IPSEC VPN
1. IPsec
1.1 IPSec基础
IPSec(IP Security)是IETF定义的一组协议,用于增强IP网络的安全性。
IPSec协议集提供如下安全服务:
数据完整性(Data Integrity)
认证(Autentication)
保密性(Confidentiality)
应用透明安全性(Application-transparent Security)
1.2 IPSec原理
IPSec功能分为三类:认证头(AH)、封装安全负荷(ESP)、Internet密钥交换协议(IKE)。
认证头(AH):提供数据完整性和数据源认证,但不提供数据保密服务,实现算法有MD5、SHA。
封装安全负荷(ESP):提供数据加密功能,加密算法有DES、3DES、AES等。
Internet密钥交换协议(IKE):用于生成和分发在ESP和AH中使用的密钥(500,UDP)。
1.3 IPSec两种封装模式
2.实验
2.1 实验需求
1)成都和北京两个站点用户均可以访问互联网2.2.2.2
2)配置手动IPSEC VPN,实现成都和北京两个站点内网数据互通,且数据加密
3)配置自动IPSEC VPN,实现成都和北京两个站点内网数据互通,且数据加密
2.2 实验top
2.3 配置思路
整体步骤:
1)配置IP地址,ISP路由器用1o0模拟互联网
2)成都和北京两个出口路由器配置默认路由指向ISP 路由器
3)进行 IPSEC VPN配置,让两个站点内网互通,同时数据加密。静态IPSEC 配 置步骤如下, 一共分为四步:
3.实验配置
3.1 基础配置
就是配置IP的基础信息,自行完成就好了。
system-view
sysname xx
interface g0/0/0
ip add ip地址 掩码
// 关闭提示信息
undo info-center enable
// 环回口
int lo0
ip add 2.2.2.2 32
3.2 nat配置
3.2.1 路由R1 配置
[R1]acl 2000 //配置ACL2000[R1-acl-basic-2000]rule 10 permit source 192.168.10.0 0.0.0.255 //规则10,匹配源地址为
192.168.10.0/24的流量
[R1-acl-basic-2000]quit
[R1]int GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 //接口下启用NAT,把ACL2000 匹配的私网地址转换为R1GEO/0/1 接口公网IP
[R1-GigabitEthernet0/0/1]quit
[R1] ip route-static 0.0.0.0 0 100.1.1.2 //出口路由器默认路由指向 ISP
3.2.2 路由R2 配置
[R2]acl 2000 //配置ACL2000
[R2-acl-basic-2000]rule 10 permit source 192.168.20.00.0.0.255 //规则10,匹配源地址为
192.168.20.0/24的流量
[R2-acl-basic-2000]quit
[R2]interface GigabitEthernet0/0/1
[R2-GigabitEthernet0/0/1] nat outbound 2000 //接口下启用 NAT, 把 ACL2000 匹配的私网地址转换为R2 GEO/0/1接口公网IP
[R2-GigabitEthernet0/0/1]quit
[R2] ip route-static 0.0.0.0 0 200.1.1.2 //出口路由器默认路由指向ISP
ping 2.2.2.2测试
3.3IPSEC VPN配置
让两个站点内网互通,同时数据加密
a.匹配数据流量
[R1]acl 3000 //配置ACL3000
[R1-acl-adv-3000]rule 10 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 //规则10,匹配源为192.168.10.0/24,目的为192.168.20.0/24的流量
b.配置 ipsec 提议
[R1]ipsec proposal cd //ipsec提议名称cd(成都)
[R1-ipsec-proposal-cd]esp authentication-algorithm md5 //认证算法采用md5
[R1-ipsec-proposal-cd]esp encryption-algorithm des //加密算法采用des
c.配置ipsec手动方式安全策略
[R1]ipsec policy chengdu 10 manual //配置IPSEC策略 chegndu,方式为手动
[R1-ipsec-policy-manual-chengdu-10]security acl 3000 //包含 acl3000 的流量
[R1-ipsec-policy-manual-chengdu-10]proposal cd //采用ipsec提议 cd
[R1-ipsec-policy-manual-chengdu-10]tunnel local 100.1.1.1 //配置隧道本地地址100.1.1.1 [R1-ipsec-policy-manual-chengdu-10]tunnel remote 200.1.1.1 //配置隧道远端地址200.1.1.1
[R1-ipsec-policy-manual-chengdu-10]sa spi inbound esp 54321 //配置入方向SA编号54321
[R1-ipsec-policy-manual-chengdu-10]sa string-key inbound esp cipher Huawei@!123 //配置入方向SA的认证密钥为Huawei@!123
[R1-ipsec-policy-manual-chengdu-10]sa spi outbound esp 12345 //配置出方向 SA编号12345
[R1-ipsec-policy-manual-chengdu-10] sa string-key outbound esp cipher Huawei@!123 //配置出方向
SA的认证密钥为Huawei@!123
d.在接口上应用 ipsec策略
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1] ipsec policy chengdu //接口上应用ipsce 策略(只能用于出接口)
4.结果查看
4.1 进行抓包查看
4.1.1开启抓包
3.2.2 ping192.168.20.1
2.2.3 抓包效果查看
2.1.4 正常的ping包
说明我们加密成功啦!
标签:10,R1,配置,IPSEC,chengdu,policy,VPN,ipsec From: https://blog.csdn.net/FHYAALML/article/details/140620150