1、 實驗提要及拓撲
實驗拓撲
實驗場景如上圖,公司外地辦事處的辦公電腦需要訪問公司總部內網的一臺伺服器。外地辦事處出口路由器與公司總部出口路由器透過網際網路建立IPSec VPN,達到總部內網與外地辦事處內網互通的目的。
模擬場景:
外地辦事處:
外地辦事處向聯通申請了一條寬頻,聯通給與的IP資訊如下:
IP地址規劃
辦事處的網路管理員規劃內網IP如下:
IP地址規劃
用於測試VPN互通性的辦公電腦:
IP地址規劃
公司總部:
公司總部向電信申請了一條寬頻,聯通給與的IP資訊如下:
IP地址規劃
總部的網路管理員規劃內網IP如下:
IP地址規劃
總部的伺服器:
IP地址規劃
2、 配置IP地址及路由測試網路互通
要配置IPSec VPN首先需要保證兩端的加密點互通,即路由器出介面公網地址透過網際網路能夠互通,再者需要新增到達對端通訊點的路由,作用在於讓通往對端通訊點的資料包能夠透過公網出介面(加密點)傳送並撞擊到在公網出介面上配置的IPSec VPN的MAP。
外地辦事處:
interface Ethernet0/0
ip address 192。168。20。1 255。255。255。0
——埠配置IP地址——
interface Ethernet0/1
ip address 202。102。134。2 255。255。255。252
——埠配置IP地址——
ip route 60。111。34。0 255。255。255。252 202。102。134。1
——新增到達對端加密點的路由——
ip route 192。168。10。0 255。255。255。0 202。102。134。1
——新增到達對端通訊點的路由,作用在於讓通往對端通訊點的資料包能夠透過202。102。134。2出口傳送並撞擊到後續再出介面配置的IPSec VPN的MAP。——
模擬網際網路路由器:
interface Ethernet0/1
ip address 202。102。134。1 255。255。255。252
——埠配置IP地址——
interface Ethernet0/2
ip address 60。111。34。1 255。255。255。252
——埠配置IP地址——
公司總部:
interface Ethernet0/0
ip address 192。168。10。1 255。255。255。0
——埠配置IP地址——
interface Ethernet0/1
ip address 60。111。34。2 255。255。255。252
——埠配置IP地址——
ip route 202。102。134。0 255。255。255。252 60。111。34。1
——新增到達對端加密點的路由——
ip route 192。168。20。0 255。255。255。0 60。111。34。1
——新增到達對端通訊點的路由,作用在於讓通往對端通訊點的資料包能夠透過202。102。134。2出口傳送並撞擊到後續再出介面配置的IPSec VPN的MAP。——
測試效果:VPN加密點之間互通,通訊點之間不通。即202.102.134.2與60.111.34.2互通,192.168.20.100與192.168.10.100不通,後續新增IPSec VPN配置使通訊點之間互通。
互通性測試
上圖為加密點之間互通
互通性測試
上圖為通訊點之間不通
下面我們將透過配置IPSec VPN使通訊點之間互通。
3、 IPSec VPN配置
IPSec VPN配置分為六步:
第一步:建立IKE策略,配置IKE SA協商引數。
第二步:配置IKE SA協商使用的預共享金鑰及對端加密點地址,當然使用證書也可以。
第三步:建立資料加密集,即IPSec SA所使用的資料傳輸時加密的引數及傳輸模式。
第四步:建立感興趣資料流,指定哪些資料流量使用IPSec VPN進行加密傳輸。
第五步:建立MAP,1、呼叫對端加密點的地址(關聯預共享金鑰),2、呼叫資料加密集,3、呼叫感興趣資料流。
第六步:介面呼叫IPSec VPN的MAP即可。
具體配置分析如下:
辦事處路由配置:
第一步:建立IKE策略
crypto isakmp policy 10 ——建立IKE策略集——
encr 3des ——配置加密方式為3DES——
hash sha ——配置雜湊演算法為SHA——
authentication pre-share ——配置認證方式為預共享金鑰——
group 2 ——配置金鑰組交換為2——
lifetime 86400 ——配置IKE SA金鑰超時時間——
第二步:配置IKE SA協商使用的預共享金鑰及對端加密點地址
crypto isakmp key cisco address 60。111。34。2
——配置金鑰為cisco,對端加密點為 60。111。34。2——
第三步:建立資料加密集
crypto ipsec transform-set banshichu esp-des esp-md5-hmac
——配置資料加密使用esp封裝,des加密md5校驗——
mode tunnel
——配置使用隧道模式——
第四步:建立感興趣資料流
access-list 100 permit ip 192。168。20。0 0。0。0。255 192。168。10。0 0。0。0。255
——配置感興趣資料流為本端通訊點地址到遠端通訊點地址——
第五步:建立MAP
crypto map banshichu-map 1 ipsec-isakmp ——建立IPSec MAP——
set peer 60。111。34。2 ——呼叫對端加密點——
set transform-set banshichu ——呼叫資料加密集——
match address 100 ——呼叫感興趣資料流——
第六步:介面呼叫MAP
interface Ethernet0/1 ——進入加密點介面——
crypto map banshichu-map ——介面呼叫MAP——
總部路由配置:
總部配置與辦事處配置加密認證演算法和預共享金鑰必須相同,感興趣資料流相反。配置如下:
第一步:建立IKE策略
crypto isakmp policy 100
encr 3des
hash sha
authentication pre-share
group 2
lifetime 86400
第二步:配置IKE SA協商使用的預共享金鑰及對端加密點地址
crypto isakmp key cisco address 202。102。134。2
第三步:建立資料加密集
crypto ipsec transform-set zongbu esp-des esp-md5-hmac
mode tunnel
第四步:建立感興趣資料流
access-list 100 permit ip 192。168。10。0 0。0。0。255 192。168。20。0 0。0。0。255
第五步:建立MAP
crypto map zongbu-map 1 ipsec-isakmp
set peer 202。102。134。2
set transform-set zongbu
match address 100
第六步:介面呼叫MAP
interface Ethernet0/1
crypto map zongbu-map
至此,IPSec VPN配置全部完成。
互通性測試
上圖為通訊點之間已經測試互通。
4、 報文分析
IPSec VPN建立過程
上圖為IPSec VPN兩個階段協商報文及IPSec VPN協商成功後傳輸加密資料流量的概覽。
下圖為IKE SA協商的6個報文、IPSec SA協商的3個報文以及VPN建立成功透過ESP封裝傳輸的加密資料報文,圖文描述僅為概括,具體報文協商內容詳解請檢視上一篇文章“原創:VPN專題-3-IPSec VPN之IKEv1詳解”的內容。
4。1 IKE SA協商 6個報文
1、發起方傳送所有IKE-Proposal供響應方選擇
IKE SA協商報文-1
2、響應方選擇一個發起方的IKE-Proposal並告知發起方
IKE SA協商報文-2
3、發起方使用DHC演算法向響應方明文傳送金鑰計算所使用的數值
IKE SA協商報文-3
4、響應方使用收到的金鑰計算所使用的數值後進行計算,獲得傳送方金鑰。並將其金鑰計算所使用的數值明文傳送給發起方。
IKE SA協商報文-4
5、發起方使用密文資料進行預共享金鑰的互動認證
IKE SA協商報文-5
6、接收方使用密文資料進行預共享金鑰的互動認證
IKE SA協商報文-6
4.2 IPSec SA協商3個報文
1、發起方使用密文協商IPSec SA建立所使用的引數集,供響應方選擇
IPSec SA協商報文-1
2、響應方選擇其中一個加密集後,使用密文傳送選擇的加密集給發起方
IPSec SA協商報文-2
3、發起方確認使用該加密集。
IPSec SA協商報文-3
4.3 IPSec VPN協商完成,使用ESP封裝傳輸資料報文
被ESP封裝的加密資料報文
以上內容均為本人對所掌握知識的總結歸納所創作的原創文章,希望能給大家的學習過程帶來幫助,如有技術理解錯誤希望能夠得到大家的及時指正,大家共同學習,共同進步。
歡迎關注我的頭條號,私信交流,學習更多網路技術!
