【正文】 SA Remote PC with Easy Remote VPN Client IOS router (8)T Easy VPN Server 建立 IPSec SA VPN tunnel Client收到配置參數(shù)，雙方建立 IPSec SA Easy VPN在 server端的配置步驟 vpngate1 ? 創(chuàng)建 IKE策略集，該策略集至少要能與 vpn client的一個(gè)內(nèi)置策略集相匹配，以便在 server和 client之間建立 IKE SA ? 定義要推送給 client的組屬性，其中包含分配給 client的地址池、preshare key等 ? 定義 IPSec變換集 (只用于 client觸發(fā)建立 IPSec SA時(shí)，如果是server觸發(fā)建立 IPSec SA就不需要使用 ) ? 啟用 DPD死亡對(duì)端檢測(cè) ? 配置 Xauth擴(kuò)展認(rèn)證 ? 把 crypto map應(yīng)用到路由器端口上 創(chuàng)建 IKE策略集 vpngate1(config) crypto isakmp enable vpngate1(config) crypto isakmp policy 1 vpngate1(configisakmp) authen preshare vpngate1(configisakmp) encryption 3des vpngate1(configisakmp) group 2 vpngate1(configisakmp) exit Authen: Preshared keys Encryption: 3DES DiffieHellman: Group 2 Other settings: Default Policy 1 vpngate1 Cisco vpn client內(nèi)置的部分策略集 DES MD5 DH2 Preshare 3DES MD5 DH2 Preshare 3DES SHA DH2 Preshare vpngate1 定義分配給 client的地址池 router(config) ip local pool {default | poolname lowipaddress [highipaddress]} vpngate1(config) ip local pool remotepool vpngate1 Remote client remotepool to Pool 地址池中的地址將分配給 client端 定義推送給 client的組屬性 router(config) crypto isakmp client configuration group {groupname | default} vpngate1(config) crypto isakmp client configuration group vpngroup1 vpngate1(configisakmpgroup)key myvpnkey vpngate1(configisakmpgroup) pool remotepool Key: myvpnkey Pool name: remotepool Group: vpngroup1 vpngate1 Remote client 可定義多個(gè)組，每個(gè)組使用自己的 preshare key和地址池 配置組屬性的查詢模式 router(config) aaa authorization work groupname local group radius vpngate1(config) aaa newmodel vpngate1(config) aaa authorization work vpnremoteaccess local vpngate1 Remote client vpnremoteaccess Group router(config) aaa newmodel 定義查詢模式 vpnremoteaccess，表明是在路由器本地查詢 把組屬性查詢模式與 crypto map關(guān)聯(lián) router(config) crypto map mapname isakmp authorization list listname vpngate1(config) crypto map dynmap isakmp authorization list vpnremoteaccess vpngate1 Remote client vpnremoteaccess Group 配置路由器響應(yīng) client的 IP地址申請(qǐng) router(config) crypto map mapname client configuration address {initiate | respond} vpngate1(config) crypto map dynmap client configuration address respond vpngate1 Remote client 創(chuàng)建 IPSec變換集 router(config) crypto ipsec transformset transformsetname transform1 [transform2 [transform3]] vpngate1(config) crypto ipsec transformset vpntransform esp3des espshahmac vpngate1(cfgcryptotrans) exit vpntransform Transform set name vpngate1 Remote client 創(chuàng)建動(dòng)態(tài) crypto map router(config) crypto dynamicmap dynamicmapname dynamicseqnum vpngate1(config) crypto dynamicmap maptemplate 1 vpngate1(configcryptomap)set transformset vpntransform vpngate1(configcryptomap) reverse route vpngate1(configcryptomap) exit maptemplate 1 Crypto map name/sequence vpngate1 動(dòng)態(tài) crypto map與靜態(tài) crypto map 靜態(tài) crypto map中要配置保護(hù)流量的 ACL等 Easy VPN模式下 client的地址是變化的，定義保護(hù)流量的 ACL比較困難，所以不適宜直接使用靜態(tài) crypto map 動(dòng)態(tài) crypto map中不需要配置全部參數(shù)，缺少的參數(shù)可以在后續(xù)動(dòng)態(tài)地配置 把動(dòng)態(tài) map與靜態(tài) map相關(guān)聯(lián) router(config) crypto map mapname seqnum ipsecisakmp dynamic dynamicmapname vpngate1(config) crypto map dynmap 1 ipsecisakmp dynamic maptemplate vpngate1 Remote client dynmap 1 Crypto map name/sequence 啟用 IKE的 DPD死亡對(duì)端檢測(cè) vpngate1 router(config) crypto isakmp keepalive secs retries vpngate1(config) crypto isakmp keepalive 20 10 1) DPD Send: Are you there? 2) DPD Reply: Yes I am here. 2) DPD Reply Yes I am here. Secs:發(fā)送 DPD消息的時(shí)間間隔，取值范圍是 103600秒 Retries:DPD失敗后隔多長(zhǎng)時(shí)間重發(fā)，取值范圍是 260秒 啟用 AAA登錄認(rèn)證 router(config) aaa authentication login listname method1 [method2…] vpngate1(config) aaa authentication login vpnusers local vpngate1(config) username user1 password pass1 vpngate1(config) username user2 password pass2 vpngate1 Remote client vpnusers VPN user group 定義擴(kuò)展認(rèn)證 Xauth的超時(shí)時(shí)間 router(config) crypto isakmp xauth timeout seconds vpngate1(config) crypto isakmp xauth timeout 20 vpngate1 Remote client vpnusers VPN user group 20 seconds 把 Xauth認(rèn)證方式與 crypto map關(guān)聯(lián) router(config) crypto map mapname client authentication list listname vpngate1(config) crypto map dynmap client authentication list vpnusers vpngate1 Remote client vpnusers VPN user group dynmap 1 Crypto map name 把 crypto map應(yīng)用到路由器的端口 vpngate1(config) interface ether0/1 vpngate1(configif) crypto map dynmap vpngate1(configif) exit dynmap 1 Crypto map name vpngate1 Remote client e0/1 Easy VPN在 client端的配置步驟 1 點(diǎn)擊“ new”創(chuàng)建一個(gè)新條目 Easy VPN在 client端的配置步驟 2 設(shè)置 Easy VPN server的 IP地址 Easy VPN在 client端的配置步驟 3 設(shè)置組名和對(duì)應(yīng)的 preshare key Xauth擴(kuò)展認(rèn)證 如果設(shè)置了 Xauth擴(kuò)展認(rèn)證，在連接的過程中會(huì)提示輸入用戶名 /口令 連接成功后的狀態(tài)信息 目 錄 ? VPN簡(jiǎn)介 ? IPSec VPN ? BGP/MPLS VPN IPSec基礎(chǔ) 端到端 IPSec VPN的工作原理及配置 Easy VPN（遠(yuǎn)程接入 VPN）的工作原理及配置 BGP/MPLS VPN的工作原理 BGP/MPLS VPN的配置示例 VPN中的角色 CE CE CE CE PE PE P P 運(yùn)營商網(wǎng)絡(luò) 用戶網(wǎng)絡(luò) 用戶網(wǎng)絡(luò) CE (Custom Edge Router)， 用戶邊緣路由器 ，直接與運(yùn)營商網(wǎng)絡(luò)相連 PE (Provider Edge Router)， 運(yùn)營商邊緣路由器 ，與 CE相連，主要負(fù)責(zé) VPN業(yè)務(wù)的接入。 SA示例 端到端 IPSec VPN的配置流程 ? 配置 IPSec前的準(zhǔn)備工作 ? 配置 IKE參數(shù) ? 配置 IPSec參數(shù) ? 測(cè)試并驗(yàn)證 IPSec是否正常工作 端到端 IPSec VPN的配置步驟 1 ? 配置 IPSec前的準(zhǔn)備工作 確認(rèn)在配置 IPSec之前，網(wǎng)絡(luò)是通的。 IPSec SA ? IPSec SA (安全關(guān)聯(lián)， Security Association)： 使用 SPI可以標(biāo)識(shí)路由器與不同對(duì)象之間的連接 。 兩端成功協(xié)商 IPSec參數(shù) 加密算法 hash算法 封裝模式 lifetime 安全協(xié)議 SPD 加密 SPI Hash 封裝模式 lifetime SAD 目的 IP地址 SPI 安全協(xié)議 IPSec SA ? IPSec SA (安全關(guān)聯(lián)， Security Association)： SPI (Security Parameter Index)，由 IKE自動(dòng)分配 發(fā)送數(shù)據(jù)包時(shí)，會(huì)把 SPI插入到 IPSec頭中 接收到數(shù)據(jù)包后， 根據(jù) SPI值查找 SAD和 SPD，從而獲知解密數(shù)據(jù)包所需的加解密算法、 hash算法等。 IKE協(xié)商就是要在通信雙方之間找到相同的 policy。 ? 按協(xié)商好的 IPSec參數(shù)對(duì)數(shù)據(jù)流進(jìn)行加密、hash等保護(hù)。 ? 啟動(dòng) IKE (Inter key exchange)階段 1，對(duì)通信雙方進(jìn)行身份認(rèn)證，并在兩端之間建立一條安全的通道。 問題 2： IPSec協(xié)議中沒有定義通信雙方