许多人问我,怎么去实现IPSec ××× 技术,我将这个做了一个案例,告诉大家怎样去配置一个基于路由器实现IPSec ×××。
 
 
因工作需要,要求在公司的南京办事处与上海办事处之间建立
×××
联接。南京办事处网络设置:内网
I<?XML:NAMESPACE PREFIX = ST1 />P 10.1.1.0/24
,外网
IP 202.102.1.5/24
;上海办事处网络设置:内网
IP 10.1.2.0/24
,外网
IP 202.102.1.6/24
<?XML:NAMESPACE PREFIX = O />

  在两边的路由器上都要进行以下配置步骤:

一、
配置
IKE
中的加密算法

二、
配置
IKE
密钥方法

三、
定义转换集

四、
建立加密图

五、
设置隧道端口

六、
配置内网口

七、
配置外网口

八、
建立访问列表

  南京路由器配置如下:

!
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Nanjing
!
enable cisco

一、
配置
IKE
中的加密算法

crypto isakmp policy 1
注释:
生成
iskamp policy number 1
policy 1
表示策略
1
,假如想多配几个
×××
,可以写成
policy 2
policy3 … …

encryption des
注释:选择用
DES encryption
也可用
3DES
指定三倍
DES
加密

hash sha
注释:指定使用的散列算法,也可以是
md5
(二端保持一致)

authentication pre-share
注释:告诉路由器要使用预先共享的密码。

group 1
注释:
指定为
Diffie-Hellman
组。
除非购买高端路由器,或是
×××
通信比较少,否则最好使用
group 1
长度的密钥,
group
命令有两个参数值:
1
2
。参数值
1
表示密钥使用
768
位密钥,参数值
2
表示密钥使用
1024
位密钥,显然后一种密钥安全性高,但消耗更多的
CPU
时间。

lifetime 14400
注释:对生成新
SA
的周期进行调整。这个值以秒为单位,默认值为
86400
,也就是一天。值得注意的是两端的路由器都要设置相同的
SA
周期,否则
×××
在正常初始化之后,将会在较短的一个
SA
周期到达中断。
不设则为默认值。

二、
配置
IKE
密钥方法

crypto isakmp identity address
注释:指定与远程路由器通信时使用
isakmp
标识

crypto isakmp key 654321 address 202.102.1.6
注释:返回到全局设置模式确定要使用的预先共享密钥和指向
×××
另一端路由器
IP
地址,即目的路由器
IP
地址。相应地在另一端路由器配置也和以上命令类似,只不过把
IP
地址改成
202.102.1.5

crypto isakmp key 654321 address 192.168.1.2
注释:对远程路由器隧道端口
192.168.1.2
使用密钥
654321

三、
定义转换集

crypto ipsec transform-set test1 ah-md5-hmac esp-des esp-md5-hmac
注释:这里在两端路由器唯一不同的参数是
test1
,这是为这种选项组合所定义的名称。在两端的路由器上,这个名称可以相同,也可以不同。以上命令是定义所使用的
IPSec
参数。为了加强安全性,要启动验证报头。由于两个网络都使用私有地址空间,需要通过隧道传输数据,因此还要使用安全封装协议。最后,还要定义
DES
作为保密密码钥加密算法。可以定义一个或多个转换集

四、建立加密图

crypto map cmap1 local-address serial 0
注释:定义加密图
cmap1
并指定
s0
为本地地址

crypto map cmap1 1 ipsec-isakmp
注释:用序号
1
设置加密图

set peer 202.102.1.6
set peer 192.168.1.2
注释:这是标识对方路由器的合法
IP
地址。在远程路由器上也要输入类似命令,只是对方路由器地址应该是
202.102.1.5

set transform-set test1
注释:标识用于这个连接的转换集

match address 111
注释:标识用于这个连接的访问列表。

process-max-time 200

五、设置隧道端口

interface Tunnel0
ip address 192.168.1.1 255.255.255.0
tunnel source 202.102.1.5
tunnel destination 202.102.1.6
crypto map cmap

六、设置内网口

interface Ethernet0
ip address 10.1.1.1 255.255.255.0

七、设置外网口

interface serial0
ip address 202.102.1.5 255.255.255.0
no ip mroute-cache
no fair-queue
crypto map cmap
注释:将刚才定义的密码图应用到路由器的外部接口。

ip classless

八、建立访问列表

access-list 111 permit ip host 202.102.1.5 host 202.102.1.6
access-list 111 permit ip host 202.102.1.6 host 202.102.1.5
access-list 111 permit ip 10.1.1.0 0.0.0.255 202.102.1.0 0.0.0.255
access-list 111 permit ip 10.1.2.0 0.0.0.255 202.102.1.0 0.0.0.255
access-list 111 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
access-list 111 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255
注释:在这里使用的访问列表号不能与任何过滤访问列表相同,应该使用不同的访问列表号来标识
×××
规则。

!
line con 0
line aux 0
line vty 0 4
==============================
password cisco
login
!
end
!

上海路由器配置如下:

!
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname shanghai
!
enable cisco
!
!
!------
以下配置加密
--------
crypto isakmp policy 1
 
生成
iskamp policy number 1
encryption des
选择用
DES encryption
也可用
3DES
指定三倍
DES
加密
hash sha
指定使用的散列算法,也可以是
md5
(二端保持一致)
authentication pre-share
group 1
指定为
Diffie-Hellman
,1
表示
768
,2
表示
1024
lifetime 14400
指定安全关联的有效期,不设就为默认值
------
以下配置密钥方法
-----
crypto isakmp identity address
指定与远程路由器通信时使用
isakmp
标识
crypto isakmp key 654321 address 202.102.1.5
对远程路由器端口
202.102.1.6
使用密钥
654321
crypto isakmp key 654321 address 202.102.1.6
对远程路由器端口
202.102.1.6
使用密钥
654321
crypto isakmp key 654321 address 192.168.1.1
对远程路由器隧道端口
192.168.1.2
使用密钥
654321
!
------
以下定义一个转换集
-----
crypto ipsec transform-set tset1 ah-md5-hmac esp-des esp-md5-hmac
可以定义一个或多个集
!
!
-------
以下建立加密图
------
crypto map cmap1 local-address serial 0
定义加密图
cmap1
并指定
s0
为本地地址
crypto map cmap1 1 ipsec-isakmp
用序号
1
设置加密图
set peer 202.102.1.5
设定目标地址
set peer 202.102.1.6
set peer 192.168.1.1
set transform-set test1
指定转换集
match address 111
指定加密访问列表
111
中的地址
!
!
process-max-time 200
!
-------
以下设置隧道端口
------
interface Tunnel0
ip address 192.168.1.2 255.255.255.0
tunnel source 202.102.1.6
tunnel destination 202.102.1.5
crypto map cmap
!
-------
以下设置内网口
------
interface Ethernet0
ip address 10.1.2.1 255.255.255.0
!
-------
以下设置外网口
------
interface serial0
ip address 202.102.1.6 255.255.255.0
no ip mroute-cache
no fair-queue
crypto map cmap
!
ip classless
!
-------
以下建立访问列表
111------
access-list 111 permit ip host 202.102.1.5 host 202.102.1.6
access-list 111 permit ip host 202.102.1.6 host 202.102.1.5
access-list 111 permit ip 10.1.1.0 0.0.0.255 202.102.1.0 0.0.0.255
access-list 111 permit ip 10.1.2.0 0.0.0.255 202.102.1.0 0.0.0.255
access-list 111 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
access-list 111 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255
!
line con 0
line aux 0
line vty 0 4
==============================
password cisco
login
!
end
!

现在剩下的部分是测试这个
×××
的连接,并且确保通信是按照预期规划进行的。

最后一步是不要忘记保存运行配置,否则所作的一切就白费了。

 
本文出自 “ ” 博客,请务必保留此出处