阶段一：建立管理连接
定义安全的技术（加密算法，hash算法）
建立XXX对等体的设备要进行身份验证，预共享密钥的方式
要求配置参数：
传输集（加密算法，hash），与共享秘钥，指定和那个对等体建立XXX

阶段二：建立数据连接
定义ACL触发XXX的建立
阶段二对数据使用安全策略（加密算法，认证算法）

配置MAP关联前面的安全策略
ACL 和 peer以及安全策略

在接口上调用
实验拓扑：

实验配置要求：
1、 R1和PC1模拟福州分公司，R2和PC2模拟上海总公司，配置福州分公司和上海总公司通过IPSec XXX互联。
2、 设备之间互联的IP如图所示；
3、 在R1和R2上分配配置NAT，允许内网用户能够通过NAT访问Internet；
4、 在R1和R2上分别配置IPSec XXX，实现福州分公司和上海总公司互访；

配置思路：
1.根据拓扑配置IP地址
2.在R1与R2上配置NAT
R1
access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit ip any any /配置ACL，对IPSec XXX的流量不做NAT/

interface Serial1/0
ip nat outside
interface FastEthernet0/0
ip nat inside

ip nat inside source list 100 interface Serial1/0 overload
ip route 0.0.0.0 0.0.0.0 13.1.1.3 /配置默认路由，访问ISP/

R2：
access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 permit ip any any /配置ACL，对IPSec XXX的流量不做NAT/

interface Serial1/1
ip nat outside
interface FastEthernet0/0
ip nat inside
ip nat inside source list 100 interface Serial1/1 overload
ip route 0.0.0.0 0.0.0.0 23.1.1.3 /配置默认路由，访问ISP/

3.在R1 R2上配置ipsec XXX
R1
/ISAKMP/IKE阶段1的配置，配置管理连接/
crypto isakmp policy 1 /配置管理连接的安全策略/
encr 3des /加密算法使用3des/
hash md5 /hash算法使用3des/
authentication pre-share /采用预共享秘钥方式认证/
crypto isakmp key 6 cisco address 23.1.1.2 /配置预共享秘钥/

/ISAKMP/IKE阶段2的配置，配置数据连接/
crypto ipsec transform-set myset esp-3des /定义保护数据的安全协议/

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 /定义触发XXX的流量/
crypto map mymap 1 ipsec-isakmp /创建map，关联阶段2的数据连接的安全协议/
set peer 23.1.1.2 /指定XXX对等体/
set transform-set myset
match address 101

interface Serial1/0
crypto map mymap /在接口上应用/

R2：
/ISAKMP/IKE阶段1的配置，配置管理连接/
crypto isakmp policy 1 /配置管理连接的安全策略/
encr 3des /加密算法使用3des/
hash md5 /hash算法使用3des/
authentication pre-share /采用预共享秘钥方式认证/
crypto isakmp key 6 cisco address 13.1.1.1 /配置预共享秘钥/

/ISAKMP/IKE阶段2的配置，配置数据连接/
crypto ipsec transform-set myset esp-3des /定义保护数据的安全协议/

access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 /定义触发XXX的流量/
crypto map mymap 1 ipsec-isakmp /创建map，关联阶段2的数据连接的安全协议/
set peer 13.1.1.1 /指定XXX对等体/
set transform-set myset
match address 101

interface Serial1/1
crypto map mymap /在接口上应用/
4.验证结果
（1.）验证NAT


（2）测试ipsec XXX连通性

R1#clear ip nat translation *
R2#clear ip nat translation *
PC1#ping 192.168.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 72/80/88 ms

R1#show ip nat translations NAT转换表项是空的，表面XXX流量没有经过NAT转换

（3）查看阶段1的IKE流量
R1#show crypto isakmp policy
Global IKE policy
Protection suite of priority 1
encryption algorithm: Three key triple DES
hash algorithm: Message Digest 5
authentication method: Pre-Shared Key
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit

（4）查看管理连接，验证阶段1是否协商成功
R1#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
23.1.1.2 13.1.1.1 QM_IDLE 1001 0 ACTIVE
（5）查看阶段2的ipsec传输集，数据连接的安全协议
R1#show crypto ipsec transform-set
Transform set myset: { esp-3des }
will negotiate = { Tunnel, },
（6）查看数据连接SA的状态
R1#show crypto ipsec sa
interface: Serial1/0
Crypto map tag: mymap, local addr 13.1.1.1

protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
current_peer 23.1.1.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 25, #pkts encrypt: 25, #pkts digest: 25
#pkts decaps: 19, #pkts decrypt: 19, #pkts verify: 19
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 11, #recv errors 0
local crypto endpt.: 13.1.1.1, remote crypto endpt.: 23.1.1.2
path mtu 1500, ip mtu 1500, ip mtu idb Serial1/0
current outbound spi: 0x9E798012(2658762770)

 inbound esp sas:spi: 0xED308BE6(3979381734)transform: esp-3des ,in use settings ={Tunnel, }conn id: 1, flow_id: SW:1, crypto map: mymapsa timing: remaining key lifetime (k/sec): (4552518/1233)IV size: 8 bytesreplay detection support: NStatus: ACTIVEinbound ah sas:inbound pcp sas:outbound esp sas:spi: 0x9E798012(2658762770)transform: esp-3des ,in use settings ={Tunnel, }conn id: 2, flow_id: SW:2, crypto map: mymapsa timing: remaining key lifetime (k/sec): (4552518/1232)

IV size: 8 bytes
replay detection support: N
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
（7）查看crypto map
R1#show crypto map
Crypto Map “mymap” 1 ipsec-isakmp
Peer = 23.1.1.2
Extended IP access list 101
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Current peer: 23.1.1.2
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
myset,
}
Interfaces using crypto map mymap:
Serial1/0

总结：
1、 建立IPSec XXX连接需要3个步骤：

1. 流量触发IPSec
2. 建立管理连接
3. 建立数据连接
   2、 阶段1的三个任务
4. 协商采用何种方式建立管理连接
5. 通过DH算法共享密钥信息
6. 对等体彼此进行身份验证
   3、 ISAKMP/IKE阶段2需要完成的任务
7. 定义对等体间需要保护何种流量
8. 定义用来保护数据的安全协议
9. 定义传输模式
10. 定义数据连接的生存周期以及密钥刷新的方式

ipsec XXX实验相关推荐

1. 锐捷路由器搭建ipsec xxx 详解

   在搭建这之前,我们先来科普一下所涉及的知识点! ipsec xxx (IPSEC xxx-internet protocol security virtual private networks) == ...

2. H3C防火墙及IPsec综合实验

   文章目录 H3C防火墙以及IPsec综合实验 1 实验拓扑和需求 1.1 网络拓扑 1.2 实验需求 1.3 实验思路 1.4 实验环境 2 实验配置 2.1 设备IP地址配置 2.2 OSPF配置 ...

3. 华为 eNsp ipSec vpn实验配置（1）

   实验要求 配置PC1~PC2的路由可达 配置ACL匹配源IP192.168.1.0到192.168.2.0的数据包进行认证 配置SA建立方式为手工配置 实验拓扑 实验配置 AR1 ip route-s ...

4. IPsec VPN 实验

   实验拓扑 实验需求 按照图示搭建拓扑,并配置 IP 地址,使防火墙可以通过 Web 界面登录 在两台防火墙上配置缺省路由,使双方公网互通 在两台防火墙上配置 IPsec VPN,使双方 PC 可以互通 ...

5. ENSP:防火墙IPSEC XXX

   指采用IPSEC协议来实现远程接入的一种XXX技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF ...

6. 防火墙之ipsec vpn实验

   防火墙之ipsec vpn命令行配置 项目介绍 项目拓扑 项目需求 配置命令 isp路由器配置: 分公司防火墙(FW1)配置: 接口配置ip和接口划入区域的配置: ipsec相关配置: 安全策略的配置 ...

7. 配置基于虚拟隧道接口的IPSec隧道实验

   本案例说明如何配置IPSec隧道保证用户的业务数据在传输过程中的安全.某公司希望对分支与总部之间相互访问的流量进行安全保护.如图1所示,分公司构建了旁挂二层组网直接转发方式的WLAN网络,Router ...

8. IPSec配置与实验

   IPSec配置与实验 IPSec缺省配置 参数 缺省配置 IKE协商时的本端名称 设备本地名称. 发送NAT Keepalive报文时间间隔 20秒. IKE安全提议 系统缺省提供了一条优先级最低的I ...

9. H3C GRE over IPsec实验

   GRE over IPsec VPN实验 一.拓扑图 二.组网需求 三.配置步骤 1.配置各设备IP地址 2.配置默认路由 3.配置DHCP 4.配置 GRE over IPsec VPN (1)在 ...

最新文章

1. 判断dataset是否为空
2. 三菱工业机器人rv6s_FANUC机器人控制器—维护三要素
3. 树形结构：递归转化为迭代，万能通用方法，分治策略基于栈的实现
4. 六、解释红外线纺织品的保健、保暖作用？
5. myeclipse 8.5 注册码
6. AX向在线用户发送消息
7. python 分解模数_Python模数
8. 报错：error while loading shared libraries: libz.so.1: cannot open shared object file
9. 进程和cpu的相关知识和简单调优方案
10. java解析多层嵌套json字符串_Redis使用字符串和hash存储JSON，哪个更高效？
11. 《博弈圣经》创业就是文化实践 创业人应具备博弈占优特征
12. 扇贝离线 android,扇贝单词离线
13. Android 进阶之路《丢掉初学者的诟病》
14. 【打卡】汽车领域多语种迁移学习挑战赛
15. python语法错误检查_如何检查句子是否正确（Python中的简单语法检查）？
16. 阿里云 Elasticsearch简介和购买流程
17. 关于linux中socket阻塞与非阻塞
18. 【SAMF】A Scale Adaptive Kernel Correlation Filter Tracker with Feature Integration 论文阅读笔记
19. 人脸检测的测试程序（视频和摄像头）
20. 安装升级Exchange Server 2010 SP1补丁

热门文章

1. java mybatis XML文件中大于号小于号转义
2. PPT 中加 文本滚动条 图片滚动条
3. 微服务 tars php,TARS-PHP
4. MRT批量转hdf为带投影坐标的tif格式
5. 对应用软件：游戏-《上古卷轴5》的点评
6. 计算机显示时间怎么设置在哪里设置方法,电脑不显示日期和时间怎么设置不了怎么办...
7. 自媒体人不得不知的20个网络营销炒作推广方法
8. Word2Vec原理之层次Softmax算法（转）
9. 简单快捷的实现图片上传预览效果
10. 谷歌账号注册流程全攻略