传统的TCP/IP协议缺乏有效的安全认证和保密机制。IPSec作为一种开放标准的安全框架结构,可以用来证IP数据报文在网络上传输的机密性,完整性和防重放。
IPSec VPN应用场景:企业分支可以通过IPSec VPN接入到企业总部网络。
要求:两边各有一个固定的公网IP地址
IPSec不是一个单独的协议,它通过AH和ESP这两个安全协议来实现IP数据报文的安全传送。
IKE协议提供秘钥协商,建立和维护安全联盟SA等服务。
安全联盟SA
安全联盟定义了IPSec对等体间将使用的数据封装模式,认证和加密算法,密钥等参数。
安全联盟是单向的,两个对等体之间的双向通信,至少需要两个SA。
传输模式:
案例配置
1.网络可达。指的是AR1和AR3互通,公网可通
2.配置ACL识别感兴趣流
AR1
acl 3000
rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
AR3
acl 3000
rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
3.创建安全提议,对数据的加密方式
AR1
ipsec proposal proposal //名字proposal
esp authentication-algorithm sha2-512 //认证
esp encryption-algorithm aes-256//加密方式
AR3
ipsec proposal proposal //名字proposal
esp authentication-algorithm sha2-512 //认证
esp encryption-algorithm aes-256//加密方式
4.创建安全策略
AR1
ipsec policy vpn 1 manual//名字vpn 手动协商
security acl 3000 //加密的流量acl3000
proposal proposal //关联安全提议
tunnel local 10.1.12.1
tunnel remote 10.1.23.3
sa spi inbound esp 12345
sa spi outbound esp 54321
sa string-key in esp simple huawei@123
sa string-key out esp simple huawei@321
AR3
ipsec policy vpn 1 manual//名字vpn 手动协商
security acl 3000
proposal proposal //安全建议
tunnel local 10.1.23.3
tunnel remote 10.1.12.1
sa spi inbound esp 54321
sa spi outbound esp 12345
sa string-key in esp simple huawei@321
sa string-key out esp simple huawei@123
5.接口配置
AR1
int g0/0/1
ipsec policy vpn
AR3
int g0/0/0
ipsec policy vpn
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
