×××是指利用internet或其他公共网络为用户建立一条临时的,安全的隧道,并提供与专用网络相同的安全和功能保障。×××是对企业内部网的扩展,他可以帮助远程用户,公司分支机构与公司内部网建立可信的安全连接,并保证数据的安全传输。
当然×××技术的加密方式有很多种,目前最为安全的是IPSec加密技术,他可以实现数据通信的保密性,完整性和不可否认性。今天就由我为大家介绍通过IPSec加密技术构建×××。
配置实例:
公司在北京而分公司在上海,如果租用光纤业务费用会比较高,另外安全性也没有保证,特别是对内网的访问方面。我们要在总公司和分公司之间建立有效的×××连接。具体网络拓扑如图1所示。北京路由器名为RT-BJ,通过10.0.0.1/24接口和上海路由器连接,另一个接口连接北京公司内部的计算机172.16.1.0/24;上海路由器名为RT-SH,通过10.0.0.2/24接口和总公司路由器连接,另一个接口连接分公司内部的计算机172.16.2.0/24。
公司在北京而分公司在上海,如果租用光纤业务费用会比较高,另外安全性也没有保证,特别是对内网的访问方面。我们要在总公司和分公司之间建立有效的×××连接。具体网络拓扑如图1所示。北京路由器名为RT-BJ,通过10.0.0.1/24接口和上海路由器连接,另一个接口连接北京公司内部的计算机172.16.1.0/24;上海路由器名为RT-SH,通过10.0.0.2/24接口和总公司路由器连接,另一个接口连接分公司内部的计算机172.16.2.0/24。
配置命令:
总公司路由器:
crypto isakmp policy 1 创建ISAKMP策略,优先级为1
encryption des 指定ISAKMP策略使用DES进行加密
hash sha 指定ISAKMP策略使用MD5进行HASH运算
authentication pro-share 指定ISAKMP策略使用预共享密钥的方式对上海分公司路由器进行身份验证。
group 1 指定ISAKMP策略使用10位密钥算法
lifetime 28800 指定ISAKMP策略创建的ISAKMP SA的有效期为28800秒,默认为86400秒。
crypto isakmp identity address 指定ISAKMP与分部路由器进行身份认证时使用IP地址作为标志。
crypto isakmp key cisco123 address 10.0.0.2 指定ISAKMP与分部路由器进行身份认证时使用预共享密钥。
crypto ipsec transform-set bjset esp-des esp-md5-hmac 配置IPSec交换集
crypto map bjmap 1 ipsec-isakmp 创建加密图
set peer 10.0.0.2 指定加密图用于分支路由器建立×××连接
set transform-set bjset 指定加密图使用的IPSec交换集。
match address 101 指定使用此加密图进行加密的通信,用访问控制列表来定义
int fa0/0
ip address 172.16.1.1 255.255.255.0
ip address 172.16.1.1 255.255.255.0
设置内网接口
int s0/0
ip address 10.0.0.1 255.255.255.0
no ip mroute-cache
no fair-queue
clockrate 64000
crypto map bjmap
ip address 10.0.0.1 255.255.255.0
no ip mroute-cache
no fair-queue
clockrate 64000
crypto map bjmap
设置外网接口并指定在该接口上应用配置好的加密图
access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
access-list 101 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 101 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
配置访问控制列表指定需要加密的通信
上海分公司路由器:
在总部上设置完后还需要在上海分公司进行设置,只有双方在加密等协议方面统一了标准才能正常通讯。
crypto isakmp policy 1 创建ISAKMP策略,优先级为1
encryption des
指定ISAKMP策略使用DES进行加密
hash sha 指定ISAKMP策略使用MD5进行HASH运算
authentication pre-share 指定ISAKMP策略使用预共享密钥的方式对北京总公司路由器进行身份验证
group 1 指定ISAKMP策略使用10位密钥的算法
lifetime 28800 指定ISAKMP策略创建的ISAKMP SA的有效期为28800秒。默认为86400秒。
crypto isakmp identity address 指定ISAKMP与总部路由器进行身份验证时使用IP地址作为标识。
crypto isakmp key cisco123 address 10.0.0.1 指定ISAKMP与总部路由器进行身份认证时使用预共享密钥。
crypto ipsec transform-set shset esp-des esp-md5-hmac 配置IPSec交换集。
crypto map shmap 1 ipsec-isakmp 创建一个加密图,序号为1,使用ISAKMP协商创建SA
set peer 10.0.0.1
set peer 10.0.0.1
指定加密图用于上海分公司路由器建立×××连接
set transform-set shset 指定加密图使用IPSEC交换集
match address 101 指定使用此加密图进行加密的通信,通过访问控制列表来定义
int fa0/0
ip address 172.16.2.1 255.255.255.0
ip address 172.16.2.1 255.255.255.0
设置内网接口信息
int s0/0
ip address 10.0.0.2 255.255.255.0
no ip mroute-cache
no fair-queue
clockrate 64000
ip address 10.0.0.2 255.255.255.0
no ip mroute-cache
no fair-queue
clockrate 64000
设置外网接口信息
crypto map shmap 指定在外网接口应用加密图
access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
access-list 101 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 101 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
设置访问控制列表101指定需要加密的通信
总结:在总公司和分公司的路由器按照上面介绍的命令设置完毕后,两个公司之间就建立了×××连接,在上海分公司访问总公司内部计算机就好象访问自己内部网络中的计算机一样简单方便,通过网络传输的数据使用了IPSec技术进行加密,任何黑客使用诸如sniffer监听到的信息都是加密的,从而安全性得到了保证。
