Cisco 路由器上***的实现

???紵

　　1、软件要求：
　　需要ENTERPRISE PLUS IPSEC 56的IOS，目前使用的比较稳定版本是12.07T
　　2、硬件要求：
　　8 MB Flash and 40 MB RAM
　　在Download IOS版本时，会提示所Download的IOS版本
　　的软硬件要求。3、IPSec手工方式的注意事项： 　　（1）加密通道一旦建立，就不再断开 　　（2）Manual Key不提供anti-replay的功能 　　（3）在Manual Key方式时，access-list中只有1条permit起作用，其他都被忽略。 　　（4）在Manual Key方式下，两边的transform set的名字必须一样。 　　4、***手工方式需要的主要命令： 　　（1）access-list 　　设置access-list，有对符合什么样条件的IP包进行加密。 　　（2）crypto isakmp 　　默认是使用crypto isakmp方式，所以在手工方式下，需要禁止此选项。 　　（3）crypto ipsec 　　配置IPSec的加密方式，选择manual方式 　　（4）crypto map 　　配置IPSec的加密方式 　　a)set peer 　　设置远程***网关 　　b)set security-association 　　设置安全联盟，主要有inbound和outbound 　　c)set transform-set 　　设置加密形式 　　d)match address 　　对匹配access-list的进行加密。 　　5、***的手工实现方式： 　　（1）配置access-list，对哪些包建立***连接。 　　access-list 101 permit ip host 192.168.0.1 host 192.168.1.1 　　（2）取消***的自动协商方式 　　no crypto isakmp enable 　　（3）建立一个IPSec的封装方式—两边的路由器需要一样的名称。在举例中是encry-des 　　crypto ipsec transform-set encry-desesp-des 　　（4）建立一个***连接需要的各种条件—这里是ipsec-manual方式 　　crypto map ***test 8 ipsec-manual 　　（5）在上一步用crypto map进入crypto配置模式 　　a) 配置远程的***网关 　　set peer 202.106.185.2 　　b) 配置进出的安全联盟 　　set security-association inbound esp 1000 cipher 21 authenticator 01 　　配置入境联盟 加密方式 顺序号 　　set security-association outbound esp 1001 cipher 12 authenticator 01 　　c)设置IPSec的加密方式 　　set transform-set encry-des 　　d)对匹配地址进行加密 　　match address 101 　　（6）在路由器外部网口上绑定加密方式 　　int e 0/1 　　ip addr 202.106.185.1 255.255.255.0 　　crypto map ***test 　　6、注意事项 　　（1）在两端的access-list要互为相反,如在A路由器上写： 　　access-list 101 permit ip host 192.168.0.1 host 192.168.1.1 　　则在B路由器上写： 　　access-list 101 permit ip host 192.168.1.1 host 192.168.0.1 　　（2）在两端的transform set名称要一致 　　如都写crypto ipsec transform-set encry-des esp-des 　　（3）在一端的inbound就是另一端的outboud，一端的outbound是另一端的inboud。因此他们的序列好应该相反。 　　如在A路由器上写： 　　set security-association inbound esp 1000 cipher 21 authenticator 01 　　set security-association outbound esp 1001 cipher 12 authenticator 01 　　则在B路由器上写： 　　set security-association inbound esp 1001 cipher 12 authenticator 01 　　set security-association outbound esp 1000 cipher 21 authenticator 01 　　（4）总之在使用手工方式时，在两端的配置应该尽量一样或相对。 　　7、应用条件 　　我认为在路由器上做***主要有以下几种应用： 　　（1）可以使用在电信中二级节点和一级节点进行远程管理认证时使用。而一级节点和骨干节点由于通讯量比较大，不建议使用***方式。而且为了减低负载只有在传输特殊应用时建议使用***，不是只是简单地判断Source IP，Destination IP。 　　（2）移动用户在跟自己公司的服务器进行连接时使用。 　　（3）对于分公司、母公司这种形式在相互通信过程中使用。 　　8、用***的好处 　　（1）节约成本，因为不要在做大量投资，购买专业设备，只需用现有的路由器即可。 　　（2）实现了加密，保证重要数据在传输过程中的安全性。 　　（3）灵活性强。如果用户通过路由器接入Internet，则可以自己配置保证安全性。不过对于ISP来说用处不大。 　　9、***应用举例： 　　在路由器R1上配置如下： 　　no crypto isakmp enable 　　crypto ipsec transform-set encry-des esp-des 　　crypto map ***test 8 ipsec-manual 　　set peer 202.106.185.2 　　set security-association inbound esp 1000 cipher 21 authenticator 01 　　set security-association outbound esp 1001 cipher 12 authenticator 01 　　set transform-set encry-des match address 101 　　interface Ethernet0/0 　　ip address 192.168.0.1 255.255.255.0 　　interface Ethernet0/1 　　ip address 202.106.185.1 255.255.255.0 　　crypto map ***test 　　ip route 0.0.0.0 0.0.0.0 202.106.185.2 　　access-list 101 permit ip host 192.168.0.1 host 192.168.1.1 　　在路由器R2上配置如下： 　　no crypto isakmp enable 　　crypto ipsec transform-set encry-des esp-des 　　crypto map ***test 8 ipsec-manual set peer 202.106.185.1 　　set security-association inbound esp 1001 cipher 12 authenticator 01 　　set security-association outbound esp 1000 cipher 21 authenticator 01 　　set transform-set encry-des match address 101 　　interface Ethernet0/0 　　ip address 192.168.1.1 255.255.255.0 　　interface Ethernet0/1 　　ip address 202.106.185.2 255.255.255.0 　　crypto map ***test 　　ip route 0.0.0.0 0.0.0.0 202.106.185.1 　　access-list 101 permit ip host 192.168.1.1 host 192.168.0.1 　　IKE方式的实现 　　1、IKE使用UPD 500 　　2、支持CA 　　3、支持移动用户 　　IKE包括的组件： 　　1、DES 　　2、Diffie-Hellman-preshare key 　　3、RSA signatures（CA）and RSA encrypted nonces 　　IKE配置内容： 　　1、enable IKE—default enable 　　2、accesslist 　　3、transformset 　　4、crypto map 　　5、binding interface 　　IKE Policy—两边的号码可以不一样，匹配： 　　authentication、hash、diff-herman、encrytpion，lifetime（取最小值） 　　1、authentication 　　（1）RSA signature 　　（2）RSA non 　　（3）Preshare Key 　　2、encryption 　　IKE配置 　　（1）配置accesslist 　　（2）crypto isakmp enable（默认打开，但为了避免，还是写上） 　　（3）crypto isakmp policy 10 　　a）encryption algorithm：DES 　　b）hash algorithm：SHA1 　　c）authentication method：RSA sig 　　d）Diffie-Hellman group：1 　　e）Lifetime：86400 　　（4）crypto isakmp key test address 202.106.100.2 　　（5）crypto ipsec transform-set set2 ah-sha-hmac 　　esp-des esp-sha-hmac 　　（6）crypto map IKE ipsec-isakmp 　　a)set peer remote IP 　　b)set transform-set 　　c)set pfs group2 　　d)match address 　　（7）dir 　　使用RSA的-encr方式 　　ip domain-name 　　crypto key generate rsa 　　sh crypto key mypubkey rsa 　　crypto key pubkey-chain rsa 　　key-string 　　　　什么时候使用手工方式，什么时候使用IKE方式 编者按：***是企业实现安全远程互联的有效方法。本文根据一个应用实例，具体描述***的配置和实施过程。其主要应用特点包括：基于封装安全负载标准ESP-DES（Encapsulating Securiry Payload – Data Encryption Standard）的IPSec；专有网络通过端口地址转换（PAT）技术访问Internet.　　一、 网络需求： 3个分支要求数据实时查询　　---- 该单位公司总部在北京，全国有3个分支机构。要求做到在4个地点的数据能够实时查询，便于业务员根据具体情况作出正确决策。早期方案是使用路由器，通过速率为256Kbps的DDN专网连接北京总部。但技术人员通过市场调研，发现该网络运营成本过高。通过进一步的咨询和调整，最终方案是分支机构使用DDN在本地接入Internet，总部使用以太网就近接入Internet。并对互联的路由器进行配置，使用***技术，保证内部数据通过Internet安全传输。该企业的网络分布见附图。　　　二、***配置过程及测试步骤　　---- 在实施配置前，需要检查硬件和软件是否支持***。对于Cisco路由器，要求IOS版本高于12.0.6(5)T，且带IPSec功能。本配置在Cisco路由器上配置通过。　---- 以下是分支网络1的路由器实际配置过程，其他路由器的配置方法与此基本一致，只需修改具体的环境参数（IP地址和接口名称）即可。　---- 以下黑体字为输入部分，< Enter >为键盘对应键，^Z为Ctrl+Z组合键。　　　1. 配置路由器的基本参数，并测试网络的连通性　　---- （1） 进入路由器配置模式　---- 将计算机串口与路由器console口连接，并按照路由器说明书配置“终端仿真”程序。执行下述命令进入配置模式。　---- Router>en　---- Router#config terminal　---- Router(config)#　---- （2）配置路由器的基本安全参数　---- 主要是设置特权口令、远程访问口令和路由器名称，方便远程调试。　---- Router(config)#enable secret xxxxxxx　---- Router(config)#line vty 0 4　---- Router(config-line)#password xxxxxx　---- Router(config-line)#exit　---- Router(config)#hostname huadong　---- huadong(config)#　---- （3）配置路由器的以太网接口，并测试与本地计算机的连通性　---- 注意: 配置前，请将线缆与相关设备连接好。其中ethernet0/0端口接内部网络，serial0/0端口接外部网络。外部网络接口地址由ISP分配，至少一个地址，多者不限。以下假定为一个，使用PAT(端口地址转换)模式，地址为210.75.32.9，上级路由器为210.75.32.10。内部网络地址如附图所标示。　---- 关键是配置IP地址和启用以太网接口。测试时，使用基本的测试命令ping。　---- huadong(config)#inter eth0/0　---- huadong(config-if)#ip address 172.17.1.1 255.255.255.0　---- huadong(config-if)#no shutdown　---- 以下是测试命令：　---- huadong#ping 172.17.1.1　---- …　---- !!!!!　---- …　---- huadong#ping 172.17.1.100　---- …　---- !!!!!　---- …　---- 在IP地址为172.17.1.100的计算机上:　---- c:>ping 172.17.1.1　---- Pinging 172.17.1.1 with 32 bytes of data:　---- Reply from 172.17.1.1: bytes=32 time=5ms TTL=255　---- ……　---- 结果证明连接及配置正确。　---- （4）配置路由器的串口，并测试与上级路由器的连通性　---- 与以太网口的配置方法类似，而且需要指定带宽和包的封装形式。同时，注意将Cisco设备特有的CDP协议关掉，保证基本的安全。　---- huadong(config)#inter serial0/0　---- huadong(config-if)#ip address 210.75.32.9 255.255.255.252　---- huadong(config-if)#bandwidth 256　---- huadong(config-if)#encapsulation ppp　---- huadong(config-if)#no cdp enable　---- huadong(config-if)#no shutdown　---- 以下是测试命令：　---- huadong#ping 210.75.32.9　---- ……　---- !!!!!　---- ……　---- huadong#ping 210.75.32.10　---- ……　---- !!!!!　---- ……　---- 结果证明连接及配置正确。三。 配置路由器NAT网络　　---- （1） 配置外出路由并测试　---- 主要是配置缺省路由。　---- huadong(config)#ip route 0.0.0.0 0.0.0.0 210.75.32.9　---- huadong#ping 211.100.15.36　---- ……　---- !!!!!　---- ……　---- 结果证明本路由器可以通过ISP访问Internet。　---- （2）配置PAT，使内部网络计算机可以访问外部网络，但不能访问总部和分支机构　---- 主要是基于安全目的，不希望内部网络被外部网络所了解，而使用地址转换（NAT）技术。同时，为了节约费用，只租用一个IP地址（路由器使用）。所以，需要使用PAT技术。使用NAT技术的关键是指定内外端口和访问控制列表。　---- 在访问控制列表中，需要将对其他内部网络的访问请求包废弃，保证对其他内部网络的访问是通过IPSec来实现的。　---- huadong(config)#inter eth0/0　---- huadong(config-if)#ip nat inside　---- huadong(config-if)#inter serial0/0　---- huadong(config-if)#ip nat outside　---- huadong(config-if)#exit　---- 以上命令的作用是指定内外端口。　---- huadong(config)#route-map abc permit 10　---- huadong(config-route-map)#match ip address 150　---- huadong(config-route-map)#exit　---- 以上命令的作用是指定对外访问的规则名。　---- huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.16.0.0 0.0.255.255　---- huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.17.2.0 0.0.0.255　---- huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.17.3.0 0.0.0.255　---- huadong(config)#access-list 150 permit ip 172.17.1.0 0.0.0.255 any　---- 以上命令的作用是指定对外访问的规则内容。例如，禁止利用NAT对其他内部网络直接访问（当然，专用地址本来也不能在Internet上使用），和允许内部计算机利用NAT技术访问Internet（与IPSec无关）。　---- huadong(config)#ip nat inside source route-map abc interface serial0/0 overload　---- 上述命令的作用是声明使用串口的注册IP地址，在数据包遵守对外访问的规则的情况下，使用PAT技术。　---- 以下是测试命令，通过该命令，可以判断配置是否有根本的错误。例如，在命令的输出中，说明了内部接口和外部接口。并注意检查输出与实际要求是否相符。　---- huadong#show ip nat stat　---- Total active translations: 0 (0 static, 0 dynamic; 0 extended)　---- Outside interfaces:　---- Serial0/0　---- Inside interfaces:　---- Ethernet0/0　---- ……　---- 在IP地址为172.17.1.100的计算机上，执行必要的测试工作，以验证内部计算机可以通过PAT访问Internet。　---- c:>ping 210.75.32.10　---- ……　---- Reply from 210.75.32.10: bytes=32 time=1ms TTL=255　---- ……　---- c:>ping http://www.ninemax.com　---- ……　---- Reply from 211.100.15.36: bytes=32 time=769ms TTL=248　---- ……　---- 此时，在路由器上，可以通过命令观察PAT的实际运行情况，再次验证PAT配置正确。　---- huadong#show ip nat tran　---- Pro Inside global Inside local Outside local Outside global　---- icmp 210.75.32.9:1975 172.17.1.100:1975 210.75.32.10:1975 210.75.12.10:1975　---- ……　---- 以上测试过程说明，NAT配置正确。内部计算机可以通过安全的途径访问Internet。当然，如果业务要求，不允许所有的内部员工/计算机，或只允许部分内部计算机访问Internet，那么，只需要适当修改上述配置命令，即可实现。　四。 配置ESP-DES IPSec并测试　　---- 以下配置是配置***的关键。首先，***隧道只能限于内部地址使用。如果有更多的内部网络，可在此添加相应的命令。　---- huadong(config)#access-list 105 permit ip 172.17.1.0 0.0.0.255 172.16.0.0 0.0.255.255　---- huadong(config)#access-list 106 permit ip 172.17.1.0 0.0.0.255 172.17.2.0 0.0.0.255　---- huadong(config)#access-list 107 permit ip 172.17.1.0 0.0.0.255 172.17.3.0 0.0.0.255　---- 指定***在建立连接时协商IKE使用的策略。方案中使用sha加密算法，也可以使用md5算法。在IKE协商过程中使用预定义的码字。　---- huadong(config)#crypto isakmp policy 10　---- huadong(config-isakmp)#hash sha　---- huadong(config-isakmp)#authentication pre-share　---- huadong(config-isakmp)#exit　---- 针对每个***路由器，指定预定义的码字。可以一样，也可以不一样。但为了简明起见，建议使用一致的码字。　---- huadong(config)#crypto isakmp key abc2001 address 211.157.243.130　---- huadong(config)#crypto isakmp key abc2001 address 202.96.209.165　---- huadong(config)#crypto isakmp key abc2001 address 192.18.97.241　---- 为每个***（到不同的路由器，建立不同的隧道）制定具体的策略，并对属于本策略的数据包实施保护。本方案包括3个***隧道。需要制定3个相应的入口策略(下面只给出1个)。　---- huadong(config)#crypto map abc 20 ipsec-isakmp　---- huadong(config-crypto-map)#set peer 211.157.243.130　---- huadong(config-crypto-map)#set transform-set abc-des　---- huadong(config-crypto-map)#match address 105　---- huadong(config-crypto-map)#exit　---- 使用路由器的外部接口作为所有***入口策略的发起方。与对方的路由器建立IPSec。　---- huadong(config)#crypto map abc local-address serial0　---- IPSec使用ESP-DES算法（56位加密），并带SHA验证算法。　---- huadong(config)#crypto ipsec transform-set abc-des esp-des esp-sha-hmac　---- 指明串口使用上述已经定义的策略。　---- huadong(config)#inter serial0/0　---- huadong(config-if)#crypto map abc　---- 在IP地址为172.17.1.100的计算机上验证:　---- c:>ping 172.16.1.100　---- ……　---- Reply from 172.16.1.100: bytes=32 time=17ms TTL=255　---- ……　---- huadong#show crypto engine conn acti　---->Interface IP-Address State Algorithm Encrypt Decrypt　---- 1 < none > < none > set HMAC_SHA+DES_56_CB 0 0　---- 2000 Serial0/0 210.75.32.9 set HMAC_SHA+DES_56_CB 0 452　---- 2001 Serial0/0 210.75.32.9 set HMAC_SHA+DES_56_CB 694 0　---- 同时，这种连接使用了IPSec，而没有使用NAT技术。五、测试：***应用测试　　---- 将所有路由器按照上述过程，根据具体的环境参数，做必要修改后，完成***的配置。网络部分任务完成，可以顺利开展业务应用了。　---- 如果需要，路由器本身提供更详细的调试命令：　---- debug crypto engine connections active　---- debug crypto isakmp sa　---- debug crypto ipsec sa　---- 在调试时，需要注意，在对应路由器上也执行相应的调试命令。然后，在一台客户机（172.17.1.100）上执行如下命令:　---- c:>ping 172.16.1.100 -n 1　---- 最后，对比2个路由器的输出，观察出现问题的提示——这是隧道不能建立的主要原因。针对此提示，做必要的修改工作，便可圆满完成***的配置计划。　---- 在实际中，该方案完全满足用户需求，并充分验证了***技术的可用性和实用性。至今运行正常，用户非常满意。