IPsec 实操配置(隧道模式)
文章目录
目录
文章目录
前言
一、实验环境
二、实验步骤
1.配置全网可达
2.配置ACL识别兴趣流
3.配置安全提议
进入AR1和AR3分别配置安全提议(AR1与AR3需做相同的配置)
4.创建安全策略
分别在AR1和AR3上创建安全策略,在安全策略中就可以调用之前所配置的acl和安全提议(均选择手工配置)
配置SA(安全联盟),实现IPsec对等体之间相关安全参数的协商
配置共享认证密钥
5.应用安全策略
6.抓包验证(Wireshark)
总结
前言
我的第二期博文承接上一期博文为大家带来IPsec VPN 的实际配置,在本期博文中我会详细展示如和采用隧道模式来配置IPsec VPN(本次实验ah协议和esp协议结合使用)。话不多说,一起来看吧!
一、实验环境
软件ENSP
模拟设备:两台PC,三台AR1220路由器
注意事项:只有在AR型的路由才能在接口下调用ACL,AR1220必须使用千兆以太网接口,因为ethernet下无法配置接口IP地址。AR1220如果无法启动,最可能有以下两种原因:电脑配置过低或没有进行注册。第二种在工具-注册设备当中进行注册,至于第一种。。。我学校公共机房的电脑都能启,所以你们的电脑也应该没有问题。
网络拓扑如下:
AR1-GE 0/0/1 IP:172.16.1.1
AR2-GE 0/0/1 IP:172.16.1.2 AR2-GE 0/0/0 IP:172.16.1.5
AR3-GE 0/0/0 IP:172.16.1.6
二、实验步骤
1.配置全网可达
配置全网可达比较简单,分为两个步骤:1.配置两台PC和三台路由器每个接口的IP地址。2.在三台路由器上配置静态路由。这里需要注意的是,我们在AR1和AR3上只需分别配置一个指向AR3的默认路由就可以了。
AR1:
AR3:
AR2上进行常规配置就可以了,最后实现PC1ping通PC2
2.配置ACL识别兴趣流
因为在AR1和AR3之间实现采用隧道模式的安全通信,所以需分别在AR1和AR3上配置ACL,配置acl识别兴趣流目的是:定义谁可以使用IPsec技术。
AR1:(设置步长为五,也可以不设)
192.168.1.0 / 192.168.2.0后面的 0.0.0.255 其中 0代表的是精确匹配,255表示从0~255的数都匹配。
AR3:
3.配置安全提议
进入AR1和AR3分别配置安全提议(AR1与AR3需做相同的配置)
AR1:(设置协议封装模式为隧道模式,AR3做同样的操作这里就不单独演示了)
设置使用ah-esp(ah协议和esp协议结合使用)
设置ah的认证算法和esp的认证和加密算法
这里的加密算法随便选一个都可以,但在AR3配置安全提议时选择必须和AR1上相同。
4.创建安全策略
分别在AR1和AR3上创建安全策略,在安全策略中就可以调用之前所配置的acl和安全提议(均选择手工配置)
AR1:
调用之前配置的acl和proposal
配置IPsec对等体
配置SA(安全联盟),实现IPsec对等体之间相关安全参数的协商
(1)配置esp协议出入接口密钥
(2)配置ah协议出入接口密钥
注意:在AR2上的配置需和AR1上的相反即AR1上的出接口密钥为AR2上的入接口密钥
配置共享认证密钥
[Huawei-ipsec-policy-manual-huawei-1]sa string-key inbound esp cipher huawei
[Huawei-ipsec-policy-manual-huawei-1]sa string-key outbound esp cipher huawei
[Huawei-ipsec-policy-manual-huawei-1]sa string-key inbound ah cipher huawei
[Huawei-ipsec-policy-manual-huawei-1]sa string-key outbound ah cipher huawei
注意:在AR2上配置的共享认证密钥也需与AR1的配置相反,即AR1上的出/入为AR2上的入/出
AR2上做相同的配置即可,这里就不再演示了
5.应用安全策略
在AR1和AR3上做相同的配置即可
[Huawei-GigabitEthernet0/0/1]ipsec policy huawei6.抓包验证(Wireshark)
可以看到协议字段是esp说明实验成功,源ip和目的ip都被替换了客户机真实IP地址被隐藏,符合理论知识。
总结
本篇博文仅仅为大家介绍了ipsec VPN 隧道模式的实际配置,若各位读者有所补充请一定私信我,我非常希望可以和大家一起交流,学习。
下期将为大家带来OSPF(最短路径优先)技术的理论知识。
最后,由衷感谢各位读者!
IPsec 实操配置(隧道模式)相关推荐
- 配置隧道模式的IPSec.×××
一.拓扑及IP配置 二.配置清单 R1#show run Building configuration... Current configuration : 1449 bytes ! upgrade ...
- Linux之RAID介绍、软RAID5实操配置(失望攒够了就放手,不打扰是我最后的温柔)
目录 一.什么是RAID(独立冗余磁盘阵列) 二.RAID物理分类 2.1 硬RAID 2.2 软RAID 三.RAID逻辑分类 3.1 RAID0 3.2 RAID1 3.3 RAID5 3.4 R ...
- Windows MySQL8.0免安装版(实操配置以及多个mysql实例时的踩坑经验)
具体操作 1.下载mysql的免安装压缩包 2.解压缩到指定目录下,并新增配置文件和data目录 3.初始化数据库 4.注册mysql服务 5.登录mysql并且修改root密码 6.开放防火墙端口并 ...
- CDH6.3配置安装实操
环境要求 Redhat7.4安装CDH6.3.CDH6与CDH5的安装步骤一致,主要包括以下四部分: 1.安全前置准备,包括安装操作系统.关闭防火墙.同步服务器时钟等: 2.外部数据库如MySQL安装 ...
- ElasticSearch理论及实操
1. 全文检索 1.1 全文检索流程 主要分两大部分:创建索引和查询索引 1.2 全文检索概念 在MySQL中查询某条记录使用的一定是列名,也就是在创建数据库时已经写死的列名名称.在查询时,使用该列名 ...
- LVS负载均衡和nat模式的实操
LVS理论和实操 一.企业群集应用概述 1.群集的含义 2.问题 3.解决方法 总结: 二.集群的分类 三.负载均衡群集架构 四.LVS负载均衡群集工作模式分析 1.负载均衡群集是目前企业用得最多的群 ...
- Linux 实操———CentOS 6 安装配置 Tomcat
引言 Linux下安装Tomcat. 一.下载.传输与解压 同<Linux 实操---CentOS 6 安装配置 Oracle JDK 1.8>一样,前期都是先在远程机上下载压缩包,然后通 ...
- atom配置python环境_用Python制作网站Django实操与开发环境配置
上篇文章简单介绍了Django的基础知识,本篇将进入实际操作部分,包括Django的运行环境.开发环境配置与新建项目等内容.由于篇幅原因,笔者不得不把Demo演示放到下一篇文章,望读者(如果有的话)见 ...
- DHCP中继实操 :配置命令及DHCP中继的作用
这里DHCP中继的配置命令及DHCP中继的作用写目录标题 一:DHCP中继的作用 二 :DHCP中继的实验配置命令 三:检验成果 一:DHCP中继的作用 **DHCP中继(也叫做DHCP中继代理bai ...
最新文章
- P3382 【模板】三分法,难度⭐⭐⭐
- 选美大赛示例 你会选谁
- Linux下的docker容器安装教程
- 对话腾讯云汽车业务副总经理李博:构建出行大版图,腾讯云迈向新征程
- 迄今看到的较为客观的一篇分析编程语言的文章
- java之方法的重写
- 我为什么要写FansUnion个人官网-BriefCMS-电子商务malling等系统
- 《JavaScript设计模式与开发实践》——第3章 闭包和高阶函数
- sqoop从mysql导入hdfs_sqoop 从mysql导入数据到hdfs、hive
- delphi中单独编译pas生成dcu文件
- zabbix简介以及利用proxy和agent模式监控
- 全网首发:Could NOT find JNI (missing: JAVA_AWT_INCLUDE_PATH) 解决办法
- sap期初导资产代码_SAP S/4固定资产导入期初科目设置
- 行业认证标准:ISO 26262-汽车软件功能安全标准
- 猿题库高中同步微博运营策划
- java生成水印图片
- Typora开始收费,替代品marktext
- 基于Lua+Kafka+Heka的Nginx Log实时监控系统
- c++ 聚合/POD/平凡/标准布局 介绍
- Ubuntu安装flash