工作原理:一边服务器的网络子网为192.168.1.0/24路由器为100.10.15.1另一边的服务器为192.168.10.0/24路由器为200.20.25.1.执行下列步骤:
8 A# s9 z3 X, {4 [$ w! Q
1 E0 c/ }; M$ T7 q8 U [# r w3 q 1. 确定一个预先共享的密钥(保密密码)(以下例子保密密码假设为noIP4u)
+ G# Z0 ?; x6 `1 Y' B J9 M
4 b( a) {" [8 @ 2. 为SA协商过程配置IKE.. a* F7 T. w( S6 l: r0 T* B# E
& {6 Y! d0 v+ p( Q5 {
3. 配置IPSec.9 W5 u3 Z! K6 X! i: n
% _' v6 g5 X, F" [: f
配置IKE:% j# p q" q4 z ^
; V6 c& l" P2 ~8 R1 H Shelby(config)#crypto isakmp policy 1
6 P: [; S6 J4 L9 J. Z2 {* T( w
: ?- q& E% K- e 注释:policy 1表示策略1,假如想多配几个VPN,可以写成policy 2、policy3┅6 t& L3 Y2 {6 J$ Z' y# v! ~
; U" z0 t# |3 L2 o8 {9 r; l! l Shelby(config-isakmp)#group 17 Q3 K& y3 g& f5 a
) Z) d) q6 V; I h& Z" s
注释:除非购买高端路由器,或是VPN通信比较少,否则最好使用group 1长度的密钥,group命令有两个参数值:1和2.参数值1表示密钥使用768位密钥,参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。
3 S& F! u# H2 S3 K8 y, Z* n- [9 G' s, ^8 ^# @
Shelby(config-isakmp)#authentication pre-share$ ^5 a$ e5 Q$ {
3 `2 {6 N& F( V
注释:告诉路由器要使用预先共享的密码。! J* X1 c' ]8 I8 P
6 F' L/ o. Y, m }" I* d4 d3 U, ~
Shelby(config-isakmp)#lifetime 36003 C# k$ K: W$ @- Z# e0 Z2 U
- m& e5 m* C* f% }" ^
注释:对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否则VPN在正常初始化之后,将会在较短的一个SA周期到达中断。! K1 S$ X* b- h0 q! s% L6 V5 Z
+ X: T2 D- L* \1 h0 n# P( C! l5 |
Shelby(config)#crypto isakmp key noIP4u address 200.20.25.19 M3 _, [, z0 D7 Q$ y6 Y$ |
: N% I' w$ M; s( |! d2 H6 O
注释:返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址,即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似,只不过把IP地址改成100.10.15.1.
1 ^' k6 t( p9 k7 L8 T$ {4 R5 }( N" i5 g% D1 f; N
配置IPSec
4 a# e+ g K, p' T) w7 n: |# R# U. M$ P, D, h& f. ~4 B' x/ N7 f
Shelby(config)#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255
. r6 R( r! W: N4 t: ?; [+ y: d/ k' ~ V) @9 C) u
注释:在这里使用的访问列表号不能与任何过滤访问列表相同,应该使用不同的访问列表号来标识VPN规则。
/ _; b1 Y1 O: p& v, o' K" J; K
3 j5 J, }) ~% j3 o; g Shelby(config)#crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac
/ z+ l& H, R ]
6 S( }/ i! V% O6 T4 k2 N8 G 注释:这里在两端路由器唯一不同的参数是vpn1,这是为这种选项组合所定义的名称。在两端的路由器上,这个名称可以相同,也可以不同。以上命令是定义所使用的IPSec参数。为了加强安全性,要启动验证报头。由于两个网络都使用私有地址空间,需要通过隧道传输数据,因此还要使用安全封装协议。最后,还要定义DES作为保密密码钥加密算法。
& _ }8 o% I6 W9 s0 p6 e& O8 w: J- m% ~. q9 E, e- x
Shelby(config)#crypto map shortsec 60 ipsec-isakmp, H( Y6 A. {6 i' w& q
. A# }! {4 L1 M/ q0 ]. F 注释:以上命令为定义生成新保密密钥的周期。如果攻击者破解了保密密钥,他就能够解使用同一个密钥的所有通信。基于这个原因,我们要设置一个较短的密钥更新周期。比如,每分钟生成一个新密钥。这个命令在VPN两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称,稍后可以将它与路由器的外部接口建立关联。
2 d% Y( m9 M* A [2 U0 G
% B Q2 Z/ w- }) z# Q, v7 |6 l A Shelby(config-crypto-map)#set peer 200.20.25.1
! B" F% @0 ]! O
6 C$ w. a2 p( V& a# J" z 注释:这是标识对方路由器的合法IP地址。在远程路由器上也要输入类似命令,只是对方路由器地址应该是100.10.15.1.
/ ` @2 ?5 Z2 H! e( a+ \: Z( ?8 `9 D! ]+ p2 P
Shelby(config-crypto-map)#set transform-set vpn1
4 S" q7 z) c+ p/ l) @3 o4 }7 g/ A- e* e" n, |. f9 {9 U' U
Shelby(config-crypto-map)#match address 130
4 u* f" V* A# R9 ^1 k8 s( W5 N; j5 P: C" q8 a0 z2 J* ]. _5 {
注释:这两个命令分别标识用于这个连接的传输设置和访问列表。
4 G. |7 [" U: b' `3 U" o. Z" q5 U3 z3 { C/ [/ h
Shelby(config)#interface s09 Z, e9 F" K7 o O- o1 G% v+ X
% z6 | a/ x2 n6 a) C. m; U* U
Shelby(config-if)#crypto map shortsec
4 b+ f2 q! ?5 e) G0 J6 ~) o3 g6 m
1 i n, T! l: ?' a2 F' D' ~ 注释:将刚才定义的密码图应用到路由器的外部接口。" i/ _+ g4 Q# g: B) ~
/ N# _& x/ r: ]! M8 l
现在剩下的部分是测试这个VPN的连接,并且确保通信是按照预期规划进行的。) M- s* x& B9 E) _! Z
6 j) _. B$ U1 p1 E2 j
最后一步是不要忘记保存运行配置,否则所作的功劳白费了。
8 _/ H$ W( _# A# B: T/ T# G k
- [- }3 f- k; h. j7 L s9 z" p6 V 附:参照网络安全范围,VPN硬件设备应放置以下四个地点:2 |; J3 \- i5 r; i
8 N1 [/ c d/ m6 F1 }3 @9 G+ @
● 贒MZ的防火墙之外
4 F2 M0 H4 Z9 G/ n( B! G& _
8 z; g/ J4 _! O7 T. R" V ● 连接到防火墙的第三个网卡(服务网络)
2 B& w/ l& X. G& U( L' p9 X/ h! ?% D! T( W2 R3 _
● 在防火墙保护的范围之内. Y% g# G% [$ G# w! P
$ ~) F3 j$ x* _ x1 z+ S ● 与防火墙集成
5 H* [ J7 t+ x+ z, ~& w8 Z# n8 G9 D! @) n0 T: W1 f' w( e
来源:江苏万和计算机培训学校 |
|
所有IT类厂商认证考试题库下载
【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器
[复制链接]
