搭建Cisco3725与NetScreen500 VPNWord文档下载推荐.docx
《搭建Cisco3725与NetScreen500 VPNWord文档下载推荐.docx》由会员分享,可在线阅读,更多相关《搭建Cisco3725与NetScreen500 VPNWord文档下载推荐.docx(16页珍藏版)》请在冰豆网上搜索。
//配置IKE
cryptoisakmppolicy1//创建isakmp策略,优先级为1
encryptiondes//指定isakmp策略使用DES进行加密
hashmd5//指定isakmp策略使用md5进行hash运算
authenticationpre-share//指定isakmp策略使用预共享密钥的方式对石家庄路由器进行身份验证
group2//指定isakmp策略使用1024位密钥算法(一般路由器慎选,将占用大量cup资源)
lifetime3600//指定isakmp策略创建的ISAKMPSA的有效期为3600秒,默认为86400秒
//配置isakmp与分部路由器进行身份认证时使用IP地址作为标志(可以选做)
cryptoisakmpidentityaddress
//配置预共享密钥
cryptoisakmpkeyxxxxxxxxaddress210.x.x.67//指定isakmp与分部路由器进行身份认证时使用预共享密钥
//Cisco的默认第二阶段启用config模式,将其禁用(可以选做)
cryptoisakmpkeyxxxxxxxxaddress210.x.x.67no-xauth
//配置IPSec交换集
cryptoipsectransform-setsjzesp-desesp-md5-hmac
//应用到外网口
cryptomapsjz-maplocal-addressFastEthernet0/0
//创建加密图
cryptomapsjz-map2ipsec-isakmp
setpeer210.x.x.67//指定加密图用于分支路由器建立VPN连接
settransform-setsjz//指定加密图使用的IPSec交换集
setpfsgroup2//对每个新的SA使用完整转发安全性
matchaddress111//指定使用此加密图进行加密的通信,用访问控制列表来定义
interfaceFastEthernet0/0
ipaddress210.x.x..158255.255.255.248
ipnatoutside
duplexauto
speedauto
cryptomapsjz-map//将定义的密码图应用到路由器的外网口
interfaceFastEthernet0/1
ipaddress172.18.69.1255.255.255.0
ipnatinside
ipnatpoolout210.x.x..154210.x.x.157netmask255.255.255.248
ipnatinsidesourcelist100pooloutoverload
ipclassless
iproute0.0.0.00.0.0.0210.x.x.153
iproute172.18.69.0255.255.255.0210.x.x..153
//传说需要上面这条路由激活vpn通道(选做)
noiphttpserver
noiphttpsecure-server
//NAT的策略
access-list100denyip172.18.69.00.0.0.255192.168.150.00.0.0.255
access-list100permitip172.18.69.00.0.0.255any
//VPN的策略
access-list111permitip172.18.69.00.0.0.255192.168.150.00.0.0.255
二、NetScreen500配置(采用基于策略的方式建立)
1配置p1(第一阶段)
VPNs
〉〉AutoKeyAdvanced
〉〉Gateway
〉〉New
〉〉Advanced(如果NAT由NS500做的话,需要选中EnableNAT-Traversal,即NAT穿透,KeepaliveFrequency值为5)
2配置p2(第二阶段)
〉〉AutoKeyIKE
〉〉Advanced
3配置双向的安全策略
Policies
〉〉FromUntrustToTrust>
>
New
〉〉Advanced(使用默认配置即可)
确保策略在Untrust区的最顶端
确保策略在Trust区的最顶端
注:
确保策略在top很重要,否则只能单向Ping通。
我因为没有将策略置顶,浪费了很长时间
4创建trust-vr区的路由
Network
〉〉Routing
〉〉RoutingEntries
5VPN连通后的日志
Reports
SystemLog
Event
2006-11-2417:
07:
57infoIKE<
210.x.x.158>
Phase2msgID<
98dbabca>
:
CompletednegotiationswithSPI<
4f515047>
tunnelID<
60>
andlifetime<
3600>
seconds/<
4608000>
KB.
Respondedtothepeer'
sfirstmessage.
ReceivedinitialcontactnotificationandremovedPhase1SAs.
Phase1:
CompletedMainmodenegotiationswitha<
28800>
-secondlifetime.
ReceivedinitialcontactnotificationandremovedPhase2SAs.
ReceivedanotificationmessageforDOI<
1>
<
24578>
NOTIFY_INITIAL_CONTACT>
.
ResponderstartsMAINmodenegotiations.
三、Cisco6509的三层配置
1建立vlan150
Conft
interfaceVlan150
descriptionvpntosjz
ipaddress192.168.150.1255.255.255.0
noipredirects
2确保新建的vlan150不在NAT策略的access-list1中。
若存在,需加入access-list1deny192.168.150.00.0.0.255,目的是不允许vlan150进行NAT到NS500的内部网络,而是通过路由到其内部网络,这样才能保证源地址是192.168.150.0/24
ipnatinsidesourcelist1pooloutoverload
access-list1permit192.168.100.00.0.0.255
access-list1permit192.168.101.00.0.0.255
access-list1permit192.168.102.00.0.0.255
access-list1permit192.168.103.00.0.0.255
access-list1permit192.168.104.00.0.0.255
access-list1permit192.168.105.00.0.0.255
access-list1permit192.168.106.00.0.0.255
access-list1permit192.168.107.00.0.0.255
access-list1permit192.168.108.00.0.0.255
access-list1permit192.168.109.00.0.0.255
access-list1permit192.168.112.00.0.0.255
access-list1permit192.168.113.00.0.0.255
access-list1permit192.168.114.00.0.0.255
access-list1permit192.168.115.00.0.0.255
access-list1permit192.168.116.00.0.0.255
access-list1permit192.168.117.00.0.0.255
access-list1permit192.168.118.00.0.0.255
access-list1permit192.168.119.00.0.0.255
access-list1permit192.168.120.00.0.0.255
access-list1permit192.168.200.00.0.0.255
视情况加入
access-list1deny192.168.150.00.0.0.255
四、思考
1安全性
在VPN建立后,可已进一步细化策略
如调整CISCO3725的access-list111,进行端口等的限制,不随意放行没有应用端口,甚至将ip细化为tcp和udp
2既要VPN,也要Internet
(1)VPN需要访问的服务器较少
本次原计划做的VPN是vlan107与石家庄相连,vlan107由于当时规划方面的原因,既有服务器,又有工作组。
上面的配置(vlan150没有做nat),一旦工作组想上网的话,比较困难(我们服务器暂时不需要上公网,所以放入了vlan150,没有起NAT)。
可以采取将vlan107中服务器映射到CISCO6509的公网地址上(我们公网地址比较多),这时NS500只需要更改策略中的源地址,即将192.168.107.0改为210.x.x.x;
CISCO3725需要更改acl中的目的地址,也将192.168.107.0改为210.x.x.x,这样安全性相对较高,CISCO3725无法直接访问内网
(2)在NS500上启用NAT
如果vlan150需要上公网,原有配置不需要任何修改,只需在NS500的策略上对vlan107起动NAT,缺点是会造成NS500的负荷
(3)修改CISCO6509的NAT策略表
因为当时用的基本访问控制列表,无法做基于目的地址的策略,可以将access-list1换成扩展访问控制列表,配置类似CISCO3725,唯一缺点是在保证没有应用的前提下,要最后一个下班去修改CISCO6509
(4)secondary地址的使用
可将vlan107在划分成两个网段。
ipaddress192.168.107.1255.255.255.128
ipaddress192.168.107.249255.255.255.248secondary
缺点是浪费了一些地址,其实通过再增加secondary可以减少浪费,不过意义不大;
其次,还是需要acl策略的支持,而且还需要把地址规划好。
唯一的优点就是如果你一直用ftp:
//192.168.107.3的,就不用改成ftp:
//192.168.150.3了,不需要给领导添麻烦,哈哈:
)
附:
Cisco3725常用的调试命令
1shcryptomap//显示加密图参数
CryptoMap:
"
sjz-map"
idb:
FastEthernet0/0localaddress:
210.x.x.158
CryptoMap"
2ipsec-isakmp
Peer=210.x.x.67
ExtendedIPaccesslist111
access-list111permitip172.18.69.00.0.0.255192.168.150.00.0.0.255
Currentpeer:
210.x.x.67
Securityassociationlifetime:
4608000kilobytes/3600seconds
PFS(Y/N):
Y
DHgroup:
group2
Transformsets={
sjz,
}
Interfacesusingcryptomapsjz-map:
FastEthernet0/0
2shcryptosession//显示当前VPNSession的状态
Sessionstatus:
UP-ACTIVE
Peer:
210.x.x.67/500
IKESA:
local210.x.x.158/500remote210.x..x.67/500Active
IPSECFLOW:
permitip172.18.69.0/255.255.255.0192.168.150.0/255.255.255.0
ActiveSAs:
2,origin:
cryptomap
permitip172.18.69.0/255.255.255.0192.168.100.0/255.255.255.0
0,origin:
3shcryptoipsecsa//显示当前安全关联使用的设置
interface:
Cryptomaptag:
dyc-map,localaddr.210.x.x.158
protectedvrf:
localident(addr/mask/prot/port):
(172.18.69.0/255.255.255.0/0/0)
remoteident(addr/mask/prot/port):
(192.168.150.0/255.255.255.0/0/0)
current_peer:
210.x.x.67:
500
PERMIT,flags={origin_is_acl,}
#pktsencaps:
13324,#pktsencrypt:
13324,#pktsdigest:
13324
#pktsdecaps:
13685,#pktsdecrypt:
13685,#pktsverify:
13685
#pktscompressed:
0,#pktsdecompressed:
0
#pktsnotcompressed:
0,#pktscompr.failed:
#pktsnotdecompressed:
0,#pktsdecompressfailed:
#senderrors1,#recverrors463
localcryptoendpt.:
210.x.x.158,remotecryptoendpt.:
pathmtu1500,mediamtu1500
currentoutboundspi:
4F5150F6
inboundespsas:
spi:
0x1F4F3CB8(525286584)
transform:
esp-desesp-md5-hmac,
inusesettings={Tunnel,}
slot:
0,connid:
2002,flow_id:
9,cryptomap:
dyc-map
cryptoenginetype:
Software,engine_id:
1
satiming:
remainingkeylifetime(k/sec):
(4594082/2671)
ike_cookies:
1F3D75775F51F4EDCE9C4FC533ECE31C
IVsize:
8bytes
replaydetectionsupport:
inboundahsas:
inboundpcpsas:
outboundespsas:
0x4F5150F6(1330729206)
inusesettings={Tunnel,}
2003,flow_id:
10,cryptomap:
(4594090/2671)
outboundahsas:
outboundpcpsas:
(192.168.100.0/255.255.255.0/0/0)
0,#pktsencrypt:
0,#pktsdigest:
0,#pktsdecrypt:
0,#pktsverify:
#senderrors0,#recverrors0
outboundespsas:
outboundahsas:
4shcryptoipsectransform-set//显示IPSec交换集的设置
Transformsetsjz:
{esp-desesp-md5-hmac}
willnegotiate={Tunnel,},
5shcryptoisakmpkey//显示对端预共享秘钥
KeyringHostname/AddressPresharedKey
default210.x.x.67xxxxxxxx
6shcryptoisakmpsa//显示所有当前IKE安全关联(SA)在对等体,状态是QM,表示正常连通
dstsrcstateconn-idslot
210.x.x.67210.x.x.158QM_IDLE10
以下两个命令慎用,可能会造成路由器流量过大,down掉
7debugcryptoipsec//显示IPSec事件,如一些认证失败,
VPN正常连通的时候由于各种原因,在对端解IPSec封装包会有一些报错,如下
*Mar216:
40:
05.619:
IPSEC(epa_des_crypt):
decrypted