• <meter id="tmgru"></meter>

    <dl id="tmgru"></dl>
      1. <dl id="tmgru"><legend id="tmgru"></legend></dl>
        1. <code id="tmgru"></code>

          <var id="tmgru"><u id="tmgru"></u></var>

          <dl id="tmgru"><legend id="tmgru"></legend></dl>
          計算機學習網-【computerpx】

          招生咨詢電話與微信:15225191462(周老師)
          計算機學習網,我命由我不由天,學IT技術,做更好的自己

          首頁 > 電腦教程/ 正文

          I PSec配置與測試

          2014-06-24 16:33:14 www.pb939.com

           IPSec實現的工作流程

          IPSec實現的VPN主要有下面4個配置部分。

              1.IPSec做準備

              IPSec做準備涉及到確定詳細的加密策略,包括確定要保護的主機和網絡,選擇一種認證方法,確定有關IPSec對等體的詳細信息,確定所需的IPSec特性,并確認現有的訪問控制列表允許IPSec數據流通過。

              (1)根據對等體的數量和位置在IPSec對等體間確定一個IKE (IKE階段1,或者主模式)策略。

              (2)確定IPSec (IKE階段2,或快捷模式)策略,包括IPSec對等體的細節信息,例如IP地址及IPSec變換集和模式。

              (3)write terminal, show isakmp, show isakmp policy, show crypto map命令及其他show命令來檢查當前的配置。

              (4)確認在沒有使用加密前網絡能夠正常工作,用ping命令并在加密前運行測試數據流來排除基本的路由故障。

              (5)確認在邊界路由器和防火墻中己有的訪問控制列表允許IPSec數據流通過,或者想要的數據流將可以被過濾出來。

          2.配置IKE

              配置IKE涉及到啟用IKE(isakmp是同義詞)、創建ME策略和驗證所做的配置.

              (1)isakmp enable命令啟用或關閉IKE.

              (2)isakmp policy命令創建IKE策略。

              (3)isakmp key命令和相關命令配置預共享密鑰。

              (4)show isakmp [policy]命令驗證IKE的配置。

              3.配置IPSec

              IPSec配置包括創建加密用訪問控制列表,定義變換集,創建加密圖條目,并將加密集應用到接口上去。

              (1)access-list命令配置加密用訪Ep]控制列表。

          例如:

          access-list acl-name {permitjdeny} protocol src addr src mask [operator port [port]] dest addr dest mask

          [operator prot [port]]

          (2)crypto ipsec transform-set命令配置變換集。

          例如:

          crypto ipsec transform-set transform-set-name transform I [transform2 [transform3]]

              (3)(任選)crypto ipsec security-association lifetime命令配置全局性的IPSec安全關聯

          的生存期。

              (4)crypto map命令配置加密圖。

              (5)interface命令和crypto map map-name interface把配置應用到接口上.

              (6)用各種可用的show命令驗證IPSec的配置。

          4.測試和驗證IPSec

              該任務涉及到使用show, debug和相關的命令來測試和驗證,Sec加密工作是否正常,并為之排除故障。

          8.6.2 Cisco配置舉例

              某公司由總部和分支機構構成,通過IPSec實現網絡安全,具體網絡拓撲結構和主路由器及分支路由器上的配置如下。

              1.網絡拓撲

          網絡結構如圖8-31所示。

          2.配置

          兩路由器之間地址分配如表8一所示。

          則兩端路由器配置分別如下。

          總部端路由器部分配置:

          crypto isakmp policy 1;配置11,140策略1

          authentication pre-share:1KE策略I的驗證方法設為pre-share

          group 2;1024Diffie-Hellman,加密算法未設置則取默認值DES

          crypto isakmp key test123 address 202.96.1.2

          :設置Pre-share密鑰為test 123,此值兩端需一致

          crypto ipsec transform-set VPNtag ah-md5-hmac esp-des;設置AH散列算法為md5

          !ESP加密算法為DES

          crypto map VPNdemo 10 ipsec-isakmp:定義crypto map

          set peer 202.96.1.2:設置隧道對端IP地址

          set transform-set VPNtag:設置隧道ARESP

          match address 101;

          !

          interface TunnelO

          :定義隧道接口

          ip address 192.168.1.1 255.255.255.0:隧道端口IP地址

          no ip directed-broadcast

          tunnel source 202.96.1.1;隧道源端地址

          tunnel destination 202.96.1.2 ;隧道目的端地址

          crypto map VPNdemo:應用VPNdemo于此接口

          interface Serial0/0

          ip address 202.96.1.1 255.255.255.252:串口的Internet IP地址

          no ip directed-broadcast

          crypto map VPNdemo;應用VPNdemo于串口

          interface EthernetO/1

          ip address 168.1.1.1 255.255.255.0:外部端口IP地址

          no ip directed-broadcast

          interface Ethernet0/0

          ip address 172.22.1.100 255.255.255.0:內部端口IP地址

          no ip directed-broadcast

          !

          ip classless

          ip route 0.0.0.0 0.0.0.0 202.96.1.2:默認路由

          ip route 172.22.2.0 255.255.0.0 192.168.1.2;J內網的靜態路由(經過隧道)

          access-list 101 permit gre host 202.96.1.1 host 202.96.1.2;定義存取列表

          分支機構端路由器部分配置:

          crypto isakmp policy 1

          authentication pre-share

          group 2

          crypto isakmp key test123 address 202.96.1.1

          crypto ipsec transform-set VPNtag ah-md5-hmac esp-des

          !

          crypto map VPNdemo 10 ipsec-isakmp

          set peer 202.96.1.1

          set transform-set VPNtag

          match address 101

          !

          interface Tunnel0

          in address 192.168.1.2 255.255.255.0

          no ip directed-broadcast

          tunnel source Serial0/0

          tunnel destination 202.96.1.1

          crypto map VPNdemo

          interface Serial0/0

          ip address 202.96.1.2 255.255.255.252

          no ip directed-broadcast

          crypto map VPNdemo

          r

          interface Ethernet0/1

          ip address 167.1.1.1 255.255.255.0

          no ip directed-broadcast

          interface Ethernet0/0

          ip address 172.22.2.100 255.255.255.0

          no ip directed-broadcast

          !

          ip classless

          route 0.0.0.0 0.0.0.0 202.96.1.1

          route 172.22.1.0 255.255.0.0 192.168.1.1

              access-list 101 permit gre host 202.96.1.2 host 202.96.1.1

              8.6.3測試時常見的故障

              1.故障1

              問題描述:IPSec-manualIPSec-isakmp方式下,雙方配置好后或雙方協商通過后,雙方仍然無法進行通信。同時若打開debug crypto packet,則會出現如下信息:

              reed IPSEC packet from IPADDR has invalid spi

              原因:對端。utboundspi值與本端的inbound不同或配置的策略不同(esp, ah )

              判斷方法和解決方案:檢查雙方的配置信息,尤其是在IPSec-manual方式下檢查雙方的SPI值是否按方向(inbound, outbound)匹配。而在IPSec-isakmp下,則可能是協商出錯。

              2.故障2

              問題描述:IPSec-manual方式下,雙方配置好后,雙方仍然無法進行通信。同時若打開debug crypto packet,則會出現如下信息:

          packet missing policy

          原因:對端outbound的配置策略和本地不同(esp, ah )

              判斷方法和解決方案:檢查雙方的配置信息,很可能是對端策略配置為esp,而本端策略

          ah+esp o

          3.故障3

              問題描述:IPSec-manual方式下,雙方配置好后,雙方仍然無法進行通信。同時若打開debug crypto packet,則會出現如下信息:

          rec'd IPSEC packet from IPADDR has bad pading

              原因:對端。uthound的加密密鑰與本端inbound的不同。

              判斷方法和解決方案:檢查對端outbound的加密密鑰和本端inbound的加密密鑰,務必使兩者相同。

          4.故障4

              問題描述:IPSec-manual方式下,雙方配置好后,雙方仍然無法進行通信。同時若打開debug crypto packet,則會出現如下信息:

              recd IPSEC packet mac verifailed

              原因:對端。utboundESPAH驗證密鑰與本端inbound的不同。

              判斷方法和解決方案:檢查對端outboundESPAH驗證密鑰和本端inbound的驗證密鑰,務必使兩者相同。

              5.故障5

              問題描述:在〕Sec-manual方式下,雙方配置好后,雙方仍然無法進行通信。同時若打開debug crypto packet,則會出現如下信息:

          rec'd IPSEC packet from IPADDR to IPADDR does not agree with policy

              原因:IPSEC處理完成的包與相應的access-list不同,子MAP的訪問列表配置有問題。

              判斷方法和解決方案:檢查本端sub-Map配置的access-list是否符合進行IPSec通信的要求。

          6.故障6

              問題描述:IPSec-isakmp方式下,雙方配置好后,由對端開始發起協商,無法進行通信,show crypto isakmp sa也沒有發現和當前通信相關的成功的SA信息。在協商同時若打開debugcrypto isakmp,則會出現如下信息:

          ISAKMP(xxx): processing ISAKMP-SA payload(隨后有若干transform-payload中的內容)

          ISAKMP(xxx): no acceptable Oakley Transform

          ISAKMP(xxx): negotiate error NO-PROPOSAL--CHOSEN

          原因:雙方配置的ISAKMP策略不匹配。

          判斷方法和解決方案:檢查兩端的ISAKMP-Policy是否相同,尤其是對端的lifetime不能大于本地的lifetime值。

          7.故障7

              問題描述:IPSec-isakmp方式下,雙方配置好后,由對端開始發起協商,無法進行通信,show crypto ipsec sa也沒有發現和當前通信相關的成功的SA信息。在協商同時若打開debugcrypto isakmp,則會出現如下信息:

          ISAKMP(xxx): processing IPSec-SA payload(隨后有若干transform-payload中的內容)

          ISAKMP(xxx): no acceptable Proposal in IPsec SA

          ISAKMP(xxx): negotiate error NO-PROPOSAL-CHOSEN

              原因:雙方配置的IPSec策略不匹配。

              判斷方法和解決方案:檢查兩端相應的transform-set是否匹配,相應的下的pfs屬性是否相同。

          8.故障8

              問題描述:IPSec-isakmp方式下,雙方配置好后,由對端開始發起協商,無法進行通信,show crypto ipsec sa也沒有發現和當前通信相關的成功的SA信息。在協商同時若打開debugcrypto isakmp,則會出現如下信息:

          ISAKMP: attr accept again transform-set xxx

          //ISAKMP(xxx): dealing with ID-payload

          (隨后有對端為IPSec通信所配置的access-list內容)

          //ISAKMP(xxx): ISAKMP: not found matchable policy

          原因:雙方配置的IPSec規則不匹配。

          判斷方法和解決方案:檢查兩端相應的subee map下的規則(access-list)是否匹配。

          9.故障9

          問題描述:IPSec-isakmp方式下,雙方配置好后,由本端開始發起協商,無法進行通信,show crypto isakmp sa也沒有發現和當前通信相關的成功的SA信息。、在協商同時若打開debugcrypto isakmp,則會出現如下信息:

              ISAKMP(xxx): dealing with NotiPayload

              ISAKMP: Notify-Message: NO-PROPOSAL-CHOSEN

              原因:雙方配置的ISAKMP策略不匹配。

              判斷方法和解決方案:檢查兩端的ISAKMP-Policy是否匹配。

              10.故障10

              問題描述:IPSec-isakmp方式下,雙方配置好后,由本端開始發起協商,無法進行通信,show crypto isalanp sa發現和當前通信相關的成功(M SA SETUP)SA信息,但是show crypto

          ipsec sa無相關的SA信息。在協商同時若打開debug crypto isakmp,則會出現如下信息:

              ISAKMP(xxx): dealing with Notify Payload ISAKMP: NotiMessage: NO-PROPOSAL-CHOSEN

              原因:雙方配置的IPSec策略不匹配,或配置的規則(access-list)不匹配。

              判斷方法和解決方案:檢查兩端相應的transform-set是否匹配,相應的sub map下的pfs

          屬性和規則(access-list)是否匹配。

              11.故障11

              問題描述:IPSec-isakmp方式下,雙方配置好后,由一方開始發起協商,無法進行通信,show crypto ipsec sa無相關的SA信息。在協商同時若打開debug crypto isakmp,則會出現如下信息:

          ISAKMP(xxx): dealing with Notify Payload ISAKMP: Notify-Message: INVALID-EXCHANGE-TYPE

          11/ISAKMP(xxx): negotiate error INVALID-EXCHANGE-TYPE.

          原因:對端不支持此種類型的協商報文。

              判斷方法和解決方案:改變對端設置,更換一種模式(例如由Aggressive模式換成Main模式)


          Tags:洛陽電腦培訓中心,河南電腦培訓中心機構,鄭州電腦軟件培訓機構,河南電腦培訓中心好嗎,電腦軟件培訓機構,鄭州電腦培訓中心怎么樣

          鄭州北大青鳥計算機專業學校
          鄭州北大青鳥計算機專業學校介紹
          鄭州北大青鳥計算機專業學校專業設置
          鄭州北大青鳥計算機專業學校招生要求
          鄭州北大青鳥計算機專業學校校園活動
          鄭州北大青鳥計算機專業學校就業保障
          搜索
          計算機培訓學校,就來計算機學習網咨詢
          計算機培訓學校,就來計算機學習網咨詢
          熱門標簽
          計算機培訓學校,就來計算機學習網咨詢
          計算機培訓學校,就來計算機學習網咨詢
          計算機培訓學校,就來計算機學習網咨詢
          • QQ交談
          开心五月色播