IOS IKEv2 IPSec配置(SVTI)

已于 2024-10-10 19:57:24 修改
阅读量418 收藏
点赞数
分类专栏: 网络-实验 文章标签: 智能路由器
于 2022-09-13 11:56:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22763255/article/details/133043373
版权

1、拓扑

 2、目标

通过在R1和R3建立IPSEC,让R1的Lo0和R3的Lo0互通

3、配置步骤

IP地址配置忽略。

3.1、打通路由器连通性

为了实现R1和R3物理接口网段互通,通过R1和R3的静态路由配置。

R1(config)#ip route 23.1.1.0 255.255.255.0 12.1.1.2
R1(config)#

R3(config)#ip route 12.1.1.0 255.255.255.0 23.1.1.2
R3(config)#
R1(config)#do ping 23.1.1.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 23.1.1.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 56/64/76 ms
R1(config)#

3.2、配置IPSec

第一阶段:

R1R3
R1#configureConfiguring from terminal, memory, or network [terminal]?Enter configuration commands, one per line.  End with CNTL/Z.R1(config)#R1(config)#crypto ikev2 proposal Ikev2-PolicyIKEv2 proposal MUST have atleast an encryption algorithm, an integrity algorithm and a dh group configuredR1(config-ikev2-proposal)#  encryption aes-cbc-256R1(config-ikev2-proposal)#  integrity sha1R1(config-ikev2-proposal)#  group 2R1(config-ikev2-proposal)#  exitR1(config)#R1(config)#crypto ikev2 policy Ikev2-PolicyIKEv2 policy MUST have atleast one complete proposal attachedR1(config-ikev2-policy)#  proposal Ikev2-PolicyR1(config-ikev2-policy)#  match address local 12.1.1.1R1(config-ikev2-policy)#  exitR1(config)#R1(config)#crypto ikev2 keyring ipsec2-keyringR1(config-ikev2-keyring)#  peer 23.1.1.3R1(config-ikev2-keyring-peer)#    address 23.1.1.3R1(config-ikev2-keyring-peer)#    pre-shared-key ciscoR1(config-ikev2-keyring-peer)#    exitR1(config-ikev2-keyring)#  exitR1(config)#R1(config)#crypto ikev2 profile Ikev2-ProfileIKEv2 profile MUST have:   1. A local and a remote authentication method.   2. A match identity or a match certificate or match any statement.R1(config-ikev2-profile)#  match address local 12.1.1.1R1(config-ikev2-profile)#$ntity remote address 23.1.1.3 255.255.255.255R1(config-ikev2-profile)#  authentication remote pre-shareR1(config-ikev2-profile)#  authentication local pre-shareR1(config-ikev2-profile)#  lifetime 28800R1(config-ikev2-profile)#  dpd 10 5 on-demandR1(config-ikev2-profile)#  keyring local ipsec2-keyringR1(config-ikev2-profile)#  exitR1(config)#R3(config)#crypto ikev2 proposal Ikev2-PolicyIKEv2 proposal MUST have atleast an encryption algorithm, an integrity algorithm and a dh group configuredR3(config-ikev2-proposal)#  encryption aes-cbc-256R3(config-ikev2-proposal)#  integrity sha1R3(config-ikev2-proposal)#  group 2R3(config-ikev2-proposal)#  exitR3(config)#R3(config)#crypto ikev2 policy Ikev2-PolicyIKEv2 policy MUST have atleast one complete proposal attachedR3(config-ikev2-policy)#  proposal Ikev2-PolicyR3(config-ikev2-policy)#  match address local 23.1.1.3R3(config-ikev2-policy)#  exitR3(config)#R3(config)#crypto ikev2 keyring ipsec2-keyringR3(config-ikev2-keyring)#  peer 12.1.1.1R3(config-ikev2-keyring-peer)#    address 12.1.1.1R3(config-ikev2-keyring-peer)#    pre-shared-key ciscoR3(config-ikev2-keyring-peer)#    exitR3(config-ikev2-keyring)#  exitR3(config)#R3(config)#crypto ikev2 profile Ikev2-ProfileIKEv2 profile MUST have:   1. A local and a remote authentication method.   2. A match identity or a match certificate or match any statement.R3(config-ikev2-profile)#  match address local 23.1.1.3R3(config-ikev2-profile)#$ntity remote address 12.1.1.2 255.255.255.255R3(config-ikev2-profile)#  authentication remote pre-shareR3(config-ikev2-profile)#  authentication local pre-shareR3(config-ikev2-profile)#  lifetime 28800R3(config-ikev2-profile)#  dpd 10 5 on-demandR3(config-ikev2-profile)#  keyring local ipsec2-keyringR3(config-ikev2-profile)#  exitR3(config)#

第二阶段:

R1R2
R1(config)# crypto ipsec transform-set  TransformSet esp-aes 256 esp-sha256-hmacR1(cfg-crypto-trans)#  mode tunnelR1(cfg-crypto-trans)#  exitR1(config)#R1(config)#crypto ipsec profile  IPsecProfileR1(ipsec-profile)#  set transform-set  TransformSetR1(ipsec-profile)#  set ikev2-profile  Ikev2-ProfileR1(ipsec-profile)#  set security-association lifetime seconds 3600R1(ipsec-profile)#  exitR1(config)#R3(config)# crypto ipsec transform-set  TransformSet esp-aes 256 esp-sha256-hmacR3(cfg-crypto-trans)#  mode tunnelR3(cfg-crypto-trans)#  exitR3(config)#R3(config)#crypto ipsec profile  IPsecProfileR3(ipsec-profile)#  set transform-set  TransformSetR3(ipsec-profile)#  set ikev2-profile  Ikev2-ProfileR3(ipsec-profile)#  set security-association lifetime seconds 3600R3(ipsec-profile)#  exitR3(config)#

接口调用:

R1R2
R1(config)# int Tunnel11R1(config-if)#  ip address 169.254.0.1 255.255.255.255R1(config-if)#  tunnel mode ipsec ipv4R1(config-if)#  ip tcp adjust-mss 1350R1(config-if)#  tunnel source 12.1.1.1R1(config-if)#  tunnel destination 23.1.1.3R1(config-if)#  tunnel protection ipsec profile IPsecProfileR1(config-if)#  exitR1(config)#*Sep 13 02:42:34.823: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ONR1(config)#*Sep 13 02:42:35.806: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel11, changed state to downR3(config)# int Tunnel11R3(config-if)#  ip address 169.254.0.2 255.255.255.255R3(config-if)#  tunnel mode ipsec ipv4R3(config-if)#  ip tcp adjust-mss 1350R3(config-if)#  tunnel source 23.1.1.3R3(config-if)#  tunnel destination 12.1.1.1R3(config-if)#  tunnel protection ipsec profile IPsecProfileR3(config-if)#  exitR3(config)#*Sep 13 02:43:21.723: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ONR3(config)#*Sep 13 02:43:22.709: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel11, changed state to down

4、状态检查

检查Tunnel建立情况

R1#sho ip int br
Interface                  IP-Address      OK? Method Status                Protocol
Ethernet0/0                12.1.1.1        YES manual up                    up
Ethernet0/1                unassigned      YES unset  administratively down down
Ethernet0/2                unassigned      YES unset  administratively down down
Ethernet0/3                unassigned      YES unset  administratively down down
Ethernet1/0                unassigned      YES unset  administratively down down
Ethernet1/1                unassigned      YES unset  administratively down down
Ethernet1/2                unassigned      YES unset  administratively down down
Ethernet1/3                unassigned      YES unset  administratively down down
Loopback0                  1.1.1.1         YES manual up                    up
Tunnel11                   169.254.0.1     YES manual up                    up
R1#

为了让1.1.1.1和3.3.3.3之间通过Tunnel之间互通;需要将目标网段出接口指向到Tunnel11

R3(config)#ip route 1.1.1.1 255.255.255.255 Tunnel11
R3(config)#

R1(config)#ip route 3.3.3.3 255.255.255.255 Tunnel11
R1(config)#do ping 3.3.3.3 so 1.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/4/6 ms
R1(config)#

如果需要Tunnel的169.254.0.x的接口互通,也可以指定路由通过Tunnel。

查看IPsec状态:

R1#sho crypto session brief
Status: A- Active, U - Up, D - Down, I - Idle, S - Standby, N - Negotiating
        K - No IKE
ivrf = (none)
           Peer     I/F        Username          Group/Phase1_id   Uptime Status
       23.1.1.3    Tu11                                 23.1.1.3 00:05:09    UA

R1#show crypto ikev2 sa
 IPv4 Crypto IKEv2  SA

Tunnel-id Local                 Remote                fvrf/ivrf            Status
1         12.1.1.1/500          23.1.1.3/500          none/none            READY
      Encr: AES-CBC, keysize: 256, Hash: SHA96, DH Grp:2, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 28800/317 sec

 IPv6 Crypto IKEv2  SA


R1#show crypto ipsec sa | i encap|decap
    #pkts encaps: 15, #pkts encrypt: 15, #pkts digest: 15
    #pkts decaps: 15, #pkts decrypt: 15, #pkts verify: 15
R1#

Refer to:

https://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-architecture-implementation/214938-configuring-ikev2-vrf-aware-svti.html

2.1 IKEv2 标准 IOS vs ASA Crypto Map
LinuxKernelCiscoIOS的博客
05-11 1192
IOS vs ASA Crypto Map IKEv2
ikev2 配置
LinuxKernelCiscoIOS的博客
04-29 6073
LAN----------site1  ---------------------INTERNET -------------------site2------------LAN  172.16.1.1     .1  202.100.1.0/24  .10          .10  61.128.1.0/24  .1      10.1.1.1 ------------------
iOS设置基于ikev2的协议连接企业虚拟专用网络
阿酷tony
08-04 1036
iOS设置基于ikev2的协议连接企业虚拟专用网络
IPSec 技术详解:原理、应用与配置实践
zero_number的博客
03-12 2041
IPSec 是一组在网络层(OSI 模型第 3 层)为 IP 数据报提供安全保护的协议和服务集合。它由 IETF(互联网工程任务组)于 1995 年首次定义(RFC 1825-1829),并在后续演进中形成了当前标准(RFC 4301-4309)。IPSec 的核心目标是通过加密、完整性校验和身份验证,确保数据在不可信网络(如公共互联网)中的安全传输。与应用层安全(如 TLS/SSL)不同,IPSec 在网络层工作,能够保护所有基于 IP 的流量,而不仅是特定应用。
配置SVTI
weixin_30778805的博客
12-13 353
路由器SVTI站点到站点VPN 在IOS 12.4之前建立安全的站点间隧道只能采用GRE over IPSec,从IOS 12.4之后设计了一种全新的隧道技术,即VIT(Virtual Tunnel Interface),这种技术是直接采用IPSec来创建的一个VTI隧道接口。相比GRE over IPSec,VTI技术减少了每个包GRE头部的那4B。 VTI分类:S...
SVTI
weixin_33714884的博客
03-07 182
(1.1.1.1)R1(S1/1:12.12.12.1)-----------------(S1/0:12.12.12.2)R2(S1/1:23.23.23.2)------------------(S1/0:23.23.3)R3(3.3.3.3) R1#shrunning-config ! cryptoisakmppolicy10 authent...
【思科】配置设备与思科路由器采用IKEv2建立IPSec隧道案例
最新发布
Elitepublic的博客
04-12 1378
在RouterA上执行display ike sa和display ipsec sa命令,在RouterB上执行show crypto isakmp sa和show crypto ipsec sa命令,均可以看到IPSec隧道配置成功的信息。access-list 102 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 //指定被保护的数据流,总部子网访问分支子网的流量。ipsec proposal prop1 //配置IPSec安全提议。
IPSecIKEv2详解
sgslwms的博客
09-11 7049
IKEv2协商IPSecSA的过程跟IKEvI有很大差别,最少4条消息就可以创建一对IPSecSA,效率奇高!IKEv2定义了三种交换:初始交换(Initial Exchanges)、创建子SA交换(Create_Child_SA Exchange)通知交换(Informational Exchange)。
strongswan 配置ikev2 for iOS and Android
sonflower123的博客
02-02 1万+
strongswan 高版本已支持ikev2ios9.0以上版本的支持ikev2,Android也是高版本的部分机型支持ikev2,本人搭建的基于ikev2交换协议的strongswan VPN服务器对与iOS 是免证书的(iOS VPN客户端自己写的),Android (VPN客户端是stongswan 官网提供的客户端)服务器认证是证书,客户端认证是eap模式配置文件如下 1.生成服务器证
strongswan 配置ikev2 for iOS
sonflower123的博客
08-11 5024
最新版本的strongswan 目前已支持ikev2 ,对于手机客户端,ios9.0 以上自带的vpn 支持 ikev2(服务器认证方式为:证书,客户端认证方式eap-mschapv2),安卓部分自带的客户端支持ikev2,如下为支持ios9.0以上的ikev2 配置 (手机客户端个人打包) 修改 ipsec.conf配置文件 vi /etc/ipsec.conf conn eap_ios
StrongSwan IKEv2 搭建Linux 与 Cisco的 GRE Tunnel over IPsec IKEv2
taylorgogo
06-03 3262
目录StrongSwan IKEv2 搭建Linux 与 Cisco的 GRE Tunnel over IPsec IKEv2环境效果图安装配置应用 StrongSwan IKEv2 搭建Linux 与 Cisco的 GRE Tunnel over IPsec IKEv2 环境 Linux: cat /proc/version Linux version 4.15.0-73-generic (buildd@lcy01-amd64-006) (gcc version 7.4.0 (Ubuntu 7.4.0-1
IPSecIKEv2协议详解
hhd1988的专栏
05-17 1万+
IKEv2介绍: 定义在RFC4306 ,更新与 RFC 5996. 不兼容IKEv1,IKEv1不支持认证,IKEv2支持认证,EAP。 支持NAT穿越。 IKEv2支持私密性、完整性、源认证。 工作在UDP 的 500 /4500端口。NAT-T用的是UDP4500端口。 IKE的安全机制: 身份认证 确认通信算双方的身份(对等体的IP地址或者名称),包括: 预共享密钥PSK(pre-shared key)认证。 数字签名RSA(rsa-signature)认证。
3.1 IKEv2 最基本IOS vs IOS SVTI
LinuxKernelCiscoIOS的博客
05-12 1099
3.1 最基本IOS vs IOS SVTI 3.2 异步密钥 3.3 双向证书认证 3.4 证书+预共享密钥认证
IPSec IKEv1&IKEv2
weixin_51045259的博客
02-04 4244
IKE简介 IKE概述 因特网密钥交换IKE(Internet Key Exchange)协议建立在Internet安全联盟和密钥管理协议ISAKMP定义的框架上,是基于UDP(User Datagram Protocol)的应用层协议。它为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务,能够简化IPSec配置和维护工作。 IKE与IPSec的关系如图1所示,对等体之间建立一个IKE SA完成身份验证和密钥信息交换后,在IKE SA的保护下,根据配置的AH/ESP安全协议等参数协商出一对IPS
使用数字证书配置IKEv2
凯歌响起的博客
08-01 2242
数字证书配置IKEv2
IPSecIKEv2协议详解
ACM
09-13 2万+
IKEv2简介 IKEv2介绍: 定义在RFC4306 ,更新与 RFC 5996. 不兼容IKEv1,IKEv1不支持认证,IKEv2支持认证,EAP。 支持NAT穿越。 IKEv2支持私密性、完整性、源认证。 工作在UDP 的 500 /4500端口。NAT-T用的是UDP4500端口。 IKE的安全机制: 身份认证 确认通信算双方的身份(对等体的IP地址或者名称),包括: 预共享密钥PSK(pre-shared key)认证。 数字签名RSA(rsa-signature)
openwrt strongswan IPSec IKEV2
热门推荐
季春贰柒的博客
02-24 2万+
前言:文章是作者基于一段时间的学习成果而写的,主要是为了记录下搭建VPN的过程以及遇到的一些麻烦错误,方便之后继续学习或者使用。当然如果能帮到一些读者自然是更好的。鉴于本人水平有限,文章之中难免会出现错漏不足之处,恳请批评指教、留言讨论。 学习过程中在网友文章中发现此图,诚不我欺(手动狗头)。 0.准备 俩台openwrt系统路由器、一部手机(安卓、苹果都行略有差别后续会说到)、阿里云服务器、 1.安装strongswan 这一步网上随意搜索就可以看到许多保姆级别教程,写得很详细。如果你实在懒得搜,轻移贵
IPSecIKEv1和IKEv2协议
qq_43710889的博客
02-23 8925
IPSecIKEv1和IKEv2协议 IKE介绍 文章目录IPSecIKEv1和IKEv2协议IKE介绍IKE与IPSec的关系IKEv1的三个模式主模式和野蛮模式野蛮模式与主模式对比野蛮模式使用场景快速模式IKEv2密钥协商和交换初始交换:IKE安全机制身份认证DH(Diffie-Hellman)密钥交换算法完善的前向安全性PFS(Perfect Forward Secrecy) IKE是一个复合协议。 因特网密钥交换IKE(Internet Key Exchange)协议建立在Internet安全联
Cisco SVTI IKEv1
潇峰的博客
10-20 278
1)在Center和Branch1之间配置SVTI,确保1.1.1.1与3.3.3.3之间互通; 2)在Center和Branch2之间配置SVTI,确保2002:3:3::3与2002:2:2::2之间互通,并作OSPFv3区域认证,Area为1,密码为Cisc0123。 设备配置: ##此处展示各设备的配置,可以粘贴文字,也可以粘贴截图## 任务1 Branch ! crypto isakmp policy 10 authentication pre-share cryp...
IKEv2/IPsec
03-01
IKEv2/IPsec是一种用于建立和管理***:Internet密钥交换版本2IKEv2)和IPsec(Internet协议安全性)。以下是对IKEv2/IPsec的介绍: 1. IKEv2(Internet密钥交换版本2):IKEv2是一种安全协议,用于在两个通信设备之间建立和管理安全连接。它提供了身份验证、密钥交换和安全参数协商等功能。IKEv2使用了先进的加密算法和密钥管理机制,可以确保通信的机密性和完整性。 2. IPsec(Internet协议安全性):IPsec是一种网络协议,用于保护IP数据包的安全传输。它提供了数据加密、数据完整性验证和身份验证等功能。IPsec可以在网络层对数据进行保护,使得通过互联网传输的数据能够受到保护。 IKEv2/IPsec的工作流程如下: 1. 建立安全关联(SA):通信设备之间通过IKEv2协商建立安全关联,包括身份验证、加密算法、密钥长度等参数的协商。 2. 密钥交换:通过IKEv2协议进行密钥交换,确保通信设备之间共享相同的密钥。 3. 数据传输:使用IPsec协议对数据进行加密和认证,并通过IP网络进行传输。 4. 终止连接:当通信结束时,IKEv2/IPsec会终止连接并释放相关资源。 优点: - 安全性高:IKEv2/IPsec使用了先进的加密算法和密钥管理机制,可以确保通信的机密性和完整性。 - 可靠性强:IKEv2/IPsec具有快速重连和移动设备支持等特性,可以在网络切换或设备移动时保持连接的稳定性。 - 兼容性好:IKEv2/IPsec是一种广泛支持的协议套件,可以在多种操作系统和设备上使用。 缺点: - 配置复杂:IKEv2/IPsec配置相对复杂,需要正确设置身份验证、加密算法等参数。 - 性能开销:由于加密和认证等操作的开销,使用IKEv2/IPsec可能会对网络性能产生一定影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

剪刀石头布Cheers

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值