【正文】 y DiffieHellman group: 1 (768 bit) lifetime: 86400 seconds, no volume limit Default protection suite encryption algorithm: DES Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: RivestShamirAdleman Signature DiffieHellman group: 1 (768 bit) lifetime: 86400 seconds, no volume limit show crypto isakmp policy router 顯示已配置的和缺省的策略集 端到端 IPSec VPN的配置步驟 3 ? 配置 IPSec參數(shù) 配置 IPSec變換集 用 ACL定義需要 IPSec保護的流量 創(chuàng)建 crypto map 把 crypto map 應(yīng)用到路由器的端口上 配置 IPSec變換集 crypto ipsec transformset transformsetname transform1 [transform2 [transform3]] router(cfgcryptotrans) router(config) RouterA(config) crypto ipsec transformset mine espdes RouterA (cfgcryptotrans)mode tunnel 每個變換集中可以包含 AH變換、 ESP變換和封裝模式 (隧道模式或傳輸模式 ) 每個變換集中最多可以有一個 AH變換和兩個 ESP變換 IOS支持的變換 RouterA(config) crypto ipsec transformset transformsetname ? ahmd5hmac AHHMACMD5 transform ahshahmac AHHMACSHA transform esp3des ESP transform using 3DES(EDE) cipher (168 bits) espdes ESP transform using DES cipher (56 bits) espmd5hmac ESP transform using HMACMD5 auth espshahmac ESP transform using HMACSHA auth espnull ESP transform w/o cipher 用 ACL定義需要 IPSec保護的流量 accesslist accesslistnumber [dynamic dynamicname [timeout minutes]] {deny | permit} protocol source sourcewildcard destination destinationwildcard [precedence precedence][tos tos] [log] router(config) RouterA(config) accesslist 110 permit tcp Site 1 Site 2 A B Inter RouterA RouterB 加密 定義哪些流量需要 IPSec保護 Permit=要保護 /deny=不用保護 兩端路由器要配置對稱的 ACL RouterA(config) accesslist 110 permit tcp RouterB(config) accesslist 101 permit tcp E0/1 Site 1 Site 2 E0/1 A B Inter RouterA RouterB Crypto map的主要配置參數(shù) 需要 IPSec保護的流量的 ACL VPN對端的 IP地址 使用的 IPSec變換集 協(xié)商建立 IPSec SA的方式 (手工或通過 IKE) IPSec SA的存活期 創(chuàng)建 crypto map crypto map mapname seqnum ipsecmanual crypto map mapname seqnum ipsecisakmp [dynamic dynamicmapname] router(config) Site 1 Site 2 A B Inter RouterA RouterB RouterA(config) crypto map mymap 110 ipsecisakmp Site3 B RouterC 每個路由器端口只能應(yīng)用一個 crypto map 當(dāng)一個端口有多個 VPN對端時，就使用 seqnum來區(qū)分 Crypto map 配置示例 RouterA(config) crypto map mymap 110 ipsecisakmp RouterA(configcryptomap) match address 110 RouterA(configcryptomap) set peer RouterA(configcryptomap) set peer RouterA(configcryptomap) set pfs group1 RouterA(configcryptomap) set transformset mine RouterA(configcryptomap) set securityassociation lifetime 86400 Site 1 Site 2 A B RouterA RouterB B RouterC Inter 可配置多個 vpn對端進行冗余 應(yīng)用 crypto map到路由器端口上 RouterA(config) interface ether0/1 RouterA(configif) crypto map mymap E0/1 Site 1 Site 2 E0/1 A B Inter RouterA RouterB mymap router(configif) crypto map mapname 在出口上應(yīng)用 crypto map 端到端 IPSec VPN的配置步驟 4 ? 測試并驗證 IPSec是否正常工作 _1 顯示 IKE策略 show crypto isakmp policy 顯示 IPSec變換集 show crypto ipsec transformset 顯示 crypto maps show crypto map 端到端 IPSec VPN的配置步驟 4 ? 測試并驗證 IPSec是否正常工作 _2 顯示 IPSec SA的狀態(tài) show crypto ipsec sa debug IPSec 事件 debug crypto ipsec debug ISAKMP 事件 debug crypto isakmp 端到端 IPSec VPN的配置示例 RouterA show run crypto isakmp policy 110 hash md5 authentication preshare crypto isakmp key cisco1234 address ! crypto ipsec transformset mine espdes ! crypto map mymap 10 ipsecisakmp set peer set transformset mine match address 110 ! interface Ether 0/1 ip address no ip directedbroadcast crypto map mymap ! accesslist 110 permit tcp E0/1 Site 1 Site 2 E0/1 A B Inter RouterA RouterB RouterB show run crypto isakmp policy 110 hash md5 authentication preshare crypto isakmp key cisco1234 address ! crypto ipsec transformset mine espdes ! crypto map mymap 10 ipsecisakmp set peer set transformset mine match address 101 ! interface Ether 0/1 ip address no ip directedbroadcast crypto map mymap ! accesslist 101 permit tcp 目 錄 ? VPN簡介 ? IPSec VPN ? BGP/MPLS VPN IPSec基礎(chǔ) 端到端 IPSec VPN的工作原理及配置 Easy VPN（遠程接入 VPN）的工作原理及配置 BGP/MPLS VPN的工作原理 BGP/MPLS VPN的配置示例 Easy VPN的特點 Easy VPN Remote Easy VPN Server 端到端模式下，兩端路由器都要進行較復(fù)雜的配置 Easy VPN模式下， Remote只需要進行簡單的配置，其余大部分參數(shù)由 Server端直接推送給它 Easy VPN模式常用于用戶的遠程接入 Remote可以是 cisco vpn client， server端可以是路由器，其 IOS要求高于或等于 (8)T 流程 1client向 server發(fā)送 IKE policy Remote PC with Easy Remote VPN Client IOS router (8)T Easy VPN Server Policy 1, Policy 2, Policy 3 Easy VPN由 client觸發(fā) cisco vpn client中內(nèi)置了多個 IKE policy client觸發(fā) Easy VPN后，會把內(nèi)置的 IKE policy全部發(fā)送到 server端 流程 2 server 找到匹配的 policy server 把 client 發(fā)送來的 IKE policy 與自己的policy相比較 找到匹配值后成功建立 IKE SA Remote PC with Easy Remote VPN Client IOS router (8)T Easy VPN Server Policy 1 檢查后發(fā)現(xiàn)policy1匹配 流程 3 server 要 client輸入用戶 /口令 Remote PC with Easy Remote VPN Client IOS router (8)T Easy VPN Server Username/password AAA checking Username/password challenge 如果配置了擴展認證 Xauth， server 端將要求client端 發(fā)送用戶名 /口令進行身份認證 配置 Xauth將獲得更高的安全性，因此建議server端配置 Xauth 流程 4server向 client推送參數(shù) Remote PC with Easy Remote VPN Client IOS router (8)T Easy VPN Server Client 請求配置參數(shù) Server推送配置參數(shù) 身份認證通過后， client將向 server請求其余的配置參數(shù) Server向 client推送的參數(shù)至少要包含分配給client的 IP地址 流程 5server進行反向路由注入 Remote PC with Easy Remote VPN Client IOS router (8)T Easy VPN Server 創(chuàng)建 RRI靜態(tài)路由 Server進行反向路由注入 (Reverse Route Injeciton， RRI)，為剛分配的 client端 IP地址產(chǎn)生一條靜態(tài)路由，以便正確地路由發(fā)送給 client端的數(shù)據(jù)包 流程 6建立 IPSec