思科动态接入IPSec VPN

已于 2024-07-31 08:58:21 修改
阅读量1.6k 收藏 31
点赞数 9
分类专栏: VPN 文章标签: 网络
于 2024-07-31 08:31:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2203_76138235/article/details/140806546
版权

动态地址的VPN接入

问题:对等体的地址动态获取,地址是不固定的;对等体双方至少有一端的地址必须是静态的。例如:hub and spoke模型。

解决方法:

dynamic map:

DVTI(思科私有)

DMVPN(思科私有)

 dynamic map

在混合厂商环境中的唯一解决方案;

缺点:

中心站点无法主动发起到分支站点的VPN流量;

没有虚拟隧道接口,不能运行动态路由协议;

–只能适合分支站点简单的网络环境;

不同的分支与总部建立VPN后,分支之间不能通过总部进行访问;

只适用于较为简单的场合。

思科配置案例

如图所示,RB为企业分支网关,公网接口的IP地址使用动态获取方式(PPPOE),RA为企业总部网关(思科路由器),分支经过NAT设备与总部通过公网建立通信。

企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。由于分支网关采用动态方式获取IP地址,总部网关可以使用动态模板方式与分支网关建立一个IPsec隧道来实现该需求。总部使用模糊匹配方式,可以接入任意的分支。

下图 配置动态获取IP地址的分支用户向总部思科路由器发起协商建立IPsec隧道组网图。

PC1 配置

pc都用路由器进行模拟,pc是一台没有交换功能的路由器。

PC1(config)#no ip routing    //关闭路由功能
PC1(config)#int e0/0         //进入接口
PC1(config-if)#no sh    //开启端口(思科默认关闭)
PC1(config-if)#ip add 10.1.1.1 255.255.255.0   //配置IP地址为10.1.1.1

PC1(config)#ip default-gateway 10.1.1.254      //配置网关

PC2 配置

PC2(config)#no ip routing    //关闭路由功能
PC2(config)#int e0/0         //进入接口
PC2(config-if)#no sh    //开启端口(思科默认关闭)
PC2(config-if)#ip add 10.1.2.1 255.255.255.0   //配置IP地址为10.1.2.1

最低0.47元/天 解锁文章
Cisco Packet Tracer实战 - IPSec VPN配置练习
weixin_44517249的博客
02-29 5235
IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务
思科ASA防火墙建立IPSec VPN(IKEV1)
weixin_47666829的博客
11-29 1958
ipsec vpn在ASA路由器中的实现
ipsec(分支动态IP)
05-07
在实际的应用中,经常需要使用HUB-Spoke类型的组网,即一个总部到多个分支机构的组网,分支节点建立到总部的IPSEC 隧道,各个分支机构之间的通信由总部节点转发和控制.实
【华为】IPSec动态)的原理与配置
最新发布
2403_83112422的博客
03-05 1449
实现PC1与PC2在公网传输时加密通信(IPSec VPN),并且实现PC1访问R5的loopback8端口(NAT)
思科IPsec VPN 实验配置(动态地址接入
2301_77161465的博客
01-17 6427
本篇文章是关于思科IPsec VPN里面的,但它的情况是有一端是动态地址接入,也就是PPPoE或者PPP接入,里面的配置的话,每行都会有注释,会更详细些,有问题可以评论区见啦
思科IPsec VPN 实验配置(地址固定)
2301_77161465的博客
01-17 3481
本篇文章是关于思科IPsec VPN里面的,但它的情况是两端的IP地址都是固定的,里面的配置的话,每行都会有注释,会更详细些,有问题可以评论区见啦
思科IPsec VPN基本配置
weixin_68021856的博客
07-22 4364
R1(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac //配置转换集名字myset, IPSec的封装协议esp-3des esp-md5-hmac(默认隧道模式tuunel)R1(config-crypto-map)#set transform-set myset //关联转换集myset。在配置IPSec前首先要保证公网可达:在R1和R3上写一条默认路由。
思科模拟器配置IPsecVPN
qh_3727的博客
11-06 1039
在CampusA和CampusC的出口路由器上配置IPsecVPN,使两个校园之间能够进行通信。
IPSec VPN的原理与配置
热门推荐
2301_78256093的博客
06-14 1万+
在配置安全联盟时,入方向和出方向安全联盟的安全参数索引都必须设置,并且本端的入方向安全联盟的SPI值必须和对端的出方向安全联盟的SPI值相同,而本端的出方向安全联盟的SPI值必须和对端的入方向安全联盟的SPI值相同。入方向和出方向安全联盟的认证密钥都必须设置,并且本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥相同;4、隧道模式中的ESP:对整个原始IP报文和ESP尾部进行加密,对ESP报文头、原始IP报文和ESP尾部进行完整性校验。3、传输模式中,在IP报文头和高层协议之间插入AH或ESP头。
Cisco Packet Trancer实战 - GRE over IPSec VPN配置练习
weixin_44517249的博客
02-29 2392
GRE over IPSec VPN是将GRE协议和IPSec协议结合起来使用,通过在GRE包上添加IPSec头部,实现了对GRE包的加密和认证处理。
IPsec VPN 实验
m0_63645854的博客
04-10 1617
IPsec VPN实验
思科路由器ipsecvpn高级配置
IT技术
03-13 3972
完成: 所有的分支和总部都可以ipsecvpn互防,且都能上公网访问服务器。 分支和分支也能ipsecvpn访问,走的是总部跳转。 总部路由配置: bj-router#show running-config Building configuration… Current configuration : 1627 bytes ! version 12.4 no service timestamps log datetime msec no service timestamps debug datetime .
思科 IPsec
weixin_42862151的博客
08-22 397
IPsec VPN L2L 网络安全 VPN 虚拟专用网 私密性 加密学 对称加密:DES 3DES AES 非对称加密:DH 完整性 MD5 SHA 认证 HMAC、数字证书 L2L封装协议 ah esp 2步 1、第一阶段 加密第二阶段 isakmp 2、第二阶段 加密数据 ipsec 第一阶段: crypto isakmp policy 10 encr aes 对...
思科防火墙IPsec配置-野蛮模式方式(基于9.9版本)
xiayu0912的专栏
02-21 2371
思科防火墙ASA配置野蛮模式建立IPse连接
【华三】IPsec VPN 实验配置(动态地址接入
2301_77161465的博客
01-09 3899
本篇文章是关于新华三的IPsec VPN的实验配置,里面的场景是一段的IP地址是动态接入的情况下,里面的配置和两端地址固定的配置有一些些不同,然后解释的也很详细,易懂
思科设备IPSec vpx基本配置(单点)
SurvivorL的博客
01-14 877
欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体...
动态IPSEC隧道-点对多(神码设备---命令类思科
hun_hu的博客
06-16 1485
网络实验拓扑图:
思科vpn配置笔记
qq_48257021的博客
12-20 5232
通过VPN,用户可以在网络中建立一条安全的通道,将数据加密传输,实现隐私保护和匿名上网。crypto map wenmap 1 ipsec-isakmp :这个1 表示该隧道标识,,因为只能用一张表,但是可能一个接口不只一条隧道,改成2就表示另一个隧道了,还可以用这个表。5.防止拒绝服务攻击:IPSec可以根据安全策略对流量进行限制,拦截来自未授权的流量,减少对被保护的资源的攻击。这里的acl起匹配的作用,不起过滤的作用,只有当它应用到接口上时起到过滤流量的作用,在这里是匹配能走vpn的流量。
思科IPSec协议解析
DREW德鲁
07-30 4370
IPSec是IETF定义的一个协议组。通信双方在IP层通过加密、完整性校验、数据源认证等方式,保证了IP数据报文在网络上传输的机密性、完整性和防重放。 机密性(Confidentiality)指对用户数据进行加密保护,用密文的形式传送数据。 完整性(Data integrity)指对接收的数据进行认证,以判定报文是否被篡改。 防重放(Anti-replay)指防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包。 其他安全要求:源认证(确认信息真实的发送者和接收者)、不可否
ciscoasa5505
01-12
思科ASA5505是一款多...总的来说,思科ASA5505是一款功能强大的网络安全设备,可以为企业网络提供全面的安全保护和安全接入解决方案。它的灵活性和可扩展性也使得它成为中小型企业和分支机构理想的网络安全解决方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值