【思科】配置设备与思科路由器采用IKEv2建立IPSec隧道案例

最新推荐文章于 2024-09-27 15:29:35 发布
最新推荐文章于 2024-09-27 15:29:35 发布
阅读量712 收藏 12
点赞数 28
分类专栏: 思科认证-CCNA/CCNP/CCIE 文章标签: 智能路由器 网络 网络协议 网络安全 信息与通信
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49224830/article/details/142499422
版权

外企、国外发展考思科!

组网需求

如图1所示,RouterA为企业分支网关,RouterB为企业总部网关(思科路由器),分支与总部通过公网建立通信。

企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。由于分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实现该需求。

案例拓扑

图片

图1 

文件配置

1、配置RouterA

sysname RouterA  //配置设备名称
#
ipsec authentication sha2 compatible enable
#
acl number 3000  //指定被保护的数据流,分支子网访问总部子网的流量
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
#
ipsec proposal prop1  //配置IPSec安全提议
esp authentication-algorithm sha1
esp encryption-algorithm 3des
#
ike proposal 1  //配置IKE安全提议
encryption-algorithm 3des
dh group2
authentication-algorithm sha1
authentication-method pre-share                          

integrity-algorithm hmac-sha1-96                    
prf hmac-sha1
#
ike peer peer1
undo version 1
pre-shared-key cipher %#%#@W4p8i~Mm5sn;9Xc&U#(cJC;.CE|qCD#jAH&/#nR%#%#  //配置预共享密钥为YsHsjx_202206
ike-proposal 1
local-address 60.1.1.1
remote-address 60.1.2.1    //采用IP地址方式标识对等体
#
ipsec policy policy1 10 isakmp  //配置IPSec安全策略
security acl 3000
ike-peer peer1
proposal prop1
#
interface GigabitEthernet0/0/1
ip address 60.1.1.1 255.255.255.0
ipsec policy policy1     //在接口上应用安全策略
#
interface GigabitEthernet0/0/2
ip address 10.1.1.1 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 60.1.1.2  //配置静态路由,保证两端路由可达
#
return

2、配置RouterB

hostname RouterB  //配置设备名称
!
crypto ikev2 proposal prop1
encryption 3des 
integrity sha1
group 2
!
crypto ikev2 policy policy1 
match fvrf any    
match address local 60.1.2.1
proposal prop1  
!
crypto ikev2 keyring key1 
peer peer1           
 address 60.1.1.1                                    
 pre-shared-key local YsHsjx_202206  
 pre-shared-key remote YsHsjx_202206
!   
!    
crypto ikev2 profile profile1
match fvrf any     
match identity remote address 60.1.1.1 255.255.255.0
identity local address 60.1.2.1  
authentication local pre-share  
authentication remote pre-share   
keyring key1      
!          
crypto ipsec transform-set p1 esp-3des esp-sha-hmac   
!  
crypto map p1 ipsec-isakmp    
set peer 60.1.1.1           
set transform-set p1     
set ikev2-profile profile1
match address 100
!
interface GigabitEthernet0/0
ip address 60.1.2.1 255.255.255.0
duplex auto
speed auto
crypto map p1     //在接口上应用安全策略
!
interface GigabitEthernet0/1
ip address 10.1.2.1 255.255.255.0
duplex auto
speed auto
!
!
ip route 0.0.0.0 0.0.0.0 60.1.2.2  //配置静态路由,保证两端路由可达
!
access-list 102 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 //指定被保护的数据流,总部子网访问分支子网的流量
!
end

3、验证结果

# 配置成功后,在PC A上执行ping操作仍然可以ping通PC B。

# 在RouterA上执行display ike sa和display ipsec sa命令,在RouterB上执行show crypto isakmp sa和show crypto ipsec sa命令,均可以看到IPSec隧道配置成功的信息。

# 在RouterA上执行命令display ipsec statistics可以查看数据包的统计信息。

— 年度热文 —

新生代网工必看:华为模拟器eNSP安装教程(附下载链接)

【超详细】思科模拟器EVE的安装与使用,附下载链接

一款功能齐全的网管软件:Ip-tools

收藏!超详细的Oracle 19c安装步骤!

超强linux学习笔记,值得一看(附PDF下载)

K8S认证工程师(CKA)备考与学习指南

《鸟哥Linux私房菜》全新完整中文版PDF

xmweisi
关注
专栏目录
思科cisoc 路由器IKEv2配置ipsec tunnel口隧道
沉默的鹏先生
08-03 4816
环境拓扑图 R1配置 接口配置 R1#configure terminal R1(config)#interface ethernet 1/0 R1(config-if)#no shutdown R1(config-if)#ip address 30.1.1.2 255.255.255.0 R1(config-if)#exit R1(config)#interface ethernet 1/1 R1(config-if)#no shutdown R1(config-if)#ip address
思科2911路由器GRE-OVER-IPSEC典型配置ikev2
normanhere的博客
04-27 664
创建隧道口 小心 MTU 和 模式 MTU 必须是1400 模式必须是 ipsec ipv4 调用IPSEC PROFILE 隧道对端地址 10.0.0.14/31 公网出口ip 60.1.1.1 对端公网地址 222.2.2.2。创建Ikev2 proflie 用IP地址标识对端和自己 调用keyring 认证方式使用预共享秘钥 lifetime 可以不需要配置。创建 IPSEC PROFILE 调用 transform-set 和 ikev2 profile。
思科cisoc 路由器IKEv2使用map配置隧道
沉默的鹏先生
08-04 1493
环境拓扑图 R1配置 接口配置 R1#conf terminal R1(config)#interface ethernet 1/0 R1(config-if)#ip address 172.16.1.193 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface ethernet 1/1 R1(config-if)#no shutdown R1(config-if)#ip address 3
StrongSwan IKEv2 搭建Linux 与 Cisco的 GRE Tunnel over IPsec IKEv2
taylorgogo
06-03 3063
目录StrongSwan IKEv2 搭建Linux 与 Cisco的 GRE Tunnel over IPsec IKEv2环境效果图安装配置应用 StrongSwan IKEv2 搭建Linux 与 Cisco的 GRE Tunnel over IPsec IKEv2 环境 Linux: cat /proc/version Linux version 4.15.0-73-generic (buildd@lcy01-amd64-006) (gcc version 7.4.0 (Ubuntu 7.4.0-1
思科cisoc 路由器配置 IKEv1
沉默的鹏先生
03-25 1395
思科cisoc 路由器配置 IKEv1的命令行配置
IOS IKEv2 IPSec配置(SVTI)
剪刀石头布
09-13 269
1、拓扑 2、目标 通过在R1和R3建立IPSEC,让R1的Lo0和R3的Lo0互通 3、配置步骤 IP地址配置忽略。 3.1、打通路由器连通性 为了实现R1和R3物理接口网段互通,通过R1和R3的静态路由配置。 R1(config)#ip route 23.1.1.0 255.255.255.0 12.1.1.2 R1(config)# R3(config)#ip route 12.1...
思科路由器与阿里云网关建立IPSec隧道配置
weixin_34194702的博客
11-15 824
阿里云端配置1、在阿里云控制台专有网络VPC界面找到IPSec连接菜单;2、创建IPsec连接,输入需要填写的信息;3、配置完成后,可以看到已经创建了一条IPSec隧道条目,点击下载对端配置,然后根据对端配置配置对端的设备;4、找到路由表,添加对应的路由条目。思科路由器端1、根据下载的配置,调整为对应路由器配置;注意:阿里云底层ipsec用的strongswan和思科ike...
Cisco VPP IKEV2 配置说明
迷失的专栏
02-27 4969
1、 配置网络接口地址: cli: set int state GigabitEthernet2/6/0 up set int ip address GigabitEthernet2/6/0 192.168.10.10/24 2、 创建IKEV2配置 cli: ikev2 profile add pr1 //创建名为pr1的IKEV2配置 ikev2 profil...
Cisco路由器IPSec 虚拟专用网原理与详细配置
ccqeqo6397的博客
09-12 751
博文目录一、虚拟专用网概述二、虚拟专用网技术涉及的加密算法三、数据报文验证四、IPSec 虚拟专用网五、ISAKMP/IKE阶段1和阶段2建立过程六、详细配置实现IPSec 虚拟专用网 由于“Virtual Private Network”(请看首字母,就知道是什么了)是敏\感词,所以在博文中使用它的中文名字“虚拟专用网”来代替。 一、虚拟专用网概述 1、虚拟专用网的定义 虚拟专用网就是在两个...
AR路由器 对接配置指南.zip
02-04
华为AR路由与思科路由的对接:配置设备思科路由器采用主模式(IKEv1)建立IPSec隧道示例 配置设备思科路由器采用野蛮模式(IKEv1)建立IPSec隧道示例;配置动态获取IP地址的分支用户向总部思科路由器采用动态...
网络协议IPSec 安全隧道协议族
烟云的计算
05-25 3893
安全封装协议(Encapsulating Security Payload,ESP)也是一种封装协议,与 AH 不同的是,ESP 会将 IP 数据包中的 Payload 进行加密后再封装到 IP 数据包,以保证数据的机密性,但 ESP 没有专门对 IP Header 的内容进行保护。在对身份保护要求较高的场合,则应该使用主模式。值得注意的是,IKE 不是简单的在网络上传输密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥,并且即使第三者截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。
GRE over IPSec
BJH23的博客
09-04 4504
IPSec也可以建Vpn隧道但是因为上边不能跑组播那么就意味着不能跑动态路由协议所以在现网中几乎没有单独用IPSec做Vpn的于是其他更加灵活的Vpn协议结合IPSec-----GREoverIPSec、L2TPoverIPSec就应运而生了GRE over IPSec 最简单理解就是GRE管怎么将数据传给接受者,IPSec管安全、加密、身份验证之类的部分,这两个结合就是GRE over IPSec 而中间over的意思就是。
华为认证HCIA篇--网络通信基础
qq_56999608的博客
09-23 1339
大家好呀!我是reload。今天来带大家学习一下华为认证ia篇的网络通信基础部分,偏重一些基础的认识和概念性的东西。如果对网络通信熟悉的小伙伴可以选择跳过,如果是新手或小白的话建议还是看一看,先有个印象,好为后续的学习做铺垫。一、通信网络1、通信概念通信,是指人与人、人与物、物与物之间通过某种媒介和行为进行的信息传递与交流。简单理解:两者之间通过介质实现的信息交流注:华为设备图标简介2、网络通信...
如何设置路由器最大设备数量以及网速限制
KookeeyLena7的博客
09-23 991
通过设置路由器的最大设备数量和网速限制,你可以有效管理家庭或办公网络的连接情况,防止网络过载并确保关键任务的设备获得足够的带宽。限制设备数量有助于防止不必要的设备连接,提升整体网络的稳定性。网速限制可以确保网络资源合理分配,防止某些设备占用过多带宽。推荐在合理的范围内设置这些参数,以优化网络体验。
FortiGate OSPF动态路由协议配置
Aggy阿吉的博客
09-25 1028
本文使用 4 台 FortiGate 进行说明 , 本文使用的系统版本为 FortiOS v4.0MR2 Patch8。3.1 DR 与 BDR 选举DR–指定路由器,BDR–备份指定路由器。在动态路由协议中,配置在同一区 域内的路由器之间要互相学习链路状态信息,当所有同一区域内的设备都具有相 同的数据链路信息后就可以计算出正确的路由。如果每两台设备之间互相学习, 工作量非常大。
[论文精读]TorWard: Discovery, Blocking, and Traceback of Malicious Traffic Over Tor
最新发布
m0_52911108的博客
09-27 991
期刊名称:IEEE Transactions on Information Forensics and Security中文译名:TorWard:发现,阻止和追踪 Tor 上的恶意流量阅读原因:计网、网安、方班论文主要探讨了在Tor网络上发现、阻止和追踪恶意流量的方法和技术。
如何创建网络白名单
KookeeyLena7的博客
09-25 899
网络白名单(Whitelist)是指允许通过网络访问的特定设备、IP地址、应用程序或网站。与黑名单(Blacklist)相反,白名单机制默认阻止所有连接,只有在白名单中明确允许的访问才能通过。这种策略可以提高网络的安全性,特别是防止未经授权的访问。以下是如何创建网络白名单的详细指南,包括在不同场景中的应用,如家庭网络、企业网络和应用服务器。
什么是VPN Passthrough?
wgl307293845的博客
09-23 1095
VPN Passthrough是路由器上的一项功能,它允许来自本地网络设备的加密 VPN 数据包路由器的防火墙,而不会被阻止或丢弃。VPN Passthrough本身不会建立 VPN 连接。实际的 VPN 连接是在设备(例如您的计算机或智能手机)和 VPN 服务器之间创建的。VPN Passthrough仅有助于此 VPN 流量畅通无阻地通过您的路由器。如果未启用VPN Passthrough,某些较旧的 VPN 协议可能会因与 NAT 冲突而无法正常工作。
IKEv2/IPsec
03-01
IKEv2/IPsec是一种用于建立和管理***:Internet密钥交换版本2(IKEv2)和IPsec(Internet协议安全性)。以下是对IKEv2/IPsec的介绍: 1. IKEv2(Internet密钥交换版本2):IKEv2是一种安全协议,用于在两个通信设备之间建立和管理安全连接。它提供了身份验证、密钥交换和安全参数协商等功能。IKEv2使用了先进的加密算法和密钥管理机制,可以确保通信的机密性和完整性。 2. IPsec(Internet协议安全性):IPsec是一种网络协议,用于保护IP数据包的安全传输。它提供了数据加密、数据完整性验证和身份验证等功能。IPsec可以在网络层对数据进行保护,使得通过互联网传输的数据能够受到保护。 IKEv2/IPsec的工作流程如下: 1. 建立安全关联(SA):通信设备之间通过IKEv2协商建立安全关联,包括身份验证、加密算法、密钥长度等参数的协商。 2. 密钥交换:通过IKEv2协议进行密钥交换,确保通信设备之间共享相同的密钥。 3. 数据传输:使用IPsec协议对数据进行加密和认证,并通过IP网络进行传输。 4. 终止连接:当通信结束时,IKEv2/IPsec会终止连接并释放相关资源。 优点: - 安全性高:IKEv2/IPsec使用了先进的加密算法和密钥管理机制,可以确保通信的机密性和完整性。 - 可靠性强:IKEv2/IPsec具有快速重连和移动设备支持等特性,可以在网络切换或设备移动时保持连接的稳定性。 - 兼容性好:IKEv2/IPsec是一种广泛支持的协议套件,可以在多种操作系统和设备上使用。 缺点: - 配置复杂:IKEv2/IPsec配置相对复杂,需要正确设置身份验证、加密算法等参数。 - 性能开销:由于加密和认证等操作的开销,使用IKEv2/IPsec可能会对网络性能产生一定影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值