IPsec (主模式,野蛮模式)

这篇具有很好参考价值的文章主要介绍了IPsec (主模式,野蛮模式)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

主模式

客户需求:

R1 和 R3 上配置 IPsec VPN,使两端私网可以互相访问

IPsec (主模式,野蛮模式)

#配置ip地址

[r1]inter g0/0
[r1-GigabitEthernet0/0]ip add 100.1.1.1 24
[r1-GigabitEthernet0/0]inter g0/1
[r1-GigabitEthernet0/1]ip add 1.1.1.1 24
[r1]ip route-static 0.0.0.0 0 100.1.1.2

#创建高级ACL 3000 抓取允许源为1.1.1.0网段的访问2.2.2.0网段

[r1]acl advanced 3000
[r1-acl-ipv4-adv-3000]rule permit ip source1.1.1.0  0.0.0.255 destination2.2.2.0  0.0.0.255
[r1-acl-ipv4-adv-3000]qu
[r1]ikeproposal 1   //创建ikeproposal(提议) 名称为1
[r1-ike-proposal-1]qu  
[r1]ike keychain r1   //创建ike keychain密钥名称为r1
[r1-ike-keychain-r1]pre-shared-key address200.1.1.1 key simple 123  //配置预共享密钥
密码为123(两边密码要一致)
[r1]ike profile r1    //创建一个IKE profile (模板)名称为r1
//[r1-ike-profile-r1]exchange-mode aggressive(野蛮模式)/main(主模式)//设置使用模式,默认是主模式
[r1-ike-profile-r1]keychain r1    //配置采用预共享密钥认证时,所使用的keychain
[r1-ike-profile-r1]proposal 1     //配置IKE profile引用的IKE提议
[r1-ike-profile-r1]local-identity address100.1.1.1   //指定IPsec隧道的本端IP地址
[r1-ike-profile-r1]match remote identityaddress 200.1.1.1  //指定IPsec隧道的对端IP地址
[r1]ipsec transform-set tran1    //创建IPsec安全提议tran1
//#[r1-ipsec-transform-set-tran1]protocol esp/ah/ ah-esp  //指定所用协议,默认是esp
//#[r1-ipsec-transform-set-tran1]encapsulation-mode tunnel(隧道模式)/transport(传输模式)  默认使用隧道模式
[r1-ipsec-transform-set-tran1]espauthentication-algorithm md5  //配置ESP认证算法为MD5
[r1-ipsec-transform-set-tran1]espencryption-algorithm 3des-cbc  //配置ESP协议采用的加密算法为3des-cbc (两端认证和加密算法要一致)
[r1]ipsec policy r1 1 isakmp(自动)/manual(手动) 创建一条自动方式的IPsec安全策略,名称为r1,序列号为1
[r1-ipsec-policy-isakmp-r1-1]security acl3000  //指定引用acl3000
[r1-ipsec-policy-isakmp-r1-1]ike-profile r1       //引用ike模板r1
[r1-ipsec-policy-isakmp-r1-1]transform-settran1   //指定引用的IPsec安全提议为tran1
[r1-ipsec-policy-isakmp-r1-1]remote-address200.1.1.1   //指定IPsec隧道对端IP地址
[r3]inter g0/0
[r3-GigabitEthernet0/0]ipsec apply policyr1  在出接口上应用IPsec安全策略r1
[r2]inter g0/0
[r2-GigabitEthernet0/0]ip add 100.1.1.2 24
[r2-GigabitEthernet0/0]inter g0/1
[r2-GigabitEthernet0/1]ip add 200.1.1.2 24
[r3]inter g0/0
[r3-GigabitEthernet0/0]ip add 200.1.1.1 24
[r3-GigabitEthernet0/0]inter g0/1
[r3-GigabitEthernet0/1]ip add 2.2.2.1 24
[r3]ip route-static 0.0.0.0 0 200.1.1.2

#创建高级acl 3000 抓取2.2.2.0 到1.1.1.0 网段的数据

[r3]acl advanced 3000
[r3-acl-ipv4-adv-3000]rule permit ip source2.2.2.0  0.0.0.255 destination1.1.1.0  0.0.0.255
[r3]ike proposal 1   //创建ike proposal (提议)名称为1
[r3-ike-proposal-1]qu
[r3]ike keychain r3  //创建ike keychain密钥为r3
[r3-ike-keychain-r3]pre-shared-key address100.1.1.1 key simple 123  //配置预共享密钥
密码为123(两边密码要一致)
[r3]ike profiler3               创建ike profile(模板) 名称为r3
[r3-ike-profile-r3]keychain r3    //配置采用预共享密钥认证时,所使用的keychain
[r3-ike-profile-r3]proposal 1     //配置IKE profile引用的IKE提议
[r3-ike-profile-r3]local-identity address200.1.1.1     //指定IPsec隧道的本端IP地址
[r3-ike-profile-r3]match remote identityaddress 100.1.1.1 //指定IPsec隧道的对端IP地址
[r3]ipsectransform-set tran1                    //创建IPsec安全提议tran1
[r3-ipsec-transform-set-tran1]espauthentication-algorithm md5   //配置ESP认证算法为MD5
[r3-ipsec-transform-set-tran1]espencryption-algorithm 3des-cbc  //配置ESP协议采用的加密算法为3des-cbc  (两端认证和加密算法要一致)
[r3]ipsec policy r3 1 isakmp //创建一条自动方式的IPsec安全策略,名称为r3,序列号为1
[r3-ipsec-policy-isakmp-r3-1]security acl3000     指定引用acl3000
[r3-ipsec-policy-isakmp-r3-1]ike-profile r3
[r3-ipsec-policy-isakmp-r3-1]transform-settran1     //指定引用的IPsec安全提议为tran1
[r3-ipsec-policy-isakmp-r3-1]remote-address100.1.1.1     //指定IPsec隧道对端IP地址
[r3]inter g0/0
[r3-GigabitEthernet0/0]ipsec apply policyr3   //在出接口上应用IPsec安全策略r3

私网之间可以互通

IPsec (主模式,野蛮模式)

查看ike 的安全联盟 ipsec的安全联盟

IPsec (主模式,野蛮模式)
IPsec (主模式,野蛮模式)

重启ipsec进程

Reset ipsce sa

Reset ike sa

野蛮模式

客户需求:

WH,SH的公网地址不固定,由R2 dhcp动态分配

一端公网地址不固定,主模式不能用,所以只能用野蛮模式

实验步骤:

IPsec (主模式,野蛮模式)

配置ip地址

[BJ]inter g0/0
[BJ-GigabitEthernet0/0]ip add 100.1.1.1 24
[BJ-GigabitEthernet0/0]inter g0/1
[BJ-GigabitEthernet0/1]ip add 192.168.1.124
[R2]inter g0/0
[R2-GigabitEthernet0/0]ip add 100.1.1.2 24
[R2-GigabitEthernet0/0]inter g0/1
[R2-GigabitEthernet0/1]ip add 100.2.2.2 24
[R2-GigabitEthernet0/1]inter g0/2
[R2-GigabitEthernet0/2]ip add 100.3.3.2 24
[SH]inter g0/1
[SH-GigabitEthernet0/1]ip add 192.168.2.124  

公网接口暂不配置

[WH]inter g0/1
[WH-GigabitEthernet0/1]ip add 192.168.3.124  

公网接口暂不配置

BJ上需要配置默认路由

[BJ]ip route-static 0.0.0.0 0 100.1.1.2

R2上配置DHCP,自动给SH WH分配公网地址,ip-pool 2代表给SH分配 3代表给WH分配

[R2]dhcp enable    //开启DHCP功能
[R2]dhcp server ip-pool 2   //创建地址池2
[R2-dhcp-pool-2]network 100.2.2.0 mask255.255.255.0   //配置分配地址段
[R2-dhcp-pool-2]gateway-list 100.2.2.2        //配置分配网关(R2对应接口的地址)
[R2-dhcp-pool-2]qu
[R2]dhcp server ip-pool 3      //创建地址池3
[R2-dhcp-pool-3]network 100.3.3.0 mask255.255.255.0   //配置分配地址段
[R2-dhcp-pool-3]gateway-list 100.3.3.2       //配置分配网关(R2对应接口的地址)

在SH WH的公网接口开启自动获取

[SH]inter g0/0
[SH-GigabitEthernet0/0]ip add dhcp-alloc
[WH]inter g0/0
[WH-GigabitEthernet0/0]ip add dhcp-alloc

查看可以看到,SH WH连接公网的接口分配到了公网地址

IPsec (主模式,野蛮模式)
IPsec (主模式,野蛮模式)

此时查看SH WH的路由表,可以看到有一条优先级为70的默认路由,优先级为70的默认路由来自DHCP,下一跳是网关

IPsec (主模式,野蛮模式)

野蛮模式,固定公网地址方不用配置acl抓取感兴趣流,由不固定方配置acl抓取感兴趣流,固定方收到不固定方的感兴趣流,会自动调换源目地址,自动生成感兴趣流

野蛮模式因为地址不固定,所以必须配置ike名称

[BJ]ike identity fqdn bj   //创建ike名称
[BJ]ike proposal 1    //创建ike提议1
[BJ-ike-proposal-1]qu
两个目标时,Ike keychain密钥串名称不用创建两个,可以在一个密钥串里,创建两个不同主机名的密码
[BJ]ike keychain fz  //创建密钥串 名称为fz
[BJ-ike-keychain-fz]pre-shared-key hostnamesh key simple 123456 //配置sh的预共享密码123456
[BJ-ike-keychain-fz]pre-shared-key hostnamewh key simple 654321 //配置wh的预共享密码654321
IPsec (主模式,野蛮模式)
[BJ]ike profile sh   //创建ike模板sh
[BJ-ike-profile-sh]exchange-mode aggressive  //模式修改为野蛮模式
[BJ-ike-profile-sh]match remote identityfqdn sh  //指定IPsec隧道的对端主机名为sh
[BJ-ike-profile-sh]proposal 1      //配置引用的IKE提议
[BJ-ike-profile-sh]keychain fz     //配置引用的IKE预共享密钥
[BJ]ike profile wh     //创建ike模板wh
[BJ-ike-profile-wh]exchange-modeaggressive  //模式修改为野蛮模式
[BJ-ike-profile-wh]match remote identityfqdn wh  //指定IPsec隧道的对端主机名为wh
[BJ-ike-profile-wh]proposal 1       //配置引用的IKE提议
[BJ-ike-profile-wh]keychain fz     //配置引用的IKE预共享密钥

如果wh sh所用的安全提议transform-set相同,则只需创建一个安全提议,共同引用

[BJ]ipsec transform-set fz    //创建一个安全提议 名称为fz
[BJ-ipsec-transform-set-fz]espauthentication-algorithm md5  //配置ESP认证算法为MD5
[BJ-ipsec-transform-set-fz]espencryption-algorithm des-cbc  //配置ESP加密算法为des-cbc

一个端口只能调用一个ipsec策略,所以需要创建ipsec策略模板,才能一个策略可以调用多个策略模板

创建sh的策略模板,并调用安全提议fz,IKE模板sh

[BJ]ipsec policy-template sh 1    //创建sh的ipsec策略模板1 
[BJ-ipsec-policy-template-sh-1]transform-setfz    //调用安全提议fz
[BJ-ipsec-policy-template-sh-1]ike-profilesh    //调用sh的ike模板sh

创建wh的策略模板,并调用安全提议fz,IKE模板wh

[BJ]ipsec policy-template wh 1    //创建wh的ipsec策略模板1 
[BJ-ipsec-policy-template-sh-1]transform-setfz   //调用安全提议fz
[BJ-ipsec-policy-template-sh-1]ike-profile wh   //调用sh的ike模板sh

创建ipsec策略名称为fz 1号规则自动协商引用策略模板sh

[BJ]ipsec policy fz 1 isakmp template sh

创建ipsec策略名称为fz 2号规则自动协商引用策略模板wh

[BJ]ipsec policy fz 2 isakmp template wh
IPsec (主模式,野蛮模式)

最后进入出接口,下发fz策略

[BJ]inter g0/0
[BJ-GigabitEthernet0/0]ipsec apply policyfz

SH路由器上配置高级acl,抓取2.0到1.0的感兴趣流

[SH]acl advanced 3000
[SH-acl-ipv4-adv-3000]rule permit ip source192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[SH]ike proposal 1      //创建ike提议1
[SH-ike-proposal-1]qu 
[SH]ike identity fqdn sh     //创建ike名称
[SH]ike keychain bj   //创建密钥串 名称为bj
[SH-ike-keychain-bj]pre-shared-key address100.1.1.1 key simple 123456  //配置bj的预共享密码123456
[SH-ike-keychain-bj]qu
[SH]ike profile bj    //创建ike模板,名称bj
[SH-ike-profile-bj]exchange-mode aggressive  //修改模式为野蛮模式
[SH-ike-profile-bj]match remote identityfqdn bj  //指定IPsec隧道的对端主机名为bj
[SH-ike-profile-bj]proposal 1     //配置引用的IKE提议
[SH-ike-profile-bj]keychain bj   //配置引用的IKE预共享密钥
[SH]ipsectransform-set bj            //创建一个安全提议名称为bj
[SH-ipsec-transform-set-bj]espencryption-algorithm des-cbc  //配置ESP加密算法为des-cbc   
[SH-ipsec-transform-set-bj]espauthentication-algorithm md5 //配置ESP认证算法为MD5
[SH]ipsec policy bj 1 isakmp    创建ipsec策略名称为bj  1号规则自动协商
[SH-ipsec-policy-isakmp-bj-1]security acl3000     //指定引用acl3000
[SH-ipsec-policy-isakmp-bj-1]remote-address100.1.1.1  //指定IPsec隧道对端IP地址
[SH-ipsec-policy-isakmp-bj-1]transform-setbj    //指定引用安全提议bj
[SH-ipsec-policy-isakmp-bj-1]ike-profile bj     //指定引用IKE模板bj

出接口下发策略

[SH]inter g0/0
[SH-GigabitEthernet0/0]ipsec apply policybj

创建高级acl,抓取3.0到1.0的兴趣流

[WH]acl advanced 3000
[WH-acl-ipv4-adv-3000]rule permit ip source192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[WH]ike identity fqdn wh   //创建IKE名称wh
[WH]ike proposal 1      //创建IKE提议 1
[WH-ike-proposal-1]qu  
[WH]ike keychain bj    //创建密钥串 bj
[WH-ike-keychain-bj]pre-shared-key address100.1.1.1 key simple  654321  //配置bj的预共享密码654321
[WH]ike profile bj   //创建IKE模板
[WH-ike-profile-bj]exchange-mode aggressive   //修改模式为野蛮模式
[WH-ike-profile-bj]match remote identityfqdn bj   //指定IPsec隧道的对端主机名为bj
[WH-ike-profile-bj]keychain bj       //配置引用的IKE预共享密钥
[WH-ike-profile-bj]proposal 1    //配置引用的IKE提议
[WH]ipsec transform-set bj       //创建一个安全提议 名称为bj
[WH-ipsec-transform-set-bj]espauthentication-algorithm md5   //配置ESP认证算法为md5
[WH-ipsec-transform-set-bj]espencryption-algorithm des-cbc    //配置ESP加密算法为des-cbc     
[WH]ipsec policy bj 1 isakmp    //创建ipsec策略名称为bj  1号规则自动协商
[WH-ipsec-policy-isakmp-bj-1]security acl3000   //指定引用acl3000
[WH-ipsec-policy-isakmp-bj-1]remote-address100.1.1.1  //指定IPsec隧道对端IP地址
[WH-ipsec-policy-isakmp-bj-1]transform-setbj    //指定引用安全提议bj
[WH-ipsec-policy-isakmp-bj-1]ike-profile bj    //指定引用IKE模板bj

出接口下发bj策略

[WH]inter g0/0
[WH-GigabitEthernet0/0]ipsec apply policybj

配置完成,查看IKE安全联盟,IPsec安全联盟,建立成功

IPsec (主模式,野蛮模式)
IPsec (主模式,野蛮模式)

PC6 PC7可以访问PC5文章来源地址https://www.toymoban.com/news/detail-481847.html

IPsec (主模式,野蛮模式)
IPsec (主模式,野蛮模式)

到了这里,关于IPsec (主模式,野蛮模式)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 思科模拟器:交换机vtp配置 (服务器模式&客户模式&透明模式)

    实验环境:思科模拟器 交换机默认都是服务器模式 三种模式 client———客户模式 server———服务器模式 transparent———透明模式 三种模式的功能 1.client客户模式: 不能对vlan进行修改,删除,添加 但是他可以 接收 同步消息,或者 发送 和 转发 ( 转发是指别的设备发送过

    2024年02月06日
    浏览(53)
  • 客户频繁变更需求,项目经理该如何应对?

    王博刚当上项目经理,接手了一个中型软件项目。公司高层多次提醒他要尊重客户需求,并充分满足客户的期望。 一开始项目进展顺利,但后来客户频繁变更需求给团队带来了很多额外工作。王博动员大家加班保证项目进度,让客户非常满意。 然而随着时间推移,需求变更

    2024年02月07日
    浏览(35)
  • IPsec中IKE与ISAKMP过程分析(主模式-消息1)

            IPsec协议族中IKE(Internet Key Exchange)是一种基于ISAKMP的协议,它为建立IPSec安全通信隧道提供了一种无痕密钥交换的机制。简单来说,IKE就是ISAKMP的扩展,为ISAKMP提供了更加高效、灵活和安全的密钥协商机制。         GMT 0022-2014 IPSec VPN 技术规范 标准参考。      

    2024年02月02日
    浏览(42)
  • SaaS系统平台,如何兼顾客户的个性化需求?

    在当今数字化的商业环境中,SaaS系统已经成为企业运营的重要组成部分之一。 SaaS系统平台的好处是显而易见的,可以将业务流程数字化,从而帮助企业提高效率并节省成本。 但是,由于 每个企业的业务都不尽相同 ,所以在选择SaaS系统时,企业需要 考虑系统的个性化定制

    2024年02月06日
    浏览(92)
  • 华为设备IPsec简单配置

    IPsec VPN是指采用IPsec实现远程接入的一种VPN技术,通过在公网上为两个或多个私有网络之间建立IPsec通道,并通过加密和认证保证通道的安全性。IPsec保护的是点对点之间的通信,通过IPsec VPN可以实现主机和主机之间、主机和网关之间、网关和网关之间建立安全的隧道连接。工

    2024年02月11日
    浏览(42)
  • 创意项目管理软件推荐:满足客户需求的完美解决方案

    发现功能强大的工作管理软件,让创意大放异彩。将您团队的愿景变成引人注目的项目。 Zoho Projects的创意项目管理软件可帮助您和您的团队在一个地方监督多个项目。使用我们的内置管理工具和模板,花更少的时间在管理上,而将更多的时间用于创建。 不要浪费时间搜索信

    2024年02月14日
    浏览(44)
  • IPSec VPN原理与配置

    目录 一、实验原理 ipsec vpn的目的 ipsec vpn的原理 二、  IPSec VPN概念 1、什么是IPSec 2、IPSec架构 3、SA  (Security Association,安全联盟) 4、  IPSec协议封装模式 三、实验操作 四、实验配置 1、项目要求: 一、路由器RTA  1、更改路由器名字,配置端口ip,配置静态路由,实现网络

    2024年02月15日
    浏览(31)
  • 华为IPSec VPN的配置

    目录 概念 阶段一 阶段二 IPSec的配置实验  先进行基配置,保证路由可达  配置阶段一 配置ike提案 配置ike邻居 配置阶段二 定义感兴趣流 把ipsec策略应用到接口 结果测试 IPSec是一个框架,它不是具体指某个协议,而是定义了一个框架,由各种协议组和协商而成。该框架涉及

    2024年02月08日
    浏览(42)
  • 实验二十七 IPSec配置

    某公司由总部和分支机构构成,通过IPsec实验网络安全,保证总部和分支机构的局域 网安全通信。 IPSec(IP Security)是IETF定义的一组协议,用于增强IP网络的安全性 。 IPsec的功能可以划分为三类:认证头(AH)、封装安全负荷(ESP)、Internet密钥交换协议(IKE)。 1、认证头AH:提供了数据

    2024年02月07日
    浏览(46)
  • IPsec和PPTP技术介绍和对应配置 以及 NAT和PPTP以及IPsec冲突解决

    目录 IPsec 网段特点: 技术优势 技术劣势 相关技术配置: PPTP 网段特点 技术优势 技术劣势 相关技术配置 VPN和NAT的冲突 情况一:NAT设备和VPN设备不是同一个,nat在VPN之后 情况二:NAT设备和VPN设备为同一个 情况三:PPTP客户端的NAT转换 最近,在学习关于校园网安全接入的项目

    2024年02月06日
    浏览(33)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包