思科路由器IKEV2 L2L***预共享密码认证配置

最新推荐文章于 2024-01-17 20:07:46 发布
最新推荐文章于 2024-01-17 20:07:46 发布
阅读量795 收藏
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34413065/article/details/85074134
版权

一.概述:

   思科15.2的IOS支持IKEV2的IPSEC ***,安全性较IKEV1有所增强,第一阶段认证方式也有多种方式,支持本地与远程采用不同的认证方式,这次测试为两端本地和远程都采用预共享密钥的方式。

二.基本思路:

A.***对等体一边采用Static VTI方式配置,一边采用Dynamic VTI方式配置

B.实际测试的时候发现VTI接口不能敲tunnel mode ipsec ipv4,如果敲了之后会导致IKEV2 ***加密点身后的网络之间无法通讯(数据包无法被加密点加密送出)

C.另外动态路由协议如果采用OSPF,不知是什么缘故,Static VTI一侧不能通过OSPF学习到对方发布的内网路由;如果采用EIGRP则两侧都能学习到对方发布的内网路由。

三.测试拓扑:

223732757.jpg

四.基本配置:

A.R1:

interface FastEthernet0/0
 ip address 172.16.1.2 255.255.255.0
 no shut
ip route 0.0.0.0 0.0.0.0 172.16.1.1

B.R2:

interface FastEthernet0/0
 ip address 172.16.1.1 255.255.255.0
 no shut!
interface FastEthernet0/1
 ip address 202.100.1.1 255.255.255.0
 no shut
ip route 0.0.0.0 0.0.0.0 202.100.1.10

C.R3:

interface FastEthernet0/0
 ip address 202.100.1.10 255.255.255.0
 no shut

interface FastEthernet0/1
 ip address 202.100.2.10 255.255.255.0
  no shut

D.R4:

interface Loopback0
 ip address 4.4.4.4 255.255.255.240
interface Loopback1
 ip address 10.1.1.4 255.255.255.0
interface FastEthernet0/0
 ip address 192.168.1.1 255.255.255.0
 no shut
interface FastEthernet0/1
 ip address 202.100.2.1 255.255.255.0
 no shut

ip route 0.0.0.0 0.0.0.0 202.100.2.10

E:R5:

interface FastEthernet0/0
 ip address 192.168.1.2 255.255.255.0
 no shut

ip route 0.0.0.0 0.0.0.0 192.168.1.1

五.路由器PAT配置:

A.R2:

interface FastEthernet0/0
ip nat inside
interface FastEthernet0/1
ip nat outside
ip access-list extended PAT
deny   ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 172.16.1.0 0.0.0.255 any
ip nat inside source list PAT interface FastEthernet0/1 overload

B.R4:

interface FastEthernet0/0
ip nat inside
interface FastEthernet0/1
ip nat outside
ip access-list extended PAT
deny   ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 any
ip nat inside source list PAT interface FastEthernet0/1 overload

.IKEV2 ***配置:

A.R2:
①配置IKEV2 proposal和keyring,并配置profile引用它们:
crypto ikev2 proposal IKEV2Proposal
encryption aes-cbc-256
integrity sha512
group 14
crypto ikev2 keyring KeyRing
peer R4
 address 202.100.2.1
 pre-shared-key cisco
crypto ikev2 profile IKEV2_Profile
match identity remote address 202.100.2.1 255.255.255.255
identity local address 202.100.1.1
authentication remote pre-share
authentication local pre-share
keyring local KeyRing
②第二阶段转换集:
crypto ipsec transform-set transet esp-3des esp-md5-hmac
mode tunnel
③配置ipsec profile,调用IKEV2_Profile和第二阶段转换集:
crypto ipsec profile IPSec_Profile
set transform-set transet
set ikev2-profile IKEV2_Profile
④配置static VTI,并调用ipsec profile:
interface Tunnel0
ip address 10.1.1.2 255.255.255.0
tunnel source FastEthernet0/1
tunnel destination 202.100.2.1
tunnel protection ipsec profile IPSec_Profile
⑤配置动态路由协议:
router eigrp 100
network 10.0.0.0
network 172.16.0.0
B.R4:
①配置IKEV2 proposal和keyring,并配置profile引用它们:
crypto ikev2 proposal IKEV2Proposal
encryption aes-cbc-256
integrity sha512
group 14
crypto ikev2 keyring KeyRing
peer R4
 address 202.100.1.1
 pre-shared-key cisco
crypto ikev2 profile IKEV2_Profile
match identity remote address 202.100.1.1 255.255.255.255
identity local address 202.100.2.1
authentication remote pre-share
authentication local pre-share
keyring local KeyRing
virtual-template 1
②第二阶段转换集:
crypto ipsec transform-set transet esp-3des esp-md5-hmac
mode tunnel
③配置ipsec profile,调用IKEV2_Profile和第二阶段转换集:
crypto ipsec profile IPSec_Profile
set transform-set transet
set ikev2-profile IKEV2_Profile
④配置Dynamic VTI,并调用ipsec profile:
interface Loopback1
ip address 10.1.1.4 255.255.255.0
interface Virtual-Template1 type tunnel
ip unnumbered Loopback1
tunnel source FastEthernet0/1
tunnel protection ipsec profile IPSec_Profile
⑤配置动态路由协议:
router eigrp 100
network 10.0.0.0
network 192.168.1.0

七.验证:

R2#show crypto ikev2 session
IPv4 Crypto IKEv2 Session

Session-id:8, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id Local                 Remote                fvrf/ivrf            Status
2         202.100.1.1/500       202.100.2.1/500       none/none            READY  
     Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:5, Auth sign: PSK, Auth verify: PSK
     Life/Active Time: 86400/235 sec
Child sa: local selector  202.100.1.1/0 - 202.100.1.1/65535
         remote selector 202.100.2.1/0 - 202.100.2.1/65535
         ESP spi in/out: 0x6013C32/0x827ABC3A  

IPv6 Crypto IKEv2 Session

R4#show crypto ikev2 session
IPv4 Crypto IKEv2 Session

Session-id:11, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id Local                 Remote                fvrf/ivrf            Status
1         202.100.2.1/500       202.100.1.1/500       none/none            READY  
     Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:5, Auth sign: PSK, Auth verify: PSK
     Life/Active Time: 86400/312 sec
Child sa: local selector  202.100.2.1/0 - 202.100.2.1/65535
         remote selector 202.100.1.1/0 - 202.100.1.1/65535
         ESP spi in/out: 0x827ABC3A/0x6013C32  

IPv6 Crypto IKEv2 Session
R2#show crypto engine connections active
Crypto Engine Connections

  ID  Type    Algorithm           Encrypt  Decrypt LastSeqN IP-Address
  23  IPsec   3DES+MD5                 87        0        0 202.100.1.1
  24  IPsec   3DES+MD5                  0       88       88 202.100.1.1
1011  IKEv2   SHA512+AES256             0        0        0 202.100.1.1

R4#show crypto engine connections active  
Crypto Engine Connections

  ID  Type    Algorithm           Encrypt  Decrypt LastSeqN IP-Address
  23  IPsec   3DES+MD5                  0       93       93 202.100.2.1
  24  IPsec   3DES+MD5                 93        0        0 202.100.2.1
1020  IKEv2   SHA512+AES256             0        0        0 202.100.2.1

R1#ping 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 328/372/432 ms
R1#
*Jul 12 22:50:39.681: ICMP: echo reply rcvd, src 192.168.1.2, dst 172.16.1.2, topology BASE, dscp 0 topoid 0
*Jul 12 22:50:40.025: ICMP: echo reply rcvd, src 192.168.1.2, dst 172.16.1.2, topology BASE, dscp 0 topoid 0
*Jul 12 22:50:40.461: ICMP: echo reply rcvd, src 192.168.1.2, dst 172.16.1.2, topology BASE, dscp 0 topoid 0
R1#
*Jul 12 22:50:40.793: ICMP: echo reply rcvd, src 192.168.1.2, dst 172.16.1.2, topology BASE, dscp 0 topoid 0
*Jul 12 22:50:41.169: ICMP: echo reply rcvd, src 192.168.1.2, dst 172.16.1.2, topology BASE, dscp 0 topoid 0
R1#

R5#ping 172.16.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 300/375/492 ms
R5#
*Jul 12 22:52:00.350: ICMP: echo reply rcvd, src 172.16.1.2, dst 192.168.1.2, topology BASE, dscp 0 topoid 0
*Jul 12 22:52:00.678: ICMP: echo reply rcvd, src 172.16.1.2, dst 192.168.1.2, topology BASE, dscp 0 topoid 0
*Jul 12 22:52:01.138: ICMP: echo reply rcvd, src 172.16.1.2, dst 192.168.1.2, topology BASE, dscp 0 topoid 0
R5#
*Jul 12 22:52:01.442: ICMP: echo reply rcvd, src 172.16.1.2, dst 192.168.1.2, topology BASE, dscp 0 topoid 0
*Jul 12 22:52:01.942: ICMP: echo reply rcvd, src 172.16.1.2, dst 192.168.1.2, topology BASE, dscp 0 topoid 0
R5#


weixin_34413065
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IPSec基于路由建立隧道---共享密钥认证方式实验(安全框架)
m0_49864110的博客
05-21 621
目录 基础配置-配置接口IP地址、安全区域、路由 配置接口IP地址 将接口加入相应的安全区域(本次单独为Tunnel口创建一个区域) 配置去公网的路由 配置安全策略 向服务组添加IKE、IPSec协商使用的ISAKMP报文 配置IKE与IPSec协商安全策略 配置安全协议(封装数据报文)的安全策略 配置PC2与PC1互访的安全策略 配置PC1出去内网1的安全策略 配置IPSec(采用IKEv1主模式建立SA) 配置IPSec感兴趣流(路由方式) 配置IKE安全提议(加密、验....
思科cisoc 路由器IKEv2使用map配置隧道
沉默的鹏先生
08-04 1466
环境拓扑图 R1配置 接口配置 R1#conf terminal R1(config)#interface ethernet 1/0 R1(config-if)#ip address 172.16.1.193 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface ethernet 1/1 R1(config-if)#no shutdown R1(config-if)#ip address 3
cisco *** 第二天ikev2实验笔记
weixin_34007906的博客
08-27 934
IKEv2 配置实验Branch:1.配置proposalcryptoikev2proposalikev2-proposal encryption3desaes-cbc-256 integritysha256sha512 group25142.配置 policy(可选)cryptoikev2policyikev2-policy proposa...
思科】IPsec VPN 实验配置(动态地址接入)
最新发布
2301_77161465的博客
01-17 3074
本篇文章是关于思科的IPsec VPN里面的,但它的情况是有一端是动态地址接入,也就是PPPoE或者PPP接入,里面的配置的话,每行都会有注释,会更详细些,有问题可以评论区见啦
ASA 8.4 ikev2 共享密钥加证书认证和双方都用证书认证
weixin_33675507的博客
12-30 646
ASA8.4ikev2共享密钥加证书认证和双方都用证书认证拓扑:配置:ASAVersion8.4(2)!hostnameASA1enablepassword8Ry2YjIyt7RRXU24encryptedpasswd2KFQnbNIdI.2KYOUencryptednames!interfaceGigabitEthernet0nameifo...
使用数字证书配置IKEv2
凯歌响起的博客
08-01 1874
数字证书配置IKEv2
IKEv2 实现方案研究* (2005年)
04-28
分析了IKEv1 中面临的一些问题,结合IKEv2 所做的改进工作,提出了对新版本IKE 的实现方案。
RAS拨号程序支持PPTP L2TP IKEV2.rar
12-09
VC++开发的RAS拨号程序,支持PPTP L2TP IKEV2协议 。有问题或需要的兄弟或以私信。
论文研究-一种基于签密的改进IKEv2协议.pdf
07-22
针对IKEv2协议存在的对通信实体的身份保护不足和系统开销大等问题,提出了一种安全高效的改进的IKEv2协议。新协议采用了基于签密的可认证密钥协商来代替D-H密钥交换,在交换秘密信息的同时实现了对协议的发起者与...
IKEv1&IKEv2; Between Cisco IOS and strongSwan
05-09
介绍如何配置Cisco的IPSec模块和StrongSwan连接。英文,但是很简单。主要是配置示例很清晰。
Server2016内置CA证书实现IKEv2详细步骤180张截图1-57
10-13
Windows Server2016内置CA证书,不用域结构和DNS,实现IKEv2详细步骤的屏幕截图.
IPsec IKEv2(HCIP)
qq_45022073的博客
12-25 1052
了解IKEv1,熟悉IKEv1建立过程以及野蛮模式和主模式区别以及建立过程。 了解IKEv1的缺点,IKEv2解决了IKEv1的问题,以及IKEv2建立过程。
IPsec+共享密钥的IKE野蛮模式
zero_number的博客
10-21 4993
指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务 IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
openwrt中搭建strongswan服务器vpn支持ipsec ikev2
初学者的专栏
10-31 6787
请注意,这只是一个基本的配置示例,你可能还需要根据你的网络环境和需求进行一些额外的配置调整。强烈建议在实际部署之前阅读StrongSwan和OpenWrt的官方文档以获取更多信息和指导。编辑StrongSwan的IPsec共享密钥配置文件。OpenWrt上StrongSwan VPN服务器的安装和配置。编辑StrongSwan的IPsec连接配置文件。编辑StrongSwan的主配置文件。打开终端或SSH连接到你的OpenWrt路由器
IPSec:IKEv2协议详解
hhd1988的专栏
05-17 7375
IKEv2介绍: 定义在RFC4306 ,更新与 RFC 5996. 不兼容IKEv1,IKEv1不支持认证IKEv2支持认证,EAP。 支持NAT穿越。 IKEv2支持私密性、完整性、源认证。 工作在UDP 的 500 /4500端口。NAT-T用的是UDP4500端口。 IKE的安全机制: 身份认证 确认通信算双方的身份(对等体的IP地址或者名称),包括: 共享密钥PSK(pre-shared key)认证。 数字签名RSA(rsa-signature)认证
IPSec之IKEv2详解
sgslwms的博客
09-11 6315
IKEv2协商IPSecSA的过程跟IKEvI有很大差别,最少4条消息就可以创建一对IPSecSA,效率奇高!IKEv2定义了三种交换:初始交换(Initial Exchanges)、创建子SA交换(Create_Child_SA Exchange)通知交换(Informational Exchange)。
思科cisoc 路由器IKEv2配置ipsec tunnel口隧道
沉默的鹏先生
08-03 4643
环境拓扑图 R1配置 接口配置 R1#configure terminal R1(config)#interface ethernet 1/0 R1(config-if)#no shutdown R1(config-if)#ip address 30.1.1.2 255.255.255.0 R1(config-if)#exit R1(config)#interface ethernet 1/1 R1(config-if)#no shutdown R1(config-if)#ip address
路由器和ASA共享密钥方式建立IKEV2L2L ***
weixin_33698823的博客
02-12 508
一. 测试拓扑  备注: A.Branch路由器GNS中用的IOS为c7200-adventerprisek9-mz.152-4.S,下载地址为:http://down.51cto.com/data/607191 B.CenterASA用的是ASA8.42的VMWare虚拟机 二.基本配置 A.Branch路由器 interface FastEthernet0/0  ip add...
[RFC5996 翻译二] IKEv2 互联网密钥交换协议版本2
PiPiQ_Blog的博客
03-21 1523
rfc5996 (ietf.org) 接上篇blog(59条消息) [RFC5996 翻译一] IKEv2 互联网密钥交换协议版本2_羊羊洒洒_Blog的博客-CSDN博客 3.15.配置负载 Configuration Payload 配置负载,在本文档中表示为 CP,用于在 IKE 对等体之间交换配置信息。交换是为了让 IRAC 从 IRAS 请求一个内部 IP 地址,并交换其他信息,如果 IRAC 直接连接到 LAN,则可以使用动态主机配置协议 (DHCP) 获取此类信息。 配置负载定义.
vpp ikev2配置
05-13
在VPP中配置IKEv2,需要进行以下步骤: 1. 安装VPP 首先,需要安装VPP和相关的插件。可以从官方网站上下载最新版本的VPP,并按照官方文档进行安装。 2. 配置IKEv2插件 在VPP中,可以使用IKEv2插件来实现IKEv2...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值