ipsec各种场景配置方法

最新推荐文章于 2024-08-24 10:00:00 发布
最新推荐文章于 2024-08-24 10:00:00 发布
阅读量5.9k 收藏 4
点赞数
分类专栏: Ipsec 文章标签: ipsec

场景1

192.168.28.213<192.168.28.213>[+S=C]...192.168.28.214[+S=C]===162.168.1.0/24

[plain]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. #test BEGIN  
  2. conn test  
  3.     left=192.168.28.213  
  4.     right=%any            
  5.     rightsubnet=vhost:%no,%priv  
  6.     auto=add                    
  7.     authby=secret  
  8.     ike=3des-md5!  
  9.     ikelifetime=3600s  
  10.     type=transport  
  11.     esp=3des-md5!  
  12.     keylife=28800s      
  13.     pfs=no     
  14. #test END  
[cpp]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. #ipsec_1 BEGIN  
  2. conn ipsec_1  
  3.     left=192.168.28.214  
  4.     leftsubnet=162.168.1.0/24  
  5.     right=192.168.28.213  
  6.     auto=add  
  7.     authby=secret  
  8.     leftid=192.168.28.214  
  9.     rightid=192.168.28.213  
  10.     ike=3des-md5  
  11.     ikelifetime=3600s  
  12.     type=transport  
  13.     esp=3des-md5  
  14.     keylife=28800s  
  15.     pfs=no  
  16. #ipsec_1 END  

场景2

192.168.28.213<192.168.28.213>[+S=C]...192.168.28.214[+S=C]

[cpp]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. #test BEGIN  
  2. conn test  
  3.     left=192.168.28.213  
  4.     right=%any            
  5.     rightsubnet=vhost:%no,%priv  
  6.     auto=add                    
  7.     authby=secret  
  8.     ike=3des-md5!  
  9.     ikelifetime=3600s  
  10.     type=transport  
  11.     esp=3des-md5!  
  12.     keylife=28800s      
  13.     pfs=no     
  14. #test END  
[cpp]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. #ipsec_1 BEGIN  
  2. conn ipsec_1  
  3.     left=192.168.28.214  
  4.     right=192.168.28.213  
  5.     auto=add  
  6.     authby=secret  
  7.     leftid=192.168.28.214  
  8.     rightid=192.168.28.213  
  9.     ike=3des-md5  
  10.     ikelifetime=3600s  
  11.     type=transport  
  12.     esp=3des-md5  
  13.     keylife=28800s  
  14.     pfs=no  
  15. #ipsec_1 END  

场景3

网络拓扑
   192.165.1.1/24   192.168.252.8              192.168.252.5    / vlan1 192.166.1.1/24                                                                   
                  +------+                                          +------+  /
                  |  S    +===================|  C   +-X
                  +------+                                          +------+  \
                                                                                      \ vlan2 192.167.1.0/24


S端配置
[cpp]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. #lantolan2 BEGIN  
  2. conn lantolan2  
  3.     left=192.168.252.8  
  4.     leftsubnet=192.165.1.0/24  
  5.     right=%any  
  6.     rightsubnet=vhost:%no,%priv  
  7.     auto=add  
  8.     authby=secret  
  9.     leftid=192.168.252.8  
  10.     rightid=192.168.252.5  
  11.     ike=des-md5-modp1024!  
  12.     ikelifetime=3600s  
  13.     type=tunnel  
  14.     esp=des-md5!  
  15.     keylife=28800s  
  16.     pfs=no  
  17. #lantolan2 END  
C端配置
[cpp]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. #lantolan1 BEGIN  
  2. conn lantolan1  
  3.     left=192.168.252.5  
  4.     leftsubnet=192.166.1.0/24  
  5.     right=192.168.252.8  
  6.     rightsubnet=192.165.1.0/24  
  7.     auto=add  
  8.     authby=secret  
  9.     leftid=192.168.252.5  
  10.     rightid=192.168.252.8  
  11.     ike=des-md5-modp1024!  
  12.     ikelifetime=3600s  
  13.     type=tunnel  
  14.     esp=des-md5!  
  15.     keylife=28800s  
  16.     pfs=no  
  17. #lantolan1 END  
  18.   
  19. #test BEGIN  
  20. conn test  
  21.     left=192.168.252.5  
  22.     leftsubnet=192.167.1.0/24  
  23.     right=192.168.252.8  
  24.     rightsubnet=192.165.1.0/24  
  25.     auto=add  
  26.     authby=secret  
  27.     leftid=192.168.252.5  
  28.     rightid=192.168.252.8  
  29.     ike=des-md5-modp1024!  
  30.     ikelifetime=3600s  
  31.     type=tunnel  
  32.     esp=des-md5!  
  33.     keylife=28800s  
  34. pfs=no  
  35. #test END  

场景4

网络拓扑 (注意网络拓扑)

    10.61.2.1/24
        PC1
           \          10.61.2.254/8                                                                10.61.48.254/24
            \_________________                         
                                           \ +--------+                                            +--------+        10.61.48.1/24
                                              |   S     |====================|   C     |---------PC3
             _________________/ +--------+                                            +--------+
            /       
           /          10.61.1.254/8
         PC2
    10.61.1.1/24

注意
PC1和PC2的IP地址,如果PC1和PC2的IP地址为10.61.0.0/8这个网段就不能互通了,因为PC会建立一条这个网段到本地的一条路由

S端配置
[cpp]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. conn ss  
  2.     left=192.168.28.213  
  3.     leftsubnet=10.61.0.0/16  
  4.     right=192.168.28.214  
  5.     rightsubnet=10.61.48.0/24  
  6.     auto=add  
  7.     authby=secret  
  8.     leftid=192.168.28.213  
  9.     rightid=192.168.28.214  
  10.     ike=3des-md5!  
  11.     ikelifetime=3600s  
  12.     type=tunnel  
  13.     esp=3des-md5!  
  14.     keylife=28800s  
  15. pfs=no  
C端配置
[cpp]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. conn s1200  
  2.     left=192.168.28.214  
  3.     leftsubnet=10.61.48.0/24  
  4.     right=192.168.28.213  
  5.     rightsubnet=10.61.0.0/16  
  6.     auto=add  
  7.     authby=secret  
  8.     leftid=192.168.28.214  
  9.     rightid=192.168.28.213  
  10.     ike=3des-md5  
  11.     ikelifetime=3600s  
  12.     type=tunnel  
  13.     esp=3des-md5  
  14.     keylife=28800s  
lanmolei814
关注
专栏目录
IPSec不同分支使用不同密钥实验配置
m0_49864110的博客
05-22 336
目录 基础配置-配置接口IP地址、安全区域、路由 FW1配置固定IP地址,FW2和FW4动态获取IP地址 将接口加入相应的安全区域 配置去公网的路由 配置安全策略 向服务组添加IKE、IPSec协商使用的ISAKMP报文 配置IKE与IPSec协商安全策略 配置安全协议(封装数据报文)的安全策略 配置PC去外网的安全策略 配置PC互访的安全策略 配置IPSec(采用IKEv1主模式建立SA) 配置IPSec感兴趣流(ACL方式) 配置IKE安全提议(加密、验证、密钥生成算法....
VPN部署场景——IPSec VPN—点到点VPN(3)
君逍遥o
09-21 1139
如图所示,某公司总部内部有一台OA服务器,其余分3个支机构都需要通过vpn拨入总部内网对OA服务器进行访问,为了方便配置,总部不想有太多的配置,总部只建立一条vpn隧道,实现所有分支机构和总部的通讯。但各个分支与总部的私网地址重叠,需要使用VIP和NAT将两段的网段硬设备不同的IP地址。
IPsec、安全关联、网络层安全协议
最新发布
m0_61869253的博客
08-24 1018
IPsec:IP security,IP 安全。·IPsec 不是一个单一协议,而是能够在 IP 层提供互联网通信安全的协议族。·IPsec 是个框架:允许通信双方选择合适的算法和参数(例如,密钥长度)。·为保证互操作性,IPsec 还包含了所有 IPsec 都必须实现的一套加密算法。IPsec 由三部分组成IP 安全数据报格式:两个协议-鉴别首部 AH (Authentication Header) 协议·AH 协议提供源点鉴别和数据完整性,但不能保密。
使用libreswan搭建ipsec点对点隧道 实现两idc内网网段互通
weixin_43423965的博客
03-25 1万+
使用libreswan搭建ipsec点对点隧道 实现两idc内网网段互通 LibreSwan是IPsec协议的开源实现,它基于FreeSwan项目,可以在RedHat的Linux发行版上使用该软件包。本文我们将使用两台 libreswan 搭建 点对点的ipsec隧道,实现两idc内网互通
ipsec.conf 各配置含义
Yttsam的博客
04-20 1195
esp:ESP (Encapsulating Security Payload)的配置参数,例如加密算法、认证算法等。需要注意的是,ipsec.conf 文件的内容和格式可能会因操作系统、版本以及实际应用场景而有所不同。type:连接类型,例如 tunnel、transport、roadwarrior 等。ike:IKE 阶段 1 的配置参数,例如加密算法、认证算法等。left/rightid:身份标识符,例如主机名、IP 地址等。conn:连接名,表示需要建立的安全连接的名称。
ipsec配置一台中心和多台分支的时候,中心端rightid的配置
happiness100808的专栏
01-07 985
最近在新产品发布前期,遇到一新的问题,在一个中心(一对多的配置方法)和多个分支建立连接的时候只能连接上一台分支,而另外一台分支连接上会踢掉,原以为是因为strongswan支持移动终端接入影响的,经过好几个小时的分析也没查到什么原因,第二天一进公司的门同事就给我说是配置的事,我一下懵了,说中心端的rightid应该写成任意也就是*而不应该写成一个固定的,当时就傻了,明明记得以前有成功的案例,为什么
华为设备IPsec简单配置
热门推荐
qq_43432623的博客
12-16 1万+
IPsec VPN是指采用IPsec实现远程接入的一种VPN技术,通过在公网上为两个或多个私有网络之间建立IPsec通道,并通过加密和认证保证通道的安全性。IPsec保护的是点对点之间的通信,通过IPsec VPN可以实现主机和主机之间、主机和网关之间、网关和网关之间建立安全的隧道连接。工作在网络层,主要对网络层的报文进行加密和验证。
企业网络安全架构设计之IPSec VPN应用配置举例
while_if的博客
06-16 5593
现网场景中分支机构需要访问总部内网资源进行办公与协作,如果将内网资源映射至公网上存在安全风险,增加网络受威胁面。 为解决如上场景问题,需要在公网采用VPN技术,构建隧道对数据进行加密从而保证数据访问的安全性。 本文章主要侧重于架构设计与实现,具体技术原理可参考理论部分。
SANGFOR_IPSEC_DHCP配置指导书.pdf
09-25
IPSec DHCP配置主要应用于以下场景: 1. 分支办公室与总部之间的安全连接。 2. 移动设备或远程工作人员接入公司网络。 3. 在多变的网络环境中,如云计算、虚拟化等,动态分配IP地址。 ### 4. 配置思路 配置IPSec ...
TP- LINK企业级vp-n路由器ipsec场景与实施(野蛮模式)
zelf的专栏
03-03 7051
上个文章介绍的主模式,实际应用中最多的还是野蛮模式,因为公网IP太贵啊,不是每个公司都有专线可以用。 实际应用中普通家用宽带也可以通过DDNS来实现ipsec,这里需要设置光猫为桥接模式,用路由器拨号。 电信和联网好多还可以获取到公网IP,移动全是内网IP搞不了 。 桥接的方法好找,网上一大堆,但光猫的超级密码现在都是动态了,这个不好搞,有关系或者大客户一般都会给,我做的几个项目都是问联通和电信的安装人员要的超级密码,他们从后台查的。 这是官网的资料:其中一端在NAT网关下,实际上就是家用宽带或者有
TP- LINK企业级vp路由器ipsec场景与实施(主模式)
zelf的专栏
03-03 2491
工作中最近用了很多TP的企业级vpn路由器,正好几个项目需要组网,用了几种方法,查了一些官方资料,加上自己总结的一些注意事项及实施方法。 应用场景分类: 一、企业和多个分支之间建立。双方均有固定公网IP,这个最简单,主模式和野蛮模式均支持。 某公司总公司位于深圳,在北京、上海两地有分公司,现需要组建一个网络,达到三个机构能资源共享的目的,本文将通过一个实例来展示TL-ER3220G(总部)与TL-R479GPE-AC VPN(分公司)的解决方案和配置过程。 深圳总公司局域网网段为“192.16.
IPsec 点到点场景配置搭建
m0_57218686的博客
05-15 1122
搭建IPsec站点到站点,认证方式为PSK,密钥交换协议为IKEv1
锐捷网络—VPN功能—IPSec VPN 常见问题和故障
君逍遥o
09-13 3730
IPSec (IP Security )是一种由IETF设计的端到端的确保IP层通信安全的机制。 IPSec协议可以为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击。 IPSec不是一个单独的协议,而是一组协议,IPSec协议的定义文件包括了12个RFC文件和几十个Internet草案,已经成为工业标准的网络安全协议。
ipsec.conf(5) - Linux man pag 中文翻译
bbjj的博客
05-09 1976
ipsec.conf(5) - Linux man page ****英文网址:https://linux.die.net/man/5/ipsec.conf Name (名称) ipsec.conf - IPsec配置和连接 Description (描述) 可自行配置ipsec.conf文件为Openswan IPsec子系统指定了大多数配置和控制信息。(重大的例外是有关身份验证...
strongswan之ipsec.conf配置手册
衡水铁头哥的博客
07-09 6813
ipsec.conf是strongSwan的关键配置,文件指定了strongSwan IPsec子系统的大部分配置和控制信息。主要的例外是身份验证的密钥,配置保存在ipsec.secrets文件中。
IPSec配置
weixin_74777052的博客
06-02 1531
IPSec配置教程
网络安全之IPSEC路由基本配置
qq_57289939的博客
05-06 3782
R1]display ipsec proposal --- 查询配置IPSEC
IPsec原理+实现 一文全介绍
qingwangheni的博客
01-28 2412
一组基于网络层,密码学的安全通信协议族。不具体指哪个协议,而是一个协议族。可用于VPN或单纯加密数据。在IP头中协议号为51。特点:只能校验数据,不能加密数据。哈希校验算法:SHA1或MD5AH在传输模式下封装:原始IP头+AH认证头+传输层+应用层AH在隧道模式下封装:新IP头+AH认证头+原始IP头++传输层+应用层。
路由器基础(十二):IPSEC VPN配置
limengshi138392的博客
11-04 1万+
路由器基础(十二):IPSEC VPN配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值