思科ipsec配置及trouble shooting详解

最新推荐文章于 2024-05-03 14:15:39 发布
最新推荐文章于 2024-05-03 14:15:39 发布
阅读量6.3k 收藏 36
点赞数 5
分类专栏: 网络安全 网络协议 文章标签: 网络 ipsec 隧道
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/grimmp/article/details/122681590
版权

拓扑:

R2模拟总部出口,R3模拟分支出口,R4,R5分别模拟对于内网设备
在这里插入图片描述

目的:

使用ipsec vpn打通两端内网

整体配置思路:

1.建立vpn的前提是隧道两端的公网ip网络可达
2.需要配置第一阶段(DH协商,预共享密钥),第二阶段(感兴趣流,转换集(封装协议,封装模式)触发MAP匹配感兴趣流)
3.调用MAP到出口端口

具体配置:

第一阶段
配置DH协商(第一二个报文交互)
crypto isakmp policy 10
encryption aes 256 //加密算法
authentication pre-share //只能选择预共享密钥认证
group 2
lifetime 3600//密钥生存时间
Ex
配置域共享密钥
crypto isakmp key 6 luodp address 13.1.1.3(对端隧道地址)
crypto ipsec transform-set test esp-aes 256 esp-sha-hmac
mode tunnel
Ex
配置感兴趣流
Access-list 102 permit ip aaaa 0.0.0.255 bbbb 0.0.0.255
第二阶段,SA协商,配置MAP(触发隧道的条件)
crypto map text 10 ipsec-isakmp
set peer 13.1.1.3(对端隧道地址)
set transform-set test //调用test
match address 102

Trouble shooting:

常用的show命令:
1.查看第一阶段建立情况
在这里插入图片描述

第一阶段建立不成功的情况可能是网络不可达,参数配置不匹配
2.查看第二阶段建立情况
在这里插入图片描述

第二阶段建立不成功的因素可能是感兴趣流或者参数配置不匹配
3.如果网络还是不可达,可能是接口没有调用map

Grimm·
关注
  • 5
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
Cisco路由器之IPSec 虚拟专用网(包括相关知识点以及配置实例
cheng198956的专栏
08-15 1242
博文大纲: 一、虚拟专用网相关概念 二、IPSec 虚拟专用网的基本概念 三、ISAKMP/IKE阶段1及阶段2的建立过程 四、IPSec 虚拟专用网的配置实现 五、总结 前言:由于“Virtual Private Network”(请看首字母,就知道是什么咯)是敏\感词汇,所以在博文中使用它的中文名字“虚拟专用网”来代替。 一、虚拟专用网相关概念。 1、虚拟专用网的定义 虚拟专用...
7702-010 trouble shooting guide
06-22
"7702-010 trouble shooting guide" 指南旨在为技术人员提供一个详尽的框架,帮助他们有效地识别和解决与7702-010相关的各种问题。这个指南可能是针对某个特定的硬件组件、软件系统、网络设备或者是一个特定的技术...
CISCO故障处理手册
09-14
CISCO故障处理手册 cisco trouble_shooting 排错
Cisco思科路由器配置IPsec,建立Site to Site项目实例
qq_20388417的博客
03-07 7207
项目背景: 最近做的一个项目中需要总公司和分公司之间内网互通; 总公司内网段:192.168.0.0/16 分公司内网段:172.16.0.0/16 考虑到专线的成本问题,最后公司决定使用IPsec VPN。 简化网络拓扑: 配置: 1. 配置各路由器端口IP地址,使相邻路由器相互ping通 R1: R1(config)#int e0/0 R1(config-if)#ip...
思科防火墙查如何查看现有ipsec隧道信息
最新发布
玩人工智能的辣条哥的博客
05-03 494
思科ASA5555。
Cisco路由器IPsec配置.doc
07-12
以下为路由器A的配置,路由器B只需对相应配置作更改即可 1:配置IKE router(config)# crypto isakmp enable #启用IKE(默认是启动的) router(config)# crypto isakmp policy 100 #建立IKE策略,优先级为100 router(config-isakmp)# authentication pre-share #使用预共享的密码进行身份验证 router(config-isakmp)# encryption des #使用des加密方式 router(config-isakmp)# group 1 #指定密钥位数,group 2安全性更高,但更耗cpu router(config-isakmp)# hash md5 #指定hash算法为MD5(其他方式:sha,rsa) router(config-isakmp)# lifetime 86400 #指定SA有效期时间。默认86400秒,两端要一致 以上配置可通过show crypto isakmp policy显示。VPN两端路由器的上述配置要完全一样。 2:配
思科IPSEC配置实验
川的博客
11-05 1174
使用思科路由器配置IPSec隧道实验,有完整的数据包发送过程解析,配置过程命令解析。
防火墙:配置IPSec VPN
weixin_42494218的博客
11-15 580
思科 FPR1120-ASA-K9 上设置 IPSec VPN.
思科IPsec VPN基本配置
weixin_68021856的博客
07-22 3274
R1(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac //配置转换集名字myset, IPSec的封装协议esp-3des esp-md5-hmac(默认隧道模式tuunel)R1(config-crypto-map)#set transform-set myset //关联转换集myset。在配置IPSec前首先要保证公网可达:在R1和R3上写一条默认路由。
tas58x5 trouble shooting
05-27
TAS5805M故障排查 TAS5805M是一款音频Codec芯片,由德州仪器(TI)公司生产。该芯片广泛应用于音频设备中,例如音箱、耳机、音频处理器等。然而,在实际应用中,TAS5805M芯片可能会出现一些故障,影响音频设备的...
西门子双源CT维修手册Gantry Trouble Shooting Guide.pdf
06-16
西门子双源CT维修手册
HANA trouble shooting guide
01-12
HANA 2.0 trouble shooting guide. HANA调优可以参考此文档。
思科IPsec VPN 实验配置(动态地址接入)
2301_77161465的博客
01-17 3081
本篇文章是关于思科IPsec VPN里面的,但它的情况是有一端是动态地址接入,也就是PPPoE或者PPP接入,里面的配置的话,每行都会有注释,会更详细些,有问题可以评论区见啦
思科防火墙IPsec配置-主模式方式(基于9.9版本)
xiayu0912的专栏
02-06 1980
思科防火墙9.9版本,配置Ipsec主模式
IPSec配置实现实验报告
weixin_42418315的博客
07-14 2751
1、实验过程中遇到的问题及解决办法;(1)在cisco中配置网络拓扑时,不显示label,需进行设置,才显示端口。(2)虚拟机中下载wireshark时打不开网页,安装虚拟机工具包,在主机上下载后复制到虚拟机上,需要注意的是要下载适合windows3的win32版本。(3)在配置好PC1和PC2的安全策略后,无论是使用PC1去ping PC2,还是使用PC2去ping PC1,都ping不通。因为设置的PC1和PC2的共享密钥不同,前者是20020707,后者是buptlqx。
思科防火墙IPsec配置-主模式方式(基于8.0版本)
xiayu0912的专栏
01-18 1768
cryto map是一个列表,该列表记录那些数据包需要建立IPsec, 将前面配置的一些分散的信息绑定到一起形成一个ipsec连接的完整信息,这个列表有序号,序号可以随意填,匹配IPSEC参数的时候按照序号从低到高的顺序进行匹配。配置从192.168.1.0到192.168.3.0的数据包不做地址转换,该网络拓扑比较简单,可以不配置,但是真实环境比较复杂,一般都需要配置,故这里也配置上。网络拓扑如上图所示,为方便记忆从左到右顺时针方向的网段的分别为192.168.1.0, 2.0, 3.0。
Cisco路由器上配置L2L IPSec ***实例
weixin_34293059的博客
06-19 515
实例一 Cisco路由器实现L2L IPSec×××(——自明教教主)拓扑图:描述: 通讯点:PC1的1.1.1.1和Site2的2.2.2.2 加密点:Site1的202.100.1.1和Site2的61.128.1.1 要求:通信点间通过IPSEC ×××实现安全通信PC1:基础配置:enconfig tno ip domain-lookupline vty 0 15lo...
【防火墙 IPSec-隧道之站点对站点】
yuxue_cn的博客
05-23 489
防火墙 IPSec-隧道之站点对站点 一、网络拓扑图 二、需求描述 PC 192.168.1.10能够通过USG-A与USG-B之间的IPSEC隧道进行互相访问。 三、实验步骤: 在交换机上配置两个三层接口,启用三层交换功能,模拟拓扑中互联网云 在USG-A上配置接口eth1、eth2为路由模式,并设置所需的IP地址 新建一条静态路由,下一跳指向200.1.1.254 新建一条全通的安全策略 启用IPSecVPN,配置预共享密钥为321 新建一条VPN规则song,设置好本端保护网络与对端保护
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Grimm·

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值