锐捷 IPsec 嵌套

已于 2023-12-07 09:38:20 修改
阅读量75 收藏 2
点赞数
分类专栏: GZ073 网络系统管理赛项 A模块 文章标签: 网络 计算机网络
于 2023-12-07 08:50:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55444377/article/details/134845999
版权

配置步骤

1. 步骤一 -- IPSEC配置要点(两种模式配置有区别)( 以 GRE 为例 )

GRE over IPsec

IPsec over GRE

ACL定义:

以GRE隧道源目地址为感兴趣流:

access-list 101 permit ip host 222.100.100.1 host 222.200.200.1

以内网地址为感兴趣流:

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

应用端口:

公网出口 :

interface GigabitEthernet 0/0

cryto map mamap

GRE Tunnel上:

interface tunnel 1

cryto map mamap

2. 步骤二 -- IPSEC配置要点(两种模式配置有区别)( 以 L2TP 为例 )

L2TP over IPsec

IPsec over L2TP

ACL定义:

以L2TP隧道源目地址为感兴趣流:

access-list 101 permit ip host 1.1.1.2 host 1.1.1.1

以内网地址为感兴趣流:

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

预共享密钥peer

对方公网地址:

GI0/0:222.200.200.1;

crypto isakmp key 0 ruijie address 222.200.200.1

对方L2TP隧道地址:

LOOP:1.1.1.1

crypto isakmp key 0 ruijie address 1.1.1.1

Cryto may 的peer地址

对方公网地址: GI0/0:222.200.200.1

crypto map mymap 5 ipsec-isakmp

set peer 222.200.200.1

对方L2TP隧道地址: LOOP:1.1.1.1

crypto map mymap 5 ipsec-isakmp

set peer 1.1.1.1

应用端口:

公网出口 :

interface GigabitEthernet 0/0

cryto map mamap

L2TP 虚接口:

interface Virtual-Template 1

crypto map mymap

左西右dong
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
锐捷网络—VPN功能—IPSec-L2TP-GRE嵌套使用说明
君逍遥o
09-14 1051
IPSEC/GRE/L2TP可以嵌套使用,场景的模型有: GRE over IPSEC IPSEC over GRE L2TP over IPSEC IPSEC over L2TP
2022全国职业院校技能大赛-网络系统管理-Ruijie网络模块-真题解析 1
君逍遥o
12-02 912
2022全国职业院校技能大赛-网络系统管理-Ruijie网络模块-真题
锐捷GRE over ipsec vxn配置 ----尚文网络奎哥
weixin_42081313的博客
09-13 3047
IPsec vpn作为目前网络中较为常见的VPN技术,存在着不能传递组播流量的缺点,致使使用ipsec vpn不能使用ospf实现网段的动态添加,有内部网段信息改变配置比较麻烦。GRE vpn可以传递组播流量使用ospf,配置也比较简单,但是不能实现加密不够安全。那么为什么不将两个vpn结合起来使用呢?
网络技能大赛-2019年国赛真题[2019年全国职业技能大赛高职组计算机网络应用赛项真题-H卷]AC/AP/EG部分答案详解
热门推荐
冷色调的夏天的博客
10-09 2万+
2022年全国职业技能大赛网络系统管理赛项相较2021年再次做出改动,Linux部分从之前的Debian又换回了CentOS,不过相应增加了UOS国产操作系统。 再怎么变比赛的东西也就那么多,希望大家都能勇于动手尝试,多多摸索,愿大家都能取得一个理想的成绩! **交流共享资料群号:926132419**
网络基础之(2)初级网络知识
Once_day的回忆
08-03 736
网络协议是为计算机网络中进行数据交换而建立的规则、标准或约定的集合。语义:解释控制信息每个部分的意义,规定了需要发出何种控制信息,以及完成的动作与做出什么样的响应。语法:用户数据与控制信息的结构与格式,以及数据出现的顺序。时序:事件发生顺序的详细说明。为什么需要对协议分层?降低单个协议复杂程度,利于实现层间独立,易于标准化保持协议栈的灵活性。层间关系?每一层都使用了下一层提供的服务,每一层都为上一层提供服务。
华为云计算HCIE学习笔记-FusionAccess
魔仙堡的仙女的博客
12-22 1万+
华为FusionAccess桌面云解决方案是基于华为云平台的一种虚拟桌面应用,通过在云平台上部署华为桌面云软件,使终端用户通过瘦客户端或者其他设备来访问跨平台的整个客户桌面和应用。 桌面云就是一个桌面池,这个池子中每一个桌面都有一个User来关联,信息靠HDC维护,写在DB中。 FusionAccess就是VDI(虚拟桌面基础设施)Virtual Desktop Infrastructure。FA是实现方式,VDI是一套解决方案。用虚拟桌面来替代物理PC。 物理PC:本地计算/处理,数据local
锐捷NBRRGOS11.9
07-01
锐捷NBRRGOS11.9
锐捷POE交换机配置实例
05-03
锐捷POE交换机配置实例 本文档将详细介绍锐捷POE交换机的配置实例,包括基本配置、安全设置、VLAN配置、路由配置等方面的知识点。 基本配置 在配置锐捷POE交换机之前,需要首先设置管理员用户名和密码。这里使用...
锐捷交换机配置模版
02-25
### 锐捷交换机配置模版解析 #### 一、基本配置 - **hostname SW1**:设置交换机名称为SW1。 - **clock timezone beijing +8 0**:设置时区为北京时间(东八区)。 - **username admin icloud privilege 15 ...
华为锐捷visio图标.zip
06-27
华为锐捷visio图标.zip
2022锐捷PM题 .docx
04-15
根据提供的信息,我们可以总结出以下相关的IT项目管理知识点: ### 风险类别识别 **题目**: 某项目在规划阶段识别出的风险是:客户业务部门对软件需求频繁提出变更,一周之内已经变更了五版软件需求说明书,请问该...
浏览器发送HTTP请求的过程
最新发布
学Python的小白!
08-25 817
浏览器发送HTTP请求的过程是一个复杂但有序的步骤,‌主要包括以下几个阶段:‌1.构建请求,2.查找缓存、3.DNS解析、4.建立TCP连接、5.发送HTTP请求、6.服务器处理请求、7.服务器发送响应、8.客户端处理响应、9.关闭连接。
哪些类型的企业需要开展TPM管理培训?
tianxingjian713的博客
08-23 870
例如汽车制造企业、电子制造企业等,这些企业的生产线通常由大量高精度的自动化设备组成,一旦设备出现故障,可能会导致整个生产线停产,造成巨大的经济损失。开展TPM管理培训可以提高员工对设备的维护和管理能力,延长设备的使用寿命,降低设备维修成本,提高物流服务的效率和质量。通过开展TPM管理培训,让设备操作人员、维护人员和管理人员共同参与设备维护,实现设备的零故障运行,从而提高企业的竞争力。通过开展TPM管理培训,让员工了解设备的运行原理和风险点,加强设备的日常巡检和维护,提高设备的安全性和可靠性。
系统编程 网络 http协议
qq_69971969的博客
08-24 370
--------------------------------------表示了资源所在的路径。意思:域名解析=>把对应的域名解析为对应的ip。<协议>://<主机>:<端口>/<路径>万维网:http解决万维网之间互联互通。http:应用层协议,底层是tcp协议。http协议------应用层的协议。1.如何在万维网中表示一个资源?http协议加密:tls,ssl。计算机web端网络只能看到文字。<http>只是协议的一种。html 超文本标记语言。http 超文本传输协议。
《Cloud Native Data Center Networking》(云原生数据中心网络设计)读书笔记 -- 07数据中心的边缘
梆子井欢喜坨的博客
08-21 772
本章将帮助你回答以下问题。
Modbus-TCP——Libmodbus安装和使用(Ubuntu22.04)
计算机硕士的博客
08-21 375
Modbus-TCP——Libmodbus安装和使用。
网络互联基础
任我行的博客
08-25 250
与集线器相连的所有主机组成一个简单局域网LAN,都属于同一个冲突域,且属于同一个广播域。
计网面经111
qq_43578042的博客
08-24 119
3、流量控制:TCP使用滑动窗口协议来控制发送方发送数据的速率,接收方会告诉发送方它的缓冲区大小,发送方会根据接收方的缓冲区大小来控制发送速率,确保接收方不会因为太快而丢失数据。2、序列号和确认号:TCP将每个数据段都分配一个序列号和确认号,序列号用于标识数据段的位置,确认号用于确认已经收到的数据段的位置,这样可以避免数据丢失或乱序。通过以上这些机制,TCP保证了数据的可靠传输,但是也会造成一定的延迟,因为数据包需要等待确认和重传,以及滑动窗口和拥塞控制会限制发送速率。
锐捷IPsec的配置指令
05-16
以下是锐捷设备IPsec VPN的常用配置指令: 1. 创建IPsec策略 ``` ipsec policy add <name> <action> <src> <dst> <proto> <s_port> <d_port> <crypt> <auth> <pfs> ``` 具体参数说明: - `<name>`:IPsec策略名称,自定义命名。 - `<action>`:数据包处理方式,可选参数为`encrypt`、`decrypt`、`ipsec`、`clear`。 - `<src>`:源地址,可以是单个IP地址、网段或者`any`。 - `<dst>`:目的地址,可以是单个IP地址、网段或者`any`。 - `<proto>`:协议类型,可选参数为`ah`、`esp`、`ipcomp`。 - `<s_port>`:源端口,可选参数为`any`或者具体的端口号。 - `<d_port>`:目的端口,可选参数为`any`或者具体的端口号。 - `<crypt>`:加密算法,可选参数为`des`、`3des`、`aes128`、`aes192`、`aes256`。 - `<auth>`:认证算法,可选参数为`hmac-md5`、`hmac-sha1`、`hmac-sha2-256`、`hmac-sha2-384`、`hmac-sha2-512`。 - `<pfs>`:PFS(Perfect Forward Secrecy)算法,可选参数为`group1`、`group2`、`group5`、`group14`、`group19`、`group20`。 例如,创建一个名为`myipsec`的IPsec策略,源地址为`10.0.0.0/24`,目的地址为`192.168.0.0/24`,协议类型为`esp`,加密算法为`aes256`,认证算法为`hmac-sha2-512`,PFS算法为`group5`,数据包处理方式为`encrypt`,则指令为: ``` ipsec policy add myipsec encrypt 10.0.0.0/24 192.168.0.0/24 esp any any aes256 hmac-sha2-512 group5 ``` 2. 配置IPsec连接 ``` ipsec peer add <name> <addr> <auth> <crypt> <pfs> <local> <remote> <mode> ``` 具体参数说明: - `<name>`:IPsec连接名称,自定义命名。 - `<addr>`:远程IP地址。 - `<auth>`:认证算法,可选参数为`hmac-md5`、`hmac-sha1`、`hmac-sha2-256`、`hmac-sha2-384`、`hmac-sha2-512`。 - `<crypt>`:加密算法,可选参数为`des`、`3des`、`aes128`、`aes192`、`aes256`。 - `<pfs>`:PFS(Perfect Forward Secrecy)算法,可选参数为`group1`、`group2`、`group5`、`group14`、`group19`、`group20`。 - `<local>`:本地IP地址。 - `<remote>`:远程IP地址。 - `<mode>`:模式,可选参数为`main`(主模式)或`aggressive`(快速模式)。 例如,创建一个名为`myvpn`的IPsec连接,本地IP地址为`192.168.1.1`,远程IP地址为`10.0.0.1`,认证算法为`hmac-sha1`,加密算法为`aes128`,PFS算法为`group2`,模式为`main`,则指令为: ``` ipsec peer add myvpn 10.0.0.1 hmac-sha1 aes128 group2 192.168.1.1 10.0.0.1 main ``` 以上是锐捷设备IPsec VPN的常用配置指令,具体使用时还需根据实际需求进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值