ipsec XXX实验
阶段一:建立管理连接
定义安全的技术(加密算法,hash算法)
建立XXX对等体的设备要进行身份验证,预共享密钥的方式
要求配置参数:
传输集(加密算法,hash),与共享秘钥,指定和那个对等体建立XXX
阶段二:建立数据连接
定义ACL触发XXX的建立
阶段二对数据使用安全策略(加密算法,认证算法)
配置MAP关联前面的安全策略
ACL 和 peer以及安全策略
在接口上调用
实验拓扑:
实验配置要求:
1、 R1和PC1模拟福州分公司,R2和PC2模拟上海总公司,配置福州分公司和上海总公司通过IPSec XXX互联。
2、 设备之间互联的IP如图所示;
3、 在R1和R2上分配配置NAT,允许内网用户能够通过NAT访问Internet;
4、 在R1和R2上分别配置IPSec XXX,实现福州分公司和上海总公司互访;
配置思路:
1.根据拓扑配置IP地址
2.在R1与R2上配置NAT
R1
access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit ip any any /配置ACL,对IPSec XXX的流量不做NAT/
interface Serial1/0
ip nat outside
interface FastEthernet0/0
ip nat inside
ip nat inside source list 100 interface Serial1/0 overload
ip route 0.0.0.0 0.0.0.0 13.1.1.3 /配置默认路由,访问ISP/
R2:
access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 permit ip any any /配置ACL,对IPSec XXX的流量不做NAT/
interface Serial1/1
ip nat outside
interface FastEthernet0/0
ip nat inside
ip nat inside source list 100 interface Serial1/1 overload
ip route 0.0.0.0 0.0.0.0 23.1.1.3 /配置默认路由,访问ISP/
3.在R1 R2上配置ipsec XXX
R1
/ISAKMP/IKE阶段1的配置,配置管理连接/
crypto isakmp policy 1 /配置管理连接的安全策略/
encr 3des /加密算法使用3des/
hash md5 /hash算法使用3des/
authentication pre-share /采用预共享秘钥方式认证/
crypto isakmp key 6 cisco address 23.1.1.2 /配置预共享秘钥/
/ISAKMP/IKE阶段2的配置,配置数据连接/
crypto ipsec transform-set myset esp-3des /定义保护数据的安全协议/
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 /定义触发XXX的流量/
crypto map mymap 1 ipsec-isakmp /创建map,关联阶段2的数据连接的安全协议/
set peer 23.1.1.2 /指定XXX对等体/
set transform-set myset
match address 101
interface Serial1/0
crypto map mymap /在接口上应用/
R2:
/ISAKMP/IKE阶段1的配置,配置管理连接/
crypto isakmp policy 1 /配置管理连接的安全策略/
encr 3des /加密算法使用3des/
hash md5 /hash算法使用3des/
authentication pre-share /采用预共享秘钥方式认证/
crypto isakmp key 6 cisco address 13.1.1.1 /配置预共享秘钥/
/ISAKMP/IKE阶段2的配置,配置数据连接/
crypto ipsec transform-set myset esp-3des /定义保护数据的安全协议/
access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 /定义触发XXX的流量/
crypto map mymap 1 ipsec-isakmp /创建map,关联阶段2的数据连接的安全协议/
set peer 13.1.1.1 /指定XXX对等体/
set transform-set myset
match address 101
interface Serial1/1
crypto map mymap /在接口上应用/
4.验证结果
(1.)验证NAT
(2)测试ipsec XXX连通性
R1#clear ip nat translation *
R2#clear ip nat translation *
PC1#ping 192.168.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 72/80/88 ms
R1#show ip nat translations NAT转换表项是空的,表面XXX流量没有经过NAT转换
(3)查看阶段1的IKE流量
R1#show crypto isakmp policy
Global IKE policy
Protection suite of priority 1
encryption algorithm: Three key triple DES
hash algorithm: Message Digest 5
authentication method: Pre-Shared Key
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit
(4)查看管理连接,验证阶段1是否协商成功
R1#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
23.1.1.2 13.1.1.1 QM_IDLE 1001 0 ACTIVE
(5)查看阶段2的ipsec传输集,数据连接的安全协议
R1#show crypto ipsec transform-set
Transform set myset: { esp-3des }
will negotiate = { Tunnel, },
(6)查看数据连接SA的状态
R1#show crypto ipsec sa
interface: Serial1/0
Crypto map tag: mymap, local addr 13.1.1.1
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
current_peer 23.1.1.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 25, #pkts encrypt: 25, #pkts digest: 25
#pkts decaps: 19, #pkts decrypt: 19, #pkts verify: 19
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 11, #recv errors 0
local crypto endpt.: 13.1.1.1, remote crypto endpt.: 23.1.1.2
path mtu 1500, ip mtu 1500, ip mtu idb Serial1/0
current outbound spi: 0x9E798012(2658762770)
inbound esp sas:spi: 0xED308BE6(3979381734)transform: esp-3des ,in use settings ={Tunnel, }conn id: 1, flow_id: SW:1, crypto map: mymapsa timing: remaining key lifetime (k/sec): (4552518/1233)IV size: 8 bytesreplay detection support: NStatus: ACTIVEinbound ah sas:inbound pcp sas:outbound esp sas:spi: 0x9E798012(2658762770)transform: esp-3des ,in use settings ={Tunnel, }conn id: 2, flow_id: SW:2, crypto map: mymapsa timing: remaining key lifetime (k/sec): (4552518/1232)
IV size: 8 bytes
replay detection support: N
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
(7)查看crypto map
R1#show crypto map
Crypto Map “mymap” 1 ipsec-isakmp
Peer = 23.1.1.2
Extended IP access list 101
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Current peer: 23.1.1.2
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
myset,
}
Interfaces using crypto map mymap:
Serial1/0
总结:
1、 建立IPSec XXX连接需要3个步骤:
- 流量触发IPSec
- 建立管理连接
- 建立数据连接
2、 阶段1的三个任务 - 协商采用何种方式建立管理连接
- 通过DH算法共享密钥信息
- 对等体彼此进行身份验证
3、 ISAKMP/IKE阶段2需要完成的任务 - 定义对等体间需要保护何种流量
- 定义用来保护数据的安全协议
- 定义传输模式
- 定义数据连接的生存周期以及密钥刷新的方式
ipsec XXX实验相关推荐
- 锐捷路由器搭建ipsec xxx 详解
在搭建这之前,我们先来科普一下所涉及的知识点! ipsec xxx (IPSEC xxx-internet protocol security virtual private networks) == ...
- H3C防火墙及IPsec综合实验
文章目录 H3C防火墙以及IPsec综合实验 1 实验拓扑和需求 1.1 网络拓扑 1.2 实验需求 1.3 实验思路 1.4 实验环境 2 实验配置 2.1 设备IP地址配置 2.2 OSPF配置 ...
- 华为 eNsp ipSec vpn实验配置(1)
实验要求 配置PC1~PC2的路由可达 配置ACL匹配源IP192.168.1.0到192.168.2.0的数据包进行认证 配置SA建立方式为手工配置 实验拓扑 实验配置 AR1 ip route-s ...
- IPsec VPN 实验
实验拓扑 实验需求 按照图示搭建拓扑,并配置 IP 地址,使防火墙可以通过 Web 界面登录 在两台防火墙上配置缺省路由,使双方公网互通 在两台防火墙上配置 IPsec VPN,使双方 PC 可以互通 ...
- ENSP:防火墙IPSEC XXX
指采用IPSEC协议来实现远程接入的一种XXX技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF ...
- 防火墙之ipsec vpn实验
防火墙之ipsec vpn命令行配置 项目介绍 项目拓扑 项目需求 配置命令 isp路由器配置: 分公司防火墙(FW1)配置: 接口配置ip和接口划入区域的配置: ipsec相关配置: 安全策略的配置 ...
- 配置基于虚拟隧道接口的IPSec隧道实验
本案例说明如何配置IPSec隧道保证用户的业务数据在传输过程中的安全.某公司希望对分支与总部之间相互访问的流量进行安全保护.如图1所示,分公司构建了旁挂二层组网直接转发方式的WLAN网络,Router ...
- IPSec配置与实验
IPSec配置与实验 IPSec缺省配置 参数 缺省配置 IKE协商时的本端名称 设备本地名称. 发送NAT Keepalive报文时间间隔 20秒. IKE安全提议 系统缺省提供了一条优先级最低的I ...
- H3C GRE over IPsec实验
GRE over IPsec VPN实验 一.拓扑图 二.组网需求 三.配置步骤 1.配置各设备IP地址 2.配置默认路由 3.配置DHCP 4.配置 GRE over IPsec VPN (1)在 ...
最新文章
- 判断dataset是否为空
- 三菱工业机器人rv6s_FANUC机器人控制器—维护三要素
- 树形结构:递归转化为迭代,万能通用方法,分治策略基于栈的实现
- 六、解释红外线纺织品的保健、保暖作用?
- myeclipse 8.5 注册码
- AX向在线用户发送消息
- python 分解模数_Python模数
- 报错:error while loading shared libraries: libz.so.1: cannot open shared object file
- 进程和cpu的相关知识和简单调优方案
- java解析多层嵌套json字符串_Redis使用字符串和hash存储JSON,哪个更高效?
- 《博弈圣经》创业就是文化实践 创业人应具备博弈占优特征
- 扇贝离线 android,扇贝单词离线
- Android 进阶之路《丢掉初学者的诟病》
- 【打卡】汽车领域多语种迁移学习挑战赛
- python语法错误检查_如何检查句子是否正确(Python中的简单语法检查)?
- 阿里云 Elasticsearch简介和购买流程
- 关于linux中socket阻塞与非阻塞
- 【SAMF】A Scale Adaptive Kernel Correlation Filter Tracker with Feature Integration 论文阅读笔记
- 人脸检测的测试程序(视频和摄像头)
- 安装升级Exchange Server 2010 SP1补丁