1、IPSec手工方式的注意事項:
(1)加密通道一旦建立����,就不再斷開
(2)Manual Key不提供anti-replay的功能
(3)在Manual Key方式時����,access-list中只有1條permit起作用����,其他都被忽略����。
(4)在Manual Key方式下����,兩邊的transform set的名字必須一樣。
2�、VPN手工方式需要的主要命令:
(1)access-list
設(shè)置access-list,有對符合什么樣條件的IP包進(jìn)行加密����。
(2)crypto isakmp
默認(rèn)是使用crypto isakmp方式,所以在手工方式下�����,需要禁止此選項�����。
(3)crypto ipsec
配置IPSec的加密方式��,選擇manual方式
(4)crypto map
配置IPSec的加密方式
a)set peer
設(shè)置遠(yuǎn)程VPN網(wǎng)關(guān)
b)set security-association
設(shè)置安全聯(lián)盟���,主要有inbound和outbound
c)set transform-set
設(shè)置加密形式
d)match address
對匹配access-list的進(jìn)行加密�。
3、VPN的手工實現(xiàn)方式:
(1)配置access-list�����,對哪些包建立VPN連接�����。
access-list 101 permit ip host 192.168.0.1 host
192.168.1.1
(2)取消VPN的自動協(xié)商方式
no crypto isakmp enable
(3)建立一個IPSec的封裝方式—兩邊的路由器需要一樣的名稱���。在舉例中是encry-des
crypto ipsec transform-set encry-desesp-des
(4)建立一個VPN連接需要的各種條件—這里是ipsec-manual方式
crypto map vpntest 8 ipsec-manual
(5)在上一步用crypto map進(jìn)入crypto配置模式
a) 配置遠(yuǎn)程的VPN網(wǎng)關(guān)
set peer 202.106.185.2
b) 配置進(jìn)出的安全聯(lián)盟
set security-association inbound esp 1000 cipher 21 authenticator 01
配置入境聯(lián)盟 加密方式 順序號
set security-association outbound esp 1001 cipher 12 authenticator 01
c)設(shè)置IPSec的加密方式
set transform-set encry-des
d)對匹配地址進(jìn)行加密
match address 101
(6)在路由器外部網(wǎng)口上綁定加密方式
int e 0/1
ip addr 202.106.185.1 255.255.255.0
crypto map vpntest
4、注意事項
(1)在兩端的access-list要互為相反,如在A路由器上寫:
access-list 101 permit ip host 192.168.0.1 host 192.168.1.1
則在B路由器上寫:
access-list 101 permit ip host 192.168.1.1 host 192.168.0.1
(2)在兩端的transform set名稱要一致
如都寫crypto ipsec transform-set encry-des esp-des
(3)在一端的inbound就是另一端的outboud��,一端的outbound是另一端的inboud��。因
此他們的序列好應(yīng)該相反�。
如在A路由器上寫:
set security-association inbound esp 1000 cipher 21 authenticator 01
set security-association outbound esp 1001 cipher 12 authenticator 01
則在B路由器上寫:
set security-association inbound esp 1001 cipher 12 authenticator 01
set security-association outbound esp 1000 cipher 21 authenticator 01
(4)總之在使用手工方式時,在兩端的配置應(yīng)該盡量一樣或相對��。
5����、應(yīng)用條件
我認(rèn)為在路由器上做VPN主要有以下幾種應(yīng)用:
(1)可以使用在電信中二級節(jié)點和一級節(jié)點進(jìn)行遠(yuǎn)程管理認(rèn)證時使用。而一級節(jié)點和骨
干節(jié)點由于通訊量比較大��,不建議使用VPN方式。而且為了減低負(fù)載只有在傳輸特殊應(yīng)用時建
議使用VPN�,不是只是簡單地判斷Source IP,Destination IP����。
(2)移動用戶在跟自己公司的服務(wù)器進(jìn)行連接時使用。
(3)對于分公司��、母公司這種形式在相互通信過程中使用��。
6����、用VPN的好處
(1)節(jié)約成本,因為不要在做大量投資�,購買專業(yè)設(shè)備,只需用現(xiàn)有的路由器即可���。
(2)實現(xiàn)了加密�����,保證重要數(shù)據(jù)在傳輸過程中的安全性�����。
(3)靈活性強(qiáng)���。如果用戶通過路由器接入Internet�,則可以自己配置保證安全性�。不過
對于ISP來說用處不大。
7�����、VPN應(yīng)用舉例:
在路由器R1上配置如下:
no crypto isakmp enable
crypto ipsec transform-set encry-des esp-des
crypto map vpntest 8 ipsec-manual
set peer 202.106.185.2
set security-association inbound esp 1000 cipher 21 authenticator 01
set security-association outbound esp 1001 cipher 12 authenticator 01
set transform-set encry-des match address 101
interface Ethernet0/0
ip address 192.168.0.1 255.255.255.0
interface Ethernet0/1
ip address 202.106.185.1 255.255.255.0
crypto map vpntest
ip route 0.0.0.0 0.0.0.0 202.106.185.2
access-list 101 permit ip host 192.168.0.1 host 192.168.1.1
在路由器R2上配置如下:
no crypto isakmp enable
crypto ipsec transform-set encry-des esp-des
crypto map vpntest 8 ipsec-manual set peer 202.106.185.1
set security-association inbound esp 1001 cipher 12 authenticator 01
set security-association outbound esp 1000 cipher 21 authenticator 01
set transform-set encry-des match address 101
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
interface Ethernet0/1
ip address 202.106.185.2 255.255.255.0
crypto map vpntest
ip route 0.0.0.0 0.0.0.0 202.106.185.1
access-list 101 permit ip host 192.168.1.1 host 192.168.0.1
IKE方式的實現(xiàn)
1�����、IKE使用UPD 500
2����、支持CA
3�����、支持移動用戶
IKE包括的組件:
1��、DES
2、Diffie-Hellman-preshare key
3��、RSA signatures(CA)and RSA encrypted nonces
IKE配置內(nèi)容:
1���、enable IKE—default enable
2����、accesslist
3����、transformset
4、crypto map
5�����、binding interface
IKE Policy—兩邊的號碼可以不一樣�����,匹配:
authentication���、hash�、diff-herman��、encrytpion,lifetime(取較小值)
1����、authentication
(1)RSA signature
(2)RSA non
(3)Preshare Key
2、encryption
IKE配置
(1)配置accesslist
(2)crypto isakmp enable(默認(rèn)打開�,但為了避免,還是寫上)
(3)crypto isakmp policy 10
a)encryption algorithm:DES
b)hash algorithm:SHA1
c)authentication method:RSA sig
d)Diffie-Hellman group:1
e)Lifetime:86400
(4)crypto isakmp key test address 202.106.100.2
(5)crypto ipsec transform-set set2 ah-sha-hmac
esp-des esp-sha-hmac
(6)crypto map IKE ipsec-isakmp
a)set peer remote IP
b)set transform-set
c)set pfs group2
d)match address
(7)dir
使用RSA的-encr方式
ip domain-name
crypto key generate rsa
sh crypto key mypubkey rsa
crypto key pubkey-chain rsa
key-string
