路由器利用loopback接口实现物理冗余链路的IPSEC ***

最新推荐文章于 2023-11-15 11:54:37 发布
最新推荐文章于 2023-11-15 11:54:37 发布
阅读量456 收藏
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34050427/article/details/85074497
版权

1.拓扑图:


135538915.jpg

2.基本接口配置:

R1:

R1(config-if)#int f0/0
R1(config-if)#ip add 202.100.12.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int f0/1
R1(config-if)#ip add 202.100.14.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int l0
R1(config-if)#ip add 202.100.1.1 255.255.255.0
R1(config-if)#int l1
R1(config-if)#ip add 192.168.1.1 255.255.255.0

R2:

R2(config)#int f0/0
R2(config-if)#ip add 202.100.12.2 255.255.255.0
R2(config-if)#no sh
R2(config-if)#int f0/1
R2(config-if)#ip add 202.100.23.2 255.255.255.0
R2(config-if)#no sh

R4:

R4(config)#int f0/0
R4(config-if)#ip add 202.100.14.4 255.255.255.0
R4(config-if)#no sh
R4(config-if)#int f0/1
R4(config-if)#ip add 202.100.34.4 255.255.255.0
R4(config-if)#no sh

R3:

R3(config)#int f0/0
R3(config-if)#ip add 202.100.23.3 255.255.255.0
R3(config-if)#no sh
R3(config-if)#int f0/1
R3(config-if)#ip add 202.100.34.3 255.255.255.0
R3(config-if)#no sh
R3(config-if)#int l0
R3(config-if)#ip add 202.100.3.3 255.255.255.0
R3(config-if)#int l1
R3(config-if)#ip add 192.168.3.3 255.255.255.0

3.路由配置:

由动态路由协议OSPF提供物理链路的冗余:

R1(config-if)#router ospf 10
R1(config-router)#net 202.100.12.1 0.0.0.0 a 0
R1(config-router)#net 202.100.1.1 0.0.0.0 a 0
R1(config-router)#net 202.100.14.1 0.0.0.0 a 0

R2(config-if)#router ospf 10
R2(config-router)#net 202.100.12.2 0.0.0.0 a 0
R2(config-router)#net 202.100.23.2 0.0.0.0 a 0

R4(config)#router ospf 10
R4(config-router)#net 202.100.14.4 0.0.0.0 a 0
R4(config-router)#net 202.100.34.4 0.0.0.0 a 0

R3(config-if)#router ospf 10
R3(config-router)#net 202.100.23.3 0.0.0.0 a 0
R3(config-router)#net 202.100.34.3 0.0.0.0 a 0
R3(config-router)#net 202.100.3.3 0.0.0.0 a 0

确认lookbackup加密点能互相ping通:

R1#ping 202.100.3.3 source 202.100.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 202.100.3.3, timeout is 2 seconds:
Packet sent with a source address of 202.100.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/91/160 ms

4.***配置:

A.第一阶段策略:

R1(config)#crypto isakmp policy 10
R1(config-isakmp)#au pr
R1(config-isakmp)#ha md
R1(config-isakmp)#gr 2
R1(config-isakmp)#en 3des
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 0 cisco address 202.100.3.3

R3(config)#crypto isakmp policy 10
R3(config-isakmp)# encr 3des
R3(config-isakmp)# hash md5
R3(config-isakmp)# authentication pre-share
R3(config-isakmp)# group 2
R3(config-isakmp)#exit
R3(config)#crypto isakmp key 0 cisco add 202.100.1.1

B.第二阶段策略:

R1(config)#crypto ipsec transform-set transet esp-3des esp-sha-hmac

R3(config)#crypto ipsec transform-set transet esp-3des esp-sha-hmac

C.Profile关联第二阶段转换集:

R1(config)#crypto ipsec profile ipsecpro
R1(ipsec-profile)#set transform-set transet
R1(ipsec-profile)#exit

R3(config)#crypto ipsec profile ipsecpro
R3(ipsec-profile)#set transform-set transet
R3(ipsec-profile)#exit

D.静态VTI接口配置:

R1(config)#int tun 0
R1(config-if)#tun source loopback 0
R1(config-if)#tunnel destination 202.100.3.3
R1(config-if)#tunnel mode ipsec ipv4
R1(config-if)#tunnel protection ipsec profile ipsecpro
R1(config-if)#ip add 172.16.1.1 255.255.255.0

R3(config)#int tun 0
R3(config-if)#tunnel source loopback 0
R3(config-if)#tunnel destination 202.100.1.1
R3(config-if)#tun mode ipsec ipv4
R3(config-if)#tunnel protection ipsec profile ipsecpro
R3(config-if)#ip add 172.16.1.3 255.255.255.0

E.动态路由协议:

R1(config)#router eigrp 10
R1(config-router)#no auto-summary
R1(config-router)#net 172.16.1.0 0.0.0.255
R1(config-router)#net 192.168.1.0 0.0.0.255

R3(config)#router eigrp 10
R3(config-router)#no auto-summary
R3(config-router)#net 172.16.1.0 0.0.0.255
R3(config-router)#net 192.168.3.0 0.0.0.255

5.检验:

A.动态路由:

R1#show ip  route ospf
O    202.100.23.0/24 [110/20] via 202.100.12.2, 00:31:50, FastEthernet0/0
    202.100.3.0/32 is subnetted, 1 subnets
O       202.100.3.3 [110/21] via 202.100.14.4, 00:18:47, FastEthernet0/1
                   [110/21] via 202.100.12.2, 00:18:47, FastEthernet0/0
O    202.100.34.0/24 [110/20] via 202.100.14.4, 00:19:48, FastEthernet0/1
R1#show ip  route eigrp
D    192.168.3.0/24 [90/297372416] via 172.16.1.3, 00:02:31, Tunnel0

R3#show ip route ospf
    202.100.1.0/32 is subnetted, 1 subnets
O       202.100.1.1 [110/21] via 202.100.34.4, 00:18:01, FastEthernet0/1
                   [110/21] via 202.100.23.2, 00:18:11, FastEthernet0/0
O    202.100.14.0/24 [110/20] via 202.100.34.4, 00:18:01, FastEthernet0/1
O    202.100.12.0/24 [110/20] via 202.100.23.2, 00:18:11, FastEthernet0/0
R3#show ip route ei  
R3#show ip route eigrp
D    192.168.1.0/24 [90/297372416] via 172.16.1.1, 00:01:39, Tunnel0

B.***状态查看:

R1#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
202.100.1.1     202.100.3.3     QM_IDLE           1001    0 ACTIVE

IPv6 Crypto ISAKMP SA

R1#show crypto engine connections active
Crypto Engine Connections

  ID Interface  Type  Algorithm           Encrypt  Decrypt IP-Address
   1 Fa0/1      IPsec 3DES+SHA                  0       66 202.100.1.1
   2 Fa0/1      IPsec 3DES+SHA                 73        0 202.100.1.1
1001 Fa0/1      IKE   MD5+3DES                  0        0 202.100.1.1


R3#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
202.100.1.1     202.100.3.3     QM_IDLE           1001    0 ACTIVE

IPv6 Crypto ISAKMP SA

R3#show crypto engine connections active
Crypto Engine Connections

  ID Interface  Type  Algorithm           Encrypt  Decrypt IP-Address
   1 Tu0        IPsec 3DES+SHA                  0       90 202.100.3.3
   2 Tu0        IPsec 3DES+SHA                 84        0 202.100.3.3
1001 Tu0        IKE   MD5+3DES                  0        0 202.100.3.3

R3#

C.关闭一个物理接口,***连接不会终端:

R1(config)#int f0/1
R1(config-if)#shu
R1(config-if)#
*Mar  1 00:47:17.555: %OSPF-5-ADJCHG: Process 10, Nbr 202.100.34.4 on FastEthernet0/1 from FULL to DOWN, Neighbor Down: Interface down or detached
R1(config-if)#
*Mar  1 00:47:19.539: %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down
*Mar  1 00:47:20.539: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
R1(config-if)#end

R1#ping 192.168.3.3 source 192.168.1.1  

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.3, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 116/147/180 ms
R1#



weixin_34050427
关注
防火墙使用回环地址lookback建立ipsec隧道
jinhuishuai的博客
12-09 1770
防火墙使用回环地址lookback建立ipsec网络拓扑图: 技能要求:在FW-A与FW-B之间使用环回地址建立IPSEC隧道,以实现A,B两个内网用户可以通过IPSEC vpn隧道相互访问 技术要点: 建立vpn对端 隧道 这里需要在高级设置中启用vpn隧道检测启用源地址写本地的外网地址目的地址写对端外网地址。 p1提议 p2提议 接口安全域 安全策略放行 成功 ...
实训四 思科交换机端口聚合提供冗余链路
wuwuliuliu0524的博客
05-08 3391
原理 端口聚合(Aggregate-port)又称链路聚合,是指两台交换机之间在物理上将多个端口连接起来,将多条链路聚合成一条逻辑链路。从而增大链路带宽,解决交换网络中因带宽引起的网络瓶颈问题。多条物理链路之间能够相互冗余备份,其中任意一条链路断开,不会影响其他链路的正常转发数据。 端口聚合遵循IEEE802.3ad协议的标准 端口聚合基础配置 创建聚合端口AG1:switch(config)#interface port-channel 1 进入端口0/1和0/2:switch(config-i
设备冗余技术——链路聚合
hhxuebiancheng的博客
07-22 1346
增加带宽的方法主要有两种,一种是增加单条链路的带宽。另一种方法则是采用链路聚合。今天主要讨论一下链路聚合功能的实现方法。 2.链路聚合 定义:指将多个物理端口聚合,形成一个逻辑接口。以实现流量在各成员间的负荷分担。但某成员端口的链路发生故障(如断路)时,停止对该端口发送数据包,并根据负荷分担策略重新计算报文的发送端口,在故障恢复后会重新启用原端口。 优点: ...
链路,设备,网关冗余技术
weixin_69884785的博客
05-09 4542
链路冗余,设备冗余,网关冗余(仅为软考网工复习提供总结性思路,不是详细的)
Cisco ASA 配置IPsec ***
Leo's Blog
11-20 946
说明:ASA1和ASA2模拟两个分支的边界Firewall,并在该Firewall上启用PAT和默认路由。A和B分别模拟两个内网的主机。ISP模拟ISP,并启用loopback0接口,模拟公网主机。要求:在ASA1和ASA2之间建立Site to Site IPSec ×××,A和B能通过IPSec加密隧道用私网IP互访,但访问公网主机时不加密。配置命令如下:ASA...
HUAWEI NE20E-S2 路由器接口链路特性详解
- **端口组**:端口组是一组物理接口的集合,可以实现接口间的负载均衡或聚合,提高链路带宽和可靠性。 - **接口监控组**:接口监控组可以监控一组接口的状态,当其中某个接口出现故障时,可触发备份接口接管流量...
华为ME60控制网关V800R011C10接口链路特性详解
接口允许在一个物理接口上创建多个逻辑接口,以实现不同网络服务。VT是配置接口模板,可以简化大量接口的配置。Eth-Trunk提供链路聚合,增加带宽和冗余。VLAN信道化子接口用于在以太网上承载多个VLAN,Loopback...
第十八天(链路聚合的配置、VRRP的工作过程、IPV6的配置)
qq_54934861的博客
08-04 732
链路聚合的配置、VRRP的工作过程、IPV6的配置
SD-WAN是怎么实现的?纯技术篇(上)Sdwan-Cheap
SDWAN_Cheap的博客
08-12 1721
一、引言 这两年SD-WAN在业界可谓是众星捧月,在一些文章的过度包装下,非常容易让人形成一个错误的观念——SD-WAN是一种全新的方案。实际上,SD-WAN并不是石头里蹦出来的猴子,虽然有一些吸睛的新特征,但它仍然是根植在很多传统的传统企业级WAN技术之上的,主要包括路由、VPN、安全、WAAS等等,在下文对于SD-WAN的技术介绍中,会反复地提到这些传统技术,读者最好对相关的基础知识有所了解。至于SD,实际上SD-WAN并不能单纯地被划归到SDN的范畴下,它集成了WhiteBox/SDN/NFV/..
Linux网络二层技术讲解
07-12
- **Bonding**:用于将多个网络接口捆绑在一起,提供链路聚合功能,从而提高网络带宽和实现冗余。 - **Team**:与Bonding类似,Team提供更为灵活的网络接口聚合方式。 - **OpenvSwitch(OVS)**:是一个开源虚拟...
思科IPSEC配置实验
川的博客
11-05 1498
使用思科路由器配置IPSec隧道实验,有完整的数据包发送过程解析,配置过程命令解析。
cisco GRE over ipsec -NAT环境(外网接口loopback二种模式)
weixin_34187822的博客
09-20 600
一、IPSEC:二边静态和NAT-1-11.GRE Over IPSEC Ipterm3:172.99.99.2/24 GW:172.99.99.1Ipterm4:172.99.98.2/24 GW:172.99.98.1R3:F0/0 10.0.0.1 /24 nat inside F0/1:172.99.99.1/24 nat outsideR4:F0/0 10.1.1.2 ...
防火墙:配置IPSec VPN
weixin_42494218的博客
11-15 670
思科 FPR1120-ASA-K9 上设置 IPSec VPN.
cisco防火墙ipsec配置
zjc801的专栏
10-21 3676
inerface loopback0     ip address 1.1.1.1 255.255.255.0 crypto isakmp policy 10     hash md5     authentication preshare crypto isakmp key cisco address 202.100.11.1 crypto ipsec transform-set c
OSPF综合实验
weixin_48814356的博客
10-07 159
OSPF综合实验
Loopback Interface(环回接口)看这篇就够了
热门推荐
u012938083的博客
08-23 1万+
1、简介 作用: 1、使本机中的不同进程(client和server)直接通过TCP/IP协议栈进行通信,让数据报不离开本机,避免将报文暴露到外网 举例:通过浏览器本地预览 Axure 原型(见2 抓包) 2、排障(troubleshooting ):如果ping 127.0.0.1 不通,则表示主机的TCP/IP协议栈有问题 特点: 虚拟网络接口(virtual network interface ) IPv4:127.0.0.0/8,通常使用127.0.0.1(主机名: localhost) li
华三防火墙配置IPSec隧道
a2317077531的博客
06-30 9546
1.网络拓扑 2.配置思路 1.配置各接口IP地址,将接口加入对应区域 2.ISP运行ospf,引入直连路由 3.配置防火墙策略,及路由 4.配置IPSec VPN 5.验证VPN互通 1.FW1配置接口IP及加入到相关区域 interface GigabitEthernet1/0/20(wan-ip) ip address 192.168.13.1 255.255.255.0 interface LoopBack 0(测试内网IP) ip address 192.168.11.1 255.255.25
PerconaXtraBackup-2.2.10使用手册(三)操作指南
congjingchi0199的博客
05-29 189
Innobackupex脚本 innobackupex脚本工具是由Perl脚本语言实现对xtrabackup的C程序封装,它是一个InnoDB Hot Backup tool补丁版本。 集成了xtrabacku...
技术点详解—IPSec方案部署
bingyu的博客
03-12 1595
技术点详解—IPSec方案部署通过前面几期的介绍可以发现IPSec所涉及的参数很多,在具体方案部署过程中有许多灵活选择的地方,本期专栏就专门对IPSec在几种典型环境中的方案部署进行介绍。一、              常规IPSec方案上图所示网络环境是最基本的IPSec应用场景:1.       响应方无论在何种环境都是固定的公网地址;2.       发起方也是固定的公网地址;3.
路由器loopback接口是什么
最新发布
09-18
路由器Loopback接口,也称为环回接口,是一种特殊的逻辑接口,其主要作用包括: 1. **身份标识**[^2]: Loopback接口通常分配一个独立的IPv4或IPv6地址(通常是127.0.0.1或::1),这个地址被用作路由器的Router ID...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值