毕业论文-ciscoiosvpn基于ca认证说明书.docVIP

Cisco IOS VPN 基于CA认证的IPSEC VPN（step by step）第一类型-SDM GUI操作版之前我做了很多关于VPN的教程，但是感觉都描述的不是非常详尽，在VPN业务越来越多的今天，很多单位都开始尝试自己架设和维护VPN，一方面他们要求有较高的安全性和配置便捷性，同时在维护方面也需要尽量降低成本；另一方面设备商也在尽量推出简便易行的vpn产品和周边配套软件环境。在这样的主流趋势引导下，很多设备商都推出了VPN配置和维护的解决方案，我们今天就来看看Cisco的IOS VPN。 这个内容我打算分两个类型来说，第一类是基于SDM GUI的，第二类是直接在CLI的。相对比较第一类较为简单，我们从这里开始。 ==========================非常贱的分割线========================== 首先在配置ipsec vpn之前我们要做一下准备工作： 1、对ipsec和vpn有基本的了解，当然你有深入的了解自然最好。 2、我们得有一个最基本的环境：两台可以互相联通的cisco路由器。 3、这两台router的型号和IOS必须满足支持ipsec和ca的基本特性集。（不偷偷的暗示下，莫有的可以加我qq） 4、你得搞到一个SDM。（暗示同上） ==========================还是非常贱的分割线========================== 接下来，我们还要做一些进阶的准备工作： 1、router配置了用户名和密码，采用ssh的登录方式。（具体开启ssh的方法网上一把，但是要注意生成rsa密钥对）//这步主要是为了asdm和路由的通讯 2、配置域名，真假都可，做实验的话胡诌一个都可以。//这步主要是要保证ca发布时其他peer可以访问 3、配置时间，可以用ntp server同步或者clock set设置。//这步主要是为了保证ca证书的时间同步，因为证书是有有效期的 ==========================依然非常贱的分割线========================== 我的测试环境是对联的两台3745，IOS采用C3745-ADVENTERPRISEK9-M，接口全部fastethernet；SDM2 ver.5(由于我是从别的环境里抽出来的，所以呆会大家可能会看到别的接口和IP，当没看见好了)；连接如下： (fa0/1:12)R5（fa0/0:）-------(fa0/0:)R7（fa0/1:13） 其中10是外口，模拟穿过互联网；192是内口，模拟各自的内网。 1、设置NTP。  2、设置域名。  3、配置SSH。 （1）设置vty终端为ssh。 （2）创建SSH用的RSA密钥对。 这里cisco有个很搞笑的bug，准确的讲是个先有鸡还是先有蛋的问题：  需要我们输入ssh用户口令，可问题是这个rsa不生成出来，ssh是不会起来的，不起来我们如何输入用户口令呢？loop中。。。 目前我还不清楚这里究竟是什么问题，也许是我哪里操作有问题吧？ 我们只好在cli下处理先： R5(config)#cry key gen rsa The name for the keys will be: R5. Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: % Generating 512 bit RSA keys, keys will be non-exportable...[OK] *Mar 1 05:25:22.815: %SSH-5-ENABLED: SSH 1.99 has been enabled 好。ssh起来了，我们也可以在PKI相关栏目里看到我们刚才生成的密钥对。 （3）配置用户密码。 基本的准备工作到这里就结束了。 ==========================依然非常贱的分割线========================== 接下来我们配置CA server。 创建一个ca server，注意要输入我们刚才配置的用户密码。  向导出现：  输入参数：这里要强调一下，grant部分是指是否自动统一客户端证书申请请求，自动的话可能安全性差点，懒汉专用，我们这里为了多演示一些步骤，就采用手动方式了。其他参数酌情填写。 生成rsa密钥对，这里说明一下，这个是给ca用的，前面那个