Author: 颖奇L’Amore

Blog: https://www.gem-love.com 

这是一篇《Cisco  IPSec  VPN实战指南》的读书笔记。


一. DPD(Dead Peer Detection,问题对等体检测)

1.作用

快速检测到有问题的网关,并快速将加密点切换到备用网关上面去

2.工作方式

  • 周期性工作模式
  • 按需工作模式(Default Work  Mode)

3.周期性工作模式(periodic)

根据定时器定期的发送DPD包来检测peer是否出现了问题

4.按需工作模式(on-demand )

只有加密了发给对等体但是一段时间内并没有解密来自peer的数据,才会发送DPD,否则不会发生DPD数据包。


二. RRI(Reverse  Route  Injection,反向路由注入)

中心站点要去远端的分支站点,此时的路由下一跳为主用网关。当主用网关出现问题,DPD能够快速发现并切换到备用网关,但是此时路由依然是主用网关,此时便出现了问题。

RRI解决了这个问题,他会在产生IPSec  SA同时产生一条动态路由条目;IPSec  SA消失,此路由也随之消失。哪台路由器是网关,就从哪台路由器的Routing Table中注入一条反向路由.


三. 实验:实现Redundancy  VPN

1.拓扑:

书中拓扑原图(逻辑):

GNS3模拟器拓扑(物理):

2:配置接口地址和基本的路由

接口地址根据逻辑拓扑配置,过程略。

路由:

Branch#sh run | s route
ip route 0.0.0.0 0.0.0.0 202.100.1.10   --------静态路由指向Internet

GW-Primary#sh run | s route   --------------GW-Secondary相同
router ospf 110
network 10.1.1.0 0.0.0.255 area 0
!
ip route 0.0.0.0 0.0.0.0 61.128.1.10  -----指向internet

Server#sh run | s route
router ospf 110
network 2.2.2.0 0.0.0.255 area 0  ---通告加密点
network 10.1.1.0 0.0.0.255 area 0   
!
ip route 0.0.0.0 0.0.0.0 61.128.1.10

3.配置HSRP

GW-Primary#sh run | s standby
standby 1 ip 61.128.1.100   ------虚拟IP地址
standby 1 priority 105  ---默认优先级100,本设备为105即可成为Active设备
standby 1 preempt    ----抢占
standby 1 name ReVPN    ----为HSRP配置一个名字 便与后续调用
GW-Secondary#sh run | s standby
standby 1 ip 61.128.1.100
standby 1 preempt
standby 1 name ReVPN

此时测试下HSRP是否配置成功:

4.配置设备备份VPN

Branch:
crypto isakmp policy 10
authentication pre-share  ---认证方式为pre-share  key
crypto isakmp key LAmore address 61.128.1.100  ----peer地址为HSRP Virtual IP Address
crypto isakmp keepalive 10 periodic   -----启用DPD的periodic机制,10s发一个DPD的ISAKMP包
crypto ipsec transform-set Trans esp-des esp-md5-hmac ---设置转换集
!
ip access-list extended VPN   --配置感兴趣流(ACL)
permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
!
crypto map CISCO 10 ipsec-isakmp   
set peer 61.128.1.100
set transform-set Trans
match address VPN     ---匹配感兴趣流
!
interface Ethernet0/0
crypto map CISCO   ---IF下调用crypto map
GW:(主备的配置相同)
crypto isakmp policy 10
authentication pre-share
crypto isakmp key LAmore address 202.100.1.1
crypto isakmp keepalive 10 periodic   ----DPD周期模式
crypto ipsec transform-set Trans esp-des esp-md5-hmac
!
ip access-list extended VPN
permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
!
crypto map CISCO 10 ipsec-isakmp
set peer 202.100.1.1
set transform-set Trans
match address VPN
reverse-route tag 10 static     -----------启用RRI技术,并且为RRI产生的反向路由打tag为10便于调用。
!
route-map RRI
match tag 10   ----route-map中调用tag=10的路由
!
router ospf 110
redist static route-map RRI subnets   ---在ospf中重分布,注意subnets关键字(以前写过专门的文章解释它,这里不做过多解释)
!
interface e0/0  
crypto map CISCO redundancy ReVPN   ------这个Redundancy关键字调用的正是HSRP,正是因此,设备备份VPN被称为RedundancyVPN

注:对于命令reverse-route tag 10 staticstatic关键字用于使路由器在没有IPsec SA时也产生反向路由,并且只有HSRPACTIVE才会产生反向路由!

此时两个通信点没有通信,因此也没有IPSEC SA

看下GW设备的路由表:

可见,此时Active设备(GW-Primary)已经通过RRI产生了反向路由
Standby设备(GW-Secondary)并没有产生RRI路由,而是通过OSPF的重分布学到

内部服务器Server的路由表同样学到了1.1.1.0/24的路由:

Server#sh ip route
     1.0.0.0/24 is subnetted, 1 subnets
O E2    1.1.1.0 [110/20] via 10.1.1.10, 04:03:09, Ethernet0/0     -----通过OSPF学到了E2类型的对端通信点路由
     2.0.0.0/24 is subnetted, 1 subnets
C       2.2.2.0 is directly connected, Loopback0
     10.0.0.0/24 is subnetted, 1 subnets
C       10.1.1.0 is directly connected, Ethernet0/0

测试VPN:

Ping可以通的原因:
       因为在本实验中,VPN的感兴趣流只匹配了1.1.1.12.2.2.2。在ping时,SIP=2.2.2.2 DIP=1.1.1.1    回复ICMP应答时 DIP=2.2.2.2 SIP=1.1.1.1    全部匹配了感兴趣流  因此PING可以通;
Traceroute不通的原因:
       在traceroute时  要检测到中间设备,但是此时包是IPSEC加密的,因此中间设备无法处理;当此包已经被解密后,需要中间设备向2.2.2.2回包,SIP为中间设备 无法匹配ACL,因此trace不通

通过本端加密点的加解密情况也可以证实这一点:

Encrypted 96  而Decrypted只有5,这5个便是pingicmp reply包,其余便是Traceroute (向UDP 33434号端口发) 发出的报文。

下面测试一下IPSEC的高可用性,即能否DPD自动切换网关和RRI路由下一跳为新的HSRP active设备

Step1.      Server#ping 1.1.1.1 source lo0 repeat 1000
Step2.      GW-Primary#reload    -------这里的模拟器是GNS3,是不支持保存配置的,因此重启 只能代表这个设备挂掉或者被移除

可以看到  此时Primary不再启动了

看下SecondaryHSRP和路由表情况:

看下Serverping情况:

很明显,主用网关down了后,VPN经过短暂的瘫痪,重新进行了工作,此时网关为备用设备,一切又恢复到了正常!!

颖奇L'Amore原创文章,转载请注明作者和文章链接

本文链接地址:https://www.gem-love.com/networksecurity/651.html

注:本站定期更新图片链接,转载后务必将图片本地化,否则图片会无法显示


颖奇L'Amore

Most of the time is also called Y1ng. Cisco Certified Internetwork Expert - Routing and Switching. CTF player for team r3kapig. Forcus on Web Security. Islamic Scholar. Be good at sleeping and fishing in troubled waters.

0 条评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注

在此处输入验证码 : *

Reload Image