ipsecvpn配置详解.docx
《ipsecvpn配置详解.docx》由会员分享,可在线阅读,更多相关《ipsecvpn配置详解.docx(12页珍藏版)》请在冰豆网上搜索。
ipsecvpn配置详解
小型企业少量的分公司,配置点对点IPsecVPN通道。
首先VPN的配置必须建立在底层通讯已经建立的前提下,也就是说网络是通的情况下。
在R1上配置2端口ip地址路由通告以及感兴趣流(如图1-1所示)
En\\进入特权模式
Conft\\进入全局配置模式
Interfaces1/2\\进入1/2串行接口
Ipaddress12.12.12.1255.255.255.0\\配置接口ip地址为12.12.12.1/24
Noshutdown\\启动该接口
Interfaceloopback0\\进入回环接口0
Ipaddress10.1.1.1255.255.255.0\\设置ip地址为10.1.1.1/24
Exit\\返回全局配置模式
routereigrp10\\启动eigrp路由协议10
noauto-summary\\关闭默认自动汇总
network12.12.12.00.0.0.255\\宣告直连网段12.12.12.0/24
exit\\退回全局配置模式
iproute0.0.0.00.0.0.012.12.12.2\\创建静态缺省路由下一跳为R2
access-list101permitip10.1.1.00.0.0.25520.1.1.00.0.0.255
\\创建扩展访问控制列表101号,允许ip协议中源为10.1.1.0/24去往目的为20.1.1.0/24的数据启用IPsecVPN隧道。
图1.1
定义IPsec阶段一,定义密钥如何安全传输(如图1.2)
Cryptoisakmppolicy10\\创建管理隧道集10并开始定义ike阶段一
authenticationpre-share\\源认证采用带外域共享密钥
encryptiondes\\定义数据隧道密钥使用des算法安全传输
group2\\des密钥长度为2
hashMD5\\数据隧道密钥使用MD5进行完整性检验
exit\\返回全局配置模式
cryptoisakmpkey0CISCOaddress23.23.23.2
\\源认证的域共享密钥为Cisco,并指出和23.23.23.2进行认证
图1.2
定义IKE阶段2,定义数据如何安全传输(如图1.3)
cryptoipsectransfrom-setIKE2esp-desesp-md5-hmac
\\定义数据隧道名为IKE2,且数据隧道使用des加密,使用MD5hash成散列值
modetunnel\\VPN的模式为隧道模式
exit\\返回全局配置模式
图1.3
定义IPsec转换集(如图1.4)
cryptomapMYMAP10ipsec-isakmp\\创建一个转换集名叫MYMAP编号10,并关联IKE阶段一。
Setpeer23.23.23.2\\定义转换集对端地址为23.23.23.2
Settransform-setIKE2\\关联IKE阶段二
Matchaddress101\\当访问控制列表101满足时触发VPN
exit\\返回全局配置模式
图1.4
IPsec策略应用到接口(如图1.5)
Interfaces1/2\\进入接口1/2串行接口
Cryptomapmymap\\将转换集MYMAP调用在该接口
图1.5
在R2上配置2端口ip地址及路由(如图1.6)
En\\进入特权模式
Conft\\进入全局配置模式
Interfaces1/3\\进入1/2串行接口
Ipaddress12.12.12.2255.255.255.0\\配置接口ip地址为12.12.12.224
Noshutdown\\启动该接口
Interfaces1/2\\进入接口1/2串行接口
Ipaddress23.23.23.1255.255.255.0\\配置接口ip地址为23.23.23.1/24
Noshutdown\\启动该接口
Exit\\退回到全局配置模式
routereigrp10\\启动eigrp路由协议10
noauto-summary\\关闭默认自动汇总
network12.12.12.00.0.0.255\\宣告直连网段12.12.12.0/24
network23.23.23.00.0.0.255\\宣告直连网段23.23.23.0/24
图1.6
在R3上配置2端口ip地址路由通告以及感兴趣流(如图1-7所示)
En\\进入特权模式
Conft\\进入全局配置模式
Interfaces1/3\\进入1/2串行接口
Ipaddress23.23.23.2255.255.255.0\\配置接口ip地址为23.23.23.2/24
Exit\\退回到全局配置模式
routereigrp10\\启动eigrp路由协议10
noauto-summary\\关闭默认自动汇总
network23.23.23.00.0.0.255\\宣告直连网段23.23.23.0/24
Exit\\退回到全局配置模式
iproute0.0.0.00.0.0.023.23.23.1\\创建静态缺省路由下一跳为R2
access-list101permitip20.1.1.00.0.0.25510.1.1.00.0.0.255
\\创建扩展访问控制列表101号,允许ip协议中源为20.1.1.0/24去往目的为10.1.1.0/24的数据启用IPsecVPN隧道。
图1.7
定义IPsec阶段一,定义密钥如何安全传输(如图1.8)
Cryptoisakmppolicy10\\创建管理隧道集10并开始定义ike阶段一
authenticationpre-share\\源认证采用带外域共享密钥
encryptiondes\\定义数据隧道密钥使用des算法安全传输
group2\\des密钥长度为2
hashMD5\\数据隧道密钥使用MD5进行完整性检验
exit\\返回全局配置模式
cryptoisakmpkey0CISCOaddress12.12.12.1
\\源认证的域共享密钥为Cisco,并指出和12.12.12.1进行认证
定义IKE阶段2,定义数据如何安全传输(如图1.8)
cryptoipsectransform-setIKE2esp-desesp-md5-hmac
\\定义数据隧道名为IKE2,且数据隧道使用des加密,使用MD5hash成散列值
modetunnel\\VPN的模式为隧道模式
exit\\返回全局配置模式
图1.8
定义IPsec转换集(如图1.9)
cryptomapMYMAP10ipsec-isakmp\\创建一个转换集名叫MYMAP编号10,并关联IKE阶段一。
Setpeer12.12.12.1\\定义转换集对端地址为12.12.12.1
Settransform-setIKE2\\关联IKE阶段二
Matchaddress101\\当访问控制列表101满足时触发VPN
exit\\返回全局配置模式
图1.9
IPsec策略应用到接口(如图1.10)
Interfaces1/3\\进入接口1/3串行接口
Cryptomapmymap\\将转换集MYMAP调用在该接口
图1.10
IPsec完整配置showrunning-config(如图1.11)
图1.11
数据流量分析:
从10.1.1.1去往20.1.1.1的流量到达R1后查询R1的路由表如图1.12所示,匹配缺省静态路由,经过s1/2接口发送给12.12.12.2接口;由于s1/2接口配置了ipsec策略,故流经s1/2接口的流量会被检查是否满足感兴趣流(访问控制列表101),满足源为10.1.1.0目的为20.1.1.0的流量触发IPsecVPN封装,不满足则不触发。
触发隧道开始后,ipsecvpn对等体设备之间要进行协商,协商内容包括加密密钥如何传输,以及数据传输用什么加密算法等9个协商包。
协商完毕后,IPsecVPN通道建立完成。
因为IPsec定义为tunnel隧道模式,所以为流量打上新的ip头部,源为12.12.12.1目的为23.23.23.2并把原始的头部加密哈希。
此时在ISP公共网络上来看,需要被路由的是从一个公网地址12.12.12.1到另一个公网地址23.23.23.2,而不是路由公司内部私有地址。
流量到达23.23.23.2也就是R2后,继续查询自己的路由表如图1.13,去往23.23.23.0网段的流量会被从R2的s1/2接口转发出去。
在广域网上通过查询路由表转发,会使得流量最终到达23.23.23.2,也就是分公司网关。
由于在23.23.23.2上也配置了ipsecvpn,所以流量会在23.23.23.2接口被被还原为原始数据送达目标地址20.1.1.1。
R1路由表如图(1.12)
图1.12
R2路由表如图(1.13)
图1.13
R3路由表如图(1.14)
图1.14
Ping产生的结果如图(1.15和1.16)
第一个ping包不通是由于IPsecVPN隧道建立协商的存在,使icmp等待超时。
以后的包就不会再出现次情况。
使用源为20.1.1.1ping10.1.1.1 触发隧道
图1.15
使用源为23.23.23.2ping10.1.1.1由于R2上没有去往10.1.1.0的路由条目(如图1.13)所以不通
图1.16
查看IPsec隧道中加密解密的数据量(如图1.17)
图1.17加密了4个数据包,解密了4个数据包,因为ping5个包,第一个包超时不通。
DebugCryptosa获得的ipsecvpn通信详细信息(如图1.18)
升级会员 