IPSecVPN配置總結(jié).doc

IPSec VPN配置總結(jié)近段時間，筆者完成了一些IPSec VPN的配置，有站點到站點固定公網(wǎng)IP地址的IPSec VPN，有站點到站點使用固定公網(wǎng)IP地址的EZVPN，有網(wǎng)絡中心點是固定公網(wǎng)IP地址，而分支機構(gòu)是動態(tài)地址的DMVPN，有路由器和防火墻之間互聯(lián)的IPSec VPN，也有不同廠商的設備之間互聯(lián)的IPSec VPN。通過這些項目的鍛煉，筆者感到對IPSec VPN的了解又增進了一步，以前一些模糊的地方，經(jīng)過這次項目的實踐之后也越來越清晰，以下就是筆者對IPSec VPN配置的總結(jié)和配置實例。一、 理解IPSec VPNVPN是利用公共網(wǎng)絡建立一條專用的通道來實現(xiàn)私有網(wǎng)絡的連接，IPSec VPN就是利用IPSec協(xié)議框架實現(xiàn)對VPN通道的加密保護。IPSec工作在網(wǎng)絡層，它能在IP層上對數(shù)據(jù)提供加密、數(shù)據(jù)完整性、起源認證和反重放保護等功能。加密的作用就是通過將數(shù)據(jù)包加密，保證數(shù)據(jù)的安全，即使數(shù)據(jù)包被人監(jiān)聽獲取到，也無法閱讀數(shù)據(jù)內(nèi)容。IPSec使用的數(shù)據(jù)加密算法是對稱密鑰加密系統(tǒng)。支持的加密算法主要有：DES、3DES、MD5和SHA加密算法，這種加密算法需要一個共享的密鑰執(zhí)行加密和解密，共享的密鑰是通過通信兩端交換公鑰，然后用公鑰和各自的私鑰進行運算，就得到了共享的密鑰，這樣就需要一個公鑰交換的算法。DH密鑰協(xié)議就是一種公鑰交換方法。DH密鑰交換協(xié)議有組1到組7的幾種不同的算法。DES和3DES支持組1和2，AES支持組2和5，因此如果選用了不同的加密算法，就需要選擇相應的DH密鑰交換算法。數(shù)據(jù)完整性的作用就是保證數(shù)據(jù)包在傳輸?shù)倪^程當中沒有被篡改。為了保證數(shù)據(jù)的完整性，給每個消息附加一個散列數(shù)，通過驗證發(fā)送的散列數(shù)和接收的散列數(shù)是否匹配來判斷消息是否被修改。散列消息驗證代碼（HMAC）主要有兩種算法：HMAC-MD5和HMAC-SHA-1，MD5使用128位的共享密鑰，而SHA使用160位密鑰，因此HMAC-SHA-1比HMAC-MD5的加密強度要更高一些。起源認證的作用就是保證發(fā)送數(shù)據(jù)包的源站點是可信的。起源認證用來在建立隧道時驗證隧道兩端的對等體是否是可信的。主要有預共享密鑰，RSA簽名、RSA-加密nonces三種方法。其中預共享密鑰配置起來最簡單，但安全性和擴展性也相對來說要差一些。預共享密鑰就是在每個對等體上都預先配置好相同的密鑰，經(jīng)過運算之后發(fā)送到遠端的對等體，由于每個對等體的密鑰相同，因此就能夠通過起源認證。另外兩種認證方法配置較為復雜，需要和證書服務器配合起來使用，筆者沒有這方面的實踐，因此后面的配置實例中都是采用的預共享密鑰的配置。反重放保護的作用就是保證數(shù)據(jù)包的唯一性，確定數(shù)據(jù)包在傳輸過程中沒有被復制。在IPSec的數(shù)據(jù)包中含有一個32位的序列數(shù)，并且是不能重復的，接收方通過檢查序列數(shù)是否是唯一的來執(zhí)行反重放保護功能。IPSec協(xié)議簇主要包括兩種協(xié)議：AH（認證頭）和ESP（封裝安全有效載荷）。其中AH不提供加密功能，而ESP兩者都提供。當使用ESP進行加密和認證的時候，執(zhí)行順序是先加密再認證。將這兩種協(xié)議應用到IP數(shù)據(jù)包時有兩種模式，分別是隧道模式和傳輸模式。隧道模式將一個新的IP頭附加在已加密的數(shù)據(jù)包之前，為整個數(shù)據(jù)包提供安全性；而傳輸模式下原數(shù)據(jù)包的IP頭不變，保持明文，只對數(shù)據(jù)包的內(nèi)容提供安全性。IPSec的建立有兩個階段，第一個階段主要是認證對等體，并協(xié)商策略。如確定建立IPSec隧道所需用到的安全參數(shù)，主要有加密的算法、對等體的認證、保證消息完整性的散列算法和密鑰交換的算法，在協(xié)商成功后建立一條安全通道。第二個階段主要是協(xié)商IPSec的參數(shù)和IPSec變換集，如確定使用AH還是ESP協(xié)議，使用傳輸模式還是隧道模式。協(xié)商成功后建立IPSec SA（安全關聯(lián)），保護IPSec隧道的安全。在筆者所配置的IPSec VPN中，都統(tǒng)一采用下列參數(shù)：階段一：加密算法采用3DES；保證數(shù)據(jù)完整性的算法采用HMAC-SHA-1；起源認證采用預共享密鑰；密鑰交換采用DH組2；階段二：采用ESP協(xié)議提供對整個數(shù)據(jù)包的保護，并同時使用加密和認證，加密算法采用3DES，認證算法采用HMAC-SHA-1使用模式采用隧道模式。二、 配置實例及說明1. 用路由器實現(xiàn)站點到站點的IPSec VPN以筆者單位的網(wǎng)絡拓撲結(jié)構(gòu)為例來說明使用路由器實現(xiàn)站點到站點的IPSec VPN的配置。本例中總部和三個分公司都具有固定的公網(wǎng)IP地址，路由器型號為Cisco3845，拓撲如圖一所示：圖1總部路由器階段一的配置：ZB(config)#crypto isakmp policy 10 /建立一個新的密鑰交換策略，優(yōu)先級為10，優(yōu)先級號是從1到100000，1的優(yōu)先級最高ZB(config-isakmp)#encryption 3des /使用3DES的加密算法ZB(config-isakmp)#authentication pre-share /使用預共享密鑰認證對等體ZB(config-isakmp)#hash sha /使用SHA散列算法，這一條配置命令可不用配置，因為默認的就是采用的這種散列算法ZB(config-isakmp)#group 2/密鑰交換算法采用DH密鑰協(xié)議組2的算法由于采用的是預共享密鑰的方式認證對等體，因此需要回到全局配置模式下，指定對等體的密鑰：ZB(config)#crypto isakmp key cjgsvpn add 58.216.222.106/密鑰為cjgsvpn，然后分別指定三個分公司的路由器公網(wǎng)接口的IP地址ZB(config)#crypto isakmp key cjgsvpn add 218.22.189.82ZB(config)#crypto isakmp key cjgsvpn add 218.75.208.74總部路由器階段二的配置：ZB(config)#crypto ipsec transform-set cjgsset esp-3des esp-sha-hmac/定義IPSec的轉(zhuǎn)換集，轉(zhuǎn)換集的名字為cjgsset，并指定采用ESP協(xié)議提供對整個數(shù)據(jù)包的加密和認證，加密采用3DES算法，認證采用SHA算法ZB(cfg-crypto-trans)#mode tunnel/使用隧道模式，這條配置命令也可以不用配置，默認就是采用隧道模式IPSec的兩個階段配置完成后，接下來定義需要保護的數(shù)據(jù)類型，定義加密映射，并將加密映射映射到路由器的公網(wǎng)接口上：ZB(config)#ip access-list extended cz /這里的幾條訪問列表定義要被保護的數(shù)據(jù)，即總部訪問三個分公司的數(shù)據(jù)流。172.19.0.0/18是總部的地址段，172.19.64.0/18是株洲分公司的地址段，172.19.128.0/19是銅陵分公司的地址段，172.19.160.0/19是常州分公司的地址段ZB(config-ext-nacl)#permit ip 172.19.0.0 0.0.63.255 172.19.160.0 0.0.31.255ZB(config-ext-nacl)#exitZB(config)#ip access-list ext tl/總部到銅陵分公司的流量ZB(config-ext-nacl)#permit ip 172.19.0.0 0.0.63.255 172.19.128.0 0.0.31.255ZB(config-ext-nacl)#exitZB(config)#ip access-list ext zz/總部到株洲分公司的流量ZB(config-ext-nacl)#permit ip 172.19.0.0 0.0.63.255 172.19.64.0 0.0.63.255ZB(config)#crypto map cjgsmap 10 ipsec-isakmp /建立優(yōu)先級為10，名字為cjgsmap的加密映射，并使用ISAKMP（即階段一協(xié)商的參數(shù)）來自動建立IPSec SAZB(config-crypto-map)#match add cz/匹配加密映射需要保護的流量，這里是匹配到常州分公司的流量ZB(config-crypto-map)#set transform-set cjgsset/使用cjgsset變換集定義的IPSec參數(shù)ZB(config-crypto-map)#set peer 58.216.222.106/定義對等體的地址，即常州分公司路由器公網(wǎng)接口的IP地址ZB(config-crypto-map)#exitZB(config)#crypto map cjgsmap 20 ipsec-isakmp/定義優(yōu)先級為20的加密映射ZB(config-crypto-map)#match add tl/匹配到銅陵分公司的流量ZB(config-crypto-map)#set transform-set cjgssetZB(config-crypto-map)#set peer 218.22.189.82/銅陵分公司路由器公網(wǎng)接口的IP地址ZB(config-crypto-map)#exitZB(config)#crypto map cjgsmap 30 ipsec-isakmp/定義優(yōu)先級為30的加密映射ZB(config-crypto-map)#match add zz/匹配到株洲分公司的流量ZB(config-crypto-map)#set tran cjgssetZB(config-crypto-map)#set peer 218.75.208.74/株洲分公司路由器公網(wǎng)接口的IP地址加密映射的策略定義完成后，將加密映射應用到總部路由器的公網(wǎng)接口上：ZB(config)#int fa0/0ZB(config-int)crypto map cjgsmap至此總部路由器上的配置即完成。分公司的配置以銅陵分公司為例，階段一和階段二的參數(shù)必須采用和先前定義的一致，否則總部和分公司之間就不能建立加密的安全通道，具體的配置命令與總部路由器上的一樣，配置結(jié)果如下：crypto isakmp policy 100/建立優(yōu)先級為100的密鑰交換策略 encr 3des/采用3DES加密 authentication pre-share/采用預共享密鑰認證 group 2/采用DH組2的密鑰交換算法crypto isakmp key cjgsvpn address 59.175.234.100/建立預共享密鑰，必須和總部的配置一致crypto ipsec transform-set tl esp-3des esp-sha-hmac /建立IPSec轉(zhuǎn)換集，使用ESP協(xié)議，采用3DES算法加密，SHA算法認證，并使用隧道模式crypto map zbvpn 100 ipsec-isakmp /建立優(yōu)先級為100的加密策略，使用ISAKMP自動生成SA，策略名為zbvpn set peer 59.175.234.100/設定總部的路由器的公網(wǎng)口地址 set transform-set tl /使用名稱為tl的轉(zhuǎn)換集和IPSec參數(shù) match address zb/匹配銅陵分公司到總部的流量interface FastEthernet0/0 ip address 218.22.189.82 255.255.255.248 crypto map zbvpn/將加密策略應用到接口ip access-list extended zb permit ip 172.19.128.0 0.0.31.255 172.19.0.0 0.0.63.255/定義銅陵分公司到總部的流量其他分公司的配置與此類似，就不再重復了。下面再來看看IPSec VPN建立的過程：當有總部訪問各分公司數(shù)據(jù)流量到達這個接口時，就根據(jù)加密映射的策略進行判斷。例如目標地址在銅陵分公司的地址段內(nèi)，首先和優(yōu)先級是10的策略進行比較，就會發(fā)現(xiàn)和優(yōu)先級10的策略中定義的地址段不相符，那么就會忽略優(yōu)先級10的加密策略；然后再和優(yōu)先級是20的加密策略比較，這時發(fā)現(xiàn)要訪問的目標地址和優(yōu)先級20定義的地址段正好匹配，那么就開始和優(yōu)先級20中定義的對端地址進行先進行階段一的協(xié)商，包括密鑰的交換，對等體的認證，完整性算法等參數(shù)，協(xié)商成功后再進行階段二的協(xié)商，包括采用哪種協(xié)議進行封裝、是否使用加密和認證，然后建立SA，成功后就建立了一條安全通道。那么總部到銅陵分公司的數(shù)據(jù)就可以通過互聯(lián)網(wǎng)在這條安全通道內(nèi)進行加密傳送了。2. 用路由器實現(xiàn)站點到站點的EZVPNEZVPN有的也寫作Easy VPN，顧名思義就是容易使用的VPN。它是Cisco開發(fā)的用于簡化遠程端配置和管理的一種基于IPSec VPN的實現(xiàn)，降低了VPN在實施過程中的復雜程度。EZVPN的結(jié)構(gòu)由EZVPN的服務器端和若干遠程的EZVPN客戶端組成，服務器端是整個EZVPN網(wǎng)絡的中心節(jié)點，它的主要的參數(shù)定義和配置都是在服務器端完成，而EZVPN的客戶端只需要幾條簡單的命令就可以完成VPN的配置，所以在企業(yè)中，遠程的分支機構(gòu)不需要配備專業(yè)的IT技術人員就可以完成VPN的配置。EZVPN的遠程客戶端支持三種操作模式，分別是客戶端模式、網(wǎng)絡擴展模式和網(wǎng)絡擴展加模式?？蛻舳四Ｊ绞悄J的模式，它需要由作為EZVPN服務器端的路由器來分配地址，然后通過客戶端路由器自動建立NAT/PAT轉(zhuǎn)換來實現(xiàn)與服務器端的通訊；網(wǎng)絡擴展模式不需要由EZVPN服務器端路由器分配地址，這種方式下，客戶端的網(wǎng)絡被認為是一個完全可路由的網(wǎng)絡，客戶端路由器上也不會自動的建立NAT/PAT；網(wǎng)絡擴展模式加是對網(wǎng)絡擴展模式的擴展，主要就是增加了能夠通過MC和自動分配功能為回環(huán)接口請求IP地址的功能，EZVPN的遠端會為這個接口自動創(chuàng)建IPSec SA。這個接口主要被用來排錯（如用ping，Telnet或SSH）；下面仍以筆者單位為例來說明EZVPN的配置。筆者單位除了幾個分公司以外，還有若干個改制單位和存續(xù)企業(yè)，也需要連接到筆者單位的網(wǎng)絡中。這些改制單位和存續(xù)企業(yè)由于規(guī)模都較小，沒有復雜的網(wǎng)絡結(jié)構(gòu)，因此在部分擁有固定公網(wǎng)IP的單位筆者就采用了EZVPN這種方式來實現(xiàn)。對EZVPN客戶端的模式筆者統(tǒng)一采用網(wǎng)絡擴展模式，并對各改制單位的地址進行了統(tǒng)一的規(guī)劃。由于規(guī)模都不大，因此就采用了C類的私有地址，從192.168.1.0開始依次類推，每個單位占用一個C類地址，改制單位采用Cisco1841路由器，拓撲結(jié)構(gòu)如圖二所示：圖2武漢總部EZVPN服務器端路由器的配置：ZB(config)#aaa new-model/啟用aaa，用于授權(quán)EZVPN客戶端訪問網(wǎng)絡ZB(config)#aaa authorization network cjgs-remote local/建立授權(quán)的策略，策略名稱為cjgs-remote，并使用本地的授權(quán)ZB(config)#crypto isakmp policy 10 /定義ISAKMP的策略，參數(shù)和前面的例子一致，這個策略用于分配給EZVPN遠程客戶端ZB(config-isakmp)#encryption 3des ZB(config-isakmp)#authentication pre-share ZB(config-isakmp)#hash shaZB(config-isakmp)#group 2ZB(config)#crypto isakmp client configuration group cjgsezvpn /定義MC（模式配置）中需要“推”的組策略，組名為cjgsezvpn，這個策略是將要推給客戶端路由器的ZB(config-isakmp-group)#key cjgsvpn/定義IKE的預共享密鑰ZB(config-isakmp-group)#dns 172.19.63.10/定義要推給客戶端的DNS服務器地址ZB(config-isakmp-group)#exitZB(config)#crypto ipsec transform-set cjgsvpnset esp-3des esp-sha-hmac/定義轉(zhuǎn)換集和IPSec參數(shù)ZB(config)#crypto dynamic-map cjgsdynavpn 10 /使用RRI建立動態(tài)加密映射，映射名稱為cjgsdynavpn，優(yōu)先級為10，RRI（Reverse Route Injection逆向路由注入），目的是在服務器端的路由器上為每個客戶端路由器的IP地址動態(tài)建立一條靜態(tài)路由，并加入到路由表中ZB(config-crypto-map)#set transform-set cjgsvpnset/將指定的轉(zhuǎn)換集應用到動態(tài)加密映射中ZB(config-crypto-map)#reverse-route/啟用RRIZB(config)#crypto map cjgsmap client configuration address respond/配置加密映射響應客戶端的請求，加密映射的名稱為cjgsmapZB(config)#crypto map cjgsmap 10 ipsec-isakmp dynamic cjgsdynavpn/將RRI建立的動態(tài)加密映射應用到名稱為cjgsmap的加密映射中去，并使用ISAKMP策略自動建立SA，優(yōu)先級為10ZB(config)#crypto map cjgsmap isakmp authorization list cjgs-remote/使用前面建立的cjgs-remote本地授權(quán)策略使客戶端能夠有權(quán)限訪問網(wǎng)絡ZB(config)#int fa0/0ZB(config-if)#crypto map cjgsmap/把加密映射應用到外部接口EZVPN服務器端路由器的配置基本完成，但是在實際使用時還會碰到問題。因為那些改制單位都是在路由器上建立了NAT，使內(nèi)部的用戶能夠訪問互聯(lián)網(wǎng)，但在和筆者單位建立了VPN后，所有的流量到進入到VPN的隧道中去了，造成互聯(lián)網(wǎng)的訪問中斷，對這種情況的解決方案就是配置隧道分離，使得只有訪問武漢總部的流量進入隧道，其它的流量進行NAT轉(zhuǎn)換。配置如下：ZB(config)#ip access-list ext tovpn/建立需要進入到VPN隧道的訪問列表ZB(config-ext-nacl)#permit ip 172.19.0.0 0.0.255.255 any/將武漢總部的地址段加入到列表中，表明只允許訪問武漢總部的網(wǎng)絡ZB(config-ext-nacl)#exitZB(config)#crypto isakmp client configuration group cjgsezvpnZB(config-isakmp-group)#acl tovpn/在推給用戶的組策略中加入隧道分離，只允許到武漢總部的網(wǎng)絡進入隧道如果武漢總部的路由器上做了NAT，就需要在NAT的控制中將改制單位和存續(xù)企業(yè)的IP地址段加入到訪問控制列表中，避免總部訪問到這些地方的流量也做NAT轉(zhuǎn)換。EZVPN服務器端路由器的配置完成，下面再來看看客戶端路由器的配置，客戶端路由器的配置就要簡單得多了，只需要配置客戶端路由器的策略并應用到接口就可以了：GZ(config)#crypto ipsec client ezvpn gzvpn /在改制單位的路由器上建立EZVPN客戶端的策略，名稱為gzvpnGZ(config-crypto-ezvpn)#group cjgsezvpn key cjgsvpn /定義服務器端路由器組策略的名稱，預共享密鑰，這些參數(shù)需要和服務器端路由器的設置對應GZ(config-crypto-ezvpn)#peer 59.175.234.100/指定服務器端路由器公網(wǎng)接口的地址GZ(config-crypto-ezvpn)#mode network-extension/定義客戶端的使用模式，這里采用的是網(wǎng)絡擴展模式GZ(config-crypto-ezvpn)#connect auto /配置客戶端自動連接GZ(config)#int fa0/0/把策略應用到接口上，在應用策略時要注意客戶端路由器的EZVPN接口分內(nèi)部接口和外部接口，公網(wǎng)接口為外部接口，局域網(wǎng)的接口為內(nèi)部接口，兩個接口都要進行配置，否則EZVPN無法建立GZ(config-if)#crypto ipsec client ezvpn gzvpn/應用到外部接口GZ(config)#int fa0/1GZ(config-if)#crypto ipsec client ezvpn gzvpn inside/應用到內(nèi)部接口客戶端路由器的配置完成，很快IPSec VPN隧道就自動的建立起來了，經(jīng)過測試，改制單位到互聯(lián)網(wǎng)的訪問和到武漢總部的訪問均不受影響。在服務器端路由器上用sh ip route命令能夠發(fā)現(xiàn)自動的添加了一條到該改制單位的靜態(tài)路由，如果有多個改制單位連接進來，就會增加多條靜態(tài)路由。其它的改制單位和存續(xù)企業(yè)配置與此完全一樣，可見在客戶端的配置真的是非常簡單的。3. 用路由器實現(xiàn)到動態(tài)地址的DMVPN在筆者實施這次VPN的時候，由于有的改制單位使用的是ADSL撥號的方式接入到互聯(lián)網(wǎng)的，因此筆者在這些地方又嘗試了固定地址到動態(tài)地址的DMVPN的配置。DMVPN是Cisco推出的動態(tài)多點VPN，是為了適應不斷擴展的小型分支機構(gòu)和總部之間的連接而設計的一種技術。多點的意思就是在總部只有一個點，但可以針對多個分支機構(gòu)建立IPSec VPN連接，動態(tài)的意思就是分支機構(gòu)的IP地址是不確定的，沒有固定的IP地址。DMVPN結(jié)合GRE(通用路由封裝)、NHRP（下一條地址解析協(xié)議）以及IPSec技術實現(xiàn)，可以承載路由協(xié)議，因而可以構(gòu)建一個全網(wǎng)互通的VPN網(wǎng)絡。在DMVPN技術里面，最重要的是要理解NHRP協(xié)議。在NHRP協(xié)議中，總部的路由器被配置為NHRP服務器，分支機構(gòu)的路由器被配置為NHRP客戶端，作為服務器的中心路由器需要維護一個包含所有客戶端路由器公網(wǎng)地址的數(shù)據(jù)庫，每個客戶端的路由器在獲得了公網(wǎng)的地址后，會向服務器端路由器發(fā)送NHRP的注冊信息，注冊信息中就包括了客戶端路由器動態(tài)獲得的IP地址，這樣服務器端的路由器就可以和客戶端的路由器建立起VPN的連接了。而客戶端的路由器之間需要通訊時，也可以通過作為NHRP服務器端的路由器查詢到其他客戶端的IP地址，從而兩個客戶端的路由器之間也可以動態(tài)的建立IPSec隧道了。下面看看筆者單位和各改制單位的網(wǎng)絡，和前面的EZVPN的拓撲其實是一樣的，如圖三所示：圖3圖中武漢總部的路由器就充當了NHRP服務器的角色，而改制單位的路由器就是客戶端了。具體配置如下：總部路由器的配置。首先還是配置統(tǒng)一的ISAKMP的策略：ZB(config)#crypto isakmp policy 10 /建立ISAKMP策略，優(yōu)先級為10，其它的參數(shù)與前面的一樣ZB(config-isakmp)#encryption 3desZB(config-isakmp)#authentication pre-share ZB(config-isakmp)#group 2ZB(config-isakmp)#hash shaZB(config-isakmp)#exitZB(config)#crypto isakmp key cjgsvpn address 0.0.0.0/建立預共享密鑰在指定對端的地址時與前面不同，由于改制單位的IP地址是動態(tài)的，因此在這里就不能明確的指定對端的IP地址ZB(config)#crypto ipsec transform-set cjgs_vpnset esp-3des esp-sha-hmac /轉(zhuǎn)換集的參數(shù)也和前面的一樣ZB(cfg-crypto-trans)#mode transport/在這里使用了傳輸模式是由于要使用GRE封裝，因此就沒有必要再使用隧道模式ZB(config)#crypto ipsec profile cjgs-vpnpro /建立名稱為cjgs-vpnpro的配置文件ZB(ipsec-profile)#set transform-set cjgs_vpnset/指定變換集下面是配置DMVPN的關鍵部分。ZB(config)#int t0/建立隧道接口，接口名稱為Tunnel0ZB(config-if)#ip add 172.19.255.1 255.255.255.0/給隧道接口配置IP地址ZB(config-if)#ip nhrp authentication cjgs/配置NHRP的認證字符串，只有認證字符串相同的才能夠互相通信ZB(config-if)#ip nhrp map multicast dynamic /允許NHRP服務器端路由器能夠動態(tài)添加客戶端路由器到多點NHRP映射ZB(config-if)#ip nhrp network-id 10/為NBMA（非廣播多路訪問）網(wǎng)絡指定一個網(wǎng)絡標識符ZB(config-if)#tunnel source fa0/0/指定隧道接口的源地址ZB(config-if)#tunnel key 100/指定隧道接口的密鑰ZB(config-if)#tunnel mode gre multipoint /將隧道接口配置成mGRE（多點GRE）隧道模式ZB(config-if)#tunnel protection ipsec profile cjgs-vpnpro/將隧道接口和IPSec配置文件關聯(lián)起來ZB(config-if)#ip ospf network broadcast/在筆者單位使用的OSPF路由協(xié)議，由于這里是一個NBMA的網(wǎng)絡，因此需要將接口配置成廣播型的網(wǎng)絡最后根據(jù)需要配置好相應的路由協(xié)議就可以了。再看改制單位的配置。改制單位的路由器作為NHRP的客戶端路由器，在ISAKMP策略和轉(zhuǎn)換集的配置上和總部的配置是一樣的。GZ1(config)#crypto isakmp policy 10GZ1(config-isakmp)#encr 3des GZ1(config-isakmp)#authen preGZ1(config-isakmp)#hash shGZ1(config-isakmp)#group 2GZ1(config)#crypto isakmp key cjgsvpn add 0.0.0.0/配置預共享密鑰和對端地址GZ1(config)#crypto ipsec transform-set cjgs_vpnset esp-3 esp-sha-hmac /建立轉(zhuǎn)換集 GZ1(cfg-crypto-trans)#mode tran/使用傳輸模式GZ1(config)#crypto ipsec profile cjgs-vpnpro/建立名稱為cjgs-vpnpro的IPSec配置文件GZ1(ipsec-profile)#set transform-set cjgs_vpnsetGZ1(ipsec-profile)#exit配置隧道接口和NHRP客戶端：GZ1(config)#int t0/建立隧道接口GZ1(config-if)#ip add 172.19.255.2 255.255.255. 0/配置隧道接口的IP地址GZ1(config-if)#ip nhrp authentication cjgs/配置NHRP的驗證字符串，和總部的要一致GZ1(config-if)#ip nhrp map multicast 59.175.234.100/在總部和改制單位使用動態(tài)路由協(xié)議，告訴客戶端路由器發(fā)送組播數(shù)據(jù)包到服務器端的路由器GZ1(config-if)#ip nhrp map 172.19.255.1 59.175.234.100/建立服務器端路由器的隧道接口的地址和公網(wǎng)地址的映射關系GZ1(config-if)#ip nhrp network-id 10/為NBMA網(wǎng)絡指定網(wǎng)絡標識符，和總部的路由器保持一致GZ1(config-if)#ip nhrp nhs 172.19.255.1/指定NHRP服務器的地址，即總部路由器隧道接口的地址GZ1(config-if)#tunnel sour fa0/0/指定隧道接口的源地址GZ1(config-if)#tunnel mode gre multipoint /將隧道接口配置為多點GRE模式GZ1(config-if)#tunnel key 100/隧道接口的密鑰，必須與總部的保持一致GZ1(config-if)#tunnel protection ipsec profile cjgs-vpnpro/將IPSec配置文件和隧道接口關聯(lián)GZ1(config-if)#ip ospf net br/將接口配置成廣播型最后再配置好相應的路由協(xié)議，這樣就完成了一個改制單位的配置，其余的改制單位與此類似。全部配置完成后，可以在路由器上使用sh ip nhrp命令查看NHRP的緩存，在該命令的輸出中就可以看到各個路由器的注冊信息。這樣不僅實現(xiàn)了改制單位與總部之間的通信，同時也實現(xiàn)了改制單位之間的通信。至于是否需要改制單位之間通信可以根據(jù)需要來進行進一步的設置。4. 路由器到防火墻之間的IPSec VPN以上筆者做的都是同種設備之間建立IPSec VPN互聯(lián)，不同類型的設備只要是遵循IPSec VPN的標準一樣可以進行互聯(lián)。如Cisco的路由器和Cisco的PIX/ASA防火墻，在配置上與路由器的VPN的配置命令大同小異，下面看看實例。一個改制單位配置的是Cisco的ASA5505的防火墻，需要和總部建立VPN連接，下面是在防火墻上具體的配置：gz(config)# crypto isakmp policy 10/建立密鑰交換的策略，優(yōu)先級為10gz(config-isakmp-policy)# encryption 3des /使用3DES的加密算法gz(config-isakmp-policy)# authentication pre-share /使用預共享密鑰驗證對等體gz(config-isakmp-policy)# hash sha/使用SHA的散列算法gz(config-isakmp-policy)# group 2/使用DH協(xié)議組2的密鑰交換算法gz(config-isakmp-policy)# exitgz(config)# crypto isakmp key cjgsvpn add 59.175.234.100/設置預共享密鑰gz(config)# crypto ipsec transform-set cjgsset esp-3des esp-sha-hmac/配置IPSec轉(zhuǎn)換集，使用ESP協(xié)議，3DES算法加密，SHA算法認證，隧道模式gz(config)# access-list permitvpn permit ip 192.168.6.0 255.255.255.0 172.19.0.0 255.255.0.0/定義感興趣的流量gz(config)# crypto map vpn 10 ipsec-isakmp/定義加密映射，采用ISAKMP策略自動建立SA，加密映射的名稱為VPNgz(config)# crypto map vpn 10 match address permitvpn/加密映射匹配的地址gz(config)# crypto map vpn 10 set peer 59.175.234.100 /定義對端的地址，即總部路由器的公網(wǎng)口的地址gz(config)# crypto map vpn 10 set transform-set cjgsset/引用定義的轉(zhuǎn)換集gz(config)# crypto map vpn interface outside/將加密映射應用到防火墻的外部接口gz(config)# crypto isakmp enable outside/在防火墻的外部接口上允許密鑰交換的策略通過以上的配置命令，可以發(fā)現(xiàn)這些命令與路由器上的非常類似，只是在寫法的格式上稍有不同而已。路由器端的配置和前面的Site to Site的VPN的配置完全一樣，省略。5. 不同廠家之間的IPSec VPN以上這些都是同一品牌的設備，它們之間的互通當然要好實現(xiàn)一些，可是在實際的項目中各個單位并沒有都使用Cisco的設備，那么不同的廠家的設備之間建立IPSec VPN能夠通訊嗎？其實只要各個廠家都遵循標準的IPSec協(xié)議，在加上用戶對IPSec VPN理解透徹的話，一樣能夠?qū)崿F(xiàn)互通，只不過稍微麻煩一點而已。筆者就在NetScreen的NS25防火墻和Cisco的ASA5505防火墻之間就實現(xiàn)了IPSec VPN互通。網(wǎng)絡拓撲如圖四所示：圖4ASA5505防火墻的配置與前面的一樣，配置結(jié)果如下：ASA(config)# crypto isakmp policy 10ASA(config-isakmp-policy)# encryption 3des ASA(config-isakmp-policy)# authentication pre-share ASA(config-isakmp-policy)# hash md5ASA(config-isakmp-policy)# group 2ASA(config-isakmp-policy)# exitASA(config)# crypto isakmp key cjgsvpn add 59.196.234.42ASA(config)# crypto ipsec transform-set cjgsset esp-3des esp-md5-hmacASA(config)# access-list permitvpn permit ip 172.19.30.0 255.255.255.128 192.168.0.0 255.255.255.0ASA(config)# crypto map vpn 10 ipsec-isakmpASA(config)# crypto map vpn 10 match address permitvpnASA(config)# crypto map vpn 10 set peer 59.196.234.42 ASA(config)# crypto map vpn 10 set transform-set cjgssetASA(config)# crypto map vpn interface outsideASA(config)# crypto isakmp enable outside再看看NS25上的配置。在NS25上是采用圖形界面完成的IPSec VPN的配置，具體過程如下：第一步：在NS25上建立兩個地址本，分別代表本地的地址和需要訪問的地址，其實就是定義感興趣的流量的地址，總部的地址段定義在Untrust區(qū)域，改制單位的定義在Trust區(qū)域，在左邊菜單上依次選擇Objects-Addresses-List如圖五所示：圖5總部的地址段然后再建立改制單位的地址段，如圖六所示：圖6改制單位的地址段第二步，確定要使用的第一階段和第二階段的策略。在NS25中已經(jīng)預定義了第一階段和第二階段的各種參數(shù)的組合，如圖七所示，在菜單中依次選擇VPNs-AutoKey Advanced-P1 Prosal圖7階段一的參數(shù)圖中的pre-g2-3des-md5代表使用預共享密鑰認證，DH協(xié)議組2的密鑰交換算法，3des加密算法，md5的完整性算法，這是