CCIE安全性:带有加密映射的站点到站点IOS 虚拟专用网

在本文中,我将介绍如何在IOS上配置站点到站点VPN。我们将采用上一篇博客文章中学到的知识并将其应用于此处。我认为最好的解释方式是Khawar Butt向他解释的方式,他说您应该分阶段分解VPN配置,以帮助您记住并知道需要添加的内容。 对于那些不知道Khawar Butt是谁的人,我将在短期内写一篇关于他的课程的评论,但是您可以看到他的作品的样本 这里.  

 

在构建站点到站点VPN配置时,请记住每个阶段基本需要的内容。

 

阶段1

这是创建双向ISAKMP通道进行协商的地方。 您应该创建的第一件事是策略。一个策略至少应包含以下内容:

  • 身份验证方法
  • 加密演算法
  • 哈希算法 
  • Diffie-Hellman集团

 

我们在如下所示的加密ISAKMP策略中定义它们:

crypto isakmp policy 10 
authentication pre-share
enryption aes
hash sha256
group 2

 

接下来,我们将要指定ISAKMP对等点以及用于建立该ISAKMP隧道的密钥:

crypto isakmp key cisco123 address 2.2.2.1

 

至此,您已经完成了阶段1所需的基本配置。让我们进入阶段2。

 

阶段2

此阶段的目的是在对等方(IPSec SA)之间建立两个单向通道,以便可以安全地发送数据。为了建立这些渠道,需要满足以下条件:

  1. 加密演算法
  2. 哈希算法
  3. 定义应该加密哪些“有趣”流量(代理ID)
  4. 定义谁是谁 
  5. 将加密货币应用于接口

 

要定义前两个要求,您将创建一个IPSec转换集,在其中定义加密和哈希算法:

cyrpto ipsec transform-set <tset-name> esp-aes 256 esp-sha512-hmac


注意:您也可以使用以下命令配置IPSec模式 方式运输 要么 模式隧道。默认情况下,它设置为 模式隧道 在IOS中,我将采用这种方式来简化本文,但是,如果您需要了解什么是隧道与传输模式,请查阅我的上一篇博客文章。 

 

对于下一个需求,我们将在访问列表中定义有趣的流量。基本上,这就是应该对流量进行加密并通过VPN传递的内容。您将指定本地子网和远程子网。

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

 

然后,我们将所有需求1到4捆绑在一起,称为“加密映射”,然后将其应用于接口。

crypto map <map-name> <number> ipsec-isakmp 
match address 虚拟专用网-TRAFFIC 
set peer <peer-public-ip>
set transform-set <tset-name>

注意:您可以在路由器的配置中定义多个加密映射,但是一次只能将一个加密映射应用于一个接口。如果您的路由器需要从同一接口连接到多个对等方,则将需要在单个加密映射中定义对等方。 

您可以使用不同的变换集和匹配的ACL将另一个编号条目添加到密码映射中。该配置如下所示:

crypto map CMAP 10 ipsec-isakmp
match address 101
set peer 2.2.2.1
set transform-set TSET

crypto map CMAP 20 ipsec-isakmp
match address 102
set peer 3.3.3.1
set transform-set TSET2

最后,我们将使用加密映射将IPSec配置中的所有元素联系在一起,并将其应用于接口。 

interface g1
crypto map CMAP

在将加密映射应用于接口之后,您应该看到一条控制台消息,指示ISAKMP已打开:

%CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

 

验证

此时,我们将要验证VPN是否正常工作。如果没有流量通过隧道,则最初不会看到任何东西。确认没有任何内容被发送或加密的一种好方法是发出 显示crypt ipsec sa 命令:

从输出中可以看到,尚未发送任何内容。即使我没有为另一侧的子网设置路由协议或设置静态路由,由于我的匹配ACL,我的边缘路由器仍知道将流量发送到192.168.2.0/24子网的位置。从上面可以看到加密地图。 

我要做的下一件事是通过从一个子网到另一个子网ping通来触发将流量从一个对等方发送到另一对等方。如果您要发出 显示crypto isakmp sa,您可以看到已形成且当前处于活动状态的ISAKMP通道:

然后回头看看我们 显示crypt ipsec sa 输出,我们可以看到数据包被加密和解密了。