使用路由器和PIX做点对点VPN的配置方法
今天介绍一个使用路由器和PIX做点对点VPN的配置实验,通过这个site to site的实验掌握一些vpn的配置原理和方法,并且熟悉实验的步骤。此外要注意,很多国外的专业人士是采用公网IP而不是内网的网段来做这样的实验,所以对网上介绍的组网文章,要注意不要全文照搬。
通过这次配置PIX与路由器做点对点VPN的测试,学到了一些东西,但也受到了很多教训,总体来说,收获比较大.总结下几点:
存在的问题:
一),思想上重视程度不够,想当然的以为VPN配置不是很复杂,以为看过几遍文档就能把VPN配置出来,对VPN的概念以及原理没有深究,对公司以前配置过的VPN没有细细的分析,配置的步骤不清不楚,只会照葫芦画瓢,没有从根本上掌握VPN技术.
二),对技术的研究热情不够,第一次接触做点对点VPN,但是没有认真的研究学习VPN的的原理,导致在测试的过程中不能正确分析问题存在的原因,排错的能力几乎为零.
三),准备工作不充分,虽然在网上查找到一些有用的资料,但是仅局限于资料本身的可用性,没有深层次从中考虑到配置VPN的一些原理,用法以及配置的具体步骤和方法.没有利用网上的资料给出测试的方案,画出测试的网络拓扑结构,在测试的过程中十分被动,仅靠网上的几篇文档资料,配置的时候无从下手.
四),在测试过程中没有很好的利用现有资源,在遇到困难和问题时候没有很好的给出解决办法,比较过分依赖于同事或者朋友,依靠互联网寻找解决问题、独立思考的能力比较欠缺.
一些经验:
在配置点对点的VPN的过程中,大概理解了VPN配置的原理,包括加密方式,算法以及验证的模式等.
一),初步理解了点对点VPN的一些原理,所谓点对点VPN,是两边同时配置成VPN网关,这样就可以使两个VPN网关设备后面的私网地址互相通信,并不需要转换成公网IP地址再进行访问,一是节省了IP地址,另一方面由于VPN的加密特性也确保了数据的安全性.
二),点对点,意味着两边的配置应该完全一样(当然,除非一些自定义的词语以外),这次我做测试的设备一台是思科PIX 515E防火墙,另一个设备是思科2611XM路由器,并且在PIX的设备上已经配置了一个点对点VPN了.这就意味着有个参考的对象.
三),在前期的准备工作中,应该使用一些常见的测试方法,比如 ping 命令:在做VPN的同时开启ping外网地址,这样可防止错误操作而导致正常使用的网络中断.还有如tracert命令等.
四),在配置过程中,如何清晰的把握配置的原理及步骤是光键,网络的配置往往在一些小的细节方面非常重要,稍不注意全盘不通.在VPN的配置概念中,双方的加密方式,算法以及验证的方式都必须一样,lifetime也必须一样.这里就需要注意一些设备的默认值,比如说思科路由器默认的加密方式是DES,而大多数的设备配置的加密方式都是3DES,如果没注意则配置肯定不成功.
虽然事情业已告一段落,但这件事让我受益颇多.
一些测试的步骤:
PIX配置:
通常我们先配置访问控制列表,这里的ACL是应用在点对点VPN里面的,做两个设备后面发现的网段之间的访问控制.做为测试,开启的权限是比较大的,在生产环境中应该根据需求开启相应的端口.
写一条访问控制列表:
access-list 203 permit ip 10.0.X.0 255.255.255.0 192.168.X.0 255.255.255.0
access-list 203 permit ip 192.168.X.0 255.255.255.0 10.0.X.0 255.255.255.0
在访问控制列表之后就是配置加密图(在配置模式下进入):
crypto ipsec transform-set testvpn esp-3des esp-md5-hmac
配置IPSec变换集.先要定义双方交换的加密方式及算法,这里的testvpn只是一个定义的名称而已,可以自已定义,后面会调用它,而3des是被定义的加密方式,md5-hmac是被定义的hash算法.
再定义动态加密图
crypto dynamic-map dynmap 10 set transform-set backup
把动态加密图集加入到正规图集中
crypto map idcvpn 10 ipsec-isakmp dynamic dynmap
这几条命令是加密图的必要参数,也就是调用前面的定义的加密方式testvpn,并且应用前面所写的ACL203,定义对端VPN网关地址120.56.147.112(都是在加密图模式下操作)
crypto map idcvpn 1 ipsec-isakmp 创建加密图
crypto map idcvpn 1 match address 203 引用加密访问列表确定受保护的流量
crypto map idcvpn 1 set peer 120.56.147.112 指定对等体
crypto map idcvpn 1 set transform-set testvpn 指定使用的变换集
crypto map idcvpn interface outside
在接口上指定要使用的加密图(outside指外网口)
isakmp key ******** address 120.56.147.112 netmask 255.255.255.255
指定与对方交换的KEY
创建IKE策略:
定义认证方法为预共享密鈅
isakmp policy 1 authentication pre-share
定义认证方法为预加密方式,以及算法,组,生命周期(默认是86400)
isakmp policy 1 encryption 3des
isakmp policy 1 hash md5
isakmp policy 1 group 1
isakmp policy 1 lifetime 1000
在接口上应用IKE策略(outside指外网口)
isakmp identity address
isakmp enable outside
这里记得还要补上一条:因为点对点的VPN之间的网络互相访问的时候是不做NAT出去的,所以要加上一条ACL阻止这两个网络之间访问是不能做NAT出去.
access-list nonat permit ip 10.0.X.0 255.255.240.0 192.168.X.0 255.255.255.0
nat (inside) 0 access-list nonat
路由器上的配置:
原理同PIX的配置是一样的,但是在命令以及应用上有些稍的差别:
先建立访问控制列表130,为下面的VPN加密调用:
access-list 130 permit ip 10.0.X.0 0.0.0.255 192.168.X.0 0.0.0.255
access-list 130 permit ip 192.168.X.0 0.0.0.255 10.0.X.0 0.0.0.255
在配置模式下:
crypto isakmp policy 1 创建IKE策略
hash md5 定义散列算法
authentication pre-share 定义预认证方法为预共享密鈅
crypto isakmp key ******** address 210.211.198.14 配置预共享密鈅
crypto ipsec transform-set sharks esp-3des esp-md5-hmac 配置IPSec变换集
crypto map testvpn 1 ipsec-isakmp 创建加密图
set peer 210.211.198.14 指定对等体
set transform-set sharks 指定变换集
match address 130 引用加密访问列表确定受保护的流量
在接下模式下,应用加密图:
interface FastEthernet0/0
crypto map testvpn
这里还需要注意一点是路由器内网段不做NAT出去:
ip nat pool internet 120.56.147.112 120.56.147.112 netmask 255.255.255.252
ip nat inside source route-map nonat pool internet overload
route-map nonat permit 10
match ip address 130
接口上应用NAT:
ip nat outside 在外网口应用NAT
ip nat inside 在内网口应用NAT
当然这只是一部分的测试步骤,也是最基本的site to site VPN的配置方法,这次是跟美国的一个客户做这和PIX对路由器做VPN,而我们公司本来已经在两台PIX之间已经做好了site to site VPN,所以跟上面的配置还是有些区别的.
另外一点是,老外采用的VPN方式跟我们平常做的还不一样,他们喜欢用一个公网IP来代替内部一个网段来做这种site to site VPN,这无形中又产生了些微的差别.但总体的配置步骤以及方式方法都还是一样的.