cisco VPN 學習第三天筆記
阿新 • • 發佈:2017-07-30
vpn 筆記
IPSec VPN 網絡穿越和高可用性
第一部分 IPSec VPN 網絡穿越問題
1.1 IPSec 流量放行問題(中間設備)
放行加密點之間的ISAKMP和ESP 流量
site1:202.100.1.1
site2:202.100.2.1
access-list out extended permit udp host 202.100.1.1 eq isakmp host 202.100.2.1 eq isakmp access-list out extended permit esp host 202.100.1.1 host 202.100.2.1 access-group out in interface outside
1.2 IPSec 流量放心問題(加解密設備)
site1:202.100.1.1
site2:61.128.1.1
ip access-list extended inbound permit upd host 遠端ip eq isakmp host 本端ip eq isakmp permit esp host 遠端ip host 本端ip ip access-list extended outbound permit esp host 本端ip host 遠端ip interface f0/0 ip access-group inbound in ip access-group outbond out
1.3 入方向crypto MAP對流量的處理
是否感興趣流 | 是否加密 | 有無map | action |
N/A | 是 | 有 | 解密 |
是 | 不 | 有 | drop |
是 | 不 | 沒有 | forward |
N/A | 是 | 沒有 | 解密 |
1.4 NAT-T 技術介紹
NAT-T技術默認是開啟的
NAT對ESP的影響: 在傳輸模式的ESP,NAT修改了外層IP地址,由於TCP/UDP校驗和的計算包含IP源目地址,所以TCP/UDP的 校驗和需要更新,但是現在TCP/UDP已經加密,中間路由器無法更新TCP/UDP的校驗和,所以TCP的校驗和 檢查最終會失敗 隧道模式的ESP,不受1:1轉換的影響(動態一對一,靜態一對一),但是不能穿越PAT,因為PAT轉換, 多個內部地址復用一個外部地址,並且使用傳輸層端口來區分不同流量,很遺憾ESP沒有傳輸層端口
NAT-T技術的三個步驟
第一步決定雙方是否都支持NAT Traversal 決定雙方是否支持NAT-T和判斷peers之間是否有NAT存在的任務在IKE第一階段完成,NAT-T能力探 測使用IKE第一階段1-2個包交換來實現,雙方互相交換NAT-T的vendor ID來表示本端是否支持NAT-T 第二步決定兩個peers 之間是否有NAT存在 為了決定peers之間是否有NAT存在,peer會發送一個hash負載(源目IP和端口計算),如果雙方計算 的hash和接收的hash值匹配,那麽peers之間就沒有NAT存在(就采用ESP封裝),如果hash值不匹配, 那麽peers就需要使用NAT-T技術封裝穿越NAT hash負載也叫NAT-D負載,他在MM模式的3-4個包發送,也在AM的2-3個包發送 第三步決定如何使用UDP封裝
第二部分 IPSec VPN高可用性
2.1 基本IPSec VPN配置
crypto isakmp policy 10 authentication pre-share crypto isakmp key cisco address 202.100.1.1 crypto ipsec transform-set vpntrans esp-des esp-md5-hmac
ip access-list extended vpn permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
crypto map vpn-map 10 ipsec-isakmp set peer 202.100.1.1 set transform-set vpntrans match address vpn
interface f0/0 crypto map vpn-map
inside 暫時添加一條路由
ip route 0.0.0.0 0.0.0.0 10.1.1.10
2.2 Reverse Route injection ( RRI)
哪臺路由器處於active(有IPSEC SA)就會有如下的RRI
static route 1.1.1.0/24 next hop 202.100.1.1
RRI介紹
RRI能夠為遠端隧道終點保護的網絡和主機,在路由表內動態的插入相應的靜態路由,這些被保護的主機 和網絡也被叫為“remote proxy identities” 基於“remote proxy”的網絡和掩碼產生每一條路由,這些網絡的下一跳為遠端隧道終點。使用遠端VPN 路由器為下一跳,能夠引導流量被加密
RRI配置(ACTIVE)
crypto map vpn-map 10 set reverse-route tag 10(為RRI動態產生的路由打上tag10) reverse-reoute(啟用RRI) route-map static-to-ospf permit 10 match tag 10 (配置上tag 10的路由) router ospf 1 redistribute static subnets route-map static-to-ospf (重分布靜態路由到身後動態路由協議)
2.4 Dead Peer Detection
VPN使用一個keepalive機制叫做DPD,來檢查遠端隧道IPSec路由器的可用性。如果網絡發生不尋常的忙碌或者不穩定,我們能夠設置一個時間來等待,並且判斷遠端設備是否“Active”。DPD技術能夠和其他高可用性技術配合使用,盡快的清除有問題的IPSec SA,和正常工作的peer建立IPSec隧道
DPD有兩種工作模式:
Periodic
on-demand(默認)
DPD Periodic 周期性的檢測dead peers crypto isakmp keepalive 10 periodic 周期性頻繁的發送信息結果就是通訊雙方會加解密更多的數據包,增加設備的資源消耗
DPD on-demand 基於流量形式的不同而采取不同的發送方式 crypto isakmp keepalive 10 默認情況下DPD連續5次無響應,會認為鏈路故障 如果一臺路由器發送了出方向的流量,在一定時間內對端路由器沒有回送相應的解密流量,這個時候DPD被發送來詢問對端狀態。 如果一臺路由器沒有流量要發送,那麽它也不會發送DPD信息
default peer
使用“set peer ”命令我們可以配置第一個peer為default peer 如果配置了default peer,下一次連接會直接向default peer發起 如果default peer 沒有響應,在“peer list”裏邊的下一個peer 會成為current peer
idle timers
阻止閑置peer消耗資源
cisco VPN 學習第三天筆記