保护网络安全的IPsec,怎么配置?配置步骤和参考命令奉上
网络中存在哪些安全隐患?
IPsec如何解决这些安全隐患?
IPsec的隧道模式和传输模式区别是什么?
华为设备如何配置IPsec?
如果你想IPsec相关概念和原理,可以看看我之前发过这篇:写文章-CSDN博客,本篇为IPsec配置实战~
一、实验拓扑
当前已完成了深圳总部出口路由器和长沙分支出口路由器的连通性,
但是两边的私网数据不能通信,现在希望双方能建立安全的私网通信。
二、实验目的:
配置IPsec,实现深圳总部和长沙分支之间安全的数据通信
- 数据加密算法使用aes 256
- 完整性验证算法使用sha 256
- 身份验证使用预共享密钥方式
- 使用隧道模式,实现两边内网可以通过互联网通信
ps:如果你需要下面的资料,可以找我要~
三、配置步骤和参考命令
1. 配置ipsec感兴趣流
本步骤的作用是,配置要用ipsec保护什么数据,使用ACL来配置,
在本实验的深圳路由器上,要保护的数据就是源地址为192.168.1.0目标地址为192.168.2.0的数据。
在长沙路由器上,则相反,是源地址为2.0,目标地址为1.0的数据
参考命令
acl 3000
rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
2. 创建安全提议
本步骤的作用是,设置如何保护关键数据。
在本实验中,要求是使用aes进行数据加密,使用sha进行完整性验证(防篡改),使用隧道模式打通两个内网。
深圳和长沙的路由器,做相同的配置,因为两边必须使用相同的算法。
参考命令
ipsec proposal testipsec
创建一个安全提议,名字为testipsec
encapsulation-mode tunnel
使用隧道模式,会加上新ip头部,新头部就是两个站点的出口公网地址
transform esp
封装模式使用esp,因为有加密需求,所以用esp而不是ah
esp encryption-algorithm aes-256
加密算法用aes-256
esp authentication-algorithm sha2-256
完整性验证算法用sha2-256
3.配置ike(互联网密钥交换协议)
本步骤的作用是,配置ipsec如何产生密钥。
数据加密、完整性验证、身份验证等安全保护工作都是需要密钥的,而且密钥非常关键,以防黑客暴力破解,需要经常更新。Ike就是用来创建和更新密钥的协议。
在本实验中,深圳和长沙要做完全相同的配置
参考命令
ike proposal 1
创建ike提议,编号为1
authentication-method pre-share
使用预共享密钥的方式进行身份验证
dh group1
协商密钥的过程,用dh group1算法进行加密
4. 配置对等体
本步骤的作用是,配置和哪台设备,建立ipsec连接
参考命令
ike peer changsha v1
创建一个对等体,名字为changsha,使用ike v1和对方做密钥协商。v1是主流版本,v2是最新版本。
exchange-mode main
使用主模式(main)建立ipsec。
当双方都有固定公网ip的时候,使用主模式,如果一方没有固定ip,可以使用野蛮模式(aggressive)。
ike-proposal 1
调用前面配好的密钥协商方法
pre-shared-key cipher testkey
预共享密钥,两边一致
local-id-type ip
通过ip地址来互相识别对方,不使用ip的话,也可以使用域名
remote-address 20.1.2.1
ipsec对等体的ip地址,也就是要和这个设备建立ipsec连接
5. 创建ipsec策略
本步骤的作用是,将前面配好的各项参数,关联在一起。
参考命令
ipsec policy testpolicy 3 isakmp
创建一个ipsec策略,名称是testpolicy,编号是3,
后面isakmp的意思是,密钥会周期性动态更新
ike-peer changsha
前面定义好的ipsec对等体
proposal testipsec
前面定义好的安全提议
security acl 3000
前面定义好的感兴趣流
6. 出接口调用
本步骤的作用是,在路由器的出接口调用ipsec策略。
在本实验中,深圳路由器g0/0/1发出的数据包,要按ipsec策略做数据安全保护。
参考命令
int g0/0/1
ipsec policy testpolicy
保护网络安全的IPsec,怎么配置?配置步骤和参考命令奉上相关推荐
- 网络安全之IPSEC路由基本配置
目录 网络安全之IPSEC路由基本配置 IPSEC配置的前提分析 协议分析 传输模式分析编辑 IPSEC路由中的配置 图谱图 配置公网可达 R1配置IKE SA的安全提议 R1配置 IKE SA 的 ...
- 基于HCL模拟器华三设备IPsec vpn的配置实验
IPsec VPN 实验 实验拓扑 图 1-1 注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此 ...
- 网络安全系列之二十一 配置IPSEC安全策略
1.了解IPSec安全策略 IPSec,Internet协议安全,是网络安全业内的一种开放标准,通过使用加密安全服务以确保网络通信的保密性和安全性.IPSec工作在网络层,对用户和应用程序是透明的,它 ...
- 企业网络安全架构设计之IPSec VPN应用配置举例
文章目录 1. 需求分析 组网拓扑: 组网需求: 2. 地址规划 终端设备地址规划: 网络设备地址规划: 3. 防火墙接口区域规划 4. 分支机构内网配置 LSW4交换机配置 FW1防火墙配置 检查配 ...
- Cisco二层交换机协议配置详细步骤和作用
Cisco二层交换机协议配置详细步骤和作用 以下是常见的Cisco二层交换机协议配置详细步骤和作用: 配置VLAN • 进入全局配置模式:config terminal • 创建VLAN:vlan & ...
- 实验四十一、×××(IPSec)的配置
实验四十一.×××(IPSec)的配置 一. 实验目的 1. 掌握手工配置密钥建立××× 的配置 2. 理解密钥在隧道建立过程中的作用 二. 应用环境 IPSec 实现了在网络上的数据机密性.完整性和 ...
- 华为交换机SEP双半环设计方案及配置详细步骤
华为交换机SEP双半环设计方案及配置步骤 SEP双半环设计方案拓扑图 SEP双半环设计方案思路 1.客户的业务vlan 10是2层流量,6台交换机组成的链路为2层链路,为了防环,设计两个sep半环, ...
- 思科设备 IPSec VPX基本配置(多点)
项目需求: 某公司现在在北京建立总部,在广州.上海.深圳建立分部.现在要总部与分部之间建立VPN,进行内网的通信. 实验拓扑: 基本配置:(IP地址.外网路由.NAT) PC1:192.168.1.1 ...
- IPsec 实操配置(隧道模式)
文章目录 目录 文章目录 前言 一.实验环境 二.实验步骤 1.配置全网可达 2.配置ACL识别兴趣流 3.配置安全提议 进入AR1和AR3分别配置安全提议(AR1与AR3需做相同的配置) 4.创建安 ...
最新文章
- linux上安装mysql5.5_【Python】Linux安装Mysql5.5
- 创建型设计模式(单例模式)
- matlab int8 矩阵,unit8_matlab数据类型转换——int8转换成unit8
- presto读取oracle,Presto源码分析之数据类型
- .Net如何统计在线人数
- 湖南工业职业技术学院计算机协会,计算机网络协会
- mysql数据库文件位置
- 谷歌爬虫ua_Python爬虫,实战爬取腾讯视频评论!
- python机器学习案例系列教程——CTR/CVR中的FM、FFM算法
- kotlin 运算符_Kotlin属性,数据类型,运算符
- linux of命令,Linux命令(30):isof
- matlab传热模拟计算,MATLAB生物化工计算与模拟
- 在windows server上配置java jdk后,可能要些时间生效。
- 等比数列求和python_python计算等差数列
- java 微信公众号微信支付
- tv 斐讯n1原生android_斐讯T1刷原生安卓TV
- 地级市面板数据(2000-2019)四:失业+进出口+工资+规上企业+房地产等(stata版)
- 华东师范大学2019计算机与软件工程学院 “高可信”夏令营总结
- Kubernetes--学习笔记-3-Kubernetes Web UI部署
- Airtest双11领喵币代码