Cisco路由器实现IPSECVPN配置.doc

Cisco路由器实现IPSEC VPN配置（站点到站点）目标a. 分公司172.16.10.0/24，网络的主机可以通过VPN访问总部服务器10.10.33.0/24，但不能访问Internetb. 分公司的其它客户端(172.16.0.0/24)可以访问Internet实验设备1、Cisco路由器（IOS为12.4）2、客户机3台，IP地址，见拓扑图，F0/0连接外网实验步骤R1上的配置Router(config)#hostname R1R1(config)#int f0/0R1(config-if)#ip add 100.0.0.1 255.255.255.0R1(config-if)#no shR1(config-if)#int f0/1R1(config-if)#ip add 172.16.10.254 255.255.255.0R1(config-if)#no sh/配置默认路由R1(config-if)#ip route 0.0.0.0 0.0.0.0 100.0.0.2在IPSEC中，IKE被用来自动协商SA和密钥，如果被关闭用crypto isakmp enable启用R1(config)#crypto isakmp policy 1/建立IKE协商策略，编号为1R1(config-isakmp)#encryption 3des/设置加密使用的算法为3DESR1(config-isakmp)#hash sha/设置密钥认证的算法为shaR1(config-isakmp)#authentication pre-share/告诉router要先使用预共享密钥，手工指定R1(config-isakmp)#group 2R1(config-isakmp)#lifetime 10000/声明SA的生存时间为10000，超过后SA将重新协商R1(config-isakmp)#exitR1(config)#crypto isakmp key 0 test address 100.0.0.2/设置加密密钥为test，要求二端的密码相匹配，和对端地址(总部Router地址)配置访问控制列表注意：1. 当一个路由器接收到发往另一个路由器的内部网络报文时，IPSEC被启动，访问列表被用于确定哪些业务将启动IKE和IPSEC协商2. Crypto访问控制列表必须是互为镜像的，如：R1加密了所有流向R2的TCP流量，则R2必须加密流回R1的所有TCP流量R1(config)#access-list100permit ip172.16.10.0 0.0.0.25510.10.33.0 0.0.0.255/定义从172.16.10.0网络发往10.10.33.0的报文全部加密/配置IPSEC传输模式，用于定义VPN隧道的认证类型，完整性与负载加密R1(config)#crypto ipsec transform-setvpn-setesp-des ah-sha-hmacR1(cfg-crypto-trans)#mode tunnel /可选R1(cfg-crypto-trans)#exitR1(config)#crypto ipsec security-association lifetime seconds 1800/定义生存周期1800秒/配置caypt map(加密映射)R1(config)#crypto maptest-map1 ipsec-isakmp /创建crypto map/IPSEC-ISAKMP表示采用自动协调，名为test-map,编号1为优先级，越小优先级越高R1(config-crypto-map)#set peer 100.0.0.2/设定crypto map所对应的VPN链路对端IPR1(config-crypto-map)#set transform-setvpn-set/指定crypto map所使用传输模式名R1(config-crypto-map)#match address100/指定此crypto map使用的访问控制列表R1(config-crypto-map)#exit/将映射应用到对应的接口上，VPN就可生效了R1(config)#int f0/0R1(config-if)#crypto maptest-map/配置PATR1(config)#access-list 1 deny 172.16.10.0 0.0.0.255/研发部不能访问InternetR1(config)#access-list 1 permit 172.16.0.0 0.0.255.255/其它部门可以访问InternetR1(config)#ip natinsidesource list 1 interface f0/0overload/在F0/0上启用PATR1(config)#int f0/0R1(config-if)#ip nat outsideR1(config)#int f0/1R1(config-if)#ip nat insideR2上的配置(总部上路由器设置)R2(config)#int f0/0R2(config-if)#ip add 100.0.0.2 255.255.255.0R2(config-if)#no shR2(config)#int f0/1R2(config-if)#ip add 10.10.33.254 255.255.255.0R2(config-if)#no shR2(config-if)#ip route 0.0.0.0 0.0.0.0 100.0.0.1/IPSEC VPN的配置，含义与R1基本相同R2(config)#crypto isakmp policy 1/建立IKE协商策略，编号为1R2(config-isakmp)#encryption 3desR2(config-isakmp)#hash sha/设置密钥认证的算法为shaR2(config-isakmp)#authentication pre-share/告诉router要先使用预共享密钥，手工指定R2(config-isakmp)#group 2R2(config-isakmp)#lifetime 10000R2(config-isakmp)#exitR2(config)#crypto isakmp key 0 test address 100.0.0.1/设置共享密钥为test，要求二端的密码相匹配，和对端地址(总部Router地址)R2(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255/定义从10.10.33.0网络发往172.16.10.0的报文全部加密R2(config)#crypto ipsec transform-set vpn-set esp-des ah-sha-hmac/加密算法二边要匹配R2(cfg-crypto-trans)#mode tunnelR2(cfg-crypto-trans)#exitR2(config)#crypto ipsec security-association lifetime seconds 1800R2(config)#crypto map test-map 1 ipsec-isakmp/IPSEC-ISAKMP表示采用自动协调，名为test-map,编号1为优先级，越小优先级越高R2(config-crypto-map)#set peer 100.0.0.1/设定crypto map所对应的VPN链路对端IPR2(config-crypto-map)#set transform-set vpn-set/指定crypto map所使用传输模式名R2(config-crypto-map)#match address 100/指定此crypto map使用的访问控制列表R2(config-crypto-map)#exit应用到接口，生效R2(config-crypto-map)#int f0/0R2(config-if)#crypto map test-map相关验证结果的查看命令显示ISAKMP协商策略的结果R2#sh crypto isakmp policy查看管理连接SA的状态R2#sh crypto isakmp saR2#sh crypto ipsec transform-set显示IPSEC变换集R2#sh crypto ipsec transform-set显示数据数据连接SA的细节信息R2#sh crypto ipsec sa显示Crypto Map的信息R2#sh crypto map按上面的配置好后，发现用分公司172.16.10.0/24可以ping通10.10.33.0/24，但是从抓包来看，流量并未使用ipsec vpn，而是直接传输的，ipsec vpn没有生效。通过抓包发现，采用上面的配置时，若使用172.16.10.0/24 ping 10.10.33.0/24，源地址是100.0.0.1，也就是路由器的外部全局地址，但是ipsec的隧道兴趣流规则定义是对于源地址为172.16.10.0 0.0.0.255目标地址为10.10.33.0 0.0.0.255的流量才使用，于是我认为应该在R1添加一句access-list100permit ip100.0.0.0 0.0.0.25510.10.33.0 0.0.0.255让源地址为100.0.0.1的流量也是兴趣流。添加后再ping时，发现ping不通10.10.33.0/24了，于是抓包，从wireshark里面看有quick mode的网络包，说明流量已经是走ipsec vpn了，但是由于某些原因未能通讯上，此时再看R2的CONSOLE，发现有“Processing of Quick mode failed”消息提示。通过检查R2的配置，发现兴趣流也没有定义是源地址为100.0.0.2，目上标地