CCNP笔记-IPsec VPN
IPSec VPN
分类:Site-to-Site,Easy
安全:
加密:DES,3DES,AES
对称加密:加密/解密使用相同的密钥,加密速度快,加密结果和原数据大小相当(DES,3DES,AES)
DES:56bit加密
3DES:168bit加密
AES:128bit,192bit,256bit
非对称加密:加密/解密使用一对不同的密钥(public Key加密/private Key解密)加密速度慢,加密结果比元数据大很多(RSA)
对称加密和非对称加密相结合(IPSec没有使用这种方式):
IPsec使用的加密算法:Diffie-Hellman Key Exchange
认证:HASH(MD5,SHA-1)
数据完整性:HASH(MD5,SHA-1)
p.s. <HASH>(认证.完整性)
任意长度的输入.得到固定长度的输出.
修改一点源数据.HASH结果就会变.(雪崩效应)
不可逆,只能作比较
IPsec架构:
控制层面:
IKE,Internet Key Exchange,因特网key交换
(包括:ISAKMP,SKEME,Oakley)
数据层面:
ESP,Encapsulating Security Payload,封装安全负载
使用IP协议号50
AH,Authentication Header,认证包头
使用IP协议号51
IPsec VPN认证方式
Easy IPsec VPN:
1. Username and password,用户名密码
2. OTP(Pin/Tan),One Time Password,一次性密码
3. Biometric,生物信息认证
Site-to-Site IPsec VPN:
4.Preshared keys,域共享密钥
5. Digital certificates (CA认证)
IPSec VPN的部署
0. 确保公网有路由,能通,确保公网固定ip
Router1(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.2
1. 网关路由器上定义感兴趣流量
Router1(config)#Access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
2. 协商通道的加密认证算法,IKE Phase 1,IKE第一阶段
Router1(config)#crypto isakmp policy 10 //序号10
Router1(config-isakmp)#authentication pre-share
Router1(config-isakmp)#hash md5
Router1(config-isakmp)#encryption 3des
Router1(config-isakmp)#group 2 //配置DH算法
Router1(config-isakmp)#lifetime 86400 //配置key更新周期
Router1(config)#crypto isakmp key MIUKey address 200.1.1.2
//200.1.1.2为对端公网地址
Router1#show crypto isakmp policy //查看policy相关信息
3. 协商IPSec SA使用ESP还是HA,IKE Phase 2,IKE第二阶段
Router1(config)#crypto ipsec transform-set MIUset esp-md5-hmac esp-3des
//配置认证方式和加密方式
Router1(cfg-crypto-trans)#mode tunnel
Router1(config)# crypto ipsec security-association lifetime seconds 1200
//设置第二阶段密钥老化时间,可以用days,kilobytes,seconds
3.4. 映射,将1,2,3步结合起来
Router1(config)#crypto map miuVPN 10 ipsec-isakmp //建立一个MAP
Router1(config-crypto-map)#set peer 200.1.1.2 //指向邻居
Router1(config-crypto-map)#match address 100 //关联感兴趣流量
Router1(config-crypto-map)#set transform-set MIUset //指定transform-set
3.5. 把定义的映射应用的外网接口
Router1(config)#int G0/0
Router1(config-if)#crypto map miuVPN
4. 信息交互
Router1#show crypto isakmp sa
Router1#show crypto ipsec sa
Router1#show crypto engine connections active
Router1#show crypto ipsec security-association lifetime //查看第二阶段密钥老化时间
Router1#debug crypto isakmp
Router1#Debug crypto ipsec
5. IPSec通道终止:手工,自动(使用时间 或者 流量)
Router1#clear crypto isakmp
Router1#clear crypto sa
在Site-to-Site IPsec VPN应用ACL
Router1(config)#access-list 102 permit ahp host 200.1.1.2 host 200.1.1.1 //我们的实例不需要做这个
Router1(config)#access-list 102 permit esp host 200.1.1.2 host 200.1.1.1
Router1(config)#access-list 102 permit udp host 200.1.1.2 host 200.1.1.1 eq isakmp
Router1(config)#access-list 102 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Router1(config)#int G0/0
Router1(config-if)#ip access-group 102 in
通过GRE通道上配置IPSec VPN,IPSec VPNs Configuring GRE Tunnels over IPSec
GRE,Generic Routing Encapsulation
支持多种网络层协议
协议号47
GRE配置实例:
Router1(config)#interface tunnel 0
Router1(config-if)#ip address 10.1.1.1 255.255.255.252
Router1(config-if)#tunnel source S0/0
Router1(config-if)#tunnel destination 192.168.5.5
Router1(config-if)#tunnel mode gre ip //默认gre ip
Router1(config)#ip route 0.0.0.0 0.0.0.0 tunnel 0
GRE over IPSec
0. 确保公网有路由,能通,确保公网固定ip;GRE tunnel已打通
Router1(config)#interface tunnel 0
Router1(config-if)#ip address 172.16.13.1 255.255.255.0
Router1(config-if)#tunnel source 200.1.13.1
Router1(config-if)#tunnel destination 200.1.23.3
Router1(config-if)#tunnel mode gre ip //默认gre ip
Router1(config)#ip route 0.0.0.0 0.0.0.0 tunnel 0
//静态路由不能发hello包触发建立IPSec VPN通道,所以我们此例中使用通过IGP打通IPSec VPN通道,不必再用数据包的前几个包触发建立通道
Router1(config)#router ospf 110
Router1(config-router)#router-id 1.1.1.1
Router(config-router)#network 172.16.13.0 0.0.0.255 a 0
Router(config-router)#network 192.168.1.0 0.0.0.255 a 0
1. 网关路由器上定义感兴趣流量
Router1(config)#Access-list 100 permit gre host 200.1.12.1 host 200.1.23.3
//和普通IPSec VPN的感兴趣流量不同,是由于封装及路由的原因,permit gre是比较精确的
2. 协商通道的加密认证算法,IKE Phase 1,IKE第一阶段
Router1(config)#crypto isakmp policy 10 //序号10
Router1(config-isakmp)#authentication pre-share
Router1(config-isakmp)#hash md5
Router1(config-isakmp)#encryption 3des
Router1(config-isakmp)#group 2 //配置DH算法
Router1(config-isakmp)#lifetime 86400 //配置key更新周期
Router1(config)#crypto isakmp key MIUKey address 200.1.23.3
//200.1.23.3为对端公网地址
Router1#show crypto isakmp policy //查看policy相关信息
3. 协商IPSec SA使用ESP还是HA,IKE Phase 2,IKE第二阶段
Router1(config)#crypto ipsec transform-set MIUset esp-md5-hmac esp-3des
//配置认证方式和加密方式
Router1(cfg-crypto-trans)#mode transport
//transport模式更好一些,节省20字节
Router1(config)# crypto ipsec security-association lifetime seconds 1200
//设置第二阶段密钥老化时间,可以用days,kilobytes,seconds
4. 映射,将1,2,3步结合起来
Router1(config)#crypto map miuVPN 10 ipsec-isakmp //建立一个MAP
Router1(config-crypto-map)#set peer 200.1.23.3 //指向邻居
Router1(config-crypto-map)#match address 100 //关联感兴趣流量
Router1(config-crypto-map)#set transform-set MIUset //指定transform-set
3.5. 把定义的映射应用的外网接口
Router1(config)#int G0/0
Router1(config-if)#crypto map miuVPN
VPN冗余解决方案
1.DPD
RRI,Reverse Route Injection,反向路由注入
IPSec自动切换
IPSec状态自切换:处于备份状态的VPN路由器,不管Actice路由器是什么状态,都保存一份IPSec VPN的状态信息,如isakmp sa,IPSec sa等。
IPSec无状态自切换
Easy VPN
Easy VPN Server:Cisco IOS routers,Cisco PIX Firewalls,Cisco VPN Concentrators
Easy VPN Remote:Cisco IOS routers,Cisco PIX Firewalls,Cisco VPN Hardware Clients,软件客户端
路由反向注入,RRI,Site-to-Site VPN根据感兴趣流量注入,Easy VPN根据客户端携带的公网地址注入。
在地址不冲突的情况下,Server端可以给Remote端分配与Server端相同的子网。
用SDM配置Server端
