×××Virtual Private Network)虚拟专用网就是两个站点网络之间建立一个专用的虚拟通道进行安全的通信。可以称之为一种跨公网技术。

×××的连接模式:

传输模式:从源端到目的端数据使用原有IP地址进行通信,而传输的数据被封装到×××报文中。

隧道模式:×××设备将整个三层数据报文封装在×××数据内,在为×××数据报文添加新的IP包头。

×××的类型:

站点到站点××××××设备与×××设备之间的×××连接,设备与设备之间穿越公网建立一个虚拟专用通道。

点到站点××××××设备与客户端之间的×××连接,客户端可以穿越公网访问内网。

 

×××是一个安全技术,它在封装数据的时候会对数据做保护。

报文加密算法:DES,3DES,AES等对称加密算法,以及RAS,DSA,DH等非对称加密算法加密报文。

数据验证:使用Hash算法,MD5SHA是两种常用的算法,MD5执行速度比较快,安全性相对SHA算法较差一点,SHA算法可以产生160位的签名(20字节)

数据封装:ESPAHESP支持加密和认证,而AH只支持认证。

×××一般都使用IPsec安全加密技术,IPsec可以理解为一个安全机制。

IPsec释义:

ISAKMP/IKE描述了密钥管理的框架,是一种加密消息格式和密钥交换协议的机制,IKE使用UDP端口500.

DH密钥组:指定用于×××设备之间认证方式的密钥强度,一般使用版本2,长度有1024bit

思科实现站点到站点×××步骤有三个阶段:

阶段一:定义×××的安全策略,指定加密算法,验证算法,认证方式和密钥组强度。

Routerconfig#crypto isakmp policy 10                            定义策略并进入策略

Routerconfig-isakmp#encryption des                                    指定加密算法

Routerconfig-isakmp#hash md5                                            指定验证算法

Routerconfig-isakmp#authentication pre-shar                    指定认证方式

Routerconfig-isakmp#group 2                                                       指定密钥强度

Routerconfig-isakmp#lifetime seconds                                    指定连接的生存周期

Routerconfig-isakmp#crypto isakmp key 123 address 1.1.1.1   指定对点×××设备共享密码

加密算法

验证算法

认证方式

密钥强度

生存周期

Des

Md5

Pre-shar(密码)

1

Seconds:表示86400S24小时),默认值

3Des

sha

Rsa-encr(证书)

2

Aes

Rsa-sig(证书)

5

阶段二,配置数据加密(传输集),定义数据封装加密算法,封装验证算法

Routerconfig#crypto ipsec transfrom-set  传输集名  esp-des esp-md5-hmac

数据封装加密算法

数据封装验证算法

Esp-des

Esp-MD5-hmac

Esp-3des

Esp-sha-hmac

Esp-aes 128 表示算法强度:128192256

阶段三:应用策略和调用传输集,定义ACL,指定对站点地址,应用策略到接口

Routerconfig#access-list  101  permit  ip  源地址  反掩码  目标地址     创建ACL

Routerconfig#crypto map 策略名  序列号  ipsec-isakmp                                调用策略

Routerconfig-crypto-m#match address  101                                                              调用ACL

Routerconfig-crypto-m#set  peer  1.1.1.1                                                      指定对点×××设备地址

Routerconfig-crypto-m#set  transfrom-set  传输集名                  调用传输集

Routerconfig-crypto-m#set  pfs  group2                                                              传输集传输强度

Routerconfig-crypto-m#set  security-association  lifetime  seconds             数据连接生存时间

Routerconfig-if#crypto  map  策略名                               接口应用策略

注:这里的ACL可以理解为一个感兴趣流,表示源到目地数据在通过×××设备的时候是否进行加密操作,调用ACL则会进行加密保护数据。

查询命令:

#Show  crypto isakmp  police       :查看阶段一策略信息

#Show  crypto isakmp  key         :查看阶段一共享密钥

#Show  crypto isakmp  sa          :查看阶段一策略SA状态

#Show  crypto ipsec  sa            :查看阶段二数据传输SA状态

#Show  crypto ipsec transfrom-set    :查看阶段二传输集信息

#show  crypto engine connections  active  :查看×××设备有哪些数据传输

注:SA表示安全关联的意思。

站点到站点:两个站点的×××设备必须定义相同策略才可以互相通信。

思科点到站点×××技术

点到站点×××技术又叫Easy ×××,它使用XAUTH做用户验证,通过地址池给连接用户组动态分配地址,使用动态map调用传输集,将动态map引用到静态map中。

XAUTH可以理解为一个草案,它使用AAA做用户验证。

什么是AAA认证?

答:AAA即验证(authentication),授权(authorzition),统计(accounting)。

Easy ×××服务端部署:

定义XAUTH做用户验证的方法,并创建用户

Routerconfig#aaa new-model                                             新的验证模式

Routerconfig#aaa authentication login  ren  local               本地验证

Routerconfig#aaa authorization network  bo  local              本地授权

Routerconfig#username tom  privilege 15 password  tom      创建用户

注:privilege表示对主机的特权级别,级别越高对主机的操作权限越高

配置阶段一定义策略

Routerconfig#crypto isakmp policy 10                               定义阶段一策略

Routerconfig-isakmp#encryption aes                                    加密算法

Routerconfig-isakmp#hash md5                                              验证算法

Routerconfig-isakmp#authentication pre-share                密码认证用户身份

Routerconfig-isakmp#group 2                                                      密码强度

创建地址池,指定认证的组并调用地址池

Routerconfig#ip local pool a 172.16.1.101 172.16.1.201            定义地址池

Routerconfig#access-list 101 permit ip 1.1.1.0 0.0.0.255 any         创建ACL  

Routerconfig#crypto isakmp client configuration group admin       创建用户组

Routerconfig-isakmp-group#key 123                           用户组密码

Routerconfig-isakmp-group#pool a                              调用地址池

Routerconfig-isakmp-group#acl 101                                调用ACL

注:ACL在这里的作用相当于给获取地址的客户端主机增加一条静态路由,如果不做会导致客户端不能访问公网,也就是在连接×××后主机路由会多出一条成本更优的默认路由,导致客户端只能访问公网,此时ACL下方一条静态让其主机本身的默认路由还可以走,已达到隧道分割的作用。

配置阶段二定义传输集

Routerconfig#crypto ipsec transform-set ren esp-des esp-md5-hmac  定义阶段二传输集

创建动态map,关联传输集

Routerconfig#crypto dynamic-map  ***-d  10                                                 创建动态map

Routerconfig-crypto-m#set transform-set ren                                                 关联传输集

将动态map引用到静态map

Routerconfig#crypto map *** client authentication list  ren                静态map关联验证

Routerconfig#crypto map *** isakmp authorization list   bo               静态map关联授权  

Routerconfig#crypto map *** client configuration address respond   客户端连接响应

Routerconfig#crypto map *** 10 ipsec-isakmp dynamic ***-d        调用动态map

接口调用静态map

Routerconfig-if#crypto map ***                              接口应用静态map

×××客户机安装客户端连接即可