思科专家级认证.doc

ccie r&s v4.0 理论ipsec vpn 目录隧道技术举例手动点对点greipsecvpn分类ipsec特征加密术语加密算法数字签名ipsec安全协议验证报头（ah）封装安全有效负载（esp）密钥管理和安全关联ipsec分组的处理配置步骤总结各类ipsec范畴vpn普通lan_to_lan vpndynamic lan_to_lan vpndynamic multipoint vpn (dmvpn)easy vpn (ezvpn) 又名远程vpn或接入vpnssl vpn隧道技术图1：如上图所示，在普通情况下，穿越了公网的两个lan的pc，是无法直接通过输入对方lan的内网ip地址进行访问的，无法解决公司的某些办公问题和数据访问问题。图2：如上图所示，如果两个lan的路由器是直接相连，那么任何pc都可以直接输入对方lan的内网ip地址进行访问，解决公司的办公和数据访问等任何问题。但是lan和lan之间，有时因为距离问题或成本问题，无法做到直接相连路由器，必须得穿越公网，这样就无法解决上述的访问需求，要解决此类问题，可通过隧道技术，对ip包头重新封装，保留内网地址同时对isp隐藏，待穿越了isp之后，到达目标lan路由器，再还原ip包头，此时再查看最初的目的ip（即内网ip）。如下图： 返回目录举例 返回目录手动点对点gre通过手动tunnel来解决远程lan之间使用内网地址互访： 返回目录ipsec在穿越了公网的lan需要直接使用内网地址访问对端pc时，可通过隧道技术来解决，而且隧道技术是当前解决此问题的唯一方法，隧道技术可在osi二层的三层实施，隧道技术，正是vpn技术。然而，由于lan与lan之间传输的数据带有私密性，有时必须考虑到数据的安全性，需要对数据进行加密后再传输。所以在隧道技术vpn的环境下，最好能够在隧道中集成加密技术。而ipsec，正是在这种需求下诞生的，ipsec就同时集成了隧道技术和加密技术，称为ipsec vpn，而ipsec，是定义隧道如何实现，加密如何实施，是一系列框架的总结，ipsec并非一个单纯的协议。 返回目录vpn分类二层vpn递送报头在二层，如：atm,帧中继三层vpn递送报头在三层，如：gre,mpls,ipsecgre(通用路由选择封装)由cisco开发，并被标准化，但没有安全机制。mpls vpn，也是cisco倡导的，也被ietf标准化。ipsec vpn用户关心数据安全性，ipsec是ietf开发的一组协议，支持身份验证，完整性，访问控制和机密性。在普通情况下，两个lan之间建立隧道的vpn，称为lan_to_lan vpn，vpn另一方预先不知道的，可使用远程接入vpn，称为easy vpn (ezvpn)。 返回目录ipsec特征安全协议：验证报头（ah），封装安全有效负载（esp）密钥管理：isakmp , ike , skeme算法：用于加密和身份验证 返回目录加密以往的字母替换法。 返回目录术语 返回目录加密算法加密和解密的数学函数，数据安全是建立在密钥基础上的，知道算法没关系，没有密钥没用。加密算法分：对称加密算法和非对称加密算法。对称加密算法：发送方和接收方使用相同的密钥，使用什么加密，就使用什么解密，所以要有好的方法分发密钥，要不然被截取，依然不安全，常见算法有：des,3des,aes.des 56位，不推荐,24小时内可枚举破解。非对称加密算法：也叫公钥算法，用两个密钥，加密的叫公钥，可以公开，解密的是私钥，在数学上是相关的，但无法推导。任何有公钥的人都可以加密，但只有有私钥的人才能解密，而私钥只有接受方才知道，可以不传出去。公钥算法没有完全取代对称算法，只是用作他们的密钥分发，因为自己慢，所以不会取代对称加密，只是他们的补充。 返回目录数字签名公钥加密可以用来验证消息，叫做数字签名，有不可抵赖性，思想是将变长的消息转换成定长的压缩输出-消息摘要，根据消息摘要无法重建原始消息。过程：要发文件给对方，先计算一个摘要，然后公钥对摘要进行加密变成数字签名，将文件和签名一起发过去，如果对方根据文件计算出的摘要与原有不符，便认为被改过.对消息摘要进行加密,称为加密的消息摘要,或叫消息验证码(hmac) （hash） 返回目录ipsec安全协议ipsec提供访问控制,数据完整性,身份验证,防止重放和数据机密性。安全协议有：验证报头（ah），封装安全有效负载（esp），为ip数据提供安全。有两种模式，传输模式和隧道模式。传输模式：在ip报头和高层协议报头之间插入一个ipsec报头（ah或esp），ipsec报头和数据都有加密验证，认为目的地是可达的，所以源不会修改目标ip地址，只能用于ip端点和ipsec端点相同的情形。（比如就是两个点之间直接给自己使用vpn，而不是给别人使用）所以传输模式不能进行nat转换。隧道模式：保留原始ip报头，写入新报头，并加密其它。 返回目录验证报头（ah）提供数据完整性,身份验证,防止重放，但没有机密性。它是一种ip协议，位置同esp。 返回目录封装安全有效负载（esp）提供数据完整性,身份验证,防止重放和数据机密性，将原始的加密后封装在报头和报尾，保护ip分组。 返回目录密钥管理和安全关联加密算法用的最多的是des和3des,所以要解决分发问题。生成，分发和存储统称为密钥管理， 下面internet密钥交换（ike）协议就是协商密钥的。sa（安全关联）（ike）isakmp在ios上配置ike：crypto isakmp policy 10encr 3deshash md5 authentication pre-sharegroup 2 加密算法包括：des，3des，aes验证方法有4种：预共享密钥（最多），数字签名（最多），2次公钥加密和4次公钥加密。预共享密钥必须双方一致，数字签名验证时，ios只支持rsa，要用证书。 返回目录ipsec分组的处理安全策略数据库（spd）安全关联数据库（sadb）安全策略数据库（spd）决定了如何处理对等体之间的ip数据流安全关联数据库（sadb）包含每个活动安全关联参数安全策略数据库（spd）包含：目标ip，源ip，名称，数据敏感性等级，传输层协议，源和目标端口。安全关联数据库（sadb），每个条目都宣言了一个sa，有关以下参数：序列号，序列号溢出，反重放窗口，sa寿命，模式：传输还是隧道ah验证算法：md5还是shaesp验证算法：md5还是shaesp加密算法：des,3des查看sa：sh cry ipsec sa配置加密算法和封装方法（还可定义模式）：crypto ipsec transform-set xxx esp-3des esp-sha-hmac使用安全协议esp，用3des来加密，用sha-hmac来确保数据完整性，使用隧道模式来封装（默认），查看使用：sh cry ipsec transform-set看ike协商sh cry isakmp policy配置：authentication pre-sharegroup 2 （默认组1，就是ike相关算法） 配置密钥：crypto isakmp key cisco123 address 查看：sh cry isakmp sa 返回目录配置步骤总结一：isakmp sa步骤：1定义ike（internet密钥交换），即isakmp2配置密钥3配置加密和封装二：ipsec sa步骤：1创建邻居2调用isakmp的加密和封装3定义要穿越vpn的流量三：应用ipsec sa到接口 返回目录各类ipsec范畴vpn 返回目录1 普通lan_to_lan vpn此类vpn，即两个穿越了isp的lan之间建立vpn连接，为其内网pc与远程lan的pc直接通过内网ip进行互访。配置：一：isakmp sa步骤：1定义ike（internet密钥交换），即isakmprouter(config)#crypto isakmp policy 1router(config-isakmp)#encryption 3des router(config-isakmp)#hash md5 router(config-isakmp)#authentication pre-share router(config-isakmp)#group 2router(config-isakmp)#exit2配置密钥router(config)#crypto isakmp key 0 cisco123 address 3配置加密和封装router(config)#crypto ipsec transform-set abc esp-3des esp-md5-hmac router(cfg-crypto-trans)#exit二：ipsec sa步骤：router(config)#access-list 100 permit ip 55 55router(config)#crypto map vpn 1 ipsec-isakmp 1创建邻居router(config-crypto-map)#set peer 2调用isakmp的加密和封装router(config-crypto-map)#set transform-set abc3定义要穿越vpn的流量router(config-crypto-map)#mat address 100router(config-crypto-map)#exit三：应用ipsec sa到接口router(config)#int f0/0router(config-if)#crypto map vpnrouter(config-if)#exit 返回目录2dynamic lan_to_lan vpn 此类vpn，用于当需要建立vpn的lan多于两个，需要在多个场点之间建立连接，可能有的场点ip地址不固定，使用了dhcp服务。那么，在多个lan之间建立lan_to_lan vpn时，其中一方必须固定ip地址，但其它均可浮动ip地址，只要保证两点之间，一方能够找到另一方即可。之前普通lan_to_lan vpn的某些规则在此便不适用，因为对端lan是浮动ip时，本端无法为明确的对端配置预共享密钥，只能对任意ip配置。此类vpn，需要调用一个组的概念，而密钥和对端的ip均是在组下完成。并且将该组与加密和封装做好动态组映射，集成到ipsec sa中，最后应用到接口下：hub端：配置：hub端（固定的ip地址）：一：isakmp sa步骤：1定义ike（internet密钥交换），即isakmprouter(config)#crypto isakmp policy 10router(config-isakmp)#encryption 3des router(config-isakmp)#hash md5 router(config-isakmp)#authentication pre-share router(config-isakmp)#group 2router(config-isakmp)#exi2配置密钥router(config)#crypto keyring spokesrouter(conf-keyring)#pre-shared-key address key 0 cisco123router(conf-keyring)#exi3配置加密和封装router(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac router(cfg-crypto-trans)#exidynamic部分1.将邻居和密钥映射成动态框架router(config)#crypto isakmp profile l2lrouter(conf-isa-prof)#keyring spokesrouter(conf-isa-prof)#mat identity address router(conf-isa-prof)#exi2.创建动态组(集合动态框架和加密封装方法)router(config)#crypto dynamic-map mmm 5router(config-crypto-map)#set transform-set mysetrouter(config-crypto-map)#set isakmp-profile l2lrouter(config-crypto-map)#exit二：ipsec sa步骤：router(config)#crypto map vpn 10 ipsec-isakmp dynamic mmm三：应用ipsec sa到接口router(config)#int s0/0router(config-if)#crypto map vpnrouter(config-if)#exitspoke端（浮动的ip地址）：配置同普通lan_to_lan vpn一：isakmp sa步骤：1定义ike（internet密钥交换），即isakmprouter(config)#crypto isakmp policy 1router(config-isakmp)#encryption 3des router(config-isakmp)#hash md5 router(config-isakmp)#authentication pre-share router(config-isakmp)#group 2router(config-isakmp)#exit2配置密钥router(config)#crypto isakmp key 0 cisco123 address 3配置加密和封装router(config)#crypto ipsec transform-set abc esp-3des esp-md5-hmac router(cfg-crypto-trans)#exit二：ipsec sa步骤：router(config)#access-list 100 permit ip 55 55router(config)#crypto map vpn 1 ipsec-isakmp 1创建邻居router(config-crypto-map)#set peer 2调用isakmp的加密和封装router(config-crypto-map)#set transform-set abc3定义要穿越vpn的流量router(config-crypto-map)#mat address 100router(config-crypto-map)#exit三：应用ipsec sa到接口router(config)#int f0/0router(config-if)#crypto map vpnrouter(config-if)#exit 返回目录3 dynamic multipoint vpn (dmvpn)背景：多点grenext hop resolution protocol (nhrp)配置：hub端配置interface tunnel0ip address ip mtu 1440ip nhrp authentication cisco123 双方必须相同ip nhrp map multicast dynamic 没有这条，用组播的路由协议无法建立ip nhrp network-id 100 双方标识符ip ospf network point-to-multipointtunnel source serial1/1tunnel mode gre multipointtunnel key 0tunnel protection ipsec profile ciscocrypto isakmp policy 10en 3deshash md5authentication pre-sharegroup 2crypto isakmp key cisco123 address crypto ipsec transform-set strong esp-3des esp-md5-hmac crypto ipsec profile ciscoset security-association lifetime seconds 120set transform-set strong interface tunnel0tunnel protection ipsec profile ciscospoke配置interface tunnel0ip address ip mtu 1440ip nhrp authentication cisco123ip nhrp map multicast dynamicip nhrp map 向去请求gre并注册ip nhrp map multicast 没有这条，用组播的路由协议无法建立ip nhrp network-id 100ip nhrp nhs 配置下一跳服务器ip ospf network point-to-multipointtunnel source fastethernet0/0tunnel mode gre multipointtunnel key 0tunnel protection ipsec profile ciscocrypto isakmp policy 10en 3deshash md5authentication pre-sharegroup 2crypto isakmp key cisco123 address crypto ipsec transform-set strong esp-3des esp-md5-hmac crypto ipsec profile ciscoset security-association lifetime seconds 120 维护sa状态的时间，默认一小时 set transform-set strong interface tunnel0tunnel protection ipsec profile cisco查看命令：show ip protocol 查看nhrpshow ip nhrp briefshow ip nhrpipsec查看：show crypto isakmp sa show crypto isakmp peers show crypto session show crypto ipsec sa 只能看到对端，不能看到后面lan额外补充：默认情况下，cdp不开，在tunnel下是看不到对端的但在spoke情况下，最好在外网接口不开cdp，因为开了，运行odr时，会把外网地址发过去，然后hub就会从tunnel到该外网地址，可tunnel是依靠外网地址的，成为死循环。 返回目录4. easy vpn (ezvpn) 又名远程vpn或接入vpn此类vpn可使用传输模式，突破nat限制。配置：server配置aaa authentication login hyhy localaaa authorization network abc local username aaa password bbb crypto isakmp policy 1en 3deshash md5 authentication pre-sharegroup 2 crypto isakmp client configuration group ghdkey ciscodomain pool ccieacl 111 crypto ipsec transform-set ttt esp-des esp-md5-hmac ip local pool ccie 0 0 access-list 111 permit ip any any有类似dynamicvpn的部分创建动态组(集合动态框架和加密封装方法)crypto dynamic-map jiaojiao 1set transform-set ttt reverse-routeipsec sa步骤：crypto map vpn client authentication list hyhycrypto map vpn isakmp authorization list abccrypto map vpn client configuration address respondcrypto map vpn 1 ipsec-isakmp dynamic jiaojiao interface serial0/0crypto map vpn 返回目录5. ssl vpnezvpn在拨入时，pc需要安装client软件，通过软件来认证，ssl vpn 则省略pc安装client软件的过程，认证过程采用登陆网页的方式来认证，但须支持java。配置：开aaarouter(config)#aaa authentication login default localrouter(config)#aaa authentication login ssl localrouter(config)#username aaa password bbb上传软件：router#format flash: format operation may take a while. continue? confirmformat operation will destroy all data in flash:. continue? confirmcurrent low end file system flash card in flash: will be formatted into dos file system flash card! continue? confirmprimary partition created.size 16 mbdrive communication & 1st sector write ok.writing monlib sectors.monlib write complete format: all system sectors written. ok.format: total sectors in formatted partition: 32736format: total bytes in formatted partition: 16760832format: operation completed successfully.format of flash: completerouter#copy ftp: flash:address or name of remote host ? source filename ? sslclient.pkgdestination filename sslclient.pkg? accessing /sslclient.pkg.loading sslclient.