CCIE Security证
前言:CCIE Security在网络安全领域,可以简单理解为硬件层面的安全防护,以防御为核心,组建网络安全的基石。
文章目录
- 一、知识
- 1.1. 防火墙
- 1.1.1. 定义
- 分类
- 概念
- 命令
- VPN
- 1.加密学理论
- 1.1.信息安全的目标
- 1.2.对称密钥算法
- 1.2.1.DES:Data Encryption Standard(数据加密标准)
- 1.2.2.3DES
- 1.2.3.AES:Advanced Encryption Standard(高级加密标准)
- 1.2.4.RC4
- 1.2.5.对称密钥算法特点
- 1.3.非对称密钥算法
- 1.3.1.RSA
- 1.3.2.非对称密钥特点
- 1.4.散列函数
- 1.4.1.MD5
- 1.4.2.SHA-1
- 1.5.数字签名和数字证书
- 1.6.IPSec基本理论
- 1.6.1.ESP
- 1.6.2.AH
- 1.6.3.两个数据库
- 2.1.5.总结
- 2.3.1.IKEv2优点
- 2.3.2.IKEv2的协商过程
- 2.3.3.IKEv2与EAP认证
- 2.3.4.IKEv2和IKEv1的对比:
- 2.4.IKEv2配置
- 3.IPSec VPN网络穿越和高可用性
- 3.1.IPSec流量放行问题(中间设备)
- 4.动态地址解决方案
- 4.1.动态 MAP VS 静态MAP
- 4.2.动态域名解析技术
- 5.NAT对VPN的影响
- 定义
- 作用
- 命令
- 项目
- CCIE Lab
- 技巧
- 证书
一、知识
1.1. 防火墙
1.1.1. 定义
防火墙是一个隔离两个或多个网络区域,并且基于策略限制区域间流量的设备
分类
A.Stateless Packet filtering(无状态包过滤)
特性:
1.依赖于静态的策略来允许和拒绝数据包
2.对静态的TCP应用和仅仅对三层流量的过滤,工作是非常出色的。
3.透明并且高性能
4.一般使用限制的访问控制技术
限制:
1.不能支持动态运用
2.需要实施的专业知识
3.不能抵御一些探测攻击
B.Stateful packet filtering(状态监控包过滤)
特性:
1.可靠的三到四层的访问控制
2.配置简单
3.透明和高性能
4.一般使用限制访问控制技术
限制:
1.不能洞察5-7层内容
2.如果运用层流量被加密,也无法支持动态运用
C.Stateful packet filtering with Application Inspection and Control(应用层监控和控制的状态包过滤)
特性:
1.可靠的三到七层的访问控制
2.配置简单
3.透明和中等性能
4.一般使用限制的访问控制技术
限制:
1.应用层监控和控制影响性能
2.限制的缓存能力为了深度的内容分析
D.Proxy server(代理服务器)
特征:
1.可靠的3-7层的访问控制
2.自动的对协议进行规范化处理
3.能够采用宽容或者限制的访问控制技术
缺陷:
1.不能广泛的支持所有的运用
2.不适合对实时流量采取这种技术
3.不透明
概念
从高安全级别接口到低安全级别接口的流量叫outbound流量,这种流量默认是允许的。
从低安全级别接口到高安全级别接口的流量叫inbound流量,这种流量默认是不允许的,但是我们可以使用ACL来放行inbound流量。
相同安全级别接口之间的流量默认是不允许的,但是可以使用命令打开;由高安全级别到低优先级别的回包流量允许如:telnet(除ICMP)。
安全级别的范围为0-100,默认inside安全级别为100,其余接口默认为0。
ASA(config)#ASA(config)#same-security-traffic permit inter-interface //允许相同安全级别之间通讯
ASA(config)#same‐security‐traffic permit intra‐interface //允许同一接口内通讯
命令
2.1.1.初始化
ASA#write erase //清空Startup Configuration
ASA(config)#clear config all //清空Running Configuration
ASA#reload //重启ASA2.1.2.ASDM网管
interface e0
ip add 192.168.1.100 255.255.255.0
nameif DMZ
security-level 50
no shutdown
http server enable
http 192.168.1.10 255.255.255.255 DMZ //允许源的控制流量和区域
username cisco password cisco privilege 15
aaa authentication http console local
登陆https://192.168.1.100 下载安装ASDM
2.1.3.静态路由
route outside 0 0 10.1.1.1 //默认路由
route inside 2.2.2.2 255.255.255.0 192.168.1.1 //静态路由
2.1.4.动态路由
ASA支持:RIP、OSPF、EIGRP
配置方式与IOS安全相同(重分布,路由过滤……)
ASA 8.0所有掩码都为正掩码(ACL,路由宣告)
router ospf1
network 192.168.1.0 255.255.255.0 area0
2.1.5.监控
A.show run
show run+特定关键字=查看running配置
Show run interface
Show run nat
Show run tunnel-group
Show run all+特定关键字=查看详细配置
Show run all tunnel-group
B.监控性能
show cpu usage
show memory
show perfmonshow version
show route
show interface ip brief
show nameif
show conn //查看连接状态信息
show local-host //查看本地连接表
clear conn [ip address | all]
clear local-host [ip address | all]
VPN
1.加密学理论
1.1.信息安全的目标
私密性(Confidentiality)(保证机密信息在传输、存储和使用过程中不被未授权的第三方进行窃听,或窃听者无法了解信息的真实含义)
——对称密钥算法:DES、3DES、AES、RC4
——非对称密钥算法:RSA、DH、ECC
完整性(Integrity)(确保收到的数据和对方所发出的信息完仝一样,防止数据在传输或存储过程中被非法篡改)
源认证(Authentication)(对信息的真实来源进行判断,确认信息真实的发送者和接收者,并能对伪造来源的信息予以鉴别)
不可否认性(Non-repudiation)(防止通信双方中的某一方事后否认其行为,包括:发送方不能否认信息的发送、接收方不能否认信息的接受)
1.2.对称密钥算法
发送者和接受者共享相同的密钥;密钥长度在40-256 bit
特点:
——非常快
——使用简单的数学操作,很容易实现
——硬件加速
——用于大块数据的加密
——密钥管理是严重的问题
1.2.1.DES:Data Encryption Standard(数据加密标准)
——广泛使用的对称密钥算法
——被BM开发与1975年
——固定密钥长度56bit
——算法非常好,并没有任何漏洞,仅仅因为密钥长度太短,易受到暴力破解攻击
——基于加密密钥的一系列的移换位操作
——历经30年没有出现任何显著的漏洞
——只是使用了简单的逻辑操作,很容易使用硬件实现加速
加密过程:
DES 使用一个 56 位的密钥以及附加的 8 位奇偶校验位,产生最大 64 位的分组大小。这是一个迭代的分组密码,使用称为 Feistel 的技术,其中将加密的文本块分成两半。使用子密钥对其中一半应用循环功能,然后将输出与另一半进行“异或”运算;接着交换这两半,这一过程会继续下去,但最后一个循环不交换。DES 使用 16 次循环,使用异或,置换,代换,移位操作四种基本运算。
两种模式:
ECB mode (Electronic CodeBook):(电子密码本)
相同的明文总是产生相同的密文
易受到插入,重放,字典攻击
CBC mode (Cipher Block Chaining): (加密块链接)
在加密之前,需要将当前的明文块与一个IV字段进行异或
Cisco 的IPsec VPN只支持这种模式
使用指南:
——经常修改密钥,防止暴力破解
——在一个安全的信道交换DES密钥
——使用DES的CBC模式
1.2.2.3DES
——密钥长度放大3倍,168 bit长度
——暴力破解几乎不能实现
——基于一个很好的算法DES
- EDE (encrypt-decrypt-encrypt) 的加密方式
- 三次加密其实也能算作3DES
1.2.3.AES:Advanced Encryption Standard(高级加密标准)
——1997年被颁布,用于替代DES被两个比利时人开发
——变长密钥和块长度 (可以用256bit的密钥加密128bit的块)
——密钥和块长度还能够以32bit为单位继续增长
——AES的软件和硬件运行效率均非常高,广泛用于对无线和语音的加密
1.2.4.RC4
——Stream cipher(流加密算法)
——软件运行效率非常高
——广泛用于SsL加密,还有老的无线技术WEP
1.2.5.对称密钥算法特点
特点
-同一个密钥用于加解密
优点:
-速度快
-安全
-紧凑
缺点:
-明文传输共享密钥,容易出现中途劫持和窃听的问题
-密钥数量是以参与者数量平方的速度增长(指数增长)
-因为数量过多,所以管理和存储会有很大问题
-不支持数字签名和不可否认性
1.3.非对称密钥算法
被人熟知的是公共密钥系统,密钥长度一般在512-2048bit,因为和对称密钥算法的数学理论基础有本质的不同,所以密钥长度没有可比性。
特点:
——与对称密钥算法相比非常慢
——基于已有的数学难题
——能够实现简单的密钥管理
——只能加密很小的数据,两大用途:签名和密钥交换
1.3.1.RSA
——1977年由这三个人开发:Rivest,Sham,Adelman。当时是专利技术(2000年专利过期)
——公共密钥加密系统,密钥长度512-2048bit
——基于大素数乘积因式分解的数学难题
——不可能从公钥推导出私钥,一个密钥加密,另外一个密钥解密
——密钥能够长时间的保障安全性
使用指南:
——比DES慢100倍(软件)和1000倍(硬件)
——主要用于如下两种服务
加密密钥,实现密钥交换
加密散列,完成数字签名,实现源认证和不可否认性
1.3.2.非对称密钥特点
特点:
-用一个密钥加密的东西只能用另一个密钥来解密
-仅仅只用于:密钥交换(加密密钥)和数字签名(加密散列)
优点:
-安全
-因为不必发送密钥给接受者,所以非对称加密不必担心密钥被中途截获的问题
-密钥数目和参与者的数目一样
-不需要事先在各参与者之间建立关系以交换密钥
-技术支持数字签名和不可否认性
缺点:
-非常非常慢
-密文会变长
1.4.散列函数
散列函数也叫做HASH函数,主流的散列算法有MD5与SHA系列。散列函数的主要任务是验证数据的完整性。通过散列函数计算得到的结果叫做散列值,这个散列值也常常被称为数据的指纹
1.固定大小
散列函数可以接收任意大小的数据,并输出固定大小的散列值。以MD5这个散列算法为例,不管原始数据有多大,通过MD5计算得到的散列值总是128比特,而SHA-1的输出长度则为160比特
2.雪崩效应
原始数据就算修改哪怕一个比特,计算得到的散列值也会发生巨大的变化
3.单向
只可能从原始数据计算得到散列值,不可能从散列值恢复哪怕一个比特的原始数据
4.冲突避免
几乎不能够找到另外一个数据和当前数据计算的散列值相同,因此散列函数能够确保数据的唯一性
1.4.1.MD5
广泛使用的Hash算法:单向、冲突避免、128 bit输出
不建议在新的应用中使用,使用SHA-1提供了更高的安全性
1.4.2.SHA-1
160bit固定输出、略慢于MD5
SHA-1修复了一个未被发布的漏洞
SHA-0 160 SHA-1 160 SHA-256/224 SHA-512/384
1.5.数字签名和数字证书
数字签名能够帮我们实现两个功能:数据完整性验证、源认证
数字证书技术帮我们来解决,这个公钥的持有者到底是谁
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征就是只在特定的时间段内有效。
1.6.IPSec基本理论
IPSec组成部分
—ESP(Encapsulating Security Payload)协议:封装安全载荷:认证+加密
—AH(Authentication Header)协议:认证头:只做认证
—IKE(Internet Key Exchange)协议:密钥交换协议
IPSec工作模式
—Transport Mode:加密点等于通讯点
—Tunnel mode:加密点不等于通讯点
1.6.1.ESP
1.Security Parameter Index (SPI) :安全参数索引
标识进方向流量所对应的SA
2.Sequence Number:序列号
以防止重放攻击,只接收滑动窗口范围内的序列号
3.Payload Data(Variable):有效载荷 Initialization Vector:初始化向量
被保护的数据,加密算法需要一个initialization vector(IV),注意IV需要认证,但是不是加密的,DES使用前8个字节作为IV,3DES、AES也使用8字节的IV
4.Padding:填充 Pad Length:填充长度
填充加密,将有效负载数据扩展到适合加密密码块大小的大小,并对齐下一个字段
5.Next Header
IPv6:下一个标题的协议号 IPv4:协议ID 通常为4-IP协议
6.Authentication Data:
存放HMAC的认证值
1.6.2.AH
IP协议目的端口是51;AH提供无连接完整性、数据认证和可选的重放保护;AH不提供数据加密。
AH包结构
AH保护的IP头部字段
——IP地址也需要被认证,所以无法穿越NAT
1.6.3.两个数据库
SPD:Security policy Database 安全策略数据库
判断对数据包进行旁路、丢包、IPSec加密
SA:Security Association 安全关联
SA是SADB的一个条目,它包含双方关于KE和IPSec已经协商完毕的安全信息
IKE/ISAKMP:双向、决定IKE协议处理相关细节
IPSec:单向、与封装协议相关、决定了具体加密流量的处理方式
SABD:Security Association Database 安全关联数据库
Sequence number:32bit的序列号
Sequence number Overflow:达到2^32数量后重新协商密钥
Anti-replay windows:防重放窗口
SA lifetime:IKE一天 IPsec1小时
modes:隧道模式和传输模式
AH authentication algorithm:AH认证算法
ESP authentication algorithm:ESP认证算法
ESP encryption algorithm:ESP加密算法
Path MTU:不分片的最大MTU值
2.IKEv1和IKEv2
2.1.IKEv1介绍
IKEv1阶段1的目的是建立IKE SA。IKE SA建立后对等体间的所有ISAKMP消息都将通过加密和验证,这条安全通道可以保证IKEv1阶段2的协商能够安全进行。两个对等体间仅有一个IKE SA,它是一个双向逻辑连接。
协商三个任务:
- 协商建立IKE SA所使用的参数。
加密算法、完整性验证算法、身份认证方法和认证字、DH组、IKE SA生存周期等等。这些参数在IKE安全提议中定义。 - 使用DH算法交换与密钥相关的信息(生成各种密钥的材料)。
对等体双方设备能够使用这些密钥信息各自生成用于ISAKMP消息加密、验证的对称密钥。 - 对等体之间验证彼此身份。
使用预共享密钥或数字证书来验证设备身份。
两种协商模式:
主模式(Main Mode)
野蛮模式(Aggressive Mode)
2.1.1.阶段一:主模式协商过程
1.协商对等体之间使用的IKE安全提议。
a)网关A发送ISAKMP消息,携带建立IKE SA所使用的参数(由IKE安全提议定义)。
b)网关B对网关A的IKE安全提议进行协商。
在协商时将从优先级最高的提议开始匹配,协商双方必须至少有一条匹配的IKE安全提议才能协商成功。匹配的原则为协商双方具有相同的加密算法、认证算法、认证方法和Diffie-Hellman组标识。
c)网关B响应ISAKMP消息,携带经协商匹配的安全提议及参数。 如果没有匹配的安全提议,网关B将拒绝发起方的安全提议。
2.使用DH算法交换与密钥相关的信息,并生成密钥。
a)两个对等体通过两条ISAKMP消息(3、4)交换与密钥相关的信息。
b)由获得的密钥信息推导出4个密钥。其中SKEYID为基础密钥,通过它可以推导出SKEYID_a,为ISAKMP消息完整性验证密钥;可以推导出SKEYID_e,为ISAKMP消息加密密钥;可以推导出SKEYID_d,用于衍生出IPSec报文加密、验证密钥。
预共享密钥方式和数字证书方式下SKEYID的计算公式不同。
3.DH交换及密钥生成
4.对等体之间验证彼此身份。
a)两个对等体通过两条ISAKMP消息(5、6)交换身份信息(预共享密钥方式下为IP地址或名称,数字证书方式下还需要传输证书的内容),身份信息通过SKEYID_e加密,故可以保证身份信息的安全性。
b)两个对等体使用IKE安全提议中定义的加密算法、验证算法、身份验证方法和SKEYID_a、SKEYID_e对IKE消息进行加解密和验证。
IKEv1支持如下几种身份验证方法:
预共享密钥
这种方法要求对等体双方必须要有相同的预共享密钥(该密钥直接参与SKEYID的生成计算)。对于设备数量较少的VPN网络来说易于配置,在大型VPN网络中,不建议采用预共享密钥来做身份验证。
RSA签名(通常称为数字证书)
数字证书需要由CA服务器来颁发。这种方法适用于大型动态的VPN网络。证书验证和预共享密钥验证的主要区别在于SKEYID的计算和交换的身份信息,其他的交换和计算过程和预共享密钥验证方式相同。
RSA加密认证
此方法要求发起方已经知道响应方的公钥。发起方使用对方的公钥加密nonce和双方的身份ID来验证对方身份。此认证方法只能在IKEv1的主模式协商过程中使用,不能在IKEv1野蛮模式协商过程中使用。
数字信封认证
设备支持RSA数字信封认证和SM2数字信封认证两种。
在数字信封认证中,发起方采用对称密钥加密信息内容,并通过非对称密钥的公钥加密对称密钥,从而保证只有特定的对端才能阅读通信的内容,从而确定对端的身份。
2.1.2.阶段一:野蛮模式协商过程
1.网关A发送ISAKMP消息,携带建立IKE SA所使用的参数、与密钥生成相关的信息和身份验证信息。
2.网关B对收到的第一个数据包进行确认,查找并返回匹配的参数、密钥生成信息和身份验证信息。
3.网关A回应验证结果,并建立IKE SA。
与主模式相比,野蛮模式的优点是建立IKE SA的速度较快。但是由于密钥交换与身份认证一起进行,野蛮模式无法提供身份保护。
2.1.3.阶段二:快速模式
IKEv1阶段2的目的就是建立用来传输数据的IPSec SA。
IKEv1阶段2通过快速交换模式完成。由于快速交换模式使用IKEv1阶段1中生成的密钥SKEYID_a对ISAKMP消息的完整性和身份进行验证,使用密钥SKEYID_e对ISAKMP消息进行加密,故保证了交换的安全性。
在快速交换模式中,对等体两端协商IPSec SA的各项参数,并为数据传输衍生出密钥。
1.消息1发送本端的安全参数和身份认证信息。
安全参数包括被保护的数据流和IPSec安全提议等需要协商的参数。身份认证信息包括第一阶段计算出的密钥和第二阶段产生的密钥材料等,可以再次认证对等体。
2.消息2响应消息1,发送响应方的安全参数和身份认证信息并生成新的密钥。
对等体双方通过交换密钥材料生成新的共享密钥,并最终衍生出IPSec的加密密钥。此时响应者和发送者各有两个SA。
IPSec SA数据传输需要的加密、验证密钥由SKEYID_d、SPI、协议等参数衍生得出,以保证每个IPSec SA都有自己独一无二的密钥。
当启用PFS时,要再次应用DH算法计算出一个共享密钥,然后参与上述计算,因此在参数协商时要为PFS协商DH密钥组。
3.消息3响应消息2,确认与响应方可以通信,协商结束。
2.1.4.PFS( Perfect Forward Secrecy)
短暂的一次性密钥系统称为“完美向前保密” (Perfect Forward Secrecy,PFS)
如果加密系统中有一个秘密是所有对称密钥的衍生者 (始祖),便不能认为那是一个“完美向前保密”的系统。在这种情况下,一旦破解了根密钥,便能拿到自它衍生的所有密钥,受那些密钥保护的全部数据都会曝光
在IPSEC里,PFS是通过在IPSEC SA协商阶段重新进行一次D-H交换来实现的
Cisco的IPSec VPN默认并没有启用PFS
2.1.5.总结
阶段一:
1.相互认证
a. 1-2个包协商的认证,加密和验证方式都是为5-6包认证服务的
b. 3-4个包DH交换计算出来的密钥也是为加密和验证(HMAC)5-6包而提前准备的
2.建立IKE/ISAKMP SA(双向)
阶段二:
1.协商IPSec策略(处理感兴趣流)
2.建立IPSec SA(1.单向 2.协议相关)
2.2.IKEv1配置
R1&R2
全局动态路由
缺省使能isakmp
R2(config)#crypto isakmp enable
配置isakmp policy
R2(config)#crypto isakmp policy 10
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#encryption des
R2(config-isakmp)#hash md5
R2(config-isakmp)#group 1
配置密码
R2(config)#crypto isakmp key cisco address 12.1.1.1
配置感兴趣流
R2(config)#ip access-list extended vpn
R2(config-ext-nacl)#permit ip host 2.2.2.2 host 1.1.1.1
配置转换集
R2(config)#crypto ipsec transform-set tran esp-des esp-md 5-hmac
R2(cfg-crypto-trans)#mode tunnel
配置crypto map
R2(config)#crypto map ikev1map 10 ipsec-isakmp
R2(config-crypto-map)#match address vpn
R2(config-crypto-map)#set peer 12.1.1.1
R2(config-crypto-map)#set transform-set tran
调用
R2(config)#interface f0/1
R2(config-if)#crypto map ikev1map
查看
R2#show crypto isakmp sa //阶段一
R2#show crypto ipsec sa //阶段二
R2#show crypto engine connections active //sa加解密的报文统计
R2#clear crypto isakmp //清除阶段一
R2#clear crypto sa //清除阶段二
ASA&R2
R2(config)#interface f0/1
R2(config-if)#shutdown
R2(config)#crypto isakmp enable
R2(config)#crypto isakmp policy 10
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#encryption des
R2(config-isakmp)#hash md5
R2(config-isakmp)#group 1
R2(config)#crypto isakmp key cisco address 10.1.20.162
R2(config)#ip access-list extended vpn
R2(config-ext-nacl)#permit ip host 2.2.2.2 host 1.1.1.1
R2(config)#crypto ipsec transform-set tran esp-des esp-md 5-hmac
R2(cfg-crypto-trans)#mode tunnel
R2(config)#crypto map ikev1map 10 ipsec-isakmp
R2(config-crypto-map)#match address vpn
R2(config-crypto-map)#set peer 10.1.20.162
R2(config-crypto-map)#set transform-set tran
R2(config)#interface f0/0
R2(config-if)#crypto map ikev1map
ASA(config)#crypto ikev1 enable outside
ASA(config)#crypto ikev1 policy 10
ASA(config-ikev1-policy)#authentication pre-share
ASA(config-ikev1-policy)#hash md5
ASA(config-ikev1-policy)#group 1
ASA(config-ikev1-policy)#encryption des
ASA(config)#tunnel-group 10.1.20.161 type ipsec-l2l
ASA(config)#tunnel-group 10.1.20.161 ipsec-attributes
ASA(config-tunnel-ipsec)#ikev1 pre-shared-key cisco
ASA(config)#access-list vpn permit ip host 1.1.1.1 host 2.2.2.2
ASA(config)#crypto ipsec ikev1 transform-set tran esp-des esp-md5-hmac
ASA(config)#crypto map asamap 10 set peer 10.1.20.161
ASA(config)#crypto map asamap 10 set ikev1 transform-set tran
ASA(config)#crypto map asamap 10 match address vpn
ASA(config)#crypto map asamap interface outside
2.3.IKEv2介绍
2.3.1.IKEv2优点
用4条消息就可以完成一个IKE SA和一对IPSec SA的协商建立,提高了协商效率。
删除了原有协议中的DOI、SIT以及域名标识符、提交位这些功能不强且难以理解、容易混淆的数据结构。
修复了多处公认的密码学方面的安全漏洞,提高了安全性能。
定义了独立的通讯量选择载荷,分担了原有ID载荷的部分功能,增加了协议灵活性。
加入对EAP身份认证方式的支持,提高了认证方式的灵活性和可扩展性。
2.3.2.IKEv2的协商过程
传统IKE需要经历两个阶段:“主模式+快速模式”或者“野蛮模式+快速模式”。前者需要交换至少9条消息,后者也至少需要6条消息。而IKEv2正常情况使用两次交换4条消息,如果要求建立的IPSec SA大于一对时,每一对SA只需额外增加一次交换,也就是两条消息就可以完成。
2.3.3.IKEv2与EAP认证
EAP(Extensible Authentication Protocol)是一种支持多种认证方法的认证协议,可扩展性是其最大的优点,即若想加入新的认证方式,可以像组件一样加入,而不用变动原来的认证体系。采用EAP方式认证,可以方便的继承系统原有的认证机制。
IKEv2中支持采用EAP对协商的发起方(Initiator)进行第三方认证。响应方根据发起方消息中有无AUTH载荷来判断是否需要EAP认证。
如果没有AUTH(Authentication)载荷则表示发起方请求EAP认证,在响应方发回的Response消息选择了自己允许的EAP认证方法。发起方的下一个Request消息携带了对应于该EAP方法的认证信息,收到该消息后响应方向第三方的EAP认证服务器按照RFC 3748(Extensible Authen-tication Protocol)的规范进行认证。然后在Response消息中发回认证成功或失败的信息。
在实现中响应方可以完全不用知道具体的认证方法和过程,而仅充当发起方和EAP认证服务器的中转(pass through模式),由发起方和EAP认证服务器来完成认证的全过程而响应方只需要得到认证结果。这样可以支持很多的认证方式,包括很多高强度的认证算法而不用增加响应方的软件复杂度。
2.3.4.IKEv2和IKEv1的对比:
IKEv1将交换过程分为两个阶段,两种方式:主模式和野蛮(aggressive)模式。第一阶段建立IKE自身的安全关联,协商IKE加密和认证算法与密钥;第二阶段为IPSec提供安全关联的算法和密码协商。
IKEv2简化了协商过程,在次协商中可直接产生IPSec的密钥。
(IKE可以在公有网络上协商出只有通信双方才掌握的秘密,这还要归功于DH交换----IKE中最核心的算法)
2.4.IKEv2配置
配置感兴趣流
R2 (config)#ip access-list extended vpn
R2(config-ext-nacl)#permit ip host 2.2.2.2 host 1.1.1.1
配置isakmp proposal
R2(config)#crypto ikev2 proposal ikev2pro
R2(config-ikev2-proposal)#encryption des 3des
R2(config-ikev2-proposa1)#group 1 2 5
R2(config-ikev2-proposa1)#integrity md5 sha1 sha256
配置policy
R2(config)#crypto ikev2 policy ikev2pol
R2(config-ikev2-policy)#proposal ikev2pro
配置key
R2(config)#crypto ikev2 keyring ikev2key
R2(config-ikev2-keyring)#peer asa
R2(config-ikev2-keyring)#address 10.1.20.162
R2(config-ikev2-keyring)#pre-shared-key cisco
配置isakmp profile
R2(config)#crypto ikev2 profile ikev2pro
R2(config-ikev2-profile)#match identity remote address 10.1.20.162 255.255.255.255
R2(config-ikev2-profile)#identity local address 10.1.20.161
R2(config-ikev2-profile)#authentication remote pre-share
R2(config-ikev2-profile)#keyring local ikev2key
配置传输集
R2(config)#crypto ipsec transform-set tran esp-des esp-md5-hmac
R2(config)#crypto ipsec transform-set tran1 esp-3des esp-md5-hmac
配置map
R2(config)#crypto map ikev2map 10 ipsec-isakmp
R2(config-crypto-map)#match address vpn
R2(config-crypto-map)#set peer 10.1.20.162
R2(config-crypto-map)#set transform-set tran tran1
R2(config-crypto-map)#set ikev2-profile ikev2pro
调用到接口
R2(config)#int f0/0
R2(config-if)#crypto map ikev2map
使能ikev2
ASA(config)#crypto ikev2 enable outside
配置policy
ASA(config)# crypto ikev2 policy 10
ASA(config-ikev2-policy)#encryption des 3des
ASA(config-ikev2-policy)#group 1 2 5
ASA(config-ikev2-policy)#integrity md5 sha sha256
ASA(contig-ikev2-policy)#prf md5 sha sha256
配置key
ASA(config)#tunnel-group 10.1.20.161 type ipsec-l2l
ASA(config)# tunnel-group 10.1.20.161 ipsec-attributes
ASA(config-tunne1-ipsec)# ikev2 1ocal-authentication pre-shared-key cisco
ASA(config-tunnel-ipsec)# ikev2 remote-authentication pre-shared-key cisco
配置感兴趣流
ASA(config)#access-list vpn permit ip host 1.1.1.1 host 2.2.2.2
配置传输集
ASA(config)#crypto ipsec ikev2 ipsec-proposal tran
ASA(config-ipsec-proposal)#protocol esp encryption des 3des
ASA(config-ipsec-proposal)#protocol esp integrity md5
配置map
ASA(config)#crypto map asamap 10 match address vpn
ASA(config)#crypto map asamap 10 set peer 10.1.20.161
ASA(config)#crypto map asamap 10 set ikev2 ipsec-proposal tran
调用到接口
ASA(config)#crypto map asamap interface outside
查看
ASA(config)# show crypto ikev2 sa
ASA(config)# show crypto ipsec sa
3.IPSec VPN网络穿越和高可用性
3.1.IPSec流量放行问题(中间设备)
R2
interface lo0
ip add 1.1.1.1 255.255.255.255
ip ospf 1 a 0
interface f0/0
ip add 10.1.20.161 255.255.255.0
ip ospf 1 a 0
ASA
interface GigabitEthernet1
nameif inside
security-level 100 ip address 10.1.20.162 255.255.255.0
interface GigabitEthernet2
nameif outside
security-level 0 ip address 10.1.30.162 255.255.255.0
router ospf 1
network 10.1.20.0 255.255.255.0 a 0
network 10.1.30.0 255.255.255.0 a 0
R3
interface lo0
ip add 3.3.3.3 255.255.255.255
ip ospf 1 a 0
interface f0/0
ip add 10.1.30.161 255.255.255.0
ip ospf 1 a 0
interface f1/0
ip add 38.1.1.3 255.255.255.0
ip ospf 2 a 0
R8
interface lo0
ip add 8.8.8.8 255.255.255.255
ip ospf 2 a 0
interface f1/0
ip add 38.1.1.8 255.255.255.0
ip ospf 2 a 0
R3:重分布
router ospf 1
redistribute ospf 2 subnets
router ospf 2
redistribute ospf 1 subnets
R2:VPN
access-list extended vpn
permit ip host 2.2.2.2 host 8.8.8.8
crypto isakmp policy 10
authentication pre-share
crypto isakmp key cisco address 10.1.30.161
crypto ipsec transform-set tran esp-des esp-md5-hmac
crypto map map 10 ipsec-isakmp
match address vpn
set peer 10.1.30.161
set transform-set tran
inter f0/0
crypto map map
R3:VPN
access-list extended vpn
permit ip host 8.8.8.8 host 2.2.2.2
crypto isakmp policy 10
authentication pre-share
crypto isakmp key cisco address 10.1.20.161
crypto ipsec transform-set tran esp-des esp-md5-hmac
crypto map map 10 ipsec-isakmp
match address vpn
set peer 10.1.20.161
set transform-set tran
inter f0/0
crypto map map
ASA:
允许VPN的UDP:500端口进入
access-list out permit udp any eq 500 any eq 500
access-group out in interface outside
此时还是无法通讯:没有准入ESP的报文,两种方案:
policy-map global_policy ①
class inspection_default
inspect ipsec-pass-thru
access-list out permit esp any any ②
clear conn
R2&R3:重置sa
clear crypto sa
clear crypto isakmp
校验
R2#ping 8.8.8.8 source lo0
ASA#show conn
3.2.入方向Crypto MAP对流量的处理
3.3.ACL的处理过程
12.3(8)T之前:
解密前后(通讯点和加密点)两次检查ACL
加密前,ACL要检查;加密后,ACL不检查
12.3(8)T之后:
解密前,接口入方向ACL检查;解密后,map里面配置的ACL要检查
加密前,map里面配置的ACL要检查;加密后,接口的出方向ACL要检查
R3:ACL测试
ip access-list extended inbound
permit ospf any any
permit udp any eq 500 any eq 500
permit esp any any
interface 0/0
ip access-group inbound in
R3:ACL测试R2 ping通R8,反之不能
ip access-list extended mapaclin
deny icmp any any echo-reply
permit ip any any
crypto map map 10
set ip access-group mapaclin in
3.4.NAT-T
NAT需要修改IP数据包的IP包头、端口号,当数据包经过NAT设备时,内容被NAT设改动,修改后的数据包解密或完整性认证处理就会失败造成丢包。无论传输模式还是隧道模式AH都会认证整个包头,当NAT修改了IP 头之后,IPSec就会认为这是对数以完整性的破坏,从而丢弃数据包。因此,AH是不可能与NAT一起工作的。
而ESP并不保护IP包头,ESP保护的内容是ESP字段到ESP跟踪字段之间的内容,因此,如何NAT只是转换IP的话,那就不会影响ESP的计算。但是如果是使用PAT的话,这个数据包仍然会受到破坏。
所以,在NAT网络中,只能使用IPSec的ESP认证加密方法,不能用AH。但是也是有办法解决这个缺陷的,不能修改受ESP保护的TCP/UDP,那就再加一个UDP报头。
A.决定是否支持NAT-T的任务在IKE第一阶段完成,使用IKE第一阶段1-2个包交换来实现,双方互相交换NAT-T的Vendor ID来表示本端是否支持NAT-T
B.为了决定Peers之间是否有NAT存在,Peer会发送一个hash负载(源目IP和端口计算)如果双方计算的hash和接收的hash值匹配,那么Peers之间就没有NAT存在(就采用ESP封装),如果hash值不匹配,那么Peers就需要使用NAT-T技术封装穿越NAT。
hash负载也叫做NAT-D负载,他在MM模式的3-4个包发送,也在AM的2-3个包发送
1:1
R2(config)#no crypto ipsec nat-transparency udp-encapsulation
R3(config)#no crypto ipsec nat-transparency udp-encapsulation
ASA(config)#object network r2fo
ASA(config-network-object)#host 10.1.20.161
ASA(config-network-object)#nat (inside, outside) static 10.1.30.100
R3(config)#crypto isakmp key cisco address 10.1.30.100
R3-outside(config)# crypto map map 10 ipsec-isakmp
R3-outside(config-crypto-map)# no set peer 10.1.20.161
R3-outside(config-crypto-map)# set peer 10.1.30.100
R2#clear crypto sa
R2#clear crypto isakmp
R3#clear crypto sa
R3#clear crypto isakmp
R8#ping 2.2.2.2 source lo0 //删除之前配置的acl
PAT
ASA(config)#clear xlate
ASA(config)#clear object-group
ASA(config)#clear configure object
ASA(config)#clear configure nat
ASA(config)#object network innet
ASA(config-network-object)#subnet 10.1.20.0 255.255.255.0
ASA config-network-object)#nat (inside, outside) dynamic interface
R3(config)#crypto isakmp key cisco address 10.1.30.162
R3-outside(config)# crypto map map 10 ipsec-isakmp
R3-outside(config-crypto-map)#no set peer 10.1.30.100
R3-outside(config-crypto-map)# set peer 10.1.30.162
R2(config)#crypto ipsec nat-transparency udp-encapsulation
R3(config)#crypto ipsec nat-transparency udp-encapsulation
R3#clear crypto sa
R3#clear crypto isakmp
R2#clear crypto sa
R2#clear crypto isakmp
R2#ping 8.8.8.8 source lo0
3.5.IPsec VPN高可用性
分公司的主机2.2.2.2访问总部的8.8.8.8的流量用IPSEC确保安全
1.分公司访问总部的8.8.8.8,走主用网关R7
2.如果主用网关R7不可访问,走备份网关R3
3.如果R7恢复,重新切换回主用网关R7
ASA(config)# clear configure nat
ASA(config)# clear configure object
R3-outside(config)# crypto map map 10 ipsec-isakmp
R3-outside(config-crypto-map)#no set peer 10.1.30.162
R3-outside(config-crypto-map)#set peer 10.1.20.161
解决路由问题
R3-outside(config)#router ospf 1
R3-outside(config-router)#no redistribute ospf 2
R3-outside(config-router)#router ospf 2
R3-outside(config-router)#no redistribute ospf 1
R8(config)#inter f0/1
R8(config-if)#ip ospf 2 area 0
R7(config)#inter f1/0
R7(config-if)#ip ospf 2 area 0
R7(config-if)#inter 1o0
R7(config-if)#ip ospf 1 area 0
R7(config-if)#inter f0/1
R7(config-if)#ip ospf 1 area 0
R1(config)#inter f0/1
R1(config-if)#ip ospf 1 area 0
R1(config-if)#inter lo0
R1(config-if)#ip ospf 1 area 0
R2-inside(config)#inter f1/0
R2-inside(config-if)#ip ospf 1 area 0
R2-inside(config)#inter 1o0
R2-inside(config-if)#no ip ospf 1 area 0
R2-inside(config)# ip route 8.8.8.8 255.255.255.255 7.7.7.7
R2-inside(config)# ip route 8.8.8.8 255.255.255.255 3.3.3.3 50
配置Reverse Route Injection(RRI):R2和R7建立SA之后会注入一条静态路由到OSPF中去
R7
crypto isakmp policy 10
authentication pre-share
reverse-route
crypto isakmp key cisco address 12.1.1.2
crypto ipsec transform-set tran esp-des esp-md5-hmac
crypto map map 10 ipsec-isakmp
match address vpn
set peer 12.1.1.2
set transform-set tran
set reverse-route tag 10
router-map static2ospf
match tag 10
router ospf 2
redistribute static route-map static2ospf subnets
access-list extended vpn
permit ip host 8.8.8.8 host 2.2.2.2
inter f0/1
crypto map map
R2
crypto isakmp key cisco address 17.1.1.7
crypto map map 10 ipsec-isakmp
no set peer 10.1.30.161
set peer 17.1.1.7 default
set peer 10.1.30.161
inter f1/0
crypto map map
clear crypto sa
clear crypto isakmp
R3
clear crypto sa
clear crypto isakmp
此时R2可以与R8通讯,配置备用网关
R3
crypto map map 10
reverse-route
set reverse-route tag 10
router-map static2ospf
match tag 10
router ospf 2
redistribute static route-map static2ospf subnets
此时R3和R7可以主备切换,但是速度过慢
Dead Peer Detection(DPD):使用keepalive机制检查远端隧道IPSec的可用性
R2&R3&R7
crypto isakmp keepalive 10 2
4.动态地址解决方案
4.1.动态 MAP VS 静态MAP
中心有固定IP地址但是分支机构没有固定IP地址的情况,如果都是CISCO设备不建议釆用这个方案,建议使用 EZVPN来解决。如果不都是CISCO产品这是唯一的解决办法。
配置ISP的路由
R1(config)#inter f0/0
R1(config-if)#ip ospf 1 area 0
R2(config)#inter f0/0
R2(config-if)#ip ospf 1 area 0
R2(config)#inter f0/1
R2(config-if)#ip ospf 1 area 0
R2(config)#inter f1/0
R2(config-if)#ip ospf 1 area 0
R3(config)#inter f0/1
R3(config-if)#ip ospf 1 area 0
R4(config)#inter f1/0
R4(config-if)#ip ospf 1 area 0
R1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.2
R3(config)#ip route 0.0.0.0 0.0.0.0 23.1.1.2
配置dynamic map
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authentication pre-share
R3(config)#crypto isakmp key cisco address 0.0.0.00.0.0.0
R3(config)#crypto ipsec transform-set tran esp-des esp-md5-hmac
R3(config)#crypto dynamic-map dymap 10
R3 (config-crypto-map)#set transform-set tran
R3(config)#crypto map mymap 1000 ipsec-isakmp dynamic dymap
R3(config)#inter f0/1
R3(config-if)#crypto map mymap
配置static map
R1(config)#ip access-list extended vpn
R1(config-ext-nacI)#permit ip host 1.1.1.1 host 3.3.3.3
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config)#crypto isakmp key cisco address 23.1.1.3
R1(config)#crypto ipsec transform-set tran esp-des esp-md5-hmac
R1(config)#crypto map mymap 10 ipsec-isakmp
R1(config-crypto-map)#set peer 23.1.1.3
R1(config-crypto-map)#set transform-set tran
R1(config-crypto-map)#match address vpn
R1(config)#interface f0/0
R1(config-if)#crypto map mymap
动态MAP技术问题分析
1.Center不能主动向Branch发起连接,必须要等Branch主动发起建立VPN以后,Center端网络才能访问Branch端网络。
2.Center和Branch间没有虚拟隧道接口,不能在隧道接口上运用各种技术来控制明文流量,也不能运行动态路由协议,所以动态MAP技术只适用于网络环境比较简单的场合
4.2.动态域名解析技术
为了解决动态MAP中心端不能主动发起的问题,我们可以采用动态域名(DDNS)技术。为每一个 Branch端中请一个域名,中心可以把peer设置成为 Branch的动态域名来主动发起连接。
ip name-server 202.106.0.20
crypto isakmp key 0 cisco 0.0.0.0 0.0.0.0
crypto map cisco 10 ipsec-isakmp
set peer 域名 dynamic
set transform-set cisco
match addrss vpn
5.NAT对VPN的影响
配置SITE2路由
R3(config)#inter f0/0
R3(config-if)#ip ospf 2 area 0
R5(config)#inter f0/0
R5(config-if)#ip ospf 2 area 0
R5(config)#inter lo0
R5(config-if)#ip ospf 2 area 0
R5(config)#inter f0/1
R5(config-if)#ip ospf 2 area 0
R4(config)#inter f0/1
R4(config-if)#ip ospf 2 area 0
配置PAT
R3(config)# ip access-list extended nat
R3(config-ext-nacl)# permit ip 35.1.1.1 0.0.0.0 any
R3(config)# ip nat inside source list nat interface f0/1
R3(config)#inter f0/1
R3(config-if)#ip nat outside
R3(config)#inter f0/0
R3(config-if)#ip nat inside
IPSec针对所有NAT流量加密
R1(config)# ip access-list extended vpn
R1(config-ext-nacl)# permit ip host 1.1.1.1 35.1.1.0 0.0.0.255
R1(config-ext-nacl)# permit ip host 1.1.1.1 host 5.5.5.5
R1#clear crypto isakmp
R1#clear crypto sa
泄露OSPF默认路由
R3(config)#router ospf 2
R3(config-router)#default-information originate always
此时R1与R5单向通讯,R5的ICMP回包unreachable
R3先做NAT后加密导致转换后数据包不匹配感兴趣流
解决方法是NAT拒绝需要加密的流量
R3(config)# ip access-list extended nat
R3(config-ext-nacl)#5 deny ip host 35.1.1.5 host 1.1.1.1
6.SVTI(Static Virtual Tunnel Interface)
6.1.SVTI相关理论介绍
IPSecVTI技术允许我们配置一个虚拟隧道接口,我们可以运用各种特性到这个接口上。控制明文的特性应该被配置到VTI接口上,控制密文的特性应该被运用到物理接口上。当我们使用IPSec VTI技术,我们可以对明文和加密后流量分开运用NAT,ACL和Qos等特性。如果我们运用传统的crypto map技术,没有一种简单的方法来运用这些加密特性到IPSec隧道。一共有两个类型的VTI接口,静态VTI(SVTI)和动态VTI(DVTI)
SVTI配置被运用于站点到站点的连接(L2LVPN),在两个站点间的隧道是“always-on”的。SVTI相对于传统crypto map配置的优势在于可以在隧道口上运用动态路由协议,并且不需要那额外的4字节GRE头部(GRE overIPSec),因此降低了发送加密数据的带宽。
模式 原理 优点 使用场合
GRE OVER IPSEC 传输模式 1. GRE先创建隧道,然后IPSEC保护创建的隧道。 1. 可以运行动态路由协议 两台VPN设备都是cisco路由器,并且IOS版本低于12.4的站点到站点VPN。
SVTI 使用IPSEC ipv4隧道模式 1. 直接使用IPSEC来创建一个VTI隧道接口。 1、 可以运行动态路由协议2、 比GRE OVER IPSEC少4个字节的GRE头部 两台VPN设备都是cisco路由器,并且IOS版本高于12.4的站点到站点VPN。
6.2.IKEv1 IPV4 SVTI隧道配置实例
R1(config)#inter f0/0
R1(config-if)#no crypto map mymap
R1(config) #no crypto map mymap 10 ipsec-isakmp
配置policy、key、ipsec profile、transform
R1(config)#crypto ipsec profile svtiprofile
R1(ipsec-profile)#set transform-set tran
配置SVTI接口
R1(config)#interface tunnel 1
R1(config-if)# ip address 13.1.1.1 255.255.255.0
R1(config-if)# tunnel source f0/0
R1(config-if)# tunnel destination 23.1.1.3
R1(config-if)#tunnel mode ipsec ipv4
R1(config-if)#tunnel protection ipsec profile svtiprofile
R3(config)#inter f0/1
R3(config-if)#no crypto map mymap
R3(config) #no crypto map mymap 1000 ipsec-isakmp dynamic map
R3(config)#no crypto dynamic-map dymap 10
配置policy、key、ipsec profile、transform
R3(config)#crypto ipsec profile svtiprofile
R3(ipsec-profile)#set transform-set tran
配置SVTI接口
R3(config)#interface tunnel 1
R3(config-if)# ip address 13.1.1.3 255.255.255.0
R3(config-if)# tunnel source f0/0
R3(config-if)# tunnel destination 12.1.1.1
R3(config-if)#tunnel mode ipsec ipv4
R3(config-if)#tunnel protection ipsec profile svtiprofile
R1#ping 3.3.3.3 source lo0
R3(config-if)#show crypto engine connections active
使能动态路由
R3(contig)#interface tunnel 1
R3(config-if)#ip ospf 2 area 0
R1(config)#interface tunnel 1
R1(config-if)#ip ospf 2 area 0
R1(config) #inter lo0
R1(config-if)#ip ospf 2 area
使能ACL
R3(config)#ip access-list extended svti
R3(config-ext-nacl)#permit tcp host 35.1.1.3 host 1.1.1.1 eq telnet
R3(contig)#interface tunnel 1
R3(config-if)#ip access-group svti in
6.3.IKEv2 IPV4 SVTI隧道配置实例
配置proposal、policy、keyring、profile、transform
R4(config)# crypto ikev2 keyring svtikey
R4(config-ikev2-keyring)# peer r1
R4(config-ikev2-keyring-peer)# address 12.1.1.1
R4(config-ikev2-keyring-peer)#pre-shared-key cisco
R4(config)# crypto ikev2 profile ikev2profile
R4(config-ikev2-profile)# match identity remote address 12.1.1.1 255.255.255.255
R4(config-ikev2-profile)# identity local address 24.1.1.4
R4(config-ikev2-profile) #authentication remote pre-share
R4(config-ikev2-profile) #authentication local pre-share
R4(contig-ikev2-profile)#keyring local svtikey
R4(config)#crypto ipsec profile ipsecprofile
R4(ipsec-profile)#set ikev2-profile ikev2profile
配置SVTI接口
R4(config)# interface tunnel 2
R4(config-if)# ip address 14.1.1.4 255.255.255.0
R4(config-if)# tunnel source f1/0
R4(config-if)# tunnel destination 12.1.1.1
R4(config-if)# tunnel mode ipsec ipv4
R4(config-if)#tunnel protection ipsec profile ipsecprofile
R1(config)# crypto ikev2 keyring svtikey
R1(config-ikev2-keyring)# peer r4
R1(config-ikev2-keyring-peer)# address 24.1.1.4
R1(config-ikev2-keyring-peer)#pre-shared-key cisco
R1(config)# crypto ikev2 profile ikev2profile
R1(config-ikev2-profile)# match identity remote address 24.1.1.4 255.255.255.255
R1(config-ikev2-profile)# identity local address 12.1.1.1
R1(config-ikev2-profile) #authentication remote pre-share
R1(config-ikev2-profile) #authentication local pre-share
R1(contig-ikev2-profile)#keyring local svtikey
R1(config)#crypto ipsec profile ipsecprofile
R1(ipsec-profile)#set ikev2-profile ikev2profile
R1(config)# interface tunnel 2
R1(config-if)# ip address 14.1.1.1 255.255.255.0
R1(config-if)# tunnel source f0/0
R1(config-if)# tunnel destination 24.1.1.4
R1(config-if)# tunnel mode ipsec ipv4
R1(config-if)#tunnel protection ipsec profile ipsecprofile
使能动态路由
R4#ping 14.1.1.1
R4#show crypto engine connections active
R4#show crypto ikev2 sa
R4(config)# interface tunnel 2
R4(config-if)#ip ospf 2 area 0
R1(config)# interface tunnel 2
R1(config-if)#ip ospf 2 area 0
7.VPDN(Virtual Private Dialup Network) 虚拟专用拨号网
7.1.PPTP技术介绍和包结构
PPTP由Microsoft,Alcatel-Lucent和3COM联合开发。
PPTP RFC 2637 ,PPTP由两个协议组成
——控制信道TCP 1723
——封装PPP数据GRE
由于使用PPP封装具体数据,PPP能够封装IP,NetBEUI和IPX等等多种协议。
7.2.PPTP配置实例
环境:R1 f0/0 → 虚拟网卡 → Windows客户端
R1(config)# inter f0/0
R1(config-if)# ip add 192.168.101.161 255.255.255.0
R1(config-if)# no shutdown
R1(config)# inter 1o0
R1(config-if)# ip add 1.1.1.1 255.255.255.255
R1(config)#vpdn enable
R1(config)#vpdn-group yeslab
R1(config-vpdn) #accept-dialin
R1(config-vpdn-acc-in)#protoco pptp
R1(config-vpdn-acc-in)#virtual-template 1
R1(config)#username pptpuser password cisco
R1(config)# ip local pool pptppool 100.1.1.100 100.1.1.110
R1(config)#interface virtual-template 1
R1(config-if)#ip unnumbered lo0 //任意配置IP
R1(config-if)#peer default ip address pool pptppool
R1(config-if)#ppp encrypt mppe auto required
R1(config-if)#ppp authentication ms-chap-v2
R1#show vpdn
client如何连接到R1身后的设备?
R1(config)#ip route 100.1.1.0 255.255.255.0 null 0
R1(config)#route ospf 1
R1(config-route)#redistribute static subnets
client连接到VPN
7.3.L2TP技术介绍和包结构
L2TP(RFC 2261)源自于两个老的PPP隧道协议Cisco的Layer2 Forwarding Protocol(L2F)和Microsoft的PPTP
L2TP自身不提供安全机制(confidentiality/authentication),IPSec是保障L2TP安全性的首选,也就是L2TP over IPSec。
L2TP所有数据都被封装在UDP 1701内
7.4.L2TP配置实例
R1(config)#vpdn enable
R1(config)#vpdn-group l2tp
R1(config-vpdn)#accept-dialin
R1(config-vpdn-acc-in)#protoco l2tp
R1(config-vpdn-acc-in)#virtual-template 2
R1(config-vpdn)#l2tp security crypto-profile l2tpprofile
R1(config-vpdn)#no l2tp tunnel authentication
R1(config)#username l2tpuser password cisco
R1(config)#ip local pool l2tppool 110.1.1.100 110.1.1.110
R1(config-vpdn-acc-in)#virtual-template 2
R1(config-if)# ip address 3.3.3.3 255.255.255.0
R1(config-if) #peer default ip address pool 12tppool
R1(config-if)#ppp authentication ms-chap-v2
配置IPSec
阶段一算法在windows中内置(mmc→IP安全策略→常规→设置→方法)
转换集(mmc→IP安全策略→规则→添加→筛选器操作→编辑)
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#group 2
R1(config-isakmp)#hash sha
R1(config)# crypto isakmp key cisco address 0.0.0.0 0.0.0.0
R1(config)#crypto ipsec transform-set cisco esp-3des esp-sha-hmac
R1(cfg-crypto-trans) #mode transport
R1(config)#crypto map cisco 10 ipsec-isakmp profile l2tpprofile
R1(config-crypto-map)#set transform-set cisco
R1(config)#inter f0/0
R1(config-if)#crypto map cisco
8.DMVPN 动态多点VPN
8.1.DMVPN特点介绍
1)动态建立hub-to-spoke和spoke-to-spoke的ipsec隧道
2)优化网络性能
3)降低实时运用的延时
4)减少hub路由器配置,在不改变hub配置的情况下动态增加多个spoke隧道
5)零丢包功能
6)支持spoke路由器动态地
7)动态建立spoke-to-spoke IPSec隧道,这些流量无需穿越hub
8)支持动态路由协议
9)支持hub到spoke的组播
10)支持MPLS网络的VRF
11)拥有自愈能力,最大的保障了VPN隧道的运行时间
12)支持多个VPN中心设备的负载均衡
8.2.DMVPN组成部分
8.2.1.MGRE (multipoint GRE)
8.2.2.NHRP (Next Hop Resolution Protocol)
一个二层的客户-服务器解析协议,用于映射隧道地址(虚拟)到一个NBMA地址(物理),NHRP的功能非常类似于ARP(映射IP(逻辑)到MAC(物理))和Reverse ARP(映射IP(逻辑)到DLCI(物理))。就像ARP一样,NHRP支持静态映射和动态映射。Hub路由器维护一个所有Spoke隧道地址(虚拟)到公网地址(物理)的数据库。当Spoke启动以后,它注册自己的公网地址到Hub,并且询问其他目的Spoke的公网地址,这样Spokes之间就能直接建立隧道。
8.2.3.Dynamic Routing Protocol
一个协议用来宣告私有网络到DMVPN网络,IP路由更新和IP组播数据包仅仅只在Hub-to-spoke隧道中进行传输,单播数据包既能穿越hub-to-spoke隧道也能穿越直接动态建立的spoke-to-spoke隧道。路由邻居只在hub-to-spoke隧道上建立,spoke-to-spoke的路由逻辑由NHRP来执行。路由协议并不监控spoke-to-spoke隧道的状态。支持的动态路由协议有RIP,EIGRP,OSPF,ODR和BGP。
8.2.4.IPSec VPN
DMVPN依然是一种GRE over IPSec技术,也是典型的传输模式
8.3.DMVPN的三个阶段
DMVPN的 Phase 1
Phase 1也就是DMVPN刚刚出来的时候,通常Hub端利用NHRP和MGRE来和spoke之间建立邻居,而spoke则只使用gre,形成一个点对点的隧道,这样一样,spoke之间互访必须通过Hub端来转发,这样大大的增加了Hub端的负担, Phase 1只是提供了一个更好的连接Spoke的方案,也就是hub不需要更多的配置,就可以容纳新增加的Spoke。
DMVPN Phase 2
phase 2也就是我们经常学习,经常见到的阶段了,Hub和Spoke之间都利用MGRE和NHRP来建立隧道,当Spoke端刚启动,它就会自动发送NHRP消息到Hub进行注册,这样一来Hub端都有了Spoke的地址信息了,分析下它们通信的过程。
1、Spoke1向Spoke2发送数据包进行通信,这时候的数据包是由中心代为转发的。(路由表有Spoke的路由)
2、同时Spoke1会向Hub发送一个NHRP的询问,询问Spoke2的地址信息
3 、Hub回应Spoke1的询问
4、Spoke1收到这个回应后,直接与Spoke2建立IPSec VPN
5、Spoke2要回应Spoke1的数据包,它也会发送NHRP的查询给Hub
6、Hub回应,Spoke2收到,知道数据包怎么回应了,试图建立新的VPN隧道,发现已经有了一个VPN的隧道,所有,后续的数据包都通过这个隧道来传递,而不通过Hub了。
特点:虽然Spoke之间可以互访不通过Hub,但是,在建立初期,Spoke之间都需要询问Hub来寻找其余的Spoke地址信息,并且还需要代为转发数据包(建立VPN的时候),这样对于有许多分支的Hub来说,也是一个非常大的负担,特别是层次化的设计利用第二阶段,那么所有的流量都必须通过Hub转发。
DMVPN Phase 3
Phase 3 提供了一个更为灵活的设计方案,优化了许多不足的地方,比如动态路由协议不能进行汇总,所有的响应都是由Hub来完成。
1 、分支站点1向分支站点2发送数据包,中心收到以后,会回复NHRP重定向消息,这个重定向消息包含最优的下一跳信息(也就是S分支站点二的,重定向功能是被动态路由协议识别的,能优化下一跳的作用)
2、分支一收到NHRP重定向消息后,得知最优的下一跳是分支二,会发送一个NHRP解析请求给Hub。
3 、Hub收到以后,它并不会处理这个解析请求,而是直接转发给分支站点二,由请求的目的地来处理。
4、分支二收到请求以后,会主动发送与分支一的IPSec隧道建立 。(这时候分支二也知道分支一的地址信息)
5、IPSec隧道建立以后,分支二在这个安全的隧道里面回应这个NHRP的请求信息。
6、后续的数据包在这两个站点转发,而不需要经过中心了。
特点:这里HUB利用了NHRP的重定向功能,这个重定向功能能够优化路由,虽然我们在路由表中看见下一跳是Hub端,但是,通过重定向可以让Spoke知道最优的下一跳是谁,从而优化了路由表。 由于下一跳都是Hub了,所以,Hub端可以做路由汇总,这样优化了分支之间的路由表,甚至可以使用静态路由来完成整个设计。 在层次化的设计中,Spoke之间通信无需经过Hub,直接在SPoke之间转发, 另外一点,也是官方提到的,Phase 2是进程转发的,而Phase 3是由CEF处理的,在资源发面也是很优化的。
8.4.DMVPN配置实例
8.4.1.DMVPN Phase 2
配置路由
ASA(config)#interface g0
ASA(config-if)#nameif inside
ASA(config-if)#ip add 27.1.1.7 255.255.255.0
ASA(config-if)#no shutdown
ASA(config)#interface g1
ASA(config-if)#nameif dmz
ASA(config-if)#ip add 47.1.1.7 255.255.255.0
ASA(config-if)#no shutdown
ASA(config)#interface g2
ASA(config-if)#nameif outside
ASA(config-if)#ip add 57.1.1.7 255.255.255.0
ASA(config-if)#no shutdown
ASA(config)#interface g3
ASA(config-if)#nameif inside1
ASA(config-if)#security-level 90
ASA(config-if)#ip add 37.1.1.7 255.255.255.0
ASA(config-if)#no shutdown
ASA(config)#router ospf 1
ASA(config-router)#network 27.1.1.7 0.0.0.0 a 0
ASA(config-router)#network 47.1.1.7 0.0.0.0 a 0
ASA(config-router)#network 57.1.1.7 0.0.0.0 a 0
ASA(config-router)#network 37.1.1.7 0.0.0.0 a 0
配置MGRE和NHRP
R2(config)#interface tunnel 0
R2(config-if)#ip address 10.1.1.2 255.255.255.0
R2(config-if)#tunnel source f0/1
R2(config-if)#tunnel mode gre multipoint
R2(config-if)#tunnel key 245
R2(config-if)#ip nhrp network-id 245
R2(config-if)#ip nhrp map multicast dynamic
R2(config-if)#ip nhrp authentication 245
R4(config)#interface tunnel 0
R4(config-if)#ip address 10.1.1.4 255.255.255.0
R4(config-if)#tunnel source f0/0
R4(config-if)#tunnel mode gre multipoint
R4(config-if)#tunnel key 245
R4(config-if)#ip nhrp network-id 245
R4(config-if)#ip nhrp nhs 10.1.1.2
R4(config-if)#ip nhrp map 10.1.1.2 27.1.1.2
R4(config-if)#ip nhrp map multicast 27.1.1.2
R4(config-if)#ip nhrp authentication 245
R5 (config)#interface tunnel 0
R5(config-if)#ip address 10.1.1.5 255.255.255.0
R5(config-if)#tunnel source f0/0
R5(config-if)#tunnel mode gre multipoint
R5(config-if)#tunnel key 245
R5(config-if)#ip nhrp network-id 245
R5(config-if)#ip nhrp nhs 10.1.1.2
R5(config-if)#ip nhrp map 10.1.1.2 27.1.1.2
R5(config-if)#ip nhrp map multicast 27.1.1.2
R5(config-if)#ip nhrp authentication 245
ASA对GRE流量放行
ASA(config)#access-list out permit gre any any
ASA(config)#access-list dmz permit gre any any
ASA(config)#access-group out in interface outside
ASA(config)#access-group dmz in interface dmz
R2#show ip nhrp
动态路由协议
R4(config)#router eigrp 100
R4(config-router)#no auto-summary
R4(config-router)#network 4.4.4.4 0.0.0.0
R4(config-router)#network 10.1.1.4 0.0.0.0
R5(config)#router eigrp 100
R5(config-router)#no auto-summary
R5(config-router)#network 5.5.5.5 0.0.0.0
R5(config-router)#network 10.1.1.5 0.0.0.0
R2(config)#router eigrp 100
R2(config-router)#no auto-summary
R2(config-router)#network 2.2.2.2 0.0.0.0
R2(config-router)#network 10.1.1.2 0.0.0.0
R2(config)#interface tunnel 0
R2(config-if)#no ip split-horizon eigrp 100 //关闭水平分割
R2(config-if)#no ip next-hop-self eigrp 100 //优化下一条
配置IPSec
R2(config)#crypto isakmp policy 10
R2(config-isakmp)#authentication pre-share
R2(config)#crypto isakmp key cisco address 0.0.0.0 0.0.0.0
R2(config)#crypto ipsec transform-set tran esp-des esp-md5-hmac
R2(cfg-crypto-trans)#mode transport
R2(config)#crypto ipsec profile lockeprofile
R2 (ipsec-profile)#set transform-set tran
R2(config)#interface tunnel 0
R2(config-if)#tunnel protection ipsec profile lockeprofile
R4(config)#crypto isakmp policy 10
R4(config-isakmp)#authentication pre-share
R4(config)#crypto isakmp key cisco address 0.0.0.0 0.0.0.0
R4(config)#crypto ipsec transform-set tran esp-des esp-md5-hmac
R4(cfg-crypto-trans)#mode transport
R4(config)#crypto ipsec profile lockeprofile
R4 (ipsec-profile)#set transform-set tran
R4(config)#interface tunnel 0
R4(config-if)#tunnel protection ipsec profile lockeprofile
R5(config)#crypto isakmp policy 10
R5(config-isakmp)#authentication pre-share
R5(config)#crypto isakmp key cisco address 0.0.0.0 0.0.0.0
R5(config)#crypto ipsec transform-set tran esp-des esp-md5-hmac
R5(cfg-crypto-trans)#mode transport
R5(config)#crypto ipsec profile lockeprofile
R5 (ipsec-profile)#set transform-set tran
R5(config)#interface tunnel 0
R5(config-if)#tunnel protection ipsec profile lockeprofile
ASA对UDP和ESP流量放行
ASA(config)#access-list out permit udp any any eq isakmp
ASA(config)#access-list out permit esp any any
ASA(config)#access-list dmz permit udp any any eq isakmp
ASA(config)#access-list dmz permit esp any any
MTU
R2(config)#interface tunnel 0
R2(config-if)#ip mtu 1400
R4(config)#interface tunnel 0
R4(config-if)#ip mtu 1400
R5(config)#interface tunnel 0
R5(config-if)#ip mtu 1400
8.4.2.DMVPN 单云双HUB配置实例
配置MGRE和NHRP
R3(config)#interface tunnel 0
R3(config-if)#ip address 10.1.1.3 255.255.255.0
R3(config-if)#tunnel source f0/0
R3(config-if)#tunnel mode gre multipoint
R3(config-if)#tunnel key 245
R3(config-if)#ip nhrp network-id 245
R3(config-if)#ip nhrp map multicast dynamic
R3(config-if)#ip nhrp authentication 245
R3(config-if)#ip nhrp map 10.1.1.2 27.1.1.2
R3(config-if)#ip nhrp map multicast 27.1.1.2
R2(config-if)#ip nhrp map 10.1.1.3 37.1.1.3
R2(config-if)#ip nhrp map multicast 37.1.1.3
R4(config)#interface tunnel 0
R4(config-if)#ip nhrp nhs 10.1.1.3
R4(config-if)#ip nhrp map 10.1.1.3 37.1.1.3
R4(config-if)#ip nhrp map multicast 37.1.1.3
R5(config)#interface tunnel 0
R5(config-if)#ip nhrp nhs 10.1.1.3
R5(config-if)#ip nhrp map 10.1.1.3 37.1.1.3
R5(config-if)#ip nhrp map multicast 37.1.1.3
动态路由协议
R3(config)#router eigrp 100
R3(config-router)#no auto-summary
R3(config-router)#network 3.3.3.3 0.0.0.0
R3(config-router)#network 10.1.1.3 0.0.0.0
R3(config-if)#no ip split-horizon eigrp 100
R3(config-if)#no ip next-hop-self eigrp 100
R3(config)#interface tunnel 0
R3(config-if)#ip mtu 1400
配置IPSec
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authentication pre-share
R3(config)#crypto isakmp key cisco address 0.0.0.0 0.0.0.0
R3(config)#crypto ipsec transform-set tran esp-des esp-md5-hmac
R3(cfg-crypto-trans)#mode transport
R3(config)#crypto ipsec profile lockeprofile
R3(ipsec-profile)#set transform-set tran
R3(config)#interface tunnel 0
R3(config-if)#tunnel protection ipsec profile lockeprofile
放行流量
ASA(config)#access-list in1 permit udp any any eq isakmp
ASA(config)#access-list in1 permit esp any any
ASA(config)#access-group in1 in interface inside1
配置R1双HUB
R1(config)#router eigrp 100
R1(config-router)#no auto-summary
R1(config-router)#network 0.0.0.0 0.0.0.0
R3(config)#router eigrp 100
R3(config-router)#network 13.1.1.3 0.0.0.0
R2(config)#router eigrp 100
R2(config-router)#network 12.1.1.2 0.0.0.0
8.4.3.层次化DMVPN
下层区域一:R2-HUB(tunnel0);R4,R5-spoke(tunnel0)
下层区域二:R3-HUB(tunnel0);F6-spoke(tunnel0)
上层区域:R8-HUB(tunnel0);R2,R3-spoke(tunnel0)
所有tunnel接口的IP地址为10.1.1.0/24
所有的HUB和Spoke都有一个Lo0
预配:ip地址配置完毕,全网OSPF跑通
HUB1——tunnel
R2(config)#interface lo1
R2(config-if)#ip add 2.2.2.22 255.255.255.255
R2(config-if)#ip ospf 1 a 0
R2(config)#interface tunnel 0
R2(config-if)#ip add 10.1.1.2 255.255.255.0
R2(config-if)#tunnel source lo1
R2(config-if)#tunnel mode gre multipoint
R2(config-if)#ip nhrp network-id 123
R2(config-if)#ip nhrp map multicast dynamic
R4(config)#interface tunnel 0
R4(config-if)#ip add 10.1.1.4 255.255.255.0
R4(config-if)#tunnel source f0/0
R4(config-if)#tunnel mode gre multipoint
R4(config-if)#ip nhrp network-id 123
R4(config-if)#ip nhrp nhs 10.1.1.2
R4(config-if)#ip nhrp map 10.1.1.2 2.2.2.22
R4(config-if)#ip nhrp map multicast 2.2.2.22
R5(config)#interface tunnel 0
R5(config-if)#ip add 10.1.1.5 255.255.255.0
R5(config-if)#tunnel source f0/0
R5(config-if)#tunnel mode gre multipoint
R5(config-if)#ip nhrp network-id 123
R5(config-if)#ip nhrp nhs 10.1.1.2
R5(config-if)#ip nhrp map 10.1.1.2 2.2.2.22
R5(config-if)#ip nhrp map multicast 2.2.2.22
HUB1——动态路由协议
R2(config)#router eigrp 100
R2(config-router)#no auto summary
R2(config-router)#network 2.2.2.2 0.0.0.0
R2(config-router)#network 10.1.1.2 0.0.0.0
R4(config)#router eigrp 100
R4(config-router)#no auto summary
R4(config-router)#network 4.4.4.4 0.0.0.0
R4(config-router)#network 10.1.1.4 0.0.0.0
R5(config)#router eigrp 100
R5(config-router)#no auto summary
R5(config-router)#network 5.5.5.5 0.0.0.0
R5(config-router)#network 10.1.1.5 0.0.0.0
R2(config)#interface tunnel 0
R2(config-if)#no ip split-horizon eigrp 100
HUB1——Phase 3
使用NHRP重定向功能
R2(config)#interface tunnel 0
R2(config-if)#ip nhrp redirect
R4(config)#interface tunnel 0
R4(config-if)#ip nhrp redirect
R4(config-if)#ip nhrp shortcut
R5(config)#interface tunnel 0
R5(config-if)#ip nhrp redirect
R5(config-if)#ip nhrp shortcut
R4#ping 5.5.5.5 source lo0
R4#show ip nhrp shortcut //R5的路由信息被NHRP重定向
进行路由汇总
R2(config)#ip summary-address eigrp 100 0.0.0.0 0.0.0.0
HUB2
R3(config)#interface lo1
R3(config-if)#ip add 3.3.3.33 255.255.255.255
R3(config-if)#ip ospf 1 a 0
R3(config)#interface tunnel 0
R3(config-if)#ip add 10.1.1.3 255.255.255.0
R3(config-if)#tunnel source lo1
R3(config-if)#tunnel mode gre multipoint
R3(config-if)#ip nhrp network-id 123
R3(config-if)#ip nhrp map multicast dynamic
R3(config-if)#ip nhrp redirect
R3(config)#router eigrp 100
R3(config-router)#no auto summary
R3(config-router)#network 3.3.3.3 0.0.0.0
R3(config-router)#network 10.1.1.3 0.0.0.0
R6(config)#interface tunnel 0
R6(config-if)#ip add 10.1.1.6 255.255.255.0
R6(config-if)#tunnel source f1/1
R6(config-if)#tunnel mode gre multipoint
R6(config-if)#ip nhrp network-id 123
R6(config-if)#ip nhrp nhs 10.1.1.3
R6(config-if)#ip nhrp map 10.1.1.3 3.3.3.33
R6(config-if)#ip nhrp map multicast 3.3.3.33
R6(config-if)#ip nhrp redirect
R6(config-if)#ip nhrp shortcut
R6(config)#router eigrp 100
R6(config-router)#no auto summary
R6(config-router)#network 6.6.6.6 0.0.0.0
R6(config-router)#network 10.1.1.6 0.0.0.0
Super HUB
R8(config)#interface tunnel 0
R8(config-if)#ip add 10.1.1.8 255.255.255.0
R8(config-if)#tunnel source f1/0
R8(config-if)#tunnel mode gre multipoint
R8(config-if)#ip nhrp network-id 123
R8(config-if)#ip nhrp map multicast dynamic
R8(config-if)#ip nhrp redirect
R8(config-if)#ip nhrp shortcut
R8(config-if)#no ip split-horizon eigrp 100
R8(config)#router eigrp 100
R8(config-router)#no auto summary
R8(config-router)#network 8.8.8.8 0.0.0.0
R8(config-router)#network 10.1.1.8 0.0.0.0
R2(config)#interface tunnel 0
R2(config-if)#ip nhrp nhs 10.1.1.8
R2(config-if)#ip nhrp map 10.1.1.8 18.1.1.8
R2(config-if)#ip nhrp map multicast 18.1.1.8
R3(config)#interface tunnel 0
R3(config-if)#ip nhrp nhs 10.1.1.8
R3(config-if)#ip nhrp map 10.1.1.8 18.1.1.8
R3(config-if)#ip nhrp map multicast 18.1.1.8
R3(config-if)#no ip split-horizon eigrp 100
R8(config-if)#ip summary-address eigrp 100 0.0.0.0 0.0.0.0 //超级汇总
IPSec——R4、R5、R6、R2、R3、R8
R4(config)#crypto isakmp policy 10
R4(config-isakmp)#authentication pre-share
R4(config)#crypto isakmp key cisco address 0.0.0.0 0.0.0.0
R4(config)#crypto ipsec transform-set tran esp-des esp-md5-hmac
R4(cfg-crypto-trans)#mode transport
R4(config)#crypto ipsec profile lockeprofile
R4(ipsec-profile)#set transform-set tran
R4(config)#interface tunnel 0
R4(config-if)#tunnel protection ipsec profile lockeprofile
Tunnel接口全部shutdown,从上而下再开启
9.GETVPN
9.1.GETVPN特性
1)基于原生路由架构的透传解决方案
2)IP Header Preservation技术,实现原始IP头部保留
3)不影响QOS,不增加网络开销和复杂度
4)基于Trusted Group Members的概念,在Group内的Router使用相同的安全策略,比点对点VPN管理更简单
5)Group内成员预先从KS获得安全参数(IPSec SA),实现任意到任意(any-to-any)连接
6)即时连接,减少类似于语音流量的延时
7)支持对单播和组播的加密
8)是一个WAN解决方案,需要部署在全局可路由的网络环境,不适合在IPv4的互联网部署
9.2.GETVPN和传统IPSec的比较
9.3.GETVPN三大组件
1)Group Domain of Interpretation(GDOI)
GDOI协议用于在组成员和组控制器/密钥服务器(GCKS)之间建立安全关联,实现安全的Group内通讯,GDOI协议适用UDP/848
2)Group Controller/Key Server (GCKS)
GCKS是一个为组维护策略,创建和维护密钥的路由器。当一个组成员注册的时候,密钥服务器发送策略和密钥到这个组成员。密钥服务器也会在密钥超时前更新密钥。服务器会发送两种类型的密钥,加密流量的密钥(TEK)和加密密钥的密钥(KEK)。TEK会成为IPSEC SA,这个SA用于相同组内成员之间的通讯。TEK是一个本质的组密钥,它共享给所有的组成员,并且加密组成员之间的流量。KEK用于加密更新密钥信息,每一个组成员也用它来解密从密钥服务器发送过来的更新密钥信息。
3)Group Member(GM)
组成员是一台路由器,他在密钥服务器上注册,并且从密钥服务器获取IPsecSA,使用这个SA与属于这个组的其它设备通讯,组成员在密钥服务器上注册并且提供了一个组ID,并从服务器获取用于这个组的安全策略和密钥。
9.4.GETVPN工作流程
1)每一个组成员发送注册请求到密钥服务器。通过GDOI协议,密钥服务器对组成员认证和授权,并且发送策略和用于加解密IP单播和组播的密钥
触发条件:1、GM启动 2、在GM接口调用crypto map
2)当组成员注册成功获取IPSec SA后,就会获取相应的密钥,组成员之间能够直接加密IP组播和单播,旁路掉密钥服务器直接建立安全的通讯。TEK用于加密在组成员之间的流量
3)如果需要,密钥服务器发送密钥更新信息(rekey message)到组内的所有成员。这个密钥更新信息包含新的IPSec策略和当前IPSec SA超时以后使用的更新的密钥,密钥更新信息会在SA超时之前发送,保障组密钥一直可用
9.5.Group Keys
加密密钥的密钥(KEK):在密钥服务器和组成员之间,加密密钥更新(Rekey Message)信息的密钥。
加密流量的密钥(TEK):在组成员之间,加密组成员身后网络之间流量(用户流量)的密钥。
9.6.GETVPN组播实验
环境:全网贯通;每个设备环回口192.168.1.X/32;ASA地址为10.1.x.20
准入配置
ASA(config)#access-list out permit udp any eq 848 any eq 848
ASA(config)#access-list out permit esp any any
ASA(config)#access-list out permit icmp any any
ASA(config)#access-list dmz permit udp any eq 848 any eq 848
ASA(config)#access-list dmz permit esp any any
ASA(config)#access-list dmz permit icmp any any
ASA(config)#access-group dmz in interface dmz
ASA(config)#access-group out in interface outside
ASA(config)#same-security-traffic permit inter-interface //dmz:0 outside:0 相互通讯
KS—R1
组播配置
R1(config)#ip multicast-routing
R1(config)# ip pim rp-address 10.1.10.1
R1(config)#inter f0/0
R1(config-if)#ip pim sparse-mode
R2(config)#ip multicast-routing
R2(config)# ip pim rp-address 10.1.10.1
R2(config)#inter f0/0
R2(config-if)#ip pim sparse-mode
R3(config)#ip multicast-routing
R3(config)# ip pim rp-address 10.1.10.1
R3(config)#inter f0/0
R3(config-if)#ip pim sparse-mode
R4(config)#ip multicast-routing
R4(config)# ip pim rp-address 10.1.10.1
R4(config)#inter f0/0
R4(config-if)#ip pim sparse-mode
R5(config)#ip multicast-routing
R5(config)# ip pim rp-address 10.1.10.1
R5(config)#inter f0/0
R5(config-if)#ip pim sparse-mode
ASA(config)#multicast-routing
ASA(config)#pim rp-address 10.1.10.1
生成密钥
R1(config)#ip domain name yeslab.net
R1(config)#crypto key generate rsa label getvpnkey modulus 1024 exportable
配置ISAKMP Policy
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config)#crypto isakmp key cisco address 10.1.20.3
R1(config)#crypto isakmp key cisco address 10.1.20.4
R1(config)#crypto isakmp key cisco address 10.1.30.5
配置IPSec Profile
R1(config)#ip access-ist extended getvpn //感兴趣流
R1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255
R1(config)#ip access-ist extended multirekey //组播流量
R1(config-ext-nacl)#permit udp host 10.1.10.1 eq 848 host 239.1.1.1 eq 848
R1(config)#crypto ipsec transform-set tran esp-des esp-md5-hmac //配置转换集
R1(config)#crypto ipsec profile ipsecprofile
R1(ipsec-profile)#set transform-set tran
配置GDOI协议
R1(config)#crypto gdoi group getvpn
R1(config-gdoi-group)#identity number 888
R1(config-gdoi-group)#server local
R1(config-gdoi-group)#address ipv4 10.1.10.1
R1(gdoi-local-server)#rekey authentication mypubkey rsa getvpnkey
R1(gdoi-local-server)#rekey algorithm aes 128
R1(gdoi-local-server)#rekey address ipv4 multirekey
配置IPSec SA
R1(gdoi-local-server)#sa ipsec 1
R1(gdoi-sa-ipsec)#match address ipv4 getvpn
R1(gdoi-sa-ipsec)#address ipv4 10.1.10.1
R1(gdoi-sa-ipsec)#profile ipsecprofile
R1(gdoi-sa-ipsec)#replay time window-size 5
GM—R3
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authentication pre-share
R3(config)#crypto isakmp key cisco address 10.1.10.1
R3(config)#crypto gdoi group getgroup
R3(config-gdoi-group)#identity number 888
R3(config-gdoi-group)#server address ipv4 10.1.10.1
R3(config)#crypto map getmap 10 gdoi
R3(config-crypto-map)#set group getgroup
R3(config)#interface f0/0
R3(config-if)#crypto map getmap
GM—R4
R4(config)#crypto isakmp policy 10
R4(config-isakmp)#authentication pre-share
R4(config)#crypto isakmp key cisco address 10.1.10.1
R4(config)#crypto gdoi group getgroup
R4(config-gdoi-group)#identity number 888
R4(config-gdoi-group)#server address ipv4 10.1.10.1
R4(config)#crypto map getmap 10 gdoi
R4(config-crypto-map)#set group getgroup
R4(config)#interface f0/0
R4(config-if)#crypto map getmap
GM—R5
R5(config)#crypto isakmp policy 10
R5(config-isakmp)#authentication pre-share
R5(config)#crypto isakmp key cisco address 10.1.10.1
R5(config)#crypto gdoi group getgroup
R5(config-gdoi-group)#identity number 888
R5(config-gdoi-group)#server address ipv4 10.1.10.1
R5(config)#crypto map getmap 10 gdoi
R5(config-crypto-map)#set group getgroup
R5(config)#interface f0/0
R5(config-if)#crypto map getmap
检查
R1#show crypto gdoi
R1#show crypto gdoi ks members
R3#ping 192.168.1.4 source lo0
R3#show crypto engine connections active
R3#ping 192.168.1.1 source lo0 //无法通讯:R1不能同时为KS和GM
R3(config)#ip access-list extended denyen //deny流量应用到map
R3(contig-ext-nac1)# deny ip host 192.168.1.3 host 192.168.1.1
R3(config)#crypto map getmap 10 gdoi
R3(config-crypto-map)#match address denyen
9.7.双KS之间的协作
KS—R2
R2(config)#crypto isakmp policy 10
R2(config-isakmp)#authentication pre-share
R2(config)#crypto isakmp key cisco address 10.1.10.1
R2(config)#crypto isakmp key cisco address 10.1.20.3
R2(config)#crypto isakmp key cisco address 10.1.20.4
R2(config)#crypto isakmp key cisco address 10.1.30.5
R2(config)#ip access-ist extended getvpn
R2(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255
R2(config)#ip access-ist extended multirekey
R2(config-ext-nacl)#permit udp host 10.1.10.2 eq 848 host 239.1.1.1 eq 848
R2(config)#crypto ipsec transform-set tran esp-des esp-md5-hmac
R2(config)#crypto ipsec profile ipsecprofile
R2(ipsec-profile)#set transform-set tran
R2(config)#crypto gdoi group getvpn
R2(config-gdoi-group)#identity number 888
R2(config-gdoi-group)#server local
R2(config-gdoi-group)#address ipv4 10.1.10.2
R2(gdoi-local-server)#rekey authentication mypubkey rsa getvpnkey
R2(gdoi-local-server)#rekey algorithm aes 128
R2(gdoi-local-server)#rekey address ipv4 multirekey
R2(gdoi-local-server)#sa ipsec 1
R2(gdoi-sa-ipsec)#match address ipv4 getvpn
R2(gdoi-sa-ipsec)#address ipv4 10.1.10.2
R2(gdoi-sa-ipsec)#profile ipsecprofile
R2(gdoi-sa-ipsec)#replay time window-size 5
GM
R1(config)#crypto isakmp key cisco address 10.1.10.2
R3(config)#crypto isakmp key cisco address 10.1.10.2
R4(config)#crypto isakmp key cisco address 10.1.10.2
R5(config)#crypto isakmp key cisco address 10.1.10.2
协作
R1(config)#crypto key export rsa getvpnkey pem terminal 3des yeslabccies //导出密钥
R1(config)#crypto key move rsa getvpnkey non-exportable //关闭导出功能
R2(config)#crypto key import rsa getvpnkey terminal yeslabccies //导入密钥(先公钥后私钥)
R1(config)#crypto gdoi group getvpn
R1(config-gdoi-group)#server local
R1(gdoi-local-server)#redundancy
R1(gdoi-coop-ks-config)#peer address ipv4 10.1.10.2
R1(gdoi-coop-ks-config)#local priority 100
R2(config)#crypto gdoi group getvpn
R2(config-gdoi-group)#server local
R2(gdoi-local-server)#redundancy
R2(gdoi-coop-ks-config)#peer address ipv4 10.1.10.1
R1#show crypto gdoi ks coop //查看协作进度
9.8.单播GETVPN在VRF环境中的应用
路由问题
R5(config)#ip vrf yeslab
R5(config)#inter f0/1
R5(config-if)#ip add 56.1.1.5 255.255.255.0
R5(config-if)#ip vrf forwarding yeslab
R5(config-if)#no shutdown
R5(config)#ip route 56.1.1.0 255.255.255.0 fastEthernet 0/1
R5(config)#router ospf 1
R5(config-router)#redistribute static subnets
R5(config)#ip route vrf yeslab 10.1.10.0 255.255.255.0 10.1.30.20 global
配置GDOI
R1(config)#crypto isakmp key cisco address 56.1.1.5
R5(config)#crypto isakmp policy 10
R5(config-isakmp)#authentication pre-share
R5(config)#crypto keyring yeslabkey vrf
R5(conf-keyring)#pre-shared-key address 10.1.10.1 key cisco
R5(config)#interface f0/0
R5(config-if)#no crypto map getmap
R5(config)#no crypto gdoi group getmap
R5(config)#crypto gdoi group vrfgroup
R5(config-gdoi-group)#identity number 888
R5(config-gdoi-group)#server address ipv4 10.1.10.1
R5(config)#crypto map getmap 10 gdoi
R5(config-crypto-map)#set group vrfgroup
R5(config)#interface f0/1
R5(config-if)#crypto map getmap
10.EzVPN
10.1.Easy VPN介绍
1.Easy VPN也叫做EzVPN,是Cisco为远程用户,分支Office提供的一种Remote Access VPN解决方案。(统一的框架)
2.EZVPN提供了中心的VPN管理,动态的策略分发,降低了Remote Access VPN部署的复杂性,并且增加了扩展和灵活性。
3.Easy VPN是Cisco私有技术,只能应用在Cisco设备之间。
4.Easy VPN适用于中心站点固定地址,客户端动态地址的环境(小超市,服装专卖店,或者彩票点)
5.Easy VPN在中心站点配置安全策略,并且当客户连接的时候推送给客户,降低了分支站点的管理负担。
EzVPN硬件客户端的三种操作模式
A.Client Mode(also known as PAT mode):
客户获取地址,并且转换身后网络到这个地址访问中心站点,只能客户访问中心,中心无法访问客户网络
B.Network Extension Mode:
客户不获取地址,客户使用真实的网络访问中心站点,客户和中心网络都能相互访问
C.Network Extension Plus+ Mode:
类似于Network Extension Mode,只是客户会获取一个用于网管目的的IP地址
10.2.Easy VPN IKE Phase1
Phase 1两种认证方式:
1.Preshared key(AM)
使用Cisco私有的Group+Key认证方式,提供设备级的认证
2.digital certificate(MM)
Easy VPN IKE Phase1策略问题
Cisco Easy VPN为了提高客户的易用性,客户端无须配置策略。无须配置策略不等于客户端没有策略,而是客户端(software/Hardware Client)已经内建了很多策略。这些策略会在IKE Phase 1全部推送给服务器端,由服务器来选择适当的策略。
注意:由于预共享密钥认证的EzVPN采用的是AM模式,所以DH的策略需要预先统一,Cisco的EZVPN如果采用预共享密钥认证,DH Group必须被配置为Group2。
下面是推荐的Easy VPN IKE P1策略
1.Pre + G2 + MD5 + Des
2.Pre +G2 + SHA + 3des
10.3.Easy VPN IKE Phase 1.5
1.XAUTH(Extended Authentication)
a.用户认证(增强AM的安全性)
b.引入AAA技术
2.MODE-CFG(Mode Configuration)
为客户推送配置信息(IP地址,DNS服务器地址,域名……)
10.4.Easy VPN IKE Phase 2
Easy VPN IKE Phase 2为QM模式,客户端依然无须配置任何策略,这些策略也是客户端内建的,一般采用esp-des esp-md5-hmac或者esp-3des esp-md5-hamc都是没有问题的
10.5.Easy VPN实验拓扑(软件客户端)
配置Phase1:Policy
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 2 //client预设
R1(config-isakmp)#hash md5
R1(config)#crypto isakmp client configuration group lockegroup
R1(config-isakmp-group)#key cisco
配置Phase1.5:XAUTH
R1(config)#aaa new-model
R1(config)#aaa authentication login no3a line none
R1(config)#line con 0
R1(config-line)#login authentication no3a
R1(config)#aaa authentication login ezvpnauthe local
R1(config)#username locke password cisco
配置Phase2:MODE-CFG
R1(config)#aaa authorization network ezvpnautho local
R1(config)# ip local pool ezpool 100.1.1.100 100.1.1.200
R1(config)#crypto isakmp client configuration group lockegroup
R1(config-isakmp-group)#pool ezpool
配置Crypto map
R1(config)#crypto ipsec transform-set tran esp-des esp-md5-hmac
R1(config)#crypto dynamic-map ezdymap 10
R1(config-crypto-map)#set transform-set tran
R1(config)#crypto map mymap client configuration address respond //client授权方式
R1(config)#crypto map mymap client authentication list ezvpnauthe //client网络配置方式
R1(config)#crypto map mymap isakmp authorization 1ist ezvpnautho
R1(config)#crypto map mymap 10 ipsec-isakmp dynamic ezdymap
R1(config)#inter f0/0
R1(config-if)#crypto map mymap
windows:ping 1.1.1.1
R1#show crypto session
R1#show crypto engine connections active
10.6.传统EzVPN与L2LVPN混合配置
R3(config)#ip access-list extended vpn
R3(config-ext-nacl)#permit ip host 3.3.3.3 host 1.1.1.1
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#group 2
R3(config-isakmp)#hash md5
R3(config)#crypto isakmp key 0 cisco address 12.1.1.1
R3(config)#crypto ipsec transform-set tran esp-des esp-md5-hmac
R3(config)#crypto map mymap 10 ipsec-isakmp
R3(config-crypto-map)#match address vpn
R3(config-crypto-map)#set transform-set tran
R3(config-crypto-map)#set peer 12.1.1.1
R3(config)#inter f0/1
R3(config-if)#crypto map mymap
R1(config)#crypto isakmp key cisco address 23.1.1.3 no-xauth
R1(config)#ip access-list extended vpn
R1(config-ext-nacl)#permit ip host 1.1.1.1 host 3.3.3.3
R1(config)#crypto map mymap 1 ipsec-isakmp
R1(config-crypto-map)#match address vpn
R1(config-crypto-map)#set transform-set tran
R1(config-crypto-map)#set peer 23.1.1.3
10.7.ISAKMP profile技术
ISAKMP Profiles技术普遍应用于一个设备和不同站点配置多个IPSec隧道,并且每个站点需要不同第一阶段策略的场合
使用“match identity”来匹配远端设备,可以使用EZVPN的“VPN Client Group name“,”对端IP地址“,”FQDN“等等条件来匹配。在ISAKMP Profile里能够配置参数到每一个Profile,这些参数有”Trust Points“,”Peer identities“,”XAUTH AAA list“和”keepalive“。
L2L
R1(config)#no crypto isakmp key cisco address 23.1.1.3 no-xauth
R1(config)#crypto keyring l2lkey
R1(conf-keyring)#pre-shared-key address 23.1.1.3 key cisco
R1(config)#crypto isakmp profile r3profile
R1(conf-isa-prof)#match identity address 23.1.1.3
R1(conf-isa-prof)#keyring l2lkey
R1(config-crypto-map)#set isakmp-profile r3profile
Remote-access
R1(config)#no crypto map mymap client configuration address respond
R1(config)#no crypto map mymap client authentication list ezvpnauthe
R1(config)#no crypto map mymap isakmp authorization 1ist ezvpnautho
R1(config)#crypto isakmp profile pcclient
R1(conf-isa-prof)#match identity group lockegroup
R1(conf-isa-prof)#isakmp authorization list ezvpnautho
R1(conf-isa-prof)#client authentication list ezvpnauthe
R1(conf-isa-prof)#client configuration address respond
R1(config)#crypto dynamic-map ezdymap 10
R1(config-crypto-map)#set isakmp-profile pcclient
R1#clear crypto isakmp
R1#clear crypto sa
10.8.EzVPN经典特性
R1(config)#ip access-list extended split
R1(config-ext-nacl)#permit ip host 1.1.1.1 any
R1(config)#crypto isakmp client configuration group lockegroup
R1(config-isakmp-group)#acl split //可以与网关前设备通讯
R1(config-isakmp-group)#save-password //允许保存密码
R1(config-isakmp-group)#backup-gateway yeslab1.net //备用网关
R1(config-isakmp-group)#split-dns //推送VPN内部的DNS
10.9.EzVPN硬件客户端
重置R3
R1(config)#no crypto map mymap 1
R1(config)#no crypto isakmp profile r3profile
R1#clear crypto isakmp
R1#clear crypto sa
R3(config)#crypto ipsec client ezvpn ezclient
R3(config-crypto-ezvpn)#peer 12.1.1.1
R3(config-crypto-ezvpn)#group lockegroup key cisco
R3(config-crypto-ezvpn)mode client
R3(config-crypto-ezvpn)#connect manual
R3(config)#inter f0/1
R3(config-if)#crypto ipsec client ezvpn ezclient outside
R3(config)#interface lo0
R3(config-if)#crypto ipsec client ezvpn ezclient inside
R3#crypto ipsec client ezvpn connect
R3#crypto ipsec client ezvpn xauth
R3#ping 1.1.1.1 source lo0
R3#show crypto engine connections active
R3#show ip nat translations
如果VPN允许记住密码可以使用connect auto;username xx password xx
10.10.EzVPN DVTI技术
替代传统的Dynamicmap配置
支持加密单播与组播
支持QoS,FW,NetFlow,ACL,NAT和VRF技术
支持RADIUS服务器推送基于用户和组的策略
Clone(克隆)virtual template配置,动态创建virtual access interfaces
R1(config)#crypto isakmp profile pcclient
R1(conf-isa-prof)#virtual-template 100
R1(config)#crypto ipsec profile ezprofile
R1(ipsec-profile)#set transform-set tran
R1(ipsec-profile)#set isakmp-profile pcclient
R1(config)#interface virtual-template 100 type tunnel
R1(config-if)#ip unnumbered f0/0
R1(config-if)#tunnel source f0/0
R1(config-if)#tunnel mode ipsec ipv4
R1(config-if) #tunnel protection ipsec profile ezprofile
R3(config)#inter f0/1
R3(config-if)#no crypto ipsec client ezvpn ezclient outside
R3(config)#inter lo0
R3(config-if)#no crypto ipsec client ezvpn ezclient inside
R3(config)#interface virtual-template 101 type tunnel
R3(config-if)#ip unnumbered f0/1
R3(config)#crypto ipsec client ezvpn ezclient
R3(config-crypto-ezvpn)#virtual-interface 101
R3(config)#inter f0/1
R3(config-if)#crypto ipsec client ezvpn ezclient outside
R3(config)#inter lo0
R3(config-if)#crypto ipsec client ezvpn ezclient inside
R3#show crypto ipsec client ezvpn
动态路由
R1(config-if)#inter f0/0
R1(config-if)#shutdown
R1#clear crypto isakmp
R1#clear crypto sa
R1(config)#interface virtual-template 100
R1(config-if)#ip ospf 2 area 0
R1(config-if)#ip mtu 1400
R3#clear crypto ipsec client ezvpn
R3(config)#interface virtual-template 101
R3(config-if)#ip ospf 2 area 0
R3(config-if)#ip mtu 1400
R1(config-if)#inter f0/0
R1(config-if)#no shutdown
R1#show ip ospf interface virtual-template 100
R3#show ip ospf interface virtual-template 101
10.11.EzVPN Radius授权
定义Radius服务器
R1(config)#radius-server host 192.168.101.53 key cisco
Network-Resources——Network Devices and AAA Clients 添加设备
Users and Identity Stores——Internal Identity Stores——Users 添加用户
R1#test aaa group radius cisco cisco new-code
修改配置
R1(config)#no aaa authentication login ezvpnauthe local
R1(config)#no aaa authorization network ezvpnautho local
R1(config)#no username locke
R1(config)#no crypto isakmp client configuration group lockegroup
R1(config)#aaa authentication login ezvpnauthe group radius
R1(config)#aaa authorization network ezvpnautho group radius
配置ACS
Users and Identity Stores——Internal Identity Stores——Users——新建用户lockegroup:cisco
Users and Identity Stores——Authorization and Permissions——Authorization Profiles
Policy Elements——Access Services——Default Network Access——Authorization
Users and Identity Stores——Internal Identity Stores——Users——新建用户locke:cisco
测试
R3(config)#crypto ipsec client ezvpn ezclient
R3(config-crypto-ezvpn)#group lockegroup key yeslabccies
R3(config-crypto-ezvpn)#no username Tocke password cisco
R3#clear crypto ipsec client ezvpn
R3#crypto ipsec client ezvpn xauth
R1#show crypto session
其他配置
Split Tunnel
Save-password
Backup-gateway
Framed-IP:固定IP
10.12.IKEv2 Client to Server DVTI
R1(config)#int lo0
R1(config-if)#ip add 1.1.1.1 255.255.25.255
R1(config-if)#no shutdown
R1(config)#int f0/0
R1(config-if)#ip add 12.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R2(config)#int lo0
R2(config-if)#ip add 2.2.2.2 255.255.25.255
R2(config-if)#no shutdown
R2(config)#int f0/0
R2(config-if)#ip add 12.1.1.2 255.255.255.0
R2(config-if)#no shutdown
Server
AAA配置
R1(config)#aaa new-model
R1(config)#aaa authentication login no3a line none
R1(config)#line con0
R1(config-line)#login authentication no3a
授权参数配置
R1(config)#aaa authorization network ikev2autho local
R1(config)#ip access-list standard vpn
R1(config-std-nacl)#permit host 1.1.1.1
R1(config)#crypto ikev2 authorization policy static
R1(config-ikev2-author-policy)#route set access-list vpn
Keyring配置
R1(config)#crypto ikev2 keyring ikev2key
R1(config-ikev2-keyring)#peer r2
R1(config-ikev2-keyring-peer)#address 12.1.1.2
R1(config-ikev2-keyring-peer)#pre-shared-key local cisco
R1(config-ikev2-keyring-peer)#pre-shared-key remote cisco
第一阶段Profile
R1(config)#crypto ikev2 profile ikev2profile
R1(config-ikev2-profile)#match identity remote address 12.1.1.2
R1(config-ikev2-profile)#identity local address 12.1.1.1
R1(config-ikev2-profile)#authentication local pre-share
R1(config-ikev2-profile) #authentication remote pre-share
R1(config-ikev2-profile)#keyring local ikev2key
R1(config-ikev2-profile)#aaa authorization group psk list ikev2autho static
R1(config-ikev2-profile)#virtual-template 100
第二阶段Profile
R1(config)#crypto ipsec profile ipsecprofile
R1(ipsec-profile)#set ikev2-profile ikev2profile
Virtual-Template配置
R1(config)#interface virtual-template 100 type tunnel
R1(config-if)#ip unnumbered f0/0
R1(config-if)#tunnel protection ipsec profile ipsecprofile
Client
R2(config)#aaa new-model
R2(config)#aaa authentication login no3a line none
R2(config)#line con0
R2(config-line)#login authentication no3a
R2(config)#aaa authorization network ikev2autho local
R2(config)#ip access-list standard vpn
R2(config-std-nacl)#permit host 2.2.2.2
R2(config)#crypto ikev2 authorization policy static
R2(config-ikev2-author-policy)#route set access-list vpn
R2(config)#crypto ikev2 keyring ikev2key
R2(config-ikev2-keyring)#peer R2
R2(config-ikev2-keyring-peer)#address 12.1.1.1
R2(config-ikev2-keyring-peer)#pre-shared-key local cisco
R2(config-ikev2-keyring-peer)#pre-shared-key remote cisco
R2(config)#crypto ikev2 profile ikev2profile
R2(config-ikev2-profile)#match identity remote address 12.1.1.1
R2(config-ikev2-profile)#identity local address 12.1.1.2
R2(config-ikev2-profile)#authentication local pre-share
R2(config-ikev2-profile) #authentication remote pre-share
R2(config-ikev2-profile)#keyring local ikev2key
R2(config-ikev2-profile)#aaa authorization group psk list ikev2autho static
R2(config)#crypto ipsec profile ipsecprofile
R2(ipsec-profile)#set ikev2-profile ikev2profile
R2(config)#interface tunnel o
R2(config-if)#ip unnumbered f0/0
R2 (config-if)#tunnel source f0/0
R2(config-if)#tunnel destination dynamic
R2(config-if)#tunnel protection ipsec profile ipsecprofile
R2(config)#cryptoikev2 client flexvpn lockeclient
R2(confiq-ikev2-flexvpn)#peer 1 12.1.1.1
R2(config-ikev2-flexvpn)#client connect tunnel 0
R2(config-ikev2-flexvpn)#connect manual
R2#crypto ikev2 client flexvpn connect
R2#show crypto ikev2 client flexvpn
动态路由协议
R2#clear crypto ikev2 client flexvpn
R1(config)#interface virtual-template 100
R1(config-if)#ip mtu 1400
R1(config-if)#ip ospf 1 area
R2(config)#interface tunnel 0
R2(config-if)#ip mtu 1400
R2(config-if)#ip ospf 1 area 0
R2#crypto ikev2 client flexvpn connect
R1(config)#inter lo1
R1(config-if)#ip add 1.1.1.12 255.255.255.255
R1(config-if)#ip ospf 1 area 0
R2(config)#inter lo1
R2(config-if)#ip add 2.2.2.22 255.255.255.255
R2(config-if)#ip ospf 1 area 0
R2(config)#ping 1.1.1.12 source lo1
R2#show crypto engine connections active
11.ASA策略拓扑
11.1.Tunnel Group
L2L
tunnel-group <对端加密点地址> type ipsec-l2l
tunnel-group <对端加密点地址>ipsec-attributes
ikev1 pre-shared-key 123cisco123
当一个L2L VPN(MM)抵达ASA,ASA通过这次请求的源IP地址(对端加密点地址),来查询本地的Tunnel group,如果找点一个对应的tunnelgroup就是用相应的pre-shared-key对这次VPN进行认证。
EzVPN
ip local pool ippool 123.1.1.100-123.1.1.200
tunnel-group ipsecgroup type remote-access
tunnel-group ipsecgroup general-attributes
address-pool ippool
tunnel-group ipsecgroup ipsec-attributes
ikev1 pre-shared-key 123cisco123
SSLVPN
1.Tunnel group为“DefaultWEBVPNGroup”
2.如果启用“tunnel-group-list enable
3.如果启用“group-url”
11.2.EzVPN策略
ASA(config)#ip local pool asapool 100.1.1.1-100.1.1.120
ASA(config)#tunnel-group lockegroup type remote-access
ASA(config)#tunnel-group lockegroup general-attributes
ASA(config)#tunnel-group lockegroup ipsec-attributes
ASA(config-tunnel-ipsec)#ikevi pre-shared-key cisco
ASA(config)#username locke password cisco
ASA(config)#crypto ikev1 enable outside
ASA(config)#crypto ikev1 policy 10
ASA(config-ikev1-policv)#authentication pre-share
ASA(config-ikev1-policy)#hash md 5
ASA(config-ikev1-policy)#encryption 3des
ASA(config)#crypto ipsec ikev1 transform-set tran esp-des esp-md5-hmad
ASA(config)#crypto dynamic-map dymap 10 set ikev1 transform-set tran
ASA(config)#crypto map lockemap 10 ipsec-isakmp dynamic dymap
ASA(config)#crypto lockemap interface outside
windows:ping 10.1.10.1
① Username Attributes
ASA(config)#username locke attributes
ASA(contig-username)#password-storage enable
② User Group-Policy
ASA(config#access-list split permit ip 10.1.10.0 255. 255.255.0 any
ASA(config)#group-policy forlocke internal
ASA(config-group-policy)#split-tunnel-policy tunnelspecified
ASA(config-group-policy)#split-tunnel-network-list value split
ASA(config)#username locke attributes
ASA(contig-username)#vpn-group-policy forlocke
③ Default Group Policy
ASA(config)#group-policy forlockegroup internal
ASA(config)#group-policy forlockegroup attributes
ASA(config-group-policy)#banner value welcometoyeslab
ASA(contig)#tunnel-group lockegroup general-attributes
ASA(config-tunnel-general)#default-group-policy for lockegroup
④ DfltGrpPolicy
ASA(config)#group-policy DfltGrpPolicy attributes
ASA(config-group-policy)#backup-servers yeslab.net
11.3.ASA (Static VS Dynamic)
ciscoasa(config)#interface GigabitEthernet0
ciscoasa(config-if)#nameif inside
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# ip address 10.1.10.162 255.255.255.0
ciscoasa(config-if)#no shutdown
ciscoasa(config)#interface GigabitEthernet1
ciscoasa(config-if)#nameif outside
ciscoasa(config-if)# security-level 0
ciscoasa(config-if)# ip address 10.1.20.162 255.255.255.0
ciscoasa(config-if)#no shutdown
R2(config)#inter lo0
R2(config-if)#ip add 2.2.2.2 255.255.255.255
R2(config-if)#no shutdown
R2(config)#inter f0/0
R2(config-if)#ip add 10.1.20.111 255.255.255.0
R2(config-if)#no shutdown
ciscoasa(contig)#route outside 2.2.2.2 255.255.255.255
R2(config)#ip route 0.0.0.0 0.0.0.0 10.1.20.162
R2(config)#crypto isakmp policy 10
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#group 2
R2(config-isakmp)#encryption 3des
R2(config-isakmp)#hash md5
R2(config)#crypto isakmp key cisco address 10.1.20.162
R2(config)#crypto ipsec transform-set tran esp-des esp-md5-hmac
R2(config)#ip access-list extended vpn
R2(config-ext-nacl)#permit ip host 2.2.2.2 10.1.10.0 0.0.0.255
R2(config)#crypto map mymap 10 ipsec-isakmp
R2(config-crypto-map)#match address vpn
R2(config-crypto-map)#set peer 10.1.20.162
R2(config-crypto-map)#set transform-set tran
R2(config)#inter f0/0
R2(config-if)#crypto map mymap
ciscoasa(config)#tunnel-group DefaultL2LGroup ipsec-attributes
ciscoasa(config-tunne1-ipsec)#ikev1 pre-shared-key cisco
R2#ping 10.1.10.1 source lo0
R2#show crypto engine connections active
11.4.ASA L2TP Over IPSec
ciscoasa(config)#clear config all
ciscoasa(config)#interface GigabitEthernet0
ciscoasa(config-if)#nameif inside
ciscoasa(config-if)#security-level 100
ciscoasa(config-if)#ip address 10.1.10.162 255.255.255.0
ciscoasa(config-if)#no shutdown
ciscoasa(config)#interface GigabitEthernet1
ciscoasa(config-if)#nameif outside
ciscoasa(config-if)#security-level 0
ciscoasa(config-if)#ip address 10.1.20.162 255.255.255.0
ciscoasa(config-if)#no shutdown
ciscoasa(config)#tunnel-group DefaultRAGroup ipsec-attributes
ciscoasa(config-tunnel-ipsec)#ikev1 pre-shared-key cisco
ciscoasa(config)#tunnel-group DefaultRAGroup ppp-attributes
ciscoasa(config-ppp)#authentication ms-chap-v2
ciscoasa(config)#ip local pool asapool 100.1.1.100-100.1.1.12
ciscoasa(config)#tunnel-group DefaultRAGroup general-attributes
ciscoasa(config-tunnel-general)#address-pool asapool
ciscoasa(config)#username l2tpuser password cisco mschap
ciscoasa(config)#crypto ipsec ikev1 transform-set cisco esp-3des esp-sha-hmac
ciscoasa(config)#crypto ipsec ikev1 transform-set cisco mode transport
ciscoasa(config)#crypto dynamic-map cisco 10 set ikev1 transform-set cisco
ciscoasa(config)#crypto map cisco 10 ipsec-isakmp dynamic cisco
ciscoasa(config)#crypto map cisco interface Outside
ciscoasa(config)#crypto isakmp identity address
ciscoasa(config)#crypto ikev1 enable outside
ciscoasa(config)#crypto ikev1 policy 10
ciscoasa(config-ikev1-policy)#authentication pre-share
ciscoasa(config-ikev1-policy)#encryption 3des
ciscoasa(config-ikev1-policy)#hash sha
ciscoasa(config-ikev1-policy)#group 2
windows:ping 10.1.10.1
12.SSLVPN
12.1.SSL技术介绍
12.1.1.SSL和TLS
安全套接层俗称Secure Socket Layer(SSL)是由Netscape Communication于1990年开发,用于保障Word Wide Web(WWW)通讯的安全。主要任务是提供私密性,信息完整性和身份认证。1994年改版为SSLV2,1995年改版为SSLv3。
Transport Layer Security(TLS)标准协议由IETF于1999年颁布,整体来说TLS非常类似与SSLv3,只是对SSLv3做了些增加和修改。
12.1.2.SSL协议介绍
SSL是一个不依赖于平台和应用程序的协议,用于保障TCP-based运用安全,SSL在TCP层和应用层之间,就像应用层连接到TCP连接的一个插口。
12.1.3.SSL建立的两大阶段
第一阶段:Handshake phase(握手阶段)
A.协商加密算法
B.认证服务器
C.建立用于加密和MAC(Message Authentication Code)用的密钥(类似于IPSec VPN ISAKMP的作用)
第二阶段:Secure data transfer phase(安全的数据传输阶段)
在已经建立的SSL连接里安全的传输数据(类似于IPSec VPN ESP的作用)
12.1.4.SSL三大协议
1.Record protocol
记录协议是主要的封装协议,它传输不同的高层协议和运用层数据。它从上层用户协议获取信息并且传输,执行需要的任务,例如:分片,压缩,运用MAC和加密,并且传输最终数据。它也执行反向行为,解密,确认,解压缩和重组装来获取数据。记录协议包括四个上层客户协议,Handshake(握手)协议,Alert(告警)协议,Change Cipher Spec(修改密钥说明)协议,Application Data(运用层数据)协议。
2.Handshake protocols
握手协议负责建立和维护SSL会话。它由三个子协议组成
A.Handshake Protocol(握手协议)协商SSL会话的安全参数。
B.Alert Protocol(告警协议)一个事务管理协议,用于SSL对等体间传递告警信息。告警信息包括,1.errors(错误),2.exception conditions(异常状况)例如:错误的MAC或者解密失败,3.notification(通告)例如:会话终止。
C.Change Cipher Spec Protocol(修改密钥说明)协议,用于在后续记录中通告密钥策略转换。
3.Application Data protocol
运用程序数据协议处理上层运用程序数据的传输。
12.1.5.Handshake protocols四大任务
Handshake protocols(握手协议)用于建立SSL客户和服务器之间的连接,这个过程由如下这几个主要任务组成:
1.Negotiate security capabilities(协商安全能力):处理协议版本和加密算法。
2.Authentication(认证):客户认证服务器,当然服务器也可以认证客户。
3.Key exchange(密钥交换):双方交换用于产生masterkeys(主密钥)的密钥或信息。
4.Key derivation(密钥引出):双方引出master secret(主秘密),这个主秘密用于产生用于数据加密和MAC的密钥。
12.1.6.DTLS介绍
受限于SSL/TLS的原因是TLS就像TCP一样需要一个可靠的数据信道,TLS提供了可靠的,顺序的传输还有流控技术。它不适合对数据报提供安全防护.SSLVPN可以封装UDP运用,并且在建立于TCP之上的TLS连接里传输。但是这样做的效率非常差,特别是SSLVPN处理实时运用的时候。
我们可以考虑这样的情况,当我们在互联网上传输VolP流量,这些流量可能会出现失序,丢包和拥塞。但是如果VolP使用SSL传输,因为TCP的原因它回去尝试重传丢失的数据报,或者在丢包严重的时候运用流控技术。这些行为都会为VolP流量极大的增加延时和抖动,让用户体验变得很差。
Eric Rescorla和Nagendra Modadugu设计了datagram TLS(DTLS)来解决上述问题,这个技术使用UDP来传输TLS。
12.2.SSLVPN技术介绍
12.2.1.SSLVPN特点
1.不需要预先安装客户端软件。
2.使用标准的网页浏览器建立远程VPN连接。
3.使用浏览器拥有的SSL安全技术提供数据私密性,完整性校验和源认证。
4.提供细致的访问控制。
5.客户端运用程序可以通过多种方式动态的下载,例如:连接时在线下载,通过java,activex或者exe文件分发。
6.为连接互联网的系统灵活的建立VPN连接,不管这个系统是否被公司管理。
7.能轻松的穿越防火墙和网络。
12.2.2.SSLVPN和其它VPN比较
12.2.3.SSLVPN和IPSec VPN比较
12.2.4.Clientless Mode(Layer 7)
无客户端模式(7层技术):无客户端模式提供了安全的web资源访问和基于web内容访问,例如:互联网访问,数据库和在线的基于web的工具。无客户端模式使用(CIFS)提供远程文件共享。无客户端模式受限于web-based的内容。
(主要支持HTTP和CIFS(文件共享)运用)
12.2.5.Thin Client Mode(Layer 7)
瘦客户端(7层技术)(也叫做port forwarding):瘦客户端提供TCP服务的远程访问,例如:POP3,SMTP,IMAP,Telnet和SSH运用。瘦客户端是在SSLVPN会话建立的时候通过java程序的方式动态下载的。这种模式增强了网页游览器的加密功能。
(PF支持所有单一信道,客户服务器模型的TCP运用)
12.2.6.Thick Client Mode(Layer 3)
厚客户端(3层技术)(也叫tunnel mode或者full tunnel client):厚客户端模式提供了广大的运用程序支持(毕竟是提供了IP可达),厚客户端软件SVC软件或者Cisco anyconnect VPN软件在VPN服务器上动态下载。
这种模式提供了轻量级的,中心管理并且轻松管理的SSLVPN隧道软件,实现了三层的完整访问支持任何运用。
(支持所有IP协议)
12.3.ASA配置SSLVPN实验
12.3.1.Clientless Mode
Inside服务器配置
R1(config)#ip http server
R1(config)#ip http secure-server
R1(config)#ip http authentication local
R1(config)#username locke privilege 15 password cisco
R1(config)#line vty 0 15
R1(config-line)#login local
ASDM配置
ASA(config)#http server enable 500 //避免冲突修改端口号
ASA(config)# http 0 0 outside
ASA(config)#aaa authentication http console LOCAL
ASA(config)#username admin password cisco privilege 15
ASA SSLVPN配置
ASA(config)#webvpn
ASA(config-webvpn)#enable outside
ASA(config)#username locke password cisco
Client
IE https://10.1.20.162 SSLVPN登录
SSLVPN http://192.168.101.161 登录R1
SSLVPN ftp://192.168.101.17 登录FTP
配置Bookmarks
ASDM:Configuration——Remote Access VPN——Clientless SSL VPN Access——Portal——Bookmarks
ASDM:Configuration——Remote Access VPN——Clientless SSL VPN Access——Group Policies
ASDM:Configuration——Device Management——Users/AAA——User Accounts
Java plugin技术:通过java插件扩展支持的协议
ASA(config)#import webvpn plug-in protocol rdp2 flash:/rdp2-plugin. 090211. jar
12.3.2.Thin Client Mode
A.Port-forwarding(基于端口)
ASA(config)#webvpn
ASA(config-webvpn)#port-forward locketelnet 8888 192.168.101.161 telnet
ASA(config)#group-policy lockgrouppolicy attributes
ASA(config-group-policy)#webvpn
ASA(config-group-webvpn)#port-forward enable locketelnet
IE https://10.1.20.162 SSLVPN登录——Application Access——本地telnet
B.Smart Tunnel(基于应用)
ASA(config)#webvpn
ASA(config-webvpn)#smart-tunnel list lockesmarttunnel telnet telnet. exe
ASA(config-webvpn)#smart-tunnel list lockesmarttunnel remotedesk mstsc. exe
ASA(config)#group-policy lockgrouppolicy attributes
ASA(config-group-policy)#webvpn
ASA(config-group-webvpn)#smart-tunnel enable lockesmarttunnel
windows:cmd——telnet 192.168.101.161
windows:mstsc——192.168.101.17
ASA(config)#show vpn-sessiondb webvpn
12.3.3.Thick Client Mode
ASA(config)#webvpn
ASA(config-webvpn)#anyconnect image flash:/anyconnect-win-3.0.0629-k9.pkg
ASA(config-webvpn)#anyconnect enable
ASA(config)#ip local pool sslpool 123.1.1.100-123.1.1. 200
ASA(config)#group-policy lockgrouppolicy attributes
ASA(config-group-policy)#vpn-tunnel-protocol ssl-client ssl-clientles
ASA(config-group-policy)#address-pools value sslpool
IE https://10.1.20.162 SSLVPN登录——安装anyconnect
ASA(config)#access-list split permit ip 192.168.101.0 255.255.255.0 any
ASA(config)#group-policy lockgrouppolicy attributes
ASA(config-group-policy)#split-tunnel-policy tunnelspecified
ASA(config-group-policy)#split-tunnel-network-list value split
AnyConnect——10.1.20.162(locke:cisco)
12.3.4.RADIUS授权综合实验
user1(group1)——clientless
user2(group2)——thin client
user3(group3)——thick client
ASA(config)#aaa-server 3aradius protocol radius
ASA(config)#aaa-server 3aradius (inside) host 192.168.101.53
ASA(config)#key cisco
ACS:添加ASA设备;新建三个组和用户user123(group123)
ASA(config)#test aaa authentication 3aradius username user1 password cisco
ASA(config)#tunnel-group DefaultWEBVPNGroup general-attribute
ASA(config-tunnel-general)#authentication-server-group 3aradius
ASA(config)#group-policy gp1 internal
ASA(config)#group-policy gp1 attributes
ASA(config-group-policy)#webvpn
ASA(config-group-webvpn)#url-list value lockebookmark
ASA(config)#group-policy gp2 internal
ASA(config)#group-policy gp2 attributes
ASA(config-group-policy)#webvpn
ASA(config-group-webvpn)#port-forward enable locketelnet
ASA(config-group-webvpn)# smart-tunnel enable lockesmarttunnel
ASA(config)#group-policy gp3 internal
ASA(config)#group-policy gp3 attributes
ASA(config-group-policy)#vpn-tunnel-protocol ssl-client ssl-clientless
ASA(config-group-policy)#split-tunnel-policy tunnelspecified
ASA(config-group-policy)#split-tunnel-network-list value split
ASA(config-group-policy)#address-pools value sslpool
ACS:Policy Elements——Authorization and Permissions——Network Access——Authorization Profiles 创建三个profile
ACS:Access Policies——Access Services——Default Network Access——Authorization 创建三个关联
IE https://10.1.20.162 SSLVPN登录测试
12.3.5.IKEv2的Anyconnect3.0
同步时间
asa(config)#clock timezone BeiJing +8
asa(config)#clock set 19:07:00 oct 24 2014
R1#clock timezone BeiJing +8
R1#clock set 19:07:00 oct 24 2014
PC设置时间
配置证书服务器
R1(config)#ip http server
R1(config)#ip domain name yeslab.net
R1(config)#crypto pki server yeslabca
R1(cs-server)#database level complete
R1(cs-server)#grant auto
R1(cs-server)#issuer-name cn=r1.yeslab.net, ou=yeslab
R1(cs-server)#no shutdown
R1#show crypto pki certificates
配置Trustpoint
asa(config)#domain-name yeslab.net
asa(config)#crypto key generate rsa label asakey modulus 1024 //生成非对称密钥
asa(config)#crypto ca trustpoint yeslabca
asa(config-ca-trustpoint)#enrollment url http://192.168.101.161
asa(config-ca-trustpoint)#fqdn asa.yeslab.net
asa(config-ca-trustpoint)#subject-name cn=asa.yeslab.net, ou=yeslab
asa(config-ca-trustpoint)#keypair asakey
申请证书
asa(config)#crypto ca authenticate yeslabca
asa(config)#crypto ca enroll yeslabca
asa(config)#ssl trust-point yeslabca
PC:https://10.1.20.162 设置信任证书(受信任的根证书颁发机构)
PC:C:\Windows\System32\drivers\ect\hosts >> 10.1.20.162 asa.yeslab.com
SSLVPN
asa(config)#webvpn
asa(config-webvpn)#anyconnect image flash:/anyconnect-win-3.0.0629-k9.pkg
asa(config-webvpn)#anyconnect enable
asa(config-webvpn)#enable outside
asa(config)#ip local pool ippoo1 123.1.1.100-123.1.1. 200
asa(config)#group-policy lockepolicy internal
asa(config)#group-policy lockepolicy attributes
asa(config-group-policy)#address-pools value ippool
asa(config-group-policy)#vpn-tunnel-protocol ikev2 ssl-client ssl-clientless
asa(config)#username locke password cisco
asa(config)#username locke attributes
asa(config-username)#vpn-group-policy lockepolicy
PC:IE https://asa.yeslab.net Anyconnect asa.yeslab.net locke:cisco
ASDM
asa(config)#http server enable 500
asa(config)#http 0 0 outside
asa(config)#aaa authentication http console LOCAL
asa(config)#username admin password cisco privilege 15
Configuration——Remote Access VPN——Network (Client) Access——AnyConnect Client Profile
Edit——Server List——add
IKEv2
asa(config)#crypto ikev2 enable outside client-services port 443
asa(config)#crypto ikev2 remote-access trustpoint yeslabca
asa(config)#crypto ikev2 policy 10
asa(config)#crypto ipsec ikev2 ipsec-proposal tran
asa(config)#crypto dynamic-map dymap 1000 set ikev2 ipsec-proposal tran
asa(config)#crypto map lockemap 1000 ipsec-isakmp dynamic dymap
asa(config)#crypto map lockemap interface outside
PC:IE https://asa.yeslab.net Anyconnect测试
12.4.SSLVPN高级特性
12.4.1.Portal页面优化
隐藏地址栏
asa(config)#group-policy lockepolicy attributes
asa(config-group-policy)#webvpn
asa(config-group-webvpn)#url-entry disable
asa(config-group-webvpn)#file-entry disable
图片书签
Remote access vpn——Clientless SSL VPN Access——Portal——bookmarks
Remote access vpn——Clientless SSL VPN Access——Group Policies
12.4.2.登陆时间、并发和超时时间
asa(config)#time-range onwork
asa(config-time-range)#periodic weekdays 09:00 to 18:00
asa(config)#group-policy lockepolicy attributes
asa(config-group-policy)#vpn-access-hours value onwork //登录时间
asa(config-group-policy)#vpn-simultaneous-logins 1 //并发连接
asa(config-group-policy)#vpn-idle-timeout 1 //闲置超时时间
asa(config-group-policy)#vpn-session-timeout 3 //绝对超时时间
12.4.3.通过授权ACL控制VPN流量
ACS监控
asa(config)#aaa-server 3aradius protocol radius
asa(config)#aaa-server 3aradius (inside) host 192.168.101.53 cisco
ACS:添加ASA设备——用户acslocke:cisco——
asa(config)#test aaa authentication 3aradius username acslocke password cisco
asa(config)#tunnel-group DefaultWEBVPNGroup general-attributes
asa(config-tunnel-general)#authentication-server-group 3aradius
asa(config-tunnel-general)#accounting-server-group 3aradius
ACS:Monitoring and Reports——Reports——Caralog——AAA Protocol
WebType ACL:只对L7的SSLVPN生效(clientless,thin client)
R1(config)#inter 1o0
R1(config-if)#ip add 1.1.1.1 255.255.255.255
asa(config)#route inside 1.1.1.1 255.255.255.255 192.168.101.161
asa(config)#access-list 7control webtype permit tcp host 1.1.1.1 eq 23
asa(config)#access-list 7control webtype permit tcp host 1.1.1.1 eq 80
asa(config)#group-policy DfltGrpPolicy attributes
asa(config-group-policy)#webvpn
asa(config-group-webvpn)#filter value 7control
网页端进行测试
asa(config)#show access-list
网络类型ACL:只对L3的SSLVPN生效(anyconnect)
asa(config)#access-list 3control permit tep any host 192.168.101.161 eq telnet
asa(config)#group-policy DfltGrpPolicy attributes
asa(config-group-policy)#vpn-filter value 3control
anyconnect软件进行测试
asa(config)#show access-list
Anyconnect Firewall-rule
asa(config)#access-list test1 deny icmp any host 1.1.1.1
asa(config)#access-list test1 permit ip any any
asa(config)#group-policy DfltGrpPolicy attributes
asa(config-group-policy)#webvpn
asa(config-group-webvpn)#anyconnect firewall-rule client-interface private value test1
PC:ping 1.1.1.1
定义
作用
命令
项目
CCIE Lab
- 综述:先底层连接,中间稍微做一些控制。然后做VPN,接着就是ISE的3A部分,最后特性部分。
- Task1.0主要讲的是基础架构,1.1-1.3关于ASA的,链路先互通。1.4是在链路中做安全(相当于道路的保安),NGIPS入侵防御系统,放EIGRP、HTTP流量,类似于进阶。(简单:连接互通,稍微安全)
- Task2.0是高层的控制。2.1是WCCP,2.2是WSA上网行为管理,FireAMP高级恶意软件防御。比较重要,不难。是多图形界面操作的。
- Task3.0是链路互通后,比较难。都是VPN。Task1.0是连接,连接后稍微部署安全。然后,在上层做VPN,再部署安全,Clientless SSL VPN、GETVPN、FLEXVPN。因为实际用的也比较多,所以也重要。
- Task4.0是相当重要,只要其中MAB或801.x没有实现,就挂定了。因为安全中vpn,防火墙,后就是3A,二层的安全技术,不能解决不了。
- Task5.0中主要是特性,起修饰作用,其中5.2最难wireless,简述AP注册上控制器,发ssip,连接上去可以ping通就ok。Syslog和NTP几条命令就可以解决。
技巧
命令用缩写,然后无限敲
task 5.3
1.clock timezone ccie -8
2/15/16:
clock timezone ccie -8
ntp authentication-key 12 md5 cisco--------
ntp authenticate---------------------
ntp trusted-key 12
ntp server 150.1.7.231 key 12-----------
17:clock timezone ccie -8task 1.1a
ASA1v:
int g0/0
no shut
int g0/1
no shut
int g0/2
no shut
int m0/0
no shutfail lan unit primary
fail lan int FO G0/2
fail link FO G0/2
fail int ip FO 10.10.11.1 255.255.255.0 sta 10.10.11.2--------
failASA11v:
int g0/2
no shut
fail lan unit secondary
fail lan int FO G0/2
fail link FO G0/2
fail int ip FO 10.10.11.1 255.255.255.0 sta 10.10.11.2
failASA1v:
int G0/0
nam outside
ip add 20.1.1.1 255.255.255.0 sta 20.1.1.2
int G0/1
name inside
ip add 10.1.11.1 255.255.255.0 sta 10.1.11.2
authentication key eigrp 12 cisco key-id 1-----------2后第二个接口要认证
authentication mode eigrp 12 md5
int M0/0
name mgmt
sec 100
ip addre 150.1.7.53 255.255.255.0 sta 150.1.7.54
rout eigrp 12
net 10.1.11.0 255.255.255.0task 1.1b:
ASA2v:
int g0/0
no shu
int g0/1
no shu
int g0/2
no shut
int g0/0-g0/2
no shu
int m0/0
no shu
fail lan unit primary
fail lan int FO G0/2
fail link FO G0/2
fail int ip FO 10.10.22.1 255.255.255.0 sta 10.10.22.2
failASA22v:
int g0/2
no shu
fail lan unit secondary
fail lan int FO G0/2
fail link FO G0/2
fail int ip FO 10.10.22.1 255.255.255.0 sta 10.10.22.2
failASA2v:
int g0/0
name outside
ip addr 20.1.2.1 255.255.255.0 sta 20.1.2.2
int g0/1
name inside
ip add 10.1.22.1 255.255.255.0 sta 10.1.22.2
auth key eigrp 12 cisco key-id 1
auth mode eigrp 12 md5
int m0/0
name mgmt
secu 100
ip addr 150.1.7.55 255.255.255.0 sta 150.1.7.56
rou eigrp 12
net 10.1.22.0 255.255.255.0task 1.2:
ASA1:
mode mul
del *.cfgint range g0/0-g0/4
no shu
int m0/0
no shu
int g0/0.1
vlan 2
int g0/0.2
vlan 3
int g0/1.1
vlan 4
int g0/1.2
vlan 5
int g0/2.1
vlan 6
int g0/2.2
vlan 7fail group 1
primary
preempt
fail group 2
secondary
preemptfail lan unit primary
fail lan int LAN g0/3
fail link STATE g0/4
fail int ip LAN 10.100.201.1 255.255.255.0 sta 10.100.201.2-----
fail int ip STATE 10.100.202.1 255.255.255.0 sta 10.100.202.2-----
failASA2:
mode mul
dele *.cfg
int g0/3
no shu
int g0/4
no shufail group 1
secondary
preempt
fail group 2
primary
preemptfail lan unit sec
fail lan int LAN g0/3
fail link STATE g0/4
fail int ip LAN 10.100.201.1 255.255.255.0 sta 10.100.201.2
fail int ip STATE 10.100.202.1 255.255.255.0 sta 10.100.202.2
failASA1:
admin-context admin
cont admin
allocate-int m0/0
config-url disk0:/admin.cfg
context c1
allocate-int g0/0.1 inside_c1
allocate-int g0/1.1 dmz_c1
allocate-int g0/2.1 outside_c1
config-url disk0:/c1.cfg
join-fail-group 1
context c2
allocate-int g0/0.2 inside_c2
allocate-int g0/1.2 dmz_c2
allocate-int g0/2.2 outside_c2
config-url disk0:/c2.cfg
join-fail-group 2ASA1:
chang cont admin
int m0/0
management-only
name management
sec 100
ip add 150.1.7.57 255.255.255.0 sta 150.1.7.58changeto cont c1
int inside_c1
name inside
ip addr 10.100.2.1 255.255.255.0 sta 10.100.2.2
int dmz_c1
name dmz
sec 50
ip add 10.100.4.1 255.255.255.0 sta 10.100.4.2
int outside_c1
name outside
ip add 10.100.6.1 255.255.255.0 sta 10.100.6.2monitor-int inside
monitor-int dmz
monitor-int outsideobject network server5_c1-----------
host 192.168.105.7
nat (dmz,outside) static introute dmz 192.168.105.7 255.255.255.0 10.100.4.7
route outside 192.168.10.0 255.255.255.0 10.100.6.9R7:
ip http server
ip route 192.168.10.0 255.255.255.0 10.100.4.1access-list server5_c1 ext permit tcp 192.168.10.0 255.255.255.0 host 192.168.105.7 eq www
access-list server5_c1 ext per icmp 192.168.10.0 255.255.255.0 host 192.168.105.7 echo
access-group server5_c1 in int outside1.2先配failover,再配置子墙,配了子墙,就是要用的,所以进入各子墙配置,admin墙简单配置接口,c1和c2要配接口,因为是子接口所以需要监控接口,配NAT,有NAT就要配路由,为vpn,需要最后ASA需要放行外部流量到内部。ASA2:
changeto cont c2
int inside_c2
name inside
ip add 10.100.3.1 255.255.255.0 sta 10.100.3.2
int dmz_c2
name dmz
sec 50
ip add 10.100.5.1 255.255.255.0 sta 10.100.5.2
int outside_c2
name outside
ip add 10.100.7.1 255.255.255.0 sta 10.100.7.2monitor-int inside
monitor-int dmz
monitor-int outsideojbect network server6_c2
host 192.168.106.8
nat (dmz,outside) static introute dmz 192.168.106.8 255.255.255.0 10.100.5.8
route outside 192.168.11.0 255.255.255.0 10.100.7.9R8
ip http server
ip route 192.168.11.0 255.255.255.0 10.100.5.1-----------access-list server6_c2 ext per tcp 192.168.11.0 255.255.255.0 host 192.168.106.8 eq www
access-list server6_c2 ext per icmp 192.168.11.0 255.255.255.0 host 192.168.106.8 echo
access-group server6_c2 in int outsidetask 1.3
ASA3:
mode multi
int g0/0
no shu
int g0/1
no shu
int g0/2
no shu
int range g0/0-g0/4
no shu
int m0/0
no shutcluster group ccie
local-unit ASA3
cluster-int g0/2 ip 10.100.203.1 255.255.255.0
priority 1
cluster interface-mode spanned force
mac-address auto
enableASA4:
mode mul
int g0/2
no shut
cluster group ccie
local-unit ASA4
cluster-int g0/2 ip 10.100.203.2 255.255.255.0
priority 2
mac-address auto
cluster interface-mode spanned force
enable as-slaveint port-channel 1
port-channel span-cluster
int range g0/0-1
channel-group 1 mode actSW2
int port-channel 1
swi tru en do
sw mod tr
sw tr all vlan allint rang g1/0/1-2,g1/0/4-5
no shut
channel-group 1 mode act
swi tru en dot
swi mod tru
swi tru all vlan allint port-channel 1.8
vlan 8
int port-channel 1.9
vlan 9
int port-channel 1.10
vlan 10admin-context admin
context admin
allocate-int m0/0
allocate-int port-channel 1.8-port-channel 1.10
config-url disk0:/admin.cfgchangeto context admin
ip local pool mgmt-pool 150.1.7.60-150.1.7.61int m0/0
management-only
name mgmt
sec 100
ip address 150.1.7.59 255.255.255.0 cluster-pool mgmt-poolint port-channel 1.8
name inside
ip add 10.100.8.1 255.255.255.0
int port-channel 1.9
name outside
ip add 10.100.9.1 255.255.255.0
int port-channel 1.10
name dmz
sec 50
ip add 10.100.10.1 255.255.255.0obj net server3_t
host 19.16.103.14
obj net server4_t
host 19.16.104.14
obj net server3
host 192.168.103.14
nat (dmz,inside) static server3_t
obj net server4
host 192.168.104.14
nat (dmz,inside) static server4_troute dmz 192.168.103.14 255.255.255.255 10.100.10.14
route dmz 192.168.104.14 255.255.255.255 10.100.10.14R14:
ip http server
ip route 10.100.8.0 255.255.255.0 10.100.10.1
R13:
ip route 19.16.103.14 255.255.255.255 10.100.8.1
ip route 19.16.104.14 255.255.255.255 10.100.8.1object-group security PC1-----------
security-group name PC1----------
object-group security PC2
security-group name PC2access-list server3-4 extended permit tcp object-group-security PC1 10.100.8.0 255.255.255.0 host 192.168.103.14 eq www-----------
access-list server3-4 extended permit tcp object-group-security PC2 10.100.8.0 255.255.255.0 host 192.168.104.14 eq www
access-group server3-4 in int outside配cluster,配port-channel,配子墙admin,配地址池,配管理口和业务口,NAT,路由,ACL2.1
R2 重定向表,送往重定向的列表,ip wccp 90+重定向表+送往重定向的列表+接口调用ip access-list extended RED
permit tcp 172.16.1.0 0.0.0.255 host 192.168.101.3 eq 8080------
permit tcp 172.16.1.0 0.0.0.255 host 192.168.102.3 eq 8080ip access-list standard WSA
permit host 150.1.7.213ip wccp 90 redirect-list RED group-list WSA password cisco--------int g2
ip wccp 90 redirect in
no sh3.1
ASA2v:
dns domain-look mgmt
dns name-server 150.1.7.200
domain-name cisco.comcry key gen rsa lab cciekey mod 1024
cry ca trustpoint ccietrust
enr self
keypair cciekey
fqdn asa2.cisco.com
subject-name CN=asa2.cisco.com
cry ca enroll ccietrustwebvpn
enable outside
tunnel-group-list enable
ssl trust-point ccietrust outside--------------------access-list WEB-ACL webtype permit url http://server1.cisco.com:8080/*
access-list WEB-ACL webtype permit url http://server2.cisco.com:8080/*
group-policy cciesecurity internal
group-policy cciesecurity attributes
vpn-idle-timeout 2880
vpn-tunnel-protocol ssl-clientless
banner value Enjoy The Lab!
webvpn
filter value WEB-ACLtunnel-group cciesecurity type remote-access
tunnel-group cciesecurity general-attributes
tunnel-group cciesecurity webvpn-attributes
default-group-policy cciesecurity
group-alias cciesecurity enableusername ccie password ccie
http server enable
http 150.1.7.0 255.255.255.0 mgmttask 4.1:
ASA1v:
dns domain-lookup mgmt
dns name-server 150.1.7.200
domain-name cisco.comcrypto key generate rsa label cciekey modulus 1024
crypto ca trustpoint ccietrust
enrollment self
id-usage ssl-ipsec
keypair cciekey
fqdn asa1.cisco.com
subject-name CN=asa1.cisco.com
crypto ca enroll ccietrustwebvpn
enable outside
tunnel-group-list enable
ssl trust-point ccietrust outside
dir
anyconnect image disk0:/
anyconnect enableip local pool ccieprofile 172.16.1.1-172.16.1.10 mask 255.255.255.0
access-list servers sta permit host 192.168.101.3
access-list servers sta permit host 192.168.102.3
group-policy ccieprofile internal
group-policy ccieprofile attributes
vpn-idle-timeout 2880
vpn-tunnel-protocol ikev2 ssl-client ssl-clinetless
split-tunnel-policy tunnelspecified
split-tunnel-network-list value servers------------------default-domain value cisco.com-----------------
webvpn
anyconnect keep-installer installed
aaa-server ISE protocol radius
aaa-server ISE host 150.1.7.212
key cisco
address-pool ccieprofile
authentication-server-group ISEtunnel-group ccieprofile type remote-access
tunnel-group ccieprofile generate-attribute
tunnel-group ccieprofile webvpn-attribute
default-group-policy ccieprofile
group-alias ccieprofile enable
crypto ikev2 enable outside client-services port 443-------客服在一起的
crypto ikev2 remote-access trustpoint ccietrust
http server enable
http 150.1.7.0 255.255.255.0 mgmt总忘记敲下面这一部分
crypto ikev2 policy 10
encryption aes-256
crypto ipsec ikev2 ipsec-proposal ccieprofile
protocol esp encryption aes-256
protocol esp integrity sha-1
crypto dynamic-map ccieprofile 10 set ikev2 ipsec-proposal ccieprofile
crypto dynamic-map ccieprofile 10 set reverse-route
crypto map ccieprofile 65535 ipsec-isakmp dynamic ccieprofile
crypto map ccieprofile interface outsidetask 3.2:
R17:
crypto pki server ccier17-----------
shutdown
no shutR15:
ip domain-name cisco.com
ip name-server 150.1.7.200
crypto key generate rsa label ccier15 mod 1024
cry pki trustpoint ccier15
enroll url http://172.16.100.17:80
rsakeypair ccier15
subject-name CN=r15 O=cisco.com
revocation-check crl
ip-address loopback 0
source int loopback 0
cry pki authentication ccier15
cry pki enroll ccier15R16:
ip domain-name cisco.com
ip name-server 150.1.7.200
crypto key generate rsa label ccier16 mod 1024
cry pki trustpoint ccier16
enroll url http://172.16.100.17:80
rsakeypair ccier16
subject-name CN=r16 O=cisco.com
revocation-check crl
ip-address loopback 0
source int loopback 0
cry pki aut ccier16
cry pki enr ccier16R15:---------车矮防撞图转对精辟截图
crypto isakmp plicy 10
ip access-list ext VPN
per ip 192.168.15.0 0.0.0.255 192.168.16.0 0.0.0.255
cry ipsec tranfrom-set TS esp-aes esp-sha-hmac
cry map VPN 10 ipsec-isakmp
set peer 20.1.7.16
set transfrom-set TS
reverse-route static
match add VPN
int g3
cry map VPN
(因果:配策略,配感兴趣流,配感兴趣就要配转换集进行保护,配置汇总map下,调用到接口上)R16:
crypto isakmp plicy 10
ip access-list ext VPN
per ip 192.168.16.0 0.0.0.255 192.168.15.0 0.0.0.255
cry ipsec tranfrom-set TS esp-aes esp-sha-hmac
cry map VPN 10 ipsec-isakmp
set peer 20.1.6.15
set transfrom-set TS
reverse-route static
match add VPN
int g2
cry map VPN3.3
(KS配置两个key,1个isakmp。两个ipsec关联,感兴趣流和gdoi(前两条ks和member差不多,都是identity number和server,ks需要二次加密rekey所以有三条rekey,还要调用之前的ipsec,member指明接口就行);member配置1个key,两个isakmp,gdoi,创建map调用到接口。)
R4:
int g2
no shuip vrf mgmt
rd 20:20
ip vrf site_a
rd 100:100
ip vrf site_b
rd 200:200
key chain ccie
key 1
key-string ccieint loo 100
ip vrf for site_a
ip add 192.168.4.4 255.255.255.255
int loo 200
ip vrf for site_b
ip add 192.168.4.4 255.255.255.255int g2.20
enc dot 20
ip vrf for mgmt
ip add 10.1.20.4 255.255.255.0
int g2.100
enc dot 100
ip vrf for site_a
ip add 10.1.45.4 255.255.255.0
ip authentication key-chain eigrp 405 ccie
ip authentication mode eigrp 405 md5
int g2.200
enc dot 200
ip vrf for site_b
ip add 10.1.45.4 255.255.255.0
ip auth key-chain eigrp 405 ccie
ip auth mode eigrp 405 md5router eigrp 45
address-family ipv4 vrf site_a auto 405
net 10.1.45.0 0.0.0.255
net 192.168.4.0
exit-address-fam
address-family ipv4 vrf site_b auto 405
net 10.1.45.0 0.0.0.255
net 192.168.4.0
exit-address-famR5:
int g0
no shu
int g1
no shu
int g2
no shuip vrf mgmt
rd 20:20
ip vrf site_a
rd 100:100
ip vrf site_b
rd 200:200
key chain ccie
key 1
key-string ccieint loo 100
ip vrf for site_a
ip add 192.168.5.5 255.255.255.255
int loo 200
ip vrf for site_b
ip add 192.168.5.5 255.255.255.255int g2.20
enc dot 20
ip vrf for mgmt
ip add 10.1.20.5 255.255.255.0
int g2.100
enc dot 100
ip vrf for site_a
ip add 10.1.45.5 255.255.255.0
ip auth key-chain eigrp 405 ccie
ip auth mode eigrp 405 md5
int g2.200
enc dot 200
ip vrf for site_b
ip add 10.1.45.5 255.255.255.0
ip auth key-chain eigrp 405 ccie
ip auth mode eigrp 405 md5router eigrp 45
address-family ipv4 vrf site_a auto 405
net 10.1.45.0 0.0.0.255
net 192.168.5.0
exit-address-family
address-family ipv4 vrf site_b auto 405
net 10.1.45.0 0.0.0.255
net 192.168.5.0
exit-address-famR3:
int g3
no shu
ip vrf mgmt
rd 20:20
int g3
ip vrf for mgmt
ip add 10.1.20.3 255.255.255.0R3:
cry isakmp policy 10
enc 3des
auth pre-share
group 2
cry keyring mgmt vrf mgmt
pre-shared-key add 0.0.0.0 0.0.0.0 key cisco
cry ipsec transform-set TS esp-aes esp-sha-hmac
cry ipsec profile IPSPROFILE----------------------回转和会子是不一样的名字的
set transfrom-set TS
crypto key generate rsa label cciekey modulus 2048crypto gdoi group site_a
ident num 100
ser local
add ipv4 10.1.20.3
rekey algo aes 256
rekey authentication mypubkey rsa cciekey--------------
rekey transport unicast
sa ipsec 1
profile IPSPROFILE
match add ipv4 site_a
ip access-list ext site_a
permit ip 192.168.4.0 0.0.0.255 192.168.5.0 0.0.0.255
permit ip 192.168.5.0 0.0.0.255 192.168.4.0 0.0.0.255crypto gdoi group site_b
ide num 200
ser local
add ipv4 10.1.20.3
rekey alg aes 256
rekey auth myp rsa cciekey
rekey tran unicast
sa ipsec 1
profile IPSPROFILE
match add ipv4 site_b
ip access-list ext site_b
per ip 192.168.5.0 0.0.0.255 192.168.4.0 0.0.0.255
per ip 192.168.4.0 0.0.0.255 192.168.5.0 0.0.0.255R4/5:
cry isakmp policy 10
enc 3des
auth pre-share
group 2
cry keyring mgmt vrf mgmt
pre-shared-key add 10.1.20.3 key cisco
cry isakmp profile mgmtprofile-------------------------------
vrf mgmt
keyring mgmt
match identity add 10.1.20.3 255.255.255.255---------3.3是没有remote,有实际地址,就有identitycry gdoi group site_a
identity number 100
ser add ipv4 10.1.20.3
client registration int g2.20
cry map site_a 10 gdoi
set group site_a
int g2.100
cry map site_a
cry gdoi group site_b
iden number 200
ser add ipv4 10.1.20.3
cli reg int g2.20
cry map site_b 10 gdoi
set group site_b
int g2.200
cry map site_b3.4:
R9:
crypto ikev2 keyring KEYRING
peer R10
add 20.1.4.10
pre-shared-key ccier10
peer R11
add 20.1.5.11
pre-shared-key ccier11crypto ikev2 profile IKEV2PRFILE
match identity remote add 0.0.0.0-----------3.4是有remote
auth remote pre-share
auth local pre-share
keyring KEYRINGcry ipsec transfrom-set TS esp-aes esp-sha-hmac
cry ipsec profile IPSECPROFILE
set transform-st TS
set ikev2-profile IKEV2PRFILEint tunnel 34
ip add 172.16.2.9 255.255.255.0
tunnel source g3
tunnel destination 20.1.4.10
tunnel key 34
tunnel protection ipsec profile IPSECPROFILE shared
no ip split-horizon eigrp 34
int tunnel 35
ip add 172.16.3.9 255.255.255.0
tunnel source g0/3
tunnel des 20.1.5.11
tunnel key 35
tunnel protection ipsec profile IPSECPROFILE shared
no ip split-horizon eigrp 35int g3
no shu
ip add 20.1.3.9 255.255.255.0
int g2.1
enc dot 6
ip add 10.100.6.9 255.255.255.0
int g2.2
enc dot 7
ip add 10.100.7.9 255.255.255.0
rout eigrp 34
net 10.100.6.0 0.0.0.255
net 172.16.2.0 0.0.0.255
net 192.168.9.0
passive-int g2.1
no auto-summary
rout eigrp 35
net 10.100.7.0 0.0.0.255
net 172.16.3.0 0.0.0.255
net 192.168.9.0
passive-int g2.2
no auto-summaryR10
cry ikev2 keyring KEYRING
peer R9
add 20.1.3.9
pre-shared-key ccier10cry ikev2 pro IKEV2PROFILE
match iden remote address 20.1.3.9
auth remote pre-share
auth local pre-share
keyring KEYRING
cry ipsec transfrom-set TS esp-aes esp-sha-hmac
cry ipsec profile IPSECPROFILE
set transfrom-set TS
set ikev2-profile IKEV2PRFOILEint tunnel 34
ip add 172.16.2.10 255.255.255.0
tun sou 20.1.4.10/g1
tun des 20.1.3.9
tun key 34
tun protection ipsec profile IPSECPROFILErou eigrp 34
net 172.16.2.0 0.0.0.255
net 192.168.10.0R11
cry ikev2 keyring KEYRING
peer R9
add 20.1.3.9
pre-shared-key ccier11cry ikev2 pro IKEV2PRFILE
match identity remote add 20.1.3.9 255.255.255.255
auth remote pre-share
auth local pre-share
keyring KEYRING
cry ipsec transfrom-set TS esp-aes esp-sha-hmac
cry ipsec profile IPSECPROFILE
set trans TS
set ikev2-profile IKEV2PROFILEint tunnel 35
ip add 172.16.3.11 255.255.255.0
tun sou g2
tun des 20.1.3.9
tun key 35
tun protection ipsec pro IPSECPROFILErou eigrp 35
net 172.16.3.0 0.0.0.255
net 192.168.11.03.5
ASA3
aaa-server ISE protocol radius
aaa-server ISE(mgmt) host 150.1.7.212
key cisco
cts server-group ISE
cts sxp enable
cts sxp default password ccie
cts sxp default source 10.100.8.1
cts sxp connect peer 10.100.8.22 source 10.100.8.1 password default mode peer speaker
cts import-pac tftp://150.1.7.201/ASA3.pac password Cisc0123---------
cts refresh environment-data----------SW2
cts sxp enable
cts sxp default source-id 10.100.8.22
cts sxp default password ccie
cts sxp connect peer 10.100.8.1 source 10.100.8.22 password default mode peer listener4.2:
int g1/0/9
shu
int g1/0/7
shuSW2:
ip dhcp pool DATA
net 10.100.8.0 255.255.255.0
default-router 10.100.8.1
ip dhcp pool VOICE
net 10.100.215.0 255.255.255.0
default-router 10.100.215.22
option 150 ip 150.1.7.215
ip dhcp excluded-add 10.100.8.1---------------
ip dhcp excluded-add 10.100.8.13
ip dhcp excluded-add 10.100.8.22
ip dchp excluded-add 10.100.215.22aaa new-model
aaa auth login NO_AUTH none
line con 0
login auth NO_AUTH
radius server CCIE
add ipv4 150.1.7.212 auth-port 1645 acct-port 1646
key cisco
aaa group server radius ISE
server name CCIE
ip radius source vlan 150-----------------------
aaa authentication dot1x default group ISE
aaa authorization network default group SIE
aaa accounting dot1x default start-stop group ISE---------
radius-server att 6 on-for-login-auth
radius-server att 8 include-in-access-req
radius-server att 25 access-request include
radius-server vsa send authentication
radius-server vsa send accounting
ip device tracking
dot1x system-auth-control------------int g1/0/9
swit mo acc
swit voice vlan 215-------------------------
Authentication event fail action next-method----------------
Authentication host-mode multi-auth
Authentication order mab dot1x
Authentication priority dot1x mab
Authentication port-control auto
Mab
Dot1x pae authenticator
Spanning-tree portfast
Shutdown
No shutdown 4.3
R1
ip domain name cisco.com---------
crypto key generate rsa mod 1024----------R1
aaa new-model
aaa authentication login NO_AUTH none
line con 0
login authentication NO_AUTH
aaa group server radius ISE
server name ccie
aaa authentication login SSH group ISE
aaa authorization exec SSH group ISE
line vty 0 98
transport input ssh
login authentication SSH
authorization exec SSH
session-timeout 2880
exec-timeout 28805.1
R1
logging on
logging trap information
logging origin-id hostname
logging host 150.1.7.201R17
logging on
logging trap debugging
logging origin-id string CA
logging host 150.1.7.2015.2
int g1/0/7
swi host
swit acc vlan 102controller>------------------------------
show int sum
config wlan dis all
conf int vlan man 102
conf int add man 10.100.102.1 255.255.255.0 10.100.102.22----
conf int dhcp service-port dis
conf int add service-port 150.1.7.214 255.255.255.0
con net secureweb enable
conf wlan enable all
save configccieap#
capwap ap hostname ccieap
capwap ap controller ip add 10.100.102.1
capwap ap primary-base cciewlc 10.100.102.1
capwap ap ip add 10.100.102.33 255.255.255.0
capwap ap ip default-gateway 10.100.102.1SW2:
int g1/0/7
swi mode acc
no swit acc vla 102
authentication order mab
authentication host-mode multi-host
authentication port-control auto
mab
dot1x pae authenticator
spanning-tree portfast
shu
no shu
证书
CCIE Security证相关推荐
- CCIE Security考试升级了
Note that this announcement from Cisco is sort of a "pre-announcement" in that the officia ...
- 红盟过客提到的 CCIE 必读书籍
CCIE 必读书籍 中文书: CCIE 路由与交换认证考试指南 TCP/IP 路由技术 卷 1 TCP/IP 路由技术 卷 2 CCIE 实验指南卷 1 CCIE 实验指南卷 2 IP 路由协议疑难解 ...
- 带你了解2020年全新【思科专家级认证CCIE】
思科专家级认证让您在日新月异的 IT 基础架构领域中向技术主管职位迈进 进一步了解CCIE认证 CCIE Enterprise Infrastructure CCIE Enterprise Wirel ...
- 【SSL】java keytool工具操作java带的(JKS)证书库
前言 java : jdk1.8 证书库:java自带证书库. 证书库密码:java自带证书库的默认密码为"changeit". jdk安装位置:C:\Program Files\ ...
- CCIE 笔试 PASS
作为物联网专业大三的学生,也是需要为自己未来做打算的,我选择网络方向是考虑很久的,作为一个大学生,而且渴望在我所在的专业领域上发展,甚至在未来,通过我的所学,改变我的生活.这三年来,从男孩慢慢变成男人 ...
- CCIE Routing Switching备考指南2007版
CCIE的考试对于新人来说是比较神秘的,CCIE不像CCNA/CCNP的考试,有官方制定的专门性的教材,CCIE的考试,只列举了个大纲(blueprint),和一些推荐的book list,就没别的了 ...
- CCIE考试 和考试费用
CCIE 考试 开放分类: 网络. IT. CCIE. CISCO认证 CCIE全称Cisco Certified Internetwork Expert,是美国Cisco公司于1993年开始推出的专 ...
- CCIE考试和考试费用
成都互联神州思科培训CCNA CCNP CCSP CCIE 咨询QQ:520291551 TEL:13666101411 CCIE考试 开放分类: 网络 . IT . CCIE . CISCO认证 ...
- 思科发布全新CCIE体系!
就在今天凌晨,思科发布了最新CCIE认证体系! 2020年2月24日开始启用! 小编带大家第一时间了解此次认证体系的变化! ※ R&S CCIE退出历史舞台 替代CCIE R&S的是 ...
最新文章
- 2019热门JAVA面试问题
- 第一百零四节,JavaScript时间与日期
- 文件标识符必须为双精度类型的整数值标量_数据类型
- 面试被问线程池,真香
- DULG uboot解决问题的文档
- iPhone 14“感叹号”设计没跑:屏下Face ID要等到2024年
- 动手学深度学习Pytorch Task02
- OpenGL超级宝典(第7版)之第七章顶点处理与绘图命令
- 厂区 3D 室内定位及电子围栏
- Racket编程指南——17 创造语言
- python中英文对齐_Python中英文对齐终极解决方案
- csu1164 Dominating
- python迭代器定义_Python-迭代器相关概念
- 干货分享:数据分析面试一般都问啥?
- 人工智能已经沦为刷榜,刷论文的时代了? 新一代人工智能,认知智能已经来临。道翰天琼。
- Massve MIMO波束成形
- java: You aren't using a compiler supported by lombok, so lombok will not work and has been disab...
- matlab级数求和阶乘,(阶乘)数列求和 - 数学 - 小木虫 - 学术 科研 互动社区
- 游戏中的图像资源(位图与矢量图比较)
- 线上Java 高CPU占用、高内存占用排查思路