IPsecVPN的詳細(xì)介紹講解課件

1、介紹IPSec VPN 第1頁，共91頁。VPN背景總公司租用專線我們有很多分公司，如果用租用專線的方式把他們和總公司連起來，需要花很多錢想節(jié)約成本的話，可以用VPN來連接分公司分公司分公司第2頁，共91頁。VPN簡介 IP VPN (Virtual Private Network，虛擬專用網(wǎng))就是利用開放的公眾IP/MPLS網(wǎng)絡(luò)建立專用數(shù)據(jù)傳輸通道，將遠(yuǎn)程的分支機(jī)構(gòu)、移動辦公人員等連接起來。 IP/MPLS網(wǎng)中心站點分支機(jī)構(gòu)移動辦公人員第3頁，共91頁。隧道機(jī)制IP VPN可以理解為：通過隧道技術(shù)在公眾IP/MPLS網(wǎng)絡(luò)上仿真一條點到點的專線 。隧道是利用一種協(xié)議來傳輸另外一種協(xié)議的技術(shù)，共

2、涉及三種協(xié)議，包括：乘客協(xié)議、隧道協(xié)議和承載協(xié)議。被封裝的原始IP包新增加的IP頭IPSec頭乘客協(xié)議隧道協(xié)議承載協(xié)議原始IP包經(jīng)過IPSec封裝后第4頁，共91頁。隧道帶來的好處隧道保證了VPN中分組的封裝方式及使用的地址與承載網(wǎng)絡(luò)的封裝方式及使用地址無關(guān)。 Internet被封裝的原始IP包新增加的IP頭IPSec頭私網(wǎng)地址公網(wǎng)地址中心站點分支機(jī)構(gòu)Internet根據(jù)這個地址路由可以使用私網(wǎng)地址，感覺雙方是用專用通道連接起來的，而不是Internet 隧道第5頁，共91頁。IPSec概述IPSec是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，特定的通信方之間在IP層通過加密和數(shù)據(jù)摘要(hash)等手段，來保證

3、數(shù)據(jù)包在Internet 網(wǎng)上傳輸時的私密性(confidentiality) 、完整性(data integrity)和真實性(origin authentication)。IPSec只能工作在IP層，要求乘客協(xié)議和承載協(xié)議都是IP協(xié)議被封裝的原始IP包新增加的IP頭IPSec頭必須是IP協(xié)議必須是IP協(xié)議第6頁，共91頁。通過加密保證數(shù)據(jù)的私密性私密性：防止信息泄漏給未經(jīng)授權(quán)的個人。通過加密把數(shù)據(jù)從明文變成無法讀懂的密文，從而確保數(shù)據(jù)的私密性。Internet4ehIDx67NMop9eRU78IOPotVBn45TR土豆批發(fā)價兩塊錢一斤實在是看不懂加密4ehIDx67NMop9eRU78

4、IOPotVBn45TR解密土豆批發(fā)價兩塊錢一斤第7頁，共91頁。對稱加密如果加密密鑰與解密密鑰相同，就稱為對稱加密由于對稱加密的運算速度快，所以IPSec使用對稱加密算法來加密數(shù)據(jù)第8頁，共91頁。對數(shù)據(jù)進(jìn)行hash運算來保證完整性完整性：數(shù)據(jù)沒有被非法篡改。通過對數(shù)據(jù)進(jìn)行hash運算，產(chǎn)生類似于指紋的數(shù)據(jù)摘要，以保證數(shù)據(jù)的完整性。土豆兩塊錢一斤Hash4ehIDx67NMop9土豆兩塊錢一斤4ehIDx67NMop9土豆三塊錢一斤4ehIDx67NMop9我偷改數(shù)據(jù)Hash2fwex67N32rfee3兩者不一致代表數(shù)據(jù)已被篡改第9頁，共91頁。土豆兩塊錢一斤Hashfefe23fgrNM

5、op7土豆兩塊錢一斤fefe23fgrNMop7土豆三塊錢一斤2fwex67N32rfee3我同時改數(shù)據(jù)和摘要兩者還是不一致Hashfergergr23frewfgh對數(shù)據(jù)和密鑰一起進(jìn)行hash運算攻擊者篡改數(shù)據(jù)后，可以根據(jù)修改后的數(shù)據(jù)生成新的摘要，以此掩蓋自己的攻擊行為。通過把數(shù)據(jù)和密鑰一起進(jìn)行hash運算，可以有效抵御上述攻擊。第10頁，共91頁。對稱密鑰交換對稱加密和hash都要求通信雙方具有相同的密鑰。問題：怎樣在雙方之間安全地傳遞密鑰？密鑰哈哈，要是敢直接傳遞密鑰，我就只好偷看了密鑰第11頁，共91頁。DH算法的基本原理Router ARouter B生成一個整數(shù) p生成一個整數(shù) q

6、把 p發(fā)送到對端p把 q發(fā)送到對端q根據(jù)p、q生成g根據(jù)p、q生成g生成密鑰Xa生成密鑰Xb把 Ya=(g Xa) mod p 發(fā)送到對端把 Yb=(g Xb) mod p發(fā)送到對端YaYbKey=(YbXa) mode p Key=(YaXb) mode p最后得到的對稱密鑰雙方?jīng)]有直接傳遞密鑰第12頁，共91頁。通過身份認(rèn)證保證數(shù)據(jù)的真實性真實性：數(shù)據(jù)確實是由特定的對端發(fā)出。通過身份認(rèn)證可以保證數(shù)據(jù)的真實性。常用的身份認(rèn)證方式包括：Pre-shared key，預(yù)共享密鑰RSA Signature，數(shù)字簽名第13頁，共91頁。預(yù)共享密鑰預(yù)共享密鑰,是指通信雙方在配置時手工輸入相同的密鑰。H

7、ash_L+ 路由器名等本地Hash共享密鑰遠(yuǎn)端生成的Hash_LHash=+ 對端路由器名Internet共享密鑰接收到的Hash_L第14頁，共91頁。數(shù)字證書RSA密鑰對，一個是可以向大家公開的公鑰，另一個是只有自己知道的私鑰。用公鑰加密過的數(shù)據(jù)只有對應(yīng)的私鑰才能解開，反之亦然。數(shù)字證書中存儲了公鑰，以及用戶名等身份信息。數(shù)字證書 我是Router A，我 的公鑰是.第15頁，共91頁。數(shù)字簽名認(rèn)證+ ID Information加密Hash_I解密Hash_I私鑰公鑰本地遠(yuǎn)端Hash=+ 身份信息Hash對稱密鑰數(shù)字簽名+ 身份信息Hash12數(shù)字證書+Internet對稱密鑰數(shù)字簽名

8、數(shù)字證書&公鑰為信息發(fā)送者的公鑰&第16頁，共91頁。IPSec框架結(jié)構(gòu)ESPAHDES3DESAESMD5SHADH1DH2IPSec框架可選擇的算法IPSec安全協(xié)議加密數(shù)據(jù)摘要對稱密鑰交換第17頁，共91頁。IPSec安全協(xié)議AH (Authentication Header)只能進(jìn)行數(shù)據(jù)摘要(hash) ，不能實現(xiàn)數(shù)據(jù)加密ah-md5-hmac、ah-sha-hmacESP (Encapsulating Security Payload)能夠進(jìn)行數(shù)據(jù)加密和數(shù)據(jù)摘要(hash) esp-des、esp-3des、esp-md5-hmac、esp-sha-hmac、IPSec安全協(xié)議描述了

9、如何利用加密和hash來保護(hù)數(shù)據(jù)安全第18頁，共91頁。IPSec封裝模式IPSec支持兩種封裝模式：傳輸模式和隧道模式傳輸模式：不改變原有的IP包頭，通常用于主機(jī)與主機(jī)之間。IP頭數(shù)據(jù)原始IP包IP頭數(shù)據(jù)AH頭AHhashAH對除了TTL等變化值以外的整個IP包進(jìn)行hash運算IP頭數(shù)據(jù)ESP頭hashESP trailerESP authESP加密hash第19頁，共91頁。IPSec封裝模式IPSec支持兩種封裝模式：傳輸模式和隧道模式隧道模式：增加新的IP頭，通常用于私網(wǎng)與私網(wǎng)之間通過公網(wǎng)進(jìn)行通信。IP頭數(shù)據(jù)原始IP包IP頭數(shù)據(jù)新IP頭AHhashIP頭數(shù)據(jù)ESP頭hashESP tr

10、ailerESP authESP加密hashAH頭新IP頭第20頁，共91頁。IPSec與NATAH模式無法與NAT一起運行:AH對包括IP地址在內(nèi)的整個IP包進(jìn)行hash運算，而NAT會改變IP地址，從而破壞AH的hash值。IP頭數(shù)據(jù)AH頭hashhashNAT：我要修改源/目的IP地址AH：不行！我對IP地址也進(jìn)行了hash第21頁，共91頁。IPSec與NATESP模式下：只進(jìn)行地址映射時，ESP可與它一起工作。進(jìn)行端口映射時，需要修改端口，而ESP已經(jīng)對端口號進(jìn)行了加密或hash，所以將無法進(jìn)行。IP頭 數(shù)據(jù)ESP頭ESP trailerESP auth加密TCP/UDP端口NAT：

11、端口號被加密了，沒法改，真郁悶第22頁，共91頁。IPSec與NATESP模式下：啟用IPSec NAT穿越后，會在ESP頭前增加一個UDP頭，就可以進(jìn)行端口映射。IP頭 數(shù)據(jù)ESP頭ESP trailerESP auth加密TCP/UDP端口NAT：可以改端口號了，太棒了新UDP頭第23頁，共91頁。對上一節(jié)的回顧IPSec協(xié)議框架包括加密、hash、對稱密鑰交換、安全協(xié)議等四個部分，這些部分都可以采用多種算法來實現(xiàn)。問題1：要成功建立IPSec VPN，兩端路由器必須采用相同 的加密算法、hash算法和安全協(xié)議等，但I(xiàn)PSec協(xié) 議中并沒有描述雙方應(yīng)如何協(xié)商這些參數(shù)。問題2： IPSec協(xié)

12、議中沒有定義通信雙方如何進(jìn)行身份認(rèn)證 路由器有可能會和一個假冒的對端建立IPSec VPN。第24頁，共91頁。端到端IPSec VPN的工作原理需要保護(hù)的流量流經(jīng)路由器，觸發(fā)路由器啟動相關(guān)的協(xié)商過程。啟動IKE (Internet key exchange)階段1，對通信雙方進(jìn)行身份認(rèn)證，并在兩端之間建立一條安全的通道。啟動IKE階段2，在上述安全通道上協(xié)商IPSec參數(shù)。按協(xié)商好的IPSec參數(shù)對數(shù)據(jù)流進(jìn)行加密、hash等保護(hù)。Host AHost BRouter A Router B 什么是端到端的VPN？第25頁，共91頁。IKE階段1Host AHost BRouter A Rout

13、er B 10.0.1.310.0.2.3IKE 階段 1協(xié)商建立IKE安全通道所使用的參數(shù)協(xié)商建立IKE安全通道所使用的參數(shù)第26頁，共91頁。IKE階段1協(xié)商建立IKE安全通道所使用的參數(shù)，包括：加密算法Hash算法DH算法身份認(rèn)證方法存活時間第27頁，共91頁。IKE階段1Policy 10DESMD5DH1Pre-sharelifetimePolicy 15DESMD5DH1Pre-sharelifetimeRouter ARouter Bhost Ahost BPolicy 203DESSHADH1Pre-sharelifetimePolicy 253DESSHADH2Pre-sha

14、relifetime雙方找到相同的策略集上述IKE參數(shù)組合成集合，稱為IKE policy。IKE協(xié)商就是要在通信雙方之間找到相同的policy。第28頁，共91頁。IKE階段1Host AHost BRouter A Router B 10.0.1.310.0.2.3IKE 階段 1協(xié)商建立IKE安全通道所使用的參數(shù)交換對稱密鑰雙方身份認(rèn)證建立IKE安全通道協(xié)商建立IKE安全通道所使用的參數(shù)交換對稱密鑰雙方身份認(rèn)證建立IKE安全通道第29頁，共91頁。協(xié)商IPSec安全參數(shù)協(xié)商IPSec安全參數(shù)IKE階段2Host AHost BRouter A Router B 10.0.1.310.0.

15、2.3IKE 階段2第30頁，共91頁。IKE階段2雙方協(xié)商IPSec安全參數(shù)，稱為變換集transform set，包括：加密算法Hash算法安全協(xié)議封裝模式存活時間Transform 10DESMD5ESPTunnellifetimeTransform 203DESSHAESPTunnellifetime第31頁，共91頁。IKE與IPSec安全參數(shù)的比較加密算法Hash算法存活時間DH算法身份認(rèn)證安全協(xié)議封裝模式IKEIPSec第32頁，共91頁。IKE階段2Host AHost BRouter A Router B 10.0.1.310.0.2.3IKE 階段2協(xié)商IPSec安全參數(shù)建

16、立IPSec SA協(xié)商IPSec安全參數(shù)建立IPSec SA第33頁，共91頁。IPSec SAIPSec SA (安全關(guān)聯(lián)，Security Association)：SA由SPD (Security Policy Database)和SAD(SA Database)組成。兩端成功協(xié)商IPSec參數(shù)加密算法hash算法封裝模式lifetime安全協(xié)議SPD加密SPIHash封裝模式lifetimeSAD目的IP地址SPI安全協(xié)議第34頁，共91頁。IPSec SAIPSec SA (安全關(guān)聯(lián)，Security Association)：SPI (Security Parameter Inde

17、x)，由IKE自動分配。發(fā)送數(shù)據(jù)包時，會把SPI插入到IPSec頭中。接收到數(shù)據(jù)包后，根據(jù)SPI值查找SAD和SPD，從而獲知解密數(shù)據(jù)包所需的加解密算法、hash算法等。一個SA只記錄單向的參數(shù)，所以一個IPSec連接會有兩個IPSec SA。第35頁，共91頁。IPSec SAIPSec SA (安全關(guān)聯(lián)，Security Association)：使用SPI可以標(biāo)識路由器與不同對象之間的連接。B A N K192.168.2.1SPI12ESP/3DES/SHAtunnel28800192.168.12.1 SPI39ESP/DES/MD5tunnel28800Internet第36頁，共

18、91頁。IPSec SAIPSec SA (安全關(guān)聯(lián)，Security Association)：達(dá)到lifetime以后，原有的IPSec SA就會被刪除。如果正在傳輸數(shù)據(jù)，系統(tǒng)會在原SA超時之前自動協(xié)商建立新的SA，從而保證數(shù)據(jù)的傳輸不會因此而中斷。第37頁，共91頁。SA示例第38頁，共91頁。端到端IPSec VPN的配置流程配置IPSec前的準(zhǔn)備工作。配置IKE參數(shù)。配置IPSec參數(shù)。測試并驗證IPSec是否正常工作。第39頁，共91頁。端到端IPSec VPN的配置步驟-1配置IPSec前的準(zhǔn)備工作:確認(rèn)在配置IPSec之前，網(wǎng)絡(luò)是通的。確認(rèn)AH流量(IP協(xié)議號為50)、 ESP

19、流量(IP協(xié)議號為51)和 ISAKMP流量(UDP的端口500)不會被ACL所阻塞。第40頁，共91頁。配置IPSec前的準(zhǔn)備工作在RouterA上ping路由器RouterBRouterA上要有到site2的路由， RouterB上有到site1的路由有必要的情況下，在路由器中添加類似以下的ACL條目：RouterA# show access-lists access-list 102 permit ahp host 172.30.2.2 host 172.30.1.2access-list 102 permit esp host 172.30.2.2 host 172.30.1.2acc

20、ess-list 102 permit udp host 172.30.2.2 host 172.30.1.2 eq isakmpE0/1 172.30.1.2Site 1Site 2E0/1 172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterB第41頁，共91頁。端到端IPSec VPN的配置步驟-2配置IKE參數(shù)啟用IKE創(chuàng)建IKE策略集policy配置IKE身份認(rèn)證的相關(guān)參數(shù)驗證IKE配置第42頁，共91頁。啟用IKERouterA(config)# no crypto isakmp enable RouterA(config)# cryp

21、to isakmp enableRouter(config)#no crypto isakmp enable默認(rèn)情況下，IKE 處于開啟狀態(tài)。IKE在全局模式下對所有端口啟用。對于不希望使用IKE的端口，可以用ACL屏蔽UDP的500端口，達(dá)到阻斷IKE的目的第43頁，共91頁。創(chuàng)建IKE策略crypto isakmp policy Router(config)#RouterA(config)# crypto isakmp policy 110RouterA(config-isakmp)# encryption desRouterA(config-isakmp)# hash md5Router

22、A(config-isakmp)# group 1RouterA(config-isakmp)# authentication pre-shareRouterA(config-isakmp)# lifetime 86400Authentication-身份認(rèn)證方式Encryption-加密算法Group-DH算法組Hash-摘要算法Lifetime-IKE生存期第44頁，共91頁。IKE策略集的取值86400 秒86400 秒IKE SA生存期DH Group 2DH Group 1密鑰交換算法Rsa-sigPre-share身份認(rèn)證方式SHA-1MD5摘要算法3DESDES加密算法更安全的取

23、值安全的取值參數(shù)(56bit密鑰)(3次DES運算)(128bit密鑰)(160bit密鑰)(768bit密鑰)(1024bit密鑰)(共享密鑰)(數(shù)字簽名)第45頁，共91頁。IKE策略集的優(yōu)先級crypto isakmp policy 100 hash md5 authentication pre-sharecrypto isakmp policy 200 authentication rsa-sig hash shacrypto isakmp policy 300 authentication pre-share hash md5RouterA(config)#RouterB(confi

24、g)#crypto isakmp policy 100 hash md5 authentication pre-sharecrypto isakmp policy 200 authentication rsa-sig hash shacrypto isakmp policy 300 authentication rsa-sig hash md5Priority表示策略集的優(yōu)先級，該值越小表示優(yōu)先級越高路由器將首先比較優(yōu)先級最高的策略集是否匹配，因此本例中雖然三個策略集都匹配，但路由器只會采用policy 100建議把最安全的策略集設(shè)為最高優(yōu)先級第46頁，共91頁。使用共享密鑰進(jìn)行身份認(rèn)證Rou

25、terA(config)# crypto isakmp key cisco1234 address 172.30.2.2router(config)#crypto isakmp key keystring address peer-addresscrypto isakmp key keystring hostname hostnamerouter(config)#共享密鑰Cisco1234Site 1Site 2172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterB兩端路由器使用的共享密鑰必須相同。可以用IP地址或主機(jī)名來指定對端。第47頁，共91

26、頁。驗證IKE配置RouterA# show crypto isakmp policyProtection suite of priority 110 encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5 authentication method: Pre-Shared Key Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limitDefault pr

27、otection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limitshow crypto isakmp policy Router#顯示已配置的和缺省的策略集第48頁

28、，共91頁。端到端IPSec VPN的配置步驟-3配置IPSec參數(shù)配置IPSec變換集用ACL定義需要IPSec保護(hù)的流量創(chuàng)建crypto map把crypto map 應(yīng)用到路由器的端口上第49頁，共91頁。配置IPSec變換集crypto ipsec transform-set transform-set-name transform1 transform2 transform3router(cfg-crypto-trans)#Router(config)#RouterA(config)# crypto ipsec transform-set mine esp-desRouterA (c

29、fg-crypto-trans)#mode tunnel每個變換集中可以包含AH變換、ESP變換和封裝模式(隧道模式或傳輸模式)每個變換集中最多可以有一個AH變換和兩個ESP變換第50頁，共91頁。IOS支持的變換RouterA(config)# crypto ipsec transform-settransform-set-name ?ah-md5-hmac AH-HMAC-MD5 transformah-sha-hmac AH-HMAC-SHA transformesp-3des ESP transform using 3DES(EDE) cipher (168 bits)esp-des

30、ESP transform using DES cipher (56 bits)esp-md5-hmac ESP transform using HMAC-MD5 authesp-sha-hmac ESP transform using HMAC-SHA authesp-null ESP transform w/o cipher第51頁，共91頁。access-list access-list-number dynamic dynamic-name timeout minutes deny | permit protocol source source-wildcard destination

31、 destination-wildcard precedence precedencetos tos logrouter(config)#RouterA(config)# access-list 110 permit ip 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255Site1Site2AB10.0.1.310.0.2.3InternetRouterARouterB10.0.1.010.0.2.0加密定義哪些流量需要IPSec保護(hù)Permit=要保護(hù)/deny=不用保護(hù)用ACL定義需要IPSec保護(hù)的流量第52頁，共91頁。兩端路由器要配置對稱的ACLRouter

32、A(config)# access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255RouterB(config)# access-list 101 permit tcp 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255Site1Site2AB10.0.1.310.0.2.3InternetRouterARouterB10.0.1.010.0.2.0加密第53頁，共91頁。Crypto Map的主要配置參數(shù)需要IPSec保護(hù)的流量的ACLVPN對端的IP地址使用的IPSec變換集協(xié)商建立IPSec SA

33、的方式(手工或通過IKE)IPSec SA的存活期第54頁，共91頁。創(chuàng)建Crypto Mapcrypto map map-name seq-num ipsec-manualcrypto map map-name seq-num ipsec-isakmp dynamic dynamic-map-nameRouter(config)#Site 1Site 2AB10.0.1.310.0.2.3InternetRouterARouterBRouterA(config)# crypto map mymap 110 ipsec-isakmpSite3B10.0.3.3RouterC每個路由器端口只能應(yīng)

34、用一個crypto map當(dāng)一個端口有多個VPN對端時，就使用seq-num來區(qū)分第55頁，共91頁。Crypto Map 配置示例RouterA(config)# crypto map mymap 110 ipsec-isakmpRouterA(config-crypto-map)# match address 110RouterA(config-crypto-map)# set peer 172.30.2.2RouterA(config-crypto-map)# set peer 172.30.3.2RouterA(config-crypto-map)# set pfs group1Rou

35、terA(config-crypto-map)# set transform-set mineRouterA(config-crypto-map)# set security-association lifetime 86400Site 1Site 2172.30.2.2AB10.0.1.310.0.2.3RouterARouterB172.30.3.2BRouterCInternet可配置多個vpn對端進(jìn)行冗余第56頁，共91頁。應(yīng)用Crypto Map到路由器端口上RouterA(config)# interface ethernet0/1RouterA(config-if)# crypt

36、o map mymapE0/1 172.30.1.2Site 1Site 2E0/1 172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterBmymaprouter(config-if)#crypto map map-name在出口上應(yīng)用crypto map第57頁，共91頁。端到端IPSec VPN的配置步驟-4測試并驗證IPSec是否正常工作_1顯示 IKE策略 show crypto isakmp policy顯示IPSec變換集 show crypto ipsec transform-set顯示 crypto mapsshow crypto

37、map第58頁，共91頁。端到端IPSec VPN的配置步驟-4測試并驗證IPSec是否正常工作_2顯示IPSec SA的狀態(tài) show crypto ipsec sadebug IPSec 事件 debug crypto ipsecdebug ISAKMP 事件 debug crypto isakmp第59頁，共91頁。端到端IPSec VPN的配置示例RouterA# show runcrypto isakmp policy 110 hash md5 authentication pre-sharecrypto isakmp key cisco1234 address 172.30.2.2

38、!crypto ipsec transform-set mine esp-des!crypto map mymap 10 ipsec-isakmpset peer 172.30.2.2set transform-set minematch address 110!interface Ethernet 0/1ip address 172.30.1.2 255.255.255.0no ip directed-broadcastcrypto map mymap!access-list 110 permit ip 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255E0/1 17

39、2.30.1.2Site1Site2E0/1 172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterBRouterB# show runcrypto isakmp policy 110 hash md5 authentication pre-sharecrypto isakmp key cisco1234 address 172.30.1.2!crypto ipsec transform-set mine esp-des!crypto map mymap 10 ipsec-isakmpset peer 172.30.1.2set transform-

40、set minematch address 101!interface Ethernet 0/1ip address 172.30.2.2 255.255.255.0no ip directed-broadcastcrypto map mymap!access-list 101 permit ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255第60頁，共91頁。介紹Easy VPN第61頁，共91頁。介紹Easy VPN的特點Easy VPN RemoteEasy VPN Server端到端模式下，兩端路由器都要進(jìn)行較復(fù)雜的配置。Easy VPN模式下，Remot

41、e只需要進(jìn)行簡單的配置，其余大部分參數(shù)由Server端直接推送給它。Easy VPN模式常用于用戶的遠(yuǎn)程接入。Remote可以是Cisco VPN Client，Server端可以是路由器，其IOS要求高于或等于12.2(8)T。第62頁，共91頁。流程1-Client向Server發(fā)送IKE PolicyRemote PC with Easy Remote VPN Client 3.xIOS router 12.2(8)TEasy VPN ServerPolicy 1, Policy 2, Policy 3Easy VPN由Client觸發(fā)Cisco VPN Client中內(nèi)置了多個IKE

42、PolicyClient觸發(fā)Easy VPN后，會把內(nèi)置的IKE Policy全部發(fā)送到Server端第63頁，共91頁。流程2- Server 找到匹配的PolicyServer 把Client 發(fā)送來的IKE Policy 與自己的Policy相比較找到匹配值后成功建立IKE SARemote PC with Easy Remote VPN Client 3.xIOS router 12.2(8)TEasy VPN ServerPolicy 1檢查后發(fā)現(xiàn)Policy1匹配第64頁，共91頁。流程3- Server 要Client輸入用戶/口令Remote PC with Easy Remo

43、te VPN Client 3.xIOS router 12.2(8)TEasy VPN ServerUsername/passwordAAA checkingUsername/password challenge如果配置了擴(kuò)展認(rèn)證Xauth，Server 端將要求Client端 發(fā)送用戶名/口令進(jìn)行身份認(rèn)證配置Xauth將獲得更高的安全性，因此建議server端配置Xauth第65頁，共91頁。流程4-Server向Client推送參數(shù)Remote PC with Easy Remote VPN Client 3.xIOS router 12.2(8)TEasy VPN ServerClie

44、nt 請求配置參數(shù)Server推送配置參數(shù)身份認(rèn)證通過后，Client將向Server請求其余的配置參數(shù)Server向Client推送的參數(shù)至少要包含分配給Client的IP地址第66頁，共91頁。流程5-Server進(jìn)行反向路由注入Remote PC with Easy Remote VPN Client 3.xIOS router 12.2(8)TEasy VPN Server創(chuàng)建RRI靜態(tài)路由Server進(jìn)行反向路由注入(Reverse Route Injeciton，RRI)，為剛分配的Client端IP地址產(chǎn)生一條靜態(tài)路由，以便正確地路由發(fā)送給Client端的數(shù)據(jù)包第67頁，共91頁

45、。流程6-建立IPSec SARemote PC with Easy Remote VPN Client 3.xIOS router 12.2(8)TEasy VPN Server建立 IPSec SAVPN tunnelClient收到配置參數(shù)，雙方建立IPSec SA第68頁，共91頁。Easy VPN在Server端的配置步驟vpngate1創(chuàng)建IKE策略集，該策略集至少要能與VPN Client的一個內(nèi)置策略集相匹配，以便在Server和Client之間建立IKE SA定義要推送給Client的組屬性，其中包含分配給Client的地址池、Pre-Share Key等定義IPSec變換集

46、(只用于Client觸發(fā)建立IPSec SA時，如果是Server觸發(fā)建立IPSec SA就不需要使用)啟用DPD死亡對端檢測配置Xauth擴(kuò)展認(rèn)證把Crypto Map應(yīng)用到路由器端口上第69頁，共91頁。創(chuàng)建IKE策略集vpngate1(config)# crypto isakmp enablevpngate1(config)# crypto isakmp policy 1vpngate1(config-isakmp)# authen pre-sharevpngate1(config-isakmp)# encryption 3desvpngate1(config-isakmp)# grou

47、p 2vpngate1(config-isakmp)# exitAuthen: Preshared keysEncryption: 3-DESDiffie-Hellman: Group 2Other settings: DefaultPolicy 1vpngate1第70頁，共91頁。Cisco VPN Client內(nèi)置的部分策略集DESMD5DH2Pre-share3DESMD5DH2Pre-share3DESSHADH2Pre-sharevpngate1第71頁，共91頁。定義分配給Client的地址池Router(config)#ip local pool default | pool-

48、namelow-ip-address high-ip-addressvpngate1(config)# ip local pool remote-pool 10.0.1.100 10.0.1.150vpngate1Remote clientremote-pool10.0.1.100 to 10.0.1.150Pool地址池中的地址將分配給Client端第72頁，共91頁。定義推送給Client的組屬性router(config)#crypto isakmp client configuration group group-name | defaultvpngate1(config)# cryp

49、to isakmp client configuration group vpngroup1 vpngate1(config-isakmp-group)#key myvpnkeyvpngate1(config-isakmp-group)# pool remote-poolKey: myvpnkeyPool name: remote-pool Group: vpngroup1vpngate1Remote client可定義多個組，每個組使用自己的pre-share key和地址池第73頁，共91頁。配置組屬性的查詢模式Router(config)#aaa authorization networ

50、k group-name local group radiusvpngate1(config)# aaa new-modelvpngate1(config)# aaa authorization network vpn-remote-access localvpngate1Remote clientvpn-remote-accessGroupRouter(config)#aaa new-model定義查詢模式vpn-remote-access，表明是在路由器本地查詢第74頁，共91頁。把組屬性查詢模式與Crypto Map關(guān)聯(lián)Router(config)#crypto map map-name

51、 isakmp authorization list list-namevpngate1(config)# crypto map dynmap isakmp authorization list vpn-remote-accessvpngate1Remote clientvpn-remote-accessGroup第75頁，共91頁。配置路由器響應(yīng)Client的IP地址申請router(config)#crypto map map-name client configuration address initiate | respondvpngate1(config)# crypto map d

52、ynmap client configuration address respondvpngate1Remote client第76頁，共91頁。router(config)#crypto ipsec transform-set transform-set-name transform1 transform2 transform3vpngate1(config)# crypto ipsec transform-set vpntransform esp-3des esp-sha-hmacvpngate1(cfg-crypto-trans)# exitvpntransformTransform s

53、et namevpngate1Remote client創(chuàng)建IPSec變換集第77頁，共91頁。Router(config)#crypto dynamic-map dynamic-map-namedynamic-seq-numvpngate1(config)# crypto dynamic-map maptemplate 1vpngate1(config-crypto-map)#set transform-set vpntransformvpngate1(config-crypto-map)# reverse routevpngate1(config-crypto-map)# exitmaptemplate 1Crypto map name/sequence #vpngate1創(chuàng)建動態(tài)Crypto Map&Reverse route insert:反響路由注入,這個路由是使得路由器能夠到達(dá)客戶端&第78頁，共91頁。動態(tài)Cr