资料下载

在Cisco路由器之间配置站点到站点IPSec 虚拟专用网隧道

由管理员撰写。发表于 思科路由器-配置思科路由器

4.2485549132948 1 1 1 1 1 评分4.25(173投票)
压住他

站点到站点IPSec 虚拟专用网隧道用于允许在两个站点(例如办公室或分支机构)之间安全地传输数据,语音和视频。 虚拟专用网隧道是通过Internet公共网络创建的,并使用许多高级加密算法进行加密,以提供两个站点之间传输的数据的机密性。

本文将展示如何使用以下方法设置和配置两个Cisco路由器,以通过Internet创建永久的安全站点到站点VPN隧道。 IP安全(IPSec)协议。在本文中,我们假设两个Cisco路由器都具有一个 静态公共IP地址. 有兴趣配置对以下内容的支持的读者 动态公共IP地址端点路由器 可以参考我们的 使用动态IP端点思科路由器配置站点到站点IPSec 虚拟专用网 文章。

IPSec协议 虚拟专用网隧道也可以使用带有IPsec的GRE(通用路由封装)隧道来配置。 GRE隧道极大地简化了VPN隧道的配置和管理,这在我们的文章中已进行了介绍。 配置点对点GRE 虚拟专用网隧道 文章。 最后,DMVPN –一种新的VPN趋势,提供了很大的灵活性,几乎没有管理开销,也可以通过阅读我们的 了解思科动态多点VPN(DMVPN)动态多点VPN(DMVPN)部署模型& Architectures配置思科动态多点VPN(DMVPN)-集线器,分支,mGRE保护和路由-DMVPN配置 文章。

ISAMP(Internet安全协会和密钥管理协议)和IPSec对构建和加密VPN隧道至关重要。 ISAMP,也称为IKE(Internet密钥交换),是一种协商协议,该协议允许两个主机就如何建立IPsec安全关联达成协议。 ISAMP协商包括两个阶段:阶段1和阶段2。 

阶段1创建第一个隧道,该隧道保护以后的ISAKMP协商消息。第2阶段创建保护数据的隧道。 IPSec随后开始发挥作用,使用加密算法对数据进行加密,并提供身份验证,加密和防重播服务。

IPSec协议 虚拟专用网要求

为了使此操作易于完成,我们将其分为两个步骤,这些步骤才能使站点到站点IPSec 虚拟专用网隧道正常工作。

这些步骤是:

(1)  Configure ISAMP (ISAKMP第一阶段)

(2)  Configure IPSec协议  (ISAKMP阶段2,ACL,加密MAP)

我们的示例设置是在一家小公司的两个分支机构之间, Site 1Site 2。两个分支路由器都连接到Internet,并具有由其ISP分配的静态IP地址,如下图所示:

 思科路由器S2S-IPsec-VPN-1

Site 1 配置了一个内部网络 10.10.10.0/24,而 Site 2 配置了网络 20.20.20.0/24。目标是安全地连接两个LAN网络并允许它们之间的完全通信,而没有任何限制。

配置ISAKMP(IKE)-(ISAKMP阶段1)

IKE仅存在于为IPsec建立SA(安全关联)。在此之前,IKE必须与对等方协商SA(ISAKMP SA)关系。

首先,我们将开始使用站点1路由器(R1)。

第一步是配置ISAKMP阶段1策略:

R1(配置)#  crypto isakmp策略1
R1(config-isakmp)# 加密3des
R1(config-isakmp)# 哈希md5
R1(config-isakmp)# 验证预共享
R1(config-isakmp)# 2组
R1(config-isakmp)# 终身86400

 

上面的命令定义了以下内容(按列出的顺序):

3DES -用于阶段1的加密方法。
MD5 -哈希算法
预先分享 -使用预共享密钥作为身份验证方法
2组 -将使用Diffie-Hellman小组
86400 –会话密钥生存期。以千字节(经过x流量后,更改密钥)或秒表示。值集是默认值。

我们应该注意 ISAMP第一阶段 策略是全局定义的。这意味着,如果我们有五个不同的远程站点并配置了五个不同的ISAKMP第一阶段策略(每个远程路由器一个),当我们的路由器尝试与每个站点协商VPN隧道时,它将发送所有五个策略并使用第一个匹配项被两端接受。

接下来,我们将使用以下命令来定义用于与对等方(R2路由器)进行身份验证的预共享密钥:

R1(配置)# crypto isakmp密钥防火墙cx地址1.1.1.2

对方的预共享密钥设置为 防火墙 其公共IP地址为1.1.1.2。每次R1尝试与R2(1.1.1.2)建立VPN隧道时,都将使用此预共享密钥。

配置IPSec-4个简单步骤

要配置IPSec,我们需要按顺序设置以下内容:

  • 创建扩展的ACL
  • 创建IPSec转换
  • 创建加密图
  • 将加密映射应用于公共接口

让我们检查以上每个步骤。

步骤1:创建扩展ACL

下一步是创建访问列表,并定义我们希望路由器通过VPN隧道的流量。 在此示例中,它将是从一个网络到另一网络的流量,即从10.10.10.0/24到20.20.20.0/24。 定义VPN流量的访问列表有时也称为 加密访问列表 要么 有趣的交通访问清单.

R1(配置)# ip访问列表扩展VPN-TRAFFIC
R1(config-ext-nacl)# 许可ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255

步骤2:创建IPSec转换(ISAKMP阶段2策略)

下一步是创建用于保护数据的转换集。我们已命名为 TS :

R1(配置)# 加密ipsec转换集TS esp-3des esp-md5-hmac

上面的命令定义以下内容: 

- ESP-3DES -加密方式
- MD5 -散列算法

步骤3:建立加密图

加密映射是设置的最后一步,它将先前定义的ISAKMP和IPSec配置连接在一起:

R1(配置)# 加密映射CMAP 10 ipsec-isakmp
R1(配置-加密映射)# 设置对等体1.1.1.2
R1(配置-加密映射)# 设置变换集TS
R1(配置-加密映射)# 匹配地址VPN-TRAFFIC

我们已将加密地图CMAP命名为。的 ipsec-isakmp 标签告诉路由器此加密映射是IPsec加密映射。尽管在此加密映射(1.1.1.2)中仅声明了一个对等体,但是在给定的加密映射中可能有多个对等体。

步骤4:将加密映射应用于公共接口

最后一步是将加密映射应用于路由器的传出接口。此处,传出接口是FastEthernet 0/1。

R1(配置)# 接口FastEthernet0 / 1
R1(配置-如果)# 加密地图CMAP

请注意,您只能将一个加密映射分配给接口。

一旦在接口上应用了加密映射,我们就会收到来自路由器的消息 确认isakmp已打开:“ ISAMP已打开”。

至此,我们已经在站点1路由器上完成了IPSec 虚拟专用网配置。

现在,我们移至站点2路由器以完成VPN配置。路由器2的设置相同,唯一的区别是对等IP地址和访问列表:

R2(配置)# crypto isakmp策略1
R2(config-isakmp)# 加密3des
R2(config-isakmp)# 哈希md5
R2(config-isakmp)# 验证预共享
R2(config-isakmp)# 2组
R2(config-isakmp)# 终身86400

R2(配置)# crypto isakmp密钥防火墙cx地址1.1.1.1
R2(配置)# ip访问列表扩展VPN-TRAFFIC
R2(config-ext-nacl)# 许可ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255
 
R2(配置)# 加密ipsec转换集TS esp-3des esp-md5-hmac
R2(配置)# 加密映射CMAP 10 ipsec-isakmp
R2(配置-加密映射)# 设置对等1.1.1.1
R2(配置-加密映射)# 设置变换集TS
R2(配置-加密映射)# 匹配地址VPN-TRAFFIC

R2(配置)# 接口FastEthernet0 / 1
R2(配置-如果)# 加密地图CMAP

网络地址转换(NAT)和IPSec 虚拟专用网隧道

网络地址解读 (NAT)最有可能配置为提供对内部主机的Internet访问。在配置站点到站点VPN隧道时,必须指示路由器 不执行NAT (拒绝NAT)在发往远程VPN网络的数据包上。

可以通过在NAT访问列表的开头插入deny语句来轻松地完成此操作,如下所示:

对于站点1的路由器:

R1(配置)# 源列表100接口fastethernet0 / 1重载内的ip nat
R1(配置)# 访问列表100备注-= [定义NAT服务] =-
R1(配置)# 访问列表100拒绝ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255
R1(配置)# 访问列表100许可ip 10.10.10.0 0.0.0.255任何
R1(配置)# 访问列表100备注

和站点2的路由器:

R2(配置)# 源列表100接口fastethernet0 / 1重载内的ip nat
R2(配置)# 访问列表100备注-= [定义NAT服务] =-
R2(配置)# 访问列表100拒绝ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255
R2(配置)# 访问列表100许可ip 20.20.20.0 0.0.0.255任何
R2(配置)# 访问列表100备注

建立和验证IPSec 虚拟专用网隧道

至此,我们已经完成了配置,可以启动VPN隧道了。 要启动VPN隧道,我们需要强制一个数据包穿越VPN,这可以通过从一个路由器ping到另一个路由器来实现:

R1# ping 20.20.20.1源fastethernet0 / 0
输入转义序列以中止。
发送5个100字节的ICMP Echos到20.20.20.1,超时为2秒:
发送的源地址为10.10.10.1的数据包
。!!!!
成功率为80%(4/5),最小/平均/最大往返= 44/47/48毫秒

首先 icmp回声 (ping)收到超时,但是其余的收到了预期的回复。启用VPN隧道所需的时间有时会略大于2秒,从而导致第一次ping超时。

要验证VPN隧道,请使用show crypto session命令:

R1# 显示加密会话
加密会话当前状态
接口:FastEthernet0 / 1
会话状态: 活跃    
对等:1.1.1.2端口500
 IKE SA:本地1.1.1.1/500远程1.1.1.2/500 活性
 IPSEC流:允许ip 10.10.10.0/255.255.255.0 20.20.20.0/255.255.255.0
       活动SA:2,来源:加密映射

 返回思科路由器部分

压住他

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec协议配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec协议模式

思科公司 救命

  • 视窗 8 虚拟专用网客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置