ikev2 配置

最新推荐文章于 2023-12-27 21:46:27 发布
最新推荐文章于 2023-12-27 21:46:27 发布
阅读量5.8k 收藏
点赞数 2
文章标签: IKEv2 cisco config
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LinuxKernelCiscoIOS/article/details/51283666
版权




LAN----------site1  ---------------------INTERNET -------------------site2------------LAN
 172.16.1.1     .1  202.100.1.0/24  .10          .10  61.128.1.0/24  .1      10.1.1.1


---------------------------------------------------------------------------------------------------------
SITE1


stie1#show ru

stie1#show run
stie1#show running-config  
Building configuration...


!
hostname stie1
!
crypto ikev2 keyring Keyring
 peer Site2
  address 61.128.1.1
  pre-shared-key Pre-Key 
 !
!
!
crypto ikev2 profile IKEv2-Profile
 match identity remote address 61.128.1.1 255.255.255.255 
 identity local address 202.100.1.1
 authentication local pre-share
 authentication remote pre-share
 keyring Keyring
!
!
!
crypto ipsec profile IPSec-Profile
 set ikev2-profile IKEv2-Profile
!
!
!
interface Loopback0
 ip address 172.16.1.1 255.255.255.0
!
interface Tunnel0
 ip address 192.168.1.1 255.255.255.0
 tunnel source 202.100.1.1
 tunnel mode ipsec ipv4
 tunnel destination 61.128.1.1
 tunnel protection ipsec profile IPSec-Profile
!
interface GigabitEthernet0/0
 ip address 202.100.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
!
ip route 0.0.0.0 0.0.0.0 202.100.1.10
ip route 10.1.1.0 255.255.255.0 192.168.1.2
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
 login    
 transport input all
!
scheduler allocate 20000 1000
end


stie1#         






site2#show runn
site2#show running-config 
Building configuration...


Current configuration : 1892 bytes


!
!
crypto ikev2 keyring Keyring
 peer Site1
  address 202.100.1.1
  pre-shared-key Pre-Key 
 !
!
!
crypto ikev2 profile IKEv2-Profile
 match identity remote address 202.100.1.1 255.255.255.255 
 identity local address 61.128.1.1
 authentication local pre-share
 authentication remote pre-share
 keyring Keyring
!
!
!
!
crypto ipsec profile IPSec-Profile
 set ikev2-profile IKEv2-Profile
!
!
!
interface Loopback0
 ip address 10.1.1.1 255.255.255.0
!
interface Tunnel0
 ip address 192.168.1.2 255.255.255.0
 tunnel source 61.128.1.1
 tunnel mode ipsec ipv4
 tunnel destination 202.100.1.1
 tunnel protection ipsec profile IPSec-Profile
!
!
interface GigabitEthernet0/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 ip address 61.128.1.1 255.255.255.0
 duplex auto
 speed auto
!
!
ip route 0.0.0.0 0.0.0.0 61.128.1.10
ip route 172.16.1.0 255.255.255.0 192.168.1.1
!
!
site2#     




---------------------------------------------


site2#show crypto engine connections active 
Crypto Engine Connections


   ID  Type    Algorithm           Encrypt  Decrypt LastSeqN IP-Address
 1001  IKEv2   SHA+AES                   0        0        0 61.128.1.1
 2001  IPsec   AES+SHA                   0      215      215 61.128.1.1
 2002  IPsec   AES+SHA                 215        0        0 61.128.1.1


site2#


site2#show crypto ikev2 session 
 IPv4 Crypto IKEv2 Session 


Session-id:1, Status:UP-ACTIVE, IKE count:1, CHILD count:1


Tunnel-id Local                 Remote                fvrf/ivrf            Status 
1         61.128.1.1/500        202.100.1.1/500       none/none            READY  
      Encr: AES-CBC, keysize: 128, Hash: SHA96, DH Grp:5, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 86400/611 sec
Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535
          remote selector 0.0.0.0/0 - 255.255.255.255/65535
          ESP spi in/out: 0xBFB3BDB0/0x669A576C  


 IPv6 Crypto IKEv2 Session 


site2#




site2#show crypto ikev2 stats 
--------------------------------------------------------------------------------
                          Crypto IKEv2 SA Statistics
--------------------------------------------------------------------------------
System Resource Limit:   0        Max IKEv2 SAs: 0        Max in nego: 1000    
Total IKEv2 SA Count:    1        active:        1        negotiating: 0     
Incoming IKEv2 Requests: 1        accepted:      1        rejected:    0       
Outgoing IKEv2 Requests: 0        accepted:      0        rejected:    0       
Rejected IKEv2 Requests: 0        rsrc low:      0        SA limit:    0       
IKEv2 packets dropped at dispatch: 0       
Incoming IKEV2 Cookie Challenged Requests: 0       
    accepted: 0        rejected: 0        rejected no cookie: 0       


site2#


site2#show crypto ikev2 proposal 
 IKEv2 proposal: default 
     Encryption : AES-CBC-128 3DES
     Integrity  : SHA96 MD596
     PRF        : SHA1 MD5
     DH Group   : DH_GROUP_1536_MODP/Group 5 DH_GROUP_1024_MODP/Group 2
site2#


site2#show crypto ikev2 policy 
 IKEv2 policy : default
      Match fvrf  : global
      Match address local : any 
      Proposal    : default 
site2#


site2#show crypto ikev2 profile 


IKEv2 profile: IKEv2-Profile
 Ref Count: 4
 Match criteria: 
  Fvrf: global
  Local address/interface: none
  Identities: 
   address 202.100.1.1 255.255.255.255
  Certificate maps: none
 Local identity: address 61.128.1.1
 Remote identity: none
 Local authentication method: pre-share
 Remote authentication method(s): pre-share
 EAP options: none
 Keyring: Keyring
 Trustpoint(s): none
 Lifetime: 86400 seconds
 DPD: disabled
 NAT-keepalive: disabled
 Ivrf: none
 Virtual-template: none
 AAA EAP authentication mlist: none
 AAA Accounting: none
 AAA group authorization: none
 AAA user authorization: none
site2#


site2#show crypto ipsec profile 
IPSEC profile IPSec-Profile
        Security association lifetime: 4608000 kilobytes/3600 seconds
        Responder-Only (Y/N): N
        PFS (Y/N): N
        Transform sets={ 
                #$!default_transform_set_1:  { esp-aes esp-sha-hmac  } , 
                #$!default_transform_set_0:  { esp-3des esp-sha-hmac  } , 
        }


site2#




site2#show crypto ipsec sa 


interface: Tunnel0
    Crypto map tag: Tunnel0-head-0, local addr 61.128.1.1


   protected vrf: (none)
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   current_peer 202.100.1.1 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 115, #pkts encrypt: 115, #pkts digest: 115
    #pkts decaps: 115, #pkts decrypt: 115, #pkts verify: 115
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0


     local crypto endpt.: 61.128.1.1, remote crypto endpt.: 202.100.1.1
     path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/1
     current outbound spi: 0x669A576C(1721390956)
     PFS (Y/N): N, DH group: none


     inbound esp sas:
      spi: 0xBFB3BDB0(3216227760)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2001, flow_id: Onboard VPN:1, sibling_flags 80000046, crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime (k/sec): (4547204/2543)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE


     inbound ah sas:


     inbound pcp sas:


     outbound esp sas:
      spi: 0x669A576C(1721390956)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2002, flow_id: Onboard VPN:2, sibling_flags 80000046, crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime (k/sec): (4547204/2543)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE


     outbound ah sas:
          
     outbound pcp sas:
site2# 


site2#
site2#ping 172.16.1.1 source 10.1.1.1  repeat 100
Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.1 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (100/100), round-trip min/avg/max = 1/1/4 ms
site2#show crypto ipsec sa                       


interface: Tunnel0
    Crypto map tag: Tunnel0-head-0, local addr 61.128.1.1


   protected vrf: (none)
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   current_peer 202.100.1.1 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 215, #pkts encrypt: 215, #pkts digest: 215
    #pkts decaps: 215, #pkts decrypt: 215, #pkts verify: 215
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0


     local crypto endpt.: 61.128.1.1, remote crypto endpt.: 202.100.1.1
     path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/1
     current outbound spi: 0x669A576C(1721390956)
     PFS (Y/N): N, DH group: none


     inbound esp sas:
      spi: 0xBFB3BDB0(3216227760)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2001, flow_id: Onboard VPN:1, sibling_flags 80000046, crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime (k/sec): (4547187/2486)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE


     inbound ah sas:


     inbound pcp sas:


     outbound esp sas:
      spi: 0x669A576C(1721390956)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2002, flow_id: Onboard VPN:2, sibling_flags 80000046, crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime (k/sec): (4547187/2486)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE


     outbound ah sas:


     outbound pcp sas:
site2# 




site2#show crypto ipsec transform-set  
Transform set #$!default_transform_set_1: { esp-aes esp-sha-hmac  } 
   will negotiate = { Transport,  }, 
   
Transform set #$!default_transform_set_0: { esp-3des esp-sha-hmac  } 
   will negotiate = { Transport,  }, 
   


site2#show crypto engine brief 
        crypto engine name:  Virtual Private Network (VPN) Module
        crypto engine type:  hardware
                     State:  Enabled
                  Location:  onboard 0
              Product Name:  Onboard-VPN
                HW Version:  1.0
               Compression:  Yes
                       DES:  Yes
                     3 DES:  Yes
                   AES CBC:  Yes (128,192,256)
                  AES CNTR:  No
     Maximum buffer length:  0000
          Maximum DH index:  0000
          Maximum SA index:  0000
        Maximum Flow index:  2000
      Maximum RSA key size:  0000




        crypto engine name:  Cisco VPN Software Implementation
        crypto engine type:  software
             serial number:  56C903C5
       crypto engine state:  installed
     crypto engine in slot:  N/A


site2#



LinuxKernelCiscoIOS
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
VPP IKEv2隧道示例
redwingz的博客
04-20 753
在安装Ubuntu 22.04.04系统的虚拟机上实现。依据fd.io官网的IKEv2文档:https://s3-docs.fd.io/vpp/22.10/usecases/ikev2/2_vpp.html。将两个VPP实例通过IPSec隧道连接。安装VPP版本23.10。
IKEv2-开源
05-13
使用Diffie-Hellman密钥交换算法和高级加密标准(AES)加密算法以及密码块链接(CBC)模式和用户数据报协议(UDP)端口服务器-客户端应用程序以C,Ansi样式进行加密的消息交换
Cisco VPP IKEV2 配置说明
迷失的专栏
02-27 4931
1、 配置网络接口地址: cli: set int state GigabitEthernet2/6/0 up set int ip address GigabitEthernet2/6/0 192.168.10.10/24 2、 创建IKEV2配置 cli: ikev2 profile add pr1 //创建名为pr1的IKEV2配置 ikev2 profil...
SWAN之ikev2协议farp配置测试
redwingz的博客
11-05 500
本测试主要验证远程用户carol、dave与网关moon建立连接时,并且通过在ipsec.conf文件中设置leftsourceip=%config,向moon网关请求虚拟IP地址,此虚拟地址位于10.1.0.0/16网段,得到虚拟IP地址的carol和dave主机相当位于和主机alice(10.1.0.10)相同的网段。借助于moon网关的farp代理插件,alice主机可与carol和dave...
思科cisoc 路由器IKEv2配置ipsec tunnel口隧道
沉默的鹏先生
08-03 4642
环境拓扑图 R1配置 接口配置 R1#configure terminal R1(config)#interface ethernet 1/0 R1(config-if)#no shutdown R1(config-if)#ip address 30.1.1.2 255.255.255.0 R1(config-if)#exit R1(config)#interface ethernet 1/1 R1(config-if)#no shutdown R1(config-if)#ip address
IPsec IKEv2(HCIP)
qq_45022073的博客
12-25 1046
了解IKEv1,熟悉IKEv1建立过程以及野蛮模式和主模式区别以及建立过程。 了解IKEv1的缺点,IKEv2解决了IKEv1的问题,以及IKEv2建立过程。
GNS3 ikev1配置拓扑
07-31
GNS3配置ikev1环境拓扑,该配置使用的是静态SA,使用预共享密钥认证。GNS3打开后可以直接启用路由器。 拓扑使用的环境如下: GNS3版本号:1.4.6 路由器型号:c7200
IKEv1&IKEv2; Between Cisco IOS and strongSwan
05-09
介绍如何配置Cisco的IPSec模块和StrongSwan连接。英文,但是很简单。主要是配置示例很清晰。
IKEV1协商过程及配置简介.docx
最新发布
04-27
5G通信行业、网络优化、通信工程建设资料。
ros MikroTik IPSec ike2详细教程配置好能正常使用
09-10
ros MikroTik配置 IPSec ike2配置教程
IKEv2-rw-cert2.pcap
10-28
strongswan使用linux内核的af_alg加密接口配置IKEv2协议交互报文。
ikev2 学习
lucien的博客
11-21 1819
http://pic.dhe.ibm.com/infocenter/zos/v1r12/index.jsp?topic=%2Fcom.ibm.zos.r12.hald001%2Finitex.htm
IPSec之IKEv2详解
sgslwms的博客
09-11 6312
IKEv2协商IPSecSA的过程跟IKEvI有很大差别,最少4条消息就可以创建一对IPSecSA,效率奇高!IKEv2定义了三种交换:初始交换(Initial Exchanges)、创建子SA交换(Create_Child_SA Exchange)通知交换(Informational Exchange)。
使用数字证书配置IKEv2
凯歌响起的博客
08-01 1874
数字证书配置IKEv2
IKEv2协商建立IPsec SA
weixin_56909238的博客
12-27 2120
IPsec 只对特定的数据流进行保护,至于什么样的数据是需要 IPsec 保护的,可以通过以下两种方式定义。ACL 方式只要接口发送的报文与该接口上应用的 IPsec 安全策略中的 ACL 的 permit规则匹配,就会受到出方向 IPsec SA 的保护并进行封装处理。接口接收到目的地址是本机的 IPsec 报文时,首先根据报文头里携带的 SPI 查找本地的入方向 IPsec SA,由对应的入方向 IPsec SA 进行解封装处理。缺省情况下,解封装后的 IP 报文。
密钥交换协议之IKEv2
遇见你是我最美丽的意外
06-23 1万+
1. IKEv2 1.1 IKEv2简介 IKEv2(Internet Key Exchange Version 2,互联网密钥交换协议第 2 版)是第 1 版本的 IKE 协议(本文简称 IKEv1)的增强版本。 IKEv2 与 IKEv1 相同,具有一套自保护机制,可以在不安全的网络上安全地进行身份认证、密钥分发、建立 IPsec SA。相对于 IKEv1, IKEv2 具有抗攻击能力和密钥交换能力更强以及报文交互数量较少等特点。 1.2 IKEv2的协商过程 要建立一对 IPsec SA, IKEv
IPSec之IKEv2协议详解
热门推荐
ACM
09-13 1万+
IKEv2简介 IKEv2介绍: 定义在RFC4306 ,更新与 RFC 5996. 不兼容IKEv1,IKEv1不支持认证,IKEv2支持认证,EAP。 支持NAT穿越。 IKEv2支持私密性、完整性、源认证。 工作在UDP 的 500 /4500端口。NAT-T用的是UDP4500端口。 IKE的安全机制: 身份认证 确认通信算双方的身份(对等体的IP地址或者名称),包括: 预共享密钥PSK(pre-shared key)认证。 数字签名RSA(rsa-signature)
SWAN之ikev2协议config-payload配置测试
redwingz的博客
11-03 832
本测试主要验证远程用户carol以及dave和网关moon之间的IKE配置(configuration)功能,由两个远程用户发起配置请求,moon网关回复分配的虚拟IP地址和DNS服务器地址信息。在远程用户carol和dave主机的ipsec.conf配置文件中,将leftsourceip设置为%config开启此功能。测试拓扑如下: 主机配置 carol的连接配置文件:ikev2/config...
IKEv2与IKEv1的差异
03-22 712
摘自RFC4306, 附录 A   1) To define the entire IKE protocol in a single document, replacing   RFCs 2407, 2408, and 2409 and incorporating subsequent changes to   support NAT Traversal, Extensible Authe
vpp ikev2配置
05-13
VPP(Vector Packet Processing)是一种高性能数据平面框架,支持多种协议,包括 IKEv2(Internet Key Exchange version 2)协议。在VPP中配置IKEv2,需要进行以下步骤: 1. 安装VPP 首先,需要安装VPP和相关的插件。可以从官方网站上下载最新版本的VPP,并按照官方文档进行安装。 2. 配置IKEv2插件 在VPP中,可以使用IKEv2插件来实现IKEv2协议的支持。需要启用IKEv2插件,可以使用以下命令: ``` set plugins plugin_path /usr/lib64/vpp_plugins/ set plugins plugin default-plugin-enable set plugins plugin ikev2-plugin-enable ``` 3. 配置IKEv2连接 在VPP中,可以使用IKEv2插件来创建IKEv2连接。可以使用以下命令创建IKEv2连接: ``` ikev2 profile name IKEV2-PROFILE ikev2 profile auth shared-secret KEY ikev2 profile local-auth method pre-shared-key ikev2 profile remote-auth method pre-shared-key ikev2 profile local-id name FQDN ikev2 profile remote-id name FQDN ikev2 profile tunnel-ip local IP_ADDRESS ikev2 profile tunnel-ip remote IP_ADDRESS ikev2 profile ike-crypto-profile IKE-CRYPTO-PROFILE ikev2 profile esp-crypto-profile ESP-CRYPTO-PROFILE ``` 4. 配置IKEv2策略 在VPP中,可以使用IKEv2插件来配置IKEv2策略。可以使用以下命令配置IKEv2策略: ``` ikev2 policy name IKEV2-POLICY ikev2 policy proposal 1 encryption aes-256-gcm ikev2 policy proposal 1 integrity sha-256 ikev2 policy proposal 1 dh-group 19 ikev2 policy proposal 1 lifetime seconds 3600 ``` 5. 配置IKEv2安全协议 在VPP中,可以使用IKEv2插件来配置IKEv2安全协议。可以使用以下命令配置IKEv2安全协议: ``` ikev2 crypto name IKE-CRYPTO ikev2 crypto proposal 1 encryption aes-256-gcm ikev2 crypto proposal 1 integrity sha-256 ikev2 crypto proposal 1 dh-group 19 ikev2 crypto proposal 1 lifetime seconds 3600 ``` 6. 配置ESP安全协议 在VPP中,可以使用IKEv2插件来配置ESP安全协议。可以使用以下命令配置ESP安全协议: ``` ikev2 crypto name ESP-CRYPTO ikev2 crypto proposal 1 encryption aes-256-gcm ikev2 crypto proposal 1 integrity sha-256 ikev2 crypto proposal 1 lifetime seconds 3600 ``` 7. 配置IKEv2转发 在VPP中,可以使用IKEv2插件来配置IKEv2转发。可以使用以下命令配置IKEv2转发: ``` ikev2 route name IKEV2-ROUTE ikev2 route local-networks 10.0.0.0/24 ikev2 route remote-networks 10.1.0.0/24 ikev2 route profile IKEV2-PROFILE ``` 以上就是在VPP中配置IKEv2的步骤。需要根据实际情况进行调整和修改。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值