




已閱讀5頁,還剩20頁未讀, 繼續(xù)免費閱讀
版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領
文檔簡介
IPSec VPN配置總結(jié)近段時間,筆者完成了一些IPSec VPN的配置,有站點到站點固定公網(wǎng)IP地址的IPSec VPN,有站點到站點使用固定公網(wǎng)IP地址的EZVPN,有網(wǎng)絡中心點是固定公網(wǎng)IP地址,而分支機構(gòu)是動態(tài)地址的DMVPN,有路由器和防火墻之間互聯(lián)的IPSec VPN,也有不同廠商的設備之間互聯(lián)的IPSec VPN。通過這些項目的鍛煉,筆者感到對IPSec VPN的了解又增進了一步,以前一些模糊的地方,經(jīng)過這次項目的實踐之后也越來越清晰,以下就是筆者對IPSec VPN配置的總結(jié)和配置實例。一、 理解IPSec VPNVPN是利用公共網(wǎng)絡建立一條專用的通道來實現(xiàn)私有網(wǎng)絡的連接,IPSec VPN就是利用IPSec協(xié)議框架實現(xiàn)對VPN通道的加密保護。IPSec工作在網(wǎng)絡層,它能在IP層上對數(shù)據(jù)提供加密、數(shù)據(jù)完整性、起源認證和反重放保護等功能。加密的作用就是通過將數(shù)據(jù)包加密,保證數(shù)據(jù)的安全,即使數(shù)據(jù)包被人監(jiān)聽獲取到,也無法閱讀數(shù)據(jù)內(nèi)容。IPSec使用的數(shù)據(jù)加密算法是對稱密鑰加密系統(tǒng)。支持的加密算法主要有:DES、3DES、MD5和SHA加密算法,這種加密算法需要一個共享的密鑰執(zhí)行加密和解密,共享的密鑰是通過通信兩端交換公鑰,然后用公鑰和各自的私鑰進行運算,就得到了共享的密鑰,這樣就需要一個公鑰交換的算法。DH密鑰協(xié)議就是一種公鑰交換方法。DH密鑰交換協(xié)議有組1到組7的幾種不同的算法。DES和3DES支持組1和2,AES支持組2和5,因此如果選用了不同的加密算法,就需要選擇相應的DH密鑰交換算法。數(shù)據(jù)完整性的作用就是保證數(shù)據(jù)包在傳輸?shù)倪^程當中沒有被篡改。為了保證數(shù)據(jù)的完整性,給每個消息附加一個散列數(shù),通過驗證發(fā)送的散列數(shù)和接收的散列數(shù)是否匹配來判斷消息是否被修改。散列消息驗證代碼(HMAC)主要有兩種算法:HMAC-MD5和HMAC-SHA-1,MD5使用128位的共享密鑰,而SHA使用160位密鑰,因此HMAC-SHA-1比HMAC-MD5的加密強度要更高一些。起源認證的作用就是保證發(fā)送數(shù)據(jù)包的源站點是可信的。起源認證用來在建立隧道時驗證隧道兩端的對等體是否是可信的。主要有預共享密鑰,RSA簽名、RSA-加密nonces三種方法。其中預共享密鑰配置起來最簡單,但安全性和擴展性也相對來說要差一些。預共享密鑰就是在每個對等體上都預先配置好相同的密鑰,經(jīng)過運算之后發(fā)送到遠端的對等體,由于每個對等體的密鑰相同,因此就能夠通過起源認證。另外兩種認證方法配置較為復雜,需要和證書服務器配合起來使用,筆者沒有這方面的實踐,因此后面的配置實例中都是采用的預共享密鑰的配置。反重放保護的作用就是保證數(shù)據(jù)包的唯一性,確定數(shù)據(jù)包在傳輸過程中沒有被復制。在IPSec的數(shù)據(jù)包中含有一個32位的序列數(shù),并且是不能重復的,接收方通過檢查序列數(shù)是否是唯一的來執(zhí)行反重放保護功能。IPSec協(xié)議簇主要包括兩種協(xié)議:AH(認證頭)和ESP(封裝安全有效載荷)。其中AH不提供加密功能,而ESP兩者都提供。當使用ESP進行加密和認證的時候,執(zhí)行順序是先加密再認證。將這兩種協(xié)議應用到IP數(shù)據(jù)包時有兩種模式,分別是隧道模式和傳輸模式。隧道模式將一個新的IP頭附加在已加密的數(shù)據(jù)包之前,為整個數(shù)據(jù)包提供安全性;而傳輸模式下原數(shù)據(jù)包的IP頭不變,保持明文,只對數(shù)據(jù)包的內(nèi)容提供安全性。IPSec的建立有兩個階段,第一個階段主要是認證對等體,并協(xié)商策略。如確定建立IPSec隧道所需用到的安全參數(shù),主要有加密的算法、對等體的認證、保證消息完整性的散列算法和密鑰交換的算法,在協(xié)商成功后建立一條安全通道。第二個階段主要是協(xié)商IPSec的參數(shù)和IPSec變換集,如確定使用AH還是ESP協(xié)議,使用傳輸模式還是隧道模式。協(xié)商成功后建立IPSec SA(安全關聯(lián)),保護IPSec隧道的安全。在筆者所配置的IPSec VPN中,都統(tǒng)一采用下列參數(shù):階段一:加密算法采用3DES;保證數(shù)據(jù)完整性的算法采用HMAC-SHA-1;起源認證采用預共享密鑰;密鑰交換采用DH組2;階段二:采用ESP協(xié)議提供對整個數(shù)據(jù)包的保護,并同時使用加密和認證,加密算法采用3DES,認證算法采用HMAC-SHA-1使用模式采用隧道模式。二、 配置實例及說明1. 用路由器實現(xiàn)站點到站點的IPSec VPN以筆者單位的網(wǎng)絡拓撲結(jié)構(gòu)為例來說明使用路由器實現(xiàn)站點到站點的IPSec VPN的配置。本例中總部和三個分公司都具有固定的公網(wǎng)IP地址,路由器型號為Cisco3845,拓撲如圖一所示:圖1總部路由器階段一的配置:ZB(config)#crypto isakmp policy 10 /建立一個新的密鑰交換策略,優(yōu)先級為10,優(yōu)先級號是從1到100000,1的優(yōu)先級最高ZB(config-isakmp)#encryption 3des /使用3DES的加密算法ZB(config-isakmp)#authentication pre-share /使用預共享密鑰認證對等體ZB(config-isakmp)#hash sha /使用SHA散列算法,這一條配置命令可不用配置,因為默認的就是采用的這種散列算法ZB(config-isakmp)#group 2/密鑰交換算法采用DH密鑰協(xié)議組2的算法由于采用的是預共享密鑰的方式認證對等體,因此需要回到全局配置模式下,指定對等體的密鑰:ZB(config)#crypto isakmp key cjgsvpn add 58.216.222.106/密鑰為cjgsvpn,然后分別指定三個分公司的路由器公網(wǎng)接口的IP地址ZB(config)#crypto isakmp key cjgsvpn add 218.22.189.82ZB(config)#crypto isakmp key cjgsvpn add 218.75.208.74總部路由器階段二的配置:ZB(config)#crypto ipsec transform-set cjgsset esp-3des esp-sha-hmac/定義IPSec的轉(zhuǎn)換集,轉(zhuǎn)換集的名字為cjgsset,并指定采用ESP協(xié)議提供對整個數(shù)據(jù)包的加密和認證,加密采用3DES算法,認證采用SHA算法ZB(cfg-crypto-trans)#mode tunnel/使用隧道模式,這條配置命令也可以不用配置,默認就是采用隧道模式IPSec的兩個階段配置完成后,接下來定義需要保護的數(shù)據(jù)類型,定義加密映射,并將加密映射映射到路由器的公網(wǎng)接口上:ZB(config)#ip access-list extended cz /這里的幾條訪問列表定義要被保護的數(shù)據(jù),即總部訪問三個分公司的數(shù)據(jù)流。172.19.0.0/18是總部的地址段,172.19.64.0/18是株洲分公司的地址段,172.19.128.0/19是銅陵分公司的地址段,172.19.160.0/19是常州分公司的地址段ZB(config-ext-nacl)#permit ip 172.19.0.0 0.0.63.255 172.19.160.0 0.0.31.255ZB(config-ext-nacl)#exitZB(config)#ip access-list ext tl/總部到銅陵分公司的流量ZB(config-ext-nacl)#permit ip 172.19.0.0 0.0.63.255 172.19.128.0 0.0.31.255ZB(config-ext-nacl)#exitZB(config)#ip access-list ext zz/總部到株洲分公司的流量ZB(config-ext-nacl)#permit ip 172.19.0.0 0.0.63.255 172.19.64.0 0.0.63.255ZB(config)#crypto map cjgsmap 10 ipsec-isakmp /建立優(yōu)先級為10,名字為cjgsmap的加密映射,并使用ISAKMP(即階段一協(xié)商的參數(shù))來自動建立IPSec SAZB(config-crypto-map)#match add cz/匹配加密映射需要保護的流量,這里是匹配到常州分公司的流量ZB(config-crypto-map)#set transform-set cjgsset/使用cjgsset變換集定義的IPSec參數(shù)ZB(config-crypto-map)#set peer 58.216.222.106/定義對等體的地址,即常州分公司路由器公網(wǎng)接口的IP地址ZB(config-crypto-map)#exitZB(config)#crypto map cjgsmap 20 ipsec-isakmp/定義優(yōu)先級為20的加密映射ZB(config-crypto-map)#match add tl/匹配到銅陵分公司的流量ZB(config-crypto-map)#set transform-set cjgssetZB(config-crypto-map)#set peer 218.22.189.82/銅陵分公司路由器公網(wǎng)接口的IP地址ZB(config-crypto-map)#exitZB(config)#crypto map cjgsmap 30 ipsec-isakmp/定義優(yōu)先級為30的加密映射ZB(config-crypto-map)#match add zz/匹配到株洲分公司的流量ZB(config-crypto-map)#set tran cjgssetZB(config-crypto-map)#set peer 218.75.208.74/株洲分公司路由器公網(wǎng)接口的IP地址加密映射的策略定義完成后,將加密映射應用到總部路由器的公網(wǎng)接口上:ZB(config)#int fa0/0ZB(config-int)crypto map cjgsmap至此總部路由器上的配置即完成。分公司的配置以銅陵分公司為例,階段一和階段二的參數(shù)必須采用和先前定義的一致,否則總部和分公司之間就不能建立加密的安全通道,具體的配置命令與總部路由器上的一樣,配置結(jié)果如下:crypto isakmp policy 100/建立優(yōu)先級為100的密鑰交換策略 encr 3des/采用3DES加密 authentication pre-share/采用預共享密鑰認證 group 2/采用DH組2的密鑰交換算法crypto isakmp key cjgsvpn address 59.175.234.100/建立預共享密鑰,必須和總部的配置一致crypto ipsec transform-set tl esp-3des esp-sha-hmac /建立IPSec轉(zhuǎn)換集,使用ESP協(xié)議,采用3DES算法加密,SHA算法認證,并使用隧道模式crypto map zbvpn 100 ipsec-isakmp /建立優(yōu)先級為100的加密策略,使用ISAKMP自動生成SA,策略名為zbvpn set peer 59.175.234.100/設定總部的路由器的公網(wǎng)口地址 set transform-set tl /使用名稱為tl的轉(zhuǎn)換集和IPSec參數(shù) match address zb/匹配銅陵分公司到總部的流量interface FastEthernet0/0 ip address 218.22.189.82 255.255.255.248 crypto map zbvpn/將加密策略應用到接口ip access-list extended zb permit ip 172.19.128.0 0.0.31.255 172.19.0.0 0.0.63.255/定義銅陵分公司到總部的流量其他分公司的配置與此類似,就不再重復了。下面再來看看IPSec VPN建立的過程:當有總部訪問各分公司數(shù)據(jù)流量到達這個接口時,就根據(jù)加密映射的策略進行判斷。例如目標地址在銅陵分公司的地址段內(nèi),首先和優(yōu)先級是10的策略進行比較,就會發(fā)現(xiàn)和優(yōu)先級10的策略中定義的地址段不相符,那么就會忽略優(yōu)先級10的加密策略;然后再和優(yōu)先級是20的加密策略比較,這時發(fā)現(xiàn)要訪問的目標地址和優(yōu)先級20定義的地址段正好匹配,那么就開始和優(yōu)先級20中定義的對端地址進行先進行階段一的協(xié)商,包括密鑰的交換,對等體的認證,完整性算法等參數(shù),協(xié)商成功后再進行階段二的協(xié)商,包括采用哪種協(xié)議進行封裝、是否使用加密和認證,然后建立SA,成功后就建立了一條安全通道。那么總部到銅陵分公司的數(shù)據(jù)就可以通過互聯(lián)網(wǎng)在這條安全通道內(nèi)進行加密傳送了。2. 用路由器實現(xiàn)站點到站點的EZVPNEZVPN有的也寫作Easy VPN,顧名思義就是容易使用的VPN。它是Cisco開發(fā)的用于簡化遠程端配置和管理的一種基于IPSec VPN的實現(xiàn),降低了VPN在實施過程中的復雜程度。EZVPN的結(jié)構(gòu)由EZVPN的服務器端和若干遠程的EZVPN客戶端組成,服務器端是整個EZVPN網(wǎng)絡的中心節(jié)點,它的主要的參數(shù)定義和配置都是在服務器端完成,而EZVPN的客戶端只需要幾條簡單的命令就可以完成VPN的配置,所以在企業(yè)中,遠程的分支機構(gòu)不需要配備專業(yè)的IT技術人員就可以完成VPN的配置。EZVPN的遠程客戶端支持三種操作模式,分別是客戶端模式、網(wǎng)絡擴展模式和網(wǎng)絡擴展加模式??蛻舳四J绞悄J的模式,它需要由作為EZVPN服務器端的路由器來分配地址,然后通過客戶端路由器自動建立NAT/PAT轉(zhuǎn)換來實現(xiàn)與服務器端的通訊;網(wǎng)絡擴展模式不需要由EZVPN服務器端路由器分配地址,這種方式下,客戶端的網(wǎng)絡被認為是一個完全可路由的網(wǎng)絡,客戶端路由器上也不會自動的建立NAT/PAT;網(wǎng)絡擴展模式加是對網(wǎng)絡擴展模式的擴展,主要就是增加了能夠通過MC和自動分配功能為回環(huán)接口請求IP地址的功能,EZVPN的遠端會為這個接口自動創(chuàng)建IPSec SA。這個接口主要被用來排錯(如用ping,Telnet或SSH);下面仍以筆者單位為例來說明EZVPN的配置。筆者單位除了幾個分公司以外,還有若干個改制單位和存續(xù)企業(yè),也需要連接到筆者單位的網(wǎng)絡中。這些改制單位和存續(xù)企業(yè)由于規(guī)模都較小,沒有復雜的網(wǎng)絡結(jié)構(gòu),因此在部分擁有固定公網(wǎng)IP的單位筆者就采用了EZVPN這種方式來實現(xiàn)。對EZVPN客戶端的模式筆者統(tǒng)一采用網(wǎng)絡擴展模式,并對各改制單位的地址進行了統(tǒng)一的規(guī)劃。由于規(guī)模都不大,因此就采用了C類的私有地址,從192.168.1.0開始依次類推,每個單位占用一個C類地址,改制單位采用Cisco1841路由器,拓撲結(jié)構(gòu)如圖二所示:圖2武漢總部EZVPN服務器端路由器的配置:ZB(config)#aaa new-model/啟用aaa,用于授權(quán)EZVPN客戶端訪問網(wǎng)絡ZB(config)#aaa authorization network cjgs-remote local/建立授權(quán)的策略,策略名稱為cjgs-remote,并使用本地的授權(quán)ZB(config)#crypto isakmp policy 10 /定義ISAKMP的策略,參數(shù)和前面的例子一致,這個策略用于分配給EZVPN遠程客戶端ZB(config-isakmp)#encryption 3des ZB(config-isakmp)#authentication pre-share ZB(config-isakmp)#hash shaZB(config-isakmp)#group 2ZB(config)#crypto isakmp client configuration group cjgsezvpn /定義MC(模式配置)中需要“推”的組策略,組名為cjgsezvpn,這個策略是將要推給客戶端路由器的ZB(config-isakmp-group)#key cjgsvpn/定義IKE的預共享密鑰ZB(config-isakmp-group)#dns 172.19.63.10/定義要推給客戶端的DNS服務器地址ZB(config-isakmp-group)#exitZB(config)#crypto ipsec transform-set cjgsvpnset esp-3des esp-sha-hmac/定義轉(zhuǎn)換集和IPSec參數(shù)ZB(config)#crypto dynamic-map cjgsdynavpn 10 /使用RRI建立動態(tài)加密映射,映射名稱為cjgsdynavpn,優(yōu)先級為10,RRI(Reverse Route Injection逆向路由注入),目的是在服務器端的路由器上為每個客戶端路由器的IP地址動態(tài)建立一條靜態(tài)路由,并加入到路由表中ZB(config-crypto-map)#set transform-set cjgsvpnset/將指定的轉(zhuǎn)換集應用到動態(tài)加密映射中ZB(config-crypto-map)#reverse-route/啟用RRIZB(config)#crypto map cjgsmap client configuration address respond/配置加密映射響應客戶端的請求,加密映射的名稱為cjgsmapZB(config)#crypto map cjgsmap 10 ipsec-isakmp dynamic cjgsdynavpn/將RRI建立的動態(tài)加密映射應用到名稱為cjgsmap的加密映射中去,并使用ISAKMP策略自動建立SA,優(yōu)先級為10ZB(config)#crypto map cjgsmap isakmp authorization list cjgs-remote/使用前面建立的cjgs-remote本地授權(quán)策略使客戶端能夠有權(quán)限訪問網(wǎng)絡ZB(config)#int fa0/0ZB(config-if)#crypto map cjgsmap/把加密映射應用到外部接口EZVPN服務器端路由器的配置基本完成,但是在實際使用時還會碰到問題。因為那些改制單位都是在路由器上建立了NAT,使內(nèi)部的用戶能夠訪問互聯(lián)網(wǎng),但在和筆者單位建立了VPN后,所有的流量到進入到VPN的隧道中去了,造成互聯(lián)網(wǎng)的訪問中斷,對這種情況的解決方案就是配置隧道分離,使得只有訪問武漢總部的流量進入隧道,其它的流量進行NAT轉(zhuǎn)換。配置如下:ZB(config)#ip access-list ext tovpn/建立需要進入到VPN隧道的訪問列表ZB(config-ext-nacl)#permit ip 172.19.0.0 0.0.255.255 any/將武漢總部的地址段加入到列表中,表明只允許訪問武漢總部的網(wǎng)絡ZB(config-ext-nacl)#exitZB(config)#crypto isakmp client configuration group cjgsezvpnZB(config-isakmp-group)#acl tovpn/在推給用戶的組策略中加入隧道分離,只允許到武漢總部的網(wǎng)絡進入隧道如果武漢總部的路由器上做了NAT,就需要在NAT的控制中將改制單位和存續(xù)企業(yè)的IP地址段加入到訪問控制列表中,避免總部訪問到這些地方的流量也做NAT轉(zhuǎn)換。EZVPN服務器端路由器的配置完成,下面再來看看客戶端路由器的配置,客戶端路由器的配置就要簡單得多了,只需要配置客戶端路由器的策略并應用到接口就可以了:GZ(config)#crypto ipsec client ezvpn gzvpn /在改制單位的路由器上建立EZVPN客戶端的策略,名稱為gzvpnGZ(config-crypto-ezvpn)#group cjgsezvpn key cjgsvpn /定義服務器端路由器組策略的名稱,預共享密鑰,這些參數(shù)需要和服務器端路由器的設置對應GZ(config-crypto-ezvpn)#peer 59.175.234.100/指定服務器端路由器公網(wǎng)接口的地址GZ(config-crypto-ezvpn)#mode network-extension/定義客戶端的使用模式,這里采用的是網(wǎng)絡擴展模式GZ(config-crypto-ezvpn)#connect auto /配置客戶端自動連接GZ(config)#int fa0/0/把策略應用到接口上,在應用策略時要注意客戶端路由器的EZVPN接口分內(nèi)部接口和外部接口,公網(wǎng)接口為外部接口,局域網(wǎng)的接口為內(nèi)部接口,兩個接口都要進行配置,否則EZVPN無法建立GZ(config-if)#crypto ipsec client ezvpn gzvpn/應用到外部接口GZ(config)#int fa0/1GZ(config-if)#crypto ipsec client ezvpn gzvpn inside/應用到內(nèi)部接口客戶端路由器的配置完成,很快IPSec VPN隧道就自動的建立起來了,經(jīng)過測試,改制單位到互聯(lián)網(wǎng)的訪問和到武漢總部的訪問均不受影響。在服務器端路由器上用sh ip route命令能夠發(fā)現(xiàn)自動的添加了一條到該改制單位的靜態(tài)路由,如果有多個改制單位連接進來,就會增加多條靜態(tài)路由。其它的改制單位和存續(xù)企業(yè)配置與此完全一樣,可見在客戶端的配置真的是非常簡單的。3. 用路由器實現(xiàn)到動態(tài)地址的DMVPN在筆者實施這次VPN的時候,由于有的改制單位使用的是ADSL撥號的方式接入到互聯(lián)網(wǎng)的,因此筆者在這些地方又嘗試了固定地址到動態(tài)地址的DMVPN的配置。DMVPN是Cisco推出的動態(tài)多點VPN,是為了適應不斷擴展的小型分支機構(gòu)和總部之間的連接而設計的一種技術。多點的意思就是在總部只有一個點,但可以針對多個分支機構(gòu)建立IPSec VPN連接,動態(tài)的意思就是分支機構(gòu)的IP地址是不確定的,沒有固定的IP地址。DMVPN結(jié)合GRE(通用路由封裝)、NHRP(下一條地址解析協(xié)議)以及IPSec技術實現(xiàn),可以承載路由協(xié)議,因而可以構(gòu)建一個全網(wǎng)互通的VPN網(wǎng)絡。在DMVPN技術里面,最重要的是要理解NHRP協(xié)議。在NHRP協(xié)議中,總部的路由器被配置為NHRP服務器,分支機構(gòu)的路由器被配置為NHRP客戶端,作為服務器的中心路由器需要維護一個包含所有客戶端路由器公網(wǎng)地址的數(shù)據(jù)庫,每個客戶端的路由器在獲得了公網(wǎng)的地址后,會向服務器端路由器發(fā)送NHRP的注冊信息,注冊信息中就包括了客戶端路由器動態(tài)獲得的IP地址,這樣服務器端的路由器就可以和客戶端的路由器建立起VPN的連接了。而客戶端的路由器之間需要通訊時,也可以通過作為NHRP服務器端的路由器查詢到其他客戶端的IP地址,從而兩個客戶端的路由器之間也可以動態(tài)的建立IPSec隧道了。下面看看筆者單位和各改制單位的網(wǎng)絡,和前面的EZVPN的拓撲其實是一樣的,如圖三所示:圖3圖中武漢總部的路由器就充當了NHRP服務器的角色,而改制單位的路由器就是客戶端了。具體配置如下:總部路由器的配置。首先還是配置統(tǒng)一的ISAKMP的策略:ZB(config)#crypto isakmp policy 10 /建立ISAKMP策略,優(yōu)先級為10,其它的參數(shù)與前面的一樣ZB(config-isakmp)#encryption 3desZB(config-isakmp)#authentication pre-share ZB(config-isakmp)#group 2ZB(config-isakmp)#hash shaZB(config-isakmp)#exitZB(config)#crypto isakmp key cjgsvpn address 0.0.0.0/建立預共享密鑰在指定對端的地址時與前面不同,由于改制單位的IP地址是動態(tài)的,因此在這里就不能明確的指定對端的IP地址ZB(config)#crypto ipsec transform-set cjgs_vpnset esp-3des esp-sha-hmac /轉(zhuǎn)換集的參數(shù)也和前面的一樣ZB(cfg-crypto-trans)#mode transport/在這里使用了傳輸模式是由于要使用GRE封裝,因此就沒有必要再使用隧道模式ZB(config)#crypto ipsec profile cjgs-vpnpro /建立名稱為cjgs-vpnpro的配置文件ZB(ipsec-profile)#set transform-set cjgs_vpnset/指定變換集下面是配置DMVPN的關鍵部分。ZB(config)#int t0/建立隧道接口,接口名稱為Tunnel0ZB(config-if)#ip add 172.19.255.1 255.255.255.0/給隧道接口配置IP地址ZB(config-if)#ip nhrp authentication cjgs/配置NHRP的認證字符串,只有認證字符串相同的才能夠互相通信ZB(config-if)#ip nhrp map multicast dynamic /允許NHRP服務器端路由器能夠動態(tài)添加客戶端路由器到多點NHRP映射ZB(config-if)#ip nhrp network-id 10/為NBMA(非廣播多路訪問)網(wǎng)絡指定一個網(wǎng)絡標識符ZB(config-if)#tunnel source fa0/0/指定隧道接口的源地址ZB(config-if)#tunnel key 100/指定隧道接口的密鑰ZB(config-if)#tunnel mode gre multipoint /將隧道接口配置成mGRE(多點GRE)隧道模式ZB(config-if)#tunnel protection ipsec profile cjgs-vpnpro/將隧道接口和IPSec配置文件關聯(lián)起來ZB(config-if)#ip ospf network broadcast/在筆者單位使用的OSPF路由協(xié)議,由于這里是一個NBMA的網(wǎng)絡,因此需要將接口配置成廣播型的網(wǎng)絡最后根據(jù)需要配置好相應的路由協(xié)議就可以了。再看改制單位的配置。改制單位的路由器作為NHRP的客戶端路由器,在ISAKMP策略和轉(zhuǎn)換集的配置上和總部的配置是一樣的。GZ1(config)#crypto isakmp policy 10GZ1(config-isakmp)#encr 3des GZ1(config-isakmp)#authen preGZ1(config-isakmp)#hash shGZ1(config-isakmp)#group 2GZ1(config)#crypto isakmp key cjgsvpn add 0.0.0.0/配置預共享密鑰和對端地址GZ1(config)#crypto ipsec transform-set cjgs_vpnset esp-3 esp-sha-hmac /建立轉(zhuǎn)換集 GZ1(cfg-crypto-trans)#mode tran/使用傳輸模式GZ1(config)#crypto ipsec profile cjgs-vpnpro/建立名稱為cjgs-vpnpro的IPSec配置文件GZ1(ipsec-profile)#set transform-set cjgs_vpnsetGZ1(ipsec-profile)#exit配置隧道接口和NHRP客戶端:GZ1(config)#int t0/建立隧道接口GZ1(config-if)#ip add 172.19.255.2 255.255.255. 0/配置隧道接口的IP地址GZ1(config-if)#ip nhrp authentication cjgs/配置NHRP的驗證字符串,和總部的要一致GZ1(config-if)#ip nhrp map multicast 59.175.234.100/在總部和改制單位使用動態(tài)路由協(xié)議,告訴客戶端路由器發(fā)送組播數(shù)據(jù)包到服務器端的路由器GZ1(config-if)#ip nhrp map 172.19.255.1 59.175.234.100/建立服務器端路由器的隧道接口的地址和公網(wǎng)地址的映射關系GZ1(config-if)#ip nhrp network-id 10/為NBMA網(wǎng)絡指定網(wǎng)絡標識符,和總部的路由器保持一致GZ1(config-if)#ip nhrp nhs 172.19.255.1/指定NHRP服務器的地址,即總部路由器隧道接口的地址GZ1(config-if)#tunnel sour fa0/0/指定隧道接口的源地址GZ1(config-if)#tunnel mode gre multipoint /將隧道接口配置為多點GRE模式GZ1(config-if)#tunnel key 100/隧道接口的密鑰,必須與總部的保持一致GZ1(config-if)#tunnel protection ipsec profile cjgs-vpnpro/將IPSec配置文件和隧道接口關聯(lián)GZ1(config-if)#ip ospf net br/將接口配置成廣播型最后再配置好相應的路由協(xié)議,這樣就完成了一個改制單位的配置,其余的改制單位與此類似。全部配置完成后,可以在路由器上使用sh ip nhrp命令查看NHRP的緩存,在該命令的輸出中就可以看到各個路由器的注冊信息。這樣不僅實現(xiàn)了改制單位與總部之間的通信,同時也實現(xiàn)了改制單位之間的通信。至于是否需要改制單位之間通信可以根據(jù)需要來進行進一步的設置。4. 路由器到防火墻之間的IPSec VPN以上筆者做的都是同種設備之間建立IPSec VPN互聯(lián),不同類型的設備只要是遵循IPSec VPN的標準一樣可以進行互聯(lián)。如Cisco的路由器和Cisco的PIX/ASA防火墻,在配置上與路由器的VPN的配置命令大同小異,下面看看實例。一個改制單位配置的是Cisco的ASA5505的防火墻,需要和總部建立VPN連接,下面是在防火墻上具體的配置:gz(config)# crypto isakmp policy 10/建立密鑰交換的策略,優(yōu)先級為10gz(config-isakmp-policy)# encryption 3des /使用3DES的加密算法gz(config-isakmp-policy)# authentication pre-share /使用預共享密鑰驗證對等體gz(config-isakmp-policy)# hash sha/使用SHA的散列算法gz(config-isakmp-policy)# group 2/使用DH協(xié)議組2的密鑰交換算法gz(config-isakmp-policy)# exitgz(config)# crypto isakmp key cjgsvpn add 59.175.234.100/設置預共享密鑰gz(config)# crypto ipsec transform-set cjgsset esp-3des esp-sha-hmac/配置IPSec轉(zhuǎn)換集,使用ESP協(xié)議,3DES算法加密,SHA算法認證,隧道模式gz(config)# access-list permitvpn permit ip 192.168.6.0 255.255.255.0 172.19.0.0 255.255.0.0/定義感興趣的流量gz(config)# crypto map vpn 10 ipsec-isakmp/定義加密映射,采用ISAKMP策略自動建立SA,加密映射的名稱為VPNgz(config)# crypto map vpn 10 match address permitvpn/加密映射匹配的地址gz(config)# crypto map vpn 10 set peer 59.175.234.100 /定義對端的地址,即總部路由器的公網(wǎng)口的地址gz(config)# crypto map vpn 10 set transform-set cjgsset/引用定義的轉(zhuǎn)換集gz(config)# crypto map vpn interface outside/將加密映射應用到防火墻的外部接口gz(config)# crypto isakmp enable outside/在防火墻的外部接口上允許密鑰交換的策略通過以上的配置命令,可以發(fā)現(xiàn)這些命令與路由器上的非常類似,只是在寫法的格式上稍有不同而已。路由器端的配置和前面的Site to Site的VPN的配置完全一樣,省略。5. 不同廠家之間的IPSec VPN以上這些都是同一品牌的設備,它們之間的互通當然要好實現(xiàn)一些,可是在實際的項目中各個單位并沒有都使用Cisco的設備,那么不同的廠家的設備之間建立IPSec VPN能夠通訊嗎?其實只要各個廠家都遵循標準的IPSec協(xié)議,在加上用戶對IPSec VPN理解透徹的話,一樣能夠?qū)崿F(xiàn)互通,只不過稍微麻煩一點而已。筆者就在NetScreen的NS25防火墻和Cisco的ASA5505防火墻之間就實現(xiàn)了IPSec VPN互通。網(wǎng)絡拓撲如圖四所示:圖4ASA5505防火墻的配置與前面的一樣,配置結(jié)果如下:ASA(config)# crypto isakmp policy 10ASA(config-isakmp-policy)# encryption 3des ASA(config-isakmp-policy)# authentication pre-share ASA(config-isakmp-policy)# hash md5ASA(config-isakmp-policy)# group 2ASA(config-isakmp-policy)# exitASA(config)# crypto isakmp key cjgsvpn add 59.196.234.42ASA(config)# crypto ipsec transform-set cjgsset esp-3des esp-md5-hmacASA(config)# access-list permitvpn permit ip 172.19.30.0 255.255.255.128 192.168.0.0 255.255.255.0ASA(config)# crypto map vpn 10 ipsec-isakmpASA(config)# crypto map vpn 10 match address permitvpnASA(config)# crypto map vpn 10 set peer 59.196.234.42 ASA(config)# crypto map vpn 10 set transform-set cjgssetASA(config)# crypto map vpn interface outsideASA(config)# crypto isakmp enable outside再看看NS25上的配置。在NS25上是采用圖形界面完成的IPSec VPN的配置,具體過程如下:第一步:在NS25上建立兩個地址本,分別代表本地的地址和需要訪問的地址,其實就是定義感興趣的流量的地址,總部的地址段定義在Untrust區(qū)域,改制單位的定義在Trust區(qū)域,在左邊菜單上依次選擇Objects-Addresses-List如圖五所示:圖5總部的地址段然后再建立改制單位的地址段,如圖六所示:圖6改制單位的地址段第二步,確定要使用的第一階段和第二階段的策略。在NS25中已經(jīng)預定義了第一階段和第二階段的各種參數(shù)的組合,如圖七所示,在菜單中依次選擇VPNs-AutoKey Advanced-P1 Prosal圖7階段一的參數(shù)圖中的pre-g2-3des-md5代表使用預共享密鑰認證,DH協(xié)議組2的密鑰交換算法,3des加密算法,md5的完整性算法,這是
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 知識產(chǎn)權(quán)保護與企業(yè)合規(guī)的共贏模式
- 投資風險的識別與防范
- 2025年人力資源共享策劃戰(zhàn)略協(xié)議樣本
- 提升農(nóng)業(yè)科技創(chuàng)新體系的背景意義及必要性
- 春分節(jié)氣的社交媒體營銷
- 10.1 三維繪圖基礎(課件)-高二《Auto+CAD》同步課堂(機工社)
- 小寒節(jié)氣解讀
- 工程維保協(xié)議書范本
- 大蒜兒童美術課件
- 2025年汽車零部件供應協(xié)議
- 周志華-機器學習-Chap01緒論-課件
- 電力儲能用鋰離子電池
- 華為MPR+LTC項目項目總體方案+P183
- 自然資源調(diào)查監(jiān)測技能競賽理論考試題庫大全-中(多選題)
- 水質(zhì)監(jiān)測服務水質(zhì)自動監(jiān)測系統(tǒng)運行維護方案
- 小學生創(chuàng)新大賽創(chuàng)新設計案例
- MOOC 斷層影像解剖學-山東大學 中國大學慕課答案
- GB/T 43635-2024法庭科學DNA實驗室檢驗規(guī)范
- 胸悶氣短的護理診斷和護理措施
- 門診突發(fā)事件應急處理培訓
- 癌因性疲乏中西醫(yī)結(jié)合診療指南
評論
0/150
提交評論