多厂商VPN系列之八:体验Cisco 15.0的新特性 | 网络之路博客(公众号同名)(其他平台网络之路Blog)
登录
  • 欢迎网络之路博客网站,分享有用的知识点,公众号:网络之路博客,B站:网络之路Blog
  • 如果您觉得本站对您有帮助,那么赶紧使用Ctrl+D 收藏吧,支持我们下
  • 远程技术支持的淘宝店铺已经开张了哦,传送门:需要的朋友可以点击查看

多厂商VPN系列之八:体验Cisco 15.0的新特性

VPN构建 公众号:网络之路博客(其他平台网络之路Blog) 2313次浏览 已收录 0个评论 扫描二维码

【汇总】学习VPN其实很简单

文档帖子汇总学习视频Book与实验手册学习必备软件
    博主也只是业余时间写写技术文档,请大家见谅,大家觉得不错的话,可以推荐给朋友哦,博主会努力推出更好的系列文档的。如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路博客,http://ccieh3c.com

新版的特性

新版的IOS,可以用很简单的配置完成一个很有效的VPN建立

1、有效体现在,原先的IPSec是不支持组播的,必须利用GRE来帮助传递,而新版本的有SVTI的功能,它跟tunel非常相似,但是,封装的并不是GRE,直接用ESP封装了,有了这个虚拟接口,那么我们可以在里面运行动态路由协议、 QOS、Netflow、ZBF等特性,并且许多特性也不会相互冲突,比如NAT、和MTU调整。

2、传统的L2L是利用map调用所有第一阶段和第二阶段的策略,然后调用在接口,最后还需要用流量进行触发才能建立VPN,而新版本,只需要四条命令就能建立一个VPN,而且隧道是自动建立。无需流量触发。

实验环境

image001.png

如图,所有的接口地址都按图上标明进行设置了,Cisco-peer1和2都有条缺省路由指向下一跳。

Cisco-Cisco-peer1(config)#crypto isakmp key 0 cisco address 23.1.1.2
Cisco-peer1(config)#crypto ipsec profile ipsecprofile
Cisco-peer1(config)#interface tunnel 0
Cisco-peer1(config-if)#tunnel destination 23.1.1.2
Cisco-peer1(config-if)#tunnel mode ipsec ipv4
Cisco-peer1(config-if)#tunnel protection ipsec profile ipsecprofile
Cisco-peer1(config-if)#ip add 172.16.1.1 255.255.255.0

Cisco-peer2(config)#crypto isakmp key 0 cisco address 12.1.1.1
Cisco-peer2(config)#crypto ipsec profile ipsecprofile

Cisco-peer2(config)#int tunnel 0
Cisco-peer2(config-if)#tunnel source f0/1
Cisco-peer2(config-if)#ip address 172.16.1.2 255.255.255.0
Cisco-peer2(config-if)#tunnel destination 12.1.1.1
Cisco-peer2(config-if)#tunnel mode ipsec ipv4
Cisco-peer2(config-if)#tunnel protection ipsec profile ipsecprofile

image002.png

发现了什么!!!,隧道已经建立了,并且提示是 isakmp Default policies 和using default transforms, 也许有朋友想到了15.0中添加了默认策略,是的,而且都是非常安全的

image003.jpg
image004.jpg

有许多的默认集成策略,而且发现每个安全性都非常高。无论是基于证书的还是预共享密钥都有策略,这很像H3C了,也集成了许多默认策略,大大的简化配置量。

从思科新版的算法强度公布来看, des、MD5、DH group1 、2、5都是非常不安全的了,官方建议一个在2020年之前可以使用的策略是 ISAKMP/IKE第一阶段采用 3des或者AES 128 ,DH采用group 14 (2048强度),hash使用sha-2以上,IPSec第二阶段采用3des以上的加密,hash使用sha-2以上,RSA的密钥强度必须是2048了,1024都已经不安全了。 但是,这个对于实际应用中看设备的性能和环境采取应用了,毕竟在一般情况下也不需要使用那么强度的算法,如果传输的文件非常重要的话,那么就建议不要使用不安全的算法。

image005.png

我这IOS的版本是15.0(1)M3的,这版本不支持IKEV2的,但是很多算法都已经加强了,可以看出,IKEV2的IOS必须是15.2或者是多业务路由器18、28系列才有。

这里在说下默认策略的几个注意的地方:
1、关于第一阶段的默认策略,只要配置了明细策略,那么默认策略就会消失,以明细为主

2 、第二阶段的默认策略,配置了不会消失,区别在于你在profile中是否调用了转换集,如果没调用就使用默认的。

3、默认策略,是不会出现任何VPN连接故障的,所以排错起来更为简单。

关于博客资源下载说明

首先,感谢大家对网络之路博客的支持,本站所有资源都是开放下载,不做任何限制,资源都是上传在百度盘,分为两种类型:
(1)第一种是书籍PDF与视频类,全部放在博客分享,觉得对大家学习有帮助的博主会收集好、然后以博主的经验整理分类后排序好分享出来。
(2)第二种是技术性文章与视频,全部放在公众号(网络之路博客)/B站(网络之路Blog)发布,以博主原创为主,主要分享系列为主,由浅入深的带大家了解工作中常用到的一些网络技术,当然也会分享一些比较经典的案例。
(3)分享资源有涉及到您的利益以及版权问题,请联系博主,24小时候内删除。
想第一时间收到最新更新内容吗,点击获取~~~

点击查看详情
学习必备软件(模拟器等)
学习视频系列(总有您想要的)
Book与实验手册(从初级到高级)
数通系列(路由交换 无线、防火墙VPN等)
实战系列(最贴近企业需求的案例)
想第一时间收到最新更新内容吗,点击获取~~~

(广告)博主自主原创最新实战课程

点击查看详情

(广告)远程技术支持(设备调试),有搞不定的找我,价格实惠,为您解决实际工作上的问题

远程技术调试与技术支持,点击查看详情

原创与收集的内容,允许转载,转载时请务必以超链接形式标明文章原始出处,博客地址http://ccieh3c.com。

喜欢 (1)
[]
分享 (0)
公众号:网络之路博客(其他平台网络之路Blog)
关于作者:
分享一些自己懂的技术知识点,希望对大家有帮助。
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址