許多人問我,怎麼去實現IPSec ××× 技術,我將這個做了一個案例,告訴大家怎樣去配置一個基於路由器實現IPSec ×××。
因工作需要,要求在公司的南京辦事處與上海辦事處之間建立×××聯接。南京辦事處網絡設置:內網I
在兩邊的路由器上都要進行以下配置步驟:
一、配置IKE中的加密算法
二、配置IKE密鑰方法
三、定義轉換集
四、建立加密圖
五、設置隧道端口
六、配置內網口
七、配置外網口
八、建立訪問列表
南京路由器配置如下:
!
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname
!
enable cisco
一、配置IKE中的加密算法
crypto isakmp policy 1
註釋:生成iskamp policy number 1。policy 1表示策略1,假如想多配幾個×××,可以寫成policy 2、policy3 … …
encryption des
註釋:選擇用DES encryption也可用3DES指定三倍DES加密
hash sha
註釋:指定使用的散列算法,也可以是md5(二端保持一致)
authentication pre-share
註釋:告訴路由器要使用預先共享的密碼。
group 1
註釋:指定爲Diffie-Hellman組。除非購買高端路由器,或是×××通信比較少,否則最好使用group 1長度的密鑰,group命令有兩個參數值:1和2。參數值1表示密鑰使用768位密鑰,參數值2表示密鑰使用1024位密鑰,顯然後一種密鑰安全性高,但消耗更多的CPU時間。
lifetime 14400
註釋:對生成新SA的週期進行調整。這個值以秒爲單位,默認值爲86400,也就是一天。值得注意的是兩端的路由器都要設置相同的SA週期,否則×××在正常初始化之後,將會在較短的一個SA週期到達中斷。不設則爲默認值。
二、配置IKE密鑰方法
crypto isakmp identity address
註釋:指定與遠程路由器通信時使用isakmp標識
crypto isakmp key 654321 address 202.102.1.6
註釋:返回到全局設置模式確定要使用的預先共享密鑰和指向×××另一端路由器IP地址,即目的路由器IP地址。相應地在另一端路由器配置也和以上命令類似,只不過把IP地址改成202.102.1.5。
crypto isakmp key 654321 address 192.168.1.2
註釋:對遠程路由器隧道端口192.168.1.2使用密鑰654321
三、定義轉換集
crypto ipsec transform-set test1 ah-md5-hmac esp-des esp-md5-hmac
註釋:這裏在兩端路由器唯一不同的參數是test1,這是爲這種選項組合所定義的名稱。在兩端的路由器上,這個名稱可以相同,也可以不同。以上命令是定義所使用的IPSec參數。爲了加強安全性,要啓動驗證報頭。由於兩個網絡都使用私有地址空間,需要通過隧道傳輸數據,因此還要使用安全封裝協議。最後,還要定義DES作爲保密密碼鑰加密算法。可以定義一個或多個轉換集
四、建立加密圖
crypto map cmap1 local-address serial 0
註釋:定義加密圖cmap1並指定s0爲本地地址
crypto map cmap1 1 ipsec-isakmp
註釋:用序號1設置加密圖
set peer 202.102.1.6
set peer 192.168.1.2
註釋:這是標識對方路由器的合法IP地址。在遠程路由器上也要輸入類似命令,只是對方路由器地址應該是202.102.1.5。
set transform-set test1
註釋:標識用於這個連接的轉換集
match address 111
註釋:標識用於這個連接的訪問列表。
process-max-time 200
五、設置隧道端口
interface Tunnel0
ip address 192.168.1.1 255.255.255.0
tunnel source 202.102.1.5
tunnel destination 202.102.1.6
crypto map cmap
六、設置內網口
interface Ethernet0
ip address
七、設置外網口
interface serial0
ip address 202.102.1.5 255.255.255.0
no ip mroute-cache
no fair-queue
crypto map cmap
註釋:將剛纔定義的密碼圖應用到路由器的外部接口。
ip classless
八、建立訪問列表
access-list 111 permit ip host 202.102.1.5 host 202.102.1.6
access-list 111 permit ip host 202.102.1.6 host 202.102.1.5
access-list 111 permit i
access-list 111 permit i
access-list 111 permit i
access-list 111 permit i
註釋:在這裏使用的訪問列表號不能與任何過濾訪問列表相同,應該使用不同的訪問列表號來標識×××規則。
!
line con 0
line aux 0
line vty 0 4
==============================
password cisco
login
!
end
!
上海路由器配置如下:
!
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname shanghai
!
enable cisco
!
!
!------以下配置加密--------
crypto isakmp policy 1
生成iskamp policy number 1
encryption des 選擇用DES encryption也可用3DES指定三倍DES加密
hash sha 指定使用的散列算法,也可以是md5(二端保持一致)
authentication pre-share
group 1 指定爲Diffie-Hellman組,1表示768位,2表示1024位
lifetime 14400 指定安全關聯的有效期,不設就爲默認值
------以下配置密鑰方法-----
crypto isakmp identity address 指定與遠程路由器通信時使用isakmp標識
crypto isakmp key 654321 address 202.102.1.5 對遠程路由器端口202.102.1.6使用密鑰654321
crypto isakmp key 654321 address 202.102.1.6 對遠程路由器端口202.102.1.6使用密鑰654321
crypto isakmp key 654321 address 192.168.1.1 對遠程路由器隧道端口192.168.1.2使用密鑰654321
!
------以下定義一個轉換集-----
crypto ipsec transform-set tset1 ah-md5-hmac esp-des esp-md5-hmac 可以定義一個或多個集
!
!
-------以下建立加密圖------
crypto map cmap1 local-address serial 0 定義加密圖cmap1並指定s0爲本地地址
crypto map cmap1 1 ipsec-isakmp 用序號1設置加密圖
set peer 202.102.1.5 設定目標地址
set peer 202.102.1.6
set peer 192.168.1.1
set transform-set test1 指定轉換集
match address 111 指定加密訪問列表111中的地址
!
!
process-max-time 200
!
-------以下設置隧道端口------
interface Tunnel0
ip address 192.168.1.2 255.255.255.0
tunnel source 202.102.1.6
tunnel destination 202.102.1.5
crypto map cmap
!
-------以下設置內網口------
interface Ethernet0
ip address
!
-------以下設置外網口------
interface serial0
ip address 202.102.1.6 255.255.255.0
no ip mroute-cache
no fair-queue
crypto map cmap
!
ip classless
!
-------以下建立訪問列表111------
access-list 111 permit ip host 202.102.1.5 host 202.102.1.6
access-list 111 permit ip host 202.102.1.6 host 202.102.1.5
access-list 111 permit i
access-list 111 permit i
access-list 111 permit i
access-list 111 permit i
!
line con 0
line aux 0
line vty 0 4
==============================
password cisco
login
!
end
!
現在剩下的部分是測試這個×××的連接,並且確保通信是按照預期規劃進行的。
最後一步是不要忘記保存運行配置,否則所作的一切就白費了。