IP SEC VPN实验笔记

目录

实验一 基础的site to site vpn 配置 ............................................................................ 2 实验二 ISAKMP Profile 方法配置site to site VPN ....................................................... 3 实验三 ROUTE VPN ........................................................................................................ 4 实验四 动态VS静态Crypto MAP ................................................................................ 5 实验五 IPSEC OVER GRE ................................................................................................ 6 实验六 GRE OVER IPSEC ................................................................................................ 7

实验一 基础的site to site vpn 配置

描述：R1和R3之间建立site to site VPN, 实现私网地址之间互通

(第一阶段)

crypto isakmp policy 10 encr 3des hash md5

authentication pre-share group 2

crypto isakmp key 0 cisco address 202.100.2.3

(第二阶段)

ip access-list extended vpn

permit ip host 1.1.1.1 host 2.2.2.2

crypto ipsec transform-set cisco esp-md5-hmac esp-3des

crypto map cisco 10 ipsec-isakmp set peer 202.100.2.3 set transform-set cisco match address vpn

接口调用

interface FastEthernet0/0 crypto map cisco end

测试(双方都互相配置好)

实验二 ISAKMP Profile 方法配置site to site VPN

（top和实验1一样，只是配置格式不一样）

描述：用于一个路由器和很多路由器建立多种类型的VPN

由于第一阶段中的crypto isakmp key cisco address 202.100.2.3是全局命令，当有多种VPN进来的时候可能会拿错策略，思路也不清晰。而且第一阶段和第二阶段没有联系。

(第一阶段)

crypto isakmp policy 10 authentication pre-share

crypto keyring isakey

pre-shared-key address 202.100.1.1 key cisco

crypto isakmp profile isaprof keyring isakey

match identity address 202.100.1.1 255.255.255.255

(第二阶段)

crypto ipsec transform-set cisco esp-3des esp-md5-hmac !

crypto map cisco 10 ipsec-isakmp set peer 202.100.1.1 set transform-set cisco set isakmp-profile isaprof match address vpn

接口调用

interface FastEthernet0/0 crypto map cisco end 测试

实验三 ROUTE VPN

(推荐，一个主流的VPN技术) (使用ipsec profile) (Static Virtual Tunnel Interface --- SVTI虚拟隧道接口 )

优点：创建tunnel接口，可以互相学习路由，数据加密，有点类似GRE OVER IPSEC，但是配置少，简单。

第一阶段

crypto isakmp policy 10 authentication pre-share

crypto isakmp key cisco address 202.100.2.3

第二阶段

crypto ipsec transform-set cisco esp-3des esp-md5-hmac

crypto ipsec profile ipsecprof set transform-set cisco

interface Tunnel0

ip address 123.1.1.1 255.255.255.0 tunnel source 202.100.1.1 tunnel destination 202.100.2.3 tunnel mode ipsec ipv4

tunnel protection ipsec profile ipsecprof

router ospf 110

network 1.1.1.1 0.0.0.0 area 0 network 123.1.1.1 0.0.0.0 area 0

看下OSPF邻居

看看学到的路由

测试一下

实验四 动态VS静态Crypto MAP

适用 中心有固定IP但是分支没有固定的IP地址的情况 分支还是基础配置 中心配置如下

第一阶段

crypto isakmp policy 10 authentication pre-share

crypto isakmp key cisco address 0.0.0.0 0.0.0.0

第二阶段

crypto ipsec transform-set cisco esp-3des esp-md5-hmac

crypto dynamic-map dymap 10 set transform-set cisco

crypto map cisco 1000 ipsec-isakmp dynamic dymap

interface FastEthernet0/0 crypto map cisco

测试一下(注意，这个必须由对端先发起)

实验五 IPSEC OVER GRE

(IPSEC封装在里 GRE封装在外)(没啥用，学习了撞上接口的crypto map后用其他地址进行加密封装的思路)

IPSEC OVER GRE大概这么玩

先建立GRE tunnel，将环回口lo 0 和lo 10都从gre口发布互相发布 在tunnel 0口调用crypto map 感兴趣流依然为1.1.1.1 to 2.2.2.2 加密点改为11.1.1.1到22.2.2.2 更新源也要改

crypto map cisco local-address 11.1.1.1

我用1.1.1.1去ping对方的2.2.2.2

先查路由表

2.2.2.2是从tunnel 0学过来的，因此下一跳走tunnel 0，会撞上crypto map 符合感兴趣流，进行加密。这时加密后结构

然后查路由

22.2.2.2是从gre 过来的 再走GRE口，封装后如下

再查路由，从F0/0口就出去了。

实验六 GRE OVER IPSEC

有点类似SVTI，可以解决感兴趣流复杂、动态路由协议、组播等通过VPN传输的问题

其实没啥难的 建立GRE interface Tunnel0

ip address 123.1.1.1 255.255.255.0 tunnel source 202.100.1.1 tunnel destination 202.100.2.3

建立SITE TO SITE VPN 第一阶段

crypto isakmp policy 10 authentication pre-share

crypto isakmp key cisco address 202.100.2.3

第二阶段

crypto ipsec transform-set cisco esp-des esp-md5-hmac !

crypto map cisco 10 ipsec-isakmp set peer 202.100.2.3 set transform-set cisco match address vpn

只不过感兴趣流改为了GRE建立的源目IP ip access-list extended vpn

permit ip host 202.100.1.1 host 202.100.2.3 然后通过GRE学路由神马的就可以了。。。。 有一点可以优化的 原始数据

经过GRE封装

经过IPSER VPN加密封装

发现封装了两遍同样的源目IP，在转换及将mode改为mode transport

能省去一个IP头部的20个字节，优化了一些

本文来源：https://www.bwwdw.com/article/w2v6.html