安全第三天L2L高級特性

L2L高級特性郭CCIE

RS/Security/Denter第一天：加密學(xué)與IPSec基本原理第二天：IKEv1、L2L實例第三天：L2L-第四天：IPSec第五天：IPSec高級特性網(wǎng)絡(luò)穿越問題高可用性技術(shù)第六天：傳統(tǒng)的VPDN技術(shù)第七天：DM第八天：GRT第九天：EZ第十天：SSL技術(shù)技術(shù)技術(shù)和ASA策略拓撲技術(shù)L2L

高級特性ISAKMP

ProfileISAKMP

Profile

QOS運用ISAKMP

Profile

認證管理ISAKMP

Profile

VRF

運用動態(tài)地址

解決方案動態(tài)MAP

VS

靜態(tài)MAP動態(tài)

解析技術(shù)介紹EZ

完美解決方案NAT對

的影響SVTI技術(shù)介紹ISAKMP

ProfileISAKMP

ProfileISAKMP

Profile:ISAKMP參數(shù)到IPSEC隧道（第一階段策略到第二階段策略），ISAKMP

Profile主要運用于VRF認證管理、IPSec/QOS配置----解決一個站點和多個站點，建立多種類型的時候。普遍運用于一個設(shè)備和不同站點配置多個IPSec隧道，并且每個站點需要不同第一階段策略的場合。、ISAKMP

Profilematch

identity:EZ

可以匹配groupL2L可以匹配IP

address認證可以匹配的全FQDNISAKMP

Profile

示意圖ISAKMP

Profile

1Step1

：匹配遠端設(shè)備match

identity

addressSite1

IPaddressStep2：

認證方式Keyring

Site1keyStep3：高級策略（可選）QOSISAKMP

Profile

2Step1

：匹配遠端設(shè)備matchmap

ciscoStep2：

認證方式CA

trust-pointStep3：高級策略（可選）VRFISAKMP

Profile3Step1

：匹配遠端設(shè)備

match

identity

groupSite1

IPaddressStep2：

認證方式AAA

listStep3：高級策略（可選）keepaliveCenterSite1Site2Site3ISAKMP

Profile

工作流程圖eIKEPhase1policyPhase1.5policyPhase2DATAeIKEPhase1policyPhase1.5policyPhase2ISAKMPProfile實驗拓撲Site1Site2INTERNET實驗需求：Site1用傳統(tǒng)的配置方式Site2用ISAKMP

Profile的方式/2461.128.1

0/24/24/24crypto

isakmp

policy

10encr

3deshash

md5

authentication

pre-sharegroup

2crypto

isakmp

key

cisco

address

crypto

ipsec

transform-set

Tran

esp-des

esp-md5-hmacmode

tunnelcrypto

map

crymap

10

ipsec-isakmpset

peer

set

transform-set

Tranmatch

addressinterface

Ethernet0/1crypto

map

crymapcrypto

keyring

L2Lkeypre-shared-key

address

key

ciscocrypto

isakmp

policy

10encr

3deshash

md5authentication

pre-sharegroup

2crypto

isakmp

profile

isaprofkeyring

L2Lkeymatch

identity

address

55crypto

ipsec

transform-set

Tran

esp-des

esp-md5-hmacmode

tunnelcrypto

map

crymap

10

ipsec-isakmpset

peer

set

transform-set

Transet

isakmp-profile

isaprofmatch

addressISAKMP

Profile

QOS運用Centercrypto

isakmp

profileQOSkeyring

L2Lkeymatch

identity

address

255.255

255.255qos-group

2class-mapmatch-all

QOS-Trafficmatch

qos-group

2policy-map

Markclass

QOS-Trafficset

ip

dscp

2interface

FastEthernet0/1ip

address

service-policy

output

MarkISAKMP

Profile認證管理匹配特定crypto

pkimap

cert.control

10issuer-name

eq

cn

=

ca.atom. ,

o

=atom,

ou

=

atomguocryptoisakmp

identity

dn（激活I(lǐng)OS發(fā)送DN，非常重要）crypto

isakmp

profile

isaprofca

trust-point

CAmatch

cert.control

（調(diào)用cert

map控制建立）ISAKMP

Profile

VRF運用crypto

isakmp

profile

VRFkeyring

L2LkeyMatch

identityaddress

55Vrf

Site1實現(xiàn)功能：不同站點發(fā)過來的數(shù)據(jù)后放到不一樣的VRF中動態(tài)地址解決方案動態(tài)MAP

VS

靜態(tài)MAP適用場合：中心是固定IP地址但是分支不是固定的IP地址的情況，如果都是CISCO設(shè)備不建議采用這個方案，建議使用EZ 來解決。如果不都是CISCO設(shè)備這是唯一的解決方案。例如中心是CISCO產(chǎn)品，分支采用的是D-LINK 產(chǎn)品，并且D-LINK沒有固定的IP地址。實驗拓撲CenterSite1INTERNET實驗需求：Site1通過DHCP獲取地址Center是固定IP地址DHCP獲取IP注意：中心站點無法主動發(fā)起

流量，必須由分支站點主動觸發(fā)

感

的流，中心和分支才能正常通信；沒有虛擬隧道接口不能運行動態(tài)路由協(xié)議。/2461.128.1

0/24/24/24crypto

isakmp

policy

10encr

3deshash

md5

authentication

pre-sharegroup

2crypto

isakmp

key

cisco

address

crypto

ipsec

transform-set

Tran

esp-des

esp-md5-hmacmode

tunnelcrypto

dynamic-map

dymap

10set

transform-set

Tran（感

流和PEER不用做）crypto

map

crymap

1000

ipsec-isakmp

dynamic

dymapinterface

Ethernet0/1crypto

map

crymapcrypto

isakmp

policy

10encr

3deshash

md5

authentication

pre-sharegroup

2crypto

isakmp

key

cisco

address

crypto

ipsec

transform-set

Tran

esp-des

esp-md5-hmacmode

tunnelcrypto

map

crymap

19

ipsec-isakmpset

peer

set

transform-set

Tranmatch

addresscrypto

map

crymapDHCP獲取IP動態(tài)

解析技術(shù)適用場合：中心和分支都是動態(tài)獲取IP地址；也可以解決上面技術(shù)的中心站點無法主動發(fā)起

流量的缺點。Site1配置命令ip

ddns

update

method

mytestHTTPadd

http://用戶名：

@<s>/nic/update?system=dyndns&hostname=<h>&myip=<a>exitinterval

max

01

0

0interface

dialer1ip

ddns

update

hostname的ip

ddns

update

mytest

host

服務(wù)提供商的名字動態(tài)解析技術(shù)（續(xù)）Center配置命令ip

name-server

（配置路由器解析

的DNS服務(wù)器）Cry

isakey

0

cisco

Cry

isa

key

0

cisco

（設(shè)置Site段可能獲取的網(wǎng)段，也可以用）Cry

map

cisco

5ipsec-isakmpset

peerdynamic

set

tra

ciscomat

addEZ

完美解決方案后面介紹NAT對

的影響實驗拓撲Site1Site2INTERNET這里實驗需求：加密點做NAT對 的影響兩個Site都做NAT出去/2461.128.1

0/24NATNATSite1INTERNE/24/24crypto

isakmp

policy

10encr

3deshash

md5

authentication

pre-sharegroup

2crypto

isakmp

key

cisco

address

crypto

ipsectransform-set

Tran

esp-des

esp-md5-hmacmode

tunnelcrypto

dynamic-map

dymap

10settransform-set

Tran（感

流和PEER不用做）crypto

map

crymap

1000ipsec-isakmp

dynamicdymapinterface

Ethernet0/1crypto

map

crymapip

access-list

extended

natdeny

ip

55

55permit

ip

55

anySite2crypto

isakmp

policy

10encr

3deshash

md5

authentication

pre-sharegroup

2crypto

isakmp

key

cisco

address

crypto

ipsec

transform-set

Tran

esp-des

esp-md5-hmacmode

tunnelcrypto

map

crymap

19

ipsec-isakmpset

peer

set

transform-set

Tranmatch

addresscrypto

map

crymapip

access-list

extended

natdeny

ip

55

55permit

ip

55

anyip

access-list

extendedpermit

ip

55

55DHCP獲取IP測試分析結(jié)果分析：出方向先NAT后加密；進方向先

后NAT回去解決方法：做NAT時候，把感

流DENY，不做NATP#Type

esc sequence

to

abort.Sending

5,100-byte

ICMP

Echos

to

,

timeout

is

2

seconds:U*Dec

19

08:02:43.021:ICMP:

dst

()

host

unreachable

rcv

from

0

.U*Dec

19

08:02:45.024:

ICMP:

dst

()

host

unreachable

rcv

from

0

.USuccess

rate

is

0

percent

(0/5)P#*Dec

19

08:02:47.029:

ICMP:

dst

()

host

unreachable

rcv

from

0VTI技術(shù)介紹VTI技術(shù)介紹適用場合：IPSec

VTI技術(shù)允許

配置一個虛擬隧道接口，

可以運用各種特性到這個接口上，控制明文的特性應(yīng)該被配置到VTI接口上，控制密文的特性應(yīng)該被配置到物理接口上。當使用IPSec

VTI

技術(shù)，

可以對明文和加密后的流量分開做N

L和QOS等特性。如果

運用傳統(tǒng)的cryptomap技術(shù)，沒有一種簡單的方法來運用這些加密特性到IPSec隧道。一共有兩種類型的VTI接口，一種是靜態(tài)的VTI（SVTI），一種是動態(tài)的VTI（DVTI），相對于傳統(tǒng)的cryptomap的優(yōu)勢在于可以在隧道口上運用動態(tài)路由協(xié)議，并且不

需要額外的4個字節(jié)的GRE頭部，降低了發(fā)送加密數(shù)據(jù)的帶寬。

SVTI用于L2L-DVTI用于

撥號實驗拓撲Site1Site2INTERNET實驗需求：區(qū)別傳統(tǒng)的L2L-

，配置新的SVTI模式的L2L-SVTI/24/24LO0/24LO0/24

/24/24crypto

isakmp

policy

10encr

3deshash

md5authentication

pre-sharegroup

2