怎樣基於路由器實現IPSec ×××

 

許多人問我，怎麼去實現IPSec ××× 技術，我將這個作了一個案例，告訴你們怎樣去配置一個基於路由器實現IPSec ×××。

 

 

因工做須要，要求在公司的南京辦事處與上海辦事處之間創建×××聯接。南京辦事處網絡設置：內網I P 10.1.1 .0/24，外網IP 202.102.1.5/24；上海辦事處網絡設置：內網I P 10.1.2 .0/24，外網IP 202.102.1.6/24。

　　在兩邊的路由器上都要進行如下配置步驟：

1、配置IKE中的加密算法

2、配置IKE密鑰方法

3、定義轉換集

4、創建加密圖

5、設置隧道端口

6、配置內網口

7、配置外網口

8、創建訪問列表

　　南京路由器配置以下：

!
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Nanjing
!
enable cisco

1、配置IKE中的加密算法

crypto isakmp policy 1
註釋：生成iskamp policy number 1。policy 1表示策略1，假如想多配幾個×××，能夠寫成policy 2、policy3 … …

encryption des
註釋：選擇用DES encryption也可用3DES指定三倍DES加密

hash sha
註釋：指定使用的散列算法，也能夠是md5（二端保持一致）

authentication pre-share
註釋：告訴路由器要使用預先共享的密碼。

group 1
註釋：指定爲Diffie-Hellman組。除非購買高端路由器，或是×××通訊比較少，不然最好使用group 1長度的密鑰，group命令有兩個參數值：1和2。參數值1表示密鑰使用768位密鑰，參數值2表示密鑰使用1024位密鑰，顯而後一種密鑰安全性高，但消耗更多的CPU時間。

lifetime 14400
註釋：對生成新SA的週期進行調整。這個值以秒爲單位，默認值爲86400，也就是一天。值得注意的是兩端的路由器都要設置相同的SA週期，不然×××在正常初始化以後，將會在較短的一個SA週期到達中斷。不設則爲默認值。

2、配置IKE密鑰方法

crypto isakmp identity address
註釋：指定與遠程路由器通訊時使用isakmp標識

crypto isakmp key 654321 address 202.102.1.6
註釋：返回到全局設置模式肯定要使用的預先共享密鑰和指向×××另外一端路由器IP地址，即目的路由器IP地址。相應地在另外一端路由器配置也和以上命令相似，只不過把IP地址改爲202.102.1.5。

crypto isakmp key 654321 address 192.168.1.2
註釋：對遠程路由器隧道端口192.168.1.2使用密鑰654321

3、定義轉換集

crypto ipsec transform-set test1 ah-md5-hmac esp-des esp-md5-hmac
註釋：這裏在兩端路由器惟一不一樣的參數是test1，這是爲這種選項組合所定義的名稱。在兩端的路由器上，這個名稱能夠相同，也能夠不一樣。以上命令是定義所使用的IPSec參數。爲了增強安全性，要啓動驗證報頭。因爲兩個網絡都使用私有地址空間，須要經過隧道傳輸數據，所以還要使用安全封裝協議。最後，還要定義DES做爲保密密碼鑰加密算法。能夠定義一個或多個轉換集

4、創建加密圖

crypto map cmap1 local-address serial 0
註釋：定義加密圖cmap1並指定s0爲本地地址

crypto map cmap1 1 ipsec-isakmp
註釋：用序號1設置加密圖

set peer 202.102.1.6
set peer 192.168.1.2
註釋：這是標識對方路由器的合法IP地址。在遠程路由器上也要輸入相似命令，只是對方路由器地址應該是202.102.1.5。

set transform-set test1
註釋：標識用於這個鏈接的轉換集

match address 111
註釋：標識用於這個鏈接的訪問列表。

process-max-time 200

5、設置隧道端口

interface Tunnel0
ip address 192.168.1.1 255.255.255.0
tunnel source 202.102.1.5
tunnel destination 202.102.1.6
crypto map cmap

6、設置內網口

interface Ethernet0
ip address 10.1.1 .1 255.255.255.0

7、設置外網口

interface serial0
ip address 202.102.1.5 255.255.255.0
no ip mroute-cache
no fair-queue
crypto map cmap
註釋：將剛纔定義的密碼圖應用到路由器的外部接口。

ip classless

8、創建訪問列表

access-list 111 permit ip host 202.102.1.5 host 202.102.1.6
access-list 111 permit ip host 202.102.1.6 host 202.102.1.5
access-list 111 permit i p 10.1.1 .0 0.0.0.255 202.102.1.0 0.0.0.255
access-list 111 permit i p 10.1.2 .0 0.0.0.255 202.102.1.0 0.0.0.255
access-list 111 permit i p 10.1.1 .0 0.0.0.255 10.1.2.0 0.0.0.255
access-list 111 permit i p 10.1.2 .0 0.0.0.255 10.1.1.0 0.0.0.255
註釋：在這裏使用的訪問列表號不能與任何過濾訪問列表相同，應該使用不一樣的訪問列表號來標識×××規則。

!
line con 0
line aux 0
line vty 0 4
==============================
password cisco
login
!
end
!

上海路由器配置以下：

!
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname shanghai
!
enable cisco
!
!
!------如下配置加密--------
crypto isakmp policy 1
 生成iskamp policy number 1
encryption des 選擇用DES encryption也可用3DES指定三倍DES加密
hash sha 指定使用的散列算法，也能夠是md5（二端保持一致）
authentication pre-share
group 1 指定爲Diffie-Hellman組,1表示768位,2表示1024位
lifetime 14400 指定安全關聯的有效期，不設就爲默認值
------如下配置密鑰方法-----
crypto isakmp identity address 指定與遠程路由器通訊時使用isakmp標識
crypto isakmp key 654321 address 202.102.1.5 對遠程路由器端口202.102.1.6使用密鑰654321
crypto isakmp key 654321 address 202.102.1.6 對遠程路由器端口202.102.1.6使用密鑰654321
crypto isakmp key 654321 address 192.168.1.1 對遠程路由器隧道端口192.168.1.2使用密鑰654321
!
------如下定義一個轉換集-----
crypto ipsec transform-set tset1 ah-md5-hmac esp-des esp-md5-hmac 能夠定義一個或多個集
!
!
-------如下創建加密圖------
crypto map cmap1 local-address serial 0 定義加密圖cmap1並指定s0爲本地地址
crypto map cmap1 1 ipsec-isakmp 用序號1設置加密圖
set peer 202.102.1.5 設定目標地址
set peer 202.102.1.6
set peer 192.168.1.1
set transform-set test1 指定轉換集
match address 111 指定加密訪問列表111中的地址
!
!
process-max-time 200
!
-------如下設置隧道端口------
interface Tunnel0
ip address 192.168.1.2 255.255.255.0
tunnel source 202.102.1.6
tunnel destination 202.102.1.5
crypto map cmap
!
-------如下設置內網口------
interface Ethernet0
ip address 10.1.2 .1 255.255.255.0
!
-------如下設置外網口------
interface serial0
ip address 202.102.1.6 255.255.255.0
no ip mroute-cache
no fair-queue
crypto map cmap
!
ip classless
!
-------如下創建訪問列表111------
access-list 111 permit ip host 202.102.1.5 host 202.102.1.6
access-list 111 permit ip host 202.102.1.6 host 202.102.1.5
access-list 111 permit i p 10.1.1 .0 0.0.0.255 202.102.1.0 0.0.0.255
access-list 111 permit i p 10.1.2 .0 0.0.0.255 202.102.1.0 0.0.0.255
access-list 111 permit i p 10.1.1 .0 0.0.0.255 10.1.2.0 0.0.0.255
access-list 111 permit i p 10.1.2 .0 0.0.0.255 10.1.1.0 0.0.0.255
!
line con 0
line aux 0
line vty 0 4
==============================
password cisco
login
!
end
!

如今剩下的部分是測試這個×××的鏈接，而且確保通訊是按照預期規劃進行的。

最後一步是不要忘記保存運行配置，不然所做的一切就白費了。