超实用的IPSec技术,实现对数据的加密保护,防止数据被窃取篡改!!!

在这里插入图片描述
实验目的:使研发小组可以通过IPSec访问公司服务器,但不能访问Internet

基本配置:

R1配置:

[Huawei]sysname R1
[R1-GigabitEthernet0/0/0]ip address 172.16.10.254 24
[R1-GigabitEthernet0/0/1]ip address 100.0.0.1 30
[R1]ip route-static 0.0.0.0 0 100.0.0.2-----------------------------------边界路由器,一条默认路由搞定!

ISP配置:

[Huawei]sysname ISP
[ISP-GigabItEthernet0/0/0]ip address 100.0.0.2 30
[ISP-GigabitEthernet0/0/1]ip address 200.0.0.1 30

R3配置:

[Huawei]sysname R3
[R3-GigabitEthernet0/0/0]ip address 200.0.0.2 30
[R3-GigabitEthernet0/0/1]ip address 10.10.33.254 24
[R3]ip route-static 0.0.0.0 0 200.0.0.1

俩边没有做NAT,PC机与服务器是不通的!!

*IPSec 配置
首先建立管理连接:配置IKE安全提议(算法集合)
IKE:因特网密钥交换协议! 作用:自动管理密钥!
*加密算法:防止数据被窃听,窃取
*认证算法:防止数据被篡改,保护数据的完整性
*DH算法:将对称加密或非对称加密算法结合在一起
*预共享密钥:防止身份被冒充

R1配置:

[R1]ike proposal 1---------------//进入安全提议视图
[R1-ike-proposal-1]encryption-algorithm 3des-cbc----------------//配置加密算法
[R1-ike-proposal-1]authentication-algorithm md5 --------------------- //配置认证算法
[R1-ike-proposal-1]authentication-method pre-share --------------------- //配置身份验证–预共享秘钥
[R1-ike-proposal-1]dh group2 -------------------------//配置DH算法 ,保证秘钥的安全
[R1]ike peer 200.0.0.2 v1-------------------//建立对等体关系
[R1-ike-peer-200.0.0.2]pre-shared-key simple qwer------------------ //配置身份验证口令
[R1-ike-peer-200.0.0.2]ike-proposal 1-----------------------------------//调用上面的安全提议
[R1-ike-peer-200.0.0.2]remote-address 200.0.0.2-------------------------//指向具体的对等体

R3配置:

[R3]ike proposal 1
[R3-ike-proposal-1]encryption-algorithm 3des-cbc
[R3-ike-proposal-1]authentication-algorithm md5
[R3-ike-proposal-1]authentication-method pre-share
[R3-ike-proposal-1]dh group2
[R3]ike peer 100.0.0.1 v1
[R3-ike-peer-100.0.0.1]pre-shared-key simple qwer
[R3-ike-peer-100.0.0.1]ike-proposal 1
[R3-ike-peer-100.0.0.1]remote-address 100.0.0.1

  • 建立数据连接:
    *配置ACL
    *配置IPSec安全提议
    *配置IPSec安全策略
    *在接口应用IPSec安全策略

R1配置:

[R1]acl 3000--------------------------//配置ACL定义对等体之间需要保护的流量
[R1-acl-adv-3000]rule 5 permit ip source 172.16.10.0 0.0.0.255 destination 10.10.33.0 0.0.0.255
[R1]ipsec proposal 1-------------------------------//配置IPSec安全提议
[R1-ipsec-proposal-1]transform esp
[R1]ipsec policy yf 1 isakmp -------------------------//配置IPSec安全策略
[R1-ipsec-policy-isakmp-yf-1]security acl 3000
[R1-ipsec-policy-isakmp-yf-1]ike-peer 200.0.0.2
[R1-ipsec-policy-isakmp-yf-1]proposal 1
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ipsec policy yf

R3配置:

[R3]acl 3000
[R3-acl-adv-3000]rule 5 permit ip source 10.10.33.0 0.0.0.255 destination 172.16.10.0 0.0.0.255
[R3]ipsec proposal 1
[R3-ipsec-proposal-1]transform esp
[R3]ipsec policy yf 1 isakmp
[R3-ipsec-policy-isakmp-yf-1]security acl 3000
[R3-ipsec-policy-isakmp-yf-1]ike-peer 100.0.0.1
[R3-ipsec-policy-isakmp-yf-1]proposal 1
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ipsec policy yf

在这里插入图片描述
实验结果是成功的!通过抓包可以看到IPSec对数据进行重新封装!在这里插入图片描述
在这里插入图片描述

  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值