非常详细的IPsec-VPN实验配置解说

IPsecVPN第一阶段：配置策略IsakmpSACryptoisakmppolicy10//定义策略，且优先级为10Encryptiondes//数据的保密性配置Hashmd5//数据的完整性配置Authenticationpre-share//身份的验证方为预共享密钥（另外一种是数字签名）Group2//密钥长度为1024bitLifetime86400//配置ISAKMP建立的SA的寿命ExitCryptoisakmpkeywtuwiejfaddress192.168.1.1//配置预共享密钥的密钥为：wtuwiejf，远程对等体的IP地址为192.168.1.1(验证对方的IP)注：可通过showcryptoisakmppolicy来查看刚才配置的内容Access-list100permitiphost192.168.1.1host192.168.2.1//定义感兴趣流量//有了ACK定义的流量，才有第二阶段的策略可做，加密策略，哈希策略，隧道模式。注：传输模式默认为隧道传输模式。第二阶段：配置第二阶段的策略，名称叫做转换集。是对感兴趣流做封装加密策略。Cryptoipsectransform-setciscoesp-desesp-md5-hmac//transform-set:转换集//cisco：转换集的名称//esp-des：用ESP做封装，用des做加密//esp-md5-hmac：用ESP封装，用MD5做哈希//作用：对感兴趣流用ESP封装，用DES做加密；用ESP做封装，用MD5做哈唏。CryptomapLAXDN10ipsec-isakmp//对第二阶段的策略做汇总。因为一台路由器可能不止做一个VPN，有可能和很多路由器做VPN。也就是有很多个第二阶段的策略。所以说，这里是定义了一个加密图，是为了将策略汇总。当有很多个第二阶段策略时，只需要配置多个mapid就可以了。然后就根据MAPID来执行任务。。而不用定义多个map(注意：一个端口只能配置一个map，从而将多个策略汇总到一个MAP中，然后在端口中调用MAP。就可以起到节省端口的作用，对吧！)。即：cryptomapyujianwei110ipsec-isakmpcryptomapyujianwei220ipsec-isakmpcryptomapyujianwei330ipsec-isakmpcryptomapyujianwei440ipsec-isakmpSetpeer192.168.1.1//配置对等体的要加密的地址Settransform-setcisco//对第二阶段的转换集进行汇总Matchaddress100//调用ACL100R（config-if）#cryptomapLAXDN//调用cryptomap（加密图）策略到接口上因为一个端口只能配置一个MAP，但是如果一台路由器要做很多VPN，那么此时如果用MAP就不用来很多端口，而只要用到一个MAP就可以。一台路由器和不同的VPN连接，只需要MAPID就可以了。IPSECVPN实验详解由于Internet宽带接入的普及，它的带宽与价格非常的便宜(相对于专线而言).8M的ADSL价位不到两千元/年.越来越多的企业开始发掘基于宽带接入的增值应用.由于VPN技术的成熟，如对数据的加密技术与VPNQos技术的发展，使得基于Internet接入的VPN应用日趋增多.VPN技术可用于远程用户的接入(用于取代传统拨号接入技术)访问，用于对主线路的备份作为备份链路，甚至可以取代传统的专线地位用于企业各分支机构的专有网络互联.用于取代专线或备份线路接入的Site-to-SiteVPN接入技术，用于远程终端用户接入访问的Remote-VPN(也叫EasyVPN，取代传统拨号接入).基于WEB页面访问的WEBVPN技术.又叫SSLVPN.1.Site-to-sitevpn(三种类型)站点间的VPN技术.IKE使用UDP端口500,IpsecESP和AH使用协议号50和51.因此如果要实现VPN穿越，必须在相应接口上配置访问列表以允许VPN流量通过。Site-to-SiteVPN的配置通常可分为四个步骤：1.传统路由及需互访的流量定义定义路由设置感兴趣的流量(即定义互访的内网主机流量以触发VPN参数协商)2.定义IKE参数(IKE第一阶段安全关联协商)定义ISAKMP策略定义ISAKMP对等体和验证密钥3.定义Ipsec参数(IKE第二阶段安全关联协商)定义Ipsec的转换集Transform定义Ipsec的加密映射(cryptomap)。4.将加密映射应用到相应接口。当路由器收到一个数据包时，它将检查安全策略(即所定义的感兴趣的流量)以决定是否为此数据包提供保护。如果匹配访问列表所定义的流量，则路由器决定采用何种安全服务，并决定IPSEC端点所使用的地址，并检查是否存在一个安全关联(securityassociation).如果没有安全关联，则路由器将与对等体协商建立。而IKE用来在站点路由器之间建立一个提供验证的安全通道，并在此安全通道上进行Ipsec安全关联的协商。IKE首先验证它的对等体，可通过预共享密钥，公钥密码或数字签名来实现。一旦对等体被验证通过，Diffe-Hellman协议用来产生一个共有的会话密钥。1.1静态地址1.站点间用于建立VPN的两台设备都有静态公网地址.内部主机通过NAT地址转换后访问Internet.但内部主机之间的访问流量不通过NAT转换，而通过Ipsec加密进行访问。如图所示，在远程站点间，由于专线费用过高，因此考虑与中心站点间采用IPsecVPN技术来实现远程分支站点与中心站点间的私网互联。因为内网是私有地址，所以在上Internet时必须做NAT地址转换。而通过VPN隧道在内网之间访问的时候，相当于两边私网通过专线互联，因此不需要做NAT。1路由配置，NAT配置及感兴趣流量的定义R1与R3分别是中心站点与分支站点的Internet接入路由器，在接入路由器上通常配置默认路由。1.接口及路由配置R1配置：interfaceEthernet0/1ipaddress10.1.1.1255.255.255.0interfaceSerial1/0ipaddress201.1.1.1255.255.255.0iproute0.0.0.00.0.0.0Serial1/0R2配置interfaceSerial1/0ipaddress201.1.1.2255.255.255.0!interfaceSerial1/1ipaddress202.1.1.1255.255.255.0R3配置interfaceEthernet0/1ipaddress172.16.1.1255.255.255.0interfaceSerial1/1ipaddress202.1.1.2255.255.255.0iproute0.0.0.00.0.0.0Serial1/12.NAT配置在R1和R3上分别做PAT地址转换，定义需要做NAT的访问列表。R1配置：R1(config)#inte0/1R1(config-if)#ipnatinsideR1(config-if)#ints1/0R1(config-if)#ipnatoutsideipnatinsidesourcelist102interfaceSerial1/0overload定义了访问列表102所指定的流量进行NAT转换，overload选项进行端口复用(PAT)R1(config)#access-list102denyip10.1.1.00.0.0.255172.16.1.00.0.0.255将10.1.1.0访问172.16.1.0的流量不进行NAT转换。R1(config)#access-list102permitip10.1.1.00.0.0.255any对去往Internet的流量进行NAT转换R3配置：R3(config)#inte0/1R3(config-if)#ipnatinsideR3(config)#ints1/1R3(config-if)#ipnatoutsideipnatinsidesourcelist102interfaceSerial1/1overloadR3(config)#access-list102denyip172.16.1.00.0.0.25510.1.1.00.0.0.255R3(config)#access-list102permitip172.16.1.00.0.0.255any3.定义触发Ipsec保护的感兴趣的流量R1access-list101permitip10.1.1.00.0.0.255172.16.1.00.0.0.255R3access-list101permitip172.16.1.00.0.0.25510.1.1.00.0.0.2552定义IKE参数1.定义IKE加密策略：IKE用来创建使用共享密钥的安全关联(SA)R1R1(config)#cryptoisakmppolicy1R1(config-isakmp)#?ISAKMPcommands:authenticationSetauthenticationmethodforprotectionsuite定义验证的方法defaultSetacommandtoitsdefaultsencryptionSetencryptionalgorithmforprotectionsuite定义加密的方法exitExitfromISAKMPprotectionsuiteconfigurationmodegroupSettheDiffie-HellmangroupDiffie-Hellman算法用于密钥的安全交换。hashSethashalgorithmforprotectionsuite哈希算法用来验证数据的完整性lifetimeSetlifetimeforISAKMPsecurityassociationnoNegateacommandorsetitsdefaultsR1(config-isakmp)#authenticationpre-share定义双方身份验证采用预共享密钥交换方式R1(config)#cryptoisakmpkey0cisco(验证密钥为cisco)address202.1.1.2(对等体地址)其它没有配置的参数有一个默认配置，加密算法默认为des，哈希算法为SHA-1,Diffie-Hellman采用组一的密钥交换方法，安全关联的生命周期为86400秒。R3R3(config)#cryptoisakmppolicy1(1为策略编号，可以为不同站点配置不同策略号)R3(config-isakmp)#authenticationpre-shareR3(config)#cryptoisakmpkey0ciscoaddress201.1.1.13.定义Ipsec参数(IKE第二阶段安全关联的建立)1.定义要保护数据的加密和验证转换集方法(Transform设置)R1：R1(config)#cryptoipsectransform-setmytransesp-3desR3R3(config)#cryptoipsectransform-setmytrans(设置的转换集命名)?ah-md5-hmacAH-HMAC-MD5transformah-sha-hmacAH-HMAC-SHAtransformcomp-lzsIPCompressionusingtheLZScompressionalgorithmesp-3desESPtransformusing3DES(EDE)cipher(168bits)esp-aesESPtransformusingAEScipheresp-desESPtransformusingDEScipher(56bits)esp-md5-hmacESPtransformusingHMAC-MD5authesp-null