|
|
51CTO旗下网站
|
|
移动端

13.1.3 站点到站点的IPSec VPN实验步骤(1)

《思科CCIE路由交换v5实验指南》本书面向广大的网络工程师及对网络感兴趣的读者,旨在帮助读者成为一名优秀的思科网络工程师,进一步成为IT界认可度最高的顶级思科CCIE工程师。思科公司推出CCIE认证已有20年,考试大纲一直在更新换代,2014年6月思科把路由交换CCIE大纲升级到版本5.0(Version 5.0)。本节为大家介绍站点到站点的IPSec VPN实验步骤。

作者:周亚军来源:电子工业出版社|2016-04-28 17:30

【51CTO技术沙龙】10月27日,让我们共同探索AI场景化应用实现之道

13.1.3  站点到站点的IPSec VPN实验步骤(1)

1.基本配置,完成两个站点的路由

实验的重点在于加密点(R1和R2)的路由问题。

(1)通信点有去往对端通信点的路由。

(2)加密点至少需要3条路由。

① 去往对端加密点;

② 去往对端通信点;

③ 以上两条路由可以用静态路由默认代替;

④ 去往本端通信点。

(3)互联网设备解决加密点路由问题。

  1. Site1:  
  2. Site1(config)#ip route 0.0.0.0 0.0.0.0 e0/0 14.1.1.4——默认路由指向SP,在这里必须明确,本设备作  
  3. 为加密设备需要有去往通信点(192.168.1.0/24)  
  4. 的路由,因为只有如此才能找到正确的出接口,  
  5. 否则会丢弃报文,默认路由包含了这点,这一点  
  6. 非常重要;当然该路由包含了去往对端加密点  
  7. (25.1.1.5)的路由;另外,此处还应该解决去往  
  8. 本地通信点的路由(10.1.1.0/24,该路由已经通  
  9. 过直连解决,其他情况需要仔细考虑)  
  10. Site2:  
  11. Site2(config)#ip route 0.0.0.0 0.0.0.0 e0/0 25.1.1.5——Site2同Site1操作  

R4和R5用BGP模拟两个SP。

R4的配置:

  1. router bgp 100  
  2.  no synchronization  
  3.  bgp log-neighbor-changes  
  4. network 14.1.1.0 mask 255.255.255.0——通告直连路由,使得两个站点可以通信  
  5.  neighbor 45.1.1.5 remote-as 200  
  6. no auto-summary  

R5的配置:

  1. router bgp 200  
  2.  no synchronization  
  3.  bgp log-neighbor-changes  
  4. network 25.1.1.0 mask 255.255.255.0——通告直连路由,使得两个站点可以通信  
  5. network 45.1.1.0 mask 255.255.255.0  
  6.  neighbor 45.1.1.4 remote-as 100  
  7. no auto-summary  

验证两个站点的路由情况:

  1. Site2#ping 14.1.1.1  
  2.  
  3. Type escape sequence to abort.  
  4. Sending 5, 100-byte ICMP Echos to 14.1.1.1, timeout is 2 seconds:  
  5. !!!!!  
  6. Success rate is 100 percent (5/5), round-trip min/avg/max = 16/54/76 ms  

配置感兴趣流,用ACL定义感兴趣流(即私有网段),此实验中用两个设备的环回口来模拟LAN,这些数据包将做加密处理。

  1. Site1(config)#ip access-list extended SITE1-SITE2  
  2. Site1(config-ext-nacl)#permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255 

在Site 2定义相应ACL:

  1. Site2(config)#ip access-list extended 100  
  2. Site2(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255  

2.定义IKE第一阶段

  1. Site1(config)#crypto isakmp policy 10——定义IKE第一阶段的isakmp策略  
  2. Site1(config-isakmp)#authentication pre-share——IKE第一阶段5~6个包,定义认证方式为预共享密  
  3. 钥方式,默认为数字签名  
  4. Site1(config)#crypto isakmp key Cisco address 25.1.1.2——预共享密钥的密码为Cisco,地址为对端的  
  5. 全局地址  

验证:

  1. Site1#show crypto isakmp policy  
  2.  
  3. Global IKE policy  
  4. Protection suite of priority 10  
  5. encryption algorithm:   DES - Data Encryption Standard (56 bit keys) ——默认的加密算法为56位的DES  
  6.         hash algorithm:         Secure Hash Standard——默认的HASH方式为SHA  
  7.         authentication method:  Pre-Shared Key——认证方式为预共享密钥  
  8.         Diffie-Hellman group:   #1 (768 bit) ——默认组1,长度为728位  
  9.         lifetime:               86400 seconds, no volume limit  
  10. Default protection suite  
  11.         encryption algorithm:   DES - Data Encryption Standard (56 bit keys).  
  12.         hash algorithm:         Secure Hash Standard  
  13.         authentication method:  Rivest-Shamir-Adleman Signature  
  14.         Diffie-Hellman group:   #1 (768 bit)  
  15.         lifetime:               86400 seconds, no volume limit  

自定义HASH方式为MD5,自定义加密算法为3DES。

  1. Site1(config)#crypto isakmp policy 10  
  2. Site1(confg-isakmp)#hash md5——IKE数据包完整性校验的散列算法,HASH算法为MD5,也可以  
  3. 定义为SHA(默认),前者为128位,后者是160位,但是两者的  
  4. 算法不一样,不能以位的多少来决定好坏,HASH算法用于保证  
  5. 数据的完整性和认证  
  6. Site1(config-isakmp)#encryption 3des——IKE数据包加密算法使用3DES,默认为DES  

验证:

  1. Site1#show crypto isakmp policy   
  2.  
  3. Global IKE policy  
  4. Protection suite of priority 10  
  5. encryption algorithm:   Three key triple DES  
  6.         hash algorithm:         Message Digest 5  
  7.         authentication method:  Pre-Shared Key  
  8.         Diffie-Hellman group:   #1 (768 bit)  
  9.         lifetime:               86400 seconds, no volume limit  
  10. Default protection suite  
  11.         encryption algorithm:   DES - Data Encryption Standard (56 bit keys).  
  12.         hash algorithm:         Secure Hash Standard  
  13.         authentication method:  Rivest-Shamir-Adleman Signature  
  14.         Diffie-Hellman group:   #1 (768 bit)——Deffie-Hellman组,不同组的长度不同  
  15.         lifetime:               86400 seconds, no volume limit  


喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

计算机网络安全

本书从计算机网络安全的概念入手,分析了单机节点、单一网络、互联网络和开放互联网络的基本安全问题,并对计算机网络安全体系架构和安全机...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊