经典站点到站点IPSec VPN

  本次以下面的拓扑图来讲解经典的站点到站点IPSec VPN配置.R1模拟公司站点一内部路由器.R2为公司站点一接入Internet路由器.R3模式互联网路由器.R4模拟公司站点二路由器.R2和R4是两个VPN站点连接互联网的网关路由器,同时它们也是IPSec VPN的加密设备.

  需求:在R2和R4之间建立隧道模式的IPSec VPN保护通信网络之间的流量.

一.基本IP地址配置

R1上的基本IP配置

interface Loopback0
 ip address 1.1.1.1 255.255.255.0
!
interface Ethernet0/0
 ip address 10.1.1.10 255.255.255.0
 duplex auto

R2上的基本IP配置

interface Ethernet0/0
 ip address 10.1.1.1 255.255.255.0
 duplex auto
!
interface Ethernet0/1
 ip address 202.100.1.1 255.255.255.0
 duplex auto

R3上的基本IP配置

interface Ethernet0/1
 ip address 202.100.1.10 255.255.255.0
 duplex auto
!
interface Ethernet0/2
 ip address 61.128.1.10 255.255.255.0
 duplex auto

R4上的基本IP配置

interface Loopback0
 ip address 2.2.2.2 255.255.255.0
!
interface Ethernet0/0
 no ip address
 shutdown
 duplex auto
!
interface Ethernet0/1
 no ip address
 duplex auto
!
interface Ethernet0/2
 ip address 61.128.1.1 255.255.255.0
 duplex auto

 

二.VPN路由分析

   上面只是对所有路由器的IP地址进行了配置,并没有配置任何路由。应该说中路由在整个IPSec VPN配置中占有非常重要的地们。如果没有解决好路由问题,IPSec VPN就会在建立隧道加密感兴趣流的时候出现 问题。可以这样说,IPSec VPN只是路由技术的一种拓展,是对原有网络技术的一种延伸,可以所原有的网络蔓延到各个角落 ,比如分支公司、员工家中等。借用Cisco对IPSec VPN技术的一个广告语“无边界网络”,这就理能说明VPN技术和传统路由技术之间的关系。既然路由问题这么重要,我们就需要好好讨论与IPSec VPN相关的路由问题。

R1上的路由配置

ip route 2.2.2.0 255.255.255.0 10.1.1.1
解决远端难信点路由

R2上的路由配置

解决本地通信点路由
ip route 1.1.1.0 255.255.255.0 10.1.1.10

解决远端通信点路由
ip route 2.2.2.0 255.255.255.0 202.100.1.10

解决远端加密点路由
ip route 61.128.1.0 255.255.255.0 202.100.1.10

R3上有两个加密点的直连路由,不需要配置路由

R4上的路由配置

本地通信点2.2.2.2/24为直连路由,不需配置

解决远端通信点路由
ip route 1.1.1.0 255.255.255.0 61.128.1.10

解决远端加密点路由
ip route 202.100.1.0 255.255.255.0 61.128.1.10

R2上为什么要配去往2.2.2.0/24的路由?ip route 2.2.2.0 255.255.255.0 202.100.1.10

 

三、IPSec VPN的经典配置

R2上的配置

配置IKE第一阶段策略

crypto isakmp policy 10

<IKE数据包加密算法使用3DES,默认为DES>
 encr 3des

<IKE数据包完整性检验的散列算法使用MD5,默认为SHA-1>
 hash md5

<IKET第一个阶段5-6包,认证方式为预共享密钥认证,默认为数字签名认证>
 authentication pre-share

<IKET第一个阶段3-4包,DH交换使用Group2,默认为Group1>
 group 2

<IKET第一个阶段5-6包,认证方式为预共享密钥为L2Lkey,这个key仅仅用于认证,加密数据使用的密钥是3-4包DH产生的随机密钥>
crypto isakmp key L2Lkey address 61.128.1.1
!

配置IKE第二阶段策略

1、配置感兴趣流
ip access-list extended vpn
 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
<满足感兴趣流的数据会被加密,也就是通信点之间的流量>

2、配置IPSec策略(转换集)
crypto ipsec transform-set Trans esp-des esp-md5-hmac
<转换具体数据的策略,名字叫Trans,封装使用用esp,加密使用des,完整性校验使用md5-hmac>

 mode tunnel<默认隧道模式>

3、配置Crypto map(第二阶段策略汇总)

crypto map cry-map 10 ipsec-isakmp
<一个ID“10”标识一个vpn, 一个map可以配置多个ID,一个接口只能运用一个map>

 set peer 61.128.1.1
<设置和哪一个设备建立vpn>

 set transform-set Trans
<设置转换数据的策略>

 match address vpn
<匹配感兴趣流,通信点之间的流量>

4、将Crypto map应用到接口

interface Ethernet0/1
 crypto map cry-map




R4上的配置

crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key L2Lkey address 202.100.1.1
<L2Lkey用于认证,双方必须相同>
!
!
crypto ipsec transform-set cisco esp-des esp-md5-hmac
 mode tunnel
< 转换集名字本地有效,无需和R2 相同>
!
!
!
crypto map cisco 10 ipsec-isakmp
<crypto map名字本地有效,无需R2相同>
 set peer 202.100.1.1
 set transform-set cisco
 match address vpn
!
!
!
!
!
interface Loopback0
 ip address 2.2.2.2 255.255.255.0
!
interface Ethernet0/0
 no ip address
 shutdown
 duplex auto
!
interface Ethernet0/1
 no ip address
 duplex auto
!
interface Ethernet0/2
 ip address 61.128.1.1 255.255.255.0
 duplex auto
 crypto map cisco
!
interface Ethernet0/3
 no ip address
 shutdown
 duplex auto
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
ip route 1.1.1.0 255.255.255.0 61.128.1.10
ip route 202.100.1.0 255.255.255.0 61.128.1.10
!
ip access-list extended vpn
 permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
<访问列表名字本地有效,无需和R2相同>





 

测试VPN

Inside#ping 2.2.2.2 source 1.1.1.1 repeat 100
Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (100/100), round-trip min/avg/max = 1/1/2 ms

查看状态

Site1#show crypto engine connections active
Crypto Engine Connections

   ID  Type    Algorithm           Encrypt  Decrypt LastSeqN IP-Address
    1  IPsec   DES+MD5                   0      304      304 202.100.1.1
    2  IPsec   DES+MD5                 304        0        0 202.100.1.1
 1001  IKE     MD5+3DES                  0        0        0 202.100.1.1


Site1#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
202.100.1.1     61.128.1.1      QM_IDLE           1001 ACTIVE

IPv6 Crypto ISAKMP SA

Site1#show crypto ipsec sa

interface: Ethernet0/1
    Crypto map tag: cry-map, local addr 202.100.1.1
<本地加密点:202.100.1.1>
protected vrf: (none) local ident (addr/mask/prot/port): (1.1.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (2.2.2.0/255.255.255.0/0/0)
<感兴趣流为1.1.1.0/24到2.2.2.0/24的IP流量> current_peer 61.128.1.1 port 500
<远端加密点:61.128.1.1,ISAKMP的流量为UDP/500> PERMIT, flags={origin_is_acl,} #pkts encaps: 304, #pkts encrypt: 304, #pkts digest: 304 #pkts decaps: 304, #pkts decrypt: 304, #pkts verify: 304 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 202.100.1.1, remote crypto endpt.: 61.128.1.1 plaintext mtu 1446, path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/1 current outbound spi: 0x914432F4(2437165812) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0x8404947A(2214892666)
<EPS入方向的SPI,应该等于Site2 ESP出方向的SPI> transform: esp-des esp-md5-hmac ,
<处理数据包的转换集为esp-des esp-md5-hmac> in use settings ={Tunnel, }
<Ipsec VPN的封装模式为Tunnel> conn id: 1, flow_id: SW:1, sibling_flags 80000040, crypto map: cry-map sa timing: remaining key lifetime (k/sec): (4168446/2934) IV size: 8 bytes replay detection support: Y Status: ACTIVE(ACTIVE) inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x914432F4(2437165812)
<EPS出方向的SPI,应该等于Site2 ESP入方向的SPI> transform: esp-des esp-md5-hmac ,
<处理数据包的转换集为esp-des esp-md5-hmac> in use settings ={Tunnel, }
<Ipsec VPN的封装模式为Tunnel> conn id: 2, flow_id: SW:2, sibling_flags 80000040, crypto map: cry-map sa timing: remaining key lifetime (k/sec): (4168446/2934) IV size: 8 bytes replay detection support: Y Status: ACTIVE(ACTIVE) outbound ah sas: outbound pcp sas:
此条目发表在cisco分类目录,贴了, 标签。将固定链接加入收藏夹。