本次以下面的拓扑图来讲解经典的站点到站点IPSec VPN配置.R1模拟公司站点一内部路由器.R2为公司站点一接入Internet路由器.R3模式互联网路由器.R4模拟公司站点二路由器.R2和R4是两个VPN站点连接互联网的网关路由器,同时它们也是IPSec VPN的加密设备.
需求:在R2和R4之间建立隧道模式的IPSec VPN保护通信网络之间的流量.
一.基本IP地址配置
R1上的基本IP配置
interface Loopback0
ip address 1.1.1.1 255.255.255.0
!
interface Ethernet0/0
ip address 10.1.1.10 255.255.255.0
duplex auto
R2上的基本IP配置
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
duplex auto
!
interface Ethernet0/1
ip address 202.100.1.1 255.255.255.0
duplex auto
R3上的基本IP配置
interface Ethernet0/1
ip address 202.100.1.10 255.255.255.0
duplex auto
!
interface Ethernet0/2
ip address 61.128.1.10 255.255.255.0
duplex auto
R4上的基本IP配置
interface Loopback0
ip address 2.2.2.2 255.255.255.0
!
interface Ethernet0/0
no ip address
shutdown
duplex auto
!
interface Ethernet0/1
no ip address
duplex auto
!
interface Ethernet0/2
ip address 61.128.1.1 255.255.255.0
duplex auto
二.VPN路由分析
上面只是对所有路由器的IP地址进行了配置,并没有配置任何路由。应该说中路由在整个IPSec VPN配置中占有非常重要的地们。如果没有解决好路由问题,IPSec VPN就会在建立隧道加密感兴趣流的时候出现 问题。可以这样说,IPSec VPN只是路由技术的一种拓展,是对原有网络技术的一种延伸,可以所原有的网络蔓延到各个角落 ,比如分支公司、员工家中等。借用Cisco对IPSec VPN技术的一个广告语“无边界网络”,这就理能说明VPN技术和传统路由技术之间的关系。既然路由问题这么重要,我们就需要好好讨论与IPSec VPN相关的路由问题。
R1上的路由配置
ip route 2.2.2.0 255.255.255.0 10.1.1.1
解决远端难信点路由R2上的路由配置
解决本地通信点路由
ip route 1.1.1.0 255.255.255.0 10.1.1.10
解决远端通信点路由
ip route 2.2.2.0 255.255.255.0 202.100.1.10
解决远端加密点路由
ip route 61.128.1.0 255.255.255.0 202.100.1.10
R3上有两个加密点的直连路由,不需要配置路由
R4上的路由配置
本地通信点2.2.2.2/24为直连路由,不需配置
解决远端通信点路由
ip route 1.1.1.0 255.255.255.0 61.128.1.10
解决远端加密点路由
ip route 202.100.1.0 255.255.255.0 61.128.1.10
R2上为什么要配去往2.2.2.0/24的路由?ip route 2.2.2.0 255.255.255.0 202.100.1.10
三、IPSec VPN的经典配置
R2上的配置
配置IKE第一阶段策略
crypto isakmp policy 10
<IKE数据包加密算法使用3DES,默认为DES>
encr 3des
<IKE数据包完整性检验的散列算法使用MD5,默认为SHA-1>
hash md5
<IKET第一个阶段5-6包,认证方式为预共享密钥认证,默认为数字签名认证>
authentication pre-share
<IKET第一个阶段3-4包,DH交换使用Group2,默认为Group1>
group 2
<IKET第一个阶段5-6包,认证方式为预共享密钥为L2Lkey,这个key仅仅用于认证,加密数据使用的密钥是3-4包DH产生的随机密钥>
crypto isakmp key L2Lkey address 61.128.1.1
!
配置IKE第二阶段策略
1、配置感兴趣流
ip access-list extended vpn
permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
<满足感兴趣流的数据会被加密,也就是通信点之间的流量>
2、配置IPSec策略(转换集)
crypto ipsec transform-set Trans esp-des esp-md5-hmac
<转换具体数据的策略,名字叫Trans,封装使用用esp,加密使用des,完整性校验使用md5-hmac>
mode tunnel<默认隧道模式>
3、配置Crypto map(第二阶段策略汇总)
crypto map cry-map 10 ipsec-isakmp
<一个ID“10”标识一个vpn, 一个map可以配置多个ID,一个接口只能运用一个map>
set peer 61.128.1.1
<设置和哪一个设备建立vpn>
set transform-set Trans
<设置转换数据的策略>
match address vpn
<匹配感兴趣流,通信点之间的流量>
4、将Crypto map应用到接口
interface Ethernet0/1
crypto map cry-map
R4上的配置
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key L2Lkey address 202.100.1.1
<L2Lkey用于认证,双方必须相同>
!
!
crypto ipsec transform-set cisco esp-des esp-md5-hmac
mode tunnel
< 转换集名字本地有效,无需和R2 相同>
!
!
!
crypto map cisco 10 ipsec-isakmp
<crypto map名字本地有效,无需R2相同>
set peer 202.100.1.1
set transform-set cisco
match address vpn
!
!
!
!
!
interface Loopback0
ip address 2.2.2.2 255.255.255.0
!
interface Ethernet0/0
no ip address
shutdown
duplex auto
!
interface Ethernet0/1
no ip address
duplex auto
!
interface Ethernet0/2
ip address 61.128.1.1 255.255.255.0
duplex auto
crypto map cisco
!
interface Ethernet0/3
no ip address
shutdown
duplex auto
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
ip route 1.1.1.0 255.255.255.0 61.128.1.10
ip route 202.100.1.0 255.255.255.0 61.128.1.10
!
ip access-list extended vpn
permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
<访问列表名字本地有效,无需和R2相同>
测试VPN
Inside#ping 2.2.2.2 source 1.1.1.1 repeat 100
Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (100/100), round-trip min/avg/max = 1/1/2 ms
查看状态
Site1#show crypto engine connections active
Crypto Engine Connections
ID Type Algorithm Encrypt Decrypt LastSeqN IP-Address
1 IPsec DES+MD5 0 304 304 202.100.1.1
2 IPsec DES+MD5 304 0 0 202.100.1.1
1001 IKE MD5+3DES 0 0 0 202.100.1.1
Site1#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
202.100.1.1 61.128.1.1 QM_IDLE 1001 ACTIVE
IPv6 Crypto ISAKMP SA
Site1#show crypto ipsec sa
interface: Ethernet0/1
Crypto map tag: cry-map, local addr 202.100.1.1
<本地加密点:202.100.1.1>
protected vrf: (none)
local ident (addr/mask/prot/port): (1.1.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (2.2.2.0/255.255.255.0/0/0)
<感兴趣流为1.1.1.0/24到2.2.2.0/24的IP流量>
current_peer 61.128.1.1 port 500
<远端加密点:61.128.1.1,ISAKMP的流量为UDP/500>
PERMIT, flags={origin_is_acl,}
#pkts encaps: 304, #pkts encrypt: 304, #pkts digest: 304
#pkts decaps: 304, #pkts decrypt: 304, #pkts verify: 304
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 202.100.1.1, remote crypto endpt.: 61.128.1.1
plaintext mtu 1446, path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/1
current outbound spi: 0x914432F4(2437165812)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0x8404947A(2214892666)
<EPS入方向的SPI,应该等于Site2 ESP出方向的SPI>
transform: esp-des esp-md5-hmac ,
<处理数据包的转换集为esp-des esp-md5-hmac>
in use settings ={Tunnel, }
<Ipsec VPN的封装模式为Tunnel>
conn id: 1, flow_id: SW:1, sibling_flags 80000040, crypto map: cry-map
sa timing: remaining key lifetime (k/sec): (4168446/2934)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x914432F4(2437165812)
<EPS出方向的SPI,应该等于Site2 ESP入方向的SPI>
transform: esp-des esp-md5-hmac ,
<处理数据包的转换集为esp-des esp-md5-hmac>
in use settings ={Tunnel, }
<Ipsec VPN的封装模式为Tunnel>
conn id: 2, flow_id: SW:2, sibling_flags 80000040, crypto map: cry-map
sa timing: remaining key lifetime (k/sec): (4168446/2934)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
outbound ah sas:
outbound pcp sas: