分解試驗指南version 2 0三年如一日版

-----現(xiàn)任明教教主2007.6.16目錄toLANP4P4ISAKMPP6IPSECP8PVSCryptoP3.IPSECOVERP4.GREOVERPPPP8.ISAKMPPP10.Redundancy（設(shè)備備份P11.RemoteP11.aISAKMPP11.bIPSECPPP1．LAN1．LANto通訊點：1.1.1.1/32------加密點 對端加密點的路由202.100.2.1（R1而言感流目的的路由（也就是對端通訊點）2.2.2.2/32（R1而言UDP/500IKEESPNAT-T（UDP/4500）202.100.2.1255.255.255.2552.2.2.2255.255.255.255202.100.1.1255.255.255.2551.1.1.1255.255.255.255Cryptoisapol10Cryptoisakeyciscoaddress202.100.2.1Cryptoisapol10CryptoisakeyciscoaddressHashDHGroup：Group1LifeTime：86400secondsCryptoipsectransform-settransesp-desesp-md5-hmacCryptoipsectransform-settransesp-desesp-md5-Ipaccess-listPermitiphost1.1.1.1hostIpaccess-listPermitiphost2.2.2.2hostCryptomapcrymap10ipsec-isaSettransform-settransSetpeer202.100.2.1MatchaddressCryptomapcrymap10ipsec-isaSettransform-settransSetpeer202.100.1.1MatchaddressInterfacee0/0CryptomapcrymapInterfacee0/0CryptomapcrymapDebugcryptoisaDebugcryptoipsec2.2.2.2so1.1.1.1re1001.b1.bISAKMPProfile(拓展學習|Iproute0.0.0.00.0.0.0Iproute0.0.0.00.0.0.0Cryptoisapol10Hashmd5CryptokeyringciscoPre-shared-keyaddress123.1.1.2key0ciscoCryptoisaprofileciscoMatchidentityaddress123.1.1.2KeyringciscoCryptoisapol10Hashmd5CryptokeyringciscoPre-shared-keyaddress123.1.1.1key0ciscoCryptoisaprofileciscoMatchidentityaddress123.1.1.1KeyringciscoCryptoipsectransform-settransesp-desesp-md5-hmacCryptoipsectransform-settransesp-desesp-md5-Ipaccess-listPermitiphost1.1.1.1hostIpaccess-listPermitiphost2.2.2.2hostCryptomapcrymap10ipsec-isaSettransform-settransSetpeer123.1.1.2MatchaddressSetisakmp-profileCryptomapcrymap10ipsec-isaSettransform-settransSetpeer123.1.1.1MatchaddressSetisakmp-profileInterfacee0/0CryptomapcrymapInterfacee0/0Cryptomapcrymap1.c1.cIPSECProfile(拓展學習|Step2:ISAKMP策略Cryptoisapol10Hashmd5CryptokeyringciscoPre-shared-keyaddress123.1.1.2key0ciscoCryptoisaprofileciscoMatchidentityaddress123.1.1.2KeyringciscoCryptoisapol10Hashmd5CryptokeyringciscoPre-shared-keyaddress123.1.1.1key0ciscoCryptoisaprofileciscoMatchidentityaddress123.1.1.1KeyringciscoCryptoipsectransform-settransesp-desesp-md5-hmacCryptoipsectransform-settransesp-desesp-md5-CryptoipsecprofileciscoSettransform-setciscoSetisakmp-profileciscoCryptoipsecprofileciscoSettransform-setciscoSetisakmp-profileciscoInterfacetunnelIpaddress192.168.1.1Tunnelmodeipsecipv4Tunnelsourcee1/0TunneldestinationTunnelprotectionipsecprofileciscoInterfacetunnelIpaddress192.168.1.2Tunnelmodeipsecipv4Tunnelsourcee0/0TunneldestinationTunnelprotectionipsecprofileRouterospfRouter-idNetwork1.1.1.10.0.0.0aNetwork192.168.1.00.0.0.255aRouterospfRouter-idNetwork2.2.2.20.0.0.0aNetwork192.168.1.00.0.0.255a1.d1.dMAP是有是不有是不是22VSCrypto決辦法，例如：中心是CISCO產(chǎn)品分支采用的是D-link產(chǎn)品，并且D-link沒有固定Iproute0.0.0.00.0.0.0Iproute0.0.0.00.0.0.0Cryptoisapol10Hashmd5Authenticationpre-Cryptoisakey0ciscoaddressCryptoisapol10Hashmd5Authenticationpre-Cryptoisakey0ciscoaddressCryptoipsectransform-settransesp-desesp-md5-Cryptoipsectransform-settransesp-desesp-md5-Ipaccess-listPermitiphost2.2.2.2hostCryptodynamic-mapcisco10Settransform-settransCryptomapcisco10ipsec-isadynamicCryptomapcisco10ipsec-isaSetpeer123.1.1.1SettrantransMatchaddressInterfacef0/0CryptomapciscoInterfacef0/0Cryptomapcisco1.1.1.1so2.2.2.2reIPSECOVERGRE工程中很少使用，本試驗只是想通過分析IPSECOVER答：Ipsec不能夠支持加密二層和組播流量，這樣一個限制就意味著不能夠通過Ipsec運行動態(tài)路由協(xié)議。為了解決這個問題，我們采用了GRE，它能很好的封裝組播和二層協(xié)議，能夠為我們的Ipsec提供動態(tài)路由協(xié)議的服務(wù)。但是這個限制到了12.4之后就消除了！Cisco在12.4引入了IpsecProfile的技術(shù)。InterfaceIpaddress172.16.1.1TunnelsoTunneldesInterfaceIpaddress172.16.1.2TunnelsoTunneldesRouterospfNetwork172.16.1.00.0.0.255aa0a0a0RouterospfNetwork172.16.1.00.0.0.255aa0a0a0Cryptoisapol10AuthpreCryptoisakey0ciscoaddressCryptoisapol10AuthpreCryptoisakey0ciscoaddressCryptoipsectranciscoesp-desesp-md5-hmacCryptoipsectranciscoesp-desesp-md5-Ipaccess-listPermithost1.1.1.1hostIpaccess-listPermithost4.4.4.4hostCryptomapcisco10ipsec-isaMatchaddressSettransSetpeer202.100.1.2Cryptomapcisco10ipsec-isaMatchaddressSettransSetpeerInterfaceCryptomapciscoInterfacefa0/0Cryptomapcisco<建議運用，能夠未加密的感流進入>InterfaceCryptomapciscoInterfacefa0/0Cryptomapcisco<建議運用，能夠未加密的感流進入 <原始包SIP:1.1.1.1查詢：路由表結(jié)果：送到Tunnel撞擊上Tunnel口上的map<匹配上感流SIP:202.100.1.1DIP:202.100.1.2ESPSIP:1.1.1.1加密后的新包繼續(xù)查詢:結(jié)果：送出物理口SIP:202.100.1.1DIP:202.100.1.2ESPSIP:1.1.1.1InterfaceloIpaddress11.1.1.1RouterospfNetwork11.1.1.10.0.0.0aInterfaceloIpaddress22.1.1.1RouterospfNetwork22.1.1.10.0.0.0aCryptoisapol10AuthpreCryptoisakey0ciscoaddress22.1.1.1Cryptoisapol10AuthpreCryptoisakey0ciscoaddressCryptoipsectranciscoesp-desesp-md5-hmacCryptoipsectranciscoesp-desesp-md5-Ipaccess-Permitiphost1.1.1.1hostIpaccess-Permitiphost4.4.4.4hostCryptomapciscolocal-addresslo100<改變更新源>Cryptomapcisco10ipsec-isaMatchaddressSettransciscoSetpeer22.1.1.1Cryptomapciscolocal-addresslo100<改變更新源>Cryptomapcisco10ipsec-isaMatchaddressSettransciscoSetpeerInterfacet0CryptomapciscoInterfacefa0/0CryptomapciscoInterfacet0CryptomapciscoInterfacefa0/0Cryptomapcisco <原始包SIP:1.1.1.1查詢：路由表結(jié)果：送到Tunnel撞擊上Tunnel口上的map<匹配上感流SIP:11.1.1.1DIP:22.1.1.1ESPSIP:1.1.1.1加密后的新包繼續(xù)查詢:結(jié)果：再次送出tunnelGRE封裝后的包再次查詢結(jié)果4．GRE4．GREOVERGREOverIPSEC這個技術(shù)同樣需要創(chuàng)建一個Tunnel，并且運用Tunnel上的動態(tài)3到6等等）當它們穿越Tunnel都會被封裝成為如下格式：202.100.1.1DIP：202.100.1.2GRESIP:X.X.X.XDIPX是123,Y是456其次就算是在Tunnel口上運行的動態(tài)路由協(xié)議也表現(xiàn)出以202.100.1.1為源202.100.1.2為目的GRE的流量，所以按照這樣的分析，我們只需要創(chuàng)建一個IPSEC以202.100.1.1到202.100.1.2的GRE為感流，這樣所有的穿越tunnel的流量和動態(tài)路由協(xié)議都得到了保護，并且我們只需要寫一條感流，這就是我們的GREOVER第一個傳輸模式的IPSEC，我們講課的時候說道只要加密點和通訊點相等就可以成為傳輸模式，那么我們來看看這個GREOVERIPSEC的加密點和通訊點。加密點:Site1Site2202.100.1.1202.100.1.2GRE流量（千萬不要認為是X到Y(jié)的流GREOVERIPSEC最終封裝包接口（傳輸模式）SIP：202.100.1.1DIP：202.100.1.2ESPGREX.X.X.XIPSECOVERGREIPSECOVER GREOVER 感 GREOVERIPSEC適用于，分支和中心都有固定IP地址的情況，并且中心和分然現(xiàn)在使用IPSECProfile技術(shù)來替代GREOVERIPSEC也是一個不錯的選擇，如果分支InterfaceIpaddress172.16.1.1TunnelsoTunneldesInterfaceIpaddress172.16.1.2TunnelsoTunneldesRouterospfNetwork172.16.1.00.0.0.255aa0a0a0RouterospfNetwork172.16.1.00.0.0.255aa0a0a0Cryptoisapol10AuthpreCryptoisakey0ciscoaddress202.100.1.2Site2：Cryptoisapol10AuthCryptoisakey0ciscoaddressCryptoipsectranciscoesp-desesp-md5-hmacModetransportCryptoipsectranciscoesp-desesp-md5-hmacModetransportIpaccess-listPermitgrehost202.100.1.1host202.100.1.2Site2：Ipaccess-listexPermitgrehost202.100.1.2hostCryptomapcisco10ipsec-isaMatchaddressSettransSetpeer202.100.1.2Cryptomapcisco10ipsec-isaMatchaddressSettransSetpeerInterfacefa0/0CryptomapciscoInterfacefa0/0Cryptomapcisco 在IOS12.2(13)T以后Cisco對GREOVERIPSEC的配置做出了調(diào)整，通過一個ipsec配置，所以下邊的演示配置里邊省略了ISAKMP相關(guān)令。cryptoipsectransform-setciscoesp-desesp-md5-hmacmodetransportcryptoipsecprofileciscosettransform-setcryptoipsectransform-setciscoesp-desesp-md5-hmacmodetransportcryptoipsecprofileciscosettransform-setinterfacetutunnelprotectionipsecprofileinterfacetutunnelprotectionipsecprofile趣流和PEER都隱含定義了。既然在tunnel口上運用tunnelprotection，那么我們保護的不就是兩個tunnel之間的gre流量嗎？不就是grehost202.100.1.1host202.100.1.2嗎？所以說感流是有的而且和crymap配置里邊的一樣，PEER又在哪下邊的設(shè)置一樣！所以使用ipsecprofile和使用cryptomap在功能上沒有任何區(qū)別，并且配置起來更靈活更簡單，也能夠運用在一些特殊的里邊，例如：DM 的PAT穿越技術(shù)很多，大家可以參閱PIXNAT-T技術(shù)，ASA能夠支持三種NAT穿越技術(shù)（IPSECOVERUDPIPSECOVERTCPNAT-T）,通過nocryptoipsecnat-transparencyudp-encapsulation這個命令來關(guān)掉這個默認cryptoisakmp10hashmd5authenticationpre-cryptoisakmpkeyciscoaddresscryptoipsectransform-setciscoesp-desesp-md5-hmaccryptomapcisco10ipsec-isakmpsetpeer202.100.1.1settransform-setciscomatchaddressinterfaceipaddress1.1.1.1interfaceipaddress202.100.1.10cryptomapiproute0.0.0.00.0.0.0ipaccess-listpermitiphost1.1.1.1hostcryptoisakmp10hashmd5authenticationpre-cryptoisakmpkeyciscoaddresscryptoipsectransform-setciscoesp-desesp-md5-cryptomapcisco10ipsec-isakmpsetpeer202.100.1.10settransform-setciscomatchaddressinterfaceipaddress2.2.2.2interfaceipaddress192.168.1.10cryptomapiproute0.0.0.00.0.0.0ipaccess-listpermitiphost2.2.2.2host在這種預(yù)配置的情況下，Inside觸發(fā)的流量(1.1.1.1so2.2.2.2)，可以建立IPSECSA，但是無法實現(xiàn)正常通訊，因為這個時候IPSECSA使用的是TUNNEL模式，用ESP進行封裝，無法穿越中間的PIXPAT。我們打開cryptoipsecnat-transparency是不可以通的，但是先由Inside觸發(fā)1.1.1.1so2.2.2.2后,Outside就可以了。這個時候我們在PIX做如下配置，讓Outside能夠初始化發(fā)起2.2.2.2Static(inside,outside)udpinterface500192.168.1.10Static(inside,outside)udpinterface4500192.168.1.10Access-listoutpermitudphost202.100.1.10host202.100.1.1eq500Access-listoutpermitudphost202.100.1.10host202.100.1.1eqAccess-groupoutininterface但是這樣的HA的設(shè)計引入了內(nèi)部server的路由問題，當remote撥入到GW1的時候Server要通過GW1來抵達remote（地址池的地址GW1不能抵達，remote撥到了GW2，這個時候server需要通過GW2來抵達remote。 造成內(nèi)部路由的。Iproute 目 > 下一 iproute<ipsecsa 流的目的><ipsecsa的我們通過一個試驗來演示RRI的基本功能，還有在12.3和12.4RRIcryptoisakmp10cryptoisakmpkeyciscoaddresscryptoipsectransform-setciscoesp-desesp-md5-hmaccryptomapcisco10ipsec-isakmpsetpeer202.100.2.10settransform-setciscomatchaddressinterfaceipaddress1.1.1.1interfaceipaddress202.100.1.10cryptomapipaccess-listpermitiphost1.1.1.1hostcryptoisakmp10cryptoisakmpkeyciscoaddresscryptoipsectransform-setciscoesp-desesp-md5-hmaccryptomapcisco10ipsec-isakmpsetpeer202.100.1.10settransform-setciscomatchaddressinterfaceipaddress2.2.2.2interfaceipaddress202.100.2.10cryptomapipaccess-listpermitiphost2.2.2.2hostIproute202.100.2.10255.255.255.255Iproute202.100.1.10255.255.255.255這個時候我們分別在R1和R2的cryptomap下邊打上reverse-route,然后showiproute來看看區(qū)別！<現(xiàn)在我們還沒有建立IPSEC>showiprouteShowiprouteS1.1.1.1[1/0]via知道對方的通訊點（access-list的目的這兩個條件在我們靜態(tài)配置的cryptomap里邊都有體現(xiàn)，所以12.3的R2就按照RRI的產(chǎn)生格式產(chǎn)生了一條靜態(tài)路由，目的是1.1.1.1（access-list的目的）下一條是RRI，動態(tài)MAP因為在配置里邊沒有感流也沒有PEER，所以只有當IPSEC建立以后才能產(chǎn)生RRI（在建立的過程中協(xié)商出來了感流和PEER）。生RRI，所以我們在R1上敲上reverse-route,也沒有靜態(tài)路由產(chǎn)生。如果你想像以前好了我們再來考慮一下另外一個問題，RRI的主要目的是什么？RRIRRI產(chǎn)生的靜態(tài)路由在ACLroute-map在路由進程下調(diào)用來控制哪些路由可以重分布進入這個路由協(xié)議。這個時候問題出現(xiàn)了，撥號往往產(chǎn)生的都是2位主機路由，用AL匹配起來非常不方便，為了解決這個問題Ciso在12.4里邊提出了一個新的特性。我們現(xiàn)在通過試驗給大家演示一下。crymapcisco10reverse-routetag10R1#shiproute2.2.2.2Routingentryfor2.2.2.2/32Knownvia"static",distance1,metric0Tag10RoutingDescriptor*Routemetricis0,trafficsharecountis1Routetag10里邊只需要matchtag10就可以匹配上RRI產(chǎn)生的所有路由了，減少了寫ACL的Ipsec由兩個協(xié)議組成，第一階段和第二階段協(xié)商所使用的UDP/ISAKMP，具體Ipsec的流量，只需要放行加密點之間的ISAKMP和ESP的流量。實際配置如下:ipaccess-listextendedpermitudphost202.100.1.10eqisakmphost202.100.2.10eqisakmppermitesphost202.100.1.10host202.100.2.10encapsulationdot1Q2ipaddress202.100.1.1ipaccess-groupcontrol是12.3(10a)，R2的版本是12.4(1c)，在12.3(8)T之前入方向ACL如下圖：首先檢測是否是明文的感流（reversecryptomap檢測物理接口in方向的ACL（這個時候我們需要放行ISAKMP和 首先檢測是否是加密感然后查詢物理口out方向如果是感流就加按照這種處理包的方法，如果我們只想允許2.2.2.2來net1.1.1.1。那么ipaccess-listextendedpermitudphost202.100.2.10host202.100.1.10eqisakmppermitesphost202.100.2.10host202.100.1.10permittcphost2.2.2.2host1.1.1.1eqnetinterfaceEthernet0/0ipaddress202.100.1.10ipaccess-groupcontrol首先檢測是否是明文的感流（reversecryptomap檢測物理接口in方向的ACL（這個時候我們需要放行ISAKMP和后的明文查詢cryptomap下邊設(shè)置的ACL（這個ACL只對后流量進行處首先檢測是否是加密感如果不是感流，就直接送到物理接口的out方向ACL去檢如果是感流，就查詢cryptomap下邊的out方向ACL（只對加密流量進行檢按照這種處理包的方法，如果我們只想允許1.1.1.1來net2.2.2.2。那么ipaccess-listextendedpermitudphost202.100.1.10host202.100.2.10eqisakmppermitesphost202.100.1.10host202.100.2.10ipaccess-listextendedpermittcphost1.1.1.1host2.2.2.2eqnetcryptomapcisco10ipsec-isakmpinterfaceipaddress202.100.2.10ipaccess-groupcontrol例如remote,要讓remote正常通訊，我們需要在物理接口上放行地址池到身后以以地址池為源直接穿越ACL身后網(wǎng)絡(luò)。這個問題在staticmap的上不會存在，因為我們在in方向ACL上放行的都是反向的感流（reversecryptomapACL），如果問題呢？答案是dynamicmap在沒有建立ipsec 之前是沒有感流，所以不能按照MAP的處理機制來丟棄包！所以的明文流量可以正常的穿越我們的ACL。8．ISAKMP8．ISAKMPISAKMPKeepalive這個特性的主要目的是探測當前IPSECSA的可用性，前面我們講到的各種IPSEC都沒有啟用這樣一個特性，我們以拓撲圖所示的L2L為例，當中間設(shè)備（Internet）出現(xiàn)問題，那么我們以前建立的IPSECSA就成為了一個黑洞，因為Ini和Res并不知道中間設(shè)備出現(xiàn)了問題，在IPSECSA超時之前（1個小時）他們會繼續(xù)通過IPSECSA加密數(shù)據(jù)，因為中間設(shè)備的問題也送不到對端，你會發(fā)現(xiàn)一邊有加密的數(shù)據(jù)包，另一邊卻收不到。這個時候就是我們的ISAKMPKeepalive機制發(fā)揮作用的 設(shè)備會清除掉第一階段的ISAKMPSA和第二階段的IPSECSA，IPSECSA所制造的黑洞了，并且我們還可以利用后邊要講到的HA和Redun和另外一個備份設(shè)備建立另一個IPSECSA，保證流量正常的通訊，實現(xiàn)IPSEC的高可用性?？梢赃@么說ISAKMPKeepalive這個機制是高可用的基礎(chǔ)。ISAKMPKeepalive有兩種發(fā)包機制，一種是周期性的（periodic）設(shè)備會清除掉現(xiàn)有的ISAKMPSA和IPSECSA。配置這個keepalive也很簡單，通過如下的Cryptoisakmpkeepalive10有它自己的好處，它能夠很快的發(fā)現(xiàn)DeadPeer，但是它卻消耗了過多的資源，如果我們IPSECSA是好的，那么我們就無謂的消耗了帶寬和CPU資源。為了更加節(jié)約資源，我們講講另外一種發(fā)送機制就是（on-demand）,首先我們來說說怎么樣的IPSECSA是好會出現(xiàn)這種的現(xiàn)象，但是正常情況都應(yīng)該既有加密又有的，所以on-demandkeepalive就利用了這種思想，如果我既能加密又能，那么我就沒有必要發(fā)送DPD認的機制就是on-demand的，我們要啟用這個機制可以通過下邊令。Cryptoisakmpkeepalive上面命令的作用是當本端IPSECSA加密數(shù)據(jù)包發(fā)出10秒以內(nèi)沒有收到返回 這個技術(shù)提供了IPSEC的高可用性，我們通過拓撲圖來分析一下這個。模擬了一個分支機構(gòu)，地址可能是動態(tài)獲得的。ActiveStandbyInside這三個設(shè)備模擬了公司中心網(wǎng)絡(luò)，這個公司有兩個SP的撥入點，Active為主撥入點，正常情況通過ActiveInside，如果SP1鏈路出現(xiàn)問題，還能通過SP2的這個試驗的通訊點為的Lo0(1.1.1.1)到Inside（2.2.2.4）的流量，為了讓這個正常的工作，除了HA這個特性以外我們還引入了RRI和DPD機制，前面：Cryptoisapol10AuthpreHashCryptoisakey0ciscoadd202.100.1.2Cryptoisakey0ciscoadd61.128.128.3Cryptoisakeepalive10periodicCryptoisapol10AuthpreHashCryptoisakey0ciscoadd10.1.1.1Cryptoisakeepalive10periodicCryptoisapol10AuthpreHashCryptoisakey0ciscoadd10.1.1.1Cryptoisakeepalive10periodic：Cryptoipsectransform-setciscoesp-desesp-md5-hmacIpaccess-listextendedPermitiphost1.1.1.1host2.2.2.4Cryptoipsectransform-setciscoesp-desesp-md5-hmacCryptoipsectransform-setciscoesp-desesp-md5-：Cryptomapcisco10ipsec-Setpeer202.100.1.2 <寫面的是主撥入點Active>Setpeer61.128.128.3 SettransciscoMatchCryptodynciscoSettransReverse-routetagCryptomapcisco10ipsec-isadynciscoCryptodyncisco10SettransReverse-routetagCryptomapcisco10ipsec-isadyn：Interfacefa0/0CrymapciscoInterfacefa1/0CrymapciscoInterfacefa2/0CrymapciscoRoute-maps2opermit10Matchtag10RouterospfRedistributestaticsubnetsroute-maps2oNetwork2.2.2.00.0.0.255area0Route-maps2opermit10Matchtag10RouterospfRedistributestaticsubnetsroute-maps2oNetwork2.2.2.00.0.0.255area0RouterospfNetwork2.2.2.00.0.0.255area 這個技術(shù)和HA的一樣提供了IPSEC的高可用性，但是HA提供的是鏈路備份，Redundancy提供的是設(shè)備備份。并且Redundancy利用了HSRP技術(shù)，Active和Standby在一個網(wǎng)絡(luò)里邊（202.100.2.0/24）,通過HSRP虛擬了一個IP地址202.100.2.100,和202.100.2.100這個地址建立IPSEC，對于而言中這個技術(shù)和HA一樣使用了RRI和DPD技術(shù)，但是Redundancy有一個非常好的特點就是我們可以使用reverse-routestatic這個命令，按照我們對reverse-routestatic的理解，只要在staticcryptomap的上敲reverse-routestatic就會產(chǎn)生一條靜態(tài)路由，但是在Redundancy的環(huán)境下僅僅只有HSRP為Active（HSRP位Active）送包。所以我們可以使用Redundancy這個技術(shù)由Inside主動發(fā)起IPSEC，當然：Cryptoisapol10AuthpreHashCryptoisakey0ciscoadd202.100.2.100<HRSP地址>Cryptoisakeepalive10periodicCryptoisapol10AuthpreHashCryptoisakey0ciscoadd202.100.1.1Cryptoisakeepalive10periodicCryptoisapol10AuthpreHashCryptoisakey0ciscoadd202.100.1.1Cryptoisakeepalive10periodic：Cryptoipsectransform-setciscoesp-desesp-md5-hmacIpaccess-listextendedPermitiphost1.1.1.1host2.2.2.10Cryptoipsectransform-setciscoesp-desesp-md5-hmacIpaccess-listextendedPermitiphost2.2.2.10host1.1.1.1Cryptoipsectransform-setciscoesp-desesp-md5-hmacIpaccess-listextendedPermitiphost2.2.2.10host：Cryptomapcisco10ipsec-Setpeer202.100.2.100<HRSPSettransciscoMatchaddressCryptomapcisco10ipsec-isaSetpeer202.100.1.1SettransciscoMatchaddressReverse-routetag10staticCryptomapcisco10ipsec-isaSetpeer202.100.1.1SettransciscoMatchaddressReverse-routetag10InterfaceStandby1ipStandby1priorityStandby1preemptStandby1namecollinsInterfaceStandby1ipStandby1preemptStandby1namecollins：Interfacefa0/0CryptomapciscoInterfaceCryptomapciscoredundancycollinsInterfaceCryptomapciscoredundancyRoute-maps2opermit10Matchtag10RouterospfRedistributestaticsubnetsroute-maps2oNetwork2.2.2.00.0.0.255area0Route-maps2opermit10Matchtag10RouterospfRedistributestaticsubnetsroute-maps2oNetwork2.2.2.00.0.0.255area0RouterospfNetwork2.2.2.00.0.0.255areaaaISAKMP 和RSA-SIG（），認證方式的不同決定了Remote第一階段模式的不同，如果選的時候需要在雙方配置策略，但是你會奇怪的發(fā)現(xiàn)我們配置的時候，沒有配置任何策略，難道就沒有策略了嗎？Cisco為了提高的易用性，省去了客戶邊任意選擇一個就可以了，在常見的用預(yù)共享密鑰認證的策略里邊DH都是采用Group2PreG2MD5Des|PreG2SHA3des等，如果你對客戶端內(nèi)建的策略感，可以在客戶撥號的時候在Router上debugcryRemote第一階段還有最后一個問題需要解釋一下，做過L2L都知道在L2LRemote一個簡單的KEY變成了一個group和一個key的組合，為什么有這個變化呢？Split等等。當然Mode-Config技術(shù)我們同樣可以啟用AAA技術(shù)，我們可以選擇本地是同樣不需要配置策略，也是客戶端內(nèi)建了策略。一般采用esp-desesp-md5-hmac或者esp-3desesp-md5-hamc都是沒有問題的。Cryptoisapol10Authpre-shareGroup2HashCryptoisakmpconfiggroupipsecgroup<認證的Group+Key>KeyciscoAaaAaaauthenticationloginnoacslinenoneLinecon0Loginauthennoacs<保證任何時候都可以console>Lineaux0LoginauthenAaaauthenticationloginremotelocal<Xauth用本地數(shù)據(jù)庫認證>UsernameremotepasswordciscoAaaauthorizationnetworkremotelocal<策略使用本地數(shù)據(jù)庫>Iplocalpoolippool123.1.1.100123.1.1.200CryptoisakmpconfiggroupCryptoisaprofileMatchidentitygroupipsecgroupconfigurationaddressrespondauthenticationlistremoteIsakmpauthorizationlistremote答：用這個技術(shù)可以消除掉老的全局命令，這樣Remote的配置不會影響到在同一個Router上的其它類型的，是多類型在同一個Cryptoipsectransciscoesp-desesp-md5-hmacCryptodynamiccisco10SettransSetisakmp-profileciscoCryptomapcisco10ipsec-isadynamicciscoInterfacefa0/0Crymap

GroupGroupConnection bbIPSECProfile(拓展學習|正常的Remote非常建議大家使用isakmpprofile的配置方法，IpsecProfile這種配置方法的Remote適用于使用tunneleverything，并且希望通過中心站點繼續(xù)互聯(lián)網(wǎng)的情況。我們都知道正常配置的Remote是沒有接口的，所以當你撥號到中心站點后沒有辦法通過正常的PAT轉(zhuǎn)換互聯(lián)網(wǎng)，原因很簡單，因為沒有接口所以敲不上Ipnatinside，不能夠做PAT自然也就不能互聯(lián)網(wǎng)了。IpsecProfile這配置Ipnatinside就能夠為用戶作PAT并且互聯(lián)網(wǎng)了。Ipaccess-listexPermitiphost1.1.1.1Ipnatinsidesourcelistnatinterfacee1/0InterIpnatoutsideInterlo0IpnatCryptoisapol10Authpre-shareGroup2HashCryptoisakmpconfiggroupipsecgroupKeyciscoAaaAaaauthenticationloginnoacslinenoneLinecon0LoginauthennoacsLineaux0LoginauthenAaaauthenticationloginremotelocalUsernameremotepasswordciscoAaaauthorizationnetworkremoteIplocalpoolcciepool123.1.1.100123.1.1.200CryptoisakmpconfiggroupipsecgroupPoolCryptoisaprofileMatchidentitygroupipsecgroupconfigurationaddressrespondauthenticationlistremoteIsakmpauthorizationlistremoteCryptoipsectransciscoesp-desesp-md5-hmacCryptoipsecprofileciscoSettransSetisakmp-profileInterfacevirtual-temte100typetunnelIpunnumberede1/0Tunnelsourcee1/0Tunnelmodeipsecipv4TunnelprotectipsecprofileciscoIpnatinsideIpaccess-listexPermitip123.1.1.00.0.0.2555denyiphost1.1.1.1123.1.1.00.0.0.255<內(nèi)部不轉(zhuǎn)換CiscoRemote ，我們面的Remote 里邊看到了Remote的配置非 Router上，中心還是一個完整的Remote配置，中心可是一點都不easy啊。EZ主要適用于一些小型站點，例如：小超市，小的服裝專賣店，或者點，么動態(tài)路由協(xié)議，并且客戶端人員基本就不懂任何知識，這樣的網(wǎng)絡(luò)非常適合EZ.IN默認路由指向10.1.1.1，EZ.C默認路由指向202.100.1.100，GW默認路由指向202.100.2.100,GW.IN默認路由指向192.168.1.1。GW已經(jīng)配置了最基本的Cryptoipsec cisco<定義一個EZ的名字Groupipsecgroupkeycisco<第一階段認證用的Group+KEY>Mode<如果想使用網(wǎng)絡(luò)擴展模式使用network-exten關(guān)鍵字>Peer202.100.2.1<撥入網(wǎng)關(guān)地址，也可以是>Interfacefa0/0Cryipsecez ciscoinsideInterfacefa1/0<外部接口運用>Cryipsec cisco 我們通過上面兩個拓撲圖來分析一下普通IPSEC在高擴展性上面的問題，首先我們來分析一下一號圖，這是一個hubspoke的拓撲結(jié)構(gòu)，所有的分支機構(gòu)都通過中分支到中心<一次加中心到另一個分支<第二次加第二張是一個fullmesh的拓撲圖，所有分支機構(gòu)之間都有直接連接，很明顯的每一個分支站點都要擁有固定IP地址。這樣的要求對于一些小的分支機構(gòu)，只有1800 3.IPSECARP技術(shù)，同樣的MGRE里邊也需要這樣一個機制，只是FRMAP里邊是