ipsec穿越运营商网络,siteA-to-siteB的ipsecVPN配置。
ipsec基础知识
工作于TCP/IP第三层IP层上网络数据安全地一整套体系结构。
包括网络认证协议AH(Authentication Header,认证头)、ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Exchange,因特网密钥交换又称isakmp)和用于网络认证及加密的一些算法等。
其中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。
整个IPSec VPN地实现基本简化为两个SA协商完成:
SA
SA(security association):是两个通信实体经协商建立起来地一种协议,它们决定了用来保护数据包安全地IPsec协议,转码方式,密钥,以及密钥地有效存在时间等等。
IKE SA
IKE(isakmp)SA:协商对IKE数据流进行加密以及对对等体进行验证地算法(对密钥地加密和peer地认证)对等体之间只能存在一个。
第一阶段:建立ISAKMPSA协商的是以下信息:
1、对等体之间采用何种方式做认证,是预共享密钥还是数字证书。
2、双方使用哪种加密算法(DES、3DES)
3、双方使用哪种HMAC方式,是MD5还是SHA
4、双方使用哪种Diffie-Hellman密钥组
5、使用哪种协商模式(主模式或主动模式)
6、协商SA的生存期
IPSec SA:协商对对等体之间地IP数据流进行加密地算法 对等体之间可以存在多个
第二阶段:建立IPsecSA协商的是以下信息:
1、双方使用哪种封装技术,AH还是ESP
2、双方使用哪种加密算法
3、双方使用哪种HMAC方式,是MD5还是SHA
4、使用哪种传输模式,是隧道模式还是传输模式
5、协商SA的生存期
本次实验top图如下:
R1
conf t
int e0/0
ip addr 10.0.12.1 255.255.255.0
no sh
int e0/1
ip addr 10.0.13.1 255.255.255.0
no sh
ip lo0
ip addr 1.1.1.1 255.255.255.255
R2:
conf t
interface Ethernet0/0
ip address 10.0.12.2 255.255.255.0
ip nat outside
ip virtual-reassembly in
crypto map SKMAP
interface Ethernet0/1
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip nat inside source list 100 interface Ethernet0/0 overload
access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
#穿越流量拒绝nat
access-list 100 permit ip any any
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
#穿越流量 crypto ipsec-isamp 匹配地址
crypto isakmp policy 10 #控制层面封装、加密、认证方式、过期时间等信息
encr aes
hash md5
authentication pre-share
group 2
lifetime 3600
crypto isakmp key 6 sklinux address 10.0.13.3 #对等体地址
crypto ipsec transform-set SK esp-aes esp-md5-hmac
mode tunnel
crypto map SKMAP 10 ipsec-isakmp
set peer 10.0.13.3
set transform-set SK
match address 101
R3
conf t
interface Ethernet0/1
ip address 192.168.2.254 255.255.255.0
ip nat inside
!
interface Ethernet0/0
ip address 10.0.13.3 255.255.255.0
ip nat outside
crypto map SKMAP
!
access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
crypto isakmp policy 10
encr aes
hash md5
authentication pre-share
group 2
lifetime 3600
crypto isakmp key 6 sklinux address 10.0.12.2
crypto ipsec transform-set SK esp-aes esp-md5-hmac
mode tunnel
crypto map SKMAP 10 ipsec-isakmp
set peer 10.0.12.2
set transform-set SK
match address 101
ip nat inside source list 100 interface Ethernet0/0 overload
ip route 0.0.0.0 0.0.0.0 10.0.13.1
R4
conf t
int e0/0
ip addr 192.168.1.1 255.255.255.0
no sh
exit
no ip routing
ip default-gateway 192.168.1.254
R5
conf t
int e0/0
ip addr 192.168.2.1 255.255.255.0
no sh
exit
no ip routing
ip default-gateway 192.168.2.254
常用命令
查看管理连接SA状态
show crypto isakmp sa
查看IKE策略
show crypto isakmp policy
查看IPSEC传输集
show crypto ipsec transform-set
查看数据连接SA状态
show crypto ipsec sa
查看crypto map
show crypto map