VPN实例配置方案-中文注解
( y/ u% B+ I, B8 _3 M1 {* uscreen.width*0.6) {this.width=screen.width*0.6;this.alt='';this.onmouseover=this.style.cursor='pointer';this.onclick=function(){window.open('http://www.hrbnt.cn/cisco/attachments/month_0510/fc5j_11111.jpg')}}" />; e0 B5 v* H; ~* {4 ]4 d. x N, O
Router:sam-i-am(VPN Server), x d( t& P' B* p
, Z W! W( G) u, [5 n' X: }Current configuration:- q7 l* U/ Z* c ?' ]/ y
!( n7 W! r# K: ~9 F
version 12.2
$ i) ^. J) F8 E6 h* k7 o% qservice timestamps debug uptime / y. N0 a* V }# n4 e3 u
service timestamps log up time
$ m6 R- C2 X- v# \3 wno service password-encryption v) \, G, F# {" K# Q+ w) j) s, k
!
* h: S" x$ a4 V8 P! b! F" ~3 h2 _0 Ihostname sam-i-am" l; g/ I. U; [7 \
!+ v$ p# H$ A1 b2 p6 U9 i2 o
ip subnet-zero ! I4 ^( I& Q, V0 q. d; d
$ N# m) ?. ^' N- ?/ ?+ A
!--- IKE配置
) D! v5 Z' A4 H, w5 D; l h& n$ ?- R+ E& e' l
sam-i-am(config)#crypto isakmp policy 1 //定义策略为1
9 }% ?1 u% I4 V, rsam-i-am(isakmp)#hash md5 //定义MD5散列算法
6 L) z- m& P( wsam-i-am(isakmp)#authentication pre-share //定义为预共享密钥认证方式. t: R R: |! B* P" @4 v/ O1 {5 [
sam-i-am(config)#crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
) g! g+ H( D1 H, A# K2 Z5 e8 W1 t5 n) e8 ~' v) f
!--- 配置预共享密钥为cisco123,对等端为所有IP O8 ?. e" M, e& a: C% M! K5 g
2 f v1 E# t" j0 r: z+ f) n!--- IPSec协议配置
7 l1 C D7 ]7 ?7 [7 }) T3 x+ O0 X2 f4 e6 x
sam-i-am(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac
+ W F1 t5 Y" c: [ K" f
: \* x0 f9 S* ?& m!--- 创建变换集 esp-des esp-md5-hmac0 N: D. b: K5 O
- s( g& T5 Z- s+ n3 ], [
sam-i-am(config)#crypto dynamic-map rtpmap 10 //创建动态保密图rtpmap 10
' c' o, H6 N" v4 L4 D% xsan-i-am(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
; v# a9 |2 p. f: [9 A$ Z0 s. osan-i-am(crypto-map)#match address 115 //援引访问列表确定受保护的流量( `3 l9 q2 z: i
sam-i-am(config)#crypto map rtptrans 10 ipsec-isakmp dynamic rtpmap
9 B" v( m) b' ~9 @! b; \/ x' H, g% P) M" i8 L
!--- 将动态保密图集加入到正规的图集中
7 a' w2 a" I+ V- I6 V
; ]. c6 p/ I, }2 D+ \7 G. g# R) S; A!
) P5 z: y. n2 q& N+ Q$ xinterface Ethernet0
3 W" l" @, r' k/ Q$ cip address 10.2.2.3 255.255.255.0
5 |( B- ^" p% f" @& j6 r) xno ip directed-broadcast0 ^# N+ }' R, j" M! d" Y% A
ip nat inside' D% |! x* Y7 y& |+ \
4 Y+ x+ b5 A7 m( G2 N9 q. c/ Nno mop enabled3 p7 N3 p7 {/ w! s5 W8 ?$ h$ y5 N
!) \' v5 s3 I, {6 W6 r% X" ~
interface Serial0
$ v& t/ }4 K) U; V; h* |* lip address 99.99.99.1 255.255.255.0$ L/ W- V+ I2 b
no ip directed-broadcast
- }/ R$ J2 P$ }; ^/ U. b- Hip nat outside1 V& d9 p1 t7 f& }$ ~. Q Q
crypto map rtptrans //将保密映射应用到S0接口上4 {+ {: ]5 e- t/ y" W
9 L1 M( y( D" A
!
% [* j! x2 w: ]5 u- ~ Gip nat inside source route-map nonat interface Serial0 overload
* a6 @6 \0 j. K+ e$ A!--- 这个NAT配置启用了路由策略,内容为10.2.2.0到10.1.1.0的访问不进行地址翻译
; w1 ^7 ?. @& ~$ t% k5 r!--- 到其他网络的访问都翻译成SO接口的IP地址9 S) A8 v- g+ D
z& v3 w2 K' V2 u! ?ip classless 6 H X* P$ k( k: U G6 z( {: B
ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
3 {6 Q4 Y$ s+ J- y# `8 Kno ip http server c5 b; ]; k) M3 J: b
!$ i$ K3 j2 Z* u- L9 n- k4 f8 R1 E
access-list 115 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255( I! l9 X* g3 J% ~5 S) P- [- [
access-list 115 deny ip 10.2.2.0 0.0.0.255 any
& N7 k* B4 V' d; |6 Y6 e3 {% u!0 C2 Y6 E2 C3 I O9 g D4 w
access-list 120 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.2558 `6 [- E* u& i/ S. `) O
access-list 120 permit ip 10.2.2.0 0.0.0.255 any
, m3 j- P! P+ c9 K# z N!
2 s9 Z6 c- ]7 L6 A1 I" P3 |sam-i-am(config)#route-map nonat permit 10 //使用路由策略
5 H! c! U/ a! j" nsam-i-am(router-map)#match ip address 120
" a9 t% S) o" |. @!
( |; s3 D# f1 \8 lline con 07 Y [' O5 i# Y( x6 {+ I
transport input none {5 l5 Y8 p! A# ]$ ^
line aux 0
. r$ T! u. t7 K1 Sline vty 0 4
: j5 P O4 W. N) U& Jpassword ww" o( a! O6 G5 }( ]
login5 G2 B9 t6 r# v
!( I6 A9 O. M" s' f0 J) d! x# ~+ }
end' m X$ g& a3 Y% `: c
9 z0 r9 T' x8 d; ~% L; q, ]3 K$ n9 w F/ O
Router:dr_whoovie(VPN Client)' B4 E/ g" _* F# f' o# y* q8 V! F
9 j7 X* y3 t! A( [+ S
" I2 N! X! c+ l# P- @Current configuration:
( u, W b7 Y6 m* d. H" e) q!, E' A7 ]+ p2 U( \
version 12.2
* i+ i: U+ C3 f5 K) H7 t! pservice timestamps debug uptime
: Y' W( ]$ D( ]( [service timestamps log uptime
0 Y/ k. s; p( s' nno service password-encryption* G% J, E# Q! u2 q
!
8 O( n0 `% J) zhostname dr_whoovie
* P! X% k5 |4 E6 Q1 D: z' O9 [!, X% u! E9 B9 _! o+ r' p+ {( g7 A8 ]
ip subnet-zero
2 t! }' V! e4 L$ _0 X e8 Q!
( H- i2 d# D0 F6 m- t0 m+ r, E, Qdr_whoovie(config)#crypto isakmp policy 1 //定义策略为1- p- H$ b4 D' M, o/ g& ^
dr_whoovie(isakmp)#hash md5 //定义MD5散列算法
! _* w- W/ c6 @- d; hdr_whoovie(isakmp)#authentication pre-share //定义为预共享密钥认证方式3 @5 Q) b0 @* Y. s2 o% h
dr_whoovie(config)#crypto isakmp key cisco123 address 99.99.99.1
% _* U' v9 C6 w+ s7 m7 ~+ `0 D* x$ P3 [4 u
!--- 配置预共享密钥为cisco123,对等端为服务器端IP99.99.99.1
/ C8 |7 R: U v1 P/ U! l w& u3 x1 ?
!--- IPSec协议配置4 z- _5 E- L& c& C1 p& p0 |
/ g1 d# ~& M6 ~; i) D0 f
dr_whoovie(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac
0 t3 w, q, O/ o" X, ]
* S1 M( X* c- u9 w/ w!--- 创建变换集 esp-des esp-md5-hmac: L6 q* W7 Z' \ x ~* _& t
* c) m3 ~ n" z: S4 E9 ]& F3 e# kdr_whoovie(config)#crypto map rtp 1 ipsec-isakmp + g4 ]" F8 `. x. ]/ C. W
2 A' G* z; S! K* b1 }0 a; E g!--- 使用IKE创建保密图rtp 1' z# y) h S9 t
) C2 C! p6 t& Q- ^4 o1 ]
dr_whoovie(crypto-map)#set peer 99.99.99.1 //确定远程对等端( l3 H" Q) A2 o4 B9 p
dr_whoovie(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
' ^% w% a, w9 e! ]dr_whoovie(crypto-map)#match address 115 //援引访问列表确定受保护的流量
+ u* a$ R% D6 J q# Z
0 p% ]1 J8 |) y$ V; m, p3 @2 n% R!8 I! e* ], |- b1 o) A
interface Ethernet0
; W' _- ] j* @9 ]) Rip address 10.1.1.1 255.255.255.0
/ N* z7 Y$ U8 V8 n l3 L3 U- Ono ip directed-broadcast
$ k5 m' V4 w/ `( h" G2 Bip nat inside' D6 l8 ?7 {1 V& d
4 }: z2 p* H0 T7 A) B8 Y% v
no mop enabled+ W0 A1 A7 w. P6 s+ H$ i+ [
!
" s3 c& ^: J& w$ e5 iinterface Serial0$ z* n1 ^. U+ P+ ~* }; m, V
ip address negotiated //IP地址自动获取
' [5 [2 G' s- \ |& ]( ano ip directed-broadcast9 T1 h# q/ k$ R
ip nat outside& |' R/ w" @" h; h" n: X
encapsulation ppp //S0接口封装ppp协议0 o2 k* X5 Y; z! N8 D& W+ A4 k
no ip mroute-cache
( F! e' G: `- }4 T! \* w' V+ Lno ip route-cache
7 @" s" W& q' F i D S+ k/ _crypto map rtp //将保密映射应用到S0接口上' [$ h6 n4 V6 l# u9 ?/ ?
4 h5 Q0 V* P; J$ `% E!0 J" o+ L: o6 M
ip nat inside source route-map nonat interface Serial0 overload0 t8 `2 O6 x2 [ _6 s
!--- 这个NAT配置启用了路由策略,内容为10.1.1.0到10.2.2.0的访问不进行地址翻译 P, W2 y0 w' I4 B' \1 p8 X
!--- 到其他网络的访问都翻译成SO接口的IP地址
0 @ @( F$ `; \) ^% A; A+ G! A1 O- `$ f, h* ]2 x! J* a( ^
ip classless7 s) a) u: F$ v4 B' E
ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议1 H: ]$ `3 Y5 i3 H" d* K e
no ip http server. Z( i$ f: N( [* k% [: d! _3 R
+ a- w, u5 J+ v
!( U2 {; @0 G R. m
access-list 115 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255- r% P/ e. S& K) | S- ~9 V& u
access-list 115 deny ip 10.1.1.0 0.0.0.255 any
, [' o R, A: v( G ]7 H, n; b
* z Q0 L: b" {4 w; uaccess-list 120 deny ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
. ]+ x8 L4 W1 j. X$ e' V/ [9 Faccess-list 120 permit ip 10.1.1.0 0.0.0.255 any
: y1 r7 \0 P: u( p: X
' W6 r# t" U. I- ]!
9 V8 K8 a) ?/ Ndialer-list 1 protocol ip permit$ `; \; _7 Q3 g- C: p
dialer-list 1 protocol ipx permit
: M8 J5 D& D# x; P+ droute-map nonat permit 10 //使用路由策略1 S+ f' S/ k: q
match ip address 120
& o! ~2 c5 D2 X; J3 V0 l/ Q) \ X!
0 b" P' ]$ u7 k+ o& P0 D( U* c$ u, jline con 0
, T* J( e& z! u6 \5 _1 Utransport input none
3 {, m8 Y2 R7 ]% O6 k9 {line aux 0
E/ K+ M) S% n5 D& fline vty 0 42 Y6 w7 U3 @5 P w) s2 c
password ww+ |' D# H; h- @( z
login
" R' `1 k! x+ Q5 T# ]7 X ]!
: \; _* s r" S7 [9 ~end( P2 L8 s: g9 i- u+ q
4 O5 V. b4 y! k! T# [- z/ j' w5 `! T% ~ y0 A
) S+ ]% O! _1 p1 S: Z \% r1 E. m
-----------IKE配置----------------2 G& l, O) Z2 R; W7 A
' F! u% X' p! X: JIPSec VPN对等端为了建立信任关系,必须交换某种形式的认证密钥。
0 y) i+ \) {+ k. ^* TInternet 密钥交换(Internet Key Exchange,IKE)是一种为IPSec管理和交换密钥的标准方法。7 ?, }8 ~7 t) v8 P7 W
一旦两个对等端之间的IKE协商取得成功,那么IKE就创建到远程对等端的安全关联(security association,SA)。SA是单向的;在两个对等端之间存在两) {: g% e- C% j8 N
个SA。6 X! t9 D: B3 W, T0 U) u! O- S
IKE使用UDP端口500进行协商,确保端口500不被阻塞。
6 D# X* N. t$ @* f* D/ N5 M
6 h8 o+ A4 q O, X0 H: H配置; }, M- x" y3 ^* K
( m0 g; ~1 a0 X3 U1、(可选)启用或者禁用IKE- M7 j+ K& u; J+ V9 u% Y" P
(global)crypto isakmp enable2 \; g, W5 e7 }) j
或者& z- l2 E( ?- W3 F0 t" R$ |
(global)no crypto isakmp enable a1 G6 `& J/ L! ?: L
默认在所有接口上启动IKE
+ ~3 q$ K' `8 g# S
N/ g$ a/ ], `; ]2、创建IKE策略
/ Q9 ]2 ]( d3 R! o9 J(1)定义策略. |3 b$ v! |+ ?% f/ y; y
(global)crypto isakmp policy priority: l, Q- ]5 f1 D2 h& c# A
注释:policy 1表示策略1,假如想多配几个VPN,可以写成policy 2、policy3┅
! ?' x. W5 W9 Z7 ^) ]) M
7 |& n" c, a9 b/ ]0 O4 q(2)(可选)定义加密算法
7 t% l& A- O- I(isakmp)encryption {des | 3des}
# L$ D* p- c! F# Y; Y加密模式可以为56位的DES-CBC(des,默认值)或者168位的3DES(3des)
3 H4 M% N. u3 Q8 [( P1 w/ H1 |2 I7 j& ^- T! h
(3)(可选)定义散列算法7 Z* Q! D; g0 ~' E
(isamkp)hash {sha | md5}5 k. k; d& B. k" j; @ `
默认sha. Q- T E7 I: H8 w% q6 E0 ~; I
' e7 G( \; y, s6 [
(4)(可选)定义认证方式
* s4 Z* i" f& S a+ w% `2 z(isamkp)authentication {rsa-sig | rsa-encr | pre-share}4 W8 K7 G2 ^/ E$ O1 B8 N+ v
rsa-sig 要求使用CA并且提供防止抵赖功能;默认值" | s& P. G) j+ a2 I+ C
rsa-encr 不需要CA,提供防止抵赖功能7 c% @# R5 z2 G" n5 u9 K% f. L
pre-share 通过手工配置预共享密钥
0 h2 t/ @/ `& G+ F/ L+ F! k7 P* \9 D3 H# }- U
(5)(可选)定义Diffie-Hellman标识符
0 m3 S. z5 V1 x4 {: A(isakmp)group {1 | 2}; |3 z- ?4 p0 b$ d1 Y
注释:除非购买高端路由器,或是VPN通信比较少,否则最好使用group 1长度的密钥,group命令有两个参数值:1和2。参数值1表示密钥使用768位密钥,
) S) r. f! z4 D4 U6 r" M参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。
9 [: `1 D4 C2 s3 D+ e+ M/ s) N! t+ q
, _' H' a; i! Q(6)(可选)定义安全关联的生命期& w1 {8 A8 M3 p( h/ S- _
(isakmp)lifetime seconds0 }% G& z# A) Q7 \
注释:对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否则VPN在正7 r2 e2 `: m8 [6 B* W
常初始化之后,将会在较短的一个SA周期到达中断。
4 }, g+ D+ m* }+ h- b4 n% y3 N0 o2 K8 ^5 @3 T$ p/ x
3、(rsa-sig)使用证书授权(CA)6 q% l* n6 ^# q: P5 l2 Q
(1)确保路由器有主机名和域名
( H$ I) r6 A# n; |& T% b4 N1 Q& v(global)hostname hostname7 H0 G4 k4 _: p0 J+ S2 p! E! l
(global)ip domain-name domain h* w; [& ~( W0 s$ x8 g
3 Q/ k/ j3 v9 ~3 X7 W
(2)产生RSA密钥* \. l* @+ s5 e
(global)crypto key generate rsa3 W/ b6 R0 K4 A* h
; P( w0 w7 I' |+ R- @, P! Z
(3)使用向IPSec对等端发布证书的CA2 Q7 ?+ W! E: x b3 p
--设定CA的主机名& f; h# Q" E2 s/ p9 p
(global)crypto ca identity name$ n/ ~/ H8 S. _$ A( W$ J+ D
--设定联络CA所使用的URL
) _" N( k1 S; l- J) W8 c* y- ](ca-identity)enrollment url url( k! C9 q& j4 `( ]
URL应该采用http://ca-domain-nameort/cgi-bin-location的形式
4 o, h( f! ~) C--(可选)使用RA模式
" V5 l$ i3 A9 V& {(ca-identity)enrollment mode ra2 \9 U+ ?2 e/ R0 p/ J* [
(ca-identity)query url url1 X' g5 E; q% D, ?/ c7 \! K
--(可选)设定注册重试参数" N9 V: K5 B0 @- X6 T2 c* s5 @: O
(ca-identity)enrollment retry period minutes8 S- I$ I' `. j/ U+ e
(ca-identity)enrollment retry count number
$ s: v, x. X) A3 C2 Zminutes(1到60;默认为1) number(1到100;默认为0,代表无穷次)6 |& C# a- [7 a
--(可选)可选的证书作废列表
4 f& H* M* b' A W(ca-identity)crl optional
) A" w4 b$ i% N9 S! I" O0 W+ B0 d$ k" f
(4)(可选)使用可信的根CA
# x' ?( D) R8 R0 M0 B A' X% v--确定可信的根CA& j/ D6 A. V& A. @0 t; }% x
(global)crypto ca trusted-root name
2 Y$ j* S0 j& m--(可选)从可信的根请求CRL
' [2 T* c$ S! j3 E(ca-root)crl query url
- ~* X" [. H( f( [" }--定义注册的方法9 i# E' A( L- K7 Q4 j: b" [; l& t* d
(ca-root)root {CEP url | TFTP server file | PROXY url}& P1 G5 q' A, c, u9 F' ^
) @" B+ b0 o' L! M! `6 a [
(5)认证CA
# X! o% G5 j. w- L(global)crypto ca authenticate name0 s7 H2 }: X0 d
& c- e% n+ O; T+ \7 G# e$ H
(6)用CA注册路由器5 ?3 A- |0 n1 q9 G) Q
(global)crypto ca enroll name$ o, j( m" Q. c
! n; {# d+ M+ a6 V# }4、(rsa-encr)手工配置RSA密钥(不使用CA)
5 U" T, H3 H* M& m% L(1)产生RSA密钥+ N( t3 S- ~8 z0 s8 g
(global)crypto key generate rsa
0 j+ |0 z' a9 W" V& r: ^( @
) G: r2 L$ z2 D5 S) l(2)指定对等端的ISAKMP标识8 b. m( @" D. Z- H
(global)crypto isakmp identity {address | hostname}! D/ D1 L5 d- d, \4 x+ F. e3 b
9 h+ i% l* V" w/ |(3)指定其他所有对等端的RSA密钥
9 y( x# p8 `2 d0 q# T* s--配置公共密钥链0 c* B5 U1 {6 e; A& n
(global)crypto key pubkey-chain rsa V; T- x0 z! l# L2 t1 T# |& J
) i$ U2 }* H& F- P/ M, D--用名字或地址确定密钥+ {3 ?; b/ _# Q8 y
(pubkey-chain)named-key key-name [encryption | signature]
( z# s; s7 w2 W4 U+ E; \(pubkey-chain)addressed-key key-name [encryption | signature]
0 ?, f* U9 V- p! f! e% }# Z7 ~% u4 V3 f' @6 o+ f* T( z
--(可选)手工配置远程对等端的IP地址
" b# \: p4 ]! W" p& i5 \(pubkey-key)address ip-addr9 _) [! @' D# f; T2 O! y1 l
7 L+ r5 b8 c# M9 F4 P
--指定远程对等端的公开密钥
3 |8 L0 y) _8 A# ^: z+ Q(pubkey-key)key-string key-string1 F% i& ^ D7 m" h
& {( A/ m" y C# O% r* q
5、(preshare)配置预共享密钥! x& W/ l4 b7 j) l- x
(global)crypto isakmp key key-string {addrss | hostname} {peer-address | peer-hostname}
8 ~ I3 `# J" x, x/ M# H注释:返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址,即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类
7 X" o6 D7 f# b8 O$ P似
8 d: C$ ~4 b" q' R% y: d }1 c8 j
% e, Q) {2 [* I3 [$ h% r6、(可选)使用IKE模式
2 Z* F0 K2 t3 A: j( M/ M3 t. w(1)定义要分发的“内部”或者受保护IP地址库/ p1 R3 P# l! @. t. }2 \- w
(global)ip local pool pool-name start-address end-address
6 E* O# [' U7 Z4 g" N+ m; @2 r* E$ Q2 b! V6 }$ N' n3 `* n' s$ ^ A9 r
(2)启动IKE模式协商4 O$ c C6 s; D
(global)crypto isakmp client configuration address-pool local pool-name3 v$ }" Z1 y$ o! Y& z4 K0 `( a, u' a
+ D% d/ F: |# R--------------IPSec配置----------------
( S' C6 R9 u% _) A8 B: H
, H" u7 B5 C3 d/ q9 P% l# w$ ZIPSec 使用加密、数据完整性、源发鉴别以及拒绝重演分组来保护和认证网络层对等端之间的IP分组+ Q b' w* b7 a1 S3 q+ S
+ ^4 d; M3 A+ l3 j$ T" EIPSec对于构建内因网、外因网以及远程用户接入VPN来说非常有用处" c& D1 H3 e0 E
0 a( j6 l d! I# G% u! P6 C
IPSec支持以下标准; p# ]: f( e8 V+ G! C* a
--Internet协议的安全体系结构
) @9 b# e1 W8 S" u$ z( Z--IKE(Internet密钥交换)5 g' ]8 r+ G9 y3 ]
--DES(数据加密标准)/ W* U/ s L. H, l- l6 ?' k
--MD5
* k' M2 k! @1 v, p--SHA
4 U2 C: \5 s* c; u5 ^ Q* y--AH(Authentication Header,认证首部)数据认证和反重演(anti-reply)服务: Q% R$ f& r7 A) \8 C$ A; x1 q
--ESP(Encapsulation Security Payload,封装安全净荷)数据隐私、数据验证以及反重演(anti-reply)服务
+ O0 U7 t% m8 T& F4 t
8 o, Q" G: d4 h敏感流量由访问列表所定义,并且通过crypto map(保密图)集被应用到接口上。
/ b1 s% }: r! C1 w1 c3 r
: x/ d% d6 N: }' K/ A" o7 ?( W配置
" ~8 {) o9 e9 B; n6 f& }$ y6 x2 M/ }' [* z; N; v x
1、为密钥管理配置IKE
& O! \2 L* h9 ]# r4 \$ ?( q) Z6 O
# [1 p J* \, w. A a2、(可选)定义SA的全局生命期
( X2 P; C+ K( b# N# [(global)crypto ipsec security-association lifetime seconds seconds/ o% c% @4 e. ?5 ]) z4 B: m
(global)crypto ipsec security-association lifetime killobytes kilobytes# [- a+ o- g- v: [1 ]& l7 [
4 U. q9 t0 @/ A, j- B
3、定义保密访问列表来定义受保护的流量
! t; ?6 K* q: ]3 I. W0 B(global)access-list access-list-number ....
* X* u& I5 ]* H9 ~2 A' ~或者1 ^' y6 {" R1 h; y$ R
(global)ip access-list extended name9 i9 n2 t; w( \
扩展的访问列表必须定义由IPSec保护哪种IP流量。保密图(crypto map)援引这个访问列表来确定在接口上要保护的流量。/ _1 E0 g9 E. w' Y) L3 q
5 z8 \ w; h! w: C
4、定义IPSec交换集: t6 P$ l2 C) {1 L! U/ G& `( Q: q
(1)创建变换集3 c4 R) ]! p6 o% O9 e
(global)crypto ipsec transform-set name [transform1 | transform2 | transform3]0 o) D) N) K0 d* g( |
可以在一个保密图(crypto map)中定义多个变换集。如果没有使用IKE,那么只能定义一种变换集。用户能够选择多达三种变换。
/ l0 C) O0 _1 @; X, w( y3 i(可选)选择一种AH变换
6 w- Q8 A, y5 [" ~& ^--ah-md5-hmac1 R0 e+ F' \* @/ c9 c( W+ V. t
--ah-sha-hmac
- N$ m; I0 `' s--ah-rfc-18287 [9 \3 E- j. Y
(可选)选择一种ESP加密编号
3 P+ X/ d2 w! a9 z--esp-des
% N4 r+ |, e, P; s--esp-3des
, K8 ^4 P* ~* L, O--esp-rfc-1829
+ f+ m3 V* ?; F, G/ `5 s) \; `5 J5 f% A--esp-null
5 E9 x& H' V. q+ |$ K# `2 n以及这些验证方法之一
+ i K, p3 x5 ^. }8 }--esp-md5-hmac
& _8 @' M% D% P+ G9 {' D--esp-sha-hmac4 k2 m/ J4 L$ ]" g3 Z4 a% d
(可选)选择IP压缩变换
% z5 g8 N$ E g' m--comp-lzs5 Y* A* K( W; a( }( C
! J @/ p: @ w+ @
(2)(可选)选择变换集的模式( j4 ^+ w* p# A0 c+ }
(crypto-transform)mode {tunnel | transport}1 |' R9 P9 U3 h( \( m! m( t/ W
, Y$ Z' C1 }6 G; }* h% f- z* O5 u5、使用IPSec策略定义保密映射
# o* R8 ^9 s. A保密图(crypto map)连接了保密访问列表,确定了远程对等端、本地地址、变换集和协商方法。: d' I8 q7 a; b& \
9 ^5 c% P" C& Y3 }& W
(1)(可选)使用手工的安全关联(没有IKE协商)
. s* e2 C& F. T/ P( w--创建保密图" z. v3 l" ]: x
(global)crypto map map-name sequence ipsec-manual
! ~) [# i6 Z0 T# {3 [' M Y/ v. y$ q& l
--援引保密访问列表来确定受保护的流量. I6 f' s/ T2 s' g- v7 r( X- o
(crypto-map)match address access-list
7 ]% g! C7 c! T* j) H
: g4 ~0 q Q* y- g/ ?7 k5 Q& q--确定远程的IPSec对等端; G. n+ k2 p, b* X+ Y r6 W' J
(crypto-map)set peer {hostname | ip_addr}9 F, k& k) z, y6 }/ y
& R3 K7 Q7 R3 s7 Z" r$ L) k9 D2 W* \, t--指定要使用的变换集
. n. O) G. E8 W$ l! V! \! e(crypto-map)set transform-set name
6 K7 U4 t1 f# f/ m+ A变换集必须和远程对等端上使用的相同
. \7 ~& w2 K, k" ^9 V/ a
. z$ `9 R4 ?$ y6 z% ~% E--(仅适用于AH验证)手工设定AH密钥% |) w$ a! t2 L# l- l9 W/ }7 \
(crypto-map)set session-key inbound ah spi hex-key-data
: \! {$ ~- L: }! M8 V# |2 Q4 O(crypto-map)set session-key outbound ah spi hex-key-data% i) Y1 s' e, {) z0 K6 h' a1 t
4 Y o: e, L/ z' d
--(仅适用于ESP验证)手工设定ESP SPI和密钥
: m/ F6 k3 [' |& t) i" j' o! p4 B% g(crypto-map)set session-key inbound ah spi hex-key-data [authenticator hex-key-data]
o7 S; U& ^( @4 m: q(crypto-map)set session-key outbound ah spi hex-key-data [authenticator hex-key-data]
, B- W" W4 w: t+ \, q0 @3 c# R" W ]
(2)(可选)使用IKE建立的安全关联
2 b6 l: X! P, X+ A p& r* m--创建保密图- C- n1 ?8 s# R5 D! i( U
(global)crypto map map-name sequence ipsec-isakmp
: p% U) t& s* i& Z9 l, D
/ e5 ]6 L. \5 R8 l--援引保密访问列表来确定受保护的流量6 ?% Z" {6 ~! t* J' H1 n
(crypto-map)match address access-list X9 r1 l1 D0 S
' ^# z4 B4 R8 ^( `% V--确定远程的IPSec对等端
L" U1 W9 }3 r5 Q* P, r(crypto-map)set peer {hostname | ip_addr}, o3 ^. m) C- U9 o
$ |. ]0 ]" i d) Q( g; ^
--指定要使用的变换集
2 c7 H$ s" n: P3 J4 W6 Y5 x0 r+ w(crypto-map)set transform-set name. B3 r! v9 x, C2 m
变换集必须和远程对等端上使用的相同" z& K3 w# y. w+ v
8 n) p. @3 }7 ~: Q--(可选)如果SA生命期和全局默认不同,那么定义它:; M, }9 r0 j; W: c! A, p
(crypto-map)set security-association lifetime seconds seconds9 K& e* q7 j+ j. l4 Z
(crypto-map)set security-association lifetime kilobytes kilobytes
/ z/ d9 K' ]" M3 x5 `: }8 c6 _5 N9 F. |5 q
--(可选)为每个源/目的主机对使用一个独立的SA
* r9 @# |! F2 N! w% c(crypto-map)set security-association level per-host% b- P8 A. I( r+ h
: [2 s5 q- J' r4 _
--(可选)对每个新的SA使用完整转发安全性
$ S) X: [5 j. F8 u( M& N(crypto-map)set pfs [group1 | group2]
# p) r! J: e& e* M8 N
; m4 d( z4 \7 v(3)(可选)使用动态安全关联
/ v0 c' }& `9 w' n# W, X--创建动态的保密图
. q! t" s0 u4 j' Y: z1 F(global)crypto dynamic-map dyn-map-name dyn-seq-num" S0 s4 ^% U: {/ s: Y2 y
/ F* o+ e5 G' E+ \# k/ X. D
--(可选)援引保密访问列表确定受保护的流量# G/ x. N6 u+ W8 N5 i, g9 h" {- p
(crypto-map)match address access-list
y& D/ a: U' Z- S2 z& C
! n; A3 x5 D3 k8 n5 l--(可选)确定远程的IPSec对等端" Y' Z: l! z4 \2 p ^: `
(crypto-map)set peer {hostname | ip_addr}
% o5 l5 N6 |7 y+ \
8 b0 Y; |6 `) S/ J& L% W# K--(可选)指定要使用的变换集6 I& B& O5 p! |' \) |& [/ B$ L
(crypto-map)set transform-set tranform-set-name
5 D- M0 n% r7 h5 W: @6 \* @+ ~, i# Q
--(可选)如果SA生命期和全局默认不同,那么定义它:
8 B' h: V- \6 ?% N7 K2 b+ C(crypto-map)set security-association lifetime seconds seconds
, u. U7 y5 q- Z( x8 J(crypto-map)set security-association lifetime kilobytes kilobytes3 Z7 O, I; { R* p7 I! p
1 E* V' K% W: v% R
--(可选)对每个新的SA使用完整转发安全性
# g! T6 ^& W9 N# {5 b(crypto-map)set pfs [group1 | group2] W8 d0 b) y7 L
+ l; x, T H) i9 {/ Q
--将动态保密图集加入到正规的图集中* E! [! H' O% ]( C7 ?5 Z
(global)crypto map map-name sequence ipsec-isakmp dynamic dyn-map-name [discover]+ T0 h6 b; X$ d. a/ ~& }" v; x" c2 [
' {: b; U. ], ^7 V" K. \; Q--(可选)使用IKE模式的客户机配置8 K3 m$ S# \6 ?! r
(global)crypto map map-name client configuration address [initiate | respond]( Q( q6 r% }" H! Z6 M3 P7 g! n/ m
5 @% z3 R6 c8 Q, Q: I9 G7 V/ m1 n--(可选)使用来自AAA服务器的预共享IKE密钥6 I) m/ X: @2 e7 R( i! W& \
(global)crypto map map-name isakmp authorization list list-name
) R2 a9 n0 E0 {$ O6 U6 ~. J5 n" l& F6 X
6、将保密映射应用到接口上
9 x2 `9 n9 d5 ]9 o2 a: [; N8 Y, m- ?' d- `: ?
(1)指定要使用的保密映射
* o! Y/ N0 {8 X# K$ b(interface)crypto map map-name1 N' h+ N- T$ p6 W! |
4 J) g. t- r: X P5 A6 N
(2)(可选)和其他接口共享保密映射# d: a! ^ C( e- b1 m2 [& u
(global)crypto map map-name local-address interface-id |
所有IT类厂商认证考试题库下载
【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器
[复制链接]
