您当前的位置:首页 > 电脑百科 > 网络技术 > 网络设置

IPSec配置实例

时间:2022-05-06 09:39:14  来源:  作者:苦一点的焦糖

在尝试配置MPLSVPN之后失败,我还是决定使用IPSec,一方面是感觉MPLS配置起来没有参考,另一方面也发现IPsec功能性安全性也胜过MPLS-VPN,从网上找到一个对比图,放在下面。

IPSec配置实例

 

在毕业设计的基础上,进行配置。拓扑图如下:

IPSec配置实例

 

网段配置:

核心路由器:与外网相连f 1/0:201.1.1.1/24;与内网相连:192.168.0.0/16

sub路由器:与外网相连g 0/0:201.4.4.2/24;与内网相连:192.168.4.0/24

一、配置IPSec打通隧道

首先在核心路由器上配置通道命令如下:

//配置ISAKMP策略
Router(config)#crypto isakmp policy 10//10为策略序列号(本地有效),取值范围是1~10000,值越小,优先级越高
Router(config-isakmp)#authentication pre-share //验证方式为预共享密钥 
Router(config-isakmp)#encryption aes   //加密算法为aes
Router(config-isakmp)#hash sha//完整性校验算法为sha
Router(config-isakmp)#group 5//5为DH密钥组号,取值为1、2、5、6
Router(config-isakmp)#exit
Router(config)#crypto isakmp key 0 address 201.4.4.2 //配置Key  0表示密钥使用明文,如果取值6表示密文, address 为对端的外网口地址
//定义传输集
Router(config)#crypto ipsec transform-set pass1 esp-aes esp-sha-hmac//pass1为该传输集的名称,后面跟上传输集选项esp-des、ah-sha-hmac( esp(加密头部) 加密方式为aes 完整性校验为sha)
//配置IPSec保护的数据流(ACL)
Router(config)#ip access-list extended xianlu1//定义一个扩展的ACL,命名为xianlu1
Router(config-ext-nacl)#permit ip 192.168.0.0 0.0.255.255 172.16.4.0 0.0.0.255//源IP地址为本地局域网的地址,目标为对端的局域网地址;定义ACL是为了明确这些数据流会通过隧道技术转发
//配置加密映射
Router(config-crypto-map)#crypto map ser1 10 ipsec-isakmp //定义一个map(名为ser1)10为加密映射的序列号,取值1~65535,值越小,优先级越高
Router(config-crypto-map)#set transform-set pass1//关联第二阶段的策略,在加密映射中调用pass1这个传输集
Router(config-crypto-map)#set peer 201.4.4.2 //对端外网口地址
Router(config-crypto-map)#match address xianlu1 //调用ACL--xinalu1
Router(config-crypto-map)#ex
//应用加密映射到外网口
Router(config)#int f 1/0//应用加密映射到外网口
Router(config-if)#crypto map ser1
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

*****************======================********************

在另一台1941中配置发现

Router(config)#crypto isakmp enable
^
% Invalid input detected at '^' marker.

解决办法,命令license boot module c1900 technology-package securityk9

Router(config)# license boot module c1900 technology-package securityk9//启用安全技术包
ACCEPT? [yes/no]: yes//接受最终用户许可协议
Router#copy running-config startup-config//保存运行配置
Destination filename [startup-config]?
Building configuration...
[OK]
Router#reload//重新加载路由器以启用安全许可证
Proceed with reload? [confirm]
########################################################################## [OK]

Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#crypto isakmp enable//问题解决!
Router(config)#

*****************======================********************

核心路由器:与外网相连f 1/0:201.1.1.1/24;与内网相连:192.168.0.0/16

sub路由器:与外网相连g 0/0:201.4.4.2/24;与内网相连:192.168.4.0/24

在另一台sub路由器1941中配置相同的IPSEC命令如下:

第一阶段(除了策略的序号外可以不同外,其他的验证要和对端一致)
SH(config)#crypto isakmp policy 20 //使用20,只是为了验证序号本地有效。也可以使用10
SH(config-isakmp)#authentication pre-share
SH(config-isakmp)#encryption aes
SH(config-isakmp)#hash sha
SH(config-isakmp)#group 5
SH(config-isakmp)#exit
SH(config)#crypto isakmp key 0 address 201.1.1.1
第二阶段
SH(config)#crypto ipsec transform-set pass2 esp-aes esp-sha-hmac //验证类型要与对端一致
SH(cfg-crypto-trans)#exit
SH(config)#ip access-list extended xianlu1 //定义ACL
SH(config-ext-nacl)#permit ip 172.16.4.0 0.0.0.255 192.168.0.0 0.0.255.255
SH(config)#crypto map ser1 10 ipsec-isakmp //名称本地有效
SH(config-crypto-map)#set transform-set pass2 //关联本地的第二阶段策略
SH(config-crypto-map)#set peer 201.1.1.1
SH(config-crypto-map)#match address xianlu1
SH(config-crypto-map)#exit
SH(config)#int g0/0
SH(config-if)#crypto map ser1 //应用

出来Sub地级园区网之外,还需要将配货园区网连接到核心路由器

配货中心路由器:与外网相连g 0/0:201.3.3.7/24;与内网相连:10.0.0.0/8

在核心路由器添加新命令如下

Router(config)#crypto isakmp key 0 address 201.3.3.7
Router(config)#crypto ipsec transform-set pass2 esp-aes esp-sha-hmac
Router(config)#ip access-list extended xianlu2
Router(config-ext-nacl)#permit ip 192.168.0.0 0.0.255.255 10.0.0.0 0.255.255.255
Router(config-ext-nacl)#ex
Router(config)#crypto map ser2 10 ipsec-isakmp
% NOTE: This new crypto map will remAIn disabled until a peer
and a valid access list have been configured.
Router(config-crypto-map)#set transform-set pass2
Router(config-crypto-map)#set peer 201.3.3.7
Router(config-crypto-map)#match address xianlu2
Router(config-crypto-map)#ex
Router(config)#int f 1/0
Router(config-if)#crypto map ser2
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

在配货中心路由器上配置参考Sub核心路由器,命令如下:

Router(config)#crypto isakmp enable
Router(config)#crypto isakmp policy 20
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#encryption aes
Router(config-isakmp)#hash sha
Router(config-isakmp)#group 5
Router(config-isakmp)#ex
Router(config)#crypto isakmp key 0 address 201.1.1.1
Router(config)#crypto ipsec transform-set pass2 esp-aes esp-sha-hmac
Router(config)#ip access-list extended xianlu2
Router(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 192.168.0.0 0.0.255.255
Router(config-ext-nacl)#ex
Router(config)#crypto map ser2 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
Router(config-crypto-map)#set transform-set pass2
Router(config-crypto-map)#set peer 201.1.1.1
Router(config-crypto-map)#match address xianlu2
Router(config-crypto-map)#ex
Router(config)#int g0/0
Router(config-if)#crypto map ser2
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

配置完成后测试如下:

IPSec配置实例

 



Tags:IPSec   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
你了解IPSec吗?
IPSec可以通过组策略来控制,但我找遍MSDN,也没有找到相应的安全模板的语法。已经配置好的IPSec策略也不能被导出为模板。所以,组策略这条路走不通。IPSec的设置保存在注册表中(...【详细内容】
2023-05-17  Search: IPSec  点击:(326)  评论:(0)  加入收藏
华为IPsec VPN基本配置
实验拓扑实验拓步 环境说明某企业北京办公区和上海办公区实现京沪FTP_Server数据互通,作为企业网络管理员考虑IT部成本,使用互联网走企业内部数据,保证数据完整性、机密性;需要...【详细内容】
2022-10-29  Search: IPSec  点击:(1044)  评论:(0)  加入收藏
华为防火 Hub Spoke IPsec VdPdNd
Hub Spke IPSec VPN组网本组网尝试使用IKE安全策略模板来建立IPSec VPN,策略模板适用于中心站点固定地址,分支站点较多并且使用动态地址的工程环境。删除S2SVPN环境FW1和FW2删...【详细内容】
2022-09-17  Search: IPSec  点击:(470)  评论:(0)  加入收藏
防火墙配置,实现总部与分部IPsec vpn互联
好久没有写了,前段时间都一直在施工,没能顾得上写日记了。昨天刚刚结束了在外施工的项目,昨天客户的分公司新购买的防火墙、核心交换机到了,需要配置,让分公司的网络能上网,且能与...【详细内容】
2022-07-12  Search: IPSec  点击:(789)  评论:(0)  加入收藏
加密网络通信,IPSec 的配置
我们用 VPN 传送的数据是没有经过加密的。为了不让别人知道我们传送了什么数据,可以使用加密工具来加密两台计算机或者两个子网之间传输的数据。使用 IPSec,可以对两台主机之...【详细内容】
2022-06-16  Search: IPSec  点击:(624)  评论:(0)  加入收藏
IPsec vpn故障
今天一上班,就收到同事的信息,说VPN异常,延时太高,无法正常访问总部文件资源,于是还没有顾得上吃早餐,就开始开干,首先测试总部网络是否正常,发现总部网络不稳定, 一级一级查找问题,发...【详细内容】
2022-05-19  Search: IPSec  点击:(723)  评论:(0)  加入收藏
IPSec配置实例
在尝试配置MPLSVPN之后失败,我还是决定使用IPSec,一方面是感觉MPLS配置起来没有参考,另一方面也发现IPsec功能性安全性也胜过MPLS-VPN,从网上找到一个对比图,放在下面。 在毕业设...【详细内容】
2022-05-06  Search: IPSec  点击:(612)  评论:(0)  加入收藏
IPsec VPN 实验
实验拓扑 图 1-1注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此类推;另外,同一网段中,IP 地...【详细内容】
2021-11-24  Search: IPSec  点击:(681)  评论:(0)  加入收藏
大白话说SSL VPN和IPSEC VPN的区别
IPSEC VPN 和SSL VPN是目前远程用户访问内网的两种主要vpn隧道加密技术。那么二者有什么区别,企业如何根据自己的业务场景来选择使用哪种vpn呢?封装位置:IPSEC和SSL是两个不同...【详细内容】
2021-07-29  Search: IPSec  点击:(9518)  评论:(0)  加入收藏
CentOS8服务器搭建L2TP服务器(over IPsec)操作指南
上次发了服务器上公网的文章,当时L2TP拨号用的是网络上的解决方案,也就是现成的脚本,一跑就OK了。像这样: 输入几个关键信息,脚本就自动执行完成了。我看了一下,脚本一共810行,功能...【详细内容】
2021-06-24  Search: IPSec  点击:(2113)  评论:(0)  加入收藏
▌简易百科推荐
iPhone或iPad用户必学:如何通过二维码快速共享Wi-Fi密码,简单又实用!
你有没有想过在不泄露网络密码的情况下与客人共享你的家庭或工作Wi-Fi?你肯定不是第一个这样想的人,我们很高兴地通知你,多亏了以下这个的变通方法,你现在可以使用iPhone或iPad...【详细内容】
2024-01-22  驾驭信息纵横科技    Tags:Wi-Fi密码   点击:(73)  评论:(0)  加入收藏
Windows 11网络连接问题诊断与解决小技巧,轻松解决上网问题!
在日常生活中,如果在连接网络时遇到问题,该如何排查解决?以下是一些故障排除步骤,可帮助你解决戴尔电脑上的无线网络连接问题。一起来看看吧!1、进行基本检查先进行一些基本检查...【详细内容】
2024-01-12  戴尔维修工程师    Tags:   点击:(59)  评论:(0)  加入收藏
配置Cisco AnyConnect VPN的5个步骤,缺一不可
随着越来越多的人远程工作或在混合环境中工作,IT部门和MSP在ASA防火墙上配置Cisco AnyConnect VPN的呼声越来越高。但是Cisco文档可能会非常混乱,这会导致一些组织的配置错误(...【详细内容】
2023-11-14  驾驭信息纵横科技    Tags:VPN   点击:(96)  评论:(0)  加入收藏
如何在Windows 10系统上设置DNS?
如果你正在使用Windows10操作系统,并且想要更好地控制你的网络服务,那么了解如何设置DNS(DomainNameSystem)是非常重要的。DNS是一种将域名解析为IP地址的服务,它能够让你在访问...【详细内容】
2023-11-10  高梦文    Tags:DNS   点击:(196)  评论:(0)  加入收藏
RabbitMQ发送和接收消息的几种方式
channel.basicQos(0, 1, false):0表示对消息的大小无限制,1表示每次只允许消费一条,false表示该限制不作用于channel。同时,我们采用手工ACK的方式,因为我们配置文件配置了 spri...【详细内容】
2023-11-08  程序猿羊  微信公众号  Tags:RabbitMQ   点击:(264)  评论:(0)  加入收藏
CISA发布十大常见网络安全错误配置
美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)在本周五的报告中公布了其红队和蓝队在大型组织网络中发现的十大最常见网络安全误配置。NSA和CISA在安全建议中详细说...【详细内容】
2023-11-07  GoUpSec  微信公众号  Tags:CISA   点击:(262)  评论:(0)  加入收藏
Istio Envoy 配置解读,看这篇就够了
前面我们创建了一个 Gateway 和 VirtualService 对象,用来对外暴露应用,然后我们就可以通过 ingressgateway 来访问 Bookinfo 应用了。那么这两个资源对象是如何实现的呢?Gatew...【详细内容】
2023-11-07  k8s技术圈  微信公众号  Tags:Istio Envoy   点击:(129)  评论:(0)  加入收藏
RabbitMQ的四种交换机详解
交换机主要是接收消息并且转发到绑定的队列,交换机不存储消息,在启用ack模式后,交换机找不到队列会返回错误。交换机有四种类型:Direct, topic, Headers and Fanout。图片一、to...【详细内容】
2023-11-06  程序猿小杨  微信公众号  Tags:交换机   点击:(267)  评论:(0)  加入收藏
路由器配置NAT/UPNP/DMZ方法
常见路由器配置NAT(网络地址转换)、UPnP(通用即插即用)和DMZ(区域暴露)的方法可以根据不同的路由器品牌和型号有所不同,但通常会在路由器的管理界面中找到相关设置。以下是一般步骤...【详细内容】
2023-10-11  晴间多云  今日头条  Tags:路由器配置   点击:(423)  评论:(0)  加入收藏
路由器如何正确安装?后台设置一步即可接入宽带
现在的路由器不论安装还是后台设置都非常方便,但一些网友可能是没有详细了解过相关的知识,所以每次想要更换路由器或者新装路由器的时候并不知道如何安装路由器接入自家宽带,这...【详细内容】
2023-09-21  羽度非凡    Tags:路由器   点击:(303)  评论:(0)  加入收藏
站内最新
站内热门
站内头条