精华内容
下载资源
问答
  • IPSEC VXN配置实例

    千次阅读 2021-07-05 20:30:21
    今天给大家介绍一下IPSEC VXN的配置实例,适合对IPSEC...要求:配置IPSEC VPN,实现两个私网网址之间互通,同时要求两个私网网址使用费NAT访问公网。 二、配置讲解说明 IPSEG的配置可以分为以下几个小部分: 1、IPSEG p

    今天给大家介绍一下IPSEC VXN的配置实例,适合对IPSEC理论有一定了解,但是对IPSEC配置还不清楚的同学,本文介绍的是最简单的IPSEC配置实例。如果想要了解IPSEC基础知识或者想要了解IPSEC更深层次知识的同学,可以关注我的博客,我的博客会不断更新计算机网络相关技术文章。

    一、实验拓扑及要求

    实验拓扑图如下所示:
    在这里插入图片描述
    要求:配置IPSEC VXN,实现两个私网网址之间互通,同时要求两个私网网址使用费NAT访问公网。

    二、配置讲解说明

    IPSEG的配置可以分为以下几个小部分:
    1、IPSEG proposal的配置

    ipsec proposal IPSEG
     transform esp
     esp authentication-algorithm md5
     esp encryption-algorithm 3des
    

    要配置IPSEC VXN,首先要配置IPSEC策略,我们知道,IPSEC有两种形式,esp或者ah,在IPSEC 配置中,要选择其中一种方式,并进一步选择该方式的加密(认证)算法。该配置要求运行IPSEC VXN的路由器配置相同
    2、IKE的配置
    IKE协议是IPSEC VXN中用于密钥交换的协议,定义IKE协议,要定义其密钥交换算法,加密算法和认证算法。

    ike proposal 10
     encryption-algorithm 3des-cbc
     dh group2
     authentication-algorithm md5
     authentication-method pre-share
    ike peer R3 v1
     pre-shared-key simple admin
     remote-address 150.1.2.3
    

    3、分化IPSEC流量和公网流量
    因为IPSEC的流量和上互联网的流量都要从一个接口出去,因此必须告诉路由器什么样的流量要进行IPSEC VXN封装,什么样的流量不需要进行IPSEC VXN封装。要特别注意:在进行ACL匹配的时候,默认是先进行NAT的匹配,因此在配置NAT的ACL的时候,要把IPSEC VXN的流量踢出去,但是在配置IPSEC VXN的ACL时则不用这样做。

    acl number 3000  
     rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
    acl number 3001  
     rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 
     rule 10 permit ip source 192.168.1.0 0.0.0.255
    

    4、生成IPSEG策略
    IPSEC 策略配置要把以上配置的内容整合在一起,配置如下所示:

    ipsec policy IPSEC_POL 10 isakmp
     security acl 3000
     ike-peer R1
     proposal IPSEC
    

    5、IPSEG应用
    在接口上,要应用IPSEC 策略和NAT策略。

    interface GigabitEthernet0/0/0
     ipsec policy IPSEC_POL
     nat outbound 3001
    

    三、IPSEC排错——新手配置IPSEC VXN易犯错误

    注意,在完成上述配置后,我们还必须添加一条手动的静态路由,如下:

    ip route-static 0.0.0.0 0.0.0.0 150.1.1.2
    

    这是新手在配置IPSEC VXN时经常犯的错误。
    以R3为例,当PC2发往PC1的数据包送到R3时,此时我们需要让他走IPSEC VXN进行封装。**但是!!!**如果此时R3上没有去往PC1的路由,则路由器会把该数据包直接丢弃,因此,必须加上一条如上的默认路由,或者是去往PC1的静态路由。只有这样,才能把流量送到G0/0/0接口上,让其进行IPSEC VXN封装。

    四、附录——配置命令

    为了方便大家配置,下面把R1和R3上的相关配置命令粘贴如下:(注:有些命令是默认配置的,因此在二中的一些命令在下面没有显示)
    R1:

    acl number 3000  
     rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
    #
    acl number 3001  
     rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 
     rule 10 permit ip source 192.168.1.0 0.0.0.255 
    #
    ipsec proposal IPSEG
     esp encryption-algorithm 3des
    #
    ike proposal 10
     encryption-algorithm 3des-cbc
     dh group2
     authentication-algorithm md5
    #
    ike peer R3 v1
     pre-shared-key simple admin
     remote-address 150.1.2.3
    #
    ipsec policy IPSEC_POL 10 isakmp
     security acl 3000
     ike-peer R3
     proposal IPSEG
    #
    interface GigabitEthernet0/0/1
     ip address 150.1.1.1 255.255.255.0 
     ipsec policy IPSEC_POL
     nat outbound 3001
    #
    interface GigabitEthernet0/0/2
     ip address 192.168.1.1 255.255.255.0 
    #
    ip route-static 0.0.0.0 0.0.0.0 150.1.1.2
    

    R3:

    acl number 3000  
     rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
    #
    acl number 3001  
     rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 
     rule 10 permit ip source 192.168.2.0 0.0.0.255 
    #
    ipsec proposal IPSEC
     esp encryption-algorithm 3des
    #
    ike proposal 10
     encryption-algorithm 3des-cbc
     dh group2
     authentication-algorithm md5
    #
    ike peer R1 v1
     pre-shared-key simple admin
     ike-proposal 10
     remote-address 150.1.1.1
    #
    ipsec policy IPSEC_POL 10 isakmp
     security acl 3000
     ike-peer R1
     proposal IPSEC
    #
    interface GigabitEthernet0/0/0
     ip address 150.1.2.3 255.255.255.0 
     ipsec policy IPSEC_POL
     nat outbound 3001
    #
    interface GigabitEthernet0/0/2
     ip address 192.168.2.3 255.255.255.0 
    #
    ospf 1 
     area 0.0.0.0 
      network 150.1.2.0 0.0.0.255 
    #
    ip route-static 0.0.0.0 0.0.0.0 150.1.2.2
    

    五、实验效果

    1、能PING通
    在这里插入图片描述
    2、能查看
    在R1上执行命令:

    display ipsec sa
    

    在这里插入图片描述
    3、能上网
    在这里插入图片描述
    原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/118497951

    展开全文
  • 华为 eNsp ipSec vpn实验配置(1)

    千次阅读 2020-04-11 14:03:34
    配置PC1~PC2的路由可达 配置ACL匹配源IP192.168.1.0到192.168.2.0的数据包进行认证 配置SA建立方式为手工配置 实验拓扑 实验配置 AR1 ip route-static 12.0.0.0 255.255.255.0 11.0.0.2 ip route-static 192.168....

    实验要求

    配置PC1~PC2的路由可达
    配置ACL匹配源IP192.168.1.0到192.168.2.0的数据包进行认证
    配置SA建立方式为手工配置

    实验拓扑

    在这里插入图片描述

    实验配置

    AR1

    ip route-static 12.0.0.0 255.255.255.0 11.0.0.2
    ip route-static 192.168.2.0 255.255.255.0 12.0.0.2
    [Huawei]acl 3001
    [Huawei-acl-adv-3001]rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 1
    92.168.2.0 0.0.0.255
    [Huawei]ipsec proposal tran1
    [Huawei-ipsec-proposal-tran1]esp authentication-algorithm sha1
    [Huawei-ipsec-proposal-tran1]quit
    [Huawei]ipsec policy P1 10 manual   //manual代表手动配置SA
    [Huawei-ipsec-policy-manual-P1-10]security acl 3001
    [Huawei-ipsec-policy-manual-P1-10]proposal tran1
    [Huawei-ipsec-policy-manual-P1-10]tunnel remote 12.0.0.2
    [Huawei-ipsec-policy-manual-P1-10]tunnel local 11.0.0.1
    [Huawei-ipsec-policy-manual-P1-10]sa spi outbound esp 54321   //密钥队
    [Huawei-ipsec-policy-manual-P1-10]sa spi inbound esp 12345
    [Huawei-ipsec-policy-manual-P1-10]sa string-key outbound esp simple huawei  //simple为明文密码
    [Huawei-ipsec-policy-manual-P1-10]sa string-key inbound esp simple huawei
    [Huawei-ipsec-policy-manual-P1-10]quit
    [Huawei]inter g0/0/1
    [Huawei-GigabitEthernet0/0/1]ipsec policy P1
    [Huawei-GigabitEthernet0/0/1]quit
    

    在这里插入图片描述

    AR3

    <Huawei>u  t  m 
    <Huawei>system-view 
    [Huawei]inter g0/0/0
    [Huawei]inter g0/0/0
    [Huawei-GigabitEthernet0/0/0]ip add 11.0.0.2 24
    [Huawei-GigabitEthernet0/0/0]inter g0/0/1
    [Huawei-GigabitEthernet0/0/1]ip add 12.0.0.1 24
    [Huawei-GigabitEthernet0/0/1]quit
    [Huawei]ip route-static 192.168.1.0 24 11.0.0.1
    [Huawei]ip route-static 192.168.2.0 24 12.0.0.2
    

    AR2

    #配置路由可达
    <Huawei>u t m 
    <Huawei>system-view 
    [Huawei]inter g0/0/1
    [Huawei-GigabitEthernet0/0/1]ip add 12.0.0.2 24
    [Huawei-GigabitEthernet0/0/1]inter g0/0/0
    [Huawei-GigabitEthernet0/0/0]ip add 192.168.2.254 24
    [Huawei-GigabitEthernet0/0/0]quit
    [Huawei]ip route-static 11.0.0.0 24 12.0.0.1
    [Huawei]ip route-static 192.168.1.0 24 11.0.0.1
    #配置ACL
    [Huawei]acl 3002
    [Huawei-acl-adv-3002]rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 1
    92.168.1.0 0.0.0.255
    [Huawei-acl-adv-3002]quit
    [Huawei]ipsec proposal tran1
    [Huawei-ipsec-proposal-tran1]esp authentication-algorithm sha1
    [Huawei-ipsec-proposal-tran1]quit
    [Huawei]ipsec policy P1 10 manual 
    [Huawei-ipsec-policy-manual-P1-10]security acl 3002
    [Huawei-ipsec-policy-manual-P1-10]proposal tran1
    [Huawei-ipsec-policy-manual-P1-10]tunnel remote 11.0.0.1
    [Huawei-ipsec-policy-manual-P1-10]tunnel local 12.0.0.2
    [Huawei-ipsec-policy-manual-P1-10]sa spi outbound esp 12345
    [Huawei-ipsec-policy-manual-P1-10]sa spi inbound esp 54321
    [Huawei-ipsec-policy-manual-P1-10]sa string-key outbound  esp simple huawei
    [Huawei-ipsec-policy-manual-P1-10]sa string-key inbound esp simple huawei
    [Huawei-ipsec-policy-manual-P1-10]quit
    [Huawei]inter g0/0/1
    [Huawei-GigabitEthernet0/0/1]ipsec policy P1
    [Huawei-GigabitEthernet0/0/1]quit
    
    [Huawei]disp ipsec policy
    

    在这里插入图片描述

    抓包

    从PC2 ping PC1的报文抓取如图
    在这里插入图片描述
    在未配置VPN隧道前,源IP与目标IP是内网IP,且协议类型是ICMP协议,抓包是可以获取到的,

    展开全文
  • IPSec 隧道技术--基础实验配置

    千次阅读 多人点赞 2021-04-25 18:07:24
    IPSec VPN基础实验配置 IPSec 简介 (Internet Protocol Security)是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证...


    IPSec 隧道技术–基础实验配置


    IPSec 简介

        (Internet Protocol Security)是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。


    IPSec 架构

         IPSec VPN体系结构主要由AH(Authentication Header)、ESP(Encapsulating Security Payload)和IKE(Internet Key Exchange)协议套件组成。通过AH和ESP这两个安全协议来实现IP数据报文的安全传送。

    1. AH协议:主要提供的功能有数据源验证、数据完整性校验和防报文重放功能。然而,AH并不加密所保护的数据报。
    2. ESP协议:提供AH协议的所有功能外(但其数据完整性校验不包括IP头),还可提供对IP报文的加密功能。
    3. IKE协议:用于自动协商AH和ESP所使用的密码算法,建立和维护安全联盟SA等服务。
      在这里插入图片描述

    项目背景

        企业对网络安全性的需求日益提升,而传统的TCP/IP协议缺乏有效的安全认证和保密机制。IPSec(Internet Protocol Security)作为一种开放标准的安全框架结构,可以用来保证IP数据报文在网络上传输的机密性、完整性和防重放。

        如下图所示,AR1为企业总部网关,AR3为企业分部网关,总部与分部通过公网建立通信。总部子网为192.168.1.0/24,分部子网为192.168.2.0/24,AR2模拟ISP,用loopbacke口模拟公网IP。

        企业希望对总部子网与分部子网之间相互访问的流量进行安全保护。总部与分部通过公网建立通信,可以在总部网关与分部网关之间建立一个IPSec隧道来实施安全保护。
    本实验用ACL方式建立IPSec隧道,分别演示手工方式和IKE动态协商方式。

    1. 手工方式:SA所需的全部信息都必须手工配置。
    2. IKE动态协商方式:由IKE协议完成密钥的自动协商,实现动态协商来创建和维护SA。

    在这里插入图片描述


    IPSec VPN配置步骤(配置思路)

    在这里插入图片描述


    静态IPSec配置(手工方式配置)

    1. 在AR2上配置设备名和接口的IP地址,模拟ISP网络。

    <Huawei> system-view
    [Huawei] sysname AR2
    [AR2] interface GigabitEthernet0/0/0
    [AR2-GigabitEthernet0/0/0] ip address 110.1.1.2 255.255.255.0 
    [AR2-GigabitEthernet0/0/0] quit
    [AR2]interface GigabitEthernet0/0/1
    [AR2-GigabitEthernet0/0/1] ip address 110.1.2.1 255.255.255.0 
    [AR2-GigabitEthernet0/0/1] quit
    [AR2]interface LoopBack0
    [AR2-LoopBack0] ip address 1.1.1.1 255.255.255.0
    [AR2-LoopBack0] quit
    

    2. 分别在AR1和AR3上配置设备名、接口的IP地址和默认路由,保证两路由器之间可以互通。
    #在AR1上配置设备名和接口的IP地址

    <Huawei> system-view
    [Huawei] sysname AR1
    [AR1] interface GigabitEthernet0/0/0
    [AR1-GigabitEthernet0/0/0] ip address 110.1.1.1 255.255.255.0 
    [AR1-GigabitEthernet0/0/0] quit
    [AR1]interface GigabitEthernet0/0/2
    [AR1-GigabitEthernet0/0/2] ip address 192.168.1.254 255.255.255.0 
    [AR1-GigabitEthernet0/0/2] quit
    

    #在AR1上配置默认路由

    [AR1] ip route-static 0.0.0.0 0.0.0.0 110.1.1.2
    

    #在AR3上配置设备名和接口的IP地址

    <Huawei> system-view
    [Huawei] sysname AR3
    [AR3] interface GigabitEthernet0/0/1
    [AR3-GigabitEthernet0/0/1] ip address 110.1.2.2 255.255.255.0 
    [AR3-GigabitEthernet0/0/1] quit
    [AR3]interface GigabitEthernet0/0/2
    [AR3-GigabitEthernet0/0/2] ip address 192.168.1.254 255.255.255.0 
    [AR3-GigabitEthernet0/0/2] quit
    

    #在AR3上配置默认路由

    [AR3] ip route-static 0.0.0.0 0.0.0.0 110.1.2.1
    

    3. 分别在AR1和AR3上配置ACL,以定义各自需要保护的IPSec数据流。
    #在AR1上配置ACL,定义由子网192.168.1.0/24去子网192.168.2.0/24的数据流。

    [AR1] acl number 3000 
    [AR1-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 
    [AR1-acl-adv-3000] quit
    

    #在AR3上配置ACL,定义由子网192.168.2.0/24去子网192.168.1.0/24的数据流。

    [AR3] acl number 3000 
    [AR3-acl-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 
    [AR3-acl-adv-3000] quit
    

    4. 分别在AR1和AR3上配置IPSec安全提议,定义IPSec的保护方法。
    #在AR1上配置IPSec安全提议。

    [AR1] ipsec proposal pro1
    [AR1-ipsec-proposal- pro1] transform ah
    [AR1-ipsec-proposal- pro1] ah authentication-algorithm sha2-256
    [AR1-ipsec-proposal- pro1] quit
    

    #在AR3上配置IPSec安全提议。

    [AR3] ipsec proposal pro1
    [AR3-ipsec-proposal- pro1] transform ah
    [AR3-ipsec-proposal- pro1] ah authentication-algorithm sha2-256
    [AR3-ipsec-proposal- pro1] quit
    

    此时分别在AR1和AR3上执行display ipsec proposal会显示所配置的信息
    在这里插入图片描述
    在这里插入图片描述
    5. 配置安全策略,并引用ACL和IPSec安全提议,确定对何种数据流采取何种保护方法。
    #在AR1上配置手工方式安全策略。

    [AR1] ipsec policy ipsec 1 manual
    [AR1-ipsec-policy-manual-ipsec-1] security acl 3000
    [AR1-ipsec-policy-manual-ipsec-1] proposal pro1
    [AR1-ipsec-policy-manual-ipsec-1] tunnel local 110.1.1.1
    [AR1-ipsec-policy-manual-ipsec-1] tunnel remote 110.1.2.2
    [AR1-ipsec-policy-manual-ipsec-1] sa spi inbound ah 12345
    [AR1-ipsec-policy-manual-ipsec-1] sa string-key inbound ah cipher huawei
    [AR1-ipsec-policy-manual-ipsec-1] sa spi outbound ah 54321
    [AR1-ipsec-policy-manual-ipsec-1] sa string-key outbound ah cipher huawei
    [AR1-ipsec-policy-manual-ipsec-1] quit
    

    #在AR3上配置手工方式安全策略。

    [AR3] ipsec policy ipsec 1 manual
    [AR3-ipsec-policy-manual-ipsec-1] security acl 3000
    [AR3-ipsec-policy-manual-ipsec-1] proposal pro1
    [AR3-ipsec-policy-manual-ipsec-1] tunnel local 110.1.1.1
    [AR3-ipsec-policy-manual-ipsec-1] tunnel remote 110.1.2.2
    [AR3-ipsec-policy-manual-ipsec-1] sa spi inbound ah 54321
    [AR3-ipsec-policy-manual-ipsec-1] sa string-key inbound ah cipher huawei
    [AR3-ipsec-policy-manual-ipsec-1] sa spi outbound ah 12345
    [AR3-ipsec-policy-manual-ipsec-1] sa string-key outbound ah cipher huawei
    [AR3-ipsec-policy-manual-ipsec-1] quit
    

    此时分别在AR1和AR3上执行display ipsec sa会显示所配置的信息。
    在这里插入图片描述
    在这里插入图片描述
    6. 分别在AR1和AR3的接口上应用安全策略组,使接口具有IPSec的保护功能。
    #在AR1的接口上引用安全策略组。

    [AR1] interface gigabitethernet 0/0/0
    [AR1-GigabitEthernet0/0/0] ipsec policy ipsec
    [AR1-GigabitEthernet0/0/0] quit
    

    #在AR3的接口上引用安全策略组。

    [AR3] interface gigabitethernet 0/0/1
    [AR3-GigabitEthernet0/0/1] ipsec policy ipsec
    [AR3-GigabitEthernet0/0/1] quit
    

    在总部PC1 ping 分部PC2

    在这里插入图片描述
    抓包分析
    在这里插入图片描述
    7. 分别在AR1和AR3配置NAT,使得内网PC能够ping通ISP。
    #在AR1上配置NAT。

    [AR1] acl number 3001  
    [AR1-acl-adv-3001] rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 
    [AR1-acl-adv-3001] rule permit ip
    [AR1-acl-adv-3001] quit
    [AR1] interface GigabitEthernet0/0/0
    [AR1-acl-adv-3001] nat outbound 3001
    [AR1-acl-adv-3001] quit
    

    #在AR3上配置NAT。

    [AR3] acl number 3001  
    [AR3-acl-adv-3001] rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 
    [AR3-acl-adv-3001] rule permit ip
    [AR3-acl-adv-3001] quit
    [AR3] interface GigabitEthernet0/0/0
    [AR3-acl-adv-3001] nat outbound 3001
    [AR3-acl-adv-3001] quit
    

    在PC1 ping 1.1.1.1
    在这里插入图片描述
    抓包分析
    在这里插入图片描述
    8.分别在AR1和AR3上修改IPSec安全提议中的安全协议ah为esp
    #在AR1上修改IPSec安全提议配置

    [AR1] ipsec proposal pro1
    [AR1-ipsec-proposal- pro1] transform esp
    [AR1-ipsec-proposal- pro1] esp authentication-algorithm sha2-256
    [AR1-ipsec-proposal- pro1] esp encryption-algorithm 3des
    [AR1-ipsec-proposal- pro1] quit
    

    #在AR3上修改IPSec安全提议配置

    [AR3] ipsec proposal pro1
    [AR3-ipsec-proposal- pro1] transform esp
    [AR3-ipsec-proposal- pro1] esp authentication-algorithm sha2-256
    [AR3-ipsec-proposal- pro1] esp encryption-algorithm 3des
    [AR3-ipsec-proposal- pro1] quit
    

    此时分别在AR1和AR3上执行display ipsec proposal会显示所配置的信息。
    在这里插入图片描述
    在这里插入图片描述
    9. 分别在AR1和AR3上修改IPSec安全策略配置。
    #在AR1上修改IPSec安全策略配置

    [AR1] ipsec policy ipsec 1 manual
    [AR1-ipsec-policy-manual-ipsec-1] undo sa spi inbound ah
    [AR1-ipsec-policy-manual-ipsec-1] sa spi inbound esp 12345
    [AR1-ipsec-policy-manual-ipsec-1] undo sa string-key inbound ah
    [AR1-ipsec-policy-manual-ipsec-1] sa string-key inbound esp cipher huawei
    [AR1-ipsec-policy-manual-ipsec-1] undo sa spi outbound ah
    [AR1-ipsec-policy-manual-ipsec-1] sa spi outbound esp 54321
    [AR1-ipsec-policy-manual-ipsec-1] undo sa string-key outbound ah
    [AR1-ipsec-policy-manual-ipsec-1] sa string-key outbound esp cipher hauwei
    [AR1-ipsec-policy-manual-ipsec-1] quit
    

    #在AR3上修改IPSec安全策略配置

    [AR3] ipsec policy ipsec 1 manual
    [AR3-ipsec-policy-manual-ipsec-1] undo sa spi inbound ah
    [AR3-ipsec-policy-manual-ipsec-1] sa spi inbound esp 54321
    [AR3-ipsec-policy-manual-ipsec-1] undo sa string-key inbound ah
    [AR3-ipsec-policy-manual-ipsec-1] sa string-key inbound esp cipher huawei
    [AR3-ipsec-policy-manual-ipsec-1] undo sa spi outbound ah
    [AR3-ipsec-policy-manual-ipsec-1] sa spi outbound esp 12345
    [AR3-ipsec-policy-manual-ipsec-1] undo sa string-key outbound ah
    [AR3-ipsec-policy-manual-ipsec-1] sa string-key outbound esp cipher hauwei
    [AR3-ipsec-policy-manual-ipsec-1] quit
    
    

    此时分别在AR1和AR3上执行display ipsec sa会显示所配置的信息。
    在这里插入图片描述
    在这里插入图片描述
    抓包分析
    在这里插入图片描述
    配置文件

    AR1

    #
     sysname AR1
    #
    acl number 3000  
     rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
    acl number 3001  
     rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 
     rule 10 permit ip 
    #
    ipsec proposal pro1
     transform ah
     ah authentication-algorithm sha2-256
    #
    ipsec policy ipsec 1 manual
     security acl 3000
     proposal pro1
     tunnel local 110.1.1.1
     tunnel remote 110.1.2.2
     sa spi inbound ah 54321
     sa string-key inbound ah cipher huawei
     sa spi outbound ah 12345
     sa string-key outbound ah cipher huawei
    #
    interface GigabitEthernet0/0/0
     ip address 110.1.1.1 255.255.255.0 
     ipsec policy ipsec
      nat outbound 3001
    #
    interface GigabitEthernet0/0/2
     ip address 192.168.1.254 255.255.255.0 
    #
    ip route-static 0.0.0.0 0.0.0.0 110.1.1.2
    

    AR2

    #
     sysname AR2
    #
    interface GigabitEthernet0/0/0
     ip address 110.1.1.2 255.255.255.0 
    #
    interface GigabitEthernet0/0/1
     ip address 110.1.2.1 255.255.255.0 
    #
    interface LoopBack0
     ip address 1.1.1.1 255.255.255.0 
    
    

    AR3

    #
     sysname AR3
    #
    acl number 3000  
     rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
    acl number 3001  
     rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 
     rule 10 permit ip 
    #
    ipsec proposal pro1
     transform ah
     ah authentication-algorithm sha2-256
    #
    ipsec policy ipsec 1 manual
     security acl 3000
     proposal pro1
     tunnel local 110.1.2.2
     tunnel remote 110.1.1.1
     sa spi inbound ah 12345
     sa string-key inbound ah cipher huawei
     sa spi outbound ah 54321
     sa string-key outbound ah cipher huawei
    #
    interface GigabitEthernet0/0/1
     ip address 110.1.2.2 255.255.255.0 
     ipsec policy ipsec
     nat outbound 3001
    #
    interface GigabitEthernet0/0/2
     ip address 192.168.2.254 255.255.255.0 
    #
    ip route-static 0.0.0.0 0.0.0.0 110.1.2.1
    
    

    IKE动态协商方式建立IPSec

    1. 沿用上一个实验的拓扑,在原有配置上修改成IKE协商方式建立IPSec。(其中接口ip地址、默认路由、NAT和IPSec安全提议配置都沿用上个实验的配置)

    2. 分别在AR1和AR3上配置IKE对等体
    #在AR1上配置IKE安全提议。

    [AR1] ike proposal 10
    [AR1-ike-proposal-10] encryption-algorithm des-cbc
    [AR1-ike-proposal-10] authentication-algorithm sha1
    [AR1-ike-proposal-10] quit
    

    #在AR1上配置IKE对等体,并根据默认配置,配置预共享密钥和对端ID。

    [AR1] ike peer peer v1
    [AR1-ike-peer- peer] ike-proposal 10
    [AR1-ike-peer- peer] pre-shared-key cipher huawei
    [AR1-ike-peer- peer] remote-address 110.1.2.2
    [AR1-ike-peer- peer] quit
    

    #在AR3上配置IKE安全提议。

    [AR3] ike proposal 10
    [AR3-ike-proposal-10] encryption-algorithm des-cbc
    [AR3-ike-proposal-10] authentication-algorithm sha1
    [AR3-ike-proposal-10] quit
    

    #在AR3上配置IKE对等体,并根据默认配置,配置预共享密钥和对端ID。

    [AR3] ike peer peer v1
    [AR3-ike-peer- peer] ike-proposal 10
    [AR3-ike-peer- peer] pre-shared-key cipher huawei
    [AR3-ike-peer- peer] remote-address 110.1.1.1
    [AR3-ike-peer- peer] quit
    

    3. 分别在AR1和AR3上创建安全策略
    #在AR1上配置IKE动态协商方式安全策略。

    [AR1] ipsec policy ipsec1 1 isakmp
    [AR1-ipsec-policy-isakmp- ipsec1-1] ike-peer peer
    [AR1-ipsec-policy-isakmp- ipsec1-1] proposal pro1
    [AR1-ipsec-policy-isakmp- ipsec1-1] security acl 3000
    [AR1-ipsec-policy-isakmp- ipsec1-1] quit
    

    #在AR3上配置IKE动态协商方式安全策略。

    [AR3] ipsec policy ipsec1 1 isakmp
    [AR3-ipsec-policy-isakmp- ipsec1-1] ike-peer peer
    [AR3-ipsec-policy-isakmp- ipsec1-1] proposal pro1
    [AR3-ipsec-policy-isakmp- ipsec1-1] security acl 3000
    [AR3-ipsec-policy-isakmp- ipsec1-1] quit
    

    此时分别在AR1和AR3上执行display ipsec policy name ipsec1会显示所配置的信息。
    在这里插入图片描述
    在这里插入图片描述
    4. 分别在AR1和AR3的接口上应用各自的安全策略组,使接口具有IPSec的保护功能
    #在AR1的接口上修改引用的安全策略组。

    [AR1] interface gigabitethernet 0/0/0
    [AR1-GigabitEthernet0/0/0] undo ipsec policy ipsec
    [AR1-GigabitEthernet0/0/0] ipsec policy ipsec1
    [AR1-GigabitEthernet0/0/0] quit
    

    #在AR3的接口上修改引用安全策略组。

    [AR3] interface gigabitethernet 0/0/1
    [AR3-GigabitEthernet0/0/1] undo ipsec policy ipsec
    [AR3-GigabitEthernet0/0/1] ipsec policy ipsec1
    [AR3-GigabitEthernet0/0/1] quit
    

    在总部的PC1上ping分部的PC2和ISP。
    在这里插入图片描述
    5. 分别在AR1和AR3上执行display ike sa和display ipsec sa,结果如下
    在这里插入图片描述
    在这里插入图片描述


    配置文件

    AR1

    #
     sysname AR1
    #
    acl number 3000  
     rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
    acl number 3001  
     rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 
     rule 10 permit ip 
    #
    ipsec proposal pro1
     esp authentication-algorithm sha2-256 
     esp encryption-algorithm 3des
    #
    ipsec policy ipsec 1 manual
     security acl 3000
     proposal pro1
     tunnel local 110.1.1.1
     tunnel remote 110.1.2.2
     sa spi inbound esp 12345
     sa string-key inbound esp cipher huawei
     sa spi outbound esp 54321
     sa string-key outbound esp cipher hauwei
    #
    ike proposal 10
    #
    ike peer peer v1
     pre-shared-key cipher huawei
     ike-proposal 10
     remote-address 110.1.2.2
    #
    ipsec policy ipsec1 1 isakmp
     security acl 3000
     ike-peer peer
     proposal pro1
    #
    interface GigabitEthernet0/0/0
     ip address 110.1.1.1 255.255.255.0 
     ipsec policy ipsec1
     nat outbound 3001
    #
    interface GigabitEthernet0/0/2
     ip address 192.168.1.254 255.255.255.0 
    #
    ip route-static 0.0.0.0 0.0.0.0 110.1.1.2
    
    

    AR3

    #
     sysname AR3
    #
    acl number 3000  
     rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
    acl number 3001  
     rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 
     rule 10 permit ip 
    #
    ipsec proposal pro1
     esp authentication-algorithm sha2-256 
     esp encryption-algorithm 3des
    #
    ipsec policy ipsec 1 manual
     security acl 3000
     proposal pro1
     tunnel local 110.1.2.2
     tunnel remote 110.1.1.1
     sa spi inbound esp 54321
     sa string-key inbound esp cipher huawei
     sa spi outbound esp 12345
     sa string-key outbound esp cipher huawei
    #
    ike proposal 10
    #
    ike peer peer v1
     pre-shared-key cipher hauwei
     ike-proposal 10
     remote-address 110.1.1.1
    #
    ipsec policy ipsec1 1 isakmp
     security acl 3000
     ike-peer peer
     proposal pro1
    #
    interface GigabitEthernet0/0/1
     ip address 110.1.2.2 255.255.255.0 
     ipsec policy ipsec1
     nat outbound 3001
    #
    interface GigabitEthernet0/0/2
     ip address 192.168.2.254 255.255.255.0 
    #
    ip route-static 0.0.0.0 0.0.0.0 110.1.2.1
    
    

    作者:二月二
    排版:梁汉荣、十六
    审核:正月十六
    在这里插入图片描述


    点击下方“正月十六工作室”查看更多学习资源

    正月十六工作室

    展开全文
  • IPsec各种场景配置示例

    万次阅读 多人点赞 2019-08-31 20:40:14
    IPSec VPN配置流程 图:IPSec VPN配置流程图 先配置IKE安全提议 配置IKE对等体,调用IKE提议 配置需要保护的感兴趣流 配置IPSec 的安全提议 配置IPSec策略 在接口调用IPSec策略 IPSEC VPN各场景配置示例 采用IKEV...

    IPSec VPN配置流程

    在这里插入图片描述

    图:IPSec VPN配置流程图
    1. 先配置IKE安全提议
    2. 配置IKE对等体,调用IKE提议
    3. 配置需要保护的感兴趣流
    4. 配置IPSec 的安全提议
    5. 配置IPSec策略
    6. 在接口调用IPSec策略

    IPSEC VPN各场景配置示例

    采用IKEV1-主模式实验 :

    在这里插入图片描述

    图:IPsec VPN拓扑图

    配置思路:

    第一步: 阶段一
    协商IKE SA(ISAKMP SA) 
    1. 配置IKE的安全提议
    ike proposal 10
     encryption-algorithm aes-256
     authentication-algorithm sha2-256
     integrity-algorithm hmac-sha2-256
    
    2. 配置IKE对等体
    ike peer  10
     pre-shared-key Huawei@123
     ike-proposal 1
     undo version 2  ------------关闭V2
     remote-address 202.100.1.11
    
    第二步: 阶段二 
    协商IPSEC SA  
    
    1. 配置感兴趣流(互为镜像)
    FW1
    acl number 3000
     rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
    
    FW2
    acl number 3000
     rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255  
    
    2. 配置IPSEC安全提议
    ipsec proposal  10
     esp authentication-algorithm sha2-256
     esp encryption-algorithm aes-256
    
    3. 配置IPSEC策略
    ipsec policy  ipsec_vpn  1  isakmp
     security acl 3000
     ike-peer  fw2
     proposal  fw2
    
    4.调用
    interface GigabitEthernet0/0/2
     ipsec policy ipsec_vpn  auto-neg
                                          自动协商
    
    
    第三步:放行安全策略 
    自定义isakmp
    ip service-set ISAKMP type object
     service 0 protocol udp source-port 0 to 65535 destination-port 500
    
    定义地址集
    ip address-set ipsec1 type object
     address 0 202.100.1.10 mask 32
     address 1 202.100.1.11 mask 32
    #
    ip address-set ipsec2 type object
     address 0 10.1.1.0 mask 24
     address 1 10.1.2.0 mask 24
    
    security-policy
     rule name ipsec1  --------------放行ISAKMP和ESP 
      source-zone local
      source-zone untrust
      destination-zone local
      destination-zone untrust
      source-address address-set ipsec1
      destination-address address-set ipsec1
      service ISAKMP  ------------自定义
      service esp
      action permit
    
     rule name ipsec2 --------------放行实际通信流量
      source-zone trust
      source-zone untrust
      destination-zone trust
      destination-zone untrust
      source-address address-set ipsec2
      destination-address address-set ipsec2
      action permit
    #
    

    测试检查:

    在这里插入图片描述

    图:IPsec协商状态

    在这里插入图片描述

    图:IKE sa状态

    display ike sa命令输出信息描述

    项目描述
    IKE SA information安全联盟配置信息。
    Conn-ID安全联盟的连接索引。
    Peer对端的IP地址和UDP端口号。
    VPN应用IPSec安全策略的接口所绑定的VPN实例。说明:虚拟系统不显示此字段。
    Flag(s)安全联盟的状态:RD–READY:表示此SA已建立成功。ST–STAYALIVE:表示此端是通道协商发起方。RL–REPLACED:表示此通道已经被新的通道代替,一段时间后将被删除。FD–FADING:表示此通道已发生过一次软超时,目前还在使用,在硬超时时会删除此通道。TO–TIMEOUT:表示此SA在上次heartbeat定时器超时发生后还没有收到heartbeat报文,如果在下次heartbeat定时器超时发生时仍没有收到heartbeat报文,此SA将被删除。HRT–HEARTBEAT:表示本端IKE SA发送heartbeat报文。LKG–LAST KNOWN GOOD SEQ NO.:表示已知的最后的序列号。BCK–BACKED UP:表示备份状态。M–ACTIVE:表示IPSec策略组状态为主状态。S–STANDBY:表示IPSec策略组状态为备状态。A–ALONE:表示IPSec策略组状态为不备份状态。NEG–NEGOTIATING:表示SA正在协商中。字段为空:表示IKE SA正在协商中,是由隧道两端设置的某些参数不一致导致。
    PhaseSA所属阶段:v1:1或v2:1:v1和v2表示IKE的版本;1表示建立安全通道进行通信的阶段,此阶段建立IKE SA。v1:2或v2:2:v1和v2表示IKE的版本;2表示协商安全服务的阶段,此阶段建立IPSec SA。
    RemoteType对端ID类型。
    RemoteID对端ID。

    在这里插入图片描述

    图:IPSec SA状态

    在这里插入图片描述

    图:IPsec 的加密解密状态

    采用IKEv1----野蛮模式实验:

    如果采用IP方式,配置思路同主模式。

    区别点:

     ike peer  XXX
     exchange-mode aggressive  
    

    注:野蛮模式配置

    [FW1-ipsec-policy-isakmp-ipsec3311155855-1]ike-peer ike 10
    Error: ike peer's remote addresses or domain name should be configed.
    [FW1-ipsec-policy-isakmp-ipsec3311155855-1]
    

    华为不推荐野蛮模式解决非固定IP地址,建议采用模板方式

    华为配置野蛮模式时,只能配置Domain Name(FQDN,USER-FQDN,域名),不能配置name。配name还需要配置remote-Address。

    模板方式:

    策略模板适用于中心站点规定地址,分支站点较多且使用动态地址的工程环境。

    优点:可以不用配置IP地址。

    缺点:不能主动发起连接,只能等待对端发起连接。

    模板配置流程图:

    在这里插入图片描述

    图:策略模板配置流程图

    策略模板配置思路:

    第一步:阶段一
    1. IKE安全提议
    2. IKE对等体(变化)
    ike peer spoke
     pre-shared-key Huawei@123
     ike-proposal 10
     undo version 2
    
    第二步:阶段二 
    1.IPSEC安全提议
    2.策略模板(模板方式)
    ipsec policy-template ipsec_temp 1
     security acl 3000
     ike-peer spoke
     proposal 10
    
    3.策略调用模板
    ipsec policy ipsec_policy 1000 isakmp template ipsec_temp
    

    Hub Spoke IPsec VPN组网(预共享密钥):

    在这里插入图片描述

    图:Hub Spoke IPsec VPN组网拓扑

    配置思路:

    Spoke1和Spoke2的配置思路同站点到站点的IPSec VPN配置思路。

    唯一不同的是,Hub端因为不知道对方的IP地址,需要配置为策略模板方式。

    在这里插入图片描述

    图:策略模板配置

    在放行感兴趣流时,Hub需要放行与Spoke1和Spoke2通信的流量。

    为了使Spoke1和Spoke2也能通信,需要多配置感兴趣流。

    在Hub端配置10.1.2.0/24 —> 10.1.3.0/24,10.1.3.0/24 —> 10.1.2.0/24

    在Spoke1配置:10.1.3.0/24 --> 10.1.2.0/24

    在Spoke2配置:10.1.2.0/24 --> 10.1.3.0/24


    最后协商状态如下:

    在这里插入图片描述

    图:点到多点IPsec协商状态

    通过测试,PC1与PC2,PC3之间可以互相通信。


    在这里插入图片描述

    图:IKE sa摘要

    在这里插入图片描述

    图:IPsec SA摘要

    Site to Site IPSec VPN(证书认证):

    在这里插入图片描述

    图:站点到站点IPSec VPN组网,证书认证拓扑图

    配置思路:

    阶段一:
    ike proposal 10
     authentication-method rsa-sig ----------变化,认证方式默认是预共享密钥,改成数字证书
     authentication-algorithm sha2-256
     integrity-algorithm aes-xcbc-96 hmac-sha2-256
    #                                         
    ike peer ike 10
     exchange-mode auto
     certificate local-filename fw11.cer  -------调用本地证书
     ike-proposal 10
     remote-address 202.100.1.11
    
    阶段二:
    acl number 3000
     rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
    
    ipsec proposal 10
     encapsulation-mode auto
     esp authentication-algorithm sha2-256
    #
    ipsec policy ipsec_policy 10 isakmp
     security acl 3000
     ike-peer 10
     alias ipsec_vpn
     proposal 10
    
    interface GigabitEthernet0/0/2
     ipsec policy ipsec_policy
    

    在这里插入图片描述

    图:IPsec 证书配置

    在这里插入图片描述

    图:安全策略配置

    检查测试:

    在这里插入图片描述

    图:IKE peer状态
    展开全文
  • ensp配置虚拟隧道接口建立GRE over IPSec隧道示例
  • eNSP之IPsec 虚拟专用网配置

    千次阅读 2020-11-11 15:05:54
    eNSP之IPsec VPN配置 VPN的定义 1、互联网存在各种安全隐患 — 网上传输的数据有被窃听的风险 — 网上传输的数据有被篡改的危险 — 通信双方有被冒充的风险 2、VPN (Virtual Private Network,虚拟专用网) 3、...
  • IPSec配置

    万次阅读 2019-04-16 22:12:58
    要求: 1、R5为ISP只能配置IP地址 2、R1,R2,R3建立MGRE环境,R1为中心站点 ...5、R1--R4间建立IPSec VPN R1 int s0/1 ip add 15.1.1.1 255.255.255.0 no shutdown int lo0 ip add ...
  • IPsec配置实例

    千次阅读 2019-05-27 16:59:40
    作为企业的网络管理员,您需要在企业总部的边缘路由器(R1)和分支机构路由器(R3)之间部署IPSecVPN解决方案,建立IPSec隧道,用于安全传输来自指定部门的数据流。 实验步骤:1. 如拓扑图所示,配置基础环境。在R1...
  • 华为IPsec 手动配置实例

    千次阅读 2020-07-05 16:20:00
    R1配置 dhcp en acl 3001 rule 1 deny ip destination 192.168.20.0 0.0.0.255 rule 2 permit ip int g0/0/0 ip add 192.168.10.254 24 dhcp sel interface int g0/0/1 ip add 12.0.0.1 24 nat outbound 3001 ip ...
  • ensp上ipsec的简单配置

    千次阅读 2021-03-30 14:24:31
    IPsec的简单配置 文章目录IPsec的简单配置实验环境实验思路具体步骤1.配置IP地址2.配置路由3.添加兴趣流4.ike安全提议5.ike对等体配置6.ipsec安全提议7.ipsec安全策略8.在接口应用ipsec安全策略9.测试个人总结 ...
  • 防火墙之ipsec vpn实验

    千次阅读 2021-04-02 17:47:48
    防火墙之ipsec vpn项目介绍项目拓扑项目需求配置命令isp路由器配置:分公司防火墙(FW1)配置:接口配置ip和接口划入区域的配置ipsec相关配置:安全策略的配置:nat的配置总公司防火墙FW2配置:接口配置ip和接口划...
  • 作业十六:IPSec配置 实验环境 实验思路 规划并配置IP 配置OSPF 配置VPN 检查连通性 实验步骤 规划并配置IP PC1: PC2: R1: [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 [R1-...
  • IPSec隧道配置案例(手动模式)

    千次阅读 多人点赞 2021-04-08 15:42:36
    IPSec VPN配置案例要求拓扑配置基础配置IPSec VPN配置分析原因解决方法IPSec VPNIPSec 核心功能IPSec 技术框架IPSec安全协议IPSec封装模式安全联盟IKE 配置案例 要求 配置IP地址、DHCP、路由、NAT 内网可以访问...
  • GRE Over IPSec配置

    千次阅读 2018-12-13 10:38:00
    路由器GRE over IPSec站点到站点VPN 问题分析:对于前面的经典的IPSec VPN配置来说,兼容性较好,适合于多厂商操作的时候,但是这种经典的配置方式不适合在复杂的网路中配置,如下: 这样在site 1和site 2后面...
  • 项目背景: ...考虑到专线的成本问题,最后公司决定使用IPsec VPN。 简化网络拓扑: 配置: 1. 配置各路由器端口IP地址,使相邻路由器相互ping通 R1: R1(config)#int e0/0 R1(config-if)#ip...
  • 华为路由器配置IPSec VPN(手动配置) 如图:上海总部 和 合肥分部需要建立IPsec VPN 步骤: 1、配置网络可达 2、配置感兴趣流 3、创建安全提议(IPSec proposal) 4、创建安全策略(IPSec policy) 5、...
  • 在我的上一篇博文(IPSEC VPN配置实例)中,简单介绍了IPSEC VXN的配置过程,在这种配置方式下,IPSEC VPN需要指名对端的IP地址,但是如果一方采取的是PPPoE的方式上互联网,那么此时他的对端就不能使用该方式配置...
  • 【HUAWEI】配置案例:GRE Over IPSec

    千次阅读 2019-07-08 15:35:05
    【背景】 某公司拥有两地办事机构,这里用AR1和AR3代表,分别拥有各自的子网。出口网关分别从ISP处获得一公网IP(此处分别以10.0.12.1/24和10.0.23.3/24网络代表)。...为了保证传输的安全性,这里直接使用IPSec...
  • 华为AR路由器IPsec *** 配置

    千次阅读 2020-07-08 10:40:43
    采用如下思路配置采用IKE协商方式建立IPSec隧道: 1.配置接口的IP地址和到对端的静态路由,保证两端路由可达。 2.配置ACL,以定义需要IPSec保护的数据流。 3.配置IPSec安全提议,定义IPSec的保护方法。 4...
  • 华三防火墙配置IPSec隧道

    千次阅读 2021-06-30 15:39:10
    4.配置IPSec VPN 5.验证VPN互通 1.FW1配置接口IP及加入到相关区域 interface GigabitEthernet1/0/20(wan-ip) ip address 192.168.13.1 255.255.255.0 interface LoopBack 0(测试内网IP) ip address 192.168....
  • Cisco ASA IPSec配置流程(9.8.2)

    千次阅读 2020-08-12 16:29:16
    Cisco ASA IPSec VPN配置流程(9.8.2) 定义感兴趣流: object-group network remote //创建peer的地址组 network-object 192.168.180.0 255.255.255.0 network-object 192.168.181.0 255.255.255.0 object-...
  • 华为路由器实现ipsec

    万次阅读 2019-08-23 17:50:29
    ipsec,指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。...
  • Cisco——IPsec配置与概念 IPSec配置思路脑图: 链接: https://pan.baidu.com/s/1R2bB5HWJUsQXJ-2q2F3gSQ 提取码: wq3g 复制这段内容后打开百度网盘手机App,操作更方便哦 一、 理论部分 1. IPsec的模式: 1) 隧道...
  • 实现总部和分部PC互通 互联网路由器: system interface GigabitEthernet0/0/0 ip address 1.1.1.2 255.255.255.0 ...ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 #上互联网的路由,配置到对端公网IP路由 ike prop
  • Linux IPsec点到点配置

    千次阅读 2016-02-29 12:23:16
    linux点到点vpn ipsec配置 Juniper netscreen interop Juniper end point: set ike gateway "GW-01" address Main outgoing-zone "V1-Untrust" preshare "Your PSK Here" proposal "pre-g2-3des-md5" set ike
  • Linux中IPsec的实现--(实例)

    万次阅读 2017-08-11 18:00:45
    原文地址::... 相关文章 1、linux下搭建 ipsec vpn服务器(centos+ubuntu)----http://blog.csdn.net/cnliwy/article/details/54346933 2、在linux环境下构建ipsec vpn的过程----http://b
  • IPSEC总结及实验

    千次阅读 2019-02-16 20:21:36
    IPSEC VPN IPSec-VPN是基于IPSec协议簇构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式,来保障OSI上层协议数据的安全,主要用于保护TCP、UDP、ICMP和隧道的IP数据包。 安全三要素:...
  • IPsec构建的VPN网络上传输这些数据就必须借助于GRE协议,对路由协议报文等进行封装,使其成为IPsec可以处理的IP报文,这样就可以在IPsec VPN网络中实现不同的网络的路由 使用场合 总部与分支机构跨越Internet互联...
  • 1.实验拓扑 2.需求 r2作为DHCP server,给r3和r4分配ip 路由器上的环回口地址作为业务地址, 总部分别和分部r3、分部r4建立vpn隧道,采用ipsec vpn...注:这个实验,我只注重配置IPSec vpn,没有配置NAT,所以 ...
  • SANGFOR_IPSEC_sangfor 互联配置指导书。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 6,882
精华内容 2,752
关键字:

ipsecvpn配置