返回首页> 思科 > 思科路由器ipsec lan-to-lan综合案例详解
跳过导航链接

思科路由器ipsec lan-to-lan综合案例详解
2016-10-11 10:13:00

文章摘要: 思科路由器ipsec lan-to-lan综合案例详解,在IPsecVPN范畴的VPN中,有多种形式的VPN,各形式的VPN因为架构和使用环境的不同而不同,但在IPsecVPN范畴内的各VPN中,都是以IPsec为基础的,在本小节中要讲到的是IPsecVPN之LAN-to-LANVPN,有时也被称为Site-to-SiteVPN,该形式的VPN是IPsecVPN中最简单的VPN,但并不代...
 

思科路由器ipsec lan-to-lan综合案例详解,在IPsecVPN范畴的VPN中,有多种形式的VPN,各形式的VPN因为架构和使用环境的不同而不同,但在IPsecVPN范畴内的各VPN中,都是以IPsec为基础的,在本小节中要讲到的是IPsecVPNLAN-to-LANVPN,有时也被称为Site-to-SiteVPN,该形式的VPNIPsecVPN中最简单的VPN,但并不代表该形式的VPN是最常用的。

在配置IPsecVPN范畴的VPN时,无论配置哪种形式,基本上需要如下几个重要步骤:

配置IKEISAKMP)策略

定义认证标识

配置IPsectransform

定义感兴趣流量

创建cryptomap

cryptomap应用于接口

其中每步的具体内容为:

配置IKEISAKMP)策略

定义IKE PhaseOne中的一些策略,包括加密算法(Encryption),Hash算法(HMAC),密钥算法(Diffie-Hellman),认证方式(Authentication)等等

定义认证标识

无论前面定义了何种认证方式,都需要添加认证信息,如密码、数字证书等等。

配置IPsectransform

也就是定义PhaseTwo中一些加密算法以及HMAC算法,此transformset就是定义了VPN流量中的数据包是受到怎样的保护。

定义感兴趣流量

定义哪些流量需要通过VPN来传输,通过IPsec来保护;匹配流量的方法为定义ACL,建议使用ExtendedACL来匹配指定的流量,ACL中被permit匹配的的流量表示加密,而被deny匹配的流量则表示不加密。

注:在配置ACL定义感兴趣流量时需要格外注意的是ACL中不要使用any来表示源或者目标,否则会出问题。

创建cryptomap

将之前定义的ACL,加密数据发往的对端,以及IPsectransform结合在cryptomap中。

cryptomap应用于接口

cryptomap配置后,是不会生效的,必须将cryptomap应用到接口上,目前还没有听说cryptomap对接口类型有任何要求,也就是正常接口都可以应用,当然必须是三层可路由接口。

因为目前Cisco产品中能够配置VPN的设备有许多,而目前较流行的设备有Router(路由器),PIX(防火墙),ASA(防火墙)

1.配置基础网络环境

1)配置R1

r1(config)#intf0/0

r1(config-if)#ip add12.1.1.1 255.255.255.0

r1(config-if)#nosh

r1(config-if)#exit

r1(config)#intf0/1

r1(config-if)#ip add10.1.1.1 255.255.255.0

r1(config-if)#nosh

r1(config-if)#exit

r1(config)#ip route0.0.0.0 0.0.0.0 12.1.1.2

说明:配置R1的接口地址,并写默认路由指向Internet(路由器R2),地址12.1.1.2

2)配置R2

r2(config)#intf0/0

r2(config-if)#ip add12.1.1.2 255.255.255.0

r2(config-if)#nosh

r2(config-if)#exit

r2(config)#intf0/1

r2(config-if)#ip add23.1.1.2 255.255.255.0

r2(config-if)#nosh

r2(config-if)#exit

说明:配置R2的接口地址,因为R2模拟InternetR2只需要有公网路由12.1.1.023.1.1.0即可,所以R2不需要写任何路由,也不允许写任何路由。

3)配置R3

r3(config)#intf0/0

r3(config-if)#ip add192.168.1.3 255.255.255.0

r3(config-if)#nosh

r3(config-if)#exit

r3(config)#intf0/1

r3(config-if)#ip add23.1.1.3 255.255.255.0

r3(config-if)#nosh

r3(config-if)#exit

r3(config)#ip route0.0.0.0 0.0.0.0 23.1.1.2

说明:配置R3的接口地址,并写默认路由指向Internet(路由器R2),地址23.1.1.2

3.配置LAN-to-LANVPN

1)在R1上配置IKEISAKMP)策略:

r1(config)#crypto isakmppolicy 1    //定义第一阶段poliy策略,本地意义,默认已经有策略了,这是里自定义

r1(config-isakmp)#encryption3des   //加密方式为3des

r1(config-isakmp)#hashsha         //hash算法为sha

r1(config-isakmp)#authenticationpre-share  //认证方式为Pre-SharedKeys

r1(config-isakmp)#group2    //密钥算法(Diffie-Hellman)为group2

r1(config-isakmp)#exit

说明:定义了ISAKMP policy1,加密方式为3deshash算法为sha,认证方式为Pre-Shared Keys(PSK),密钥算法(Diffie-Hellman)为group2

2)在R1上定义认证标识:

r1(config)#crypto isakmpkey 0 cisco123 address 23.1.1.3 //定义域共享秘钥,对方的ip地址

3)在R1上配置IPsectransform:

r1(config)#crypto ipsectransform-set ccie esp-3des esp-sha-hmac //定义第二阶段的策略,也是默认就存在的,定义加密方式和哈希

r1(cfg-crypto-trans)#exit

说明:配置了transform-setccie,其中数据封装使用esp3des加密,并且使用esp结合shahash计算,默认的IPsecmodetunnel

4)在R1上定义感兴趣流量:

r1(config)#access-list100 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255 //定义感兴趣流,用扩展acl来定义,在另一边路由器上配置的源和目的必须颠倒,其他什么都要一样才行

说明:这里需要被IPsec保护传输的流量为上海公司至北京公司的流量,即10.1.1.0/24发往192.168.1.0/24的流量,切记不可使用any来表示地址。

5)在R1上创建cryptomap:

r1(config)#crypto mapl2l(这个代表名字也是自定义的) 1ipsec-isakmp   //系列号只具有本地意义,关联兴趣流

r1(config-crypto-map)#setpeer 23.1.1.3

r1(config-crypto-map)#settransform-set ccie

r1(config-crypto-map)#matchaddress 100

r1(config-crypto-map)#exit

说明:在R1上配置cryptomapl2l,序号为1,即第1组策略,其中指定加密

数据发往的对端为23.1.1.3,即和23.1.1.3建立IPsec隧道,调用的IPsectransformccie,并且指定ACL100中的流量为被保护的流量。

6)在R1上将cryptomap应用于接口:

r1(config)#intf0/0

r1(config-if)#crypto mapl2l

r1(config-if)#exit

r1(config)#

说明:将cryptomap应用在去往北京公司的接口F0/0上。

7)使用相同方式配置R3LAN-to-LANVPN:

r3(config)#crypto isakmppolicy 1

r3(config-isakmp)#encryption3des

r3(config-isakmp)#hashsha

r3(config-isakmp)#authenticationpre-share

r3(config-isakmp)#group2

r3(config-isakmp)#exit

r3(config)#crypto isakmpkey 0 cisco123 address 12.1.1.1

r3(config)#crypto ipsectransform-set ccie esp-3des esp-sha-hmac

r3(cfg-crypto-trans)#exit

r3(config)#access-list100 permit ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255

r3(config)#crypto mapl2l 1 ipsec-isakmp

r3(config-crypto-map)#setpeer 12.1.1.1

r3(config-crypto-map)#settransform-set ccie

r3(config-crypto-map)#matchaddress 100

r3(config-crypto-map)#exit

r3(config)#

r3(config)#intf0/1

r3(config-if)#crypto mapl2l

r3(config-if)#

说明:R3R1IKEIPsec策略必须保持一致。

c2#ping192.168.1.4

Sending 5, 100-byte ICMPEchos to 192.168.1.4, timeout is 2 seconds:

.!!!!

Success rate is 80percent (4/5), round-trip min/avg/max = 64/125/212 ms

说明:上海公司c2向北京公司c1发送的5个数据包,有4个成功穿越了Internet,说明该流量激活了IKESA,并且在双方应该成功建立了IPsec隧道,所以才实现了VPN的功能。

这是因为natvpn的优先级高,因此数据包的ip头部的ip首先被nat的感兴趣流匹配,进行地址转换,转换后就不匹配vpn感兴趣流,就不会被加密,撞击map,因为有缺省路由,从接口发送至互联网。所以互联网收到之后查看数据包,目的为私网地址,直接丢弃,因此不通。

4)删除R1上的NAT

r1(config)#access-list 1deny 10.1.1.0 0.0.0.255

r1(config)#access-list 1permit any

r1#cle ip nattranslation *

说明:因为被NAT转换的流量不再是合法的IPsec流量,所以我们将需要被IPsec保护的从上海发往北京的流量,即10.1.1.0/24发往192.168.1.0/24的流量不被NAT转换。

5)再次从上海公司c2向北京公司c1发送流量:

c2#ping192.168.1.4

Type escape sequence toabort.

Sending 5, 100-byte ICMPEchos to 192.168.1.4, timeout is 2 seconds:

!!!!!

说明:不被NAT转换的流量和之前一样再次通过IPsecVPN隧道穿越了Internet

 

更多推荐:Cisco培训  Cisco认证  思科培训  思科认证
上一篇:思科交换机3650密码恢复
下一篇:思科修复Shadow Brokers漏洞
文章摘要: 思科修复Shadow Brokers漏洞,思科修复了另一个正被利用的密钥交换0day漏洞。 该漏洞是黑客组织Shadow Brokers上个月公开NSA网络武器时披露的。漏洞影响思科所有版本的Cisco PIX防火墙和多个版本的 Cisco IOS软件。 漏洞存在于处理 IKEv1包的代码中,IKE(互联网密钥交换、Internet Key Exchange)被用于IPSec协议,帮助在两个端点之间建立安全连接,思科在多个VPN产品使用了它。漏洞允许远程攻击者获取内存内容,可能导...
◆怎样选择合适的PoE交换机? ◆思科持续保持企业基础设施市场优势 ◆网络工程师需要的8项技能 ◆思科IOS中改善CLI的用户体验 ◆思科7600系列设备VTT故障排查流程 ◆微软推出WDATP强化企业终端威胁防护 ◆Windows申请免费SSL证书-Let's Encrypt ◆Windows Server 2008 R2设置VMware在开机登录之前自启动 ◆回望微软亚洲研究院:5位门徒的故事 ◆Win10进入安全模式的两种方法 ◆怎样选择合适的PoE交换机? ◆思科持续保持企业基础设施市场优势 ◆网络工程师需要的8项技能 ◆思科IOS中改善CLI的用户体验 ◆思科7600系列设备VTT故障排查流程 ◆新华三集团总裁兼首席执行官于英涛2017年会致辞 ◆新华三加速云落地 ◆H3C交换机S5500策略路由配置 ◆华三H3C交换机命名规则详解 ◆H3C交换机设置DHCP中继,配合Linux 服务器为多VLAN提供DHCP地址分配服务 ◆女生做Linux运维工程师 ◆Linux培训:Linux中的info指令 ◆Linux为何喜欢把系统信息放在文件中 ◆Linux技术怎么学? ◆Linux下安装Oracle 11g RAC详细教程:安装前环境准备 ◆是否有必要参加PMP考试培训 ◆该怎么选择PMP培训公司 ◆企业为什么需要IT配置管理及其如何使用 ◆PMP考试心得 ◆IT资产管理与ITIL配置管理的区别和联系 ◆Juniper SSG双机高可用(HA)平滑升级经验分享 ◆高盛:Juniper市场表现将超过Cisco和Arista ◆Juniper收购云管理公司AppFormix ◆Juniper Networks:软件定义云计算 SDN控制器 ◆Juniper SSG系列DDNS设置 ◆除F5外,其他负载均衡软件的优缺点 ◆负载均衡的那些算法们 ◆F5配置手册:设备初始化配置 ◆关于Link Controller的说明(简称LC) ◆F5:物联网安全任重道远 ◆甲骨文这次公布了其云计算家底 ◆Oracle培训:案例管理如何强化SOA环境 ◆Ubuntu 14.04 安装 Oracle 11g R2 Express Edition ◆Oracle如何查询当前连接的用户名 ◆Oracle 密码文件与用户密码的关系 ◆拥抱商业虚拟化生态,XSKY获VMware Ready Storage认证 ◆VMware公布IT管理和安全云计算调查的主要研究结果 ◆VMware跨云策略助力企业数字化转型 ◆VMware RHEL6.5 虚拟机克隆后更改网卡 ◆VMware Photos OS OVA SSH访问权限漏洞(CVE-2016-5333) ◆戴尔EMC补丁在VMAX存储系统中出现漏洞 ◆EMC进行SAN拆分,解决更细化的存储需求 ◆EMC数据中心全闪存年,机架级闪存可让Hadoop提速10倍 ◆EMC发布2016年新品和技术路线 ◆重新定义企业IT,EMC联手VMware推超融合 ◆用大数据预测雾霾,已获得环保部订单的微软是如何做到的? ◆大数据学习经验 ◆身处大数据时代,大数据这些误区你知道吗 ◆大数据分析促进人才招聘 ◆架构师和开发者争吵的理由 ◆云计算的三大支柱 ◆云计算的真正价值不仅仅是节省开支 ◆云计算将改变我们的生活? ◆云计算如何助力城市管理 ◆微软、AWS、VMware如何在中国云计算市场淘金 ◆Spark将机器学习与GPU加速机制纳入自身 ◆spark作业调优 ◆Spark基本工作流程及YARN cluster模式原理 ◆从Spark 2.0版的推出,看开源大数据技术的商业化发展 ◆Spark2.0安装配置文档 ◆思科公司关闭基于OpenStack的公共云 ◆2017年OpenStack管理员认证会不会火? ◆OpenStack私有云成本可能低于AWS的3个原因 ◆OpenStack跨云协作 ◆OpenStack第十四个版本及14项重要事实 ◆IBM首席执行官提出人工智能部署三大基本原则 ◆调研IBM与西门子:软件将是工业的未来! ◆IBM在美获专利最多 ◆IBM闪存迎接新挑战 ◆AIX平台部署数据库与打补丁常见错误 ◆Hadoop创始人Doug Cutting寄语2017:五种让开源项目成功的方法 ◆基于Ubuntu Hadoop的群集搭建Hive ◆HDFS以及HBase动态增加和删除节点 ◆Cloudera提供课程帮助缩小数据技能差距 ◆Cloudera提供课程帮助缩小数据技能差距 ◆MapReduce工作流多种实现方式 ◆Citrix虚拟化技术:XenServer6.2资源池配置 ◆Citrix虚拟化技术:XenServer6.2虚拟机创建 ◆Citrix虚拟化技术:XenServer6.2存储管理 ◆Citrix虚拟化技术:XenServer6.2安装 ◆2017年十大最热IT技能:安全位列其中 ◆筑牢个人信息安全防火墙 ◆2016年最热门的六大IT职位 ◆CISP认证和CISSP认证区别 ◆成为CISSP的理由