锐捷网络—VPN功能—IPSEC 扩展配置—IPSec 多感兴趣流配置

最新推荐文章于 2023-09-21 15:39:26 发布
最新推荐文章于 2023-09-21 15:39:26 发布
阅读量489 收藏
点赞数
分类专栏: 锐捷网络 文章标签: 网络 IPSec 兴趣流 vpn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57099902/article/details/132765734
版权

目录

功能介绍

一、组网需求

二、组网拓扑

三、配置要点

四、配置步骤

五、配置验证

六、附录

 

功能介绍

在某些情况下,通过需要通过IPSEC VPN加密的数据,其源或目的地址为多个不同的网段,此时就在配置IPSEC感兴趣流时就需要将所有的网段都定义进来,这就是IPSEC多感兴趣流。

一、组网需求

分支1存在192.168.1.0/24、172.18.0.0/24、172.18.1.0/24这3个网段,这3个网段都需要访问总部的192.168.0.0/24,并且互访的数据需要通过IPSEC VPN进行加密。

二、组网拓扑

三、配置要点

1、配置基本的IPSEC功能

2、在分支1上配置IPSEC多感兴趣流

注意:

RSR10/20 10.3(5b6)之前的版本、RSR30 10.4(3b11)之前的版本、RSR50/RSR50E的多感兴趣流配置方法与本文提供的配置方法不同,具体请参考附录。

四、配置步骤

1、配置基本的IPSEC功能

根据现场环境及客户需求,选择合适的IPSEC部署方案,详细配置参考IPSEC基础配置章节(典型配置--->安全--->IPSEC--->基础配置)

2、在分支1上配置IPSEC多感兴趣流

多感兴趣流的配置与单感兴趣流的配置唯一不同之处,就是在配置感兴趣流的ACL时,将所有网段的流量定义进去:

ip access-list extended 101

    10 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255

    20 permit ip 172.18.0.0 0.0.0.255 192.168.0.0 0.0.0.255

    30 permit ip 172.18.1.0 0.0.0.255 192.168.0.0 0.0.0.255

五、配置验证

完成配置后,在分支1上发起感兴趣流触发IPSEC协商成功后,可以看到分支1与总部间协商成功了多个ipsec sa,每个ipsec sa对应着1对感兴趣流:

site1#ping 192.168.0.1 so 192.168.1.1

Sending 5, 100-byte ICMP Echoes to 192.168.0.1, timeout is 2 seconds:

  < press Ctrl+C to break>

.!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/8/10 ms

site1#ping 192.168.0.1 so 172.18.0.1

Sending 5, 100-byte ICMP Echoes to 192.168.0.1, timeout is 2 seconds:

  < press Ctrl+C to break>

.!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/8/10 ms

site1#ping 192.168.0.1 so 172.18.1.1

Sending 5, 100-byte ICMP Echoes to 192.168.0.1, timeout is 2 seconds:

  < press Ctrl+C to break>

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 10/15/20 ms

site1#show crypto isakmp sa

 destination       source            state                    conn-id           lifetime(second)

 10.0.0.1          10.0.0.2          IKE_IDLE                 0                 86192                //生成1个isakmp sa

site1#show crypto ipsec sa

Interface: FastEthernet 0/0

         Crypto map tag:mymap

  local ipv4 addr 10.0.0.2

         media mtu 1500

         ==================================

         sub_map type:static, seqno:10, id=3

         local  ident (addr/mask/prot/port): (192.168.1.0/0.0.0.255/0/0))

         remote  ident (addr/mask/prot/port): (192.168.0.0/0.0.0.255/0/0))      //针对第1条感兴趣流生成的ipsec sa

         PERMIT

         #pkts encaps: 9, #pkts encrypt: 9, #pkts digest 0

         #pkts decaps: 9, #pkts decrypt: 9, #pkts verify 0

         #send errors 1, #recv errors 0

         Inbound esp sas:

              spi:0x4b8e642c (1267622956)

               transform: esp-3des

               in use settings={Tunnel Encaps,}

               crypto map mymap 10

               sa timing: remaining key lifetime (k/sec): (4606997/3388)

               IV size: 8 bytes

               Replay detection support:N

         Outbound esp sas:

              spi:0x36ee6e8e (921595534)

               transform: esp-3des

               in use settings={Tunnel Encaps,}

               crypto map mymap 10

               sa timing: remaining key lifetime (k/sec): (4606997/3388)

               IV size: 8 bytes

               Replay detection support:N

         ==================================

         sub_map type:static, seqno:10, id=4

         local  ident (addr/mask/prot/port): (172.18.0.0/0.0.0.255/0/0))

         remote  ident (addr/mask/prot/port): (192.168.0.0/0.0.0.255/0/0))   //针对第2条感兴趣流生成的ipsec sa

         PERMIT

         #pkts encaps: 14, #pkts encrypt: 14, #pkts digest 0

         #pkts decaps: 14, #pkts decrypt: 14, #pkts verify 0

         #send errors 1, #recv errors 0

         Inbound esp sas:

              spi:0x1cdd2b74 (484256628)

               transform: esp-3des

               in use settings={Tunnel Encaps,}

               crypto map mymap 10

               sa timing: remaining key lifetime (k/sec): (4606996/3437)

               IV size: 8 bytes

               Replay detection support:N

         Outbound esp sas:

              spi:0x62a1a190 (1654759824)

               transform: esp-3des

               in use settings={Tunnel Encaps,}

               crypto map mymap 10

               sa timing: remaining key lifetime (k/sec): (4606996/3437)

               IV size: 8 bytes

               Replay detection support:N

         ==================================

         sub_map type:static, seqno:10, id=5

         local  ident (addr/mask/prot/port): (172.18.1.0/0.0.0.255/0/0))

         remote  ident (addr/mask/prot/port): (192.168.0.0/0.0.0.255/0/0))  //针对第3条感兴趣流生成的ipsec sa

         PERMIT

         #pkts encaps: 4, #pkts encrypt: 4, #pkts digest 0

         #pkts decaps: 4, #pkts decrypt: 4, #pkts verify 0

         #send errors 1, #recv errors 0

         Inbound esp sas:

              spi:0x1b614775 (459360117)

               transform: esp-3des

               in use settings={Tunnel Encaps,}

               crypto map mymap 10

               sa timing: remaining key lifetime (k/sec): (4606998/3556)

               IV size: 8 bytes

               Replay detection support:N

         Outbound esp sas:

              spi:0x390bcf20 (957075232)

               transform: esp-3des

               in use settings={Tunnel Encaps,}

               crypto map mymap 10

               sa timing: remaining key lifetime (k/sec): (4606998/3556)

               IV size: 8 bytes

               Replay detection support:N

六、附录

1、老版本多感兴趣流的配置方法

注:老版本包括RSR10/20 10.3(5b6)之前的版本、RSR30 10.4(3b11)之前的版本、RSR50/RSR50E

你可知这世上再难遇我
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
3. 详解 IPSec 的 net2net 组网实践
weixin_38387929的博客
06-03 1567
实验环境 本篇记录 IPSec 的 net2net 的组网, 身份认证方式 基于 预共享密钥 (PSK) 模式, 主机采用自定义编译 openwrt-x86 虚拟主机,IPSec 使用 StrongSwan 组件。 测试环境: (1)x86-OpenWRT-19.09 镜像 (2)PVE ( proxmox-6.3.2 ) 网络架构 net2net-psk的组网图,我们可以看到我们至少需要两个客户机Alice和Bob,两个网关Moon和Sun。 第一步 创建 4台 openwrt 的虚机 如何把 op
野蛮模式ipsec的典型组网和配置
weixin_34009794的博客
03-27 1789
野蛮模式ipsec的典型组网和配置 一.IPSec ×××技术原理 1.概述 虚拟专用网(×××)使得用户可以在开放的Internet上基于IPSec或PPTP/L2TP或SSL协议族的一系列加密认证以及密钥交换技术,构建一个安全的私有专网,具有同本地私有网络一样的安全性、可靠性和可管理性等特点,这样可以大大降低了企业/政府/科研机构等建设专门私有网络的...
IPsec VPN 的基本配置
这是一个网络小菜鸡的笔记本,欢迎大家前来纠错。
05-15 2946
B公司是A公司的异地分公司,现要求公司内网可以互相通信,并且要保证数据的安全。R1 模拟公网部分。网络地址规划如下:A公司内网为 192.168.10.0/24B公司内网为 192.168.20.0/24A公司运营商公网网段 10.8.6.0/30B公司运营商公网网段 10.8.6.4/30。
IPSec VPN主备模式
SSR_ZZ的博客
09-21 344
IPSec VPN
路由方式的IPsec下的路由条目的设置
qq_47529104的博客
04-11 1317
1、路由方式传输模式 对于传输模式来说,不适合在安全网关之间架设,即便架设了,防火墙对待这类报文也只是将其当做普通的三层数据报文,然后将其进行数据报文的传递。所以只有在主机到主机之间架设了IPsec之间的互相联系,那么才会对这类报文进行正常的加密和解密。 如这个拓扑,左边的PC1到达FW3且匹配上了感兴趣并做了IPsec的传输封装,那么这个传输报文的源目IP是192.168.1.1 192.168.2.1,那么对于右边的防火墙来说,目的地址不是自己,这就使得右边的FW2对待这类报文的时候会直接将其
锐捷网络入门相关基本命令配置
08-11
【Switch#】configure terminal //由特权模式进入全局配置模式 【Switch(config)#】 4、VLAN模式 【Switch(config)#】vlan 100 //由全局模式进入VLAN模式 【Switch(config-vlan)#】 5、接口模式 【Switch(config)#...
网络设备开局工具,固定变量批量配置,华为华三H3C思科锐捷批量生成脚本
06-13
网络设备开局工具 python 固定变量 批量配置 华为 华三 H3C 思科 锐捷 批量 生成配置开局脚本
锐捷路由器RSR77配置指南
最新发布
05-28
RG-RSR77-X&RSR-M&RSR77 V5.0&RSR50E-80 V5.0系列路由器RGOS 10.4(3b136)p4版本配置指南(V1.0)
接入层交换机配置模板-锐捷S2900
03-21
接入层交换机配置模板-锐捷S2900
锐捷交换机常用功能配置案例集(V1.0).zip
03-25
锐捷交换机常用功能配置案例集
野蛮模式IPSec的典型组网和配置.pdf
11-12
野蛮模式IPSec的典型组网和配置.pdf
IPSEC扩展总结
weixin_56102955的博客
04-11 560
一、根据以下问题总结当天内容 1.什么是数据认证,有什么作用,有哪些实现的技术手段? 2.什么是身份认证,有什么作用,有哪些实现的技术手段? 3.什么VPN技术? 4.VPN技术有哪些分类? 5.IPSEC技术能够提供哪些安全服务? 6.IPSEC的技术架构是什么? 7,AH与ESP封装的异同? 8.IKE的作用是什么? 9.详细说明IKE的工作原理? 10.IKE第一阶段有哪些模式?有什么区别,使用场景是什么? 11.ipsec在NAT环境下会遇到什么问题?--12.详细分析NAT环境下IPSEC的兼容问
VPN部署场景——IPSec VPN—点到点VPN(1)
君逍遥o
09-21 1370
如图所示,通过VPN将2个局域网连接起来,实现192.168.0.0/24与192.168.1.0/24两个网段的通信
不同网段的局域网怎么互通_地址重合的多个局域网络使用IPSEC点到点组网
weixin_39929259的博客
12-08 6940
背景本文主要探讨多个使用相同网段(或网段地址有交叉)的局域网如何通过ipsec异地组网。如果是在正常情况,AB两个网络希望实现LAN-TO-LAN,一般的做法是借助ipsec建立点到点连接,并建立防火墙允许策略,感兴趣量网段里的终端即可直接互访。回到今天的目标,由于两边的网段相同(或部分重合),感兴趣量就无法正常配置,而且也无从区分某个ip地址属于哪一侧。问题的症结在什么地方已经清楚...
华为防火墙IPSEC简单搭建
baidu_41701694的博客
09-05 3592
消息属于第一次交换(称为IKE_SA_INIT交换),以明文方式完成IKE SA的参数协商,包括协商加密和验证算法,交换临时随机数和DH交换。创建子SA交换包含两条消息,用于一个IKE SA创建多个IPSec SA或IKE的重协商,对应IKEv1的第二阶段。该交换必须在初始交换完成后进行,交换消息由初始交换协商的密钥进行保护。该交换的发起者可以是初始交换的协商发起方,也可以是初始交换的协商响应方。2-设置ike peer,主要设置协商用的密码,应用ike-proposal 和设置对端IP。
思科ipsec配置野蛮模式fqdn主动协商以及调试show命令
ly_6118的博客
11-01 5849
lo1----Cisco sw---------|FW1|-------------|FW2|------lo2 cisco sw接口ip:119.3.149.150 FW2接口ip:10.37.240.129 lo1:172.100.109.144 lo2: 11.37.1.1 感兴趣:11.37.1.0/24------172.100.109.144/28 使用思科三层交换机型号WS-C36...
IPSec对NAT网关内部多个连接的支持
redwingz的博客
12-05 1756
以下根据strongswan代码中的testing/tests/ikev2/nat-rw-mark/中的测试环境,在安全连接的两个节点之间存在NAT网关的情况,并且在安全网关上对外部连接的端点地址在访问内部网络之前,执行SNAT操作,适用于外部的分支使用与总部不同网段地址的情况。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟网关moon和sun。 sun网关配置 sun的配置文件:/etc/ip...
为什么IPsec两端内网的网段能不能重复?分明可以实现!
衡水铁头哥的博客
07-15 3847
上一个IPsec实验,我们测试了两端不同子网的隧道打通,那能不能打通两端相同的子网呢? 原则上是不行的,因为不同站点的网段在设计时就要求不能冲突,这样会影响报文的正常转发。当分支数量大于2个时,也会导致不同隧道的保护量源目地址段重复,进而导致数据转发异常。 但是,大二层网络技术都已经实现了,为什么IPsec不能用呢?我们来一步一步地分析一下具体原因和解决办法。 组网需求和组网图 和上个实验相同。在RT1和RT2之间建立一条IPsec隧道,对PCA(192.168.1.101/24)与PCB(192
锐捷IPsec配置指令
05-16
以下是锐捷设备IPsec VPN的常用配置指令: 1. 创建IPsec策略 ``` ipsec policy add <name> <action> <src> <dst> <proto> <s_port> <d_port> <crypt> <auth> ``` 具体参数说明: - `<name>`:IPsec策略名称,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你可知这世上再难遇我

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值