VPN实例配置方案-中文注解 C! x: z9 X c' p
screen.width*0.6) {this.width=screen.width*0.6;this.alt='';this.onmouseover=this.style.cursor='pointer';this.onclick=function(){window.open('http://www.hrbnt.cn/cisco/attachments/month_0510/fc5j_11111.jpg')}}" />- _) M, N+ P8 ]2 ]& O
Router:sam-i-am(VPN Server)" M9 {3 G: S. s( s3 X7 a9 W
$ n( f* e; }- }5 p
Current configuration:
7 R+ s/ X4 o5 d! u! ]; C' W" R! D$ ^; A! s! n1 |
version 12.2
5 \* {. R2 n: L0 {, iservice timestamps debug uptime ( }9 l4 x# A5 W9 ]2 O) v4 |
service timestamps log up time
$ k3 e q$ d: ?4 rno service password-encryption 5 L% {" B- R7 r& Q
!
) |$ L7 N7 u a$ G1 F& w7 z4 hhostname sam-i-am
4 ~2 t+ E3 ]& e/ t6 \+ ], }& j/ M!
' p1 ~5 B1 m# W0 j/ T! q1 a6 tip subnet-zero
! N4 Y7 P) M9 e+ S, N# w f: y. x( Y, ` z( z6 \, r
!--- IKE配置
9 @8 o7 S/ t, L: f2 R. h2 m* a# m0 R @1 ^
sam-i-am(config)#crypto isakmp policy 1 //定义策略为1
" h5 `+ Z' B g' lsam-i-am(isakmp)#hash md5 //定义MD5散列算法6 k# E5 X& R9 Y9 V
sam-i-am(isakmp)#authentication pre-share //定义为预共享密钥认证方式( H5 O9 V$ T# j9 z) O4 {, Z
sam-i-am(config)#crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
: Y- v9 s2 g- }9 r, q: a: [/ ^; q$ i" C& X$ o9 a- P2 c
!--- 配置预共享密钥为cisco123,对等端为所有IP
; C2 \5 L3 a( H. h/ a, \4 l! B+ m+ S6 \ u; g' w$ F
!--- IPSec协议配置
/ T3 p0 b) z3 f g* }- N; S1 e
) R% Y8 ]% R2 M: E z# F7 Hsam-i-am(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac
B' R, k3 S& s$ ~/ P+ D$ W5 |2 r( _8 e
!--- 创建变换集 esp-des esp-md5-hmac
- g$ ?" N. x- B6 r- d7 J
/ E3 X) R4 ]1 `) ~+ W/ Q. [, Isam-i-am(config)#crypto dynamic-map rtpmap 10 //创建动态保密图rtpmap 10
' H$ A- e6 k9 {" q+ N0 V1 d% Wsan-i-am(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset6 ]; n9 ]) I" Y# k
san-i-am(crypto-map)#match address 115 //援引访问列表确定受保护的流量# p j9 [/ _3 M. \" X0 E0 P, b; {
sam-i-am(config)#crypto map rtptrans 10 ipsec-isakmp dynamic rtpmap
5 j) ~" G$ r7 u! J2 x; `5 j
; Y3 _1 G+ H6 ^: ?. a# Y' H5 P!--- 将动态保密图集加入到正规的图集中( R# d# s# ]1 n1 j; d+ t6 e/ m
! }" b- k% j/ o!: N9 _% d( L6 i# J0 z
interface Ethernet06 a1 _" f+ j1 Q) W
ip address 10.2.2.3 255.255.255.0
4 ~: `8 n% R) f) U7 f; I# a* r, ano ip directed-broadcast
n) r; f% X9 S1 Rip nat inside3 n4 s5 ]( e# G/ {
0 T3 {. H, y: _; v6 D5 _! A+ y
no mop enabled
# q8 M! R4 k1 n4 ?1 ^! W1 x5 g {" X% P' r
interface Serial02 M5 z0 N2 s7 x% c+ c
ip address 99.99.99.1 255.255.255.05 U2 r: }/ V* y2 F- a
no ip directed-broadcast# l w* s' e8 {
ip nat outside
4 b9 y- ^3 N, d2 q5 M! s! O% hcrypto map rtptrans //将保密映射应用到S0接口上
( O' I8 `2 v$ ~
1 v% z( O9 R) ~3 T# h!
; a0 ~1 n- {) `* n/ lip nat inside source route-map nonat interface Serial0 overload
+ H. @% L- p" `) ^!--- 这个NAT配置启用了路由策略,内容为10.2.2.0到10.1.1.0的访问不进行地址翻译: l( M# G( w% i1 s" h( {
!--- 到其他网络的访问都翻译成SO接口的IP地址1 s; N. O: J% ~, o q$ e
( }1 F3 S% w2 R4 m! T
ip classless 5 P4 X, f7 @' a9 o
ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议. [) G D0 M" D( D9 K& x6 z
no ip http server+ U! ]0 e6 D% }% m" y* s- L. r
!
! _) b2 J8 }0 p; _access-list 115 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
4 W8 b# O: I( g9 `6 X& Z maccess-list 115 deny ip 10.2.2.0 0.0.0.255 any
5 o5 j) w+ A' a; _% l- K!
. {3 _' b, T- C) i3 l, Xaccess-list 120 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
t8 _% O: d8 m7 ^) ]1 s, _access-list 120 permit ip 10.2.2.0 0.0.0.255 any! q9 J) Y5 W! d' B0 m6 ]
!% b% X' I4 s* a# i
sam-i-am(config)#route-map nonat permit 10 //使用路由策略
+ D1 V8 H' M! V6 a" m. @sam-i-am(router-map)#match ip address 120, n$ C( n. }' m" A6 c/ ?$ F
!: q- n5 g+ _/ O4 X; g
line con 0
7 R: H. E, C+ C6 s7 m: i6 ctransport input none% s& z- @5 h" v r* l( `9 r
line aux 0
1 I% w5 R. h6 g" Y9 iline vty 0 4( ~$ h) o+ e- S9 U' {
password ww
: b/ Q, L* q! q. V1 Ylogin% m2 X$ G/ [( M: _3 _* l1 o
!: Z8 m/ Y5 k# j' c, g7 d
end
0 w# ?& ]7 R1 t7 o4 }4 K8 B
* K+ C a/ x3 a3 a: _" J. J m
) q0 |0 S4 d: GRouter:dr_whoovie(VPN Client)3 x& W7 D# Z7 U7 r' D
+ _2 s; f2 `4 f$ w, C+ s4 h6 H
- T' |7 q3 Y$ X. @0 N0 G- [1 p! H7 oCurrent configuration:
F, t1 H$ i R! I- Q! l. b; n) K( C+ N!
; e( X! ~, L, q2 ?. [9 z2 Z* | } sversion 12.2
/ c2 p6 o3 d" Fservice timestamps debug uptime
1 P' A7 s& U% Hservice timestamps log uptime" J0 }# H) {6 x5 N
no service password-encryption
5 P! s0 {7 n: `0 V: D!
2 B$ c# @5 H6 b5 L2 ~hostname dr_whoovie# D9 ?6 m9 o6 G# Y
!) l' L+ f t+ Q
ip subnet-zero
) N2 |5 v8 Z# x9 J+ k' Y) ^5 z!
. q$ W, y) @7 T$ P/ Kdr_whoovie(config)#crypto isakmp policy 1 //定义策略为1
; n, O0 o( K: a4 c5 sdr_whoovie(isakmp)#hash md5 //定义MD5散列算法
" b6 {* ]) `2 g3 O) M/ }+ Z( c2 u1 Qdr_whoovie(isakmp)#authentication pre-share //定义为预共享密钥认证方式4 [! v/ z$ X4 R, S% }7 s
dr_whoovie(config)#crypto isakmp key cisco123 address 99.99.99.1 n8 @$ J) W7 _8 @5 d& p e
5 ~; A6 C, h4 e6 i1 s0 L
!--- 配置预共享密钥为cisco123,对等端为服务器端IP99.99.99.1: Y' C+ w* l% ]6 t* E( H
: c9 P- y% p) \* B; v
!--- IPSec协议配置7 _6 o0 a% I N: g
7 r& j' O, H# Q9 [
dr_whoovie(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac
, S D( P$ `4 D# T8 i* v/ m$ W& M: \9 H" Y( V5 C) Q
!--- 创建变换集 esp-des esp-md5-hmac
. R5 U/ L) Z: O# L" }8 s
' n- N6 x" ]1 l3 O, R" O* n# U, jdr_whoovie(config)#crypto map rtp 1 ipsec-isakmp
7 w- T" S# S9 ]/ k4 z7 I
5 K/ c2 N1 J# g!--- 使用IKE创建保密图rtp 1& j: G( S3 G( V( }- ~
5 r1 m) ?) D2 o- h5 X3 Z9 udr_whoovie(crypto-map)#set peer 99.99.99.1 //确定远程对等端
2 P4 \+ t0 O# c# O" o; I0 {dr_whoovie(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
, k; x, e6 P; @dr_whoovie(crypto-map)#match address 115 //援引访问列表确定受保护的流量
( Y" X& t# v G8 k* S1 z- A
5 Y6 g2 D1 o% @) V!; r9 n8 e) j: X
interface Ethernet0
5 |8 q4 F, F5 [. C0 qip address 10.1.1.1 255.255.255.0) `8 E3 f7 i) {$ ?
no ip directed-broadcast. f" c( Q8 F5 I9 V# `3 F
ip nat inside
. P& ~" h1 s/ m; x/ b# y6 U+ n1 u* I2 N2 U! ?7 j+ K1 O
no mop enabled
5 F2 }! n7 i# b) n! i!1 N2 G' S3 y( q& F8 P- ?
interface Serial0
5 k$ K" ?- \" J" q9 [ip address negotiated //IP地址自动获取
7 C1 M% [1 ~: @/ {no ip directed-broadcast3 X& ~1 ?) c- b g, x
ip nat outside
2 p8 j4 Q- { ], y! ^encapsulation ppp //S0接口封装ppp协议
2 w. d* O2 X: N- K; S1 Jno ip mroute-cache
; R6 V4 l, m. e+ n* I6 r' }! Sno ip route-cache' ^6 ^- U7 k4 a' T( l8 \) E$ H
crypto map rtp //将保密映射应用到S0接口上
; o& L. \2 J5 U( l5 _2 T2 C+ y6 H( I/ V
!* p7 u! M! ~/ `! G
ip nat inside source route-map nonat interface Serial0 overload4 C4 l l) J* b& _5 s
!--- 这个NAT配置启用了路由策略,内容为10.1.1.0到10.2.2.0的访问不进行地址翻译
, J* c4 T2 g% w% u8 J!--- 到其他网络的访问都翻译成SO接口的IP地址
! a u/ m! |" D0 [5 X v- B" z# [* z; e- W5 e9 k* L+ P
ip classless
: ~4 P. G5 c# Q7 a' m$ j! L, {ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议5 O B. K+ s/ s9 i
no ip http server
* a) S( u$ ]* J: ~4 N# Q/ N& w& K; Z Z; ~- Z
!* p$ x* N0 l9 R( J. H
access-list 115 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255% X% Q. n( \% ?1 M. f- k5 O9 D
access-list 115 deny ip 10.1.1.0 0.0.0.255 any
+ }/ c5 g( p3 Q: [: u8 A8 _9 s% ]8 I0 x* t1 v' p: H
access-list 120 deny ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255- P9 f; P* M$ n" p% f! t' u
access-list 120 permit ip 10.1.1.0 0.0.0.255 any8 g+ ?: w0 f) s# K% V' ~# Z. @
" U7 C/ `- c# i4 E: u, @" i6 a
!- U2 a) D7 [6 ]% ?" N+ J
dialer-list 1 protocol ip permit
! y3 }7 i% J3 X$ n' adialer-list 1 protocol ipx permit
4 ~6 w3 Q2 g' G+ B# w% Proute-map nonat permit 10 //使用路由策略
6 f# ]0 E& D* M9 |2 n, Rmatch ip address 1207 t8 X+ V' c( d; ]9 J
!
$ o/ b' J1 I1 f- ~6 C- \ oline con 0! E5 q9 y+ i' n5 Y
transport input none. a; |! I& H7 r' u1 z
line aux 0
, M! r/ A; ]. M* j" G" i' a% rline vty 0 4
1 q/ n( W# y* _* apassword ww
1 D' ^* c& C8 G5 Vlogin3 a, ~/ D: J+ f2 x; k2 J: ~
!
. n2 O6 B+ n0 u0 j, |" b( J* aend
0 E" |/ f, D2 d$ C
3 `) r1 H+ \9 J: H7 b, X1 J% I& ^; \2 U6 E; s9 Z7 l
; [- M1 q* m+ b+ @" o' v4 p+ d7 l-----------IKE配置----------------
7 h. E4 {3 \! d7 U
) ^2 {* r( O2 q& n- f# e8 zIPSec VPN对等端为了建立信任关系,必须交换某种形式的认证密钥。
7 l3 q) T5 w% h0 Z2 {+ JInternet 密钥交换(Internet Key Exchange,IKE)是一种为IPSec管理和交换密钥的标准方法。% Y7 `, R: N* b `- c" s
一旦两个对等端之间的IKE协商取得成功,那么IKE就创建到远程对等端的安全关联(security association,SA)。SA是单向的;在两个对等端之间存在两6 d; ?3 k/ [5 u- R* }% f
个SA。
; T/ A) h) C! ?' b! yIKE使用UDP端口500进行协商,确保端口500不被阻塞。
; f) c. v# T5 e2 b7 S8 ?0 l2 m/ e
' C' X/ O3 e* Q, v) _; j配置7 p# }) I; V. C1 p' j6 U
8 A# V A* L; I2 {$ ^- x4 x, A1、(可选)启用或者禁用IKE
/ a7 J, Y+ @) e7 W, K0 Q(global)crypto isakmp enable5 B; Q# t$ X+ n9 _- p2 x+ [5 A& J8 l
或者
W' k$ V# t" V2 J(global)no crypto isakmp enable
; \- k% f& X- x7 A$ T$ J$ W- C6 J. a默认在所有接口上启动IKE
4 y& A# e. b y4 w/ K) b! h( b; A* d7 E5 P( h2 g x' t' u
2、创建IKE策略
4 R! F0 v0 r( n9 l R( ?(1)定义策略 b% g1 j/ S( y; z- U8 @
(global)crypto isakmp policy priority% ]: y% s0 \2 f# M. p1 i
注释:policy 1表示策略1,假如想多配几个VPN,可以写成policy 2、policy3┅
6 M9 |0 w2 [* U4 ?# j, m
! ^3 o' L9 G2 I8 J+ h' E(2)(可选)定义加密算法
% w: v9 U; Q0 e: J$ B, I$ i+ i: t. H/ c(isakmp)encryption {des | 3des}
`# R5 [! l+ ^$ B加密模式可以为56位的DES-CBC(des,默认值)或者168位的3DES(3des)% p* U8 ^ j0 K+ d. T% T
2 E+ R6 I6 X; e, |& X* d(3)(可选)定义散列算法
/ S- s) {9 e" y(isamkp)hash {sha | md5}& d& Z5 ^# f( `4 Q
默认sha$ u% b+ L- V% Q- j
: N- ~% m# U2 e' s(4)(可选)定义认证方式& e) R j- c! _" F
(isamkp)authentication {rsa-sig | rsa-encr | pre-share} E7 V! X, N" F5 D6 [8 ]
rsa-sig 要求使用CA并且提供防止抵赖功能;默认值
3 |0 |9 f2 A) x+ N& X. l9 C/ Q" f1 xrsa-encr 不需要CA,提供防止抵赖功能! O& O: ^. S3 E. B
pre-share 通过手工配置预共享密钥1 `5 ~/ J+ Y3 z4 I" n
' A7 @+ b! l* K2 i9 w) X' V% k" h(5)(可选)定义Diffie-Hellman标识符) y2 e! k7 P) I/ ~6 k+ J0 _ U
(isakmp)group {1 | 2}
2 f3 Z. b" J; k* D: h. R注释:除非购买高端路由器,或是VPN通信比较少,否则最好使用group 1长度的密钥,group命令有两个参数值:1和2。参数值1表示密钥使用768位密钥,
( r8 ]5 L8 `- [) U6 y) c w参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。5 i4 d) u3 ?$ Y Z- ^
- F4 |8 c# y m# I9 ?5 o6 W, r. a
(6)(可选)定义安全关联的生命期( h/ q- w3 W. J& L& e
(isakmp)lifetime seconds
# F) A+ C* B c, j注释:对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否则VPN在正
! C i( Y/ J& f" M8 r" Z- g' |常初始化之后,将会在较短的一个SA周期到达中断。
V( T. p* M9 y
, t9 q- D$ @& E# a l8 Q& B6 q3、(rsa-sig)使用证书授权(CA)
, n L* Y! X: y$ p" {6 m(1)确保路由器有主机名和域名
% j0 k. P" P$ G- c# E3 Z1 d(global)hostname hostname1 Q* M* b, y0 L7 ^& G
(global)ip domain-name domain% q1 W( M+ a# z C& H8 s- t
4 L' s6 \8 g7 G: ?3 k1 O3 o
(2)产生RSA密钥) j& E+ d! d1 H' e+ N. X
(global)crypto key generate rsa+ ~! ]9 C1 u9 D
, `3 l& ?& D( C: Y(3)使用向IPSec对等端发布证书的CA$ a( J; a# M: }! }
--设定CA的主机名
7 z/ ~* Y3 ~1 g$ x: O(global)crypto ca identity name
5 A( O1 C4 D" z, B& y# ~--设定联络CA所使用的URL
9 S% l3 q4 D& T9 S9 S+ o4 z(ca-identity)enrollment url url7 q$ y7 Q/ I+ t, Z C
URL应该采用http://ca-domain-nameort/cgi-bin-location的形式; S I5 x7 Q: e
--(可选)使用RA模式- T3 y. j% _, ]8 z( @0 q, k
(ca-identity)enrollment mode ra
( V4 D2 V, P! Q4 ]9 F(ca-identity)query url url! k% F1 }! Q. S. [: n$ v! r
--(可选)设定注册重试参数$ K$ x% H% v( s
(ca-identity)enrollment retry period minutes0 O* n5 g6 F+ T3 ]; H( S5 C
(ca-identity)enrollment retry count number- u) T3 p: k, @$ f5 S9 H0 t
minutes(1到60;默认为1) number(1到100;默认为0,代表无穷次)+ ^/ u8 j( u' T; T2 V! R
--(可选)可选的证书作废列表
% F) ]0 `% q6 o4 ]+ \$ b$ O(ca-identity)crl optional" E$ S9 d3 T7 r1 u
' Q, s0 o5 P* W! X" P: A# P6 S
(4)(可选)使用可信的根CA& P- Y$ V& ^5 j5 z0 N/ E( o
--确定可信的根CA
4 V, o7 q+ p! ^* u9 n(global)crypto ca trusted-root name
' W. ^! h3 l& M9 J- ~/ ?3 N--(可选)从可信的根请求CRL7 p, c. y4 o9 d: L. q f# e
(ca-root)crl query url- Z7 X# }) V, Y3 g) Y! L
--定义注册的方法
/ [9 n3 F, e- H! L D, z9 Y0 z1 V(ca-root)root {CEP url | TFTP server file | PROXY url}
$ R! Q# y h& ~' W4 d, E
$ y. {1 d+ Y6 u8 X(5)认证CA2 L9 I( E. G4 G+ X/ W
(global)crypto ca authenticate name
( t! B( e u. @" q/ g( z! D1 k5 y. b; V# |
(6)用CA注册路由器
2 B t' H1 r. G, m! L(global)crypto ca enroll name
' H1 M6 [9 J* _0 S. V( o% E# W: o# X8 R' l' W. `, j
4、(rsa-encr)手工配置RSA密钥(不使用CA)' k2 Z$ A1 _+ R: u- t
(1)产生RSA密钥
! }7 ?4 o, h: i$ r(global)crypto key generate rsa+ {1 C5 E; d, f" z% [
4 h( N+ J3 V5 B- |6 f9 l, S3 L(2)指定对等端的ISAKMP标识
! K0 z5 o. n: J" v v- u& ~; `4 S0 W(global)crypto isakmp identity {address | hostname}- {. r# z A3 d/ d2 n1 N7 m
( \0 N& T5 O! ^7 ^
(3)指定其他所有对等端的RSA密钥
$ ~4 F! d0 m ~' |! U--配置公共密钥链
/ w- `4 l; R j5 Z: V( x8 S6 {7 E( N(global)crypto key pubkey-chain rsa0 e3 [7 V& Y# T; A! x
% i7 y4 ^: A9 G--用名字或地址确定密钥
7 I k3 P; w- Z: ]2 \(pubkey-chain)named-key key-name [encryption | signature]
3 H* Y, y% ?8 c6 ^1 |. b- u(pubkey-chain)addressed-key key-name [encryption | signature]- e3 D0 M5 y M0 F: v2 W
9 I5 U P4 F. |* K6 w$ d: f
--(可选)手工配置远程对等端的IP地址
_5 x5 ]/ |$ m' l+ E. z(pubkey-key)address ip-addr% O! C* s( N4 W5 V9 Q: T; B! ?
' |# M* J; c/ y k! C
--指定远程对等端的公开密钥
9 y- T& g5 W0 m* c9 Z' j(pubkey-key)key-string key-string
* }* D5 ]. b2 E5 l. p7 m: `
9 A1 W; ^0 o0 p; B) Q: M5、(preshare)配置预共享密钥9 J( Y- Q/ y v* z. i- p: i. L9 v
(global)crypto isakmp key key-string {addrss | hostname} {peer-address | peer-hostname}
; L4 Y) }$ w- k: A1 Q6 x注释:返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址,即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类
1 j2 a7 h5 X& D; U* `似8 T* D6 j6 j/ w0 \- q* I
" x& S9 q7 p S: m/ m
6、(可选)使用IKE模式. x8 `0 |1 @+ ?4 A+ Y( j
(1)定义要分发的“内部”或者受保护IP地址库
* m% n5 E" P& |4 ^: G% Z(global)ip local pool pool-name start-address end-address! b2 P1 i8 q* l4 u, [% G% o9 c0 S
, K/ r, ?7 R/ m5 H4 X) H
(2)启动IKE模式协商
, O* u! H6 P! ` D(global)crypto isakmp client configuration address-pool local pool-name" u* w* V: W+ |: `' o+ ]" a
7 z& `8 c& w" y( b--------------IPSec配置----------------# w; e% ?4 m# ? K1 Z
( r1 h4 A0 z( V. M" g1 n. T0 N4 X* uIPSec 使用加密、数据完整性、源发鉴别以及拒绝重演分组来保护和认证网络层对等端之间的IP分组- Z0 J3 |* Y% D& G. r( V
( p! w' @3 t3 [& ^9 g
IPSec对于构建内因网、外因网以及远程用户接入VPN来说非常有用处/ {( v5 E$ W. D
) U* f; o; w# K7 c' hIPSec支持以下标准
2 S4 z+ T! |* [& U: R1 r$ X--Internet协议的安全体系结构
) v2 \" O1 T4 J0 N+ H6 h. \--IKE(Internet密钥交换); p# e! d6 F5 i
--DES(数据加密标准)
! C" m/ ?" Z a" `3 Z--MD54 ]) K0 }/ U4 K( M& `: A
--SHA1 h' e# Y+ R+ G# b* t0 v
--AH(Authentication Header,认证首部)数据认证和反重演(anti-reply)服务
* T. M& e' W3 _9 i) p( Q5 x7 b2 H# l--ESP(Encapsulation Security Payload,封装安全净荷)数据隐私、数据验证以及反重演(anti-reply)服务9 a) `! O5 L) P, B2 N- j6 t
5 v0 ^7 W% K9 N7 E' S
敏感流量由访问列表所定义,并且通过crypto map(保密图)集被应用到接口上。3 b m/ k' A% E* z( m7 a
/ J V/ _) W# m8 o配置' ^% ^1 _5 S; z# x4 h2 q1 f( h; s( ]
4 Y' Q) c0 ^8 `
1、为密钥管理配置IKE
/ F" r. p1 J" q
2 H6 U/ L! H) M' x7 t' P2、(可选)定义SA的全局生命期+ G3 G5 M8 v6 {/ t
(global)crypto ipsec security-association lifetime seconds seconds6 o, D0 ~. I. b
(global)crypto ipsec security-association lifetime killobytes kilobytes
& W1 q( d- `+ n# m% N* d5 a9 w
# w, i# s. L& [2 H3、定义保密访问列表来定义受保护的流量
. D/ p7 ]: x# }% K(global)access-list access-list-number ....
" e7 ^9 c% ]# @- v4 N8 T或者+ i+ l$ e9 \4 v1 D
(global)ip access-list extended name3 q" d# d% Q9 [# p0 I* k E! F# O4 B
扩展的访问列表必须定义由IPSec保护哪种IP流量。保密图(crypto map)援引这个访问列表来确定在接口上要保护的流量。2 _% t# ^' f; c/ V( H
# f% D9 ]# t+ P; r U9 q3 Q
4、定义IPSec交换集. J5 b# F' _. I( p9 U& A3 \. U
(1)创建变换集
3 i' t! e# C }(global)crypto ipsec transform-set name [transform1 | transform2 | transform3]4 H9 N/ _$ a1 Z
可以在一个保密图(crypto map)中定义多个变换集。如果没有使用IKE,那么只能定义一种变换集。用户能够选择多达三种变换。
& c# m+ ?# W& J(可选)选择一种AH变换
1 i( _4 R+ M' E3 E' ]--ah-md5-hmac
+ W9 t8 p4 {6 K7 z* i4 E% G--ah-sha-hmac0 e Q9 `1 V' p$ a; ?' X
--ah-rfc-1828
# o$ x$ p2 v4 s# I1 C9 q& m(可选)选择一种ESP加密编号
' x+ g0 l1 L6 h2 p* P3 Q--esp-des
- Z# s% l' n; s0 S9 J* X--esp-3des1 ]8 u7 [, F0 e/ N- o; u
--esp-rfc-18293 n2 H+ k) R2 V) v9 Y2 U. G
--esp-null
& L0 y5 Y8 ?6 v( _! |# L7 i以及这些验证方法之一# M, X9 Q/ m' V2 [ o
--esp-md5-hmac \, x X& |# ?) y
--esp-sha-hmac
' K; o! C% [' N# d- {; @; d(可选)选择IP压缩变换5 T) T! R$ P% \. P' x, @% H
--comp-lzs
" P% U- O) F( Q/ D. \
6 Q2 q' Y2 r4 }; s" W$ e(2)(可选)选择变换集的模式- w# c: l: ?( @4 d( n# `; E
(crypto-transform)mode {tunnel | transport}% M# J( X. E p# {6 c2 e2 M
9 d4 S4 M- R- p# u, }5、使用IPSec策略定义保密映射, l: Z; T3 R; B0 P2 u/ d
保密图(crypto map)连接了保密访问列表,确定了远程对等端、本地地址、变换集和协商方法。
+ Z. n1 {, |7 x8 x' d) C. V7 s$ N6 r+ O0 t
(1)(可选)使用手工的安全关联(没有IKE协商)
# G/ n" ?$ ]# a/ ~! q--创建保密图! P$ |! M0 F& o
(global)crypto map map-name sequence ipsec-manual
- R/ M5 Q5 G2 j1 M7 f0 m
7 I2 t; R4 I+ h: v--援引保密访问列表来确定受保护的流量
1 }# e, {5 @. A4 q9 |" I& `(crypto-map)match address access-list
# j" A- k6 K7 ~' `5 x! X: }2 X8 s) r+ R9 p% o
--确定远程的IPSec对等端
, I6 e' G3 @5 b! n$ Q(crypto-map)set peer {hostname | ip_addr}$ k( X" J& `8 {3 N) k
% s6 {1 j- w$ `) p5 T( W# @# B- A--指定要使用的变换集
3 l; x0 q- B( `4 ?, ?(crypto-map)set transform-set name
' I6 j0 o' V8 x1 d变换集必须和远程对等端上使用的相同3 }1 F H- ^; ^
' H$ g4 x- i! L G% T# s: t--(仅适用于AH验证)手工设定AH密钥
$ I' ^; j5 _0 X9 m& q0 Z(crypto-map)set session-key inbound ah spi hex-key-data5 K0 V" _2 }+ E3 j
(crypto-map)set session-key outbound ah spi hex-key-data- J, V- Q% r& _. W1 d
|7 I6 }8 c9 Q% p
--(仅适用于ESP验证)手工设定ESP SPI和密钥
- D! w- O/ i# k; Q8 U(crypto-map)set session-key inbound ah spi hex-key-data [authenticator hex-key-data]
# c" o o9 B0 B6 L(crypto-map)set session-key outbound ah spi hex-key-data [authenticator hex-key-data]
: y, Z$ h" B- b0 w4 F! A3 Z
) q7 s+ u7 ]# a! S0 ?, I/ ^1 b(2)(可选)使用IKE建立的安全关联
( @4 e8 l- ^0 J1 \--创建保密图! n2 z9 r$ G( Y0 \( z- i
(global)crypto map map-name sequence ipsec-isakmp
) ~4 D; ^/ H1 h, W9 S4 z! c& T# s9 c& r9 H1 u
--援引保密访问列表来确定受保护的流量* w- f# Y+ c) R# z" G1 t( c' C# q
(crypto-map)match address access-list. c( d3 w3 W* _4 f; G- N0 y. s
) m" h7 y# d' N$ G; y
--确定远程的IPSec对等端
% g$ H8 B5 p/ `7 a; @- J(crypto-map)set peer {hostname | ip_addr}
- i: d4 W4 X/ r y$ c2 S+ p1 X9 q2 ]6 P
--指定要使用的变换集) [$ u8 f& g) M# H) ~4 }
(crypto-map)set transform-set name H* q+ I2 ~/ q z' s' K* F- Y
变换集必须和远程对等端上使用的相同
7 B4 f( t% J _. m. g! V3 d( k( j, B4 _ z& U# V6 Q8 Z* E
--(可选)如果SA生命期和全局默认不同,那么定义它:
0 {( r7 F$ K s) |$ F(crypto-map)set security-association lifetime seconds seconds
1 R/ C. q$ g8 l(crypto-map)set security-association lifetime kilobytes kilobytes
8 }& Z7 t* ^" @) a) f, T7 C& } ]) a0 c; }- [( I
--(可选)为每个源/目的主机对使用一个独立的SA
: O2 M$ ]' _/ V, P8 F(crypto-map)set security-association level per-host
; z( V4 [7 L: |, f9 g
( F$ R, a& L5 V. q% p0 k--(可选)对每个新的SA使用完整转发安全性. o3 m7 s# _. K* E
(crypto-map)set pfs [group1 | group2]
# J; l* H% i. Z/ O7 c0 {7 m
4 `* ^- S9 E3 q(3)(可选)使用动态安全关联9 p3 q& u* X/ T0 g" C1 F. D9 I! K
--创建动态的保密图9 Z3 y1 m: z: U% z
(global)crypto dynamic-map dyn-map-name dyn-seq-num- @: P+ f+ T. \0 _! x
$ Y+ t i3 V! P5 }
--(可选)援引保密访问列表确定受保护的流量
. ^7 {; S7 c% G9 E(crypto-map)match address access-list
0 P7 e5 c' a5 s: r( y& C
" T2 [6 P5 K3 x; y5 S/ N# d--(可选)确定远程的IPSec对等端- }' U2 G1 b& j) V1 Z( E
(crypto-map)set peer {hostname | ip_addr}
2 d$ f' z1 a9 J& r4 F l& j! D. G$ a8 r7 i2 o9 ]$ t! M
--(可选)指定要使用的变换集
T8 S% ~1 z7 o( I2 V2 i(crypto-map)set transform-set tranform-set-name
8 d3 H$ ?, {3 w/ V
6 F8 T! W, ]+ S% L# A: e$ a$ P--(可选)如果SA生命期和全局默认不同,那么定义它:
/ B4 M7 o/ r( z! O' t. W# b0 z O(crypto-map)set security-association lifetime seconds seconds' i7 W& F% `$ V+ p; F/ \
(crypto-map)set security-association lifetime kilobytes kilobytes) {# T! |, Z) P3 h6 ^' b
: i: V+ z5 J- x) g S# w- S
--(可选)对每个新的SA使用完整转发安全性
0 @5 ^/ [# s- u% t; u+ J8 N$ a(crypto-map)set pfs [group1 | group2]
! Y: J7 t5 m" o' e( M8 Z0 O8 j8 i! l
--将动态保密图集加入到正规的图集中
8 s8 t0 M. @$ H4 e- g(global)crypto map map-name sequence ipsec-isakmp dynamic dyn-map-name [discover]
. N5 V* w1 Q f* R; f [ d" i4 y. S, {0 W! j( j: \! \
--(可选)使用IKE模式的客户机配置
' v( k; c$ N( H* ~+ h8 T(global)crypto map map-name client configuration address [initiate | respond]+ c/ k& d1 Y0 p+ H: B2 I9 F+ V
. s; O! x! |* w
--(可选)使用来自AAA服务器的预共享IKE密钥( Q' i) H0 V `5 P2 R8 j
(global)crypto map map-name isakmp authorization list list-name
& w# P2 z% r. L# u4 [
! D; m% B. b2 o v. Q$ p6、将保密映射应用到接口上( w# q3 W2 O" i9 F8 B; M
k/ Y# t6 t+ p8 X8 q& R' J
(1)指定要使用的保密映射
) q' w1 |1 @9 j& E/ e' T(interface)crypto map map-name! w( w) U" u: E4 L n
. a* G. k5 C; h7 Z(2)(可选)和其他接口共享保密映射0 O1 p: f0 a$ q
(global)crypto map map-name local-address interface-id |