ipsec的配置

最新推荐文章于 2023-09-08 18:21:47 发布
最新推荐文章于 2023-09-08 18:21:47 发布
阅读量531 收藏
点赞数
分类专栏: 路由交换
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43030940/article/details/105036550
版权

IPsec建立的5个步骤
1、Host A sends interesting traffic to host B
2、Routers A and B negotiate an IKE Phase 1 session.
3、Routers A and B negotiate an IKE Phase 2 session.
4、Information is exchanged via the IPsec tunnel.
5、The IPsec tunnel is terminated.
第一阶段:
兴趣流量一定要做扩展的;并且必须要对称;
第二阶段:
crypto isakmp policy
encryption
hash
authentication pre-share
group 2 (DH组)
lifetime 最大为86000
第三阶段:
crypto ipsec transform-set CCIE esp-aes-256 esp-hamac-md5
mode transport(默认tunnel)
第四阶段:
timeout到期后,IPsec的sa会终止,并重新生成新的SA,但邻居并不会down,网络会出现瞬间的中断;
Security Associations:包括三个方面
1、安全索引
2、SA database
Destination IP address
SPI
protocol(ESP or AH)
3、Security policy database(下面是辅助信息)
Encryption algorithm
Authentication algorithm
mode
key lifetime

设置site-to-site IPsec VPN的6个步骤:
1、Establish ISAKMP policy
2、Comfigure IPsec transform set
3、Comfigure crypto ACL
4、configure crypto map
5、apply crypto map to the interface
6、configure interface ACL

R4—R2—R1—R3—R5
配置接口地址R4是172.16.24.4,R5是192.168…35.5
R1R2R3运行eigrp
R2上启用nat
地址池:ip nat pool 12.1.1.24 12.1.1.24 netmask 255.255.255.0
ip access-list extended PAT
deny ip 172.16.24.0 0.0.0.255 192.168.35.0 0.0.0.255
permit ip 172.16.24.0 0.0.0.255 12.1.1.0 0.0.0.255
permit ip 172.16.24.0 0.0.0.255 13.1.1.0 0.0.0.255
permit ip 172.16.24.0 0.0.0.255 3.3.3.0 0.0.0.255

ip nat inside source list PAT pool 24 overload

interface ethernet 0/1
ip nat outside
interface ethernet 0/0
ip nat inside

在R3上做上面同样的步骤
然后在R2和R3上写静态指向对方的内网
然后就开始写IPsec
ip access-list extended crypto-acl
permit ip 172.16.24.0 0.0.0.255 192.168.35.0 0.0.0.255
然后创建设备认证预共享秘钥
crypto isakmp enable #不敲的话,第一阶段的isakmp就无法共享sa
crypto isakmp key CCIE address 13.1.1.3 0.0.0.0 (如果address 写0.0.0.0 0.0.0.0的话就是不匹配对方地址)
这种老的共享秘钥不能兼容vrf,如果要兼容vrf,必须敲新型的命令
crypto keyring cisco
pre-shared-key address 0.0.0.0 0.0.0.0 key CCIE
然后进入第一阶段sa设置
crypto isakmp policy 10
encryption aes 256
hash md5
authentication pre-share
group 24

R3上同样的配置
第一阶段结束后,可以开启一些特性
crypto isakmp keepalive 等等

然后进行第二阶段
crypto ipsec transform-set R2-R3 esp-ade 256 esp-md5-hmac
mode tunnel
R3上做同样的配置

crypto map CCIE 10 ipsec-isakmp
set peer 13.1.1.3
set transform-set R2-R3
match address crypto-acl
R3上同样的配置

int e0/0
crypto map CCIE

R3同样的配置

shwo crypto isakmp sa detail

3月21日 IPsec over GRE配置与 GRE over IPsec

crypto ipsec prefile CCIE
set transform-set CCIE

interface tunnel 23
trunnel pretection ipsec profile CCIE

SEC神经蛙
关注
专栏目录
华三ipsec 配置分析、举例
undoshutdown的博客
01-29 2010
ipsec apply policy policy1 //在设备wan口引用ipsec 策略 policy1。ipsec policy policy1 1 isakmp //新建ipsec 策略 policy1 序号1。ipsec policy policy1 1 isakmp //新建ipsec 策略 policy1 序号1。
Ipsec配置
LeslieLiangZ的博客
03-13 9548
Ipsec用于在数据传输过程中的加密协议 1. 搭建环境拓扑 2. 配置第一阶段:isakmp协商 需要配置的有isakmp协商的加密算法、验证算法、验证方式和共享密钥及可选的group值和生存时间Lifetime R1配置: R1(config)#crypto isakmp policy 1 定义策略 R1(config-isakmp)#encryption 3des 加密算法为3des R1...
锐捷网络—VPN功能—IPSEC 基础配置IPSEC 静态、动态隧道混用
最新发布
君逍遥o
09-08 847
若总公司和分公司各自的内网要能够互相共享资料,且希望资料在网络传输中不易被黑客截获破解窃取,保证资料的安全保密,此时您可以在总公司和分公司的网络设备上建立IPSec VPN,它既能实现总公司和分公司之间能够直接互相访问资源,也能对数据传输进行加密,保证了数据的安全性。若总部的IP地址固定,而部分分公司是采用拨号方式上网的(IP地址不固定),部分分公司是采用固定IP地址上互联网的,那么可以在总公司的路由器启用静态、动态混用的IPSec VPN,分公司路由器启用静态IPSEC VPN。
×××系列之ISAKMP Profile
weixin_34358365的博客
02-04 308
ISAKMP Profile使用在总部与多个站点进行IPSEC ×××通信,且总部与不同分支使用不同的第一阶段策略时使用。 以下为拓扑: 直发R2,R4,R5的配置: R1: ! ! ! ! ! ! crypto keyring keyring //创建于对端R4使用的...
dysite+ez*** 配置命令
weixin_34226706的博客
02-26 191
当EZ×××与site-to-site ×××结合时,会产生第一阶段与1.5阶段冲突,解决方案是分别创建第一阶段profile策略配置,将EZ×××与L2L的策略分离。 一.site-to-site ××× (一)第一阶段配置:(isakmp策略配置与传统配置相同) 1、策略配置 crypto isakmp policy 1 encr 3des au...
IPsec 原理和应用简介(一篇搞定~)
youzhangjing_的博客
02-06 1704
(Security Association 缩写SA,有些文章翻译为"安全联盟"),是建立ipsec通信所需的相关参数。比如加密密钥、认证密钥等,保存在SAD(SA Database)中。SP 描述了需要做什么;而 SA 描述了它应该如何实现。一对SA和SP负责一个方向的数据处理,双向都需要IPsec就需要两对SA和SP。建立SA,手工配置又复杂又不安全,生产上应该没人会用。
【译】IPSEC.CONF(5) - IPsec配置
u014089899的博客
05-30 5730
NAMEipsec.conf —— IPsec配置DESCRIPTIONipsec.conf指定了Openswan IPsec子系统的大多数配置和控制信息。include ipsec.*.conf 包含指定的配置文件CONN SECTIONSconn项定义了一个IPsec连接的规范,名字可以随意定义。例如:conn snt left=10.11.11.1 leftsubnet=10...
Cisco路由器IPsec配置.doc
07-12
以下为路由器A的配置,路由器B只需对相应配置作更改即可 1:配置IKE router(config)# crypto isakmp enable #启用IKE(默认是启动的) router(config)# crypto isakmp policy 100 #建立IKE策略,优先级为100 router...
思科IPsec 和华为IPsec 配置对照学习手册
09-28
思科IPsec 和华为IPsec 配置对照学习手册
GRE Over IPSec配置及抓包分析.doc
05-20
GRE Over IPSec配置及抓包分析.doc
IPsec ×××
weixin_34357436的博客
04-14 266
IPsec ×××是一种点对点,两端设备通过网络建立的安全通道主要目的是将多个分支机构单独的局域网,通过虚拟通道连接为一个虚拟局域网环境,解决了安全问题。通信双方在IP层通过加密、完整性校验、数据认证等方式保证数据传输的机密性、完整性和防重性IPsec架构:IPsec ×××主要由AH、ESP、IKE协议套件组成AH:认证数据源、数据完整性但不加密数据报文ESP:既提供认证也提供加密功能IKE:用...
IPsec Note
繁星流动天际
04-14 912
VPN---Virtual Private Network 虚拟专用网是一种业务,可以在共享的公共网络上提供安全可靠的连接通道. 按层次分的VPN: 二层VPN : ATM/Frame Relay/DDN/ISDN 三层VPN : IPSEC/GRE/L2TP 应用层VPN : Web VPN/SSL VPN <安全的含义> 保证来源性 <===对源进行认证 保...
Cisco ISAKMP Keyring设置技巧
The 44th Demilitarized Zone
12-03 1821
<br /><br />有时候,我们会在一台路由器上使用多个ISAKMP密钥,来连接不同的VPN节点。比如L2L和L2TP,它们需要使用不同的密钥。<br />如果你的所有L2L节点都使用静态IP,那么这将不会存在什么问题。<br />但是如果你的L2L节点使用动态IP,那么将L2L和L2TP的密钥进行区分可能会很困难。<br />特别提示一点,ISAKMP是需要先交换密钥才能交换Identity。密钥不正确,Identity都没法交换,所以不要指望ISAKMP Profile中匹配了Identity,就能
IPsec虚拟专用网络的设定
ken6328的博客
05-13 605
IKE internet key exchange 用来进行安全参数的协商 ESP encapsulation secutiry payload 关于加密验证及其他安全方法 (数据加密) AH authentication header 主要提供验证 (数据不加密,只能验证数据完整性) 1.A 发送interesting traffic到B 2.A和B协商IKE phase 1 协商加密策略,算法...
华为防火墙IPsec点对点配置解析
qq_47529104的博客
04-06 6157
一、完成基本互联 主机直连的接口为trust区域,防火墙之间互联的接口为untrust区域 二、左边的防火墙IPsec配置 (1) Ike Proposal 的创建 ike proposal xx //首先创建ike proposal xx 这一步的作用就是创建协商ike SA的时候使用的相关安全套件,默认防火墙就会设置了一些默认的安全套件的组合。这一步设置的内容就是用于IKE SA的协商,IPsec双方使用协商好的IKE SA去对IPsec SA的协商进行保护。如下所示: enc..
IPsec 配置干货,理论+配置
Bert_Wang的博客
09-04 9218
一、IPSec VPN场景特点 1、一般用于总部和分支机构,中间通过互联网线路传输数据,保证数据的安全传输。 2、机密性 : 数据加密保护。 3、完整性:对数据进行认证,确保数据没有篡改。 4、防重放性:防止恶意用户进行攻击。 二、 IPSec VPN参数 1、AH: 数据的完整性,无法加密 2、ESP:对IP报文的加密 3、IKE:协商AH和ESP使用的算法 , 建立和维护安全联盟SA 建立SA:手工和动态协商两种方式 IPSec传输和隧道两种模式 三、配置步骤 1、网络互联互通.
IPsec配置
姜亚轲的博客
08-13 9107
企业对网络安全性的需求日益提升,而传统的TCP/IP协议缺乏有效的安全认证和保密机制。IPsec(Internet Protocol Security)作为一种开放标准的安全框架结构,可以用来保证IP数据报文在网络上传输的机密性、完整性和防重放。 IPsec配置: 接口IP以及默认路由配置如下: R1 配置IPsec的过程,每一步的过程其实也蛮清晰的: 配置isakmp policy,第一...
ISAKMP/IKE阶段1连接
weixin_33748818的博客
11-17 2641
(一)阶段1策略 1、启动ISAKMP(默认是开启的) R1(config)#crypto isakmp enable 2、建立策略(保护阶段1--管理连接) R1(config)#crypto isakmp policy ? <1-10000> Priority of protection suite R1(config-isakmp)#...
DPDK-实战之ipsec-secgw(安全网关)
3-Number
10-25 6849
0x01 缘由     看到了比较陌生的名词觉得比较高大上,于是想探究下。 0x02 介绍     IPsec 安全网关应用是用DPDK cryptodev框架的一个实际应用例子。     这个应用说明用DPDK实现的一个安全网关,基于RFC4301, RFC4303, RFC3602、RFC2404标准。IKE不实现,因此仅仅手动设置安全策略。     安全策略(SP)用ACL规则实现
enspipsec配置
09-02
总结来说,enspipsec配置的步骤包括IP地址、路由、兴趣流、ike安全提议、ike对等体、ipsec安全提议、ipsec安全策略和接口应用ipsec安全策略。<span class="em">1</span><span class="em">2</span><span class="em">3...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值