【思科】IPsec VPN 实验配置(地址固定)

最新推荐文章于 2024-04-04 00:38:23 发布
最新推荐文章于 2024-04-04 00:38:23 发布
阅读量1.8k 收藏 32
点赞数 27
分类专栏: 思科 文章标签: 思科 智能路由器 网络 运维 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77161465/article/details/135334919
版权

【思科】IPsec VPN 实验配置(地址固定)

在这里插入图片描述

注意

因为本篇文章,就是IPsec的实验配置的话,它们两端的IP地址是固定
那么就用第一阶段的主模式(Main Mode)
和第二阶段的快速模式(Quick Mode)就好啦
后面会有一个地址不固定的情况下,这个就需要用到一个动态安全策略啦

实验需求

R1为企业总部网关,R3为企业分部网关,分部与总部通过公网建立通信。分部子网为202.101.23.0/24,总部子网为202.101.12.0/24。

企业希望对分部子网与总部子网之间相互访问的流量进行安全保护。分部与总部通过公网建立通信,可以在分部网关与总部网关之间建立一个IPSec隧道来实施安全保护。
在这里插入图片描述

配置思路

  1. 基础配置,实现全网互通(命名 + IP地址 + 静态路由)保证两端路由可达

  2. 第一阶段 IKE SA
    ① 设置IKE的策略,里面包含开启预共享密钥的认证、加密算法、DH组等内容
    ② 配置预共享密钥和对等体地址

  3. 第二阶段 IPsec SA
    ① 转换集
    ② ACL : 匹配保护的流量,即定义需要IPSec保护的数据流
    ③ 配置安全策略组map,并引用ACL、IPSec转换集和对等体IP地址,确定对何种数据流采取何种保护方法

  4. 在接口上应用安全策略组map,使接口具有IPSec的保护功能

IPsec VPN 本质:阶段一保护阶段二 阶段二保护数据

配置命令

拓扑

在这里插入图片描述

R1

基础配置

配置R1的基础配置,再用默认路由实现公网可达

R1(config)#int e0/0
R1(config-if)#no shutdown 
R1(config-if)#ip address 202.101.12.1 255.255.255.0
R1(config-if)#ex

R1(config)#int e0/1
R1(config-if)#no shutdown 
R1(config-if)#ip address 192.168.10.254 255.255.255.0
R1(config-if)#ex

R1(config)#ip route 0.0.0.0 0.0.0.0 202.101.12.2        ##配置默认路由指向ISP运营商,实现公网可达

配置第一阶段 IKE SA

协商出IKE SA ,对第二阶段IPsecSA的协商过程做保护

## 创建IKE的策略,优先级为10
R1(config)#crypto isakmp policy 10 
R1(config-isakmp)#encryption 3des                  ## 用3des加密
R1(config-isakmp)#authentication pre-share         ## 身份认证用预共享密钥
R1(config-isakmp)#hash md5                         ## 配置完整性校验方式为 md5
R1(config-isakmp)#group 5                          ## 设置 DH 组 5
R1(config-isakmp)#ex

## 配置与共享密钥为 520,对方的密钥也要是一致才能匹配成功,才能协商IKE SA
R1(config)#crypto isakmp key 520 address 202.101.23.3

配置第二阶段 IPsec SA

在阶段1建立的IKE SA的保护下完成IPSec SA的协商

## 创建转换集 myset(名字) 
## 封装协议(esp-md5完整性校验 3des 加密 )
R1(config)#crypto ipsec transform-set myset esp-3des esp-sha256-hmac   
R1(cfg-crypto-trans)#mode tunnel          ## 传输方式用隧道传输
R1(cfg-crypto-trans)#exit 

## 协商感兴趣流量,也就是需要保护的流量
R1(config)#access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255     

## 将配置的内容都引用在安全策略map里面 ,使用ike自动协商
R1(config)#crypto map mymap 10 ipsec-isakmp          
R1(config-crypto-map)#match address 100         ## 匹配ACL 100
R1(config-crypto-map)#set peer 202.101.23.3     ## 设置对端对等体地址
R1(config-crypto-map)#set transform-set myset   ## 绑定转换集 myset
R1(config-crypto-map)#ex

## 在出接口上调用
R1(config)#int e0/0
R1(config-if)#crypto map mymap               ##进入接口,调用其安全策略mymap
R1(config-if)#ex

ISP_R2

基础配置

ISP_R2(config)#int e0/0
ISP_R2(config-if)#no shutdown
ISP_R2(config-if)#ip address 202.101.12.2 255.255.255.0
ISP_R2(config-if)#ex

ISP_R2(config)#int e0/1
ISP_R2(config-if)#no shutdown 
ISP_R2(config-if)#ip address 202.101.23.2 255.255.255.0
ISP_R2(config-if)#ex

R3

基础配置

配置R3的基础配置,再用默认路由实现公网可达

R3(config)#int e0/0
R3(config-if)#no shut
R3(config-if)#ip address 202.101.23.3 255.255.255.0
R3(config-if)#ex

R3(config)#int e0/1
R3(config-if)#no shut
R3(config-if)#ip address 192.168.20.254 255.255.255.0
R3(config-if)#ex

R3(config)#ip route 0.0.0.0 0.0.0.0 202.101.23.2        ##配置默认路由指向ISP运营商,实现公网可达

配置第一阶段 IKE SA

协商出IKE SA ,对第二阶段IPsecSA的协商过程做保护

## 创建IKE的策略,优先级为10
R3(config)#crypto isakmp policy 10                 ## 用策略来存放IKE的配置
R3(config-isakmp)#encryption 3des                  ## 用3des加密
R3(config-isakmp)#authentication pre-share         ## 身份认证用预共享密钥
R3(config-isakmp)#hash md5                         ## 配置完整性校验方式为 md5
R3(config-isakmp)#group 5                          ## 设置 DH 组 5
R3(config-isakmp)#ex

## 配置预共享密钥为 520,对方的密钥也要是一致才能匹配成功,才能协商IKE SA
R3(config)#crypto isakmp key 520 address 202.101.12.1

配置第二阶段 IPsec SA

在阶段1建立的IKE SA的保护下完成IPSec SA的协商

## 创建转换集 myset(名字) 
## 封装协议(esp-md5完整性校验 3des 加密 )
R1(config)#crypto ipsec transform-set myset esp-3des esp-sha256-hmac   
R1(cfg-crypto-trans)#mode tunnel          ## 传输方式用隧道传输
R1(cfg-crypto-trans)#exit 

## 协商感兴趣流量,也就是需要保护的流量
R3(config)#access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255      

## 将配置的内容都引用在安全策略map里面 ,使用ike自动协商
R3(config)#crypto map mymap 10 ipsec-isakmp          
R3(config-crypto-map)#match address 100         ## 匹配ACL 100
R3(config-crypto-map)#set peer 202.101.12.1     ## 设置对端对等体地址
R3(config-crypto-map)#set transform-set myset   ## 绑定转换集 myset
R3(config-crypto-map)#ex

## 在出接口上调用
R3(config)#int e0/0
R3(config-if)#crypto map mymap               ##进入接口,调用其安全策略mymap
R3(config-if)#ex

PC

因为我是在EVE中来操作思科模拟器,所以我就用路由器来模拟PC电脑,就需要关闭路由功能

PC1

PC1(config)#no ip routing                            ## 关闭路由功能
PC1(config)#ip default-gateway 192.168.10.254        ## 配置网关
PC1(config)#int e0/0
PC1(config-if)#no shutdown                 
PC1(config-if)#ip address 192.168.10.1 255.255.255.0  
PC1(config-if)#ex

PC2

PC2(config)#no ip routing                            ## 关闭路由功能
PC2(config)#ip default-gateway 192.168.20.254        ## 配置网关
PC2(config)#int e0/0
PC2(config-if)#no shutdown
PC2(config-if)#ip address 192.168.20.1 255.255.255.0
PC2(config-if)#ex

检查

抓包查看(需要用PC ping 才能触发IPsec VPN,思科的IPsec VPN不是自动触发的)
在这里插入图片描述

建立成功

里面主模式交换六个报文,成功协商IKE SA
而快速模式的三个报文,就成功的协商IPsec SA
这两个出来就成功建立了 IPsec VPN,对流量实施了加密啦~
在这里插入图片描述

查看命令

查看IKE SA的基本信息

R1#show crypto isakmp sa在这里插入图片描述

查看IPsec SA的基本信息

R1# show crypto ipsec sa
在这里插入图片描述

清除IKE / IPsec SA命令

为什么要清楚掉IKE / IPsec呢?
因为,这个IPsec VPN它是按照第一次配置的代码来执行的,当我们想改一下传输模式或者加密方式等等,就需要先清除掉之前的SA信息,就是IPsec SA和IKE SA,这样子才能去完成修改,切记哦

清除 IKE SA的命令:

R1#clear crypto isakmp
在这里插入图片描述
清除 IPsec VPN的命令:

R1#clear crypto sa
在这里插入图片描述

配置文档

R1

hostname R1

int e0/0
no shut
ip address 202.101.12.1 255.255.255.0
ex

int e0/1
no shut
ip address 192.168.10.254 255.255.255.0
ex

ip route 0.0.0.0 0.0.0.0 202.101.12.2        

crypto isakmp policy 10 
encryption 3des 
authentication pre-share 
hash md5 
group 5
ex

crypto isakmp key 520 address 202.101.23.3  

crypto ipsec transform-set myset esp-3des esp-sha256-hmac 
mode tunnel 
exit 

access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255     

crypto map mymap 10 ipsec-isakmp
match address 100
set peer 202.101.23.3
set transform-set myset
ex

int e0/0
crypto map mymap
ex

R3

hostname R3

int e0/0
no shutdown
ip address 202.101.23.3 255.255.255.0
ex

int e0/1
no shutdown
ip address 192.168.20.254 255.255.255.0
ex

ip route 0.0.0.0 0.0.0.0 202.101.23.2        

crypto isakmp policy 10 
encryption 3des 
authentication pre-share 
hash md5 
group 5
ex

crypto isakmp key 520 address 202.101.12.1  

crypto ipsec transform-set myset esp-3des esp-sha256-hmac 
mode tunnel 
exit 

access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255     

crypto map mymap 10 ipsec-isakmp
match address 100
set peer 202.101.12.1
set transform-set myset
ex

int e0/0
crypto map mymap
ex
张白夕
关注
  • 27
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
七、VPN技术实验2——IPSEC VPN 配置
锦慈的技术博客
07-11 442
说明: 我们下面需要以上图的环境来演示 LAN-to-LAN VPN 的效果,其中两个远程公司的网络上海和北京,如 R5 与 R4 之间需要直接使用私有地址来互访,比如 R5通过直接访问地址 192.168.1.4 来访问 R4,而 R2 则相当于 Internet 路由器,定义哪些流量需要通过VPN来传输,通过IPSec来保护;匹配流量的方法定义为ACL,建议使用扩展ACL 来匹配指定的流量,ACL中被permit匹配的流量表示加密,而被deny匹配的流量则表示不加密。
远程访问VPN配置与验证实验:构建安全的远程连接
傻傻的心动的博客
06-18 5909
远程访问VPN配置与验证实验:构建安全的远程连接
TP-LINK路由器与pfSense建立IPsec连接
weixin_34021089的博客
12-23 1338
同一品牌路由器之间进行IPsec连接设置较为简单,但如何与pfSense建立正确的IPsec连接,网上相关的教程却不多见,本文结合自己的实际,对这两种设备之间建立IPsec连接所需的设置进行详细说明。网络概述A端设备:TP-LINK路由器,具体型号:TL-R479GP-AC,子网:192.168.100.0/24B端设备:pfSense防火墙,软件版本2.44p2 ,子网:1...
配置GRE VPN实验(H3C)
最新发布
kerio123的博客
04-04 1145
通用路由封装(GRE)是一种三层VPN封装技术,用于将使用一个路由协议的数据包封装在另一协议的数据包中。GRE隧道是在广域网上建立直接的点对点连接,简化单独网络之间的连接,适用于各种网络层协议。本案例以最基础的GRE隧道配置案例来学习如何配置一条GRE隧道。本实验旨在掌握GRE隧道的基础配置。然而,GRE协议存在一个严重缺陷:缺乏安全加密机制。因此,通常会将IPSec技术与GRE相结合,先建立GRE隧道对报文进行GRE封装,随后再建立IPSec隧道对报文实施加密,由此确保报文在传输过程中的完整性和保密性。
使用EVE-ng搭建ipsec vpn实验
fenbaniuniu的博客
03-31 1188
掌握IPsec VPN配置方法IPSec vpn安全策略,ike配置防火墙自带vpn功能,本实验使用华三防火墙模拟vpn设备。
记录一下cisco的ipsecV-p-n配置
cztvu的专栏
12-28 359
Cisco路由器IPsec配置.doc
07-12
以下为路由器A的配置路由器B只需对相应配置作更改即可 1:配置IKE router(config)# crypto isakmp enable #启用IKE(默认是启动的) router(config)# crypto isakmp ...VPN两端路由器的上述配置要完全一样。 2:配
思科路由器对接山石网科防火墙——IPSec.doc
08-18
思科路由器对接山石网科防火墙——IPSec.doc
H3C SecPathF10X0_L2TP over IPSec配置.IOS、Android、Win7、Win10免客户端接入
04-07
H3C防火墙F10X0 V7版本,配置L2tp over ipsec,实现ios和android以及各版本Windows终端,免客户端接入的配置,内含关键配置点说明。
Cisco路由器配置GRE隧道.docx
07-12
Cisco路由器配置GRE隧道 路由封装(GRE)最早是由Cisco提出的,而目前它已经成为了一种标准,被定义在RFC 1701, RFC 1702, 以及RFC 2784中。简单来说,GRE就是一种隧道协议,用来从一个网络向另一个网络传输数据包。 ...
野蛮模式IPSec的典型组网和配置.pdf
11-12
野蛮模式IPSec的典型组网和配置.pdf
H3C 830ipsec配置实例无固定IP
江湖小飞将的博客
11-20 5349
acl advanced 3600 rule 0 permit ip source 10.2.2.0 0.0.0.3 destination 192.168.20.0 0.0.0.255 rule 5 permit ip source 10.2.2.0 0.0.0.3 destination 192.168.10.0 0.0.0.255 rule 10 permit ip source 172.2.2.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 1
Cisco IPSec *** 配置详解
weixin_34367257的博客
03-02 3477
转载自这里 前言: ×××作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条“专线”,将组织的分支机构和总部连接起来,组成一个大的局域网。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。 IPsec的协商分为两个阶段: 第一阶段:验证对方,协商出IKE SA ,保护第二阶段IPSEC Sa协商过...
IPSEC VPN安全介绍以及相关实验
weixin_62304542的博客
03-08 917
IPSEC的相关介绍及其简单实验
Cisco配置IPsec与NAT问题
qq_51871685的博客
11-11 1273
IPsec与NAT转换
思科IPSec配置
weixin_34067049的博客
06-14 3438
IPSec建立连接的过程一、对等体建立连接大体分为:1、流量触发:IPSec建立连接是首先是由对等体直接的数据流触发的。我们通过配置这些IPSec保护的数据流,可以明确哪些数据流会触发IPSec建立连接2、建立管理连接:IPSec使用ISAKMP/IKE阶段1来建立管理连接。管理连接不进行数据传输,只是数据传输前的准备工作。管理连接阶段需要明确对等体之间的哪种设备验证方式、加密算法、认证算法以及D...
一端是固定ip,另一端ADSL的环境下如何建立IPSEC×××
weixin_33895016的博客
04-15 1256
项目需求:1、上海总部192.168.2.0段需要与武汉分公司192.168.3.0之间可以互访2、开发运维人员在家可以通过***连接到上海总部处理问题当前环境:需求分析:1、两个不同地点办公室互通,可以采用IKE协商方式的IPsec×××来实施2、在家办公可以使用ipsec也可以使用L2TP的方式,本次是为了进一步了解×××,所有搭建了L2TP具体配置:(首先保证每个路由器...
思科IPSec协议解析
DREW德鲁
07-30 3379
IPSec是IETF定义的一个协议组。通信双方在IP层通过加密、完整性校验、数据源认证等方式,保证了IP数据报文在网络上传输的机密性、完整性和防重放。 机密性(Confidentiality)指对用户数据进行加密保护,用密文的形式传送数据。 完整性(Data integrity)指对接收的数据进行认证,以判定报文是否被篡改。 防重放(Anti-replay)指防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包。 其他安全要求:源认证(确认信息真实的发送者和接收者)、不可否
利用思科模拟器完成GRE VPN配置
06-11
好的,我可以为您提供一些基本的GRE VPN配置步骤。在思科模拟器中进行GRE VPN配置需要完成以下步骤: 1. 配置路由器的接口地址,例如:设置Tunnel接口和物理接口的IP地址,使其能够相互通信。 2. 配置GRE隧道,例如:创建一个GRE隧道,将物理接口和Tunnel接口绑定在一起,使其能够传输数据。 3. 配置IP路由,例如:在隧道接口上配置适当的路由,以确保数据可以正确地传输。 4. 配置VPN隧道加密,例如:设置IPsec加密,保护数据传输的安全。 以下是一个简单的GRE VPN配置示例,您可以根据自己的需要进行修改: ``` Router(config)# interface Tunnel0 Router(config-if)# ip address 192.168.10.1 255.255.255.0 Router(config-if)# tunnel source 192.168.1.1 Router(config-if)# tunnel destination 192.168.2.2 Router(config-if)# tunnel mode gre ip Router(config)# interface GigabitEthernet0/0 Router(config-if)# ip address 192.168.1.1 255.255.255.0 Router(config)# interface GigabitEthernet0/1 Router(config-if)# ip address 192.168.2.2 255.255.255.0 Router(config)# ip route 192.168.20.0 255.255.255.0 192.168.10.2 Router(config)# crypto isakmp policy 10 Router(config-isakmp)# authentication pre-share Router(config-isakmp)# encryption aes Router(config-isakmp)# hash sha Router(config-isakmp)# group 2 Router(config)# crypto isakmp key 12345678 address 192.168.2.2 Router(config)# crypto ipsec transform-set myset esp-aes esp-sha-hmac Router(config)# crypto map mymap 10 ipsec-isakmp Router(config-crypto-map)# set peer 192.168.2.2 Router(config-crypto-map)# set transform-set myset Router(config-crypto-map)# match address 101 Router(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.20.0 0.0.0.255 ``` 在这个配置示例中,我们创建了一个Tunnel0接口,并将其绑定到GigabitEthernet0/0和GigabitEthernet0/1接口上。我们还配置了一个IP路由,并设置了隧道加密。 请注意,这只是一个基本的GRE VPN配置示例。您需要根据自己的网络需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

张白夕

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值