思唯网络——IPSEC VPN在工程中的应用

rx online

(1.1~1.3)
第1章 IPSEC VPN在工程中的应用（太原煤炭）……………………… 1
1.1 案例背景………………………………………………………………………. 1
1.1.1 实际案例……………………………………………………………….. 1
1.1.2 案例拓扑图………………………………………………………….. 2
1.2 案例分析…………………………………………………………………….. 3
1.3 IPSec 的具体配置………………………………………………………… 4
1.3.1 设置IPSec SA 的全局生命周期……………………………… 4
1.3.2 创建访问控制列表来定义受保护的流量…………………. 4
1.3.3 定义IPSec变换集………………………………………………… 5
1.4 使用IPSec 策略定义 crypto map………………………………… 7
1.5 IKE 协商 SA………………………………………………………………… 7
1.6 创建 crypto map………………………………………………………… 7
1.7 IKE的配置……………………………………………………………………. 8
1.7.1 启用IKE……………………………………………………………….. 8
1.7.2 创建IKE策略……………………………………………………….. 9
1.8 配置预共享密钥…………………………………………………………… 9
1.9 配置后的结果…………………………………………………………….. 10
1.9.1 在PIX中的结果…………………………………………………… 10
1.9.2 在北京Gateway路由器上的结果…………………………. 12
1.10 测试太原总公司和北京分公司的连通性………………………. 14
1.10.1 北京分公司到总公司的流量………………………………… 14
1.10.2 太原总公司到北京分公司的流量…………………………. 15
1.1案例背景
1.1.1 实际案例
某煤炭公司总部在太原，此公司有两个分公司，一个分公司在北京，另一个分公司在上海。分公司每天有大量的重要信息向总部汇报。而且总部不想让两个分公司交换信息。考虑到成本问，我们使用互联网络来实现通信。为了数据保密不受外界恶意的破坏、更改、泄露，我们使IPSEC VPN来保证数据可靠地传输。在实现的网络应用中IPSEC VPN有利用网络的扩展和安全。
1.1.2 案例拓扑图

图4-1

图4-2
1.2案例分析
通过上面的案例，我们可以看了，这个公司的总部在太原，一分公司在北京，另一个分公司在上海，每天分公司有大量的财务数据要传回到总部的财务部，如果要实现该公司总部和分公司之间的安全通信，解决的方法有很多种，一可以在两地点对点专线连接，二可以通过互联网在总部和分公司之间建立隧道，以IPSec VPN的技术来实现，在上面两种实现方法中，我们可以知道太原和北京、上海距离较远，如果实现用点对点专线连接，显然不实际，受到地理的局限性和实现的高成本一般不会被远距离安会数据传输所采用，而IPSec VPN 虚拟专用网络解决方案，将互联网的灵活性与传统专网的高质量和安全性相结合，提供的具有较高经济效益的网络解决方案。这个解决方案既保证了连接的安全性，又可节省专线的费用。它也结合公共网络和专网的优点，让企业能够更有效、更安全地在企业内部交流资讯，或通过公共互联网与业务伙伴共享资讯。客户端可以通过IPSec VPN隧道的方式接入到互联网，从而组建企业的专用网络。图中太原煤炭网络内部配置这里就不在赘述，所有获取路由的方式为静态路由！

1.3 IPSec 的具体配置
确保访问控制列表与IPSec中的ESP和AH协议的分别使用的协议号50和51。在使用时必须确保相关通信不被阻塞。
1.3.1 设置IPSec SA 的全局生命周期
Router(config)#crypto ipsec security-association lifetime seconds seconds//基于时间的生命周期
Router(config)#crypto ipsec security-association lifetime kilobytes kilobytes//基于流量的生命周期
注意：新设定的生命周期不会对当前已有的SA生效。这些生命周期只对由IKE 协商生成的SA有效，手工配置的SA不会过期。默认值是：3600秒和4608000KB。

1.3.2 创建访问控制列表来定义受保护的流量
Router(config)#access-list access-list-number {deny |permit} protocol source source-wildcard destination destination-wildcard [log]
或者Router(config)# ip access-list extended name
PIX中的配置：
TYfir(config)# access-list icmp_in extended permit cm
TYfir(config)# access-list icmp_in extended permit icmp an any
WARNING: <icmp_in> found duplicate element
防火墙默认规则为拒绝所有，这里是放行我们即将要测试的ICMP流量。
TYfir(config)# access-list no_nat extend permit ip 172.16.10.0 255.255.255.0 1$
准备用来建立VPN隧道的财务部不要经过NAT的转换上网，所以在这里需要将NAT转换的感兴趣数据流拒绝。
TYfir(config)# nat (inside) 0 access-list no_nat
TYfir(config)# access-group icmp_in in interface outside

后面再跟上由deny 和 deny 引导的规则:
下面介绍的crypto map 将会引用这个访问控制列表来确保在接口上要保护的流量。用permit 选择要保护的出流量。

1.3.3 定义IPSec变换集
在发起SA 的时候，两个对等端之间协议协商变换集。对于手工设定，只能定义一种变换集；如果使用IKE协商SA，则可以在一个crypto map 中定义多个变换集。
1.创建变换集并进入变换集配置模式
Router(config)#crypto ipsec transform-set
Transform-set-name transform1[transform2[transform3]]
Transform-set-name定义了所创建的变换集的名字。用户能够选择多达3种变换，具体取值如下所示。
(1).transform1的取值
Ø AH HMAC 变换
·ah-md5-hmac,使用AH封装方法,并用MD5作为HMAC生成算法。
·ah-sha-hmac,使用AH封装方法,并用算法作为HMAC生成算法。
Ø ESP 加密变换
·esp-des,使用ESP封装方法,并用des 算法作为IP数据的加密算法。
·esp-3des,使用ESP 封装方法,并用3des算法作为IP数据加密算法。
·esp-null,使用ESP 封装方法,并用空算法作为IP数据加密算法。
(2).transform2 的取值定义了ESP验证验证变换。
·esp-md5-hmac,使用ESP封装方法,并用MD5算法作为HMAC生成算法。
·esp-sha-hmac,使用ESP 封装方法,并用sha算法作为HMAC算法。
(3).transform3 的取值定义了IP压缩变换。
上面3种变换集的取值需要满足一定的约束条件,必须与前后的配置命令相一致,不能随意确定。
例子: crypto ipsec transform-set news esp-3des esp-sha-hmac
定义名称为news 的变换集,使用ESP封装格式,数据加密算法用3des 算法,HMAC 生成算法用sha 。

(4).PIX中的配置如下：
TYfir(config)# cry isakmp policy 20
TYfir(config-isakmp-policy)# authen pre
TYfir(config-isakmp-policy)# hash md5
TYfir(config-isakmp-policy)# grou 2
TYfir(config-isakmp-policy)# encry 3des
TYfir(config-isakmp-policy)# exit
TYfir(config)# cry isakmp enable outside

2.选择变换集的模式：
Router(cfg-crypto-tran)# mode [tunnel|transport]
IPSec用两种工作模式:tunnel和transport。tunnel模式是默认的情况,用来保护整个IP数据报,整个IP包都需要封装到另一个IP数据包里，同时在外部与内部IP头之间插入一个IPSec头.传输模式用来保护IP的上层协议的PDU(例如TCP 或 UDP 报文段),IP 头与上层协议之间需要插入一个特殊的IPSec头。

3退出变换集的模式：
Router(cfg-crypto-tran)# exit
· · · · · ·