智传网优云课堂,专注分享IT技术
与IT技术爱好者一起共同学习进步

Cisco Site-to-Site VPN配置教程

1.前言

本文皆在描述IPSec VPN(Site-to-Site VPN)的配置指导,同时掌握ISAKAM协商过程。

2.Site to Site VPN介绍

IPSec VPN是一项安全功能,允许在位于不同站点的两个不同网络之间创建安全通信链路(也称为VPN隧道)。 Cisco IOS路由器可用于在两个站点之间设置VPN隧道。 可以通过VPN隧道安全地传输数据,语音,视频等流量。 在这篇文章中,我将展示在Cisco IOS路由器中配置站点到站点IPSec VPN隧道的步骤。 您还可以在Cisco IOS路由器中设置使用动态IP配置IPSec VPN。

3.Site to Site VPN配置指导

本实验基于Cisco Packet Tracer进行,网络拓扑图设计如下:

公司站点A的子网是192.168.1.0/24网段,站点B的子网是192.168.2.0/24网段,Cisco 2811 Site1和Site2分别为两个站点的网关。本文皆在实现分站点A与B之间的PC0与PC1相互通信。

实验拓扑图如下:

Cisco Site to Site VPN Configuration-1-Topology.png

实验目的:

  1. 掌握IPSec VPN(Site-to-Site VPN)的配置
  2. 掌握ISAKMP协商过程

实验步骤:

Step1:配置底层IP地址,以及保证公网IP之间能够相互ping通。

配置PC0和PC1的IP地址:

PC0:IP:192.168.1.2;Mask:255.255.255.0;GW:192.168.1.1
PC1:IP:192.168.2.2;Mask:255.255.255.0;GW:192.168.2.1

配置Site1、ISP、Site2的接口IP地址,同时启用OSPF路由协议,保证公网之间能够相互ping通:

Site1(config)#interface f0/1
Site1(config-if)#ip address 100.1.1.1 255.255.255.0
Site1(config-if)#no shutdown
Site1(config-if)#exit
Site1(config)#int f0/0
Site1(config-if)#ip address 192.168.1.1 255.255.255.0
Site1(config-if)#no shutdown
Site1(config)#router ospf 110
Site1(config-router)#router-id 1.1.1.1
Site1(config-router)#network 100.1.1.0 0.0.0.255 area 0
Site1(config-router)#exit
ISP(config)#int f0/1
ISP(config-if)#exit
ISP(config)#int
ISP(config)#interface f0/1
ISP(config-if)#ip address 100.1.1.2 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#exit
ISP(config)#interface f0/0
ISP(config-if)#ip address 200.2.2.2 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#exit
ISP(config)#router ospf 110
ISP(config-router)#router-id 2.2.2.2
ISP(config-router)#network 100.1.1.0 0.0.0.255 area 0
ISP(config-router)#network 200.2.2.0 0.0.0.255 area 0
ISP(config-router)#exit
Site2(config)#interface f0/1
Site2(config-if)#ip address 200.2.2.1 255.255.255.0
Site2(config-if)#no shutdown
Site2(config-if)#exit
Site2(config)#int f0/0
Site2(config-if)#ip address 192.168.2.1 255.255.255.0
Site2(config-if)#no shutdown
Site2(config-if)#exit
Site2(config)#router ospf 110
Site2(config-router)#router-id 3.3.3.3
Site2(config-router)#network 200.2.2.0 0.0.0.255 area 0
Site2(config-router)#exit

测试公网之间的连通性:Site1到Site2的访问性
Site1访问202.2.2.1:

Cisco Site to Site VPN Configuration-1.1-ping test.png

Site2访问100.1.1.1:

Cisco Site to Site VPN Configuration-1.2-ping test.png

由上述效果可知,Site1到Site2之间的路径可达。

Step2:配置R1、R2上的默认路由,指定公网的出接口。

Site1(config)#ip route 0.0.0.0 0.0.0.0 fastEthernet 0/1
Site2(config)#ip route 0.0.0.0 0.0.0.0 FastEthernet 0/1

测试PC0到PC1的连通性:

Cisco Site to Site VPN Configuration-2-ping test.png

Step3:配置Site-to-SiteVPN

  1. 首先定义感兴趣流量(使用ACL匹配,两端要对称)

    Site1(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
    //先匹配本地源IP地址,再匹配远端IP地址
    Site2(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
    //先匹配本地源IP地址,再匹配远端IP地址。
    
  2. 配置IKE 1阶段(ISAKMP SA)

    Site1网关配置内容:

    Site1(config)#crypto isakmp policy 10//创建策略10,一般都以10为单位递进
    Site1(config-isakmp)#authentication pre-share//定义使用预共享密钥的认证方式
    Site1(config-isakmp)#hash md5//定义哈希算法使用MD5
    Site1(config-isakmp)#encryption des//使用DES的加密方式
    Site1(config-isakmp)#exit
    Site1(config)#crypto isakmp key CISCO address 200.2.2.1//定义Key名称以及对端的IP地址。
    

    Site2

    Site2(config)#crypto isakmp policy 10
    Site2(config-isakmp)#authentication pre-share
    Site2(config-isakmp)#hash md5
    Site2(config-isakmp)#encryption des
    Site2(config-isakmp)#exit
    Site2(config)#crypto isakmp key CISCO address 100.1.1.1
    

    验证当前加密类型:

    Site1#sh crypto isakmp policy//查看第一阶段policy相关信息,默认也有一些,例如,默认使用DES来加密。DH group默认是1
    

    Cisco Site to Site VPN Configuration-2-Site1 show crypto isakmp policy.png

    ​ 附:阶段1通道已经建立起来了。6个报文是在第5、6两个数据包才开始加密的。

  3. 配置IKE 2阶段(IPsec SA)

    Site1(config)#crypto ipsec transform-set SET esp-3des esp-md5-hmac
    //定义DES加密方式和esp-md5-hmac认证方式
    Site2(config)#crypto ipsec transform-set SET esp-3des esp-md5-hmac
    

注意:这里的配置R1和R2必须要一致!!!

  1. MAP(步骤1、2、3相结合)

    Site1(config)#crypto map VPN 10 ipsec-isakmp //创建map,命名为VPN
    % NOTE: This new crypto map will remain disabled until a peer
    and a valid access list have been configured.
    Site1(config-crypto-map)#set peer 200.2.2.1//设定对等体为200.2.2.1
    Site1(config-crypto-map)#match address 100//调用感兴趣流量列表
    Site1(config-crypto-map)#set transform-set SET//调用Transform-set“SET“
    
    Site2(config)#crypto map VPN 10 ipsec-isakmp 
    Site2(config-crypto-map)#set peer 100.1.1.1
    Site2(config-crypto-map)#match address 100
    Site2(config-crypto-map)#set transform-set SET
    Site2(config-crypto-map)#exit
    
  2. 把MAP应用到外网口

    Site1(config)#interface f0/1
    Site1(config-if)#crypto map VPN
    *Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
    
    Site2(config)#int f0/1
    Site2(config-if)#crypto map VPN
    *Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
    

验证:

Site1#sh crypto isakmp sa//当前表项是空的,只有显示QM_IDLE就证明是正常的

Cisco Site to Site VPN Configuration-1.3 show crypto isakmp sa.png

Site1#sh crypto ipsec sa//查看二阶段IPsec SA,inbound和outbound是不一样的。但留意R1、R2之间的关系

Cisco Site to Site VPN Configuration-1.4 show crypto isakmp sa.png

测试PC0 ping PC2:

Cisco Site to Site VPN Configuration-4-ping test.png

查看路由器的IPsec配置以及加密模式:

Cisco Site to Site VPN Configuration-6-show crypto isakmp sa .png

Cisco Site to Site VPN Configuration-5-show crypto ipsec sa.png

Cisco Site to Site VPN Configuration-6.3-show crypto ipsec sa.png

4.总结

​ IPSec配置步骤如下:

  • ​ 1)使用ACL抓取两边的感兴趣流量;
  • ​ 2)配置IKE阶段1、阶段2协商
  • ​ 3)创建策略,定义通道的相关加密认证方式
  • ​ 4)把策略应用到外网接口上
赞(0)
未经允许不得转载:IT认证轻松考 » Cisco Site-to-Site VPN配置教程
分享到: 更多 (0)

学习QQ群:581420468

关注微信公众号自助视频学习

评论 抢沙发

评论前必须登录!