思科 IPSec ***配置:

最新推荐文章于 2023-12-20 13:17:36 发布
最新推荐文章于 2023-12-20 13:17:36 发布
阅读量382 收藏 3
点赞数 1
原文链接:http://blog.51cto.com/13555515/2068418
版权

×××的定义:

* 广域网存在各种安全隐患

网上传输的数据有被窃听的风险
网上传输的数据有被篡改的危险
通信双方有被冒充的风险

* ×××(Virtual Private Network,虚拟专用网)
* ×××建立“保护”网络实体之间的通信

使用加密技术防止数据被窃听
数据完整性验证防止数据被破坏、篡改
通过认证机制确认身份,防止数据被截获、回放
思科 IPSec ***配置:
×××的类型:

* 站点到站点×××

思科 IPSec ***配置:
意思就是,在现实生活中,总公司和分公司之间建立连接

* 远程访问×××

思科 IPSec ***配置:
在平时,有很多人都是在外面奔波,为公司跑业务,就需要配置远程×××,来和公司建立会话连接

实验:

需求:

* 研发小组可以通过×××访问总公司研发服务器,但不能 访问Internet

思科 IPSec ***配置:
topo图:
思科 IPSec ***配置:

配置步骤及思路:
R0 配置:
Router>en
Router#conf t
Router(config)#no ip domain-lookup
Router(config)#hostname R0
R0(config)#interface f0/0
R0(config-if)#ip address 172.16.10.254 255.255.255.0
R0(config-if)#no shutdown
R0(config-if)#exit
R0(config)#interface f0/1
R0(config-if)#ip address 100.0.0.1 255.255.255.252
R0(config-if)#no shutdown
R0(config-if)#end
R2 配置:
Router>en
Router#conf t
Router(config)#no ip domain-lookup
Router(config)#hostname R2
R2(config)#interface f0/1
R2(config-if)#ip address 10.10.33.254 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface f0/0
R2(config-if)#ip address 200.0.0.1 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#end
R1 配置:
Router>en
Router#conf t
Router(config)#no ip domain-lookup
Router(config)#hostname R1
R1(config)#interface f0/1
R1(config-if)#ip address 100.0.0.2 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface f0/0
R1(config-if)#ip address 200.0.0.2 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#end
配置路由:
R0 :
R0(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2
R1 :
R1(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.1
R1(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.1
R2 :
R2(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2
R0(config)#crypto isakmp policy 1
R0(config-isakmp)#encryption 3des
R0(config-isakmp)#hash sha
R0(config-isakmp)#authentication pre-share
R0(config-isakmp)#group 2
R0(config-isakmp)#exit
R0(config)#crypto isakmp key hahui address 200.0.0.1
R0(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
R0(config)#access-list 100 permit icmp 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
R0(config)#crypto ipsec transform-set hui-set ah-sha-hmac esp-des
R0(config)#crypto map hui-map 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.

R0(config-crypto-map)#set transform-set hui-set
R0(config-crypto-map)#set peer 200.0.0.1
R0(config-crypto-map)#match address 100
R0(config-crypto-map)#exit
R2(config)#interface f0/1
R0(config-if)#crypto map hui-map
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

R2(config)#crypto isakmp policy 1
R2(config-isakmp)#encryption 3des
R2(config-isakmp)#hash sha
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#group 2
R2(config-isakmp)#exit
R2(config)#crypto isakmp key hahui address 100.0.0.1
R2(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255
R0(config)#access-list 100 permit icmp 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255
R2(config)#crypto ipsec transform-set hui-set ah-sha-h
R2(config)#crypto ipsec transform-set hui-set ah-sha-hmac esp-des
R2(config)#crypto map hui-map 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.

R2(config-crypto-map)#set peer 100.0.0.1
R2(config-crypto-map)#set transform-set hui-set
R2(config-crypto-map)#match address 100
R2(config-crypto-map)#exit
R2(config)#interface f0/0
R2(config-if)#crypto map hui-map
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

查看命令:
show crypto ipsec sa

转载于:https://blog.51cto.com/13555515/2068418

weixin_34146986
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
思科IPsec 和华为IPsec 配置对照学习手册
09-28
思科IPsec 和华为IPsec 配置对照学习手册
Cisco路由器IPsec配置.doc
07-12
以下为路由器A的配置,路由器B只需对相应配置作更改即可 1:配置IKE router(config)# crypto isakmp enable #启用IKE(默认是启动的) router(config)# crypto isakmp policy 100 #建立IKE策略,优先级为100 router...
gns3工具模拟思科路由器配置IPSec命令
沉默的鹏先生
04-23 3701
1、拓扑图 R2和R3建立IPSec隧道 2、配置命令 R1: R1#configure terminal R1(config)#interface FastEthernet 0/0 R1(config-if)#ip address 10.10.10.2 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#end R2: ...
思科Ipsec配置
weixin_34203832的博客
07-28 548
R1和R3通过ISP构建×××隧道,R1和R3的LAN之间的流量使用预共享密钥方式进行×××加密。第一步:确保R1与R3的网络联通(互相可以Ping通对方的广域网接口)R1:iproute0.0.0.00.0.0.012.1.1.2R3:iproute0.0.0.00.0.0.032.1.1.2第二步:×××阶段一策略配置R1:cryptoisakmpp...
思科IPsec VPN基本配置
weixin_68021856的博客
07-22 3155
R1(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac //配置转换集名字myset, IPSec的封装协议esp-3des esp-md5-hmac(默认隧道模式tuunel)R1(config-crypto-map)#set transform-set myset //关联转换集myset。在配置IPSec前首先要保证公网可达:在R1和R3上写一条默认路由。
思科ipsec配置及trouble shooting详解
Grimm的博客
01-25 6290
拓扑: R2模拟总部出口,R3模拟分支出口,R4,R5分别模拟对于内网设备 目的: 使用ipsec vpn打通两端内网 整体配置思路: 1.建立vpn的前提是隧道两端的公网ip网络可达 2.需要配置第一阶段(DH协商,预共享密钥),第二阶段(感兴趣流,转换集(封装协议,封装模式)触发MAP匹配感兴趣流) 3.调用MAP到出口端口 具体配置: 第一阶段 配置DH协商(第一二个报文交互) crypto isakmp policy 10 encryption aes 256 //加密算法 authenticat
Cisco IPSec *** 配置详解
运维少年
09-19 2887
前言: ***作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条“专线”,将组织的分支机构和总部连接起来,组成一个大的局域网。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。IPsec的协商分为两个阶段:第一阶段:验证对方,协商出IKE SA ,保护第二阶...
Cisco路由器IPsec配置.pdf
09-30
Cisco路由器IPsec配置.pdf
Cisco路由器IPsec配置[文].pdf
10-12
Cisco路由器IPsec配置[文].pdf
思科vpn配置笔记
最新发布
qq_48257021的博客
12-20 2591
通过VPN,用户可以在网络中建立一条安全的通道,将数据加密传输,实现隐私保护和匿名上网。crypto map wenmap 1 ipsec-isakmp :这个1 表示该隧道标识,,因为只能用一张表,但是可能一个接口不只一条隧道,改成2就表示另一个隧道了,还可以用这个表。5.防止拒绝服务攻击:IPSec可以根据安全策略对流量进行限制,拦截来自未授权的流量,减少对被保护的资源的攻击。这里的acl起匹配的作用,不起过滤的作用,只有当它应用到接口上时起到过滤流量的作用,在这里是匹配能走vpn的流量。
Site-to-Site VPN配置和调试实践:构建安全的远程网络连接
傻傻的心动的博客
06-15 2514
Site-to-Site VPN配置和调试实践:构建安全的远程网络连接 Site-to-Site VPN:该实验旨在理解和掌握Site-to-Site VPN的配置和工作原理,Site-to-Site VPN用于连接不同地理位置的网络,通过加密和隧道技术实现安全的数据传输。 网络拓扑:实验中给出了一个网络拓扑图,包括多个路由器和互联网连接,理解拓扑图中设备的连接方式和接口配置是必要的。 基础配置:实验开始时进行了基础配置,包括给设备设置主机名、配置接口的IP地址和子网掩码、开启接口等。 IP地址和路由配置
IP Sec××× 配置实例
weixin_34248023的博客
01-30 207
前言:IPSec ×××配置基本步骤:第一步 配置IKE协商R1(config)#crypto isakmp policy1建立IKE协商策略R1(config-isakmap)#hashmd5 设置密钥验证所用的算法R1(config-isakmap)#authentication pre-share设置路由要使用的预先共享的密钥R1(config)#cr...
IPsec ×××路由器配置:ISAKMP策略
weixin_34336292的博客
09-06 672
部署一个使用IPsec的IOS路由器要从配置ISAKMP策略和路由器的ISAKMP认证密钥数据开始。如果路由器仅仅与Site-to-Site拓扑中的另外一个路由器相连,那么ISAKMP配置就完成了。然而,如果路由器也要支持Client-to-Site,就还需要一个额外的IKE模式配置。在我们进行ISAKMP策略配置之前,我们先看一些安全性技巧: 对于初学者,IOS可交换...
IPSec L2L ××× 之 Router-to-Router
weixin_34233856的博客
10-17 150
1.Router-to-RouterLAN-toLAN××× 1.1拓扑 1.2配置 1.基本连通性路由配置: R5(config)#intf0/0 R5(config-if)#ipadd15.15.15.5255.255.255.0 R5(config-if)#nosh R5(config-if)#ex R5(config...
思科VSS虚拟交换系统配置命令
achejq的专栏
09-23 7619
思科VSS虚拟交换系统详细配置命令 步聚 6509-1配置 第一步、 初始化Catalyst 6509交换机 VSS-sw1#conf t Enter configuration commands, one per line. End with CNTL/Z.   6509-2配置  
GNS3模拟Cisco+ipsec+***配置实例
weixin_34318956的博客
03-07 957
R1配置说明 :R1只需要按照图在接口上配置好ip地址。 ! version 12.4 ! hostname R1 ! interface FastEthernet0/0 ip address 211.81.208.1 255.255.255.0 duplex auto speed auto ! interface FastEthe...
思科DPD 解决方案
DREW德鲁
07-30 1725
DPD 工作模式 DPD 有周期性工作模式和按需工作模式两种。 1.周期性工作模式 周期性 DPD 会设臵一个定时器,路由器会按照这个定时器所设臵的时间周期发送DPD 数据包(除非这台路由器收到了源自于对端的 DPD 数据包)。 使用周期性 DPD 的优势在于,能够更快地检测到有问题的对等体。然而,这样频繁的周期性的发送 DPD 数据包,会消耗较多的设备资源和网络资源。 2.按需工作模式 DPD 按需工作模式是 DPD 的默认工作模式。在这种工作模式下,DPD 信息会基于流量形式的不同而采取不同的发送方式。
IPSec野蛮模式产生原因
沉默的鹏先生
07-01 3543
在学习IPSec的时候发现野蛮模式在传输身份信息的时候是明文传输,就好奇为什么要用野蛮模式而不是主模式,主要原因还是因为IPSec早期的问题导致的。 在IPSec 早期由于主模式+预共享密钥认证方式下,IPSec需要通过对端IP地址来在本地查找预共享密钥,这种密钥查找方法在对端没有固定IP的情况下行不通,此时野蛮模式可以‘野蛮’的解决这个问题。 野蛮模式下身份信息没有加密,本端直接用对端发来的...
思科 ipsec配置
10-15
好的,关于思科设备的IPSec配置,以下是一个简单的示例: 1. 配置ISAKMP策略 crypto isakmp policy 10 encr aes authentication pre-share group 2 lifetime 3600 2. 配置预共享密钥 crypto isakmp key ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值