3.1 IKEv2 最基本IOS vs IOS SVTI

最新推荐文章于 2022-09-13 11:56:00 发布
最新推荐文章于 2022-09-13 11:56:00 发布
阅读量1.0k 收藏
点赞数
分类专栏: IKEv2 ICT-network-cisco-huawei-juniper 文章标签: IKEv2 cisco config
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/LinuxKernelCiscoIOS/article/details/51383020
版权
本文详细介绍了IKEv2的基本配置及不同认证方式,包括预共享密钥认证、异步密钥认证、双向证书认证以及结合证书与预共享密钥的认证方式,并提供了具体的配置示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

3.1 IKEv2 最基本IOS vs IOS SVTI  

-------------------------------------------------
         tun0----192.168.1.0----tun0
          | .1                   .2 |
--------Site1------Internet------Site2--------
      .1   .1    .10    .10     .1    .1
172.16.1.1   202.100.1.0   61.128.1.0   10.1.1.1


----------------------------------------------------
alias exec i show ip inter brief 
alias exec e show crypto engine connections active 


---------------------------------------------


hostname Site1 


interface loopback 0 
 ip address 172.16.1.1 255.255.255.0 
 
interface FastEthernet 0/0 
 ip address 202.100.1.1 255.255.255.0 
 no shutdown 
 duplex full 


ip route 0.0.0.0 0.0.0.0 202.100.1.10 


hostname Internet 


interface FastEthernet 0/0 
 ip address 202.100.1.10 255.255.255.0 
 no shutdown 


interface FastEthernet 1/0 
 ip address 61.128.1.10 255.255.255.0 
 no shutdown 


hostname Site2 
 
interface loopback 0 
 ip address 10.1.1.1 255.255.255.0 
 
interface FastEthernet 1/0 
 ip address 61.128.1.1 255.255.255.0 
 no shutdown 
 duplex full 


ip route 0.0.0.0 0.0.0.0 61.128.1.10 


-----------------------------------------------
Site1: 


crypto ikev2 keyring CCIE-Keyring 
 peer Site2 
  address 61.128.1.1 
  pre-shared-key CCIE-Pre-Key 


crypto ikev2 profile CCIE-IKEv2-Profile 
 match identity remote address 61.128.1.1  
 identity local address 202.100.1.1 
 authentication remote pre-share 
 authentication local pre-share 
 keyring local CCIE-Keyring 


crypto ipsec profile CCIE-IPSec-Profile 
 set ikev2-profile CCIE-IKEv2-Profile 


interface tunnel 0 
 ip address 192.168.1.1 255.255.255.0 
 tunnel source FastEthernet 0/0 
 tunnel mode ipsec ipv4 
 tunnel destination 61.128.1.1 
 tunnel protection ipsec profile CCIE-IPSec-Profile 


---------------------------------------------------
Site2:


crypto ikev2 keyring CCIE-Keyring 
 peer Site1 
  address 202.100.1.1 
  pre-shared-key CCIE-Pre-Key 


crypto ikev2 profile CCIE-IKEv2-Profile 
 match identity remote addrss 202.100.1.1 
 identity local address 61.128.1.1 
 authentication remote pre-share 
 authentication local pre-share 
 keyring local CCIE-Keyring 


crypto ipsec profile CCIE-IPSec-Profile 
 set ikev2-profile CCIE-IKEv2-Profile 


interface tunnel 0 
 ip address 192.168.1.2 255.255.255.0 
 tunnel source FastEthernet 1/0 
 tunnel mode ipsec ipv4 
 tunnel destination 202.100.1.1 
 tunnel protection ipsec profile CCIE-IPSec-Profile 


---------------------------------------------------


alias exec i show ip inter brief 
alias exec e show crypto engine connections active 


show crypto engine connection active 


-----------------------------------------------------
Site1: 配置动态路由协议


router ospf 1
 exit
interface tunnel 0 
 ip ospf 1 area 0 
interface lo 0 
 ip ospf 1 area 0 


Site2: 配置动态路由协议


router ospf 1 
 exit
interface tunnel 0 
 ip ospf 1 area 0 
interface lo 0 
 ip ospf 1 area 0 


ping 172.16.1.1 so lo 0 re 10 


--------------------------------------------------
3.2 异步密钥


Site1 Keyring config:


crypto ikev2 keyring CCIE-Keyring 
 peer Site2 
  address 61.128.1.1 
  pre-shared-key local CCIE-Site1-Key 
  pre-shared-Key remote CCIE-Site2-Key 




Site2 Keyring config: 


crypto ikev2 keyring CCIE-Keyring 
 peer Site1 
  address 202.100.1.1 
  pre-shared-key local CCIE-Site2-Key 
  pre-shared-key remote CCIE-Site1-Key 


------------------------------------------------


clear crypto sa 


ping 10.1.1.1 so lo 0 


---------------------------------------------------


3.3 双向证书认证 


配置NTP (时间同步非常重要)


Internet config: 


clock timezone GMT +8 
clock set 13:20:00 4 oct 2012 
ntp master 


Site1 config: 


clock timezone GMT +8 
ntp server 202.100.1.10 


Site2 config: 


clock timezone GMT +8 
ntp server 61.128.1.10 


-------------


Internet config :


ip http server 


ip domain name mingjiao.org 


crypto pki server CA 
 issuer-name cn=Internet.mingjao.org,ou=mingjaosec
 database level complete 
 grant auto 
 no shutdown 


password:*********
repassword:*********


Router#show crypto pki server 
Certificate Server CA:
    Status: enabled
    State: enabled
    Server's configuration is locked  (enter "shut" to unlock it)
    Issuer name: cn=Inernet.mingjiao.org,ou=mingjiaosec
    CA cert fingerprint: 9CE09B70 1ED69F33 CB0F5473 89BA18D4 
    Granting mode is: auto
    Last certificate issued serial number (hex): 1
    CA certificate expiration timer: 02:26:13 UTC May 12 2019
    CRL NextUpdate timer: 08:26:19 UTC May 12 2016
    Current primary storage dir: nvram:
    Database Level: Complete - all issued certs written as <serialnum>.cer
Router#


----------------------------
Site1: 


1.config Trustpoint 


ip domain name mingjiao.org 


crypto pki trustpoint CA
 enrollment url http://202.100.1.10:80 
 subject-name cn=Site1.mingjiao.org,ou=mingjiaosec
 revocation-check crl (此命令为自动产生)


2.获取根证书


crypto pki authenticat CA 


yes 
show crypto pki certificates 


3.申请个人证书


crypto pki enroll CA 


no
no
yes


show crypto pki certificates 


----------------------------------------------


Site2: 


1.config Trustpoint 


ip domain name mingjao.org 


crypto pki trustpoint CA 
 enrollment url http://202.100.1.10:80 
 subject-name cn=Site2.mingjiao.org,ou=mingjiaosec
 revocation-check crl (此命令为自动产生)


2. 获取根证书


crypto pki authenticate CA 
yes


3.申请个人证书


crypto pki enroll CA 
no
no
yes


show cryp pki certificates 
------------------------------------------------


Site1: 


crypto pki certificate map CCIE-Cert-Map 10 
 sudject-name co ou=mingjiaosec




crypto ikev2 profile CCIE-IKEv2-Profile 
 match certificate CCIE-Cert-Map
 authentication remote rsa-sig 
 authentication local rsa-sig 
 pki trustpoint CA 


crypto ipsec profile CCIE-IPSec-Profile 
 set ikev2-profile CCIE-IKEv2-Profile 


interface tunnel 0 
 ip address 192.168.1.1 255.255.255.0 
 tunnel source FastEthernet 0/0 
 tunnel mode ipsec ipv4 
 tunnel destination 61.128.1.1 
 tunnel protection ipsec profile CCIE-IPSec-Profile 


---------------------------------------------------
Site2:


crypto pki certificate map CCIE-Cert-Map 10 
 subject-name co ou=mingjiaosec


crypto ikev2 profile CCIE-IKEv2-Profile 
 match certificate CCIE-Cert-Map 
 authentication remote rsa-sig 
 authentication local rsa-sig
 pki trustpoint CA 


crypto ipsec profile CCIE-IPSec-Profile 
 set ikev2-profile CCIE-IKEv2-Profile 


interface tunnel 0 
 ip address 192.168.1.2 255.255.255.0 
 tunnel source FastEthernet 1/0 
 tunnel mode ipsec ipv4 
 tunnel destination 202.100.1.1 
 tunnel protection ipsec profile CCIE-IPSec-Profile 


---------------------------------------------------


alias exec i show ip inter brief 
alias exec e show crypto engine connections active 


show crypto engine connection active 


clear crypto ikev2 sa
clear crypto sa 




shwo cryp ipsec sa 





ping 192.168.1.2 so 192.168.1.1 


ping 10.1.1.1 so lo 0 re 10 




-----------------------------------------------------


3.4 证书+预共享密钥认证


Site1: 


1.config Keyring 


crypto ikev2 keyring CCIE-Keyring 
 peer Site2 
  address 61.128.1.1 
  pre-shared-key local CCIE-Site1-Key 


2. config Cert Map 


crypto pki certificate map CCIE-Cert-Map 10 
 subject-name co ou=mingjiaosec 




3.config ikev2 profile 


crypto ikev2 profile CCIE-IKEv2-Profile 
 match certificate CCIE-Cert-Map 
 identity local address 202.100.1.1 
 authentication remote rsa-sig 
 authentication local pre-share 
 keyring local CCIE-Keyring 
 pki trustpoint CA 


4. config ipsec profile 




crypto ipsec profile CCIE-IPSec-Profile 
 set ikev2-profile CCIE-IKEv2-Profile 


5. config tunnel 


interface tunnel 0 
 ip address 192.168.1.1 255.255.255.0 
 tunnel source FastEthernet 0/0 
 tunnel mode ipsec ipv4 
 tunnel destination 61.128.1.1 
 tunnel protection ipsec profile CCIE-IPSec-Profile 




------------------------------


Site2: 


1.config Keyring 


crypto ikev2 keyring CCIE-Keyring 
 peer Site1 
  address 202.100.1.1 
  pre-shared-key remote CCIE-Site1-Key 


2. config Cert Map 


crypto pki certificate map CCIE-Cert-Map 10 
 subject-name co ou=mingjiaosec 




3.config ikev2 profile 


crypto ikev2 profile CCIE-IKEv2-Profile 
 match identity remote address 202.100.1.1 
 identity local fqdn Site2.mingjiao.org (option)
 authentication remote pre-share
 authentication local rsa-sig 
 keyring local CCIE-Keyring 
 pki trustpoint CA 


4. config ipsec profile 


crypto ipsec profile CCIE-IPSec-Profile 
 set ikev2-profile CCIE-IKEv2-Profile 


5. config tunnel 


interface tunnel 0 
 ip address 192.168.1.2 255.255.255.0 
 tunnel source FastEthernet 1/0 
 tunnel mode ipsec ipv4 
 tunnel destination 202.100.1.1 
 tunnel protection ipsec profile CCIE-IPSec-Profile 


-----------------------------------------------


clear cryp sa 
clear cryp ikev2 sa 
clear cryp session 


interface tunnel 0 
 shutdown 
 no shutdown 




alias exec i show ip inter brief 
alias exec e show crypto engine connections active 


show crypto engine connection active 


clear crypto ikev2 sa
clear crypto sa 




show crypto engine connection active 


---------------------------------------------------


show ip route


ping ip ospf route 


----------------------------------------------------
2.1 IKEv2 标准 IOS vs ASA Crypto Map
LinuxKernelCiscoIOS的博客
05-11 1192
IOS vs ASA Crypto Map IKEv2
4.1 IKEv2 基本 Client to Server DVTI
LinuxKernelCiscoIOS的博客
05-13 1530
4.1 IKEv2 基本 Client to Server DVTI 4.3 证书认证 Client to Server DVTI
IOS IKEv2 IPSec配置(SVTI)
剪刀石头布
09-13 416
1、拓扑 2、目标 通过在R1和R3建立IPSEC,让R1的Lo0和R3的Lo0互通 3、配置步骤 IP地址配置忽略。 3.1、打通路由器连通性 为了实现R1和R3物理接口网段互通,通过R1和R3的静态路由配置。 R1(config)#ip route 23.1.1.0 255.255.255.0 12.1.1.2 R1(config)# R3(config)#ip route 12.1...
IKEv2--1
Qingxinguayu的专栏
02-10 2994
Network Working Group                                    C. Kaufman, Ed.Request for Comments: 4306                                     MicrosoftObsoletes: 2407, 2408, 2409                             
SVTI的一些理解
weixin_34209851的博客
08-14 622
很多地方看见对SVTI的说明是greoveripsec,因为这个东西都加密了,看不见内容,也说不了什么。偶然看见思科社区http://www.cisco-club.com.cn/space-113351-do-blog-id-8866.html关于juniperSRX和思科对联SVTI,具体看了一下juniper配置,完全是ipsec的接口模式,没有gre参与,想来是一...
IKEv1&IKEv2; Between Cisco IOS and strongSwan
05-09
介绍如何配置Cisco的IPSec模块和StrongSwan连接。英文,但是很简单。主要是配置示例很清晰。
strongswan 配置ikev2 for iOS and Android
热门推荐
sonflower123的博客
02-02 1万+
strongswan 高版本已支持ikev2ios9.0以上版本的支持ikev2,Android也是高版本的部分机型支持ikev2,本人搭建的基于ikev2交换协议的strongswan VPN服务器对与iOS 是免证书的(iOS VPN客户端自己写的),Android (VPN客户端是stongswan 官网提供的客户端)服务器认证是证书,客户端认证是eap模式配置文件如下 1.生成服务器证
strongswan 配置ikev2 for iOS
sonflower123的博客
08-11 5024
新版本的strongswan 目前已支持ikev2 ,对于手机客户端,ios9.0 以上自带的vpn 支持 ikev2(服务器认证方式为:证书,客户端认证方式eap-mschapv2),安卓部分自带的客户端支持ikev2,如下为支持ios9.0以上的ikev2 配置 (手机客户端个人打包) 修改 ipsec.conf配置文件 vi /etc/ipsec.conf conn eap_ios
配置SVTI
weixin_30778805的博客
12-13 352
路由器SVTI站点到站点VPN 在IOS 12.4之前建立安全的站点间隧道只能采用GRE over IPSec,从IOS 12.4之后设计了一种全新的隧道技术,即VIT(Virtual Tunnel Interface),这种技术是直接采用IPSec来创建的一个VTI隧道接口。相比GRE over IPSec,VTI技术减少了每个包GRE头部的那4B。 VTI分类:S...
linux ikev1切换到ikev2,IKEv2IKEv1的差异.doc
weixin_39892447的博客
05-14 327
IKEv2IKEv1的差异IKEv2IKEv1的差异IKEv2IKEv1的差异摘自RFC4306, 附录 A 1 To define the entire IKE protocol in a single document, replacing?? RFCs 2407, 2408, and 2409 and incorporating subsequent changes to?? sup...
Linux下IKEv1IKEv2协议的仿真分析.pdf
09-06
Linux下IKEv1IKEv2协议的仿真分析.pdf
PKI系列:(3)基于rsa-sig的SVTI隧道【证书认证方式】
网络之路Blog(其他平台同名)
03-04 1089
说明 之前已经介绍过PKI的组件和处理流程,以及怎么搭建CA服务器,包括CiscoIOS 软件和微软的服务器,我们搭建CA服务器,就是为了提供扩展性和安全性,这段时间会介绍PKI在虚拟专用中的应用,包括IPSec XXX、EZXXX、SSL XXX的证书认证,关于DMXXX和GETXXX其实跟IPSec XXX一样,只要掌握了IPSec XXX的证书认证注意的地方,就不会有难点了,反而EZXXX和SSL XXX有几个需要注意的地方,需要特别的提下。 这个图很简单,这次利用IOS来搭建CA服务器,并
思科cisoc 路由器IKEv2配置ipsec tunnel口隧道
沉默的鹏先生
08-03 5271
环境拓扑图 R1配置 接口配置 R1#configure terminal R1(config)#interface ethernet 1/0 R1(config-if)#no shutdown R1(config-if)#ip address 30.1.1.2 255.255.255.0 R1(config-if)#exit R1(config)#interface ethernet 1/1 R1(config-if)#no shutdown R1(config-if)#ip address
Cisco SVTI IKEv1
潇峰的博客
10-20 277
1)在Center和Branch1之间配置SVTI,确保1.1.1.13.3.3.3之间互通; 2)在Center和Branch2之间配置SVTI,确保2002:3:3::32002:2:2::2之间互通,并作OSPFv3区域认证,Area为1,密码为Cisc0123。 设备配置: ##此处展示各设备的配置,可以粘贴文字,也可以粘贴截图## 任务1 Branch ! crypto isakmp policy 10 authentication pre-share cryp...
思科路由器IKEV2 L2L***预共享密码认证简化配置
weixin_34355715的博客
07-10 761
.概述:  思科路由器对于IKEV2,是有很多预配的,因此可以很少的配置就能完成IKEV2的配置。二.基本思路:A.两边都用SVTI的方式配置Flex ***B.没有用动态路由,配置静态路由,如果一边用DVTI,则需要两边配置静态路由三.测试拓扑:四.Flex ***的配置:A.R2:crypto ikev2 keyring KeyRing peer 202.100.2.1  address 2...
思科VTI解决方案
DREW德鲁
07-30 970
相比 GRE over IPSec 技术,VTI 技术减少了每一个包中 GRE 头部的 4 个字节,所以每一个包能够承载更多的数据。当然,由于虚拟隧道口的存在,VTI 也同样能够解决经典配置 IPSec VPN 中存在的三大问题。 Virtual Tunnel Interface(VTI)技术分为如下两种类型:  静态 VTI(Static VTI,SVTI);  动态 VTI(Dynamic VTI,DVTI)。 1 .配置 IPSec Profile Site1(config)#crypto isa
linux ikev2 端口,ipsec使用的500端口和4500端口可以似乎被封杀了?
weixin_31232021的博客
05-11 1957
从几周前开始突然连不上了,ipsec start --nofork 前台运行打印的日志显示15[NET] received packet: from 116.253.84.217[500] to 162.243.153.127[500] (604 bytes)15[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_...
H3C 830ipsec配置实例无固定IP
江湖小飞将的博客
11-20 5510
acl advanced 3600 rule 0 permit ip source 10.2.2.0 0.0.0.3 destination 192.168.20.0 0.0.0.255 rule 5 permit ip source 10.2.2.0 0.0.0.3 destination 192.168.10.0 0.0.0.255 rule 10 permit ip source 172.2.2.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 1
ikev2 配置
LinuxKernelCiscoIOS的博客
04-29 6072
LAN----------site1  ---------------------INTERNET -------------------site2------------LAN  172.16.1.1     .1  202.100.1.0/24  .10          .10  61.128.1.0/24  .1      10.1.1.1 ------------------
strongswand搭建ikev2
最新发布
11-23
Swan是一个用于IPv6网络地址转换(NAT64)和IPsec IKEv2安全网关的开源软件。如果你想要使用StrongSwan搭建IKEv2,这是一个基本步骤指南: 1. **安装依赖**:首先,你需要安装StrongSwan服务器组件,通常在基于Linux的操作系统上可以使用包管理器如apt或yum进行安装。例如,在Ubuntu上: ``` sudo apt update sudo apt install strongswan ``` 2. **配置文件**:编辑 StrongSwan 的主配置文件`/etc/ipsec.conf` 或 `/etc/ipsec.d/*.conf`。添加IKEv2虚拟网关(Virtual Private Gateway,VGW)的相关配置,包括身份验证、IKE交换模式、PSK(预共享密钥)或其他认证机制。 ```bash # 示例配置 auto IKEV2_gateway secret <psk_or_certificate> ike { authby=secret keyingtries=3 lifetime 60m proposals { esp ah } } IkePhase1Policy IKEV2_gateway { name=IKEV2_gateway ike=aes256gcm16-prf-hmacsha384-uit-cmpls } IpSecPolicy IKEV2_gateway { matchidentity IKEV2_gateway ikelifetime 60m esp=aes256gcm16-integ } ``` 3. **启动服务**:设置好配置后,重启StrongSwan服务使其生效: ``` sudo systemctl restart strongswan ``` 4. **验证连接**:你可以通过命令行工具`ipsec status`查看IKEv2连接状态,或者检查NAT64是否起作用,比如ping6目标IPv6地址并确认是否能穿透到公网。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值