Ensp实验随心记——IPSec基础

理论才是实验的关键,学好理论再看实验,才知所以然。实验有步骤顺序性,愿意学能看懂的。有错误请批评指正。

在这里插入图片描述

静态IPSec配置

配置思路:①网络可达;②配置ACL识别兴趣流;③创建安全提议;④创建安全策略;⑤应用安全策略。

安全提议:执行ipsec proposal命令,可以创建IPSec提议并进入IPSec提议视图。配置IPSec策略时,必须引用IPSec提议来指定IPSec隧道两端使用的安全协议、加密算法、认证算法和封装模式。缺省情况下,使用ipsec proposal命令创建的IPSec提议采用ESP协议、MD5认证算法和隧道封装模式。在IPSec提议视图下执行下列命令可以修改这些参数。 缺省情况下,ESP协议使用的加密算法AES-256。

 执行 **transform [ah | ah-esp | esp]** 命令,可以重新配置隧道采用的安全协议。 
 执行 **encapsulation-mode {transport | tunnel }** 命令,可以配置报文的封装模式。 
 执行 **esp authentication-algorithm [md5 | sha1 | sha2-256 | sha2-384 | sha2-512 ]** 命令,可以配置ESP协议使用的认证算法。 
 执行 **esp encryption-algorithm [des | 3des | aes-128 | aes-192 | aes-256 ]** 命令,可以配置ESP加密算法。 
 执行 **ah authentication-algorithm [md5 | sha1 | sha2-256 | sha2-384 | sha2-512 ]** 命令,可以配置AH协议使用的认证算法。

安全策略:ipsec policy policy-name seq-number命令用来创建一条IPSec策略,并进入IPSec策略视图。安全策略是由policy-name和seq-number共同来确定的,多个具有相同policy-name的安全策略组成一个安全策略组。在一个安全策略组中最多可以设置16条安全策略,而seq-number越小的安全策略,优先级越高。

 security acl acl-number 命令用来指定IPSec策略所引用的访问控制列表。 
 proposal proposal-name 命令用来指定IPSec策略所引用的提议。 
 tunnel local { ip-address | binding-interface } 命令用来配置安全隧道的本端地址。 
 tunnel remote ip-address 命令用来设置安全隧道的对端地址。 
 sa spi { inbound | outbound } { ah | esp } spi-number 命令用来设置安全联盟的安全参数索引SPI。在配置安全联盟时,入方向和出方向安全联盟的安全参数索引都必须设置,并且本端的入方向安全联盟的SPI值必须和对端的出方向安全联盟的SPI值相同,而本端的出方向安全联盟的SPI值必须和对端的入方向安全联盟的SPI值相同。 
 sa string-key { inbound | outbound } { ah | esp } { simple | cipher } string-key命令用来设置安全联盟的认证密钥。入方向和出方向安全联盟的认证密钥都必须设置,并且本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥相同;同时,本端的出方向安全联盟密钥必须和对端的入方向安全联盟的密钥相同。

配置好所有的接口地址。
在这里插入图片描述
在IPS上配置一个环回口:
在这里插入图片描述
使得路由之间可以互通:(确保隧道的源目的地址可以通)
在这里插入图片描述
在这里插入图片描述
在R1上定义经过IPSec VPN保护/匹配的数据流:
在这里插入图片描述
配置安全提议pro1;配置传输协议AH;
在这里插入图片描述
配置策略(其实就是定义安全联盟里面的参数):指定acl控制列表;指定提议;配置安全隧道的本端地址(将来发送私网数据的时候要封装的新的源地址公网地址);配置安全隧道的对端地址;配置安全索引(本端出入要不一样);配置安全联盟的认证秘钥(本端出入可以一样);
在这里插入图片描述
在接口上应用策略组:
在这里插入图片描述
查看:
在这里插入图片描述
可以改封装模式的,默认是tunnel;
在这里插入图片描述
现在配置对端:
在这里插入图片描述
在R1的G0/0/1口抓包:可以看到AH是明文发送的。
在这里插入图片描述
在这里插入图片描述
ping ISP的环回口:发现ping不通。因为没有做NAT
在这里插入图片描述
假设我们这里做一个Easy IP
在这里插入图片描述
发现可以ping了,但是在pingPC2的时候并没有用到IPSec,所以不通,数据被做了NAT转换。
在这里插入图片描述
在这里插入图片描述
所以应该删掉2000,然后做一个ACL控制列表,要先禁止PC1到PC2网段的数据流做NAT转换:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
现在来配置esp安全协议:比AH多了加密算法
在这里插入图片描述
在这里插入图片描述
修改esp的认证模式,加密算法
在这里插入图片描述
R2也要对应修改:
在这里插入图片描述
R1安全索引和认证密钥也要修改:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
R3安全索引和认证密钥也要修改:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

PC1 ping PC2在这里插入图片描述
在这里插入图片描述

动态IKE

在这里插入图片描述
在这里插入图片描述定义一个IKE:包括加密算法,认证算法(与上面的提议里面的加密和认证是两码事)都有缺省的,不配也行,认证模式(预共享密钥,不是用来做数据认证的,而是身份认证,默认是pre-share),
在这里插入图片描述
在这里插入图片描述
创建IKE对等体:命名,交换模式(野蛮模式和主模式是V1的,在这里V2不配),设置预共享密钥(做身份认证),调用IKE,定义远端地址
在这里插入图片描述
创建IPSec策略:引用访问控制列表,指定IPSec策略所引用的提议,调用IKE对等体。 isakmp说明使用IKE协商建立安全联盟。 manual 说明不使用IKE协商建立安全联盟。
在这里插入图片描述
在这里插入图片描述
R2做同样操作:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
协商
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

  • 4
    点赞
  • 41
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Uniqueness信

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值