请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
楼主: nmyp007

【跟我一起读】Cisco IPSec VPN实战指南

[复制链接]
发表于 2018-6-22 20:26:14 | 显示全部楼层
本帖最后由 yangkai_716 于 2018-6-22 20:32 编辑

4、IOS IPSec VPN配置步骤及命令?
a.配置IKE第一阶段策略
Site1(config)#crypto isakmp policy 10
Site1(config-isakmp)#encr 3des
Site1(config-isakmp)#hash md5
Site1(config-isakmp)#authentication pre-share
Site1(config-isakmp)#group 2
Site1(config)#crypto isakmp key 0 L2Lkey address 61.128.1.1

b.配置IKE第二阶段策略
Site1(config)#ip access-list extended vpn
Site1(config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
Site1(config)#cry ipsec transform-set Trans esp-des esp-md5-hmac
Site1(config)#crypto map cry-map 10 ipsec-isakmp
Site1(config-crypto-map)#match address vpn
Site1(config-crypto-map)#set transform-set Trans
Site1(config-crypto-map)#set peer 61.128.1.1
Site1(config-crypto-map)#set pfs group2
Site1(config-crypto-map)#set security-association lifetime seconds 1800

c.将Crypto map应用到接口
Site1(config)#interface FastEthernet1/0
Site1(config-if)#ip address 202.100.1.1 255.255.255.0
Site1(config-if)#crypto map cry-map


5、查看IPSec VPN的相关状态的命令?
a.查看ISAKMP SA的状态
Site1#show crypto isakmp sa
Site1#show crypto isakmp sa detail

b.查看IPSec SA的状态
Site1#show crypto ipsec sa

c.查看IPSec VPN摘要
Site1#show crypto session
Site1#show crypto engine connecion active

6、ASA防火墙3个基本工作原理?
a.访问控制列表—基于特定网络、主机和服务控制网络访问,有两个作用:允许入站连接和控制出站的流量
b.连接表—维护每个连接状态信息,在已建立的连接中有效转发数据流量,入站流量如果conn表中没有将会丢弃
c.检查引擎—执行状态检查和应用层检查

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (2 评价)
发表于 2018-6-23 09:51:23 | 显示全部楼层
vpn的路由分析
1 加密设备,需要有道本地通信点,远端加密点,远端通信点的路由
2 互联网设备需要有去往2个加密点的路由
3 内部通信点需要有去往远端通信点的路由

ios的经典配置
1 激活isakmp
2 配置IKE第一阶段策略
3 配置IKE第二阶段策略
4 将Crypto map应用到接口

show crypto isakmp policy 查询第一段的策略配置结果
show crypto isakmp sa  第一阶段的SA
show crypto ipsec sa   第二阶段的SA
show crypto session  ,show crypto engine connections active  查看ipsec vpn的摘要

ASA防火墙基本工作原理
1 从高安全级别inside 到低安全级别outside的流量叫做 Outbound的流量,默认是允许的,
2 低安全级别到高安全级别的流量 叫做 Inbound流量,默认是拒绝的。但可以使用ACL来根据需要放行Inbound的流量。
3 ASA默认只对穿越的UDP和TCP流量维护状态化信息,但这些流量返回时防火墙会查询这些状态化信息,如果匹配这些条目那么该流量就被放行,即使是inbound的流量 只要它以前某一连接的返回数据包(通过状态化确认的流量)也是能穿越ASA防火墙的
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (2 评价)
发表于 2018-6-24 11:54:54 | 显示全部楼层
本帖最后由 zhang00xing00 于 2018-6-25 00:53 编辑

4、IOS IPSec VPN配置步骤及命令?

激活ISAKMP

crypto isakmp enable


配置IKE第一阶段策略
crypto isakmp policy 10
  encr 3des
  hash md5
  authentication pre-share
  group 2
  crypto isakmp key 0 xx address xx.xx.xx.xx


配置IKE第二阶段策略
ip access-list extend vpn
  permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

cry ipsec trransform-set TRANS esp-des esp-md5-hmac

cry map cry-map 0 ipsec-isakmp
  match address vpn
  set transform-set TRANS
  set peer 61.128.1.1
  set pfs groups
  set security-association lietime seconds 1800

int f0/1
  ip address 202.100.1.1 255.255.255.0
  crypto map cry-map

5、查看IPSec VPN的相关状态的命令?
查看 IKE 第一阶段策略配置
Show crypto isakmp policy

查看 ISAKMP SA状态
Show crypto isakmp sa
Show crypto isakmp sa detail

查看 IPSec SA 状态
Show crypto ipsec sa

查看 IPSec VPN 摘要
Show crypto session

6、ASA防火墙3个基本工作原理?
原理1:从高安全级别到低安全级别的流量叫做Outbound流量,默认是会被放行的。
原理2:从低安全级别到高安全级别的流量叫做Inbound流量,默认是被拒绝的,需要通过ACL根据需要放行。
原理3:ASA防火墙默认只对穿越的TCP和UDP流量维护状态信息(即记录会议的源目IP、源目端口等信息),当这些TCP和UDP流量返回时防火墙会查询状态化信息,匹配到对应条目后会放行。也就是说,即使这是一个Inbound流量,只要是以前某一连接的返回数据包也会被放行。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (2 评价)
发表于 2018-6-24 22:14:29 | 显示全部楼层
4、IOS IPSec VPN配置步骤及命令?

先配置policy,可以配置多个

guangzhou(config)#crypto isakmp policy 1
guangzhou(config-isakmp)#authentication pre-share
guangzhou(config-isakmp)#encryption aes
guangzhou(config-isakmp)#hash md5
guangzhou(config-isakmp)#group 2
guangzhou(config-isakmp)#exit

配置key  以及对端IP
guangzhou(config)#crypto isakmp key 0 cisco address  111.111.111.111

第二阶段
guangzhou(config)#crypto ipsec transform-set cisco esp-aes esp-sha-hmac

配置感兴趣流
guangzhou(config)#ip access-list extended  vpn
guangzhou(config-ext-nacl)#permit ip 172.16.1.0 0.0.0.255  192.168.1.0 0.0.0.255

guangzhou(config)#crypto map cisco 10 ipsec-isakmp
guangzhou(config-crypto-map)#set transform-set cisco
guangzhou(config-crypto-map)#set peer 111.111.111.111
guangzhou(config-crypto-map)#match address  vpn
guangzhou(config-crypto-map)#exit

接口调用
guangzhou(config-if)#crypto map cisco
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (7 评价)
发表于 2018-6-24 22:18:02 | 显示全部楼层
5、查看IPSec VPN的相关状态的命令?
显示ISAKMP协商的结果
Router#sh crypto isakmp policy

查看SA的状态
Router#sh crypto isakmp sa

显示ipsec 变换集
Router#sh crypto ipsec transform-set

显示数据数据连接SA的细节信息
Router#sh crypto ipsec sa

显示Crypto Map的信息
Router#sh crypto map
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (7 评价)
发表于 2018-6-24 22:31:52 | 显示全部楼层
6、ASA防火墙3个基本工作原理?
书中的97页写到:
1.流量从高安全级别到底安全级别默认放行
2.流量从低安全级别的区域到高安全级别的区域默认是拒绝的
3.默认只对UDP  TCP流量维护状态化信息
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (7 评价)
发表于 2018-6-25 06:52:31 | 显示全部楼层
本帖最后由 avicairbus 于 2018-6-25 07:05 编辑

4、IOS IPSec VPN配置步骤及命令?
crypto isakmp ena
crypto isakmp policy 5
encry des
hash sha
anthentication pre-share
group 2
crypto isakmp key cisco address 114.255.242.1
ip access-list extended test
permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
crypto ipsec transform test esp-des esp-md5-hmac
crypto map cry-map 10 ipsec ipsec-isakmp
match address test
set transform-set test
set peer 114.255.242.1
set pfs group2
set security-association lifetime seconds 3600
interface fa0/0
ip addr 61.16.73.1
crypto map cry-map
5、查看IPSec VPN的相关状态的命令?
sh crypto isakmp sa detail
sh crypto ipsec sa
sh crypto session
ping
6、ASA防火墙3个基本工作原理?
默认会放行出站流;拒绝入站流;维护穿越的TCP/UDP的状态信息
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (4 评价)
发表于 2018-6-25 06:59:39 | 显示全部楼层
刚回完问题,又是忙碌的一周,稍后再把学习笔记补写上来,见谅见谅!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (3 评价)
发表于 2018-6-25 10:42:53 | 显示全部楼层

5、查看IPSec VPN的相关状态的命令?
sh crypto engine connections active
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (4 评价)
发表于 2018-6-25 13:47:02 | 显示全部楼层
7、DMVPN相比于传统的IPSec VPN技术有哪些优点?
DMVPN相比于传统的IPSec VPN技术有如下4个优点:
·简单的星形拓扑配置,提供了虚拟网状连通性。
·分支站点支持动态IP地址。
·增加新的分支站点,无需更改中心站点配置。
·分支站点间流量,通过动态产生的站点间隧道进行封装。

8、DMVPN的4大组成协议?
·动态多点GRE(Multipoint GRE,mGRE)协议
·下一跳解析协议 (Next Hop Resolution Protocol,NHRP)
·动态路由协议
·IPSec技术

9、配置DMVPN的三大步骤?
环境:
1.R1:拥有固定公网IP地址:HUB
2.R2/R3:拨号上网,动态获得公网IP地址:SPOKE

1.配置Tunnel GRE
HUB配置:                                                         SPOKE 配置:
interface Tunnel0                                              interface Tunnel0
ip address 172.16.1.1 255.255.255.0                   ip address 172.16.1.2 255.255.255.0
tunnel source FastEthernet1/0                             tunnel source FastEthernet1/0
tunnel mode gre multipoint                                 tunnel mode gre multipoint
tunnel key 123            

2.配置NHRP协议:
HUB配置:                                                        SPOKE配置:
interface Tunnel0                                             interface Tunnel0
ip nhrp network-id 10                                       ip nhrp network-id 10
ip nhrp key 123                                               ip nhrp key 123
                                                                     ip nhrp nhs 172.16.1.1
                                                                     ip nhrp map 172.16.1.1 1.1.14.1


3.配置动态路由协议:(EIGRP)
HUB配置                                                                      SPOKE配置
HUB(config)#router eigrp 90                                          SPOKE(config)#router eigrp 90
HUB(config-router)#no au                                             SPOKE(config-router)#no au
HUB(config-router)#net 172.16.1.0 0.0.0.255                  SPOKE(config-router)#net 172.16.1.0 0.0.0.255
HUB(config-router)#net 1.1.1.1 0.0.0.0                           SPOKE(config-router)#net 1.1.1.1 0.0.0.0


4.配置IPSec VPN
HUB(config)#crypto isakmp policy 10
HUB(config-isakmp)#authentication pre
HUB(config-isakmp)#encryption des
HUB(config-isakmp)#hash md5
HUB(config-isakmp)#group 2
HUB(config-isakmp)#exit
HUB(config)#crypto isakmp key cisco add 0.0.0.0
HUB(config)#crypto ipsec transform-set TS esp-des esp-md5-hmac
HUB(config)#crypto ipsec profile POLICY
HUB(ipsec-profile)#exit
HUB(config)#int tunnel 0
HUB(config-if)#tunnel protection ipsec profile POLICY

R2/R3的配置:
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
crypto ipsec transform-set TS esp-des esp-md5-hmac
crypto ipsec profile POLICY
set transform-set TS
int tun 0
tunnel prote ipsec pro POLICY

HUB(ipsec-profile)#set transform-set TS

10、GETVPN的特点?
·可以实现任意的连接(Any-to Any Connectivity)
·扩展性高(Scalable)
·可以实现实时连接(Real Time)





  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (1 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-11-15 14:56 , Processed in 0.090480 second(s), 51 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表