1、软件要求:
需要ENTERPRISE PLUS IPSEC 56的IOS,目前使用的比较稳定版本是12.07T
2、硬件要求:
8 MB Flash and 40 MB RAM
在Download IOS版本时,会提示所Download的IOS版本
的软硬件要求。
(1)加密通道一旦建立,就不再断开
(2)Manual Key不提供anti-replay的功能
(3)在Manual Key方式时,access-list中只有1条permit起作用,其他都被忽略。
(4)在Manual Key方式下,两边的transform set的名字必须一样。
4、×××手工方式需要的主要命令:
(1)access-list
设置access-list,有对符合什么样条件的IP包进行加密。
(2)crypto isakmp
默认是使用crypto isakmp方式,所以在手工方式下,需要禁止此选项。
(3)crypto ipsec
配置IPSec的加密方式,选择manual方式
(4)crypto map
配置IPSec的加密方式
a)set peer
设置远程×××网关
b)set security-association
设置安全联盟,主要有inbound和outbound
c)set transform-set
设置加密形式
d)match address
对匹配access-list的进行加密。
5、×××的手工实现方式:
(1)配置access-list,对哪些包建立×××连接。
access-list 101 permit ip host 192.168.0.1 host 192.168.1.1
(2)取消×××的自动协商方式
no crypto isakmp enable
(3)建立一个IPSec的封装方式—两边的路由器需要一样的名称。在举例中是encry-des
crypto ipsec transform-set encry-desesp-des
(4)建立一个×××连接需要的各种条件—这里是ipsec-manual方式
crypto map vpntest 8 ipsec-manual
(5)在上一步用crypto map进入crypto配置模式
a) 配置远程的×××网关
set peer 202.106.185.2
b) 配置进出的安全联盟
set security-association inbound esp 1000 cipher 21 authenticator 01
配置入境联盟 加密方式 顺序号
set security-association outbound esp 1001 cipher 12 authenticator 01
c)设置IPSec的加密方式
set transform-set encry-des
d)对匹配地址进行加密
match address 101
(6)在路由器外部网口上绑定加密方式
int e 0/1
ip addr 202.106.185.1 255.255.255.0
crypto map vpntest
6、注意事项
(1)在两端的access-list要互为相反,如在A路由器上写:
access-list 101 permit ip host 192.168.0.1 host 192.168.1.1
则在B路由器上写:
access-list 101 permit ip host 192.168.1.1 host 192.168.0.1
(2)在两端的transform set名称要一致
如都写crypto ipsec transform-set encry-des esp-des
(3)在一端的inbound就是另一端的outboud,一端的outbound是另一端的inboud。因此他们的序列好应该相反。
如在A路由器上写:
set security-association inbound esp 1000 cipher 21 authenticator 01
set security-association outbound esp 1001 cipher 12 authenticator 01
则在B路由器上写:
set security-association inbound esp 1001 cipher 12 authenticator 01
set security-association outbound esp 1000 cipher 21 authenticator 01
(4)总之在使用手工方式时,在两端的配置应该尽量一样或相对。
7、应用条件
我认为在路由器上做×××主要有以下几种应用:
(1)可以使用在电信中二级节点和一级节点进行远程管理认证时使用。而一级节点和骨干节点由于通讯量比较大,不建议使用×××方式。而且为了减低负载只有在传输特殊应用时建议使用×××,不是只是简单地判断Source IP,Destination IP。
(2)移动用户在跟自己公司的服务器进行连接时使用。
(3)对于分公司、母公司这种形式在相互通信过程中使用。
8、用×××的好处
(1)节约成本,因为不要在做大量投资,购买专业设备,只需用现有的路由器即可。
(2)实现了加密,保证重要数据在传输过程中的安全性。
(3)灵活性强。如果用户通过路由器接入Internet,则可以自己配置保证安全性。不过对于ISP来说用处不大。
9、×××应用举例:
在路由器R1上配置如下:
no crypto isakmp enable
crypto ipsec transform-set encry-des esp-des
crypto map vpntest 8 ipsec-manual
set peer 202.106.185.2
set security-association inbound esp 1000 cipher 21 authenticator 01
set security-association outbound esp 1001 cipher 12 authenticator 01
set transform-set encry-des match address 101
interface Ethernet0/0
ip address 192.168.0.1 255.255.255.0
interface Ethernet0/1
ip address 202.106.185.1 255.255.255.0
crypto map vpntest
ip route
access-list 101 permit ip host 192.168.0.1 host 192.168.1.1
在路由器R2上配置如下:
no crypto isakmp enable
crypto ipsec transform-set encry-des esp-des
crypto map vpntest 8 ipsec-manual set peer 202.106.185.1
set security-association inbound esp 1001 cipher 12 authenticator 01
set security-association outbound esp 1000 cipher 21 authenticator 01
set transform-set encry-des match address 101
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
interface Ethernet0/1
ip address 202.106.185.2 255.255.255.0
crypto map vpntest
ip route 0.0.0.0 0.0.0.0 202.106.185.1
access-list 101 permit ip host 192.168.1.1 host 192.168.0.1
IKE方式的实现
1、IKE使用UPD 500
2、支持CA
3、支持移动用户
IKE包括的组件:
1、DES
2、Diffie-Hellman-preshare key
3、RSA signatures(CA)and RSA encrypted nonces
IKE配置内容:
1、enable IKE—default enable
2、accesslist
3、transformset
4、crypto map
5、binding interface
IKE Policy—两边的号码可以不一样,匹配:
authentication、hash、diff-herman、encrytpion,lifetime(取最小值)
1、authentication
(1)RSA signature
(2)RSA non
(3)Preshare Key
2、encryption
IKE配置
(1)配置accesslist
(2)crypto isakmp enable(默认打开,但为了避免,还是写上)
(3)crypto isakmp policy 10
a)encryption algorithm:DES
b)hash algorithm:SHA1
c)authentication method:RSA sig
d)Diffie-Hellman group:1
e)Lifetime:86400
(4)crypto isakmp key test address 202.106.100.2
(5)crypto ipsec transform-set set2 ah-sha-hmac
esp-des esp-sha-hmac
(6)crypto map IKE ipsec-isakmp
a)set peer remote IP
b)set transform-set
c)set pfs group2
d)match address
(7)dir
使用RSA的-encr方式
ip domain-name
crypto key generate rsa
sh crypto key mypubkey rsa
crypto key pubkey-chain rsa
key-string
什么时候使用手工方式,什么时候使用IKE方式
一、 网络需求: 3个分支要求数据实时查询
---- 该单位公司总部在北京,全国有3个分支机构。要求做到在4个地点的数据能够实时查询,便于业务员根据具体情况作出正确决策。早期方案是使用路由器,通过速率为256Kbps的DDN专网连接北京总部。但技术人员通过市场调研,发现该网络运营成本过高。通过进一步的咨询和调整,最终方案是分支机构使用DDN在本地接入Internet,总部使用以太网就近接入Internet。并对互联的路由器进行配置,使用×××技术,保证内部数据通过Internet安全传输。该企业的网络分布见附图。
---- 在实施配置前,需要检查硬件和软件是否支持×××。对于Cisco路由器,要求IOS版本高于
1. 配置路由器的基本参数,并测试网络的连通性
---- (1) 进入路由器配置模式
---- (1) 配置外出路由并测试
---- 以下配置是配置×××的关键。首先,×××隧道只能限于内部地址使用。如果有更多的内部网络,可在此添加相应的命令。
---- 将所有路由器按照上述过程,根据具体的环境参数,做必要修改后,完成×××的配置。网络部分任务完成,可以顺利开展业务应用了。
Cisco 路由器上×××的实现
精选 转载3、IPSec手工方式的注意事项: 0.0.0.0 0.0.0.0 202.106.185.2
编者按:×××是企业实现安全远程互联的有效方法。本文根据一个应用实例,具体描述×××的配置和实施过程。其主要应用特点包括:基于封装安全负载标准ESP-DES(Encapsulating Securiry Payload – Data Encryption Standard)的IPSec;专有网络通过端口地址转换(PAT)技术访问Internet.
二、×××配置过程及测试步骤 12.0.6(5)T,且带IPSec功能。本配置在Cisco路由器上配置通过。
---- 以下是分支网络1的路由器实际配置过程,其他路由器的配置方法与此基本一致,只需修改具体的环境参数(IP地址和接口名称)即可。
---- 以下黑体字为输入部分,< Enter >为键盘对应键,^Z为Ctrl+Z组合键。
---- 将计算机串口与路由器console口连接,并按照路由器说明书配置“终端仿真”程序。执行下述命令进入配置模式。
---- Router>en
---- Router#config terminal
---- Router(config)#
---- (2)配置路由器的基本安全参数
---- 主要是设置特权口令、远程访问口令和路由器名称,方便远程调试。
---- Router(config)#enable secret xxxxxxx
---- Router(config)#line vty 0 4
---- Router(config-line)#password xxxxxx
---- Router(config-line)#exit
---- Router(config)#hostname huadong
---- huadong(config)#
---- (3)配置路由器的以太网接口,并测试与本地计算机的连通性
---- 注意: 配置前,请将线缆与相关设备连接好。其中ethernet0/0端口接内部网络,serial0/0端口接外部网络。外部网络接口地址由ISP分配,至少一个地址,多者不限。以下假定为一个,使用PAT(端口地址转换)模式,地址为210.75.32.9,上级路由器为210.75.32.10。内部网络地址如附图所标示。
---- 关键是配置IP地址和启用以太网接口。测试时,使用基本的测试命令ping。
---- huadong(config)#inter eth0/0
---- huadong(config-if)#ip address 172.17.1.1 255.255.255.0
---- huadong(config-if)#no shutdown
---- 以下是测试命令:
---- huadong#ping 172.17.1.1
---- …
---- !!!!!
---- …
---- huadong#ping 172.17.1.100
---- …
---- !!!!!
---- …
---- 在IP地址为172.17.1.100的计算机上:
---- c:>ping 172.17.1.1
---- Pinging 172.17.1.1 with 32 bytes of data:
---- Reply from 172.17.1.1: bytes=32 time=5ms TTL=255
---- ……
---- 结果证明连接及配置正确。
---- (4)配置路由器的串口,并测试与上级路由器的连通性
---- 与以太网口的配置方法类似,而且需要指定带宽和包的封装形式。同时,注意将Cisco设备特有的CDP协议关掉,保证基本的安全。
---- huadong(config)#inter serial0/0
---- huadong(config-if)#ip address 210.75.32.9 255.255.255.252
---- huadong(config-if)#bandwidth 256
---- huadong(config-if)#encapsulation ppp
---- huadong(config-if)#no cdp enable
---- huadong(config-if)#no shutdown
---- 以下是测试命令:
---- huadong#ping 210.75.32.9
---- ……
---- !!!!!
---- ……
---- huadong#ping 210.75.32.10
---- ……
---- !!!!!
---- ……
---- 结果证明连接及配置正确。
三。 配置路由器NAT网络
---- 主要是配置缺省路由。
---- huadong(config)#ip route 0.0.0.0 0.0.0.0 210.75.32.9
---- huadong#ping 211.100.15.36
---- ……
---- !!!!!
---- ……
---- 结果证明本路由器可以通过ISP访问Internet。
---- (2)配置PAT,使内部网络计算机可以访问外部网络,但不能访问总部和分支机构
---- 主要是基于安全目的,不希望内部网络被外部网络所了解,而使用地址转换(NAT)技术。同时,为了节约费用,只租用一个IP地址(路由器使用)。所以,需要使用PAT技术。使用NAT技术的关键是指定内外端口和访问控制列表。
---- 在访问控制列表中,需要将对其他内部网络的访问请求包废弃,保证对其他内部网络的访问是通过IPSec来实现的。
---- huadong(config)#inter eth0/0
---- huadong(config-if)#ip nat inside
---- huadong(config-if)#inter serial0/0
---- huadong(config-if)#ip nat outside
---- huadong(config-if)#exit
---- 以上命令的作用是指定内外端口。
---- huadong(config)#route-map abc permit 10
---- huadong(config-route-map)#match ip address 150
---- huadong(config-route-map)#exit
---- 以上命令的作用是指定对外访问的规则名。
---- huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.16.0.0 0.0.255.255
---- huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.17.2.0 0.0.0.255
---- huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.17.3.0 0.0.0.255
---- huadong(config)#access-list 150 permit ip 172.17.1.0 0.0.0.255 any
---- 以上命令的作用是指定对外访问的规则内容。例如,禁止利用NAT对其他内部网络直接访问(当然,专用地址本来也不能在Internet上使用),和允许内部计算机利用NAT技术访问Internet(与IPSec无关)。
---- huadong(config)#ip nat inside source route-map abc interface serial0/0 overload
---- 上述命令的作用是声明使用串口的注册IP地址,在数据包遵守对外访问的规则的情况下,使用PAT技术。
---- 以下是测试命令,通过该命令,可以判断配置是否有根本的错误。例如,在命令的输出中,说明了内部接口和外部接口。并注意检查输出与实际要求是否相符。
---- huadong#show ip nat stat
---- Total active translations: 0 (0 static, 0 dynamic; 0 extended)
---- Outside interfaces:
---- Serial0/0
---- Inside interfaces:
---- Ethernet0/0
---- ……
---- 在IP地址为172.17.1.100的计算机上,执行必要的测试工作,以验证内部计算机可以通过PAT访问Internet。
---- c:>ping 210.75.32.10
---- ……
---- Reply from 210.75.32.10: bytes=32 time=1ms TTL=255
---- ……
---- c:>ping http://www.ninemax.com
---- ……
---- Reply from 211.100.15.36: bytes=32 time=769ms TTL=248
---- ……
---- 此时,在路由器上,可以通过命令观察PAT的实际运行情况,再次验证PAT配置正确。
---- huadong#show ip nat tran
---- Pro Inside global Inside local Outside local Outside global
---- icmp 210.75.32.9:1975 172.17.1.100:1975 210.75.32.10:1975 210.75.12.10:1975
---- ……
---- 以上测试过程说明,NAT配置正确。内部计算机可以通过安全的途径访问Internet。当然,如果业务要求,不允许所有的内部员工/计算机,或只允许部分内部计算机访问Internet,那么,只需要适当修改上述配置命令,即可实现。
四。 配置ESP-DES IPSec并测试
---- huadong(config)#access-list 105 permit ip 172.17.1.0 0.0.0.255 172.16.0.0 0.0.255.255
---- huadong(config)#access-list 106 permit ip 172.17.1.0 0.0.0.255 172.17.2.0 0.0.0.255
---- huadong(config)#access-list 107 permit ip 172.17.1.0 0.0.0.255 172.17.3.0 0.0.0.255
---- 指定×××在建立连接时协商IKE使用的策略。方案中使用sha加密算法,也可以使用md5算法。在IKE协商过程中使用预定义的码字。
---- huadong(config)#crypto isakmp policy 10
---- huadong(config-isakmp)#hash sha
---- huadong(config-isakmp)#authentication pre-share
---- huadong(config-isakmp)#exit
---- 针对每个×××路由器,指定预定义的码字。可以一样,也可以不一样。但为了简明起见,建议使用一致的码字。
---- huadong(config)#crypto isakmp key abc2001 address 211.157.243.130
---- huadong(config)#crypto isakmp key abc2001 address 202.96.209.165
---- huadong(config)#crypto isakmp key abc2001 address 192.18.97.241
---- 为每个×××(到不同的路由器,建立不同的隧道)制定具体的策略,并对属于本策略的数据包实施保护。本方案包括3个×××隧道。需要制定3个相应的入口策略(下面只给出1个)。
---- huadong(config)#crypto map abc 20 ipsec-isakmp
---- huadong(config-crypto-map)#set peer 211.157.243.130
---- huadong(config-crypto-map)#set transform-set abc-des
---- huadong(config-crypto-map)#match address 105
---- huadong(config-crypto-map)#exit
---- 使用路由器的外部接口作为所有×××入口策略的发起方。与对方的路由器建立IPSec。
---- huadong(config)#crypto map abc local-address serial0
---- IPSec使用ESP-DES算法(56位加密),并带SHA验证算法。
---- huadong(config)#crypto ipsec transform-set abc-des esp-des esp-sha-hmac
---- 指明串口使用上述已经定义的策略。
---- huadong(config)#inter serial0/0
---- huadong(config-if)#crypto map abc
---- 在IP地址为172.17.1.100的计算机上验证:
---- c:>ping 172.16.1.100
---- ……
---- Reply from 172.16.1.100: bytes=32 time=17ms TTL=255
---- ……
---- huadong#show crypto engine conn acti
---- ID Interface IP-Address State Algorithm Encrypt Decrypt
---- 1 < none > < none > set HMAC_SHA+DES_56_CB 0 0
---- 2000 Serial0/0 210.75.32.9 set HMAC_SHA+DES_56_CB 0 452
---- 2001 Serial0/0 210.75.32.9 set HMAC_SHA+DES_56_CB 694 0
---- 同时,这种连接使用了IPSec,而没有使用NAT技术。
五、测试:×××应用测试
---- 如果需要,路由器本身提供更详细的调试命令:
---- debug crypto engine connections active
---- debug crypto isakmp sa
---- debug crypto ipsec sa
---- 在调试时,需要注意,在对应路由器上也执行相应的调试命令。然后,在一台客户机(172.17.1.100)上执行如下命令:
---- c:>ping 172.16.1.100 -n 1
---- 最后,对比2个路由器的输出,观察出现问题的提示——这是隧道不能建立的主要原因。针对此提示,做必要的修改工作,便可圆满完成×××的配置计划。
---- 在实际中,该方案完全满足用户需求,并充分验证了×××技术的可用性和实用性。至今运行正常,用户非常满意。
上一篇:认识电脑进程
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
Cisco路由器常用查看命令
Cisco路由器常用查看命令
链路 加解密 路由表 Cisco路由器常用查看命令】 -
cisco路由器实现IPesc×××
IP地址: R1 F0/0 1.1.1.1/24
cisco IPsecVPV -
cisco路由器上配置PAT实现共享上网
图片没能提供,可在附件里面看
职场 路由器 共享上网 休闲