CCIE-41-IPSEC-VPN的理论及配置详解（CCIE-41-IPSEC-VPN的理论及配置详解）

安全的定义包含以下：

1、私密性（加密）

A、对称秘钥算法，如凯撒密码，key加密到对方key解密，每次交换key不同，常用的DES（56位）、3DES、AES和RH4

B、非对称秘钥加密算法---接收方发送公钥给发送方，发送方使用该公钥加密，接收方使用私钥解密

RSA、Diffie-Hellman、ECC

2、完整性（确保文件没有被篡改）

一般使用HASH确保完整性，发送方通过散列函数，HASH出来一个HASH摘要，将密文和HASH摘要发送给接收方，接收方解密密文，同样做HASH，HASH出来一个HASH摘要，比对发送过来的HASH值确认完整性。 MD5长度为128位，SHA-1长度为160位

R1#verify /md5 nvram:startup-config

.MD5 of nvram:startup-config Done!

verify /md5 (nvram:startup-config) = 43b237f52e62dcb0420a57bc23849b9c

3、源认证（确保发送方不是伪装的源）

数字签名，主要用于解决源认证的问题的重要性

IPSec的组成部分：

A、 ESP （负载安全封装，端口50）协议

B、认证头（AH）协议

C、Internet秘钥交换协议（IKE）

4、不可否认性（不可否认自己发送过）

IPSec两种传输模式

1、Transport Mode 传输模式 （主机到主机）

2、Tunnel Mode 隧道模式 （站点到站点）

Tunnel Mode实例分析：

Transport Mode实例分析：

=======================================================

ESP中包含一个字段SPI，标识单向的IPSEC SA(在某个方向上加密数据）

两种SA

IKE SA（双向的）-1个(ISAKMP,互联网安全关联key管理协议，IKE SA生存时间是24小时)

IPSec SA(单向的）-2个(生存时间是1小时)

ESP包结构：

大数据库：

SPD（感兴趣流），三种处理方式：1、加密2、丢地3、旁路bypass

SADB（安全关联）

================================================

IKE第一阶段汇总：

IKE第二阶段：

点到点IPsec VPN配置：

1、前提Site1和Site2之间公网IP可达

2、两个站点有到对端通信网段的路由及本网段私网的路由可达

PC1(config)#ip route 2.2.2.0 255.255.255.0 10.1.1.10

SITE1(config)#ip route 1.1.1.0 255.255.255.0 10.1.1.1

SITE1(config)#ip route 2.2.2.0 255.255.255.0 202.100.1.10

SITE1(config)#ip route 61.128.1.0 255.255.255.0 202.100.1.10

SITE2(config)#ip route 1.1.1.0 255.255.255.0 61.128.1.10

SITE2(config)#ip route 202.100.1.0 255.255.255.0 61.128.1.10

下面进行IPsec VPN配置：

lifetime为一天，不建议修改

SITE1(config)#crypto isakmp policy 10 --配置策略，序号为10 （本地有效）

SITE1(config-isakmp)#encryption 3des ---默认DES，3DES加密更加安全

SITE1(config-isakmp)#hash md5 ---哈希MD5，默认SHA

SITE1(config-isakmp)#authentication pre-share ---认证使用预共享秘钥（需要密码）

SITE1(config-isakmp)#group 2 --默认组1，改为组2

SITE1(config)#crypto isakmp key 0 CCIE address 61.128.1.1 ---配置预共享秘钥

SITE2(config)#crypto isakmp key 0 CCIE address 202.100.1.1

以上第一阶段已经完成，配置第二阶段策略：

定义感兴趣流

SITE1(config)#ip access-list extended VPN

SITE1(config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

SITE2(config)#ip access-list extended VPN

SITE2(config-ext-nacl)#permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

配置第二阶段策略，命名为Trans esp（加密头部） 加密方式为aes 完整性校验为md5

SITE1(config)#crypto ipsec transform-set Trans esp-des esp-md5-hmac

SITE1(config)#crypto map Cry-map 10 ipsec-isakmp ---定义一个map（名称等本地有效）

SITE1(config-crypto-map)#match address VPN---关联ACL

SITE1(config-crypto-map)#set transform-set Trans--关联第二阶段的策略

SITE1(config-crypto-map)#set peer 61.128.1.1--指定对端地址

SITE1(config)#int e0/1

SITE1(config-if)#crypto map Cry-map--接口调用map

站点SITE2配置：

SITE2(config)#crypto ipsec transform-set Trans esp-des esp-md5-hmac

SITE2(config)#crypto map Cry-map 10 ipsec-isakmp

SITE2(config-crypto-map)#match address VPN

SITE2(config-crypto-map)#set transform-set Trans

SITE2(config-crypto-map)#set peer 202.100.1.1

SITE2(config)#int e 0/0

SITE2(config-if)#crypto map Cry-map

PC1可以ping通PC2 lo0 :

SITE1查看ISAKMP下：

查看IPSEC SA：

查看加密解密数据：

欢迎关注和转发，更多精彩内容下期继续分享！

,