ipsec配置(思科IPSec基本命令)

思科IPSec基本命令

思科IPSec基本命令汇总

“Internet 协议安全性 (IPSec)”是一种开放标准的框架结构，通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。那么思科怎么配置IPSec呢?配置命令如何?下面跟我一起来看看吧!

一、IPSec一些基本命令。

R1(config)#crypto ?

dynamic-map Specify a dynamic crypto map template

//创建或修改一个动态加密映射表

ipsec Configure IPSEC policy

//创建IPSec安全策略

isakmp Configure ISAKMP policy

//创建IKE策略

key Long term key operations

//为路由器的SSH加密会话产生加密密钥。后面接数值，是key modulus size，单位为bit

map Enter a crypto map

//创建或修改一个普通加密映射表

Router(config)#crypto dynamic-map ?

WORD Dynamic crypto map template tag

//WORD为动态加密映射表名

Router(config)#crypto ipsec ?

security-association Security association parameters

// ipsec安全关联存活期，也可不配置，在map里指定即可

transform-set Define transform and settings

//定义一个ipsec变换集合(安全协议和算法的一个可行组合)

Router(config)#crypto isakmp ?

client Set client configuration policy

//建立地址池

enable Enable ISAKMP

//启动IKE策略，默认是启动的

key Set pre-shared key for remote peer

//设置密钥

policy Set policy for an ISAKMP protection suite

//设置IKE策略的优先级

Router(config)#crypto key ?

generate Generate new keys

//生成新的密钥

zeroize Remove keys

//移除密钥

Router(config)#crypto map ?

WORD Crypto map tag

//WORD为map表名

二、一些重要命令。

Router(config)#crypto isakmp policy ?

1-10000 Priority of protection suite

//设置IKE策略，policy后面跟1-10000的数字，这些数字代表策略的优先级。

Router(config)#crypto isakmp policy 100//进入IKE策略配置模式，以便做下面的配置

Router(config-isakmp)#encryption ?//设置采用的加密方式，有以下三种

3des Three key triple DES

aes AES – Advanced Encryption Standard

des DES – Data Encryption Standard (56 bit keys).

Router(config-isakmp)#hash ? //采用的散列算法，MD5为160位，sha为128位。

md5 Message Digest 5

sha Secure Hash Standard

Router(config-isakmp)#authentication pre-share//采用预共享密钥的认证方式

Router(config-isakmp)#group ?//指定密钥的位数，越往下安全性越高，但加密速度越慢

1 Diffie-Hellman group 1

2 Diffie-Hellman group 2

5 Diffie-Hellman group 5

Router(config-isakmp)#lifetime ? //指定安全关联生存期，为60-86400秒

60-86400 lifetime in seconds

Router(config)#crypto isakmp key *** address XXX.XXX.XXX.XXX

//设置IKE交换的密钥，***表示密钥组成，XXX.XXX.XXX.XXX表示对方的IP地址

Router(config)#crypto ipsec transform-set zx ?

//设置IPsec交换集，设置加密方式和认证方式，zx是交换集名称，可以自己设置，两端的名字也可不一样，但其他参数要一致。

ah-md5-hmac AH-HMAC-MD5 transform

ah-sha-hmac AH-HMAC-SHA transform

esp-3des ESP transform using 3DES(EDE) cipher (168 bits)

esp-aes ESP transform using AES cipher

esp-des ESP transform using DES cipher (56 bits)

esp-md5-hmac ESP transform using HMAC-MD5 auth

esp-sha-hmac ESP transform using HMAC-SHA auth

例：Router(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac

Router(config)#crypto map map_zx 100 ipsec-isakmp

//建立加密映射表，zx为表名，可以自己定义，100为优先级(可选范围1-65535)，如果有多个表，数字越小的越优先工作。

Router(config-crypto-map)#match address ?//用ACL来定义加密的通信

100-199 IP access-list number

WORD Access-list name

Router(config-crypto-map)#set ?

peer Allowed Encryption/Decryption peer.//标识对方路由器IP地址

pfs Specify pfs settings//指定上面定义的密钥长度，即group

security-association Security association parameters//指定安全关联的生存期

transform-set Specify list of transform sets in priority order

//指定加密图使用的IPSEC交换集

router(config-if)# crypto map zx

//进入路由器的指定接口，应用加密图到接口，zx为加密图名。

三、一个配置实验。

实验拓扑图：

1.R1上的配置。

Routerenable

Router#config terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#hostname R1

//配置IKE策略

R1(config)#crypto isakmp enable

R1(config)#crypto isakmp policy 100

R1(config-isakmp)#encryption des

R1(config-isakmp)#hash md5

R1(config-isakmp)#authentication pre-share

R1(config-isakmp)#group 1

R1(config-isakmp)#lifetime 86400

R1(config-isakmp)#exit

//配置IKE密钥

R1(config)#crypto isakmp key 123456 address 10.1.1.2

//创建IPSec交换集

R1(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac

//创建映射加密图

R1(config)#crypto map zx_map 100 ipsec-isakmp

R1(config-crypto-map)#match address 111

R1(config-crypto-map)#set peer 10.1.1.2

R1(config-crypto-map)#set transform-set zx

R1(config-crypto-map)#set security-association lifetime seconds 86400

R1(config-crypto-map)#set pfs group1

R1(config-crypto-map)#exit

//配置ACL

R1(config)#access-list 111 permit ip 192.168.1.10 0.0.0.255 192.168.2.10 0.0.0.255

//应用加密图到接口

R1(config)#interface s1/0

R1(config-if)#crypto map zx_map

2.R2上的`配置。

与R1的配置基本相同，只需要更改下面几条命令：

R1(config)#crypto isakmp key 123456 address 10.1.1.1

R1(config-crypto-map)#set peer 10.1.1.1

R1(config)#access-list 111 permit ip 192.168.2.10 0.0.0.255 192.168.1.10 0.0.0.255

3.实验调试。

在R1和R2上分别使用下面的命令，查看配置信息。

R1#show crypto ipsec ?

sa IPSEC SA table

transform-set Crypto transform sets

R1#show crypto isakmp ?

policy Show ISAKMP protection suite policy

sa Show ISAKMP Security Associations

四、相关知识点。

对称加密或私有密钥加密：加密解密使用相同的私钥

DES–数据加密标准 data encryption standard

3DES–3倍数据加密标准 triple data encryption standard

AES–高级加密标准 advanced encryption standard

一些技术提供验证：

MAC–消息验证码 message authentication code

HMAC–散列消息验证码 hash-based message authentication code

MD5和SHA是提供验证的散列函数

对称加密被用于大容量数据，因为非对称加密站用大量cpu资源

非对称或公共密钥加密：

RSA rivest-shamir-adelman

用公钥加密，私钥解密。公钥是公开的，但只有私钥的拥有者才能解密

两个散列常用算法：

HMAC-MD5 使用128位的共享私有密钥

HMAC-SHA-I 使用160位的私有密钥

ESP协议：用来提供机密性，数据源验证，无连接完整性和反重放服务，并且通过防止流量分析来限制流量的机密性，这些服务以来于SA建立和实现时的选择。

加密是有DES或3DES算法完成。可选的验证和数据完整性由HMAC，keyed SHA-I或MD5提供

IKE–internet密钥交换：他提供IPSEC对等体验证，协商IPSEC密钥和协商IPSEC安全关联

实现IKE的组件

1：des，3des 用来加密的方式

2：Diffie-Hellman 基于公共密钥的加密协议允许对方在不安全的信道上建立公共密钥，在IKE中被用来建立会话密钥。group 1表示768位，group 2表示1024位

3：MD5，SHA–验证数据包的散列算法。RAS签名–基于公钥加密系统

;

案例分享:华为防火墙配置点到点IPSEC VPN

本文通过一个案例简单来了解一下Site-to-Site IPSec VPN 的工作原理及详细配置。

USG6630防火墙两台，AR2220路由一台，PC机两台

1、配置FW1接口IP地址，并且把GE1/0/1加入到untrust区域，GE1/0/6加入到trust。

2、配置 FW2 接口 IP 地址，并且 GE1/0/2 加入 Untrust 区域，GE1/0/6 加入Trust 区域。

配置FW1和FW2的默认路由。

1）、定义需要保护的数据流

2）、配置 IKE 安全提议

3）、配置 IKE 对等体

4）、配置 IPSec 安全提议

5）、配置 IPSec 策略

6）、应用 IPSec 安全策略到出接口

1）、配置从 Trust 到 Untrust 的域间策略

2)、配置从 Untrust 到Trust 的域间策略

到此两台防火墙已经放通了从Trust 到 Untrust和从Untrust到 trust的域间策略，现在从PC1发ping包看看吧。

1)、定义服务集

2)、在防火墙上放通策略

到此，所有需要的策略都放通了，接着来验证一下吧，首先还是从PC1发起PING包，接着，在FW1查看会话表项，如下图

IKEV2 ipsec 在ubuntu18.04下配置过程(一)

由于客户安全需要，对其内部业务服务器进行保护，遂使用ikev2 ipsec vpn接入其内部网络，认证过程采用freeradius，本文章介绍ipsec配置过程，下篇文章介绍freeradius安装配置。

1、更新系统

apt-get update

2、安装所需软件

apt-get install -y language-pack-en strongswan libstrongswan-standard-plugins strongswan-libcharon libcharon-standard-plugins libcharon-extra-plugins moreutils iptables-persistent

3、安装cerbot

1)

apt-get install certbot

2)

mkdir -p /etc/letsencrypt

echo ’rsa-key-size = 4096

pre-hook = /sbin/iptables -I INPUT -p tcp –dport 80 -j ACCEPT

post-hook = /sbin/iptables -D INPUT -p tcp –dport 80 -j ACCEPT

renew-hook = /usr/sbin/ipsec reload /usr/sbin/ipsec secrets

’ /etc/letsencrypt/cli.ini

3)

certbot certonly –non-interactive –agree-tos –standalone –preferred-challenges http –email your@email.com -d your.domain.com

注意这里的邮箱地址和域名要更改为自己的实际地址

4）

ln -f -s /etc/letsencrypt/live/YOUR.DOMAIN.COM/cert.pem /etc/ipsec.d/certs/cert.pem

ln -f -s /etc/letsencrypt/live/YOUR.DOMAIN.COM/privkey.pem /etc/ipsec.d/private/privkey.pem

ln -f -s /etc/letsencrypt/live/YOUR.DOMAIN.COM/chain.pem  /etc/ipsec.d/cacerts/chain.pem

5）

echo ”/etc/letsencrypt/archive/YOUR.DOMAIN.COM/* r,

” /etc/apparmor.d/local/usr.lib.ipsec.charon

6）

aa-status –enabled invoke-rc.d apparmor reload

CentOS7上使用strongSwan搭建IPsec __VPN服务

公司使用电信私有云服务，服务器在电信私有云平台，不支持vpn产品，需要自行搭建vpn站点，公司内部使用华为usg防火墙做为vpn网关。为解决公司到云平台网络互通，故决定使用ipsec搭建站点到站点vpn隧道。

服务器公网IP要作为我们的网关，需要将服务器开启转发：

加入此行 net.ipv4.ip_forward = 1

利用iptables 实现nat MASQUERADE 共享上网

1、安装strongSwan，可以使用源码安装，但此次我们主要针对配置相关讲解，故使用yum安装

2、查看strongSwan版本，命令和结果如下：

3、安装完成先配置ipsec.conf文件。

以下是真实的配置文件：

4、配置ipsec.secrets文件。

配置文件如下：PSK需要是大写，冒号前后需要有空格，密码需要有双引号

5、配置 sysctl.conf文件

配置文件如下：

使配置生效：

6、启动服务：

IPSec监听在UDP的500和4500两个端口,其中500是用来IKE密钥交换协商,4500是nat穿透的。

7、设置开机自动启动

8、运行strongswan status，查看IPsec 状态已经建立。

9、运行ip xfrm policy，查看路由策略。可以看到路由已建立。

华为ikev2怎么设置

华为设置ikev2，先打开手机，链接电脑，下载相关软件，具体步骤如下：

1、为IPSec做准备：确定要保护的主机和网络，选择一种认证方法，确定有关IPSec对等体的详细信息，确定我们所需的IPSec特性，并确认现有的访问控制列表允许IPSec数据流通过。

2、根据对等体的数量和位置在IPSec对等体间确定一个IKE（IKE阶段1，或者主模式）策略。

3、确定IPSec（IKE阶段2，或快捷模式）策略，包括IPSec对等体的细节信息。

4、配置IKE配置IKE涉及到启用IKE（和isakmp是同义词），创建IKE策略，和验证我们的配置。

5、配置IPSecIPSec配置包括创建加密用访问控制列表，定义变换集，创建加密图条目，并将加密集应用到接口上去即可。

------本页内容已结束，喜欢请分享------

感谢您的来访，获取更多精彩文章请收藏本站。