Ipsec vpn实验环境

已于 2024-06-05 11:20:11 修改
阅读量1.2k 收藏 27
点赞数 13
文章标签: tcp/ip 网络 运维
于 2024-06-05 11:19:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44256357/article/details/139467376
版权

实验场景:搭建ipsec vpn实验环境

实验要求:pc1、pc2通过ipsec隧道完成访问

实验拓扑如下:

1.fw1、fw2的ip、区域配置

Fw1:

int g1/0/0

 ip address 10.1.1.1 24

 service-manage ping permit //测试ping命令用

int g1/0/1

 ip address 20.1.1.1 24

 service-manage ping permit

firewall zone trust

 add interface GigabitEthernet1/0/0

firewall zone untrust

 add interface GigabitEthernet1/0/1

FW2:

int g1/0/0

 ip address 10.1.2.1 24

 service-manage ping permit

int g1/0/1

 ip address 30.1.1.1 24

 service-manage ping permit

firewall zone trust

 add interface GigabitEthernet1/0/0

firewall zone untrust

 add interface GigabitEthernet1/0/1

AR1:

int g0/0/0

ip add 20.1.1.2 24

int g0/0/1

ip add 30.1.1.2 24

确认ip配置正确:
 

安全策略:

//配置来回区域和ip的业务
FW1:

security-policy

 rule name ye

  source-zone trust untrust

  destination-zone trust untrust

  source-address 10.1.1.0 24

  source-address 10.1.2.0 24

  destination-address 10.1.1.0 24

  destination-address 10.1.2.0 24

  action permit

//配置来回区间的ike协议协商

 rule name xie

  source-zone local untrust

  destination-zone local untrust

  source-address 20.1.1.0 24

  source-address 30.1.1.0 24

  destination-address 20.1.1.0 24

  destination-address 30.1.1.0 24

  action permit

FW2://和FW1一样,配置是对称的

security-policy

 rule name ye

  source-zone trust untrust

  destination-zone trust untrust

  source-address 10.1.1.0 24

  source-address 10.1.2.0 24

  destination-address 10.1.1.0 24

  destination-address 10.1.2.0 24

  action permit

 rule name xie

  source-zone local untrust

  destination-zone local untrust

  source-address 20.1.1.0 24

  source-address 30.1.1.0 24

  destination-address 20.1.1.0 24

  destination-address 30.1.1.0 24

  action permit

2.感兴趣流:(一般用高级acl,写源、目的端口)

FW1:

acl 3000

rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

3.ike协商,命名为10,采用默认协商

ike proposal 10

//默认协商如下图:

4.ike对等体:(peer)
 

ike peer fw2

 pre-shared-key 1234

 ike-proposal 10

 remote-address 30.1.1.1

5.ipsec proposal 10

默认配置如下:
 

只有认证界面和加密算法(esp隧道模式)

6.ipsec策略

ipsec policy pp 10 isakmp

(pp是策略名,10是优先级序列号,isakmp是策略的方式(manual是手动配置)

调用ike peer、感兴趣流(acl)和proposal,ike的proposal已经封装在peer里了,无需重复封装。

在应用到出接口的流量后,匹配acl的流量就会交给ipsec隧道的封装。

ipsec policy pp 10 isakmp

 security acl 3000

 ike-peer fw2

 proposal 10

7.应用

Int g0/0/1

Ipsec policy pp

FW2的配置大同小异:

rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

ike proposal 10

q

ike peer fw1

 pre-shared-key 1234

 ike-proposal 10

 remote-address 20.1.1.1

ipsec proposal 10

q

ipsec policy pp 10 isakmp

 security acl 3000

 ike-peer fw1

 proposal 10

q

Int g0/0/1

Ipsec policy pp

写路由

[fw1]ip route-static 0.0.0.0 0 20.1.1.2

[FW2]ip route-static 0.0.0.0 0 30.1.1.2

此时是没有数据流信息的,需要触发后才能有

Pc2上pingPc1成功

Display firewall se table

Disp ipsec sa

Disp ike sa结果分别如上截图,实验成功。

康笛声
关注
  • 13
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IPsec VPN 实验
m0_63645854的博客
04-10 1398
IPsec VPN实验
IPSec环境搭建与分析
GOOD__YOUTH的博客
10-11 1296
测试调试 网络拓扑 路由器配置为: 设置ipsec信息为: 隧道模式,配置远端路由网关192.168.151.73 即路由器2 IP 配置本地网端,与远端网段,设置ike协商 采用ESP中的封装安全荷载协议中的DES加密协议 完整性检测采用SHA1协议 配置密钥信息. 路由器1设置为初始者模式,路由器2设置为响应者模式,,通过抓包发现当设置为初始者模式时,路由器主动向对端建立ike协商,响应者模式则为被动状态等待ike连接请求。 测试可以PING通远端网段. 报文解析 主动模式 建立IKEV1协商
IPSec配置
热门推荐
mizong的博客
09-24 1万+
要求: 1、R5为ISP只能配置IP地址 2、R1,R2,R3建立MGRE环境,R1为中心站点 3、R1环回192.168.1.0/24,R2-R4类似 4、R1,R2,R3使用OSPF 5、R1--R4间建立IPSec VPN R1 int s0/1 ip add 15.1.1.1 255.255.255.0 no shutdown int lo0 ip add ...
IPSEC实验环境搭建
Princesk的博客
04-21 997
实验名称: 第三章 IP Sec VPN(一) VPN基本配置 实验要求的环境实验环境: 要求描述: 需要的软件工具、软件安装包:小凡 实验目的: 1)掌握IKE阶段1和阶段2的协商过程 2)在cisco路由器上配置IPSec VPN 实验步骤: 实验拓扑图: 1)R1配置 en conf t hos r1 int fa0/0 ip ad 100.0.0.1 255.255.255.252 no sh int fa1/0 ip ad 10.0.0.1 255.255.255.0
strongswan 搭建 IPSec 实验环境
yuyu的博客
09-09 8596
使用两个CentOS7虚拟机,基于strongswan搭建IPSec VPN实验环境,通过是否配置加密算法,达到产生正常和非正常ESP数据包的目的。本篇为自己填坑记录。 目录 1、准备两个CentOS7虚拟机 2、安装strongswan 3、修改配置文件 4、配置NAT 5、 scp模拟大流量场景 6、修改配置文件去掉加密算法 1、准备两个CentOS7虚拟机 使其能相互ping通 (192.168.220.139 ping 通192.168.220.140) 实验拓扑如图: .
IPSec VPN原理与配置
qq_61946091的博客
06-15 1万+
IPSec
IPSec VPN 原理与配置
m0_73258133的博客
04-20 2398
VPN就是在两个网络实体之间建立的一种受保护的连接,这两个实体可以通过点到点的链路直 接相连,但通常情况下它们会相隔较远的距离。对于定义的“受保护”一词,可以从以下几个方面理解。实际工作环境中的VPN解决方案不一定包含上述所有功能,这要由具体的环境需求和实现方式 决定。而且很多企业可能采用不止一种的VPN解决方案。
IPSec over GRE -Tunnel口
12-01
本文将通过实验环境,详细介绍 IPSec over GRE Tunnel 的实现过程和技术原理。 首先,实验环境使用 Win7 下的 GNS3,R1 和 R2 使用 NM-4E 和 NM-1FE-TX,Internet 使用 NM-4E,PC1 和 PC2 使用 VPC 模拟。实验的...
巢湖学院-计算机网络管理技术实验报告-八篇-2022最新版
06-21
每篇实验报告包含:实验目的、实验环境实验内容、实验源程序代码、实验结果与结论、实验心得与小结 实验1 配置基于端口划分VLAN实验 实验2 配置基于子网划分VLAN实验 实验3 IP链路测试实验 实验4 DHCP Snooping...
CCNP综合实验大全
04-27
"config.ini"可能包含实验环境的配置信息,对于理解和复现实验环境非常有帮助;"CCNP综合实验大全!全是综合性很强的实验!"这个文件名暗示了这是一系列深度和广度兼具的实验案例,涵盖了CCNP认证的各个主题。 总的...
基于IPv6的静态路由实验设计
10-18
IPv6的通信特点显著,它将IP安全(IPsec)作为标准配置,提供了认证头标和封装安全净荷ESP,确保了端到端的安全通信,支持IP虚拟专网(IP VPN)、安全的信息家电控制以及远程医疗等服务。此外,IPv6还具备强大的服务...
ISA Server 2006 实验指南
04-22
10. **实验环境搭建**:在实验指南中,我们将逐步介绍如何设置实验环境,包括安装ISA Server、配置网络拓扑、制定安全策略,并进行实际的攻击模拟测试,以验证ISA Server 2006 的防护能力。 通过阅读《ISA Server...
TCP与UDP协议端口号测试攻略
yuer011的博客
08-13 168
但是我们测试2000以上得端口号,完全是可以覆盖测试场景得,并不需要纠结端口号的大小问题。1024~65535为用户端口,又分为:BSD临时端口(1024-5000)和BSD服务器(非特权)端口(5001-65535)。0-1023: BSD保留端口,也叫系统端口,这些端口只有系统特许的进程才能使用;5001-65535:BSD服务器(非特权)端口,用来给用户自定义端口。测试中涉及到端口号,对此作总结:----最好是2000以上。其中0不使用,1-1023为系统端口,也叫BSD保留端口。
为何要隐藏源 IP 地址?
@云安全小杜
08-12 477
网络世界中,服务器的安全至关重要。一旦服务器遭受黑客攻击,采取正确的防御措施是防止进一步损害的关键。其中一项重要的策略就是隐藏服务器的真实 IP 地址。本文将探讨隐藏源 IP 地址的重要性,并提供一些实用的方法来实现这一目标。
网络编程】TCP机械臂测试
最新发布
m0_62859255的博客
08-13 182
注意:关闭计算机的杀毒软件,电脑管家,防火墙1)基于TCP服务器的机械臂,端口号是8888, ip是Windows的ip;查看Windows的IP:按住Windows+r 按键,输入cmd , 输入ipconfig2)点击软件中的开启监听;3)机械臂需要发送16进制数,共5个字节,协议如下起始结束协议,固定的;0x02:控制机械手臂协议,固定的;x:指定要操作的机械臂0x00 红色摆臂0x01 蓝色摆臂y:指定角度。
挖矿宝藏之TCP/IP
m0_73514785的博客
08-10 953
TCP/IP 指传输控制协议/网际协议(TControlProtocol /InternetProtocol),是供已连接因特网的计算机进行通信的通信协议并且定义了电子设备如何连入因特网,以及数据如何在它们之间传输的标准。1.TCP 负责应用软件和网络软件之间的通信,IP 负责计算机之间的通信;2.TCP 负责将数据分割并装入 IP 包然后在它们到达的时候重新组合它们,IP 负责将包发送至接受者。TCP (传输控制协议) - 应用程序之间通信UDP (用户数据报协议) - 应用程序之间的简单通信。
gre over ipsec vpn实验
04-24
您想了解有关 GRE over IPSec VPN 实验的信息吗?我可以为您提供一些基本的解释。GRE(Generic Routing Encapsulation)是一种隧道协议,可将不同类型的协议数据单元进行归档和封装,以方便通过网络传输。IPSec...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值