许多人问我,怎么去实现IPSec ××× 技术,我将这个做了一个案例,告诉大家怎样去配置一个基于路由器实现IPSec ×××。
因工作需要,要求在公司的南京办事处与上海办事处之间建立 ××× 联接。南京办事处网络设置:内网 I<?XML:NAMESPACE PREFIX = ST1 />P 10.1.1.0/24 ,外网 IP 202.102.1.5/24 ;上海办事处网络设置:内网 IP 10.1.2.0/24 ,外网 IP 202.102.1.6/24 。 <?XML:NAMESPACE PREFIX = O />
在两边的路由器上都要进行以下配置步骤:
一、 配置 IKE 中的加密算法
二、 配置 IKE 密钥方法
三、 定义转换集
四、 建立加密图
五、 设置隧道端口
六、 配置内网口
七、 配置外网口
八、 建立访问列表
南京路由器配置如下:
!service timestamps debug uptimeservice timestamps log uptimeno service password-encryption!hostname Nanjing!enable cisco
一、 配置 IKE 中的加密算法
crypto isakmp policy 1 注释: 生成 iskamp policy number 1 。 policy 1 表示策略 1 ,假如想多配几个 ××× ,可以写成 policy 2 、 policy3 … …
encryption des 注释:选择用 DES encryption 也可用 3DES 指定三倍 DES 加密
hash sha 注释:指定使用的散列算法,也可以是 md5 (二端保持一致)
authentication pre-share 注释:告诉路由器要使用预先共享的密码。
group 1 注释: 指定为 Diffie-Hellman 组。 除非购买高端路由器,或是 ××× 通信比较少,否则最好使用 group 1 长度的密钥, group 命令有两个参数值: 1 和 2 。参数值 1 表示密钥使用 768 位密钥,参数值 2 表示密钥使用 1024 位密钥,显然后一种密钥安全性高,但消耗更多的 CPU 时间。
lifetime 14400 注释:对生成新 SA 的周期进行调整。这个值以秒为单位,默认值为 86400 ,也就是一天。值得注意的是两端的路由器都要设置相同的 SA 周期,否则 ××× 在正常初始化之后,将会在较短的一个 SA 周期到达中断。 不设则为默认值。
二、 配置 IKE 密钥方法
crypto isakmp identity address 注释:指定与远程路由器通信时使用 isakmp 标识
crypto isakmp key 654321 address 202.102.1.6 注释:返回到全局设置模式确定要使用的预先共享密钥和指向 ××× 另一端路由器 IP 地址,即目的路由器 IP 地址。相应地在另一端路由器配置也和以上命令类似,只不过把 IP 地址改成 202.102.1.5 。
crypto isakmp key 654321 address 192.168.1.2 注释:对远程路由器隧道端口 192.168.1.2 使用密钥 654321
三、 定义转换集
crypto ipsec transform-set test1 ah-md5-hmac esp-des esp-md5-hmac 注释:这里在两端路由器唯一不同的参数是 test1 ,这是为这种选项组合所定义的名称。在两端的路由器上,这个名称可以相同,也可以不同。以上命令是定义所使用的 IPSec 参数。为了加强安全性,要启动验证报头。由于两个网络都使用私有地址空间,需要通过隧道传输数据,因此还要使用安全封装协议。最后,还要定义 DES 作为保密密码钥加密算法。可以定义一个或多个转换集
四、建立加密图
crypto map cmap1 local-address serial 0 注释:定义加密图 cmap1 并指定 s0 为本地地址
crypto map cmap1 1 ipsec-isakmp 注释:用序号 1 设置加密图
set peer 202.102.1.6set peer 192.168.1.2 注释:这是标识对方路由器的合法 IP 地址。在远程路由器上也要输入类似命令,只是对方路由器地址应该是 202.102.1.5 。
set transform-set test1 注释:标识用于这个连接的转换集
match address 111 注释:标识用于这个连接的访问列表。
process-max-time 200
五、设置隧道端口
interface Tunnel0ip address 192.168.1.1 255.255.255.0tunnel source 202.102.1.5tunnel destination 202.102.1.6crypto map cmap
六、设置内网口
interface Ethernet0ip address 10.1.1.1 255.255.255.0
七、设置外网口
interface serial0ip address 202.102.1.5 255.255.255.0no ip mroute-cacheno fair-queuecrypto map cmap 注释:将刚才定义的密码图应用到路由器的外部接口。
ip classless
八、建立访问列表
access-list 111 permit ip host 202.102.1.5 host 202.102.1.6access-list 111 permit ip host 202.102.1.6 host 202.102.1.5access-list 111 permit ip 10.1.1.0 0.0.0.255 202.102.1.0 0.0.0.255access-list 111 permit ip 10.1.2.0 0.0.0.255 202.102.1.0 0.0.0.255access-list 111 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255access-list 111 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 注释:在这里使用的访问列表号不能与任何过滤访问列表相同,应该使用不同的访问列表号来标识 ××× 规则。
!line con 0line aux 0 line vty 0 4==============================password ciscologin!end!
上海路由器配置如下:
!service timestamps debug uptimeservice timestamps log uptimeno service password-encryption!hostname shanghai!enable cisco!!!------ 以下配置加密 --------crypto isakmp policy 1 生成 iskamp policy number 1encryption des 选择用 DES encryption 也可用 3DES 指定三倍 DES 加密 hash sha 指定使用的散列算法,也可以是 md5 (二端保持一致) authentication pre-sharegroup 1 指定为 Diffie-Hellman 组 ,1 表示 768 位 ,2 表示 1024 位 lifetime 14400 指定安全关联的有效期,不设就为默认值 ------ 以下配置密钥方法 -----crypto isakmp identity address 指定与远程路由器通信时使用 isakmp 标识 crypto isakmp key 654321 address 202.102.1.5 对远程路由器端口 202.102.1.6 使用密钥 654321crypto isakmp key 654321 address 202.102.1.6 对远程路由器端口 202.102.1.6 使用密钥 654321crypto isakmp key 654321 address 192.168.1.1 对远程路由器隧道端口 192.168.1.2 使用密钥 654321!------ 以下定义一个转换集 -----crypto ipsec transform-set tset1 ah-md5-hmac esp-des esp-md5-hmac 可以定义一个或多个集 !!------- 以下建立加密图 ------crypto map cmap1 local-address serial 0 定义加密图 cmap1 并指定 s0 为本地地址 crypto map cmap1 1 ipsec-isakmp 用序号 1 设置加密图 set peer 202.102.1.5 设定目标地址 set peer 202.102.1.6set peer 192.168.1.1set transform-set test1 指定转换集 match address 111 指定加密访问列表 111 中的地址 !!process-max-time 200!------- 以下设置隧道端口 ------interface Tunnel0ip address 192.168.1.2 255.255.255.0 tunnel source 202.102.1.6tunnel destination 202.102.1.5crypto map cmap!------- 以下设置内网口 ------interface Ethernet0ip address 10.1.2.1 255.255.255.0!------- 以下设置外网口 ------interface serial0ip address 202.102.1.6 255.255.255.0no ip mroute-cacheno fair-queue crypto map cmap!ip classless!------- 以下建立访问列表 111------access-list 111 permit ip host 202.102.1.5 host 202.102.1.6access-list 111 permit ip host 202.102.1.6 host 202.102.1.5access-list 111 permit ip 10.1.1.0 0.0.0.255 202.102.1.0 0.0.0.255access-list 111 permit ip 10.1.2.0 0.0.0.255 202.102.1.0 0.0.0.255access-list 111 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255access-list 111 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 !line con 0line aux 0 line vty 0 4==============================password ciscologin!end!
现在剩下的部分是测试这个 ××× 的连接,并且确保通信是按照预期规划进行的。
最后一步是不要忘记保存运行配置,否则所作的一切就白费了。
本文出自 “ ” 博客,请务必保留此出处