请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
楼主: nmyp007

【跟我一起读】Cisco IPSec VPN实战指南

[复制链接]
发表于 2018-6-19 14:22:33 | 显示全部楼层
5、查看IPSec VPN的相关状态的命令?
show crypto isakmp sa
show crypto ipsec sa
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (3 评价)
发表于 2018-6-19 14:24:25 | 显示全部楼层
6、ASA防火墙3个基本工作原理?
答:(1).访问控制列表—基于特定网络、主机和服务控制网络访问,有两个作用:允许入站连接和控制出站的流量
(2).连接表—维护每个连接状态信息,在已建立的连接中有效转发数据流量,入站流量如果conn表中没有将会丢弃
(3).检查引擎—执行状态检查和应用层检查
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (3 评价)
发表于 2018-6-19 17:59:23 | 显示全部楼层
Vpn主要分两种:Site to Site ;Remote Access
Site to Site VPN连接技术主要包括:
GRE(Generic Routing Encapsulation,通用路由封装)
IPsec VPN
MPLS VPN
其中ipsecvpn的安全性高于GRE,ipsec主要在数据包头部插入一个预定义头部来保障osi上层协议数据的安全性。主要用于保护网络层的数据。
ipsec头部会插入在IP头部和传输层头部(IP负载)之间,这样就可以对IP负载实现加密,同时还可以实现对ipsec头部和原始IP负载的验证,以确保数据的完整性。

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (2 评价)
发表于 2018-6-19 23:09:00 | 显示全部楼层
4、IOS IPSec VPN配置步骤及命令?
·激活ISAKMP
Site1(config)#crypto isakmp enable

·配置IKE第一阶段策略
Site1(config)#crypto isakmp policy 10
Site1(config-isakmp)#encr 3des
Site1(config-isakmp)#hash md5
Site1(config-isakmp)#authentication pre-share
Site1(config-isakmp)#group 2
Site1(config)#crypto isakmp key 0 L2Lkey address 61.128.1.1

·配置IKE第二阶段策略
Site1(config)#ip access-list extended vpn
Site1(config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
Site1(config)#cry ipsec transform-set Trans esp-des esp-md5-hmac
Site1(config)#crypto map cry-map 10 ipsec-isakmp
Site1(config-crypto-map)#match address vpn
Site1(config-crypto-map)#set transform-set Trans
Site1(config-crypto-map)#set peer 61.128.1.1
Site1(config-crypto-map)#set pfs group2
Site1(config-crypto-map)#set security-association lifetime seconds 1800

·将Crypto map应用到接口
Site1(config)#interface FastEthernet1/0
Site1(config-if)#ip address 202.100.1.1 255.255.255.0
Site1(config-if)#crypto map cry-map


5、查看IPSec VPN的相关状态的命令?
·查看ISAKMP SA的状态
Site1#show crypto isakmp sa

Site1#show crypto isakmp sa detail

·查看IPSec SA的状态
Site1#show crypto ipsec sa

·查看IPSec VPN摘要
Site1#show crypto session

Site1#show crypto engine connecion active

6、ASA防火墙3个基本工作原理?
1.访问控制列表—基于特定网络、主机和服务控制网络访问,有两个作用:允许入站连接和控制出站的流量

2.连接表—维护每个连接状态信息,在已建立的连接中有效转发数据流量,入站流量如果conn表中没有将会丢弃

3.检查引擎—执行状态检查和应用层检查
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (3 评价)
发表于 2018-6-20 11:01:47 | 显示全部楼层
Site1(config)#crypto isakmp enable
Site1(config)#crypto isakmp policy 10
Site1(config-isakmp)#encr 3des
Site1(config-isakmp)#hash md5
Site1(config-isakmp)#authentication pre-share
Site1(config-isakmp)#group 2
Site1(config)#crypto isakmp key 0 L2Lkey address 61.128.1.1
Site1(config)#ip access-list extended vpn
Site1(config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
Site1(config)#cry ipsec transform-set Trans esp-des esp-md5-hmac
Site1(config)#crypto map cry-map 10 ipsec-isakmp
Site1(config-crypto-map)#match address vpn
Site1(config-crypto-map)#set transform-set Trans
Site1(config-crypto-map)#set peer 61.128.1.1
Site1(config-crypto-map)#set pfs group2
Site1(config-crypto-map)#set security-association lifetime seconds 1800
Site1(config)#interface FastEthernet1/0
Site1(config-if)#ip address 202.100.1.1 255.255.255.0
Site1(config-if)#crypto map cry-map


5、查看IPSec VPN的相关状态的命令?

Site1#show crypto isakmp sa
Site1#show crypto isakmp sa detail
Site1#show crypto ipsec sa
Site1#show crypto session
Site1#show crypto engine connecion active
6、ASA防火墙3个基本工作原理?
1.访问控制列表—基于特定网络、主机和服务控制网络访问,有两个作用:允许入站连接和控制出站的流量

2.连接表—维护每个连接状态信息,在已建立的连接中有效转发数据流量,入站流量如果conn表中没有将会丢弃

3.检查引擎—执行状态检查和应用层检查
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (2 评价)
发表于 2018-6-20 11:11:25 | 显示全部楼层
4、IOS IPSec VPN配置步骤及命令?
步骤:
1、configure crypto ACL  配置感兴趣流
2、establish ISAKMP policy 建立第一阶段的策略
3、configure IPsec transform set建立第二阶段的加密集策略
4、configure crypto map 配置加密图
5、apply crypto map to the interface  在接口下应用
6、configure interface ACL 外网接口放行流量
5、查看IPSec VPN的相关状态的命令?
show crypto isakmp policy
show crypto isakmp sa
show crypto ipsec sa
show crypto engine connections active
show crypto map
6、ASA防火墙3个基本工作原理?
a访问控制列表,允许入站连接和控制出站的流量
b连接表,维护每个连接状态信息,在已建立的连接中有效转发数据流量,入站流量如果连接表中没有就会丢弃改报文
c检查引擎,执行状态检查和应用层检查
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (2 评价)
发表于 2018-6-20 21:31:01 | 显示全部楼层
4、IOS IPSec VPN配置步骤及命令?


一、激活ISAKMP
R1(config)#crypto isakmp enable
二、配置IKE第一阶段策略
R1(config)#crypto isakmp policy 20
R1(config-isakmp)#encryption 3des 加密算法使用3des
R1(config-isakmp)#hash md5 散列算法使用MD5
R1(config-isakmp)#authentication pre-share 认证方式为预共享密钥认证
R1(config-isakmp)#group 2
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 0 cisco address 61.128.1.1 预共享密钥认证的秘钥为cisco
三、配置IKE第二阶段策略
R1(config)#ip access-list extended VPN 配置访问控制列表VPN,也是通信点之间的流量
R1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255  172.16.1.0 0.0.0.255
R1(config-ext-nacl)#exit
R1(config)#crypto ipsec transform-set My-set esp-des esp-md5-hmac 配置IPsec转换集,名字为My-set,封装使用esp,加密使用des,完整性校验使用md5-hmac
R1(config)#crypto map My-map 20 ipsec-isakmp 配置crypto map,My-map为crypto map起的名字,20为优先级,ipsec-isakmp:表示此IPSec链接采用IKE自动协商
R1(config-crypto-map)#set peer 61.128.1.1 指定对端的IP地址
R1(config-crypto-map)#set transform-set My-set 指定转换集,要求与上面名字一致
R1(config-crypto-map)#match address VPN 匹配VPN这个acl列表
R1(config-crypto-map)#set pfs group2 启动pfs
R1(config-crypto-map)#set security-association lifetime seconds 1800 设置IPsec SA的生存期
R1(config-crypto-map)#exit
四、把crypto-map应用到接口
R1(config)#interface fastEthernet 0/0
R1(config-if)#crypto map My-map
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (3 评价)
发表于 2018-6-20 21:50:41 | 显示全部楼层
5、查看IPSec VPN的相关状态的命令?
      查看ISAKMP SA的状态命令:show crypto isakmp sa和show crypto isakmp sa detail

      查看IPsec SA的状态的命令:show crypto ipsec sa

      查看IPsec VPN摘要的命令:show crypto session

6、ASA防火墙3个基本工作原理?
一:访问控制列表—基于特定网络、主机和服务控制网络访问,有两个作用:允许入站连接和控制出站的流量
二:连接表—维护每个连接状态信息,在已建立的连接中有效转发数据流量,入站流量如果连接表中没有将会丢弃
三:检查引擎—执行状态检查和应用层检查
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (3 评价)
发表于 2018-6-22 09:49:57 | 显示全部楼层
4、IOS IPSec VPN配置步骤及命令?
答:第一步   配置IKE协商
R1(config)#crypto isakmp policy 1   建立IKE协商策略
R1(config-isakmap)# hash md5    设置密钥验证所用的算法
R1(config-isakmap)# authentication pre-share   设置路由要使用的预先共享的密钥
R1(config)#   crypto isakmp key   123   address 192.168.1.2   设置共享密钥和对端地址 123是密钥
R2(config)#crypto isakmp policy 1  
R2(config-isakmap)# hash md5   
R2(config-isakmap)# authentication pre-share  
R2(config)#   crypto isakmp key   123   address 192.168.1.1
第二步 配置IPSEC相关参数
R1(config)# crypto ipsec transform-set cfanhome ah-md5-hmac esp-des   配置传输模式以及验证的算法和加密的的算法   cfanhome这里是给这个传输模式取个名字
R1(config)# access-list 101 permit ip   any any 我这里简单的写   但是大家做的时候可不能这样写
这里是定义访问控制列表
R2(config)# crypto ipsec transform-set cfanhome ah-md5-hmac esp-des   两边的传输模式的名字要一样
R2(config)# access-list 101 permit ip   any any  
第三步 应用配置到端口   假设2个端口都是s0/0
R1(config)# crypto map cfanhomemap 1 ipsec-isakmp 采用IKE协商,优先级为1 这里的cfanhomemap是一个表的名字
R1(config-crypto-map)#   set peer 192.168.1.2 指定VPN链路对端的IP地址
R1(config-crypto-map)#   set transform-set   cfanhome   指定先前所定义的传输模式
R1(config-crypto-map)#   match address 101 指定使用的反问控制列表   这里的MATCH是匹配的意思
R1(config)# int s0/0
R1(config-if)# crypto map cfanhomemap 应用此表到端口
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (3 评价)
发表于 2018-6-22 10:56:49 | 显示全部楼层
4、IOS IPSec VPN配置步骤及命令?
(1)配置第一阶段的ike策略
(2)配置第二阶段的ipsec策略
(3)关联map,接口调用

具体命令还是要看是ikev1还是ikev2,以及是否是基于感兴趣流的IPSEC、Gre over IPSEC或者SVTI,DVTI
总体上IOS系统和ASA系统大同小异.
IKEV1的大家应该都比较熟悉。我就贴一下ikev2的配置吧
IOS系统配置ikev2 IPSEC VPN

  1. crypto ikev2 proposal IKE_PROP
  2. encryption 3des aes-cbc-256
  3. integrity sha256 sha512
  4. group 2 5 14
  5. prf sha256 sha(对随机数加密之后得到新的‘随机值’)

  6. crypto ikev2 policy IKE_PROL
  7. proposal IKE_PROP

  8. crypto ikev2 keyring IKE_KEY
  9. peer PEER_B
  10.   address 23.1.1.3
  11.   pre-shared-key IPSECKEY


  12. crypto ikev2 profile IKE_PROF
  13. match identity remote address 23.1.1.3 255.255.255.255
  14. identity local address 12.1.1.1
  15. authentication local pre-share
  16. authentication remote pre-share
  17. keyring local IKE_KEY

  18. crypto ipsec transform-set TRANS1 esp-des esp-md5-hmac
  19. mode tunnel
  20. crypto ipsec transform-set TRANS2 esp-3des esp-sha256-hmac
  21. mode tunnel

  22. ip access-list extended VPN
  23. permit ip 14.1.1.0 0.0.0.255 35.1.1.0 0.0.0.255

  24. crypto map IKE_MAP 10 ipsec-isakmp
  25. set peer 23.1.1.3
  26. set transform-set TRANS1 TRANS2
  27. set ikev2-profile IKE_PROF
  28. match address VPN

  29. interface e0/0
  30. crypto map IKE_MAP
复制代码


ASA系统配置ikev2 IPSEC VPN

  1. crypto ikev2 enable outside

  2. crypto ikev2 policy 10
  3. encryption aes-256 3des
  4. integrity sha512 sha256
  5. group 5 2 1
  6. prf sha256 sha
  7. lifetime seconds 86400

  8. tunnel-group 12.1.1.1 type ipsec-l2l
  9. tunnel-group 12.1.1.1 ipsec-attributes
  10. ikev2 remote-authentication pre-shared-key IPSECKEY
  11. ikev2 local-authentication pre-shared-key IPSECKEY

  12. crypto ipsec ikev2 ipsec-proposal TRANS
  13. protocol esp encryption aes-192 des
  14. protocol esp integrity sha-1 md5

  15. access-list VPN extended permit ip 35.1.1.0 255.255.255.0 14.1.1.0 255.255.255.0

  16. crypto map IKE_VPN 10 match address VPN
  17. crypto map IKE_VPN 10 set peer 12.1.1.1
  18. crypto map IKE_VPN 10 set ikev2 ipsec-proposal TRANS
  19. crypto map IKE_VPN interface outside
复制代码


欢迎指正

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (3 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-11-15 14:59 , Processed in 0.093856 second(s), 51 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表