LOGIN.

管理员登陆入口 ^_^!

您好,欢迎访问网站!
  [查看权限]

欢迎加入QQ群!

595998749
2017年06月14日 12:19:09

ROS软路由与cisco对接做IPSEC vpn

实验背景:需要测试ROS设备和GNS3模拟设备受否可以建立site to site ipsec vpn隧道,理清ROS ipsecvpn各个阶段参数含义。
  实验环境:GNS3模拟机上模拟cisco设备,和vmware中安装的ros虚拟机
  实验拓扑:如下图所示,上面标记了ip地址分配信息,加密点信息,感兴趣流信息。R1和ROS设备之间建立ipsecvpn隧道。R2上面仅仅配置ip地址。

  实验步骤
R1配置如下
crypto isakmp policy 5
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 123 address 20.1.1.1
!
crypto ipsec security-association lifetime kilobytes 60000
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set myset esp-des esp-sha-hmac
!
crypto map mymap 10 ipsec-isakmp
set peer 20.1.1.1
set transform-set myset
match address 101
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.1.1.1 255.255.255.0
duplex auto
speed auto
crypto map mymap
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.1.1.2
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
ROS配置内容
Peer配置(对应cisco ike第一阶段参数)
address=10.1.1.1/32 port=500 auth-method=pre-shared-key secret="123"
     generate-policy=no exchange-mode=main send-initial-contact=yes
     nat-traversal=yes my-id-user-fqdn=""   
     hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024 lifetime=1d
     lifebytes=6000 dpd-interval=2m dpd-maximum-failures=5
//说明
*nat-t:将ipsec vpn数据流排除在外,不进行NAT操作,当加密点之间再没有其他的NAT设备的时候,不选择nat穿透也能够正常建立隧道。
*life byte:在gns3 3745设备中需要是决定lifetime的一种参数,详见**
*dh-group:modp1024对应的是cisco设备的DH2
*proposal:obey是接受发起方的IKE第一阶段参数。用于部分参数不一致的时候兼容。(eg、*cisco设备不进行lifebyte配置,ros上进行配置,可ipsec  sa以正常协商)
*DPD:是到加密点对端的设备是否连接正常。
proposal配置(对应cisco ike第二阶段参数)
name="default" auth-algorithms=sha1 enc-algorithms=des lifetime=1d
      pfs-group=modp1024
policy配置(对应crypto map)
         src-address=192.168.2.0/24 src-port=any dst-address=192.168.1.0/24
     dst-port=any protocol=all action=encrypt level=require
     ipsec-protocols=esp tunnel=yes sa-src-address=20.1.1.1
     sa-dst-address=10.1.1.1 proposal=default priority=0
测试结果:ipsec sa正常建立,两端的内网都可以正常通信

隧道建立
调试技巧:*思科设备在ipsec sa建立后,需要手动命令clear crypto sa清除sa然后才能进行

« 上一篇 下一篇 »

发表评论:

名称(*)
邮箱
网址
验证码(*)
正文(*)
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。