请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
楼主: nmyp007

【跟我一起读】Cisco IPSec VPN实战指南

[复制链接]
发表于 2018-6-18 21:53:13 来自手机 | 显示全部楼层
这个小长假,一边看着足球,一边阅读着教主的大作,很是悠哉悠哉地。教主的大作也是极赞的,看了从异步下载的前三章,教主就是教主,把IpsecVPN的理论讲得如此通透,且显浅易懂!于是果断下定买本纸质的,同时又推荐前仨章的电子版给同事,同事也觉得写得很好,倾注了教主对IpsecVpn的理解!不错,这个小长假收获不少
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (7 评价)
发表于 2018-6-19 11:47:29 | 显示全部楼层
4、IOS IPSec VPN配置步骤及命令?
步骤:
1、configure crypto ACL             配置感兴趣流,需要加密的流量就是感兴趣流。
2、establish ISAKMP policy          第一阶段的策略
3、configure IPsec transform set    第二阶段的策略
4、configure crypto map
5、apply crypto map to the interface   在接口下应用
6、configure interface ACL          确定在外网接口放行哪些流量
命令:(1)、定义感兴趣流:
ip access-list extended VPN
   permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
(2)、IKE第一阶段
crypto isakmp policy 10
   encryption des
   hash md5
   authentication pre-share
   group 2
crypto isakmp key cisco address 202.100.1.2     pre-share key 的定义
(3)、IKE第二阶段
crypto ipsec transform-set MYSET esp-des esp-md5-hmac
   mode tunnel
(4)、把感兴趣流与转换集映射一下
crypto map MYMAP 100 ipsec-isakmp
   set peer 202.100.1.2 设置VPN对等体的地址
   set tranform-set MYSET   设置转换集
   match address VPN     感兴趣流和转换集的绑定
  
(5)、MAP与接口绑定
int s0
   crypto map MYMAP
(6)、设定接口只允许跑VPN流量,在接口入设置
access-list 100 permit udp any eq 500 any eq isakmp
access-list 100 permit esp any any
access-list 100 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255   由于ACL会二次查找,所以还要放行私网的流量
show crypto isakmp policy
show crypto isakmp sa   第一阶段的SA
show crypto ipsec sa 第二阶段的SA
show crypto engine connections active
show crypto map
crypto ipsec security-association lifetime [seconds|kilobytes] 第二阶段的一个协商时间,也就是说多长时间后重新协商密匙。也可按已发了多少流量来进行协商。哪个数值先到就先起效。
cryto isakmp keepalive 10 3
IPsec通道的终结:
当流量超过上限后或者超时自动终结
clear crypto isakmp 清第一阶段
clear crypto sa 清第二阶段
clear crypto session   在新版的IOS中,用这条命令全清
debug crypto isakmp
debug crypto ipsec
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (3 评价)
发表于 2018-6-19 14:22:33 | 显示全部楼层
5、查看IPSec VPN的相关状态的命令?
show crypto isakmp sa
show crypto ipsec sa
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (3 评价)
发表于 2018-6-19 14:24:25 | 显示全部楼层
6、ASA防火墙3个基本工作原理?
答:(1).访问控制列表—基于特定网络、主机和服务控制网络访问,有两个作用:允许入站连接和控制出站的流量
(2).连接表—维护每个连接状态信息,在已建立的连接中有效转发数据流量,入站流量如果conn表中没有将会丢弃
(3).检查引擎—执行状态检查和应用层检查
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (3 评价)
发表于 2018-6-19 17:59:23 | 显示全部楼层
Vpn主要分两种:Site to Site ;Remote Access
Site to Site VPN连接技术主要包括:
GRE(Generic Routing Encapsulation,通用路由封装)
IPsec VPN
MPLS VPN
其中ipsecvpn的安全性高于GRE,ipsec主要在数据包头部插入一个预定义头部来保障osi上层协议数据的安全性。主要用于保护网络层的数据。
ipsec头部会插入在IP头部和传输层头部(IP负载)之间,这样就可以对IP负载实现加密,同时还可以实现对ipsec头部和原始IP负载的验证,以确保数据的完整性。

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (2 评价)
发表于 2018-6-19 23:09:00 | 显示全部楼层
4、IOS IPSec VPN配置步骤及命令?
·激活ISAKMP
Site1(config)#crypto isakmp enable

·配置IKE第一阶段策略
Site1(config)#crypto isakmp policy 10
Site1(config-isakmp)#encr 3des
Site1(config-isakmp)#hash md5
Site1(config-isakmp)#authentication pre-share
Site1(config-isakmp)#group 2
Site1(config)#crypto isakmp key 0 L2Lkey address 61.128.1.1

·配置IKE第二阶段策略
Site1(config)#ip access-list extended vpn
Site1(config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
Site1(config)#cry ipsec transform-set Trans esp-des esp-md5-hmac
Site1(config)#crypto map cry-map 10 ipsec-isakmp
Site1(config-crypto-map)#match address vpn
Site1(config-crypto-map)#set transform-set Trans
Site1(config-crypto-map)#set peer 61.128.1.1
Site1(config-crypto-map)#set pfs group2
Site1(config-crypto-map)#set security-association lifetime seconds 1800

·将Crypto map应用到接口
Site1(config)#interface FastEthernet1/0
Site1(config-if)#ip address 202.100.1.1 255.255.255.0
Site1(config-if)#crypto map cry-map


5、查看IPSec VPN的相关状态的命令?
·查看ISAKMP SA的状态
Site1#show crypto isakmp sa

Site1#show crypto isakmp sa detail

·查看IPSec SA的状态
Site1#show crypto ipsec sa

·查看IPSec VPN摘要
Site1#show crypto session

Site1#show crypto engine connecion active

6、ASA防火墙3个基本工作原理?
1.访问控制列表—基于特定网络、主机和服务控制网络访问,有两个作用:允许入站连接和控制出站的流量

2.连接表—维护每个连接状态信息,在已建立的连接中有效转发数据流量,入站流量如果conn表中没有将会丢弃

3.检查引擎—执行状态检查和应用层检查
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (3 评价)
发表于 2018-6-20 11:01:47 | 显示全部楼层
Site1(config)#crypto isakmp enable
Site1(config)#crypto isakmp policy 10
Site1(config-isakmp)#encr 3des
Site1(config-isakmp)#hash md5
Site1(config-isakmp)#authentication pre-share
Site1(config-isakmp)#group 2
Site1(config)#crypto isakmp key 0 L2Lkey address 61.128.1.1
Site1(config)#ip access-list extended vpn
Site1(config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
Site1(config)#cry ipsec transform-set Trans esp-des esp-md5-hmac
Site1(config)#crypto map cry-map 10 ipsec-isakmp
Site1(config-crypto-map)#match address vpn
Site1(config-crypto-map)#set transform-set Trans
Site1(config-crypto-map)#set peer 61.128.1.1
Site1(config-crypto-map)#set pfs group2
Site1(config-crypto-map)#set security-association lifetime seconds 1800
Site1(config)#interface FastEthernet1/0
Site1(config-if)#ip address 202.100.1.1 255.255.255.0
Site1(config-if)#crypto map cry-map


5、查看IPSec VPN的相关状态的命令?

Site1#show crypto isakmp sa
Site1#show crypto isakmp sa detail
Site1#show crypto ipsec sa
Site1#show crypto session
Site1#show crypto engine connecion active
6、ASA防火墙3个基本工作原理?
1.访问控制列表—基于特定网络、主机和服务控制网络访问,有两个作用:允许入站连接和控制出站的流量

2.连接表—维护每个连接状态信息,在已建立的连接中有效转发数据流量,入站流量如果conn表中没有将会丢弃

3.检查引擎—执行状态检查和应用层检查
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (2 评价)
发表于 2018-6-20 11:11:25 | 显示全部楼层
4、IOS IPSec VPN配置步骤及命令?
步骤:
1、configure crypto ACL  配置感兴趣流
2、establish ISAKMP policy 建立第一阶段的策略
3、configure IPsec transform set建立第二阶段的加密集策略
4、configure crypto map 配置加密图
5、apply crypto map to the interface  在接口下应用
6、configure interface ACL 外网接口放行流量
5、查看IPSec VPN的相关状态的命令?
show crypto isakmp policy
show crypto isakmp sa
show crypto ipsec sa
show crypto engine connections active
show crypto map
6、ASA防火墙3个基本工作原理?
a访问控制列表,允许入站连接和控制出站的流量
b连接表,维护每个连接状态信息,在已建立的连接中有效转发数据流量,入站流量如果连接表中没有就会丢弃改报文
c检查引擎,执行状态检查和应用层检查
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (2 评价)
发表于 2018-6-20 21:31:01 | 显示全部楼层
4、IOS IPSec VPN配置步骤及命令?


一、激活ISAKMP
R1(config)#crypto isakmp enable
二、配置IKE第一阶段策略
R1(config)#crypto isakmp policy 20
R1(config-isakmp)#encryption 3des 加密算法使用3des
R1(config-isakmp)#hash md5 散列算法使用MD5
R1(config-isakmp)#authentication pre-share 认证方式为预共享密钥认证
R1(config-isakmp)#group 2
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 0 cisco address 61.128.1.1 预共享密钥认证的秘钥为cisco
三、配置IKE第二阶段策略
R1(config)#ip access-list extended VPN 配置访问控制列表VPN,也是通信点之间的流量
R1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255  172.16.1.0 0.0.0.255
R1(config-ext-nacl)#exit
R1(config)#crypto ipsec transform-set My-set esp-des esp-md5-hmac 配置IPsec转换集,名字为My-set,封装使用esp,加密使用des,完整性校验使用md5-hmac
R1(config)#crypto map My-map 20 ipsec-isakmp 配置crypto map,My-map为crypto map起的名字,20为优先级,ipsec-isakmp:表示此IPSec链接采用IKE自动协商
R1(config-crypto-map)#set peer 61.128.1.1 指定对端的IP地址
R1(config-crypto-map)#set transform-set My-set 指定转换集,要求与上面名字一致
R1(config-crypto-map)#match address VPN 匹配VPN这个acl列表
R1(config-crypto-map)#set pfs group2 启动pfs
R1(config-crypto-map)#set security-association lifetime seconds 1800 设置IPsec SA的生存期
R1(config-crypto-map)#exit
四、把crypto-map应用到接口
R1(config)#interface fastEthernet 0/0
R1(config-if)#crypto map My-map
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (3 评价)
发表于 2018-6-20 21:50:41 | 显示全部楼层
5、查看IPSec VPN的相关状态的命令?
      查看ISAKMP SA的状态命令:show crypto isakmp sa和show crypto isakmp sa detail

      查看IPsec SA的状态的命令:show crypto ipsec sa

      查看IPsec VPN摘要的命令:show crypto session

6、ASA防火墙3个基本工作原理?
一:访问控制列表—基于特定网络、主机和服务控制网络访问,有两个作用:允许入站连接和控制出站的流量
二:连接表—维护每个连接状态信息,在已建立的连接中有效转发数据流量,入站流量如果连接表中没有将会丢弃
三:检查引擎—执行状态检查和应用层检查
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (3 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2018-7-23 21:39 , Processed in 0.094061 second(s), 52 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表