Ipsec *** site-to-site 实验详解
------- 阿J
Ø 实验拓扑:
Ø 实验环境:
我们把 R4 的网络模拟成公司 A 的分部, R5 的网络模拟成公司 A 的总部;现在我们要通过 ipsec *** 在互联网上面构建属于公司 A 的虚拟专用网络。
Ø 实验要求:
R4 能 ping 通 R5
² 配置概览:
a) 底层地址的规划如拓扑所示。
b) 在 R4 和 R5 分别配置指向 R1 和 R3 的默认路由; R1 和 R3 配置指向模拟的互联网公网地址 2.2.2.2/24 。
c) 在 R1 和 R3 上分别使用 PAT 技术
d) 最后一项是本实验中的精华:
u IPSEC 的配置:
第一阶段:定义 isakmp 的策略集
定义协商时的几个参数
定义对等体地址和共享密钥
第二阶段:定义 ipsec 交换集
定义加密映射表
调用映射表到接口
Ø R1#show run
Building configuration...
Current configuration : 1570 bytes
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encrypti
hostname R1
boot-start-marker
boot-end-marker
no aaa new-model
ip subnet-zero
no ip domain lookup!
ip cef
第一阶段:
crypto isakmp policy 1 // 创建策略集,名字为“ 1 ”
encr 3des// 定义加密算法,实现 ipsec 的数据机密功能
authentication pre-share// 定义对等体验证,通过共享密钥
group 2// 定义赫尔曼算法
lifetime 1000// 定义 SA (安全关联)的保持时间
crypto isakmp key cisco address 10.1.23.3// 定义共享密钥和对等体地址
crypto isakmp keepalive 10// 定义 isakmp *** 的保持时间
crypto ipsec security-association lifetime seconds 120// 定义 ipsec *** 的保持时间
第二阶段:
crypto ipsec transform-set l2ltrans ah-sha-hmac esp-3des
定义 ipsec 的交换集,名称为 l2ltrans 以 esp-3des 来封装加密,注意这里的名称区分大小写,交换集将在加密映射被调用
crypto map l2lmap 1 ipsec-isakmp
// 定义加密映射表 l2lmap 序列号为 1----- 可用来区分在同一物理接口上的不同逻辑 ipsec *** 链路
set peer 10.1.23.3// 设置对等体地址
set transform-set l2ltrans// 调用之前的 ipsec 交换集
match address l2lacl// 定义感兴趣的流量,通过 l2lacl 来抓取感兴趣流量
底层 ip 地址配置:
interface Loopback1
ip address 1.1.1.1 255.255.255.0
interface Serial0/0
ip address 10.1.12.1 255.255.255.0
ip nat outside
serial restart-delay 0
crypto map l2lmap// 把加密映射应用于接口
interface Serial0/1
ip address 192.168.4.2 255.255.255.0
ip nat inside
serial restart-delay 0
PAT 的配置:
ip nat inside source list natacl interface Serial0/0 overload
ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.12.2
ACL 的编写:
ip access-list extended l2lacl
permit ip 192.168.4.0 0.0.0.255 192.168.5.0 0.0.0.255
ip access-list extended natacl
deny ip 192.168.4.0 0.0.0.255 192.168.5.0 0.0.0.255
permit ip 192.168.4.0 0.0.0.255 any
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
line vty 0 4
R2 :
R2#show run
Building configuration...
Current configuration : 798 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
!
!
no ip domain lookup
!
ip cef
interface Loopback1
ip address 2.2.2.2 255.255.255.0
!
interface Serial0/0
ip address 10.1.12.2 255.255.255.0
serial restart-delay 0
!
interface Serial0/1
ip address 10.1.23.2 255.255.255.0
serial restart-delay 0
!
interface Serial0/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial0/3
no ip address
shutdown
serial restart-delay 0
!
ip http server
no ip http secure-server
ip classless
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
line vty 0 4
end
R4 : R4#show run
Building configuration..
Current configuration : 770 bytes
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R4
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
!
!
no ip domain lookup
!
ip cef
interface Serial0/0
ip address 192.168.4.1 255.255.255.0
serial restart-delay 0
!
interface Serial0/1
no ip address
shutdown
serial restart-delay 0
!
interface Serial0/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial0/3
no ip address
shutdown
serial restart-delay 0
!
ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.4.2
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
line vty 0 4
end
( R3 和 R5 大同小异……)
Ø 抓包验证:
通过在 gns3 上面通过命令 capture R2 s0/0 ipsec.cap hdlc 然后让 R4pingR5 ,则可得到加密后的数据包,解密可得:
可以看出通过 esp 协议封装的数据抓包后无法看到真实的 ip 及上的服务,这边是 ipsec 就直观的作用 ---- 加密!
在看其他一些协议的数据包: isakmp 快速模式时的包结构
Isakmp 主要模式时的包结构:
Ø 排错命令:
a) Show crypto iskamp sa/policy
b) Show crypro ipsec sa/policy
c) Debug crypto iskmp/ipsec
d) Debug ip nat
e) Show ip nat translations/stastic
f) Clear crpto sa/iskmp/ipsec
转载于:https://blog.51cto.com/jaxy123/361196