虚拟专用网(***)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。摘自——百度百科

我们今天主要说的是ipsec ***建立的过程极其如何工作的,理解这点对以后我们配置极其维护***有着不小的帮助。虽然cisco提供不少工具如(SDM ASDM)可以简化我们的配置工作,而这些工具不是我们每次配置完毕就是可以完好的完成我们的工作的,在构建ipsec回话的时候有两种事情发生这取决于是lan to lan还是远程访问的ipsec会话,下面我们分开说

lan to lan

1.首先***网关peer发起到另一端peer的回话

2.isakmp/ike阶段1开始商讨如何保护管理连接

3.D-H用于在管理连接上对于加密算法和HMAC功能安全的的共享密钥

4.执行设备验证   一阶段结束

我们看下命令:

crypto isakmp policy 10

encryption {des/3des/aes}                    指定加密算法

hash{md5/sha}                                     完整性验证算法

authentication{rsa-sig/rsa-encr/pre-share}     设备认证

group{1/2/5}                                             D-H密钥组号

lifetime{86400s}                                                  生存时间

我们在实际用于中一般指定设备认证为pre-share  lifetime我们一般是默认就好,在我们指定设备验证时  crypto isakmp identity {address/hostname}我们选ip add认证但如果我们选择hostname 必须加上ip hostname {hostname ip add1……8}指定ip地址

第二阶段:1.peer协商密钥和参数保护数据连接,如保护怎么样的数据,如何保护,加密数据发给谁

                    2.开始传输数据 结束传输  重新建立就回话

命令如下:crypto  map mymap 10 ipsec-isakmp                建立静态映射条目

                   set peer                                                  设置acl指定的流量极其和谁建立连接

                    set transform-set                                指定传输集 加密保护的流量

                    match-address                                  指定保护的ACL

                   set pfs (group1/2/5)                                  可选  指定数据连接转发密钥

                   set security-association  level peer-host     可选

                   set security-association  lifetime  {seconds/kilobytes}  生存周期

                  set security-association  idle-time                       空闲超时

远程访问连接:我们知道一般远程的端ip不固定,我们可以使用动态***或者easy***连接回话

1.远端客户发起***网关回话

2.协商管理连接阶段1开始

3.D-H用于在管理连接上对于加密算法和HMAC功能安全的的共享密钥

4.执行设备认证

5.可选性,执行用户验证,***网关需要用户和密码

6.推模式也就是***网关把策略信息pull到客户端,cisco有两种模式客户模式和L-TO-L模式,远程访问一般是客户模式

7.可选性  反向路由注入

8.阶段2开始

我们在这说下cisco两种模式区别

 

 

客户模式,***网关直接分配一个内部ip add给分部网络,分部通过pat转换ip与总部通信

 

 

而L-TO-L是直接分配ip给分支客户无需转换

关于反向路由注入(RRI)主要是解决路由有去无回的情况,

1. 在客户端模式下,客户会得到***网关分配的一个内部地址,***网关会在本地路由注入一个静态路由,保证流量回去分支。

2. 处于网络扩展模式(L-TO-L)客户会将他的内部接口网络号通过isakmp/ike阶段1发给***网关,执行pat转换。