D.M.V.P.N学习笔记（2018.5.25-30)

D.M.V.P.N学习笔记（2018.5.25-30)

V.P.N分类

第一大类：site-to-site v.p.n

1、gre

2、ipsec v.p.n

3、mpls v.p.n

第二大类：Remote access v.p.n

1、ipsec v.p.n

2、VPDN（虚拟私有拨号网络）

3、SSL v.p.n（安全套接层）

---------------------------GRE------------------------------

不要把公网路由放入私网协议中

先路由再NAT

触发NAT的两个条件：

1、出口为NAT的outside口

2、匹配感兴趣流

GRE和NAT配置无冲突，配置GRE不用考虑NAT

--------------------------IPSec-----------------------------

IPSec框架：

散列函数-算法：md5，sha-1  方式：hash，HMAC

加密算法-对称：des，3des，aes，rc4  非对称：rsa，dh，ecc 用途：密钥交换，数字签名

封装协议：ESP，AH（不支持加密，不能穿越NAT）

封装模式：传输模式（加密点等于通讯点【推荐，效率高】），隧道模式（加密点不等于通讯点【必须】）

密钥有效期：PFS（完美向前保密，每3600秒更换一次，无法推算）

执行这个协商任务的协议，就是IKE（协商过程）

IKE的任务：

1、对双方认证

2、通过密钥交换，产生用于加密和HMAC的随机密钥

3、协商五元素

协商的结果叫SA（安全联盟），约束加密双方使用的参数信息，可以理解成合同

SA两种：

1、IKE SA 用于维护安全防护（五元素）IKE协议的细节

2、IPSec SA 用于维护实际流量的安全细节

IKE的组成：

1、SKEME   决定IKE密钥交换方式，IKE只要使用DH来实现密钥交换

2、Oakley  决定IPSec的框架设计

3、ISAKMP  是IKE的核心，决定IKE协商包的封装格式、交换过程和模式切换

在实际谈论中，我们默认ISAKMP=IKE

第一阶段：IKE SA

1）主模式MM     6个包

1-2个包 发送方发送多个IKE策略，接收方选择一个IKE策略

3-4个包 通过DH交换密钥

5-6个包 在安全环境下进行认证

2）主动模式AM   3个包

第二阶段：IPSec SA

快速模式        3个包

1-3个包是为了交互IPSec策略

其中的安全参数索引（SPI）  可以理解成合同编号，后续交互时会在ESP中携带对方的SPI值

-------------------------------实验-------------------------------------

拓扑：R1-R2--R3-R4--R5-R6

R1/R6   通讯点

R2/R5   加密点

R3/R4   Internet

通讯点要有对方通讯点的路由；

加密点要有对方加密点的路由，以及本端通讯点和对端通讯点的路由；

Internet要有双方加密点的路由。

最基本路由：

R3/R4 ospf

R1/R6 默认路由

R2/R5 默认路由出，静态路由回

show run all    查看所有命令，包含隐藏命令

第一阶段：

crypto isakmp enable    开启IKE，默认开启

crypto isakmp key 0 CCIE address 8.8.45.5 接受8.8.45.5的预共享密钥

crypto isakmp policy 10

authentication pre-share

encrypto 3des

hash md5

group 2

第二阶段：

access-list 100 permit ip host 192.168.1.1 host 192.168.6.6

crypto ipsec transform-set TR esp-aes esp-sha-hmac

mode tunnel

crypto map ABC 10 ipsec-isakmp

match address 100

set transform-set TR

set peer 8.8.45.5

int e1/0         调用在出接口

crypto map ABC

show run | se cry|list

show crypto isakmp sa      显示QM-idle表示第一阶段协商正常

show crypto ipsec sa [detail]     查看第二阶段协商

show crypto session

show crypto peers

show crypto engine connection active 查看统计信息

NAT出包在IPSec加密之前，NAT将源IP转换后，无法匹配IPSec感兴趣流。因此在NAT配置时，要deny掉IPSec的感兴趣网段。

------------dynamic map------------

crypto isakmp key 0 CCIE address 0.0.0.0    接受所有的协商

不用写感兴趣流列表

默认tunnel模式

crypto dynamic-map DM 10

set transform-set TR

crypto map ABC 10 ipsec-isakmp dynamic DM   将动态map绑定到静态map

int e1/0

crypto map ABC

只能靠一端发起流量，才能建立隧道连接

-------------------------------------------------gre over ipsec------------------------------------------------------

感兴趣流写8.8.23.2到8.8.45.5

mode transport

把协议号47换成了50，最外层是ipsec

通过tunnel传递路由，解决路由传递问题

在tunnel可以做acl控制策略

感兴趣流好抓

不受nat影响

新格式和老格式兼容

新格式：

crypto ipsec profile ABC

set transform-set TR

int tun 0

tunnel protection ipsec profile ABC

-----------------------------------D.M.V.P.N---------------------------------

一个前提：各个站点的公网接口要互相能ping通

四大组件：

1、mGRE

2、NHRP

3、动态路由协议

4、IPSec

mGRE：

每个出口路由器，都建议一个tunnel接口，配置同网段地址。

R1:

int tunnel 0

tunnel mode gre multipoint

ip add 192.168.134.1 255.255.255.0

tunnel source 8.8.12.1

NHRP：下一跳解析协议

R4:

int tunnel 0

ip nhrp network-id 1 （id编号 本地有效）

ip nhrp map 192.168.134.1 8.8.12.1

ip nhrp nhs 192.168.134.1   (192.168.134.1是班长)

R1：

int tun 0

ip nhrp network-id 1

show ip nhrp [brief]

ip nhrp authentication CCIE

ip nhrp holdtime 7200  默认存在2小时

动态路由协议：

router eigrp 100

no auto

network 192.168.0.0 0.0.255.255

int tun 0

ip nhrp map multicast 8.8.12.1 支持发组播包

int tun 0

ip nhrp map multicast dynamic

no ip split-horizon eigrp 100

分支互访走捷径：（要测试两次）

spoke端：ip nhrp shortcut

hub端：ip nhrp redirect

nhrp表优先于路由表

IPSec：

crypto isakmp enable

crypto isakmp key 0 CCIE address 0.0.0.0

crypto isakmp policy 10

authen pre-share

crypto ipsec transform-set TR esp-aes esp-sha-hmac

mode transport

crypto ipsec profile D.M.V.P.N

set transform-set TR

int tun 0

tun pro ipsec profile D.M.V.P.N

切忌公网接口不要往私网协议里宣告，会导致邻居关系翻动。

D.M.V.P.N = mGRE over IPSec

---------------------FVRF-D.M.V.P.N------------------------

1、把公网接口放入vrf，并且默认路由改到vrf中。（tunnel属于global，不要放入vrf中）

2、为了GRE封装后，外层包头查询vrf路由表出包

interface tunnel 0

tunnel vrf ABC

3、crypto isakmp key CCIE address 0.0.0.0 0.0.0.0 从任何global接口收到的任意源地址来的isakmp协商，我都乐意

no crypto isakmp key CCIE address 0.0.0.0 0.0.0.0

crypto keyring KR vrf ABC

pre-shared-key address 0.0.0.0 0.0.0.0 key CCIE

----------------------IVRF-D.M.V.P.N-----------------------

除了公网接口外，其他接口都放入vrf

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。