路由器ipsec|vpn实验分析

AR1 和 AR2代表两个公司的出口,R2模拟互联,两个公司通信,通过ipsec vpn 加密隧道进行业务通信

切记:ipsec 路由器一定用AR系列,千万别用R,否则会给你惊喜

R2只有接口配ip,无任何配置(略)

[Huawei]sys R1
路由器接口配置
[R1]inte g0/0/0
[R1-GigabitEthernet0/0/0]ip ad 192.168.1.254 24 
[R1-GigabitEthernet0/0/0]inte g0/0/1
[R1-GigabitEthernet0/0/1]ip ad 100.1.1.1 24
[R1-GigabitEthernet0/0/1]
[R1-GigabitEthernet0/0/1]q

路由配置
[R1]ip route-static 0.0.0.0 0 100.1.1.2

配置ipsec的感兴趣流
[R1]acl number 3000  
[R1-acl-adv-3000] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.
168.2.0 0.0.0.255 
[R1-acl-adv-3000]q

配置ipsec提议
[R1]ipsec proposal ipsec_test  \\ 配置IPsec安全提议名称
[R1-ipsec-proposal-ipsec_test] esp authentication-algorithm sha2-256   \\ 设置ESP(封装安全有效载荷)的认证算法为SHA2-256
[R1-ipsec-proposal-ipsec_test] esp encryption-algorithm aes-256  \\ 设置ESP的加密算法为AES-256
[R1-ipsec-proposal-ipsec_test]

配置ike提议
[R1-ipsec-proposal-ipsec_test]ike proposal 10  \\ 配置ike安全提议名称
[R1-ike-proposal-10] encryption-algorithm aes-cbc-256 \\ 设置加密算法 AES-CBC-256
[R1-ike-proposal-10] dh group2  \\dh组2
[R1-ike-proposal-10]

配置ike对等体
[R1-ike-proposal-10]ike peer SH v1  设置IKE对等体 SH v1
[R1-ike-peer-SH] pre-shared-key simple test@123  \\ 设置预共享密钥 简单 test@123
[R1-ike-peer-SH] ike-proposal 10  \\ 绑定IKE提议 10
[R1-ike-peer-SH] local-address 100.1.1.1  \\ 设置本地地址 100.1.1.1
[R1-ike-peer-SH] remote-address 200.1.1.1 \\ 设置远程地址 200.1.1.1
[R1-ike-peer-SH]

配置ipsec策略
[R1-ike-peer-SH]ipsec policy ipsec_test 10 isakmp \\设置IPsec策略 ipsec_test 10 ISAKMP
[R1-ipsec-policy-isakmp-ipsec_test-10] security acl 3000 \\绑定感兴趣流 
[R1-ipsec-policy-isakmp-ipsec_test-10] ike-peer SH  \\绑定ike对等体
[R1-ipsec-policy-isakmp-ipsec_test-10] proposal ipsec_test \\绑定安全提议
[R1-ipsec-policy-isakmp-ipsec_test-10]q

接口调用ipsec策略
[R1]inte g0/0/1
[R1-GigabitEthernet0/0/1]ipsec policy ipsec_test 

R3 同理
[Huawei]un in en 
Info: Information center is disabled.
[Huawei]sys R3
[R3]inte g0/0/1
[R3-GigabitEthernet0/0/1]ip ad 192.168.2.254 24 
[R3-GigabitEthernet0/0/1]inte g0/0/0
[R3-GigabitEthernet0/0/0]ip ad 200.1.1.1 24
[R3-GigabitEthernet0/0/0]
[R3-GigabitEthernet0/0/0]q
[R3]ip route-static 0.0.0.0 0 200.1.1.2
[R3]acl number 3000  
[R3-acl-adv-3000] rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.
168.1.0 0.0.0.255 
[R3-acl-adv-3000]q
[R3]ipsec proposal ipsec_test2
[R3-ipsec-proposal-ipsec_test2] esp authentication-algorithm sha2-256 
[R3-ipsec-proposal-ipsec_test2] esp encryption-algorithm aes-256
[R3-ipsec-proposal-ipsec_test2]
[R3-ipsec-proposal-ipsec_test2]ike proposal 10
[R3-ike-proposal-10] encryption-algorithm aes-cbc-256
[R3-ike-proposal-10] dh group2
[R3-ike-proposal-10]
[R3-ike-proposal-10]ike peer DH v1
[R3-ike-peer-DH] pre-shared-key simple test@123
[R3-ike-peer-DH] ike-proposal 10
[R3-ike-peer-DH] local-address 200.1.1.1
[R3-ike-peer-DH] remote-address 100.1.1.1
[R3-ike-peer-DH]
[R3-ike-peer-DH]ipsec policy ipsec_test2 20 isakmp
[R3-ipsec-policy-isakmp-ipsec_test2-20] security acl 3000
[R3-ipsec-policy-isakmp-ipsec_test2-20] ike-peer DH
[R3-ipsec-policy-isakmp-ipsec_test2-20] proposal ipsec_test2
[R3-ipsec-policy-isakmp-ipsec_test2-20]q
[R3]inte g0/0/0
[R3-GigabitEthernet0/0/0] ipsec policy ipsec_test2

验证测试

当然可以!下面是gre over ipsec vpn实验文档的基本步骤: 1.准备工作 在进行实验之前,你需要具备以下知识和技能: •网络基础知识(TCP/IP协议、子掩码、IP地址、路由等) •GRE协议和IPSec协议的基本概念 •使用telnet工具访问路由器的基本操作 •使用Wireshark抓包分析的基本操作 •使用VPCS模拟本地主机的基本操作 此外,你还需要准备以下设备: •两台路由器(建议使用Cisco路由器) •一台计算机(用来运行Wireshark抓包工具) •两个VPCS(用来模拟本地主机) 2.配置GRE隧道 首先,你需要在两台路由器上配置GRE隧道。 具体步骤如下: (1)在Router1上创建一个隧道接口,并将Tunnel0接口的IP地址设置为192.168.100.1/24。 # configure terminal # interface tunnel 0 # ip address 192.168.100.1 255.255.255.0 # tunnel source fa0/0 # tunnel destination 10.0.0.2 # exit (2)在Router2上创建一个隧道接口,并将Tunnel0接口的IP地址设置为192.168.100.2/24。 # configure terminal # interface tunnel 0 # ip address 192.168.100.2 255.255.255.0 # tunnel source fa0/0 # tunnel destination 10.0.0.1 # exit 3.配置IPSec协议 接下来,你需要在两台路由器上配置IPSec协议,以加密隧道内的数据流。 具体步骤如下: (1)在Router1上创建IPSec策略,启用AH(认证头)协议,并将其应用到Tunnel0接口上。 # configure terminal # crypto isakmp policy 1 # encr aes # authentication pre-share # group 2 # exit # crypto isakmp key cisco123 address 10.0.0.2 # exit # crypto ipsec transform-set GRE-AH esp-aes esp-sha256-hmac # crypto map GRE 10 ipsec-isakmp # set peer 10.0.0.2 # set transform-set GRE-AH # match address VPN-TRAFFIC # exit (2)在Router2上创建IPSec策略,启用AH协议,并将其应用到Tunnel0接口上。 # configure terminal # crypto isakmp policy 1 # encr aes # authentication pre-share # group 2 # exit # crypto isakmp key cisco123 address 10.0.0.1 # exit # crypto ipsec transform-set GRE-AH esp-aes esp-sha256-hmac # crypto map GRE 10 ipsec-isakmp # set peer 10.0.0.1 # set transform-set GRE-AH # match address VPN-TRAFFIC # exit 4.测试GRE over IPSec VPN隧道 最后,你可以通过ping命令测试GRE over IPSec VPN隧道是否正常。 具体步骤如下: (1)在VPCS1上ping VPCS2的IP地址。 C:\> ping 192.168.1.2 如果VPN隧道正常工作,你会得到一个回复。 (2)在Wireshark中查看VPN隧道内的通信内容。 选择Tunnel0接口,启动抓包功能,并在VPCS1上执行ping命令。你可以看到通过VPN隧道传输的所有数据包。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值