如何配置预共享密钥的IPSecVPN.docx
《如何配置预共享密钥的IPSecVPN.docx》由会员分享,可在线阅读,更多相关《如何配置预共享密钥的IPSecVPN.docx(11页珍藏版)》请在冰豆网上搜索。
如何配置预共享密钥的IPSecVPN
如何配置预共享密钥的IPSec-VPN
如何配置预共享密钥的IPSecVPN
今天我们来在cisco路由器上配置一下基于预共享密钥的IPSecVPN网络。
首先我们来了解一下什么是VPN?
简单的说,VPN是一种通过Internet或公共网络受保护的链接。
由VPN组成的“线路”并不是物理存在的,而是通过技术手段模拟出来的,既是“虚拟”的。
不过这种虚拟的专用网络技术却可以在公用线路中为两台计算机建立一个逻辑上的专用“通道”,它具有良好的保密和不受干扰性使双方能进行自由而安全的点对点的连接。
VPN相比较专线网络的优势:
连接可靠,可保证数据传输的安全性。
利用公共网络进行信息通讯,可降低成本,提高网络资源利用率.
支持用户实时、异地接入,可满足不断增长的移动业务需求。
支持QoS功能,可为VPN用户提供不同等级的服务质量保证。
防止数据在公网传输中被窃听
防止数据在公网传输中被篡改
可以验证数据的真实来源
成本低廉(相对于专线、长途拨号)
应用灵活、可扩展性好。
本次试验的拓扑图如下:
路由器的端口连接图如下:
Router1F0/1<---->Router2F0/1
Router1F0/0<---->pc1
Router2F0/0<---->pc2
一、路由基本配置
首先我们来对路由一进行一下基本配置。
F0/1是连接外网的端口,IP地址为202.106.1.1F0/0是连接内网的,IP地址为192.168.1.1
R1:
Router>en
Router#conft
Router(config)#hostnamer1
r1(config)#intf0/1
r1(config-if)#ipaddr202.106.1.1255.255.255.0
r1(config-if)#noshut
r1(config-if)#exit
r1(config)#intf0/0
r1(config-if)#ipaddr192.168.1.1255.255.255.0
r1(config-if)#noshut
r1(config-if)#exit
ESP(EncapsulationSecurityPayload)封装安全载荷协议
DES(DataEncryptionStandard)
3DES
其他的加密算法:
Blowfish,blowfish、cast…
IKE全称:
InternetKeyExchange
IKE用于IPSec安全联盟及密钥的自动化管理,定时为IPSec协商密钥,创建、删除安全联盟等
IKE采用两个阶段的ISAKMP:
协商认证通信信道,为第二阶段的通信提供安全保证。
即建立IKESA
使用IKESA协商建立IPSecSA,用于IPSec通信。
IKE(InternetKeyExchange)因特网密钥交换协议是IPSEC的信令协议,为IPSec提供了自动协商交换密钥、建立安全联盟的服务,能够简化IPSec的使用和管理,大大简化IPSec的配置和维护工作。
IKE不是在网络上直接传送密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥,并且即使第三者截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。
IKE具有一套自保护机制,可以在不安全的网络上安全的分发密钥,验证身份,建立IPSEC安全联盟。
R1:
r1#conft
r1(config)#cryptoisakmpenable-----------启用IKE
r1(config)#cryptoisakmppolicy1------------创建IKE策略、注意:
优先级1---100001为最高级别
r1(config-isakmp)#encryption3des------------指定价码算法
r1(config-isakmp)#authenticationpre-share-----------指定身份认证方法
注意:
per-share—共享密钥
rsa-encr--RSA加密
rsa—sig---RSA签名
r1(config-isakmp)#group1-----------指定密钥交换参数
注意:
group1表示768位密钥
group2表示1024位密钥
group5表示1536位密钥
r1(config-isakmp)#lifetime28800-----------指定SA的生存期(单位秒)
r1(config-isakmp)#exit
r1(config)#cryptoisakmpkeyciscoaddres202.106.1.2------------指定身份认证使用的密钥和该共享密钥对应的IP地址
r1(config)#cryptoipsectransform-setr1setesp-3des---------创建IPSec变换集,对用户安全保护使用的协议
r1(cfg-crypto-trans)#exit
r1(config)#access-list100permitip192.168.1.00.0.0.255192.168.10.00.0.0.255-------指定需要通过的ipsec进行保护的通信网段
r1(config)#cryptomapr1map1ipsec-isakmp--------------创建加密图
r1(config-crypto-map)#setpeer202.106.1.2------------指定加密用于与哪个对端VPN建立连接,也就是路由器二的公网IP地址
r1(config-crypto-map)#settransform-setr1set-----------指定加密图使用的ipsec变换集
r1(config-crypto-map)#matchaddress100-----------指定访问列表
r1(config-crypto-map)#exit
指定加密图应用哪些接口上。
一般应用在连接外网时候的端口上。
r1(config)#intf0/1
r1(config-if)#cryptomapr1map
在路由器二上对IPSec和IKE进行一般的配置步骤
R2:
r2>en
r2#conft
r2(config)#cryptoisakmpenable------启用IKE
r2(config)#cryptoisakmppolicy1--------创建IKE策略。
注意:
优先级1---100001为最高级别
r1(config-isakmp)#encryption3des-------指定加码算法
r2(config-isakmp)#authenticationpre-share-------指定身份认证方法
注意:
per-share—共享密钥
rsa-encr--RSA加密
rsa—sig---RSA签名
r2(config-isakmp)#group1----------指定密钥交换参数
注意:
group1表示768位密钥
group2表示1024位密钥
group5表示1536位密钥
r2(config-isakmp)#lifetime28800--------指定SA的生存期(单位秒)
r2(config-isakmp)#exit
r2(config)#cryptoisakmpkeyciscoaddres202.106.1.1------指定身份认证使用的密钥和该共享密钥对应的IP地址
r2(config)#cryptoipsectransform-setr2setesp-3des-----创建IPSec变换集,对用户安全保护使用的协议
r2(cfg-crypto-trans)#exit
r2(config)#access-list100permitip192.168.10.00.0.0.255192.168.1.00.0.0.255-----指定需要通过的ipsec进行保护的通信网段
r2(config)#cryptomapr2map1ipsec-isakmp------创建加密图
r2(config-crypto-map)#setpeer202.106.1.1------指定加密用于与哪个对端VPN建立连接,也就是路由器一的公网IP地址
r2(config-crypto-map)#settransform-setr1set-------指定加密图使用的ipsec变换集
r2(config-crypto-map)#matchaddress100------指定访问列表
r2(config-crypto-map)#exit
r2(config)#exit
指定加密图应用哪些接口上
r2(config)#intf0/1
r2(config-if)#cryptomapr2map
配置完成后,我们进行测试:
首先我们根据拓扑图所示配置好PC1PC2的IP并于网关进行PING测试,发现网络正常!
能够互相访问!
我们在路由器上用扩展ping命令来打通VPN通道。
建立好VPN通道后,不用扩展ping命令来打通VPN通道那是没用的。
如下所示:
我们来测试一下VPN通信。
在路由器一上输入命令ping
r1#ping----------输入ping直接回车
Protocol[ip]:
----------因为使用的是IP地址,直接回车就可以了
TargetIPaddress:
192.168.10.2---------输入目标地址的IP
Repeatcount[5]:
--------------ping包的数量
Datagramsize[100]:
-----------数据包的大小
Timeoutinseconds[2]:
------------超时时间,默认的是2秒
Extendedcommands[n]:
y--------是否要使用扩展ping命令,一定要填YES
Sourceaddressorinterface:
192.168.1.1-------使用那个源地址或接口去ping,我们使用192.168.1.1
接下来全部选择默认的即可,直接回车就行
Typeofservice[0]:
SetDFbitinIPheader?
[no]:
Validatereplydata?
[no]:
Datapattern[0xABCD]:
Loose,Strict,Record,Timestamp,Verbose[none]:
Sweeprangeofsizes[n]:
Typeescapesequencetoabort.
Sending5,100-byteICMPEchosto192.168.10.2,timeoutis2seconds:
Packetsentwithasourceaddressof192.168.1.1
!
!
!
!
!
----------------------结果是可以ping通的
Successrateis100percent(5/5),round-tripmin/avg/max=12/56/104m
升级会员 