声明:此贴乃是本人原创,欢迎转载,但请注明作者和引用源。
之前我做了很多关于×××的教程,但是感觉都描述的不是非常详尽,在×××业务越来越多的今天,很多单位都开始尝试自己架设和维护×××,一方面他们要求有较高的安全性和配置便捷性,同时在维护方面也需要尽量降低成本;另一方面设备商也在尽量推出简便易行的***产品和周边配套软件环境。在这样的主流趋势引导下,很多设备商都推出了×××配置和维护的解决方案,我们今天就来看看Cisco的IOS ×××。
这个内容我打算分两个类型来说,第一类是基于SDM GUI的,第二类是直接在CLI的。相对比较第一类较为简单,我们从这里开始。
==========================非常贱的分割线==========================
首先在配置ipsec ***之前我们要做一下准备工作:
1、对ipsec和***有基本的了解,当然你有深入的了解自然最好。
2、我们得有一个最基本的环境:两台可以互相联通的cisco路由器。
3、这两台router的型号和IOS必须满足支持ipsec和ca的基本特性集。(不偷偷的暗示下,莫有的可以加我qq)
4、你得搞到一个SDM。(暗示同上)
==========================还是非常贱的分割线==========================
接下来,我们还要做一些进阶的准备工作:
1、router配置了用户名和密码,采用ssh的登录方式。(具体开启ssh的方法网上一把,但是要注意生成rsa密钥对)//这步主要是为了asdm和路由的通讯
2、配置域名,真假都可,做实验的话胡诌一个都可以。//这步主要是要保证ca发布时其他peer可以访问
3、配置时间,可以用ntp server同步或者clock set设置。//这步主要是为了保证ca证书的时间同步,因为证书是有有效期的
==========================依然非常贱的分割线==========================
我的测试环境是对联的两台3745,IOS采用C3745-ADVENTERPRISEK9-M,接口全部fastethernet;SDM2 ver.5(由于我是从别的环境里抽出来的,所以呆会大家可能会看到别的接口和IP,当没看见好了);连接如下:
(fa0/1:192.168.0.212)R5(fa0/0:10.2.1.1)-------(fa0/0:10.2.1.3)R7(fa0/1:192.168.0.213)
其中10是外口,模拟穿过互联网;192是内口,模拟各自的内网。
1、设置NTP。
![](https://i-blog.csdnimg.cn/blog_migrate/e9d719cc7366b7049ae2c6c5bb3d4de7.png)
2、设置域名。
![](https://i-blog.csdnimg.cn/blog_migrate/04fba1fbecf90cade5b6a87e986d70c6.png)
3、配置SSH。
(1)设置vty终端为ssh。
![](https://i-blog.csdnimg.cn/blog_migrate/3ec3e827951bfe95305540c2a0af92f1.png)
(2)创建SSH用的RSA密钥对。
![](https://i-blog.csdnimg.cn/blog_migrate/4f1a9c428ac345d0ffb69bcfe06b3411.png)
这里cisco有个很搞笑的bug,准确的讲是个先有鸡还是先有蛋的问题:
![](https://i-blog.csdnimg.cn/blog_migrate/1cb6fb02e20d8ce13b4074ba42ce0c65.png)
需要我们输入ssh用户口令,可问题是这个rsa不生成出来,ssh是不会起来的,不起来我们如何输入用户口令呢?loop中。。。
目前我还不清楚这里究竟是什么问题,也许是我哪里操作有问题吧?
我们只好在cli下处理先:
R5(config)#cry key gen rsa
The name for the keys will be: R5.cisco.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]:
% Generating 512 bit RSA keys, keys will be non-exportable...[OK]
*Mar 1 05:25:22.815: %SSH-5-ENABLED: SSH 1.99 has been enabled
好。ssh起来了,我们也可以在PKI相关栏目里看到我们刚才生成的密钥对。
![](https://i-blog.csdnimg.cn/blog_migrate/ab257b62648431e648b13ab4180eb357.png)
(3)配置用户密码。
![](https://i-blog.csdnimg.cn/blog_migrate/6aaac160734d3417519e53f1f564c5a7.png)
基本的准备工作到这里就结束了。
==========================依然非常贱的分割线==========================
接下来我们配置CA server。
创建一个ca server,注意要输入我们刚才配置的用户密码。
![](https://i-blog.csdnimg.cn/blog_migrate/e012465c14bf4555b050f70e3fbb36e6.png)
向导出现:
![](https://i-blog.csdnimg.cn/blog_migrate/43b92f5482f5b7eebebf0a9a8dc854ef.png)
输入参数:这里要强调一下,grant部分是指是否自动统一客户端证书申请请求,自动的话可能安全性差点,懒汉专用,我们这里为了多演示一些步骤,就采用手动方式了。其他参数酌情填写。
![](https://i-blog.csdnimg.cn/blog_migrate/27111143684f149d27ded902416b1d0b.png)
生成rsa密钥对,这里说明一下,这个是给ca用的,前面那个是给ssh用的,读者表混淆。
![](https://i-blog.csdnimg.cn/blog_migrate/5cab37fa35f3007cdb6a41befce071b0.png)
配置结束后会自动发送指令给router并启动ca server:
![](https://i-blog.csdnimg.cn/blog_migrate/a2d3de80e2c79c12821cdace4c2dc902.png)
![](https://i-blog.csdnimg.cn/blog_migrate/c44f7327ca50085937fd784251832f00.png)
启动成功后的服务器状态:再次提醒,如果没有成功请检查时间是否同步。
![](https://i-blog.csdnimg.cn/blog_migrate/d25f9fa88cd47459acf6378f16a8c230.png)
==========================反正非常贱的分割线==========================
下面我们让另外一台router来申请证书。
![](https://i-blog.csdnimg.cn/blog_migrate/7070fbff7c58e3315e1d7e16ec6abb7a.png)
启动SCEP证书申请:
![](https://i-blog.csdnimg.cn/blog_migrate/c60caa8c75e596ccb38f8e2dcde11c8e.png)
输入ca server的参数:
![](https://i-blog.csdnimg.cn/blog_migrate/21ebe2657f00fdc91bb6fac002318082.png)
其他参数可以酌情修改,也可以不改:
![](https://i-blog.csdnimg.cn/blog_migrate/ea509bc20c4b493724b246a881e1b94d.png)
rsa密钥创建一个新的,不要和ssh的混用,这样比较有条理。
![](https://i-blog.csdnimg.cn/blog_migrate/b7b57d889e9a4439373954171ca0471d.png)
生成并发送配置:
![](https://i-blog.csdnimg.cn/blog_migrate/2823a7b78cab7d0a7384c9d647757e61.png)
![](https://i-blog.csdnimg.cn/blog_migrate/aad3c06169b53dcd17005f9e15c49879.png)
收到答复了:
![](https://i-blog.csdnimg.cn/blog_migrate/ec8a1b515ed3edbd31ba23bc7682409d.png)
结束后,我们回到R5这边,看到router已经收到请求了:
![](https://i-blog.csdnimg.cn/blog_migrate/5158004600411337f26ce9bf537fc878.png)
分别grant,然后返回R7,我们就看到已经收到的ca证书了:
![](https://i-blog.csdnimg.cn/blog_migrate/5d83c9e88911737b0b4f4f63befdbf2b.png)
==========================肯定非常贱的分割线==========================
下面开始配置站到站***
![](https://i-blog.csdnimg.cn/blog_migrate/cb4bac78f15f9a5d64319ecedf606115.png)
为了大家看清楚,我没采用快速设置,如果大家没特殊要求的,也可以直接快速设置掉。
![](https://i-blog.csdnimg.cn/blog_migrate/dad670561272e839f11c7ee68ced8bec.png)
配置目标相关信息
![](https://i-blog.csdnimg.cn/blog_migrate/601a23363b156569c47155857de82194.png)
IKE交换和ipsec变换集都采用默认的:
![](https://i-blog.csdnimg.cn/blog_migrate/6b6ea73616b8c0b0cc66469a83cb2aae.png)
![](https://i-blog.csdnimg.cn/blog_migrate/abc23c40df9f494373921ed59eef365e.png)
配置访问控制列表:
配置完成后的状态,down是因为对端还没起来。
![](https://i-blog.csdnimg.cn/blog_migrate/e5cdd0eaa30edc9653ecda1144cc737d.png)
转载于:https://blog.51cto.com/netwalk/66720