***(virtual private network 虛擬專網),利用公用網絡,按照相同的策略和規則,建立內部私有連接。
廣泛的講,***體系結構分爲:站點到站點的***和遠程訪問***
站點到站點的***:在這種情況下,同一個機構內部的多個網絡站點位於不同的地理位置,這些站點使用***連接;(主要使用第三層隧道協議)
遠程訪問***:在這種情況下,***被用來連接一個單一的遠程網絡設備和企業的內聯網。(使用第二層隧道協議)
***技術主要包括4個關鍵技術:
一、安全隧道技術
二、信息加密技術
三、用戶認證技術
四、訪問控制技術
下面主要介紹一個IPSEC ***的配置:(用於站點到站點之間的***)
一:配置IKE的協商
enable
config terminal
crypto isakmp enable (此命令用於啓用IKE,在CISCO IOS軟件中默認是激活的,如果被人工關閉,則要再次激活)
crypto isakmp policy 1 (此命令用於定義一個IKE策略號,取值範圍爲1-1000,策略編號越低,其優先級越高)
hash md5 (hash命令用來配置密鑰認證所用的算法,有MD5和SHA-1兩種,後者的安全性更高)
encryption des (encryption命令用來設置加密使用的算法,有DES和3DES兩種,後者的安全性更高)
authentication pre-share(此命令告訴路由器要使用預先共享的密鑰,此密碼是手工指定的)
exit
crypto isakmp key 123 address 192.168.0.1 (此命令用來設置共享的密鑰和對端的IP,這裏假設密鑰是123,對端的地址是192.168.0.1,當然在對端也要進行配置)
二:配置IPSEC相關參數:
access-list 101 permit ip 10.0.0.0 0.255.255.255 172.16.0.0 0.0.0.255 (這裏使用擴展的訪問控制列表定義一個內部主機訪問外部主機的數據並全部加密,在對端也要進行相應的配置)
crypto ipsec transform-set qwer ah-md5-hamc esp-des esp-md5-hma (qwer爲此傳輸模式的名字)
這裏配置的是IPSEC的傳輸模式,可以配置AH認證,ESP加密,ESP認證也可以進行配置,也可不進行配置
可選的參數主要有以下幾種:
AH驗證參數:ah-md5-hmac ah-sha-hamc
ESP加密參數:esp-des esp-3des esp-null
ESP驗證參數:esp-md5-hma esp-sha-hamc
配置端口的應用:
crypto map yang 1 ipsec-iskmp (參數psec-iskmp表明此IPSEC連接將採用IKE自動協商,參數1表明此map的優先級,取值範圍爲1-65535,值越小,優先級越高,yang則是此map的具體名稱)
match address 101 (101是前面定義的擴展訪問控制列表的表號,此命令用於指定crypto map使用的訪問控制列表)
set peer 192.168.0.1 (set peer指定了此crypto map所對應***鏈路對端的IP地址,此地址必須和前面IKE中配置的對端IP地址相同)
set transform-set qwer (set transform-set定義了此crypto map所使用的傳輸模式)
Exit
最後將crypto map應用到路由器的外部接口:
interface serial 0/0
crypto map yang
查看命令:
show crypto isakmp policy (顯示所有嘗試協商的策略以及最後的默認策略設置)
show crypto ipsec transform-set (顯示在路由器上設置的傳輸模式)
show crypto ipsec sa (顯示當前安全聯盟使用的設置)
show crypto map (顯示所有配置在路由器上的crypto map )
配置實例:
R1的具體配置(左邊的爲R1)
Enable
Config terminal
Interface f0/0
Ip address 192.168.0.1 255.255.255.0
No shutdown
Exit
Interface serial 0/0
Encapsulation ppp
Ip address 141.10.25.33 255.255.255.252
Clock rate 128000
No shutdown
Exit
Ip route 0.0.0.0 0.0.0.0 s0/0
Crypto isakmp enable
Crypto isakmp policy 1
Hash md5
Encryption des
Authentication pre-share
group 1
lifetime 3600
Exit
Crypto isakmp key Naruto address 147.14.30.10
Access-list 101 permit ip 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255
Crypto ipsec transform-set heihei ah-md5-hamc esp-des
Crypto map yang 1 ipsec-isakmp
Match address 101
Set peer 147.14.30.10
Set transform-set heihei
Exit
Interface serial 0/0
Crypto map yang
End
Write
R2的具體配置:
Enable
Config terminal
Interface f0/0
Ip address 10.0.0.1 255.0.0.0
No shutdown
Exit
Interface serial 0/0
Encapsulation ppp
Ip address 147.14.30.10 255.255.255.252
No shutdown
Exit
Ip route 0.0.0.0 0.0.0.0 s0/0
Crypto isakmp enable
Crypto isakmp policy 2
Hash md5
Encryption des
Authentication pre-share
group 1
lifetime 3600
Exit
Crypto isakmp key Naruto address 141.10.25.33
Access-list 101 permit ip 10.0.0.0 0.255.255.255 192.168.0.0 0.0.0.255
Crypto ipsec transform-set haha ah-md5-hamc esp-des
Crypto map lin 1 ipsec-isakmp
Match address 101
Set peer 141.10.25.33
Set transform-set haha
Exit
Interface serial 0/0
Crypto map lin
End
Write