基于CISCO路由器的IPSEC VPN ppt

PPT 内容
PPT 图集

1. 基于CISCO路由器的IPSEC VPN
2. 目录VPN简介 IPSec VPNIPSec基础端到端IPSec VPN的工作原理及配置 Easy VPN（远程接入VPN）的工作原理及配置
3. 本章结构VPN技术加密算法数据报文验证IPSec VPN 原理与配置VPN的定义IPSec VPNVPN概述IPSec连接ISAKMP/IKE阶段2ISAKMP/IKE阶段1IPSec VPN的配置实现VPN的模式与类型
4. 使用全球网络资源构建成局域网统一的信息平台建立，实现总部与分支之间资源共享数据大集中实现资源的最佳化配置大专网内构建“小专网”，保障敏感数据的安全专线备份，全方位的稳定性保证
5. 您是否遇到过这些问题？花重金构建起了统一信息平台需要在整个组织内部推广使用，但分支遍布全省、全国甚至国际各地。若是使用专线构建网络，长期成本直逼信息系统的花费！专网建设成本高昂网络改造频繁分支的伸缩性强，扩张快，这个月刚搭好的专网下个月又要改，网管人员一直在马不停蹄的改造网络架构！
6. 国内某大型保险公司建设统一网络面临的布网问题：地域性问题：下属分支机构众多，遍布范围广，传统网络连接成本过高；业务布局的变动性问题：业务布局伸缩性较强，网络布局会随着业务布局有较大改变；
7. 国内某大型保险公司！解决方案公网“专有化”！组网便利，易于扩展透明访问，使用方便
8. 您是否担心过以下问题？多组织多部门共用大专网多个组织多个部门都在同一大专网内，只是公开的互联网“专”了一点。重要的应用在专网内还是明文传输，如此大专化存在风险问题！节点安全短板问题大专网内某些节点存在安全风险，易成为黑客等入侵专网的入口，直接对专网内明文传输的数据造成威胁。
9. 某省公安厅！解决方案IPSec VPN公网数据强加密，在大专网中构建小专网！
10. 您是否考虑过以下情况？网络的冗余可靠性现有的网络都是依靠单一运营商的专线，但频频发生的运营商线路中断让人提心吊胆，网络线路的主备机制越发重要备份线路的高成本备份线路使用频率低却是不可或缺的，使用专线进行出口线路的主备成本太高，投资回报比让人堪忧。
11. VPN简介 IP VPN (Virtual Private Network，虚拟专用网)就是利用开放的公众IP/MPLS网络建立专用数据传输通道，将远程的分支机构、移动办公人员等连接起来。 IP/MPLS网中心站点分支机构移动办公人员
12. 隧道机制IP VPN可以理解为：通过隧道技术在公众IP/MPLS网络上仿真一条点到点的专线。隧道是利用一种协议来传输另外一种协议的技术，共涉及三种协议，包括：乘客协议、隧道协议和承载协议。被封装的原始IP包新增加的IP头IPSec头乘客协议隧道协议承载协议原始IP包经过IPSec封装后
13. 广域网存在各种安全隐患网上传输的数据有被窃听的风险网上传输的数据有被篡改的危险通信双方有被冒充的风险 VPN的定义InternetR2R1
14. VPN建立“保护”网络实体之间的通信使用加密技术防止数据被窃听数据完整性验证防止数据被破坏、篡改通过认证机制确认身份，防止数据被截获、回放 VPN的定义2Internetvpn隧道R1R2
15. 传输模式封装模式相对简单，传输效率较高 IP包头未被保护VPN的连接模式1InternetABIP包头有效载荷IP包头VPN头有效载荷VPN尾IP包头VPN头有效载荷VPN尾IP包头VPN头IP包头有效载荷
16. 隧道模式 IP包头被保护VPN的连接模式2新IP头VPN头IP包头有效载荷VPN尾新IP头VPN头InternetABIP包头有效载荷被保护的新IP头VPN头IP包头有效载荷VPN尾VPN尾
17. VPN背景总公司租用专线我们有很多分公司，如果用租用专线的方式把他们和总公司连起来，需要花很多钱想节约成本的话，可以用VPN来连接分公司分公司分公司
18. 隧道带来的好处隧道保证了VPN中分组的封装方式及使用的地址与承载网络的封装方式及使用地址无关 Internet被封装的原始IP包新增加的IP头IPSec头私网地址公网地址中心站点分支机构Internet根据这个地址路由可以使用私网地址，感觉双方是用专用通道连接起来的，而不是Internet隧道
19. 按隧道类型对VPN分类隧道协议如下：第二层隧道协议，如L2TP 第三层隧道协议，如IPSec 介于第二层和第三层之间的隧道协议，如MPLS VPN
20. 多协议标签交换MPLS 独立于第二和第三层协议，诸如ATM 和IP。它提供了一种方式，将IP地址映射为简单的具有固定长度的标签，用于不同的包转发和包交换技术。它是现有路由和交换协议的接口，如IP、ATM、帧中继、资源预留协议（RSVP）、开放最短路径优先（OSPF）等等在MPLS 中，数据传输发生在标签交换路径（LSP）上。LSP 是每一个沿着从源端到终端的路径上的结点的标签序列。现今使用着一些标签分发协议，如标签分发协议（LDP）、RSVP 或者建于路由协议之上的一些协议，如边界网关协议（BGP）及OSPF。因为固定长度标签被插入每一个包或信元的开始处，并且可被硬件用来在两个链接间快速交换包，所以使数据的快速交换成为可能。 MPLS 主要设计来解决网路问题，如网路速度、可扩展性、服务质量（QoS）管理以及流量工程，同时也为下一代IP 中枢网络解决宽带管理及服务请求等问题。多协议标签交换MPLS最初是为了提高转发速度而提出的。与传统IP路由方式相比，它在数据转发时，只在网络边缘分析IP报文头，而不用在每一跳都分析IP报文头，从而节约了处理时间。
21. 传统的VPN一般是通过GRE（Generic Routing Encapsulation）、L2TP（Layer 2 Tunneling Protocol）、PPTP（Point to Point Tunneling Protocol）、IPSec协议等隧道协议来实现私有网络间数据流在公网上的传送。而LSP本身就是公网上的隧道，所以用MPLS来实现VPN有天然的优势。基于MPLS的VPN就是通过LSP将私有网络的不同分支联结起来，形成一个统一的网络。基于MPLS的VPN还支持对不同VPN间的互通控制。 CE（Customer Edge）是用户边缘设备，可以是路由器，也可以是交换机或主机。 PE（Provider Edge）是服务商边缘路由器，位于骨干网络。在骨干网络中，还存在P（Provider），是服务提供商网络中的骨干路由器，不与CE直接相连。P设备只需要具备基本MPLS转发能力，可以将其配置为M-BGP的路由反射器，不维护VPN信息。基于MPLS的VPN具有以下特点： PE负责对VPN用户进行管理、建立各PE间LSP连接、同一VPN用户各分支间路由分派。 PE间的路由分派通常是用LDP或扩展的BGP协议实现。支持不同分支间IP地址复用和不同VPN间互通。减化了寻路步骤，提高了设备性能，加快了报文转发
22. L2TPL2TP封装的乘客协议是位于第二层的PPP协议。原始数据包新增加的IP头L2TP头可以是IP、IPX和AppleTalkPPP封装原始数据包PPP头L2TP封装原始数据包PPP头可以是IP、ATM和帧中继L2TP没有对数据进行加密。
23. L2TP的典型应用--VPDNL2TP连接PPP连接用户发起PPP连接到接入服务器接入服务器封装用户的PPP会话到L2TP隧道，L2TP隧道穿过公共IP网络，终止于电信VPDN机房的LNS 用户的PPP session经企业内部的认证服务器认证通过后即可访问企业内部网络资源
24. IPSecIPSec只能工作在IP层，要求乘客协议和承载协议都是IP协议被封装的原始IP包新增加的IP头IPSec头必须是IP协议必须是IP协议IPSec可以对被封装的数据包进行加密和摘要等，以进一步提高数据传输的安全性
25. MPLS VPN的基本工作模式在入口边缘路由器为每个包加上MPLS标签，核心路由器根据标签值进行转发，出口边缘路由器再去掉标签，恢复原来的IP包。MPLS网P1P2PE1PE2CE1CE210.1.1.1MPLS标签10.1.1.110.1.1.1
26. MPLS VPN的特点MPLS标签位于二层和三层之间三层包头MPLS 标签二层包头二层包头三层包头MPLS封装
27. 三种VPN的比较L2TPIPSecMPLS VPN隧道协议类型第二层第三层第二层和第三层之间是否支持数据加密不支持支持不支持对设备的要求只要求边缘设备支持L2TP只要求边缘设备支持IPSec要求边缘设备和核心设备都支持MPLS
28. 目录VPN简介 IPSec VPNIPSec基础端到端IPSec VPN的工作原理及配置 Easy VPN（远程接入VPN）的工作原理及配置
29. IPSec概述 IPSec是一种开放标准的框架结构，特定的通信方之间在IP 层通过加密和数据摘要(hash)等手段，来保证数据包在Internet 网上传输时的私密性(confidentiality) 、完整性(data integrity)和真实性(origin authentication)。IPSec只能工作在IP层，要求乘客协议和承载协议都是IP协议被封装的原始IP包新增加的IP头IPSec头必须是IP协议必须是IP协议
30. 通过加密保证数据的私密性私密性：防止信息泄漏给未经授权的个人通过加密把数据从明文变成无法读懂的密文，从而确保数据的私密性Internet4ehIDx67NMop9eR U78IOPotVBn45TR土豆批发价两块钱一斤实在是看不懂加密4ehIDx67NMop9eR U78IOPotVBn45TR解密土豆批发价两块钱一斤
31. 对称加密如果加密密钥与解密密钥相同，就称为对称加密由于对称加密的运算速度快，所以IPSec使用对称加密算法来加密数据
32. 对数据进行hash运算来保证完整性完整性：数据没有被非法篡改通过对数据进行hash运算，产生类似于指纹的数据摘要，以保证数据的完整性土豆两块钱一斤Hash4ehIDx67NMop9土豆两块钱一斤4ehIDx67NMop9土豆三块钱一斤4ehIDx67NMop9我偷改数据Hash2fwex67N32rfee3两者不一致代表数据已被篡改
33. 对数据和密钥一起进行hash运算攻击者篡改数据后，可以根据修改后的数据生成新的摘要，以此掩盖自己的攻击行为。通过把数据和密钥一起进行hash运算，可以有效抵御上述攻击。土豆两块钱一斤Hashfefe23fgrNMop7土豆两块钱一斤fefe23fgrNMop7土豆三块钱一斤2fwex67N32rfee3我同时改数据和摘要两者还是不一致Hashfergergr23frewfgh
34. 对称密钥交换对称加密和hash都要求通信双方具有相同的密钥问题：怎样在双方之间安全地传递密钥？密钥哈哈，要是敢直接传递密钥，我就只好偷看了密钥
35. DH算法的基本原理Router ARouter B生成一个整数 p生成一个整数 q把 p发送到对端p把 q发送到对端q根据p、q生成g根据p、q生成g生成密钥Xa生成密钥Xb把 Ya=g^ Xa发送到对端把 Yb=g^ Xb发送到对端YaYbKey=Yb^Xa =g^(Xb*Xa)Key=Ya^Xb =g^(Xa*Xb)最后得到的对称密钥双方没有直接传递密钥
36. 通过身份认证保证数据的真实性真实性：数据确实是由特定的对端发出通过身份认证可以保证数据的真实性。常用的身份认证方式包括： Pre-shared key，预共享密钥 RSA Signature，数字签名
37. 预共享密钥预共享密钥，是指通信双方在配置时手工输入相同的密钥。Hash_L+ 路由器名等本地Hash共享密钥远端生成的Hash_LHash=+ 对端路由器名 Internet共享密钥接收到的Hash_L
38. 数字证书RSA密钥对，一个是可以向大家公开的公钥，另一个是只有自己知道的私钥。用公钥加密过的数据只有对应的私钥才能解开，反之亦然。数字证书中存储了公钥，以及用户名等身份信息。数字证书我是Router A，我的公钥是…….
39. 数字签名认证+ ID Information加密Hash_I解密Hash_I私钥公钥本地远端Hash=+ 身份信息Hash对称密钥数字签名+ 身份信息Hash12数字证书+Internet对称密钥数字签名数字证书
40. IPSec框架结构ESPAHDES3DESAESMD5SHADH1DH2IPSec框架可选择的算法IPSec安全协议加密数据摘要对称密钥交换
41. IPSec安全协议AH (Authentication Header) 只能进行数据摘要(hash) ，不能实现数据加密 ah-md5-hmac、ah-sha-hmac ESP (Encapsulating Security Payload) 能够进行数据加密和数据摘要(hash) esp-des、esp-3des、esp-md5-hmac、esp-sha-hmac、IPSec安全协议描述了如何利用加密和hash来保护数据安全
42. IPSec封装模式IPSec支持两种封装模式：传输模式和隧道模式传输模式：不改变原有的IP包头，通常用于主机与主机之间。IP头数据原始IP包IP头数据AH头AHhashAH对除了TTL等变化值以外的整个IP包进行hash运算IP头数据ESP头hashESP trailerESP authESP加密hash
43. IPSec封装模式IPSec支持两种封装模式：传输模式和隧道模式隧道模式：增加新的IP头，通常用于私网与私网之间通过公网进行通信。IP头数据原始IP包IP头数据新IP头AHhashIP头数据ESP头hashESP trailerESP authESP加密hashAH头新IP头
44. IPSec与NATAH模式无法与NAT一起运行 AH对包括IP地址在内的整个IP包进行hash运算，而NAT会改变IP地址，从而破坏AH的hash值。IP头数据AH头hashhashNAT：我要修改源/目的IP地址AH：不行！我对IP地址也进行了hash
45. IPSec与NATESP模式下：只进行地址映射时，ESP可与它一起工作。进行端口映射时，需要修改端口，而ESP已经对端口号进行了加密和/或hash，所以将无法进行。IP头数据ESP头ESP trailerESP auth加密TCP/UDP端口NAT：端口号被加密了，没法改，真郁闷
46. IPSec与NATESP模式下：启用IPSec NAT穿越后，会在ESP头前增加一个UDP头，就可以进行端口映射。IP头数据ESP头ESP trailerESP auth加密TCP/UDP端口NAT：可以改端口号了，太棒了新UDP头
47. 目录VPN简介 IPSec VPNIPSec基础端到端IPSec VPN的工作原理及配置 Easy VPN（远程接入VPN）的工作原理及配置
48. 对上一节的回顾IPSec协议框架包括加密、hash、对称密钥交换、安全协议等四个部分，这些部分都可以采用多种算法来实现。问题1：要成功建立IPSec VPN，两端路由器必须采用相同的加密算法、hash算法和安全协议等，但IPSec协议中并没有描述双方应如何协商这些参数。问题2： IPSec协议中没有定义通信双方如何进行身份认证，路由器有可能会和一个假冒的对端建立IPSec VPN。
49. 端到端IPSec VPN的工作原理需要保护的流量流经路由器，触发路由器启动相关的协商过程。启动IKE (Internet key exchange)阶段1，对通信双方进行身份认证，并在两端之间建立一条安全的通道。启动IKE阶段2，在上述安全通道上协商IPSec参数。按协商好的IPSec参数对数据流进行加密、hash等保护。 Host AHost BRouter A Router B 什么是端到端的VPN？
50. IKE阶段1Host AHost BRouter A Router B 10.0.1.310.0.2.3IKE 阶段 1协商建立IKE安全通道所使用的参数协商建立IKE安全通道所使用的参数
51. IKE阶段1协商建立IKE安全通道所使用的参数，包括：加密算法 Hash算法 DH算法身份认证方法存活时间
52. IKE阶段1Policy 10 DES MD5 DH1 Pre-share lifetimePolicy 15 DES MD5 DH1 Pre-share lifetimeRouter ARouter Bhost Ahost BPolicy 20 3DES SHA DH1 Pre-share lifetimePolicy 25 3DES SHA DH2 Pre-share lifetime双方找到相同的策略集上述IKE参数组合成集合，称为IKE policy。IKE协商就是要在通信双方之间找到相同的policy。
53. IKE阶段1Host AHost BRouter A Router B 10.0.1.310.0.2.3IKE 阶段 1协商建立IKE安全通道所使用的参数交换对称密钥双方身份认证建立IKE安全通道协商建立IKE安全通道所使用的参数交换对称密钥双方身份认证建立IKE安全通道
54. 阶段1的三个任务协商采用何种方式建立管理连接通过DH算法共享密钥信息对等体彼此进行身份验证ISAKMP/IKE阶段1Internet传输集A …… …… AB传输集B …… …… 比对1.加密算法 2.HMAC功能 3.设备验证的类型 4.DH密钥组 5.管理连接的生存周期预共享密钥预共享密钥共享密钥共享密钥DH算法使用密钥加密用户身份信息使用密钥和用户信息通过hash算法计算数字签名对方比对数字签名确认身份
55. 配置安全策略ISAKMP/IKE阶段1的配置2-1InternetRouter(config)#crypto isakmp policy priority Router(config-isakmp)#encryption { des | 3des | aes } Router(config-isakmp)#hash { sha | md5 } Router(config-isakmp)#authentication pre-share Router(config-isakmp)#group { 1 | 2 | 5 } Router(config-isakmp)#lifetime seconds 指定加密算法用于加密和验证阶段1第5、6个数据包指定hash算法采用预共享密钥方式指定DH算法的密钥长度Router#show crypto isakmp policy Protection suite of priority 1 encryption algorithm: AES – Advanced Encryption Standard (128 bit keys). hash algorithm: Secure Hash Standard authentication method: Pre-Shared Key Diffie-Hellman group: #2 (1024 bit) lifetime: 3600 seconds, no volume limit Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keysk). hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit配置结果默认配置
56. 配置预共享密钥ISAKMP/IKE阶段1的配置2-2InternetRouter(config)#crypto isakmp key { 0 | 6 } keystring address peer-address {subnet_mask} Router#show crypto isakmp key Keyring Hostname/Address Preshared Key default 1.1.1.1 (encrypted)未指定子网掩码时，默认为/32Router(config)#key config-key password-encrypt New key: Confirm key: Router(config)#password encryption aes加密show run信息的密钥key设备需支持aes算法密文
57. IKE阶段2Host AHost BRouter A Router B 10.0.1.310.0.2.3IKE 阶段2协商IPSec安全参数协商IPSec安全参数
58. IKE阶段2双方协商IPSec安全参数，称为变换集transform set，包括：加密算法 Hash算法安全协议封装模式存活时间 Transform 10 DES MD5 ESP Tunnel lifetimeTransform 20 3DES SHA ESP Tunnel lifetime
59. ISAKMP/IKE阶段2需要完成的任务定义对等体间需要保护何种流量定义用来保护数据的安全协议定义传输模式定义数据连接的生存周期以及密钥刷新的方式 ISAKMP/IKE阶段2InternetABvpn隧道2vpn隧道1匹配隧道1的ACL匹配隧道2的ACL不匹配ACL的流量ACLAHESP验证ESP加密ah-md5-hmac ah-sha-hmacesp-md5-hmac esp-sha-hmacesp-null esp-des esp-3desesp-aes 128 esp-aes 192 esp-aes 256
60. 安全关联的定义整合必要的安全组件用于建立与对等体的IPSec连接阶段1的SA是双向连接阶段2的SA是单向连接 SA的三个要素安全参数索引（SPI）安全协议类型目的IP地址 ISAKMP/IKE阶段2
61. ISAKMP/IKE阶段2的安全协议 AH（认证头协议）数据完整性服务数据验证防止数据回放攻击 ESP（封装安全载荷协议） ESP对用户数据实现加密功能 ESP只对IP数据的有效载荷进行验证，不包括外部的IP包头 ISAKMP/IKE阶段2
62. 配置crypto ACL 配置阶段2传输集配置连接模式ISAKMP/IKE阶段2的配置2-1InternetRouter(config)#access-list access-list-number { deny | permit } protocol source source-wildcard destination destination-wildcard 使用ACL定义何种流量被保护Router(config)#crypto ipsec transform-set transform_set_name transform1[transform2 [transform3]Router(cfg-crypto-tran)#mode { tunnel | transport } 配置阶段2传输集定义安全协议定义传输模式，默认为隧道模式
63. 配置Crypto MapISAKMP/IKE阶段2的配置2-2InternetRouter(config)# crypto map map_name seq_num ipsec-isakmp Router(config-crypto-m)# match address ACL_name_or_num Router(config-crypto-m)# set peer { hostname | IP_address } Router(config-crypto-m)# set transform-set transform_set_name1 Router(config-crypto-m)# set pfs [ group1 | group2 | group5 ] Router(config-crypto-m)# set security-association lifetime {seconds seconds | kilobytes kilobytes} Router(config-crypto-m)# set security-association idle-time seconds既是序列号，更是优先级静态crypto中必须指定的参数阶段2的SA的生存周期阶段2的SA的空闲超时时间
64. IKE与IPSec安全参数的比较加密算法Hash算法存活时间DH算法身份认证安全协议封装模式IKEIPSec
65. IKE阶段2Host AHost BRouter A Router B 10.0.1.310.0.2.3IKE 阶段2协商IPSec安全参数建立IPSec SA协商IPSec安全参数建立IPSec SA
66. IPSec SAIPSec SA (安全关联，Security Association)： SA由SPD (security policy database)和SAD(SA database)组成。两端成功协商IPSec参数加密算法hash算法封装模式lifetime安全协议SPD加密SPIHash封装模式lifetimeSAD目的IP地址SPI安全协议
67. IPSec SAIPSec SA (安全关联，Security Association)： SPI (Security Parameter Index)，由IKE自动分配发送数据包时，会把SPI插入到IPSec头中接收到数据包后，根据SPI值查找SAD和SPD，从而获知解密数据包所需的加解密算法、hash算法等。一个SA只记录单向的参数，所以一个IPSec连接会有两个IPSec SA。
68. IPSec SAIPSec SA (安全关联，Security Association)：使用SPI可以标识路由器与不同对象之间的连接。B A N K192.168.2.1 SPI–12 ESP/3DES/SHA tunnel 28800192.168.12.1 SPI–39 ESP/DES/MD5 tunnel 28800Internet
69. IPSec SAIPSec SA (安全关联，Security Association)：达到lifetime以后，原有的IPSec SA就会被删除如果正在传输数据，系统会在原SA超时之前自动协商建立新的SA，从而保证数据的传输不会因此而中断。
70. SA示例
71. 建立IPSec VPN连接需要3个步骤：流量触发IPSec 建立管理连接建立数据连接IPSec连接InternetBA
72. 配置IPSec前的准备工作在RouterA上ping路由器RouterB RouterA上要有到site2的路由， RouterB上有到site1的路由有必要的情况下，在路由器中添加类似以下的ACL条目：RouterA# show access-lists access-list 102 permit ahp host 172.30.2.2 host 172.30.1.2 access-list 102 permit esp host 172.30.2.2 host 172.30.1.2 access-list 102 permit udp host 172.30.2.2 host 172.30.1.2 eq isakmpE0/1 172.30.1.2Site 1Site 2E0/1 172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterB
73. 端到端IPSec VPN的配置步骤2配置IKE参数启用IKE 创建IKE策略集policy 配置IKE身份认证的相关参数验证IKE配置
74. 启用IKERouterA(config)# no crypto isakmp enable RouterA(config)# crypto isakmp enablerouter(config)#[no] crypto isakmp enable默认情况下，IKE 处于开启状态 IKE在全局模式下对所有端口启用对于不希望使用IKE的端口，可以用ACL屏蔽UDP的500端口，达到阻断IKE的目的
75. 创建IKE策略crypto isakmp policy priorityrouter(config)#RouterA(config)# crypto isakmp policy 110 RouterA(config-isakmp)# encryption des RouterA(config-isakmp)# hash md5 RouterA(config-isakmp)# group 1 RouterA(config-isakmp)# authentication pre-share RouterA(config-isakmp)# lifetime 86400Authentication---身份认证方式 Encryption---加密算法 Group---DH算法组 Hash---摘要算法 Lifetime---IKE生存期
76. IKE策略集的取值<86400 秒86400 秒IKE SA生存期DH Group 2DH Group 1密钥交换算法Rsa-sigPre-share身份认证方式SHA-1MD5摘要算法3DESDES加密算法更安全的取值安全的取值参数(56bit密钥)(3次DES运算)(128bit密钥)(160bit密钥)(768bit密钥)(1024bit密钥)(共享密钥)(数字签名)
77. IKE策略集的优先级crypto isakmp policy 100 hash md5 authentication pre-share crypto isakmp policy 200 authentication rsa-sig hash sha crypto isakmp policy 300 authentication pre-share hash md5RouterA(config)#RouterB(config)#crypto isakmp policy 100 hash md5 authentication pre-share crypto isakmp policy 200 authentication rsa-sig hash sha crypto isakmp policy 300 authentication rsa-sig hash md5Priority表示策略集的优先级，该值越小表示优先级越高路由器将首先比较优先级最高的策略集是否匹配，因此本例中虽然三个策略集都匹配，但路由器只会采用policy 100 建议把最安全的策略集设为最高优先级
78. 使用共享密钥进行身份认证RouterA(config)# crypto isakmp key cisco1234 address 172.30.2.2router(config)#crypto isakmp key keystring address peer-address 设置远端对等体的共享密钥为 crypto isakmp key keystring hostname hostnamerouter(config)#共享密钥 Cisco1234Site 1Site 2172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterB两端路由器使用的共享密钥必须相同可以用IP地址或主机名来指定对端
79. 验证IKE配置RouterA# show crypto isakmp policy Protection suite of priority 110 encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5 authentication method: Pre-Shared Key Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limitshow crypto isakmp policy router#显示已配置的和缺省的策略集
80. 端到端IPSec VPN的配置步骤3配置IPSec参数配置IPSec变换集用ACL定义需要IPSec保护的流量创建crypto map 把crypto map 应用到路由器的端口上
81. 配置IPSec变换集crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]] router(cfg-crypto-trans)# crypto ipsec transform-set testtag ah -md5-hmac esp-3des //设置名为“testtag”的交换集指定AH散列算法为md5,ESP加密算法为3DESRouterA(config)# crypto ipsec transform-set mine esp-des RouterA (cfg-crypto-trans)#mode tunnel每个变换集中可以包含AH变换、ESP变换和封装模式(隧道模式或传输模式) 每个变换集中最多可以有一个AH变换和两个ESP变换
82. IOS支持的变换RouterA(config)# crypto ipsec transform-set transform-set-name ? ah-md5-hmac AH-HMAC-MD5 transform ah-sha-hmac AH-HMAC-SHA transform esp-3des ESP transform using 3DES(EDE) cipher (168 bits) esp-des ESP transform using DES cipher (56 bits) esp-md5-hmac ESP transform using HMAC-MD5 auth esp-sha-hmac ESP transform using HMAC-SHA auth esp-null ESP transform w/o cipher
83. crypto isakmp policy 1 //配置IKE策略，其中1是策略号，可自定义 encryption 3des//设置加密算法 hash md5//设置散列加密算法 authentication pre-share //配置IKE的验证方法，在此为pre-share，即预共享密钥认证方法 crypto isakmp key 1202 address 2.2.2.2 //设置远端对等体的共享密钥为1202 crypto ipsec transform-set wlgc esp-3des esp-md5-hmac//设置名为“wlgc”的交换集指定AH散列算法为md5,ESP加密算法为3DES
84. 用ACL定义需要IPSec保护的流量access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} protocol source source-wildcard destination destination-wildcard [precedence precedence][tos tos] [log]router(config)#RouterA(config)# access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255Site 1Site 2AB10.0.1.310.0.2.3InternetRouterARouterB10.0.1.010.0.2.0加密定义哪些流量需要IPSec保护 Permit=要保护/deny=不用保护
85. 两端路由器要配置对称的ACLRouterA(config)# access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255RouterB(config)# access-list 101 permit tcp 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255E0/1 172.30.1.2Site 1Site 2E0/1 172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterB
86. Crypto map的主要配置参数需要IPSec保护的流量的ACL VPN对端的IP地址使用的IPSec变换集协商建立IPSec SA的方式(手工或通过IKE) IPSec SA的存活期
87. 创建crypto mapcrypto map map-name seq-num ipsec-manual crypto map test 10 ipsec-isakmp //设置加密图，加密图名称为“test”，序号为10crypto map map-name seq-num ipsec-isakmp [dynamic dynamic-map-name]Site 1Site 2AB10.0.1.310.0.2.3InternetRouterARouterBRouterA(config)# crypto map mymap 110 ipsec-isakmpSite3B10.0.3.3RouterC每个路由器端口只能应用一个crypto map 当一个端口有多个VPN对端时，就使用seq-num来区分
88. Crypto map 配置示例RouterA(config)# crypto map mymap 110 ipsec-isakmp RouterA(config-crypto-map)# match address 110//设置匹配110号访问列表 RouterA(config-crypto-map)# set peer 172.30.2.2//set peer 200.1.1.2 //设置对端IP地址 RouterA(config-crypto-map)# set peer 172.30.3.2 RouterA(config-crypto-map)# set pfs group1 RouterA(config-crypto-map)# set transform-set mine//设置隧道的AH及ESP，即将加密图用于交换集 RouterA(config-crypto-map)# set security-association lifetime 86400Site 1Site 2172.30.2.2AB10.0.1.310.0.2.3RouterARouterB172.30.3.2BRouterCInternet可配置多个vpn对端进行冗余
89. 应用crypto map到路由器端口上RouterA(config)# interface ethernet0/1 RouterA(config-if)# crypto map mymapE0/1 172.30.1.2Site 1Site 2E0/1 172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterBmymaprouter(config-if)#crypto map map-name在出口上应用crypto map
90. access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255//设置ACL crypto map xc 10 ipsec-isakmp //设置加密图，加密图名称为“xc”，序号为10 set peer 2.1.1.2 //设置对端IP地址 set transform-set wlgc //设置隧道的AH及ESP，即将加密图用于交换集 match address 101 //设置匹配101号访问列表 interface FastEthernet0/1 ip address 1.1.1.2 255.255.255.0 no shutdown crypto map xc //将加密图xc应用于此端口，即用其加密 ip route 0.0.0.0 0.0.0.0 1.1.1.1 //设置默认路由
91. 端到端IPSec VPN的配置步骤4测试并验证IPSec是否正常工作_1显示 IKE策略 show crypto isakmp policy 显示IPSec变换集 show crypto ipsec transform-set 显示 crypto maps show crypto map
92. 端到端IPSec VPN的配置步骤4测试并验证IPSec是否正常工作_2显示IPSec SA的状态 show crypto ipsec sa debug IPSec 事件 debug crypto ipsec debug ISAKMP 事件 debug crypto isakmp
93. 查看IKE策略查看管理连接SA的状态查看IPSec传输集查看数据连接SA的状态查看Crypto Map IPSec VPN的验证R1#show crypto isakmp policy R1#show crypto isakmp sa R1#show crypto ipsec transform-set R1#show crypto ipsec sa R1#show crypto map
94. 端到端IPSec VPN的配置示例RouterA# show run crypto isakmp policy 110 hash md5 authentication pre-share crypto isakmp key cisco1234 address 172.30.2.2 ! crypto ipsec transform-set mine esp-des ! crypto map mymap 10 ipsec-isakmp set peer 172.30.2.2 set transform-set mine match address 110 ! interface Ethernet 0/1 ip address 172.30.1.2 255.255.255.0 no ip directed-broadcast crypto map mymap ! access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255E0/1 172.30.1.2Site 1Site 2E0/1 172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterBRouterB# show run crypto isakmp policy 110 hash md5 authentication pre-share crypto isakmp key cisco1234 address 172.30.1.2 ! crypto ipsec transform-set mine esp-des ! crypto map mymap 10 ipsec-isakmp set peer 172.30.1.2 set transform-set mine match address 101 ! interface Ethernet 0/1 ip address 172.30.2.2 255.255.255.0 no ip directed-broadcast crypto map mymap ! access-list 101 permit tcp 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
95. 目录VPN简介 IPSec VPNIPSec基础端到端IPSec VPN的工作原理及配置 Easy VPN（远程接入VPN）的工作原理及配置
96. Easy VPN的特点Easy VPN RemoteEasy VPN Server端到端模式下，两端路由器都要进行较复杂的配置 Easy VPN模式下，Remote只需要进行简单的配置，其余大部分参数由Server端直接推送给它 Easy VPN模式常用于用户的远程接入 Remote可以是cisco vpn client，server端可以是路由器，其IOS要求高于或等于12.2(8)T
97. 流程1--client向server发送IKE policyRemote PC with Easy Remote VPN Client 3.xIOS router 12.2(8)TEasy VPN ServerPolicy 1, Policy 2, Policy 3Easy VPN由client触发 cisco vpn client中内置了多个IKE policy client触发Easy VPN后，会把内置的IKE policy全部发送到server端
98. 流程2-- server 找到匹配的policyserver 把client 发送来的IKE policy 与自己的policy相比较找到匹配值后成功建立IKE SARemote PC with Easy Remote VPN Client 3.xIOS router 12.2(8)TEasy VPN ServerPolicy 1检查后发现policy1匹配
99. 流程3-- server 要client输入用户/口令Remote PC with Easy Remote VPN Client 3.xIOS router 12.2(8)TEasy VPN ServerUsername/passwordAAA checkingUsername/password challenge如果配置了扩展认证Xauth，server 端将要求client端发送用户名/口令进行身份认证配置Xauth将获得更高的安全性，因此建议server端配置Xauth
100. 流程4--server向client推送参数Remote PC with Easy Remote VPN Client 3.xIOS router 12.2(8)TEasy VPN ServerClient 请求配置参数Server推送配置参数身份认证通过后，client将向server请求其余的配置参数 Server向client推送的参数至少要包含分配给client的IP地址

下载需要 10 香币 [ 香币充值 ]

亲，您也可以通过分享原创文档来获得香币奖励！

服务器/托管费、人工审核、技术维护等都需要很多费用，请您支持香当网的发展

下载PPT

基于CISCO路由器的IPSEC VPN ppt

该用户的其他文档

相关PPT

相关文档