0%

Cisco IPsce VPN理论知识与实战

第一章IPsce VPN理论

  1. )IPsce VPN加密算法分为两种
  • 第一种对称加密算法(公钥加密公钥解密)
  • 第二种非对称加密算法(公钥加密,私钥解密)
  • 其原理通过IKE因特网秘钥交换协议,把非对称加密算法,加密对称加密算法的密钥,然后再用对称加密算法加密实际要传输的数据,从而保障了网络数据的传输安全与稳定性(例如上海到广州之间建立了IPsceVPN,此时双方的传输数据使用称加密,但预共密钥无法通过对称加密算法加密,从而导致密码泄露的风险,此时非对称加密算法就可以对对称加密算法的传输密钥进行加密)
  1. VPN的连接模式分为两种
  • 第一种(传输模式)
    优点:封装模式相对简单、传输效率高
    缺点:IP包头未被保护、不能直接在公网上进行传输,适合安全要求较高的内网搭建
  • 第二种(隧道传输模式)
    优点:IP包头被保护、可以在公网上进行传输、增加安全性
    缺点:传输效率
  1. ISAKMP/IKE阶段一,建立管理连接定义安全的技术(加密算法、hash算法、设备认证类型、定义非对称加密算法、设置对等体和认证密钥)
  • 加密算法
  • HMAC数据报文验证
  • VPN设备验证的端到端的验证类型
  • DH密钥组,指非对称加密算法对对称加密算法的加密强度
  • 管理连接的生存周期
  • 设置端到端的公网IP地址和认证秘钥
  1. ISAKMP/IKE阶段二需要完成的任务
  • 定义对等体间需要保护何种流量
  • 定义用来保护数据的安全协议
  • 定义连接模式
  • 定义数据连接的生存周期以及密钥刷新方式
  1. SA的三个要素,用于整合必要的安全组件用于与对等体的IPSce连接
  • 使用安全参数指引(SPI)去标识VPN
  • 安全协议类型
  • 目的IP地址
  • AH(认证头协议)
  • 数据完成整性服务
  • 数据验证
  • 防止数据回放攻击
    阶段一建立管理连接,定义安全的技术(加密算法、HASH算法)建立对等体的设备进行身份验证、预共享密钥配置等,阶段二建立数据连接,定义ACL触发VPN的建立、数据使用的安全策略(加密算法、认证算法)配置MAP关联的安全策略,最后在出接口调用

第二章IPSec模拟实验

  1. 需求:广州分部小明需要访问上海总部WEB应用服务器,但考虑安全因素WEB服务器只针对内部员工可以访问,不允许公网的用户访问
  1. 模拟ISP运营商网络
    1
    2
    3
    4
    5
    6
    7
    ISP(config)#interface gigabitEthernet 0/0
    ISP(config-if)#ip address 13.1.1.3 255.255.255.0
    ISP(config)#interface gigabitEthernet 0/2
    ISP(config-if)#ip address 12.1.1.3 255.255.255.0
    设置 loopback借口 模拟运营商链路
    ISP(config)#interface loopback 0
    ISP(config-if)#ip address 3.3.3.3 255.255.255.0
  2. 广州分部路由器地址配置
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    GuangZhou(config)#interface gigabitEthernet 0/0
    GuangZhou(config-if)#ip address 13.1.1.1 255.255.255.0
    GuangZhou(config-if)#ip nat outside
    GuangZhou(config)#interface gigabitEthernet 0/2
    GuangZhou(config-if)#ip address 192.168.1.1 255.255.255.0
    GuangZhou(config-if)#ip nat inside
    GuangZhou(config)#access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 #NAT分离(分离VPN流量),先拒绝VPN访问VPN的流量
    GuangZhou(config)#access-list 100 permit ip any any #其他的NAT流量放行
    GuangZhou(config)#ip nat inside source list 100 interface gigabitEthernet 0/0 overload #配置PAT
    GuangZhou(config)#0.0.0.0 0.0.0.0 13.1.1.3 #写一条默认路由指向运营商
    GuangZhou#show ip nat translations #配置完查询NAT转发表是否正常
    Pro Inside global Inside local Outside local Outside global
    icmp 13.1.1.1:41 13.1.1.1:41 3.3.3.3:41 3.3.3.3:41
    icmp 13.1.1.1:42 13.1.1.1:42 3.3.3.3:42 3.3.3.3:42
  3. 上海总部路由地址配置
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    Shanghai(config)#interface gigabitEthernet 0/0
    Shanghai(config-if)#ip address 12.1.1.1 255.255.255.0
    Shanghai(config-if)#ip nat outside
    Shanghai(config)#interface gigabitEthernet 0/2
    Shanghai(config-if)#ip address 192.168.2.1 255.255.255.0
    Shanghai(config-if)#ip nat inside
    Shanghai(config)#access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 #NAT分离(分离VPN流量),先拒绝VPN访问VPN的流量
    Shanghai(config)#access-list 100 permit ip any any #其他的NAT流量放行
    Shanghai(config)#ip nat inside source list 100 interface gigabitEthernet 0/0 overload #配置PAT
    GuangZhou(config)#0.0.0.0 0.0.0.0 12.1.1.3 #写一条默认路由指向运营商
    Shanghai#show ip nat translations #配置完查询NAT转发表是否正常
    Pro Inside global Inside local Outside local Outside global
    icmp 12.1.1.1:10 12.1.1.1:10 3.3.3.3:10 3.3.3.3:10
    icmp 12.1.1.1:6 12.1.1.1:6 3.3.3.3:6 3.3.3.3:6

第三章IPSce配置步骤

  1. 配置阶段一的安全策略(广州分部)

    1
    2
    3
    4
    5
    6
    GuangZhou(config)#crypto isakmp policy 10   #定义阶段一的策略组
    GuangZhou(config-isakmp)#encryption 3des #定义对称加密算法
    GuangZhou(config-isakmp)#hash md5 #定义认证算法
    GuangZhou(config-isakmp)#group 2 #定义非对称加密算法
    GuangZhou(config-isakmp)#authentication pre-share #定义认证方式(预共享密钥)
    GuangZhou(config)#crypto isakmp key 0 test address 12.1.1.1 #设置对等体公网IP以及预共享密钥(key 0代表密钥明文,key 6代表密钥加密)
  2. 阶段二配置策略,定义一条匹配VPN的流量(广州分部)

    1
    2
    3
    4
    5
    6
    7
    8
    9
    GuangZhou(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
    GuangZhou(config)#crypto ipsec transform-set SET esp-3des esp-md5-hmac #设置传输集
    GuangZhou(cfg-crypto-trans)#mode tunnel #模式定义为tunnel
    GuangZhou(config)#crypto map MAP 1 ipsec-isakmp #创建一个MAP
    GuangZhou(config-crypto-map)#match address 101 #设置触发VPN流量的ACL
    GuangZhou(config-crypto-map)#set peer 12.1.1.1 #设置对等体公网IP
    GuangZhou(config-crypto-map)#set transform-set SET #调用传输集
    GuangZhou(config)#interface gigabitEthernet 0/0 #最后在出接口调用MAP
    GuangZhou(config-if)#crypto map MAP
  3. 上海总部策略配置跟分部一样

    1
    2
    3
    4
    5
    6
    Shanghai(config)#crypto isakmp policy 10   #定义阶段一的策略组
    Shanghai(config-isakmp)#encryption 3des #定义对称加密算法
    Shanghai(config-isakmp)#hash md5 #定义认证算法
    Shanghai(config-isakmp)#group 2 #定义非对称加密算法
    Shanghai(config-isakmp)#authentication pre-share #定义认证方式(预共享密钥)
    Shanghai(config)#crypto isakmp key 0 test address 13.1.1.1 #设置对等体公网IP以及预共享密钥(key 0代表密钥明文,key 6代表密钥加密)
  4. 阶段二配置策略

    1
    2
    3
    4
    5
    6
    7
    8
    9
    Shanghai(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
    Shanghai(config)#crypto ipsec transform-set SET esp-3des esp-md5-hmac #设置传输集
    Shanghai(cfg-crypto-trans)#mode tunnel #模式定义为tunnel
    Shanghai(config)#crypto map MAP 1 ipsec-isakmp #创建一个MAP
    Shanghai(config-crypto-map)#match address 101 #设置触发VPN流量的ACL
    Shanghai(config-crypto-map)#set peer 13.1.1.1 #设置对等体公网IP
    Shanghai(config-crypto-map)#set transform-set SET #调用传输集
    Shanghai(config)#interface gigabitEthernet 0/0 #最后在出接口调用MAP
    Shanghai(config-if)#crypto map MAP
  5. 验证小明与总部的通信是否正常

  1. IPSec VPN排错验证命令
  • show crypto lsakmp policy #查看IKE策略
  • show crypto isakmp sa #查看管理连接SA状态
  • show crypto ipsec sa #查看数据连接SA的状态
  • show crypto ipsec transform-set #查看IPSec传输集
  • show crypto map 查看Crypto Map