IPsec_VPN实现技术【转载】

GRE Tunnel

GRE Tunnel(General Routing Encapsulation
通用路由封装)是一种非常简单的VPN(Virtual Private Network
虚拟专用网络)，其基本思路是：VPN网关把发往对方的数据包在网络边界重新进行封装，然后通过Internet将数据包发送到目标站点的对等VPN网
关，这个过程也就是把一个私网的数据包封装在一个公网的数据包中；对方收到数据包后剥离报头，复原出原来的数据包，然后向其私网内的目标主机传递出数据
包；这样私网的数据包就穿过了公网，到达了另一个私网。但是采用GRE Tunnel
VPN技术的一个重要问题是数据包在Internet上传输是不安全的。

实验

配置IP地址及路由：

R1(config)#ip route 0.0.0.0 0.0.0.0 s0/0
12.1.1.2 permanent

R2(config)#ip route 34.1.1.0 255.255.255.0
s0/1 23.1.1.3

R3(config)#ip route 12.1.1.0 255.255.255.0
s0/1 23.1.1.2

R4(config)#ip route 0.0.0.0 0.0.0.0 s0/0
34.1.1.3 permanent

配置GRE Tunnel：

R1(config)#int tunnel
0       
//创建Tunnel接口0，编号只有本地有效

R1(config-if)#ip add 172.16.14.1
255.255.255.0      //配置隧道接口的地址，显然该地址是私网地址

R1(config-if)#tunnel source
s0/0       
//配置Tunnel的源接口

R1(config-if)#tunnel destination
34.1.1.4       
//配置Tunnel的目的地址

R1(config-if)#tunnel mode gre
ip       
//配置隧道为GRE模式，默认即为GRE

R4(config)#int tunnel
0

R4(config-if)#ip add 172.16.14.4
255.255.255.0

R4(config-if)#tunnel source
s0/0
R4(config-if)#tunnel destination 12.1.1.1

说明：

①Tunnel的源接口：也可以使用“tunnel source
12.1.1.1”命令配置，路由器将以此接口的地址作为源地址重

新封装VPN数据包；

②Tunnel的目地址：路由器将以此地址作为目的地址重新封装VPN数据包；

③隧道创建后，可以把隧道看成一条专线。

实验调试：

R1#show int tunnel
0       
//查看Tunnel 0接口的状态

配置路由协议：

R1(config)#router rip

R1(config-router)#version 2

R1(config-router)#no
auto-summary

R1(config-router)#network
172.16.0.0

R4(config)#router rip

R4(config-router)#version 2

R4(config-router)#no
auto-summary
R4(config-router)#network 172.16.0.0

实验调试：

R1#show ip route

R1#ping 172.16.4.1 source lo0



以上输出表明远程办公室已经学习到了企业总部内部网络的路由，下一跳为隧道另一端的地址。

配置NAT：

由于现在企业内部和远程办公室都无法与Internet通信，还需要配置NAT。

R1(config)#access-list 10 permit
172.16.1.0 0.0.0.255

R1(config)#ip nat inside source list 10 int
s0/0 overload

R1(config)#int lo0

R1(config-if)#ip nat inside

R1(config)#int
s0/0
R1(config-if)#ip nat
outside

R4(config)#access-list 10 permit
172.16.4.0 0.0.0.255

R4(config)#ip nat inside source list 10 int
s0/0 overload

R4(config)#int lo0

R4(config-if)#ip nat inside

R4(config)#int s0/0

R4(config-if)#ip nat outside

实验调试：

R1#ping 34.1.1.3 source
lo0       
//测试远程办公室和Internet的通信



R1#ping 172.16.4.1 source
lo0       
//再次测试远程办公室和公司总部的通信，一切正常

Site To
Site VPN/LAN To LAN VPN

Site To Site是指把一个局域网和另一个局域网连接在一起，本实验采用IPSec(Internet Protocol
Security 网际网路协定安全规格)VPN解决这个问题。IPSec VPN是针对IP通信保护的协议簇，IPSec
VPN的基础是数据机密性、数据完整性和身份验证。

数据机密性：一个常见的安全性考虑是防止窃听者窃取数据。VPN利用封装和加密机制来实现机密性，常见的算

法有DES、3DES和AES。

数据完整性：数据完整性确保数据在源主机和目的主机之间传送时不被篡改。VPN通常使用哈希来确保数据完整

性，常见的算法有MD5和SHA。

身份验证：身份验证确保消息来自真实来源，并传送到真实目的地。VPN利用用户标识确信与其建立通信的一方

正是其所认为的那一方，常用的算法有预共享密码和数字证书。

两种主要的IPSec协议框架：

验证报头(AH)：仅提供完整性和身份验证功能，在不要求或不允许有机密性时使用。AH在原有的数据包头部和

数据之间加入AH字段，该字段里包含IP头和数据的完整性校验值。因此AH能为两个系统间传送的IP数据包提供

数据验证和数据完整性检查。它验证消息在传送过程中是否未被篡改，还验证来源。AH不提供数据包的数据机

密性(加密)检查。AH协议在单独使用时提供的保护较脆弱，因此需要将其与ESP协议配合使用，来提供数据加

密和防篡改检测等安全功能。

封装安全负载(ESP)：通过对IP数据包加密隐藏数据及源主机和目的主机的身份提供机密性、完整性和身份验

证。ESP可验证内部IP数据包和ESP报头的身份，从而提供数据来源验证和数据完整性检查。ESP有两种模式:传

输模式和隧道模式。

传输模式：不产生新的IP包头，但是在原有的IP包头和数据字段之间加入ESP头部，并且在尾部加了ESP尾和完

整性校验值，该模式提供端到端的安全。

隧道模式：用新的IP包头对原有的数据包进行了重新封装，添加了ESP头、ESP尾及完整性校验值，该模式提供

路由器到路由器的安全，计算机到路由器的数据安全并不能保证，该模式对用户是透明的，因此使用较多。

IPSec的工作方式：

协商阶段：互联VPN之前要进行协商，VPN的协商可分为两个阶段:

 
①密钥协商阶段：设备获取了相应的密钥(为了保证传输过程中传输的安全性会使用非对称密钥)；

②IPsec阶段：数据要进加密的数据交换(通过协商后产生的非对称密钥获得加密的先决条件)。

数据传输阶段：采用对称加密算法完成数据的安全传输，对等体双方使用的相应加密手段与校验手段。

说明：对称加密算法安全性更高，第一阶段不使用对称加密算法的原因就是避免传输过程中被截获，而第二阶段

通过安全的密钥交换之后不怕被截获，即便被截获通过转换集复杂的加密算法被解密的可能性也是微乎其微。

实验

配置IP地址及路由：

R1(config)#ip route 0.0.0.0 0.0.0.0 s0/0
12.1.1.2 permanent

R2(config)#ip route 34.1.1.0 255.255.255.0
s0/1 23.1.1.3

R3(config)#ip route 12.1.1.0 255.255.255.0
s0/1 23.1.1.2

R4(config)#ip route 0.0.0.0 0.0.0.0 s0/0
34.1.1.3 permanent

配置Site To Site VPN：

R1(config)#crypto isakmp policy
10       
//创建一个ISAKMP策略，编号为10

R1(config-isakmp)#encryption
aes       
//配置ISAKMP采用AES加密算法

R1(config-isakmp)#authentication
pre-share       
//配置ISAKMP采用预共享密码身份认证算法

R1(config-isakmp)#hash
sha       
//配置ISAKMP采用SHA HASH算法

R1(config-isakmp)#group
5       
//配置ISAKMP采用DH group 5密钥交换算法

R1(config-isakmp)#lifetime
86400     //为了安全起见设置生存时间，即多长时间重认证，默认即为86400

R1(config)#crypto isakmp key cisco
address
34.1.1.4   //配置对等体34.1.1.4的预共享密码为cisco

R1(config)#crypto ipsec
transform-set TRAN esp-aes esp-sha-hmac

//创建一个名为TRAN的IPSec交换集，交换集采用ESP封装，加密算法为AES，HASH算法为SHA

R3(cfg-crypto-trans)#mode
tunnel       
//设置ESP的模式，默认即为Tunnel

R1(config)#ip access-list extended
VPN

R1(config-ext-nacl)#permit ip
172.16.1.0 0.0.0.255 172.16.4.0 0.0.0.255

//定义一个ACL，只限定从远程办公室到企业总部的流量才通过VPN加密发送，其它流量(如到Internet)不加密

R1(config)#crypto map MAP 10
ipsec-isakmp       
//创建名为MAP，编号为10的加密图

R1(config-crypto-map)#set peer
34.1.1.4       
//指明VPN对等体为路由器R4

R1(config-crypto-map)#set
transform-set
TRAN       
//指明采用前边已经定义的交换集

R1(config-crypto-map)#match address
VPN       
//指明匹配名为VPN的ACL的定义的流量就是VPN流量

R1(config-crypto-map)#reverse-route
static       
//指明要反向路由注入

R1(config)#int
s0/0

R1(config-if)#crypto map
MAP       
//把名为MAP的加密图应用在接口上

R4(config)#crypto isakmp policy
10

R4(config-isakmp)#encryption
aes

R4(config-isakmp)#authentication
pre-share

R4(config-isakmp)#hash
sha

R4(config-isakmp)#group
5

R4(config)#crypto isakmp key cisco
address 12.1.1.1

R4(config)#crypto ipsec transform-set
TRAN esp-aes esp-sha-hmac

R4(config)#ip access-list extended
VPN

R4(config-ext-nacl)#permit ip
172.16.4.0 0.0.0.255 172.16.1.0 0.0.0.255

R4(config)#crypto map MAP 10
ipsec-isakmp

R4(config-crypto-map)#set peer
12.1.1.1

R4(config-crypto-map)#set
transform-set TRAN

R4(config-crypto-map)#match address
VPN

R4(config-crypto-map)#reverse-route
static

R4(config)#int
s0/0

R4(config-if)#crypto map
MAP

说明：

①创建ISAKMP(Internet Security
And Key Management Protocol
因特网安全协议与密钥管理协议)策略时，可

以创建多个ISAKMP策略，但是双方路由器将采用编号最小、参数一致的策略，因此双方至少要有一个策略是一

致的，否则协商失败。

②加密算法可以选择：DES、3DES和AES。

③身份认证算法可以选择：预共享密码和(如果有CA服务器时也可以选择)CA(电子证书)进行身份认证。

④HASH算法可以选择：SHA和MD5。

⑤密钥交换算法可以选择：group 1、group 2和group
5。

⑥配置预共享密码时，要确保双方配置的密码要一致，否则协商失败。

⑦配置交换集时，交换集名称只在本地有效，并且要确保双方路由器有一个参数一致的交换集，否则协商失败。

1>交换集的封装方式：ESP、AH和ESP+AH；

1)ESP封装提供的功能：机密性、完整性和身份认证；

2)AH封装提供的功能：完整性和身份认证，实际上AH使用的较少。

2>交换集的加密算法：DES、3DES和AES；

3>交换集的HASH算法：SHA和MD5。

⑧创建加密图时，名称和编号都只在本地有效，如果有多个编号，路由器将从小到大逐一匹配。

⑨反向路由注入就是在VPN设备上会根据“match address
VPN”命令生成静态路由，静态路由的条数和ACL条数

相对应，“static”参数指明即使VPN会话没有建立起来返向路由也要创建。

实验调试：

R1#show ip route

R1#ping 172.16.4.1 source lo0

以上输出表明路由器R1有172.16.4.0/24条路由了，下一跳为对方公网地址，并且能与对端局域网正常通信。

R1#show crypto engine connections
active       
//查看活动的VPN会话的基本情况



以上输出表明加密和解密是独立的会话，可以看到加密和解密了个5个数据包。

R1#show crypto isakmp
policy       
//显示系统中所有的ISAKMP策略情况



R1#show crypto ipsec
transform-set       
//显示系统中所有的IPSec交换机情况



R1#show crypto
map       
//显示系统中的加密图情况



R1#show crypto ipsec
sa       
//显示IPSec会话的情况



NAT配置：

由于现在远程办公室和企业内部都无法与Internet通信，还需要配置NAT。

R1(config)#access-list 100 deny ip
172.16.1.0 0.0.0.255 172.16.4.0 0.0.0.255

//特别注意，要把远程办公室去往企业总部的IP数据包排除在进行NAT之外

R1(config)#access-list 100 permit ip
172.16.1.0 0.0.0.255 any

R1(config)#ip nat inside source list 100 int
s0/0 overload

R1(config)#int lo0

R1(config-if)#ip nat inside

R1(config)#int s0/0

R1(config-if)#ip nat outside

R4(config)#access-list 100 deny ip
172.16.4.0 0.0.0.255 172.16.1.0 0.0.0.255

R4(config)#access-list 100 permit ip
172.16.4.0 0.0.0.255 any

R4(config)#ip nat inside source list 100 int
s0/0 overload

R4(config)#int lo0

R4(config-if)#ip nat inside

R4(config)#int s0/0

R4(config-if)#ip nat outside

实验调试：

R1#ping 34.1.1.3 source
lo0        //测试远程办公室和Internet的通信

R1#ping 172.16.4.1 source
lo0       
//再次测试远程办公室和公司总部的通信，一切正常