【跟我一起读】Cisco IPSec VPN实战指南 - 第5页

nmyp007 · ‎06-09-2018

本帖最后由 nmyp007 于 2018-7-7 09:23 编辑

【管理员说-奖励设置】

参与奖：活动期间跟帖回复主题相关内容即可获得20积分。

优质参与奖：每周优质回复内容可额外获得奖励50积分/条。

幸运奖：每周从优质参与奖获奖用户中随机抽取2人赠送50元代金卡（京东卡或亚马逊卡二选一）

领读者福利： 100元京东卡+500积分奖励（你也想成为领读者，为大家分享好书？立即私信联系管理员）

推荐理由
本书为cisco IPsec vpn提供了最佳配置实践、排除故障流程，为暂不熟悉ipsec vpn的网络管理员提供参考指南。

内容简介
这是一本全面介绍Cisco IPSec VPN的图书，主要涉及在Cisco路由器和ASA硬件防火墙上的IPSec VPN技术。
《Cisco IPSec VPN实战指南》一共分为10章，分别介绍了VPN技术、GRE技术与配置、IPSec基本理论、站点到站点IPSec VPN、影响IPSec VPN的网络问题、IPSec VPN中的高可用性技术、动态多点VPN(DMVPN)、组加密传输VPN(GETVPN)、Easy VPN、ASA策略图等。本书附录还详细地介绍了Cisco模拟器的配置与使用。使用附录中介绍的模拟器可以实现本书中介绍的所有实例，因此本书的第一个特点就是实例的可操作性很强。本书的第二个特点就是采用了不同的讲述方式，作者不是生硬地介绍各种IPSec VPN特性，而是结合多年Cisco安全教学经验，首先展示各种IPSec VPN的故障现象，然后深入浅出、一步一步地分析导致这些故障的原因，最后给出相应的解决方案，让读者能够学习到整个排错和分析的过程与思路。本书的第三个特点就是大量作者原创的独门VPN解决方案，在一些特殊部署环境使用这些解决方案会得到意想不到的效果。

购书链接：
https://www.epubit.com/book/detail/4593

读书规划

第一周：6月11日-6月17日 1-3章：VPN技术简介、GRE、IPSec基本理论。
第二周：6月18日-6月24日 4-6章：站点到站点IPSec VPN、影响IPSec VPN的网络问题、IPSec VPN中的高可用性技术。
第三周：6月25日-7月1日 7-8章：动态多点VPN（DMVPN）、组加密传输VPN（GETVPN）。
第四周：7月2日-7月8日：9章-10章：Easy VPN、ASA策略图。

我的问题

1、IPSec对VPN流量提供哪三个方面的保护？
答案：私密性、完整性、源认证
2、加密算法的分类及各个算法的优缺点、主流协议？
答案：加密算法分为对称密钥算法、非对称密钥算法
对称密钥算法：
优点：速度快、安全、紧凑
缺点：明文传输共享密钥，容易出现中途劫持和窃听的问题
随着参与者数量的增加，密钥数量急剧膨胀（（n x（n-1））/2）
因为密钥数量过过，对密钥的管理和存储是有个很大的问题
不支持数字签名和不可否认性
主流协议：DES、3DES、AES、RC4
非对称密钥算法
优点：安全
由于不必担心交换的公钥被劫持，所以非对称密钥的分发更安全
密钥数目和参与者数目相同
在交换公钥之前不需要预先建立某种信任关系
支持数字签名和不可否认性
缺点：加密速度很慢
密文会变长
主流协议：RSA、DH、ECC
3、IKE的2个阶段与3个模式是什么？
答案：IKE第一阶段：产生IKE SA
IKE第二阶段：产生IPSec SA
3个模式：主模式（MM）、主动模式（AM）、快速模式（QM）
4、IOS IPSec VPN配置步骤及命令？
答案：·激活ISAKMP
Site1(config)#crypto isakmp enable
·配置IKE第一阶段策略
Site1(config)#crypto isakmp policy 10
Site1(config-isakmp)#encr 3des
Site1(config-isakmp)#hash md5
Site1(config-isakmp)#authentication pre-share
Site1(config-isakmp)#group 2
Site1(config)#crypto isakmp key 0 L2Lkey address 61.128.1.1
·配置IKE第二阶段策略
1、配置感兴趣流
Site1(config)#ip access-list extended vpn
Site1(config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
2、配置IPSec策略（转换集）
Site1(config)#crypto ipsec transform-set Trans esp-des esp-md5-hmac
3、配置Crypto map
Site1(config)#crypto map cry-map 10 ipsec-isakmp
Site1(config-crypto-map)#match address vpn
Site1(config-crypto-map)#set transform-set Trans
Site1(config-crypto-map)#set peer 61.128.1.1
Site1(config-crypto-map)#set pfs group2
Site1(config-crypto-map)#set security-association lifetime seconds 1800
·将Crypto map应用到接口
Site1(config)#interface FastEthernet1/0
Site1(config-if)#ip address 202.100.1.1 255.255.255.0
Site1(config-if)#crypto map cry-map
5、查看IPSec VPN的相关状态的命令？
答案：·查看ISAKMP SA的状态
Site1#show crypto isakmp sa
Site1#show crypto isakmp sa detail
·查看IPSec SA的状态
Site1#show crypto ipsec sa
6、ASA防火墙3个基本工作原理？
答案：原理1：从高安全级别（inside）到低安全级别（outside）的流量outbound流量，默认会被放行。
原理2：从低安全级别（outside）到高安全级别（inside）的流量inbound流量，默认是被拒绝的，但
是可以使用访问控制列表技术，根据需要放行inbound流量。
原理3：ASA防火墙默认只对穿越的TCP和UDP流量维护状态信息（即记录这个会话的源目IP、源目端口等信息），当这些TCP和UDP流量返回时，防火墙会查询状态化信息，如果匹配上对应条目后会放行。也就是说，即使这是一个Inbound流量，只要它是以前某一连接的返回数据包，它也能穿越ASA防火墙。
7、DMVPN相比于传统的IPSec VPN技术有哪些优点？
答案：1)、简单的星形拓扑配置，提供了虚拟网状连通性.
2)、分支站点支持动态IP地址.
3)、增加新的分支站点，无需更改中心站点配置.
4)、分支站点间流量，通过动态产生的站点间隧道进行封装.
8、DMVPN的4大组成协议？
答案：1)、动态多点GRE（Multipoint GRE,mGRE）协议.
2)、下一跳解析协议（Next Hop Resolution Protocol，NHRP）.
3)、动态路由协议.
4)、IPSec 技术.
9、配置DMVPN的三大步骤？
答案：1)、配置mGRE和NHRP.
2)、配置动态路由协议.
3)、配置IPSec VPN
10、GETVPN的特点？
答案：1)、基于原生路由架构的透传解决方案
2)、IP Header Preservation技术，实现原始IP头部保留
3)、不影响Qos，不增加网络开销和复杂度
4)、基于trusted group members的概念，在group内的router使用相同的安全策略，比
点对点VPN管理更简单
5)、Group内成员预先协商安全参数（IPSec SA）,实现任意到任意（any-to-any）连接
6)、即时连接，减少类似于语言流量的延时
7)、支持对单播和组播的加密
8)、是一个WAN解决方案，需要部署在全局可录音的网络环境，不适合在IPv4的互联网部署。
11、EZVpn的特性?
答案：1）、分割隧道；
2）、保存密码；
3）、备用网关；
4）、分割DNS特性；
5）、PFS特性。
12、DVTI的特点?
答案：1）、替代传统的Dynamic map配置；
2）、支持加密单播和组播；
3）、支持QoS、FW、NetFlow、ACL、NAT和VRF技术（注意不支持在DVTI接口上的动态路由协议）；
4）、支持RADIUS服务器推送基于用户和组的策略；
5）、克隆虚拟模板（virtual template）配置，动态创建虚拟访问接口（virtual access interfaces）。

我的心得及分享
（每周伊始，更新心得体会哦，和我一起读书的小伙伴，欢迎在回复中交流）
第一周
该书1-3章主要讲了vpn的产生背景、连接方式、GRE的相关介绍和IPSec的基本原理、框架以及IKE协议的知识，重点在第2、3章IPSec的框架下的散列函数、加密算法、封装协议、密钥有效期，IKE的2个阶段与3个模式，什么情况用传输模式、什么情况用隧道模式。
第二周
4-6章主要讲了站点到站点IPSec VPN、影响IPSec VPN的网络问题、IPSec VPN中的高可用性技术，这三章是这边书的重点及精华所在，实践拓扑介绍、经典的配置方式、VPN的路由分析、GRE隧道及流量保护、动态地址、高可用性站点到站点IPSec VPN最佳方案等都有详细的介绍和分析。
第三周
7-8章主要讲了动态多点VPN（DMVPN）经典拓扑、实验，DMVPN的高可用性解决方案：单云双中心、双云双中心配置，及IPSec VPN企业内部部署时出现的问题：影响QoS、点对点IPSec SA造成的问题、覆盖路由及解决方法，GETVPN（组加密传输VPN）感兴趣流访问控制列表配置等。
第四周
Easy VPN的经典配置及常见问题故障排除、ASA的策略图的详细介绍及使用。

【管理员说-注意事项】

1. 禁止发表不当言论，不涉及政治、国家、党派等信息，禁止刷帖灌水行为，审核发现后将不能获得活动积分，对于在论坛中多次出现此行为者，将采取至少禁言一周的处罚。

2. 积分奖励在管理员审核通过后即刻发放，优质回复奖在活动结束发布获奖公告后进行发放。

3. 思科服务支持社区对本次活动有最终解释权。

【获奖公告】【跟我一起读】《Cisco IPSec VPN实战指南》

byl_qware_com · ‎06-27-2018

9、配置DMVPN的三大步骤？
配置DMVPN的第一大步骤就是配置mGRE，但单纯地配置mGRE没有任何意义，因为没有NHRP的mGRE隧道接口是不能够正常工作的，就像没有配置帧中继映射的多点帧中继网络一样。
R1(config)#interface tunnel 0
R1(config-if)#ip address 172.16.1.1 255.255.255.0
R1(config-if)#tunnel source fastEthernet 0/0
R1(config-if)#tunnel mode gre multipoint 配置隧道模式为多点GRE
R1(config-if)#tunnel key 12345 配置隧道秘钥为12345，用于表示隧道接口
R1(config-if)#ip nhrp network-id 10 激活NHRP
R1(config-if)#ip nhrp authentication cisco 激活NHRP认证，认证密码为cisco
R1(config-if)#ip nhrp map multicast dynamic 动态接收NHRP的组播映射
配置DMVPN的第二大步骤就是配置动态路由协议（任意动态路由协议都行）。
R1(config)#router eigrp 100
R1(config-router)#no auto-summary
R1(config-router)#network 172.16.1.0 0.0.0.255
R1(config-router)#network 192.168.1.0 0.0.0.255
配置DMVPN的第三大步骤就是配置IPSec VPN
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 0 cisco address 0.0.0.0 0.0.0.0
R1(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac
R1(cfg-crypto-trans)#mode transport
R1(cfg-crypto-trans)#exit
R1(config)#crypto ipsec profile dmvpn-test
R1(ipsec-profile)#set transform-set cisco
R1(ipsec-profile)#exit
R1(config)#interface tunnel 0
R1(config-if)#ip mtu 1500
R1(config-if)#tunnel protection ipsec profile dmvpn-test

moxiuli · ‎06-27-2018

10、GETVPN的特点？
答：1.基于原生路由架构的透传解决方案。2.IP Header Preservation技术，实现原始IP头部保留。3.不影响QOS，不增加网络开销和复杂度。4.基于Trusted Group Members的概念，在Group内的Router使用相同的安全策略，比点对点VPN管理更简单。5.Group内成员预先协商安全参数（IPSec SA），实现任意到任意（any-to-any）连接。6.即时连接，减少类似于语言流量的延时。7.支持对单播和组播的加密。8.是一个WAN解决方案，徐亚全局可路由，不适合在IPv4的互联网部署。

moxiuli · ‎06-29-2018

7、DMVPN相比于传统的IPSec VPN技术有哪些优点？
答：（1）简单的星形拓扑配置，提供了虚拟网状连通性。
（2）分支站点支持动态ip地址，分支站点不需要维护过多的IPSEC SA
（3）增加新的分支站点，无需更改中心站点配置
（4）分支站点的流量，通过动态产生的站点间隧道进行封装和解封装

april1 · ‎06-30-2018

7、DMVPN相比于传统的IPSec VPN技术有哪些优点？
传统的ipsec vpn有以下缺点：
中心站点配置量大，
分支站点间流量延时较大，
分支站点间流量占用中心带宽，
分支站点需要维护过多的SA
每一个分支站点需要固定的IP地址
所以DMVPN解决了以上缺点
简单配置，支持分支动态IP地址，增加新的分支站点时无需更改中心站点配置，分支的流量通过动态产生的站点间隧道进行封装。
8、DMVPN的4大组成协议？
a动态多点GRE，所有的mGRE隧道接口都处于同一个网段，任何一个分支站点不仅仅能够和中心站点进行通信，而且还能够直接和其他分支站点进行通信。
b下一跳解析协议 NHRP，NHRP实现映射，分支站点的映射。
c动态路由协议能够支持RIP,EIGRP,OSPF,ODR和BGP。
dipsec技术对mgre的流量进行加密。
9、配置DMVPN的三大步骤？
置过程1：
配置过程2：
一、保证路由器之间的连通性
二、配置gre隧道
Hub端：
Int tunnel 10
Ip add 172.16.1.1 255.255.255.0
Tunnel soutce s1/1
Tunnel mode gre multipoint
Tunnel key 123
Ip nhrp network-id 11
Ip nhrp authentication cisco
Ip nhrp map multicast dynamic

Spoke端：
Int tunnel 10
Ip add 172.16.1.2 255.255.255.0
Tunnel source s1/0
Tunnel spoke gre multipoint
Tunnel key 123
Ip nhrp network-id 11
Ip nhrp authentication cisco
Ip nhrp nhs 172.16.1.1-------------向172.16.1.1注册
Ip nhrp map 172.16.1.1 12.1.1.1--------------映射下一跳
Ip nhrp map multicast 12.1.1.1------------映射一下组播

三、配EIGRP
Show ip eigrp neighboe-----------看邻居建起来没
勿忘Hub端关水平分割：
tunnel下
no ip spilit-horizon eigrp 100
no ip next-hop-self eigrp 100---------不能自动改下一跳为自己，但spoke之间ping的时候还是经过hub端的
与配置1不同：
Ip头 | 数据
源地址172.16.1.2，目标地址172.16.1.3

Nhs进行查询，此时得到172.16.1.3对应24.1.1.2
新IP头 | gre | IP头 | 数据
新IP头源地址23.1.1.3，目标地址24.1.1.2
此时的通信不经过hub

四、配IPSec
与hub端配置完全相同（spoke端也和hub端一样）
Crypto isakmp policy 10
Authentication pre-share
Crypto isakmp key 0 cisco add 0.0.0.0
Crypto ipsec transform-set aes_sha esp-aes esp-sha-hmac
Mode transport
Exi
Crypto ipsec profile P
Set transform-set aes-sha
Int tunnel 10
Tunnel protection ipsec profile P------------------应用
10、GETVPN的特点？
1.基于原生路由架构的透传解决方案。
2.IP Header reservation技术，实现原始IP头部保留。
3.不影响QOS，不增加网络开销和复杂度。
4.基于Trusted Group Members的概念，在Group内的Router使用相同的安全策略，比点对点VPN管理更简单。
5.Group内成员预先协商安全参数（IPSec SA），实现任意到任意（any-to-any）连接。
6.即时连接，减少类似于语言流量的延时。
7.支持对单播和组播的加密。
8.是一个WAN解决方案，需要部署在全局可路由的网络环境，不适合在IPv4的互联网部署。

Xingxing Zhang · ‎06-30-2018

7、DMVPN相比于传统的IPSec VPN技术有哪些优点？

提供简单星形拓扑配置，提供了虚拟网连通性

分支站点支持动态IP地址

增加新的分支站点无需更改中心站点配置

分支站点间流量通过动态产生的站点间隧道进行封装

8、DMVPN的4大组成协议？

动态多点GRE(mGRE, Multipoint GRE)

下一跳解析协议(NHRP, Next Hop Resolution Protocol)

动态路由协议(RIP, OSPF, BGP)

IPSec技术

9、配置DMVPN的三大步骤？

mGRE和NHRP配置

动态路由协议配置

IPSecVPN配置

10、GETVPN的特点？

实现任意到任意的连接

扩展性高

实现实时连接

基于原生路由架构的透传解决方案

IPHeader Preservation技术保留原始IP头部

不影响QOS，不增加网络开销和复杂度

基于TrustedGroup Members，在组内使用相同安全策略

Group成员需要预先协商安全参数(IPSecSA)实现任意到任意连接

即时连接，减少类似语音流量延迟

支持对单播和组播加密

是一个WAN解决方案，需要部署在全局可路由网络

byl_qware_com · ‎07-01-2018

10、GETVPN的特点？
GETVPN有三大最基本的特点：一是可以实现任意到任意的连接（Any-to-Any Connectivity）；二是扩展性高（Scalable）；三是可以实现实时连接（RealTime），下面是对GETVPN的特点的总结。
1、基于原生路由架构的透传解决方案
2、IP Heather Preservation技术，实现IP头部保留始
3、不影响QoS，不增加网络开销和复杂度
4、基于Trusted Group Members的概念，在group内的Router使用相同的安全策略，比点对点VPN管理更简单。
5、Group内成员预先协商安全参（IPSecSA），实现任意到任意（Any-to-Any）连接。
6、即时连接，减少类似于语音流量的延时。
7、支持单播和组播的加密。
8、是一个WAN解决方案，需要部署在全局可路由的网络环境，不适合在IPv4的互联网部署。

Xingxing Zhang · ‎07-01-2018

思科三大IPSec VPN技术：

DMVPN (Dynamic Multipoint VPN)

GETVPN (GroupEncrypted Transport VPN)

EZVPN (Easy VPN)

GETVPN 三大组成部分：

密钥服务器(Group Controller / Key Server)

组成员(Group Members)

GDOI(Group Domain of Interpretation)

GETVPN两种密钥：

加密密钥的密钥(KEK)

加密流量的密钥(TEK)

GETVPN 3种安全关联(SA)：

IKE安全关联(IKE SA)

密钥更新安全关联(Rekey SA)

IPSec安全关联(IPSec SA)

GETVPN密钥更新特点：

密钥更新信息总是由首要密钥服务器发送

密钥更新信息内包含新的IPSec策略、时间同步信息和新的密钥

KEK和TEK两种密钥更新信息

组播（默认）和单播两种密钥更新传输方式

Xingxing Zhang · ‎07-01-2018

本帖最后由 zhang00xing00 于 2018-7-3 13:08 编辑

Easy VPN IKE 第1阶段两种认证方式：

数字证书认证 (rsa-sig)，使用标准的6个数据包交换的主模式。

预共享密钥 (pre-share)，使用3个数据包交换的主动模式，CiscoEzVPN 预共享密钥使用一个组名加上一个密码进行认证。

推荐策略：

Pre-share +DH group2 + MD5 + DES

Pre-share +DH group2 + SHA + 3DES

Easy VPN IKE 第1.5阶段：

XAUTH(Extended Authentication) 扩展认证，

在第一阶段组名加密码认证的基础上，再增加一次用户名和密钥认证，弥补了主动模式安全性上的问题。

MODE_CFG(Mode Configuration) 模式配置，

为客户推送VPN策略（IP地址、DNS服务器地址、域名）。

Easy VPN IKE 第2阶段：

不支持AH封装方式，跟普通IPSec VPN一样为快速模式。

推荐策略：

esp-desesp-md5-hamc

esp-3desesp-md5-hamc

EzVPN硬件客户端3种工作模式：

客户模式 (ClientMode, 也称PAT模式)

网络扩展模式 (NetwrokExtension Mode)

网络扩展加模式 (NetworkExtension Plus Mode)

fortune · ‎07-01-2018

7、DMVPN相比于传统的IPSec VPN技术有哪些优点？
回忆了一下DMVPN 优势，有段时间没搞过了
简单的星形拓扑配置，提供了虚拟网状连通性；
分支站点支持动态ip地址；
增加新的分支站点，无需更改中心站点配置；
分支站点的流量，通过动态产生的站点间隧道进行封装和解封装；

fortune · ‎07-01-2018

8、DMVPN的4大组成协议？
- 动态多点GRE（Multiple GRE，MGRE）
-下一跳解析协议（Next Hop Resolution Protocol，NHRP）
- 动态路由协议
- IPSec技术

fortune · ‎07-01-2018

9、配置DMVPN的三大步骤？
我觉得四个步骤吧 mGRE 配置、NHRP配置、动态路由协议配置、IPSec VPN 配置

fortune · ‎07-01-2018

10、GETVPN的特点？
1. 基于原生路由的透传解决方案；
2. IP Head Preservation，原始IP头部保留；
3. 不影响QOS，不增加复杂度；
4. 基于信任组成员方式，比点对点的VPN更简单；
5. 组成员预先协商安全关联，并统一安全关联，以达到任意到任意；
6. 即时连接,减少类似于语音流量的延时！
7. 支持对单播和组播加密；
8. 需要部署在全局可路由网络

xuxianda7 · ‎07-01-2018

7、DMVPN相比于传统的IPSec VPN技术有哪些优点？
星型拓扑，提供虚拟网状链接、分支与分支支持动态IP、新增站点中心是无需增加配置的，简单等等很多特性
8、DMVPN的4大组成协议？
分别是由mGRE、 NHRP、动态路由一些、IPSec 组成

xuxianda7 · ‎07-01-2018

9、配置DMVPN的三大步骤？
分别是mGRE 、NHRP、IPSecVPN、动态路由几个步骤
10、GETVPN的特点？
GETVPN 的特点还是比较多的啊，说几个：
-原始IP 头部的保留
- 不影响QOS 、也不会增加复杂度
-即时链接
-支持单播、组播加密
-基于原生路由的透传解决方案
- 基于信任组成员的方式。

yangkai_716 · ‎07-01-2018

本帖最后由 yangkai_716 于 2018-7-1 22:13 编辑
7、DMVPN相比于传统的IPSec VPN技术有哪些优点？
DMVPN相比于传统的IPSec VPN技术有如下4个优点：
a.简单的星形拓扑配置，提供了虚拟网状连通性。
b.分支站点支持动态IP地址。
c.增加新的分支站点，无需更改中心站点配置。
d.分支站点间流量，通过动态产生的站点间隧道进行封装。
8、DMVPN的4大组成协议？
a.动态多点GRE(Multipoint GRE,mGRE)协议
b.下一跳解析协议 (Next Hop Resolution Protocol,NHRP)
c.动态路由协议
d.IPSec技术
9、配置DMVPN的三大步骤？
mGRE 配置、NHRP配置、动态路由协议配置、IPSec VPN 配置
10、GETVPN的特点？
a.可以实现任意的连接(Any-to Any Connectivity)
b.扩展性高(Scalable)
c.可以实现实时连接(Real Time)