CISCO路由器VPN講解課件

基于CISCO路由器的

IPSECVPN和BGP/MPLSVPN目錄VPN簡介IPSecVPNBGP/MPLSVPNIPSec基礎端到端IPSecVPN的工作原理及配置EasyVPN（遠程接入VPN）的工作原理及配置BGP/MPLSVPN的工作原理BGP/MPLSVPN的配置示例VPN背景總公司租用專線我們有很多分公司，如果用租用專線的方式把他們和總公司連起來，需要花很多錢想節(jié)約成本的話，可以用VPN來連接分公司分公司分公司隧道機制IPVPN可以理解為：通過隧道技術在公眾IP/MPLS網(wǎng)絡上仿真一條點到點的專線。隧道是利用一種協(xié)議來傳輸另外一種協(xié)議的技術，共涉及三種協(xié)議，包括：乘客協(xié)議、隧道協(xié)議和承載協(xié)議。被封裝的原始IP包新增加的IP頭IPSec頭乘客協(xié)議隧道協(xié)議承載協(xié)議原始IP包經(jīng)過IPSec封裝后隧道帶來的好處隧道保證了VPN中分組的封裝方式及使用的地址與承載網(wǎng)絡的封裝方式及使用地址無關

Internet被封裝的原始IP包新增加的IP頭IPSec頭私網(wǎng)地址公網(wǎng)地址中心站點分支機構Internet根據(jù)這個地址路由可以使用私網(wǎng)地址，感覺雙方是用專用通道連接起來的，而不是Internet隧道按隧道類型對VPN分類隧道協(xié)議如下：第二層隧道協(xié)議，如L2TP第三層隧道協(xié)議，如IPSec介于第二層和第三層之間的隧道協(xié)議，如MPLSVPNL2TP的典型應用--VPDNL2TP連接PPP連接用戶發(fā)起PPP連接到接入服務器接入服務器封裝用戶的PPP會話到L2TP隧道，L2TP隧道穿過公共IP網(wǎng)絡，終止于電信VPDN機房的LNS用戶的PPPsession經(jīng)企業(yè)內部的認證服務器認證通過后即可訪問企業(yè)內部網(wǎng)絡資源IPSecIPSec只能工作在IP層，要求乘客協(xié)議和承載協(xié)議都是IP協(xié)議被封裝的原始IP包新增加的IP頭IPSec頭必須是IP協(xié)議必須是IP協(xié)議IPSec可以對被封裝的數(shù)據(jù)包進行加密和摘要等，以進一步提高數(shù)據(jù)傳輸?shù)陌踩訫PLSVPN的基本工作模式在入口邊緣路由器為每個包加上MPLS標簽，核心路由器根據(jù)標簽值進行轉發(fā)，出口邊緣路由器再去掉標簽，恢復原來的IP包。MPLS網(wǎng)P1P2PE1PE2CE1CE210.1.1.1MPLS標簽10.1.1.110.1.1.1三種VPN的比較L2TPIPSecMPLSVPN隧道協(xié)議類型第二層第三層第二層和第三層之間是否支持數(shù)據(jù)加密不支持支持不支持對設備的要求只要求邊緣設備支持L2TP只要求邊緣設備支持IPSec要求邊緣設備和核心設備都支持MPLS目錄VPN簡介IPSecVPNBGP/MPLSVPNIPSec基礎端到端IPSecVPN的工作原理及配置EasyVPN（遠程接入VPN）的工作原理及配置BGP/MPLSVPN的工作原理BGP/MPLSVPN的配置示例IPSec概述IPSec是一種開放標準的框架結構，特定的通信方之間在IP層通過加密和數(shù)據(jù)摘要(hash)等手段，來保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時的私密性(confidentiality)、完整性(dataintegrity)和真實性(originauthentication)。IPSec只能工作在IP層，要求乘客協(xié)議和承載協(xié)議都是IP協(xié)議被封裝的原始IP包新增加的IP頭IPSec頭必須是IP協(xié)議必須是IP協(xié)議對稱加密如果加密密鑰與解密密鑰相同，就稱為對稱加密由于對稱加密的運算速度快，所以IPSec使用對稱加密算法來加密數(shù)據(jù)對數(shù)據(jù)進行hash運算來保證完整性完整性：數(shù)據(jù)沒有被非法篡改通過對數(shù)據(jù)進行hash運算，產(chǎn)生類似于指紋的數(shù)據(jù)摘要，以保證數(shù)據(jù)的完整性土豆兩塊錢一斤Hash4ehIDx67NMop9土豆兩塊錢一斤4ehIDx67NMop9土豆三塊錢一斤4ehIDx67NMop9我偷改數(shù)據(jù)Hash2fwex67N32rfee3兩者不一致代表數(shù)據(jù)已被篡改對數(shù)據(jù)和密鑰一起進行hash運算攻擊者篡改數(shù)據(jù)后，可以根據(jù)修改后的數(shù)據(jù)生成新的摘要，以此掩蓋自己的攻擊行為。通過把數(shù)據(jù)和密鑰一起進行hash運算，可以有效抵御上述攻擊。土豆兩塊錢一斤Hashfefe23fgrNMop7土豆兩塊錢一斤fefe23fgrNMop7土豆三塊錢一斤2fwex67N32rfee3我同時改數(shù)據(jù)和摘要兩者還是不一致Hashfergergr23frewfghDH算法的基本原理RouterARouterB生成一個整數(shù)p生成一個整數(shù)q把p發(fā)送到對端p把q發(fā)送到對端q根據(jù)p、q生成g根據(jù)p、q生成g生成密鑰Xa生成密鑰Xb把Ya=g^Xa發(fā)送到對端把Yb=g^Xb發(fā)送到對端YaYbKey=Yb^Xa=g^(Xb*Xa)Key=Ya^Xb=g^(Xa*Xb)最后得到的對稱密鑰雙方?jīng)]有直接傳遞密鑰通過身份認證保證數(shù)據(jù)的真實性真實性：數(shù)據(jù)確實是由特定的對端發(fā)出通過身份認證可以保證數(shù)據(jù)的真實性。常用的身份認證方式包括：Pre-sharedkey，預共享密鑰RSASignature，數(shù)字簽名預共享密鑰預共享密鑰，是指通信雙方在配置時手工輸入相同的密鑰。Hash_L+

路由器名等本地Hash共享密鑰遠端生成的Hash_LHash=+對端路由器名Internet共享密鑰接收到的Hash_L數(shù)字簽名認證+IDInformation加密Hash_I解密Hash_I私鑰公鑰本地遠端Hash=+身份信息Hash對稱密鑰數(shù)字簽名+身份信息Hash12數(shù)字證書+Internet對稱密鑰數(shù)字簽名數(shù)字證書IPSec框架結構ESPAHDES3DESAESMD5SHADH1DH2IPSec框架可選擇的算法IPSec安全協(xié)議加密數(shù)據(jù)摘要對稱密鑰交換IPSec封裝模式IPSec支持兩種封裝模式：傳輸模式和隧道模式隧道模式：增加新的IP頭，通常用于私網(wǎng)與私網(wǎng)之間通過公網(wǎng)進行通信。IP頭數(shù)據(jù)原始IP包IP頭數(shù)據(jù)新IP頭AHhashIP頭數(shù)據(jù)ESP頭hashESPtrailerESPauthESP加密hashAH頭新IP頭IPSec與NATAH模式無法與NAT一起運行AH對包括IP地址在內的整個IP包進行hash運算，而NAT會改變IP地址，從而破壞AH的hash值。IP頭數(shù)據(jù)AH頭hashhashNAT：我要修改源/目的IP地址AH：不行！我對IP地址也進行了hashIPSec與NATESP模式下：只進行地址映射時，ESP可與它一起工作。進行端口映射時，需要修改端口，而ESP已經(jīng)對端口號進行了加密和/或hash，所以將無法進行。IP頭數(shù)據(jù)ESP頭ESPtrailerESPauth加密TCP/UDP端口NAT：端口號被加密了，沒法改，真郁悶IPSec與NATESP模式下：啟用IPSecNAT穿越后，會在ESP頭前增加一個UDP頭，就可以進行端口映射。IP頭數(shù)據(jù)ESP頭ESPtrailerESPauth加密TCP/UDP端口NAT：可以改端口號了，太棒了新UDP頭目錄VPN簡介IPSecVPNBGP/MPLSVPNIPSec基礎端到端IPSecVPN的工作原理及配置EasyVPN（遠程接入VPN）的工作原理及配置BGP/MPLSVPN的工作原理BGP/MPLSVPN的配置示例對上一節(jié)的回顧IPSec協(xié)議框架包括加密、hash、對稱密鑰交換、安全協(xié)議等四個部分，這些部分都可以采用多種算法來實現(xiàn)。問題1：要成功建立IPSecVPN，兩端路由器必須采用相同的加密算法、hash算法和安全協(xié)議等，但IPSec協(xié)議中并沒有描述雙方應如何協(xié)商這些參數(shù)。問題2：IPSec協(xié)議中沒有定義通信雙方如何進行身份認證，路由器有可能會和一個假冒的對端建立IPSecVPN。端到端IPSecVPN的工作原理需要保護的流量流經(jīng)路由器，觸發(fā)路由器啟動相關的協(xié)商過程。啟動IKE(Internetkeyexchange)階段1，對通信雙方進行身份認證，并在兩端之間建立一條安全的通道。啟動IKE階段2，在上述安全通道上協(xié)商IPSec參數(shù)。按協(xié)商好的IPSec參數(shù)對數(shù)據(jù)流進行加密、hash等保護。HostAHostBRouterARouterB什么是端到端的VPN？IKE階段1HostAHostBRouterARouterB10.0.1.310.0.2.3IKE階段1協(xié)商建立IKE安全通道所使用的參數(shù)協(xié)商建立IKE安全通道所使用的參數(shù)IKE階段1協(xié)商建立IKE安全通道所使用的參數(shù)，包括：加密算法Hash算法DH算法身份認證方法存活時間IKE階段1Policy10DESMD5DH1Pre-sharelifetimePolicy15DESMD5DH1Pre-sharelifetimeRouterARouterBhostAhostBPolicy203DESSHADH1Pre-sharelifetimePolicy253DESSHADH2Pre-sharelifetime雙方找到相同的策略集上述IKE參數(shù)組合成集合，稱為IKEpolicy。IKE協(xié)商就是要在通信雙方之間找到相同的policy。IKE階段1HostAHostBRouterARouterB10.0.1.310.0.2.3IKE階段1協(xié)商建立IKE安全通道所使用的參數(shù)交換對稱密鑰雙方身份認證建立IKE安全通道協(xié)商建立IKE安全通道所使用的參數(shù)交換對稱密鑰雙方身份認證建立IKE安全通道IKE階段2HostAHostBRouterARouterB10.0.1.310.0.2.3IKE階段2協(xié)商IPSec安全參數(shù)協(xié)商IPSec安全參數(shù)IKE階段2雙方協(xié)商IPSec安全參數(shù)，稱為變換集transformset，包括：加密算法Hash算法安全協(xié)議封裝模式存活時間Transform10DESMD5ESPTunnellifetimeTransform203DESSHAESPTunnellifetimeIKE與IPSec安全參數(shù)的比較加密算法Hash算法存活時間DH算法身份認證安全協(xié)議封裝模式IKEIPSecIKE階段2HostAHostBRouterARouterB10.0.1.310.0.2.3IKE階段2協(xié)商IPSec安全參數(shù)建立IPSecSA協(xié)商IPSec安全參數(shù)建立IPSecSAIPSecSAIPSecSA(安全關聯(lián)，SecurityAssociation)：SA由SPD(securitypolicydatabase)和SAD(SAdatabase)組成。兩端成功協(xié)商IPSec參數(shù)加密算法hash算法封裝模式lifetime安全協(xié)議SPD加密SPIHash封裝模式lifetimeSAD目的IP地址SPI安全協(xié)議IPSecSAIPSecSA(安全關聯(lián)，SecurityAssociation)：SPI(SecurityParameterIndex)，由IKE自動分配發(fā)送數(shù)據(jù)包時，會把SPI插入到IPSec頭中接收到數(shù)據(jù)包后，根據(jù)SPI值查找SAD和SPD，從而獲知解密數(shù)據(jù)包所需的加解密算法、hash算法等。一個SA只記錄單向的參數(shù)，所以一個IPSec連接會有兩個IPSecSA。IPSecSAIPSecSA(安全關聯(lián)，SecurityAssociation)：使用SPI可以標識路由器與不同對象之間的連接。BANK192.168.2.1SPI–12ESP/3DES/SHAtunnel28800192.168.12.1

SPI–39ESP/DES/MD5tunnel28800InternetIPSecSAIPSecSA(安全關聯(lián)，SecurityAssociation)：達到lifetime以后，原有的IPSecSA就會被刪除如果正在傳輸數(shù)據(jù)，系統(tǒng)會在原SA超時之前自動協(xié)商建立新的SA，從而保證數(shù)據(jù)的傳輸不會因此而中斷。SA示例端到端IPSecVPN的配置流程配置IPSec前的準備工作配置IKE參數(shù)配置IPSec參數(shù)測試并驗證IPSec是否正常工作端到端IPSecVPN的配置步驟1配置IPSec前的準備工作確認在配置IPSec之前，網(wǎng)絡是通的。確認AH流量(IP協(xié)議號為50)、ESP流量(IP協(xié)議號為51)和ISAKMP流量(UDP的端口500)不會被ACL所阻塞。配置IPSec前的準備工作在RouterA上ping路由器RouterBRouterA上要有到site2的路由，RouterB上有到site1的路由有必要的情況下，在路由器中添加類似以下的ACL條目：RouterA#showaccess-listsaccess-list102permitahphost172.30.2.2host172.30.1.2access-list102permitesphost172.30.2.2host172.30.1.2access-list102permitudphost172.30.2.2host172.30.1.2eqisakmpE0/1172.30.1.2Site1Site2E0/1172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterB端到端IPSecVPN的配置步驟2配置IKE參數(shù)啟用IKE創(chuàng)建IKE策略集policy配置IKE身份認證的相關參數(shù)驗證IKE配置啟用IKERouterA(config)#nocryptoisakmpenableRouterA(config)#cryptoisakmpenablerouter(config)#[no]cryptoisakmpenable默認情況下，IKE處于開啟狀態(tài)IKE在全局模式下對所有端口啟用對于不希望使用IKE的端口，可以用ACL屏蔽UDP的500端口，達到阻斷IKE的目的創(chuàng)建IKE策略cryptoisakmppolicypriorityrouter(config)#RouterA(config)#cryptoisakmppolicy110RouterA(config-isakmp)#encryptiondesRouterA(config-isakmp)#hashmd5RouterA(config-isakmp)#group1RouterA(config-isakmp)#authenticationpre-shareRouterA(config-isakmp)#lifetime86400Authentication---身份認證方式Encryption---加密算法Group---DH算法組Hash---摘要算法Lifetime---IKE生存期IKE策略集的取值<86400秒86400秒IKESA生存期DHGroup2DHGroup1密鑰交換算法Rsa-sigPre-share身份認證方式SHA-1MD5摘要算法3DESDES加密算法更安全的取值安全的取值參數(shù)(56bit密鑰)(3次DES運算)(128bit密鑰)(160bit密鑰)(768bit密鑰)(1024bit密鑰)(共享密鑰)(數(shù)字簽名)IKE策略集的優(yōu)先級cryptoisakmppolicy100

hashmd5

authentication

pre-sharecryptoisakmppolicy200authenticationrsa-sig

hashshacryptoisakmppolicy300authenticationpre-sharehashmd5RouterA(config)#RouterB(config)#cryptoisakmppolicy100hashmd5authenticationpre-sharecryptoisakmppolicy200authenticationrsa-sighashshacryptoisakmppolicy300authenticationrsa-sighashmd5Priority表示策略集的優(yōu)先級，該值越小表示優(yōu)先級越高路由器將首先比較優(yōu)先級最高的策略集是否匹配，因此本例中雖然三個策略集都匹配，但路由器只會采用policy100建議把最安全的策略集設為最高優(yōu)先級使用共享密鑰進行身份認證RouterA(config)#cryptoisakmpkeycisco1234address172.30.2.2router(config)#cryptoisakmpkeykeystringaddresspeer-addresscryptoisakmpkeykeystringhostnamehostnamerouter(config)#共享密鑰Cisco1234Site1Site2172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterB兩端路由器使用的共享密鑰必須相同可以用IP地址或

主機名來指定對端驗證IKE配置RouterA#showcryptoisakmppolicyProtectionsuiteofpriority110encryptionalgorithm:DES-DataEncryptionStandard(56bitkeys).hashalgorithm:MessageDigest5authenticationmethod:Pre-SharedKeyDiffie-Hellmangroup:#1(768bit)lifetime:86400seconds,novolumelimitDefaultprotectionsuiteencryptionalgorithm:DES-DataEncryptionStandard(56bitkeys).hashalgorithm:SecureHashStandardauthenticationmethod:Rivest-Shamir-AdlemanSignatureDiffie-Hellmangroup:#1(768bit)lifetime:86400seconds,novolumelimitshowcryptoisakmppolicy

router#顯示已配置的和缺省的策略集端到端IPSecVPN的配置步驟3配置IPSec參數(shù)配置IPSec變換集用ACL定義需要IPSec保護的流量創(chuàng)建cryptomap把cryptomap應用到路由器的端口上配置IPSec變換集cryptoipsectransform-settransform-set-name

transform1[transform2[transform3]]router(cfg-crypto-trans)#router(config)#RouterA(config)#cryptoipsectransform-setmineesp-desRouterA(cfg-crypto-trans)#modetunnel每個變換集中可以包含AH變換、ESP變換和封裝模式(隧道模式或傳輸模式)每個變換集中最多可以有一個AH變換和兩個ESP變換IOS支持的變換RouterA(config)#cryptoipsectransform-set transform-set-name?ah-md5-hmacAH-HMAC-MD5transformah-sha-hmacAH-HMAC-SHAtransformesp-3desESPtransformusing3DES(EDE)cipher(168 bits)esp-desESPtransformusingDEScipher(56bits)esp-md5-hmacESPtransformusingHMAC-MD5authesp-sha-hmacESPtransformusingHMAC-SHAauthesp-nullESPtransformw/ocipher用ACL定義需要IPSec保護的流量access-listaccess-list-number[dynamicdynamic-name

[timeoutminutes]]{deny|permit}protocolsourcesource-wildcarddestinationdestination-wildcard[precedenceprecedence][tostos][log]router(config)#RouterA(config)#access-list110permittcp10.0.1.00.0.0.25510.0.2.00.0.0.255Site1Site2AB10.0.1.310.0.2.3InternetRouterARouterB10.0.1.010.0.2.0加密定義哪些流量需要IPSec保護Permit=要保護/deny=不用保護兩端路由器要配置對稱的ACLRouterA(config)#access-list110permittcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255RouterB(config)#access-list101permittcp

10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255E0/1172.30.1.2Site1Site2E0/1172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterBCryptomap的主要配置參數(shù)需要IPSec保護的流量的ACLVPN對端的IP地址使用的IPSec變換集協(xié)商建立IPSecSA的方式(手工或通過IKE)IPSecSA的存活期創(chuàng)建cryptomapcryptomapmap-nameseq-numipsec-manualcryptomapmap-nameseq-numipsec-isakmp

[dynamicdynamic-map-name]router(config)#Site1Site2AB10.0.1.310.0.2.3InternetRouterARouterBRouterA(config)#cryptomapmymap110ipsec-isakmpSite3B10.0.3.3RouterC每個路由器端口只能應用一個cryptomap當一個端口有多個VPN對端時，就使用seq-num來區(qū)分Cryptomap配置示例RouterA(config)#cryptomapmymap110ipsec-isakmpRouterA(config-crypto-map)#matchaddress110RouterA(config-crypto-map)#setpeer172.30.2.2RouterA(config-crypto-map)#setpeer172.30.3.2RouterA(config-crypto-map)#setpfsgroup1RouterA(config-crypto-map)#settransform-setmineRouterA(config-crypto-map)#setsecurity-associationlifetime86400Site1Site2172.30.2.2AB10.0.1.310.0.2.3RouterARouterB172.30.3.2BRouterCInternet可配置多個vpn對端進行冗余應用cryptomap到路由器端口上RouterA(config)#interfaceethernet0/1RouterA(config-if)#cryptomapmymapE0/1172.30.1.2Site1Site2E0/1172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterBmymaprouter(config-if)#cryptomapmap-name在出口上應用cryptomap端到端IPSecVPN的配置步驟4測試并驗證IPSec是否正常工作_1顯示IKE策略

showcryptoisakmppolicy顯示IPSec變換集

showcryptoipsectransform-set顯示cryptomaps

showcryptomap端到端IPSecVPN的配置步驟4測試并驗證IPSec是否正常工作_2顯示IPSecSA的狀態(tài)

showcryptoipsecsadebugIPSec事件

debugcryptoipsecdebugISAKMP事件

debugcryptoisakmp端到端IPSecVPN的配置示例RouterA#showruncryptoisakmppolicy110hashmd5authenticationpre-sharecryptoisakmpkeycisco1234address172.30.2.2!cryptoipsectransform-setmineesp-des!cryptomapmymap10ipsec-isakmpsetpeer172.30.2.2settransform-setminematchaddress110!interfaceEthernet0/1ipaddress172.30.1.2255.255.255.0noipdirected-broadcastcryptomapmymap!access-list110permittcp10.0.1.00.0.0.25510.0.2.00.0.0.255E0/1172.30.1.2Site1Site2E0/1172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterBRouterB#showruncryptoisakmppolicy110hashmd5authenticationpre-sharecryptoisakmpkeycisco1234address172.30.1.2!cryptoipsectransform-setmineesp-des!cryptomapmymap10ipsec-isakmpsetpeer172.30.1.2settransform-setminematchaddress101!interfaceEthernet0/1ipaddress172.30.2.2255.255.255.0noipdirected-broadcastcryptomapmymap!access-list101permittcp10.0.2.00.0.0.25510.0.1.00.0.0.255目錄VPN簡介IPSecVPNBGP/MPLSVPNIPSec基礎端到端IPSecVPN的工作原理及配置EasyVPN（遠程接入VPN）的工作原理及配置BGP/MPLSVPN的工作原理BGP/MPLSVPN的配置示例EasyVPN的特點EasyVPNRemoteEasyVPNServer端到端模式下，兩端路由器都要進行較復雜的配置EasyVPN模式下，Remote只需要進行簡單的配置，其余大部分參數(shù)由Server端直接推送給它EasyVPN模式常用于用戶的遠程接入Remote可以是ciscovpnclient，server端可以是路由器，其IOS要求高于或等于12.2(8)T流程1--client向server發(fā)送IKEpolicyRemotePCwithEasyRemoteVPNClient3.xIOSrouter12.2(8)T

EasyVPNServerPolicy1,Policy2,Policy3EasyVPN由client觸發(fā)ciscovpnclient中內置了多個IKEpolicyclient觸發(fā)EasyVPN后，會把內置的IKEpolicy全部發(fā)送到server端流程2--server找到匹配的policyserver把client發(fā)送來的IKEpolicy與自己的policy相比較找到匹配值后成功建立IKESARemotePCwithEasyRemoteVPNClient3.xIOSrouter12.2(8)T

EasyVPNServerPolicy1檢查后發(fā)現(xiàn)policy1匹配流程3--server要client輸入用戶/口令RemotePCwithEasyRemoteVPNClient3.xIOSrouter12.2(8)T

EasyVPNServerUsername/passwordAAAcheckingUsername/passwordchallenge如果配置了擴展認證Xauth，server端將要求client端發(fā)送用戶名/口令進行身份認證配置Xauth將獲得更高的安全性，因此建議server端配置Xauth流程4--server向client推送參數(shù)RemotePCwithEasyRemoteVPNClient3.xIOSrouter12.2(8)T

EasyVPNServerClient請求配置參數(shù)Server推送配置參數(shù)身份認證通過后，client將向server請求其余的配置參數(shù)Server向client推送的參數(shù)至少要包含分配給client的IP地址流程5--server進行反向路由注入RemotePCwithEasyRemoteVPNClient3.xIOSrouter12.2(8)T

EasyVPNServer創(chuàng)建RRI靜態(tài)路由Server進行反向路由注入(ReverseRouteInjeciton，RRI)，為剛分配的client端IP地址產(chǎn)生一條靜態(tài)路由，以便正確地路由發(fā)送給client端的數(shù)據(jù)包流程6--建立IPSecSARemotePCwithEasyRemoteVPNClient3.xIOSrouter12.2(8)T

EasyVPNServer建立IPSecSAVPNtunnelClient收到配置參數(shù)，雙方建立IPSecSAEasyVPN在server端的配置步驟vpngate1創(chuàng)建IKE策略集，該策略集至少要能與vpnclient的一個內置策略集相匹配，以便在server和client之間建立IKESA定義要推送給client的組屬性，其中包含分配給client的地址池、pre-sharekey等定義IPSec變換集(只用于client觸發(fā)建立IPSecSA時，如果是server觸發(fā)建立IPSecSA就不需要使用)啟用DPD死亡對端檢測配置Xauth擴展認證把cryptomap應用到路由器端口上創(chuàng)建IKE策略集vpngate1(config)#cryptoisakmpenablevpngate1(config)#cryptoisakmppolicy1vpngate1(config-isakmp)#authenpre-sharevpngate1(config-isakmp)#encryption3desvpngate1(config-isakmp)#group2vpngate1(config-isakmp)#exitAuthen:PresharedkeysEncryption:3-DESDiffie-Hellman:Group2Othersettings:DefaultPolicy1vpngate1Ciscovpnclient內置的部分策略集DESMD5DH2Pre-share3DESMD5DH2Pre-share3DESSHADH2Pre-sharevpngate1定義分配給client的地址池router(config)#iplocalpool{default|pool-name

low-ip-address[high-ip-address]}vpngate1(config)#iplocalpoolremote-pool10.0.1.10010.0.1.150vpngate1Remoteclientremote-pool10.0.1.100to10.0.1.150Pool地址池中的地址將分配給client端定義推送給client的組屬性router(config)#cryptoisakmpclientconfigurationgroup{group-name|default}vpngate1(config)#cryptoisakmpclientconfigurationgroupvpngroup1vpngate1(config-isakmp-group)#keymyvpnkeyvpngate1(config-isakmp-group)#poolremote-poolKey:myvpnkeyPoolname:remote-poolGroup:vpngroup1vpngate1Remoteclient可定義多個組，每個組使用自己的pre-sharekey和地址池配置組屬性的查詢模式router(config)#aaaauthorizationnetworkgroup-namelocalgroupradiusvpngate1(config)#aaanew-modelvpngate1(config)#aaaauthorizationnetwork

vpn-remote-accesslocalvpngate1Remoteclientvpn-remote-accessGrouprouter(config)#aaanew-model定義查詢模式vpn-remote-access，表明是在路由器本地查詢把組屬性查詢模式與cryptomap關聯(lián)router(config)#cryptomapmap-nameisakmpauthorizationlistlist-namevpngate1(config)#cryptomapdynmapisakmpauthorizationlistvpn-remote-accessvpngate1Remoteclientvpn-remote-accessGroup配置路由器響應client的IP地址申請router(config)#cryptomapmap-nameclientconfigurationaddress{initiate|respond}vpngate1(config)#cryptomapdynmapclientconfigurationaddressrespondvpngate1Remoteclient創(chuàng)建IPSec變換集router(config)#cryptoipsectransform-settransform-set-name

transform1[transform2[transform3]]vpngate1(config)#cryptoipsectransform-setvpntransformesp-3desesp-sha-hmacvpngate1(cfg-crypto-trans)#exitvpntransformTransformsetnamevpngate1Remoteclient創(chuàng)建動態(tài)cryptomaprouter(config)#cryptodynamic-mapdynamic-map-name

dynamic-seq-numvpngate1(config)#cryptodynamic-mapmaptemplate1vpngate1(config-crypto-map)#settransform-setvpntransformvpngate1(config-crypto-map)#reverseroutevpngate1(config-crypto-map)#exitmaptemplate1Cryptomapname/sequence#vpngate1動態(tài)cryptomap與靜態(tài)cryptomap靜態(tài)cryptomap中要配置保護流量的ACL等EasyVPN模式下client的地址是變化的，定義保護流量的ACL比較困難，所以不適宜直接使用靜態(tài)cryptomap動態(tài)cryptomap中不需要配置全部參數(shù)，缺少的參數(shù)可以在后續(xù)動態(tài)地配置把動態(tài)map與靜態(tài)map相關聯(lián)router(config)#cryptomapmap-name

seq-numipsec-isakmpdynamicdynamic-map-namevpngate1(config)#cryptomapdynmap1

ipsec-isakmpdynamicmaptemplatevpngate1Remoteclientdynmap1Cryptomapname/sequence#啟用IKE的DPD死亡對端檢測vpngate1router(config)#cryptoisakmpkeepalivesecsretries

vpngate1(config)#cryptoisakmpkeepalive20101)DPDSend:Areyouthere?2)DPDReply:YesIamhere.2)DPDReply:YesIamhere.Secs:發(fā)送DPD消息的時間間隔，取值范圍是10-3600秒Retries:DPD失敗后隔多長時間重發(fā)，取值范圍是2-60秒啟用AAA登錄認證router(config)#aaaauthenticationloginlist-namemethod1[method2…]vpngate1(config)#aaaauthenticationloginvpnuserslocalvpngate1(config)#usernameuser1passwordpass1vpngate1(config)#usernameuser2passwordpass2vpngate1RemoteclientvpnusersVPNusergroup定義擴展認證Xauth的超時時間router(config)#cryptoisakmpxauthtimeoutsecondsvpngate1(config)#cryptoisakmpxauthtimeout20vpngate1RemoteclientvpnusersVPNusergroup20seconds把Xauth認證方式與cryptomap關聯(lián)router(config)#cryptomapmap-nameclientauthenticationlistlist-namevpngate1(config)#cryptomapdynmapclientauthenticationlistvpnusersvpngate1RemoteclientvpnusersVPNusergroupdynmap1Cryptomapname把cryptomap應用到路由器的端口vpngate1(config)#interfaceethernet0/1vpngate1(config-if)#cryptomapdynmapvpngate1(config-if)#exitdynmap1Cryptomapnamevpngate1Remotecliente0/1EasyVPN在client端的配置步驟1點擊“new”創(chuàng)建一個新條目EasyVPN在client端的配置步驟2設置EasyVPNserver的IP地址EasyVPN在client端的配置步驟3設置組名和對應的pre-sharekeyXauth擴展認證如果設置了Xauth擴展認證，在連接的過程中會提示輸入用戶名/口令連接成功后的狀態(tài)信息目錄VPN簡介IPSecVPNBGP/MPLSVPNIPSec基礎端到端IPSecVPN的工作原理及配置EasyVPN（遠程接入VPN）的工作原理及配置BGP/MPLSVPN的工作原理BGP/MPLSVPN的配置示例VPN中的角色CECECECEPEPEPP運營商網(wǎng)絡用戶網(wǎng)絡用戶網(wǎng)絡CE(CustomEdgeRouter)，用戶邊緣路由器，直接與運營商網(wǎng)絡相連PE(ProviderEdgeRouter)，運營商邊緣路由器，與CE相連，主要負責VPN業(yè)務的接入。P(ProviderRouter)：運營商核心路由器，主要完成路由和快速轉發(fā)功能。對IPSecVPN的回顧CECECECEPEPEPPIPSec隧道在CE與CE之間建立，需要用戶自己創(chuàng)建并維護VPNIPSecVPN的創(chuàng)建以及相關用戶路由的配置等都需要手工完成擴展不方便，如果用戶VPN網(wǎng)絡中新增一個節(jié)點，需要完成以下工作：1.在這個新增結點上建立與所有已存在的N個結點的隧道及相關的路由；2.對于已存在的N個結點，需要在每個結點上都建立一個與新增結點之間的隧道及相關的路由。VPN_AVPN_AVPN_BVPN_B10.1.0.010.1.0.010.3.0.010.3.0.0IPSecVPNtunnelVPN_A10.4.0.0BGP/MPLSVPN要達到的目標CECECECEPEPEPP隧道在PE與PE之間建立，用戶不需要自己維護VPN把VPN隧道的部署及路由發(fā)布變?yōu)閯討B(tài)實現(xiàn)VPN_AVPN_AVPN_BVPN_B10.1.0.010.1.0.010.3.0.010.3.0.0VPNtunnel要解決的主要問題CECECECEPEPEPP提供一種動態(tài)建立的隧道技術解決不同VPN共享相同地址空間的問題VPN_AVPN_AVPN_BVPN_B10.1.0.010.1.0.010.3.0.010.3.0.0MPLSBGPVPNtunnel動態(tài)隧道----MPLSMPLS與動態(tài)隧道MPLS（MultiProtocollabelSwitch，多協(xié)議標簽交換）是根據(jù)標簽對數(shù)據(jù)包進行轉發(fā)，因此在三層數(shù)據(jù)包中可以使用私有地址，從而形成了一種天然的隧道。MPLS標簽的分發(fā)可以通過LDP等協(xié)議動態(tài)完成，所以MPLS能夠提供動態(tài)的隧道。三層包頭MPLS標簽二層包頭MPLS包頭結構MPLS包頭通常有32Bit:20Bit用作標簽（Label）3個Bit的EXP,協(xié)議中沒有明確，通常用作COS1個Bit的S,用于標識是否是棧底，表明MPLS的標簽可以嵌套。理論上，標記?？梢詿o限嵌套，從而提供無限的業(yè)務支持能力。8個Bit的TTL2層頭部MPLS頭部IP頭部數(shù)據(jù)標簽EXPSTTL32Bit020232432MPLS標簽的生成1R1R2R3R4172.16.1/24路由器發(fā)現(xiàn)有直連路由時就會向外發(fā)送標簽172.16.1/24Label20In20MPLS標簽的生成2R1R2R3R4172.16.1/24路由器發(fā)現(xiàn)自己有直連路由時就會向外發(fā)送標簽收到下游到某條路由的標簽并且該路由生效（也就是說，在本地已經(jīng)存在該條路由，并且路由的下一跳和標簽的下一跳相同）時會發(fā)送標簽。172.16.1/24Label20In20172.16.1/24In20out20172.16.1/24In30out20Label30Label40Label50172.16.1/24out30MPLS標簽生成的要點R1R2R3R4172.16.1/24運行MPLS的路由器中必須同時運行普通路由協(xié)議通過標簽形成的路經(jīng)，與查找路由表形成的路徑是相同的In標簽是由本地路由器發(fā)給其他路由器的，Out標簽是由其他路由器發(fā)給自己的。172.16.1/24Label20In20172.16.1/24In20out20172.16.1/24In30out20Label30Label40Label50172.16.1/24out30MPLS數(shù)據(jù)包轉發(fā)R1R2R3R4172.16.1/24172.16.1/24In20172.16.1/24In30out20172.16.1/24out30172.16.1.21302172.16.1.2303172.16.1.2204172.16.1.2205172.16.1.26172.16.1.2MPLS的優(yōu)化1R1R2R3R4172.16.1/24172.16.1/24In20172.16.1/24In30out20172.16.1/24out30172.16.1.21302172.16.1.2303172.16.1.2204172.16.1.2205172.16.1.26172.16.1.2最后一跳路由器收到數(shù)據(jù)包后，并不需要進行標簽轉發(fā)，所做的只是去掉標簽，然后送交IP層。最好在倒數(shù)第二跳路由器就去掉標簽，直接把IP報文發(fā)送給最后一跳路由器。問題：路由器怎么知道自己是倒數(shù)第二跳？MPLS的優(yōu)化2R1R2R3R4172.16.1/24172.16.1/24In3172.16.1/24In30out3172.16.1/24out30172.16.1.21302172.16.1.2303172.16.1.24172.16.1.25172.16.1.2最后一跳路由器向倒數(shù)第二跳分配一個特殊的標簽3。路由器查看標簽轉發(fā)表，如果發(fā)現(xiàn)out標簽是3，就認為自己是倒數(shù)第二跳路由器。標簽分配方式（優(yōu)化前）標簽分配方式（優(yōu)化后）轉發(fā)方式(優(yōu)化前)轉發(fā)方式(優(yōu)化后)倒數(shù)第一跳隨機分配分配特定的標簽3標簽彈出，IP路由轉發(fā)IP路由轉發(fā)倒數(shù)第二跳隨機分配隨機分配標簽交換標簽彈出地址沖突----BGP地址沖突的細分CECECECEPEPEPP本地路由沖突問題，即在同一臺PE上如何區(qū)分不同VPN的相同路由。（PE發(fā)時）路由在網(wǎng)絡中的傳播問題，即在PE上接收到來自不同VPN的兩條相同路由時，如何進行辨別（PE收時）數(shù)據(jù)包的轉發(fā)問題，即使成功解決了路由表的沖突，但在PE接收到一個IP數(shù)據(jù)包時，怎么知道該發(fā)給那個VPN？因為IP數(shù)據(jù)包頭中唯一可用的信息就是目的地址，而很多VPN中都可能存在這個地址。VPN_AVPN_AVPN_BVPN_B10.1.0.010.1.0.010.3.0.010.3.0.0解決本地路由沖突的思路CECEPE在PE上同時維護多張相互獨立路由表一張全局路由表（公網(wǎng)路由表）為每個VPN建立一個路由表由于每個VPN使用自己獨立的路由表，因此可以有效地解決本地路由沖突。VPN_AVPN_B10.1.0.010.1.0.0GlobalRoutingTableVRFforVPN-AVRFforVPN-BVPNRoutingTableIGP&/orBGPVRFVRF(VPNRouting&ForwardingInstance，VPN路由轉發(fā)實例)可以看作虛擬的路由器，該虛擬路由器包括以下元素：一張獨立的路由表，從而包括了獨立的地址空間；一組歸屬于這個VRF的路由器接口的集合；一組只用于本VRF的路由協(xié)議。問題：VRF實現(xiàn)了不同VPN之間路由的隔離，這并不夠，如何實現(xiàn)VRF之間的路由發(fā)布和交互呢？RT（Routetarget）PE2PE1Vrf1：exportredimportredVrf2：exportyellowimportyellowVrf3：exportredimportredVrf4：exportyellowimportyellowVPN-AVPN-BRT的本質是每個VRF表達自己的路由取舍及喜好的方式，分為兩部分：exporttarget，表示發(fā)出路由的屬性importtarget，表示愿意接收什么路由RT的靈活應用每個VRF中都可以配置多個exporttarget和importtarget屬性，接收時采用“或”操作，從而實現(xiàn)靈活的VPN訪問控制總結：VRF作用：1、問題：如何在PE之間傳遞各VRF中的路由以及相應的RT？BGP的引入解決辦法：使用BGP路由協(xié)議BGP簡介AS100AS200AS300BGP是外部路由協(xié)議，用在自治系統(tǒng)AS之間傳遞路由信息，屬于增強型的距離矢量路由協(xié)議。BGP鄰居分為兩類：IBGP（同一個AS內的鄰居）和EBGP（不同AS間的鄰居）BGP鄰居之間通過TCP協(xié)議相連，因此可以在不直接相連的路由器間交換路由信息用BGP傳遞VPN路由的好處CECECECEPEPEPPVPN路由信息可以直接在PE之間傳遞，所以P路由器中不會包含任何VPN路由信息。VPN_AVPN_AVPN_BVPN_B10.1.0.010.1.0.010.3.0.010.3.0.0BGP連接BGP報文的種類Open:用于建立BGP鄰居關系，是BGP路由器之間的初始握手信息Keepalive:定期檢測BGP鄰居是否存活Update:發(fā)送路由更新信息Notification:檢測到差錯時發(fā)送該報文Update報文的格式不可達路由長度(2byte)不可達路由withdrawnroutes(變長)路由屬性長度(2byte)路由屬性(變長)可達路由信息NLRI(變長)不可達路由中不攜帶路由屬性，可達路由同時攜帶路由屬性一個update報文中可以攜帶多條不可達路由信息，可攜帶多條具有相同路由屬性的可達路由信息常見的路由屬性OriginAs-pathNext-hopCommunity:團體屬性，可用來對入路由和出路由進行過濾。Community:20:101Community:20:102只接收Community為20:102的路由R1R2R3RT的表示可以用擴展的community來表示RT，type字段為0x0002或者0x0102時是RT。Type（0x0002）

AS#（16bit）Value（32bit）Type（0x0102）IPaddress（32bit）Value（16bit）可見RT有兩種表示方法：AS:nn和ipaddress:nn。通常建議使用AS:nn表示法路由傳播的沖突問題CECECECEPEPE

RT屬于BGP的路由屬性，而在BGP的不可達路由信息中不包含路由屬性。所以在收到來自不同vpn、具有相同網(wǎng)段的不可達路由信息時，路由器將無法根據(jù)RT來分辨。VPN_AVPN_AVPN_BVPN_B10.1.0.010.1.0.010.3.0.010.3.0.010.3.0.0/1610.3.0.0/16問題：RT能否解決路由傳播的沖突問題？RD(RouteDistinguisher)每個VRF中分別配置一個標識，稱為RD。在PE發(fā)布VRF中的路由信息時，會在地址前面加上RD，以便接收方PE區(qū)分來自不同VRF的路由信息。RD的長度為8個字節(jié)，格式與RT相似。在IPv4地址前加上RD之后，就稱為VPN-IPv4地址族。RD的本質通常建議為一個VPN中的VRF都配置相同的RD，不同的VPN配置不同的RD。事實上分配RD只需遵循以下原則:保證存在相同地址的兩個VRF的RD不同。RD并不會影響不同VRF之間的路由選擇以及VPN的形成，這些事情由RT完成。PE與CE之間傳遞的是IPv4路由，PE與PE之間傳遞的是VPN-IPv4路由。數(shù)據(jù)包轉發(fā)的沖突問題解決本地路由和路由傳播的沖突問題后，如果一個PE的兩個VRF中同時存在10.1.0.0/16的路由，當接收到一個目的地址為10.1.0.1的數(shù)據(jù)包時，PE如何知道該把這個數(shù)據(jù)包發(fā)給與哪個VRF相連的CE？既然路由發(fā)布時已經(jīng)攜帶了RD，能否在發(fā)送數(shù)據(jù)包時也在地址前面加上RD呢？理論上可以，但是RD太長，會導致轉發(fā)效率的降低，所以只需要一個短小、定長的標記即可。由于公網(wǎng)的隧道已經(jīng)由MPLS來提供，而且MPLS支持多層標簽的嵌套，因此這個標記可定義成MPLS標簽的格式。對BGP的要求要求支持VPN-IPv4路由，而原有的BGP只支持IPv4路由。要求路由信息中包含私網(wǎng)MPLS標簽。BGP的多協(xié)議擴展----MP-BGPBGP增加了兩個擴展屬性MP_REACH_NLRI和MP_UNREACH_NLRI。使用了這兩種屬性的BGP稱為MP-BGPAddress-family:指明使用了VPN-IPV4地址族Next-hop:路由的下一跳地址Label:24bit，與MPLS標簽一樣，但沒有TTL字段Prefix:64bit的RD＋IP前綴MP_REACH_NLRI的結構BGP/MPLSVPN的關鍵流程CE與PE之間交換路由CECEPEPE維護獨立的路由表，包括公網(wǎng)和VRF路由表：公網(wǎng)路由表：包含全部PE和P路由器之間的路由，由骨干網(wǎng)IGP產(chǎn)生VRF路由表：包含本VPN內的路由信息。PE和CE通過標準的EBGP、OSPF、RIP或者靜態(tài)路由交換VRF路由信息VPN_AVPN_B10.1.0.010.1.0.0PE私網(wǎng)路由公網(wǎng)路由VRF路由注入MP-iBGPCE向PE發(fā)送的是標準IPv4路由，PE接收到路由后會進行以下操作：加上RD（RD為手工配置），變?yōu)橐粭lVPN-IPv4路由更改下一跳屬性為本PE的Loopback地址加上私網(wǎng)標簽（隨機自動生成，無需配置）加上RT屬性（RT需手工配置）發(fā)給所有的PE鄰居

MP-iBGPBGP,OSPF,RIPv2updatefor149.27.2.0/24,NH=CE-1VPN-v4update:

RD:1:27:149.27.2.0/24,Next-hop=PE-1

RT=VPN-A,Label=(28)CE1CE2PE1PE2149.27.2.0/24MP-iBGP路由注入VRFPE接收到MP-iBGP路由后，首先剝離RD成為IPv4路由，然后根據(jù)本地VRF的importRT屬性把路由加入到相應的VRF中，私網(wǎng)標簽保留，留做轉發(fā)時使用。通過本VRF的路由協(xié)議引入上述路由并轉發(fā)給相應的CE。

MP-iBGPBGP,OSPF,RIPv2updatefor149.27.2.0/24,NH=CE-1VPN-v4update:

RD:1:27:149.27.2.0/24,Next-hop=PE-1

RT=VPN-A,Label=(28)CE1CE2PE1PE2149.27.2.0/24BGP,OSPF,RIPv2updatefor149.27.2.0/24,NH=PE-2分配PE之間的公網(wǎng)標簽PE和P路由器通過骨干網(wǎng)IGP學習到BGP鄰居下一跳的地址通過運行LDP協(xié)議，分配標簽，建立標簽轉發(fā)通道標簽棧用于報文轉發(fā)，外層標簽用來指示如何到達BGP下一跳，內層標簽表示報文屬于哪個VRFMPLS節(jié)點轉發(fā)是基于外層標簽，而不管內層標簽是多少Prouter

InLabelFECOutLabel-197.26.15.1/32-InLabelFECOutLabel41

197.26.15.1/32

3

InLabelFECOutLabel

-

197.26.15.1/3241Uselabel3fordestination197.26.15.1/32Uselabel41fordestination197.26.15.1/32VPN-v4update:

RD:1:27:149.27.2.0/24,NH=197.26.15.1

RT=VPN-A,Label=(28)PE-1CE1149.27.2.0/24CE2數(shù)據(jù)包轉發(fā)－從CE到入口PECE將報文發(fā)給與其相連的VRF接口。PE在本VRF的路由表中進行查找，得到該路由的公網(wǎng)下一跳地址（即對端PE的Loopback地址）和私網(wǎng)標簽。將該報文封裝一層私網(wǎng)標簽后，在公網(wǎng)的標簽轉發(fā)表中查找下一跳地址，再封裝一層公網(wǎng)標簽，然后交給MPLS轉發(fā)。Prouter

InLabelFECOutLabel

-

197.26.15.1/3241PE-1CE1149.27.2.0/24CE2149.27.2.27VPN-AVRF

149.27.2.0/24,NH=197.26.15.1

Label=(28)2841149.27.2.27入口PE->出口PE->CE該報文在公網(wǎng)上沿著LSP轉發(fā)，并根據(jù)途徑的每一臺設備的標簽轉發(fā)表進行標簽交換。在倒數(shù)第二跳處，將外層的公網(wǎng)標簽彈出，交給目的PE。PE根據(jù)內層的私網(wǎng)標簽判斷該報文的出接口和下一跳。去掉私網(wǎng)標簽后，請報文轉發(fā)給相應的VRF中的CE。ProuterPE-1CE1149.27.2.0/24CE2149.27.2.27VPN-AVRF

149.27.2.0/24,NH=197.26.15.1

Label=(28)2841149.27.2.2728149.27.2.27InLabelFECOutLabel41

197.26.15.1/32

3InLabelFECOutL