2020-11-21

最新推荐文章于 2022-09-29 18:23:09 发布
最新推荐文章于 2022-09-29 18:23:09 发布
阅读量527 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zelf/article/details/109906644
版权
配置IPsec  VPN 隧道(策略组)示例


要求:

如图所示,AR2和AR3为分支网关,AR1为总部网关。分支连接有多个私网网络,需要和总部建立安全的通信连接。在AR1部署IPSec策略组,就可以接入各分支发起的IPSec协商,完成多条IPSec隧道的建立。

 

路由器配置IPsec VPN 隧道(策略组)示例-1984607-1

 

 


 

总部:

 

AR1:

 

#

 

 sysname AR1

 

#

 

acl number 3001 

 

 rule 1 permit ipsource 192.168.1.0 0.0.0.255

 

acl number 3002 

 

 rule 1 permit ipsource 192.168.1.0 0.0.0.255 destination 172.100.10.0 0.0.0.255  

 

                                     \\允许去往分部 1 的acl

 

acl number 3003 

 

 rule 1 permit ipsource 192.168.1.0 0.0.0.255 destination 100.100.100.0 0.0.0.255        

 

                                     \\允许去往分部 2 的acl

 

#

 

ipsec proposal tran1  \\配置安全提议

 

#

 

ike peer rut1 v2      \\配置IKE Peer (分部 1)  

 

 pre-shared-key simpleadmin

 

 remote-address111.111.111.1

 

ike peer rut2 v2      \\配置IKE Peer (分部 2)  

 

 pre-shared-key simpleadmin

 

 remote-address222.222.222.1

 

#

 

ipsec policy policy1 10isakmp     \\配置安全策略 1(分部 1)

 

 security acl 3002

 

 ike-peer rut1

 

 proposal tran1

 

ipsec policy policy2 11isakmp      \\配置安全策略 2(分部 2)

 

 security acl 3003

 

 ike-peer rut2

 

 proposal tran1

 

#

 

interfaceGigabitEthernet0/0/0

 

 ip address222.222.222.2 255.255.255.252

 

 ipsec policy policy2     \\在接口上引用安全策略 2

 

 nat outbound 3001

 

#

 

interfaceGigabitEthernet0/0/1

 

 ip address111.111.111.2 255.255.255.252

 

 ipsec policy policy1      \\在接口上引用安全策略 1

 

 nat outbound 3001

 

#

 

interfaceGigabitEthernet0/0/2

 

 ip address 10.10.10.1255.255.255.0

 

#

 

ip route-static 0.0.0.00.0.0.0 111.111.111.1

 

ip route-static 0.0.0.00.0.0.0 222.222.222.1

 

ip route-static100.100.100.0 255.255.255.0 222.222.222.1   \\配置到分部2内网的静态路由

 

ip route-static111.111.111.0 255.255.255.0 111.111.111.1   \\配置到分部1外网端的静态路由

 

ip route-static 172.100.10.0255.255.255.0 111.111.111.1    \\配置到分部1内网的静态路由

 

ip route-static 192.168.1.0255.255.255.0 10.10.10.2

 

ip route-static222.222.222.0 255.255.255.0 222.222.222.1    \\配置到分部2外网端的静态路由

 

 

 

 

 

S1:

 

 

 

#

 

sysname S1

 

#

 

vlan batch 10 20

 

#

 

dhcp enable

 

#

 

ip pool 1

 

 gateway-list192.168.1.1

 

 network 192.168.1.0mask 255.255.255.0

 

 dns-list 8.8.8.8 

 

#

 

interface Vlanif10

 

 ip address 10.10.10.2255.255.255.0

 

#

 

interface Vlanif20

 

 ip address 192.168.1.1255.255.255.0

 

 dhcp select global

 

#

 

interfaceGigabitEthernet0/0/1

 

 port link-type access

 

 port default vlan 20

 

#

 

interfaceGigabitEthernet0/0/2

 

 port link-type access

 

 port default vlan 10

 

#

 

ip route-static 0.0.0.00.0.0.0 10.10.10.1

 

 

 

 

 

分部1

 

AR2:

 

 

 

#

 

 sysname AR2

 

#

 

acl number 3001 

 

 rule 1 permit ipsource 172.100.10.0 0.0.0.255 destination 192.168.1.0 0.0.0.255   

 

                                   \\允许去往总部的acl

 

acl number 3002 

 

 rule 1 permit ipsource 172.100.10.0 0.0.0.255

 

#

 

ipsec proposal tran1   \\配置安全提议

 

#

 

ike peer rut1 v2   \\配置IKE Peer

 

 pre-shared-key simpleadmin

 

 remote-address111.111.111.2

 

#

 

ipsec policy policy1 10isakmp    \\配置安全策略

 

 security acl 3001

 

 ike-peer rut1

 

 proposal tran1

 

#

 

interfaceGigabitEthernet0/0/1

 

 ip address111.111.111.1 255.255.255.252

 

 ipsec policy policy1  \\在接口上引用安全策略

 

 nat outbound 3002

 

 

 

#

 

interfaceGigabitEthernet0/0/2

 

 ip address 20.20.20.1255.255.255.0

 

#

 

iproute-static 0.0.0.0 0.0.0.0 111.111.111.2

 

ip route-static111.111.111.0 255.255.255.0 111.111.111.2  \\配置到总部外网端的静态路由

 

ip route-static 172.100.10.0255.255.255.0 20.20.20.2

 

ip route-static 192.168.1.0255.255.255.0 111.111.111.2    \\配置到总部内网的静态路由

 

 

 

 

 

S2:

 

 

 

#

 

sysname S2

 

#

 

vlan batch 10 20

 

#

 

dhcp enable

 

#

 

ip pool 1

 

 gateway-list172.100.10.1

 

 network 172.100.10.0mask 255.255.255.0

 

 dns-list 8.8.8.8

 

#

 

interface Vlanif10

 

 ip address 20.20.20.2255.255.255.0

 

#

 

interface Vlanif20

 

 ip address172.100.10.1 255.255.255.0

 

 dhcp select global

 

#

 

interfaceGigabitEthernet0/0/1

 

 port link-type access

 

 port default vlan 20

 

#

 

interfaceGigabitEthernet0/0/2

 

 port link-type access

 

 port default vlan 10

 

#

 

ip route-static 0.0.0.00.0.0.0 20.20.20.1

 

 

 

 

 

分部2

 

AR3:

 

 

 

#

 

 sysname AR3

 

#

 

acl number 3001 

 

 rule 1 permit ipsource 100.100.100.0 0.0.0.255 destination 192.168.1.0 0.0.0.2

 

55       \\允许去往总部的acl

 

acl number 3002 

 

 rule 1 permit ipsource 100.100.100.0 0.0.0.255

 

#

 

ipsec proposal tran1  \\配置安全提议

 

#

 

ike peer rut1 v2       \\配置IKE Peer

 

 pre-shared-key simpleadmin

 

 remote-address222.222.222.2

 

#

 

ipsec policy policy1 10isakmp     \\配置安全策略

 

 security acl 3001

 

 ike-peer rut1

 

 proposal tran1

 

#

 

interfaceGigabitEthernet0/0/0

 

 ip address222.222.222.1 255.255.255.252

 

 ipsec policy policy1       \\在接口上引用安全策略

 

 nat outbound 3002

 

#

 

interfaceGigabitEthernet0/0/1

 

 ip address 30.30.30.1255.255.255.0

 

#

 

interfaceGigabitEthernet0/0/2

 

#

 

ip route-static 0.0.0.00.0.0.0 222.222.222.2

 

ip route-static 192.168.1.0255.255.255.0 222.222.222.2      \\配置到总部内网的静态路由

 

ip route-static 100.100.100.0 255.255.255.0 30.30.30.2

 

ip route-static222.222.222.0 255.255.255.0 222.222.222.2     \\配置到总部外网端的静态路由

 

 

 

 

 

S3:

 

 

 

#

 

sysname S3

 

#

 

vlan batch 10 20

 

#

 

dhcp enable

 

#

 

ip pool 1

 

 gateway-list100.100.100.1

 

 network 100.100.100.0mask 255.255.255.0

 

 dns-list 8.8.8.8

 

#

 

interface Vlanif10

 

 ip address 30.30.30.2255.255.255.0

 

#

 

interface Vlanif20

 

 ip address100.100.100.1 255.255.255.0

 

 dhcp select global

 

#

 

interfaceGigabitEthernet0/0/1

 

 port link-type access

 

 port default vlan 10

 

#

 

interfaceGigabitEthernet0/0/2

 

 port link-type access

 

 port default vlan 20

 

#

 

ip route-static 0.0.0.00.0.0.0 30.30.30.1

 

 

 

zelf
关注
XFRM -- IPsec协议的内核实现框架
品学楼A107
09-30 3415
IPsec协议帮助IP层建立安全可信的数据包传输通道。当前已经有了如StrongSwan、OpenSwan等比较成熟的解决方案,而它们都使用了Linux内核中的XFRM框架进行报文接收发送。 XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才能还原为原始报文;同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。 Overview X...
IPSec NAT穿越静态配置和问题
redwingz的博客
05-22 2920
网络拓扑 |-------------------| |-------------------| | | | | | 192.168.1.115 | <---------> | 192.168.1.142 | | ...
GRE协议与传输模式下IPSec隧道
redwingz的博客
12-03 4126
以下根据strongswan代码中的testing/tests/route-based/net2net-gre/中的测试环境,来看一下GRE报文通过IPSec隧道的情况。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟网关moon和sun。 sun网关配置 sun的配置文件:/etc/swanctl/swanctl.conf,内容如下。注意其中的gre子连接配置,local_ts和remote_t...
IPSec对NAT网关内部多个连接的支持
redwingz的博客
12-05 1855
以下根据strongswan代码中的testing/tests/ikev2/nat-rw-mark/中的测试环境,在安全连接的两个节点之间存在NAT网关的情况,并且在安全网关上对外部连接的端点地址在访问内部网络之前,执行SNAT操作,适用于外部的分支使用与总部不同网段地址的情况。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟网关moon和sun。 sun网关配置 sun的配置文件:/etc/ip...
AUTOSAR R21-11 规范文档AUTOSAR-SWS-WirelessEthernetTransceiverDriver
最新发布
04-04
### AUTOSAR R21-11 规范文档 AUTOSAR_SWS_WirelessEthernetTransceiverDriver 知识点解析 #### 一、AUTOSAR简介与Wireless Ethernet Transceiver Driver概述 **AUTOSAR(AUTomotive Open System ARchitecture)**...
湖北武汉新洲区2020-2020学年七年级上期末试卷--数学.doc
10-11
这份文档是湖北武汉新洲区2020-2020学年七年级上学期的数学期末试卷,主要涵盖了一年级初中生需要掌握的基础数学知识。试卷包括选择题、填空题和解答题,涉及了数学术语、运算、几何、代数等多个方面。 1. 选择题:...
2020-11-21 根据orthofinder的结果利用单拷贝直系基因建树
Hakuna_mata_ta_的博客
11-21 2388
单拷贝直系同源基因多序列比对 在orthofinder运行后的结果Single_Copy_Orthologue_Sequences文件夹中有所需要的直系同源基因的序列 for i in *.fa; do linsi $i > $i.1; done 提取保守序列 conda install Gblocks for i in *.1; do Gblocks $i -t=p -e=.2; done 序列合并 for i in *.2; do seqkit sort $i > $i.3;.
HW-2020-11-otus-spring-kryukov
03-21
培训时间:24.11.20 — 29.05.21 学生:Kryukov Sergey Alexandrovich 证书: 作业№1(主题:“ Spring框架简介”) 作业№2(主题:“配置Spring应用程序”) 作业№3(主题:“Sprint Boot的黑魔法”) 作业№4...
辽宁省沈阳市级重点高中联合体2020-2021学年高一下学期期末考试数学试题 .docx
08-20
7. **解答题**:解答题部分进一步考察学生的综合应用能力,如第17题中的余弦定理应用,第18题中的平面几何证明,第20题的函数单调性分析,第21题的平面与平面的关系证明,第22题的向量与函数的结合问题,这些都需要...
百万级别长连接,并发测试指南
weixin_33674976的博客
03-22 3125
前言 都说haproxy很牛x, 可是测试的结果实在是不算满意, 越测试越失望,无论是长连接还是并发, 但是测试的流程以及工具倒是可以分享分享。也望指出不足之处。 100w的长连接实在算不上太难的事情,不过对于网上关于测试方法以及测试工具的相关文章实在不甚满意,才有本文。 本文有两个难点,我算不上完全解决。 后端代码的性能. linux内核参数的优化. 环境说明 下面所有的测试机器都是基于op...
IPsec and SNAT
奋斗中拥有
06-18 3090
Do not MASQ or NAT packets to be tunneledIf you are using IP masquerade or Network Address Translation (NAT) on either gateway, you must now exempt the packets you wish to tunnel from this treatment.
使用StrongSwan配置IPSec
热门推荐
Xiaowo
03-22 5万+
使用StrongSwan对IPSec进行研究,是一种很好的理解IPSec的实践。然而StrongSwan在使用的过程中实在是有太多的坑,网上的教程也多有不完整的地方,几乎没有能彻彻底底说明白每一步的,导致我在使用StrongSwan的过程中各种抓耳挠腮。程序员自然要造福程序员,在这里特将StrongSwan使用中所遇到的完整步骤记录下来,希望有所帮助。准备工作准备工作可不是简单地装个StrongSw
学习笔记——IPSec
shinylife的博客
04-08 1万+
IPSec
×××中ipsec—isakmp的实现(中)
weixin_34291004的博客
12-14 366
×××中ipsec—isakmp的实现 说明:动态ipsec是通过isakmp的方法实现,是用户两端自动学习协商建立sa,无需手工建立。 注:由于实验条件有限,Internet有路由器代替模拟。 一、Fw-1的配置 [fw-1]inter eth0/0 [fw-1-Ethernet0/0]ip add 192.168.101.55 255...
计算机网络基础02-linux虚拟网络隔离(网桥bridge,路由,虚拟网卡veth)
liaomin416100569的专栏
09-29 5351
通过linux的虚拟网络隔离,来模拟熟悉交换机,路由器,网卡,网桥等物理设备间的关系和区别。网桥:是一种虚拟设备,可以将 Linux 内部多个网络接口连接起来,一个网络接口接收到网络数据包后,会复制到其他网络接口中,Bridge 是二层设备,仅用来处理二层的通讯。Bridge 使用 MAC 地址表来决定怎么转发帧(Frame)。Bridge 会从 host 之间的通讯数据包中学习 MAC 地址。
failed to connect to /172.20.100.117 (port 18899): isConnected failed: ECONNREFUSED (Connection refu
with sb to do something
07-05 2490
failed to connect to /172.20.100.117 (port 18899): isConnected failed: ECONNREFUSED (Connection refused) 报这个错的原因是服务端连接没开,需要开启服务端以后才能传参成功。。。 ...
MYSQL系列:远程登陆mysql(指定端口号)
NIO4444
04-03 1306
mysql -uroot -P 3309 -h192.168.0.1 -p123456
根据时间段【2020-11-20 09:09:09,2021-10-09 10:10:10】先转换为【2020-11-20 00:00:00,2021-10-09 59:59:59】 再根据转换时间把里面的每一天的开始时间和结束时间获取出来 java
05-24
可以通过Java中的日期时间类 `LocalDate` 和 ...End time of 2020-11-21: 2020-11-21T23:59:59.999999999 ... Start time of 2021-10-09: 2021-10-09T00:00 End time of 2021-10-09: 2021-10-09T23:59:59.999999999 ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值