您的位置:计世网>软件>>安全/网络>IPSEC VPN连连看趣味配置

IPSEC VPN连连看趣味配置

发布时间:2013-04-25 13:09:50 来源:中国IT实验室

  IPSEC VPN连连看趣味配置

  一、第一关:PIX-PIX

  客户提出要看一个vpn的模型,鉴于演示性质,要求不高,也没有提出协商参数和网络结构方面的需求,我们选择了cisco pix这个较为热门的vpn设备进行点到点的互通。

  对于硬件vpn产品来说,由于不涉及到安装和调试环境的问题,因此配置方法都大同小异,无论是命令行还是WEB界面配置,都需要完成网络、协商、算法、访问控制等方面的配置,由于网上pix相关的实例太多,我们在这里仅仅列一下配置。

  模型:192.168.0.1--192.168.0.2

  192.168.0.2:

  crypto isakmp enable outside

  access-list outside_20_cryptomap line 1 extended permit ip interface inside host 192.168.X.1

  access-list inside_nat0_outbound line 1 extended permit ip interface inside host 192.168.X.1

  tunnel-group 192.168.0.1 type ipsec-l2l

  tunnel-group 192.168.0.1 ipsec-attributes

  pre-shared-key XXXX

  isakmp keepalive threshold 10 retry 2

  crypto isakmp policy 10 authen pre-share

  crypto isakmp policy 10 encrypt 3des

  crypto isakmp policy 10 hash sha

  crypto isakmp policy 10 group 2

  crypto isakmp policy 10 lifetime 86400

  crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

  crypto map outside_map 20 match address outside_20_cryptomap

  crypto map outside_map 20 set peer 192.168.0.1

  crypto map outside_map 20 set transform-set ESP-3DES-SHA

  crypto map outside_map interface outside

  nat (inside) 0 access-list inside_nat0_outbound tcp 0 0 udp 0

  crypto isakmp enable outside

  192.168.0.1:

  access-list outside_20_cryptomap line 1 extended permit ip interface inside host 192.168.X.2

  access-list inside_nat0_outbound line 1 extended permit ip interface inside host 192.168.X.2

  tunnel-group 192.168.0.2 type ipsec-l2l

  tunnel-group 192.168.0.2 ipsec-attributes

  pre-shared-key XXXX

  isakmp keepalive threshold 10 retry 2

  crypto ISAkmp policy 10 authen pre-share

  crypto isakmp policy 10 encrypt 3des

  crypto isakmp policy 10 hash sha

  crypto isakmp policy 10 group 2

  crypto isakmp policy 10 lifetime 86400

  crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

  crypto map outside_map 20 match address outside_20_cryptomap

  crypto map outside_map 20 set peer 192.168.0.2

  crypto map outside_map 20 set transform-set ESP-3DES-SHA

  crypto map outside_map interface outside

  nat (inside) 0 access-list inside_nat0_outbound tcp 0 0 udp 0

  这样就将一个简单的ipsec vpn建起来了,简单吧?

  需要提醒的是:如果采用图形界面的ASDM的话,要注意在6.0版本以上,ipsec vpn的向导位置发生了变化,移到了顶部的菜单。

  二、第二关:PIX-ISA

  客户随即提出了新的要求,要软硬结合的实现刚才的模型。

  难度小有增加,但是难不倒我们,因为只要是标准的vpn产品,互通一般是没有问题的,这里我们选用了微软的ISA做对端。

  三、第三关:ISA1-ISA2-ISA3-ISA4

  本关客户提出了新的需求,他们旗下的四家子公司,ABCD,其中AB之间、CD之间已经建立的VPN链接,现在希望能够仅仅将BC连起来就实现全网的两两ipsec互访。且由于已经部署了ISA平台,这次需要在全部为ISA的基础上实现。

  这次有些难度了,一截一截的建立vpn并不难,难就难在转发。

  我们看下模型:

  外部接口:192.168.1.1--192.168.2.1 192.168.3.1--192.168.4.1

  10.0.0.1---10.0.0.2

  内部接口: 100.0.1.0 100.0.2.0 100.0.3.0 100.0.4.0

  命名号: 1 2 3 4

  我们需要将四个vpn链接起来,相邻的vpn直接通信,间隔的vpn通过中间的vpn转发。

  由于2和3之间已经使用192.168和1、4建立链接,无法再次使用这个接口地址进行链接。

  因此增加一个10网段的接口用以2和3之间的链接;

  这样1和4出现一个VPN,为192网段;2和3出现两个VPN,为192和10网段。

  关键:两端的ISA很简单,只要和中间的2、3分别建立一条vpn即可,问题出现在中间的ISA,为了能够实现全网转发,必须将1和4的子网容纳到配置中来。

  以3为例,站在192.168.3.X的角度看,内网不仅仅有100.0.3.X,同时还有100.0.1.X和100.0.2.X;站在10.X.X.2的角度看,内网就必须是100.0.3.X和100.0.4.X;

  同时,还要在网络规则中配置两边内网的路由,在防火墙策略中配置两个vpn的互访。

  这样才能实现跨vpn通信。

  由于配置大部分相同,下面以3为例,其余的ISA只要稍加修改地址就好。

  1、ISA管理界面-虚拟专用网络-创建VPN点对点链接。

  (由于ISA有傻瓜化向导,这里仅仅列出配置完后的样子)

  其中vpn1为192网段,vpn2为10网段。

  ISA3上192网段vpn1设置:(以下数据为ISA的虚拟专用网络设置中点到点设置摘要中提取的信息)

  本地隧道终结点: 192.168.3.1

  远程隧道终结点: 192.168.4.1

  允许 HTTP 代理或 NAT 通讯到此远程站点,此远程站点配置

  必须包括此本地站点隧道终结点的 IP 地址。

  IKE 阶段 I 参数

  模式: 主模式

  加密: 3DES

  完整性: SHA1

  Diffie-Hellman 组: 组 2 (1024 位比特)

  身份验证方法: 预共享机密(XXXX)

  安全关联生存期: 28800 秒

  IKE 阶段 II 参数:

  模式: ESP 隧道模式

  加密: 3DES

  完整性: SHA1

  完全向前保密: ON

  Diffie-Hellman 组: 组 2 (1024 位比特)

  重新生成密钥时间: ON

  安全关联生存期: 3600 秒

  重新生成密钥 KB: OFF

  远程网络 'VPN1' IP 子网:

  子网: 100.0.4.0/255.255.255.0

  子网: 192.168.4.1/255.255.255.255(对端接口)

  本地网络 'vpn2' IP 子网:(这里的本地就是前面提到过的,对于4来说,1、2都是我3的子网,都要宣告,这样才能让4知道我这里有1、2)

  子网: 10.0.0.1/255.255.255.255(对端接口)

  子网: 100.0.1.0/255.255.255.0

  子网: 100.0.2.0/255.255.255.0

  本地网络 '内部' IP 子网:

  子网: 100.0.3.0/255.255.255.0

  可路由的本地 IP 地址:(注意第二条,掩码出现254实际上包含了100.0.2.X和100.0.3.X,实际上意义是路由所有的本地内网,即1、2、3)

  子网: 100.0.1.0/255.255.255.0

  子网: 100.0.2.0/255.255.254.0

  ISA3上10网段vpn2设置:

  本地隧道终结点: 10.0.0.2

  远程隧道终结点: 10.0.0.1

  允许 HTTP 代理或 NAT 通讯到此远程站点,此远程站点配置

  必须包括此本地站点隧道终结点的 IP 地址。

  IKE 阶段 I 参数

  模式: 主模式

  加密: 3DES

  完整性: SHA1

  Diffie-Hellman 组: 组 2 (1024 位比特)

  身份验证方法: 预共享机密(XXXX)

  安全关联生存期: 28800 秒

  IKE 阶段 II 参数:

  模式: ESP 隧道模式

  加密: 3DES

  完整性: SHA1

  完全向前保密: ON

  Diffie-Hellman 组: 组 2 (1024 位比特)

  重新生成密钥时间: ON

  安全关联生存期: 3600 秒

  重新生成密钥 KB: OFF

  远程网络 'vpn2' IP 子网:

  子网: 10.0.0.1/255.255.255.255

  子网: 100.0.1.0/255.255.255.0

  子网: 100.0.2.0/255.255.255.0

本文关键词:IPSEC VPN,配置