由於Internet寬帶接入的普及,它的帶寬與價格非常的便宜(相對於專線而言).8M的ADSL價位不到兩千元/年.越來越多的企業開始發掘基於寬帶接入的增值應用.由於***技術的成熟,如對數據的加密技術與*** Qos技術的發展,使得基於Internet接入的***應用日趨增多.
***技術可用於遠程用戶的接入(用於取代傳統撥號接入技術)訪問,用於對主線路的備份作爲備份鏈路,甚至可以取代傳統的專線地位用於企業各分支機構的專有網絡互聯.
用於取代專線或備份線路接入的Site-to-Site ***接入技術,用於遠程終端用戶接入訪問的Remote-***(也叫Easy ***,取代傳統撥號接入).
基於WEB頁面訪問的WEB ***技術.又叫SSL ***.
1.Site-to-site ***(三種類型)
站點間的***技術.IKE使用UDP端口500,Ipsec ESP和AH使用協議號50和51.因此如果要實現***穿越,必須在相應接口上配置訪問列表以允許***流量通過。
Site-to-Site ***的配置通常可分爲四個步驟:
1.傳統路由及需互訪的流量定義
定義路由設置
感興趣的流量(即定義互訪的內網主機流量以觸發***參數協商)
2.定義IKE參數(IKE第一階段安全關聯協商)
定義ISAKMP策略
定義ISAKMP對等體和驗證密鑰
3.定義Ipsec參數 (IKE第二階段安全關聯協商)
定義Ipsec的轉換集Transform
定義Ipsec的加密映射(crypto map)。
4.將加密映射應用到相應接口。
當路由器收到一個數據包時,它將檢查安全策略(即所定義的感興趣的流量)以決定是否爲此數據包提供保護。如果匹配訪問列表所定義的流量,則路由器決定採用何種安全服務,並決定IPSEC端點所使用的地址,並檢查是否存在一個安全關聯(security association).
如果沒有安全關聯,則路由器將與對等體協商建立。而IKE用來在站點路由器之間建立一個提供驗證的安全通道,並在此安全通道上進行Ipsec安全關聯的協商。IKE首先驗證它的對等體,可通過預共享密鑰,公鑰密碼或數字簽名來實現。一旦對等體被驗證通過,Diffe-Hellman協議用來產生一個共有的會話密鑰。
1.1靜態地址
1.站點間用於建立***的兩臺設備都有靜態公網地址.
內部主機通過NAT地址轉換後訪問Internet.但內部主機之間的訪問流量不通過NAT轉換,而通過Ipsec加密進行訪問。如圖所示,在遠程站點間,由於專線費用過高,因此考慮與中心站點間採用IPsec ***技術來實現遠程分支站點與中心站點間的私網互聯。
因爲內網是私有地址,所以在上Internet時必須做NAT地址轉換。而通過***隧道在內網之間訪問的時候,相當於兩邊私網通過專線互聯,因此不需要做NAT。
1路由配置,NAT配置及感興趣流量的定義
R1與R3分別是中心站點與分支站點的Internet接入路由器,在接入路由器上通常配置默認路由。
1.接口及路由配置
R1配置:
interface Ethernet0/1
ip address 10.1.1.1 255.255.255.0
interface Serial1/0
ip address 201.1.1.1 255.255.255.0
ip route 0.0.0.0 0.0.0.0 Serial1/0
R2配置
interface Serial1/0
ip address 201.1.1.2 255.255.255.0
!
interface Serial1/1
ip address 202.1.1.1 255.255.255.0
R3配置
interface Ethernet0/1
ip address 172.16.1.1 255.255.255.0
interface Serial1/1
ip address 202.1.1.2 255.255.255.0
ip route 0.0.0.0 0.0.0.0 Serial1/1
2.NAT配置
在R1和R3上分別做PAT地址轉換,定義需要做NAT的訪問列表。
R1配置:
R1(config)#int e0/1
R1(config-if)#ip nat inside
R1(config-if)#int s1/0
R1(config-if)#ip nat outside
ip nat inside source list 102 interface Serial1/0 overload
定義了訪問列表102所指定的流量進行NAT轉換,overload選項進行端口複用(PAT)
R1(config)#access-list 102 deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
將10.1.1.0訪問172.16.1.0的流量不進行NAT轉換。
R1(config)#access-list 102 permit ip 10.1.1.0 0.0.0.255 any
對去往Internet的流量進行NAT轉換
R3配置:
R3(config)#int e0/1
R3(config-if)#ip nat inside
R3(config)#int s1/1
R3(config-if)#ip nat outside
ip nat inside source list 102 interface Serial1/1 overload
R3(config)#access-list 102 deny ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
R3(config)#access-list 102 permit ip 172.16.1.0 0.0.0.255 any
3.定義觸發Ipsec保護的感興趣的流量
R1
access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
R3
access-list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
2定義IKE參數
1. 定義IKE加密策略:IKE用來創建使用共享密鑰的安全關聯(SA)
R1
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#?
ISAKMP commands:
authentication Set authentication method for protection suite 定義驗證的方法
default Set a command to its defaults
encryption Set encryption algorithm for protection suite 定義加密的方法
exit Exit from ISAKMP protection suite configuration mode
group Set the Diffie-Hellman group Diffie-Hellman算法用於密鑰的安全交換。
hash Set hash algorithm for protection suite 哈希算法用來驗證數據的完整性
lifetime Set lifetime for ISAKMP security association
no Negate a command or set its defaults
R1(config-isakmp)#authentication pre-share 定義雙方身份驗證採用預共享密鑰交換方式
R1(config)#crypto isakmp key 0 cisco (驗證密鑰爲cisco)address 202.1.1.2 (對等體地址)
其它沒有配置的參數有一個默認配置,加密算法默認爲des,哈希算法爲SHA-1, Diffie-Hellman採用組一的密鑰交換方法,安全關聯的生命週期爲86400秒。
R3
R3(config)#crypto isakmp policy 1(1爲策略編號,可以爲不同站點配置不同策略號)
R3(config-isakmp)#authentication pre-share
R3(config)#crypto isakmp key 0 cisco address 201.1.1.1
3.定義Ipsec參數(IKE第二階段安全關聯的建立)
1.定義要保護數據的加密和驗證轉換集方法(Transform設置)
R1:
R1(config)#crypto ipsec transform-set mytrans esp-3des
R3
R3(config)#crypto ipsec transform-set mytrans(設置的轉換集命名) ?
ah-md5-hmac AH-HMAC-MD5 transform
ah-sha-hmac AH-HMAC-SHA transform
comp-lzs IP Compression using the LZS compression algorithm
esp-3des ESP transform using 3DES(EDE) cipher (168 bits)
esp-aes ESP transform using AES cipher
esp-des ESP transform using DES cipher (56 bits)
esp-md5-hmac ESP transform using HMAC-MD5 auth
esp-null ESP transform w/o cipher
esp-seal ESP transform using SEAL cipher (160 bits)
esp-sha-hmac ESP transform using HMAC-SHA auth
這些都是對數據進行加密和完整性驗證的方法集。可以任選使用,但站點兩端設置必須相同。AH只能用於對數據包包頭進行完整性檢驗,而ESP用於對數據的加密和完整性檢驗。
R3(config)#crypto ipsec transform-set mytrans esp-3des
注意:這裏所定義的mytrans轉換集要在後面的crypto map中調用。
R3(cfg-crypto-trans)#mode ?
transport transport (payload encapsulation) mode
tunnel tunnel (datagram encapsulation) mode
在這裏可以定義IPSEC工作在傳輸模式或隧道模式,傳輸模式通常用於主機與主機終端之間進行加密傳輸,而隧道模式則用於網絡設備間建立***聯接。默認情況下,工作在tunnel模式。
2.定義加密映射:加密映射把遠程對等體,Transform定義的對流量的保護方法及感興趣的流量關聯在一起,
R1:
R1(config)#crypto map mymap 1 ipsec-isakmp
R1(config-crypto-map)#set peer 203.1.1.2 (設置對等體地址)
R1(config-crypto-map)#set transform-set mytrans(將前面的Transform設置關聯起來)
R1(config-crypto-map)#match address 101 (與第一步所定義的感興趣的流量關聯)
R3
R3(config-crypto-map)#set peer 201.1.1.1
R3(config-crypto-map)#set transform-set mytrans
R3(config-crypto-map)#match address 101
4.將加密映射應用至接口
R1:
interface Serial1/0
crypto map mymap
!
R3
interface Serial1/1
crypto map mymap
!
5.檢驗配置
R1#ping 172.16.1.1 source 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.1
.!!!!
可見雙方站點內網通信聯通性OK
R1#show crypto engine connections active
ID Interface IP-Address State Algorithm Encrypt Decrypt
1 Serial1/0 201.1.1.1 set HMAC_SHA+DES_56_CB 0 0
2003 Serial1/0 201.1.1.1 set 3DES 4 0
2004 Serial1/0 201.1.1.1 set 3DES 0 4
可見已經爲加密的流量建立了安全關聯
R1#show crypto isakmp sa
dst src state conn-id slot status
202.1.1.2 201.1.1.1 QM_IDLE 1 0 ACTIVE
可見第一階段安全關聯已經建立成功
R1#show crypto ipsec sa
interface: Serial1/0
Crypto map tag: mymap, local addr 201.1.1.1
protected vrf: (none)
local ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
current_peer 202.1.1.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 22, #pkts encrypt: 22, #pkts digest: 22
#pkts decaps: 22, #pkts decrypt: 22, #pkts verify: 22
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 3, #recv errors 0
local crypto endpt.: 201.1.1.1, remote crypto endpt.: 202.1.1.2
path mtu 1500, ip mtu 1500
current outbound spi: 0xE52E393E(3845011774)
inbound esp sas:
spi: 0x62197B9E(1645837214)
transform: esp-3des ,
in use settings ={Tunnel, }
conn id: 2004, flow_id: SW:4, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4422230/3189)
IV size: 8 bytes
replay detecti由於Internet寬帶接入的普及,它的帶寬與價格非常的便宜(相對於專線而言).8M的ADSL價位不到兩千元/年.越來越多的企業開始發掘基於寬帶接入的增值應用.由於***技術的成熟,如對數據的加密技術與*** Qos技術的發展,使得基於Internet接入的***應用日趨增多.
***技術可用於遠程用戶的接入(用於取代傳統撥號接入技術)訪問,用於對主線路的備份作爲備份鏈路,甚至可以取代傳統的專線地位用於企業各分支機構的專有網絡互聯.
用於取代專線或備份線路接入的Site-to-Site ***接入技術,用於遠程終端用戶接入訪問的Remote-***(也叫Easy ***,取代傳統撥號接入).
基於WEB頁面訪問的WEB ***技術.又叫SSL ***.
1.Site-to-site ***(三種類型)
站點間的***技術.IKE使用UDP端口500,Ipsec ESP和AH使用協議號50和51.因此如果要實現***穿越,必須在相應接口上配置訪問列表以允許***流量通過。
Site-to-Site ***的配置通常可分爲四個步驟:
1.傳統路由及需互訪的流量定義
定義路由設置
感興趣的流量(即定義互訪的內網主機流量以觸發***參數協商)
2.定義IKE參數(IKE第一階段安全關聯協商)
定義ISAKMP策略
定義ISAKMP對等體和驗證密鑰
3.定義Ipsec參數 (IKE第二階段安全關聯協商)
定義Ipsec的轉換集Transform
定義Ipsec的加密映射(crypto map)。
4.將加密映射應用到相應接口。
當路由器收到一個數據包時,它將檢查安全策略(即所定義的感興趣的流量)以決定是否爲此數據包提供保護。如果匹配訪問列表所定義的流量,則路由器決定採用何種安全服務,並決定IPSEC端點所使用的地址,並檢查是否存在一個安全關聯(security association).
如果沒有安全關聯,則路由器將與對等體協商建立。而IKE用來在站點路由器之間建立一個提供驗證的安全通道,並在此安全通道上進行Ipsec安全關聯的協商。IKE首先驗證它的對等體,可通過預共享密鑰,公鑰密碼或數字簽名來實現。一旦對等體被驗證通過,Diffe-Hellman協議用來產生一個共有的會話密鑰。
1.1靜態地址
1.站點間用於建立***的兩臺設備都有靜態公網地址.
內部主機通過NAT地址轉換後訪問Internet.但內部主機之間的訪問流量不通過NAT轉換,而通過Ipsec加密進行訪問。如圖所示,在遠程站點間,由於專線費用過高,因此考慮與中心站點間採用IPsec ***技術來實現遠程分支站點與中心站點間的私網互聯。
因爲內網是私有地址,所以在上Internet時必須做NAT地址轉換。而通過***隧道在內網之間訪問的時候,相當於兩邊私網通過專線互聯,因此不需要做NAT。
1路由配置,NAT配置及感興趣流量的定義
R1與R3分別是中心站點與分支站點的Internet接入路由器,在接入路由器上通常配置默認路由。
1.接口及路由配置
R1配置:
interface Ethernet0/1
ip address 10.1.1.1 255.255.255.0
interface Serial1/0
ip address 201.1.1.1 255.255.255.0
ip route 0.0.0.0 0.0.0.0 Serial1/0
R2配置
interface Serial1/0
ip address 201.1.1.2 255.255.255.0
!
interface Serial1/1
ip address 202.1.1.1 255.255.255.0
R3配置
interface Ethernet0/1
ip address 172.16.1.1 255.255.255.0
interface Serial1/1
ip address 202.1.1.2 255.255.255.0
ip route 0.0.0.0 0.0.0.0 Serial1/1
2.NAT配置
在R1和R3上分別做PAT地址轉換,定義需要做NAT的訪問列表。
R1配置:
R1(config)#int e0/1
R1(config-if)#ip nat inside
R1(config-if)#int s1/0
R1(config-if)#ip nat outside
ip nat inside source list 102 interface Serial1/0 overload
定義了訪問列表102所指定的流量進行NAT轉換,overload選項進行端口複用(PAT)
R1(config)#access-list 102 deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
將10.1.1.0訪問172.16.1.0的流量不進行NAT轉換。
R1(config)#access-list 102 permit ip 10.1.1.0 0.0.0.255 any
對去往Internet的流量進行NAT轉換
R3配置:
R3(config)#int e0/1
R3(config-if)#ip nat inside
R3(config)#int s1/1
R3(config-if)#ip nat outside
ip nat inside source list 102 interface Serial1/1 overload
R3(config)#access-list 102 deny ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
R3(config)#access-list 102 permit ip 172.16.1.0 0.0.0.255 any
3.定義觸發Ipsec保護的感興趣的流量
R1
access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
R3
access-list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
2定義IKE參數
1. 定義IKE加密策略:IKE用來創建使用共享密鑰的安全關聯(SA)
R1
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#?
ISAKMP commands:
authentication Set authentication method for protection suite 定義驗證的方法
default Set a command to its defaults
encryption Set encryption algorithm for protection suite 定義加密的方法
exit Exit from ISAKMP protection suite configuration mode
group Set the Diffie-Hellman group Diffie-Hellman算法用於密鑰的安全交換。
hash Set hash algorithm for protection suite 哈希算法用來驗證數據的完整性
lifetime Set lifetime for ISAKMP security association
no Negate a command or set its defaults
R1(config-isakmp)#authentication pre-share 定義雙方身份驗證採用預共享密鑰交換方式
R1(config)#crypto isakmp key 0 cisco (驗證密鑰爲cisco)address 202.1.1.2 (對等體地址)
其它沒有配置的參數有一個默認配置,加密算法默認爲des,哈希算法爲SHA-1, Diffie-Hellman採用組一的密鑰交換方法,安全關聯的生命週期爲86400秒。
R3
R3(config)#crypto isakmp policy 1(1爲策略編號,可以爲不同站點配置不同策略號)
R3(config-isakmp)#authentication pre-share
R3(config)#crypto isakmp key 0 cisco address 201.1.1.1
3.定義Ipsec參數(IKE第二階段安全關聯的建立)
1.定義要保護數據的加密和驗證轉換集方法(Transform設置)
R1:
R1(config)#crypto ipsec transform-set mytrans esp-3des
R3
R3(config)#crypto ipsec transform-set mytrans(設置的轉換集命名) ?
ah-md5-hmac AH-HMAC-MD5 transform
ah-sha-hmac AH-HMAC-SHA transform
comp-lzs IP Compression using the LZS compression algorithm
esp-3des ESP transform using 3DES(EDE) cipher (168 bits)
esp-aes ESP transform using AES cipher
esp-des ESP transform using DES cipher (56 bits)
esp-md5-hmac ESP transform using HMAC-MD5 auth
esp-null ESP transform w/o cipher
esp-seal ESP transform using SEAL cipher (160 bits)
esp-sha-hmac ESP transform using HMAC-SHA auth
這些都是對數據進行加密和完整性驗證的方法集。可以任選使用,但站點兩端設置必須相同。AH只能用於對數據包包頭進行完整性檢驗,而ESP用於對數據的加密和完整性檢驗。
R3(config)#crypto ipsec transform-set mytrans esp-3des
注意:這裏所定義的mytrans轉換集要在後面的crypto map中調用。
R3(cfg-crypto-trans)#mode ?
transport transport (payload encapsulation) mode
tunnel tunnel (datagram encapsulation) mode
在這裏可以定義IPSEC工作在傳輸模式或隧道模式,傳輸模式通常用於主機與主機終端之間進行加密傳輸,而隧道模式則用於網絡設備間建立***聯接。默認情況下,工作在tunnel模式。
2.定義加密映射:加密映射把遠程對等體,Transform定義的對流量的保護方法及感興趣的流量關聯在一起,
R1:
R1(config)#crypto map mymap 1 ipsec-isakmp
R1(config-crypto-map)#set peer 203.1.1.2 (設置對等體地址)
R1(config-crypto-map)#set transform-set mytrans(將前面的Transform設置關聯起來)
R1(config-crypto-map)#match address 101 (與第一步所定義的感興趣的流量關聯)
R3
R3(config-crypto-map)#set peer 201.1.1.1
R3(config-crypto-map)#set transform-set mytrans
R3(config-crypto-map)#match address 101
4.將加密映射應用至接口
R1:
interface Serial1/0
crypto map mymap
!
R3
interface Serial1/1
crypto map mymap
!
5.檢驗配置
R1#ping 172.16.1.1 source 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.1
.!!!!
可見雙方站點內網通信聯通性OK
R1#show crypto engine connections active
ID Interface IP-Address State Algorithm Encrypt Decrypt
1 Serial1/0 201.1.1.1 set HMAC_SHA+DES_56_CB 0 0
2003 Serial1/0 201.1.1.1 set 3DES 4 0
2004 Serial1/0 201.1.1.1 set 3DES 0 4
可見已經爲加密的流量建立了安全關聯
R1#show crypto isakmp sa
dst src state conn-id slot status
202.1.1.2 201.1.1.1 QM_IDLE 1 0 ACTIVE
可見第一階段安全關聯已經建立成功
R1#show crypto ipsec sa
interface: Serial1/0
Crypto map tag: mymap, local addr 201.1.1.1
protected vrf: (none)
local ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
current_peer 202.1.1.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 22, #pkts encrypt: 22, #pkts digest: 22
#pkts decaps: 22, #pkts decrypt: 22, #pkts verify: 22
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 3, #recv errors 0
local crypto endpt.: 201.1.1.1, remote crypto endpt.: 202.1.1.2
path mtu 1500, ip mtu 1500
current outbound spi: 0xE52E393E(3845011774)
inbound esp sas:
spi: 0x62197B9E(1645837214)
transform: esp-3des ,
in use settings ={Tunnel, }
conn id: 2004, flow_id: SW:4, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4422230/3189)
IV size: 8 bytes
replay detection support: N
Status: ACTIVE (表示輸入流量的安全關聯建立成功)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xE52E393E(3845011774)
transform: esp-3des ,
in use settings ={Tunnel, }
conn id: 2003, flow_id: SW:3, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4422230/3184)
IV size: 8 bytes
replay detection support: N
Status: ACTIVE(表示輸出流量的安全關聯建立成功)
on support: N
Status: ACTIVE (表示輸入流量的安全關聯建立成功)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xE52E393E(3845011774)
transform: esp-3des ,
in use settings ={Tunnel, }
conn id: 2003, flow_id: SW:3, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4422230/3184)
IV size: 8 bytes
replay detection support: N
Status: ACTIVE(表示輸出流量的安全關聯建立成功)
***技術可用於遠程用戶的接入(用於取代傳統撥號接入技術)訪問,用於對主線路的備份作爲備份鏈路,甚至可以取代傳統的專線地位用於企業各分支機構的專有網絡互聯.
用於取代專線或備份線路接入的Site-to-Site ***接入技術,用於遠程終端用戶接入訪問的Remote-***(也叫Easy ***,取代傳統撥號接入).
基於WEB頁面訪問的WEB ***技術.又叫SSL ***.
1.Site-to-site ***(三種類型)
站點間的***技術.IKE使用UDP端口500,Ipsec ESP和AH使用協議號50和51.因此如果要實現***穿越,必須在相應接口上配置訪問列表以允許***流量通過。
Site-to-Site ***的配置通常可分爲四個步驟:
1.傳統路由及需互訪的流量定義
定義路由設置
感興趣的流量(即定義互訪的內網主機流量以觸發***參數協商)
2.定義IKE參數(IKE第一階段安全關聯協商)
定義ISAKMP策略
定義ISAKMP對等體和驗證密鑰
3.定義Ipsec參數 (IKE第二階段安全關聯協商)
定義Ipsec的轉換集Transform
定義Ipsec的加密映射(crypto map)。
4.將加密映射應用到相應接口。
當路由器收到一個數據包時,它將檢查安全策略(即所定義的感興趣的流量)以決定是否爲此數據包提供保護。如果匹配訪問列表所定義的流量,則路由器決定採用何種安全服務,並決定IPSEC端點所使用的地址,並檢查是否存在一個安全關聯(security association).
如果沒有安全關聯,則路由器將與對等體協商建立。而IKE用來在站點路由器之間建立一個提供驗證的安全通道,並在此安全通道上進行Ipsec安全關聯的協商。IKE首先驗證它的對等體,可通過預共享密鑰,公鑰密碼或數字簽名來實現。一旦對等體被驗證通過,Diffe-Hellman協議用來產生一個共有的會話密鑰。
1.1靜態地址
1.站點間用於建立***的兩臺設備都有靜態公網地址.
內部主機通過NAT地址轉換後訪問Internet.但內部主機之間的訪問流量不通過NAT轉換,而通過Ipsec加密進行訪問。如圖所示,在遠程站點間,由於專線費用過高,因此考慮與中心站點間採用IPsec ***技術來實現遠程分支站點與中心站點間的私網互聯。
因爲內網是私有地址,所以在上Internet時必須做NAT地址轉換。而通過***隧道在內網之間訪問的時候,相當於兩邊私網通過專線互聯,因此不需要做NAT。
1路由配置,NAT配置及感興趣流量的定義
R1與R3分別是中心站點與分支站點的Internet接入路由器,在接入路由器上通常配置默認路由。
1.接口及路由配置
R1配置:
interface Ethernet0/1
ip address 10.1.1.1 255.255.255.0
interface Serial1/0
ip address 201.1.1.1 255.255.255.0
ip route 0.0.0.0 0.0.0.0 Serial1/0
R2配置
interface Serial1/0
ip address 201.1.1.2 255.255.255.0
!
interface Serial1/1
ip address 202.1.1.1 255.255.255.0
R3配置
interface Ethernet0/1
ip address 172.16.1.1 255.255.255.0
interface Serial1/1
ip address 202.1.1.2 255.255.255.0
ip route 0.0.0.0 0.0.0.0 Serial1/1
2.NAT配置
在R1和R3上分別做PAT地址轉換,定義需要做NAT的訪問列表。
R1配置:
R1(config)#int e0/1
R1(config-if)#ip nat inside
R1(config-if)#int s1/0
R1(config-if)#ip nat outside
ip nat inside source list 102 interface Serial1/0 overload
定義了訪問列表102所指定的流量進行NAT轉換,overload選項進行端口複用(PAT)
R1(config)#access-list 102 deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
將10.1.1.0訪問172.16.1.0的流量不進行NAT轉換。
R1(config)#access-list 102 permit ip 10.1.1.0 0.0.0.255 any
對去往Internet的流量進行NAT轉換
R3配置:
R3(config)#int e0/1
R3(config-if)#ip nat inside
R3(config)#int s1/1
R3(config-if)#ip nat outside
ip nat inside source list 102 interface Serial1/1 overload
R3(config)#access-list 102 deny ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
R3(config)#access-list 102 permit ip 172.16.1.0 0.0.0.255 any
3.定義觸發Ipsec保護的感興趣的流量
R1
access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
R3
access-list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
2定義IKE參數
1. 定義IKE加密策略:IKE用來創建使用共享密鑰的安全關聯(SA)
R1
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#?
ISAKMP commands:
authentication Set authentication method for protection suite 定義驗證的方法
default Set a command to its defaults
encryption Set encryption algorithm for protection suite 定義加密的方法
exit Exit from ISAKMP protection suite configuration mode
group Set the Diffie-Hellman group Diffie-Hellman算法用於密鑰的安全交換。
hash Set hash algorithm for protection suite 哈希算法用來驗證數據的完整性
lifetime Set lifetime for ISAKMP security association
no Negate a command or set its defaults
R1(config-isakmp)#authentication pre-share 定義雙方身份驗證採用預共享密鑰交換方式
R1(config)#crypto isakmp key 0 cisco (驗證密鑰爲cisco)address 202.1.1.2 (對等體地址)
其它沒有配置的參數有一個默認配置,加密算法默認爲des,哈希算法爲SHA-1, Diffie-Hellman採用組一的密鑰交換方法,安全關聯的生命週期爲86400秒。
R3
R3(config)#crypto isakmp policy 1(1爲策略編號,可以爲不同站點配置不同策略號)
R3(config-isakmp)#authentication pre-share
R3(config)#crypto isakmp key 0 cisco address 201.1.1.1
3.定義Ipsec參數(IKE第二階段安全關聯的建立)
1.定義要保護數據的加密和驗證轉換集方法(Transform設置)
R1:
R1(config)#crypto ipsec transform-set mytrans esp-3des
R3
R3(config)#crypto ipsec transform-set mytrans(設置的轉換集命名) ?
ah-md5-hmac AH-HMAC-MD5 transform
ah-sha-hmac AH-HMAC-SHA transform
comp-lzs IP Compression using the LZS compression algorithm
esp-3des ESP transform using 3DES(EDE) cipher (168 bits)
esp-aes ESP transform using AES cipher
esp-des ESP transform using DES cipher (56 bits)
esp-md5-hmac ESP transform using HMAC-MD5 auth
esp-null ESP transform w/o cipher
esp-seal ESP transform using SEAL cipher (160 bits)
esp-sha-hmac ESP transform using HMAC-SHA auth
這些都是對數據進行加密和完整性驗證的方法集。可以任選使用,但站點兩端設置必須相同。AH只能用於對數據包包頭進行完整性檢驗,而ESP用於對數據的加密和完整性檢驗。
R3(config)#crypto ipsec transform-set mytrans esp-3des
注意:這裏所定義的mytrans轉換集要在後面的crypto map中調用。
R3(cfg-crypto-trans)#mode ?
transport transport (payload encapsulation) mode
tunnel tunnel (datagram encapsulation) mode
在這裏可以定義IPSEC工作在傳輸模式或隧道模式,傳輸模式通常用於主機與主機終端之間進行加密傳輸,而隧道模式則用於網絡設備間建立***聯接。默認情況下,工作在tunnel模式。
2.定義加密映射:加密映射把遠程對等體,Transform定義的對流量的保護方法及感興趣的流量關聯在一起,
R1:
R1(config)#crypto map mymap 1 ipsec-isakmp
R1(config-crypto-map)#set peer 203.1.1.2 (設置對等體地址)
R1(config-crypto-map)#set transform-set mytrans(將前面的Transform設置關聯起來)
R1(config-crypto-map)#match address 101 (與第一步所定義的感興趣的流量關聯)
R3
R3(config-crypto-map)#set peer 201.1.1.1
R3(config-crypto-map)#set transform-set mytrans
R3(config-crypto-map)#match address 101
4.將加密映射應用至接口
R1:
interface Serial1/0
crypto map mymap
!
R3
interface Serial1/1
crypto map mymap
!
5.檢驗配置
R1#ping 172.16.1.1 source 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.1
.!!!!
可見雙方站點內網通信聯通性OK
R1#show crypto engine connections active
ID Interface IP-Address State Algorithm Encrypt Decrypt
1 Serial1/0 201.1.1.1 set HMAC_SHA+DES_56_CB 0 0
2003 Serial1/0 201.1.1.1 set 3DES 4 0
2004 Serial1/0 201.1.1.1 set 3DES 0 4
可見已經爲加密的流量建立了安全關聯
R1#show crypto isakmp sa
dst src state conn-id slot status
202.1.1.2 201.1.1.1 QM_IDLE 1 0 ACTIVE
可見第一階段安全關聯已經建立成功
R1#show crypto ipsec sa
interface: Serial1/0
Crypto map tag: mymap, local addr 201.1.1.1
protected vrf: (none)
local ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
current_peer 202.1.1.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 22, #pkts encrypt: 22, #pkts digest: 22
#pkts decaps: 22, #pkts decrypt: 22, #pkts verify: 22
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 3, #recv errors 0
local crypto endpt.: 201.1.1.1, remote crypto endpt.: 202.1.1.2
path mtu 1500, ip mtu 1500
current outbound spi: 0xE52E393E(3845011774)
inbound esp sas:
spi: 0x62197B9E(1645837214)
transform: esp-3des ,
in use settings ={Tunnel, }
conn id: 2004, flow_id: SW:4, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4422230/3189)
IV size: 8 bytes
replay detecti由於Internet寬帶接入的普及,它的帶寬與價格非常的便宜(相對於專線而言).8M的ADSL價位不到兩千元/年.越來越多的企業開始發掘基於寬帶接入的增值應用.由於***技術的成熟,如對數據的加密技術與*** Qos技術的發展,使得基於Internet接入的***應用日趨增多.
***技術可用於遠程用戶的接入(用於取代傳統撥號接入技術)訪問,用於對主線路的備份作爲備份鏈路,甚至可以取代傳統的專線地位用於企業各分支機構的專有網絡互聯.
用於取代專線或備份線路接入的Site-to-Site ***接入技術,用於遠程終端用戶接入訪問的Remote-***(也叫Easy ***,取代傳統撥號接入).
基於WEB頁面訪問的WEB ***技術.又叫SSL ***.
1.Site-to-site ***(三種類型)
站點間的***技術.IKE使用UDP端口500,Ipsec ESP和AH使用協議號50和51.因此如果要實現***穿越,必須在相應接口上配置訪問列表以允許***流量通過。
Site-to-Site ***的配置通常可分爲四個步驟:
1.傳統路由及需互訪的流量定義
定義路由設置
感興趣的流量(即定義互訪的內網主機流量以觸發***參數協商)
2.定義IKE參數(IKE第一階段安全關聯協商)
定義ISAKMP策略
定義ISAKMP對等體和驗證密鑰
3.定義Ipsec參數 (IKE第二階段安全關聯協商)
定義Ipsec的轉換集Transform
定義Ipsec的加密映射(crypto map)。
4.將加密映射應用到相應接口。
當路由器收到一個數據包時,它將檢查安全策略(即所定義的感興趣的流量)以決定是否爲此數據包提供保護。如果匹配訪問列表所定義的流量,則路由器決定採用何種安全服務,並決定IPSEC端點所使用的地址,並檢查是否存在一個安全關聯(security association).
如果沒有安全關聯,則路由器將與對等體協商建立。而IKE用來在站點路由器之間建立一個提供驗證的安全通道,並在此安全通道上進行Ipsec安全關聯的協商。IKE首先驗證它的對等體,可通過預共享密鑰,公鑰密碼或數字簽名來實現。一旦對等體被驗證通過,Diffe-Hellman協議用來產生一個共有的會話密鑰。
1.1靜態地址
1.站點間用於建立***的兩臺設備都有靜態公網地址.
內部主機通過NAT地址轉換後訪問Internet.但內部主機之間的訪問流量不通過NAT轉換,而通過Ipsec加密進行訪問。如圖所示,在遠程站點間,由於專線費用過高,因此考慮與中心站點間採用IPsec ***技術來實現遠程分支站點與中心站點間的私網互聯。
因爲內網是私有地址,所以在上Internet時必須做NAT地址轉換。而通過***隧道在內網之間訪問的時候,相當於兩邊私網通過專線互聯,因此不需要做NAT。
1路由配置,NAT配置及感興趣流量的定義
R1與R3分別是中心站點與分支站點的Internet接入路由器,在接入路由器上通常配置默認路由。
1.接口及路由配置
R1配置:
interface Ethernet0/1
ip address 10.1.1.1 255.255.255.0
interface Serial1/0
ip address 201.1.1.1 255.255.255.0
ip route 0.0.0.0 0.0.0.0 Serial1/0
R2配置
interface Serial1/0
ip address 201.1.1.2 255.255.255.0
!
interface Serial1/1
ip address 202.1.1.1 255.255.255.0
R3配置
interface Ethernet0/1
ip address 172.16.1.1 255.255.255.0
interface Serial1/1
ip address 202.1.1.2 255.255.255.0
ip route 0.0.0.0 0.0.0.0 Serial1/1
2.NAT配置
在R1和R3上分別做PAT地址轉換,定義需要做NAT的訪問列表。
R1配置:
R1(config)#int e0/1
R1(config-if)#ip nat inside
R1(config-if)#int s1/0
R1(config-if)#ip nat outside
ip nat inside source list 102 interface Serial1/0 overload
定義了訪問列表102所指定的流量進行NAT轉換,overload選項進行端口複用(PAT)
R1(config)#access-list 102 deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
將10.1.1.0訪問172.16.1.0的流量不進行NAT轉換。
R1(config)#access-list 102 permit ip 10.1.1.0 0.0.0.255 any
對去往Internet的流量進行NAT轉換
R3配置:
R3(config)#int e0/1
R3(config-if)#ip nat inside
R3(config)#int s1/1
R3(config-if)#ip nat outside
ip nat inside source list 102 interface Serial1/1 overload
R3(config)#access-list 102 deny ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
R3(config)#access-list 102 permit ip 172.16.1.0 0.0.0.255 any
3.定義觸發Ipsec保護的感興趣的流量
R1
access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
R3
access-list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
2定義IKE參數
1. 定義IKE加密策略:IKE用來創建使用共享密鑰的安全關聯(SA)
R1
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#?
ISAKMP commands:
authentication Set authentication method for protection suite 定義驗證的方法
default Set a command to its defaults
encryption Set encryption algorithm for protection suite 定義加密的方法
exit Exit from ISAKMP protection suite configuration mode
group Set the Diffie-Hellman group Diffie-Hellman算法用於密鑰的安全交換。
hash Set hash algorithm for protection suite 哈希算法用來驗證數據的完整性
lifetime Set lifetime for ISAKMP security association
no Negate a command or set its defaults
R1(config-isakmp)#authentication pre-share 定義雙方身份驗證採用預共享密鑰交換方式
R1(config)#crypto isakmp key 0 cisco (驗證密鑰爲cisco)address 202.1.1.2 (對等體地址)
其它沒有配置的參數有一個默認配置,加密算法默認爲des,哈希算法爲SHA-1, Diffie-Hellman採用組一的密鑰交換方法,安全關聯的生命週期爲86400秒。
R3
R3(config)#crypto isakmp policy 1(1爲策略編號,可以爲不同站點配置不同策略號)
R3(config-isakmp)#authentication pre-share
R3(config)#crypto isakmp key 0 cisco address 201.1.1.1
3.定義Ipsec參數(IKE第二階段安全關聯的建立)
1.定義要保護數據的加密和驗證轉換集方法(Transform設置)
R1:
R1(config)#crypto ipsec transform-set mytrans esp-3des
R3
R3(config)#crypto ipsec transform-set mytrans(設置的轉換集命名) ?
ah-md5-hmac AH-HMAC-MD5 transform
ah-sha-hmac AH-HMAC-SHA transform
comp-lzs IP Compression using the LZS compression algorithm
esp-3des ESP transform using 3DES(EDE) cipher (168 bits)
esp-aes ESP transform using AES cipher
esp-des ESP transform using DES cipher (56 bits)
esp-md5-hmac ESP transform using HMAC-MD5 auth
esp-null ESP transform w/o cipher
esp-seal ESP transform using SEAL cipher (160 bits)
esp-sha-hmac ESP transform using HMAC-SHA auth
這些都是對數據進行加密和完整性驗證的方法集。可以任選使用,但站點兩端設置必須相同。AH只能用於對數據包包頭進行完整性檢驗,而ESP用於對數據的加密和完整性檢驗。
R3(config)#crypto ipsec transform-set mytrans esp-3des
注意:這裏所定義的mytrans轉換集要在後面的crypto map中調用。
R3(cfg-crypto-trans)#mode ?
transport transport (payload encapsulation) mode
tunnel tunnel (datagram encapsulation) mode
在這裏可以定義IPSEC工作在傳輸模式或隧道模式,傳輸模式通常用於主機與主機終端之間進行加密傳輸,而隧道模式則用於網絡設備間建立***聯接。默認情況下,工作在tunnel模式。
2.定義加密映射:加密映射把遠程對等體,Transform定義的對流量的保護方法及感興趣的流量關聯在一起,
R1:
R1(config)#crypto map mymap 1 ipsec-isakmp
R1(config-crypto-map)#set peer 203.1.1.2 (設置對等體地址)
R1(config-crypto-map)#set transform-set mytrans(將前面的Transform設置關聯起來)
R1(config-crypto-map)#match address 101 (與第一步所定義的感興趣的流量關聯)
R3
R3(config-crypto-map)#set peer 201.1.1.1
R3(config-crypto-map)#set transform-set mytrans
R3(config-crypto-map)#match address 101
4.將加密映射應用至接口
R1:
interface Serial1/0
crypto map mymap
!
R3
interface Serial1/1
crypto map mymap
!
5.檢驗配置
R1#ping 172.16.1.1 source 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.1
.!!!!
可見雙方站點內網通信聯通性OK
R1#show crypto engine connections active
ID Interface IP-Address State Algorithm Encrypt Decrypt
1 Serial1/0 201.1.1.1 set HMAC_SHA+DES_56_CB 0 0
2003 Serial1/0 201.1.1.1 set 3DES 4 0
2004 Serial1/0 201.1.1.1 set 3DES 0 4
可見已經爲加密的流量建立了安全關聯
R1#show crypto isakmp sa
dst src state conn-id slot status
202.1.1.2 201.1.1.1 QM_IDLE 1 0 ACTIVE
可見第一階段安全關聯已經建立成功
R1#show crypto ipsec sa
interface: Serial1/0
Crypto map tag: mymap, local addr 201.1.1.1
protected vrf: (none)
local ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
current_peer 202.1.1.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 22, #pkts encrypt: 22, #pkts digest: 22
#pkts decaps: 22, #pkts decrypt: 22, #pkts verify: 22
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 3, #recv errors 0
local crypto endpt.: 201.1.1.1, remote crypto endpt.: 202.1.1.2
path mtu 1500, ip mtu 1500
current outbound spi: 0xE52E393E(3845011774)
inbound esp sas:
spi: 0x62197B9E(1645837214)
transform: esp-3des ,
in use settings ={Tunnel, }
conn id: 2004, flow_id: SW:4, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4422230/3189)
IV size: 8 bytes
replay detection support: N
Status: ACTIVE (表示輸入流量的安全關聯建立成功)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xE52E393E(3845011774)
transform: esp-3des ,
in use settings ={Tunnel, }
conn id: 2003, flow_id: SW:3, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4422230/3184)
IV size: 8 bytes
replay detection support: N
Status: ACTIVE(表示輸出流量的安全關聯建立成功)
on support: N
Status: ACTIVE (表示輸入流量的安全關聯建立成功)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xE52E393E(3845011774)
transform: esp-3des ,
in use settings ={Tunnel, }
conn id: 2003, flow_id: SW:3, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4422230/3184)
IV size: 8 bytes
replay detection support: N
Status: ACTIVE(表示輸出流量的安全關聯建立成功)