思科專家級認(rèn)證

1、ccie r&s v4.0 理論ipsec vpn 目錄隧道技術(shù)舉例手動點(diǎn)對點(diǎn)greipsecvpn分類ipsec特征加密術(shù)語加密算法數(shù)字簽名ipsec安全協(xié)議驗(yàn)證報頭（ah）封裝安全有效負(fù)載（esp）密鑰管理和安全關(guān)聯(lián)ipsec分組的處理配置步驟總結(jié)各類ipsec范疇vpn普通lan_to_lan vpndynamic lan_to_lan vpndynamic multipoint vpn (dmvpn)easy vpn (ezvpn) 又名遠(yuǎn)程vpn或接入vpnssl vpn隧道技術(shù)圖1：如上圖所示，在普通情況下，穿越了公網(wǎng)的兩個lan的pc，是無法直接通過輸入對方lan的內(nèi)網(wǎng)ip地址進(jìn)

2、行訪問的，無法解決公司的某些辦公問題和數(shù)據(jù)訪問問題。圖2：如上圖所示，如果兩個lan的路由器是直接相連，那么任何pc都可以直接輸入對方lan的內(nèi)網(wǎng)ip地址進(jìn)行訪問，解決公司的辦公和數(shù)據(jù)訪問等任何問題。但是lan和lan之間，有時因?yàn)榫嚯x問題或成本問題，無法做到直接相連路由器，必須得穿越公網(wǎng)，這樣就無法解決上述的訪問需求，要解決此類問題，可通過隧道技術(shù)，對ip包頭重新封裝，保留內(nèi)網(wǎng)地址同時對isp隱藏，待穿越了isp之后，到達(dá)目標(biāo)lan路由器，再還原ip包頭，此時再查看最初的目的ip（即內(nèi)網(wǎng)ip）。如下圖： 返回目錄舉例 返回目錄手動點(diǎn)對點(diǎn)gre通過手動tunnel來解決遠(yuǎn)程lan之間使用內(nèi)網(wǎng)地

3、址互訪： 返回目錄ipsec在穿越了公網(wǎng)的lan需要直接使用內(nèi)網(wǎng)地址訪問對端pc時，可通過隧道技術(shù)來解決，而且隧道技術(shù)是當(dāng)前解決此問題的唯一方法，隧道技術(shù)可在osi二層的三層實(shí)施，隧道技術(shù)，正是vpn技術(shù)。然而，由于lan與lan之間傳輸?shù)臄?shù)據(jù)帶有私密性，有時必須考慮到數(shù)據(jù)的安全性，需要對數(shù)據(jù)進(jìn)行加密后再傳輸。所以在隧道技術(shù)vpn的環(huán)境下，最好能夠在隧道中集成加密技術(shù)。而ipsec，正是在這種需求下誕生的，ipsec就同時集成了隧道技術(shù)和加密技術(shù)，稱為ipsec vpn，而ipsec，是定義隧道如何實(shí)現(xiàn)，加密如何實(shí)施，是一系列框架的總結(jié)，ipsec并非一個單純的協(xié)議。 返回目錄vpn分類二層v

4、pn遞送報頭在二層，如：atm,幀中繼三層vpn遞送報頭在三層，如：gre,mpls,ipsecgre(通用路由選擇封裝)由cisco開發(fā)，并被標(biāo)準(zhǔn)化，但沒有安全機(jī)制。mpls vpn，也是cisco倡導(dǎo)的，也被ietf標(biāo)準(zhǔn)化。ipsec vpn用戶關(guān)心數(shù)據(jù)安全性，ipsec是ietf開發(fā)的一組協(xié)議，支持身份驗(yàn)證，完整性，訪問控制和機(jī)密性。在普通情況下，兩個lan之間建立隧道的vpn，稱為lan_to_lan vpn，vpn另一方預(yù)先不知道的，可使用遠(yuǎn)程接入vpn，稱為easy vpn (ezvpn)。 返回目錄ipsec特征安全協(xié)議：驗(yàn)證報頭（ah），封裝安全有效負(fù)載（esp）密鑰管理：is

5、akmp , ike , skeme算法：用于加密和身份驗(yàn)證 返回目錄加密以往的字母替換法。 返回目錄術(shù)語 返回目錄加密算法加密和解密的數(shù)學(xué)函數(shù)，數(shù)據(jù)安全是建立在密鑰基礎(chǔ)上的，知道算法沒關(guān)系，沒有密鑰沒用。加密算法分：對稱加密算法和非對稱加密算法。對稱加密算法：發(fā)送方和接收方使用相同的密鑰，使用什么加密，就使用什么解密，所以要有好的方法分發(fā)密鑰，要不然被截取，依然不安全，常見算法有：des,3des,aes.des 56位，不推薦,24小時內(nèi)可枚舉破解。非對稱加密算法：也叫公鑰算法，用兩個密鑰，加密的叫公鑰，可以公開，解密的是私鑰，在數(shù)學(xué)上是相關(guān)的，但無法推導(dǎo)。任何有公鑰的人都可以加密，但只有

6、有私鑰的人才能解密，而私鑰只有接受方才知道，可以不傳出去。公鑰算法沒有完全取代對稱算法，只是用作他們的密鑰分發(fā)，因?yàn)樽约郝?，所以不會取代對稱加密，只是他們的補(bǔ)充。 返回目錄數(shù)字簽名公鑰加密可以用來驗(yàn)證消息，叫做數(shù)字簽名，有不可抵賴性，思想是將變長的消息轉(zhuǎn)換成定長的壓縮輸出-消息摘要，根據(jù)消息摘要無法重建原始消息。過程：要發(fā)文件給對方，先計(jì)算一個摘要，然后公鑰對摘要進(jìn)行加密變成數(shù)字簽名，將文件和簽名一起發(fā)過去，如果對方根據(jù)文件計(jì)算出的摘要與原有不符，便認(rèn)為被改過.對消息摘要進(jìn)行加密,稱為加密的消息摘要,或叫消息驗(yàn)證碼(hmac) （hash） 返回目錄ipsec安全協(xié)議ipsec提供訪問控制,數(shù)

7、據(jù)完整性,身份驗(yàn)證,防止重放和數(shù)據(jù)機(jī)密性。安全協(xié)議有：驗(yàn)證報頭（ah），封裝安全有效負(fù)載（esp），為ip數(shù)據(jù)提供安全。有兩種模式，傳輸模式和隧道模式。傳輸模式：在ip報頭和高層協(xié)議報頭之間插入一個ipsec報頭（ah或esp），ipsec報頭和數(shù)據(jù)都有加密驗(yàn)證，認(rèn)為目的地是可達(dá)的，所以源不會修改目標(biāo)ip地址，只能用于ip端點(diǎn)和ipsec端點(diǎn)相同的情形。（比如就是兩個點(diǎn)之間直接給自己使用vpn，而不是給別人使用）所以傳輸模式不能進(jìn)行nat轉(zhuǎn)換。隧道模式：保留原始ip報頭，寫入新報頭，并加密其它。 返回目錄驗(yàn)證報頭（ah）提供數(shù)據(jù)完整性,身份驗(yàn)證,防止重放，但沒有機(jī)密性。它是一種ip協(xié)議，位置同

8、esp。 返回目錄封裝安全有效負(fù)載（esp）提供數(shù)據(jù)完整性,身份驗(yàn)證,防止重放和數(shù)據(jù)機(jī)密性，將原始的加密后封裝在報頭和報尾，保護(hù)ip分組。 返回目錄密鑰管理和安全關(guān)聯(lián)加密算法用的最多的是des和3des,所以要解決分發(fā)問題。生成，分發(fā)和存儲統(tǒng)稱為密鑰管理， 下面internet密鑰交換（ike）協(xié)議就是協(xié)商密鑰的。sa（安全關(guān)聯(lián)）（ike）isakmp在ios上配置ike：crypto isakmp policy 10encr 3deshash md5 authentication pre-sharegroup 2 加密算法包括：des，3des，aes驗(yàn)證方法有4種：預(yù)共享密鑰（最多），數(shù)字

9、簽名（最多），2次公鑰加密和4次公鑰加密。預(yù)共享密鑰必須雙方一致，數(shù)字簽名驗(yàn)證時，ios只支持rsa，要用證書。 返回目錄ipsec分組的處理安全策略數(shù)據(jù)庫（spd）安全關(guān)聯(lián)數(shù)據(jù)庫（sadb）安全策略數(shù)據(jù)庫（spd）決定了如何處理對等體之間的ip數(shù)據(jù)流安全關(guān)聯(lián)數(shù)據(jù)庫（sadb）包含每個活動安全關(guān)聯(lián)參數(shù)安全策略數(shù)據(jù)庫（spd）包含：目標(biāo)ip，源ip，名稱，數(shù)據(jù)敏感性等級，傳輸層協(xié)議，源和目標(biāo)端口。安全關(guān)聯(lián)數(shù)據(jù)庫（sadb），每個條目都宣言了一個sa，有關(guān)以下參數(shù)：序列號，序列號溢出，反重放窗口，sa壽命，模式：傳輸還是隧道ah驗(yàn)證算法：md5還是shaesp驗(yàn)證算法：md5還是shaesp加密算

10、法：des,3des查看sa：sh cry ipsec sa配置加密算法和封裝方法（還可定義模式）：crypto ipsec transform-set xxx esp-3des esp-sha-hmac使用安全協(xié)議esp，用3des來加密，用sha-hmac來確保數(shù)據(jù)完整性，使用隧道模式來封裝（默認(rèn)），查看使用：sh cry ipsec transform-set看ike協(xié)商sh cry isakmp policy配置：authentication pre-sharegroup 2 （默認(rèn)組1，就是ike相關(guān)算法） 配置密鑰：crypto isakmp key cisco123 addres

11、s 查看：sh cry isakmp sa 返回目錄配置步驟總結(jié)一：isakmp sa步驟：1定義ike（internet密鑰交換），即isakmp2配置密鑰3配置加密和封裝二：ipsec sa步驟：1創(chuàng)建鄰居2調(diào)用isakmp的加密和封裝3定義要穿越vpn的流量三：應(yīng)用ipsec sa到接口 返回目錄各類ipsec范疇vpn 返回目錄1 普通lan_to_lan vpn此類vpn，即兩個穿越了isp的lan之間建立vpn連接，為其內(nèi)網(wǎng)pc與遠(yuǎn)程lan的pc直接通過內(nèi)網(wǎng)ip進(jìn)行互訪。配置：一：isakmp sa步驟：1定義ike（internet密鑰交換），即isakmprou

12、ter(config)#crypto isakmp policy 1router(config-isakmp)#encryption 3des router(config-isakmp)#hash md5 router(config-isakmp)#authentication pre-share router(config-isakmp)#group 2router(config-isakmp)#exit2配置密鑰router(config)#crypto isakmp key 0 cisco123 address 3配置加密和封裝router(config)#crypto

13、ipsec transform-set abc esp-3des esp-md5-hmac router(cfg-crypto-trans)#exit二：ipsec sa步驟：router(config)#access-list 100 permit ip 55 55router(config)#crypto map vpn 1 ipsec-isakmp 1創(chuàng)建鄰居router(config-crypto-map)#set peer 2調(diào)用isakmp的加密和封裝router(config-crypto-ma

14、p)#set transform-set abc3定義要穿越vpn的流量router(config-crypto-map)#mat address 100router(config-crypto-map)#exit三：應(yīng)用ipsec sa到接口router(config)#int f0/0router(config-if)#crypto map vpnrouter(config-if)#exit 返回目錄2dynamic lan_to_lan vpn 此類vpn，用于當(dāng)需要建立vpn的lan多于兩個，需要在多個場點(diǎn)之間建立連接，可能有的場點(diǎn)ip地址不固定，使用了dhcp服務(wù)。那么，在多個lan

15、之間建立lan_to_lan vpn時，其中一方必須固定ip地址，但其它均可浮動ip地址，只要保證兩點(diǎn)之間，一方能夠找到另一方即可。之前普通lan_to_lan vpn的某些規(guī)則在此便不適用，因?yàn)閷Χ薼an是浮動ip時，本端無法為明確的對端配置預(yù)共享密鑰，只能對任意ip配置。此類vpn，需要調(diào)用一個組的概念，而密鑰和對端的ip均是在組下完成。并且將該組與加密和封裝做好動態(tài)組映射，集成到ipsec sa中，最后應(yīng)用到接口下：hub端：配置：hub端（固定的ip地址）：一：isakmp sa步驟：1定義ike（internet密鑰交換），即isakmprouter(config)#c

16、rypto isakmp policy 10router(config-isakmp)#encryption 3des router(config-isakmp)#hash md5 router(config-isakmp)#authentication pre-share router(config-isakmp)#group 2router(config-isakmp)#exi2配置密鑰router(config)#crypto keyring spokesrouter(conf-keyring)#pre-shared-key address key 0 c

17、isco123router(conf-keyring)#exi3配置加密和封裝router(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac router(cfg-crypto-trans)#exidynamic部分1.將鄰居和密鑰映射成動態(tài)框架router(config)#crypto isakmp profile l2lrouter(conf-isa-prof)#keyring spokesrouter(conf-isa-prof)#mat identity address router(conf-i

18、sa-prof)#exi2.創(chuàng)建動態(tài)組(集合動態(tài)框架和加密封裝方法)router(config)#crypto dynamic-map mmm 5router(config-crypto-map)#set transform-set mysetrouter(config-crypto-map)#set isakmp-profile l2lrouter(config-crypto-map)#exit二：ipsec sa步驟：router(config)#crypto map vpn 10 ipsec-isakmp dynamic mmm三：應(yīng)用ipsec sa到接口router(config)#

19、int s0/0router(config-if)#crypto map vpnrouter(config-if)#exitspoke端（浮動的ip地址）：配置同普通lan_to_lan vpn一：isakmp sa步驟：1定義ike（internet密鑰交換），即isakmprouter(config)#crypto isakmp policy 1router(config-isakmp)#encryption 3des router(config-isakmp)#hash md5 router(config-isakmp)#authentication pre-share router(c

20、onfig-isakmp)#group 2router(config-isakmp)#exit2配置密鑰router(config)#crypto isakmp key 0 cisco123 address 3配置加密和封裝router(config)#crypto ipsec transform-set abc esp-3des esp-md5-hmac router(cfg-crypto-trans)#exit二：ipsec sa步驟：router(config)#access-list 100 permit ip 55 10.1.1.

21、0 55router(config)#crypto map vpn 1 ipsec-isakmp 1創(chuàng)建鄰居router(config-crypto-map)#set peer 2調(diào)用isakmp的加密和封裝router(config-crypto-map)#set transform-set abc3定義要穿越vpn的流量router(config-crypto-map)#mat address 100router(config-crypto-map)#exit三：應(yīng)用ipsec sa到接口router(config)#int f0/0router(config

22、-if)#crypto map vpnrouter(config-if)#exit 返回目錄3 dynamic multipoint vpn (dmvpn)背景：多點(diǎn)grenext hop resolution protocol (nhrp)配置：hub端配置interface tunnel0ip address ip mtu 1440ip nhrp authentication cisco123 雙方必須相同ip nhrp map multicast dynamic 沒有這條，用組播的路由協(xié)議無法建立ip nhrp network-id 100 雙

23、方標(biāo)識符ip ospf network point-to-multipointtunnel source serial1/1tunnel mode gre multipointtunnel key 0tunnel protection ipsec profile ciscocrypto isakmp policy 10en 3deshash md5authentication pre-sharegroup 2crypto isakmp key cisco123 address crypto ipsec transform-set strong esp-3des e

24、sp-md5-hmac crypto ipsec profile ciscoset security-association lifetime seconds 120set transform-set strong interface tunnel0tunnel protection ipsec profile ciscospoke配置interface tunnel0ip address ip mtu 1440ip nhrp authentication cisco123ip nhrp map multicast dynamicip nhrp ma

25、p 向去請求gre并注冊ip nhrp map multicast 沒有這條，用組播的路由協(xié)議無法建立ip nhrp network-id 100ip nhrp nhs 配置下一跳服務(wù)器ip ospf network point-to-multipointtunnel source fastethernet0/0tunnel mode gre multipointtunnel key 0tunnel protection ipsec profile ciscocrypto isakmp policy 10e

26、n 3deshash md5authentication pre-sharegroup 2crypto isakmp key cisco123 address crypto ipsec transform-set strong esp-3des esp-md5-hmac crypto ipsec profile ciscoset security-association lifetime seconds 120 維護(hù)sa狀態(tài)的時間，默認(rèn)一小時 set transform-set strong interface tunnel0tunnel protection i

27、psec profile cisco查看命令：show ip protocol 查看nhrpshow ip nhrp briefshow ip nhrpipsec查看：show crypto isakmp sa show crypto isakmp peers show crypto session show crypto ipsec sa 只能看到對端，不能看到后面lan額外補(bǔ)充：默認(rèn)情況下，cdp不開，在tunnel下是看不到對端的但在spoke情況下，最好在外網(wǎng)接口不開cdp，因?yàn)殚_了，運(yùn)行odr時，會把外網(wǎng)地址發(fā)過去，然后hub就會從tunnel到該外網(wǎng)地址，可tunnel是依靠外網(wǎng)地

28、址的，成為死循環(huán)。 返回目錄4. easy vpn (ezvpn) 又名遠(yuǎn)程vpn或接入vpn此類vpn可使用傳輸模式，突破nat限制。待添加的隱藏文字內(nèi)容1配置：server配置aaa authentication login hyhy localaaa authorization network abc local username aaa password bbb crypto isakmp policy 1en 3deshash md5 authentication pre-sharegroup 2 crypto isakmp client configuration group gh

29、dkey ciscodomain pool ccieacl 111 crypto ipsec transform-set ttt esp-des esp-md5-hmac ip local pool ccie 0 0 access-list 111 permit ip any any有類似dynamicvpn的部分創(chuàng)建動態(tài)組(集合動態(tài)框架和加密封裝方法)crypto dynamic-map jiaojiao 1set transform-set ttt reverse-routeipsec sa步驟：crypto map vpn

30、client authentication list hyhycrypto map vpn isakmp authorization list abccrypto map vpn client configuration address respondcrypto map vpn 1 ipsec-isakmp dynamic jiaojiao interface serial0/0crypto map vpn 返回目錄5. ssl vpnezvpn在撥入時，pc需要安裝client軟件，通過軟件來認(rèn)證，ssl vpn 則省略pc安裝client軟件的過程，認(rèn)證過程采用登陸網(wǎng)頁的方式來認(rèn)證，但須

31、支持java。配置：開aaarouter(config)#aaa authentication login default localrouter(config)#aaa authentication login ssl localrouter(config)#username aaa password bbb上傳軟件：router#format flash: format operation may take a while. continue? confirmformat operation will destroy all data in flash:. continue? confir

32、mcurrent low end file system flash card in flash: will be formatted into dos file system flash card! continue? confirmprimary partition created.size 16 mbdrive communication & 1st sector write ok.writing monlib sectors.monlib write complete format: all system sectors written. ok.format: total sector

33、s in formatted partition: 32736format: total bytes in formatted partition: 16760832format: operation completed successfully.format of flash: completerouter#copy ftp: flash:address or name of remote host ? source filename ? sslclient.pkgdestination filename sslclient.pkg? accessing /sslclient.pkg.loading sslclient