计算机学习网-【computerpx】

招生咨询电话与微信:15225191462(周老师)
计算机学习网,我命由我不由天,学IT技术,做更好的自己

首页 > 电脑教程/ 正文

I PSec配置与测试

2014-06-24 16:33:14 www.computerpx.com

 IPSec实现的工作流程

IPSec实现的VPN主要有下面4个配置部分。

    1.IPSec做准备

    IPSec做准备涉及到确定详细的加密策略,包括确定要保护的主机和网络,选择一种认证方法,确定有关IPSec对等体的详细信息,确定所需的IPSec特性,并确认现有的访问控制列表允许IPSec数据流通过。

    (1)根据对等体的数量和位置在IPSec对等体间确定一个IKE (IKE阶段1,或者主模式)策略。

    (2)确定IPSec (IKE阶段2,或快捷模式)策略,包括IPSec对等体的细节信息,例如IP地址及IPSec变换集和模式。

    (3)write terminal, show isakmp, show isakmp policy, show crypto map命令及其他show命令来检查当前的配置。

    (4)确认在没有使用加密前网络能够正常工作,用ping命令并在加密前运行测试数据流来排除基本的路由故障。

    (5)确认在边界路由器和防火墙中己有的访问控制列表允许IPSec数据流通过,或者想要的数据流将可以被过滤出来。

2.配置IKE

    配置IKE涉及到启用IKE(isakmp是同义词)、创建ME策略和验证所做的配置.

    (1)isakmp enable命令启用或关闭IKE.

    (2)isakmp policy命令创建IKE策略。

    (3)isakmp key命令和相关命令配置预共享密钥。

    (4)show isakmp [policy]命令验证IKE的配置。

    3.配置IPSec

    IPSec配置包括创建加密用访问控制列表,定义变换集,创建加密图条目,并将加密集应用到接口上去。

    (1)access-list命令配置加密用访Ep]控制列表。

例如:

access-list acl-name {permitjdeny} protocol src addr src mask [operator port [port]] dest addr dest mask

[operator prot [port]]

(2)crypto ipsec transform-set命令配置变换集。

例如:

crypto ipsec transform-set transform-set-name transform I [transform2 [transform3]]

    (3)(任选)crypto ipsec security-association lifetime命令配置全局性的IPSec安全关联

的生存期。

    (4)crypto map命令配置加密图。

    (5)interface命令和crypto map map-name interface把配置应用到接口上.

    (6)用各种可用的show命令验证IPSec的配置。

4.测试和验证IPSec

    该任务涉及到使用show, debug和相关的命令来测试和验证,Sec加密工作是否正常,并为之排除故障。

8.6.2 Cisco配置举例

    某公司由总部和分支机构构成,通过IPSec实现网络安全,具体网络拓扑结构和主路由器及分支路由器上的配置如下。

    1.网络拓扑

网络结构如图8-31所示。

2.配置

两路由器之间地址分配如表8一所示。

则两端路由器配置分别如下。

总部端路由器部分配置:

crypto isakmp policy 1;配置11,140策略1

authentication pre-share:1KE策略I的验证方法设为pre-share

group 2;1024Diffie-Hellman,加密算法未设置则取默认值DES

crypto isakmp key test123 address 202.96.1.2

:设置Pre-share密钥为test 123,此值两端需一致

crypto ipsec transform-set VPNtag ah-md5-hmac esp-des;设置AH散列算法为md5

!ESP加密算法为DES

crypto map VPNdemo 10 ipsec-isakmp:定义crypto map

set peer 202.96.1.2:设置隧道对端IP地址

set transform-set VPNtag:设置隧道ARESP

match address 101;

!

interface TunnelO

:定义隧道接口

ip address 192.168.1.1 255.255.255.0:隧道端口IP地址

no ip directed-broadcast

tunnel source 202.96.1.1;隧道源端地址

tunnel destination 202.96.1.2 ;隧道目的端地址

crypto map VPNdemo:应用VPNdemo于此接口

interface Serial0/0

ip address 202.96.1.1 255.255.255.252:串口的Internet IP地址

no ip directed-broadcast

crypto map VPNdemo;应用VPNdemo于串口

interface EthernetO/1

ip address 168.1.1.1 255.255.255.0:外部端口IP地址

no ip directed-broadcast

interface Ethernet0/0

ip address 172.22.1.100 255.255.255.0:内部端口IP地址

no ip directed-broadcast

!

ip classless

ip route 0.0.0.0 0.0.0.0 202.96.1.2:默认路由

ip route 172.22.2.0 255.255.0.0 192.168.1.2;J内网的静态路由(经过隧道)

access-list 101 permit gre host 202.96.1.1 host 202.96.1.2;定义存取列表

分支机构端路由器部分配置:

crypto isakmp policy 1

authentication pre-share

group 2

crypto isakmp key test123 address 202.96.1.1

crypto ipsec transform-set VPNtag ah-md5-hmac esp-des

!

crypto map VPNdemo 10 ipsec-isakmp

set peer 202.96.1.1

set transform-set VPNtag

match address 101

!

interface Tunnel0

in address 192.168.1.2 255.255.255.0

no ip directed-broadcast

tunnel source Serial0/0

tunnel destination 202.96.1.1

crypto map VPNdemo

interface Serial0/0

ip address 202.96.1.2 255.255.255.252

no ip directed-broadcast

crypto map VPNdemo

r

interface Ethernet0/1

ip address 167.1.1.1 255.255.255.0

no ip directed-broadcast

interface Ethernet0/0

ip address 172.22.2.100 255.255.255.0

no ip directed-broadcast

!

ip classless

route 0.0.0.0 0.0.0.0 202.96.1.1

route 172.22.1.0 255.255.0.0 192.168.1.1

    access-list 101 permit gre host 202.96.1.2 host 202.96.1.1

    8.6.3测试时常见的故障

    1.故障1

    问题描述:IPSec-manualIPSec-isakmp方式下,双方配置好后或双方协商通过后,双方仍然无法进行通信。同时若打开debug crypto packet,则会出现如下信息:

    reed IPSEC packet from IPADDR has invalid spi

    原因:对端。utboundspi值与本端的inbound不同或配置的策略不同(esp, ah )

    判断方法和解决方案:检查双方的配置信息,尤其是在IPSec-manual方式下检查双方的SPI值是否按方向(inbound, outbound)匹配。而在IPSec-isakmp下,则可能是协商出错。

    2.故障2

    问题描述:IPSec-manual方式下,双方配置好后,双方仍然无法进行通信。同时若打开debug crypto packet,则会出现如下信息:

packet missing policy

原因:对端outbound的配置策略和本地不同(esp, ah )

    判断方法和解决方案:检查双方的配置信息,很可能是对端策略配置为esp,而本端策略

ah+esp o

3.故障3

    问题描述:IPSec-manual方式下,双方配置好后,双方仍然无法进行通信。同时若打开debug crypto packet,则会出现如下信息:

rec'd IPSEC packet from IPADDR has bad pading

    原因:对端。uthound的加密密钥与本端inbound的不同。

    判断方法和解决方案:检查对端outbound的加密密钥和本端inbound的加密密钥,务必使两者相同。

4.故障4

    问题描述:IPSec-manual方式下,双方配置好后,双方仍然无法进行通信。同时若打开debug crypto packet,则会出现如下信息:

    recd IPSEC packet mac verifailed

    原因:对端。utboundESPAH验证密钥与本端inbound的不同。

    判断方法和解决方案:检查对端outboundESPAH验证密钥和本端inbound的验证密钥,务必使两者相同。

    5.故障5

    问题描述:在〕Sec-manual方式下,双方配置好后,双方仍然无法进行通信。同时若打开debug crypto packet,则会出现如下信息:

rec'd IPSEC packet from IPADDR to IPADDR does not agree with policy

    原因:IPSEC处理完成的包与相应的access-list不同,子MAP的访问列表配置有问题。

    判断方法和解决方案:检查本端sub-Map配置的access-list是否符合进行IPSec通信的要求。

6.故障6

    问题描述:IPSec-isakmp方式下,双方配置好后,由对端开始发起协商,无法进行通信,show crypto isakmp sa也没有发现和当前通信相关的成功的SA信息。在协商同时若打开debugcrypto isakmp,则会出现如下信息:

ISAKMP(xxx): processing ISAKMP-SA payload(随后有若干transform-payload中的内容)

ISAKMP(xxx): no acceptable Oakley Transform

ISAKMP(xxx): negotiate error NO-PROPOSAL--CHOSEN

原因:双方配置的ISAKMP策略不匹配。

判断方法和解决方案:检查两端的ISAKMP-Policy是否相同,尤其是对端的lifetime不能大于本地的lifetime值。

7.故障7

    问题描述:IPSec-isakmp方式下,双方配置好后,由对端开始发起协商,无法进行通信,show crypto ipsec sa也没有发现和当前通信相关的成功的SA信息。在协商同时若打开debugcrypto isakmp,则会出现如下信息:

ISAKMP(xxx): processing IPSec-SA payload(随后有若干transform-payload中的内容)

ISAKMP(xxx): no acceptable Proposal in IPsec SA

ISAKMP(xxx): negotiate error NO-PROPOSAL-CHOSEN

    原因:双方配置的IPSec策略不匹配。

    判断方法和解决方案:检查两端相应的transform-set是否匹配,相应的下的pfs属性是否相同。

8.故障8

    问题描述:IPSec-isakmp方式下,双方配置好后,由对端开始发起协商,无法进行通信,show crypto ipsec sa也没有发现和当前通信相关的成功的SA信息。在协商同时若打开debugcrypto isakmp,则会出现如下信息:

ISAKMP: attr accept again transform-set xxx

//ISAKMP(xxx): dealing with ID-payload

(随后有对端为IPSec通信所配置的access-list内容)

//ISAKMP(xxx): ISAKMP: not found matchable policy

原因:双方配置的IPSec规则不匹配。

判断方法和解决方案:检查两端相应的subee map下的规则(access-list)是否匹配。

9.故障9

问题描述:IPSec-isakmp方式下,双方配置好后,由本端开始发起协商,无法进行通信,show crypto isakmp sa也没有发现和当前通信相关的成功的SA信息。、在协商同时若打开debugcrypto isakmp,则会出现如下信息:

    ISAKMP(xxx): dealing with NotiPayload

    ISAKMP: Notify-Message: NO-PROPOSAL-CHOSEN

    原因:双方配置的ISAKMP策略不匹配。

    判断方法和解决方案:检查两端的ISAKMP-Policy是否匹配。

    10.故障10

    问题描述:IPSec-isakmp方式下,双方配置好后,由本端开始发起协商,无法进行通信,show crypto isalanp sa发现和当前通信相关的成功(M SA SETUP)SA信息,但是show crypto

ipsec sa无相关的SA信息。在协商同时若打开debug crypto isakmp,则会出现如下信息:

    ISAKMP(xxx): dealing with Notify Payload ISAKMP: NotiMessage: NO-PROPOSAL-CHOSEN

    原因:双方配置的IPSec策略不匹配,或配置的规则(access-list)不匹配。

    判断方法和解决方案:检查两端相应的transform-set是否匹配,相应的sub map下的pfs

属性和规则(access-list)是否匹配。

    11.故障11

    问题描述:IPSec-isakmp方式下,双方配置好后,由一方开始发起协商,无法进行通信,show crypto ipsec sa无相关的SA信息。在协商同时若打开debug crypto isakmp,则会出现如下信息:

ISAKMP(xxx): dealing with Notify Payload ISAKMP: Notify-Message: INVALID-EXCHANGE-TYPE

11/ISAKMP(xxx): negotiate error INVALID-EXCHANGE-TYPE.

原因:对端不支持此种类型的协商报文。

    判断方法和解决方案:改变对端设置,更换一种模式(例如由Aggressive模式换成Main模式)


Tags:郑州计算机专业是干什么的,学网络工程师专业技术能做什么工作呢,郑州技校推荐哪个学校好呢,初中毕业学什么技术好找工作,河南有北大青鸟校区吗,郑州计算机编程学校哪家比较好

郑州北大青鸟计算机专业学校
郑州北大青鸟计算机专业学校介绍
郑州北大青鸟计算机专业学校专业设置
郑州北大青鸟计算机专业学校招生要求
郑州北大青鸟计算机专业学校校园活动
郑州北大青鸟计算机专业学校就业保障
搜索
计算机培训学校,就来计算机学习网咨询
计算机培训学校,就来计算机学习网咨询
热门标签
计算机培训学校,就来计算机学习网咨询
计算机培训学校,就来计算机学习网咨询
计算机培训学校,就来计算机学习网咨询
  • QQ交谈