科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道VPN实例配置方案-中文详细注解二

VPN实例配置方案-中文详细注解二

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

IPSec 使用加密、数据完整性、源发鉴别以及拒绝重演分组来保护和认证网络层对等端之间的IP分组 保密图(crypto map)连接了保密访问列表,确定了远程对等端、本地地址、变换集和协商方法。

作者:中国IT实验室 2007年9月18日

关键字: VPN 虚拟专用网 SSL VPN IPSecVPN

  • 评论
  • 分享微博
  • 分享邮件

 3、(rsa-sig)使用证书授权(CA)

(1)确保路由器有主机名和域名

  

  (global)hostname hostname

  (global)ip domain-name domain

  

  (2)产生RSA密钥

  

  (global)crypto key generate rsa

  

  (3)使用向IPSec对等端发布证书的CA

  

  --设定CA的主机名

  (global)crypto ca identity name

  --设定联络CA所使用的URL

  (ca-identity)enrollment url url

  URL应该采用http://ca-domain-nameort/cgi-bin-location的形式

  --(可选)使用RA模式

  (ca-identity)enrollment mode ra

  (ca-identity)query url url

  --(可选)设定注册重试参数

  (ca-identity)enrollment retry period minutes

  (ca-identity)enrollment retry count number

  minutes(1到60;默认为1) number(1到100;默认为0,代表无穷次)

  --(可选)可选的证书作废列表

  (ca-identity)crl optional

  

  (4)(可选)使用可信的根CA

  

  --确定可信的根CA

  (global)crypto ca trusted-root name

  --(可选)从可信的根请求CRL

  (ca-root)crl query url

  --定义注册的方法

  (ca-root)root {CEP url | TFTP server file | PROXY url}

  

  (5)认证CA

  

  (global)crypto ca authenticate name

  

  (6)用CA注册路由器

  

  (global)crypto ca enroll name

  

  4、(rsa-encr)手工配置RSA密钥(不使用CA)

  

  (1)产生RSA密钥

  

  (global)crypto key generate rsa

  

  (2)指定对等端的ISAKMP标识

  

  (global)crypto isakmp identity {address | hostname}

  

  (3)指定其他所有对等端的RSA密钥

  

  --配置公共密钥链

  (global)crypto key pubkey-chain rsa

  

  --用名字或地址确定密钥

  (pubkey-chain)named-key key-name [encryption | signature]

  (pubkey-chain)addressed-key key-name [encryption | signature]

  

  --(可选)手工配置远程对等端的IP地址

  (pubkey-key)address ip-addr

  

  --指定远程对等端的公开密钥

  (pubkey-key)key-string key-string

  

  5、(preshare)配置预共享密钥

  

  (global)crypto isakmp key key-string {addrss | hostname} {peer-address | peer-hostname}

  注释:返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址,即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似

  

  6、(可选)使用IKE模式

  

  (1)定义要分发的“内部”或者受保护IP地址库

  

  (global)ip local pool pool-name start-address end-address

  

  (2)启动IKE模式协商

  

  (global)crypto isakmp client configuration address-pool local pool-name

  

  --------------IPSec配置----------------

  

  IPSec 使用加密、数据完整性、源发鉴别以及拒绝重演分组来保护和认证网络层对等端之间的IP分组

  

  IPSec对于构建内因网、外因网以及远程用户接入VPN来说非常有用处

  

  IPSec支持以下标准

  

  --Internet协议的安全体系结构

  --IKE(Internet密钥交换)

  --DES(数据加密标准)

  --MD5

  --SHA

  --AH(Authentication Header,认证首部)数据认证和反重演(anti-reply)服务

  --ESP(Encapsulation Security Payload,封装安全净荷)数据隐私、数据验证以及反重演(anti-reply)服务

  

  敏感流量由访问列表所定义,并且通过crypto map(保密图)集被应用到接口上。

  

  配置

  

  1、为密钥管理配置IKE

  

  2、(可选)定义SA的全局生命期

  

  (global)crypto ipsec security-association lifetime seconds seconds

  (global)crypto ipsec security-association lifetime killobytes kilobytes

  

  3、定义保密访问列表来定义受保护的流量

  

  (global)access-list access-list-number ....

  或者

  (global)ip access-list extended name

  扩展的访问列表必须定义由IPSec保护哪种IP流量。保密图(crypto map)援引这个访问列表来确定在接口上要保护的流量。

  

  4、定义IPSec交换集

  

  (1)创建变换集

  

  (global)crypto ipsec transform-set name [transform1 | transform2 | transform3]

  可以在一个保密图(crypto map)中定义多个变换集。如果没有使用IKE,那么只能定义一种变换集。用户能够选择多达三种变换。

  (可选)选择一种AH变换

  --ah-md5-hmac

  --ah-sha-hmac

  --ah-rfc-1828

  (可选)选择一种ESP加密编号

  --esp-des

  --esp-3des

  --esp-rfc-1829

  --esp-null

  以及这些验证方法之一

  --esp-md5-hmac

  --esp-sha-hmac

  (可选)选择IP压缩变换

  --comp-lzs

  

  (2)(可选)选择变换集的模式

  

  (crypto-transform)mode {tunnel | transport}

  

  5、使用IPSec策略定义保密映射

  

  保密图(crypto map)连接了保密访问列表,确定了远程对等端、本地地址、变换集和协商方法。

  

  (1)(可选)使用手工的安全关联(没有IKE协商)

  

  --创建保密图

  (global)crypto map map-name sequence ipsec-manual

  

  --援引保密访问列表来确定受保护的流量

  (crypto-map)match address access-list

  

  --确定远程的IPSec对等端

  (crypto-map)set peer {hostname | ip_addr}

  

  --指定要使用的变换集

  (crypto-map)set transform-set name

  变换集必须和远程对等端上使用的相同

  

  --(仅适用于AH验证)手工设定AH密钥

  (crypto-map)set session-key inbound ah spi hex-key-data

  (crypto-map)set session-key outbound ah spi hex-key-data

  

  --(仅适用于ESP验证)手工设定ESP SPI和密钥

  (crypto-map)set session-key inbound ah spi hex-key-data [authenticator hex-key-data]

  (crypto-map)set session-key outbound ah spi hex-key-data [authenticator hex-key-data]

  

  (2)(可选)使用IKE建立的安全关联

  

  --创建保密图

  (global)crypto map map-name sequence ipsec-isakmp

  

  --援引保密访问列表来确定受保护的流量

  (crypto-map)match address access-list

  

  --确定远程的IPSec对等端

  (crypto-map)set peer {hostname | ip_addr}

  

  --指定要使用的变换集

  (crypto-map)set transform-set name

  变换集必须和远程对等端上使用的相同

  

  --(可选)如果SA生命期和全局默认不同,那么定义它:

  (crypto-map)set security-association lifetime seconds seconds

  (crypto-map)set security-association lifetime kilobytes kilobytes

  

  --(可选)为每个源/目的主机对使用一个独立的SA

  (crypto-map)set security-association level per-host

  

  --(可选)对每个新的SA使用完整转发安全性

  (crypto-map)set pfs [group1 | group2]

  

  (3)(可选)使用动态安全关联

  

  --创建动态的保密图

  (global)crypto dynamic-map dyn-map-name dyn-seq-num

  

  --(可选)援引保密访问列表确定受保护的流量

  (crypto-map)match address access-list

  

  --(可选)确定远程的IPSec对等端

  (crypto-map)set peer {hostname | ip_addr}

  

  --(可选)指定要使用的变换集

  (crypto-map)set transform-set tranform-set-name

  

  --(可选)如果SA生命期和全局默认不同,那么定义它:

  (crypto-map)set security-association lifetime seconds seconds

  (crypto-map)set security-association lifetime kilobytes kilobytes

  

  --(可选)对每个新的SA使用完整转发安全性

  (crypto-map)set pfs [group1 | group2]

  

  --将动态保密图集加入到正规的图集中

  (global)crypto map map-name sequence ipsec-isakmp dynamic dyn-map-name [discover]

  

  --(可选)使用IKE模式的客户机配置

  (global)crypto map map-name client configuration address [initiate | respond]

  

  --(可选)使用来自AAA服务器的预共享IKE密钥

  (global)crypto map map-name isakmp authorization list list-name

  

  6、将保密映射应用到接口上

  

  (1)指定要使用的保密映射

  

  (interface)crypto map map-name

  

  (2)(可选)和其他接口共享保密映射

  

  (global)crypto map map-name local-address interface-id

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章