IPSEC VPN 基本配置

最新推荐文章于 2024-04-20 17:04:04 发布
最新推荐文章于 2024-04-20 17:04:04 发布
阅读量937 收藏 18
点赞数 18
分类专栏: 防御保护 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72210904/article/details/136715429
版权

1,抓取感兴趣流

[r1]acl 3000---这里只能选择使用高级ACL列表,因为后面调用的时候,仅能调用高级的。

[r1-acl-adv-3000]rulepermit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0                                       0.0.0.255

2,配置IKE安全提议

[r1]ike proposal 1---后面需要添加一个提议的编号

[r1-ike-proposal-1]encryption-algorithm aes-cbc-128---定义加密算法---缺省是DES算法

[r1-ike-proposal-1]authentication-algorithm md5 ---定义校验算法---缺省是SHA1

[r1-ike-proposal-1]authentication-method pre-share ---定义认证方式---缺省是预共享密钥

[r1-ike-proposal-1]dh group2---定义DH组---缺省DH组1

[r1-ike-proposal-1]sa duration ?---定义SA的老化时间----建议:老化时间修改的时候,要大                                                        于600S。

INTEGER<60-604800> Value of time(in seconds), default is 86400

[r1-ike-proposal-1]sa duration 86400

3,配置IKE对等体 

[r1]ike peer aa v1---需要声明对等体的名称(自定义),第一次进入时,需要写版本号

[r1-ike-peer-aa]ike-proposal 1---关联IKE安全提议

[r1-ike-peer-aa]exchange-mode ?---选择一阶段的模式

         aggressive Aggressive mode---野蛮模式

         main Main mode---主模式

[r1-ike-peer-aa]exchange-mode main ---这里缺省选择的是主模式

[r1-ike-peer-aa]pre-shared-key cipher 123456---定义预共享密钥的具体值,注意,两边必须一样

[r1-ike-peer-aa]remote-address 23.0.0.2---三位一体

1:邻居对等体的建邻地址;2:参与查找预共享密钥;3:作为身份标识验证对端身份

4,配置IPSEC的安全提议

[r1]ipsec proposal aa ---需要定义一个提议的名称

[r1-ipsec-proposal-aa]transform esp ---定义安全协议---缺省esp

[r1-ipsec-proposal-aa]esp encryption-algorithm aes-128---定义数据加密算法---缺省des

[r1-ipsec-proposal-aa]esp authentication-algorithm md5 ---定义数据验证算法---缺省 md5

[r1-ipsec-proposal-aa]encapsulation-mode tunnel ---选择封装模式---缺省为隧道模式

5,配置IPSEC安全策略 

[r1]ipsec policy aa 1 isakmp ---需要定义策略的名称和编号,并且需要选择手工模式还是IKE                                                   的方式。

[r1-ipsec-policy-isakmp-aa-1]security acl ?---关联ACL列表

                     INTEGER<3000-3999> Apply advanced ACL

[r1-ipsec-policy-isakmp-aa-1]security acl 3000

[r1-ipsec-policy-isakmp-aa-1]ike-peer aa---关联IKE对等体

[r1-ipsec-policy-isakmp-aa-1]proposal aa---关联ipsec提议

6,接口调用

[r1-GigabitEthernet0/0/1]ipsec policy aa

注意:对端R3的IPSEC 也是相同的配置,在R3的g0/0/0接口调用

查看SA命令

display ike sa     查看IKE SA

display ipsec sa   查看IPSEC SA

 防火墙配置

 

服务不能写ESP服务,服务可以什么都不写

       在防火墙上,NAT是上游配置,而IPSEC隧道是下游配置。所以,NAT的转换会导致数据流量无法进入到IPSEC的隧道中。解决方案:不做NAT转换

注意:两边的配置都要一样,都要配置 

坚持@success
关注
  • 18
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IPSec的定义及运用
05-28
此文档详细介绍了IPSec(IP Security)的基本原理、体系结构、工作模式、密钥管理以及IPSec VPN配置和应用。IPSec是一种网络层安全保障机制,能够提供访问控制、数据机密性、完整性校验、数据源验证和拒绝重播等...
路由器防火墙基本原理及典型配置讲解
06-29
路由器防火墙基本原理及典型配置讲解
防火墙Ipsec vpn配置
zljszn的博客
10-19 1万+
FW1-object-service-set-ike]service protocol udp destination-port 500 //添加IKE的服务,因为IKE的服务使用的事udp的500端口。rule name trust-untrust(双向访问,所以需要允许trust访问untrust区域,也需要允许untrust访问trust区域)4. 防火墙桥接物理网卡,开启网管界面,具体桥接的方式就不在介绍了,之前的文章有具体讲解ENSP怎么桥接物理网卡。ipsec配置(FW2也一样)
华为IPSec VPN配置
热门推荐
caolongbin的博客
09-08 2万+
基于华为ENSP的简单IPSecVPN实验
IPSec VPN 原理与配置
最新发布
m0_73258133的博客
04-20 1420
VPN就是在两个网络实体之间建立的一种受保护的连接,这两个实体可以通过点到点的链路直 接相连,但通常情况下它们会相隔较远的距离。对于定义的“受保护”一词,可以从以下几个方面理解。实际工作环境中的VPN解决方案不一定包含上述所有功能,这要由具体的环境需求和实现方式 决定。而且很多企业可能采用不止一种的VPN解决方案。
路由器基础(十二):IPSEC VPN配置
limengshi138392的博客
11-04 7418
路由器基础(十二):IPSEC VPN配置
简单又复杂的IPSec vpn配置
m0_65896563的博客
06-01 823
不理解的不要管,先原封不动的打出来,然后在理解就容易了
IPSec VPN原理与配置
qq_61946091的博客
06-15 1万+
IPSec
openstack网络(neutron)模式之GRE的基本原理
01-30
neutron混合实施了第二层的VLAN和第三层的路由服务,它可为支持的网络提供防火墙,负载均衡以及IPSec VPN等扩展功能。neutron是openstack中一个重要模块,也是比较难理解和debug的模块之一。图1:三节点opens网络1、...
Hans HCIA-Security培训视频上.rar
09-04
2.4、防火墙基本配置配置实验 3.1、防火墙安全策略之包过滤技术及转发原理 3.2、防火墙安全策略之多通道协议支持(ASPF、Server Map) 3.3、防火墙安全策略之应用 4.1、NAT技术介绍 4.2、源NAT技术及配置实验...
Hans HCIA-Security培训视频下.rar
09-04
2.4、防火墙基本配置配置实验 3.1、防火墙安全策略之包过滤技术及转发原理 3.2、防火墙安全策略之多通道协议支持(ASPF、Server Map) 3.3、防火墙安全策略之应用 4.1、NAT技术介绍 4.2、源NAT技术及配置实验...
防火墙上配置IPsec vpn (超详细附带思路看完就会)
weixin_52557120的博客
06-18 9111
在防火墙上配置ipsec vpn ,按照思路去配置一般不会出现差错,防火墙其实就是默认拒绝所有流量的路由器,可以这么理解
IPsec VPN 原理与配置
qq_45953122的博客
08-27 1449
IPSec是IETF定义的一个协议组。通信双方在IP层通过加密、完整性校验、数据源认证等方式,保证了IP数据报文在网络上传输的机密性、完整性和防重放。
IPSec VPN的原理与配置
2301_78256093的博客
06-14 8560
配置安全联盟时,入方向和出方向安全联盟的安全参数索引都必须设置,并且本端的入方向安全联盟的SPI值必须和对端的出方向安全联盟的SPI值相同,而本端的出方向安全联盟的SPI值必须和对端的入方向安全联盟的SPI值相同。入方向和出方向安全联盟的认证密钥都必须设置,并且本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥相同;4、隧道模式中的ESP:对整个原始IP报文和ESP尾部进行加密,对ESP报文头、原始IP报文和ESP尾部进行完整性校验。3、传输模式中,在IP报文头和高层协议之间插入AH或ESP头。
IPsec VPN基本配置
这是一个网络小菜鸡的笔记本,欢迎大家前来纠错。
05-15 2937
B公司是A公司的异地分公司,现要求公司内网可以互相通信,并且要保证数据的安全。R1 模拟公网部分。网络地址规划如下:A公司内网为 192.168.10.0/24B公司内网为 192.168.20.0/24A公司运营商公网网段 10.8.6.0/30B公司运营商公网网段 10.8.6.4/30。
IPsec VPN配置方式
Mario_Ti的博客
03-09 2571
文章详细介绍了IPsec VPN配置方式,有手工方式以及IKE方式,其中IKE方式又有IKEv1、IKEv2以及点对点、点对多点的问题,其中模板方式是一种能够简化配置的方式。
IPSEC VPN配置
m0_71264131的博客
04-14 345
只有在RD状态才表明IKE SA建立成功,其他任何状态都是没有建立成功的。可以看到使用的IPSEC安全策略、IPSEC工作模式、隧道本地和对端IP。3.配置IPSEC VPN实现两端私网互通。Protocol是IPSEC使用的安全协议。2.配置静态路由以保证两端互通。1.正确配置各个IP地址。
华为HCIA-IPSec VPN实验配置
qq_37257635的博客
06-05 2503
华为HCIA-IPSec VPN实验配置
华为IPSEC野蛮模式配置
05-12
IPSec VPN中,野蛮模式是一种不安全的加密模式,因为它暴露了VPN连接的双方IP地址。因此,建议使用主模式而不是野蛮模式。但是如果您需要使用野蛮模式,可以按照以下步骤在华为设备上进行配置: 1. 创建IPSec策略 ``` ipsec policy policy-name ``` 2. 配置本地地址和远程地址 ``` local-address ip-address remote-address ip-address ``` 3. 配置预共享密钥 ``` pre-shared-key simple key-string ``` 4. 配置加密算法和哈希算法 ``` proposal proposal-name encr-algorithm {3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256} hash-algorithm {sha1 | sha2-256 | sha2-384 | sha2-512} ``` 5. 配置安全协议 ``` security-proposal proposal-name esp authentication-algorithm {hmac-sha1-96 | hmac-sha2-256 | hmac-sha2-384 | hmac-sha2-512} encryption-algorithm {3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256} ``` 6. 配置IKE策略 ``` ike peer peer-name pre-shared-key simple key-string proposal proposal-name ``` 7. 配置ISAKMP协议 ``` isakmp authentication-mode pre-shared-key ``` 8. 启用IPSec VPN ``` vpn-instance vpn-instance-name ipsec policy policy-name ike peer peer-name ``` 以上是基本配置步骤,您需要根据实际情况进行调整。注意,野蛮模式可能会导致安全性问题,因此建议使用主模式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值