今天我們來(lái)在cisco路由器上配置一下基于預(yù)共享密鑰的IPSec VPN網(wǎng)絡(luò)。
首先我們來(lái)了解一下什么是VPN?
簡(jiǎn)單的說(shuō),VPN 是一種通過Internet或公共網(wǎng)絡(luò)受保護(hù)的鏈接。
由VPN組成的線路并不是物理存在的,而是通過技術(shù)手段模擬出來(lái)的,既是虛擬的。不過這種虛擬的專用網(wǎng)絡(luò)技術(shù)卻可以在公用線路中為兩臺(tái)計(jì)算機(jī)建立一個(gè)邏輯上的專用通道,它具有良好的保密和不受干擾性使雙方能進(jìn)行自由而安全的點(diǎn)對(duì)點(diǎn)的連接。
VPN相比較專線網(wǎng)絡(luò)的優(yōu)勢(shì):
連接可靠,可保證數(shù)據(jù)傳輸?shù)陌踩浴?br />
利用公共網(wǎng)絡(luò)進(jìn)行信息通訊,可降低成本,提高網(wǎng)絡(luò)資源利用率.
支持用戶實(shí)時(shí)、異地接入,可滿足不斷增長(zhǎng)的移動(dòng)業(yè)務(wù)需求。
支持QoS功能,可為VPN用戶提供不同等級(jí)的服務(wù)質(zhì)量保證。
防止數(shù)據(jù)在公網(wǎng)傳輸中被竊聽
防止數(shù)據(jù)在公網(wǎng)傳輸中被篡改
可以驗(yàn)證數(shù)據(jù)的真實(shí)來(lái)源
成本低廉(相對(duì)于專線、長(zhǎng)途撥號(hào))
應(yīng)用靈活、可擴(kuò)展性好。
本次試驗(yàn)的拓?fù)鋱D如下:
路由器的端口連接圖如下:
Router1 F0/1 Router2 F0/1
Router1 F0/0 pc 1
Router2 F0/0 pc 2
一、路由基本配置
首先我們來(lái)對(duì)路由一進(jìn)行一下基本配置。F0/1是連接外網(wǎng)的端口,IP地址為202.106.1.1 F0/0是連接內(nèi)網(wǎng)的,IP地址為192.168.1.1
R1:
Router>en
Router#conf t
Router(config)#hostname r1
r1(config)#int f0/1
r1(config-if)#ip addr 202.106.1.1 255.255.255.0
r1(config-if)#no shut
r1(config-if)#exit
r1(config)#int f0/0
r1(config-if)#ip addr 192.168.1.1 255.255.255.0
r1(config-if)#no shut
r1(config-if)#exit
在路由器一上配置靜態(tài)路由。目標(biāo)網(wǎng)段+子網(wǎng)掩碼+下一跳IP地址。這里配置其他的路由協(xié)議也可以,比如:ospf、rip、eigrp等等。
r1(config)#ip route 192.168.10.0 255.255.255.0 202.106.1.2
r1(config)#exit
接下來(lái)我們來(lái)對(duì)路由二進(jìn)行一下基本配置。F0/1是連接外網(wǎng)的端口,IP地址為202.106.1.2 F0/0是連接內(nèi)網(wǎng)的,IP地址為192.168.10.1。最后配置一下靜態(tài)路由,目標(biāo)網(wǎng)段+子網(wǎng)掩碼+下一跳IP地址
R2:
Router>en
Router#conf t
Router(config)#hostname r2
r2(config)#int f0/1
r2(config-if)#ip addr 202.106.1.2 255.255.255.0
r2(config-if)#no shut
r2(config-if)#exit
r2(config)#int f0/0
r2(config-if)#ip addr 192.168.10.1 255.255.255.0
r2(config-if)#no shut
r2(config-if)#exit
r2(config)#ip route 192.168.1.0 255.255.255.0 202.106.1.1
r2(config)#exit
路由器的基本配置步驟完成后,我們用命令show ip route 來(lái)查看一下路由表的信息。發(fā)現(xiàn)路由一已經(jīng)學(xué)到了其他網(wǎng)段的信息了。經(jīng)過查看路由二的路由表,它也正常學(xué)習(xí)到了其他網(wǎng)段的信息了(學(xué)計(jì)算機(jī)基礎(chǔ)知識(shí)www.woaidiannao.com)
既然已經(jīng)學(xué)習(xí)到了其他的路由信息,那么肯定能通訊了,只是現(xiàn)在通訊是肯定是不安全的,用抓包器可以很輕松的獲取到密碼。接下來(lái)我們就是要在路由器一與路由器二的通信信道上建立一條VPN專用線路,讓其更安全的傳輸數(shù)據(jù)。
二、配置IPSec和IKE
IPSec 提供兩個(gè)安全協(xié)議:
AH (Authentication Header)報(bào)文認(rèn)證頭協(xié)議
MD5(Message Digest 5)
SHA1(Secure Hash Algorithm)
ESP (Encapsulation Security Payload)封裝安全載荷協(xié)議
DES (Data Encryption Standard)
3DES
其他的加密算法:Blowfish ,blowfish、 cast
IKE全稱:Internet Key Exchange
IKE用于IPSec安全聯(lián)盟及密鑰的自動(dòng)化管理,定時(shí)為IPSec協(xié)商密鑰,創(chuàng)建、刪除安全聯(lián)盟等
IKE采用兩個(gè)階段的ISAKMP:
協(xié)商認(rèn)證通信信道,為第二階段的通信提供安全保證。即建立IKE SA
使用IKE SA 協(xié)商建立IPSec SA,用于IPSec通信。
IKE(Internet Key Exchange)因特網(wǎng)密鑰交換協(xié)議是IPSEC的信令協(xié)議,為IPSec提供了自動(dòng)協(xié)商交換密鑰、建立安全聯(lián)盟的服務(wù),能夠簡(jiǎn)化IPSec的使用和管理,大大簡(jiǎn)化IPSec的配置和維護(hù)工作。IKE不是在網(wǎng)絡(luò)上直接傳送密鑰,而是通過一系列數(shù)據(jù)的交換,最終計(jì)算出雙方共享的密鑰,并且即使第三者截獲了雙方用于計(jì)算密鑰的所有交換數(shù)據(jù),也不足以計(jì)算出真正的密鑰。IKE具有一套自保護(hù)機(jī)制,可以在不安全的網(wǎng)絡(luò)上安全的分發(fā)密鑰,驗(yàn)證身份,建立IPSEC安全聯(lián)盟。
R1:
r1#conf t
r1(config)#crypto isakmp enable———–啟用IKE
r1(config)#crypto isakmp policy 1————創(chuàng)建IKE策略、注意:優(yōu)先級(jí)1—10000 1為最高級(jí)別
r1(config-isakmp)#encryption 3des————指定價(jià)碼算法
r1(config-isakmp)#authentication pre-share———–指定身份認(rèn)證方法
注意: per-share共享密鑰
rsa-encr–RSA加密
rsasig—RSA簽名
r1(config-isakmp)#group 1———–指定密鑰交換參數(shù)
注意: group 1 表示768位密鑰
group 2 表示1024位密鑰
group 5 表示1536位密鑰
r1(config-isakmp)#lifetime 28800———–指定SA的生存期(單位秒)
r1(config-isakmp)#exit
r1(config)#crypto isakmp key cisco addres 202.106.1.2————指定身份認(rèn)證使用的密鑰和該共享密鑰對(duì)應(yīng)的IP地址
r1(config)#crypto ipsec transform-set r1set esp-3des———創(chuàng)建IPSec變換集,對(duì)用戶安全保護(hù)使用的協(xié)議
r1(cfg-crypto-trans)#exit
r1(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255——-指定需要通過的ipsec進(jìn)行保護(hù)的通信網(wǎng)段
r1(config)#crypto map r1map 1 ipsec-isakmp—— ——–創(chuàng)建加密圖
r1(config-crypto-map)#set peer 202.106.1.2————指定加密用于與哪個(gè)對(duì)端VPN建立連接,也就是路由器二的公網(wǎng)IP地址
r1(config-crypto-map)#set transform-set r1set———–指定加密圖使用的ipsec變換集
r1(config-crypto-map)#match address 100———–指定訪問列表
r1(config-crypto-map)#exit
指定加密圖應(yīng)用哪些接口上。一般應(yīng)用在連接外網(wǎng)時(shí)候的端口上。
r1(config)#int f0/1
r1(config-if)#crypto map r1map
在路由器二上對(duì)IPSec和IKE進(jìn)行一般的配置步驟
R2:
r2>en
r2#conf t
r2(config)#crypto isakmp enable——啟用IKE
r2(config)#crypto isakmp policy 1——–創(chuàng)建IKE策略。注意:優(yōu)先級(jí)1—10000 1為最高級(jí)別
r1(config-isakmp)#encryption 3des——-指定加碼算法
r2(config-isakmp)#authentication pre-share——-指定身份認(rèn)證方法
注意: per-share共享密鑰
rsa-encr–RSA加密
rsasig—RSA簽名
r2(config-isakmp)#group 1———-指定密鑰交換參數(shù)
注意: group 1 表示768位密鑰
group 2 表示1024位密鑰
group 5 表示1536位密鑰
r2(config-isakmp)#lifetime 28800——–指定SA的生存期(單位秒)
r2(config-isakmp)#exit
r2(config)#crypto isakmp key cisco addres 202.106.1.1——指定身份認(rèn)證使用的密鑰和該共享密鑰對(duì)應(yīng)的IP地址
r2(config)#crypto ipsec transform-set r2set esp-3des—–創(chuàng)建IPSec變換集,對(duì)用戶安全保護(hù)使用的協(xié)議
r2(cfg-crypto-trans)#exit
r2(config)#access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255—–指定需要通過的ipsec進(jìn)行保護(hù)的通信網(wǎng)段
r2(config)#crypto map r2map 1 ipsec-isakmp——創(chuàng)建加密圖
r2(config-crypto-map)#set peer 202.106.1.1——指定加密用于與哪個(gè)對(duì)端VPN建立連接,也就是路由器一的公網(wǎng)IP地址
r2(config-crypto-map)#set transform-set r1set——-指定加密圖使用的ipsec變換集
r2(config-crypto-map)#match address 100——指定訪問列表
r2(config-crypto-map)#exit
r2(config)#exit
指定加密圖應(yīng)用哪些接口上
r2(config)#int f0/1
r2(config-if)#crypto map r2map
配置完成后,我們進(jìn)行測(cè)試:
首先我們根據(jù)拓?fù)鋱D所示 配置好PC1 PC2的IP 并于網(wǎng)關(guān)進(jìn)行PING測(cè)試,發(fā)現(xiàn)網(wǎng)絡(luò)正常!能夠互相訪問!
我們?cè)诼酚善魃嫌脭U(kuò)展ping命令來(lái)打通VPN通道。建立好VPN通道后,不用擴(kuò)展ping命令來(lái)打通VPN通道那是沒用的。如下所示:我們來(lái)測(cè)試一下VPN通信。
在路由器一上輸入命令ping
r1#ping———-輸入ping直接回車
Protocol [ip]:———-因?yàn)槭褂玫氖荌P地址,直接回車就可以了
Target IP address: 192.168.10.2———輸入目標(biāo)地址的IP
Repeat count [5]:————–ping包的數(shù)量
Datagram size [100]:———–數(shù)據(jù)包的大小
Timeout in seconds [2]:————超時(shí)時(shí)間,默認(rèn)的是2秒
Extended commands [n]: y——–是否要使用擴(kuò)展ping命令,一定要填YES
Source address or interface: 192.168.1.1——-使用那個(gè)源地址或接口去ping,我們使用192.168.1.1
接下來(lái)全部選擇默認(rèn)的即可,直接回車就行
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.2, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
!!!!!———————-結(jié)果是可以ping通的
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/56/104 ms
我們?cè)诼酚善鞫陷斎朊頿ing,回車后直接輸入PC1的IP地址,根據(jù)提示進(jìn)行下一步
r2#ping————–輸入ping命令直接回車就行
Protocol [ip]:————– 因?yàn)槭褂玫氖荌P地址,直接回車就可以了
Target IP address: 192.168.1.2———–輸入目標(biāo)地址的IP
Repeat count [5]:————–ping包的數(shù)量
Datagram size [100]:———–數(shù)據(jù)包的大小
Timeout in seconds [2]:————–超時(shí)時(shí)間,默認(rèn)時(shí)間是2秒
Extended commands [n]: y————–選擇YES,使用擴(kuò)展ping命令
Source address or interface: 192.168.10.1———–使用那個(gè)源地址或接口去ping,我們使用192.168.10.1
接下來(lái)全部選擇默認(rèn)的即可,直接回車就行
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
Packet sent with a source address of 192.168.10.1
!!!!!—————————結(jié)果是可以ping通的
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/39/68 ms
至此,IPSEC vpn配置圓滿完成!
———————
以下是2個(gè)路由器的完整配置文件,供大家參考:
R1#show run
Building configuration…
Current configuration : 892 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R1
!
!
!
!
!
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
lifetime 28800
!
crypto isakmp key cisco address 202.106.1.2
!
!
crypto ipsec transform-set rlset esp-3des
!
crypto map rlmap 1 ipsec-isakmp
set peer 202.106.1.2
set transform-set rlset
match address 100
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 202.106.1.1 255.255.255.0
duplex auto
speed auto
crypto map rlmap
!
interface Vlan1
no ip address
shutdown
!
ip classless
ip route 192.168.10.0 255.255.255.0 202.106.1.2
!
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
!
!
!
!
!
line con 0
line vty 0 4
login
!
!
!
end
R2#
Router#show run
Building configuration…
Current configuration : 892 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R2
!
!
!
!
!
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
lifetime 28800
!
crypto isakmp key cisco address 202.106.1.1
!
!
crypto ipsec transform-set r2set esp-3des
!
crypto map r2map 1 ipsec-isakmp
set peer 202.106.1.1
set transform-set r2set
match address 100
!
!
interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 202.106.1.2 255.255.255.0
duplex auto
speed auto
crypto map r2map
!
interface Vlan1
no ip address
shutdown
!
ip classless
ip route 192.168.1.0 255.255.255.0 202.106.1.1
!
!
access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255
!
!
line con 0
line vty 0 4
login
!
!
!
end
R2#
上海廣樂網(wǎng)絡(luò)科技有限公司 
滬ICP備14038021號(hào)-2 版權(quán)所有. 上海市市轄區(qū)浦東新區(qū)盛夏路666號(hào)盛銀大廈E棟 13151091625
