锐捷ipsec野蛮模式(积极模式)配置实验+命令解释

已于 2023-08-06 19:50:13 修改
阅读量1.5k 收藏 3
点赞数 1
分类专栏: 锐捷 文章标签: 网络 服务器
于 2023-04-01 21:41:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62621003/article/details/129903067
版权

 功能介绍

IPSEC动态隧道一般应用于分支节点较多的总分拓扑结构,在中心点配置动态隧道接受各分支的IPSEC VPN拨入。中心点配置简单、易于维护、可扩展性强。

同时由于各分支的IP地址不固定,无法通过IP地址来指定不同的预共享密钥。所有分支使用相同的预共享密钥将极易造成密钥泄露,威胁网络安全。使用域名认证的方法很好地解决了这个问题,通过每个分支配置使用不同的域名,同时在中心点上针对不同的域名指定不同的密钥,保证了密钥安全

1.基础配置

R1
int g0/0
no swi 
ip a 12.0.0.1 24
int l 0 
ip a 192.168.1.1 24
ip route 0.0.0.0 0.0.0.0 12.0.0.2
R2
int g0/0
no swi 
ip a 12.0.0.2 24
int  g0/1 
no swi 
ip a 23.0.0.2 24
R3
int g0/0
no swi 
ip a 23.0.0.1 24
int l 0 
ip a 192.168.2.1 24
ip route 0.0.0.0 0.0.0.0 23.0.0.2

测试公网可达:

 2.ipsec配置

R1

crypto isakmp policy 1     #创建一个新的policy
 encryption 3des
 authentication pre-share
crypto isakmp mode-detect       #配置isakmp模式自动识别,这样才能够接受来自分支的IKE积极模式(野蛮模式)的协商
crypto isakmp key 0 ruijie hostname R3     #配置各个分支的预共享密钥,并通过hostname指定各分支的名称
crypto ipsec transform-set r3 esp-des esp-md5-hmac      #设置转换集
crypto dynamic-map r3 5     #创建动态加密图(策略模板)序号为5
 set transform-set r3    #调用转换集
crypto map fz 10 ipsec-isakmp dynamic r3     #将动态加密图映射到静态加密图中
int g0/0
 crypto map fz        #下发策略

R3

ip access-list extended 101        #创建感兴趣流
 10 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 
crypto isakmp policy 1     #创建一个新的policy
 encryption 3des
 authentication pre-share
crypto isakmp key 0 ruijie address 12.0.0.1     #配置总部的预共享密钥
crypto ipsec transform-set r1 esp-des esp-md5-hmac      #设置转换集
crypto map r1 5 ipsec-isakmp     #创建静态加密图
 set peer 12.0.0.1     #指定远端地址
 set transform-set r1       #指定转换集
 match address 101       #指定感兴趣流

 set exchange-mode aggressive   #采用野蛮模式发起IKE协商
self-identity fqdn R3     #设置FQDN名也就是本地身份标识
int g0/0
 crypto map r1       #下发策略


测试:

私网可达

 show crypto isakmp sa命令查看IKE SA建立情况

 show crypto isakmp sa查看IPSEC SA建立情况

成全101
关注
专栏目录
IPSEC VPN-详解原理
m0_72210904的博客
03-13 2849
野蛮模式中,可以自定义身份标识,主要是因为身份信息不需要加密,并且,前两个数据包都无法加密,所以,野蛮模式安全性较低。仅第三个数据包会进行加密。但是,
ipsec(ike野蛮模式)
weixin_34297300的博客
03-29 1968
IPSEC野蛮模式 简介: IKE 的协商模式 在RFC2409(The Internet Key Exchange )中规定,IKE 第一阶段的协商可以采用两种模式:主模式(Main Mode )和野蛮模式(Aggressive Mode )。 主模式被设计成将密钥交换信息与身份、认证信息相分离。这种分离保护了身份信息;交换的身份信息受已生成的 Diffie-Hell...
IPSec VPN (二)野蛮模式
最新发布
weixin_39555693的博客
08-13 864
分部没有固定ip地址,ike 采用野蛮模式,总部采用安全策略模板。
锐捷 睿易路由器 IPSEC 配置
weixin_61960865的博客
06-20 1398
子公司锐捷睿易设备基础配置
锐捷EG系列路由器WEB界面ipsec设置说明
zelf的专栏
03-17 7643
锐捷IPSEC分为服务端和客户端,可以支持两端都有公网IP,或其中只有一端有公网的IP的场景。 且不论是主模式还是野蛮模式都有服务端和客户端。 设置实例: 1,先设置服务端。 需要注意: 1,服务端为有公网IP的一端,一般为总部或中心节心。 2策略名称,无要求。 3,绑定接口,即互联网出口,选择WAN口。 4,本地子网范围,与对端建立通讯的子网,当有多个子网时,一次只能建立一个,需要建立多条IPSEC。 5,预共享密钥,两端都填一样。 IKE策略:根据需要选择,需要至少有一条和
IPsec野蛮模式
weixin_33969116的博客
04-01 828
野蛮模式的特别之处: 1. 野蛮模式支持NAT转化,主动模式不支持; 2. 野蛮模式支持以Name方式标识对等体,主动模式只支持ip地址方式标识。 当部署***两端是动态ip地址的时候,例如通过ADSL方式上网,主动模式就束手无策了,因为它只支持ip地址方式标识,当ip地址不是固定的。而野蛮模式可以通过Name标识,没有经...
锐捷路由器配置命令.doc
07-13
以下是一些关键的锐捷路由器配置命令的详细解释: 1. **Exit**:退出当前配置或操作模式,返回上一级菜单。 2. **#del flash:config.text**:在交换机和1700系列路由器上删除配置文件。 3. **#erase startup-...
锐捷网络入门相关基本命令配置
08-11
1、用户模式 【Switch>】 //打开交换机便进入用户模式 2、特权模式 【Switch>】enable //由用户模式进入特权模式 ...【Switch(config-vlan)#】exit //该命令可以返回上一模式 【Switch(config)#】
锐捷路由器配置命令完美宝典
10-01
了解并掌握锐捷路由器的配置命令对于网络管理员来说至关重要。以下是对锐捷路由器配置命令的详细解析: 1. **基本配置命令**: - `#Exit`:退出当前配置模式,返回上一级。 - `#del flash:config.text`:在交换机...
锐捷MPLS隧道单域实验配置命令.zip
11-23
PE与CE之间4种路由协议(ISIS、BGP、OSPF、静态) 实现站点之间的互访
锐捷路由器配置命令大全.txt
07-13
>Enable 进入特权模式 #Exit 返回上一级操作模式 #del flash:config.text 删除配置文件(交换机及1700系列路由器) #erase startup-config 删除配置文件(2500系列路由器) #write memory 或copy running-config startup...
思科防火墙IPsec配置--野蛮模式(基于8.0版本)
xiayu0912的专栏
01-25 1747
动态crypto maps只设置在野蛮模式的接收端,和静态crypto maps一样,也是把一些分散的信息集中起来形成一个完整的ipsec连接信息,里面的匹配规则也和静态crypto maps一样从低到高匹配,配置方式也和静态crypto maps一样。配置cryto map。cryto map是一个列表,该列表记录那些数据包需要建立IPsec, 将前面配置的一些分散的信息绑定到一起形成一个ipsec连接的完整信息,这个列表有序号,序号可以随意填,匹配IPSEC参数的时候按照序号从低到高的顺序进行匹配。
锐捷配置IPSEC VPN静态隧道
m0_74862906的博客
12-10 2057
使用IPSEC VPN静态隧道,掌握IPSEC VPN静态隧道配置
ipsec ***野蛮模式应用
weixin_34049032的博客
03-26 275
IPSEC野蛮模式: 简介: IKE 的协商模式 在RFC2409(The Internet Key Exchange )中规定,IKE 第一阶段的协商可以采用 两种模式:主模式(Main Mode )和野蛮模式(Aggressive Mode )。 主模式被设计成将密钥交换信息与身份、认证信息相分离。这种分离保护了身 份信息;交换的身份信息受已生成的 ...
锐捷网络—VPN功能—IPSEC 扩展配置IPSec NAT穿越配置
君逍遥o
09-08 1055
R1为在内网中的一台路由器,通过出口NAT路由器进行地址转换后访问外网,且需要和外网的R3建立IPSEC隧道,对感兴趣流进行加密。
H3C IPsec VPN 野蛮模式配置
bfq05234214的博客
03-10 2094
野蛮模式配置公网地址固定的一端: 1.配置IKE fqdn2.创建IKE Proposal(提议),配置IKE的加密和验证算法,验证方法3.创建和配置预共享密钥,使用主机名标识对方身份4.创建IKE Profile(档案),配置野蛮模式,调用前面创建的Proposal和Keychain,指定对端的FQDN5.创建IPsec转换集,配置IPsec的工作模式,封装协议,验证和加密算法6.创建IPsec策略模板,调用前面创建的IKE Profile,IPsec转换集 7.创建IPsec策略,绑定前面创建的模板
ipsec 野蛮模式
weixin_33894992的博客
04-01 253
1 beijing 配置 f1 ike local-name f1 firewall packet-filter enable 开启包过滤的功能 firewall packet-filter default permit 默认的为允许 ike peer peer1 指定peer的 对等体 exchange-mode aggressiv...
基于ipsec的***在企业网中的经典应用之案例二---野蛮模式
weixin_33810302的博客
03-28 233
拓扑图: 说明:图中的路由器均由防火墙代替。 需求分析: 通过建立ipsec的隧道,实现北京总部和上海分公司以及郑州分公司的内网的互相访问,并对传输的数据进行加密,保证通信的安全性。 实验步骤 一:北京总部的配置 F1 [F1]dis cu ike local-name f1 # firewall packet-filter enable 开启包过滤的...
锐捷IPsec配置步骤加详细的命令
05-16
以下是锐捷IPsec配置步骤及命令详解: 1. 配置本地设备 首先需要在本地设备上配置IPsec参数,包括预共享密钥、加密算法、认证算法等。具体命令如下: ``` ipsec policy-template policy_name pre-shared-key key proposal proposal_name exit ``` 其中,policy_name是IPsec策略名称,可以自定义;key是预共享密钥,需要与远程设备保持一致;proposal_name是加密认证算法名称,也可以自定义,比如: ``` ipsec proposal proposal_name encryption-algorithm [aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | 3des-cbc | des-cbc] authentication-algorithm [md5 | sha1] lifetime seconds exit ``` 2. 配置远程设备 接下来需要配置远程设备,同样需要配置IPsec参数,包括预共享密钥、加密算法、认证算法等。具体命令如下: ``` ipsec peer peer_name ike-group ike_group_name pre-shared-key key proposal proposal_name local-address ip_address remote-address ip_address exit ``` 其中,peer_name是远程设备名称,可以自定义;ike_group_name是IKE协议参数组名称,需要与本地设备保持一致;key是预共享密钥,需要与本地设备保持一致;proposal_name是加密认证算法名称,需要与本地设备保持一致;local-address是本地设备IP地址;remote-address是远程设备IP地址。 3. 配置IPsec隧道 接下来需要配置IPsec隧道,将本地设备和远程设备连接起来。具体命令如下: ``` ipsec tunnel tunnel_name ipsec peer peer_name local-iface interface remote-iface interface policy policy_name no shutdown exit ``` 其中,tunnel_name是IPsec隧道名称,可以自定义;peer_name是远程设备名称,需要与前面配置的名称保持一致;interface是本地或远程设备的接口名称;policy_name是前面配置IPsec策略名称。 4. 验证IPsec隧道状态 配置完成后,可以通过以下命令来验证IPsec隧道状态: ``` show ipsec tunnel ``` 如果隧道状态为up,则表明IPsec隧道已经建立成功,可以进行数据传输。 以上就是锐捷IPsec配置步骤及命令详解,希望对您有所帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

成全101

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值