1、ipsecvpn配置详解小型企业少量的分公司,配置点对点IPsec VPN 通道。首先VPN的配置必须建立在底层通讯已经建立的前提下,也就是说网络是通的情况下。在R1上配置2端口ip地址路由通告以及感兴趣流(如图1-1所示)En 进入特权模式Conf t 进入全局配置模式Interface s1/2 进入1/2串行接口Ip address 12.12.12.1 255.255.255.0 配置接口ip地址为12.12.12.1/24No shutdown 启动该接口Interface loopback 0 进入回环接口0Ip address 10.1.1.1 255.255.255.0 设置i
2、p地址为10.1.1.1 /24Exit 返回全局配置模式router eigrp 10 启动eigrp路由协议10no auto-summary 关闭默认自动汇总network 12.12.12.0 0.0.0.255 宣告直连网段12.12.12.0/24exit 退回全局配置模式ip route 0.0.0.0 0.0.0.0 12.12.12.2 创建静态缺省路由下一跳为R2access-list 101 permit ip 10.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255创建扩展访问控制列表101号,允许ip协议中源为10.1.1.0/24 去往目的为20.
3、1.1.0/24的数据启用IPsecVPN隧道。图1.1定义IPsec阶段一,定义密钥如何安全传输(如图1.2)Crypto isakmp policy 10 创建管理隧道集10 并开始定义ike阶段一authentication pre-share 源认证采用带外域共享密钥encryption des 定义数据隧道密钥使用des算法安全传输group 2 des密钥长度为2hash MD5 数据隧道密钥使用MD5进行完整性检验exit 返回全局配置模式crypto isakmp key 0 CISCO address 23.23.23.2 源认证的域共享密钥为Cisco,并指出和23.23.
4、23.2进行认证图1.2定义IKE阶段2,定义数据如何安全传输(如图1.3)crypto ipsec transfrom-set IKE2 esp-des esp-md5-hmac 定义数据隧道名为IKE2,且数据隧道使用des加密,使用MD5hash成散列值mode tunnel VPN的模式为隧道模式exit 返回全局配置模式图1.3定义IPsec转换集(如图1.4)crypto map MYMAP 10 ipsec-isakmp 创建一个转换集名叫MYMAP编号10,并关联IKE阶段一。Set peer 23.23.23.2 定义转换集对端地址为23.23.23.2Set transfo
5、rm-set IKE2 关联IKE阶段二Match address 101 当访问控制列表101满足时触发VPNexit 返回全局配置模式图1.4IPsec策略应用到接口(如图1.5)Interface s1/2 进入接口1/2串行接口Crypto map mymap 将转换集MYMAP调用在该接口图1.5在R2上配置2端口ip地址及路由(如图1.6)En 进入特权模式Conf t 进入全局配置模式Interface s1/3 进入1/2串行接口Ip address 12.12.12.2 255.255.255.0 配置接口ip地址为12.12.12.2 24No shutdown 启动该接口
6、Interface s1/2 进入接口1/2串行接口Ip address 23.23.23.1 255.255.255.0 配置接口ip地址为23.23.23.1 /24No shutdown 启动该接口Exit 退回到全局配置模式router eigrp 10 启动eigrp路由协议10no auto-summary 关闭默认自动汇总network 12.12.12.0 0.0.0.255 宣告直连网段12.12.12.0/24network 23.23.23.0 0.0.0.255 宣告直连网段23.23.23.0/24图1.6在R3上配置2端口ip地址路由通告以及感兴趣流(如图1-7所示
7、)En 进入特权模式Conf t 进入全局配置模式Interface s1/3 进入1/2串行接口Ip address 23.23.23.2 255.255.255.0 配置接口ip地址为23.23.23.2 /24Exit 退回到全局配置模式router eigrp 10 启动eigrp路由协议10no auto-summary 关闭默认自动汇总network 23.23.23.0 0.0.0.255 宣告直连网段23.23.23.0/24Exit 退回到全局配置模式ip route 0.0.0.0 0.0.0.0 23.23.23.1 创建静态缺省路由下一跳为R2access-list 1
8、01 permit ip 20.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255创建扩展访问控制列表101号,允许ip协议中源为20.1.1.0/24 去往目的为10.1.1.0/24的数据启用IPsecVPN隧道。图1.7定义IPsec阶段一,定义密钥如何安全传输(如图1.8)Crypto isakmp policy 10 创建管理隧道集10 并开始定义ike阶段一authentication pre-share 源认证采用带外域共享密钥encryption des 定义数据隧道密钥使用des算法安全传输group 2 des密钥长度为2hash MD5 数据隧道密钥使用
9、MD5进行完整性检验exit 返回全局配置模式crypto isakmp key 0 CISCO address 12.12.12.1 源认证的域共享密钥为Cisco,并指出和12.12.12.1进行认证定义IKE阶段2,定义数据如何安全传输(如图1.8)crypto ipsec transform-set IKE2 esp-des esp-md5-hmac 定义数据隧道名为IKE2,且数据隧道使用des加密,使用MD5hash成散列值mode tunnel VPN的模式为隧道模式exit 返回全局配置模式图1.8定义IPsec转换集(如图1.9)crypto map MYMAP 10 ips
10、ec-isakmp 创建一个转换集名叫MYMAP编号10,并关联IKE阶段一。Set peer 12.12.12.1 定义转换集对端地址为12.12.12.1Set transform-set IKE2 关联IKE阶段二Match address 101 当访问控制列表101满足时触发VPNexit 返回全局配置模式图1.9IPsec策略应用到接口(如图1.10)Interface s1/3 进入接口1/3串行接口Crypto map mymap 将转换集MYMAP调用在该接口图1.10IPsec完整配置show running-config(如图1.11)图1.11数据流量分析:从10.1.
11、1.1 去往20.1.1.1的流量到达R1后查询R1的路由表如图1.12所示,匹配缺省静态路由,经过s1/2接口发送给12.12.12.2接口;由于s1/2接口配置了ipsec策略,故流经s1/2接口的流量会被检查是否满足感兴趣流(访问控制列表101),满足源为10.1.1.0目的为20.1.1.0的流量触发IPsecVPN封装,不满足则不触发。触发隧道开始后,ipsecvpn对等体设备之间要进行协商,协商内容包括加密密钥如何传输,以及数据传输用什么加密算法等9个协商包。协商完毕后,IPsecVPN通道建立完成。因为IPsec定义为tunnel隧道模式,所以为流量打上新的ip头部,源为12.1
12、2.12.1 目的为23.23.23.2并把原始的头部加密哈希。此时在ISP公共网络上来看,需要被路由的是从一个公网地址12.12.12.1到另一个公网地址23.23.23.2,而不是路由公司内部私有地址。流量到达23.23.23.2也就是R2后,继续查询自己的路由表如图1.13,去往23.23.23.0网段的流量会被从R2的s1/2接口转发出去。在广域网上通过查询路由表转发,会使得流量最终到达23.23.23.2,也就是分公司网关。由于在23.23.23.2上也配置了ipsecvpn,所以流量会在23.23.23.2接口被被还原为原始数据送达目标地址20.1.1.1。R1路由表如图(1.12
13、)图1.12R2路由表如图(1.13)图1.13R3路由表如图(1.14)图1.14Ping 产生的结果如图(1.15和1.16)第一个ping包不通是由于IPsecVPN隧道建立协商的存在,使icmp等待超时。以后的包就不会再出现次情况。使用源为20.1.1.1 ping 10.1.1.1触发隧道图1.15使用源为23.23.23.2 ping 10.1.1.1 由于R2上没有去往10.1.1.0的路由条目(如图1.13)所以不通图1.16查看IPsec隧道中加密解密的数据量(如图1.17)图1.17 加密了4个数据包,解密了4个数据包,因为ping5个包,第一个包超时不通。Debug Crypto sa 获得的ipsecvpn通信详细信息(如图1.18)
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1