如何免费搭建网站,推广产品的软文怎么写,网店装修工具,中移建设有限公司官方网站【思科】IPsec VPN 实验配置#xff08;动态地址接入#xff09; 注意实验需求配置思路配置命令拓扑R1基础配置配置第一阶段 IKE SA配置第二阶段 IPsec SA ISP_R2基础配置 R3基础配置配置第一阶段 IKE SA配置第二阶段 IPsec SA PCPC1PC2 检查建立成功查看命令清除IKE / IPse… 【思科】IPsec VPN 实验配置动态地址接入 注意实验需求配置思路配置命令拓扑R1基础配置配置第一阶段 IKE SA配置第二阶段 IPsec SA ISP_R2基础配置 R3基础配置配置第一阶段 IKE SA配置第二阶段 IPsec SA PCPC1PC2 检查建立成功查看命令清除IKE / IPsec SA命令 配置文档 注意
因为本篇文章就是IPsec的实验配置的话它们两端的IP地址是固定的 那么就用第一阶段的主模式Main Mode 和第二阶段的快速模式Quick Mode就好啦 因为对端是动态地址接入就是它的地址不固定这个时候就需要用到动态安全策略啦
为什么要用动态安全策略 因为对端就是R3可以是通过PPPoE拨号来获取到IP地址这个时候的话它是有一个租期的那到了时间R3的公网地址就会改变而我R1的话是可以按照动态安全策略来进行动态调整就不会像地址固定那样的被动
还有对于R1来说对端R3的IP地址并不知道这个时候就不能从R1这端主动发起建立IPsec VPN隧道的请求得让R3来进行请求。
而且R1的话它的远端对等体IP地址就是 0.0.0.0 这样子只需要我的预共享密钥一致就能够匹配成功这样子也可以实现动态调整。 并且R1这边是不用去设置ACL的等到它建立起IPsec VPN隧道的时候在IPsec SA的信息中就携带着需要保护的流量可以往下翻翻看啦
实验需求
R1为企业总部网关R3为企业分部网关分部与总部通过公网建立通信。分部子网为202.101.23.0/24总部子网为202.101.12.0/24。
企业希望对分部子网与总部子网之间相互访问的流量进行安全保护。分部与总部通过公网建立通信可以在分部网关与总部网关之间建立一个IPSec隧道来实施安全保护。
配置思路 基础配置实现全网互通命名 IP地址 静态路由保证两端路由可达 第一阶段 IKE SA ① 设置IKE的策略里面包含开启预共享密钥的认证、加密算法、DH组等内容 ② 配置预共享密钥和远端对等体地址 对于R1的远端对等体地址我们要设置为 0.0.0.0 第二阶段 IPsec SA R1固定地址 因为不知道R3的IP地址就不用去配置ACL和对等体IP地址 ① 转换集 ② 创建动态安全策略dynamic-map调用转换集 ③ 配置安全策略组map封装动态的安全策略并在接口上调用 R3动态地址接入 和固定地址的一样因为已知对端R1的IP地址 ① 转换集 ② ACL 匹配保护的流量即定义需要IPSec保护的数据流 ③ 配置安全策略组map并引用ACL、IPSec转换集和对等体IP地址确定对何种数据流采取何种保护方法 在接口上应用安全策略组map使接口具有IPSec的保护功能
IPsec VPN 本质阶段一保护阶段二 阶段二保护数据
配置命令
拓扑 R1
基础配置
配置R1的基础配置再用默认路由实现公网可达
R1(config)#int e0/0
R1(config-if)#no shutdown
R1(config-if)#ip address 202.101.12.1 255.255.255.0
R1(config-if)#exR1(config)#int e0/1
R1(config-if)#no shutdown
R1(config-if)#ip address 192.168.10.254 255.255.255.0
R1(config-if)#exR1(config)#ip route 0.0.0.0 0.0.0.0 202.101.12.2 ##配置默认路由指向ISP运营商实现公网可达R1(config)#int e0/0
R1(config-if)#crypto map mymap
R1(config-if)#ex配置第一阶段 IKE SA
协商出IKE SA 对第二阶段IPsecSA的协商过程做保护
## 创建IKE的策略优先级为10
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#encryption 3des ## 用3des加密
R1(config-isakmp)#authentication pre-share ## 身份认证用预共享密钥
R1(config-isakmp)#hash md5 ## 配置完整性校验方式为 md5
R1(config-isakmp)#group 5 ## 设置 DH 组 5
R1(config-isakmp)#ex## 配置与共享密钥为 520对方的密钥也要是一致才能匹配成功才能协商IKE SA
## 因为对端R3 是动态地址接入并不知道对端IP地址就用0.0.0.0 来指定
R1(config)#crypto isakmp key 520 address 0.0.0.0 配置第二阶段 IPsec SA
在阶段1建立的IKE SA的保护下完成IPSec SA的协商
## 创建转换集 myset名字
## 封装协议esp-md5完整性校验 3des 加密
R1(config)#crypto ipsec transform-set myset esp-3des esp-sha256-hmac
R1(cfg-crypto-trans)#mode tunnel ## 传输方式用隧道传输
R1(cfg-crypto-trans)#exit ## 创建一个动态安全策略dymap引用IPsec转换集
R1(config)#crypto dynamic-map dymap 10
R1(config-crypto-map)#set transform-set myset
R1(config-crypto-map)#ex## 因为动态的安全策略不能直接在接口上调用
## 我们就用常用的安全策略来封装这个动态策略dymap然后再接口上调用
R1(config)#crypto map mymap 10 ipsec-isakmp dynamic dymap ## 在出接口上调用mymap
R1(config)#int e0/0
R1(config-if)#crypto map mymap ##进入接口调用其安全策略mymap
R1(config-if)#exISP_R2
基础配置
ISP_R2(config)#int e0/0
ISP_R2(config-if)#no shutdown
ISP_R2(config-if)#ip address 202.101.12.2 255.255.255.0
ISP_R2(config-if)#exISP_R2(config)#int e0/1
ISP_R2(config-if)#no shutdown
ISP_R2(config-if)#ip address 202.101.23.2 255.255.255.0
ISP_R2(config-if)#exR3
基础配置
配置R3的基础配置再用默认路由实现公网可达
R3(config)#int e0/0
R3(config-if)#no shut
R3(config-if)#ip address 202.101.23.3 255.255.255.0
R3(config-if)#exR3(config)#int e0/1
R3(config-if)#no shut
R3(config-if)#ip address 192.168.20.254 255.255.255.0
R3(config-if)#exR3(config)#ip route 0.0.0.0 0.0.0.0 202.101.23.2 ##配置默认路由指向ISP运营商实现公网可达配置第一阶段 IKE SA
协商出IKE SA 对第二阶段IPsecSA的协商过程做保护
## 创建IKE的策略优先级为10
R3(config)#crypto isakmp policy 10 ## 用策略来存放IKE的配置
R3(config-isakmp)#encryption 3des ## 用3des加密
R3(config-isakmp)#authentication pre-share ## 身份认证用预共享密钥
R3(config-isakmp)#hash md5 ## 配置完整性校验方式为 md5
R3(config-isakmp)#group 5 ## 设置 DH 组 5
R3(config-isakmp)#ex## 配置预共享密钥为 520对方的密钥也要是一致才能匹配成功才能协商IKE SA
R3(config)#crypto isakmp key 520 address 202.101.12.1 配置第二阶段 IPsec SA
在阶段1建立的IKE SA的保护下完成IPSec SA的协商
## 创建转换集 myset名字
## 封装协议esp-md5完整性校验 3des 加密
R1(config)#crypto ipsec transform-set myset esp-3des esp-sha256-hmac
R1(cfg-crypto-trans)#mode tunnel ## 传输方式用隧道传输
R1(cfg-crypto-trans)#exit ## 协商感兴趣流量也就是需要保护的流量
R3(config)#access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 ## 将配置的内容都引用在安全策略mymap里面 使用ike自动协商
R3(config)#crypto map mymap 10 ipsec-isakmp
R3(config-crypto-map)#match address 100 ## 匹配ACL 100
R3(config-crypto-map)#set peer 202.101.12.1 ## 设置对端对等体地址
R3(config-crypto-map)#set transform-set myset ## 绑定转换集 myset
R3(config-crypto-map)#ex## 在出接口上调用
R3(config)#int e0/0
R3(config-if)#crypto map mymap ##进入接口调用其安全策略mymap
R3(config-if)#exPC
因为我是在EVE中来操作思科模拟器所以我就用路由器来模拟PC电脑就需要关闭路由功能
PC1
PC1(config)#no ip routing ## 关闭路由功能
PC1(config)#ip default-gateway 192.168.10.254 ## 配置网关PC1(config)#int e0/0
PC1(config-if)#no shutdown
PC1(config-if)#ip address 192.168.10.1 255.255.255.0
PC1(config-if)#exPC2
PC2(config)#no ip routing ## 关闭路由功能
PC2(config)#ip default-gateway 192.168.20.254 ## 配置网关PC2(config)#int e0/0
PC2(config-if)#no shutdown
PC2(config-if)#ip address 192.168.20.1 255.255.255.0
PC2(config-if)#ex检查
因为R3是动态地址分配这个时候R1是不清楚R3的具体IP地址的所以PC1 是不能拿来触发IPsec VPN隧道的如下图所示PC1 ping 不通PC2的 IP地址
那这个时候我们就要用R3主动去Ping R1因为R3是知道R1的准确的IP地址所以必须得要用动态获取地址的一端主动发起通信过程才能成功坚持IPsec VPN 建立成功
里面主模式交换六个报文成功协商IKE SA 而快速模式的三个报文就成功的协商IPsec SA 这两个出来就成功建立了 IPsec VPN对流量实施了加密啦~
查看命令
① 查看IKE SA的基本信息
R1#show crypto isakmp sa
② 查看IPsec SA的基本信息
R1# show crypto ipsec sa
从图中我们就可以知道 远端的IP地址 202.101.23.3
需要保护的流量ACL 本地192.168.10.0/24 → 远端 192.168.20.0/24 清除IKE / IPsec SA命令
为什么要清楚掉IKE / IPsec呢 因为这个IPsec VPN它是按照第一次配置的代码来执行的当我们想改一下传输模式或者加密方式等等就需要先清除掉之前的SA信息就是IPsec SA和IKE SA这样子才能去完成修改切记哦
清除 IKE SA的命令
R1#clear crypto isakmp 清除 IPsec VPN的命令
R1#clear crypto sa
配置文档
R1
hostname R1int e0/0
no shut
ip address 202.101.12.1 255.255.255.0
exint e0/1
no shut
ip address 192.168.10.254 255.255.255.0
exip route 0.0.0.0 0.0.0.0 202.101.12.2 crypto isakmp policy 10
encryption 3des
authentication pre-share
hash md5
group 5
excrypto isakmp key 520 address 202.101.23.3 crypto ipsec transform-set myset esp-3des esp-sha256-hmac
mode tunnel
excrypto dynamic-map dymap 10
set transform-set myset
excrypto map mymap 10 ipsec-isakmp dynamic dymap int e0/0
crypto map mymap
ex
R3
hostname R3int e0/0
no shutdown
ip address 202.101.23.3 255.255.255.0
exint e0/1
no shutdown
ip address 192.168.20.254 255.255.255.0
exip route 0.0.0.0 0.0.0.0 202.101.23.2 crypto isakmp policy 10
encryption 3des
authentication pre-share
hash md5
group 5
excrypto isakmp key 520 address 202.101.12.1 crypto ipsec transform-set myset esp-3des esp-sha256-hmac
mode tunnel
exit access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 crypto map mymap 10 ipsec-isakmp
match address 100
set peer 202.101.12.1
set transform-set myset
exint e0/0
crypto map mymap
ex
