Cisco 路由器上VPN的实现:
1、软件要求:
需要ENTERPRISE PLUS IPSEC 56的IOS,目前使用的比较稳定版本是12.07T
2、硬件要求:
8 MB Flash and 40 MB RAM
在Download IOS版本时,会提示所Download的IOS版本
的软硬件要求。
3、IPSec手工方式的注重事项:
(1)加密通道一旦建立,就不再断开
(2)Manual Key不提供anti-replay的功能
(3)在Manual Key方式时,Access-list中只有1条permit起作用,其他都被忽略。
(4)在Manual Key方式下,两边的transform set的名字必须一样。
4、VPN手工方式需要的主要命令:
(1)access-list
设置access-list,有对符合什么样条件的IP包进行加密。
(2)crypto isakmp
默认是使用crypto isakmp方式,所以在手工方式下,需要禁止此选项。
(3)crypto ipsec
配置IPSec的加密方式,选择manual方式
(4)crypto map
配置IPSec的加密方式
a)set peer
设置远程VPN网关
b)set security-association
设置安全联盟,主要有inbound和outbound
c)set transform-set
设置加密形式
d)match address
对匹配access-list的进行加密。
5、VPN的手工实现方式:
(1)配置access-list,对哪些包建立VPN连接。
access-list 101 permit ip host 192.168.0.1 host
192.168.1.1
(2)取消VPN的自动协商方式
no crypto isakmp enable
(3)建立一个IPSec的封装方式―两边的路由器需要一样的名称。在举例中是encry-des
crypto ipsec transform-set encry-desesp-des
(4)建立一个VPN连接需要的各种条件―这里是ipsec-manual方式
crypto map vpntest 8 ipsec-manual
(5)在上一步用crypto map进入crypto配置模式
a) 配置远程的VPN网关
set peer 202.106.185.2
b) 配置进出的安全联盟
set security-association inbound esp 1000 cipher 21 authenticator 01
配置入境联盟 加密方式 顺序号
set security-association outbound esp 1001 cipher 12 authenticator 01
c)设置IPSec的加密方式
set transform-set encry-des
d)对匹配地址进行加密
match address 101
(6)在路由器外部网口上绑定加密方式
int e 0/1
ip addr 202.106.185.1 255.255.255.0
crypto map vpntest
6、注重事项
(1)在两端的access-list要互为相反,如在A路由器上写:
access-list 101 permit ip host 192.168.0.1 host 192.168.1.1
则在B路由器上写:
access-list 101 permit ip host 192.168.1.1 host 192.168.0.1
(2)在两端的transform set名称要一致
如都写crypto ipsec transform-set encry-des esp-des
(3)在一端的inbound就是另一端的outboud,一端的outbound是另一端的inboud。因此他们的序列好应该相反。
如在A路由器上写:
set security-association inbound esp 1000 cipher 21 authenticator 01
set security-association outbound esp 1001 cipher 12 authenticator 01
则在B路由器上写:
set security-association inbound esp 1001 cipher 12 authenticator 01
set security-association outbound esp 1000 cipher 21 authenticator 01
(4)总之在使用手工方式时,在两端的配置应该尽量一样或相对。
7、应用条件
我认为在路由器上做VPN主要有以下几种应用:
(1)可以使用在电信中二级节点和一级节点进行远程治理认证时使用。而一级节点和骨干节点由于通讯量比较大,不建议使用VPN方式。而且为了减低负载只有在传输非凡应用时建议使用VPN,不是只是简单地判定Source IP,Destination IP。
(2)移动用户在跟自己公司的服务器进行连接时使用。
(3)对于分公司、母公司这种形式在相互通信过程中使用。
8、用VPN的好处
(1)节约成本,因为不要在做大量投资,购买专业设备,只需用现有的路由器即可。
(2)实现了加密,保证重要数据在传输过程中的安全性。
(3)灵活性强。假如用户通过路由器接入Internet,则可以自己配置保证安全性。不过对于ISP来说用处不大。
9、VPN应用举例:
在路由器R1上配置如下:
no crypto isakmp enable
crypto ipsec transform-set encry-des esp-des
crypto map vpntest 8 ipsec-manual
set peer 202.106.185.2
set security-association inbound esp 1000 cipher 21 authenticator 01
set security-association outbound esp 1001 cipher 12 authenticator 01
set transform-set encry-des match address 101
interface Ethernet0/0
ip address 192.168.0.1 255.255.255.0
interface Ethernet0/1
ip address 202.106.185.1 255.255.255.0
crypto map vpntest
ip route 0.0.0.0 0.0.0.0 202.106.185.2
access-list 101 permit ip host 192.168.0.1 host 192.168.1.1
在路由器R2上配置如下:
no crypto isakmp enable
crypto ipsec transform-set encry-des esp-des
crypto map vpntest 8 ipsec-manual set peer 202.106.185.1
set security-association inbound esp 1001 cipher 12 authenticator 01
set security-association outbound esp 1000 cipher 21 authenticator 01
set transform-set encry-des match address 101
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
interface Ethernet0/1
ip address 202.106.185.2 255.255.255.0
crypto map vpntest
ip route 0.0.0.0 0.0.0.0 202.106.185.1
access-list 101 permit ip host 192.168.1.1 host 192.168.0.1
IKE方式的实现
1、IKE使用UPD 500
2、支持CA
3、支持移动用户
IKE包括的组件:
1、DES
2、Diffie-Hellman-preshare key
3、RSA signatures(CA)and RSA encrypted nonces
IKE配置内容:
1、enable IKE―default enable
2、accesslist
3、transformset
4、crypto map
5、binding interface
IKE Policy―两边的号码可以不一样,匹配:
authentication、hash、diff-herman、encrytpion,lifetime(取最小值)
1、authentication
(1)RSA signature
(2)RSA non
(3)Preshare Key
2、encryption
IKE配置
(1)配置accesslist
(2)crypto isakmp enable(默认打开,但为了避免,还是写上)
(3)crypto isakmp policy 10
a)encryption algorithm:DES
b)hash algorithm:SHA1
c)authentication method:RSA sig
d)Diffie-Hellman group:1
e)Lifetime:86400
(4)crypto isakmp key test address 202.106.100.2
(5)crypto ipsec transform-set set2 ah-sha-hmac
esp-des esp-sha-hmac
(6)crypto map IKE ipsec-isakmp
a)set peer remote IP
b)set transform-set
c)set pfs group2
d)match address
(7)dir
使用RSA的-encr方式
ip domain-name
crypto key generate rsa
sh crypto key mypubkey rsa
crypto key pubkey-chain rsa
key-string
什么时候使用手工方式,什么时候使用IKE方式