学不会IPsec -我把女朋友送给你!

最新推荐文章于 2022-11-19 21:29:31 发布
最新推荐文章于 2022-11-19 21:29:31 发布
阅读量144 收藏
点赞数
分类专栏: 网络设备 文章标签: 网络 安全 ipsec 云计算 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Friendsofthewind/article/details/118767662
版权

在这里插入图片描述

什么是VPN?

虚拟专用网:virtual private network,可简单理解为在网络上虚拟出来的一条链路,传输的数据更加安全。
在这里插入图片描述

案例

在这里插入图片描述

实验要求:

  1. 总公司客户端pc1可以通过vpn访问分公司的服务器pc3
  2. 总公司的客户端pc1可以访问internet上的pc2

推荐步骤

温馨提示:这里用路由器模拟三台PC

一、基本配置

1、BEIJING路由器的配置

BEIJING(config)# int f0/0
BEIJING(config-if)# ip add 192.168.1.1 255.255.255.0
BEIJING(config-if)# no sh

BEIJING(config-if)# int f1/0
BEIJING(config-if)# ip add 100.1.1.1 255.255.255.252
BEIJING(config-if)# no sh
BEIJING(config)#ip route 0.0.0.0 0.0.0.0 100.1.1.2

nat配置

配置ACL
BEIJING(config)#access-list 110 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
BEIJING(config)#access-list 110 permit ip any any
BEIJING(config)#ip nat inside source list 110 int f1/0 overload
BEIJING(config)#int f0/0
BEIJING(config-if)#ip nat inside
BEIJING(config-if)# int f1/0
BEIJING(config-if)#ip nat outside

2.ISP路由器的配置

ISP(config)#int f1/0
ISP(config-if)#ip add 100.1.1.2 255.255.255.252
ISP(config-if)#no sh

ISP(config-if)#int f0/0
ISP(config-if)# ip add 11.1.1.1 255.255.255.0
ISP(config-if)#no sh

ISP(config-if)#int f2/0
ISP(config-if)#ip add 200.1.1.1 255.255.255.252
ISP(config-if)#no sh

3.SHANGHAI路由器配置

SHANGHAI(config)#int f1/0
SHANGHAI(config-if)#ip add 200.1.1.2 255.255.255.252
SHANGHAI(config-if)#no sh

SHANGHAI(config-if)#int f0/0
SHANGHAI(config-if)#ip add 192.168.2.1 255.255.255.0
SHANGHAI(config-if)#no sh

SHANGHAI(config-if)#ip route 0.0.0.0 0.0.0.0 200.1.1.1

4.pc1的配置

PC1(config)#int f0/0
PC1(config-if)#ip add 192.168.1.2 255.255.255.0
PC1(config-if)#no sh

PC1(config-if)#ip route 0.0.0.0 0.0.0.0 192.168.1.1

5.pc2的配置

PC2(config)#int f0/0
PC2(config-if)#ip add 11.1.1.2 255.255.255.0
PC2(config-if)#no sh

PC2(config-if)#ip route 0.0.0.0 0.0.0.0 11.1.1.1

启用telnet服务,用于测试

PC2(config)#line vty 0 4
PC2(config-line)#pass cisco
PC2(config-line)#login

6.pc3的配置

PC3(config)#int f0/0
PC3(config-if)#ip add 192.168.2.2 255.255.255.0
PC3(config-if)#no sh

PC3(config-if)#ip route 0.0.0.0 0.0.0.0 192.168.2.1

二、vpn的配置

1.路由器(BEIJING)的配置

1)阶段一:配置ISAKMP策略

BEIJING(config)#crypto isakmp policy 1
BEIJING(config-isakmp)#encryption aes
BEIJING(config-isakmp)#hash sha
BEIJING(config-isakmp)#authentication pre-share
BEIJING(config-isakmp)#group 1
BEIJING(config-isakmp)#lifetime 10000
beijing(config-isakmp)#exit
BEIJING(config)#crypto isakmp key 123456 address 200.1.1.2

2)阶段二的配置

配置感兴趣的数据流(需要通过vpn传输的流量)

BEIJING(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

定义传输集,用以定义保护数据的安全协议

BEIJING(config)#crypto ipsec transform-set BEIJING esp-aes esp-sha-hmac
mode tunnel //可选

3)创建map,将第一阶段和第二阶段的配置结合起来。并将其应用在接口上

BEIJING(config)#crypto map BEIJING 1 ipsec-isakmp

会出现提示信息
在这里插入图片描述
BEIJING(config-crypto-map)#set peer 200.1.1.2
BEIJING(config-crypto-map)#set transform-set BEIJING
BEIJING(config-crypto-map)#match address 100

BEIJING(config-crypto-map)#exit
BEIJING(config)#int f1/0
BEIJING(config-if)#crypto map BEIJING

提示:ISAKMP策略开关,打开
在这里插入图片描述

2.SHANGHAI端的配置

1)阶段一的配置

SHANGHAI(config)#crypto isakmp policy 1
SHANGHAI(config-isakmp)#encryption aes
SHANGHAI(config-isakmp)#hash sha
SHANGHAI(config-isakmp)#authentication pre-share
SHANGHAI(config-isakmp)#group 1
SHANGHAI(config-isakmp)#exit

SHANGHAI(config)#crypto isakmp key 123456 address 100.1.1.1

2)阶段二的配置

配置感兴趣的数据流(需要通过vpn传输的流量)

SHANGHAI(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

定义传输集,用以定义保护数据的安全协议

SHANGHAI(config)#crypto ipsec transform-set shanghai esp-aes esp-sha-hmac

3)创建map,将第一阶段和第二阶段的配置结合起来。并将其应用在接口上

SHANGHAI(config)#crypto map shanghai 1 ipsec-isakmp
SHANGHAI(config-crypto-map)#match address 100
SHANGHAI(config-crypto-map)#set peer 100.1.1.1
SHANGHAI(config-crypto-map)#set transform-set shanghai
SHANGHAI(config-crypto-map)#exit
SHANGHAI(config)#int f1/0
SHANGHAI(config-if)#crypto map shanghai
SHANGHAI(config-if)#

测试:
1.在pc1上ping pc3 注意:实验环境,需要多等一会,配置才能生效,否则,配置无误但验证不成功
在这里插入图片描述
2.在pc1 上telnet pc2

Telnet则不用等,直接会成功。
在这里插入图片描述

Friends of the wind
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
嵌入式操作系统风云录:历史演进与物联网未来.
weixin_33943347的博客
05-02 2988
嵌入式操作系统风云录: 历史演进与物联网未来 何小庆 著 图书在版编目(CIP)数据 嵌入式操作系统风云录:历史演进与物联网未来 / 何小庆著. —北京:机械工业出版社,2016.10 ISBN 978-7-111-55085-3 Ⅰ. 嵌… Ⅱ. 何… Ⅲ. 实时操作系统 Ⅳ. TP316.2 中国版本图书馆CIP数据核字(20...
计算机网络
chenwen521的博客
10-12 4592
考点1—网络概念和功能 计算机网络概念 多台在不同地理位置上的计算机,连接—通信线路(WIFI、红外线、电磁波等,同轴线缆、双绞线)&通信设备[上网](网关、中继器、交换机、路由器),管理—操作系统(OS)&协议(TCP、IP)。实现资源共享和数据传输/通信(微信、浏览网页)。 计算机网络功能 数据通信、资源共享(硬件、软件、数据)、并行和分布式处理(数据处理,把大的任务进行分解...
IPsec习笔记
hao_wujing的专栏
11-19 556
IPsec习笔记 目录 IPsec习笔记 虚拟专用网络简介 IPSec概述 通信安全要求 SA SA的建立方式 安全协议 AH协议 ESP协议 IPSec数据传输模式 传输模式 隧道模式 IPSec通信过程 虚拟专用网络简介 IPSec概述 IPSec 可以理解成一个框架,通过这个框架来实现建立虚拟专用网 通信安全要求 SA SA的建立方式 安全协议 AH协议 ESP协议 IPSe...
eNSP配置Telnet三种远程登录方式
热门推荐
ccnuacmhdu的博客
07-05 5万+
拓扑结构 配置好两个路由器的IP地址 三种远程登录方式 方式一:无需验证,直接可以登录 此种方式,亲测不能实现,没有这种方式,只有两种模式,分别是password、aaa 方式二:password方式,需要提供密码 方式三:aaa方式,需要提供账号和密码 ...
挨踢人生路--记我的10年18家工作经历 续 .转
dongfang9140的博客
09-26 1938
from http://mvlung.blog.163.com/blog/static/30961748200971745935542/ 第13家公司,IBM――意外进入的公司幸运之神,今夜降临 找工作从华为人开的公司辞职后,感觉太累了,我就在家大概休息了三、四个月。我每天睡觉都是睡到自然醒,只是我没有钱能让我数钱数到手抽筋了。接下来,自然是继续找工作。从上一家公司离职后...
挨踢人生路 记我的10年18家工作经历
weimou66
01-22 708
挨踢人生路 记我的10年18家工作经历 作者:无青 QQ:10138355 人生自古谁死,留取丹心照汉 谨以此文献给即将进入IT或者已经在IT工作的人们感谢感谢我的父母,是你们养育了我,才会有今天的我。 感谢我的家人,是你们一直在默默地支持着我。 感谢所有帮助过我的老乡,同,朋友和同事。 感谢所有爱我的人和恨我的人。前言IT生活,真的就是“挨踢”生活,我们在工作中常常会...
《计算机网络:自顶向下(第7版)》【成电860考研】anki卡片知识合集-1287张卡片-6万字-上岸资料整理
JimDu_dwj的博客
11-19 2037
主机的特征 主机的特征: 有操作系统 在操作系统中运行应用程序 端系统有哪些 端系统有哪些: 传统的:PC、服务器、工作站 非传统的:智能电话、家用电器 主机系统 同义词 端系统 同义词 分组 同义词 数据包 同义词 数据报:应用层的数据包 不然常说的“丢包,丢包”,丢的当然是各个层次的包。 举例一些分组交换机 分组交换机 路由器 链路层交换机 Intranet是什么,有什么特点 内联网Intranet 是一种专用网络 与Internet使用相同的主机、路由器、链路和
软件设计师复习资料
zy139的博客
01-27 1万+
从大禹治水看构件与集成 大禹治水   在远古的尧、舜时代,黄河流域经常发生了大水灾,洪水横流,五谷不收,家破人亡。所以尧派鲧去治水,鲧沿用了过去的传统法子,水来土挡,用土筑堤,堵塞漏洞。但由于洪水凶猛,不断冲击土墙,结果弄得堤毁墙塌,洪水反而闹得更凶了。鲧治水九年,劳民伤财,并没有把洪水制服,是一事无成。 舜接替尧后,就把鲧办罪处死,随后命鲧的儿子禹继续治水。大禹领命之后,寻找到了以前治水失败的教...
​​​​​​​NISP一级考试题库
g5703129的博客
09-02 2万+
NISP一级考试题库,本人以过考试,因为资料是图片转过来得,所有有得地方有乱码,不喜勿喷,仅送给有需要得人。 与计算机硬件关系最密切的软件是()。 A、编译程序 B、数据库管理程序 C、游戏程序 D、OS 答案:D 系统的主要功能有()。 A、进程管理、存储器管理、设备管理、处理机管理 B、虚拟存储管理、处理机管理、进程调度、文件系统 C、处理机管理、...
IPSEC-TOOLS使用说明
05-10
IPSEC-TOOLS是一个用于Linux系统的工具包,它包含了实现IPsec功能所需的组件,特别是对于内核版本2.6及更高版本的系统。IPsec是一种网络安全协议,用于在Internet Protocol (IP)通信中提供保密性、数据源验证和...
openwrt-luci-ipsec:openwrt-luci-vpnd
07-11
openwrt-luci-vpnd openwrt-luci-vpnd
英特尔的ipsec-mb库,用于VPP依赖编译
最新发布
06-07
英特尔ipsec-mb库,全称为“Intel IPsec Multi-Buff”,是一个专门设计用于加速IPSec(Internet Protocol Security)协议处理的开源软件库。该库充分利用了现代多核处理器的向量指令集,如Intel Advanced Vector ...
深信服IPSEC-WOC考试初级B-80分
12-10
深信服IPSEC-WOC考试初级B-80分
RFC之IPSec-SSL
10-14
标题中的“RFC之IPSec-SSL”指的是互联网工程任务组(IETF)的请求评论(RFC)文档,其中涉及了Internet协议安全IPSec)与安全套接层(SSL)和传输层安全(TLS)之间的关系和应用。这些标准定义了网络通信中的安全...
饿了吗!来点营养的-华为USG6000V防火墙超详细配置
Friendsofthewind的博客
07-03 7120
华为防火墙设备管理方式 温馨提示:本章介绍最常用的两种Telnet、SSH方式管理 华为防火墙是AAA(Authentication Authorization Accounting)服务器,它是一种机制,能够处理用户访问请求的服务程序,为具有访问权限的用户提供服务。 验证:Authentication哪些用户可以访问 授权:具有访问权限的用户可以得到哪些服务,有什么权限 记账:对使用网络资源的用户审计 带外管理:Console方式管理,适用于刚买的新设备或者网络故障无法使用其他方式管理,此方式不需要IP
师傅!华为eNSP报错啦!别担心,一篇文章教会你
Friendsofthewind的博客
06-27 5284
step 1 温馨提示:掌握相关知识,避免大多数错误,而如何记得容易又不会忘?一步步教您。 常用知识:记关键字,缩减再缩减!!! 链路聚合Link aggregation 是将多个物理接口作为一个逻辑接口,以增加带宽和提供线路冗余。通俗理解,天津到北京可坐高铁或绿皮车,而绿皮车由于时间太长就不作为优先考虑的方式,但是当高铁票买不到,就选择绿皮车。 活动接口与非活动接口:去往同一目的网络有优先级或开销值不同的路由,某些路由会被优选,而其他路由就作为备份存在,备份的是非活动接口。 Link Aggregat
轻松网络设备之思科交换机搭建虚拟局域网
Friendsofthewind的博客
03-09 3072
为什么 提示:VLAN有三大优点 1.控制广播,防止网络通信量过大而瘫痪 2.增强网络安全性 3.简化网络管理 VLAN分类 提示:根据使用和管理方式的不同划分 1、 静态VLAN 基于端口的,需要网络管理员手工配置,一个交换机端口对应一个VLAN,只在本地有效,交换机之间不能共享这一信息。 2、 动态VLAN 基于MAC地址的动态VLAN,根据主机的MAC地址自动指派VLAN,当用户从一个交换机换到另一个,不用重新配置。初始化时,所有用户都必须进行配置,不适用大型局域网。 VLAN Trunk 提
ansible实现快速部署负载均衡与keepalived高可用
Friendsofthewind的博客
12-19 2383
理论: 首先,区分负载均衡与代理的不同,因为,高可用是在负载均衡的基础上实现的。 代理:把连接请求直接转发到后台某个固定web节点;代理一对一 负载均衡:把请求使用某种调度算法分散发布给后台所有web节点(不固定);负载均衡一对多 负载均衡的软件主要有三种:本节只讲Nginx,它的调度算法主要有: 1)轮询(默认) 每个请求按时间顺序逐一分配到不同的后端服务,如果后端某台服务器死机,自动剔除故障系统,使用户访问不受影响。 2)weight(轮询权值) weight的值越大分配到的访问概率越高,主要用于后端每
ipsec实验-kerberos认证
04-05
IPsec(Internet Protocol Security)是一种网络安全协议,用于在IP网络上提供数据的机密性、完整性和身份验证。而Kerberos是一种网络认证协议,用于验证用户和服务器之间的身份。 在进行IPsec实验时,可以结合...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Friends of the wind

您的是我坚持原创免费作品的不懈

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值