《vpn ike1和ike2的协商过程.docx》由会员分享,可在线阅读,更多相关《vpn ike1和ike2的协商过程.docx(4页珍藏版)》请在三一办公上搜索。
1、vpn ike1和ike2的协商过程Vpnike协商过程和vpn命令解释 发现很都学ccnp 以及很多学完ccnp的人对远程这门课都不是非常的好,尤其是vpn这门课。哈哈,在我潜伏了n天ccsp后对vpn也算有了个更加全面和具体的了解,这里把vpn的ike协商过程极其配置说明和相映的命令解释下,希望对大家理解vpn有一定的帮助,至于实验解析会在rs实验文档区补上这里就不再写了。 一、 IKE协商过程描述: IKE协商采用的UDP报文格式,默认端口是500,在主模式下,一个正常的IKE协商过程需要9个报文,才最终建立起通信双方所需要的IPSec SA,然后双方利用该SA就可以对数据流进行加密和解
2、密。 假设A和B进行 通信,A作为发起方,A发送的第一个报文内容是本地所支持的IKE(internet key exchang)的策略,该policy的内容有加密算法、hash算法、D-H组、认证方式、SA的生存时间等5个元素。这5个元素里面值得注意的是认证方式,目前采用的主要认证方式有预共享和数字证书。在简单的VPN应用中,一般采用预共享方式来认证身份。在本文的配置中也是以预共享为例来说明的。可以配置多个策略,对端只要有一个与其相同,对端就可以采用该policy。 并在第二个报文中将该policy发送回来,表明采用该policy为后续的通信进行保护。这里正好说明了其实ike 1阶段里协商出来
3、的密钥是为了给ike 2阶段使用的。 第三和第四个报文是进行D-H交换的D-H公开值,这与具体的配置影响不大。在完成上面四个报文交换后,利用D-H算法,A和B就可以协商出一个公共的秘密,后续的ike阶段2的密钥就是从这里延伸出来的,当然是用延伸出来的密钥来对数据进行加密和解密咯。 第五和第六个报文是身份验证过程,前面已经提高后,有两种身份验证方式预共享和数字证书,在这里,A将其身份信息和一些其他信息发送给B,B接受到后,对A的身份进行验证,同时B将自己的身份信息也发送给A进行验证。采用预共享验证方式的时候,需要配置预共享密钥,标识身份有两种方式,其一是IP地址,其二是主机名。在一般的配置中,可
4、以选用IP地址来标识身份。完成前面六个报文交换的过程,就是完成IKE第一阶段的协商过程。 如果打开调试信息,会看到IKE SA Establish,也称作主模式已经完成。Ike是主动模式。 IKE的第二阶段是快速模式协商的过程。该模式中的三个报文主要是协商IPSec SA,利用第一阶段所协商出来的公共的秘密,可以为该三个报文进行加密。在配置中,主要涉及到数据流、变换集合以及对完美前向保护的支持。 在很多时候,会发现IKE SA已经建立成功,但是IPSec SA无法建立起来,这时最有可能的原因是数据流是否匹配、变换集合是否一致以及pfs配置是否一致。 二: 其实在知道了整个的vpn的ike协商过
5、程后就不难配置vpn了,因为我们可以按照ike的协商过程来配置vpn,那么如下将会具体的讲解如何配置一个ipsec的vpn。 1:配置ike策略,其实这个就是在配置ike主动模式下的相关参数比如加密算法,hash算法,认证方式,dh组,sa的生存周期 Enable Conf igure terminal Crypto isakmp enable (首先开启isakmp) Crypto isakmp policy 10 Encryption des Hash mde Authentication per-share Group 1 Lifetime 100 Exit Crypto isakmp
6、key 0 cisoc address 172.16.11.2 255.255.255.0 哈哈,到这里ike1的策略就搞定了,哈哈简单吧,不要不相信就是这么简单,这些配置的参数就是ike 1号阶段发送第一个包里的相关的参数,我们只要定义下就好了。 2: 可能你觉得这个时候该配置第2个包的参数了,不过很可惜,第2个包并不需要配置什么参数,他是在第一个包发送出去后经过协商后再反发个policy,告诉你这个policy通过了可以为后续的通信进行保护,说白了就是ike2吗。 3: 那么讨论完第2个包后明显的讨论第3和第4个包了,哈哈又是很不辛的是第34个包也不需要定义,因为他在通过dh的交换和公开在
7、算出第一个密钥。 4: 再接着讨论第5和第6个包了,哈哈还是不用讨论,因为这个时候开始验证对方感觉到了其实只要搞清楚ike1和2的过程配置vpn就是这么简单。 5: 在这里整个的ike 1号阶段的主动模式就算是结束了,那么下面自然的进入了ike的2阶段也要快速模式,当然这里最后的3个包其实也不要去详细的讨论,但要注意的是这里有3个参数是必须要通过命令行来设置的:第一个参数是对等体,交换集,以及pfs设置。 那么我们先来定义感兴趣流: Access-list 100 permit ip 1.1.1.0 255.255.255.0 2.2.2.0 255.255.255.0 那么接着我们设置交换集
8、 Crypto ipsec transform-set r1vpn esp-des esp-md5-hmac Mode tunnel Exit 6: 到这里可能你觉得是不是就结束了因为ike 1和ike 2已经被我门全部的都设置好了,但实际配置作到这里远远的没有结束,因为现在你还没有将你定义的感兴趣流和你的交换集想绑定,那么下面很简单的就是利用配置将他们绑定在一起 。 Crypto map r1map 1 isakmp-ipsec Match addrss 100 Set peer 2.2. 2.2 Set transform-set r1vpn Exit 这样就就已经把你的感兴趣流和交换集绑定好了,那么现在就省下最后一步了,当然是在借口下套用这个映射了。 If)#crypto map r1map
