目录
锐捷网络—VPN功能—IPSEC 基础配置—IPSec使用动态模式
功能介绍
应用场景
一、组网需求
二、组网拓扑
三、配置要点
四、配置步骤
五、配置验证
锐捷网络—VPN功能—IPSEC 基础配置—IPSec使用动态模式
功能介绍
IPSEC动态隧道一般应用于分支节点较多的总分拓扑结构,在中心点配置动态隧道接受各分支的IPSEC VPN拨入。中心点配置简单、易于维护、可扩展性强。
应用场景
若总公司和分公司各自的内网要能够互相共享资料,且希望资料在网络传输中不易被黑客截获破解窃取,保证资料的安全保密,此时您可以在总公司和分公司的网络设备上建立IPSec VPN,它即能实现总公司和分公司之间能够直接互相访问资源,也能对数据传输进行加密,保证了数据的安全性。若总部的IP地址固定,而分公司是采用拨号方式上网的(IP地址不固定),那么可以采用动态IPSec VPN。
一、组网需求
某企业使由于业务拓展,在全国各地建立了若干分支机构;总部出口路由器通过运营商专线连接到互联网,各分支可能通过专线或者ADSL方式接入互联网。分支机构在业务开展过程中需要访问位于总部的业务服务器,同时需要对分支与总部间通信的数据进行加密,保证业务安全。
该场景通过在总部出口路由器上布署动态的IPSEC VPN来接受各分支机构的拨入,满足分支与总部间的业务互访和数据加密需求。
二、组网拓扑
三、配置要点
1、配置总部路由器和各分支路由器,使其能够正常访问互联网
2、在总部出口路由器上配置动态态IPSEC VPN隧道
(1)配置isakmp策略
(2)配置预共享密钥
(3)配置ipsec加密转换集
(4)配置动态ipsec加密图
(5)将动态ipsec加密图映射到静态的ipsec加密图中
(6)将加密图应用到接口
3、在总部路由器上配置路由,将各分支网段路由指向出口
4、在分支路由器上配置静态IPSEC VPN隧道
(1)配置ipsec感兴趣流
(2)配置isakmp策略
(3)配置预共享密钥
(4)配置ipsec加密转换集
(5)配置ipsec加密图
(6)将加密图应用到接口
5、在分支路由器上配置路由,将总部网段路由指向出口
注意:
·需要使用IPSEC互访的IP网段不能重叠。
·RSR50/RSR50E涉及IPSEC功能必须配备AIM-VPN加密卡(如何查看RSR50/RSR50E是否已经配备AIM-VPN加密卡,请查看本文最后的附录部分)
四、配置步骤
1、配置总部路由器和各分支路由器,使其能够正常访问互联网
保证在分支路由器上能够ping通总部路由器外网口公网IP地址。
2、在总部出口路由器上配置动态态IPSEC VPN隧道
(1)配置isakmp策略
crypto isakmp policy 1
//创建新的isakmp策略
encryption 3des
//指定使用3DES进行加密
authentication pre-share
//指定认证方式为“预共享密码”,如使用数字证书配置“authentication rsa-sig”,如使用数字信封配置“authentication digital-email”。
(2)配置预共享密钥
crypto isakmp key 0 ruijie address 0.0.0.0 0.0.0.0
//配置预共享密钥为“ruijie”,IPSEC客户端也必须配置相同的密钥。由于对端的 ip地址是动态的,因此使用address 0.0.0.0 0.0.0.0代表所有ipsec客户端
(3)配置ipsec加密转换集
crypto ipsec transform-set myset esp-des esp-md5-hmac
//指定ipsec使用esp封装des加密、MD5检验
(4)配置动态ipsec加密图
crypto dynamic-map dymymap 5
//新建名为“dymymap”的动态ipsec加密图
set transform-set myset
//指定加密转换集为“myset”
(5)将动态ipsec加密图映射到静态的ipsec加密图中
crypto map mymap 10 ipsec-isakmp dynamic dymymap
//将动态的“dymymap”ipsec加密图映射至静态ipsec加密图mymap中
(6)将加密图应用到接口
interface GigabitEthernet 0/0
crypto map mymap
3、在总部路由器上配置路由,将各分支网段路由指向出口
ip route 192.168.1.0 255.255.255.0 10.0.0.2
ip route 192.168.2.0 255.255.255.0 10.0.0.2
ip route 192.168.3.0 255.255.255.0 10.0.0.2
......
4、在分支路由器上配置静态IPSEC VPN隧道(以分支1为例)
(1)配置ipsec感兴趣流
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
//指定感兴趣流为源地址192.168.1.0/24,目的地址为192.168.0.0/24的网段。
(2)配置isakmp策略
crypto isakmp keepalive 5 periodic
//配置IPSEC DPD探测功能
crypto isakmp policy 1
//创建新的isakmp策略
authentication pre-share
//指定认证方式为“预共享密码”,如使用数字证书配置“authentication rsa-sig”,如使用数字信封配置“authentication digital-email”。
encryption 3des
//指定使用3DES进行加密
(3)配置预共享密钥
crypto isakmp key 0 ruijie address 10.0.0.1
//指定peer 10.0.0.1的预共享密钥为“ruijie”,与总部出口路由器上配置的一致。如使用数字证书/信封认证则无需配置。
(4)配置ipsec加密转换集
crypto ipsec transform-set myset esp-des esp-md5-hmac
//指定ipsec使用esp封装des加密、MD5检验
(5)配置ipsec加密图
crypto map mymap 5 ipsec-isakmp
//新建名称为“mymap”的加密图
set peer 10.0.0.1
//指定peer地址
set transform-set myset
//指定加密转换集为“myset”
match address 101
//指定感兴趣流为ACL 101
(6)将加密图应用到接口
interface dialer 0
crypto map mymap
5、在分支路由器上配置路由,将总部网段路由指向出口
ip route 192.168.0.0 255.255.255.0 dialer 0
五、配置验证
1、在分支1路由器上以源地址192.168.1.1 ping 192.168.0.1,能够正常通信
R1#ping 192.168.0.1 source 192.168.1.1
Sending 5, 100-byte ICMP Echoes to 192.168.1.1, timeout is 2 seconds:
< press Ctrl+C to break >
.!!!!
2、在分支1路由器上查看isakmp、ipsec sa是否已经协商成功
Ruijie#show crypto isakmp sa
//查看isakmp sa协商情况
destination source state conn-id lifetime(second)
10.0.0.2 10.0.0.1 IKE_IDLE 0 84129 //isakmp协商成功,状态为IKE_IDLE
Ruijie#show crypto ipsec sa
//查看ipsec sa协商情况
Interface: GigabitEthernet 0/0
Crypto map tag:mymap //接口下所应用的加密图名称
local ipv4 addr 10.0.0.1
//进行isakmp/ipsec协商时所使用的IP地址
media mtu 1500
==================================
sub_map type:static, seqno:5, id=0
local ident (addr/mask/prot/port): (192.168.0.0/0.0.0.255/0/0)) //感兴趣流源地址
remote ident (addr/mask/prot/port): (192.168.1.0/0.0.0.255/0/0))
//感兴趣流目的地址
PERMIT
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
//成功封装、加密、摘要报文个数
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4 //成功解封装,解密、检验报文个数,有数据通过IPSEC加密进行通信时,重复执行show crypto ipsec sa命令可以看到以上统计个数会不断增加。
#send errors 0, #recv errors 0
//发送、接收错误报文个数,正常情况下该统计不增加。
Inbound esp sas:
spi:0x2ecca8e (49072782) //ipsec sa入方向的spi
transform: esp-des esp-md5-hmac
//ipsec加密转换集为esp-des esp-md5-hmac
in use settings={Tunnel Encaps,}
//采用隧道模式
crypto map mymap 5
sa timing: remaining key lifetime (k/sec): (4606998/1324)
//离安全联盟的生命周期到期还有:4606998千字节/1324秒
IV size: 8 bytes
//IV向量长度为8
Replay detection support:Y
//抗重播处理
Outbound esp sas:
spi:0x5730dd4b (1462820171) //ipsec sa出方向的spi,只有看到了inbound spi和outbound spi才说明ipsec sa已经协商成功。
transform: esp-des esp-md5-hmac
in use settings={Tunnel Encaps,}
crypto map mymap 5
sa timing: remaining key lifetime (k/sec): (4606998/1324)
IV size: 8 bytes
Replay detection support:Y