首页 > 电脑教程/ 正文
IPSec实现的工作流程
IPSec实现的VPN主要有下面4个配置部分。
1.为IPSec做准备
为IPSec做准备涉及到确定详细的加密策略,包括确定要保护的主机和网络,选择一种认证方法,确定有关IPSec对等体的详细信息,确定所需的IPSec特性,并确认现有的访问控制列表允许IPSec数据流通过。
(1)根据对等体的数量和位置在IPSec对等体间确定一个IKE (IKE阶段1,或者主模式)策略。
(2)确定IPSec (IKE阶段2,或快捷模式)策略,包括IPSec对等体的细节信息,例如IP地址及IPSec变换集和模式。
(3)用write terminal, show isakmp, show isakmp policy, show crypto map命令及其他show命令来检查当前的配置。
(4)确认在没有使用加密前网络能够正常工作,用ping命令并在加密前运行测试数据流来排除基本的路由故障。
(5)确认在边界路由器和防火墙中己有的访问控制列表允许IPSec数据流通过,或者想要的数据流将可以被过滤出来。
2.配置IKE
配置IKE涉及到启用IKE(和isakmp是同义词)、创建ME策略和验证所做的配置.
(1)用isakmp enable命令启用或关闭IKE.
(2)用isakmp policy命令创建IKE策略。
(3)用isakmp key命令和相关命令配置预共享密钥。
(4)用show isakmp [policy]命令验证IKE的配置。
3.配置IPSec
IPSec配置包括创建加密用访问控制列表,定义变换集,创建加密图条目,并将加密集应用到接口上去。
(1)用access-list命令配置加密用访Ep]控制列表。
例如:
access-list acl-name {permitjdeny} protocol src addr src mask [operator port [port]] dest addr dest mask
[operator prot [port]]
(2)用crypto ipsec transform-set命令配置变换集。
例如:
crypto ipsec transform-set transform-set-name transform I [transform2 [transform3]]
(3)(任选)用crypto ipsec security-association lifetime命令配置全局性的IPSec安全关联
的生存期。
(4)用crypto map命令配置加密图。
(5)用interface命令和crypto map map-name interface把配置应用到接口上.
(6)用各种可用的show命令验证IPSec的配置。
4.测试和验证IPSec
该任务涉及到使用show, debug和相关的命令来测试和验证,Sec加密工作是否正常,并为之排除故障。
某公司由总部和分支机构构成,通过IPSec实现网络安全,具体网络拓扑结构和主路由器及分支路由器上的配置如下。
1.网络拓扑
网络结构如图8-31所示。
2.配置
两路由器之间地址分配如表8一所示。
则两端路由器配置分别如下。
总部端路由器部分配置:
crypto isakmp policy 1;配置11,140策略1
authentication pre-share:1KE策略I的验证方法设为pre-share
group 2;1024位Diffie-Hellman,加密算法未设置则取默认值DES
crypto isakmp key test123 address 202.96.1.2
:设置Pre-share密钥为test 123,此值两端需一致
crypto ipsec transform-set VPNtag ah-md5-hmac esp-des;设置AH散列算法为md5
!ESP加密算法为DES
crypto map VPNdemo 10 ipsec-isakmp:定义crypto map
set peer 202.96.1.2:设置隧道对端IP地址
set transform-set VPNtag:设置隧道AR及ESP
match address 101;
!
interface TunnelO
:定义隧道接口
ip address 192.168.1.1 255.255.255.0:隧道端口IP地址
no ip directed-broadcast
tunnel source 202.96.1.1;隧道源端地址
tunnel destination 202.96.1.2 ;隧道目的端地址
crypto map VPNdemo:应用VPNdemo于此接口
interface Serial0/0
ip address 202.96.1.1 255.255.255.252:串口的Internet IP地址
no ip directed-broadcast
crypto map VPNdemo;应用VPNdemo于串口
interface EthernetO/1
ip address 168.1.1.1 255.255.255.0:外部端口IP地址
no ip directed-broadcast
interface Ethernet0/0
ip address 172.22.1.100 255.255.255.0:内部端口IP地址
no ip directed-broadcast
!
ip classless
ip route
ip route 172.22.2.0 255.255.0.0 192.168.1.2;至J内网的静态路由(经过隧道)
access-list 101 permit gre host 202.96.1.1 host 202.96.1.2;定义存取列表
分支机构端路由器部分配置:
crypto isakmp policy 1
authentication pre-share
group 2
crypto isakmp key test123 address 202.96.1.1
crypto ipsec transform-set VPNtag ah-md5-hmac esp-des
!
crypto map VPNdemo 10 ipsec-isakmp
set peer 202.96.1.1
set transform-set VPNtag
match address 101
!
interface Tunnel0
in address 192.168.1.2 255.255.255.0
no ip directed-broadcast
tunnel source Serial0/0
tunnel destination 202.96.1.1
crypto map VPNdemo
interface Serial0/0
ip address 202.96.1.2 255.255.255.252
no ip directed-broadcast
crypto map VPNdemo
r
interface Ethernet0/1
ip address 167.1.1.1 255.255.255.0
no ip directed-broadcast
interface Ethernet0/0
ip address 172.22.2.100 255.255.255.0
no ip directed-broadcast
!
ip classless
route
route 172.22.1.0 255.255.0.0 192.168.1.1
access-list 101 permit gre host 202.96.1.2 host 202.96.1.1
1.故障1
问题描述:在IPSec-manual或IPSec-isakmp方式下,双方配置好后或双方协商通过后,双方仍然无法进行通信。同时若打开debug crypto packet,则会出现如下信息:
reed IPSEC packet from IPADDR has invalid spi
原因:对端。utbound的spi值与本端的inbound不同或配置的策略不同(esp, ah )。
判断方法和解决方案:检查双方的配置信息,尤其是在IPSec-manual方式下检查双方的SPI值是否按方向(inbound, outbound)匹配。而在IPSec-isakmp下,则可能是协商出错。
2.故障2
问题描述:在IPSec-manual方式下,双方配置好后,双方仍然无法进行通信。同时若打开debug crypto packet,则会出现如下信息:
packet missing policy
原因:对端outbound的配置策略和本地不同(esp, ah )。
判断方法和解决方案:检查双方的配置信息,很可能是对端策略配置为esp,而本端策略
为ah+esp o
3.故障3
问题描述:在IPSec-manual方式下,双方配置好后,双方仍然无法进行通信。同时若打开debug crypto packet,则会出现如下信息:
rec'd IPSEC packet from IPADDR has bad pading
原因:对端。uthound的加密密钥与本端inbound的不同。
判断方法和解决方案:检查对端outbound的加密密钥和本端inbound的加密密钥,务必使两者相同。
4.故障4
问题描述:在IPSec-manual方式下,双方配置好后,双方仍然无法进行通信。同时若打开debug crypto packet,则会出现如下信息:
recd IPSEC packet mac veri勿failed
原因:对端。utbound的ESP或AH验证密钥与本端inbound的不同。
判断方法和解决方案:检查对端outbound的ESP或AH验证密钥和本端inbound的验证密钥,务必使两者相同。
5.故障5
问题描述:在〕Sec-manual方式下,双方配置好后,双方仍然无法进行通信。同时若打开debug crypto packet,则会出现如下信息:
rec'd IPSEC packet from IPADDR to IPADDR does not agree with policy
原因:IPSEC处理完成的包与相应的access-list不同,子MAP的访问列表配置有问题。
判断方法和解决方案:检查本端sub-Map配置的access-list是否符合进行IPSec通信的要求。
6.故障6
问题描述:在IPSec-isakmp方式下,双方配置好后,由对端开始发起协商,无法进行通信,show crypto isakmp sa也没有发现和当前通信相关的成功的SA信息。在协商同时若打开debugcrypto isakmp,则会出现如下信息:
ISAKMP(xxx): processing ISAKMP-SA payload(随后有若干transform-payload中的内容)
ISAKMP(xxx): no acceptable Oakley Transform
ISAKMP(xxx): negotiate error NO-PROPOSAL--CHOSEN
原因:双方配置的ISAKMP策略不匹配。
判断方法和解决方案:检查两端的ISAKMP-Policy是否相同,尤其是对端的lifetime不能大于本地的lifetime值。
7.故障7
问题描述:在IPSec-isakmp方式下,双方配置好后,由对端开始发起协商,无法进行通信,show crypto ipsec sa也没有发现和当前通信相关的成功的SA信息。在协商同时若打开debugcrypto isakmp,则会出现如下信息:
ISAKMP(xxx): processing IPSec-SA payload(随后有若干transform-payload中的内容)
ISAKMP(xxx): no acceptable Proposal in IPsec SA
ISAKMP(xxx): negotiate error NO-PROPOSAL-CHOSEN
原因:双方配置的IPSec策略不匹配。
判断方法和解决方案:检查两端相应的transform-set是否匹配,相应的下的pfs属性是否相同。
8.故障8
问题描述:在IPSec-isakmp方式下,双方配置好后,由对端开始发起协商,无法进行通信,show crypto ipsec sa也没有发现和当前通信相关的成功的SA信息。在协商同时若打开debugcrypto isakmp,则会出现如下信息:
ISAKMP: attr accept again transform-set xxx
//ISAKMP(xxx): dealing with ID-payload
(随后有对端为IPSec通信所配置的access-list内容)
//ISAKMP(xxx): ISAKMP: not found matchable policy
原因:双方配置的IPSec规则不匹配。
判断方法和解决方案:检查两端相应的subee map下的规则(access-list)是否匹配。
9.故障9
问题描述:在IPSec-isakmp方式下,双方配置好后,由本端开始发起协商,无法进行通信,show crypto isakmp sa也没有发现和当前通信相关的成功的SA信息。、在协商同时若打开debugcrypto isakmp,则会出现如下信息:
ISAKMP(xxx): dealing with Noti厅Payload
ISAKMP: Notify-Message: NO-PROPOSAL-CHOSEN
原因:双方配置的ISAKMP策略不匹配。
判断方法和解决方案:检查两端的ISAKMP-Policy是否匹配。
10.故障10
问题描述:在IPSec-isakmp方式下,双方配置好后,由本端开始发起协商,无法进行通信,show crypto isalanp sa发现和当前通信相关的成功(M SA SETUP)的SA信息,但是show crypto
ipsec sa无相关的SA信息。在协商同时若打开debug crypto isakmp,则会出现如下信息:
ISAKMP(xxx): dealing with Notify Payload ISAKMP: Noti尔Message: NO-PROPOSAL-CHOSEN
原因:双方配置的IPSec策略不匹配,或配置的规则(access-list)不匹配。
判断方法和解决方案:检查两端相应的transform-set是否匹配,相应的sub map下的pfs
属性和规则(access-list)是否匹配。
11.故障11
问题描述:在IPSec-isakmp方式下,双方配置好后,由一方开始发起协商,无法进行通信,show crypto ipsec sa无相关的SA信息。在协商同时若打开debug crypto isakmp,则会出现如下信息:
ISAKMP(xxx): dealing with Notify Payload ISAKMP: Notify-Message: INVALID-EXCHANGE-TYPE
11/ISAKMP(xxx): negotiate error INVALID-EXCHANGE-TYPE.
原因:对端不支持此种类型的协商报文。
判断方法和解决方案:改变对端设置,更换一种模式(例如由Aggressive模式换成Main模式)。
更多I PSec配置与测试相关文章
- 郑州电脑学校课程有哪些?
- 电脑初学者教程之windows常见问题解决方法
- 分享 SHOPEX网店搬迁步骤
- 怎么解决电脑字体模糊?
- netcfg.hlp文件丢失了怎么办
- 如何让ADSL开机后自动拨号连接网络呢?
- 怎么防Web应用程序的注入漏洞
- 无线局域网怎么检测入侵呢?
- 教会您文件加密的几个方法
- IIS 7 中设置文件上传大小限制设置方法
- 学电脑怎么从新手到高手呢?
- 学习网络技术有什么方法及技巧
- 在操作WPS中双击鼠标有什么作用呢
- 10个java程序员不得不知的调试小技巧
- 中国互联网的发展
- 通信方式和交换方式有哪些呢
- X.25公共数据网之流量控制和差错控制
- HDLC协议是什么
- 城域网有哪些特征
- ICMP详细介绍
- 网关协议课程详解
- 病毒怎么进行防护
- 入侵该如何检测
- 交换机的配置
- Linux管理效率怎么提升
- 交换机的配置需要哪些步骤
- 网络管理功能域
- 网络规划案例
- 计算机学习网告诉大家几个电脑小常识
- 搜索
-
- 热门标签