怎样基于路由器实现IPSec ×××

 

许多人问我，怎么去实现IPSec ××× 技术，我将这个作了一个案例，告诉你们怎样去配置一个基于路由器实现IPSec ×××。

 

 

因工做须要，要求在公司的南京办事处与上海办事处之间创建×××联接。南京办事处网络设置：内网I P 10.1.1 .0/24，外网IP 202.102.1.5/24；上海办事处网络设置：内网I P 10.1.2 .0/24，外网IP 202.102.1.6/24。

　　在两边的路由器上都要进行如下配置步骤：

1、配置IKE中的加密算法

2、配置IKE密钥方法

3、定义转换集

4、创建加密图

5、设置隧道端口

6、配置内网口

7、配置外网口

8、创建访问列表

　　南京路由器配置以下：

!
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Nanjing
!
enable cisco

1、配置IKE中的加密算法

crypto isakmp policy 1
注释：生成iskamp policy number 1。policy 1表示策略1，假如想多配几个×××，能够写成policy 2、policy3 … …

encryption des
注释：选择用DES encryption也可用3DES指定三倍DES加密

hash sha
注释：指定使用的散列算法，也能够是md5（二端保持一致）

authentication pre-share
注释：告诉路由器要使用预先共享的密码。

group 1
注释：指定为Diffie-Hellman组。除非购买高端路由器，或是×××通讯比较少，不然最好使用group 1长度的密钥，group命令有两个参数值：1和2。参数值1表示密钥使用768位密钥，参数值2表示密钥使用1024位密钥，显而后一种密钥安全性高，但消耗更多的CPU时间。

lifetime 14400
注释：对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400，也就是一天。值得注意的是两端的路由器都要设置相同的SA周期，不然×××在正常初始化以后，将会在较短的一个SA周期到达中断。不设则为默认值。

2、配置IKE密钥方法

crypto isakmp identity address
注释：指定与远程路由器通讯时使用isakmp标识

crypto isakmp key 654321 address 202.102.1.6
注释：返回到全局设置模式肯定要使用的预先共享密钥和指向×××另外一端路由器IP地址，即目的路由器IP地址。相应地在另外一端路由器配置也和以上命令相似，只不过把IP地址改为202.102.1.5。

crypto isakmp key 654321 address 192.168.1.2
注释：对远程路由器隧道端口192.168.1.2使用密钥654321

3、定义转换集

crypto ipsec transform-set test1 ah-md5-hmac esp-des esp-md5-hmac
注释：这里在两端路由器惟一不一样的参数是test1，这是为这种选项组合所定义的名称。在两端的路由器上，这个名称能够相同，也能够不一样。以上命令是定义所使用的IPSec参数。为了增强安全性，要启动验证报头。因为两个网络都使用私有地址空间，须要经过隧道传输数据，所以还要使用安全封装协议。最后，还要定义DES做为保密密码钥加密算法。能够定义一个或多个转换集

4、创建加密图

crypto map cmap1 local-address serial 0
注释：定义加密图cmap1并指定s0为本地地址

crypto map cmap1 1 ipsec-isakmp
注释：用序号1设置加密图

set peer 202.102.1.6
set peer 192.168.1.2
注释：这是标识对方路由器的合法IP地址。在远程路由器上也要输入相似命令，只是对方路由器地址应该是202.102.1.5。

set transform-set test1
注释：标识用于这个链接的转换集

match address 111
注释：标识用于这个链接的访问列表。

process-max-time 200

5、设置隧道端口

interface Tunnel0
ip address 192.168.1.1 255.255.255.0
tunnel source 202.102.1.5
tunnel destination 202.102.1.6
crypto map cmap

6、设置内网口

interface Ethernet0
ip address 10.1.1 .1 255.255.255.0

7、设置外网口

interface serial0
ip address 202.102.1.5 255.255.255.0
no ip mroute-cache
no fair-queue
crypto map cmap
注释：将刚才定义的密码图应用到路由器的外部接口。

ip classless

8、创建访问列表

access-list 111 permit ip host 202.102.1.5 host 202.102.1.6
access-list 111 permit ip host 202.102.1.6 host 202.102.1.5
access-list 111 permit i p 10.1.1 .0 0.0.0.255 202.102.1.0 0.0.0.255
access-list 111 permit i p 10.1.2 .0 0.0.0.255 202.102.1.0 0.0.0.255
access-list 111 permit i p 10.1.1 .0 0.0.0.255 10.1.2.0 0.0.0.255
access-list 111 permit i p 10.1.2 .0 0.0.0.255 10.1.1.0 0.0.0.255
注释：在这里使用的访问列表号不能与任何过滤访问列表相同，应该使用不一样的访问列表号来标识×××规则。

!
line con 0
line aux 0
line vty 0 4
==============================
password cisco
login
!
end
!

上海路由器配置以下：

!
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname shanghai
!
enable cisco
!
!
!------如下配置加密--------
crypto isakmp policy 1
 生成iskamp policy number 1
encryption des 选择用DES encryption也可用3DES指定三倍DES加密
hash sha 指定使用的散列算法，也能够是md5（二端保持一致）
authentication pre-share
group 1 指定为Diffie-Hellman组,1表示768位,2表示1024位
lifetime 14400 指定安全关联的有效期，不设就为默认值
------如下配置密钥方法-----
crypto isakmp identity address 指定与远程路由器通讯时使用isakmp标识
crypto isakmp key 654321 address 202.102.1.5 对远程路由器端口202.102.1.6使用密钥654321
crypto isakmp key 654321 address 202.102.1.6 对远程路由器端口202.102.1.6使用密钥654321
crypto isakmp key 654321 address 192.168.1.1 对远程路由器隧道端口192.168.1.2使用密钥654321
!
------如下定义一个转换集-----
crypto ipsec transform-set tset1 ah-md5-hmac esp-des esp-md5-hmac 能够定义一个或多个集
!
!
-------如下创建加密图------
crypto map cmap1 local-address serial 0 定义加密图cmap1并指定s0为本地地址
crypto map cmap1 1 ipsec-isakmp 用序号1设置加密图
set peer 202.102.1.5 设定目标地址
set peer 202.102.1.6
set peer 192.168.1.1
set transform-set test1 指定转换集
match address 111 指定加密访问列表111中的地址
!
!
process-max-time 200
!
-------如下设置隧道端口------
interface Tunnel0
ip address 192.168.1.2 255.255.255.0
tunnel source 202.102.1.6
tunnel destination 202.102.1.5
crypto map cmap
!
-------如下设置内网口------
interface Ethernet0
ip address 10.1.2 .1 255.255.255.0
!
-------如下设置外网口------
interface serial0
ip address 202.102.1.6 255.255.255.0
no ip mroute-cache
no fair-queue
crypto map cmap
!
ip classless
!
-------如下创建访问列表111------
access-list 111 permit ip host 202.102.1.5 host 202.102.1.6
access-list 111 permit ip host 202.102.1.6 host 202.102.1.5
access-list 111 permit i p 10.1.1 .0 0.0.0.255 202.102.1.0 0.0.0.255
access-list 111 permit i p 10.1.2 .0 0.0.0.255 202.102.1.0 0.0.0.255
access-list 111 permit i p 10.1.1 .0 0.0.0.255 10.1.2.0 0.0.0.255
access-list 111 permit i p 10.1.2 .0 0.0.0.255 10.1.1.0 0.0.0.255
!
line con 0
line aux 0
line vty 0 4
==============================
password cisco
login
!
end
!

如今剩下的部分是测试这个×××的链接，而且确保通讯是按照预期规划进行的。

最后一步是不要忘记保存运行配置，不然所做的一切就白费了。