书签分享收藏举报版权申诉 / 171

立即下载加入VIP免费专享

当前位置：首页 > 建筑/施工/环境 > 项目建议 > MPLSVPN培训教材(中文).ppt

MPLSVPN培训教材(中文).ppt

上传人：laozhun

文档编号：2339000

上传时间：2023-02-13

格式：PPT

页数：171

大小：2.64MB

《MPLSVPN培训教材(中文).ppt》由会员分享，可在线阅读，更多相关《MPLSVPN培训教材(中文).ppt（171页珍藏版）》请在三一办公上搜索。

1、基于CISCO路由器的IPSEC VPN和BGP/MPLS VPN,目录,VPN简介IPSec VPN,BGP/MPLS VPN,IPSec基础端到端IPSec VPN的工作原理及配置Easy VPN（远程接入VPN）的工作原理及配置,BGP/MPLS VPN的工作原理BGP/MPLS VPN的配置示例,VPN背景,总公司,租用专线,我们有很多分公司，如果用租用专线的方式把他们和总公司连起来，需要花很多钱,想节约成本的话，可以用VPN来连接,分公司,分公司,分公司,VPN简介,IP VPN(Virtual Private Network，虚拟专用网)就是利用开放的公众IP/MPLS网络建立专

2、用数据传输通道，将远程的分支机构、移动办公人员等连接起来。,IP/MPLS网,中心站点,分支机构,移动办公人员,隧道机制,IP VPN可以理解为：通过隧道技术在公众IP/MPLS网络上仿真一条点到点的专线。隧道是利用一种协议来传输另外一种协议的技术，共涉及三种协议，包括：乘客协议、隧道协议和承载协议。,被封装的原始IP包,新增加的IP头,IPSec头,乘客协议,隧道协议,承载协议,原始IP包,经过IPSec封装后,隧道带来的好处,隧道保证了VPN中分组的封装方式及使用的地址与承载网络的封装方式及使用地址无关,Internet,被封装的原始IP包,新增加的IP头,IPSec头,私网地址,公网地址

3、,中心站点,分支机构,Internet根据这个地址路由,可以使用私网地址，感觉双方是用专用通道连接起来的，而不是Internet,隧道,按隧道类型对VPN分类,隧道协议如下：第二层隧道协议，如L2TP第三层隧道协议，如IPSec介于第二层和第三层之间的隧道协议，如MPLS VPN,L2TP,L2TP封装的乘客协议是位于第二层的PPP协议。,原始数据包,新增加的IP头,L2TP头,可以是IP、IPX和AppleTalk,PPP封装,原始数据包,PPP头,L2TP封装,原始数据包,PPP头,可以是IP、ATM和帧中继,L2TP没有对数据进行加密。,L2TP的典型应用-VPDN,L2TP连接,PPP

4、连接,用户发起PPP连接到接入服务器接入服务器封装用户的PPP会话到L2TP隧道，L2TP隧道穿过公共IP网络，终止于电信VPDN机房的LNS用户的PPP session经企业内部的认证服务器认证通过后即可访问企业内部网络资源,IPSec,IPSec只能工作在IP层，要求乘客协议和承载协议都是IP协议,被封装的原始IP包,新增加的IP头,IPSec头,必须是IP协议,必须是IP协议,IPSec可以对被封装的数据包进行加密和摘要等，以进一步提高数据传输的安全性,MPLS VPN的基本工作模式,在入口边缘路由器为每个包加上MPLS标签，核心路由器根据标签值进行转发，出口边缘路由器再去掉标签，恢复原

5、来的IP包。,MPLS网,P1,P2,PE1,PE2,CE1,CE2,10.1.1.1,MPLS标签,10.1.1.1,10.1.1.1,MPLS VPN的特点,MPLS标签位于二层和三层之间,三层包头,MPLS 标签,二层包头,二层包头,三层包头,MPLS封装,三种VPN的比较,目录,VPN简介IPSec VPN,BGP/MPLS VPN,IPSec基础端到端IPSec VPN的工作原理及配置Easy VPN（远程接入VPN）的工作原理及配置,BGP/MPLS VPN的工作原理BGP/MPLS VPN的配置示例,IPSec概述,IPSec是一种开放标准的框架结构，特定的通信方之间在IP 层

6、通过加密和数据摘要(hash)等手段，来保证数据包在Internet 网上传输时的私密性(confidentiality)、完整性(data integrity)和真实性(origin authentication)。,IPSec只能工作在IP层，要求乘客协议和承载协议都是IP协议,被封装的原始IP包,新增加的IP头,IPSec头,必须是IP协议,必须是IP协议,通过加密保证数据的私密性,私密性：防止信息泄漏给未经授权的个人通过加密把数据从明文变成无法读懂的密文，从而确保数据的私密性,Internet,4ehIDx67NMop9eRU78IOPotVBn45TR,土豆批发价两块钱一斤,实在是看

7、不懂,4ehIDx67NMop9eRU78IOPotVBn45TR,土豆批发价两块钱一斤,对称加密,如果加密密钥与解密密钥相同，就称为对称加密由于对称加密的运算速度快，所以IPSec使用对称加密算法来加密数据,对数据进行hash运算来保证完整性,完整性：数据没有被非法篡改通过对数据进行hash运算，产生类似于指纹的数据摘要，以保证数据的完整性,土豆两块钱一斤,Hash,4ehIDx67NMop9,土豆两块钱一斤,4ehIDx67NMop9,对数据和密钥一起进行hash运算,攻击者篡改数据后，可以根据修改后的数据生成新的摘要，以此掩盖自己的攻击行为。通过把数据和密钥一起进行hash运算，可以有效

8、抵御上述攻击。,土豆两块钱一斤,Hash,fefe23fgrNMop7,土豆两块钱一斤,fefe23fgrNMop7,对称密钥交换,对称加密和hash都要求通信双方具有相同的密钥,问题：怎样在双方之间安全地传递密钥？,密钥,哈哈，要是敢直接传递密钥，我就只好偷看了,密钥,DH算法的基本原理,Router A,Router B,生成一个整数 p,生成一个整数 q,把 p发送到对端,p,把 q发送到对端,q,根据p、q生成g,根据p、q生成g,通过身份认证保证数据的真实性,真实性：数据确实是由特定的对端发出通过身份认证可以保证数据的真实性。常用的身份认证方式包括：Pre-shared key，预共

9、享密钥RSA Signature，数字签名,预共享密钥,预共享密钥，是指通信双方在配置时手工输入相同的密钥。,Hash_L,+路由器名等,本地,Hash,共享密钥,远端,生成的Hash_L,Hash,=,+对端路由器名,共享密钥,接收到的Hash_L,数字证书,RSA密钥对，一个是可以向大家公开的公钥，另一个是只有自己知道的私钥。用公钥加密过的数据只有对应的私钥才能解开，反之亦然。数字证书中存储了公钥，以及用户名等身份信息。,数字证书,我是Router A，我的公钥是.,数字签名认证,+ID Information,加密,Hash_I,解密,Hash_I,私钥,公钥,本地,远端,Hash,=,

10、+身份信息,Hash,对称密钥,数字签名,+身份信息,Hash,1,2,数字证书,+,Internet,对称密钥,数字签名,数字证书,IPSec框架结构,ESP,AH,DES,3DES,AES,MD5,SHA,DH1,DH2,IPSec框架,可选择的算法,IPSec安全协议,加密,数据摘要,对称密钥交换,IPSec安全协议,AH(Authentication Header)只能进行数据摘要(hash)，不能实现数据加密ah-md5-hmac、ah-sha-hmacESP(Encapsulating Security Payload)能够进行数据加密和数据摘要(hash)esp-des、esp-

11、3des、esp-md5-hmac、esp-sha-hmac、,IPSec安全协议描述了如何利用加密和hash来保护数据安全,IPSec封装模式,IPSec支持两种封装模式：传输模式和隧道模式传输模式：不改变原有的IP包头，通常用于主机与主机之间。,IP头,数据,原始IP包,IP头,数据,AH头,AH,hash,AH对除了TTL等变化值以外的整个IP包进行hash运算,IP头,数据,ESP头,hash,ESP trailer,ESP auth,ESP,加密,hash,IPSec封装模式,IPSec支持两种封装模式：传输模式和隧道模式隧道模式：增加新的IP头，通常用于私网与私网之间通过公网进行通

12、信。,IP头,数据,原始IP包,IP头,数据,新IP头,AH,hash,IP头,数据,ESP头,hash,ESP trailer,ESP auth,ESP,加密,hash,AH头,新IP头,IPSec与NAT,AH模式无法与NAT一起运行AH对包括IP地址在内的整个IP包进行hash运算，而NAT会改变IP地址，从而破坏AH的hash值。,IP头,数据,AH头,hash,hash,NAT：我要修改源/目的IP地址,AH：不行！我对IP地址也进行了hash,IPSec与NAT,ESP模式下：只进行地址映射时，ESP可与它一起工作。进行端口映射时，需要修改端口，而ESP已经对端口号进行了加密和/或

13、hash，所以将无法进行。,IP头,数据,ESP头,ESP trailer,ESP auth,加密,TCP/UDP端口,NAT：端口号被加密了，没法改，真郁闷,IPSec与NAT,ESP模式下：启用IPSec NAT穿越后，会在ESP头前增加一个UDP头，就可以进行端口映射。,IP头,数据,ESP头,ESP trailer,ESP auth,加密,TCP/UDP端口,NAT：可以改端口号了，太棒了,新UDP头,目录,VPN简介IPSec VPN,BGP/MPLS VPN,IPSec基础端到端IPSec VPN的工作原理及配置Easy VPN（远程接入VPN）的工作原理及配置,BGP/MPLS

14、 VPN的工作原理BGP/MPLS VPN的配置示例,对上一节的回顾,IPSec协议框架包括加密、hash、对称密钥交换、安全协议等四个部分，这些部分都可以采用多种算法来实现。,问题1：要成功建立IPSec VPN，两端路由器必须采用相同的加密算法、hash算法和安全协议等，但IPSec协议中并没有描述双方应如何协商这些参数。,问题2：IPSec协议中没有定义通信双方如何进行身份认证，路由器有可能会和一个假冒的对端建立IPSec VPN。,端到端IPSec VPN的工作原理,需要保护的流量流经路由器，触发路由器启动相关的协商过程。启动IKE(Internet key exchange)阶段1

15、，对通信双方进行身份认证，并在两端之间建立一条安全的通道。启动IKE阶段2，在上述安全通道上协商IPSec参数。按协商好的IPSec参数对数据流进行加密、hash等保护。,Host A,Host B,Router A,Router B,什么是端到端的VPN？,IKE阶段1,Host A,Host B,Router A,Router B,10.0.1.3,10.0.2.3,IKE 阶段 1,协商建立IKE安全通道所使用的参数,协商建立IKE安全通道所使用的参数,IKE阶段1,协商建立IKE安全通道所使用的参数，包括：加密算法Hash算法DH算法身份认证方法存活时间,IKE阶段1,Policy 1

16、0DESMD5DH1Pre-sharelifetime,Policy 15DESMD5DH1Pre-sharelifetime,Router A,Router B,host A,host B,Policy 203DESSHADH1Pre-sharelifetime,Policy 253DESSHADH2Pre-sharelifetime,双方找到相同的策略集,上述IKE参数组合成集合，称为IKE policy。IKE协商就是要在通信双方之间找到相同的policy。,IKE阶段1,Host A,Host B,Router A,Router B,10.0.1.3,10.0.2.3,IKE 阶段 1

17、,协商建立IKE安全通道所使用的参数交换对称密钥双方身份认证建立IKE安全通道,协商建立IKE安全通道所使用的参数交换对称密钥双方身份认证建立IKE安全通道,IKE阶段2,Host A,Host B,Router A,Router B,10.0.1.3,10.0.2.3,IKE 阶段2,协商IPSec安全参数,协商IPSec安全参数,IKE阶段2,双方协商IPSec安全参数，称为变换集transform set，包括：加密算法Hash算法安全协议封装模式存活时间,Transform 10DESMD5ESPTunnellifetime,Transform 203DESSHAESPTunnelli

18、fetime,IKE与IPSec安全参数的比较,加密算法,Hash算法,存活时间,DH算法,身份认证,安全协议,封装模式,IKE,IPSec,IKE阶段2,Host A,Host B,Router A,Router B,10.0.1.3,10.0.2.3,IKE 阶段2,协商IPSec安全参数建立IPSec SA,协商IPSec安全参数建立IPSec SA,IPSec SA,IPSec SA(安全关联，Security Association)：SA由SPD(security policy database)和SAD(SA database)组成。,两端成功协商IPSec参数,加密算法,has

19、h算法,封装模式,lifetime,安全协议,SPD,加密,SPI,Hash,封装模式,lifetime,SAD,目的IP地址,SPI,安全协议,IPSec SA,IPSec SA(安全关联，Security Association)：SPI(Security Parameter Index)，由IKE自动分配发送数据包时，会把SPI插入到IPSec头中接收到数据包后，根据SPI值查找SAD和SPD，从而获知解密数据包所需的加解密算法、hash算法等。一个SA只记录单向的参数，所以一个IPSec连接会有两个IPSec SA。,IPSec SA,IPSec SA(安全关联，Security As

20、sociation)：使用SPI可以标识路由器与不同对象之间的连接。,192.168.2.1SPI12ESP/3DES/SHAtunnel28800,192.168.12.1 SPI39ESP/DES/MD5tunnel28800,IPSec SA,IPSec SA(安全关联，Security Association)：达到lifetime以后，原有的IPSec SA就会被删除如果正在传输数据，系统会在原SA超时之前自动协商建立新的SA，从而保证数据的传输不会因此而中断。,SA示例,端到端IPSec VPN的配置流程,配置IPSec前的准备工作配置IKE参数配置IPSec参数测试并验证IPSe

21、c是否正常工作,端到端IPSec VPN的配置步骤1,配置IPSec前的准备工作确认在配置IPSec之前，网络是通的。确认AH流量(IP协议号为50)、ESP流量(IP协议号为51)和ISAKMP流量(UDP的端口500)不会被ACL所阻塞。,配置IPSec前的准备工作,在RouterA上ping路由器RouterBRouterA上要有到site2的路由，RouterB上有到site1的路由有必要的情况下，在路由器中添加类似以下的ACL条目：,RouterA#show access-lists access-list 102 permit ahp host 172.30.2.2 host 17

22、2.30.1.2access-list 102 permit esp host 172.30.2.2 host 172.30.1.2access-list 102 permit udp host 172.30.2.2 host 172.30.1.2 eq isakmp,E0/1 172.30.1.2,Site 1,Site 2,E0/1 172.30.2.2,A,B,10.0.1.3,10.0.2.3,RouterA,RouterB,端到端IPSec VPN的配置步骤2,配置IKE参数启用IKE创建IKE策略集policy配置IKE身份认证的相关参数验证IKE配置,启用IKE,RouterA(

23、config)#no crypto isakmp enable RouterA(config)#crypto isakmp enable,router(config)#,no crypto isakmp enable,默认情况下，IKE 处于开启状态IKE在全局模式下对所有端口启用对于不希望使用IKE的端口，可以用ACL屏蔽UDP的500端口，达到阻断IKE的目的,创建IKE策略,crypto isakmp policy priority,router(config)#,RouterA(config)#crypto isakmp policy 110RouterA(config-isakmp)

24、#encryption desRouterA(config-isakmp)#hash md5RouterA(config-isakmp)#group 1RouterA(config-isakmp)#authentication pre-shareRouterA(config-isakmp)#lifetime 86400,Authentication-身份认证方式Encryption-加密算法Group-DH算法组Hash-摘要算法Lifetime-IKE生存期,IKE策略集的取值,86400 秒,86400 秒,IKE SA生存期,DH Group 2,DH Group 1,密钥交换算法,Rs

25、a-sig,Pre-share,身份认证方式,SHA-1,MD5,摘要算法,3DES,DES,加密算法,更安全的取值,安全的取值,参数,(56bit密钥),(3次DES运算),(128bit密钥),(160bit密钥),(768bit密钥),(1024bit密钥),(共享密钥),(数字签名),IKE策略集的优先级,crypto isakmp policy 100 hash md5 authentication pre-sharecrypto isakmp policy 200 authentication rsa-sig hash shacrypto isakmp policy 300 aut

26、hentication pre-share hash md5,RouterA(config)#,RouterB(config)#,crypto isakmp policy 100 hash md5 authentication pre-sharecrypto isakmp policy 200 authentication rsa-sig hash shacrypto isakmp policy 300 authentication rsa-sig hash md5,Priority表示策略集的优先级，该值越小表示优先级越高路由器将首先比较优先级最高的策略集是否匹配，因此本例中虽然三个策略集都

27、匹配，但路由器只会采用policy 100建议把最安全的策略集设为最高优先级,使用共享密钥进行身份认证,RouterA(config)#crypto isakmp key cisco1234 address 172.30.2.2,router(config)#,crypto isakmp key keystring address peer-address,crypto isakmp key keystring hostname hostname,router(config)#,共享密钥Cisco1234,Site 1,Site 2,172.30.2.2,A,B,10.0.1.3,10.0.2

28、.3,RouterA,RouterB,两端路由器使用的共享密钥必须相同可以用IP地址或主机名来指定对端,验证IKE配置,RouterA#show crypto isakmp policyProtection suite of priority 110 encryption algorithm:DES-Data Encryption Standard(56 bit keys).hash algorithm:Message Digest 5 authentication method:Pre-Shared Key Diffie-Hellman group:#1(768 bit)lifetime

29、:86400 seconds,no volume limitDefault protection suite encryption algorithm:DES-Data Encryption Standard(56 bit keys).hash algorithm:Secure Hash Standard authentication method:Rivest-Shamir-Adleman Signature Diffie-Hellman group:#1(768 bit)lifetime:86400 seconds,no volume limit,show crypto isakmp po

30、licy,router#,显示已配置的和缺省的策略集,端到端IPSec VPN的配置步骤3,配置IPSec参数配置IPSec变换集用ACL定义需要IPSec保护的流量创建crypto map把crypto map 应用到路由器的端口上,配置IPSec变换集,crypto ipsec transform-set transform-set-name transform1 transform2 transform3router(cfg-crypto-trans)#,router(config)#,RouterA(config)#crypto ipsec transform-set mine esp

31、-desRouterA(cfg-crypto-trans)#mode tunnel,每个变换集中可以包含AH变换、ESP变换和封装模式(隧道模式或传输模式)每个变换集中最多可以有一个AH变换和两个ESP变换,IOS支持的变换,RouterA(config)#crypto ipsec transform-settransform-set-name?ah-md5-hmac AH-HMAC-MD5 transformah-sha-hmac AH-HMAC-SHA transformesp-3des ESP transform using 3DES(EDE)cipher(168 bits)esp-de

32、s ESP transform using DES cipher(56 bits)esp-md5-hmac ESP transform using HMAC-MD5 authesp-sha-hmac ESP transform using HMAC-SHA authesp-null ESP transform w/o cipher,用ACL定义需要IPSec保护的流量,access-list access-list-number dynamic dynamic-name timeout minutes deny|permit protocol source source-wildcard de

33、stination destination-wildcard precedence precedencetos tos log,router(config)#,RouterA(config)#access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255,Site 1,Site 2,定义哪些流量需要IPSec保护Permit=要保护/deny=不用保护,两端路由器要配置对称的ACL,RouterA(config)#access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0

34、.0.255,RouterB(config)#access-list 101 permit tcp 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255,Crypto map的主要配置参数,需要IPSec保护的流量的ACLVPN对端的IP地址使用的IPSec变换集协商建立IPSec SA的方式(手工或通过IKE)IPSec SA的存活期,创建crypto map,crypto map map-name seq-num ipsec-manual,crypto map map-name seq-num ipsec-isakmp dynamic dynamic-map-name

35、,router(config)#,Site 1,Site 2,A,B,10.0.1.3,10.0.2.3,RouterA,RouterB,RouterA(config)#crypto map mymap 110 ipsec-isakmp,Site3,B,10.0.3.3,RouterC,每个路由器端口只能应用一个crypto map当一个端口有多个VPN对端时，就使用seq-num来区分,Crypto map 配置示例,RouterA(config)#crypto map mymap 110 ipsec-isakmpRouterA(config-crypto-map)#match addres

36、s 110RouterA(config-crypto-map)#set peer 172.30.2.2RouterA(config-crypto-map)#set peer 172.30.3.2RouterA(config-crypto-map)#set pfs group1RouterA(config-crypto-map)#set transform-set mineRouterA(config-crypto-map)#set security-association lifetime 86400,Site 1,Site 2,172.30.2.2,A,B,10.0.1.3,10.0.2.3

37、,RouterA,RouterB,172.30.3.2,B,RouterC,Internet,可配置多个vpn对端进行冗余,应用crypto map到路由器端口上,RouterA(config)#interface ethernet0/1RouterA(config-if)#crypto map mymap,E0/1 172.30.1.2,Site 1,Site 2,E0/1 172.30.2.2,A,B,10.0.1.3,10.0.2.3,RouterA,RouterB,mymap,router(config-if)#,crypto map map-name,在出口上应用crypto map

38、,端到端IPSec VPN的配置步骤4,测试并验证IPSec是否正常工作_1,显示 IKE策略 show crypto isakmp policy显示IPSec变换集 show crypto ipsec transform-set显示 crypto mapsshow crypto map,端到端IPSec VPN的配置步骤4,测试并验证IPSec是否正常工作_2,显示IPSec SA的状态 show crypto ipsec sadebug IPSec 事件 debug crypto ipsecdebug ISAKMP 事件 debug crypto isakmp,端到端IPSec VPN的配

39、置示例,RouterA#show runcrypto isakmp policy 110 hash md5 authentication pre-sharecrypto isakmp key cisco1234 address 172.30.2.2!crypto ipsec transform-set mine esp-des!crypto map mymap 10 ipsec-isakmpset peer 172.30.2.2set transform-set minematch address 110!interface Ethernet 0/1ip address 172.30.1.2

40、255.255.255.0no ip directed-broadcastcrypto map mymap!access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255,E0/1 172.30.1.2,Site 1,Site 2,E0/1 172.30.2.2,A,B,10.0.1.3,10.0.2.3,RouterA,RouterB,RouterB#show runcrypto isakmp policy 110 hash md5 authentication pre-sharecrypto isakmp key cisco

41、1234 address 172.30.1.2!crypto ipsec transform-set mine esp-des!crypto map mymap 10 ipsec-isakmpset peer 172.30.1.2set transform-set minematch address 101!interface Ethernet 0/1ip address 172.30.2.2 255.255.255.0no ip directed-broadcastcrypto map mymap!access-list 101 permit tcp 10.0.2.0 0.0.0.255 1

42、0.0.1.0 0.0.0.255,目录,VPN简介IPSec VPN,BGP/MPLS VPN,IPSec基础端到端IPSec VPN的工作原理及配置Easy VPN（远程接入VPN）的工作原理及配置,BGP/MPLS VPN的工作原理BGP/MPLS VPN的配置示例,Easy VPN的特点,Easy VPN Remote,Easy VPN Server,端到端模式下，两端路由器都要进行较复杂的配置Easy VPN模式下，Remote只需要进行简单的配置，其余大部分参数由Server端直接推送给它Easy VPN模式常用于用户的远程接入Remote可以是cisco vpn client，

43、server端可以是路由器，其IOS要求高于或等于12.2(8)T,流程1-client向server发送IKE policy,Remote PC with Easy Remote VPN Client 3.x,IOS router 12.2(8)TEasy VPN Server,Policy 1,Policy 2,Policy 3,Easy VPN由client触发cisco vpn client中内置了多个IKE policyclient触发Easy VPN后，会把内置的IKE policy全部发送到server端,流程2-server 找到匹配的policy,server 把client

44、发送来的IKE policy 与自己的policy相比较找到匹配值后成功建立IKE SA,Remote PC with Easy Remote VPN Client 3.x,IOS router 12.2(8)TEasy VPN Server,Policy 1,检查后发现policy1匹配,流程3-server 要client输入用户/口令,Remote PC with Easy Remote VPN Client 3.x,IOS router 12.2(8)TEasy VPN Server,Username/password,AAA checking,Username/password c

45、hallenge,如果配置了扩展认证Xauth，server 端将要求client端发送用户名/口令进行身份认证配置Xauth将获得更高的安全性，因此建议server端配置Xauth,流程4-server向client推送参数,Remote PC with Easy Remote VPN Client 3.x,IOS router 12.2(8)TEasy VPN Server,Client 请求配置参数,Server推送配置参数,身份认证通过后，client将向server请求其余的配置参数Server向client推送的参数至少要包含分配给client的IP地址,流程5-server进行

46、反向路由注入,Remote PC with Easy Remote VPN Client 3.x,IOS router 12.2(8)TEasy VPN Server,创建RRI静态路由,Server进行反向路由注入(Reverse Route Injeciton，RRI)，为刚分配的client端IP地址产生一条静态路由，以便正确地路由发送给client端的数据包,流程6-建立IPSec SA,Remote PC with Easy Remote VPN Client 3.x,IOS router 12.2(8)TEasy VPN Server,建立 IPSec SA,VPN tunnel,

47、Client收到配置参数，双方建立IPSec SA,Easy VPN在server端的配置步骤,vpngate1,创建IKE策略集，该策略集至少要能与vpn client的一个内置策略集相匹配，以便在server和client之间建立IKE SA定义要推送给client的组属性，其中包含分配给client的地址池、pre-share key等定义IPSec变换集(只用于client触发建立IPSec SA时，如果是server触发建立IPSec SA就不需要使用)启用DPD死亡对端检测配置Xauth扩展认证把crypto map应用到路由器端口上,创建IKE策略集,vpngate1(confi

48、g)#crypto isakmp enablevpngate1(config)#crypto isakmp policy 1vpngate1(config-isakmp)#authen pre-sharevpngate1(config-isakmp)#encryption 3desvpngate1(config-isakmp)#group 2vpngate1(config-isakmp)#exit,Authen:Preshared keysEncryption:3-DESDiffie-Hellman:Group 2Other settings:Default,Policy 1,vpngate1

49、,Cisco vpn client内置的部分策略集,DESMD5DH2Pre-share,3DESMD5DH2Pre-share,3DESSHADH2Pre-share,vpngate1,定义分配给client的地址池,router(config)#,ip local pool default|pool-namelow-ip-address high-ip-address,vpngate1(config)#ip local pool remote-pool 10.0.1.100 10.0.1.150,vpngate1,Remote client,remote-pool10.0.1.100 to

50、 10.0.1.150,Pool,地址池中的地址将分配给client端,定义推送给client的组属性,router(config)#,crypto isakmp client configuration group group-name|default,vpngate1(config)#crypto isakmp client configuration group vpngroup1vpngate1(config-isakmp-group)#key myvpnkeyvpngate1(config-isakmp-group)#pool remote-pool,Key:myvpnkeyPool