【案例分享】企业常用IPSec VPN实现

已于 2023-10-08 15:01:11 修改
阅读量358 收藏 1
点赞数
文章标签: 网络工程师 华为网络工程师 HCIA HCIP HCIE CCNA CCNP
于 2023-10-08 14:53:32 首次发布
微思网络
本文链接:https://blog.csdn.net/XMWS_IT/article/details/133681939
版权

【微|信|公|众|号:厦门微思网络】

【微思网络www.xmws.cn,成立于2002年,专业培训21年,思科、华为、红帽ORACLE、VMware等厂商认证及考试,以及其他认证PMP、CISP、ITIL等】 

组网需求

如图1所示,RouterA为企业分支网关,RouterB为企业总部网关,分支与总部通过公网建立通信。分支子网为10.1.1.0/24,总部子网为10.1.2.0/24。

企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。由于维护网关较少,可以考虑采用手工方式建立IPSec隧道。

图片

图1 配置采用手工方式建立IPSec隧道组网图

操作步骤

1、RouterA的配置

 sysname RouterA  
#
acl number 3101  //配置ACL 3101,匹配从分支子网到总部子网的流量
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
#
ipsec proposal tran1  //配置IPSec安全提议
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-128 
#
ipsec policy map1 10 manual  //配置手动方式安全策略
 security acl 3101
 proposal tran1
 tunnel local 1.1.1.1
 tunnel remote 2.1.1.1
 sa spi inbound esp 54321
 sa string-key inbound esp cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%#  //配置入方向SA的认证密钥为YsHsjx_202206
 sa spi outbound esp 12345
 sa string-key outbound esp cipher %^%#K{JG:rWVHPMnf;5\|,GW(Luq'qi8BT4nOj%5W5=)%^%#  //配置出方向SA的认证密钥为YsHsjx_202206
#
interface GigabitEthernet1/0/0
 ip address 1.1.1.1 255.255.255.0
 ipsec policy map1
#
interface GigabitEthernet2/0/0
 ip address 10.1.1.1 255.255.255.0
#
ip route-static 2.1.1.0 255.255.255.0 1.1.1.2  //配置一条目的地址是总部外网出口的静态路由
ip route-static 10.1.2.0 255.255.255.0 1.1.1.2  //配置一条目的地址是总部内网的静态路由

2、RouterB的配置

sysname RouterB 
#
acl number 3101  //配置ACL 3101,匹配从总部子网到分支子网的流量
 rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
ipsec proposal tran1  //配置IPSec安全提议
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-128 
#
ipsec policy use1 10 manual  //配置手动方式安全策略
 security acl 3101
 proposal tran1
 tunnel local 2.1.1.1
 tunnel remote 1.1.1.1
 sa spi inbound esp 12345
 sa string-key inbound esp cipher %^%#IRFGEiFPJ1$&a'Qy,L*XQL_+*Grq-=yMb}ULZdS6%^%#  //配置入方向SA的认证密钥为YsHsjx_202206
 sa spi outbound esp 54321
 sa string-key outbound esp cipher %^%#(3fr1!&6O=)!GN#~{)n,2fq>4#4+%;lMTs5(]:c)%^%#  //配置出方向SA的认证密钥为YsHsjx_202206
#
interface GigabitEthernet1/0/0
 ip address 2.1.1.1 255.255.255.0
 ipsec policy use1
#
interface GigabitEthernet2/0/0
 ip address 10.1.2.1 255.255.255.0
#
ip route-static 1.1.1.0 255.255.255.0 2.1.1.2  //配置一条目的地址是分支外网出口的静态路由
ip route-static 10.1.1.0 255.255.255.0 2.1.1.2  //配置一条目的地址是分支内网的静态路由

3、验证配置结果

在RouterA上执行display ipsec sa命令,可以查看IPSec隧道上配置的信息。

配置注意事项

  • 分支的ACL需要与总部ACL互为镜像。

  • 总部和分支之间的外网地址路由可达。

  • 所有的IPSec策略都绑定在对应的外网出接口上。

  • 总部和各个分支之间都采用相同的pre-shared-key。

企业网络安全架构设计之IPSec VPN应用配置举例
while_if的博客
06-16 6174
现网场景中分支机构需要访问总部内网资源进行办公与协作,如果将内网资源映射至公网上存在安全风险,增加网络受威胁面。 为解决如上场景问题,需要在公网采用VPN技术,构建隧道对数据进行加密从而保证数据访问的安全性。 本文章主要侧重于架构设计与实现,具体技术原理可参考理论部分。
H3C与VPN高级应用(六)IPSec VPN 的原理与配置实现
洛秋的博客
07-23 1263
VPN,全称Virtual Private Network,即虚拟专用网络。它是一种通过公共网络(如互联网)建立私有网络连接的技术。VPN可以确保远程用户或分支机构通过互联网安全地访问企业内部网络。IPSec VPN 作为一种重要的网络安全技术,在企业网络中发挥着关键作用。通过本文的讲解,我们详细介绍了IPSec VPN 的工作原理、配置步骤、故障排查方法以及应用案例。掌握这些知识,有助于网络管理员更好地配置和维护企业VPN,确保数据传输的安全性和稳定性。
华为ipsec双冗余配置案例
IT技术
12-29 2260
华为ipsec双冗余配置案例
防火墙:配置IPSec VPN
weixin_42494218的博客
11-15 865
在思科 FPR1120-ASA-K9 上设置 IPSec VPN.
华为ipsec vpn 的介绍配置实例故障案例分析-(值得收藏)
满地找牙的博客
07-01 1841
华为IPsec (Internet Protocol Security) VPN是一种基于IP层的安全协议,用于在公共网络(如互联网)上创建安全、加密的通信隧道,确保数据在传输过程中的保密性、完整性、真实性和抗重放能力。IPsec企业网络中最常用的远程访问和站点间连接的加密技术之一。
华为防火墙综合案例IPSec、SSL、NAT、ACL、安全防护)
zz12345600354的博客
05-21 1300
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。[Y/N]: y #同意修改密码。Please enter new password:p-0p-0p-0 #新密码。Please enter new password:p-0p-0p-0 #新密码。Please enter new password:p-0p-0p-0 #新密码。
CIsco路由器实现IPSec 虚拟专用网原理及配置详解
小健健的博客
11-02 5601
博文大纲: 一、虚拟专用网概述; 1.虚拟专用网的定义; 2.虚拟专用网的模型与类型; (1)虚拟专用网的连接模式; (2)虚拟专用网的类型; 二、虚拟专用网技术; 1.加密技术; (1)对称加密算法; (2)非对称加密算法; (3)密钥交换; 2.数据报文验证; (1)HMAC功能实现验证功能; (2)MD5和SHA; 三、IPSec 虚拟专用网; 1.IPsec连接; 2.ISAKMP/IK...
【笔记】openwrt - IPSec
LawssssCat的博客
11-30 8416
文章目录基础 + jvm- String- 1:分析: 基础 + jvm - String - 1: 分析: Part 0 : 完成测试代码 用 工具 javap -c StringEqualTest.class 反编译下面代码,分析 Part1 : String常量对比 /* * 1. 常量对比 */ String a = "cc" ; String b = "c...
思科ipsec配置及trouble shooting详解
Grimm的博客
01-25 6704
拓扑: R2模拟总部出口,R3模拟分支出口,R4,R5分别模拟对于内网设备 目的: 使用ipsec vpn打通两端内网 整体配置思路: 1.建立vpn的前提是隧道两端的公网ip网络可达 2.需要配置第一阶段(DH协商,预共享密钥),第二阶段(感兴趣流,转换集(封装协议,封装模式)触发MAP匹配感兴趣流) 3.调用MAP到出口端口 具体配置: 第一阶段 配置DH协商(第一二个报文交互) crypto isakmp policy 10 encryption aes 256 //加密算法 authenticat
IPSec VPN配置与管理:详细教程帮助您搭建安全的IPSec VPN
## 1.1 什么是IPSec VPN IPSec全称为Internet Protocol Security,是一种网络安全协议,用于在互联网上建立加密的虚拟私人网络(VPN)。IPSec VPN通过对数据进行加密和认证,确保数据在传输过程中的安全性和完整性,...
H3C-H3CNE 华三设备上IPSec VPN的配置和管理
# 第一章:H3C-H3CNE IPSec VPN的概述 ...IPSec(Internet Protocol Security)是一种常用VPN技术,能够为网络数据包提供加密、认证和完整性保护,H3C-H3CNE设备支持IPSec VPN的配置,通过以下基本配置步骤
【多智能体控制】基于matlab事件触发多智能体编队控制(含间歇控制)【含Matlab源码 13223期】.zip
04-24
Matlab领域上传的视频是由对应的完整代码运行得来的,完整代码皆可运行,亲测可用,适合小白; 1、从视频里可见完整代码的内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
《网页制作基础教程(Dreamweaver-CS3)》第11章-嵌入表单元素.ppt
04-24
《网页制作基础教程(Dreamweaver-CS3)》第11章-嵌入表单元素.ppt
V1_3_example.ipynb
04-24
V1_3_example.ipynb
《计算机应用基础项目教程》项目四-电子表格软件Excel2010的使用.pptx
04-24
《计算机应用基础项目教程》项目四-电子表格软件Excel2010的使用.pptx
《计算机系统结构》第4章-指令级并行.ppt
04-24
《计算机系统结构》第4章-指令级并行.ppt
西门子1200博途三部十层电梯控制系统及WinCC RT Pro界面设计详解
04-24
内容概要:本文详细介绍了基于西门子S7-1200 PLC和WinCC RT Pro的三部十层电梯联控系统的设计与实现。主要内容涵盖硬件配置、核心算法如电梯间协同算法、方向判断函数、状态机设计、呼叫调度算法以及WinCC画面设计中的动画效果和平滑移动实现方法。文中还讨论了常见的调试问题及其解决方案,如方向锁死、编码器干扰等。此外,强调了状态机在电梯控制中的重要性,并提供了具体的代码示例来解释各个功能模块的工作原理。 适合人群:自动化工程师、PLC程序员、HMI开发者、工业控制系统设计师。 使用场景及目标:适用于希望深入了解电梯控制系统设计原理和技术实现的专业人士。目标是帮助读者掌握电梯联控系统的编程技巧,提高对工业控制项目的理解和应用能力。 其他说明:文章不仅提供详细的代码片段,还分享了许多实践经验,有助于读者更好地理解和应对实际工程项目中的挑战。
飞猫智联u20一键打开adb并安装
最新发布
04-24
飞猫智联u20一键打开adb并安装
DeepSeek:智能时代的全面到来和人机协作的新常态.pdf
04-24
DeepSeek:智能时代的全面到来和人机协作的新常态.pdf
gre over ipsec vpn实验
04-24
您想了解有关 GRE over IPSec VPN 实验的信息吗?我可以为您提供一些基本的解释。GRE(Generic Routing Encapsulation)是一种隧道协议,可将不同类型的协议数据单元进行归档和封装,以方便通过网络传输。IPSec...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

厦门微思网络

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值