PKI_IOS证书加密L2L ×××

 

实验拓扑:

 

拓扑说明:

公网接口都为f0/0 。R1为100.100.100.1,R2为100.100.100.2 。R1和R2通过PKI证书加密做L2L的×××,R4为100.100.100.4做IOS的证书颁发机构。证书存放在172.16.1.10的FTP服务器上。

 

实验配置步骤:

前期准备:搭建好FTP服务器,R4能够通过用户名和密码正常的访问FTP服务器,本实验的而用户名为:cisco 密码为:cisco123,。R4为NTP服务器,其他路由器同步时间。

在R4上的配置,R4配置为CA证书颁发机构。

 

ip domain-name cisco.com                      

crypto key general rsa usage-keys label CISCO  //产生一个密钥名字

ip http server enable  //开启HTTP服务,以便路由器可以被访问

R4(config)#crypto pki server CISCO  //PKI服务器开启,PKI的名字和产生的密钥名字相同

R4(cs-server)#database url   //指定CA数据库文件的存放地

R4(cs-server)#database username cisco password cisco123, //访问FTP服务器的用户名和密码

R4(cs-server)#database archive pem

R4(cs-server)#database level complete

R4(cs-server)#issuer-name cn=IOS_CISCO ou=IPSEC //证书CN和OU自己定义,但是注意格式

R4(cs-server)#no shutdown //开启这个服务

 

在R1路由器上申请证书

 

信任根证书证书CA

crypto pki trustpoint R1

 enrollment url http://100.100.100.4

subject-name cn=R1

 rsakeypair IKE

认证根证书

Crypto PKI authenticate R1

 

申请证书

crypto ca enroll R1

password:密码为空

yes

no

yes

此时,R1并不会获得证书,因为R4证书默认颁发模式为手动,所以在R4上:

crypto pki server CS info request  查看CA请求

crypto pki server CS grant all或序号  颁发CA

然后回到R1查看

R2的操作和R1一样。

 

×××的设置

crypto isakmp policy 10

crypto ipsec transform-set ×××SET esp-3des esp-md5-hmac

crypto map SMAP 10 ipsec-isakmp

 set peer 100.100.100.2

 set transform-set ×××SET

 match address ×××ACL

 reverse-route

interface FastEthernet0/0

crypto map SMAP

ip route 0.0.0.0 0.0.0.0 FastEthernet0/0

ip access-list extended ×××ACL

 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

 

实验验证:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

PKI_IOS证书加密Remote ×××

实验拓扑:

拓扑说明:

沿用上面的拓扑图,添加了一个R3路由器。***Cclient通过NAT上公网。R1还做了个NAT

实验配置:

R3同样也要向R1申请证书:步骤省略。

Remote ×××配置部分

aaa new-model

aaa authentication login AUTHEN local

aaa authorization network AUTHOR local

username remote*** password 0 cisco123

crypto isakmp policy 10

 hash md5

crypto isakmp identity dn

crypto isakmp client configuration group EZ×××  //组名相同

 pool ×××POOL

 acl 100

crypto isakmp profile EZ×××

   ca trust-point Remote×××

   match identity group EZ×××

   client authentication list AUTHEN

   isakmp authorization list AUTHOR

   client configuration address respond

!

crypto ipsec transform-set ×××SET esp-3des esp-md5-hmac

!

crypto dynamic-map DMAP 10

 set transform-set ×××SET

 set isakmp-profile EZ×××

 reverse-route

!

crypto map SMAP 10 ipsec-isakmp dynamic DMAP

!

interface Loopback0

 ip address 192.168.3.1 255.255.255.0

interface FastEthernet0/0

crypto map SMAP

ip local pool ×××POOL 20.1.1.1 20.1.1.10

!

access-list 100 permit ip 192.168.3.0 0.0.0.255 any

access-list 101 permit ip 192.168.3.0 0.0.0.255 any

!

 

客户端申请证书方式

在C:\program File\cisco system\××× client目录下生成IOS.txt .

 

在IOS_CA(R1)上颁发,把IOS.txt内容粘贴

cryp pki server CS request pkcs10 terminal

 

 

之后FTP会新生成*.crt,本实验为8.crt。把FTP的1.cer(根证书),和8.cet(XP获取的证书)

导入×××client软件。先导入根证书1,再导入证书8

完成后如下

完成

在xp上可以ping通公网,也可以ping通×××内部网络