crypto isakmp key maipu address 1.1.1.3
路由器上的调试命令:
如果是telnet登录到路由器上,执行ter monitor命令。然后打开调试开关
以下是两端成功的协商信息。
注意:如果中途协商失败,两端需要执行clear crypto sa命令来清除当前SA的状态以便于重新协商。
几个与IPSec相关的show命令:
show crypto isakmp policy:查看路由器上已经配置了那些policy;
show crypto isakmp connection :查看路由器上已经存在的isakmp 连接数;
show crypto isakmp identity:查看路由器上的身份标识方式;
show crypto ipsec sa;查看路由器上已经存在的IPSec SA;该命令比较重要,有时候通过该命令来判断IPSec SA是否已经建立成功。
Show crypto ipsec transform-set:查看路由器上已经配置的变换集合。
案例2:路由器与路由器之动态加密映射
网络拓扑如图所示:
网络拓扑2
下面简单说明其配置步骤:
IKE的配置与前述的配置步骤一样,主要是IPSec的配置有些差异。动态加密映射是不需要配置所要保护的数据流。因此,步骤四:配置变换集合;步骤五:配置动态加密映射(在路由器上的命令是:crypto dynamic-map);步骤六:配置一个静态加密映射,将其与动态加密映射关联起来;步骤七:在接口上应用步骤六中配置的静态加密映射,此处不能也无法应用动态加密映射;
配置规划:MP803所挂接的局域网当需要和总部通信的时候(源:192.168.2.0/24;目的:192.168.1.0/24),应该走VPN隧道,这也是我们要保护的数据流,对于其他的数据流,例如局域网中的主机上网的数据流,应该是走NAT(源:192.168.2.0/24;目的:any),很明显,这两个数据流是包含的关系,路由器的处理顺序是先进行NAT转换,到了接口后再匹配VPN隧道。因此在配置NAT的数据流的时候,先要deny掉该上总部内网的数据流。
具体配置脚本:
=================================================================
MP803:ADSL拨号,同时实现上网和走NAT
=================================================================
hostname MP803
enable password [WOWWWNXSX encrypt
no service password-encrypt
no service enhanced-secure
ip tcp timestamp
//定义要保护的数据流
ip access-list extended 1001
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
exit
//定义该数据流走NAT上网,为了避免走内网的数据流也“上网”去了,
//先deny该数据流
ip access-list extended 1002
deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 192.168.2.0 0.0.0.255 any
exit
dialer-list 1 protocol ip permit
//配置NAT
ip nat inside source list 1002 interface dialer0 overload
crypto isakmp policy 1
encryption des
hash sha
authentication pre-share
group 2
lifetime 28800
exit
crypto isakmp key maipu address 1.1.1.3
crypto ipsec transform-set tr1 esp-des ah-md5-hmac
mode tunnel
exit
crypto map map1 1001 ipsec-isakmp
match address 1001
set peer 1.1.1.3
set transform-set tr1
set security-association lifetime seconds 28800
set security-association lifetime kilobytes 4608000
exit
interface loopback0
exit
//拨号配置,map是应用到本虚拟接口
interface dialer0
ip address negotiated
dialer pool 1
dialer-group 1
encapsulation ppp
ppp pap sent-username 01234mp@169 password 01234mp
mtu 1492
ip nat outside
crypto map map1
exit
interface fastethernet0
ip address 192.168.2.1 255.255.255.0
ip nat inside
exit
//物理接口配置
interface atm0
pvc 1/33
encapsulation aal5snap
pppoe-client dial-pool-number 1
no ip route-cache
no cdp enable
exit
ip route 0.0.0.0 0.0.0.0 dialer0
=======================================================
MP2600A:配置动态加密映射
=======================================================
MP2600A#sh running-config
Building Configuration...done
Current configuration...
version 2.24.8
hostname MP2600A
enable password [WOWWWNXSX encrypt
no service password-encrypt
no service enhanced-secure
ip tcp timestamp
//步骤四:配置变换集合,定义数据加密所使用的算法和安全协议
crypto ipsec transform-set tr1 esp-des esp-md5-hmac
mode tunnel
exit
//步骤五:配置动态加密映射
crypto dynamic-map dmap1 1 ipsec-isakmp
set transform-set tr1
set security-association lifetime seconds 28800
set security-association lifetime kilobytes 4608000
exit
//步骤六:配置静态加密映射,与该动态加密映射关联起来
crypto map map1 1 ipsec-isakmp dynamic-map dmap1
interface fastethernet0
ip address 1.1.1.3 255.255.255.0
//步骤七:将静态加密映射应用到接口上去.
crypto map map1
exit
interface ethernet0
ip address 192.168.1.1 255.255.255.0
exit
ip route 0.0.0.0 0.0.0.0 1.1.1.1
//步骤1:配置IKE的policy
crypto isakmp policy 1
encryption des
hash sha
authentication pre-share
group 1
lifetime 86400
exit
//步骤2:配置预共享密钥,由于下端是动态IP地址,因此配置地址为any
//删除该预共享密钥的命令是no crypto isakmp key hostname any
crypto isakmp key maipu any
注意:在完成配置,进行数据流触发的时候,需要注意的是要保证ADSL拨号能够获取到IP地址,在下端路由器上能够ping通上端路由器。
案例3:VPN与VPN互通
网络拓扑如图所示:
网络拓扑3
需求:两台VPN3020,都有固定的公网IP地址,现在需要构建VPN,保护在两台VPN3020后面的网络。使PC1能够访问到PC2。
规划:使用IKE自动协商密钥,policy的参数设置,加密算法为des、验证算法为md5,认证方式为预共享、D-H组为group 1;身份标识为IP地址,以IP地址作来标识预共享密钥;变换集合参数设置,隧道模式为tunnel、协议-算法为esp-des、esp-md5;启用pfs,group组为group2。
配置注意事项:
ü 避免配置所要保护的数据流为any到any。首先是在实际使用过程中,不会有这样的需求,其次,这样会让很多本来不需要加密的通信无法通信。并且,VPN3020上目前也不支持配置的数据流为any到any。
ü VPN3020本身带有FW520的所有功能,其默认转发策略是deny,因此,需要打开其策略。避免内网的数据无法通过VPN访问外面。
ü 由于VPN3020实现上的一个缺陷,使得在每次更改接口的IP地址的时候,需要重起IPSec服务(不是重起设备),而重起IPSec服务会造成有关IPSec的配置都丢失,因此,或者在配置好接口地址后,重起IPSec的服务,进行IPSec的配置;或者将IPSec的配置copy到记事本上,然后重起IPSec服务后,粘贴进去。
ü 配置完成或者更改后,需要激活加密映射(用active map命令)
更多内容请看PCdog.com--VPN技术 win98使用技巧专题
