L2L vpn原理及配置方法

L2L VPN概述

LAN-to-LAN VPN在两个局域网之间建立IPSec隧道，也被称作站点到站点（site-to-site）IPSec VPN

特点：

加密双方地址是固定的

拓扑结构一般比较简单

.L2L VPN部署

crypto isakmp police10        //定义isakmp策略，也就是IKE第一阶段策略

   authencation pre-share        //第一阶段双方使用预共享密钥进行认证，提供了安全认证

   encr 3des                     //双方IKE第一阶段的数据包使用3DES进行加密

   group 2                       //使用DH算法产生后续密钥，DH算法强度为group2 1024位 group1 768 group5 12536

   hash md5                      //双方哈希算法使用MD5

crypto isakmp peeraddress x.x.x.x           //指定IKE协商的对等体IP

crypto isakmp key 6cisco address x.x.x.x   //指定IKE对等体之间使用的预共享密钥

ps:以上为第一阶段需要的配置

强烈注意：使用的加密，哈希算法以及认证，都是保障IKE协商本身的，而不是IPsec流量

cryptoipsec transform-sethaha esp-3des esp-md5-hmac

     //定义ip sec协商（第二阶段），使用ESP保护数据，加密使用3DES,哈希使用MD5

        定义出的结果叫做ipsec转换集

crypto maphehe 10 ipsec-isakmp      //定义crypto-map

  match address 100                   //匹配acl抓到的“感兴趣流”

  set transform-sethaha             //把ipsec转换集调用进来

  set peer x.x.x.x                    //配置第二阶段协商的对等体

access-list  100 permit xxxxxxxxxxxxx  //定义感兴趣流，即需要ipsec加密的流量

 interface s0/0

   crypto maphehe                   //接口调用

Debugcrypto isakmp  //调试第一阶段协商

Debugcrypto ipsec  //调试第二阶段协商

Showcrypto isakmp sa  //查看第一阶段协商状态

Showcrypto ipsec sa  //查看第二阶段加密状态

1.3.1 NAT-T

NAT Traversal，NAT穿越，用于实现私网地址到公网地址VPN的建立。 只能使用ESP

NAT穿越是一种为解决ESP中加密TCP/UDP端口时防止PAT发生问题而引入的一种IPSec机制。

这个问题的解决是靠将ESP分组封装在UDP头中并附带必须的端口信息以使PAT能正确工作。一接收到这些分组，网关就剥去UDP头并正常处理分组剩余部分。IKE协商不存在该问题，因为协商发生在使用UDP端口500时，只有ESP存在这个问题。

IPSec协议的主要目标是保护IP数据包的完整性，这意味着IPSec会禁止任何对数据包的修改。但是NAT处理过程是需要修改IP数据包的IP包头、端口号才能正常工作的。所以，如果从我们的网关出去的数据包经过了ipsec的处理，当这些数据包经过NAT设备时，包内容被NAT设备所改动，修改后的数据包到达目的地主机后其解密或完整性认证处理就会失败，于是这个数据包被认为是非法数据而丢弃。无论传输模式还是隧道模式，AH都会认证整个包头，不同于ESP的是，AH 还会认证位于AH头前的新IP头，当NAT修改了IP 头之后，IPSec就会认为这是对数据完整性的破坏，从而丢弃数据包。因此NAT-T的基本思路是IPSec封装好的数据包外再进行一次UDP数据封装。这样，当此数据包穿过NAT网关时，被修改的只是最外层的IP/udp包头，AH是不可能与NAT一起工作的。