|
|
|
|
移动端

13.1.3 站点到站点的IPSec VPN实验步骤(2)

《思科CCIE路由交换v5实验指南》本书面向广大的网络工程师及对网络感兴趣的读者,旨在帮助读者成为一名优秀的思科网络工程师,进一步成为IT界认可度最高的顶级思科CCIE工程师。思科公司推出CCIE认证已有20年,考试大纲一直在更新换代,2014年6月思科把路由交换CCIE大纲升级到版本5.0(Version 5.0)。本节为大家介绍站点到站点的IPSec VPN实验步骤。

作者:周亚军来源:电子工业出版社|2016-04-28 17:35

技术沙龙 | 4月21日多位区块链专家进行区块链技术应用场景解读!


13.1.3  站点到站点的IPSec VPN实验步骤(2)

另外一条重要的验证命令可以查看预共享密钥:

  1. show crypto isakmp key 

在Site2上做相应配置:

  1. crypto isakmp policy 10  
  2.  encr 3des  
  3.  hash md5  
  4. authentication pre-share  
  5. crypto isakmp key Cisco address 14.1.1.1  

以上内容统一称为Poposal,即提议阶段。

3.定义IKE的第二阶段(IPSec SA)

本质上之前定义的ACL,即感兴趣流(把哪些流量进行加密)称为SPD(安全策略数据库)。

  1. Site1(config)# crypto ipsec transform-set Ender esp-3des esp-md5-hmac——转换具体数据的策略。选择  
  2. 转换集为封装方式ESP(主  
  3. 流方式),其加密方式为  
  4. MD5,加密算法为3DES  
  5. Site1(cfg-crypto-trans)#mode tunnel——选择Tunnel模式(默认模式),可能不会显示  
  6. !  

在Site2做相应配置:

  1. Site2(config)#crypto ipsec transform-set Ender esp-3des esp-md5-hmac 

验证:

  1. Site1#show crypto ipsec transform-set--验证IPSec的转换集  
  2.  
  3. Transform set Ender: { esp-3des esp-md5-hmac  }--定义的IPSec转换集为Ender,并定义其方式  
  4. will negotiate = { Tunnel,  }, 

将感兴趣流和转换集做映射:

  1. Site1(config)#crypto map Ender 10 ipsec-isakmp——10为一个ID,即代表一个VPN,一个crypto map  
  2. 可以有多个VPN ID,每个ID可以和其他路由器  
  3. 的ID协商VPN,所以一个crypto map可以和多  
  4. 个路由器建立VPN  
  5. % NOTE: This new crypto map will remain disabled until a peerand a valid access list have been   
  6. configured.——此时会有一个报错,一定要指定一个对端的peer  
  7. Site1(config-crypto-map)#set peer 25.1.1.2——指定peer,为对端全局地址  
  8. Site1(config-crypto-map)#match address SITE1-SITE2——感兴趣流  
  9. Site1(config-crypto-map)#set transform-set Ender——调用转换集  
  10. !  
  11. Site2(config)#crypto map Cisco 10 ipsec-isakmp   
  12. Site2(config-crypto-map)# set peer 14.1.1.1  
  13. Site2(config-crypto-map)# set transform-set Ender   
  14. Site2(config-crypto-map)# match address 100  

调用上一步的汇总策略到接口:

  1. Site1(config)#interface ethernet 0/0  
  2. Site1(config-if)#crypto map Ender——调用crypto map,接口将用于发送加密数据流,数据发送到这  
  3. 个接口时将会由map触发加密  
  4. *Mar  1 03:49:26.299: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON  
  5. !  
  6. Site2(config)#interface Ethernet0/0  
  7. Site2(config-if)# ip address 25.1.1.2 255.255.255.0  
  8. Site2(config-if)# crypto map Cisco  

开启debug crypto isakmp/ipsec并验证:

  1. Site1#ping 192.168.1.1 source loopback0  
  2.  
  3. Type escape sequence to abort.  
  4. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:  
  5. Packet sent with a source address of 10.1.1.1   
  6.  
  7. *Mar  1 03:55:25.823: IPSEC(sa_request): ,  
  8.   (key eng. msg.) OUTBOUND local14.1.1.1, remote25.1.1.2,   
  9.     local_proxy10.1.1.0/255.255.255.0/0/0 (type=4),   
  10.     remote_proxy192.168.1.0/255.255.255.0/0/0 (type=4),  
  11.     protocolESPtransformesp-3des esp-md5-hmac  (Tunnel),   
  12.     lifedur3600s and 4608000kb,   
  13.     spi0x41A7765A(1101493850), conn_id0keysize0flags0x400A 
  14. *Mar  1 03:55:26.483: IPSEC(validate_proposal_request): proposal part #1,  
  15.   (key eng. msg.) INBOUND local14.1.1.1, remote25.1.1.2,   
  16.     local_proxy10.1.1.0/255.255.255.0/0/0 (type=4),   
  17.     remote_proxy192.168.1.0/255.255.255.0/0/0 (type=4),  
  18.     protocolESPtransformesp-3des esp-md5-hmac  (Tunnel),   
  19.     lifedur0s and 0kb,   
  20.     spi0x0(0), conn_id0keysize0flags0x2 
  21. *Mar  1 03:55:26.487: Crypto mapdb : proxy_match  
  22.         src addr     : 10.1.1.0  
  23.         dst addr     : 192.168.1.0  
  24.         protocol     : 0  
  25.         src port     : 0  
  26.         dst port     : 0  
  27. *Mar  1 03:55:26.503: IPSEC(key_engine): .!!!!  
  28. Success rate is 80 percent (4/5), round-trip min/avg/max = 56/77/112 ms  
  29. Site1#got a queue event with 2 kei messages  
  30. *Mar  1 03:55:26.503: IPSEC(initialize_sas): ,  
  31.   (key eng. msg.) INBOUND local14.1.1.1, remote25.1.1.2,   
  32.     local_proxy10.1.1.0/255.255.255.0/0/0 (type=4),   
  33.     remote_proxy192.168.1.0/255.255.255.0/0/0 (type=4),  
  34.     protocolESPtransformesp-3des esp-md5-hmac  (Tunnel),   
  35.     lifedur3600s and 4608000kb,   
  36.     spi0x41A7765A(1101493850), conn_id0keysize0flags0x2 
  37. *Mar  1 03:55:26.507: IPSEC(initialize_sas): ,  
  38.   (key eng. msg.) OUTBOUND local14.1.1.1, remote25.1.1.2,   
  39.     local_proxy10.1.1.0/255.255.255.0/0/0 (type=4),   
  40.     remote_proxy192.168.1.0/255.255.255.0/0/0 (type=4),  
  41.     protocolESPtransformesp-3des esp-md5-hmac  (Tunnel),   
  42.     lifedur3600s and 4608000kb,   
  43.     spi0xCF325020(3476181024), conn_id0keysize0flags0xA 
  44. *Mar  1 03:55:26.511: Crypto mapdb : proxy_match  
  45.         src addr     : 10.1.1.0  
  46.         dst addr     : 192.168.1.0  
  47.         protocol     : 0  
  48.         src port     : 0  
  49.         dst port     : 0  
  50. *Mar  1 03:55:26.515: IPSEC(crypto_ipsec_sa_find_ident_head): reconnecting with the same proxies  
  51.  and 25.1.1.2  
  52. *Mar  1 03:55:26.519: IPSec: Flow_switching Allocated flow for sibling 80000002   
  53. *Mar  1 03:55:26.519: IPSEC(policy_db_add_ident): src 10.1.1.0, dest 192.168.1.0, dest_port 0  
  54.  
  55. *Mar  1 03:55:26.523: IPSEC(create_sa): sa created,  
  56.   (sa) sa_dest14.1.1.1, sa_proto50,   
  57.     sa_spi0x41A7765A(1101493850),   
  58.     sa_transesp-3des esp-md5-hmac , sa_conn_id2001 
  59. *Mar  1 03:55:26.523: IPSEC(create_sa): sa created,  
  60.   (sa) sa_dest25.1.1.2, sa_proto50,   
  61.     sa_spi0xCF325020(3476181024),   
  62.     sa_transesp-3des esp-md5-hmac , sa_conn_id2002 
  63. Site1#show crypto isakmp sa——查看IPSec第一阶段产生的ISAKMP SA  
  64. dst             src             state          conn-id slot status  
  65. 25.1.1.2        14.1.1.1        QM_IDLE              1    0 ACTIVE  
  66. Site1#show crypto ipsec sa——验证第二阶段产生的IPSec SA  
  67.  
  68. interface: Ethernet0/0  
  69. Crypto map tag: Ender, local addr 14.1.1.1——本端地址  
  70.  
  71.    protected vrf: (none)  
  72.    local  ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)  
  73.    remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)——本端和对端感兴趣流  
  74. current_peer 25.1.1.2 port 500——ESP端口号500  
  75.      PERMIT, flags={origin_is_acl,}  
  76.     #pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9  
  77.     #pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9——加/解密的报文数  
  78.     #pkts compressed: 0, #pkts decompressed: 0  
  79.     #pkts not compressed: 0, #pkts compr. Failed: 0  
  80.     #pkts not decompressed: 0, #pkts decompress failed: 0  
  81.     #send errors 1, #recv errors 0  
  82.  
  83. Local crypto endpt.: 14.1.1.1, remote crypto endpt.: 25.1.1.2——本端和对端的加密点  
  84.      path mtu 1500, ip mtu 1500  
  85.      current outbound spi: 0xCF325020(3476181024)  
  86.  
  87. inbound esp sas: ——IPSec SA是单向的,此处为入方向的IPSec SA  
  88.       spi: 0x41A7765A(1101493850) ——本端的入方向SPI等同于对端的出方向SPI  
  89.         transform: esp-3des esp-md5-hmac ,  
  90.         in use settings ={Tunnel, }  
  91.         conn id: 2001, flow_id: SW:1, crypto map: Ender  
  92.         sa timing: remaining key lifetime (k/sec): (4396397/3004)  
  93.         IV size: 8 bytes  
  94.         replay detection support: Y  
  95.         Status: ACTIVE  
  96.  
  97.      inbound ah sas:  
  98.  
  99.      inbound pcp sas:  
  100.  
  101.      outbound esp sas:  
  102.       spi: 0xCF325020(3476181024)  
  103.         transform: esp-3des esp-md5-hmac ,  
  104.         in use settings ={Tunnel, }  
  105.         conn id: 2002, flow_id: SW:2, crypto map: Ender  
  106.         sa timing: remaining key lifetime (k/sec): (4396397/3003)  
  107.         IV size: 8 bytes  
  108.         replay detection support: Y  
  109.         Status: ACTIVE  
  110.  
  111.      outbound ah sas:  
  112.  
  113.      outbound pcp sas:  
  114. Site1#show crypto engine connections active   
  115.  
  116.   ID Interface            IP-Address      State  Algorithm Encrypt  Decrypt  
  117.    1 Ethernet0/0          14.1.1.1        set    HMAC_MD5+3DES_56_C        0        0  
  118.    ——IKE的SA  
  119. 2001 Ethernet0/0          14.1.1.1        set    3DES+MD5                    0        4  
  120. ——IPSec SA的解密的报文数  
  121. 2002 Ethernet0/0          14.1.1.1        set    3DES+MD5                    4        0  
  122. ——IPSec SA的加密报文数(4)  


喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

视频课程+更多

非常好的 C++入门 视频课程

非常好的 C++入门 视频课程

讲师:鲍松山91452人学习过

EasyUI+S2SH+MySQL 在线商城系统_上 [精讲大项目]

EasyUI+S2SH+MySQL 在线商城系统_上 [精讲大

讲师:大头娃228043人学习过

C语言程序设计

C语言程序设计

讲师:谭科51794人学习过

读 书 +更多

嬴在用户:Web人物角色创建和应用实践指南

您如何保证您的网站确实给予用户他们所需要的,并对您产生商业成果?您需要了解谁是您的用户,您的用户的目标、行为和观点是什么,还要把他...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊