IPSec ×××專題一：Site-to-Stie ×××

環境:

R1/R2/R3:運行IGP:RIP
需求:
1：PC1 到 PC2 的流量通過IPSec 加密傳輸:
2:如果在R2 :deny ip any any :那麼R2在這之上應該放行哪些流量,纔不會影響IPSec ×××的建立:
3:如果在R1(加密點)上Deny ip any any :此時R1需要放行哪些流量:IPSec ××× 才能正常建立:

步驟:
1:R1/R2/R3:配置路由:確保鏈路的可達性:

2:配置IPSec ×××的Parse 1 :
==>R1:
R1(config)#access-list 101 permit ip host 192.168.1.10 host 192.168.2.10   :定義感興趣流量
R1(config)#crypto isakmp policy 10                                                          :定義ISAKMP的策略:指定認證/加密類型
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption des
R1(config-isakmp)#group 2
R1(config-isakmp)#hash md5
R1(config-isakmp)#lifetime 1000
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 6 cisco add 2.2.2.3                                         :指定Pre-shared-key:
==>R3:
R3(config)#access-list 101 permit ip host 192.168.2.10 host 192.168.1.10
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authen pre
R3(config-isakmp)#encry des
R3(config-isakmp)#group 2
R3(config-isakmp)#hash md5
R3(config-isakmp)#lifetime 1000
R3(config-isakmp)#exit
R3(config)#crypto isakmp key 6 cisco add 1.1.1.1

3:配置IPSec ×××的Parse 2 :
R1(config)#crypto ipsec transform-set TS esp-des esp-md5-hmac                       :定義Transform-set :指定IPSec 的封裝類型和傳輸模式
R1(cfg-crypto-trans)#mode tunnel
R1(config)#crypto map MYMAP 10 ipsec-isakmp                                                :定義加密映射:指定IPSec ×××的各種參數
% NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.  :提示:指明需要感興趣流量
R1(config-crypto-map)#set peer 2.2.2.3
R1(config-crypto-map)#match add 101   
R1(config-crypto-map)#set transform-set TS
R1(config-crypto-map)#exit
R1(config)#int f0/0
R1(config-if)#crypto map MYMAP                                                                       :接口下調用crypto-map
R1(config-if)#end
R1#
*Mar 11 16:34:12.939: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON                        :提示接口上已經啓用ISAKMP:

R3(config)#crypto ipsec transform-set TS esp-des esp-md5-hmac
R3(cfg-crypto-trans)#mode tunnel
R3(config)#crypto map MYMAP 10 ipsec-isakmp
R3(config-crypto-map)#set peer 1.1.1.1
R3(config-crypto-map)#set transform-set TS
R3(config-crypto-map)#match add 101
R3(config-crypto-map)#exit
R3(config)#int f1/0
R3(config-if)#crypto map MYMAP
R3(config-if)#END

4：PC1 PING PC2 發包測試:IPSec ×××必須要有感興趣流量進行觸發:
R1#ping 192.168.2.10 source 192.168.1.10 repeat 5     !!!!!
5:如果R2上對數據流做了限制:此時我們應該放行哪些流量:才不至於對IPSec ××× 造成影響:
R2(config)#ip access-list extended IPSEC
R2(config-ext-nacl)#permit udp host 2.2.2.3 host 1.1.1.1 eq 500   :放行UDP:500D的流量:用於ISAKMP的協商
R2(config-ext-nacl)#permit esp host 2.2.2.3 host 1.1.1.1              :放行ESP的加密數據:查看IP的協議字段:51:
R2(config-ext-nacl)#deny ip any any

==>如果不放行UDP:500 ,那麼R1/R3的IPSec ××× 將協商失敗:
*Mar 11 17:20:54.643: ISAKMP0:0:N/A:0): beginning Main Mode exchange
*Mar 11 17:20:54.647: ISAKMP0:0:N/A:0): sending packet to 2.2.2.3 my_port 500 peer_port 500 (I) MM_NO_STATE.....
注意:由於路由器接收不到回包 , 將停留在Phrase 1 的第一個Message:

==>如果只放行UDP:500 那麼IKE/IPSec SA是可以協商建立的:
R1#show crypto engine connections active
      ID        Interface               IP-Address      State     Algorithm                         Encrypt  Decrypt
       1        FastEthernet0/0      1.1.1.1         set         HMAC_MD5+DES_56_CB         0        0
    2001      FastEthernet0/0      1.1.1.1         set         DES+MD5                             8        0
    2002      FastEthernet0/0      1.1.1.1         set         DES+MD5                   0        0
注意:此時R1/R3:的IPSec ×××已經成功協商建立:
通過查看IPSec SA的概要信息:發現加解密的數據包是不一樣的 , 99%的原因是路由問題(包括ACL造成的鏈路連通性)

6:如果在R1(加密點)上Deny ip any any :此時R1需要放行哪些流量:IPSec ××× 才能正常建立:
由5可知ISAKMP/ESP這兩種協議是必須的放的:那是否還需要放行其他的協議呢?
R1(config)#ip access-list extended IPSec
R1(config-ext-nacl)# 10 permit esp host 2.2.2.3 host 1.1.1.1
R1(config-ext-nacl)# 20 permit udp host 2.2.2.3 host 1.1.1.1 eq isakmp
R1(config-ext-nacl)# 30 deny ip any any
經過實驗和詢問得知:
12.4以前 , 必須放行解密後的流量:
R1(config)#ip access-list extended IPSec
R1(config-ext-nacl)# permit host 192.168.2.10 host 192.168.1.10
12.4以後 , 是不需要放行解密後的流量:鏈路兩端就是通的