前言

站点到站点(Lan to Lan)是VPN的一种主要连接方式,用干加密站点间流量。 CISco路由器和防火墙ASA 都支持这种连接方式。

部署环境

Cisco 为 IPsec VPN的部署提供了多种设备,其中包括 Cisco 路由器、Catalyst 6500 系列交换机、Cisco ASA 5500 自适应安全设备、PIX500 系列防火墙和 VPN 3000 集中器系列。
IPsec VPN完全符合工业标准并可以通过 Cisco 设备得到很好的部署,它既可以在 Cisco设备之间部署,也可以在Cisco设备与其他厂商的设备之间部署。

IPsec VPN的两类解决方案

IPsec VPN解决方案可以分为以下两大主要类别。

  • 站点到站点 IPsec VPN。
    — 全网状(Full Mesh)
    — 中心到节点(Hub-and-Spoke)
    — DMVPN
    — 静态VTI
    — GET VPN
  • 远程访问 IPsec VPN。
    — Easy VPN
    — 动态VTI

常见的IPSec VPN部署场景

常见的IPSecVPN部署环境.png

IPSec VPN部署场景对比表

IPSecVPN部署场景对比表.png

Lan to Lan IPSec VPN

站点到站点 IPsec VPN增强了网络的智能性,为关键任务流量提供了具有可靠传输机制的路由功能,而且不会影响通信的质量。

站点到站点IPsec VPN提供了基于Internet的WAN解决方案,它能够安全地将远端机构、分支机构、家庭办公或合作伙伴站点连接到中心站点,比起费用昂贵的专用 WAN 链路、专线或帧中继电路,这种Internet连接无疑性价比很高。

站点到站点 IPsec VPN通过使用基于 Internet的 IPsec VPN解决方案,降低了 WAN 带宽的消耗,既提高了连接速度又保障了传输的质量和可靠性,进而扩展了网络资源。

站点到站点 IPsec VPN也扩展了客户自定义的解决方案,比如DMVPN、Routed GRE和GET GRE 技术,可以迎合不同网络环境的设计需求,比如全网状、中心到节点或任意到任意的站点间互连环境。

实验目的

本次实验通过搭建Lan to Lan的 IPSec VPN,思考IPSec背后的原理,了解并且进一步运用。

实验拓扑

IPSec拓扑图.png

实验要求

路由器 接口 IP地址 子网掩码 默认网关
R1 e0/0 101.1.1.1 255.255.255.0 N/A
R2 e0/0 101.1.1.2 255.255.255.0 N/A
e0/1 102.1.1.2 255.255.255.0 N/A
e0/2 103.1.1.2 255.255.255.0 N/A
R3 e0/0 102.1.1.1 255.255.255.0 N/A
R4 e0/0 103.1.1.1 255.255.255.0 N/A

实现R1通过站点到站点 IPSec VPN网络与R3、R4通信

具体配置过程

一、实现IP连通性

R1

R1(config)#int e0/0
R1(config-if)#ip add 101.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#int lo0
R1(config-if)#ip add 192.168.10.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#ip route 0.0.0.0 0.0.0.0 101.1.1.2

R2

R2(config)#int e0/0
R2(config-if)#ip add 101.1.1.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#int e0/1
R2(config-if)#ip add 102.1.1.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#int e0/2
R2(config-if)#ip add 103.1.1.2 255.255.255.0
R2(config-if)#no shutdown

R3

R3(config)#int e0/0
R3(config-if)#ip add 102.1.1.1 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#int lo0
R3(config-if)#ip add 192.168.20.1 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#ip route 0.0.0.0 0.0.0.0 102.1.1.2

R4

R4(config)#int e0/0
R4(config-if)#ip add 103.1.1.1 255.255.255.0
R4(config-if)#no shutdown
R4(config-if)#int lo0
R4(config-if)#ip add 192.168.30.1 255.255.255.0
R4(config-if)#no shutdown
R4(config-if)#exit
R4(config)#ip route 0.0.0.0 0.0.0.0 103.1.1.2

IPSec VPN的详细配置

R1配置

crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 1800
crypto isakmp key stsvpn1 address 102.1.1.1      
crypto isakmp key stsvpn2 address 103.1.1.1      
crypto ipsec transform-set stsvpn esp-3des esp-md5-hmac 
 mode tunnel
crypto map stsvpn1 10 ipsec-isakmp 
 set peer 102.1.1.1
 set peer 103.1.1.1
 set transform-set stsvpn 
 match address 101
 crypto map stsvpn1

R2配置

interface Ethernet0/0
 ip address 101.1.1.2 255.255.255.0
 duplex auto
!
interface Ethernet0/1
 ip address 102.1.1.2 255.255.255.0
 duplex auto
!
interface Ethernet0/2
 ip address 103.1.1.2 255.255.255.0
 duplex auto
!

R3配置

crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 1800
crypto isakmp key stsvpn1 address 101.1.1.1      
crypto ipsec transform-set stsvpn esp-3des esp-md5-hmac 
 mode tunnel
crypto map stsvpn1 10 ipsec-isakmp 
 set peer 101.1.1.1
 set transform-set stsvpn 
 match address 101
 crypto map stsvpn1

R4配置

crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 1800
crypto isakmp key stsvpn2 address 101.1.1.1      
crypto ipsec transform-set stsvpn esp-3des esp-md5-hmac 
 mode tunnel
crypto map stsvpn1 10 ipsec-isakmp 
 set peer 101.1.1.1
 set transform-set stsvpn 
 match address 102
 crypto map stsvpn1

参考资料

《网络安全技术与解决方案》

《IPSec VPN设计》