Cisco-IPSec-VPN-配置详解

9youwoaini
3 ℃
2020-03-10

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

CiscoIPSecVPN配置详解VPN作为一项成熟的技术，广泛应用于组织总部和分支机构之间的组网互联，其利用组织已有的互联网出口，虚拟出一条“专线”，将组织的分支机构和总部连接起来，组成一个大的局域网。IPSEC引进了完整的安全机制，包括加密、认证和数据防篡改功能。IPsec的协商分为两个阶段：第一阶段：验证对方，协商出IKESA，保护第二阶段IPSECSa协商过程第二阶段：保护具体的数据流CiscoIPSecVPN配置详解配置IPSecVPN常规的步骤如下（建议复制下来）：启用IKE配置第一阶段策略//cryptoisakmppolicyxx配置PreShareKey//cryptoisakmpkey配置第二阶段策略//cryptoipsectransfor-set定义感兴趣流（利用扩展的ACL）定义map应用map注意事项：两端的加密点必须要有去往对方的路由（可通讯）配置如下：ISP的配置ISP#conftISP(config)#intf0/0ISP(config-if)#ipadd202.1.1.1255.255.255.252ISP(config-if)#noshISP(config-if)#intf0/1ISP(config-if)#ipadd61.1.1.1255.255.255.252ISP(config-if)#noshCQ（左边路由器）的配置：CQ#conftCQ(config)#intf0/0CQ(config-if)#ipadd202.1.1.2255.255.255.252CQ(config-if)#noshCQ(config-if)#intlo0CQ(config-if)#ipadd1.1.1.1255.255.255.0CQ(config-if)#noshCQ(config-if)#exitCQ(config)#iproute0.0.0.00.0.0.0202.1.1.1//配置一条去往互联网的静态路由。实现与SH（右边路由器）的加密点通信第一阶段的配置（两端要一致）：CQ(config)#cryptoisakmppolicy10//配置策略，序号为10（本地有效）CQ(config-isakmp)#authenticationpre-share//验证方式为预共享密钥CQ(config-isakmp)#encryptionaes//加密算法为aesCQ(config-isakmp)#hashsha//完整性校验算法为shaCQ(config-isakmp)#group5//DH组为5CQ(config-isakmp)#exitCQ(config)#cryptoisakmpkey0ciscoaddress61.1.1.2//配置Key0表示不加密，密码为ciscoaddress为对端加密点第二阶段CQ(config)#cryptoipsectransform-setciscoesp-aesesp-sha-hmac//配置第二阶段策略，命名为ciscoesp（加密头部）加密方式为aes完整性校验为shaCQ(cfg-crypto-trans)#exitCQ(config)#ipaccess-listextendedvpn//定义一个扩展的ACLCQ(config-ext-nacl)#permitip1.1.1.00.0.0.2552.2.2.00.0.0.255CQ(config)#cryptomapcisco10ipsec-isakmp//定义一个map（名称等本地有效）CQ(config-crypto-map)#settransform-setcisco//关联第二阶段的策略CQ(config-crypto-map)#setpeer61.1.1.2//指定对端地址CQ(config-crypto-map)#matchaddressvpn//关联ACLCQ(config-crypto-map)#exitCQ(config)#intf0/0CQ(config-if)#cryptomapcisco//使用mapSH的配置（右边路由器）SH#conftSH(config)#intf0/0SH(config-if)#ipadd61.1.1.2255.255.255.252SH(config-if)#intlo0et0/0,changedstatetoupSH(config-if)#ipadd2.2.2.2255.255.255.0SH(config-if)#noshSH(config-if)#exitSH(config)#iproute0.0.0.00.0.0.061.1.1.1第一阶段（除了策略的序号外可以不同外，其他的验证要和对端一致）SH(config)#cryptoisakmppolicy20//使用20，只是为了验证序号本地有效。也可以使用10SH(config-isakmp)#authenticationpre-shareSH(config-isakmp)#encryptionaesSH(config-isakmp)#group5SH(config-isakmp)#exitSH(config)#cryptoisakmpkey0ciscoaddress202.1.1.2第二阶段SH(config)#cryptoipsectransform-setcisco1esp-aesesp-sha-hmac//验证类型要与对端一致SH(cfg-crypto-trans)#exitSH(config)#ipaccess-listextendedvpn//定义ACLSH(config-ext-nacl)#permitip2.2.2.00.0.0.2551.1.1.00.0.0.255SH(config)#cryptomapcisco110ipsec-isakmp//名称本地有效SH(config-crypto-map)#settransform-setcisco1//关联本地的第二阶段策略SH(config-crypto-map)#setpeer202.1.1.2SH(config-crypto-map)#matchaddressvpnSH(config-crypto-map)#exitSH(config)#intf0/0SH(config-if)#cryptomapcisco1//应用实验：一开始可能不行，等一下就好了SH#ping1.1.1.1solo0Typeescapesequencetoabort.Sending5,100-byteICMPEchosto1.1.1.1,timeoutis2seconds:Packetsentwithasourceaddressof2.2.2.2!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=16/22/28ms是可以两边的私网是可以通的，说明IPSecVPN配置成功了验证：SH#showcryptoengineconnectionsactiveCryptoEngineConnectionsIDInterfaceTypeAlgorithmEncryptDecryptIP-Address1Fa0/0IPsecAES+SHA01061.1.1.22Fa0/0IPsecAES+SHA10061.1.1.21001Fa0/0IKESHA+AES0061.1.1.2SH#ping1.1.1.1solo0Typeescapesequencetoabort.Sending5,100-byteICMPEchosto1.1.1.1,timeoutis2seconds:Packetsentwithasourceaddressof2.2.2.2!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=16/50/76msSH#showcryptoengineconnectionsactiveCryptoEngineConnectionsIDInterfaceTypeAlgorithmEncryptDecryptIP-Address1Fa0/0IPsecAES+SHA01561.1.1.22Fa0/0IPsecAES+SHA15061.1.1.21001Fa0/0IKESHA+AES0061.1.1.2可以看到，加解密的数据包是正常增加的。在排除一般故障的时候，可以查看这条命令，如果加密成功，那么可能是对方路由的问题导致回不来如果加密不成功，那么应该就是本路由器IPSceVPN的配置或者路由问题了。