分解試驗(yàn)指南version 2 0三年如一日版

-----現(xiàn)任明教教主2007.6.16目錄toLANP4P4ISAKMPP6IPSECP8PVSCryptoP3.IPSECOVERP4.GREOVERPPPP8.ISAKMPPP10.Redundancy（設(shè)備備份P11.RemoteP11.aISAKMPP11.bIPSECPPP1．LAN1．LANto通訊點(diǎn)：1.1.1.1/32------加密點(diǎn) 對(duì)端加密點(diǎn)的路由202.100.2.1（R1而言感流目的的路由（也就是對(duì)端通訊點(diǎn)）2.2.2.2/32（R1而言UDP/500IKEESPNAT-T（UDP/4500）202.100.2.1255.255.255.2552.2.2.2255.255.255.255202.100.1.1255.255.255.2551.1.1.1255.255.255.255Cryptoisapol10Cryptoisakeyciscoaddress202.100.2.1Cryptoisapol10CryptoisakeyciscoaddressHashDHGroup：Group1LifeTime：86400secondsCryptoipsectransform-settransesp-desesp-md5-hmacCryptoipsectransform-settransesp-desesp-md5-Ipaccess-listPermitiphost1.1.1.1hostIpaccess-listPermitiphost2.2.2.2hostCryptomapcrymap10ipsec-isaSettransform-settransSetpeer202.100.2.1MatchaddressCryptomapcrymap10ipsec-isaSettransform-settransSetpeer202.100.1.1MatchaddressInterfacee0/0CryptomapcrymapInterfacee0/0CryptomapcrymapDebugcryptoisaDebugcryptoipsec2.2.2.2so1.1.1.1re1001.b1.bISAKMPProfile(拓展學(xué)習(xí)|Iproute0.0.0.00.0.0.0Iproute0.0.0.00.0.0.0Cryptoisapol10Hashmd5CryptokeyringciscoPre-shared-keyaddress123.1.1.2key0ciscoCryptoisaprofileciscoMatchidentityaddress123.1.1.2KeyringciscoCryptoisapol10Hashmd5CryptokeyringciscoPre-shared-keyaddress123.1.1.1key0ciscoCryptoisaprofileciscoMatchidentityaddress123.1.1.1KeyringciscoCryptoipsectransform-settransesp-desesp-md5-hmacCryptoipsectransform-settransesp-desesp-md5-Ipaccess-listPermitiphost1.1.1.1hostIpaccess-listPermitiphost2.2.2.2hostCryptomapcrymap10ipsec-isaSettransform-settransSetpeer123.1.1.2MatchaddressSetisakmp-profileCryptomapcrymap10ipsec-isaSettransform-settransSetpeer123.1.1.1MatchaddressSetisakmp-profileInterfacee0/0CryptomapcrymapInterfacee0/0Cryptomapcrymap1.c1.cIPSECProfile(拓展學(xué)習(xí)|Step2:ISAKMP策略Cryptoisapol10Hashmd5CryptokeyringciscoPre-shared-keyaddress123.1.1.2key0ciscoCryptoisaprofileciscoMatchidentityaddress123.1.1.2KeyringciscoCryptoisapol10Hashmd5CryptokeyringciscoPre-shared-keyaddress123.1.1.1key0ciscoCryptoisaprofileciscoMatchidentityaddress123.1.1.1KeyringciscoCryptoipsectransform-settransesp-desesp-md5-hmacCryptoipsectransform-settransesp-desesp-md5-CryptoipsecprofileciscoSettransform-setciscoSetisakmp-profileciscoCryptoipsecprofileciscoSettransform-setciscoSetisakmp-profileciscoInterfacetunnelIpaddress192.168.1.1Tunnelmodeipsecipv4Tunnelsourcee1/0TunneldestinationTunnelprotectionipsecprofileciscoInterfacetunnelIpaddress192.168.1.2Tunnelmodeipsecipv4Tunnelsourcee0/0TunneldestinationTunnelprotectionipsecprofileRouterospfRouter-idNetwork1.1.1.10.0.0.0aNetwork192.168.1.00.0.0.255aRouterospfRouter-idNetwork2.2.2.20.0.0.0aNetwork192.168.1.00.0.0.255a1.d1.dMAP是有是不有是不是22VSCrypto決辦法，例如：中心是CISCO產(chǎn)品分支采用的是D-link產(chǎn)品，并且D-link沒有固定Iproute0.0.0.00.0.0.0Iproute0.0.0.00.0.0.0Cryptoisapol10Hashmd5Authenticationpre-Cryptoisakey0ciscoaddressCryptoisapol10Hashmd5Authenticationpre-Cryptoisakey0ciscoaddressCryptoipsectransform-settransesp-desesp-md5-Cryptoipsectransform-settransesp-desesp-md5-Ipaccess-listPermitiphost2.2.2.2hostCryptodynamic-mapcisco10Settransform-settransCryptomapcisco10ipsec-isadynamicCryptomapcisco10ipsec-isaSetpeer123.1.1.1SettrantransMatchaddressInterfacef0/0CryptomapciscoInterfacef0/0Cryptomapcisco1.1.1.1so2.2.2.2reIPSECOVERGRE工程中很少使用，本試驗(yàn)只是想通過分析IPSECOVER答：Ipsec不能夠支持加密二層和組播流量，這樣一個(gè)限制就意味著不能夠通過Ipsec運(yùn)行動(dòng)態(tài)路由協(xié)議。為了解決這個(gè)問題，我們采用了GRE，它能很好的封裝組播和二層協(xié)議，能夠?yàn)槲覀兊腎psec提供動(dòng)態(tài)路由協(xié)議的服務(wù)。但是這個(gè)限制到了12.4之后就消除了！Cisco在12.4引入了IpsecProfile的技術(shù)。InterfaceIpaddress172.16.1.1TunnelsoTunneldesInterfaceIpaddress172.16.1.2TunnelsoTunneldesRouterospfNetwork172.16.1.00.0.0.255aa0a0a0RouterospfNetwork172.16.1.00.0.0.255aa0a0a0Cryptoisapol10AuthpreCryptoisakey0ciscoaddressCryptoisapol10AuthpreCryptoisakey0ciscoaddressCryptoipsectranciscoesp-desesp-md5-hmacCryptoipsectranciscoesp-desesp-md5-Ipaccess-listPermithost1.1.1.1hostIpaccess-listPermithost4.4.4.4hostCryptomapcisco10ipsec-isaMatchaddressSettransSetpeer202.100.1.2Cryptomapcisco10ipsec-isaMatchaddressSettransSetpeerInterfaceCryptomapciscoInterfacefa0/0Cryptomapcisco<建議運(yùn)用，能夠未加密的感流進(jìn)入>InterfaceCryptomapciscoInterfacefa0/0Cryptomapcisco<建議運(yùn)用，能夠未加密的感流進(jìn)入 <原始包SIP:1.1.1.1查詢：路由表結(jié)果：送到Tunnel撞擊上Tunnel口上的map<匹配上感流SIP:202.100.1.1DIP:202.100.1.2ESPSIP:1.1.1.1加密后的新包繼續(xù)查詢:結(jié)果：送出物理口SIP:202.100.1.1DIP:202.100.1.2ESPSIP:1.1.1.1InterfaceloIpaddress11.1.1.1RouterospfNetwork11.1.1.10.0.0.0aInterfaceloIpaddress22.1.1.1RouterospfNetwork22.1.1.10.0.0.0aCryptoisapol10AuthpreCryptoisakey0ciscoaddress22.1.1.1Cryptoisapol10AuthpreCryptoisakey0ciscoaddressCryptoipsectranciscoesp-desesp-md5-hmacCryptoipsectranciscoesp-desesp-md5-Ipaccess-Permitiphost1.1.1.1hostIpaccess-Permitiphost4.4.4.4hostCryptomapciscolocal-addresslo100<改變更新源>Cryptomapcisco10ipsec-isaMatchaddressSettransciscoSetpeer22.1.1.1Cryptomapciscolocal-addresslo100<改變更新源>Cryptomapcisco10ipsec-isaMatchaddressSettransciscoSetpeerInterfacet0CryptomapciscoInterfacefa0/0CryptomapciscoInterfacet0CryptomapciscoInterfacefa0/0Cryptomapcisco <原始包SIP:1.1.1.1查詢：路由表結(jié)果：送到Tunnel撞擊上Tunnel口上的map<匹配上感流SIP:11.1.1.1DIP:22.1.1.1ESPSIP:1.1.1.1加密后的新包繼續(xù)查詢:結(jié)果：再次送出tunnelGRE封裝后的包再次查詢結(jié)果4．GRE4．GREOVERGREOverIPSEC這個(gè)技術(shù)同樣需要?jiǎng)?chuàng)建一個(gè)Tunnel，并且運(yùn)用Tunnel上的動(dòng)態(tài)3到6等等）當(dāng)它們穿越Tunnel都會(huì)被封裝成為如下格式：202.100.1.1DIP：202.100.1.2GRESIP:X.X.X.XDIPX是123,Y是456其次就算是在Tunnel口上運(yùn)行的動(dòng)態(tài)路由協(xié)議也表現(xiàn)出以202.100.1.1為源202.100.1.2為目的GRE的流量，所以按照這樣的分析，我們只需要?jiǎng)?chuàng)建一個(gè)IPSEC以202.100.1.1到202.100.1.2的GRE為感流，這樣所有的穿越tunnel的流量和動(dòng)態(tài)路由協(xié)議都得到了保護(hù)，并且我們只需要寫一條感流，這就是我們的GREOVER第一個(gè)傳輸模式的IPSEC，我們講課的時(shí)候說道只要加密點(diǎn)和通訊點(diǎn)相等就可以成為傳輸模式，那么我們來看看這個(gè)GREOVERIPSEC的加密點(diǎn)和通訊點(diǎn)。加密點(diǎn):Site1Site2202.100.1.1202.100.1.2GRE流量（千萬不要認(rèn)為是X到Y(jié)的流GREOVERIPSEC最終封裝包接口（傳輸模式）SIP：202.100.1.1DIP：202.100.1.2ESPGREX.X.X.XIPSECOVERGREIPSECOVER GREOVER 感 GREOVERIPSEC適用于，分支和中心都有固定IP地址的情況，并且中心和分然現(xiàn)在使用IPSECProfile技術(shù)來替代GREOVERIPSEC也是一個(gè)不錯(cuò)的選擇，如果分支InterfaceIpaddress172.16.1.1TunnelsoTunneldesInterfaceIpaddress172.16.1.2TunnelsoTunneldesRouterospfNetwork172.16.1.00.0.0.255aa0a0a0RouterospfNetwork172.16.1.00.0.0.255aa0a0a0Cryptoisapol10AuthpreCryptoisakey0ciscoaddress202.100.1.2Site2：Cryptoisapol10AuthCryptoisakey0ciscoaddressCryptoipsectranciscoesp-desesp-md5-hmacModetransportCryptoipsectranciscoesp-desesp-md5-hmacModetransportIpaccess-listPermitgrehost202.100.1.1host202.100.1.2Site2：Ipaccess-listexPermitgrehost202.100.1.2hostCryptomapcisco10ipsec-isaMatchaddressSettransSetpeer202.100.1.2Cryptomapcisco10ipsec-isaMatchaddressSettransSetpeerInterfacefa0/0CryptomapciscoInterfacefa0/0Cryptomapcisco 在IOS12.2(13)T以后Cisco對(duì)GREOVERIPSEC的配置做出了調(diào)整，通過一個(gè)ipsec配置，所以下邊的演示配置里邊省略了ISAKMP相關(guān)令。cryptoipsectransform-setciscoesp-desesp-md5-hmacmodetransportcryptoipsecprofileciscosettransform-setcryptoipsectransform-setciscoesp-desesp-md5-hmacmodetransportcryptoipsecprofileciscosettransform-setinterfacetutunnelprotectionipsecprofileinterfacetutunnelprotectionipsecprofile趣流和PEER都隱含定義了。既然在tunnel口上運(yùn)用tunnelprotection，那么我們保護(hù)的不就是兩個(gè)tunnel之間的gre流量嗎？不就是grehost202.100.1.1host202.100.1.2嗎？所以說感流是有的而且和crymap配置里邊的一樣，PEER又在哪下邊的設(shè)置一樣！所以使用ipsecprofile和使用cryptomap在功能上沒有任何區(qū)別，并且配置起來更靈活更簡單，也能夠運(yùn)用在一些特殊的里邊，例如：DM 的PAT穿越技術(shù)很多，大家可以參閱PIXNAT-T技術(shù)，ASA能夠支持三種NAT穿越技術(shù)（IPSECOVERUDPIPSECOVERTCPNAT-T）,通過nocryptoipsecnat-transparencyudp-encapsulation這個(gè)命令來關(guān)掉這個(gè)默認(rèn)cryptoisakmp10hashmd5authenticationpre-cryptoisakmpkeyciscoaddresscryptoipsectransform-setciscoesp-desesp-md5-hmaccryptomapcisco10ipsec-isakmpsetpeer202.100.1.1settransform-setciscomatchaddressinterfaceipaddress1.1.1.1interfaceipaddress202.100.1.10cryptomapiproute0.0.0.00.0.0.0ipaccess-listpermitiphost1.1.1.1hostcryptoisakmp10hashmd5authenticationpre-cryptoisakmpkeyciscoaddresscryptoipsectransform-setciscoesp-desesp-md5-cryptomapcisco10ipsec-isakmpsetpeer202.100.1.10settransform-setciscomatchaddressinterfaceipaddress2.2.2.2interfaceipaddress192.168.1.10cryptomapiproute0.0.0.00.0.0.0ipaccess-listpermitiphost2.2.2.2host在這種預(yù)配置的情況下，Inside觸發(fā)的流量(1.1.1.1so2.2.2.2)，可以建立IPSECSA，但是無法實(shí)現(xiàn)正常通訊，因?yàn)檫@個(gè)時(shí)候IPSECSA使用的是TUNNEL模式，用ESP進(jìn)行封裝，無法穿越中間的PIXPAT。我們打開cryptoipsecnat-transparency是不可以通的，但是先由Inside觸發(fā)1.1.1.1so2.2.2.2后,Outside就可以了。這個(gè)時(shí)候我們?cè)赑IX做如下配置，讓Outside能夠初始化發(fā)起2.2.2.2Static(inside,outside)udpinterface500192.168.1.10Static(inside,outside)udpinterface4500192.168.1.10Access-listoutpermitudphost202.100.1.10host202.100.1.1eq500Access-listoutpermitudphost202.100.1.10host202.100.1.1eqAccess-groupoutininterface但是這樣的HA的設(shè)計(jì)引入了內(nèi)部server的路由問題，當(dāng)remote撥入到GW1的時(shí)候Server要通過GW1來抵達(dá)remote（地址池的地址GW1不能抵達(dá)，remote撥到了GW2，這個(gè)時(shí)候server需要通過GW2來抵達(dá)remote。 造成內(nèi)部路由的。Iproute 目 > 下一 iproute<ipsecsa 流的目的><ipsecsa的我們通過一個(gè)試驗(yàn)來演示RRI的基本功能，還有在12.3和12.4RRIcryptoisakmp10cryptoisakmpkeyciscoaddresscryptoipsectransform-setciscoesp-desesp-md5-hmaccryptomapcisco10ipsec-isakmpsetpeer202.100.2.10settransform-setciscomatchaddressinterfaceipaddress1.1.1.1interfaceipaddress202.100.1.10cryptomapipaccess-listpermitiphost1.1.1.1hostcryptoisakmp10cryptoisakmpkeyciscoaddresscryptoipsectransform-setciscoesp-desesp-md5-hmaccryptomapcisco10ipsec-isakmpsetpeer202.100.1.10settransform-setciscomatchaddressinterfaceipaddress2.2.2.2interfaceipaddress202.100.2.10cryptomapipaccess-listpermitiphost2.2.2.2hostIproute202.100.2.10255.255.255.255Iproute202.100.1.10255.255.255.255這個(gè)時(shí)候我們分別在R1和R2的cryptomap下邊打上reverse-route,然后showiproute來看看區(qū)別！<現(xiàn)在我們還沒有建立IPSEC>showiprouteShowiprouteS1.1.1.1[1/0]via知道對(duì)方的通訊點(diǎn)（access-list的目的這兩個(gè)條件在我們靜態(tài)配置的cryptomap里邊都有體現(xiàn)，所以12.3的R2就按照RRI的產(chǎn)生格式產(chǎn)生了一條靜態(tài)路由，目的是1.1.1.1（access-list的目的）下一條是RRI，動(dòng)態(tài)MAP因?yàn)樵谂渲美镞厸]有感流也沒有PEER，所以只有當(dāng)IPSEC建立以后才能產(chǎn)生RRI（在建立的過程中協(xié)商出來了感流和PEER）。生RRI，所以我們?cè)赗1上敲上reverse-route,也沒有靜態(tài)路由產(chǎn)生。如果你想像以前好了我們?cè)賮砜紤]一下另外一個(gè)問題，RRI的主要目的是什么？RRIRRI產(chǎn)生的靜態(tài)路由在ACLroute-map在路由進(jìn)程下調(diào)用來控制哪些路由可以重分布進(jìn)入這個(gè)路由協(xié)議。這個(gè)時(shí)候問題出現(xiàn)了，撥號(hào)往往產(chǎn)生的都是2位主機(jī)路由，用AL匹配起來非常不方便，為了解決這個(gè)問題Ciso在12.4里邊提出了一個(gè)新的特性。我們現(xiàn)在通過試驗(yàn)給大家演示一下。crymapcisco10reverse-routetag10R1#shiproute2.2.2.2Routingentryfor2.2.2.2/32Knownvia"static",distance1,metric0Tag10RoutingDescriptor*Routemetricis0,trafficsharecountis1Routetag10里邊只需要matchtag10就可以匹配上RRI產(chǎn)生的所有路由了，減少了寫ACL的Ipsec由兩個(gè)協(xié)議組成，第一階段和第二階段協(xié)商所使用的UDP/ISAKMP，具體Ipsec的流量，只需要放行加密點(diǎn)之間的ISAKMP和ESP的流量。實(shí)際配置如下:ipaccess-listextendedpermitudphost202.100.1.10eqisakmphost202.100.2.10eqisakmppermitesphost202.100.1.10host202.100.2.10encapsulationdot1Q2ipaddress202.100.1.1ipaccess-groupcontrol是12.3(10a)，R2的版本是12.4(1c)，在12.3(8)T之前入方向ACL如下圖：首先檢測(cè)是否是明文的感流（reversecryptomap檢測(cè)物理接口in方向的ACL（這個(gè)時(shí)候我們需要放行ISAKMP和 首先檢測(cè)是否是加密感然后查詢物理口out方向如果是感流就加按照這種處理包的方法，如果我們只想允許2.2.2.2來net1.1.1.1。那么ipaccess-listextendedpermitudphost202.100.2.10host202.100.1.10eqisakmppermitesphost202.100.2.10host202.100.1.10permittcphost2.2.2.2host1.1.1.1eqnetinterfaceEthernet0/0ipaddress202.100.1.10ipaccess-groupcontrol首先檢測(cè)是否是明文的感流（reversecryptomap檢測(cè)物理接口in方向的ACL（這個(gè)時(shí)候我們需要放行ISAKMP和后的明文查詢cryptomap下邊設(shè)置的ACL（這個(gè)ACL只對(duì)后流量進(jìn)行處首先檢測(cè)是否是加密感如果不是感流，就直接送到物理接口的out方向ACL去檢如果是感流，就查詢cryptomap下邊的out方向ACL（只對(duì)加密流量進(jìn)行檢按照這種處理包的方法，如果我們只想允許1.1.1.1來net2.2.2.2。那么ipaccess-listextendedpermitudphost202.100.1.10host202.100.2.10eqisakmppermitesphost202.100.1.10host202.100.2.10ipaccess-listextendedpermittcphost1.1.1.1host2.2.2.2eqnetcryptomapcisco10ipsec-isakmpinterfaceipaddress202.100.2.10ipaccess-groupcontrol例如remote,要讓remote正常通訊，我們需要在物理接口上放行地址池到身后以以地址池為源直接穿越ACL身后網(wǎng)絡(luò)。這個(gè)問題在staticmap的上不會(huì)存在，因?yàn)槲覀冊(cè)趇n方向ACL上放行的都是反向的感流（reversecryptomapACL），如果問題呢？答案是dynamicmap在沒有建立ipsec 之前是沒有感流，所以不能按照MAP的處理機(jī)制來丟棄包！所以的明文流量可以正常的穿越我們的ACL。8．ISAKMP8．ISAKMPISAKMPKeepalive這個(gè)特性的主要目的是探測(cè)當(dāng)前IPSECSA的可用性，前面我們講到的各種IPSEC都沒有啟用這樣一個(gè)特性，我們以拓?fù)鋱D所示的L2L為例，當(dāng)中間設(shè)備（Internet）出現(xiàn)問題，那么我們以前建立的IPSECSA就成為了一個(gè)黑洞，因?yàn)镮ni和Res并不知道中間設(shè)備出現(xiàn)了問題，在IPSECSA超時(shí)之前（1個(gè)小時(shí)）他們會(huì)繼續(xù)通過IPSECSA加密數(shù)據(jù)，因?yàn)橹虚g設(shè)備的問題也送不到對(duì)端，你會(huì)發(fā)現(xiàn)一邊有加密的數(shù)據(jù)包，另一邊卻收不到。這個(gè)時(shí)候就是我們的ISAKMPKeepalive機(jī)制發(fā)揮作用的 設(shè)備會(huì)清除掉第一階段的ISAKMPSA和第二階段的IPSECSA，IPSECSA所制造的黑洞了，并且我們還可以利用后邊要講到的HA和Redun和另外一個(gè)備份設(shè)備建立另一個(gè)IPSECSA，保證流量正常的通訊，實(shí)現(xiàn)IPSEC的高可用性?？梢赃@么說ISAKMPKeepalive這個(gè)機(jī)制是高可用的基礎(chǔ)。ISAKMPKeepalive有兩種發(fā)包機(jī)制，一種是周期性的（periodic）設(shè)備會(huì)清除掉現(xiàn)有的ISAKMPSA和IPSECSA。配置這個(gè)keepalive也很簡單，通過如下的Cryptoisakmpkeepalive10有它自己的好處，它能夠很快的發(fā)現(xiàn)DeadPeer，但是它卻消耗了過多的資源，如果我們IPSECSA是好的，那么我們就無謂的消耗了帶寬和CPU資源。為了更加節(jié)約資源，我們講講另外一種發(fā)送機(jī)制就是（on-demand）,首先我們來說說怎么樣的IPSECSA是好會(huì)出現(xiàn)這種的現(xiàn)象，但是正常情況都應(yīng)該既有加密又有的，所以on-demandkeepalive就利用了這種思想，如果我既能加密又能，那么我就沒有必要發(fā)送DPD認(rèn)的機(jī)制就是on-demand的，我們要啟用這個(gè)機(jī)制可以通過下邊令。Cryptoisakmpkeepalive上面命令的作用是當(dāng)本端IPSECSA加密數(shù)據(jù)包發(fā)出10秒以內(nèi)沒有收到返回 這個(gè)技術(shù)提供了IPSEC的高可用性，我們通過拓?fù)鋱D來分析一下這個(gè)。模擬了一個(gè)分支機(jī)構(gòu)，地址可能是動(dòng)態(tài)獲得的。ActiveStandbyInside這三個(gè)設(shè)備模擬了公司中心網(wǎng)絡(luò)，這個(gè)公司有兩個(gè)SP的撥入點(diǎn)，Active為主撥入點(diǎn)，正常情況通過ActiveInside，如果SP1鏈路出現(xiàn)問題，還能通過SP2的這個(gè)試驗(yàn)的通訊點(diǎn)為的Lo0(1.1.1.1)到Inside（2.2.2.4）的流量，為了讓這個(gè)正常的工作，除了HA這個(gè)特性以外我們還引入了RRI和DPD機(jī)制，前面：Cryptoisapol10AuthpreHashCryptoisakey0ciscoadd202.100.1.2Cryptoisakey0ciscoadd61.128.128.3Cryptoisakeepalive10periodicCryptoisapol10AuthpreHashCryptoisakey0ciscoadd10.1.1.1Cryptoisakeepalive10periodicCryptoisapol10AuthpreHashCryptoisakey0ciscoadd10.1.1.1Cryptoisakeepalive10periodic：Cryptoipsectransform-setciscoesp-desesp-md5-hmacIpaccess-listextendedPermitiphost1.1.1.1host2.2.2.4Cryptoipsectransform-setciscoesp-desesp-md5-hmacCryptoipsectransform-setciscoesp-desesp-md5-：Cryptomapcisco10ipsec-Setpeer202.100.1.2 <寫面的是主撥入點(diǎn)Active>Setpeer61.128.128.3 SettransciscoMatchCryptodynciscoSettransReverse-routetagCryptomapcisco10ipsec-isadynciscoCryptodyncisco10SettransReverse-routetagCryptomapcisco10ipsec-isadyn：Interfacefa0/0CrymapciscoInterfacefa1/0CrymapciscoInterfacefa2/0CrymapciscoRoute-maps2opermit10Matchtag10RouterospfRedistributestaticsubnetsroute-maps2oNetwork2.2.2.00.0.0.255area0Route-maps2opermit10Matchtag10RouterospfRedistributestaticsubnetsroute-maps2oNetwork2.2.2.00.0.0.255area0RouterospfNetwork2.2.2.00.0.0.255area 這個(gè)技術(shù)和HA的一樣提供了IPSEC的高可用性，但是HA提供的是鏈路備份，Redundancy提供的是設(shè)備備份。并且Redundancy利用了HSRP技術(shù)，Active和Standby在一個(gè)網(wǎng)絡(luò)里邊（202.100.2.0/24）,通過HSRP虛擬了一個(gè)IP地址202.100.2.100,和202.100.2.100這個(gè)地址建立IPSEC，對(duì)于而言中這個(gè)技術(shù)和HA一樣使用了RRI和DPD技術(shù)，但是Redundancy有一個(gè)非常好的特點(diǎn)就是我們可以使用reverse-routestatic這個(gè)命令，按照我們對(duì)reverse-routestatic的理解，只要在staticcryptomap的上敲reverse-routestatic就會(huì)產(chǎn)生一條靜態(tài)路由，但是在Redundancy的環(huán)境下僅僅只有HSRP為Active（HSRP位Active）送包。所以我們可以使用Redundancy這個(gè)技術(shù)由Inside主動(dòng)發(fā)起IPSEC，當(dāng)然：Cryptoisapol10AuthpreHashCryptoisakey0ciscoadd202.100.2.100<HRSP地址>Cryptoisakeepalive10periodicCryptoisapol10AuthpreHashCryptoisakey0ciscoadd202.100.1.1Cryptoisakeepalive10periodicCryptoisapol10AuthpreHashCryptoisakey0ciscoadd202.100.1.1Cryptoisakeepalive10periodic：Cryptoipsectransform-setciscoesp-desesp-md5-hmacIpaccess-listextendedPermitiphost1.1.1.1host2.2.2.10Cryptoipsectransform-setciscoesp-desesp-md5-hmacIpaccess-listextendedPermitiphost2.2.2.10host1.1.1.1Cryptoipsectransform-setciscoesp-desesp-md5-hmacIpaccess-listextendedPermitiphost2.2.2.10host：Cryptomapcisco10ipsec-Setpeer202.100.2.100<HRSPSettransciscoMatchaddressCryptomapcisco10ipsec-isaSetpeer202.100.1.1SettransciscoMatchaddressReverse-routetag10staticCryptomapcisco10ipsec-isaSetpeer202.100.1.1SettransciscoMatchaddressReverse-routetag10InterfaceStandby1ipStandby1priorityStandby1preemptStandby1namecollinsInterfaceStandby1ipStandby1preemptStandby1namecollins：Interfacefa0/0CryptomapciscoInterfaceCryptomapciscoredundancycollinsInterfaceCryptomapciscoredundancyRoute-maps2opermit10Matchtag10RouterospfRedistributestaticsubnetsroute-maps2oNetwork2.2.2.00.0.0.255area0Route-maps2opermit10Matchtag10RouterospfRedistributestaticsubnetsroute-maps2oNetwork2.2.2.00.0.0.255area0RouterospfNetwork2.2.2.00.0.0.255areaaaISAKMP 和RSA-SIG（），認(rèn)證方式的不同決定了Remote第一階段模式的不同，如果選的時(shí)候需要在雙方配置策略，但是你會(huì)奇怪的發(fā)現(xiàn)我們配置的時(shí)候，沒有配置任何策略，難道就沒有策略了嗎？Cisco為了提高的易用性，省去了客戶邊任意選擇一個(gè)就可以了，在常見的用預(yù)共享密鑰認(rèn)證的策略里邊DH都是采用Group2PreG2MD5Des|PreG2SHA3des等，如果你對(duì)客戶端內(nèi)建的策略感，可以在客戶撥號(hào)的時(shí)候在Router上debugcryRemote第一階段還有最后一個(gè)問題需要解釋一下，做過L2L都知道在L2LRemote一個(gè)簡單的KEY變成了一個(gè)group和一個(gè)key的組合，為什么有這個(gè)變化呢？Split等等。當(dāng)然Mode-Config技術(shù)我們同樣可以啟用AAA技術(shù)，我們可以選擇本地是同樣不需要配置策略，也是客戶端內(nèi)建了策略。一般采用esp-desesp-md5-hmac或者esp-3desesp-md5-hamc都是沒有問題的。Cryptoisapol10Authpre-shareGroup2HashCryptoisakmpconfiggroupipsecgroup<認(rèn)證的Group+Key>KeyciscoAaaAaaauthenticationloginnoacslinenoneLinecon0Loginauthennoacs<保證任何時(shí)候都可以console>Lineaux0LoginauthenAaaauthenticationloginremotelocal<Xauth用本地?cái)?shù)據(jù)庫認(rèn)證>UsernameremotepasswordciscoAaaauthorizationnetworkremotelocal<策略使用本地?cái)?shù)據(jù)庫>Iplocalpoolippool123.1.1.100123.1.1.200CryptoisakmpconfiggroupCryptoisaprofileMatchidentitygroupipsecgroupconfigurationaddressrespondauthenticationlistremoteIsakmpauthorizationlistremote答：用這個(gè)技術(shù)可以消除掉老的全局命令，這樣Remote的配置不會(huì)影響到在同一個(gè)Router上的其它類型的，是多類型在同一個(gè)Cryptoipsectransciscoesp-desesp-md5-hmacCryptodynamiccisco10SettransSetisakmp-profileciscoCryptomapcisco10ipsec-isadynamicciscoInterfacefa0/0Crymap

GroupGroupConnection bbIPSECProfile(拓展學(xué)習(xí)|正常的Remote非常建議大家使用isakmpprofile的配置方法，IpsecProfile這種配置方法的Remote適用于使用tunneleverything，并且希望通過中心站點(diǎn)繼續(xù)互聯(lián)網(wǎng)的情況。我們都知道正常配置的Remote是沒有接口的，所以當(dāng)你撥號(hào)到中心站點(diǎn)后沒有辦法通過正常的PAT轉(zhuǎn)換互聯(lián)網(wǎng)，原因很簡單，因?yàn)闆]有接口所以敲不上Ipnatinside，不能夠做PAT自然也就不能互聯(lián)網(wǎng)了。IpsecProfile這配置Ipnatinside就能夠?yàn)橛脩糇鱌AT并且互聯(lián)網(wǎng)了。Ipaccess-listexPermitiphost1.1.1.1Ipnatinsidesourcelistnatinterfacee1/0InterIpnatoutsideInterlo0IpnatCryptoisapol10Authpre-shareGroup2HashCryptoisakmpconfiggroupipsecgroupKeyciscoAaaAaaauthenticationloginnoacslinenoneLinecon0LoginauthennoacsLineaux0LoginauthenAaaauthenticationloginremotelocalUsernameremotepasswordciscoAaaauthorizationnetworkremoteIplocalpoolcciepool123.1.1.100123.1.1.200CryptoisakmpconfiggroupipsecgroupPoolCryptoisaprofileMatchidentitygroupipsecgroupconfigurationaddressrespondauthenticationlistremoteIsakmpauthorizationlistremoteCryptoipsectransciscoesp-desesp-md5-hmacCryptoipsecprofileciscoSettransSetisakmp-profileInterfacevirtual-temte100typetunnelIpunnumberede1/0Tunnelsourcee1/0Tunnelmodeipsecipv4TunnelprotectipsecprofileciscoIpnatinsideIpaccess-listexPermitip123.1.1.00.0.0.2555denyiphost1.1.1.1123.1.1.00.0.0.255<內(nèi)部不轉(zhuǎn)換CiscoRemote ，我們面的Remote 里邊看到了Remote的配置非 Router上，中心還是一個(gè)完整的Remote配置，中心可是一點(diǎn)都不easy啊。EZ主要適用于一些小型站點(diǎn)，例如：小超市，小的服裝專賣店，或者點(diǎn)，么動(dòng)態(tài)路由協(xié)議，并且客戶端人員基本就不懂任何知識(shí)，這樣的網(wǎng)絡(luò)非常適合EZ.IN默認(rèn)路由指向10.1.1.1，EZ.C默認(rèn)路由指向202.100.1.100，GW默認(rèn)路由指向202.100.2.100,GW.IN默認(rèn)路由指向192.168.1.1。GW已經(jīng)配置了最基本的Cryptoipsec cisco<定義一個(gè)EZ的名字Groupipsecgroupkeycisco<第一階段認(rèn)證用的Group+KEY>Mode<如果想使用網(wǎng)絡(luò)擴(kuò)展模式使用network-exten關(guān)鍵字>Peer202.100.2.1<撥入網(wǎng)關(guān)地址，也可以是>Interfacefa0/0Cryipsecez ciscoinsideInterfacefa1/0<外部接口運(yùn)用>Cryipsec cisco 我們通過上面兩個(gè)拓?fù)鋱D來分析一下普通IPSEC在高擴(kuò)展性上面的問題，首先我們來分析一下一號(hào)圖，這是一個(gè)hubspoke的拓?fù)浣Y(jié)構(gòu)，所有的分支機(jī)構(gòu)都通過中分支到中心<一次加中心到另一個(gè)分支<第二次加第二張是一個(gè)fullmesh的拓?fù)鋱D，所有分支機(jī)構(gòu)之間都有直接連接，很明顯的每一個(gè)分支站點(diǎn)都要擁有固定IP地址。這樣的要求對(duì)于一些小的分支機(jī)構(gòu)，只有1800 3.IPSECARP技術(shù)，同樣的MGRE里邊也需要這樣一個(gè)機(jī)制，只是FRMAP里邊是