大型企业×××技术（cisco）

大型企业网络配置系列课程详解

---用Cisco路由器和预共享密钥创建多条 IPSec ×××

 

 

×××技术介绍：

      所谓虚拟专用网（Virtual Private Network, ×××）就是创建在公网上的，由某一组织或某一群用户专用的通讯网络，其虚拟性表如今任意一对×××用户之间没有专用的物理链接，而是经过ISP提供的公共网络来实现通讯的，其专用性表如今×××以外的用户没法访问×××内部的网络资源，×××内部用户之间能够实现安全通讯。

      因为Internet本质上是一个开放的网络，没有任何的安全措施可言。专线的链接能够实现不一样地区之间的互访，但须要支付高额的费用，维护也至关的困难。随着Internet应用的扩展，不少要求安全和保密的业务须要经过廉价的Internet实现，这一需求促进了×××技术的发展。

      普遍地讲，×××体系结构能够被分为两种常见的状况：站点到站点的×××（企业总部与各个分部之间的互联）和远程访问×××（远程用户与公司总部之间的互联）。×××技术实现安全互联有多种方式，如MPLS ×××、SSL ×××等，但IPSec ×××技术是如今企业用的最多的接入方式，本实验就是经过使用Cisco路由器和预共享密钥创建多条IPSec ×××实现站点到站点之间的访问。

 

实验背景：

      某一外资企业在中国有三个分公司，分别坐落于上海、北京和深圳。因为企业信息的安全需求，要求与分公司之间创建不一样的安全通道。其中，总部与深圳分部之间互相通讯只须要互相验证并保持数据的完整性就能够了；与北京分部之间要求数据加密并且具备通常的验证功能，并能提供数据的完整性验证；因为上海分部在中国充当了总代理的角色，传输的数据都是机密性文件，因此要求和上海分部之间创建严格的验证功能，并能对数据进行加密和完整性验证。（注意：每多一项功能，安全性就会升一级。可是，链路的开销必然会增大。如何将各个功能配置使用，须要根据企业需求和网络带宽而定）

 

实验目的：

经过IPSec ×××技术实现公司总部和各个分部之间不一样的安全通讯，总部与分部之间经过两台路由互联并运行OSPF多区域路由协议模拟Internet，总部和分部并不知道模拟Internet的具体链接状况，须要配置默认路由链接到模拟公网之上。

 

实验环境：

使用DynamipsGUI 2.8模拟器，路由器IOS使用c3640-jk9o3s-mz.122-26.bin（带有×××功能）。DynamipsGUI 2.8的具体使用可参考网络的一些资料。

 

实验网络拓扑：

 

试验步骤：

1、 配置模拟公网的具体网络参数（R2和R3之间的级联。不是重点，只作简单介绍）

 

一、 首先，在R2上配置各个端口的IP地址，并启用OSPF协议，进程号为200，将直连的网络宣告到对应的区域里（注意：是两个区域，R2和R3之间的区域为骨干区域area 0，端口Ethernet 0/1所对应的区域为area 1，具体可参考网络拓扑图）

 

 

二、 其次，在R3上配置各个端口的IP地址，并启用OSPF协议，进程号为300，将直连的网络宣告到对应的区域里（注意：是四个区域，R2与R3之间的区域为骨干区域，其它区域为area 2 ，area 3和area 4。具体可参考网络拓扑图）

 

 

三、 公网模拟好以后，使用show ip route命令在R2或者R3上查看是否学习到不一样区域之间的路由条目，不一样区域之间的路由条目表示为“O IA *****”

 

 

2、 配置总部和分部的具体网络参数（ R一、R四、R5和R6的配置，不是重点，只作简单介绍）

 

一、 配置公司总部各个端口的具体网络参数，并启用一条默认路由，下一跳地址因为不知道，配置为链接模拟公网的端口Ethernet 0/0。

 

 

二、 配置深圳分部各个端口的具体网络参数，并启用一条默认路由，下一跳地址因为不知道，配置为链接模拟公网的端口Ethernet 0/1。

 

 

三、 配置北京分部各个端口的具体网络参数，并启用一条默认路由，下一跳地址因为不知道，配置为链接模拟公网的端口Ethernet 0/1。

 

 

四、 配置上海分部各个端口的具体网络参数，并启用一条默认路由，下一跳地址因为不知道，配置为链接模拟公网的端口Ethernet 0/1。

 

 

3、 配置总部的三条IPSec ×××，分别指向不一样的分部。（重点讲解）

*******************R1的具体配置*******************

 

一、 配置IKE协商

 

1.一、 启用IKE（IKE-Internet Key Exchange是基于Internet安全联盟和密钥管理协议（ISAKAMP）定义的框架。IPSec 传送认证或加密的数据以前，必须就协议、加密算法和使用的密钥进行协商。而IKE提供了这个功能，ISAKAMP定义了两个通讯对等体如何可以经过一系列的过程来保护他们之间的通讯信道。然而，它并无规定传送的内容，只是充当了交通工具的角色。）

默认条件下，IKE在Cisco ISO软件中是激活的。若是被人工关闭，则须要再次激活它。

 

 

1.二、 创建IKE协商策略并配置IKE协商参数（在启用IKE后能够构造IKE策略，根据每一个×××链接的安全系数不一样，构造多个策略。不一样的IKE策略实现不一样的安全链接方式）

定义公司总部与分部之间的IKE的编号为policy (取值范围为1~10000，策略编号越低，其优先级越高),以policy 2为例进行讲解：

 

encryption 3des命令被用来设置加密所须要的算法，（DES—Data Encryption Standard数据加密标准，是使用最普遍的共享密钥加密算法。它使用对称式加密算法，加密和解密使用相同的密钥值，共56位，而3DES是DES的扩展，共168位。因为算法的复杂性，所以须要的网络宽带和内存）

 

authertication pre-share命令告诉路由器要使用预先共享的密钥（对等体认证方法除了预共享密钥还有RSA加密的nonces，RSA签名，默认为RSA签名）

 

hash sha命令被用来设置密钥认证所用的算法，有MD5和SHA-1两种，默认为SHA-1。（Hash散列算法是一种基于密钥（对称密钥或公钥）的加密不一样的数据转换类型。其中MD5是使用最普遍的报文摘要算法，可产生128位散列值的散列算法。SHA-1是安全散列算法，可产生一个160位的散列值。SHA-1算法的缺点是速度被MD5慢，可是SHA的报文摘要更长，具备更高的安全性）

 

group 2 为密钥交换方式，通常有三种模式，分部为group 1，group 2，group 5，其中，group 1的密钥交换最简单，而group 5的密钥交换方式最复杂。（注意：同等实体两端策略的密钥交换方式必须同样，就本实验而言，总部和深圳分部使用group 1，总部和北京分部使用group 2，总部和上海分部使用group 5）

 

Lifetime 86400 声明了SA的生存时间，默认为86400。在超过生存时间后，SA将被从新协商。（SA—Secuity Associations安全联盟，定义了各类类型的安全措施，这些措施的内容包含了IP包加密解密和认证的相关信息）

 

 

1.三、 设置IPSec对等体的验证方法（因为SA是单向的，所以，须要设置预先共享的密码和对端的IP地址或主机名。也就是说有两种验证方法，一种是经过对端主机名进行验证；另外一种是经过对端IP地址进行验证。语法为Router（config）#crypto isakmp key keystring address <hostname> peer-address（peer-hostname）注意：×××链路两端的密码必须匹配。）

 

 

二、配置IPSec相关参数

 

2.1、 指定Crypto map加密用的访问列表（注意：IPSec只用于加密的访问类别，而没有定义的访问列表就等于没有IPSec的验证，直接以明文的方式进行传送。这个不一样于普通的访问控制列表那样“运行”和“拒绝”流量）Crypto访问列表必须是互为镜像的。好比：总部链接外网的路由器加密了全部流向深圳分部链接外网的路由器的IP流量，则分部链接外网的路由器必须加密流回总部链接外网的路由器的全部IP流量。其实，这个相似于windows 系统中的IP安全策略（开始—运行—mmc—添加/删除管理单元—IP安全策略））

考虑到试验的局限性，这里只定义了给IP包和ICMP包（ping包）进行数据的加密，其它数据包正常经过。

 

 

2.二、 配置IPSec工做模式并配置交换集（定义总部和深圳分部之间路由器的IPSec工做模式为传输模式（transport，默认为tunnel）并定义交换集名为aaa ，并使用了ah-md5-hmac的验证参数。定义总部和北京分部之间路由器的工做模式为隧道模式（tunnel）并定义交换集名为bbb，并使用了esp-3des 和esp-sha-hmac。定义总部和上海分部之间路由器的工做模式为隧道模式（trunel）并定义交换集名为ccc，并使用了esp-3des和ah-sha-hmac）

 

工做模式可选择的参数有：（每种参数类型中只能够选择一种方式，但三者能够同时使用，能够看出总部和上海分部之间的IPSec工做模式在三者之间是最安全的）

AH验证参数：ah-md5-hmac、ah-sha-hmac

ESP加密参数：esp-des、esp-3des、esp-null

ESP验证参数：esp-md5-hma、esp-sha-hmac

AH: IPSec认证头提供数据完整性和数据源认证，可是不提供保密服务。

ESP: 带认证的封装安全负荷提供数据完整性和数据源认证，同时也提供了保密服务。可是，其数据源认证没有AH功能强。

 

IPSec的工做模式：

 

传输模式---在传输模式中，IPSec的AH头或ESP头插入原来的IP头以后，而整个过程中，原来的IP头并无进行认证和加密。也就是说，源和目的IP以及全部的IP包头域都是不加密发送的。

 

隧道模式---在隧道模式中，IPSec的AH头或ESP头插入原来的IP头以前，在整个过程当中，加密和认证以后会重新生产一个新的IP头加到AH头或ESP头以前。也就是说，真正的IP源地址和目的地址均可以隐藏为因特网发送的普通数据。所以隧道模式比传输模式具备更高的安全性。同时，隧道模式加密的复杂性也占有了必定的网络带宽。

 

 

2.三、 配置全局IPSec安全关联生命期（全局的和指定接口的SA生命期均可以被配置，SA生命期肯定在它们从新协商前IPSec SA保持有效的时间，在加密映射条目内,全局生命期将被覆盖，当一个SA快要过时时,会协商一个新的,而不会打断数据流）

 

 

 

三、配置加密映射并安全关联（如今已经构造好了×××隧道须要的信息，须要经过配置cryto map将它们整合在一块儿而后运用到指定的接口上）

建立三个Crypto map，所有命名为map-all，并定义不一样的优先级。

以第一条crypto map为例进行讲解：

 

Crypto map map-all 11 ipsec-isakmp：建立crypto map，并命名为map-all，优先级为11（优先级范围为1~65535，值越小，优先级越高），并将IPSec和ISAKMP关联起来。下面有个警告，意思是这个新的crypto map 在没有配置一个对等体或着一个有效的访问控制列表以前，始终保持关闭状态。

Match address 112：匹配前面定义的加密访问控制列表，编号必须相同。

Set peer 160.160.160.2：指定所对应×××链路对端的IP地址，IP地址应该同前面在IKE中配置的对端IP地址相同。

Set transform-set aaa：指定了此Crypto Map所使用的交换集名称，这个名称应该与IPSec中配置的交换集名称相同。

Set pfs group1：关联共享密钥的交换方式，应该与配置IKE协商阶段使用的交换方式相同。

 

 

四、应用Crypto Map到端口

注意：在端口上只能应用一种crypto map，因此要将三个crypto map综合到一块儿，并配置一样的名称map-all。

 

****************R4的具体配置*******************

 

一、配置IKE协商（创建IKE协商策略，并配置IKE协商参数，应与R1上配置 对应的策略相同）

 

 

二、 设置IPSec对等体的验证方法（预共享密钥为123456，对等实体地址为100.100.100.1）

 

 

三、 设置IPSec的相关参数（crypto map加密用的访问列表）

 

 

四、 配置IPSec工做模式为隧道模式，并配置交换集名称为aa ，内容为ah-md5-hmac

 

 

五、配置全局IPSec安全关联生命期为86400（对等体两端必须同样）

 

 

六、 配置加密映射并安全关联（定义crpto map的名称为map-1 优先级为20）

 

 

七、 应用Crypto map到对应的端口上

 

 

****************R5的具体配置********************

 

 

***************R6的具体配置*****************

 

 

4、 设置PC1、PC2、PC3、PC4的IP地址、子网掩码以及网关。（注意写法：“ip ip-address ip-gateway /子网掩码”

 

 

在PC1上（总部）分别ping分部主机的IP地址，能够看出隧道已创建成功。

 

 

在PC4上（上海分部）ping公网的IP地址，能够看出是ping不通的，由于公网对于×××来讲只是一条透明的链路而已。

 

 

5、 IPSec ×××配置的检查（以R1和R4为例进行说明）

 

一、 使用show crypto isakmp policy命令能够查看所配置的IKE策略（经过两个路由器上IKE策略的对比进行排错）

 

 

二、 使用show crypto isakmp key 能够查看×××两端的共享实体的IP地址或者主机名，预共享密钥。

 

 

三、 使用show crypto isakmp sa能够查看×××对等实体两端的IP地址参数，若是协商不成功，是没有这些参数出现的。

 

 

四、 使用show crypto ipsec sa查看安全联盟当前使用的设置。在ping的过程当中，还能看到数据包的增长过程。

 

 

五、 使用show crypto ipsec security-association-lifetime查看全局IPSec安全关联生命周期。（注意：对等实体两端是同样的）

 

 

六、 使用show crypto ipsec transform-set能够查看IPSec的工做模式以及变换集的配置。

 

 

七、 使用show crypto map 显示全部配置在路由器上的Crypto Map，便于更详细的查看。

 

 

6、 实验总结：

一、 配置多条×××隧道的时候，注意在端口只能应用一个Crypto Map，若是有多条×××，应该将全部的crypto map定义相同的名称。

 

二、 配置Crypto Map时候所使用的密钥交换方式应该与IKE阶段所配置的密钥交换方式相同。

 

三、 配置交换集的时候，每种类型只能选择一种参数。

 

四、 定义Crypto加密访问列表时候，注意应用的前后次序，记得将特殊的放到前面，而后再将通常的放到后面。最后加上access-list access-list-number deny ip any any，拒绝其它没有数据经过。

 

五、 检查Crypto加密访问列表出错，应该从新定义访问列表，删除或者添加某一条都不会生效的。

 

六、 检查错误的时候，若是内容较多，也可使用show running将两个结果进行对比排错。

 

七、 使用DynamipsGUI 2.8的时候，若是路由器启动起来，最好让路由器一直处于当前会话状态，千万别退出会话，这样会消耗更多内存形成对实验的干扰。能够在全局模式下使用命令line console 0，而后进去使用exec-time 0 0就能够了。

 

八、 在配置××× IPSec以前最后让全网都互通，可使用ping命令，让各自路由器里都学习到其它路由器的路由条目，以避免形成对实验的干扰。

 

九、 配置IKE协商参数应该与对应的交换集保持一致。