IPSEC VXN配置实例
今天给大家介绍一下IPSEC VXN的配置实例,适合对IPSEC理论有一定了解,但是对IPSEC配置还不清楚的同学,本文介绍的是最简单的IPSEC配置实例。如果想要了解IPSEC基础知识或者想要了解IPSEC更深层次知识的同学,可以关注我的博客,我的博客会不断更新计算机网络相关技术文章。
一、实验拓扑及要求
实验拓扑图如下所示:
要求:配置IPSEC VXN,实现两个私网网址之间互通,同时要求两个私网网址使用费NAT访问公网。
二、配置讲解说明
IPSEG的配置可以分为以下几个小部分:
1、IPSEG proposal的配置
ipsec proposal IPSEGtransform espesp authentication-algorithm md5esp encryption-algorithm 3des
要配置IPSEC VXN,首先要配置IPSEC策略,我们知道,IPSEC有两种形式,esp或者ah,在IPSEC 配置中,要选择其中一种方式,并进一步选择该方式的加密(认证)算法。该配置要求运行IPSEC VXN的路由器配置相同
2、IKE的配置
IKE协议是IPSEC VXN中用于密钥交换的协议,定义IKE协议,要定义其密钥交换算法,加密算法和认证算法。
ike proposal 10encryption-algorithm 3des-cbcdh group2authentication-algorithm md5authentication-method pre-share
ike peer R3 v1pre-shared-key simple adminremote-address 150.1.2.3
3、分化IPSEC流量和公网流量
因为IPSEC的流量和上互联网的流量都要从一个接口出去,因此必须告诉路由器什么样的流量要进行IPSEC VXN封装,什么样的流量不需要进行IPSEC VXN封装。要特别注意:在进行ACL匹配的时候,默认是先进行NAT的匹配,因此在配置NAT的ACL的时候,要把IPSEC VXN的流量踢出去,但是在配置IPSEC VXN的ACL时则不用这样做。
acl number 3000 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
acl number 3001 rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 10 permit ip source 192.168.1.0 0.0.0.255
4、生成IPSEG策略
IPSEC 策略配置要把以上配置的内容整合在一起,配置如下所示:
ipsec policy IPSEC_POL 10 isakmpsecurity acl 3000ike-peer R1proposal IPSEC
5、IPSEG应用
在接口上,要应用IPSEC 策略和NAT策略。
interface GigabitEthernet0/0/0ipsec policy IPSEC_POLnat outbound 3001
三、IPSEC排错——新手配置IPSEC VXN易犯错误
注意,在完成上述配置后,我们还必须添加一条手动的静态路由,如下:
ip route-static 0.0.0.0 0.0.0.0 150.1.1.2
这是新手在配置IPSEC VXN时经常犯的错误。
以R3为例,当PC2发往PC1的数据包送到R3时,此时我们需要让他走IPSEC VXN进行封装。**但是!!!**如果此时R3上没有去往PC1的路由,则路由器会把该数据包直接丢弃,因此,必须加上一条如上的默认路由,或者是去往PC1的静态路由。只有这样,才能把流量送到G0/0/0接口上,让其进行IPSEC VXN封装。
四、附录——配置命令
为了方便大家配置,下面把R1和R3上的相关配置命令粘贴如下:(注:有些命令是默认配置的,因此在二中的一些命令在下面没有显示)
R1:
acl number 3000 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
#
acl number 3001 rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 10 permit ip source 192.168.1.0 0.0.0.255
#
ipsec proposal IPSEGesp encryption-algorithm 3des
#
ike proposal 10encryption-algorithm 3des-cbcdh group2authentication-algorithm md5
#
ike peer R3 v1pre-shared-key simple adminremote-address 150.1.2.3
#
ipsec policy IPSEC_POL 10 isakmpsecurity acl 3000ike-peer R3proposal IPSEG
#
interface GigabitEthernet0/0/1ip address 150.1.1.1 255.255.255.0 ipsec policy IPSEC_POLnat outbound 3001
#
interface GigabitEthernet0/0/2ip address 192.168.1.1 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 150.1.1.2
R3:
acl number 3000 rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
#
acl number 3001 rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 10 permit ip source 192.168.2.0 0.0.0.255
#
ipsec proposal IPSECesp encryption-algorithm 3des
#
ike proposal 10encryption-algorithm 3des-cbcdh group2authentication-algorithm md5
#
ike peer R1 v1pre-shared-key simple adminike-proposal 10remote-address 150.1.1.1
#
ipsec policy IPSEC_POL 10 isakmpsecurity acl 3000ike-peer R1proposal IPSEC
#
interface GigabitEthernet0/0/0ip address 150.1.2.3 255.255.255.0 ipsec policy IPSEC_POLnat outbound 3001
#
interface GigabitEthernet0/0/2ip address 192.168.2.3 255.255.255.0
#
ospf 1 area 0.0.0.0 network 150.1.2.0 0.0.0.255
#
ip route-static 0.0.0.0 0.0.0.0 150.1.2.2
五、实验效果
1、能PING通
2、能查看
在R1上执行命令:
display ipsec sa
3、能上网
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/118497951
IPSEC VXN配置实例相关推荐
- 锐捷GRE over ipsec vxn配置 ----尚文网络奎哥
IPsec vxn作为目前网络中较为常见的VxN技术,存在着不能传递组播流量的缺点,致使使用ipsec vxn不能使用ospf实现网段的动态添加,有内部网段信息改变配置比较麻烦. GRE vpn可以传 ...
- MPLS VXN配置实例
今天进行实验,主要演示MPLS VXN的配置,希望能够通过本次实验,对大家有所帮助.阅读本文,您需要对MPLS VXN.BGP等概念有一定的了解,如果您对此认识不够深入.可能看懂本文还有一些难度,强烈 ...
- 思科pix防火墙配置实例大全
在配置PIX防火墙之前,先来介绍一下防火墙的物理特性.防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口:当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下: 内部区域(内网):内 ...
- IPsec ×××路由器配置:ISAKMP策略
部署一个使用IPsec的IOS路由器要从配置ISAKMP策略和路由器的ISAKMP认证密钥数据开始.如果路由器仅仅与Site-to-Site拓扑中的另外一个路由器相连,那么ISAKMP配置就完成了.然 ...
- log4j2配置实例[按小时记录日志文件]
log4j2.xml文件配置实例:<?xml version="1.0" encoding="UTF-8"?> <configuration ...
- 地址设置nginx负载均衡_nginx负载均衡配置实例
什么是负载均衡? 负载均衡主要通过专门的硬件设备或者通过软件算法实现.通过硬件设备实现的负载均衡效果好.效率高.性能稳定,但是成本比较高.通过软件实现的负载均衡主要依赖于均衡算法的选择和程序的健壮性. ...
- 多 LDAP 目录服务器的 FileNet P8 系统介绍和配置实例
摘抄笔记:http://www.ibm.com/developerworks/cn/data/library/techarticle/dm-1312multipldap/ 多 LDAP 目录服务器的 ...
- proftpd的安装配置实例
为什么80%的码农都做不了架构师?>>> 一个proftpd的安装配置实例. 目的: 安装配置一个proftpd,达到以下要求 1 不允许匿名访问. 2 开放一个帐号 ...
- Cisco pix515配置实例
一.引言 硬件防火墙的应用,现在是越来越多,产品也很丰富.一般国产的防火墙多带有中文的说明和一些相应的配置实例,但国外的产品几乎都没有中文的说明书,这对一个初学者来说,尤其是中国的用户,是很不方便的, ...
最新文章
- 2022-2028年中国盲盒产业研究及前瞻分析报告
- VS2008 Tips #004 – 您可以通过“浏览方式…”添加浏览器到 Visual Web Developer
- createDocumentFragment 详解
- WP8.1学习系列(第八章)——透视Pivot设计指南
- 搭建golang webcron 定时任务管理平台
- OpenCV中的「透视变换 / 投影变换 / 单应性」—cv.warpPerspective、cv.findHomography
- 插件地址(eclipse jrebel jed)、问题
- jmeter连接mysql并定义变量提供给后续接口使用
- uniapp开发微信公众号(支付宝支付)
- Redis学习三:设计与实现之单机数据库的实现
- 局域网DNS劫持,输入网址会跳转到其他的广告页
- 转载:wps怎么制作半圆形时间轴? wps彩色时间轴的制作方法
- 2022-2028年中国冷冻草莓加工行业市场竞争态势及发展趋向分析报告
- 什么是M1、M2以及与资本市场的关系
- 计算机pe教程,u启动windows7PE工具箱
- 将B站上下载的两个m4s文件合成为mp4文件
- Modern Robotics串联机器人常见的奇异构型
- 没有“光线追踪”,赛博朋克2077就算残废?
- 阿里巴巴技术开发手册
- springboot+vue机动车汽车美容保养维修管理系统java