vpn详细带图.docVIP

摘自：/kong10111/blog/item/cc0755f495ada8ed7609d7cc.html /ruijievideo/blog/item/e2ab2a25146f130b4d088dfb.html /ox1943/blog/item/eebff809d3b2add863d98673.html VPN详解　　 当路由器收到一个数据包时，它将检查安全策略（即所定义的感兴趣的流量）以决定是否为此数据包提供保护。如果匹配访问列表所定义的流量，则路由器决定采用何种安全服务，并决定IPSEC端点所使用的地址，并检查是否存在一个安全关联（security association）. 如果没有安全关联，则路由器将与对等体协商建立。而IKE用来在站点路由器之间建立一个提供验证的安全通道，并在此安全通道上进行Ipsec安全关联的协商。IKE首先验证它的对等体，可通过预共享密钥，公钥密码或数字签名来实现。一旦对等体被验证通过，Diffe-Hellman协议用来产生一个共有的会话密钥。 1.1静态地址 １.站点间用于建立VPN的两台设备都有静态公网地址. 内部主机通过NAT地址转换后访问Internet.但内部主机之间的访问流量不通过NAT转换，而通过Ipsec加密进行访问。如图所示，在远程站点间，由于专线费用过高，因此考虑与中心站点间采用IPsec VPN技术来实现远程分支站点与中心站点间的私网互联。 因为内网是私有地址，所以在上Internet时必须做NAT地址转换。而通过VPN隧道在内网之间访问的时候，相当于两边私网通过专线互联，因此不需要做NAT。 1路由配置，NAT配置及感兴趣流量的定义 R1与R3分别是中心站点与分支站点的Internet接入路由器，在接入路由器上通常配置默认路由。 1.接口及路由配置 R1配置： interface Ethernet0/1 ip address interface Serial1/0 ip address ip route Serial1/0 R2配置 interface Serial1/0 ip address ! interface Serial1/1 ip address R3配置 interface Ethernet0/1 ip address interface Serial1/1 ip address ip route Serial1/1 2.NAT配置 在R1和R3上分别做PAT地址转换，定义需要做NAT的访问列表。 R1配置： R1(config)#int e0/1 R1(config-if)#ip nat inside R1(config-if)#int s1/0 R1(config-if)#ip nat outside ip nat inside source list 102 interface Serial1/0 overload 定义了访问列表102所指定的流量进行NAT转换，overload选项进行端口复用（PAT） R1(config)#access-list 102 deny ip 55 55 将访问的流量不进行NAT转换。 R1(config)#access-list 102 permit ip 55 any 对去往Internet的流量进行NAT转换 R3配置： R3(config)#int e0/1 R3(config-if)#ip nat inside R3(config)#int s1/1 R3(config-if)#ip nat outside ip nat inside source list 102 interface Serial1/1 overload R3(config)#access-list 102 deny ip 55 55 R3(config)#access-list 102 permit ip 55 any 3.定义触发Ipsec保护的感兴趣的流量 R1 access-list 101 permit ip 55 55 R3 access-list 101 permit ip 55 55 2定义IKE参数 １. 定义IKE加密策略：IKE用来创建使用共享密钥的安全关联（SA） R1 R1(config)#crypto isakmp policy 1 R1(config-isakmp)#? ISAKMP commands: authentication Set authentication method for protection suite 定义验证的方法 default