ipsecvpn配置详解.docx

1、ipsecvpn配置详解小型企业少量的分公司，配置点对点IPsec VPN 通道。首先VPN的配置必须建立在底层通讯已经建立的前提下，也就是说网络是通的情况下。在R1上配置2端口ip地址路由通告以及感兴趣流(如图1-1所示)En 进入特权模式Conf t 进入全局配置模式Interface s1/2 进入1/2串行接口Ip address 12.12.12.1 255.255.255.0 配置接口ip地址为12.12.12.1/24No shutdown 启动该接口Interface loopback 0 进入回环接口0Ip address 10.1.1.1 255.255.255.0 设置i

2、p地址为10.1.1.1 /24Exit 返回全局配置模式router eigrp 10 启动eigrp路由协议10no auto-summary 关闭默认自动汇总network 12.12.12.0 0.0.0.255 宣告直连网段12.12.12.0/24exit 退回全局配置模式ip route 0.0.0.0 0.0.0.0 12.12.12.2 创建静态缺省路由下一跳为R2access-list 101 permit ip 10.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255创建扩展访问控制列表101号，允许ip协议中源为10.1.1.0/24 去往目的为20.

3、1.1.0/24的数据启用IPsecVPN隧道。图1.1定义IPsec阶段一，定义密钥如何安全传输（如图1.2）Crypto isakmp policy 10 创建管理隧道集10 并开始定义ike阶段一authentication pre-share 源认证采用带外域共享密钥encryption des 定义数据隧道密钥使用des算法安全传输group 2 des密钥长度为2hash MD5 数据隧道密钥使用MD5进行完整性检验exit 返回全局配置模式crypto isakmp key 0 CISCO address 23.23.23.2 源认证的域共享密钥为Cisco，并指出和23.23.

4、23.2进行认证图1.2定义IKE阶段2，定义数据如何安全传输（如图1.3）crypto ipsec transfrom-set IKE2 esp-des esp-md5-hmac 定义数据隧道名为IKE2，且数据隧道使用des加密，使用MD5hash成散列值mode tunnel VPN的模式为隧道模式exit 返回全局配置模式图1.3定义IPsec转换集（如图1.4）crypto map MYMAP 10 ipsec-isakmp 创建一个转换集名叫MYMAP编号10，并关联IKE阶段一。Set peer 23.23.23.2 定义转换集对端地址为23.23.23.2Set transfo

5、rm-set IKE2 关联IKE阶段二Match address 101 当访问控制列表101满足时触发VPNexit 返回全局配置模式图1.4IPsec策略应用到接口（如图1.5）Interface s1/2 进入接口1/2串行接口Crypto map mymap 将转换集MYMAP调用在该接口图1.5在R2上配置2端口ip地址及路由（如图1.6）En 进入特权模式Conf t 进入全局配置模式Interface s1/3 进入1/2串行接口Ip address 12.12.12.2 255.255.255.0 配置接口ip地址为12.12.12.2 24No shutdown 启动该接口

6、Interface s1/2 进入接口1/2串行接口Ip address 23.23.23.1 255.255.255.0 配置接口ip地址为23.23.23.1 /24No shutdown 启动该接口Exit 退回到全局配置模式router eigrp 10 启动eigrp路由协议10no auto-summary 关闭默认自动汇总network 12.12.12.0 0.0.0.255 宣告直连网段12.12.12.0/24network 23.23.23.0 0.0.0.255 宣告直连网段23.23.23.0/24图1.6在R3上配置2端口ip地址路由通告以及感兴趣流(如图1-7所示

7、)En 进入特权模式Conf t 进入全局配置模式Interface s1/3 进入1/2串行接口Ip address 23.23.23.2 255.255.255.0 配置接口ip地址为23.23.23.2 /24Exit 退回到全局配置模式router eigrp 10 启动eigrp路由协议10no auto-summary 关闭默认自动汇总network 23.23.23.0 0.0.0.255 宣告直连网段23.23.23.0/24Exit 退回到全局配置模式ip route 0.0.0.0 0.0.0.0 23.23.23.1 创建静态缺省路由下一跳为R2access-list 1

8、01 permit ip 20.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255创建扩展访问控制列表101号，允许ip协议中源为20.1.1.0/24 去往目的为10.1.1.0/24的数据启用IPsecVPN隧道。图1.7定义IPsec阶段一，定义密钥如何安全传输（如图1.8）Crypto isakmp policy 10 创建管理隧道集10 并开始定义ike阶段一authentication pre-share 源认证采用带外域共享密钥encryption des 定义数据隧道密钥使用des算法安全传输group 2 des密钥长度为2hash MD5 数据隧道密钥使用

9、MD5进行完整性检验exit 返回全局配置模式crypto isakmp key 0 CISCO address 12.12.12.1 源认证的域共享密钥为Cisco，并指出和12.12.12.1进行认证定义IKE阶段2，定义数据如何安全传输（如图1.8）crypto ipsec transform-set IKE2 esp-des esp-md5-hmac 定义数据隧道名为IKE2，且数据隧道使用des加密，使用MD5hash成散列值mode tunnel VPN的模式为隧道模式exit 返回全局配置模式图1.8定义IPsec转换集（如图1.9）crypto map MYMAP 10 ips

10、ec-isakmp 创建一个转换集名叫MYMAP编号10，并关联IKE阶段一。Set peer 12.12.12.1 定义转换集对端地址为12.12.12.1Set transform-set IKE2 关联IKE阶段二Match address 101 当访问控制列表101满足时触发VPNexit 返回全局配置模式图1.9IPsec策略应用到接口（如图1.10）Interface s1/3 进入接口1/3串行接口Crypto map mymap 将转换集MYMAP调用在该接口图1.10IPsec完整配置show running-config（如图1.11）图1.11数据流量分析：从10.1.

11、1.1 去往20.1.1.1的流量到达R1后查询R1的路由表如图1.12所示，匹配缺省静态路由，经过s1/2接口发送给12.12.12.2接口；由于s1/2接口配置了ipsec策略，故流经s1/2接口的流量会被检查是否满足感兴趣流（访问控制列表101），满足源为10.1.1.0目的为20.1.1.0的流量触发IPsecVPN封装，不满足则不触发。触发隧道开始后，ipsecvpn对等体设备之间要进行协商，协商内容包括加密密钥如何传输，以及数据传输用什么加密算法等9个协商包。协商完毕后，IPsecVPN通道建立完成。因为IPsec定义为tunnel隧道模式，所以为流量打上新的ip头部，源为12.1

12、2.12.1 目的为23.23.23.2并把原始的头部加密哈希。此时在ISP公共网络上来看，需要被路由的是从一个公网地址12.12.12.1到另一个公网地址23.23.23.2，而不是路由公司内部私有地址。流量到达23.23.23.2也就是R2后，继续查询自己的路由表如图1.13，去往23.23.23.0网段的流量会被从R2的s1/2接口转发出去。在广域网上通过查询路由表转发，会使得流量最终到达23.23.23.2，也就是分公司网关。由于在23.23.23.2上也配置了ipsecvpn，所以流量会在23.23.23.2接口被被还原为原始数据送达目标地址20.1.1.1。R1路由表如图（1.12

13、）图1.12R2路由表如图（1.13）图1.13R3路由表如图（1.14）图1.14Ping 产生的结果如图（1.15和1.16）第一个ping包不通是由于IPsecVPN隧道建立协商的存在，使icmp等待超时。以后的包就不会再出现次情况。使用源为20.1.1.1 ping 10.1.1.1触发隧道图1.15使用源为23.23.23.2 ping 10.1.1.1 由于R2上没有去往10.1.1.0的路由条目（如图1.13）所以不通图1.16查看IPsec隧道中加密解密的数据量（如图1.17）图1.17 加密了4个数据包，解密了4个数据包，因为ping5个包，第一个包超时不通。Debug Crypto sa 获得的ipsecvpn通信详细信息（如图1.18）