大型企業(yè)網(wǎng)絡(luò)配置系列課程詳解

1、窗體頂端大型企業(yè)網(wǎng)絡(luò)配置系列課程詳解（九）-用Cisco路由器和預(yù)共享密鑰建立多條 IPSec VPN VPN技術(shù)介紹：      所謂虛擬專用網(wǎng)（Virtual Private Network, VPN）就是建立在公網(wǎng)上的，由某一組織或某一群用戶專用的通信網(wǎng)絡(luò)，其虛擬性表現(xiàn)在任意一對VPN用戶之間沒有專用的物理連接，而是通過ISP提供的公共網(wǎng)絡(luò)來實現(xiàn)通信的，其專用性表現(xiàn)在VPN之外的用戶無法訪問VPN內(nèi)部的網(wǎng)絡(luò)資源，VPN內(nèi)部用戶之間可以實現(xiàn)安全通信。      由于Internet

2、本質(zhì)上是一個開放的網(wǎng)絡(luò)，沒有任何的安全措施可言。專線的連接可以實現(xiàn)不同地區(qū)之間的互訪，但需要支付高額的費用，維護也相當(dāng)?shù)睦щy。隨著Internet應(yīng)用的擴展，很多要求安全和保密的業(yè)務(wù)需要通過廉價的Internet實現(xiàn)，這一需求促進了VPN技術(shù)的發(fā)展。      廣泛地講，VPN體系結(jié)構(gòu)可以被分為兩種常見的情況：站點到站點的VPN（企業(yè)總部與各個分部之間的互聯(lián)）和遠程訪問VPN（遠程用戶與公司總部之間的互聯(lián)）。VPN技術(shù)實現(xiàn)安全互聯(lián)有多種方式，如MPLS VPN、SSL VPN等，但IPSec VPN技術(shù)是現(xiàn)在企業(yè)用的最多的接入方式，本實驗就是通

3、過使用Cisco路由器和預(yù)共享密鑰建立多條IPSec VPN實現(xiàn)站點到站點之間的訪問。 實驗背景：      某一外資企業(yè)在中國有三個分公司，分別坐落于上海、北京和深圳。由于企業(yè)信息的安全需求，要求與分公司之間建立不同的安全通道。其中，總部與深圳分部之間互相通信只需要互相驗證并保持?jǐn)?shù)據(jù)的完整性就可以了；與北京分部之間要求數(shù)據(jù)加密而且具有一般的驗證功能，并能提供數(shù)據(jù)的完整性驗證；由于上海分部在中國充當(dāng)了總代理的角色，傳輸?shù)臄?shù)據(jù)都是機密性文件，所以要求和上海分部之間建立嚴(yán)格的驗證功能，并能對數(shù)據(jù)進行加密和完整性驗證。（注意：每多一項功能，

4、安全性就會升一級。但是，鏈路的開銷必然會增大。如何將各個功能配置使用，需要根據(jù)企業(yè)需求和網(wǎng)絡(luò)帶寬而定） 實驗?zāi)康模和ㄟ^IPSec VPN技術(shù)實現(xiàn)公司總部和各個分部之間不同的安全通信，總部與分部之間通過兩臺路由互聯(lián)并運行OSPF多區(qū)域路由協(xié)議模擬Internet，總部和分部并不知道模擬Internet的具體連接情況，需要配置默認(rèn)路由連接到模擬公網(wǎng)之上。 實驗環(huán)境：使用DynamipsGUI 2.8模擬器，路由器IOS使用c3640-jk9o3s-mz.122-26.bin（帶有VPN功能）。DynamipsGUI 2.8的具體使用可參考網(wǎng)絡(luò)的一些資料。 實驗網(wǎng)絡(luò)拓撲

5、： 試驗步驟：一、 配置模擬公網(wǎng)的具體網(wǎng)絡(luò)參數(shù)（R2和R3之間的級聯(lián)。不是重點，只做簡單介紹） 1、 首先，在R2上配置各個端口的IP地址，并啟用OSPF協(xié)議，進程號為200，將直連的網(wǎng)絡(luò)宣告到對應(yīng)的區(qū)域里（注意：是兩個區(qū)域，R2和R3之間的區(qū)域為骨干區(qū)域area 0，端口Ethernet 0/1所對應(yīng)的區(qū)域為area 1，具體可參考網(wǎng)絡(luò)拓撲圖） 2、 其次，在R3上配置各個端口的IP地址，并啟用OSPF協(xié)議，進程號為300，將直連的網(wǎng)絡(luò)宣告到對應(yīng)的區(qū)域里（注意：是四個區(qū)域，R2與R3之間的區(qū)域為骨干區(qū)域，其它區(qū)域為area 2 ，area 3和area 4。具體

6、可參考網(wǎng)絡(luò)拓撲圖） 3、 公網(wǎng)模擬好之后，使用show ip route命令在R2或者R3上查看是否學(xué)習(xí)到不同區(qū)域之間的路由條目，不同區(qū)域之間的路由條目表示為“O IA *” 二、 配置總部和分部的具體網(wǎng)絡(luò)參數(shù)（ R1、R4、R5和R6的配置，不是重點，只做簡單介紹） 1、 配置公司總部各個端口的具體網(wǎng)絡(luò)參數(shù)，并啟用一條默認(rèn)路由，下一跳地址由于不知道，配置為連接模擬公網(wǎng)的端口Ethernet 0/0。 2、 配置深圳分部各個端口的具體網(wǎng)絡(luò)參數(shù)，并啟用一條默認(rèn)路由，下一跳地址由于不知道，配置為連接模擬公網(wǎng)的端口Ethernet 0/1。 3、 配

7、置北京分部各個端口的具體網(wǎng)絡(luò)參數(shù)，并啟用一條默認(rèn)路由，下一跳地址由于不知道，配置為連接模擬公網(wǎng)的端口Ethernet 0/1。 4、 配置上海分部各個端口的具體網(wǎng)絡(luò)參數(shù)，并啟用一條默認(rèn)路由，下一跳地址由于不知道，配置為連接模擬公網(wǎng)的端口Ethernet 0/1。 三、 配置總部的三條IPSec VPN，分別指向不同的分部。（重點講解）*R1的具體配置* 1、 配置IKE協(xié)商 1.1、 啟用IKE（IKE-Internet Key Exchange是基于Internet安全聯(lián)盟和密鑰管理協(xié)議（ISAKAMP）定義的框架。IPSec 傳送認(rèn)證或加密的數(shù)據(jù)之前

8、，必須就協(xié)議、加密算法和使用的密鑰進行協(xié)商。而IKE提供了這個功能，ISAKAMP定義了兩個通信對等體如何能夠通過一系列的過程來保護他們之間的通信信道。然而，它并沒有規(guī)定傳送的內(nèi)容，只是充當(dāng)了交通工具的角色。）默認(rèn)條件下，IKE在Cisco ISO軟件中是激活的。如果被人工關(guān)閉，則需要再次激活它。 1.2、 建立IKE協(xié)商策略并配置IKE協(xié)商參數(shù)（在啟用IKE后可以構(gòu)造IKE策略，根據(jù)每個VPN連接的安全系數(shù)不同，構(gòu)造多個策略。不同的IKE策略實現(xiàn)不同的安全連接方式）定義公司總部與分部之間的IKE的編號為policy (取值范圍為110000，策略編號越低，其優(yōu)先級越高,以polic

9、y 2為例進行講解： encryption 3des命令被用來設(shè)置加密所需要的算法，（DESData Encryption Standard數(shù)據(jù)加密標(biāo)準(zhǔn)，是使用最廣泛的共享密鑰加密算法。它使用對稱式加密算法，加密和解密使用相同的密鑰值，共56位，而3DES是DES的擴展，共168位。由于算法的復(fù)雜性，因此需要的網(wǎng)絡(luò)寬帶和內(nèi)存） authertication pre-share命令告訴路由器要使用預(yù)先共享的密鑰（對等體認(rèn)證方法除了預(yù)共享密鑰還有RSA加密的nonces，RSA簽名，默認(rèn)為RSA簽名） hash sha命令被用來設(shè)置密鑰認(rèn)證所用的算法，有MD5和SHA

10、-1兩種，默認(rèn)為SHA-1。（Hash散列算法是一種基于密鑰（對稱密鑰或公鑰）的加密不同的數(shù)據(jù)轉(zhuǎn)換類型。其中MD5是使用最廣泛的報文摘要算法，可產(chǎn)生128位散列值的散列算法。SHA-1是安全散列算法，可產(chǎn)生一個160位的散列值。SHA-1算法的缺點是速度被MD5慢，但是SHA的報文摘要更長，具有更高的安全性） group 2 為密鑰交換方式，一般有三種模式，分部為group 1，group 2，group 5，其中，group 1的密鑰交換最簡單，而group 5的密鑰交換方式最復(fù)雜。（注意：同等實體兩端策略的密鑰交換方式必須一樣，就本實驗而言，總部和深圳分部使用group 1，總部

11、和北京分部使用group 2，總部和上海分部使用group 5） Lifetime 86400 聲明了SA的生存時間，默認(rèn)為86400。在超過生存時間后，SA將被重新協(xié)商。（SASecuity Associations安全聯(lián)盟，定義了各種類型的安全措施，這些措施的內(nèi)容包含了IP包加密解密和認(rèn)證的相關(guān)信息） 1.3、 設(shè)置IPSec對等體的驗證方法（由于SA是單向的，因此，需要設(shè)置預(yù)先共享的密碼和對端的IP地址或主機名。也就是說有兩種驗證方法，一種是通過對端主機名進行驗證；另一種是通過對端IP地址進行驗證。語法為Router（config）#crypto isakmp key

12、 keystring address peer-address（peer-hostname）注意：VPN鏈路兩端的密碼必須匹配。） 2、配置IPSec相關(guān)參數(shù) 2.1、 指定Crypto map加密用的訪問列表（注意：IPSec只用于加密的訪問類別，而沒有定義的訪問列表就等于沒有IPSec的驗證，直接以明文的方式進行傳送。這個不同于普通的訪問控制列表那樣“運行”和“拒絕”流量）Crypto訪問列表必須是互為鏡像的。比如：總部連接外網(wǎng)的路由器加密了所有流向深圳分部連接外網(wǎng)的路由器的IP流量，則分部連接外網(wǎng)的路由器必須加密流回總部連接外網(wǎng)的路由器的所有IP流量。其實，這個類似于

13、windows 系統(tǒng)中的IP安全策略（開始運行mmc添加/刪除管理單元IP安全策略）考慮到試驗的局限性，這里只定義了給IP包和ICMP包（ping包）進行數(shù)據(jù)的加密，其它數(shù)據(jù)包正常通過。 2.2、 配置IPSec工作模式并配置交換集（定義總部和深圳分部之間路由器的IPSec工作模式為傳輸模式（transport，默認(rèn)為tunnel）并定義交換集名為aaa ，并使用了ah-md5-hmac的驗證參數(shù)。定義總部和北京分部之間路由器的工作模式為隧道模式（tunnel）并定義交換集名為bbb，并使用了esp-3des 和esp-sha-hmac。定義總部和上海分部之間路由器的工作模式為隧道模

14、式（trunel）并定義交換集名為ccc，并使用了esp-3des和ah-sha-hmac） 工作模式可選擇的參數(shù)有：（每種參數(shù)類型中只可以選擇一種方式，但三者可以同時使用，可以看出總部和上海分部之間的IPSec工作模式在三者之間是最安全的）AH驗證參數(shù)：ah-md5-hmac、ah-sha-hmacESP加密參數(shù)：esp-des、esp-3des、esp-nullESP驗證參數(shù)：esp-md5-hma、esp-sha-hmacAH: IPSec認(rèn)證頭提供數(shù)據(jù)完整性和數(shù)據(jù)源認(rèn)證，但是不提供保密服務(wù)。ESP: 帶認(rèn)證的封裝安全負荷提供數(shù)據(jù)完整性和數(shù)據(jù)源認(rèn)證，同時也提供了保密服務(wù)。但是，

15、其數(shù)據(jù)源認(rèn)證沒有AH功能強。 IPSec的工作模式： 傳輸模式-在傳輸模式中，IPSec的AH頭或ESP頭插入原來的IP頭之后，而整個過程當(dāng)中，原來的IP頭并沒有進行認(rèn)證和加密。也就是說，源和目的IP以及所有的IP包頭域都是不加密發(fā)送的。 隧道模式-在隧道模式中，IPSec的AH頭或ESP頭插入原來的IP頭之前，在整個過程中，加密和認(rèn)證之后會從新生產(chǎn)一個新的IP頭加到AH頭或ESP頭之前。也就是說，真正的IP源地址和目的地址都可以隱藏為因特網(wǎng)發(fā)送的普通數(shù)據(jù)。因此隧道模式比傳輸模式具有更高的安全性。同時，隧道模式加密的復(fù)雜性也占有了一定的網(wǎng)絡(luò)帶寬。 2.3

16、、 配置全局IPSec安全關(guān)聯(lián)生命期（全局的和指定接口的SA生命期都可以被配置，SA生命期確定在它們重新協(xié)商前IPSec SA保持有效的時間，在加密映射條目內(nèi),全局生命期將被覆蓋，當(dāng)一個SA快要過期時,會協(xié)商一個新的,而不會打斷數(shù)據(jù)流） 3、配置加密映射并安全關(guān)聯(lián)（現(xiàn)在已經(jīng)構(gòu)造好了VPN隧道需要的信息，需要通過配置cryto map將它們整合在一起然后運用到指定的接口上）創(chuàng)建三個Crypto map，全部命名為map-all，并定義不同的優(yōu)先級。以第一條crypto map為例進行講解： Crypto map map-all 11 ipsec-isakmp：創(chuàng)建crypto

17、 map，并命名為map-all，優(yōu)先級為11（優(yōu)先級范圍為165535，值越小，優(yōu)先級越高），并將IPSec和ISAKMP關(guān)聯(lián)起來。下面有個警告，意思是這個新的crypto map 在沒有配置一個對等體或著一個有效的訪問控制列表之前，始終保持關(guān)閉狀態(tài)。Match address 112：匹配前面定義的加密訪問控制列表，編號必須相同。Set transform-set aaa：指定了此Crypto Map所使用的交換集名稱，這個名稱應(yīng)該與IPSec中配置的交換集名稱相同。Set pfs group1：關(guān)聯(lián)共享密鑰的交換方式，應(yīng)該與配置IKE協(xié)商階段使用的交換方式相同。 4、應(yīng)用Cry

18、pto Map到端口注意：在端口上只能應(yīng)用一種crypto map，所以要將三個crypto map綜合到一起，并配置同樣的名稱map-all。*R4的具體配置* 1、配置IKE協(xié)商（建立IKE協(xié)商策略，并配置IKE協(xié)商參數(shù)，應(yīng)與R1上配置 對應(yīng)的策略相同）  3、 設(shè)置IPSec的相關(guān)參數(shù)（crypto map加密用的訪問列表） 4、 配置IPSec工作模式為隧道模式，并配置交換集名稱為aa ，內(nèi)容為ah-md5-hmac 5、配置全局IPSec安全關(guān)聯(lián)生命期為86400（對等體兩端必須一樣） 6、 配置加密映射并安全關(guān)聯(lián)（定義cr

19、pto map的名稱為map-1 優(yōu)先級為20） 7、 應(yīng)用Crypto map到對應(yīng)的端口上 *R5的具體配置* *R6的具體配置* 四、 設(shè)置PC1、PC2、PC3、PC4的IP地址、子網(wǎng)掩碼以及網(wǎng)關(guān)。（注意寫法：“ip ip-address ip-gateway /子網(wǎng)掩碼” 在PC1上（總部）分別ping分部主機的IP地址，可以看出隧道已建立成功。 在PC4上（上海分部）ping公網(wǎng)的IP地址，可以看出是ping不通的，因為公網(wǎng)對于VPN來說只是一條透明的鏈路而已。 五、 IPSec VPN配置的檢查（以R1和R4為

20、例進行說明） 1、 使用show crypto isakmp policy命令可以查看所配置的IKE策略（通過兩個路由器上IKE策略的對比進行排錯） 2、 使用show crypto isakmp key 可以查看VPN兩端的共享實體的IP地址或者主機名，預(yù)共享密鑰。 3、 使用show crypto isakmp sa可以查看VPN對等實體兩端的IP地址參數(shù)，如果協(xié)商不成功，是沒有這些參數(shù)出現(xiàn)的。 4、 使用show crypto ipsec sa查看安全聯(lián)盟當(dāng)前使用的設(shè)置。在ping的過程中，還能看到數(shù)據(jù)包的增加過程。 5、 使用show

21、crypto ipsec security-association-lifetime查看全局IPSec安全關(guān)聯(lián)生命周期。（注意：對等實體兩端是一樣的） 6、 使用show crypto ipsec transform-set可以查看IPSec的工作模式以及變換集的配置。 7、 使用show crypto map 顯示所有配置在路由器上的Crypto Map，便于更詳細的查看。 六、 實驗總結(jié)：1、 配置多條VPN隧道的時候，注意在端口只能應(yīng)用一個Crypto Map，如果有多條VPN，應(yīng)該將所有的crypto map定義相同的名稱。 2、 配置Crypt

22、o Map時候所使用的密鑰交換方式應(yīng)該與IKE階段所配置的密鑰交換方式相同。 3、 配置交換集的時候，每種類型只能選擇一種參數(shù)。 4、 定義Crypto加密訪問列表時候，注意應(yīng)用的先后次序，記得將特殊的放到前面，然后再將一般的放到后面。最后加上access-list access-list-number deny ip any any，拒絕其它沒有數(shù)據(jù)通過。 5、 檢查Crypto加密訪問列表出錯，應(yīng)該重新定義訪問列表，刪除或者添加某一條都不會生效的。 6、 檢查錯誤的時候，如果內(nèi)容較多，也可以使用show running將兩個結(jié)果進行對比排錯。

23、0;7、 使用DynamipsGUI 2.8的時候，如果路由器啟動起來，最好讓路由器一直處于當(dāng)前會話狀態(tài)，千萬別退出會話，這樣會消耗更多內(nèi)存造成對實驗的干擾?？梢栽谌帜Ｊ较率褂妹頻ine console 0，然后進去使用exec-time 0 0就可以了。 8、 在配置VPN IPSec之前最后讓全網(wǎng)都互通，可以使用ping命令，讓各自路由器里都學(xué)習(xí)到其它路由器的路由條目，以免造成對實驗的干擾。 9、 配置IKE協(xié)商參數(shù)應(yīng)該與對應(yīng)的交換集保持一直。本文出自 “Follow my heart！” 博客，請務(wù)必保留此出處bbaaiiyyuu、怒吼玩熊2人了這篇文章類別：【企

24、業(yè)網(wǎng)管經(jīng)驗談】技術(shù)圈( 0閱讀( 6955評論( 22 推送到技術(shù)圈返回首頁上一篇 大型企業(yè)網(wǎng)絡(luò)配置系列課程詳解（八） -VoIP的. 下一篇 Windows 網(wǎng)絡(luò)服務(wù)架構(gòu)系列課程詳解（一） -. 相關(guān)文章 Cisco IPsec VPN Cisco常見十大經(jīng)典問題解答之VPN Cisco VPN連接配置實例 CISCO設(shè)備與VPN關(guān)聯(lián)技術(shù)的問答解答 SSL VPN的強勁發(fā)展勢頭似乎表明，它將取代IP. 多對一IPsec VPN的配置 Cisco網(wǎng)絡(luò)設(shè)備搭建VPN服務(wù)器的全部過程 cisco vpn(vpn access server cisco-vpn 詳解配置 IPSec VPN 基本配置 文章評論 <<   1   2   3   4   5   >>  &