思科IPsec VPN基本配置

最新推荐文章于 2024-05-01 19:38:14 发布
最新推荐文章于 2024-05-01 19:38:14 发布
阅读量2.6k 收藏 33
点赞数 2
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_68021856/article/details/131873802
版权

实验拓扑:

首先按照拓扑图给每个接口配上IP地址:

PC1-e0/0:192.168.10.1/24

R1-e0/0:192.168.10.254/24    e0/1:202.101.12.1/24

ISP-R2-e0/0:202.101.12.100/24     e0/1:202.101.23.100/24

R3-e0/0:202.101.23.3/24     e0/1:192.168.30.254/24

PC3-E0/0:192.168.30.1/24

在配置IPSec前首先要保证公网可达:在R1和R3上写一条默认路由

R1(config)# ip route 0.0.0.0 0.0.0.0 202.101.12.100

R3(config)# ip route 0.0.0.0 0.0.0.0 202.101.23.100 

测试R1,R3连通性:

配置IPSec:

①定义感兴趣流

R1(config)#access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255

②配置IKE保护策略

R1(config)#crypto isakmp policy 10 // IKE策略10

R1(config-isakmp)#encryption 3des  // 加密算法3des

R1(config-isakmp)#hash sha    //     sha做完整性校验

R1(config-isakmp)#authentication pre-share //身份验证方式为预共享密钥PSK

R1(config-isakmp)#group 5    //   DH组为5,组别越大,交换强度越高

③定义PSK

R1(config)#crypto isakmp key 123 address 202.101.23.3  //和哪个地址建立密码123的密钥

④定义二阶段保护策略

R1(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac //配置转换集名字myset,                               IPSec的封装协议esp-3des esp-md5-hmac(默认隧道模式tuunel)

⑤创建map将上面的关联在一起

R1(config)#crypto map mymap 10 ipsec-isakmp// 名称mymap,编号10,自动关联ipsec

R1(config-crypto-map)#set peer 202.101.23.3// 关联对等体

R1(config-crypto-map)#set transform-set myset //关联转换集myset

R1(config-crypto-map)#match address 100 // 匹配上面的感兴趣流acl 100

⑥在接口调用(不一定是物理接口)

R1(config)#int e0/1 

R1(config-if)#crypto map mymap

R3上也需要按照这几个步骤来做:部分配置如下

 配置完之后测试连通性:

 并且可通过pc1去Ping pc3, 使用wireshark抓取报文观察主模式和快速模式发送的九个报文:

 

 

微鑫
关注
  • 2
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cisco路由器IPsec配置[文].pdf
10-12
Cisco路由器IPsec配置[文].pdf
思科模拟器三层交换机配置 NAT ACL
07-30
思科模拟器配置文件及其说明,包含三层交换机配置、nat的转换、静态路由的配置和acl的相关知识与配置
Cisco Packet Tracer实战 - IPSec VPN配置练习
weixin_44517249的博客
02-29 1183
IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务
IPSec配置思路——路由器——Cisco实验(详解)
杰森斯坦陈的博客
04-07 8116
Cisco——IPsec配置与概念 IPSec配置思路脑图: 链接: https://pan.baidu.com/s/1R2bB5HWJUsQXJ-2q2F3gSQ 提取码: wq3g 复制这段内容后打开百度网盘手机App,操作更方便哦 一、 理论部分 1. IPsec的模式: 1) 隧道模式:隧道模式是将原有含有内网地址的IP头部进行加密,再生成一个数据包,然后再将数据包外围加上自...
思科IPSec配置
weixin_34067049的博客
06-14 3403
IPSec建立连接的过程一、对等体建立连接大体分为:1、流量触发:IPSec建立连接是首先是由对等体直接的数据流触发的。我们通过配置这些IPSec保护的数据流,可以明确哪些数据流会触发IPSec建立连接2、建立管理连接:IPSec使用ISAKMP/IKE阶段1来建立管理连接。管理连接不进行数据传输,只是数据传输前的准备工作。管理连接阶段需要明确对等体之间的哪种设备验证方式、加密算法、认证算法以及D...
思科vpn配置笔记
qq_48257021的博客
12-20 1685
通过VPN,用户可以在网络中建立一条安全的通道,将数据加密传输,实现隐私保护和匿名上网。crypto map wenmap 1 ipsec-isakmp :这个1 表示该隧道标识,,因为只能用一张表,但是可能一个接口不只一条隧道,改成2就表示另一个隧道了,还可以用这个表。5.防止拒绝服务攻击:IPSec可以根据安全策略对流量进行限制,拦截来自未授权的流量,减少对被保护的资源的攻击。这里的acl起匹配的作用,不起过滤的作用,只有当它应用到接口上时起到过滤流量的作用,在这里是匹配能走vpn的流量。
思科IPSEC配置实验
川的博客
11-05 708
使用思科路由器配置IPSec隧道实验,有完整的数据包发送过程解析,配置过程命令解析。
思科ipsec配置及trouble shooting详解
Grimm的博客
01-25 6147
拓扑: R2模拟总部出口,R3模拟分支出口,R4,R5分别模拟对于内网设备 目的: 使用ipsec vpn打通两端内网 整体配置思路: 1.建立vpn的前提是隧道两端的公网ip网络可达 2.需要配置第一阶段(DH协商,预共享密钥),第二阶段(感兴趣流,转换集(封装协议,封装模式)触发MAP匹配感兴趣流) 3.调用MAP到出口端口 具体配置: 第一阶段 配置DH协商(第一二个报文交互) crypto isakmp policy 10 encryption aes 256 //加密算法 authenticat
IPSec VPN的原理与配置
2301_78256093的博客
06-14 7877
配置安全联盟时,入方向和出方向安全联盟的安全参数索引都必须设置,并且本端的入方向安全联盟的SPI值必须和对端的出方向安全联盟的SPI值相同,而本端的出方向安全联盟的SPI值必须和对端的入方向安全联盟的SPI值相同。入方向和出方向安全联盟的认证密钥都必须设置,并且本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥相同;4、隧道模式中的ESP:对整个原始IP报文和ESP尾部进行加密,对ESP报文头、原始IP报文和ESP尾部进行完整性校验。3、传输模式中,在IP报文头和高层协议之间插入AH或ESP头。
Cisco路由器配置Ipsec
热门推荐
amsilence的博客
10-23 1万+
Cisco 路由器配置Ipsec,以及各阶段的SA内容解读
基于思科模拟器的校园网课程设计和pkt文件
06-17
1.技术主要包括:VLAN,SVI,OSPF,TUNNEL,IPSEC,帧中继,HSRP,链路冗余,NAT,ACL,WEB,DNS,FTP,E-MAIL,DHCP,TELNET等 2.包含课程设计和pkt源文件,可以直接用 3.不包含配置命令文档,想学习如何配置的兄弟自己百度各功能具体实现吧,大同小异嘿嘿 4.希望可以帮到大家
GRE Over IPSec配置及抓包分析.doc
05-20
GRE Over IPSec配置及抓包分析.doc
Cisco路由器IPsec配置.doc
07-12
以下为路由器A的配置,路由器B只需对相应配置作更改即可 1:配置IKE router(config)# crypto isakmp enable #启用IKE(默认是启动的) router(config)# crypto isakmp policy 100 #建立IKE策略,优先级为100 router(config-isakmp)# authentication pre-share #使用预共享的密码进行身份验证 router(config-isakmp)# encryption des #使用des加密方式 router(config-isakmp)# group 1 #指定密钥位数,group 2安全性更高,但更耗cpu router(config-isakmp)# hash md5 #指定hash算法为MD5(其他方式:sha,rsa) router(config-isakmp)# lifetime 86400 #指定SA有效期时间。默认86400秒,两端要一致 以上配置可通过show crypto isakmp policy显示。VPN两端路由器的上述配置要完全一样。 2:配
思科路由器对接山石网科防火墙——IPSec.doc
08-18
思科路由器对接山石网科防火墙——IPSec.doc
H3C SecPathF10X0_L2TP over IPSec配置.IOS、Android、Win7、Win10免客户端接入
04-07
H3C防火墙F10X0 V7版本,配置L2tp over ipsec,实现ios和android以及各版本Windows终端,免客户端接入的配置,内含关键配置点说明。
Cisco路由器配置GRE隧道.docx
07-12
Cisco路由器配置GRE隧道 路由封装(GRE)最早是由Cisco提出的,而目前它已经成为了一种标准,被定义在RFC 1701, RFC 1702, 以及RFC 2784中。简单来说,GRE就是一种隧道协议,用来从一个网络向另一个网络传输数据包。 ...
野蛮模式IPSec的典型组网和配置.pdf
11-12
野蛮模式IPSec的典型组网和配置.pdf
大模型引领未来:探索其在多个领域的深度应用与无限可能【第七章、大模型在科技、网络安全、农业等方面的应用探索】
最新发布
今晚打老虎的专栏
05-01 756
大型模型在科技、网络安全和农业领域的应用持续演进。在科技中,它们加速了天文学和科学研究的进展。在网络安全领域,大模型提高了网络威胁检测和应对的效率。而在农业中,它们帮助农民做出精准决策,优化产量和质量。这些应用展示了大模型在不同领域的广泛用途,为各行业带来新的发展机遇。
利用思科模拟器完成GRE VPN配置
06-11
好的,我可以为您提供一些基本的GRE VPN配置步骤。在思科模拟器中进行GRE VPN配置,需要完成以下步骤: 1. 配置路由器的接口地址,例如:设置Tunnel接口和物理接口的IP地址,使其能够相互通信。 2. 配置GRE隧道,例如:创建一个GRE隧道,将物理接口和Tunnel接口绑定在一起,使其能够传输数据。 3. 配置IP路由,例如:在隧道接口上配置适当的路由,以确保数据可以正确地传输。 4. 配置VPN隧道加密,例如:设置IPsec加密,保护数据传输的安全。 以下是一个简单的GRE VPN配置示例,您可以根据自己的需要进行修改: ``` Router(config)# interface Tunnel0 Router(config-if)# ip address 192.168.10.1 255.255.255.0 Router(config-if)# tunnel source 192.168.1.1 Router(config-if)# tunnel destination 192.168.2.2 Router(config-if)# tunnel mode gre ip Router(config)# interface GigabitEthernet0/0 Router(config-if)# ip address 192.168.1.1 255.255.255.0 Router(config)# interface GigabitEthernet0/1 Router(config-if)# ip address 192.168.2.2 255.255.255.0 Router(config)# ip route 192.168.20.0 255.255.255.0 192.168.10.2 Router(config)# crypto isakmp policy 10 Router(config-isakmp)# authentication pre-share Router(config-isakmp)# encryption aes Router(config-isakmp)# hash sha Router(config-isakmp)# group 2 Router(config)# crypto isakmp key 12345678 address 192.168.2.2 Router(config)# crypto ipsec transform-set myset esp-aes esp-sha-hmac Router(config)# crypto map mymap 10 ipsec-isakmp Router(config-crypto-map)# set peer 192.168.2.2 Router(config-crypto-map)# set transform-set myset Router(config-crypto-map)# match address 101 Router(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.20.0 0.0.0.255 ``` 在这个配置示例中,我们创建了一个Tunnel0接口,并将其绑定到GigabitEthernet0/0和GigabitEthernet0/1接口上。我们还配置了一个IP路由,并设置了隧道加密。 请注意,这只是一个基本的GRE VPN配置示例。您需要根据自己的网络需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值