小型企业少量的分公司,配置点对点ipsec vpn 通道。
工业路由器
首先工业路由器vpn的配置必须建立在底层通讯已经建立的前提下,也就是说网络是通的情况下。
en \\进入特权模式
conf t \\进入全局配置模式
interface s1/2 \\进入1/2串行接口
ip address 12.12.12.1 255.255.255.0 \\配置接口ip地址为12.12.12.1/24
no shutdown \\启动该接口
interface loopback 0 \\进入回环接口0
ip address 10.1.1.1 255.255.255.0 \\设置ip地址为10.1.1.1 /24
exit \\返回全局配置模式
router eigrp 10 \\启动eigrp路由协议10
no auto-summary \\关闭默认自动汇总
network 12.12.12.0 0.0.0.255 \\宣告直连网段12.12.12.0/24
exit \\退回全局配置模式
ip route 0.0.0.0 0.0.0.0 12.12.12.2 \\创建静态缺省路由下一跳为工业路由器
access-list 101 permit ip 10.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255
\\创建扩展访问控制列表101号,允许ip协议中源为10.1.1.0/24 去往目的为20.1.1.0/24的数据启用ipsecvpn隧道。
图1.1
定义ipsec阶段一,定义密钥如何安全传输(如图1.2)
crypto isakmp policy 10 \\创建管理隧道集10 并开始定义ike阶段一
authentication pre-share \\源认证采用带外域共享密钥
encryption des \\定义数据隧道密钥使用工业路由器des算法安全传输
group 2 \\des密钥长度为2
hash md5 \\数据隧道密钥使用md5进行完整性检验
exit \\返回全局配置模式
crypto isakmp key 0 cisco address 23.23.23.2
\\源认证的域共享密钥为cisco,并指出和23.23.23.2进行认证
图1.2
定义ike阶段2,定义数据如何安全传输(如图1.3)
crypto ipsec transfrom-set ike2 esp-des esp-md5-hmac
\\定义数据隧道名为ike2,工业路由器且数据隧道使用des加密,使用md5hash成散列值
mode tunnel \\vpn的模式为隧道模式
exit \\返回全局配置模式
图1.3
定义ipsec转换集(如图1.4)
crypto map mymap 10 ipsec-isakmp \\创建一个转换集名叫mymap编号10,并关联ike阶段一。
set peer 23.23.23.2 \\定义转换集对端地址为23.23.23.2
set transform-set ike2 \\关联ike阶段二
match address 101 \\当访问控制列表101满足时触发工业路由器vpn
exit \\返回全局配置模式
图1.4
ipsec策略应用到接口(如图1.5)
interface s1/2 \\进入接口1/2串行接口
crypto map mymap \\将转换集mymap调用在该接口
图1.5
在r2上配置2端口ip地址及路由(如图1.6)
en \\进入特权模式
conf t \\进入全局配置模式
interface s1/3 \\进入1/2串行接口
ip address 12.12.12.2 255.255.255.0 \\配置接口ip地址为12.12.12.2 24
no shutdown \\启动该接口
interface s1/2 \\进入接口1/2串行接口
ip address 23.23.23.1 255.255.255.0 \\配置接口ip地址为23.23.23.1 /24
no shutdown \\启动该接口
exit \\退回到全局配置模式
router eigrp 10 \\启动eigrp路由协议10
no auto-summary \\关闭默认自动汇总
network 12.12.12.0 0.0.0.255 \\宣告直连网段12.12.12.0/24
network 23.23.23.0 0.0.0.255 \\宣告直连网段23.23.23.0/24
图1.6
在r3上配置2端口ip地址路由通告以及感兴趣流(如图1-7所示)
en \\进入特权模式
conf t \\进入全局配置模式
interface s1/3 \\进入1/2串行接口
ip address 23.23.23.2 255.255.255.0 \\配置接口ip地址为23.23.23.2 /24
exit \\退回到全局配置模式
router eigrp 10 \\启动eigrp路由协议10
no auto-summary \\关闭默认自动汇总
network 23.23.23.0 0.0.0.255 \\宣告直连网段23.23.23.0/24
exit \\退回到全局配置模式
ip route 0.0.0.0 0.0.0.0 23.23.23.1 \\创建静态缺省路由下一跳为r2
access-list 101 permit ip 20.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255
\\创建扩展访问控制列表101号,允许ip协议中源为20.1.1.0/24 去往目的为10.1.1.0/24的数据启用ipsecvpn隧道。
图1.7
定义ipsec阶段一,定义密钥如何安全传输(如图1.8)
crypto isakmp policy 10 \\创建管理隧道集10 并开始定义ike阶段一
authentication pre-share \\源认证采用带外域共享密钥
encryption des \\定义数据隧道密钥使用des算法安全传输
group 2 \\des密钥长度为2
hash md5 \\数据隧道密钥使用md5进行完整性检验
exit \\返回全局配置模式
crypto isakmp key 0 cisco address 12.12.12.1
\\源认证的域共享密钥为cisco,并指出和12.12.12.1进行认证
定义ike阶段2,定义数据如何安全传输(如图1.8)
crypto ipsec transform-set ike2 esp-des esp-md5-hmac
\\定义数据隧道名为ike2,工业路由器且数据隧道使用des加密,使用md5hash成散列值
mode tunnel \\vpn的模式为隧道模式
exit \\返回全局配置模式
图1.8
定义ipsec转换集(如图1.9)
crypto map mymap 10 ipsec-isakmp \\创建一个转换集名叫mymap编号10,并关联ike阶段一。
set peer 12.12.12.1 \\定义转换集对端地址为12.12.12.1
set transform-set ike2 \\关联ike阶段二
match address 101 \\当访问控制列表101满足时触发vpn
exit \\返回全局配置模式
图1.9
ipsec策略应用到接口(如图1.10)
interface s1/3 \\进入接口1/3串行接口
crypto map mymap \\将转换集mymap调用在该接口
图1.10
ipsec完整配置show running-config(如图1.11)
图1.11
数据流量分析:
从10.1.1.1 去往20.1.1.1的流量到达r1后查询r1的路由表如图1.12所示,匹配缺省静态路由,经过s1/2接口发送给12.12.12.2接口;由于s1/2接口配置了ipsec策略,故流经s1/2接口的流量会被检查是否满足感兴趣流(访问控制列表101),满足源为10.1.1.0目的为20.1.1.0的流量触发ipsecvpn封装,不满足则不触发。触发隧道开始后,ipsecvpn对等体设备之间要进行协商,协商内容包括加密密钥如何传输,以及数据传输用什么加密算法等9个协商包。协商完毕后,ipsecvpn通道建立完成。因为ipsec定义为tunnel隧道模式,所以为流量打上新的ip头部,源为12.12.12.1 目的为23.23.23.2并把原始的头部加密哈希。此时在isp公共网络上来看,需要被路由的是从一个公网地址12.12.12.1到另一个公网地址23.23.23.2,而不是路由公司内部私有地址。流量到达23.23.23.2也就是r2后,继续查询自己的路由表如图1.13,去往23.23.23.0网段的流量会被从r2的s1/2接口转发出去。在广域网上通过查询路由表转发,会使得流量最终到达23.23.23.2,也就是分公司网关。由于在23.23.23.2上也配置了ipsecvpn,所以流量会在23.23.23.2接口被被还原为原始数据送达目标地址20.1.1.1。
r1路由表如图(1.12)
图1.12
r2路由表如图(1.13)
图1.13
r3路由表如图(1.14)
图1.14
ping 产生的结果如图(1.15和1.16)
第一个ping包不通是由于ipsecvpn隧道建立协商的存在,使icmp等待超时。以后的包就不会再出现次情况。
使用源为20.1.1.1 ping 10.1.1.1 触发隧道
图1.15
使用源为23.23.23.2 ping 10.1.1.1 由于r2上没有去往10.1.1.0的路由条目(如图1.13)所以不通
图1.16
查看ipsec隧道中加密解密的数据量(如图1.17)
图1.17 加密了4个数据包,解密了4个数据包,因为ping5个包,第一个包超时不通。
debug crypto sa 获得的ipsecvpn通信详细信息(如图1.18)
深圳市智联物联科技有限公司是一家致力于提供工业级无线网络通讯产品和凯时国际app的解决方案的物联网企业,智联物联科技集产品研发、生产、销售、技术服务及定制化开发于一体。公司成立以来,为各行各业提供基于移动通信m2m系列产品和凯时国际app的解决方案;工业级3g/4g无线路由器,4g工业路由器,4g dtu,车载wifi,plc远程控制网关,工业路由器,工业级路由器,工业级无线路由器,工业级4g无线路由器,3g路由器,4g路由器,工业4g网关,工业无线路由器,打印服务器,串口服务器
遍及智能电力、智能交通、智能消防、智能家居、智慧水利、智慧医疗、快递柜、充电桩、自助终端、公共安全、安防通信、工业监测、环境保护、环境监测、路灯照明、花卉栽培、车载wifi等多个领域。
智联物联拥有一支专业的工业网络通讯产品研发团队,由具有丰富的电子产品开发经验的电子工程师、软件工程师和丰富的系统应用经验的网络工程师组成,以工业产品的开发流程和标准,采用国际领先的技术,不断创新,追求卓越,开发出一系列稳定、可靠的工业通讯产品,获得了多项发明和专利。
凯时注册的文化:智联物联以专业的团队、优质的产品、完善的服务得到客户的信任和认可。
智联物联价值观:专业合作、诚信立业、创新兴业、客户满意。www.szchilink.com
一、工业级设计
1.采用高性能工业级32位处理器
采用全球顶级无线凯时国际app的解决方案高通芯片,处理速度快,功耗小,发热量低,兼容性强,更加稳定,能满足一年365天7*24小时长时间稳定运行不掉线。
2.采用高性能工业级通信模块
采用华为等一线品牌高质量的通信模块,接收能力强,信号稳定,传输更快。
操作系统
采用openwrt一个高度模块化、高度自动化的嵌入式linux系统,让设备更加稳定,拥有128mb超大flash、1g超大内存,可以支持个性化定制开发的需求。
优质的pcb线路板,采用工业级元器件
公司产品线路板采用高品质材质,高标准生产,4层板工艺,产品元器件采用性能稳定的工业级元器件,全部机器自动化实现贴片生产,保证了产品的稳定可靠。
电源采用宽电压设计
支持dc5v-36v,内置电源反相保护和过压过流保护,承受瞬间电压电流过高的冲击。
以太网采用千兆网口,内置电磁防护
以太网接口内置1.5kv电磁隔离保护,千兆网口,传输速度更快。
抗干扰能力强
外壳采用加厚金属外壳,屏蔽电磁干扰,设备防护等级ip34,适合在环境恶劣的工业环境下使用。
二、功能强大
1.多模多卡,负载均衡
扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。
支持全球网络制式
支持国内三大运营商2g、3g、4g网络制式,或者支持欧洲,或者支持东南亚,或者支持非洲,或者支持拉美等国家的2g、3g、4g网络制式。
支持有线无线备份
wan口和lan口可弹性切换,支持wan口有线和无线备份,有线优先、无线备份。
串口传输
支持同时串口232/485串口传输。
支持apn/vpdn专网卡,支持多种vpn
支持apn/vpdn专网卡使用,同时支持pptp、l2tp、ipsec、openvpn、gre等多种vpn。
强大的 wifi功能
具备wifi功能,可隐藏ssid,同时支持3路wifi,最多可支持15个信道,可同时接入50个设备,wifi支持802.11b/g/n,支持wifi ap、ap client,中继器,中继桥接和wds等多种工作模式,支持802.11ac,即5.8g(可选)。
支持ip穿透功能
可实现主机ip为路由器获取的ip地址,相当于主机直接插卡拨号上网获取基站ip。
支持vlan虚拟局域网划分
通过vlan的划分,增强局域网的安全性,vlan技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境。
支持qos,带宽限速
支持不同网口带宽限速,ip限速,总带宽限速。
支持dhcp,ddns,防火墙,nat,以及dmz主机等功能
支持icmp,tcp,udp,telnet,ftp,http,https等网络协议
支持定时重启、手机短信控制上下线
可选支持portal广告,短信认证,微信认证,gps/北斗定位功能(可选)
支持m2m云平台管理,手机监控和web监控
设备数据监控、流量限制功能、资源推送、统计报表、远程设备管理(远程重启,wifi开关),远程参数修改,流量限制,gps定位追踪轨迹。
三、稳定可靠
1.支持硬件wdt看门狗,提供防掉线机制,确保数据终端永远在线。
2.支持icmp检测,流量检测,及时发现网络异常自动重启设备,保证系统长期使用稳定可靠。
3.工业级设计,金属外壳,抗干扰、防辐射,湿度95%无凝结,耐高温耐低温,零下30度至高温75度也可以正常工作。
4.产品通过ccc认证,欧洲ce认证等多种认证
操作简单,方便易用
1.上网简单,推杆式用户卡接口,插入手机卡/物联网卡/专网卡,上电后即可联网使用网口和wifi。
2.支持软硬件恢复出厂设置,可软件清除参数,可硬件rst一键恢复出厂设置。
3.产品快速使用说明书,web菜单式页面,可以快速设置使用设备。
4.诊断工具:日志下载查看,远程日志记录,ping检测,路由追踪,方便检测设备信息。