CCNP 筆記本

2009 年 02 月 09 日

CCNP-ISCW Module 03 IPSec VPNs(3)

Filed under: CCNP-ISCW Module 03 — nkongkimo @ 04:12:25

IPSec VPN tunnel的程序

IPsec NAT Transversal (NAT-T) 步驟

NAT-T detection 再Phase 1 用NAT discovery封包偵測傳輸中是否有NAT的設備
NAT-T decision 再Phase 2 把IPSec封包,封裝在UDP Header裡面。

PKI (Public Key Infrastruture) Environment

名稱 備註
CA
(Certificate Authority)
憑證管理中心,最重要的信任點。
功能:Key的產生。
RA
(Registration and Certification Insurance)
幫助CA註冊的單位
Certificate Revocation 憑證廢止單位
功能未註銷憑證
Trusted Time Service 校時系統
功能為驗證CA Key的時效性
Key Recovery Key回覆機制
Support for Nonrepudiation 不可否認性

憑證的處理過程

設備若要使用憑證 會把憑證存放再NVRAM裡面或E-toke裡面(usb smart card)

IPSec建立流程:

Setup 2.利用Main Mode的方式協商IKE SA

看哪一個限制先到達就會中斷

設定IPSec的步驟

Configure IKE 步驟
Step1:Enable or Disable IKE
*啟動IKE

Step2:Create IKE policies
*建立IKE policy
*優先權低的會先協商(由低到高)
*建議越安全的值,優先權設定越小
*Lifetime 86400表示一天
*雙邊要設定相同的參數

Step3:Configure ISAKMP identity
*設定協商的對象
*大部分使用ip address
*雙邊都要設定
Step 4:Configure Preshared Keys
*設定協商的key
*雙邊都需要設定相同的key
*需要設定協商對方的IP
Step 5:Verify IKE Configuare

Configure IPSec 步驟
Step 1:Configure Transform Sets
Step 2:Configure global IPSec Lifelines
*設定lifetime

image
Step 3:Create crypto ACLs
*定義可以使用IPSec的網段
*設定的方向要正確
Step 4:Configure IPSec Crypto maps
*用crypto把IPSec的設定巨集起來
*可建立多點peer協商IPSsec
*pfs為一個安全的機制:定期更新加密的key,只要建立IPSec SA後會把IKE SA刪掉,若lifetime到時,需要重新協商IKE SA以達到最安全的目的。
*match指令表示:只要滿足ACL 110 就做下列項目。
image
Step 5:Applying Crypto Maps to Interfaces
*套用到介面上
*關鍵點在於peer的的介面,若是peer在Ethernet介面就套在Ethernet介面

查看設定的方法:
1.show run
2.show crypto isakmp policy
*查看Phase1的設定
3.show crypto ipsec transform-set
*查看transform的設定
4.show crypto isakmp sa
*查看IKE SA(Phase 1)
5.show crypto ipsec sa
*查看IPSec SA(Phase 2)
*IPSec會有outbound及inbound的SA
6.show crypto map
7.debug crypto

IPSec VPN範例:

Phase 1 設定方式

image

Phase 2 設定方式

image

套用到介面

image

GRE(Generic Routing Encapsulation) V.S IPSec

名稱   支援協定      
IPSec L3 Tunnel IP/IPX/Apple…
多種協定
Multicast
12.4(4)T後
沒有Flowcontrol 不安全
GRE L3 只有IP Unicast 有Flowcontrol 安全

安裝SDM的方法

步驟 備註
1.建立user name(LV 15) Router(config)#username 名稱 privilege 15 secret 密碼
2.啟動http(https) server Router(config)#ip http server
Router(config)#ip http authencation local(用本地端帳號認證)
3.設定line vty Router(config)#line vty 0 4
Router(config-line)#password 密碼
Router(config-line)#login local
4.選擇安裝在router or PC 安裝SDM軟體&JRE程式

建議事項:

Quick setup設定步驟:

*較簡單的設定方式

*細部的設定無法使用

Step 1:設定Site-to-site VPN
Step 2:選擇Quick setup模式

Step 3:設定細部參數
(1)設定VPN的介面

(2)設定Peer的IP位址

(3)認證的方式:分為數位憑證&Pre-shared Key

(4)建立Interesting Traffic & ACL

Step 4:設定完成

Step by Step設定步驟:

Step 1:設定Site-to-site VPN

Step 2:選擇Step by Step模式
Step 3:設定細部參數
(1)設定VPN的介面

(2)設定Peer的IP

(3)認證的方式:pre-shared key or 數位憑證
Step 4.IKE Policy

(1)新增IKE Policy
Step 5.Transform Set

(1)新增Transform Set
Step 6.設定受保護的資料流
Step 7:設定完成

GRE封包格式

*支援多種protocol,利用protocol type的欄位

*GRE沒有安全的機制

*只支援IP及unicast

設定的方法

*Split tunneling表示要到特定的位址才走tunnel,其他的走一般介面。

*若關閉Split tunneling會全部走tunnel介面。

*宣告路由時要把tunnel的介面宣告出去。

IKE Keeplive *CISCO 專屬協定
*會週期送出資訊詢問對方是否還活著,約10秒一次,較快偵測對方的狀況
*較耗資源
IPSec DPD *由IKE Keeplive演變來的機制
*DPD是一個標準,各家都可以使用
*分為週期性更新及On-demand的方式
*On-demand:當有資料要傳送的時候但出現問題,才會去偵測連線的狀況
*較不即時偵測連線的狀況
*預設值為on-demand的模式
*IOS 12.2(8)之後才會支援

  種類 運用
Stateless failover
斷線時需要重新建立session
PPP/HSRP/IGP…
*會造成瞬斷的狀況
一般企業(較不講究連線穩定的狀況下)
Statefull failover
斷線時不需要中斷session
*IOS/設備規格/設定要相同
*需要互相交換IPSec的訊息
*需要一個設備接在brondcast上
*目前支援box-to-box
*完全的standby
遊戲公司(非常要求連線的穩定)

RRI-reverse-route-injection(動態產生靜態路由)

State crypto map 知道peerIP add(site-to-site ) RRI會自動在建立連線的peer加入一條靜態路由,但RRIstate效果不大

dynamic cryptomap 不知道peerIP add(remote to-site) RRI會自動在建立連線的peer加入一條靜態路由,但RRIdynamic效果較佳

EASY VPN 設定步驟

1.選擇Easy VPN
2.啟動AAA server
*啟動AAA server 只有SDM建立的user才可登入,故建議要修改AAA登入的方法,建議加入本機使用者帳號,必免AAA server 故障無法登入的狀況
3.建立使用者list
4.設定使用者參數
5.選擇要到套用的介面
6.設定IKE的參數
7.設定transform set
8.設定Group Policy建立好之後的擺放位置
9.
(1)選擇user認證的方法,及建立local使用者


(2)使用AAA server建立使用者

 

Local Group Policy的設定

*當group policy建立在本機時,才可以使用。

1.建立local group policy
2.設定 群組名稱/ pre-shared Key/ 是否建立一個新group policy的IP範圍或沿用舊的
3.設定DNS/WINS server
 
4.設定split Tunneling,設定那些路由要走tunnel出去

5. 增加group policy及安全等級的防護
(1)設定備援VPN server
(2)檢查有無防毒軟體
(3)定期更新key exchange(需要有憑證才可使用)

6.設定user authencication login的次數或指定群組

廣告

發表迴響 »

仍無迴響。

RSS feed for comments on this post. TrackBack URI

發表迴響

Please log in using one of these methods to post your comment:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s

在WordPress.com寫網誌.

%d 位部落客按了讚: