HCIE-Security Day31:IPSec:实验(六)配置PPPoE拨号分支与总部建立IPSec隧道示例
需求和拓扑
FWA为企业分支网关,FWB为企业总部网关,分支与总部通过公网建立通信。分支网关通过PPPoE方式接入公网,PPPoE_Server为分支网关分配IP地址的服务器。
企业希望对分支与总部之间相互访问的流量进行安全保护。分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。由于分支网关作为PPPoE客户端获取IP地址,总部无法获取其IP地址,所以总部网关只能响应分支网关发起的IPSec协商。
操作步骤
1、配置接口地址和安全区域
2、配置路由使公网路由可达
3、配置pppoe server
//server
//配置地址池
ip pool poolgateway-list 1.1.1.1 network 1.1.1.0 mask 255.255.255.0
//创建vt模板
interface Virtual-Template1ppp authentication-mode chap//配置认证方式remote address pool pool//配置对端获取地址为地址池方式ip address 1.1.1.1 255.255.255.0
//aaa中创建用户
aaa local-user user1 password cipher 123local-user user1 service-type ppp
//绑定到物理接口
interface GigabitEthernet0/0/0pppoe-server bind Virtual-Template 1
3.1、配置server端路由
ip route-static 10.1.1.0 255.255.255.0 GigabitEthernet0/0/0
ip route-static 10.1.2.0 255.255.255.0 6.6.6.6
4、配置pppoe client
//f1
interface Dialer1link-protocol pppppp chap user user1//此时配置的user要和server中aaa中配置的一致ppp chap password cipher 123//此时配置的password要和server中aaa中配置的一致ip address ppp-negotiate//配置地址获取方式为远端获取dialer user user1dialer bundle 1//作为物理接口绑定时的标识
//绑定到物理接口
interface GigabitEthernet1/0/1pppoe-client dial-bundle-number 1
4.1、配置client端路由
ip route-static 0.0.0.0 0 Dialer 1
4.2、将dialer接口加入untrust区域
4.3、检查是否获取到地址
5、配置ipsec
5.1、配置感兴趣流
只需要在f1配置,且不需要配置源地址。
//f1
acl number 3003rule 5 permit ip destination 10.1.2.0 0.0.0.255
5.2、配置ike安全提议
//f1f2
ike proposal 5encryption-algorithm aes-128dh group14authentication-algorithm sha2-256authentication-method pre-shareintegrity-algorithm hmac-sha2-256prf hmac-sha2-256
5.2、配置ike peer
//f1
ike peer rut1undo version 2pre-shared-key huaweiike-proposal 5remote-address 6.6.6.6//配置对端地址
//f2
ike peer rut1undo version 2pre-shared-key huaweiike-proposal 5
//不配置对端地址(本来也不知道)
5.3、配置ipsec安全提议
//f1f2
ipsec proposal prop1esp authentication-algorithm sha2-256esp encryption-algorithm aes-128
5.4、f1配置ipsec安全策略
//f1
ipsec policy policy1 10 isakmpsecurity acl 3003ike-peer rut1proposal prop1
5.5、f2配置ipsec策略模板
ipsec policy-template temp1 10ike-peer rut1proposal prop1
5.6、f2在安全策略中引用策略模板
ipsec policy policy1 10 isakmp template temp1
5.7、接口应用安全策略
//f1
interface Dialer1ipsec policy policy1//f2
interface GigabitEthernet1/0/1ipsec policy policy1
验证和分析
1、pc1可以ping通pc2,他们之间的数据将被加密
2、检查ike和ipsec的sa建立情况。
<f1>dis ike sa
2022-03-22 13:36:40.690 IKE SA information :Conn-ID Peer VPN Flag(s) Phase RemoteType RemoteID
--------------------------------------------------------------------------------3 6.6.6.6:500 RD|ST|A v1:2 IP 6.6.6.6 2 6.6.6.6:500 RD|ST|A v1:1 IP 6.6.6.6 Number of IKE SA : 2
--------------------------------------------------------------------------------Flag Description:RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUTHRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UPM--ACTIVE S--STANDBY A--ALONE NEG--NEGOTIATING
<f1>dis ipsec sa brief
2022-03-22 13:37:41.820 IPSec SA information: Src address Dst address SPI VPN Protocol Algorithm-------------------------------------------------------------------------------6.6.6.6 1.1.1.254 197277144 ESP E:AES-128 A:SHA2_256_1281.1.1.254 6.6.6.6 200157774 ESP E:AES-128 A:SHA2_256_128Number of IPSec SA : 2
HCIE-Security Day31:IPSec:实验(六)配置PPPoE拨号分支与总部建立IPSec隧道示例相关推荐
- 实验六 配置GVRP协议
目录 实验六 配置GVRP协议 实验要求: 网络拓扑图: 操作步骤: 1.配置交换机,全局启用GVRP 2.配置交换机间接口为trunk类型,并允许所有VLAN通过. 3.接口启用gvrp功能,并配置 ...
- 华为IPSEC-×××-典型配置举例1-采用手工方式建立IPsec 安全隧道
华为IPSEC-×××-典型配置举例1-采用手工方式建立IPsec 安全隧道 一:企业组网需求: 1, 某公司(总部在北京)有两个子公司分别在上海和广州,要求通过×××实现公司之间相互通 ...
- pppoe服务器虚拟机,Hyper-V 批量建立虚拟机自动改IP并配置PPPOE拨号
PowerShell 批量建立虚拟机:centos #---------------------------批量建立虚拟机脚本20190314--------------------- #虚拟机存放路 ...
- 配置PPPOE拨号和固定IP上网-从零开始学RouterOS系列02
RouterOS 配置PPPOE拨号和固定IP上网 NOTE:PPPOE拨号分两种状况: 第一种就是光猫已经设置成为桥接模式了,我们路由器上面可以直接拨号. 第二种就是光猫代拨号,路由器就可以直接获取 ...
- IPSEC ×××实验六:ASA SSL ×××
拓朴图 实验目的,PC2通过SSL×××能够访问到PC1 SSL×××服务端配置全在ASA上面,下面为配置步骤: 第一步:建立RSA密钥证书,名称为ssl***keypair crypto key g ...
- linux修改网卡配置pppoe,CentOS7配置PPPOE拨号详解
当安装完centos7后要想实现在主机上拨号上网,首先就需要在主机上安装拨号程序,rp-pppoe-3.10-10.el6.i686.rpm,这是光盘上自带的,可以自行搭建本地YUM源仓库进行安装. ...
- java拨号上网_华为AR路由器AR207-S配置pppoe拨号上网图解实例
[JAVA.C++]LeetCode 007 Reverse Integer Reverse digits of an integer. Example1: x = 123, return 321 E ...
- 华为路由器配置PPPoE拨号双链路负载分担示例
这里写自定义目录标题 欢迎使用Markdown编辑器 新的改变 功能快捷键 合理的创建标题,有助于目录的生成 如何改变文本的样式 插入链接与图片 如何插入一段漂亮的代码片 生成一个适合你的列表 创建一 ...
- 华为AR路由器AR207-S配置pppoe拨号上网图解实例
- 保护网络安全的IPsec,怎么配置?配置步骤和参考命令奉上
网络中存在哪些安全隐患? IPsec如何解决这些安全隐患? IPsec的隧道模式和传输模式区别是什么? 华为设备如何配置IPsec? 如果你想IPsec相关概念和原理,可以看看我之前发过这篇:写文章- ...
最新文章
- vs安装一直在提取文件_Visual Studio 2019下载及安装教程
- java web oracle 分页_Oracle分页的两种方式
- MYSQL内置函数总结
- 【Python】嫦娥探月数据(PDS)处理与可视化
- linux shell跳板机,用shell开发跳板机
- Android-NDK 接入Fmod库,变声操作
- 科立捷默认频率_科立捷(KOLEEJ) 【京东配送·隔日达】民用大功率自驾游酒店地下室隧道4S店对讲机 KLJ-T10...
- 数字信号处理第二次试验:时域采样与频域采样
- Spring Data JPA进阶(三):Specification查询
- 一加5应用未安装怎么解决_如何解决一加手机x安装不了软件下载的问题?
- sklearn.neighbors.KNeighborsClassifier函数详解
- Python-OpenCV-PS油画滤镜效果
- 计算方法(三)平方根法及其改进解线性方程组
- allergro音乐术语什么意思_常见音乐术语(速度术语)
- matlab中ode的用法,关于matlab 的ode45用法
- drawableLeft改变图片的大小
- 内网渗透中的域管与域控快速定位
- Arcgis属性表字段值批量替换
- 音频单元组件服务参考(Audio Unit Component Services Reference)
- HOD服务集群 torque maui
热门文章
- 【科研】施一公:我有6个办法提高英文科研写作能力
- 时间序列-N-CNN-LSTM
- Map-Reduce
- 解读MySQL性能调优“金字塔”
- 《英雄联盟》设计师NORMAN的游戏设计之路
- PyTorch:模型训练-分布式训练
- Weak Supervision: A New Programming Paradigm for Machine Learning
- python ljust函数,Python 字符串左对齐-Python 指定字符串左对齐-python ljust() 函数-python ljust() 函数用法-嗨客网...
- 腾讯php定位地图代码,腾讯地图定位及坐标解析
- 查看mysql 表 被人删除_我的数据库中有一表总是被什么人删掉数据?我如何查出来是谁做的?...