登录站点

用户名

密码

Site-to-Size IPsec VPN的配置

4已有 4415 次阅读  2013-03-04 16:38   标签策略  policy  style  接口 
Site-to-Size IPsec VPN的配置
1.配置ISAKMP策略
2.配置IPSec转换集
3.配置Crypto ACL
4.配置Crypto map
5.在接口上应用Crypto map
6.配置接口ACL

R1:
Site-to-Size IPsec VPN的配置阶段1:
 
crypto isakmp policy 10   //阶段1 ISAKMP的策略
encryption 3des
hash md5
authentication pre-share
group 2
        !
crypto isakmp key cisco address 2.1.1.2 255.255.255.252  //设置预共享密钥
!                               对端的IP地址和掩码
Site-to-Size IPsec VPN的配置阶段2:
crypto ipsec transform-set s2s_vpn esp-3des esp-md5-hmac  //阶段2 IPSec策略
crypto map ipsec_vpn 10 ipsec-isakmp  //定义IPSec的映射图
set peer 2.1.1.2
set transform-set s2s_vpn 
match address 100
!
Site-to-Size IPsec VPN的配置:应用VPN配置
interface Serial1/1
  ip address 1.1.1.1 255.255.255.252
  crypto map ipsec_vpn

access-list 100 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255 //定义感兴趣的流量(需要进行IPSec保护的数据)
ip route 172.16.2.0 255.255.255.0 1.1.1.2  //路由



三、Site-to-Size IPsec 的配置:接口ACL
若在网络边缘进行过滤时,必须允许IPSec的相关协议:
IKE:UDP端口500
ESP和AH:IP协议号为50和51
NAT穿越:
   ---UDP端口4500
   ---TCP端口可配置
配置ACL允许IPSec的相关协议(IP协议号为50-ESP,IP协议号为51-AH)和IKE协议(UDP端口号为500)
show access-lists
access-list 102 permit ahp host 172.16.172.10 host 172.16.171.20
access-list 102 permit esp host 172.16.172.10 host 172.16.171.20
access-list 102 permit udp host 172.16.172.10 host 172.16.171.20 eq isakmp
确保接口上协议号为50和51,UDP端口号为500的流量没有被阻止



三、GRE(Tunnel)隧道 Over IPSec
        1、GRE:通用路由封装(Generic Routing Encapsulation)
    ***将一种网络层协议封装到另一种网络层协议(IP)中发送
      GRE扩展:包括以下字段
              --隧道校验和(Tunnel checksum)
              --隧道密钥(Tunnel key)
              --隧道报文序列号(Tunnel packet sequence number)
      GRE  keepalives可以用来跟踪隧道路径的状态
              


优点:支持多种网络层协议、支持动态路由协议。
     IPSec优点:数据加密、完整性、验证
2、GRE Over IPSec VPN
               先进行GRE的封装,再利用IPSec 保护
结合GRE和IPSec优点。
要使GRE隧道及协议UP必须保证:
   --已配置隧道源和目标
   --隧道目标在路由表中可找到
   --接收到GRE keepalives

GRE over IPsec
安全的GRE隧道:提供虚拟的点到点连接
               保护通过不安全传输网络的通信
               






GRE配置实例:
interface Tunnel 0
ip address 10.1.1.1 255.255.255.252
tunnel source serial0/0
tunnel destination 192.168.5.5
tunnel mode gre ip 


分享 举报

发表评论 评论 (3 个评论)

涂鸦板