思科动态接入IPSec VPN

已于 2024-07-31 08:58:21 修改
阅读量685 收藏 27
点赞数 9
分类专栏: VPN 文章标签: 网络
于 2024-07-31 08:31:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2203_76138235/article/details/140806546
版权

动态地址的VPN接入

问题:对等体的地址动态获取,地址是不固定的;对等体双方至少有一端的地址必须是静态的。例如:hub and spoke模型。

解决方法:

dynamic map:

DVTI(思科私有)

DMVPN(思科私有)

 dynamic map

在混合厂商环境中的唯一解决方案;

缺点:

中心站点无法主动发起到分支站点的VPN流量;

没有虚拟隧道接口,不能运行动态路由协议;

–只能适合分支站点简单的网络环境;

不同的分支与总部建立VPN后,分支之间不能通过总部进行访问;

只适用于较为简单的场合。

思科配置案例

如图所示,RB为企业分支网关,公网接口的IP地址使用动态获取方式(PPPOE),RA为企业总部网关(思科路由器),分支经过NAT设备与总部通过公网建立通信。

企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。由于分支网关采用动态方式获取IP地址,总部网关可以使用动态模板方式与分支网关建立一个IPsec隧道来实现该需求。总部使用模糊匹配方式,可以接入任意的分支。

下图 配置动态获取IP地址的分支用户向总部思科路由器发起协商建立IPsec隧道组网图。

PC1 配置

pc都用路由器进行模拟,pc是一台没有交换功能的路由器。

PC1(config)#no ip routing    //关闭路由功能
PC1(config)#int e0/0         //进入接口
PC1(config-if)#no sh    //开启端口(思科默认关闭)
PC1(config-if)#ip add 10.1.1.1 255.255.255.0   //配置IP地址为10.1.1.1

PC1(config)#ip default-gateway 10.1.1.254      //配置网关

PC2 配置

PC2(config)#no ip routing    //关闭路由功能
PC2(config)#int e0/0         //进入接口
PC2(config-if)#no sh    //开启端口(思科默认关闭)
PC2(config-if)#ip add 10.1.2.1 255.255.255.0   //配置IP地址为10.1.2.1

PC2(config)#ip default-gateway 10.1.2.254      //配置网关

RA 配置:

RAconfig)#int e0/0
RA(config-if)#ip add 202.101.1.1 255.255.255.0
RA(config-if)#no sh
RA(config)#int e0/1
RA(config-if)#no sh          
RA(config-if)#ip add 10.1.1.254 255.255.255.0

RA(config)#ip route 0.0.0.0 0.0.0.0 202.101.1.3    //配置静态路由

RA(config)#crypto isakmp policy 10     //创建新的isakmp策略
RA(config-isakmp)# encr 3des            //指定使用3des进行加密
RA(config-isakmp)# hash md5      //认证hash算法采用md5认证
RA(config-isakmp)# authentication pre-share    //指定认证方式为“预共享密钥”,用的最多
RA(config-isakmp)# group 5
RA(config-isakmp)# lifetime 86400
RA(config-isakmp)#ex
RA(config)#crypto isakmp key xyh#123 address 0.0.0.0     //配置预共享密钥为 xyh#123,对方的密钥也要是一致才能匹配成功,指定邻居,0.0.0.0 0.0.0.0是任意匹配 
RA(config)#crypto ipsec transform-set xyh666 esp-3des esp-md5-hmac    //配置ipsec加密转换集,名字为xyh666
RA(cfg-crypto-trans)#mode tunnel   //模式为隧道模式
RA(cfg-crypto-trans)#ex

RA(config)#crypto dynamic-map xyhy 10   //新建名为“xyhy"的动态ipsec加密图

RA(config-crypto-map)#set transform-set xyh666   //指定加密转换集为”xyh666“
RA(config-crypto-map)#ex
RA(config)#crypto map xyh88 10 ipsec-isakmp dynamic xyhy  //将动态的”xyhy"ipsec加密图映射到静态的ipsec加密图”xyh88“中
RA(config)#int e0/0
RA(config-if)#crypto map xyh88  //将加密图应用到外网接口上

RB 配置

PPPOE客户端配置

RB(config)#int dialer 1     //创建拨号口

RB(config-if)#dialer pool 66    //创建拨号池

RB(config-if)#encapsulation ppp   //封装PPP

RB(config-if)#ppp chap hostname R2   //发送账号

RB(config-if)#ppp chap password cisco123    //发送密码

RB(config-if)#ppp ipcp route default      //进行IP地址协商

RB(config-if)#ip address negotiated      //获取默认路由(可选),在获取地址的时候才能获取,当地址获取完成之后,这条命令是不生效的。

RB(config)#int e0/0

RB(config-if)#pppoe-client dial-pool-number 66     //进入物理接口关联拨号池

RB(config-if)#int e0/1
RB(config-if)#no sh
RB(config-if)#ip add 10.1.2.254 255.255.255.0

RB(config)#ip route 0.0.0.0 0.0.0.0 202.101.2.3  //配置静态路由

RB(config)#crypto isakmp policy 10     //创建新的isakmp策略
RB(config-isakmp)# encr 3des            //指定使用3des进行加密
RB(config-isakmp)# hash md5      //认证hash算法采用md5认证
RB(config-isakmp)# authentication pre-share    //指定认证方式为“预共享密钥”,用的最多
RB(config-isakmp)# group 5
RB(config-isakmp)# lifetime 86400
RB(config-isakmp)#ex
RB(config)#crypto isakmp key xyh#123 address 202.101.1.1  //配置预共享密钥。指定peer202.101.1.1的预共享密钥为”xyh#123“该密钥与总部上指定该分支的密钥一致,如果使用数字证书/信封认证无需配置
RB(config)#crypto ipsec transform-set xyh666 esp-3des esp-md5-hmac  //配置ipsec加密转换集,名字为xyh666,没有指定就写R1一致的
RB(cfg-crypto-trans)# mode tunnel  //模式为隧道模式
RB(cfg-crypto-trans)#ex
RB(config)#access-list 100 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 允许分支的流量访问总部的网络,ip汇聚可以使用,现网中还是用子网会安全点

RB(config)#crypto map xyh88 10 ipsec-isakmp   //新建名称为”xyh88“的加密图
RB(config-crypto-map)#set peer 202.101.1.1    //指定peer地址
RB(config-crypto-map)#set transform-set xyh666 //指定加密转换集”xyh666“
RB(config-crypto-map)#match address 100   /匹配感兴趣流ACL100
RB(config)#int dialer 1
RB(config-if)#crypto map xyh88  将加密图应用到接口

注意:接口必须是有获取到IP地址,pppoe使用的是拨号口。

ISP配置

PPPOE 服务端配置

ISP(config)#username RB password xyh@123     //创建用户名密码
ISP(config)#ip local pool xyh 202.101.2.10 202.101.2.20     //配置下发地址池

ISP(config)#int virtual-template 1      //创建模板接口
ISP(config-if)#encapsulation ppp       //封装PPP
ISP(config-if)#ppp authentication chap        //选择认证方式为CHAP 
ISP(config-if)#ip address 202.101.2.1 255.255.255.0     //配置接口地址
ISP(config-if)#peer default ip address pool xyh       //认证通过之后给邻居下发地址池中的地址
ISP(config)#bba-group pppoe xyh1                      //创建BBA组
ISP(config-bba-group)#virtual-template 1             //关联模板口
ISP(config-bba-group)#int e0/1
ISP(config-if)#pppoe enable group xyh1              //接口下调用BBA 组

ISP(config)#int e0/0
ISP(config-if)#ip add 202.101.1.3 255.255.255.0

测试

因为RB是通过PPPOE动态地址分配,这个时候RA是不知道RB的具体IP地址的,所以PC1 是不能主动来触发IPsec VPN隧道的,如下图所示,PC1 ping 不通PC2的 IP地址


这个时候,我们要用PC2主动去Ping PC1,因为RB是知道RA的准确的IP地址,所以,必须得要用动态获取地址的一端主动发起通信过程,才能成功坚持IPsec VPN

查看IKE SA的基本信息

show crypto isakmp sa

 查看IPsec SA的基本信息

show crypto ipsec sa

小妖后
关注
  • 9
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cisco路由器配置Ipsec
amsilence的博客
10-23 1万+
Cisco 路由器配置Ipsec,以及各阶段的SA内容解读
思科双线路接入方案(网通电信自动切换)
10-01
思科双线路接入方案】是指在企业网络环境中,通过接入两条不同的ISP(Internet Service Provider,互联网服务提供商)线路,如电信和网通,以实现网络流量的均衡和提高网络连接的稳定性。在这种方案中,通常会利用...
Cisco Packet Tracer实战 - IPSec VPN配置练习
weixin_44517249的博客
02-29 3065
IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务
思科IPsec VPN 实验配置(动态地址接入
2301_77161465的博客
01-17 3219
本篇文章是关于思科IPsec VPN里面的,但它的情况是有一端是动态地址接入,也就是PPPoE或者PPP接入,里面的配置的话,每行都会有注释,会更详细些,有问题可以评论区见啦
IPSec VPN的原理与配置
2301_78256093的博客
06-14 9225
在配置安全联盟时,入方向和出方向安全联盟的安全参数索引都必须设置,并且本端的入方向安全联盟的SPI值必须和对端的出方向安全联盟的SPI值相同,而本端的出方向安全联盟的SPI值必须和对端的入方向安全联盟的SPI值相同。入方向和出方向安全联盟的认证密钥都必须设置,并且本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥相同;4、隧道模式中的ESP:对整个原始IP报文和ESP尾部进行加密,对ESP报文头、原始IP报文和ESP尾部进行完整性校验。3、传输模式中,在IP报文头和高层协议之间插入AH或ESP头。
IPSec VPN之移动用户接入实验
qq_65150735的博客
08-12 400
IPSec VPN之移动用户接入实验
Cisco Packet Trancer实战 - GRE over IPSec VPN配置练习
weixin_44517249的博客
02-29 1352
GRE over IPSec VPN是将GRE协议和IPSec协议结合起来使用,通过在GRE包上添加IPSec头部,实现了对GRE包的加密和认证处理。
IPSec-VPN 的配置与管理
2201_75472578的博客
10-20 1316
实际拓扑中,边界设备上常有访问控制列表设置,这时需确保 50 (ESP)、51 (AH) 和 UDP 端口 500 (ISAKMP) 流量不被入站 ACL 阻塞。(4)使用show crypto ipsec sa 查看第二阶段的数据连接是否已建立,如图所示:已建立数据连接,且数据已被加密。(3)触发流量后,使用show crypto isakmp sa 查看是否建立管理连接,如图所示:已建立管理连接,截图替换下图。3.在路由器 R3 上,配置 IPSec-VPN 策略(注意两边的策略参数),写出配置命令。
防火墙之ipsec vpn实验
热门推荐
qq_45817424的博客
04-02 1万+
防火墙之ipsec vpn项目介绍项目拓扑项目需求配置命令isp路由器配置:分公司防火墙(FW1)配置:接口配置ip和接口划入区域的配置:ipsec相关配置:安全策略的配置:nat的配置总公司防火墙FW2配置:接口配置ip和接口划入区域的配置:ipsec相关配置:安全策略的配置:nat配置实验结果注意事项 项目介绍 分公司与总公司之间要建立安全的私网通信,且为了减少资金的投入,所以要建立点对点的ipsec vpn(专线太贵)通信。他是通过公网的流量,所以加密级别根据需要而设定。 项目拓扑 项目需求 1:分
思科防火墙IPsec配置-野蛮模式方式(基于9.9版本)
xiayu0912的专栏
02-21 1429
思科防火墙ASA配置野蛮模式建立IPse连接
思科路由器对接山石网科防火墙——IPSec.doc
08-18
思科路由器对接山石网科防火墙——IPSec.doc
宽带接入-OSPF实训.pptx
11-19
【宽带接入技术】是现代通信领域中的重要组成部分,它涉及将用户设备连接到高速互联网服务的多种方法。在这个OSPF实训中,我们将专注于使用Open Shortest Path First(OSPF)协议进行路由器配置,这是在宽带接入网络...
思科Aironet无线接入点的配置指南及简明配置指南
06-04
在IT行业中,无线网络接入点是构建无线局域网(WLAN)的关键设备,而思科Aironet无线接入点则是业界广泛采用的解决方案之一。本指南将详细讲解如何配置这些接入点,以便为用户提供安全、高效且可靠的无线连接。 ...
思科IPsec 和华为IPsec 配置对照学习手册
09-28
思科IPsec 和华为IPsec 配置对照学习手册
【qt】基于tcp的消息发送
yyqzjw的博客
08-18 343
我们需要实现客户端发消息,服务端接收消息。
Linux网络设置
Lwc1027的博客
08-18 1235
根据pid查询5、查看端口查看网络配置的几个命令又ifconfig、hostname、route、netstat、ss,可以查看网卡,路由表还有统计信息,可以直接指定查询需要的指令。
Spring websocket并发发送消息异常的解决
最新发布
ls1120623840的博客
08-19 274
本文主要介绍了 Spring websocket并发发送消息异常的解决,当多个线程同时尝试通过 WebSocket 会话发送消息时,会抛出异常,下面就来解决一下,感兴趣的可以了解一下。
Linux 软件编程 网络 tcp
mxyzhy的博客
08-17 1359
Linux网络编程学习
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值