基于预共享密钥认证的 IPSec VPN 配置

一、IKE第一阶段配置:建立加密隧道

这里会按照第1到第6个包的顺序来配置,而且要注意配置是双向的

crypto isakmp enable
crypto isakmp policy 10
   group 2
authentication pre-share
encryption 3des
hash sha
   lifetime 86400
crypto isakmp key 0 abc address 10.1.1.2

说明:

1. crypto isakmp enable:开启isakmp协议(默认是开启的)
2. crypto isakmp policy 10:建立IKE协商策略(这里1是策略编号,当配置多个策略时用来做区分,策略编号只在本地有效,范围1-10000,当有多个策略时选择策略编号小的来优先匹配)
3. group 2:配置ISAKMP采用DH group 2密钥交换算法,思科设备支持1,2,5三个组,组号越大,强度越高,一般设为2,如果设太高会加重设备负担(1组为512位,2组为768位,5组为1024位)
4. authentication pre-share:配置身份认证的方式,可以有三种认证方式:pre-share(预共享密钥)rsa-encr(rsa加密)rsa-sig(rsa签名)
5. encryption 3des:配置加密方式,加密方式有三种:3des、aes、des其中3des是168位的,des是56位的,aes可以有128/192/256三个位供选择,如果想要安全性能最好就配置aes的256位
6. hash sha:配置hash算法,hash算法有两种:sha、md5
7. lifetime86400:配置安全联盟的存活时间,即安全联盟过了这个时间之后就重新再建立一个新的安全联盟,范围是60--86400s
8. crypto isakmp key 0 abc address 10.1.1.2:配置预共享密钥,其中0表示明文,如果是6则表示密文,abc是密钥,10.1.1.2是对端IP,意思是配置这条预共享密钥给对方来对我做验证

二、IKE第二阶段配置:传输加密的数据

crypto ipsec transform-set ccie esp-aes esp-sha-hmac
mode tunnel

说明:

1. crypto ipsec transform-set ccie esp-aes esp-sha-hmac:配置IPSec的转换集,转换集定义用什么方式加密数据、认证数据,其中ccie是转换集的名称,esp是封装协议,aes是数据加密算法,sha是hash算法
2. mode tunnel:配置IPSec的传输模式,transport是传输模式,tunnel是隧道模式
3. 注意:配置是双向的

三、配置感兴趣流量

什么是感兴趣流量:感兴趣流量就是允许通过VPN传输的流量

access-list 100 permit ip host 1.1.1.1 host 2.2.2.2

说明:允许源1.1.1.1的流量通过VPN到达目的2.2.2.2,也可以是某个网段

四、配置加密图及其参数

什么是加密图:加密图可简单理解成把转换集、感兴趣流量、对端实体地址等ipsec sa协商参数关联绑定到接口上

crypto map cisco10 ipsec-isakmp
   set peer 10.1.1.2
   set transform-set ccie
   match address 100
int f0/0
crypto map cisco

说明:

1. crypto map cisco 10 ipsec-isakmp:cisco是加密图的名称,10是加密图的编号,如果有多个VPN可以配置多个加密图,编号仅本地有效,ipsec-isakmp表示让IKE自动管理密钥,如果配置成ipsec-manual则手动管理密钥,一般都是配置自动管理
2. set peer 10.1.1.2:定义要应用crypto map的对端设备的IP地址(peer,对等体,即对端设备)
3. set transform-set ccie:定义要调用哪个转换集,ccie是转换集的名称
4. match address 100:关联感兴趣流量的ACL
5. int f0/0:进入走VPN流量的接口
6. crypto map cisco:把加密图关联到接口,cisco是加密图的名称

show crypto isakmp policy

R1#show crypto isakmp policy   //查看IKE第一阶段的所有策略

Global IKE policy
Protection suite of priority 10    //策略10
encryption algorithm: Three key triple DES    //加密算法
hash algorithm: Secure Hash Standard         //hash算法
authentication method: Pre-Shared Key        //认证方式
Diffie-Hellman group: #1 (768 bit)               //DH组
lifetime: 86400 seconds, no volume limit      //存活时间
//以下是默认策略的配置,比如我在策略10中没有定义lifetime,就会引用默认策略配置的lifetime来进行配置
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit

show crypto ipsec transform-set

R2#show crypto ipsec transform-set   //查看第二阶段的所有策略
Transform set ccie: { esp-aes esp-sha-hmac }   //我们配置的转换集
will negotiate = { Tunnel, },

show crypto map

R2#show crypto map   //查看加密图配置
Crypto Map "cisco" 10 ipsec-isakmp   //名为cisco编号为10的加密图
Peer = 10.1.1.1   //对等体(即对端设备)
Extended IP access list 100   //匹配感兴趣流量
access-list 100 permit ip host 2.2.2.2 host 1.1.1.1
Current peer: 10.1.1.1   //对等体
Security association lifetime: 4608000 kilobytes/3600 seconds   //生存时间
PFS (Y/N): N
Transform sets={   //使用的转换集
ccie,
}
Interfaces using crypto map cisco:   //使用该加密图的接口
FastEthernet0/0

show crypto isakmp sa

R1#show crypto isakmp sa   //查看IKE/isakmp的安全联盟
dst src state conn-id slot status
10.1.1.1 10.1.1.2 QM_IDLE 1 0 ACTIVE

state:
MM_NO_STATE:初始状态,即没有成功连接的状态
MM_SA_SETUP:对等体策略协商成功后处于该状态
MM_KEY_EXCH:对等体通过DH算法成功建立共享密钥,此时还没进行设备验证
MM_KEY_AUTH :对等体成功进行设备验证
QM_IDE:管理连接成功建立

show crypto ipsec sa

R2#show crypto ipsec sa   //查看IPSec的会话情况,注意IPSec必须有流量触发才会有会话信息(比如ping一下)

interface: FastEthernet0/0
Crypto map tag: cisco, local addr 10.1.1.2

protected vrf: (none)
local ident (addr/mask/prot/port): (2.2.2.2/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (1.1.1.1/255.255.255.255/0/0)
//以上是对等体双方的ID
current_peer 10.1.1.1 port 500
PERMIT, flags={origin_is_acl,ipsec_sa_request_sent}
#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
#pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9
//以上是对等体之间的加解密数据包统计数量
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 10.1.1.2, remote crypto endpt.: 10.1.1.1
path mtu 1500, ip mtu 1500
current outbound spi: 0x7D212D7C(2099326332)

inbound esp sas:   //入方向的ESP安全会话
spi: 0x1B1DAFAA(454930346)   //区别会话的一个编号
transform: esp-aes esp-sha-hmac ,   //转换集配置
in use settings ={Tunnel, }   //传输模式
conn id: 2001, flow_id: SW:1, crypto map: cisco   //该会话的ID
sa timing: remaining key lifetime (k/sec): (4513140/3595)   //剩下的lifetime
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE   //会话状态

inbound ah sas:   //入方向的AH安全会话

inbound pcp sas:

outbound esp sas:   //出方向的ESP安全会话
spi: 0x7D212D7C(2099326332)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2002, flow_id: SW:2, crypto map: cisco
sa timing: remaining key lifetime (k/sec): (4513140/3593)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE

outbound ah sas:

outbound pcp sas:

时间: 2024-10-11 07:13:48

基于预共享密钥认证的 IPSec VPN 配置的相关文章

基于数字证书认证的 IPSec VPN 配置

一.数字证书的相关术语 1.数字签名 数字签名基于哈希算法和公钥加密算法,对明文报文先用哈希算法计算摘要,然后用私钥对摘要进行加密,得到的一段数字串就是原文的数字签名数字签名与原文一起传送给接收者.接收者只有用发送者的公钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文产生一个摘要信息,与解密的摘要信息对比.如果相同,则说明收到的信息是完整的,在传输过程中没有被修改,否则说明信息被修改过,因此数字签名能够验证信息的完整性. 2.数字证书 数字证书是由权威机构发行的,用来证明自己的身份和验

基于公钥加密认证的 IPSec VPN 配置

1. 产生公钥和私钥 R1(config)# crypto key generate rsa R2(config)# crypto key generate rsa 2. 查看公私钥并把公钥用记事本复制出来(注意去掉空格和换行) R1# show crypto key mypubkey rsa R2# show crypto key mypubkey rsa 3. 将对端的RSA公钥导入到本地路由器(R1.R2都要配置) R1(config)# crypto key pubkey-chain r

Linux学习笔记:OpenVPN的预共享密钥用于对称加密和非对称加密

在上一章的测试中,可以看到提示中包含了******* WARNING *******: all encryption and authentication features disabled -- all data will be tunnelled as cleartext这句话,表明由于没有认证,所以VPN隧道中的流量都是明文的. *****预共享密钥可以用于小型VPN网络,如果数量多起来的话配置会非常麻烦******** 现使用最简单的预共享密钥进行加密 先来生成密钥,在Centos上使用

juniper防火墙基于路由的IPsec VPN配置

一.环境说明 北京公司需要和上海分公司建立安全通信的VPN,便于北京总公司与上海分公司资源共享安全. 需建立两条子网通道规划地址如下: 北京总公司地址规划: 外网接口地址:218.23.23.23/24 内部VLAN地址:10.0.0.0/24  10.0.1.0/24 上海分公司地址规划: 外网接口地址:218.241.241.23/24 内部VLAN地址:172.173.0.0/24  172.173.3.0/24 二.开始配置IPsec VPN 北京总公司配置: 配置外网接口地址为非信任区

IPSEC VPN配置实例

TL-R400VPN应用--IPSEC VPN配置实例 TL-ER6120是TP-LINK专为企业应用而开发的VPN路由器,具备强大的数据处理能力,并且支持丰富的软件功能,包括VPN.IP/MAC 地址绑定.常见攻击防护.访问控制列表.QQ/MSN/迅雷/金融软件限制.IP带宽控制.连接数限制及电子公告等功能,适合企业.小区.酒店等组建安全.高效.易管理的网络. TL-R400vpn是TP-LINK专为企业分支机构接入IPSEC vpn网络而开发的专用VPN路由器,支持5条IPSec VPN隧道

华为USG防火墙 IPsec VPN配置

实验拓扑 使用华为ensp 1.2.00.370模拟器 实验需求 USG-1和USG-2模拟企业边缘设备,分别在2台设备上配置NAT和IPsec VPN实现2边私网可以通过VPN互相通信 实验配置 R1 IP地址配置省略 USG-1配置 [USG-1]firewall zone trust          //配置trust区域 [USG-1-zone-trust]add interface g0/0/0    //将接口加入trust区域 [USG-1-zone-trust]quit [US

Ipsec VPN 配置实验

网络拓扑: R0配置: ISP>en ISP#sh run Building configuration... Current configuration : 707 bytes ! version 15.1 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname ISP ! ! ! ! ! ! ! ! i

Cisco IPSec VPN 配置详解

前言: VPN作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条"专线",将组织的分支机构和总部连接起来,组成一个大的局域网.IPSEC引进了完整的安全机制,包括加密.认证和数据防篡改功能. IPsec的协商分为两个阶段: 第一阶段:验证对方,协商出IKE SA ,保护第二阶段IPSEC Sa协商过程 第二阶段:保护具体的数据流 拓扑如下 配置IPSec VPN 常规的步骤如下(建议复制下来): 启用IKE 配置第一阶段策略    /

ASA防火墙IPSEC VPN配置

一.IPSEC  VPN (site to site) 第一步:在外部接口启用IKE协商 crypto isakmp enable outside 第二步:配置isakmp协商策略 isakmp 策略两边要一致,可设置多个策略模板,只要其中一个和对方匹配即可 isakmp policy 5 authenticationpre-share    //配置认证方式为预共享密钥 isakmp policy 5 encryption des            //配置isakmp 策略的加密算法 i