《GETVPN实验手册.doc》由会员分享,可在线阅读,更多相关《GETVPN实验手册.doc(14页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、实验:VPN-GETVPNKS1(config)#ip domain name wolf/为了产生密钥,要先配置域名KS1(config)#crypto key generate rsa modulus 1024 label getvpn exportableThe name for the keys will be: getvpn/产生一个名字为getvpn,长度为1024,可导出RSA的密钥对密钥是不可导出的,打上exportable,让密钥可导KS1(config)#crypto key export rsa getvpn pem terminal 3des wolfccies/导出名字
2、为getvpn的RSA密钥对,使用3des加密算法来加密导出后的私钥,加密密码为wolfcciesKS2(config)#crypto key import rsa getvpn terminal wolfccies产生RSA密钥并且在密钥服务器间同步之后,我们需要在首要密钥服务器上配置GETVPN配置GETVPN步骤过多,方便记忆分成:外三内三记忆法外一:配置ISAKMP第一阶段策略KS1(config)#crypto isakmp policy 10KS1(config-isakmp)#authentication pre-shareKS1(config)#crypto isakmp ke
3、y 0 cisco address 172.16.1.1KS1(config)#crypto isakmp key 0 cisco address 172.16.1.2KS1(config)#crypto isakmp key 0 cisco address 172.16.1.102密钥服务器之间也可以使用ISAKMP第一阶段进行认证外二:配置感兴趣流KS1(config)#ip access-list extended getvpntrafficKS1(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.2
4、55企业内部需要保护网络可以被汇总为10.0.0.0/8外三:配置IPSEC Pro(config)#crypto ipsec transform-set getvpn-set esp-des esp-md5-hmac以此转换集来加密感兴趣流KS1(config)#crypto ipsec proKS1(ipsec-pro transform-set getvpn-set内一:配置KS1为密钥服务器KS1(config)#crypto gdoi group mygroup/配置GETVPN组的组名为“mygroup”KS1(config-gdoi-group)#identity number
5、88888/配置GETVPN组ID为“88888”,所有组成员都需要使用相同的IDKS1(config-gdoi-group)#server local/配置本地路由器KS1为密钥服务器KS1(gdoi-local-server)#address ipv4 172.16.1.101/配置服务器地址内二:配置密钥更新1.单播(内二 A)2.组播(内二 B)GETVPN同时只能采用一种密钥更新传输方式,因此实际配置时需要选择其中一种KS1(gdoi-local-server)#rekey transport unicast/这里使用单播传送密钥信息,默认为组播*Mar 1 00:23:51.515
6、: %GDOI-5-KS_REKEY_TRANS_2_UNI: Group mygroup transitioned to Unicast Rekey.KS1(gdoi-local-server)#rekey authentication mypubkey rsa getvpn/配置对密钥更新信息做签名的RSA密钥对“getvpn”KS1(gdoi-local-server)#rekey algorithm aes 256/配置密钥更新信息的加密算法,可选KS1(gdoi-local-server)#rekey address ipv4 106/定义组播密钥更新流量的ACL为多少KS1(con
7、fig)#access-list 106 permit udp host 172.16.1.101 eq 848 host 239.0.1.2 eq 848/密钥更新地址为239.0.1.2,这个地址可以按需分配内三:配置IPSEC 安全关联KS1(config)#crypto gdoi group mygroupKS1(config-gdoi-group)#server localKS1(gdoi-local-server)#sa ipsec 1/配置第一个IPSEC安全关联KS1(gdoi-sa-ipsec)#match address ipv4 getvpntraffic/匹配感兴趣流K
8、S1(gdoi-sa-ipsec)#pro/对感兴趣流使用profile进行保护KS1(gdoi-sa-ipsec)#replay time window-size 2/基于时间的防重放,窗口大小为2sGM1:GETVPN配置配置GETVPN的组成员主要分为3个步骤1.配置ISAKMP第一阶段策略GM1(config)#crypto isakmp policy 10GM1(config-isakmp)#authentication pre-shareGM1(config)#crypto isakmp key 0 cisco address 172.16.1.101GM1(config)#cry
9、pto isakmp key 0 cisco address 172.16.1.102/需要配置与首要和次要密钥服务器进行认证的预共享密钥2.配置GETVPN组GM1(config)#crypto gdoi group mygroupGM1(config-gdoi-group)#identity number 88888/需要和密钥服务器配置相同的组IDGM1(config-gdoi-group)#server address ipv4 172.16.1.101/GM1首先向172.16.1.101 密钥服务器发起注册GM1(config-gdoi-group)#server address
10、ipv4 172.16.1.102/如果向172.16.1.101 密钥服务器发起注册失败后,在去向 172.16.1.102 发起注册3.配置加密图GM1(config)#crypto map cisco 10 gdoi/使用GDOI协议为crypto map 提供密钥资源(TEK)% NOTE: This new crypto map will remain disabled until a valid group has been configured.GM1(config-crypto-map)#set group mygroupGM1(config)#int f0/0GM1(conf
11、ig-if)#crypto map ciscoGM2:GETVPN配置1.配置ISAKMP第一阶段策略GM2(config-isakmp)#authentication pre-shareGM2(config)#crypto isakmp key 0 cisco address 172.16.1.101GM2(config)#crypto isakmp key 0 cisco address 172.16.1.1022.配置GETVPN组GM2(config)#crypto gdoi group mygroupGM2(config-gdoi-group)#identity number 888
12、88GM2(config-gdoi-group)#server address ipv4 172.16.1.101GM2(config-gdoi-group)#server address ipv4 172.16.1.1023.配置加密图GM2(config)#crypto map cisco 10 gdoi% NOTE: This new crypto map will remain disabled until a valid group has been configured.GM2(config-crypto-map)#set group mygroupGM2(config)#int
13、f0/0GM2(config-if)#crypto map cisco查看首要服务器GETVPN状态KS1#show crypto gdoi group mygroup首要密钥服务器KS1上查看注册的组成员KS1#show crypto gdoi ks members查看组成员GETVPN状态GM1#show crypto gdoi group mygroup在首要密钥服务器KS1上配置次要密钥服务器KS2实现高可用性,防止单点故障,在KS1上启用了密钥服务器的冗余,并指定了次要服务器的地址KS1(config)#crypto gdoi group mygroupKS1(config-gdoi
14、-group)#server localKS1(gdoi-local-server)#redundancyKS1(gdoi-coop-ks-config)#peer address ipv4 172.16.1.102配置次要密钥服务器KS2同样按照外三内三的步骤KS2(config)#crypto isakmp policy 10KS2(config-isakmp)#authentication pre-shareKS2(config)#crypto isakmp key 0 cisco address 172.16.1.1KS2(config)#crypto isakmp key 0 cis
15、co address 172.16.1.2KS2(config)#crypto isakmp key 0 cisco address 172.16.1.101KS2(config)#ip access-list extended getvpntrafficKS2(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255KS2(config)#crypto ipsec transform-set TS esp-des esp-md5-hmacKS2(config)#crypto ipsec proKS2(ip
16、sec-pro transform-set TSKS2(config)#crypto gdoi group mygroupKS2(config-gdoi-group)#identity number 88888KS2(config-gdoi-group)#server localKS2(gdoi-local-server)#rekey authentication mypubkey rsa getvpnKS2(gdoi-local-server)#rekey algorithm aes 256KS2(gdoi-local-server)#rekey address ipv4 106KS2(co
17、nfig)#access-list106 permit udp host 172.16.1.102 eq 848 host 239.0.1.2 eq 848KS2(config)#crypto gdoi group mygroupKS2(config-gdoi-group)#server localKS2(gdoi-local-server)#sa ipsec 1KS2(gdoi-sa-ipsec)#proKS2(gdoi-sa-ipsec)#match address ipv4 getvpntrafficKS2(gdoi-sa-ipsec)#replay time window-size 2
18、KS2(gdoi-local-server)#address ipv4 172.16.1.102KS2(gdoi-local-server)#redundancyKS2(gdoi-coop-ks-config)#local priority 75KS2(gdoi-coop-ks-config)#peer address ipv4 172.16.1.101查看协作密钥服务器KS1#show crypto gdoi ks coop组成员访问控制列表配置指南(GM ACL)首先在GM1上通过ping测试访问KS1身后网络GM1#ping 10.1.101.1 source 10.1.1.1 不通由于
19、此流量满足GETVPN感兴趣流,因此GM1会对这个流量进行加密,但是密钥服务器不存在IPSEC SA,所以不能对此流量进行解密解决方案:在组成员GM1上配置组成员访问控制列表,旁路掉从10.1.1.0/24到10.1.101.0/24的流量扩展知识:即密钥服务器虽然产生IPSEC安全关联,并且把安全关联通过GDOI协议发送给所有组成员,但是密钥服务器自身没有IPSEC安全关联,也可以认为一台路由器只能同时担任一个角色,不是密钥服务器就是组成员GM1(config)#ip access-list extended bypassGM1(config-ext-nacl)#deny ip 10.1.1
20、.0 0.0.0.255 10.1.101.0 0.0.0.255GM1(config)#crypto map cisco 10GM1(config-crypto-map)#match address bypassGM1#ping 10.1.101.1 source 10.1.1.1 通了DMVPN+GETVPNGM1-HUBGM1-HUB(config)#int tunnel 0GM1-HUB(config-if)#tunnel source f0/0GM1-HUB(config-if)#tunnel mode gre multipointGM1-HUB(config-if)#ip addr
21、ess 172.16.1.100 255.255.255.0GM1-HUB(config-if)#ip mtu 1400GM1-HUB(config-if)#tunnel key 123GM1-HUB(config-if)#ip nhrp network-id 10GM1-HUB(config-if)#ip nhrp map multicast dynamicGM1-HUB(config-if)#ip nhrp redirectGM1-HUB(config)#ip route 192.168.1.0 255.255.255.0 172.16.1.1GM1-HUB(config)#ip rout
22、e 192.168.2.0 255.255.255.0 172.16.1.2GM1-HUB(config)#crypto isakmp policy 10GM1-HUB(config-isakmp)#authentication pre-shareGM1-HUB(config)#crypto isakmp key 0 cisco address 202.100.1.101GM1-HUB(config)#crypto gdoi group mygroupGM1-HUB(config-gdoi-group)#identity number 88888GM1-HUB(config-gdoi-grou
23、p)#server address ipv4 202.100.1.101GM1-HUB(config)#crypto map cisco 10 gdoiGM1-HUB(config-crypto-map)#set group mygroupGM1-HUB(config)#int f0/0GM1-HUB(config-if)#crypto map ciscoGM2-SPOKE1GM2-SPOKE1(config)#int tunnel 0GM2-SPOKE1(config-if)#tunnel source f0/0GM2-SPOKE1(config-if)#tunnel mode gre mu
24、ltipointGM2-SPOKE1(config-if)#ip address 172.16.1.1 255.255.255.0GM2-SPOKE1(config-if)#ip mtu 1400GM2-SPOKE1(config-if)#tunnel key 123GM2-SPOKE1(config-if)#ip nhrp network-id 10GM2-SPOKE1(config-if)#ip nhrp map 172.16.1.100 202.100.1.100GM2-SPOKE1(config-if)#ip nhrp map multicast 202.100.1.100GM2-SP
25、OKE1(config-if)#ip nhrp nhs 172.16.1.100GM2-SPOKE1(config-if)#ip nhrp shortcutGM2-SPOKE1(config)#ip route 192.168.0.0 255.255.0.0 172.16.1.100GM2-SPOKE1(config)#crypto isakmp policy 10GM2-SPOKE1(config-isakmp)#authentication pre-shareGM2-SPOKE1(config)#crypto isakmp key 0 cisco address 202.100.1.101
26、GM2-SPOKE1(config)#crypto gdoi group mygroupGM2-SPOKE1(config-gdoi-group)#identity number 88888GM2-SPOKE1(config-gdoi-group)#server address ipv4 202.100.1.101GM2-SPOKE1(config)#crypto map cisco 10 gdoiGM2-SPOKE1(config-crypto-map)#set group mygroupGM2-SPOKE1(config)#int f0/0GM2-SPOKE1(config-if)#cry
27、pto map ciscoGM3-SPOKE2GM3-SPOKE2(config)#int tunnel 0GM3-SPOKE2(config-if)#tunnel source f0/0GM3-SPOKE2(config-if)#tunnel mode gre multipointGM3-SPOKE2(config-if)#ip address 172.16.1.2 255.255.255.0GM3-SPOKE2(config-if)#ip mtu 1400GM3-SPOKE2(config-if)#tunnel key 123GM3-SPOKE2(config-if)#ip nhrp ne
28、twork-id 10GM3-SPOKE2(config-if)#ip nhrp map 172.16.1.100 202.100.1.100GM3-SPOKE2(config-if)#ip nhrp map multicast 202.100.1.100GM3-SPOKE2(config-if)#ip nhrp nhs 172.16.1.100GM3-SPOKE2(config-if)#ip nhrp shortcutGM3-SPOKE2(config)#ip route 192.168.0.0 255.255.0.0 172.16.1.100GM3-SPOKE2(config)#crypt
29、o isakmp policy 10GM3-SPOKE2(config-isakmp)#authentication pre-shareGM3-SPOKE2(config)#crypto isakmp key 0 cisco address 202.100.1.101GM3-SPOKE2(config)#crypto gdoi group mygroupGM3-SPOKE2(config-gdoi-group)#identity number 88888GM3-SPOKE2(config-gdoi-group)#server address ipv4 202.100.1.101GM3-SPOK
30、E2(config)#crypto map cisco 10 gdoiGM3-SPOKE2(config-crypto-map)#set group mygroupGM3-SPOKE2(config)#int f0/0GM3-SPOKE2(config-if)#crypto map cisco虽然DMVPN是一种高扩展性的IPSEC VPN技术,但是在实际工作中,经常出现中心站点路由器负载过大的情况。出险原因:1.中心站点IPSEC安全关联过多,有多少个分支站点就要有多少对IPSEC安全关联,维护安全关联会消耗大量的内存资源2.动态路由协议更新信息制造了过多的加密数据包,而这些加密数据包会消耗
31、大量CPU针对问题1:使用GETVPN统一给DMVPN中心站点和分支站点分发IPSEC安全关联,密钥和感兴趣流(加密所有GRE流量),这样不管中心站点还是分支站点都只有一个IPSEC安全关联,进而消除了中心站点安全关联过多的问题针对问题2:本实验取消了动态路由协议,仅适用第三阶段的DMVPN加上静态路由来解决这个问题,因为采用了第三阶段的DMVPN,分支机构可以配置汇总的静态路由到中心,中心则可以通过NHRP的重定向技术来引导分支站点间直接建立GRE隧道,然后用GETVPN所分发的安全关联和密钥进行加密。在DMVPN+GETVPN中,只有一个安全关联在加解密数据,不像传统的DMVPN,中心站点需要和每一个分支站点维护一对安全关联,这样的设计降低了中心站点资源的消耗,而且站点之间的流量能够得到即时加密,不用等待IKE协商所造成的延迟,这个设计的亮点在于使用阶段3的DMVPN技术加上静态路由,彻底取消了动态路由协议,消除了加解密路由协议更新包所造成的资源消耗第 14 页