今天我們來在cisco路由器上配置一下基于預共享密鑰的IPSec VPN網絡。
首先我們來了解一下什么是VPN?
簡單的說,VPN 是一種通過Internet或公共網絡受保護的鏈接。
由VPN組成的線路并不是物理存在的,而是通過技術手段模擬出來的,既是虛擬的。不過這種虛擬的專用網絡技術卻可以在公用線路中為兩臺計算機建立一個邏輯上的專用通道,它具有良好的保密和不受干擾性使雙方能進行自由而安全的點對點的連接。
VPN相比較專線網絡的優勢:
連接可靠,可保證數據傳輸的安全性。
利用公共網絡進行信息通訊,可降低成本,提高網絡資源利用率.
支持用戶實時、異地接入,可滿足不斷增長的移動業務需求。
支持QoS功能,可為VPN用戶提供不同等級的服務質量保證。
防止數據在公網傳輸中被竊聽
防止數據在公網傳輸中被篡改
可以驗證數據的真實來源
成本低廉(相對于專線、長途撥號)
應用靈活、可擴展性好。
本次試驗的拓撲圖如下:
路由器的端口連接圖如下:
Router1 F0/1 Router2 F0/1
Router1 F0/0 pc 1
Router2 F0/0 pc 2
一、路由基本配置
首先我們來對路由一進行一下基本配置。F0/1是連接外網的端口,IP地址為202.106.1.1 F0/0是連接內網的,IP地址為192.168.1.1
R1:
Router>en
Router#conf t
Router(config)#hostname r1
r1(config)#int f0/1
r1(config-if)#ip addr 202.106.1.1 255.255.255.0
r1(config-if)#no shut
r1(config-if)#exit
r1(config)#int f0/0
r1(config-if)#ip addr 192.168.1.1 255.255.255.0
r1(config-if)#no shut
r1(config-if)#exit
在路由器一上配置靜態路由。目標網段+子網掩碼+下一跳IP地址。這里配置其他的路由協議也可以,比如:ospf、rip、eigrp等等。
r1(config)#ip route 192.168.10.0 255.255.255.0 202.106.1.2
r1(config)#exit
接下來我們來對路由二進行一下基本配置。F0/1是連接外網的端口,IP地址為202.106.1.2 F0/0是連接內網的,IP地址為192.168.10.1。最后配置一下靜態路由,目標網段+子網掩碼+下一跳IP地址
R2:
Router>en
Router#conf t
Router(config)#hostname r2
r2(config)#int f0/1
r2(config-if)#ip addr 202.106.1.2 255.255.255.0
r2(config-if)#no shut
r2(config-if)#exit
r2(config)#int f0/0
r2(config-if)#ip addr 192.168.10.1 255.255.255.0
r2(config-if)#no shut
r2(config-if)#exit
r2(config)#ip route 192.168.1.0 255.255.255.0 202.106.1.1
r2(config)#exit
路由器的基本配置步驟完成后,我們用命令show ip route 來查看一下路由表的信息。發現路由一已經學到了其他網段的信息了。經過查看路由二的路由表,它也正常學習到了其他網段的信息了(學計算機基礎知識www.woaidiannao.com)
既然已經學習到了其他的路由信息,那么肯定能通訊了,只是現在通訊是肯定是不安全的,用抓包器可以很輕松的獲取到密碼。接下來我們就是要在路由器一與路由器二的通信信道上建立一條VPN專用線路,讓其更安全的傳輸數據。
二、配置IPSec和IKE
IPSec 提供兩個安全協議:
AH (Authentication Header)報文認證頭協議
MD5(Message Digest 5)
SHA1(Secure Hash Algorithm)
ESP (Encapsulation Security Payload)封裝安全載荷協議
DES (Data Encryption Standard)
3DES
其他的加密算法:Blowfish ,blowfish、 cast
IKE全稱:Internet Key Exchange
IKE用于IPSec安全聯盟及密鑰的自動化管理,定時為IPSec協商密鑰,創建、刪除安全聯盟等
IKE采用兩個階段的ISAKMP:
協商認證通信信道,為第二階段的通信提供安全保證。即建立IKE SA
使用IKE SA 協商建立IPSec SA,用于IPSec通信。
IKE(Internet Key Exchange)因特網密鑰交換協議是IPSEC的信令協議,為IPSec提供了自動協商交換密鑰、建立安全聯盟的服務,能夠簡化IPSec的使用和管理,大大簡化IPSec的配置和維護工作。IKE不是在網絡上直接傳送密鑰,而是通過一系列數據的交換,最終計算出雙方共享的密鑰,并且即使第三者截獲了雙方用于計算密鑰的所有交換數據,也不足以計算出真正的密鑰。IKE具有一套自保護機制,可以在不安全的網絡上安全的分發密鑰,驗證身份,建立IPSEC安全聯盟。
R1:
r1#conf t
r1(config)#crypto isakmp enable———–啟用IKE
r1(config)#crypto isakmp policy 1————創建IKE策略、注意:優先級1—10000 1為最高級別
r1(config-isakmp)#encryption 3des————指定價碼算法
r1(config-isakmp)#authentication pre-share———–指定身份認證方法
注意: per-share共享密鑰
rsa-encr–RSA加密
rsasig—RSA簽名
r1(config-isakmp)#group 1———–指定密鑰交換參數
注意: group 1 表示768位密鑰
group 2 表示1024位密鑰
group 5 表示1536位密鑰
r1(config-isakmp)#lifetime 28800———–指定SA的生存期(單位秒)
r1(config-isakmp)#exit
r1(config)#crypto isakmp key cisco addres 202.106.1.2————指定身份認證使用的密鑰和該共享密鑰對應的IP地址
r1(config)#crypto ipsec transform-set r1set esp-3des———創建IPSec變換集,對用戶安全保護使用的協議
r1(cfg-crypto-trans)#exit
r1(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255——-指定需要通過的ipsec進行保護的通信網段
r1(config)#crypto map r1map 1 ipsec-isakmp—— ——–創建加密圖
r1(config-crypto-map)#set peer 202.106.1.2————指定加密用于與哪個對端VPN建立連接,也就是路由器二的公網IP地址
r1(config-crypto-map)#set transform-set r1set———–指定加密圖使用的ipsec變換集
r1(config-crypto-map)#match address 100———–指定訪問列表
r1(config-crypto-map)#exit
指定加密圖應用哪些接口上。一般應用在連接外網時候的端口上。
r1(config)#int f0/1
r1(config-if)#crypto map r1map
在路由器二上對IPSec和IKE進行一般的配置步驟
R2:
r2>en
r2#conf t
r2(config)#crypto isakmp enable——啟用IKE
r2(config)#crypto isakmp policy 1——–創建IKE策略。注意:優先級1—10000 1為最高級別
r1(config-isakmp)#encryption 3des——-指定加碼算法
r2(config-isakmp)#authentication pre-share——-指定身份認證方法
注意: per-share共享密鑰
rsa-encr–RSA加密
rsasig—RSA簽名
r2(config-isakmp)#group 1———-指定密鑰交換參數
注意: group 1 表示768位密鑰
group 2 表示1024位密鑰
group 5 表示1536位密鑰
r2(config-isakmp)#lifetime 28800——–指定SA的生存期(單位秒)
r2(config-isakmp)#exit
r2(config)#crypto isakmp key cisco addres 202.106.1.1——指定身份認證使用的密鑰和該共享密鑰對應的IP地址
r2(config)#crypto ipsec transform-set r2set esp-3des—–創建IPSec變換集,對用戶安全保護使用的協議
r2(cfg-crypto-trans)#exit
r2(config)#access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255—–指定需要通過的ipsec進行保護的通信網段
r2(config)#crypto map r2map 1 ipsec-isakmp——創建加密圖
r2(config-crypto-map)#set peer 202.106.1.1——指定加密用于與哪個對端VPN建立連接,也就是路由器一的公網IP地址
r2(config-crypto-map)#set transform-set r1set——-指定加密圖使用的ipsec變換集
r2(config-crypto-map)#match address 100——指定訪問列表
r2(config-crypto-map)#exit
r2(config)#exit
指定加密圖應用哪些接口上
r2(config)#int f0/1
r2(config-if)#crypto map r2map
配置完成后,我們進行測試:
首先我們根據拓撲圖所示 配置好PC1 PC2的IP 并于網關進行PING測試,發現網絡正常!能夠互相訪問!
我們在路由器上用擴展ping命令來打通VPN通道。建立好VPN通道后,不用擴展ping命令來打通VPN通道那是沒用的。如下所示:我們來測試一下VPN通信。
在路由器一上輸入命令ping
r1#ping———-輸入ping直接回車
Protocol [ip]:———-因為使用的是IP地址,直接回車就可以了
Target IP address: 192.168.10.2———輸入目標地址的IP
Repeat count [5]:————–ping包的數量
Datagram size [100]:———–數據包的大小
Timeout in seconds [2]:————超時時間,默認的是2秒
Extended commands [n]: y——–是否要使用擴展ping命令,一定要填YES
Source address or interface: 192.168.1.1——-使用那個源地址或接口去ping,我們使用192.168.1.1
接下來全部選擇默認的即可,直接回車就行
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.2, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
!!!!!———————-結果是可以ping通的
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/56/104 ms
我們在路由器二上輸入命令ping,回車后直接輸入PC1的IP地址,根據提示進行下一步
r2#ping————–輸入ping命令直接回車就行
Protocol [ip]:————– 因為使用的是IP地址,直接回車就可以了
Target IP address: 192.168.1.2———–輸入目標地址的IP
Repeat count [5]:————–ping包的數量
Datagram size [100]:———–數據包的大小
Timeout in seconds [2]:————–超時時間,默認時間是2秒
Extended commands [n]: y————–選擇YES,使用擴展ping命令
Source address or interface: 192.168.10.1———–使用那個源地址或接口去ping,我們使用192.168.10.1
接下來全部選擇默認的即可,直接回車就行
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
Packet sent with a source address of 192.168.10.1
!!!!!—————————結果是可以ping通的
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/39/68 ms
至此,IPSEC vpn配置圓滿完成!
———————
以下是2個路由器的完整配置文件,供大家參考:
R1#show run
Building configuration…
Current configuration : 892 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R1
!
!
!
!
!
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
lifetime 28800
!
crypto isakmp key cisco address 202.106.1.2
!
!
crypto ipsec transform-set rlset esp-3des
!
crypto map rlmap 1 ipsec-isakmp
set peer 202.106.1.2
set transform-set rlset
match address 100
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 202.106.1.1 255.255.255.0
duplex auto
speed auto
crypto map rlmap
!
interface Vlan1
no ip address
shutdown
!
ip classless
ip route 192.168.10.0 255.255.255.0 202.106.1.2
!
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
!
!
!
!
!
line con 0
line vty 0 4
login
!
!
!
end
R2#
Router#show run
Building configuration…
Current configuration : 892 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R2
!
!
!
!
!
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
lifetime 28800
!
crypto isakmp key cisco address 202.106.1.1
!
!
crypto ipsec transform-set r2set esp-3des
!
crypto map r2map 1 ipsec-isakmp
set peer 202.106.1.1
set transform-set r2set
match address 100
!
!
interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 202.106.1.2 255.255.255.0
duplex auto
speed auto
crypto map r2map
!
interface Vlan1
no ip address
shutdown
!
ip classless
ip route 192.168.1.0 255.255.255.0 202.106.1.1
!
!
access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255
!
!
line con 0
line vty 0 4
login
!
!
!
end
R2#
上一條:在Word中巧用“Shift”鍵
