小时全#cryptoisakmpkey0/6+密码+address+对端地址阶段二配置ipsec全#cryptoipsectransform-set+传输集名字+ah-md5-hmac（认证算法调用md5）esp-3des（加密算法调3des）#modetunnel/transport指定ipsec模式配置ACL（抓取被保护的流量）全#access-list100ip+源地址+目的地址建立映射关系全#cryptomap+映射名字+序号（1）+ipsec-isakmp#matchaddress+列表号（抓取被保护的流量）#setpeer+对端ip#settransform-set+传输集名字应用到接口全#interfaces0/0#cryptomap+映射名字1、VPN(virtualprivatenetwork）虚拟专有网络作用：在互联网中保证数据安全传输的技术；（通常在企业也可以用于远程拨入服务）2、互联网常见威胁（1）数据有被窃听的风险（2）数据有篡改的风险（3）身份有可能被冒充3、VPN的特性（1）通过数据加密技术防止数据被窃听（2）通过完整性验证防止数据被篡改（3）通过身份认证防止被冒充（4）防止数据重放攻击加密算法1、对称加密（1）只有一个秘钥，加密、解密使用同一个秘钥（2）基于简单的数据运算，速度快，可硬件实现适合大规模数据加密（3）秘钥管理是问题（缺陷）（4）DES56bit3DES56*3=168112AES128/2562、非对称算法（1）一对秘钥（公钥、私钥），一个用于加密、一个用于解密（2）基于逻辑运算，速度慢，不适合大规模数据加密（3）共可公开，私钥不能（4）RSA512、1024、2048DH768、1024、2048PGP（5）公钥加密、私钥签名VPN使用对称算法对数据加密；使用非对称对key加密；单向加密算法（哈希）（1）不可逆（2）用于完整性验证（类型CRC）（3）md5128bitsha256VPN模式1、隧道模式tunnel(默)（1）保护全部IP数据包，安全性较高（2）不支持NAT，会增加新包头2、传输模式transport（1）只保护数据部分，安全性较差（2）支持NATVPN分类（功能）1、站点到站点（sitetosite）(1)LANtoLAN结构（2）适合大规模数据，长时间连接（3）要求两端具备固定IP(lantolanipsecVPN)DMVPN2、远程访问VPN（remoteVPN）(1)使用与出差用户、家庭、小型办公室（2）适合短时间按需连接（3）只需要服务器端具备固定IP(EasyVPN(remoteipsecvpn)SSLVPN)隧道协议1、GRE通用路由封装（三层）支持所有网络层协议（IP、IPX、AppleTale）2、IPsecIP安全载荷协议（三层）只支持IP3、SSL/LSI（应用层）4、PPTP点到点隧道协议（二层）5、L2TP2层隧道协议（二层）6、L2F基于2层转发（二层）IPsecVPN阶段一IKE（internetkeyexchange）互联网秘钥交换协议管理连接R1(config)#cryptoisakmppolicy1R1(config-isakmp)#authenticationpre-shareR1(config-isakmp)#encryptionaesR1(config-isakmp)#hashshaR1(config-isakmp)#group2R1(config-isakmp)#exitR1(config)#cryptoisakmpkey0ccieaddress200.20.20.1R1#shcryptoisakmppolicy验证策略R1#shcryptoisakmpsa查看阶段一状态阶段二ESP封装安全载荷协议（加密、认证）AH认证头协议数据连接1、使用ACL抓取被VPN保护的流量ACL互反2、建立传输集（对数据的处理方式）cryptoipsectransform-setccie-setesp-aesah-sha-hmacR1#shcryptoipsectransform-set3、建立映射关系R2(config)#cryptomapccie-map1ipsec-isakmpR2(config-crypto-map)#matchaddress100R2(config-crypto-map)#settransform-setccie-setR2(config-crypto-map)#setpeer200.10.10.1R2(config-crypto-map)#exitR2(config)#intf0/0R2(config-if)#cryptomapccie-mapR1#shcryptomap查看映射R1#shcryptoipsecsa查看阶段二的状态