VPN实例配置方案-中文注解
# [$ i' W I [& h. O! @1 sscreen.width*0.6) {this.width=screen.width*0.6;this.alt='';this.onmouseover=this.style.cursor='pointer';this.onclick=function(){window.open('http://www.hrbnt.cn/cisco/attachments/month_0510/fc5j_11111.jpg')}}" />& P- a- j- S( K3 ?4 ?( ~/ v
Router:sam-i-am(VPN Server)% J$ G: Z+ p6 l' W
9 H$ Q- _, T8 F0 @) gCurrent configuration:" X' O( K& C% ^" ~' B" x, m
!% Q" z, Y7 E# X
version 12.2
2 B# F0 t$ `8 ?2 [. N& b/ Y9 @, s( lservice timestamps debug uptime
0 d" F2 d" f& y1 P* k3 o& f6 a2 Nservice timestamps log up time
8 ]0 }$ Q' a0 Yno service password-encryption 4 A" k6 u$ t$ E9 m0 L* |5 i
!* A0 `3 a- Z; {8 `
hostname sam-i-am2 n0 ]1 b7 ^* B7 p# h% G( {
!
5 |& i8 {2 s4 r" I3 |ip subnet-zero
5 |, {) u$ e8 k. ], z/ d
/ J' ^/ L) L- X% A# n t2 A!--- IKE配置, D! z: `: M- c3 }. ~4 F9 G; u) y
; y2 t( B! ` O7 T: k% isam-i-am(config)#crypto isakmp policy 1 //定义策略为1
# @5 I ~* I/ @9 o( W) U/ ysam-i-am(isakmp)#hash md5 //定义MD5散列算法+ D% u9 U$ }/ I/ L2 ?$ T2 n% ]
sam-i-am(isakmp)#authentication pre-share //定义为预共享密钥认证方式
* L1 o4 @1 {2 U+ r* y* O( lsam-i-am(config)#crypto isakmp key cisco123 address 0.0.0.0 0.0.0.02 w8 J* y+ T5 R0 s2 E4 U. V
. ?( `, S; z8 _5 e- T
!--- 配置预共享密钥为cisco123,对等端为所有IP$ X) k, e" S% [* ~2 X. e2 J! H) ^
0 x4 l; @" n8 Z/ L
!--- IPSec协议配置
9 w7 L# N- H% x
# S; W/ m' m0 Y& i% a a8 [' Qsam-i-am(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac
5 ]8 M& S( b( |+ z9 a$ s9 O: e' X
, X5 z9 o7 s! `4 E!--- 创建变换集 esp-des esp-md5-hmac# Q6 u+ B0 ^: j" r+ C
! Z9 J$ }& C! k, c( h; L' ]5 n! o
sam-i-am(config)#crypto dynamic-map rtpmap 10 //创建动态保密图rtpmap 102 K0 m( ?8 a, m2 i; _8 ?, b, \0 I
san-i-am(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset/ C$ e. e# E/ ]: I K& e4 q
san-i-am(crypto-map)#match address 115 //援引访问列表确定受保护的流量
7 i! f5 J% Q3 q# ~6 }sam-i-am(config)#crypto map rtptrans 10 ipsec-isakmp dynamic rtpmap
2 F4 [$ h3 D7 L; S- j0 _) S' c: r# k
!--- 将动态保密图集加入到正规的图集中, j4 ^7 o9 W |6 v, E" W
# ~( n- Q+ ~" n1 X4 N( D2 V
!, r' }) F3 x" C
interface Ethernet0
" ^' {; F% }* Z4 Kip address 10.2.2.3 255.255.255.0
1 K9 J7 ^4 ^ D9 \% Q. a, {8 |7 tno ip directed-broadcast
6 X& `7 O# p, Qip nat inside. J3 r" N% L2 v$ s# C+ E: {7 |
2 q$ h! v, R0 J5 m) n2 Jno mop enabled
4 v2 W, B9 M1 d x* W( u& z; P+ M: l+ @!: l( Y$ w3 d0 G' `& C; [9 k
interface Serial0
/ ]: ?, C, A1 ?* t3 r# `9 Fip address 99.99.99.1 255.255.255.0
$ G. y: g4 x# l: z+ jno ip directed-broadcast% o. n; s/ [# w3 o) f* C7 L
ip nat outside
9 F7 ^; v, W$ w& Q9 b3 hcrypto map rtptrans //将保密映射应用到S0接口上
! d7 R3 m6 Z7 H* {8 ?
- u. e% }5 v8 |4 @9 B3 A- ~( x!4 V" v2 h9 m& x- x& O+ n
ip nat inside source route-map nonat interface Serial0 overload
7 y5 s6 j* |" i x0 d2 s/ _ t' ?!--- 这个NAT配置启用了路由策略,内容为10.2.2.0到10.1.1.0的访问不进行地址翻译4 q1 j7 o9 g0 b- g$ h* R$ t
!--- 到其他网络的访问都翻译成SO接口的IP地址
' [& y8 H0 X/ S/ y5 y' G( ^% [% i9 j, d) n6 x
ip classless % i6 A5 i, X1 H0 s! x% \9 I( y
ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
2 Q7 u A! d* n5 o( Ano ip http server! a7 L) H9 ^5 i3 n2 _
!
/ f3 Q. ]: F4 l7 N6 ~+ l% q6 T1 laccess-list 115 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.2550 d; p- u& J5 X% B5 z; l4 E
access-list 115 deny ip 10.2.2.0 0.0.0.255 any/ ^( T( L: O) i/ c
!
) e ~, z: S4 _) gaccess-list 120 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
, t t% R& [* p$ R6 i9 @access-list 120 permit ip 10.2.2.0 0.0.0.255 any/ `+ A3 ]" s2 L$ j9 W! ]/ ]
!
7 k" p+ e9 R$ }: f" jsam-i-am(config)#route-map nonat permit 10 //使用路由策略
5 |9 N1 R# }5 S, K# @; Q) E5 Osam-i-am(router-map)#match ip address 120
( k* a; f W3 U# H3 e!% `* {0 f3 M8 o! T7 k1 `
line con 0: F# K& ^1 \8 j- G# N/ w3 _1 E
transport input none$ I+ ~* Y) K& `6 U+ T- n
line aux 0$ o4 y" M) j/ A$ a4 t V$ {; R
line vty 0 41 u. N s: U9 j4 E
password ww
. `2 m4 g) o' ]2 Y) l' Qlogin
( }2 k# k9 e3 ^, e# H2 q E5 H6 P8 J( j!
4 ]3 B$ V0 M# cend
2 L8 W* ~$ E7 u$ A2 O: I4 [4 {. S0 e' A1 N: G% r
5 r( u( c/ A7 P. Q$ oRouter:dr_whoovie(VPN Client)
/ R" p8 _2 K( o& _+ |
+ \" A# p: f' \9 T7 N7 R' O: I/ d2 u* F" E/ d7 G
Current configuration:
0 D; Z p, K& i& J7 M!
! o" @7 P+ {. z8 N2 zversion 12.2
5 K% k8 h) `; g* k' _- Qservice timestamps debug uptime9 S& A' L9 H6 l" W
service timestamps log uptime9 x; E. o2 f; O* m% d" F @
no service password-encryption
6 C. Z! w; V8 ^2 v0 L!: I- m3 `; r# M1 C/ p- a# A
hostname dr_whoovie; q& G7 P" {8 S+ I! P9 G( C
!" z2 \$ R7 _ ?) s1 y8 B0 ^# [0 q
ip subnet-zero. ?$ H* C) w9 C, k. I, X
!
( e( H$ E8 Z$ \/ Q: vdr_whoovie(config)#crypto isakmp policy 1 //定义策略为1! N2 r7 Z$ \ m$ f! T
dr_whoovie(isakmp)#hash md5 //定义MD5散列算法
3 L3 \* T% P8 F/ {& ]) Y+ ^* Xdr_whoovie(isakmp)#authentication pre-share //定义为预共享密钥认证方式
* q$ X- Y# r7 gdr_whoovie(config)#crypto isakmp key cisco123 address 99.99.99.1
3 r! {! D+ r! c+ x: w& @" I _ y1 z4 }& z
!--- 配置预共享密钥为cisco123,对等端为服务器端IP99.99.99.1
' L9 W* w' F! B+ n/ q- F/ a. }6 \+ l Y" L9 z. i* s' e& i
!--- IPSec协议配置7 z6 V m" U# ^9 G% t/ p8 w
3 v* J9 U' G: I+ j+ V) {dr_whoovie(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac P2 S. d, B/ m+ J) w" S3 O1 U
: D7 \4 m3 j, f1 G/ q2 r# E!--- 创建变换集 esp-des esp-md5-hmac q5 Z, ^. f# s; h: l9 v
4 B: p& V6 h+ |" {9 L
dr_whoovie(config)#crypto map rtp 1 ipsec-isakmp : c- U2 Z8 E% B4 Q0 A2 q4 C" P
+ }# g; h: a" R |. z7 I2 X/ m
!--- 使用IKE创建保密图rtp 1
) d! W* n- ]6 w* P4 n0 K4 v# [, H% X7 H2 C/ H
dr_whoovie(crypto-map)#set peer 99.99.99.1 //确定远程对等端1 b0 _+ s( Q% n
dr_whoovie(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
9 C1 x& C& _) f+ L' R' H( Bdr_whoovie(crypto-map)#match address 115 //援引访问列表确定受保护的流量/ ^, U/ ]8 f( }, G* d
$ n. u- m3 @$ ]& Z!
- `) x% z7 z- _1 o _! Pinterface Ethernet00 ]6 O ~; E7 A- i
ip address 10.1.1.1 255.255.255.0
# v3 k# H5 c0 q7 Q' _. [& Qno ip directed-broadcast
+ r8 ?! d1 A7 J! v* \2 `4 cip nat inside1 W/ }3 U, `2 ?" i; E# P6 x: C' ~
2 I' ], Z% ~. x+ f3 P) |5 ~
no mop enabled
! ?1 @* ]1 J9 L% T* q!+ O& F; k3 x" }' y
interface Serial02 M0 w2 M* X+ p8 A
ip address negotiated //IP地址自动获取, @. ^. g& q, q
no ip directed-broadcast4 F1 @/ l- \* x2 p$ f* \- J
ip nat outside. r# p. ?; t* I) W4 L g3 G
encapsulation ppp //S0接口封装ppp协议
0 g1 F. ]* R) j3 [no ip mroute-cache/ V5 P' ^2 m: Q2 M) T
no ip route-cache4 C/ I/ ~+ ]) x- T9 Q; @
crypto map rtp //将保密映射应用到S0接口上
- z& s% t# o# K3 r0 }: E6 G4 r3 C" h0 k
!
( ~. R- h5 E3 e0 \# O* ^. E( Lip nat inside source route-map nonat interface Serial0 overload* K7 g0 S; }- D. u5 ^
!--- 这个NAT配置启用了路由策略,内容为10.1.1.0到10.2.2.0的访问不进行地址翻译6 X9 T1 i+ w4 X" \6 K5 T
!--- 到其他网络的访问都翻译成SO接口的IP地址( v: [4 `- K w) j
9 g% q6 e4 c! ~ip classless
! v8 B8 y5 P/ x- }. S) ^) Qip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议! X) D9 `1 X5 r7 E5 C8 l
no ip http server
* U. H- I. B- ~0 c+ ^+ G' R7 i$ j) r2 P" p: E7 _2 [# {, X
!: _. p% F/ D8 _/ C
access-list 115 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255. A* n! G/ O8 o# j% l. D1 A y
access-list 115 deny ip 10.1.1.0 0.0.0.255 any
8 [3 `! C3 k% u- g; o, B; F+ l' c
. g2 m+ y3 Q9 ^- { a0 T8 Oaccess-list 120 deny ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
- {; U$ [' V, j/ ]2 Y; gaccess-list 120 permit ip 10.1.1.0 0.0.0.255 any
- Y5 j' Z. T' D4 `; |9 o! y
% ~* E! G0 Y/ }" p6 j! u" D8 d9 d( t
dialer-list 1 protocol ip permit
4 q6 u1 a: M. f7 h( n I" jdialer-list 1 protocol ipx permit1 M+ N2 F' E6 V2 D r& P
route-map nonat permit 10 //使用路由策略
4 x R X* O: h. t; N* Cmatch ip address 120
- e- u: e' n5 L2 {* D$ U!
: r1 D% O$ I+ _) f; V; H+ [( Dline con 0
, }3 K7 c3 x) e6 c0 Qtransport input none E w2 b' t0 l
line aux 0
! g; ^9 m) x" `, ]line vty 0 4
L- l' n8 m3 z* ^( K+ Vpassword ww1 J# _- x: B( ?" B
login
: W# y% {' V6 Y! Q!5 r( k$ E* A" Q$ P. O) ]# }
end2 m, t7 |) c% b, k0 U: o
& u9 ^6 z: ?: M) q& W
( O; u3 N- a0 B/ ^- G C4 V+ u7 |
-----------IKE配置----------------
A) R- ?% |8 \4 g
( s1 k4 t" {- @5 vIPSec VPN对等端为了建立信任关系,必须交换某种形式的认证密钥。
' }3 p, }( }9 D* V! K eInternet 密钥交换(Internet Key Exchange,IKE)是一种为IPSec管理和交换密钥的标准方法。
2 i7 M% K' l& U一旦两个对等端之间的IKE协商取得成功,那么IKE就创建到远程对等端的安全关联(security association,SA)。SA是单向的;在两个对等端之间存在两
/ S$ N' j2 e" b; v9 B个SA。
+ w! ~2 ^0 v6 F4 P/ c* TIKE使用UDP端口500进行协商,确保端口500不被阻塞。
4 {" R- Y; O4 P2 Z+ V0 w2 `* z m+ a1 O; m4 ]% r3 e
配置
" C0 f/ x0 Q- P) m, ?6 I+ Q1 Y, l5 F/ I! f5 X% N
1、(可选)启用或者禁用IKE
r* u) Z% {% _(global)crypto isakmp enable% u' Z" Q, S2 x
或者
! c2 M$ v [" U4 G) ~0 ]6 M(global)no crypto isakmp enable
# x% K" J4 B, ]) x/ e: {: V默认在所有接口上启动IKE
; |. h9 z0 R& h& P+ n2 R3 R. Q
3 Z& u# e1 t; e# H8 o2、创建IKE策略/ i5 Y3 M+ K4 ^4 b" X/ _7 F
(1)定义策略
8 b0 P$ ?7 R: f( r(global)crypto isakmp policy priority
# J. z8 c, I& h4 h' ~注释:policy 1表示策略1,假如想多配几个VPN,可以写成policy 2、policy3┅
% y# p* J# h- U
$ {, z% w3 Q( g9 t0 M(2)(可选)定义加密算法3 G; i4 j2 w% n; O! O
(isakmp)encryption {des | 3des}
1 K; x8 @" n$ H& g+ T加密模式可以为56位的DES-CBC(des,默认值)或者168位的3DES(3des)
8 J5 U/ t6 D, W+ O" a! j( F# ?. d. v, K
(3)(可选)定义散列算法# Q: Y2 R4 O: ]3 z/ I
(isamkp)hash {sha | md5}
' t% N1 R0 j5 l1 H7 u+ N: X4 Q默认sha. a, T/ C4 B1 s% R3 F4 M
3 b, t7 t8 Q/ W" u; U, x/ P: Z
(4)(可选)定义认证方式
$ l6 e* R0 Z- D(isamkp)authentication {rsa-sig | rsa-encr | pre-share}( K" @& p* G$ G) l
rsa-sig 要求使用CA并且提供防止抵赖功能;默认值
/ I' o/ I/ A+ y% R- irsa-encr 不需要CA,提供防止抵赖功能* a2 s: d% O& J5 t% G
pre-share 通过手工配置预共享密钥
_$ ^8 d/ m C' `. L% b
, Q. l% I0 W9 T: f(5)(可选)定义Diffie-Hellman标识符
. J q* G# g0 x; K6 X(isakmp)group {1 | 2}6 I( F7 D5 \- A W- o
注释:除非购买高端路由器,或是VPN通信比较少,否则最好使用group 1长度的密钥,group命令有两个参数值:1和2。参数值1表示密钥使用768位密钥,
* Z/ O7 I# w8 p9 a6 K# ^参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。
3 e+ a! w7 z7 Q% P! @. s8 |
3 o: R, P) u5 s, ^: ~) e(6)(可选)定义安全关联的生命期
* `- |0 X3 T2 j" n2 y(isakmp)lifetime seconds0 C' e/ G0 k% u3 P, N8 u# s+ S0 f
注释:对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否则VPN在正
$ K" Z7 c3 l' ]+ r- ?) A$ s常初始化之后,将会在较短的一个SA周期到达中断。
4 \" c7 f1 E! } G1 C2 W v3 r! y2 p, h9 L$ g( s ~* h# Z( d. o
3、(rsa-sig)使用证书授权(CA)
6 r9 E8 U. d# d' [2 C& X(1)确保路由器有主机名和域名6 ^% C& t) o' _0 C% R/ s
(global)hostname hostname
* \! C4 O: T* B(global)ip domain-name domain: V( I2 T3 B- n( ]
2 z# G9 _/ N' ]/ Y- e+ w(2)产生RSA密钥( L3 d: j+ p1 E4 g
(global)crypto key generate rsa
5 k( H; m# H' _$ i! d5 }) j# k" O- \: ?7 Z% T |' p) ]" w2 e
(3)使用向IPSec对等端发布证书的CA D5 T5 x$ c0 P% f' a
--设定CA的主机名( o; [, Y# I% B5 w' s) ?
(global)crypto ca identity name
0 ?: M% T9 j9 q: r--设定联络CA所使用的URL3 ~3 f/ I' n. [! p( k% A2 G
(ca-identity)enrollment url url, h* t F, d) H
URL应该采用http://ca-domain-nameort/cgi-bin-location的形式
3 N$ A, \4 U7 k3 [$ Q1 |$ ?# Z--(可选)使用RA模式
4 L$ \4 x% D* d1 M# I' ?. ?(ca-identity)enrollment mode ra
& h: _- p. w( O) M8 F(ca-identity)query url url3 d. H" k4 l" \9 r) ]1 j6 {+ P
--(可选)设定注册重试参数
# `) [& \! d# q/ [$ z! D(ca-identity)enrollment retry period minutes" J' p4 X+ e! b
(ca-identity)enrollment retry count number
& e% F% T5 J4 u7 ?* Z" ^minutes(1到60;默认为1) number(1到100;默认为0,代表无穷次)
t% |' c3 \2 m# y1 g: Z--(可选)可选的证书作废列表
+ T' L) q" P9 W& `3 A& @- e) i(ca-identity)crl optional6 F" w& Z/ f) ]! w# W; a* _
; e, [7 e% D F g) G; l8 Y2 d% O(4)(可选)使用可信的根CA9 q9 P1 H7 a* ?- R, K C
--确定可信的根CA
; k E& d! L$ J- x; R(global)crypto ca trusted-root name
( ^1 c* g/ \% x8 D2 e. ~--(可选)从可信的根请求CRL
, }5 n+ c, N/ R( ^: ~6 F: \(ca-root)crl query url0 H, P4 ], {) D
--定义注册的方法/ e# J5 a3 i- Z8 l
(ca-root)root {CEP url | TFTP server file | PROXY url}
3 X' ~' |3 ^5 F1 ~; N% T# P# K8 N
(5)认证CA
& a U7 f% Q; z(global)crypto ca authenticate name1 F2 m8 N& r! S0 ]4 G M0 R
0 }% f+ z5 p. q* d( \
(6)用CA注册路由器7 i8 G! w5 ]* C3 G
(global)crypto ca enroll name4 Q, \2 W/ Y1 G7 l' [
% F% M7 L- [! E% ~
4、(rsa-encr)手工配置RSA密钥(不使用CA)$ e) @! U. v, w# [4 a
(1)产生RSA密钥% \) |( O9 ~% N( |
(global)crypto key generate rsa0 t/ N7 l$ Z; F$ \
& j- Y: L& Z! i7 g- T, d9 d9 w+ T( k, b2 K(2)指定对等端的ISAKMP标识
2 ^7 f, V' a- |+ i( m(global)crypto isakmp identity {address | hostname}( v/ |6 a7 G: v: q; B- u( B
; `( c6 h* ^8 l+ B) m& b5 R: c(3)指定其他所有对等端的RSA密钥, X4 Y" v+ O& v
--配置公共密钥链
, t+ l9 w% H9 `$ D) C4 Y- D(global)crypto key pubkey-chain rsa2 |' P& x" w* ?, f5 C) E
' e: x' ?2 \( T, \( O; P
--用名字或地址确定密钥5 T- e3 m E/ R; c: H
(pubkey-chain)named-key key-name [encryption | signature]
5 i- S; Q: r8 I( [( c) b(pubkey-chain)addressed-key key-name [encryption | signature]
1 ^! Q5 Y7 M2 L& s
: d9 Q1 B/ [' |0 F" [--(可选)手工配置远程对等端的IP地址
d9 @# R8 Q3 _7 x(pubkey-key)address ip-addr( |' Y( s+ Z$ ^8 \! g& [: K8 n
0 V+ k* ^3 v8 \1 t
--指定远程对等端的公开密钥) y, |. h3 ]% g/ C, I/ v
(pubkey-key)key-string key-string8 D( i+ z. b* G) a% P ?
. `8 E7 p* k$ M9 N/ Q! W
5、(preshare)配置预共享密钥
, ^3 D& r$ G6 V2 S0 g, i' ], H; T(global)crypto isakmp key key-string {addrss | hostname} {peer-address | peer-hostname}1 P2 I: V& F9 `% T3 h* a1 ?
注释:返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址,即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类
+ k. |$ s' M9 d) U似* C6 u! c8 t0 D; p- V8 } r
( A' R8 }' M% R4 m7 D1 y
6、(可选)使用IKE模式
) G' `7 D9 j2 t# m3 U1 R(1)定义要分发的“内部”或者受保护IP地址库/ J6 j, k# R9 R9 }( m- W% ]) T
(global)ip local pool pool-name start-address end-address, W- }; B6 s* q) P1 T
- h; H5 A' H2 t8 M: V# F(2)启动IKE模式协商* v5 @2 d0 }2 a7 s4 _0 N! x+ n5 o
(global)crypto isakmp client configuration address-pool local pool-name
4 n4 _8 K6 j+ }* x* k3 z
9 d2 z% z" ?+ }- u. O! o5 T( U& `--------------IPSec配置----------------( K0 v- P0 R0 S A6 Q
' I9 w9 ~8 n( A9 }
IPSec 使用加密、数据完整性、源发鉴别以及拒绝重演分组来保护和认证网络层对等端之间的IP分组6 V6 U9 s& Y/ j) D
! |) G1 R: C! \1 ^5 s1 A8 e ?
IPSec对于构建内因网、外因网以及远程用户接入VPN来说非常有用处% |9 B8 [3 v, H7 H8 m
& {- i: p4 Q; I( \IPSec支持以下标准6 K& S3 x, D( f. r: E* h
--Internet协议的安全体系结构
' M* \$ T7 {; A--IKE(Internet密钥交换)
4 N5 S6 Y+ D2 t/ F+ n% F% y--DES(数据加密标准)
4 p: Q4 G4 O* D$ S- H! Q0 M. V--MD5
) E9 Y" n5 i3 ?2 M& k! q! p--SHA
8 |# P; ^- q" i+ G* E4 A f--AH(Authentication Header,认证首部)数据认证和反重演(anti-reply)服务, ?# k2 [. O h5 V# g
--ESP(Encapsulation Security Payload,封装安全净荷)数据隐私、数据验证以及反重演(anti-reply)服务
3 T8 g4 H" U# J0 V+ n* B- w& O% K
, _1 G7 B! G R* I敏感流量由访问列表所定义,并且通过crypto map(保密图)集被应用到接口上。) e4 N- x5 C( o7 H, c4 L0 o1 s
; F. f4 ^5 J; C1 Q7 e7 c4 z/ u
配置$ g; o# k7 m% P2 g6 d/ P# H7 S0 I
" s( [# B( |/ M {. Y3 Z! Z" M% G1、为密钥管理配置IKE$ V' y$ S* L0 b' Z
) k* `1 i( {2 ]6 p& [( q
2、(可选)定义SA的全局生命期: S# q1 _7 q9 Y" N4 Y0 R* M7 Q# P4 I
(global)crypto ipsec security-association lifetime seconds seconds
4 Z5 M0 b( O- X" j(global)crypto ipsec security-association lifetime killobytes kilobytes
- m% C8 q& A8 j& N, M) x! N9 Y* S3 v1 S( Y. {5 Y) y
3、定义保密访问列表来定义受保护的流量0 C2 s6 T- ^. A0 t% t
(global)access-list access-list-number ....9 {0 p, z' `+ t$ M
或者3 F: V0 ]9 g2 d8 O
(global)ip access-list extended name* @7 a+ S0 u! ~& f/ M+ R
扩展的访问列表必须定义由IPSec保护哪种IP流量。保密图(crypto map)援引这个访问列表来确定在接口上要保护的流量。- E' R. D! V% M' v( I9 B
& n% Q; _% V# z4、定义IPSec交换集( M: z5 d- b3 s$ ?/ ^
(1)创建变换集3 N+ a1 X! h& o, M9 f% }! K3 G. E
(global)crypto ipsec transform-set name [transform1 | transform2 | transform3]
8 R! ?7 F* U' \. r7 V1 x7 Y1 K, b可以在一个保密图(crypto map)中定义多个变换集。如果没有使用IKE,那么只能定义一种变换集。用户能够选择多达三种变换。
9 O/ z, I% V6 g: z- w. O7 X(可选)选择一种AH变换- d, r1 u! ]% ^2 z% Y9 Y9 j1 d
--ah-md5-hmac
) V- \" N1 L( E1 @--ah-sha-hmac0 Y) _3 l2 c n3 x" R
--ah-rfc-1828
( Y5 Y9 H9 Q: U(可选)选择一种ESP加密编号3 U; m7 n, s9 q- G1 c8 @
--esp-des
- k% E" [, A1 H9 \, X# M/ C6 I) S--esp-3des# }' R# Q0 _0 V! ~. p2 [
--esp-rfc-1829
& I1 T1 E3 `1 a" w8 Y--esp-null4 }+ a$ G. T! R6 Y; Y+ a0 G
以及这些验证方法之一
3 j. W/ A2 d. I0 B+ T* J--esp-md5-hmac. U2 N7 }% t4 \
--esp-sha-hmac9 r8 t$ X+ P5 D: b1 ~7 H$ ]
(可选)选择IP压缩变换
1 A% H' `* g* h4 l--comp-lzs
0 l: g* t) |1 i4 a! ^2 A* h. d' s" ]! L/ [, w% c
(2)(可选)选择变换集的模式
7 F$ R0 H* D* u: s7 Z3 u; M, u(crypto-transform)mode {tunnel | transport}
: f; M1 A7 w5 M
& y$ n, Y8 ^$ g1 g; M2 N5、使用IPSec策略定义保密映射" x! K% }+ w) v) i; h( {
保密图(crypto map)连接了保密访问列表,确定了远程对等端、本地地址、变换集和协商方法。8 ]) V5 S C r8 v) A8 ~9 ^3 H
7 N* D& M; p+ @) [# s- Q3 C
(1)(可选)使用手工的安全关联(没有IKE协商)7 ~' l5 ]! y2 y2 j5 j3 x
--创建保密图( f5 s* @* c: f1 H
(global)crypto map map-name sequence ipsec-manual
9 @! k5 c& N. ]3 I8 ^
4 O; ]" ~9 b2 S7 P- d4 j& Y3 T--援引保密访问列表来确定受保护的流量
% a6 v) [( N6 ~) Y7 d(crypto-map)match address access-list9 t0 Q' n, x$ X: h
9 R; u4 @; ?) O4 d% Q
--确定远程的IPSec对等端" T( \1 x8 w( R6 B
(crypto-map)set peer {hostname | ip_addr}
; v$ \- r1 {0 B2 X7 l4 z# a3 W: d$ b+ Q4 y- U
--指定要使用的变换集
: Q7 T1 {- `( A2 J(crypto-map)set transform-set name
' t/ a6 v! f7 y8 A& J1 ?+ d变换集必须和远程对等端上使用的相同7 }* z7 o4 E7 s. Q# _) m2 |
2 z/ B) [ Q+ w
--(仅适用于AH验证)手工设定AH密钥) ?6 Z5 q1 k9 s8 B
(crypto-map)set session-key inbound ah spi hex-key-data& E7 r ^1 S3 o) `$ ]7 \& M: L
(crypto-map)set session-key outbound ah spi hex-key-data
( G x! K3 n: S. H* u8 C
! q/ Q8 L+ r u5 A) Y+ }3 z* B4 n0 Q--(仅适用于ESP验证)手工设定ESP SPI和密钥
: ^5 N# m* G# h+ i. H* {+ I; u(crypto-map)set session-key inbound ah spi hex-key-data [authenticator hex-key-data]5 q) k! x2 V6 K' h
(crypto-map)set session-key outbound ah spi hex-key-data [authenticator hex-key-data]
# v: N3 E2 @" I' S9 I+ F N* U8 k0 f) c* }3 M
(2)(可选)使用IKE建立的安全关联
5 w# f0 Q3 k% g) j) \" [--创建保密图: Y" M1 _7 Y. z8 \( N2 e# k- i
(global)crypto map map-name sequence ipsec-isakmp& \1 A( H: @. v# V! x8 J+ ^
/ L9 c) m+ Q. i5 ]) R- ~--援引保密访问列表来确定受保护的流量9 B2 k( W d7 N8 x, c
(crypto-map)match address access-list2 a6 P$ g% [+ C* a2 G- z& W
+ H, S0 {9 x$ i; Q: h( N
--确定远程的IPSec对等端
# }* ~3 T# o/ G(crypto-map)set peer {hostname | ip_addr}) }8 {6 K9 o7 J6 V( X7 _
6 ]9 s2 O3 c; _' X+ H. S' d% ?
--指定要使用的变换集
5 B+ _& `6 \; y5 j" R, L(crypto-map)set transform-set name
2 o( \' B! h; s3 u变换集必须和远程对等端上使用的相同2 F3 w" C4 I% Z: k& ~4 @
% _, `3 d! S' T' X/ U--(可选)如果SA生命期和全局默认不同,那么定义它:
# g2 H/ J; R2 N(crypto-map)set security-association lifetime seconds seconds
& k# _- c5 ~4 e- a& x. [8 ]; |(crypto-map)set security-association lifetime kilobytes kilobytes: f2 g' ^5 A2 @0 r( o
7 `7 W1 h- I6 ^1 r6 ~' H" p+ i
--(可选)为每个源/目的主机对使用一个独立的SA5 X1 ^; k% N: j: o9 q
(crypto-map)set security-association level per-host5 a" r/ q$ n, d: @
7 T* Y* H1 `) C. b$ c' S! P--(可选)对每个新的SA使用完整转发安全性- K, W/ v, _. Q! w6 L
(crypto-map)set pfs [group1 | group2]* o& w% w+ f7 _* P6 D( }
; J* q& Y$ k1 i
(3)(可选)使用动态安全关联8 A# _) m3 o/ `! t% \. l2 N k
--创建动态的保密图
) [( t9 H! v/ C% s# {4 z* ~(global)crypto dynamic-map dyn-map-name dyn-seq-num. ?+ H0 V; x3 s: n# A
( P1 W; z+ a8 u& O8 o& i h
--(可选)援引保密访问列表确定受保护的流量
- j" ?; B I$ S! ](crypto-map)match address access-list7 ]7 i) ?" X" O. ~
8 Q' h, y! _" L5 T x! B( X$ Z5 _--(可选)确定远程的IPSec对等端# r& k& m# u( r2 x# O
(crypto-map)set peer {hostname | ip_addr}
3 |# k+ B9 B0 [7 Z n. }; j/ {# I$ e3 U9 s7 _! y2 R9 ]
--(可选)指定要使用的变换集
/ x& z. w3 f, J4 B! B/ I, N(crypto-map)set transform-set tranform-set-name
& b. w' P; r' }6 m1 h% o
8 E, ?0 r- C- w: H/ w0 j6 t--(可选)如果SA生命期和全局默认不同,那么定义它:
+ Z! v% ]) C! B u% j* t. i(crypto-map)set security-association lifetime seconds seconds
# E( K' X0 B! _1 a6 O; k(crypto-map)set security-association lifetime kilobytes kilobytes
* o4 A5 u( Z( |3 ? V# ^- C# A9 N6 l9 W
--(可选)对每个新的SA使用完整转发安全性
( \2 Q+ }9 k! k- S" N |; O' I, Y, @(crypto-map)set pfs [group1 | group2]+ X5 y0 j4 G: l" q' o- h
/ ]* x- [% R7 R& d/ | B
--将动态保密图集加入到正规的图集中
2 U% j' A8 f1 M: X0 b(global)crypto map map-name sequence ipsec-isakmp dynamic dyn-map-name [discover]4 }6 e+ z! n5 o& v% R
1 ~, G0 M$ [1 l: V' x
--(可选)使用IKE模式的客户机配置2 ?/ R# w1 c2 `/ T! D- s
(global)crypto map map-name client configuration address [initiate | respond]$ n T$ H" k0 {! w7 ]2 E# v
) G6 k* W, i7 \" U' Y t
--(可选)使用来自AAA服务器的预共享IKE密钥( b7 {! `& R: G$ m0 e: \7 C, P
(global)crypto map map-name isakmp authorization list list-name$ B. F' `" \' p D
0 E* d) E* S( {' t5 i8 R8 D' k
6、将保密映射应用到接口上/ |" Y0 a3 l( T# S# M
* q* S/ ?7 L: a) T8 W& U/ F(1)指定要使用的保密映射
2 N9 b) B/ M/ v+ W0 J( ^(interface)crypto map map-name
8 ~3 P9 k5 L, @, K) Y- S6 s2 t+ N9 a9 E6 X" z: P! H
(2)(可选)和其他接口共享保密映射6 N9 K `/ T* D
(global)crypto map map-name local-address interface-id |
所有IT类厂商认证考试题库下载
【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器
[复制链接]
