ipsecVPN


ipsec穿越运营商网络,siteA-to-siteB的ipsecVPN配置。

ipsec基础知识

工作于TCP/IP第三层IP层上网络数据安全地一整套体系结构。
包括网络认证协议AH(Authentication Header,认证头)、ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Exchange,因特网密钥交换又称isakmp)和用于网络认证及加密的一些算法等。
其中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。

整个IPSec VPN地实现基本简化为两个SA协商完成:

SA

SA(security association):是两个通信实体经协商建立起来地一种协议,它们决定了用来保护数据包安全地IPsec协议,转码方式,密钥,以及密钥地有效存在时间等等。

IKE SA

IKE(isakmp)SA:协商对IKE数据流进行加密以及对对等体进行验证地算法(对密钥地加密和peer地认证)对等体之间只能存在一个。

第一阶段:建立ISAKMPSA协商的是以下信息:
1、对等体之间采用何种方式做认证,是预共享密钥还是数字证书。
2、双方使用哪种加密算法(DES、3DES)
3、双方使用哪种HMAC方式,是MD5还是SHA
4、双方使用哪种Diffie-Hellman密钥组
5、使用哪种协商模式(主模式或主动模式)
6、协商SA的生存期
IPSec SA:协商对对等体之间地IP数据流进行加密地算法 对等体之间可以存在多个

第二阶段:建立IPsecSA协商的是以下信息:
1、双方使用哪种封装技术,AH还是ESP
2、双方使用哪种加密算法
3、双方使用哪种HMAC方式,是MD5还是SHA
4、使用哪种传输模式,是隧道模式还是传输模式
5、协商SA的生存期

本次实验top图如下: ipsecVPN

R1

conf t
int e0/0
ip addr 10.0.12.1 255.255.255.0
no sh
int e0/1
ip addr 10.0.13.1 255.255.255.0
no sh
ip lo0
ip addr 1.1.1.1 255.255.255.255

R2:

conf t
interface Ethernet0/0
 ip address 10.0.12.2 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 crypto map SKMAP
interface Ethernet0/1
 ip address 192.168.1.254 255.255.255.0
 ip nat inside

ip nat inside source list 100 interface Ethernet0/0 overload
access-list 100 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
#穿越流量拒绝nat
access-list 100 permit ip any any
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 
#穿越流量 crypto ipsec-isamp 匹配地址
crypto isakmp policy 10 #控制层面封装、加密、认证方式、过期时间等信息
 encr aes
 hash md5
 authentication pre-share
 group 2
 lifetime 3600
crypto isakmp key 6 sklinux address 10.0.13.3 #对等体地址
crypto ipsec transform-set SK esp-aes esp-md5-hmac
 mode tunnel
crypto map SKMAP 10 ipsec-isakmp
 set peer 10.0.13.3
 set transform-set SK
 match address 101

R3

conf t
interface Ethernet0/1
 ip address 192.168.2.254 255.255.255.0
 ip nat inside
!
interface Ethernet0/0
 ip address 10.0.13.3 255.255.255.0
 ip nat outside
 crypto map SKMAP
 !
access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
crypto isakmp policy 10
 encr aes
 hash md5
 authentication pre-share
 group 2
 lifetime 3600
crypto isakmp key 6 sklinux address 10.0.12.2
crypto ipsec transform-set SK esp-aes esp-md5-hmac
 mode tunnel
crypto map SKMAP 10 ipsec-isakmp
 set peer 10.0.12.2
 set transform-set SK
 match address 101
ip nat inside source list 100 interface Ethernet0/0 overload
ip route 0.0.0.0 0.0.0.0 10.0.13.1

R4

conf t
int e0/0
ip addr 192.168.1.1 255.255.255.0
no sh
exit
no ip routing
ip default-gateway 192.168.1.254

R5

conf t
int e0/0
ip addr 192.168.2.1 255.255.255.0
no sh
exit
no ip routing
ip default-gateway 192.168.2.254

常用命令

查看管理连接SA状态

show crypto isakmp sa 

查看IKE策略

show crypto isakmp policy  

查看IPSEC传输集

show crypto ipsec transform-set  

查看数据连接SA状态

show crypto ipsec sa  

查看crypto map

show crypto map