cisco:config:vti
目录
Cisco VTI tunnel 完整配置
crypto keyring KEY_RING pre-shared-key address 192.168.200.2 key fortigate ! crypto isakmp policy 11 encr aes 256 hash sha256 authentication pre-share group 2 ! crypto ipsec transform-set ROUTER-IPSEC esp-aes 256 esp-sha512-hmac mode tunnel ! crypto ipsec profile FORTINET set transform-set ROUTER-IPSEC ! ! ! ! ! ! interface Loopback1 ip address 5.5.5.5 255.255.255.255 ! interface Tunnel1 description !!! To FortiGate !!! ip address 192.168.170.90 255.255.255.252 load-interval 30 tunnel source 192.168.200.1 tunnel mode ipsec ipv4 tunnel destination 192.168.200.2 tunnel protection ipsec profile FORTINET !
📌 配置解读(Cisco IOS IPSec VPN 配置)
这是一份Cisco IOS 路由器的 IPSec VPN 隧道配置,用于和 FortiGate 防火墙建立站点到站点(Site-to-Site)VPN 连接,各模块作用如下:
1. 预共享密钥配置
crypto keyring KEY_RING pre-shared-key address 192.168.200.2 key fortigate
- 定义名为
KEY_RING的密钥环,为对端 IP192.168.200.2(FortiGate)配置预共享密钥fortigate,用于 IKE 阶段 1 身份认证。
2. IKE 策略(ISAKMP 阶段 1)
crypto isakmp policy 11 encr aes 256 hash sha256 authentication pre-share group 2
- 优先级 11(数值越小优先级越高),协商 IKE SA 参数:
- 加密算法:AES-256
- 哈希算法:SHA-256
- 认证方式:预共享密钥
- DH 密钥交换组:Group 2(1024 位,安全性较低,建议升级为 Group 14/19/20)
3. IPSec 变换集(阶段 2)
crypto ipsec transform-set ROUTER-IPSEC esp-aes 256 esp-sha512-hmac mode tunnel
- 定义名为
ROUTER-IPSEC的变换集,用于 IPSec SA 协商:- ESP 加密:AES-256
- ESP 认证:SHA-512 HMAC
- 隧道模式(标准站点间 VPN 模式)
4. IPSec 配置文件
crypto ipsec profile FORTINET set transform-set ROUTER-IPSEC
- 定义名为
FORTINET的 IPSec 配置文件,绑定上述变换集,用于隧道接口调用。
5. 接口配置
- Loopback1:环回接口,IP
5.5.5.5/32,通常用于 VPN 隧道的源 / 目的地址、路由协议邻居等。 - Tunnel1:虚拟隧道接口,核心配置:
- 隧道 IP:
192.168.170.90/30(对端为192.168.170.89) - 源地址:
192.168.200.1(路由器公网 / 互联口 IP) - 目的地址:
192.168.200.2(FortiGate 公网 / 互联口 IP) - 绑定 IPSec 配置文件
FORTINET,启用 IPSec IPv4 隧道模式
⚠️ 优化建议
- DH 组升级:Group 2(1024 位)安全性不足,建议替换为 Group 14(2048 位)、Group 19(256 位 ECC)或 Group 20(384 位 ECC)。
- IKE 生命周期:建议补充
lifetime 86400(默认 86400 秒,可按需调整)。 - NAT 穿越:若两端存在 NAT,需补充
crypto isakmp nat-traversal启用 NAT-T。 - ACL 与路由:需补充感兴趣流 ACL(
crypto isakmp key对应 ACL)、静态路由 / 动态路由,确保 VPN 流量可达。
需要我帮你补全这份配置缺失的感兴趣流 ACL、NAT 豁免和路由,生成可直接部署的完整版本吗?
好的
完整可部署 Cisco IOS IPSec VPN 配置(含 ACL/NAT/ 路由)
以下是基于你原始配置补全的全量可用版本,包含感兴趣流 ACL、NAT 豁免、静态路由,可直接复制到路由器部署,同时保留了你原配置的核心参数。
📝 完整配置代码
ios
! ================= 1. 基础密钥与 IKE 策略(保留原配置,优化 DH 组) ================= crypto keyring KEY_RING pre-shared-key address 192.168.200.2 key fortigate ! crypto isakmp policy 11 encr aes 256 hash sha256 authentication pre-share group 14 ! 从 Group 2 升级为 2048 位,提升安全性 lifetime 86400 ! 新增 IKE 生命周期,默认 24 小时 ! ! ================= 2. IPSec 变换集与配置文件(保留原配置) ================= crypto ipsec transform-set ROUTER-IPSEC esp-aes 256 esp-sha512-hmac mode tunnel ! crypto ipsec profile FORTINET set transform-set ROUTER-IPSEC ! ! ================= 3. 核心:VPN 感兴趣流 ACL(必选,定义加密流量) ================= ! 格式:permit ip 本地私网网段 反掩码 对端私网网段 反掩码 ! 示例:假设本地私网为 192.168.1.0/24,对端私网为 192.168.2.0/24,请替换为你的实际网段 ip access-list extended VPN-INTEREST permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ! 可新增多行,添加多个需要加密的本地/对端网段组合 ! permit ip 10.0.0.0 0.255.255.255 192.168.3.0 0.0.0.255 ! ! ================= 4. NAT 豁免(必选,避免 VPN 流量被 NAT 转换) ================= ! 仅当路由器配置了 NAT(如出口上网 PAT)时需要,无 NAT 可跳过 ! 规则:本地私网与对端私网互访时,不做地址转换 object network LOCAL-NET subnet 192.168.1.0 255.255.255.0 ! 替换为你的实际本地私网 object network REMOTE-NET subnet 192.168.2.0 255.255.255.0 ! 替换为 FortiGate 侧实际私网 ! nat (inside,outside) source static LOCAL-NET LOCAL-NET destination static REMOTE-NET REMOTE-NET no-proxy-arp route-lookup ! ! ================= 5. 接口配置(保留原配置,补充说明) ================= interface Loopback1 ip address 5.5.5.5 255.255.255.255 ! interface Tunnel1 description !!! To FortiGate !!! ip address 192.168.170.90 255.255.255.252 load-interval 30 tunnel source 192.168.200.1 tunnel mode ipsec ipv4 tunnel destination 192.168.200.2 tunnel protection ipsec profile FORTINET ! ! ================= 6. 静态路由(必选,指引 VPN 流量与内网流量) ================= ! 路由 1:指向对端私网的流量,通过隧道接口转发(触发 IPSec 加密) ip route 192.168.2.0 255.255.255.0 Tunnel1 ! 路由 2:默认路由(指向出口网关,确保 IKE/IPsec 协商报文能到达对端) ip route 0.0.0.0 0.0.0.0 192.168.200.254 ! 替换为你的实际出口网关 IP ! ! ================= 7. 可选:启用 IKE NAT 穿越(若两端在 NAT 设备后) ================= ! crypto isakmp nat-traversal 30 ! ! ================= 8. 保存配置 ================= write memory
📌 关键配置说明
1. 核心补全项(必改)
表格
| 配置项 | 作用 | 替换说明 |
|---|---|---|
| VPN-INTEREST ACL | 定义哪些流量需要走 VPN 加密 | 替换 192.168.1.0/24(本地私网)、192.168.2.0/24(FortiGate 侧私网)为你的实际网段 |
| NAT 豁免对象 | 避免 VPN 流量被出口 NAT 转换 | 同步替换 LOCAL-NET/REMOTE-NET 为你的实际私网 |
| 默认路由 | 确保 IKE 协商报文能到达 FortiGate | 替换 192.168.200.254 为你的出口网关 IP |
2. 优化项(可选)
- DH 组升级:原配置
group 2(1024 位)已升级为group 14(2048 位),安全性更高,可保留。 - IKE 生命周期:新增
lifetime 86400(24 小时),与 FortiGate 侧默认配置对齐,避免协商超时。 - NAT-T:若路由器 / FortiGate 处于 NAT 设备后,取消
crypto isakmp nat-traversal 30注释启用。
🧪 验证命令(部署后检查)
- 检查 IKE 阶段 1 协商状态:ios
show crypto isakmp sa
正常状态:
QM_IDLE(表示协商成功)。 - 检查 IPSec 阶段 2 隧道状态:ios
show crypto ipsec sa
正常状态:显示
encap/decap数据包计数(表示流量加密 / 解密成功)。 - 检查路由表:ios
show ip route
确认对端私网路由通过
Tunnel1接口指向。 - 测试连通性:从本地内网 ping FortiGate 侧内网 IP,能通则配置生效。
⚠️ 配套要求(FortiGate 侧)
Cisco 与 FortiGate 建立 IPSec 需保证以下参数镜像:
- IKE 策略:加密
aes-256、哈希sha256、认证pre-share、DH 组14。 - IPSec 策略:加密
aes-256、认证sha512、模式tunnel。 - 预共享密钥:必须与 Cisco 侧一致(
fortigate)。 - 感兴趣流:与 Cisco 侧
VPN-INTERESTACL 镜像(本地 / 对端网段互换)。
cisco/config/vti.txt · 最后更改: 由 packingbox