IT技術互動交流平臺

Cisco路由器上配置L2L IPSec VPN實例

作者:銀凱的博客  來源:IT165收集  發布日期:2016-06-20 22:16:14

實例一 Cisco路由器實現L2L IPSecVPN——自明教教主

 

拓撲圖:

wKiom1dmQtXjesrOAAOqsZbfmuM636.png

描述:

通訊點:PC1的1.1.1.1和Site2的2.2.2.2

加密點:Site1的202.100.1.1和Site2的61.128.1.1

要求:通信點間通過IPSEC VPN實現安全通信

 

PC1:

基礎配置:

en

config t

no ip domain-lookup

line vty 0 15

logging synchronous

exec-timeout 0 0

password cisco

exit

 

接口配置:

int f0/0

ip add 10.1.1.10 255.255.255.0

no shut

int lo 0

ip add 1.1.1.1 255.255.255.0

end

 

路由配置:

config t

ip route 2.2.2.0 255.255.255.0 10.1.1.1 //只需配置去往Site2通訊點的路由。將去往遠端通訊點的路由送往本地加密設備的內部端口。

 

Site1:

基礎配置:

en

config t

no ip domain-lookup

line vty 0 15

logging synchronous

exec-timeout 0 0

password cisco

exit

 

接口配置

int f0/0

ip add 10.1.1.1 255.255.255.0

no shut

int f1/0

ip add 202.100.1.1 255.255.255.0

no shut

end

ping 10.1.1.10

 

路由配置:

conf t

ip route 1.1.1.0 255.255.255.0 10.1.1.10 //解決去往本地通訊點的路由

ip route 61.128.1.1 255.255.255.255 202.100.1.10 //解決遠端加密點路由

ip route 2.2.2.0 255.255.255.0 202.100.1.10 //遠端通訊點路由。若不加此路由條目,路由器會直接丟棄去往遠端通訊點的數據包。(1)當來自PC1的報文到達Site1的內部端口時首先會根據IP包頭的源目地址查路由表(也就是該條路由)。(2)路由查到會企圖通過外部端口送出。(3)因為該外部端口上配置有MAP,根據IP頭信息匹配MAP的感興趣流。(4)匹配上感興趣流后會出發加密。(5)經過ESP封裝,再次送往路由器查詢路由表。(6)匹配上去往遠端加密點的路由后再從外部接口送出,此時經過ESP封裝的報文不匹配MAP的ACL,放行從外部端口送出。如下圖:

wKioL1dmQrSzQkHSAAPebIMUjvA924.png

 

配置L2L IPSecVPN:

第一階段,IKE(ISAKMP) SA:

激活ISAKMP:

Site1(config)#crypto isakmp enable //路由器可選,默認已經激活

配置ISAKMP SA:

Site1(config)#crypto isakmp policy 10 //此處如果直接exit則會集成默認配置

Site1(config-isakmp)#encryption 3des //指定加密算法

Site1(config-isakmp)#hash md5 //指定hash算法

Site1(config-isakmp)#authentication pre-share //指定認證方式

Site1(config-isakmp)#group 2 //指定DH算法為group2

Site1(config-isakmp)#exit

指定遠端加密點和認證時用的預共享口令:

Site1(config)#crypto isakmp key 0 L2Lkey address 61.128.1.1

 

第二階段,IPSEC SA:

配置感興趣流:

Site1(config)#ip access-list extended vpn

Site1(config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

Site1(config-ext-nacl)#exit

配置IPSec策略:

Site1(config)#crypto ipsec transform-set Trans esp-des esp-md5-hmac //此處確定了感興趣流實際的加密和認證算法

Site1(cfg-crypto-trans)#exit

 

配置Crypto map:

Site1(config)#crypto map cry-map 10 ipsec-isakmp //一個接口只能調用一個MAP,一個MAP可以有多個ID,一個ID表示一個VPN

Site1(config-crypto-map)#set peer 61.128.1.1 //和誰建VPN

Site1(config-crypto-map)#match address vpn //匹配什么流量

Site1(config-crypto-map)#set transform-set Trans //使用哪個轉換集來處理

Site1(config-crypto-map)#exit

應用Crypto map至端口:

Site1(config)#int f1/0

Site1(config-if)#crypto map cry-map

Site1(config-if)#end

 

Internet:

基礎配置:

en

config t

no ip domain-lookup

line vty 0 15

logging synchronous

exec-timeout 0 0

password cisco

exit

 

接口配置:

int f1/0

ip add 202.100.1.10 255.255.255.0

no shut

int f0/0

ip add 61.128.1.10 255.255.255.0

no shut

end

ping 202.100.1.1

 

Site2:

基礎配置:

en

config t

no ip domain-lookup

line vty 0 15

logging synchronous

exec-timeout 0 0

password cisco

exit

 

接口配置:

int f0/0

ip add 61.128.1.1 255.255.255.0

no shut

int lo 0

ip add 2.2.2.2 255.255.255.0

no shut

exit

do ping 61.128.1.10

 

路由配置:

ip route 202.100.1.1 255.255.255.255 61.128.1.10 //遠端加密點;

ip route 1.1.1.0 255.255.255.0 61.128.1.10 //遠端通訊點;

do ping 202.100.1.1

 

配置L2L IPSecVPN:

第一階段,IKE(ISAKMP) SA:

Site2(config)#crypto isakmp enable 

Site2(config)#crypto isakmp policy 10

Site2(config-isakmp)#encryption 3des 

Site2(config-isakmp)#hash md5 

Site2(config-isakmp)#authentication pre-share 

Site2(config-isakmp)#group 2

Site2(config-isakmp)#exit

 

Site2(config)#crypto isakmp key 0 L2Lkey address 202.100.1.1

 

第二階段,IPSEC SA:

配置感興趣流:

Site2(config)#ip access-list extended vpn

Site2(config-ext-nacl)#permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

Site2(config-ext-nacl)#exit

配置IPSec策略:

Site2(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac 

Site2(cfg-crypto-trans)#exit

 

配置Crypto map:

Site2(config)#crypto map cry-map 10 ipsec-isakmp 

Site2(config-crypto-map)#set peer 202.100.1.1

Site2(config-crypto-map)#match address vpn 

Site2(config-crypto-map)#set transform-set cisco

Site2(config-crypto-map)#exit

應用Crypto map至端口:

Site2(config)#int f0/0

Site2(config-if)#crypto map cry-map

Site2(config-if)#exit

 

驗證:

 

PC1#ping 2.2.2.2 source 1.1.1.1 repeat 100

抓包截圖:

wKioL1dmQ8KhGl2gAABoUuew9-s086.png

 

 

查看ISAKMP SA:

Site1#show crypto isakmp sa

wKioL1dmREfSWUSyAAAj7M9cbWI479.png

 

 

查看IPSec SA:

Site1#show crypto ipsec sa

 

wKiom1dmRJ3Ty1ZqAAGJp_8MLvA958.png

wKiom1dmRJ7RoUVvAACH8usjtPs982.png

 

 

 

檢查活動的SA:

Site1#show crypto engine connections active 

wKiom1dmRNjDvuaiAABemRvuHVA168.png

 

可見,一個正常的IPSEC SA包含一個雙向的IKE SA(ISAKMP SA)和兩個單向的IPSEC SA,其中一個用于加密一個用于解密。

檢查一個IPSEC VPN是否正常,一般情況下使用show crypto engine connections active命令,能看到三個SA,并且加解密的數據包和PING通的數據包數量一致,基本上就無需再進一步驗證了。

 

查看crypto會話:

Site1#show crypto session

wKioL1dmRSOyUgjHAAB2oNLp3VM765.png

 

 
可見:加密端口為f1/0,狀態為ACTIVE;一個IKE SA,本地和對端的IP地址和端口(500/UDP);兩個IPSEC SA的狀態為ACTIVE,匹配的感興流。

 

清除SAs:

清除IKE/ISAKMP SA

Site1#clear crypto isakmp       

 

清除IPSec SA:            

Site1#clear crypto sa

再次查看:

wKioL1dmRk3BQVGDAAAiFEmrgiU740.png

Tag標簽: 路由器   實例  
  • 專題推薦

About IT165 - 廣告服務 - 隱私聲明 - 版權申明 - 免責條款 - 網站地圖 - 網友投稿 - 聯系方式
本站內容來自于互聯網,僅供用于網絡技術學習,學習中請遵循相關法律法規
香港最快开奖现场直播结果