请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
楼主: nmyp007

【跟我一起读】Cisco IPSec VPN实战指南

[复制链接]
发表于 2018-6-22 09:49:57 | 显示全部楼层
4、IOS IPSec VPN配置步骤及命令?
答:第一步   配置IKE协商
R1(config)#crypto isakmp policy 1   建立IKE协商策略
R1(config-isakmap)# hash md5    设置密钥验证所用的算法
R1(config-isakmap)# authentication pre-share   设置路由要使用的预先共享的密钥
R1(config)#   crypto isakmp key   123   address 192.168.1.2   设置共享密钥和对端地址 123是密钥
R2(config)#crypto isakmp policy 1  
R2(config-isakmap)# hash md5   
R2(config-isakmap)# authentication pre-share  
R2(config)#   crypto isakmp key   123   address 192.168.1.1
第二步 配置IPSEC相关参数
R1(config)# crypto ipsec transform-set cfanhome ah-md5-hmac esp-des   配置传输模式以及验证的算法和加密的的算法   cfanhome这里是给这个传输模式取个名字
R1(config)# access-list 101 permit ip   any any 我这里简单的写   但是大家做的时候可不能这样写
这里是定义访问控制列表
R2(config)# crypto ipsec transform-set cfanhome ah-md5-hmac esp-des   两边的传输模式的名字要一样
R2(config)# access-list 101 permit ip   any any  
第三步 应用配置到端口   假设2个端口都是s0/0
R1(config)# crypto map cfanhomemap 1 ipsec-isakmp 采用IKE协商,优先级为1 这里的cfanhomemap是一个表的名字
R1(config-crypto-map)#   set peer 192.168.1.2 指定VPN链路对端的IP地址
R1(config-crypto-map)#   set transform-set   cfanhome   指定先前所定义的传输模式
R1(config-crypto-map)#   match address 101 指定使用的反问控制列表   这里的MATCH是匹配的意思
R1(config)# int s0/0
R1(config-if)# crypto map cfanhomemap 应用此表到端口
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (3 评价)
发表于 2018-6-22 10:56:49 | 显示全部楼层
4、IOS IPSec VPN配置步骤及命令?
(1)配置第一阶段的ike策略
(2)配置第二阶段的ipsec策略
(3)关联map,接口调用

具体命令还是要看是ikev1还是ikev2,以及是否是基于感兴趣流的IPSEC、Gre over IPSEC或者SVTI,DVTI
总体上IOS系统和ASA系统大同小异.
IKEV1的大家应该都比较熟悉。我就贴一下ikev2的配置吧
IOS系统配置ikev2 IPSEC VPN

  1. crypto ikev2 proposal IKE_PROP
  2. encryption 3des aes-cbc-256
  3. integrity sha256 sha512
  4. group 2 5 14
  5. prf sha256 sha(对随机数加密之后得到新的‘随机值’)

  6. crypto ikev2 policy IKE_PROL
  7. proposal IKE_PROP

  8. crypto ikev2 keyring IKE_KEY
  9. peer PEER_B
  10.   address 23.1.1.3
  11.   pre-shared-key IPSECKEY


  12. crypto ikev2 profile IKE_PROF
  13. match identity remote address 23.1.1.3 255.255.255.255
  14. identity local address 12.1.1.1
  15. authentication local pre-share
  16. authentication remote pre-share
  17. keyring local IKE_KEY

  18. crypto ipsec transform-set TRANS1 esp-des esp-md5-hmac
  19. mode tunnel
  20. crypto ipsec transform-set TRANS2 esp-3des esp-sha256-hmac
  21. mode tunnel

  22. ip access-list extended VPN
  23. permit ip 14.1.1.0 0.0.0.255 35.1.1.0 0.0.0.255

  24. crypto map IKE_MAP 10 ipsec-isakmp
  25. set peer 23.1.1.3
  26. set transform-set TRANS1 TRANS2
  27. set ikev2-profile IKE_PROF
  28. match address VPN

  29. interface e0/0
  30. crypto map IKE_MAP
复制代码


ASA系统配置ikev2 IPSEC VPN

  1. crypto ikev2 enable outside

  2. crypto ikev2 policy 10
  3. encryption aes-256 3des
  4. integrity sha512 sha256
  5. group 5 2 1
  6. prf sha256 sha
  7. lifetime seconds 86400

  8. tunnel-group 12.1.1.1 type ipsec-l2l
  9. tunnel-group 12.1.1.1 ipsec-attributes
  10. ikev2 remote-authentication pre-shared-key IPSECKEY
  11. ikev2 local-authentication pre-shared-key IPSECKEY

  12. crypto ipsec ikev2 ipsec-proposal TRANS
  13. protocol esp encryption aes-192 des
  14. protocol esp integrity sha-1 md5

  15. access-list VPN extended permit ip 35.1.1.0 255.255.255.0 14.1.1.0 255.255.255.0

  16. crypto map IKE_VPN 10 match address VPN
  17. crypto map IKE_VPN 10 set peer 12.1.1.1
  18. crypto map IKE_VPN 10 set ikev2 ipsec-proposal TRANS
  19. crypto map IKE_VPN interface outside
复制代码


欢迎指正

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (3 评价)
发表于 2018-6-22 20:26:14 | 显示全部楼层
本帖最后由 yangkai_716 于 2018-6-22 20:32 编辑

4、IOS IPSec VPN配置步骤及命令?
a.配置IKE第一阶段策略
Site1(config)#crypto isakmp policy 10
Site1(config-isakmp)#encr 3des
Site1(config-isakmp)#hash md5
Site1(config-isakmp)#authentication pre-share
Site1(config-isakmp)#group 2
Site1(config)#crypto isakmp key 0 L2Lkey address 61.128.1.1

b.配置IKE第二阶段策略
Site1(config)#ip access-list extended vpn
Site1(config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
Site1(config)#cry ipsec transform-set Trans esp-des esp-md5-hmac
Site1(config)#crypto map cry-map 10 ipsec-isakmp
Site1(config-crypto-map)#match address vpn
Site1(config-crypto-map)#set transform-set Trans
Site1(config-crypto-map)#set peer 61.128.1.1
Site1(config-crypto-map)#set pfs group2
Site1(config-crypto-map)#set security-association lifetime seconds 1800

c.将Crypto map应用到接口
Site1(config)#interface FastEthernet1/0
Site1(config-if)#ip address 202.100.1.1 255.255.255.0
Site1(config-if)#crypto map cry-map


5、查看IPSec VPN的相关状态的命令?
a.查看ISAKMP SA的状态
Site1#show crypto isakmp sa
Site1#show crypto isakmp sa detail

b.查看IPSec SA的状态
Site1#show crypto ipsec sa

c.查看IPSec VPN摘要
Site1#show crypto session
Site1#show crypto engine connecion active

6、ASA防火墙3个基本工作原理?
a.访问控制列表—基于特定网络、主机和服务控制网络访问,有两个作用:允许入站连接和控制出站的流量
b.连接表—维护每个连接状态信息,在已建立的连接中有效转发数据流量,入站流量如果conn表中没有将会丢弃
c.检查引擎—执行状态检查和应用层检查

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (2 评价)
发表于 2018-6-23 09:51:23 | 显示全部楼层
vpn的路由分析
1 加密设备,需要有道本地通信点,远端加密点,远端通信点的路由
2 互联网设备需要有去往2个加密点的路由
3 内部通信点需要有去往远端通信点的路由

ios的经典配置
1 激活isakmp
2 配置IKE第一阶段策略
3 配置IKE第二阶段策略
4 将Crypto map应用到接口

show crypto isakmp policy 查询第一段的策略配置结果
show crypto isakmp sa  第一阶段的SA
show crypto ipsec sa   第二阶段的SA
show crypto session  ,show crypto engine connections active  查看ipsec vpn的摘要

ASA防火墙基本工作原理
1 从高安全级别inside 到低安全级别outside的流量叫做 Outbound的流量,默认是允许的,
2 低安全级别到高安全级别的流量 叫做 Inbound流量,默认是拒绝的。但可以使用ACL来根据需要放行Inbound的流量。
3 ASA默认只对穿越的UDP和TCP流量维护状态化信息,但这些流量返回时防火墙会查询这些状态化信息,如果匹配这些条目那么该流量就被放行,即使是inbound的流量 只要它以前某一连接的返回数据包(通过状态化确认的流量)也是能穿越ASA防火墙的
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (2 评价)
发表于 2018-6-24 11:54:54 | 显示全部楼层
本帖最后由 zhang00xing00 于 2018-6-25 00:53 编辑

4、IOS IPSec VPN配置步骤及命令?

激活ISAKMP

crypto isakmp enable


配置IKE第一阶段策略
crypto isakmp policy 10
  encr 3des
  hash md5
  authentication pre-share
  group 2
  crypto isakmp key 0 xx address xx.xx.xx.xx


配置IKE第二阶段策略
ip access-list extend vpn
  permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

cry ipsec trransform-set TRANS esp-des esp-md5-hmac

cry map cry-map 0 ipsec-isakmp
  match address vpn
  set transform-set TRANS
  set peer 61.128.1.1
  set pfs groups
  set security-association lietime seconds 1800

int f0/1
  ip address 202.100.1.1 255.255.255.0
  crypto map cry-map

5、查看IPSec VPN的相关状态的命令?
查看 IKE 第一阶段策略配置
Show crypto isakmp policy

查看 ISAKMP SA状态
Show crypto isakmp sa
Show crypto isakmp sa detail

查看 IPSec SA 状态
Show crypto ipsec sa

查看 IPSec VPN 摘要
Show crypto session

6、ASA防火墙3个基本工作原理?
原理1:从高安全级别到低安全级别的流量叫做Outbound流量,默认是会被放行的。
原理2:从低安全级别到高安全级别的流量叫做Inbound流量,默认是被拒绝的,需要通过ACL根据需要放行。
原理3:ASA防火墙默认只对穿越的TCP和UDP流量维护状态信息(即记录会议的源目IP、源目端口等信息),当这些TCP和UDP流量返回时防火墙会查询状态化信息,匹配到对应条目后会放行。也就是说,即使这是一个Inbound流量,只要是以前某一连接的返回数据包也会被放行。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (2 评价)
发表于 2018-6-24 22:14:29 | 显示全部楼层
4、IOS IPSec VPN配置步骤及命令?

先配置policy,可以配置多个

guangzhou(config)#crypto isakmp policy 1
guangzhou(config-isakmp)#authentication pre-share
guangzhou(config-isakmp)#encryption aes
guangzhou(config-isakmp)#hash md5
guangzhou(config-isakmp)#group 2
guangzhou(config-isakmp)#exit

配置key  以及对端IP
guangzhou(config)#crypto isakmp key 0 cisco address  111.111.111.111

第二阶段
guangzhou(config)#crypto ipsec transform-set cisco esp-aes esp-sha-hmac

配置感兴趣流
guangzhou(config)#ip access-list extended  vpn
guangzhou(config-ext-nacl)#permit ip 172.16.1.0 0.0.0.255  192.168.1.0 0.0.0.255

guangzhou(config)#crypto map cisco 10 ipsec-isakmp
guangzhou(config-crypto-map)#set transform-set cisco
guangzhou(config-crypto-map)#set peer 111.111.111.111
guangzhou(config-crypto-map)#match address  vpn
guangzhou(config-crypto-map)#exit

接口调用
guangzhou(config-if)#crypto map cisco
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (7 评价)
发表于 2018-6-24 22:18:02 | 显示全部楼层
5、查看IPSec VPN的相关状态的命令?
显示ISAKMP协商的结果
Router#sh crypto isakmp policy

查看SA的状态
Router#sh crypto isakmp sa

显示ipsec 变换集
Router#sh crypto ipsec transform-set

显示数据数据连接SA的细节信息
Router#sh crypto ipsec sa

显示Crypto Map的信息
Router#sh crypto map
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (7 评价)
发表于 2018-6-24 22:31:52 | 显示全部楼层
6、ASA防火墙3个基本工作原理?
书中的97页写到:
1.流量从高安全级别到底安全级别默认放行
2.流量从低安全级别的区域到高安全级别的区域默认是拒绝的
3.默认只对UDP  TCP流量维护状态化信息
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (7 评价)
发表于 2018-6-25 06:52:31 | 显示全部楼层
本帖最后由 avicairbus 于 2018-6-25 07:05 编辑

4、IOS IPSec VPN配置步骤及命令?
crypto isakmp ena
crypto isakmp policy 5
encry des
hash sha
anthentication pre-share
group 2
crypto isakmp key cisco address 114.255.242.1
ip access-list extended test
permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
crypto ipsec transform test esp-des esp-md5-hmac
crypto map cry-map 10 ipsec ipsec-isakmp
match address test
set transform-set test
set peer 114.255.242.1
set pfs group2
set security-association lifetime seconds 3600
interface fa0/0
ip addr 61.16.73.1
crypto map cry-map
5、查看IPSec VPN的相关状态的命令?
sh crypto isakmp sa detail
sh crypto ipsec sa
sh crypto session
ping
6、ASA防火墙3个基本工作原理?
默认会放行出站流;拒绝入站流;维护穿越的TCP/UDP的状态信息
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (4 评价)
发表于 2018-6-25 06:59:39 | 显示全部楼层
刚回完问题,又是忙碌的一周,稍后再把学习笔记补写上来,见谅见谅!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (3 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2018-7-23 21:42 , Processed in 0.087872 second(s), 54 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表