如何配置預(yù)共享密鑰的IPSecVPN

..如何配置預(yù)共享密鑰的IPSecVPN今天我們來在cisco路由器上配置一下基于預(yù)共享密鑰的IPSecVPN網(wǎng)絡(luò)。首先我們來了解一下什么是VPN？簡(jiǎn)單的說,VPN是一種通過Internet或公共網(wǎng)絡(luò)受保護(hù)的鏈接。由VPN組成的"線路"并不是物理存在的,而是通過技術(shù)手段模擬出來的,既是"虛擬"的。不過這種虛擬的專用網(wǎng)絡(luò)技術(shù)卻可以在公用線路中為兩臺(tái)計(jì)算機(jī)建立一個(gè)邏輯上的專用"通道",它具有良好的保密和不受干擾性使雙方能進(jìn)行自由而安全的點(diǎn)對(duì)點(diǎn)的連接。VPN相比較專線網(wǎng)絡(luò)的優(yōu)勢(shì)：連接可靠,可保證數(shù)據(jù)傳輸?shù)陌踩浴＠霉簿W(wǎng)絡(luò)進(jìn)行信息通訊,可降低成本,提高網(wǎng)絡(luò)資源利用率．支持用戶實(shí)時(shí)、異地接入,可滿足不斷增長(zhǎng)的移動(dòng)業(yè)務(wù)需求。支持QoS功能,可為VPN用戶提供不同等級(jí)的服務(wù)質(zhì)量保證。防止數(shù)據(jù)在公網(wǎng)傳輸中被竊聽防止數(shù)據(jù)在公網(wǎng)傳輸中被篡改可以驗(yàn)證數(shù)據(jù)的真實(shí)來源成本低廉〔相對(duì)于專線、長(zhǎng)途撥號(hào)應(yīng)用靈活、可擴(kuò)展性好。本次試驗(yàn)的拓?fù)鋱D如下：路由器的端口連接圖如下:Router1F0/1<---->Router2F0/1Router1F0/0<---->pc1Router2F0/0<---->pc2一、路由基本配置R1:Router>enRouter#conftRouter<config>#hostnamer1r1<config>#intf0/1r1<config-if>#ipaddr202.106.1.1255.r1<config-if>#noshutr1<config-if>#exitr1<config>#intf0/0r1<config-if>#noshutr1<config-if>#exit在路由器一上配置靜態(tài)路由。目標(biāo)網(wǎng)段+子網(wǎng)掩碼+下一跳IP地址。這里配置其他的路由協(xié)議也可以,比如：ospf、rip、eigrp等等。r1<config>#iproute192.168.10.0255.255.255.0202.106.1.2r1<config>#exit接下來我們來對(duì)路由二進(jìn)行一下基本配置。F0/1是連接外網(wǎng)的端口,IP地址為202.106.1.2F0/0是連接內(nèi)網(wǎng)的,IP地址為192.168.10.1。最后配置一下靜態(tài)路由,目標(biāo)網(wǎng)段+子網(wǎng)掩碼+下一跳IP地址R2:Router>enRouter#conftRouter<config>#hostnamer2r2<config>#intf0/1r2<config-if>#ir2<config-if>#noshutr2<config-if>#exitr2<config>#intf0/0r2<config-if>#noshutr2<config-if>#exitr2<config>#exit路由器的基本配置步驟完成后,我們用命令showiproute來查看一下路由表的信息。發(fā)現(xiàn)路由一已經(jīng)學(xué)到了其他網(wǎng)段的信息了。經(jīng)過查看路由二的路由表,它也正常學(xué)習(xí)到了其他網(wǎng)段的信息了〔學(xué)計(jì)算機(jī)基礎(chǔ)知識(shí)既然已經(jīng)學(xué)習(xí)到了其他的路由信息,那么肯定能通訊了,只是現(xiàn)在通訊是肯定是不安全的,用抓包器可以很輕松的獲取到密碼。接下來我們就是要在路由器一與路由器二的通信信道上建立一條VPN專用線路,讓其更安全的傳輸數(shù)據(jù)。二、配置IPSec和IKEIPSec提供兩個(gè)安全協(xié)議：AH<AuthenticationHeader>報(bào)文認(rèn)證頭協(xié)議MD5<MessageDigest5>SHA1<SecureHashAlgorithm>ESP<EncapsulationSecurityPayload>封裝安全載荷協(xié)議DES<DataEncryptionStandard>3DES其他的加密算法：Blowfish,blowfish、cast…IKE全稱：InternetKeyExchangeIKE用于IPSec安全聯(lián)盟及密鑰的自動(dòng)化管理,定時(shí)為IPSec協(xié)商密鑰,創(chuàng)建、刪除安全聯(lián)盟等IKE采用兩個(gè)階段的ISAKMP：協(xié)商認(rèn)證通信信道,為第二階段的通信提供安全保證。即建立IKESA使用IKESA協(xié)商建立IPSecSA,用于IPSec通信。IKE〔InternetKeyExchange因特網(wǎng)密鑰交換協(xié)議是IPSEC的信令協(xié)議,為IPSec提供了自動(dòng)協(xié)商交換密鑰、建立安全聯(lián)盟的服務(wù),能夠簡(jiǎn)化IPSec的使用和管理,大大簡(jiǎn)化IPSec的配置和維護(hù)工作。IKE不是在網(wǎng)絡(luò)上直接傳送密鑰,而是通過一系列數(shù)據(jù)的交換,最終計(jì)算出雙方共享的密鑰,并且即使第三者截獲了雙方用于計(jì)算密鑰的所有交換數(shù)據(jù),也不足以計(jì)算出真正的密鑰。IKE具有一套自保護(hù)機(jī)制,可以在不安全的網(wǎng)絡(luò)上安全的分發(fā)密鑰,驗(yàn)證身份,建立IPSEC安全聯(lián)盟。R1：r1#conftr1<config>#cryptoisakmpenable-----------啟用IKEr1<config>#cryptoisakmppolicy1------------創(chuàng)建IKE策略、注意:優(yōu)先級(jí)1---100001為最高級(jí)別r1<config-isakmp>#encryption3des------------指定價(jià)碼算法r1<config-isakmp>#authenticationpre-share-----------指定身份認(rèn)證方法注意:per-share—共享密鑰rsa-encr--RSA加密rsa—sig---RSA簽名r1<config-isakmp>#group1-----------指定密鑰交換參數(shù)注意:group1表示768位密鑰group2表示1024位密鑰group5表示1536位密鑰r1<config-isakmp>#lifetime28800-----------指定SA的生存期<單位秒>r1<config-isakmp>#exitr1<config>#cryptoisakmpkeyciscoaddres202.106.1.2------------指定身份認(rèn)證使用的密鑰和該共享密鑰對(duì)應(yīng)的IP地址r1<config>#cryptoipsectransform-setr1setesp-3des---------創(chuàng)建IPSec變換集,對(duì)用戶安全保護(hù)使用的協(xié)議r1<cfg-crypto-trans>#exitr1<config>#access-list100permitip192.168.1.00.0.0.255192.168.10.00.0.0.255-------指定需要通過的ipsec進(jìn)行保護(hù)的通信網(wǎng)段r1<config>#cryptomapr1map1ipsec-isakmp--------------創(chuàng)建加密圖r1<config-crypto-map>#setpeer202.106.1.2------------指定加密用于與哪個(gè)對(duì)端VPN建立連接,也就是路由器二的公網(wǎng)IP地址r1<config-crypto-map>#settransform-setr1set-----------指定加密圖使用的ipsec變換集r1<config-crypto-map>#matchaddress100-----------指定訪問列表r1<config-crypto-map>#exit指定加密圖應(yīng)用哪些接口上。一般應(yīng)用在連接外網(wǎng)時(shí)候的端口上。r1<config>#intf0/1r1<config-if>#cryptomapr1map在路由器二上對(duì)IPSec和IKE進(jìn)行一般的配置步驟R2:r2>enr2#conftr2<config>#cryptoisakmpenable------啟用IKEr2<config>#cryptoisakmppolicy1--------創(chuàng)建IKE策略。注意:優(yōu)先級(jí)1---100001為最高級(jí)別r1<config-isakmp>#encryption3des-------指定加碼算法r2<config-isakmp>#authenticationpre-share-------指定身份認(rèn)證方法注意:per-share—共享密鑰rsa-encr--RSA加密rsa—sig---RSA簽名r2<config-isakmp>#group1----------指定密鑰交換參數(shù)注意:group1表示768位密鑰group2表示1024位密鑰group5表示1536位密鑰r2<config-isakmp>#lifetime28800--------指定SA的生存期<單位秒>r2<config-isakmp>#exitr2<config>#cryptoisakmpkeyciscoaddres202.106.1.1------指定身份認(rèn)證使用的密鑰和該共享密鑰對(duì)應(yīng)的IP地址r2<config>#cryptoipsectransform-setr2setesp-3des-----創(chuàng)建IPSec變換集,對(duì)用戶安全保護(hù)使用的協(xié)議r2<cfg-crypto-trans>#exitr2<config>#access-list100permitip192.168.10.00.0.0.255192.168.1.00.0.0.255-----指定需要通過的ipsec進(jìn)行保護(hù)的通信網(wǎng)段r2<config>#cryptomapr2map1ipsec-isakmp------創(chuàng)建加密圖r2<config-crypto-map>#setpeer202.106.1.1------指定加密用于與哪個(gè)對(duì)端VPN建立連接,也就是路由器一的公網(wǎng)IP地址r2<config-crypto-map>#settransform-setr1set-------指定加密圖使用的ipsec變換集r2<config-crypto-map>#matchaddress100------指定訪問列表r2<config-crypto-map>#exitr2<config>#exit指定加密圖應(yīng)用哪些接口上r2<config>#intf0/1r2<config-if>#cryptomapr2map配置完成后,我們進(jìn)行測(cè)試：首先我們根據(jù)拓?fù)鋱D所示配置好PC1PC2的IP并于網(wǎng)關(guān)進(jìn)行PING測(cè)試,發(fā)現(xiàn)網(wǎng)絡(luò)正常！能夠互相訪問！我們?cè)诼酚善魃嫌脭U(kuò)展ping命令來打通VPN通道。建立好VPN通道后,不用擴(kuò)展ping命令來打通VPN通道那是沒用的。如下所示：我們來測(cè)試一下VPN通信。在路由器一上輸入命令pingr1#ping----------輸入ping直接回車Protocol[ip]:----------因?yàn)槭褂玫氖荌P地址,直接回車就可以了TargetIPaddress:192.168.10.2---------輸入目標(biāo)地址的IPRepeatcount[5]:--------------ping包的數(shù)量Datagramsize[100]:-----------數(shù)據(jù)包的大小Timeoutinseconds[2]:------------超時(shí)時(shí)間,默認(rèn)的是2秒Extendedcommands[n]:y--------是否要使用擴(kuò)展ping命令,一定要填YES接下來全部選擇默認(rèn)的即可,直接回車就行Typeofservice[0]:SetDFbitinIPheader?[no]:Validatereplydata?[no]:Datapattern[0xABCD]:Loose,Strict,Record,Timestamp,Verbose[none]:Sweeprangeofsizes[n]:Typeescapesequencetoabort.Sending5,100-byteICMPEchosto192.168.10.2,timeoutis2seconds:!!!!!----------------------結(jié)果是可以ping通的Successrateis100percent<5/5>,round-tripmin/avg/max=12/56/104ms我們?cè)诼酚善鞫陷斎朊頿ing,回車后直接輸入PC1的IP地址,根據(jù)提示進(jìn)行下一步r2#ping--------------輸入ping命令直接回車就行Protocol[ip]:--------------因?yàn)槭褂玫氖荌P地址,直接回車就可以了TargetIPaddress:192.168.1.2-----------輸入目標(biāo)地址的IPRepeatcount[5]:--------------ping包的數(shù)量Datagramsize[100]:-----------數(shù)據(jù)包的大小Timeoutinseconds[2]:--------------超時(shí)時(shí)間,默認(rèn)時(shí)間是2秒Extendedcommands[n]:y--------------選擇YES,使用擴(kuò)展ping命令接下來全部選擇默認(rèn)的即可,直接回車就行Typeofservice[0]:SetDFbitinIPheader?[no]:Validatereplydata?[no]:Datapattern[0xABCD]:Loose,Strict,Record,Timestamp,Verbose[none]:Sweeprangeofsizes[n]:Typeescapesequencetoabort.Sending5,100-byteICMPEchosto192.168.1.2,timeoutis2seconds:!!!!!---------------------------結(jié)果是可以ping通的Successrateis100percent<5/5>,round-tripmin/avg/max=16/39/68ms至此,IPSECvpn配置圓滿完成！

---------------------以下是2個(gè)路由器的完整配置文件,供大家參考：R1#showrun

Buildingconfiguration...Currentconfiguration:892bytes

!

version12.4

noservicetimestampslogdatetimemsec

noservicetimestampsdebugdatetimemsec

noservicepassword-encryption

!

hostnameR1

!

!

!

!

!

!

!

!

cryptoisakmppolicy1

encr3des

hashmd5

authenticationpre-share

lifetime28800

!

cryptoisakmpkeyciscoaddress202.106.1.2

!

!

cryptoipsectransform-setrlsetesp-3des

!

cryptomaprlmap1ipsec-isakmp

setpeer202.106.1.2

settransform-setrlset

matchaddress100

!

!

!

!

!

!

!

!

!

interfaceFastEthernet0/0

ipaddress192.168.1.1255.255.255.0

duplexauto

speedauto

!

interfaceFastEthernet0/1

ipaddress202.106.1.1255.255.255.0

duplexauto

speedauto

cryptomaprlmap

!

interfaceVlan1

noipaddress

shutdown

!

ipclassless

iproute192.168.10.0255.255.255.0202.106.1.2

!

!

access-list100permitip192.168.1.00.0.0.255192.168.10.00.0.0.255

!

!

!

!

!

linecon0

linevty04

login

!

!

!

end

R2#

Router#showrun

Buildingconfiguration...Currentconfiguration:892bytes

!

version12.4

noservicetimestampslogdatetimemsec

noservicetimest