V.P.N分类
第一大类:site-to-site v.p.n
1、gre
2、ipsec v.p.n
3、mpls v.p.n
第二大类:Remote access v.p.n
1、ipsec v.p.n
2、VPDN(虚拟私有拨号网络)
3、SSL v.p.n(安全套接层)
---------------------------GRE------------------------------
不要把公网路由放入私网协议中
先路由再NAT
触发NAT的两个条件:
1、出口为NAT的outside口
2、匹配感兴趣流
GRE和NAT配置无冲突,配置GRE不用考虑NAT
--------------------------IPSec-----------------------------
IPSec框架:
散列函数-算法:md5,sha-1 方式:hash,HMAC
加密算法-对称:des,3des,aes,rc4 非对称:rsa,dh,ecc 用途:密钥交换,数字签名
封装协议:ESP,AH(不支持加密,不能穿越NAT)
封装模式:传输模式(加密点等于通讯点【推荐,效率高】),隧道模式(加密点不等于通讯点【必须】)
密钥有效期:PFS(完美向前保密,每3600秒更换一次,无法推算)
执行这个协商任务的协议,就是IKE(协商过程)
IKE的任务:
1、对双方认证
2、通过密钥交换,产生用于加密和HMAC的随机密钥
3、协商五元素
协商的结果叫SA(安全联盟),约束加密双方使用的参数信息,可以理解成合同
SA两种:
1、IKE SA 用于维护安全防护(五元素)IKE协议的细节
2、IPSec SA 用于维护实际流量的安全细节
IKE的组成:
1、SKEME 决定IKE密钥交换方式,IKE只要使用DH来实现密钥交换
2、Oakley 决定IPSec的框架设计
3、ISAKMP 是IKE的核心,决定IKE协商包的封装格式、交换过程和模式切换
在实际谈论中,我们默认ISAKMP=IKE
第一阶段:IKE SA
1)主模式MM 6个包
1-2个包 发送方发送多个IKE策略,接收方选择一个IKE策略
3-4个包 通过DH交换密钥
5-6个包 在安全环境下进行认证
2)主动模式AM 3个包
第二阶段:IPSec SA
快速模式 3个包
1-3个包是为了交互IPSec策略
其中的安全参数索引(SPI) 可以理解成合同编号,后续交互时会在ESP中携带对方的SPI值
-------------------------------实验-------------------------------------
拓扑:R1-R2--R3-R4--R5-R6
R1/R6 通讯点
R2/R5 加密点
R3/R4 Internet
通讯点要有对方通讯点的路由;
加密点要有对方加密点的路由,以及本端通讯点和对端通讯点的路由;
Internet要有双方加密点的路由。
最基本路由:
R3/R4 ospf
R1/R6 默认路由
R2/R5 默认路由出,静态路由回
show run all 查看所有命令,包含隐藏命令
第一阶段:
crypto isakmp enable 开启IKE,默认开启
crypto isakmp key 0 CCIE address 8.8.45.5 接受8.8.45.5的预共享密钥
crypto isakmp policy 10
authentication pre-share
encrypto 3des
hash md5
group 2
第二阶段:
access-list 100 permit ip host 192.168.1.1 host 192.168.6.6
crypto ipsec transform-set TR esp-aes esp-sha-hmac
mode tunnel
crypto map ABC 10 ipsec-isakmp
match address 100
set transform-set TR
set peer 8.8.45.5
int e1/0 调用在出接口
crypto map ABC
show run | se cry|list
show crypto isakmp sa 显示QM-idle表示第一阶段协商正常
show crypto ipsec sa [detail] 查看第二阶段协商
show crypto session
show crypto peers
show crypto engine connection active 查看统计信息
NAT出包在IPSec加密之前,NAT将源IP转换后,无法匹配IPSec感兴趣流。因此在NAT配置时,要deny掉IPSec的感兴趣网段。
------------dynamic map------------
crypto isakmp key 0 CCIE address 0.0.0.0 接受所有的协商
不用写感兴趣流列表
默认tunnel模式
crypto dynamic-map DM 10
set transform-set TR
crypto map ABC 10 ipsec-isakmp dynamic DM 将动态map绑定到静态map
int e1/0
crypto map ABC
只能靠一端发起流量,才能建立隧道连接
-------------------------------------------------gre over ipsec------------------------------------------------------
感兴趣流写8.8.23.2到8.8.45.5
mode transport
把协议号47换成了50,最外层是ipsec
通过tunnel传递路由,解决路由传递问题
在tunnel可以做acl控制策略
感兴趣流好抓
不受nat影响
新格式和老格式兼容
新格式:
crypto ipsec profile ABC
set transform-set TR
int tun 0
tunnel protection ipsec profile ABC
-----------------------------------D.M.V.P.N---------------------------------
一个前提:各个站点的公网接口要互相能ping通
四大组件:
1、mGRE
2、NHRP
3、动态路由协议
4、IPSec
mGRE:
每个出口路由器,都建议一个tunnel接口,配置同网段地址。
R1:
int tunnel 0
tunnel mode gre multipoint
ip add 192.168.134.1 255.255.255.0
tunnel source 8.8.12.1
NHRP:下一跳解析协议
R4:
int tunnel 0
ip nhrp network-id 1 (id编号 本地有效)
ip nhrp map 192.168.134.1 8.8.12.1
ip nhrp nhs 192.168.134.1 (192.168.134.1是班长)
R1:
int tun 0
ip nhrp network-id 1
show ip nhrp [brief]
ip nhrp authentication CCIE
ip nhrp holdtime 7200 默认存在2小时
动态路由协议:
router eigrp 100
no auto
network 192.168.0.0 0.0.255.255
int tun 0
ip nhrp map multicast 8.8.12.1 支持发组播包
int tun 0
ip nhrp map multicast dynamic
no ip split-horizon eigrp 100
分支互访走捷径:(要测试两次)
spoke端:ip nhrp shortcut
hub端:ip nhrp redirect
nhrp表优先于路由表
IPSec:
crypto isakmp enable
crypto isakmp key 0 CCIE address 0.0.0.0
crypto isakmp policy 10
authen pre-share
crypto ipsec transform-set TR esp-aes esp-sha-hmac
mode transport
crypto ipsec profile D.M.V.P.N
set transform-set TR
int tun 0
tun pro ipsec profile D.M.V.P.N
切忌公网接口不要往私网协议里宣告,会导致邻居关系翻动。
D.M.V.P.N = mGRE over IPSec
---------------------FVRF-D.M.V.P.N------------------------
1、把公网接口放入vrf,并且默认路由改到vrf中。(tunnel属于global,不要放入vrf中)
2、为了GRE封装后,外层包头查询vrf路由表出包
interface tunnel 0
tunnel vrf ABC
3、crypto isakmp key CCIE address 0.0.0.0 0.0.0.0 从任何global接口收到的任意源地址来的isakmp协商,我都乐意
no crypto isakmp key CCIE address 0.0.0.0 0.0.0.0
crypto keyring KR vrf ABC
pre-shared-key address 0.0.0.0 0.0.0.0 key CCIE
----------------------IVRF-D.M.V.P.N-----------------------
除了公网接口外,其他接口都放入vrf