- 1 - SPOTO原创实验集
实施场点到场点的IPSec/VPN
文章出处:WWW.SPOTO.NET
头点什么 CSCO11047419
IP地址规划
福州SPOTO(思博)IT人才培训机构
Web:www.spoto.net QQ:328065 电话:87115741 87115742 以伙伴关系帮助客户成功,帮助员工成功,帮助合作伙伴成功。 —— 我们共创未来!
- 2 - SPOTO原创实验集
Router
R44 R55 R66 ISP
Interface IP address
E0 172.16.4.1/24 S0 47.47.47.4/24 E0 172.16.5.1/24 S1 57.57.57.5/24 E0 172.16.6.1/24 S0 67.67.67.6/24 S1 (DCE) 47.47.47.7/24 S2 (DCE) 57.57.57.7/24 S3 (DCE) 67.67.67.7/24
背景及要求:
R55为企业核心站点路由器,R44及R66为分支机构路由器,要求在核心与分支、分支与分支之间全部实现Site to Site的IPsec VPN,并使用不同的密钥集,最终要求不同分点的企业内网能够穿透Internet自由访问。
配置清单:
NAT与ISP部分
R44(config)#interface Ethernet0
R44(config-if)#ip address 172.16.4.1 255.255.255.0 R44(config-if)#ip nat inside R44(config-if)#no keepalive R44(config-if)#interface Serial0
R44(config-if)#ip address 47.47.47.4 255.255.255.0 R44(config-if)#ip nat outside
R44(config)#ip nat inside source list 110 interface Serial0 overload R44(config)#ip route 0.0.0.0 0.0.0.0 Serial0
R44(config)#access-list 110 deny ip 172.16.4.0 0.0.0.255 172.16.5.0 0.0.0.255 R44(config)#access-list 110 deny ip 172.16.4.0 0.0.0.255 172.16.6.0 0.0.0.255 <-- 通过隧道的流量不进行NAT -->
R44(config)#access-list 110 permit ip 172.16.4.0 0.0.0.255 any <-- 访问公网的流量进行NAT -->
R55(config)#interface Ethernet0
R55(config-if)#ip address 172.16.5.1 255.255.255.
福州SPOTO(思博)IT人才培训机构
Web:www.spoto.net QQ:328065 电话:87115741 87115742 以伙伴关系帮助客户成功,帮助员工成功,帮助合作伙伴成功。 —— 我们共创未来!
- 3 - SPOTO原创实验集
R55(config-if)#ip nat inside R55(config-if)#no keepalive R55(config-if)#interface Serial1
R55(config-if)#ip address 57.57.57.5 255.255.255.0 R55(config-if)#ip nat outside
R55(config)#ip nat inside source list 110 interface Serial1 overload R55(config)#ip route 0.0.0.0 0.0.0.0 Serial1
R55(config)#access-list 110 deny ip 172.16.5.0 0.0.0.255 172.16.4.0 0.0.0.255 R55(config)#access-list 110 deny ip 172.16.5.0 0.0.0.255 172.16.6.0 0.0.0.255 R55(config)#access-list 110 permit ip 172.16.5.0 0.0.0.255 any
R66(config)#interface Ethernet0
R66(config-if)#ip address 172.16.6.1 255.255.255.0 R66(config-if)#ip nat inside R66(config-if)#no keepalive R66(config-if)#interface Serial0
R66(config-if)#ip address 67.67.67.6 255.255.255.0 R66(config-if)#ip nat outside
R66(config)#ip nat inside source list 110 interface Serial0 overload R66(config)#ip route 0.0.0.0 0.0.0.0 Serial0
R66(config)#access-list 110 deny ip 172.16.6.0 0.0.0.255 172.16.4.0 0.0.0.255 R66(config)#access-list 110 deny ip 172.16.6.0 0.0.0.255 172.16.5.0 0.0.0.255 R66(config)#access-list 110 permit ip 172.16.6.0 0.0.0.255 any
ISP(config)#interface Serial1
ISP(config-if)#ip address 47.47.47.7 255.255.255.0 ISP(config-if)#clockrate 64000 ISP(config-if)#interface Serial2
ISP(config-if)#ip address 57.57.57.7 255.255.255.0 ISP(config-if)#clockrate 64000 ISP(config-if)#interface Serial3
ISP(config-if)#ip address 67.67.67.7 255.255.255.0 ISP(config-if)#clockrate 64000 ISP(config-if)#line vty 0 4
ISP(config-line)#no password ISP(config-line)#no login
福州SPOTO(思博)IT人才培训机构
Web:www.spoto.net QQ:328065 电话:87115741 87115742 以伙伴关系帮助客户成功,帮助员工成功,帮助合作伙伴成功。 —— 我们共创未来!
- 4 - SPOTO原创实验集
IKE与IPsec部分
R44(config)#crypto isakmp policy 20
<-- 创建IKE策略,优先级编号为20;编号越小、优先级越高 --> R44(config-isakmp)#hash md5
<-- 采用MD5加密散列算法验证分组数据 --> R44(config-isakmp)#authentication pre-share <-- 指定对等体身份验证方法为共享密钥式 -->
R44(config-isakmp)#group 2
<-- 使用1024比特的Diffie-Hellman协议组,用于生成会话密钥 --> R44(config)#crypto isakmp key spoto address 57.57.57.5 R44(config)#crypto isakmp key spoto address 67.67.67.6 <-- 配置共享密钥,指向的地址为远程对等体的IP(公网)-->
R44(config)#crypto ipsec transform-set mine esp-des esp-md5-hmac
<-- 定义IPsec变换集1,采用DES进行加密的ESP转换,采用HMAC-MD5验证来确保ESP分组完整性 --> R44(config)#crypto ipsec transform-set mine2 esp-des <-- 定义IPsec变换集2,采用DES进行加密的ESP转换 --> R44(config)#crypto map mymap 30 ipsec-isakmp <-- 配置IPsec加密映射,序列号为30 --> R44(config-crypto-map)#set peer 57.57.57.5 <-- 指定IPsec对等体主机的IP地址 --> R44(config-crypto-map)#set transform-set mine <-- 将变换集1应用到加密图30 --> R44(config-crypto-map)#match address 120 <-- 匹配内网的感兴趣流 R44到R55 -->
R44(config-crypto-map)#crypto map mymap 40 ipsec-isakmp R44(config-crypto-map)#set peer 67.67.67.6
R44(config-crypto-map)#set transform-set mine2 <-- 将变换集2应用到加密图40 --> R44(config-crypto-map)#match address 130 <-- 匹配内网的感兴趣流 R44到R66 -->
R44(config)#access-list 120 permit ip 172.16.4.0 0.0.0.255 172.16.5.0 0.0.0.255 R44(config)#access-list 130 permit ip 172.16.4.0 0.0.0.255 172.16.6.0 0.0.0.255 R44(config)#interface Serial0
R44(config-if)#crypto map mymap <-- 将加密映射应用于接口 -->
R55(config)#crypto isakmp policy 20 R55(config-isakmp)#hash md5
R55(config-isakmp)#authentication pre-share
福州SPOTO(思博)IT人才培训机构
Web:www.spoto.net QQ:328065 电话:87115741 87115742 以伙伴关系帮助客户成功,帮助员工成功,帮助合作伙伴成功。 —— 我们共创未来!
- 5 - SPOTO原创实验集
R55(config-isakmp)#group 2
R55(config-isakmp)#crypto isakmp key spoto address 47.47.47.4 R55(config-isakmp)#crypto isakmp key spoto address 67.67.67.6
R55(config-isakmp)#crypto ipsec transform-set mine esp-des esp-md5-hmac <-- 核心到分支共用一种变换集 -->
R55(config)#crypto map mymap 30 ipsec-isakmp R55(config-crypto-map)#set peer 47.47.47.4 R55(config-crypto-map)#set peer 67.67.67.6
R55(config-crypto-map)#set transform-set mine R55(config-crypto-map)#match address 120
R55(config)#access-list 120 permit ip 172.16.5.0 0.0.0.255 172.16.4.0 0.0.0.255 R55(config)#access-list 120 permit ip 172.16.5.0 0.0.0.255 172.16.6.0 0.0.0.255 R55(config)#interface Serial1
R55(config-if)#crypto map mymap
R66(config)#crypto isakmp policy 20 R66(config-isakmp)#hash md5
R66(config-isakmp)#authentication pre-share R66(config-isakmp)#group 2
R66(config-isakmp)#crypto isakmp key spoto address 57.57.57.5 R66(config-isakmp)#crypto isakmp key spoto address 47.47.47.4
R66(config-isakmp)#crypto ipsec transform-set mine esp-des esp-md5-hmac R66(config-isakmp)#crypto ipsec transform-set mine1 esp-des R66(config)#crypto map mymap 30 ipsec-isakmp R66(config-crypto-map)#set peer 57.57.57.5
R66(config-crypto-map)#set transform-set mine R66(config-crypto-map)#match address 120
R66(config-crypto-map)#crypto map mymap 40 ipsec-isakmp R66(config-crypto-map)#set peer 47.47.47.4
R66(config-crypto-map)#set transform-set mine1 R66(config-crypto-map)#match address 130
R66(config)#access-list 120 permit ip 172.16.6.0 0.0.0.255 172.16.5.0 0.0.0.255 R66(config)#access-list 130 permit ip 172.16.6.0 0.0.0.255 172.16.4.0 0.0.0.255 R66(config)#interface Serial0
R66(config-if)#crypto map mymap
增强的安全性部分:
R44(config)#ip access-list extended vpn-in
福州SPOTO(思博)IT人才培训机构
Web:www.spoto.net QQ:328065 电话:87115741 87115742 以伙伴关系帮助客户成功,帮助员工成功,帮助合作伙伴成功。 —— 我们共创未来!
- 6 - SPOTO原创实验集
R44(config)#permit ahp host 57.57.57.5 host 47.47.47.4 R44(config)#permit esp host 57.57.57.5 host 47.47.47.4
R44(config)#permit udp host 57.57.57.5 host 47.47.47.4 eq isakmp <-- 允许从R55发起的ISAKMP、ESP和AH数据流 -->
R44(config)#permit ip 172.16.5.0 0.0.0.255 172.16.4.0 0.0.0.255 <-- 允许两个内网之间的数据流 -->
R44(config)#permit ahp host 67.67.67.6 host 47.47.47.4 R44(config)#permit esp host 67.67.67.6 host 47.47.47.4
R44(config)#permit udp host 67.67.67.6 host 47.47.47.4 eq isakmp <-- 允许从R55发起的ISAKMP、ESP和AH数据流 -->
R44(config)#permit ip 172.16.6.0 0.0.0.255 172.16.4.0 0.0.0.255 R44(config)#permit icmp any any
R44(config)#permit tcp any any established <-- 允许到外网的所有TCP连接 --> R44(config)#interface Serial0
R44(config-if)#ip access-group vpn-in in <-- 应用列表到外网口的IN方向 -->
R55(config)#ip access-list extended vpn-in
R55(config)#permit esp host 47.47.47.4 host 57.57.57.5 R55(config)#permit ahp host 47.47.47.4 host 57.57.57.5
R55(config)#permit udp host 47.47.47.4 host 57.57.57.5 eq isakmp R55(config)#permit ip 172.16.4.0 0.0.0.255 172.16.5.0 0.0.0.255 R55(config)#permit ahp host 67.67.67.6 host 57.57.57.5 R55(config)#permit esp host 67.67.67.6 host 57.57.57.5
R55(config)#permit udp host 67.67.67.6 host 57.57.57.5 eq isakmp R55(config)#permit ip 172.16.6.0 0.0.0.255 172.16.5.0 0.0.0.255 R55(config)#permit icmp any any
R55(config)#permit tcp any any established R55(config)#interface Serial1
R55(config-if)#ip access-group vpn-in in
R66(config)#ip access-list extended vpn-in
R66(config)#permit ahp host 47.47.47.4 host 67.67.67.6 R66(config)#permit esp host 47.47.47.4 host 67.67.67.6
R66(config)#permit udp host 47.47.47.4 host 67.67.67.6 eq isakmp R66(config)#permit ip 172.16.4.0 0.0.0.255 172.16.6.0 0.0.0.255 R66(config)#permit ahp host 57.57.57.5 host 67.67.67.6
福州SPOTO(思博)IT人才培训机构
Web:www.spoto.net QQ:328065 电话:87115741 87115742 以伙伴关系帮助客户成功,帮助员工成功,帮助合作伙伴成功。 —— 我们共创未来!
- 7 - SPOTO原创实验集
R66(config)#permit esp host 57.57.57.5 host 67.67.67.6
R66(config)#permit udp host 57.57.57.5 host 67.67.67.6 eq isakmp R66(config)#permit ip 172.16.5.0 0.0.0.255 172.16.6.0 0.0.0.255 R66(config)#permit icmp any any
R66(config)#permit tcp any any established R66(config)#interface Serial0
R66(config-if)#ip access-group vpn-in in
验证部分:
<-- 流量首次触发将经过IKE策略协商和IPSEC隧道的建立过程 -->
福州SPOTO(思博)IT人才培训机构
Web:www.spoto.net QQ:328065 电话:87115741 87115742 以伙伴关系帮助客户成功,帮助员工成功,帮助合作伙伴成功。 —— 我们共创未来!
- 8 - SPOTO原创实验集
<-- 查看SA(安全关联)是否建立成功,连接正常将处于QM_IDLE(静默状态)-->
<-- 查看加密映射配置 -->
福州SPOTO(思博)IT人才培训机构
Web:www.spoto.net QQ:328065 电话:87115741 87115742 以伙伴关系帮助客户成功,帮助员工成功,帮助合作伙伴成功。 —— 我们共创未来!
- 9 - SPOTO原创实验集
<-- 查看列表匹配情况 -->
<-- 验证IPSec隧道连通性 -->
<-- 验证外网连通性 -->
总结
在路由器上配置Site to Site VPN的简单步骤:
1. 修改NAT列表,确定不被转换的地址段; 2. 建立IKE策略;
3. 设置IKE策略参数(加密算法、对等体验证方法等); 4. 配置身份验证共用密钥; 5. 定义IPsec安全策略变换集;
6. 配置IPsec加密映射(指定对等主机、应用变换集等); 7. 将加密映射应用于接口;
8. 配置对称的加密访问列表(可选); 9. 将列表应用到相应接口(可选);
――THE END――
福州SPOTO(思博)IT人才培训机构
Web:www.spoto.net QQ:328065 电话:87115741 87115742 以伙伴关系帮助客户成功,帮助员工成功,帮助合作伙伴成功。 —— 我们共创未来!
因篇幅问题不能全部显示,请点此查看更多更全内容