实验二十七 IPSec配置
实验目的:
某公司由总部和分支机构构成,通过IPsec实验网络安全,保证总部和分支机构的局域 网安全通信。
网络拓扑图:
IPSec(IP Security)是IETF定义的一组协议,用于增强IP网络的安全性 。
IPsec的功能可以划分为三类:认证头(AH)、封装安全负荷(ESP)、Internet密钥交换协议(IKE)。
1、认证头AH:提供了数据完整性和数据源认证,但是不提供保密服务。AH包含了对称密 钥的散列函数,使得第三方无法修改传输中的数据。IPSec支持的认证算法有:HMAC-MDS 和 HMAC-SHA1。
2、封装安全负荷ESP提供了数据加密功能。ESP利用对称密钥对IP数据进行加密,支持的 加密算法有DES-CBC、3DES-CBC、AES128-CBC。
3、Internet秘钥交换协议(IKE):用于生成和分发在ESP和 AH中使用的秘钥,IKE也对远 程系统进行初始认证。 IKE 用于密钥交换,IPSec用于保护后续的通信。而保护通信的密钥,就来自IKE协议 运行的结果。
配置思路:
1、配置接口的 IP 地址和到对端的静态路由或默认路由,保证两端路由可达。
2、配置 ACL,以定义需要 IPSec 保护的数据流。
3、配置 IPSec 安全提议,定义 IPSec 的保护方法。
#创建安全提议,并进入安全提议视图
[Router] ipsec proposal proposal-name
#选择安全协议
[Router-ipsec-proposal-tranl] transform { ah | ah-esp | esp}
#选择工作模式
[Router-ipsec-proposal-tranl] encapsulation-mode { transport | tunnel}
#选择安全算法
[Router-ipsec-proposal-tranl] esp encryption-algorithm { 3des | aes [ key-length ] | des}
[Router-ipsec-proposal-tranl] esp authentication-algorithm { md5 | sha1}
[Router-ipsec-proposal-tranl] ah authentication-algorithm { md5 | sha1}
4、配置 IKE 对等体,定义对等体间 IKE 协商时的属性。
1)双方协商出互相匹配的IKE提议,用于保护IKE交换时的通信
#创建 IKE 提议,并进入 IKE 提议视图
[Router] ike proposal proposal-number
#选择IKE提议所使用的加密算法
[Router-ike-proposal-10] encryption-algorithm { 3des-cbc | aes-cbc [key-length] | des-cbc}
造择IKE提议所使用的验证方法
[Router-ike-proposal-10] authentication-method { pre-share | rsa-signature}
#选择IKE提议所使用的验证算法
[Router-ike-proposal-10] authentication-algorithm { mdS | sha}
#选择 IKE 阶段1 密钥协商时所使用的 DH 交换组
[Router-ike-proposal-10] dh { group1 | group2 | group5 | group14}
#配置 IKE 提议的 ISAKMP SA 生存周期
[Router-ike-proposal-10] sa duration seconds
2)配置IKE对等体
#创建一个 IKE 对等体,并进入 IKE 对等体视图
[Router-ike-peer-peer1] ike peer peer-name v1 | v2
#配置 IKE 阶段 1 的协商模式
[Router-ike-peer-peer1] exchange-mode { aggressive | main }
#配置采用预共享密钥验证时所用的密钥
[Router-ike-peer-peer1] pre-shared-key [ cipher | simple ] key
#配置对端安全网关的IP地址
[Router-ike-peer-peer1] remote-address ip-address
5、配置安全策略,并引用 ACL、IPSec 安全提议和 IKE 对等体,确定对何种数据流采取何种保 护方法。
#创建一条安全策略,并进入安全策略视图
[Router] ipsec policy policy-name seq-number isakmp
#配置安全策略引用的 ACL
[Router-ipsec-policy-manual-map1-10] security acl ad-number
#配置安全策略所引用的安全提议
[Router-ipsec-policy-manual-map1-10] proposal proposal-name&<l-6>
#在安全策略中引用 IKE 对等体
Router-ipsec-policy-manual-map1-10] ike-peer peer-name
6、在接口上应用安全策略组,使接口具有 IPSec 的保护功能。
[Router-Serial1/0] ipsec policy policy-name
实验步骤:
在上一个实验(实验二十六)的基础上删除 GRE tunnel 端口和静态路由
1、分别在 R1 和 R3 上配置 ACL,定义各自要保护的数据流
#在R1上配置 ACL,定义有子网172.22.1.0/24去子网172.22.2.0/24的数据流
#在R3上配置ACL,定义有子网172.22.2.0/2.4去子网172.22.1.0/2.4的数据流
2、分别在 R1和R3上创建IPSec安全提议
#在R1上配置IPSec安全提议
#在R3上配置IPSec安全提议,注意必须和R1参数一致
此时可以在R1和R3上执行display ipsec proposal查看配置的信息
3、分别在R1和R3上配置IKE对等体
#在R1上配置IKE安全提议
#在R1上配置 IKE 对等体,配置预共享秘钥和对端ID
#在R3上配置IKE安全提议
#在R3上配置IKE对等体,配置预共享秘钥和对端ID
4、分别在R1和 R3上创建安全策略
#在R1上配置IKE动态协商方式安全策略
#在R3上配置IKE动态协商方式安全策略
此时在R1和 R3上执行display ipsec policy会显示所配置的信息文章来源:https://www.toymoban.com/news/detail-469516.html
5、分别在R1和R3的接口上应用各自的安全策略组,使接口具有IPSec的保护功能
6、测试配置结果
这里不知道为什么是ping不通的,我简单测试了一下,我的是路由器之间可以ping通但是ping不通PC,这里希望有大佬可以指导一下文章来源地址https://www.toymoban.com/news/detail-469516.html
到了这里,关于实验二十七 IPSec配置的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!