1、使用路由器之间来完成IPSec的加密互通
2、使用防护墙完成IPSec的加密互通
实验拓扑:
实验目的:
使用防火墙来进行IPSec的配置,保证数据的加密性,实现pc之间的互通
实验分析:
1、首先需要在防火墙上建立sa(安全联盟),使用ike来进行动态协商,他的用途是为IPSec通信双方,动态的建立安全联盟sa,对sa进行管理与维护;还有就是为IPSec生成密钥,提供AH/ESP加解密和验证使用。
2、存在两个阶段:
- ike sa 对等体之间的身份特征、IPSec之间的密钥生成和交换
- 主模式
- 野蛮模式
- 用已经建立的安全联盟iskmp sa 的安全通道为IPSec协商安全服务,建立IPSec sa 产生用于业务数据加密的密钥
实验配置:
首先进行第一阶段的配置:我们采用主模式
首先是发送本地ike安全参数(加密算法、hash算法、身份验证、密钥交换算法、密钥有效期)
FW1 (防火墙1与防火墙2相互对应)
修改IPSec的策略;
修改服务类型为:udp端口号为500,esp
第二阶段的配置:
调用感兴趣流量:(针对于加密的流量也就是说是pc1 -pc2shi)