您所在的位置:cisco专区 > 思科技术 > VPN配置简单说明书

VPN配置简单说明书

2006-07-05 15:02 Cisco.com 字号:T | T
一键收藏,随时查看,分享好友!

AD:

一、 IKE协商的阶段简单描述:
IKE协商可以和TCP的三次握手来类比,只不过IKE协商要比TCP的三次握手要复杂一些,IKE协商采用的UDP报文格式,默认端口是500,在主模式下,一个正常的IKE协商过程需要经过9个报文的来回,才最终建立起通信双方所需要的IPSec SA,然后双方利用该SA就可以对数据流进行加密和解密。下面结合简单描述一下协商的过程。
假设A和B进行通信,A作为发起方,A发送的第一个报文内容是本地所支持的IKE的策略(即下面所提到的Policy),该policy的内容有加密算法、hash算法、 D-H组、认证方式、SA的生存时间等5个元素。这5个元素里面值得注意的是认证方式,目前采用的主要认证方式有预共享和数字证书。在简单的VPN应用中,一般采用预共享方式来认证身份。在本文的配置中也是以预共享为例来说明的。可以配置多个策略,对端只要有一个与其相同,对端就可以采用该 policy,并在第二个报文中将该policy发送回来,表明采用该policy为后续的通信进行保护。第三和第四个报文是进行D-H交换的D-H公开值,这与具体的配置影响不大。在完成上面四个报文交换后,利用D-H算法,A和B就可以协商出一个公共的秘密,后续的密钥都是从该秘密衍生出来的。第五和第六个报文是身份验证过程,前面已经提高后,有两种身份验证方式——预共享和数字证书,在这里,A将其身份信息和一些其他信息发送给B,B接受到后,对A 的身份进行验证,同时B将自己的身份信息也发送给A进行验证。采用预共享验证方式的时候,需要配置预共享密钥,标识身份有两种方式,其一是IP地址,其二是主机名(hostname)。在一般的配置中,可以选用IP地址来标识身份。完成前面六个报文交换的过程,就是完成IKE第一阶段的协商过程。如果打开调试信息,会看到IKE SA Establish(IKE SA已经建立),也称作主模式已经完成。
IKE的第二阶段是快速模式协商的过程。该模式中的三个报文主要是协商IPSec SA,利用第一阶段所协商出来的公共的秘密,可以为该三个报文进行加密。在配置中,主要涉及到数据流、变换集合以及对完美前向保护(PFS)的支持。在很多时候,会发现IKE SA已经建立成功,但是IPSec SA无法建立起来,这时最有可能的原因是数据流是否匹配(A所要保护的数据流是否和B所保护的数据流相对应)、变换集合是否一致以及pfs配置是否一致。
二、 IKE、IPSec配置基本步骤
1.配置IKE 策略(policy)
policy 就是上图中的IKE策略。Policy里面的内容有hash算法、加密算法、D-H组、生存时间。可以配置多个policy,只要对端有一个相同的,双方就可以采用该policy,不过要主要policy中的认证方式,因为认证方式的不同会影响后续的配置不同。一般采用预共享(preshare)。在目前的安全路由器和VPN3020上的实现上都有默认的配置选项,也就是说如果你新增加一条策略后,即使什么都不配置,退出后,也会有默认值的。
2.配置预共享密钥(preshare)
在配置预共享密钥的时候,需要选择是IP地址还是Hostname来标识该密钥,如果对端是IP地址标识身份,就采用IP地址来标识密钥;如果对端是Hostname来标识身份,则采用hostname来标识密钥。
3.配置本端标识(localid)
本端标识有IP地址和Hostname,在安全路由器上,默认的是用IP地址来标识。即不配置本端标识,就表示是用IP地址来标识。
以上三个步骤就完成IKE的配置,以下是IPSec的配置:
4.配置数据流(access-list)
很容易理解,部署任何VPN都需要对数据流所限制,不可能对所有的数据流都进行加密(any to any)。配置好数据流后,在加密映射(map)中引用该数据流。
5.配置变换集合(transform-set)
变换集合是某个对等方能接受的一组IPSec协议和密码学算法。双方只要一致即可。注意,在VPN3020和带加密模块的安全路由器上支持国密办的SSP02算法。
6.配置加密映射(map)
为IPSec创建的加密映射条目使得用于建立IPSec安全联盟的各个部件协调工作,它包括以下部分:
l 所要保护的数据流(引用步骤4所配置的数据流)
l 对端的IP地址(这个是必须的,除非是动态加密映射,见本文后面的章节)
l 对所要保护的数据流采用什么加密算法和采用什么安全协议(引用步骤5所配置的变换集合)
l 是否需要支持PFS(双方要一致)
l SA的生存时间(是可选的,不配置的话有默认值)
7.应用(激活)加密映射
在安全路由器上是将该加密映射应用到接口上去,而在VPN3020上是激活(active)该map。
三、 动态加密映射技术
目前,安全路由器系列和VPN系列均支持动态加密映射。什么是动态加密映射?动态加密映射所应用的环境是什么呢?我们可以从以下的一个案例中来说明动态加密映射的概念。如下图:
在上图的网络拓扑中,MP803接入Internet的并不是宽带接入(固定IP地址),而是在通过电信ADSL拨号来获取到IP地址,不是固定的IP地址。这时候,对于上端MP2600A来说,就存在问题了,回想一下前面所描述的配置步骤,在步骤六中配置加密映射的时候,需要配置对端的 peer IP地址,这时候怎么办呢?或许您想到——那我每次拨号获取到IP地址后,再在两端来配置IPSec——这种解决办法是OK的,只要客户或者您自己容忍每次MP803重新拨号后,您重新去更改配置。显然,这样方法充其量只能用来测试的。
动态加密映射就是用来解决这类问题的。顾名思义,动态加密映射,就是说,在配置加密映射的时候,不需要配置对端的peer IP地址。目前,安全路由器和VPN系列都支持动态加密映射,但由于两者实现上的差异,导致他们在配置动态加密映射的时候存在一些不同,在后文的实际配置案例中会讲到。
四、 NAT穿越略述
NAT穿越是指在两台VPN 网关之间的还存在NAT设备,从原理来说,NAT和IPSec存在一定的矛盾。主要体现两点:NAT更改了IP数据包的IP源地址或者目的地址,这与 IPSec协议中的AH认证头协议存在不可调和的矛盾,因此如果IPSec报文需要穿越NAT设备的话,在配置变换集合的时候就不能选用AH协议(目前,由于ESP协议也提供验证功能,AH使用很少);第二点是NAT设备的端口地址转换是针对TCP/UDP/ICMP等协议。对于ESP协议,没有相应的处理机制。具体详细资料请查看IETF的草案。此外,NAT穿越目前还没有国际标准,公司在国内率先实现了NAT穿越功能。目前,公司的安全路由器、 VPN3020等都已经实现了NAT穿越。
NAT穿越对于路由器和VPN3020上的配置没有任何的改变。目前,公司的北京办和总部的互联的两台路由器建立隧道就是穿越了NAT。
五、 实际配置案例
案例1:路由器与路由器互通

网络拓扑如图所示:
网络拓扑1
需求:两台MP2600路由器,都有固定的公网IP地址,现在需要构建VPN,保护在两台路由器后面的网络。使PC1能够访问到PC2。
规划:使用IKE自动协商密钥,policy的参数设置,加密算法为des、验证算法为sha方式为预共享、D-H组为group 1;身份标识为IP地址,以IP地址作来标识预共享密钥;变换集合参数设置,隧道模式为tunnel、协议-算法为esp-des、esp-md5;不启用pfs;在配置注意,避免配置所要保护的数据流为any到any。首先是在实际使用过程中,不会有这样的需求,其次,这样会让很多本来不需要加密的通信无法通信。
具体配置脚本: 
=======================================================
MP2600A
=======================================================


MP2600A#sh running-config 
Building Configuration...done
Current configuration...
version 2.24.8
hostname MP2600A
enable password [WOWWWNXSX encrypt
no service password-encrypt
no service enhanced-secure
ip tcp timestamp
//步骤4:配置访问列表,定义所要保护的数据流。
ip access-list extended 1001
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 
exit
//步骤5:配置变换集合,定义数据加密所使用的算法和安全协议
crypto ipsec transform-set tr1 esp-des esp-md5-hmac
mode tunnel
exit
//步骤六:配置加密映射,将各种组件联系在一起
crypto map map1 1 ipsec-isakmp
match address 1001 //引用步骤4所配置的数据流
set peer 2.2.2.2
set transform-set tr1 //引用步骤5所配置的变化集合
set security-association lifetime seconds 28800
set security-association lifetime kilobytes 4608000
exit
interface loopback0
exit
interface fastethernet0
ip address 1.1.1.3 255.255.255.0
//步骤七:将加密映射应用到接口上去.
crypto map map1
exit
interface ethernet0
ip address 192.168.1.1 255.255.255.0
exit
ip route 0.0.0.0 0.0.0.0 1.1.1.1
//步骤1:配置IKE的policy
crypto isakmp policy 1
encryption des
hash sha
authentication pre-share
group 1
lifetime 86400
exit
//步骤2:配置预共享密钥,此处配置的是对端VPN网关的IP地址.
crypto isakmp key maipu address 2.2.2.2

=======================================================
MP2600B
=======================================================

MP2600B#sh running-config 
Building Configuration...done
Current configuration...
version 2.24.8
hostname MP2600B
user faint password 0 faint
enable password [WOWWWNXSX encrypt
no service password-encrypt
no service enhanced-secure
ip tcp timestamp
//该数据流与MP2600A的数据流相对应。
ip access-list extended 1001
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 
exit
crypto ipsec transform-set tr1 esp-des esp-md5-hmac
mode tunnel
exit
crypto map map1 1 ipsec-isakmp
match address 1001
set peer 1.1.1.3
set transform-set tr1 
set security-association lifetime seconds 28800
set security-association lifetime kilobytes 4608000
exit 
interface loopback0
exit
interface fastethernet0
ip address 2.2.2.2 255.255.255.0
crypto map map1
exit
interface ethernet0
ip address 192.168.2.1 255.255.255.0
exit
interface serial0
physical-layer sync
encapsulation hdlc
exit
interface serial2
physical-layer sync
encapsulation hdlc
exit
ip route 0.0.0.0 0.0.0.0 2.2.2.1
//与MP2600A的policy至少有一个相同
crypto isakmp policy 1
encryption des
hash sha
authentication pre-share
group 1
lifetime 86400
exit
crypto isakmp key maipu address 1.1.1.3
路由器上的调试命令:
如果是telnet登录到路由器上,执行ter monitor命令。然后打开调试开关
debug crypto isakmp normal就能够看到IKE的协商过程和调试信息,从调试信息中可以获取到协商到那个阶段,由于那些问题而协商失败。
以下是两端成功的协商信息。
注意:如果中途协商失败,两端需要执行clear crypto sa命令来清除当前SA的状态以便于重新协商。
几个与IPSec相关的show命令:

show crypto isakmp policy:查看路由器上已经配置了那些policy;
show crypto isakmp connection :查看路由器上已经存在的isakmp 连接数;
show crypto isakmp identity:查看路由器上的身份标识方式;
show crypto ipsec sa;查看路由器上已经存在的IPSec SA;该命令比较重要,
有时候通过该命令来判断IPSec SA是否已经建立成功。
Show crypto ipsec transform-set:查看路由器上已经配置的变换集合。

案例2:路由器与路由器之动态加密映射
网络拓扑如图所示:
网络拓扑2
下面简单说明其配置步骤:
IKE 的配置与前述的配置步骤一样,主要是IPSec的配置有些差异。动态加密映射是不需要配置所要保护的数据流。因此,步骤四:配置变换集合;步骤五:配置动态加密映射(在路由器上的命令是:crypto dynamic-map);步骤六:配置一个静态加密映射,将其与动态加密映射关联起来;步骤七:在接口上应用步骤六中配置的静态加密映射,此处不能也无法应用动态加密映射;
配置规划:MP803所挂接的局域网当需要和总部通信的时候(源: 192.168.2.0/24;目的:192.168.1.0/24),应该走VPN隧道,这也是我们要保护的数据流,对于其他的数据流,例如局域网中的主机上网的数据流,应该是走NAT(源:192.168.2.0/24;目的:any),很明显,这两个数据流是包含的关系,路由器的处理顺序是先进行 NAT转换,到了接口后再匹配VPN隧道。因此在配置NAT的数据流的时候,先要deny掉该上总部内网的数据流。
具体配置脚本:
=================================================================
MP803:ADSL拨号,同时实现上网和走NAT
=================================================================

hostname MP803
enable password [WOWWWNXSX encrypt
no service password-encrypt
no service enhanced-secure
ip tcp timestamp
//定义要保护的数据流
ip access-list extended 1001
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 
exit
//定义该数据流走NAT上网,为了避免走内网的数据流也“上网”去了,
//先deny该数据流
ip access-list extended 1002
deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 192.168.2.0 0.0.0.255 any
exit 
dialer-list 1 protocol ip permit
//配置NAT
ip nat inside source list 1002 interface dialer0 overload
crypto isakmp policy 1
encryption des
hash sha 
authentication pre-share
group 2
lifetime 28800
exit
crypto isakmp key maipu address 1.1.1.3
crypto ipsec transform-set tr1 esp-des ah-md5-hmac
mode tunnel
exit
crypto map map1 1001 ipsec-isakmp
match address 1001
set peer 1.1.1.3
set transform-set tr1 
set security-association lifetime seconds 28800
set security-association lifetime kilobytes 4608000
exit
interface loopback0
exit 
//拨号配置,map是应用到本虚拟接口
interface dialer0
ip address negotiated
dialer pool 1
dialer-group 1
encapsulation ppp
ppp pap sent-username 01234mp@169 password 01234mp
mtu 1492
ip nat outside
crypto map map1
exit
interface fastethernet0
ip address 192.168.2.1 255.255.255.0
ip nat inside
exit
//物理接口配置
interface atm0
pvc 1/33
encapsulation aal5snap
pppoe-client dial-pool-number 1
no ip route-cache
no cdp enable
exit 
ip route 0.0.0.0 0.0.0.0 dialer0

=======================================================
MP2600A:配置动态加密映射
=======================================================

MP2600A#sh running-config 
Building Configuration...done
Current configuration...
version 2.24.8
hostname MP2600A
enable password [WOWWWNXSX encrypt
no service password-encrypt
no service enhanced-secure
ip tcp timestamp
//步骤四:配置变换集合,定义数据加密所使用的算法和安全协议
crypto ipsec transform-set tr1 esp-des esp-md5-hmac
mode tunnel
exit
//步骤五:配置动态加密映射
crypto dynamic-map dmap1 1 ipsec-isakmp
set transform-set tr1 
set security-association lifetime seconds 28800
set security-association lifetime kilobytes 4608000
exit
//步骤六:配置静态加密映射,与该动态加密映射关联起来
crypto map map1 1 ipsec-isakmp dynamic-map dmap1
interface fastethernet0
ip address 1.1.1.3 255.255.255.0
//步骤七:将静态加密映射应用到接口上去.
crypto map map1
exit
interface ethernet0
ip address 192.168.1.1 255.255.255.0
exit
ip route 0.0.0.0 0.0.0.0 1.1.1.1
//步骤1:配置IKE的policy
crypto isakmp policy 1
encryption des
hash sha
authentication pre-share
group 1
lifetime 86400
exit
//步骤2:配置预共享密钥,由于下端是动态IP地址,因此配置地址为any
//删除该预共享密钥的命令是no crypto isakmp key hostname any
crypto isakmp key maipu any
注意:在完成配置,进行数据流触发的时候,需要注意的是要保证ADSL拨号能够获取到IP地址,在下端路由器上能够ping通上端路由器。
案例3:VPN与VPN互通
网络拓扑如图所示:
网络拓扑3
需求:两台VPN3020,都有固定的公网IP地址,现在需要构建VPN,保护在两台VPN3020后面的网络。使PC1能够访问到PC2。
规划:使用IKE自动协商密钥,policy的参数设置,加密算法为des、验证算法为md5,认证方式为预共享、D-H组为group 1;身份标识为 IP地址,以IP地址作来标识预共享密钥;变换集合参数设置,隧道模式为tunnel、协议-算法为esp-des、esp-md5;启用pfs, group组为group2。
配置注意事项:
ü 避免配置所要保护的数据流为any到any。首先是在实际使用过程中,不会有这样的需求,其次,这样会让很多本来不需要加密的通信无法通信。并且,VPN3020上目前也不支持配置的数据流为any到any。
ü VPN3020本身带有FW520的所有功能,其默认转发策略是deny,因此,需要打开其策略。避免内网的数据无法通过VPN访问外面。
ü  由于VPN3020实现上的一个缺陷,使得在每次更改接口的IP地址的时候,需要重起IPSec服务(不是重起设备),而重起IPSec服务会造成有关 IPSec的配置都丢失,因此,或者在配置好接口地址后,重起IPSec的服务,进行IPSec的配置;或者将IPSec的配置copy到记事本上,然后重起IPSec服务后,粘贴进去。
ü 配置完成或者更改后,需要激活加密映射(用active map命令)
具体配置脚本:
=================================================
VPN_A
=================================================

Building configuration...
! system setting
configure terminal
hostname VPN_A
enable password 0 mpsec
mode route
interface trusted ip 192.168.1.1/255.255.255.0
interface untrusted ip 1.1.1.3/255.255.255.0
ip route 0.0.0.0/0.0.0.0 1.1.1.1
service sshd
web port 443
web idle enable
web idle 999
service web
end
! log config
configure log
logging user stop
logging delete all
end
! firewall config
configure firewall
firewall log start
dnat policy permit
snat policy permit
ldnat policy permit
access-list policy input permit
//默认转发策略是permit
access-list policy forward permit
access-list policy output permit
srr filter enable
end
! vpn config
configure vpn
//启动IPSec服务
service ipsec
//进入ipsec模式
ipsec
//步骤四:配置访问列表,定义要保护的数据流
access-list add ac1 permit
protocol ip 192.168.1.0/255.255.255.0 192.168.2.0/255.255.255.0
commit
//步骤五:配置变换集合,定义所使用的加密算法和安全协议
transform add tr1 tunnel esp-des esp-md5-hmac
//步骤六:配置加密映射,将各个组件组合在一起。
map add map1 untrusted isakmp
match /ac1 //引用步骤四中的定义的数据流
transform tr1 //引用步骤五中的定义的变换集合
peer 2.2.2.2
life time 28800
life bytes 4608000
pfs 2 //配置支持完美前向保护
commit
exit
//进入IKE模式
ike
//步骤一:配置IKE的policy
policy add 1
authentication pre-share
encryption des
hash md5
group 2
lifetime 28800
commit
//步骤二:配置预共享密钥
key preshare ip 2.2.2.2 keystring maipu
//步骤三:配置本地标识
localid ip 1.1.1.3
exit
//步骤七;启用该map
active map map1
end
! user config
-----以下的配置略
=================================================
VPN_B
=================================================

Building configuration...
! system setting
configure terminal
hostname VPN_B
enable password 0 mpsec
mode route
interface trusted ip 192.168.2.1/255.255.255.0
interface untrusted ip 2.2.2.2/255.255.255.0
ip route 0.0.0.0/0.0.0.0 2.2.2.1
service sshd
web port 443
web idle enable
web idle 999
service web
end
! log config
configure log
logging user stop
logging delete all
end
! firewall config
configure firewall
firewall log start
dnat policy permit
snat policy permit
ldnat policy permit
access-list policy input permit
access-list policy forward permit
access-list policy output permit
srr filter enable
end
! vpn config
configure vpn
service ipsec
ipsec
//步骤四:配置访问列表,定义要保护的数据流,与VPN_A所定义的数据流相对应
access-list add ac1 permit
protocol ip 192.168.2.0/255.255.255.0 192.168.1.0/255.255.255.0
commit
transform add tr1 tunnel esp-des esp-md5-hmac
map add map1 untrusted isakmp
match /ac1 
transform tr1 
peer 1.1.1.3
life time 28800
life bytes 4608000
pfs 2 
commit
exit
ike
policy add 1
authentication pre-share
encryption des
hash md5
group group_modp1024
lifetime 28800
commit
//步骤二:配置预共享密钥
key preshare ip 1.1.1.3 keystring maipu
localid ip 2.2.2.2
exit
active map map1
end
! user config
-----以下的配置略
VPN3020上的调试命令:
目前,VPN3020上没有给用户使用的调试命令,只能通过一些show信息来查看IKE协商的情况。
show ipsec sa:查看已经建立的IPSec SA信息
show ipsec status:查看当前的IPSec 的状态,如果IPSec SA已经建立,有IPSec SA establish的信息。
案例4:VPN与VPN、路由器之动态加密映射
网络拓扑如图所示:
需求:中心是一台VPN3020,有两个网点其中一台是vpn3020(或者是vpn3005,两者的配置是一样的),另一个网点是 mp803路由器。接入都是动态接入,电信ADSL接入。MP803可以直接拨号,而VPN3020(或者VPN3005)只有以太口,因此,前面要放置一台ADSL modem,才能够进行PPPoE拨号。现在要求是两个网点所挂接两个网络能够访问中心VPN3020后面所挂接的网络(PC2)。
规划:一些具体的IKE、IPSec协商的参数在这里略去。这里重点说明中心VPN(VPN_A)上面的规划,中心可以只配置一个动态的map,数据流源地址为192.168.1.0/24,目的地址为any(注意,不要配置成any 到any),下端的VPN_B的数据流为源地址为 192.168.2.0/24 目的地址为192.168.1.0/24;下端的MP803的数据流为源地址为192.168.3.0/24,目的地址为 192.168.1.0/24。
具体配置脚本: 
=================================================================
MP803:ADSL拨号,同时实现上网和走NAT
=================================================================

hostname MP803
enable password [WOWWWNXSX encrypt
no service password-encrypt
no service enhanced-secure
ip tcp timestamp
//定义要保护的数据流
ip access-list extended 1001
permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 
exit
//定义该数据流走NAT上网,为了避免走内网的数据流也“上网”去了,
//先deny该数据流
ip access-list extended 1002
deny ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 192.168.3.0 0.0.0.255 any
exit 
dialer-list 1 protocol ip permit
//配置NAT
ip nat inside source list 1002 interface dialer0 overload
crypto isakmp policy 1
encryption des
hash sha 
authentication pre-share
group 2
lifetime 28800
exit
crypto isakmp key maipu address 1.1.1.3
crypto ipsec transform-set tr1 esp-des esp-md5-hmac
mode tunnel
exit
crypto map map1 1001 ipsec-isakmp
match address 1001
set peer 1.1.1.3
set transform-set tr1 
set security-association lifetime seconds 28800
set security-association lifetime kilobytes 4608000
exit
interface loopback0
exit 
//拨号配置,map是应用到本虚拟接口
interface dialer0
ip address negotiated
dialer pool 1
dialer-group 1
encapsulation ppp
ppp pap sent-username 01234mp@169 password 01234mp
mtu 1492
ip nat outside
crypto map map1
exit
interface fastethernet0
ip address 192.168.3.1 255.255.255.0
ip nat inside
exit
//物理接口配置
interface atm0
pvc 1/33
encapsulation aal5snap
pppoe-client dial-pool-number 1
no ip route-cache
no cdp enable
exit 
ip route 0.0.0.0 0.0.0.0 dialer0

=================================================================
VPN_B:PPPoE拨号,同时实现上网和走NAT
=================================================================

configure terminal
hostname VPN_B
enable password 7 Z2wdXYed9yoyw
mode route
interface trusted ip 192.168.2.1/255.255.255.0
service sshd
web port 443
web idle enable
web idle 10
service web
end
! log config
configure log
logging user stop
logging delete all
logging user delete all
end
! firewall config
configure firewall
firewall log start
dnat policy permit
snat policy permit
ldnat policy permit
//对于走VPN的数据流,避免让其走SNAT出去
snat add any 192.168.2.0/24 192.168.1.0/24 any filter /snat1 log permit
//对于其他的数据流,都让其走SNAT出去
snat add masquerade pppoe 192.168.2.0/24 any /snat2 log
access-list policy input permit
access-list policy forward permit
access-list policy output permit
access-list state input enable
access-list state forward enable
access-list state output enable
srr filter enable
end
! vpn config
configure vpn
service ipsec
//启动service dynamic,表示本端为动态获取IP地址
service dynamic interface ppp
ipsec
//定义所要保护的数据流
access-list add /ac1 permit
protocol ip 192.168.2.0/255.255.255.0 192.168.1.0/255.255.255.0
commit
//定义变换集合
transform add tr1 tunnel esp-des esp-md5-hmac
//配置加密映射,注意此处选择关键字是dynamic
map add map1 dynamic isakmp
//引用所定义的访问列表
match /ac1
//引用所定义的变换集合
transform tr1
peer 1.1.1.3
life time 86600
life bytes 4608000
pfs 2
commit
exit
ike
//定义IKE的policy
policy add 1
authentication pre-share
encryption des
hash sha
group 2
lifetime 28800
commit
//配置预共享密钥
key preshare ip 1.1.1.3 keystring maipu
exit
//激活map
active map map1
end
----中间的配置略
! pppoe client config
configure pppoeclient
//绑定到出口,即从那个接口进行拨号
bind untrusted
//配置上端需要认证的用户名和密码
authuser test_name pass test_name
//开始进行拨号,完成该命令后用show ip route或者show interface
//能够看到PPP链路已经建立成功
pppoe start
end
---后面的配置略
=================================================================
VPN_A:中心的VPN
=================================================================

! system setting
configure terminal
hostname VPN_A
enable password 0 mpsec
mode route
interface trusted ip 192.168.1.1/255.255.255.0
interface untrusted ip 1.1.1.3/255.255.255.0
ip route 0.0.0.0/0.0.0.0 1.1.1.1
service sshd
web port 443
web idle enable
web idle 999
service web
end
! log config
configure log
logging user stop
logging delete all
end
! firewall config
configure firewall
firewall log start
dnat policy permit
snat policy permit
ldnat policy permit
access-list policy input permit
//默认转发策略是permit
access-list policy forward permit
access-list policy output permit
srr filter enable
end
! vpn config
configure vpn
//启动IPSec服务
service ipsec
//进入ipsec模式
ipsec
//步骤四:配置访问列表,定义要保护的数据流
access-list add ac1 permit
protocol ip 192.168.1.0/255.255.255.0 any
commit
//步骤五:配置变换集合,定义所使用的加密算法和安全协议
transform add tr1 tunnel esp-des esp-md5-hmac
//步骤六:配置加密映射,将各个组件组合在一起。
map add map1 untrusted isakmp
//引用步骤四中的定义的数据流
match /ac1
//引用步骤五中的定义的变换集合 
transform tr1 
peer 0.0.0.0
life time 28800
life bytes 4608000
//配置完美前向保护
pfs 2 
commit
exit
//进入IKE模式
ike
//步骤一:配置IKE的policy
policy add 1
authentication pre-share
encryption des
hash md5
group 2
lifetime 28800
commit
//步骤二:配置预共享密钥
key preshare ip 0.0.0.0 keystring maipu
//步骤三:配置本地标识
localid ip 1.1.1.3
exit
//步骤七;启用该map
active map map1
end
! user config
-----以下的配置略
配置总结
常见的配置失误:
1. 现象:一端发起协商后,另一端没有任何响应。
可能的原因:
ü 检查发起协商的数据流是否匹配所定义的要保护的数据流;
ü 检查路由器上是否有默认路由或者到远端局域网段的路由;
ü 检查加密映射(map)是否已经应用到接口上去;
ü 检查两端的peer地址是否配置正确,确保两个VPN网关本身能够互通;
ü 检查预共享密钥是否已经配置;
ü 如果发起协商的一端是路由器,对端是VPN3020,检查是否配置了crypto isakmp peer ip-address A.B.C.D,该命令的含义是以野蛮模式发起协商,而目前VPN3020上尚不支持野蛮模式。
ü 如果其中有台VPN设备是VPN3020,确保在配置的时候是先配置了接口地址,然后启动service ipsec命令的,见案例3中的配置注意事项。
2. 现象:IKE SA(又称第一阶段主模式)协商不成功
可能的原因:
ü 检查两端是否有一致的policy,如果规划使用预共享认证方式,确保双方一致的policy中的认证方式为预共享;
ü 预共享密钥是否配置是否一致;
3. 现象:IKE SA协商成功了,但是快速模式协商不成功,IPSec SA无法建立
可能的原因:
ü 两端的是否有一致的变化集合;
ü 两端的所要保护的数据流是否相对应;
ü 两端的完美前向保护参数(pfs)是否一致;
4. 现象:IPSec SA已经建立成功,但是两边的局域网中两台主机不通。
可能的原因:(这时候已经与IPSec本身没有多大关系了)
ü 主机上是否已经配置网关,该网关指向路由器的一个接口;
ü 检查两台主机上是否启用了防火墙过滤之类的软件;
ü 数据流在Internet上是否已经穿越了NAT(基本可以从路由器出口的地址是否为公网地址来确定)

(责任编辑:城尘 68476636-8003)




分享到:

栏目热门

更多>>

热点职位

更多>>

热点专题

更多>>

读书

软件架构设计
本书紧紧围绕“软件架构设计”这一主题,立足实践解析了软件架构的概念,阐述了切实可行的软件架构设计方法,提供了可操作性极强

51CTO旗下网站

领先的IT技术网站 51CTO 中国首个CIO网站 CIOage 中国首家数字医疗网站 HC3i 51CTO学院