IPSec VPN学习记录(五)Lan to Lan
前言
站点到站点(Lan to Lan)是VPN的一种主要连接方式,用干加密站点间流量。 CISco路由器和防火墙ASA 都支持这种连接方式。
部署环境
Cisco 为 IPsec VPN的部署提供了多种设备,其中包括 Cisco 路由器、Catalyst 6500 系列交换机、Cisco ASA 5500 自适应安全设备、PIX500 系列防火墙和 VPN 3000 集中器系列。
IPsec VPN完全符合工业标准并可以通过 Cisco 设备得到很好的部署,它既可以在 Cisco设备之间部署,也可以在Cisco设备与其他厂商的设备之间部署。
IPsec VPN的两类解决方案
IPsec VPN解决方案可以分为以下两大主要类别。
- 站点到站点 IPsec VPN。
— 全网状(Full Mesh)
— 中心到节点(Hub-and-Spoke)
— DMVPN
— 静态VTI
— GET VPN - 远程访问 IPsec VPN。
— Easy VPN
— 动态VTI
常见的IPSec VPN部署场景
IPSec VPN部署场景对比表
Lan to Lan IPSec VPN
站点到站点 IPsec VPN增强了网络的智能性,为关键任务流量提供了具有可靠传输机制的路由功能,而且不会影响通信的质量。
站点到站点IPsec VPN提供了基于Internet的WAN解决方案,它能够安全地将远端机构、分支机构、家庭办公或合作伙伴站点连接到中心站点,比起费用昂贵的专用 WAN 链路、专线或帧中继电路,这种Internet连接无疑性价比很高。
站点到站点 IPsec VPN通过使用基于 Internet的 IPsec VPN解决方案,降低了 WAN 带宽的消耗,既提高了连接速度又保障了传输的质量和可靠性,进而扩展了网络资源。
站点到站点 IPsec VPN也扩展了客户自定义的解决方案,比如DMVPN、Routed GRE和GET GRE 技术,可以迎合不同网络环境的设计需求,比如全网状、中心到节点或任意到任意的站点间互连环境。
实验目的
本次实验通过搭建Lan to Lan的 IPSec VPN,思考IPSec背后的原理,了解并且进一步运用。
实验拓扑
实验要求
路由器 | 接口 | IP地址 | 子网掩码 | 默认网关 |
---|---|---|---|---|
R1 | e0/0 | 101.1.1.1 | 255.255.255.0 | N/A |
R2 | e0/0 | 101.1.1.2 | 255.255.255.0 | N/A |
e0/1 | 102.1.1.2 | 255.255.255.0 | N/A | |
e0/2 | 103.1.1.2 | 255.255.255.0 | N/A | |
R3 | e0/0 | 102.1.1.1 | 255.255.255.0 | N/A |
R4 | e0/0 | 103.1.1.1 | 255.255.255.0 | N/A |
实现R1通过站点到站点 IPSec VPN网络与R3、R4通信
具体配置过程
一、实现IP连通性
R1
R1(config)#int e0/0
R1(config-if)#ip add 101.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#int lo0
R1(config-if)#ip add 192.168.10.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#ip route 0.0.0.0 0.0.0.0 101.1.1.2
R2
R2(config)#int e0/0
R2(config-if)#ip add 101.1.1.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#int e0/1
R2(config-if)#ip add 102.1.1.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#int e0/2
R2(config-if)#ip add 103.1.1.2 255.255.255.0
R2(config-if)#no shutdown
R3
R3(config)#int e0/0
R3(config-if)#ip add 102.1.1.1 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#int lo0
R3(config-if)#ip add 192.168.20.1 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#ip route 0.0.0.0 0.0.0.0 102.1.1.2
R4
R4(config)#int e0/0
R4(config-if)#ip add 103.1.1.1 255.255.255.0
R4(config-if)#no shutdown
R4(config-if)#int lo0
R4(config-if)#ip add 192.168.30.1 255.255.255.0
R4(config-if)#no shutdown
R4(config-if)#exit
R4(config)#ip route 0.0.0.0 0.0.0.0 103.1.1.2
IPSec VPN的详细配置
R1配置
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 1800
crypto isakmp key stsvpn1 address 102.1.1.1
crypto isakmp key stsvpn2 address 103.1.1.1
crypto ipsec transform-set stsvpn esp-3des esp-md5-hmac
mode tunnel
crypto map stsvpn1 10 ipsec-isakmp
set peer 102.1.1.1
set peer 103.1.1.1
set transform-set stsvpn
match address 101
crypto map stsvpn1
R2配置
interface Ethernet0/0
ip address 101.1.1.2 255.255.255.0
duplex auto
!
interface Ethernet0/1
ip address 102.1.1.2 255.255.255.0
duplex auto
!
interface Ethernet0/2
ip address 103.1.1.2 255.255.255.0
duplex auto
!
R3配置
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 1800
crypto isakmp key stsvpn1 address 101.1.1.1
crypto ipsec transform-set stsvpn esp-3des esp-md5-hmac
mode tunnel
crypto map stsvpn1 10 ipsec-isakmp
set peer 101.1.1.1
set transform-set stsvpn
match address 101
crypto map stsvpn1
R4配置
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 1800
crypto isakmp key stsvpn2 address 101.1.1.1
crypto ipsec transform-set stsvpn esp-3des esp-md5-hmac
mode tunnel
crypto map stsvpn1 10 ipsec-isakmp
set peer 101.1.1.1
set transform-set stsvpn
match address 102
crypto map stsvpn1
参考资料
《网络安全技术与解决方案》
《IPSec VPN设计》
用手机扫描下方二维码可在手机上浏览和分享
评论功能已关闭