思科IPSec的配置

最新推荐文章于 2024-07-27 21:39:44 发布
最新推荐文章于 2024-07-27 21:39:44 发布
阅读量3.4k 收藏 40
点赞数 7
原文链接:http://blog.51cto.com/13434336/2129287
版权

IPSec建立连接的过程
一、对等体建立连接大体分为:
1、流量触发:IPSec建立连接是首先是由对等体直接的数据流触发的。我们通过配置这些IPSec保护的数据流,可以明确哪些数据流会触发IPSec建立连接
2、建立管理连接:IPSec使用ISAKMP/IKE阶段1来建立管理连接。管理连接不进行数据传输,只是数据传输前的准备工作。管理连接阶段需要明确对等体之间的哪种设备验证方式、加密算法、认证算法以及DH密钥组等。
3、建立数据连接:基于阶段1建立的安全的管理连接之上,使用ISAKMP/IKE阶段2来完成。数据连接需要明确具体使用的安全协议的加密或者验证算法,以及数据的传输模式等。
二、ISAKMP/IKE阶段1建立过程
1、交换ISAKMP/IKE传输集
ISAKMP/IKE传输集是一组用来保护管理连接的策略,包括
1)加密算法:3des、des、aes
2)HMAC:MD5、SHA-1
3)设备验证类型:预共享密钥、RSA签名
4)DH密钥组:一般思科路由支持1、2、5
5)管理连接的生存周期
2、通过DH算法实现密钥转换
3、实现设备之间的验证
三、ISAKMP/IKE阶段2建立过程
1、安全关联(SA)
IPSec需要在对等体之间建立一条逻辑连接,这是使用了一个信令协议实现,也就是SA,因为IPSec需要无连接的IP在运行在就要成为面向连接的协议。SA由三要素定义:
1)安全参数索引(SPI)
2)安全协议的类型,包括AH和ESP协议
3)目的地址
2、ISAKMP/IKE阶段2的传输集
1)安全协议,AH和ESP协议
2)连接模式,隧道模式、传输模式
3)加密算法,3des,aes等
4)验证方式:MD5、SHA-1

配置过程
一、配置IPSec打通隧道
1、首先需要内网有一条通往ISP的默认路由
ip route 0.0.0.0 0.0.0.0 202.2.2.2
注释:202.2.2.2模拟ISP地址
2、配置ISAKMP策略
crypto isakmp policy 1
注释:1为策略序列号,取值范围是1~10000,值越小,优先级越高
encryption 3des
hash sha
authentication pre-share
group 5
注释:5为DH密钥组号,取值为1、2、5、6
lifetime 10000
注释:lifetime为管理连接生存时间,单位是秒(s)
crypto isakmp 0 password-key address 101.1.1.1
注释:该命令为建立共享密钥;0表示密钥使用明文,如果取值6表示密文;101.1.1.1为对端的外网口地址
3、配置IPSec保护的数据流(感兴趣的数据流)
access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
注释:源IP地址为本地局域网的地址,目标为对端的局域网地址;定义ACL是为了明确这些数据流会通过隧道技术转发。
4、定义传输集
crypto ipsec transform-set kaifabu-set esp-des ah-sha-hmac
注释:kaifabu-set为该传输集的名称,后面跟上传输集选项(esp-des、ah-sha-hmac)
mode tunnel
exit
crypto ipsec security-association lifetime seconds 1800
注释:输入exit是为退回到全局模式,可在该模式下设置数据连接的生存周期
5、配置加密映射
crypto map kaifabu-map 1 ipsec-isakmp
注释:1为加密映射的序列号,取值1~65535,值越小,优先级越高
set peer 101.1.1.1
注释:101.1.1.1为对端外网口地址
set transform-set kaifabu-set
注释:在加密映射中调用kaifabu-set这个传输集
match address 100
注释:100前面定义的ACL100,这里是为了调用该ACL
6、应用加密映射到外网口
interface f0/0
crypto map kaifabu-map
二、配置PAT连接到Internet
access-list 101 deny 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 101 permit 192.168.1.0 0.0.0.255 any
注释:ACL配置要拒绝掉IPSec保护的数据流,使该数据流不进行PAT的转换,然后再允许内网地址通往所有的网段实现上网。
ip nat inside source list 101 interface f0/0 overload
interface f0/0
ip nat outside
interface f0/1
ip nat inside

转载于:https://blog.51cto.com/13434336/2129287

weixin_34067049
关注
Cisco路由器IPsec配置.doc
07-12
以下为路由器A的配置,路由器B只需对相应配置作更改即可 1:配置IKE router(config)# crypto isakmp enable #启用IKE(默认是启动的) router(config)# crypto isakmp policy 100 #建立IKE策略,优先级为100 router(config-isakmp)# authentication pre-share #使用预共享的密码进行身份验证 router(config-isakmp)# encryption des #使用des加密方式 router(config-isakmp)# group 1 #指定密钥位数,group 2安全性更高,但更耗cpu router(config-isakmp)# hash md5 #指定hash算法为MD5(其他方式:sha,rsa) router(config-isakmp)# lifetime 86400 #指定SA有效期时间。默认86400秒,两端要一致 以上配置可通过show crypto isakmp policy显示。VPN两端路由器的上述配置要完全一样。 2:配
思科Ipsec配置
weixin_34203832的博客
07-28 562
R1和R3通过ISP构建×××隧道,R1和R3的LAN之间的流量使用预共享密钥方式进行×××加密。第一步:确保R1与R3的网络联通(互相可以Ping通对方的广域网接口)R1:iproute0.0.0.00.0.0.012.1.1.2R3:iproute0.0.0.00.0.0.032.1.1.2第二步:×××阶段一策略配置R1:cryptoisakmpp...
IPSec VPN原理与配置详解
最新发布
one piece的博客
07-27 1149
在防火墙上,NAT是上游配置,而IPSEC隧道是下游配置。所以,NAT的转换会导致 数据流量无法进入到IPSEC的隧道中。解决方案:不做NAT转换。
思科IPsec VPN基本配置
weixin_68021856的博客
07-22 3388
R1(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac //配置转换集名字myset, IPSec的封装协议esp-3des esp-md5-hmac(默认隧道模式tuunel)R1(config-crypto-map)#set transform-set myset //关联转换集myset。在配置IPSec前首先要保证公网可达:在R1和R3上写一条默认路由。
思科ipsec配置及trouble shooting详解
Grimm的博客
01-25 6385
拓扑: R2模拟总部出口,R3模拟分支出口,R4,R5分别模拟对于内网设备 目的: 使用ipsec vpn打通两端内网 整体配置思路: 1.建立vpn的前提是隧道两端的公网ip网络可达 2.需要配置第一阶段(DH协商,预共享密钥),第二阶段(感兴趣流,转换集(封装协议,封装模式)触发MAP匹配感兴趣流) 3.调用MAP到出口端口 具体配置: 第一阶段 配置DH协商(第一二个报文交互) crypto isakmp policy 10 encryption aes 256 //加密算法 authenticat
Cisco路由器配置Ipsec
热门推荐
amsilence的博客
10-23 1万+
Cisco 路由器配置Ipsec,以及各阶段的SA内容解读
思科IPsec VPN 实验配置(动态地址接入)
2301_77161465的博客
01-17 3383
本篇文章是关于思科IPsec VPN里面的,但它的情况是有一端是动态地址接入,也就是PPPoE或者PPP接入,里面的配置的话,每行都会有注释,会更详细些,有问题可以评论区见啦
思科IPsec 和华为IPsec 配置对照学习手册
09-28
思科IPsec 和华为IPsec 配置对照学习手册
Cisco路由器IPsec配置[文].pdf
10-12
Cisco路由器IPsec配置[文].pdf
Cisco路由器IPsec配置.pdf
09-30
Cisco路由器IPsec配置.pdf
Cisco IPSec简单的配置
calkee的专栏
05-01 2475
IPSec VPN也可以实现隧道功能,相比较linux的
IPSec配置思路——路由器——Cisco实验(详解)
杰森斯坦陈的博客
04-07 9085
Cisco——IPsec配置与概念 IPSec配置思路脑图: 链接: https://pan.baidu.com/s/1R2bB5HWJUsQXJ-2q2F3gSQ 提取码: wq3g 复制这段内容后打开百度网盘手机App,操作更方便哦 一、 理论部分 1. IPsec的模式: 1) 隧道模式:隧道模式是将原有含有内网地址的IP头部进行加密,再生成一个数据包,然后再将数据包外围加上自...
Cisco Site-to-Site IPsec配置
游离态De猫
05-10 608
环境说明: CompanyA-Router为A公司的出口路由器,上联至ISP,e0/1做nat CompanyB-Router为B公司的出口路由器,上联至ISP,e0/0做nat 两边公司内网需要互通,该环境中使用Site-to-Site IPsec来实现 路由器版本: CompanyA-Router#show version Cisco IOS Software, Linux Software (I86BI_LINUX-ADVENTERPRISEK9-M), Version 15.4(1
H3C路由器与Cisco路由器IPSEC对接
m0_60797416的博客
07-10 1433
在 H3C 路由器和 Cisco 路由器之间建立一个 IPsec 隧道,对Host A 所在的子网(10.1.1.0/24)与Host B 所在的子网(10.1.2.0/24)之间的数据流进行安全保护。图1 IKE 主模式及预共享密钥认证配置组网图 # 配置各接口的 IP 地址,具体略。# 配置 IPv4 高级 ACL 3000,定义要保护由子网 10.1.1.0/24 去子网 10.1.2.0/24 的数据流。 system-view [H3C] acl advanced 3000[H3C-a...
ipsec ***之配置详解篇
weixin_34292287的博客
05-17 777
IPSEC ×××之配置详解篇 无止境系列文档将以网络安全为方向,以 专题的形式每周天发布,希望大家支持。 【阅 读说明】 为了方便 大家阅读,特作如下说明: 1. 专业术语或者一些 概念用红色标识。 2. 重要或者强调的语 句用蓝色标识。 3. 总结的部分用绿色标识。 【主 要内容】 1. IPSEC ×××理解 2. 封...
思科防火墙IPsec配置-野蛮模式方式(基于9.9版本)
xiayu0912的专栏
02-21 1543
思科防火墙ASA配置野蛮模式建立IPse连接
思科IPsec VPN 实验配置(地址固定)
2301_77161465的博客
01-17 2294
本篇文章是关于思科IPsec VPN里面的,但它的情况是两端的IP地址都是固定的,里面的配置的话,每行都会有注释,会更详细些,有问题可以评论区见啦
IPSec协议簇(含Cisco实验配置
CairBin的博客
04-20 991
早期的网络并不像现在这样,使用者大部分都是科学家并且一般是组织内部成员进行通信,所以在设计之初并没有考虑其安全性。但对于现在的网络,保障通信安全是非常重要的,而IPSec协议簇可以保障网络层的安全性。**IPSec是一组基于网络层的应用密码学的安全通信协议簇。**它是VPN中常用的一种技术。设计目标:为IPv4和IPv6提供客户操作的、高质量的、基于密码学的安全保护。功能:工作在网络层,提供三个安全服务,并和提供有限通信流机密性保护。IP协议是唯一一个由所有高层协议共享的协议。
Cisco配置IPsec与NAT问题
qq_51871685的博客
11-11 1362
IPsec与NAT转换
思科 ipsec配置
10-15
好的,关于思科设备的IPSec配置,以下是一个简单的示例: 1. 配置ISAKMP策略 crypto isakmp policy 10 encr aes authentication pre-share group 2 lifetime 3600 2. 配置预共享密钥 crypto isakmp key mysharedkey address 1.1.1.1 3. 配置IPSec策略 crypto ipsec transform-set mytransformset esp-aes esp-sha-hmac mode tunnel 4. 配置IPSec策略映射 crypto map mycryptomap 10 ipsec-isakmp set peer 1.1.1.1 set transform-set mytransformset match address myacl 5. 配置ACL access-list myacl permit ip 192.168.1.0 0.0.0.255 10.10.10.0 0.0.0.255 以上是一个简单的IPSec配置示例,具体配置需要根据实际情况*** 怎样配置IPSec NAT穿透?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值