前言:
此时看官们对“ipsec服务器搭建”大概比较关注,我们都想要知道一些“ipsec服务器搭建”的相关文章。那么小编在网络上搜集了一些有关“ipsec服务器搭建””的相关内容,希望你们能喜欢,同学们一起来学习一下吧!1、 实验提要及拓扑
实验拓扑
实验场景如上图,公司外地办事处的办公电脑需要访问公司总部内网的一台服务器。外地办事处出口路由器与公司总部出口路由器通过互联网建立IPSec VPN,达到总部内网与外地办事处内网互通的目的。
模拟场景:
外地办事处:
外地办事处向联通申请了一条宽带,联通给与的IP信息如下:
IP地址规划
办事处的网络管理员规划内网IP如下:
IP地址规划
用于测试VPN互通性的办公电脑:
IP地址规划
公司总部:
公司总部向电信申请了一条宽带,联通给与的IP信息如下:
IP地址规划
总部的网络管理员规划内网IP如下:
IP地址规划
总部的服务器:
IP地址规划
2、 配置IP地址及路由测试网络互通
要配置IPSec VPN首先需要保证两端的加密点互通,即路由器出接口公网地址通过互联网能够互通,再者需要添加到达对端通信点的路由,作用在于让通往对端通信点的数据包能够通过公网出接口(加密点)发送并撞击到在公网出接口上配置的IPSec VPN的MAP。
外地办事处:
interface Ethernet0/0
ip address 192.168.20.1 255.255.255.0
--端口配置IP地址--
interface Ethernet0/1
ip address 202.102.134.2 255.255.255.252
--端口配置IP地址--
ip route 60.111.34.0 255.255.255.252 202.102.134.1
--添加到达对端加密点的路由--
ip route 192.168.10.0 255.255.255.0 202.102.134.1
--添加到达对端通信点的路由,作用在于让通往对端通信点的数据包能够通过202.102.134.2出口发送并撞击到后续再出接口配置的IPSec VPN的MAP。--
模拟互联网路由器:
interface Ethernet0/1
ip address 202.102.134.1 255.255.255.252
--端口配置IP地址--
interface Ethernet0/2
ip address 60.111.34.1 255.255.255.252
--端口配置IP地址--
公司总部:
interface Ethernet0/0
ip address 192.168.10.1 255.255.255.0
--端口配置IP地址--
interface Ethernet0/1
ip address 60.111.34.2 255.255.255.252
--端口配置IP地址--
ip route 202.102.134.0 255.255.255.252 60.111.34.1
--添加到达对端加密点的路由--
ip route 192.168.20.0 255.255.255.0 60.111.34.1
--添加到达对端通信点的路由,作用在于让通往对端通信点的数据包能够通过202.102.134.2出口发送并撞击到后续再出接口配置的IPSec VPN的MAP。--
测试效果:VPN加密点之间互通,通信点之间不通。即202.102.134.2与60.111.34.2互通,192.168.20.100与192.168.10.100不通,后续添加IPSec VPN配置使通信点之间互通。
互通性测试
上图为加密点之间互通
互通性测试
上图为通信点之间不通
下面我们将通过配置IPSec VPN使通信点之间互通。
3、 IPSec VPN配置
IPSec VPN配置分为六步:
第一步:创建IKE策略,配置IKE SA协商参数。
第二步:配置IKE SA协商使用的预共享密钥及对端加密点地址,当然使用证书也可以。
第三步:创建数据加密集,即IPSec SA所使用的数据传输时加密的参数及传输模式。
第四步:创建感兴趣数据流,指定哪些数据流量使用IPSec VPN进行加密传输。
第五步:创建MAP,1、调用对端加密点的地址(关联预共享密钥),2、调用数据加密集,3、调用感兴趣数据流。
第六步:接口调用IPSec VPN的MAP即可。
具体配置分析如下:
办事处路由配置:
第一步:创建IKE策略
crypto isakmp policy 10 --建立IKE策略集--
encr 3des --配置加密方式为3DES--
hash sha --配置散列算法为SHA--
authentication pre-share --配置认证方式为预共享密钥--
group 2 --配置密钥组交换为2--
lifetime 86400 --配置IKE SA密钥超时时间--
第二步:配置IKE SA协商使用的预共享密钥及对端加密点地址
crypto isakmp key cisco address 60.111.34.2
--配置密钥为cisco,对端加密点为 60.111.34.2--
第三步:创建数据加密集
crypto ipsec transform-set banshichu esp-des esp-md5-hmac
--配置数据加密使用esp封装,des加密md5校验--
mode tunnel
--配置使用隧道模式--
第四步:创建感兴趣数据流
access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
--配置感兴趣数据流为本端通信点地址到远端通信点地址--
第五步:创建MAP
crypto map banshichu-map 1 ipsec-isakmp --创建IPSec MAP--
set peer 60.111.34.2 --调用对端加密点--
set transform-set banshichu --调用数据加密集--
match address 100 --调用感兴趣数据流--
第六步:接口调用MAP
interface Ethernet0/1 --进入加密点接口--
crypto map banshichu-map --接口调用MAP--
总部路由配置:
总部配置与办事处配置加密认证算法和预共享密钥必须相同,感兴趣数据流相反。配置如下:
第一步:创建IKE策略
crypto isakmp policy 100
encr 3des
hash sha
authentication pre-share
group 2
lifetime 86400
第二步:配置IKE SA协商使用的预共享密钥及对端加密点地址
crypto isakmp key cisco address 202.102.134.2
第三步:创建数据加密集
crypto ipsec transform-set zongbu esp-des esp-md5-hmac
mode tunnel
第四步:创建感兴趣数据流
access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
第五步:创建MAP
crypto map zongbu-map 1 ipsec-isakmp
set peer 202.102.134.2
set transform-set zongbu
match address 100
第六步:接口调用MAP
interface Ethernet0/1
crypto map zongbu-map
至此,IPSec VPN配置全部完成。
互通性测试
上图为通信点之间已经测试互通。
4、 报文分析
IPSec VPN建立过程
上图为IPSec VPN两个阶段协商报文及IPSec VPN协商成功后传输加密数据流量的概览。
下图为IKE SA协商的6个报文、IPSec SA协商的3个报文以及VPN建立成功通过ESP封装传输的加密数据报文,图文描述仅为概括,具体报文协商内容详解请查看上一篇文章"原创:VPN专题-3-IPSec VPN之IKEv1详解"的内容。
4.1 IKE SA协商 6个报文
1、发起方发送所有IKE-Proposal供响应方选择
IKE SA协商报文-1
2、响应方选择一个发起方的IKE-Proposal并告知发起方
IKE SA协商报文-2
3、发起方使用DHC算法向响应方明文发送密钥计算所使用的数值
IKE SA协商报文-3
4、响应方使用收到的密钥计算所使用的数值后进行计算,获得发送方密钥。并将其密钥计算所使用的数值明文发送给发起方。
IKE SA协商报文-4
5、发起方使用密文数据进行预共享密钥的交互认证
IKE SA协商报文-5
6、接收方使用密文数据进行预共享密钥的交互认证
IKE SA协商报文-6
4.2 IPSec SA协商3个报文
1、发起方使用密文协商IPSec SA建立所使用的参数集,供响应方选择
IPSec SA协商报文-1
2、响应方选择其中一个加密集后,使用密文发送选择的加密集给发起方
IPSec SA协商报文-2
3、发起方确认使用该加密集。
IPSec SA协商报文-3
4.3 IPSec VPN协商完成,使用ESP封装传输数据报文
被ESP封装的加密数据报文
以上内容均为本人对所掌握知识的总结归纳所创作的原创文章,希望能给大家的学习过程带来帮助,如有技术理解错误希望能够得到大家的及时指正,大家共同学习,共同进步。
欢迎关注我的头条号,私信交流,学习更多网络技术!
标签: #ipsec服务器搭建
