需求和拓扑

FWA为企业分支网关,FWB为企业总部网关,分支与总部通过公网建立通信。分支网关通过PPPoE方式接入公网,PPPoE_Server为分支网关分配IP地址的服务器。

企业希望对分支与总部之间相互访问的流量进行安全保护。分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。由于分支网关作为PPPoE客户端获取IP地址,总部无法获取其IP地址,所以总部网关只能响应分支网关发起的IPSec协商。

操作步骤

1、配置接口地址和安全区域

2、配置路由使公网路由可达

3、配置pppoe server

//server
//配置地址池
ip pool poolgateway-list 1.1.1.1 network 1.1.1.0 mask 255.255.255.0
//创建vt模板
interface Virtual-Template1ppp authentication-mode chap//配置认证方式remote address pool pool//配置对端获取地址为地址池方式ip address 1.1.1.1 255.255.255.0
//aaa中创建用户
aaa local-user user1 password cipher 123local-user user1 service-type ppp
//绑定到物理接口
interface GigabitEthernet0/0/0pppoe-server bind Virtual-Template 1

3.1、配置server端路由

ip route-static 10.1.1.0 255.255.255.0 GigabitEthernet0/0/0
ip route-static 10.1.2.0 255.255.255.0 6.6.6.6

4、配置pppoe client

//f1
interface Dialer1link-protocol pppppp chap user user1//此时配置的user要和server中aaa中配置的一致ppp chap password cipher 123//此时配置的password要和server中aaa中配置的一致ip address ppp-negotiate//配置地址获取方式为远端获取dialer user user1dialer bundle 1//作为物理接口绑定时的标识
//绑定到物理接口
interface GigabitEthernet1/0/1pppoe-client dial-bundle-number 1

4.1、配置client端路由

ip route-static 0.0.0.0 0 Dialer 1

4.2、将dialer接口加入untrust区域

4.3、检查是否获取到地址

5、配置ipsec

5.1、配置感兴趣流

只需要在f1配置,且不需要配置源地址。

//f1
acl number 3003rule 5 permit ip destination 10.1.2.0 0.0.0.255

5.2、配置ike安全提议

//f1f2
ike proposal 5encryption-algorithm aes-128dh group14authentication-algorithm sha2-256authentication-method pre-shareintegrity-algorithm hmac-sha2-256prf hmac-sha2-256

5.2、配置ike peer

//f1
ike peer rut1undo version 2pre-shared-key huaweiike-proposal 5remote-address 6.6.6.6//配置对端地址
//f2
ike peer rut1undo version 2pre-shared-key huaweiike-proposal 5
//不配置对端地址(本来也不知道)

5.3、配置ipsec安全提议

//f1f2
ipsec proposal prop1esp authentication-algorithm sha2-256esp encryption-algorithm aes-128

5.4、f1配置ipsec安全策略

//f1
ipsec policy policy1 10 isakmpsecurity acl 3003ike-peer rut1proposal prop1

5.5、f2配置ipsec策略模板

ipsec policy-template temp1 10ike-peer rut1proposal prop1

5.6、f2在安全策略中引用策略模板

 ipsec policy policy1 10 isakmp template temp1

5.7、接口应用安全策略

//f1
interface Dialer1ipsec policy policy1//f2
interface GigabitEthernet1/0/1ipsec policy policy1

验证和分析

1、pc1可以ping通pc2,他们之间的数据将被加密

2、检查ike和ipsec的sa建立情况。

<f1>dis ike sa
2022-03-22 13:36:40.690 IKE SA information :Conn-ID    Peer          VPN          Flag(s)         Phase  RemoteType  RemoteID
--------------------------------------------------------------------------------3          6.6.6.6:500                 RD|ST|A         v1:2   IP          6.6.6.6         2          6.6.6.6:500                 RD|ST|A         v1:1   IP          6.6.6.6         Number of IKE SA : 2
--------------------------------------------------------------------------------Flag Description:RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUTHRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UPM--ACTIVE   S--STANDBY   A--ALONE  NEG--NEGOTIATING
<f1>dis ipsec sa brief
2022-03-22 13:37:41.820 IPSec SA information:  Src address   Dst address    SPI   VPN         Protocol             Algorithm-------------------------------------------------------------------------------6.6.6.6        1.1.1.254      197277144         ESP          E:AES-128 A:SHA2_256_1281.1.1.254      6.6.6.6        200157774         ESP          E:AES-128 A:SHA2_256_128Number of IPSec SA : 2

HCIE-Security Day31:IPSec:实验(六)配置PPPoE拨号分支与总部建立IPSec隧道示例相关推荐

  1. 实验六 配置GVRP协议

    目录 实验六 配置GVRP协议 实验要求: 网络拓扑图: 操作步骤: 1.配置交换机,全局启用GVRP 2.配置交换机间接口为trunk类型,并允许所有VLAN通过. 3.接口启用gvrp功能,并配置 ...

  2. 华为IPSEC-×××-典型配置举例1-采用手工方式建立IPsec 安全隧道

    华为IPSEC-×××-典型配置举例1-采用手工方式建立IPsec 安全隧道 一:企业组网需求: 1,        某公司(总部在北京)有两个子公司分别在上海和广州,要求通过×××实现公司之间相互通 ...

  3. pppoe服务器虚拟机,Hyper-V 批量建立虚拟机自动改IP并配置PPPOE拨号

    PowerShell 批量建立虚拟机:centos #---------------------------批量建立虚拟机脚本20190314--------------------- #虚拟机存放路 ...

  4. 配置PPPOE拨号和固定IP上网-从零开始学RouterOS系列02

    RouterOS 配置PPPOE拨号和固定IP上网 NOTE:PPPOE拨号分两种状况: 第一种就是光猫已经设置成为桥接模式了,我们路由器上面可以直接拨号. 第二种就是光猫代拨号,路由器就可以直接获取 ...

  5. IPSEC ×××实验六:ASA SSL ×××

    拓朴图 实验目的,PC2通过SSL×××能够访问到PC1 SSL×××服务端配置全在ASA上面,下面为配置步骤: 第一步:建立RSA密钥证书,名称为ssl***keypair crypto key g ...

  6. linux修改网卡配置pppoe,CentOS7配置PPPOE拨号详解

    当安装完centos7后要想实现在主机上拨号上网,首先就需要在主机上安装拨号程序,rp-pppoe-3.10-10.el6.i686.rpm,这是光盘上自带的,可以自行搭建本地YUM源仓库进行安装. ...

  7. java拨号上网_华为AR路由器AR207-S配置pppoe拨号上网图解实例

    [JAVA.C++]LeetCode 007 Reverse Integer Reverse digits of an integer. Example1: x = 123, return 321 E ...

  8. 华为路由器配置PPPoE拨号双链路负载分担示例

    这里写自定义目录标题 欢迎使用Markdown编辑器 新的改变 功能快捷键 合理的创建标题,有助于目录的生成 如何改变文本的样式 插入链接与图片 如何插入一段漂亮的代码片 生成一个适合你的列表 创建一 ...

  9. 华为AR路由器AR207-S配置pppoe拨号上网图解实例

  10. 保护网络安全的IPsec,怎么配置?配置步骤和参考命令奉上

    网络中存在哪些安全隐患? IPsec如何解决这些安全隐患? IPsec的隧道模式和传输模式区别是什么? 华为设备如何配置IPsec? 如果你想IPsec相关概念和原理,可以看看我之前发过这篇:写文章- ...

最新文章

  1. vs安装一直在提取文件_Visual Studio 2019下载及安装教程
  2. java web oracle 分页_Oracle分页的两种方式
  3. MYSQL内置函数总结
  4. 【Python】嫦娥探月数据(PDS)处理与可视化
  5. linux shell跳板机,用shell开发跳板机
  6. Android-NDK 接入Fmod库,变声操作
  7. 科立捷默认频率_科立捷(KOLEEJ) 【京东配送·隔日达】民用大功率自驾游酒店地下室隧道4S店对讲机 KLJ-T10...
  8. 数字信号处理第二次试验:时域采样与频域采样
  9. Spring Data JPA进阶(三):Specification查询
  10. 一加5应用未安装怎么解决_如何解决一加手机x安装不了软件下载的问题?
  11. sklearn.neighbors.KNeighborsClassifier函数详解
  12. Python-OpenCV-PS油画滤镜效果
  13. 计算方法(三)平方根法及其改进解线性方程组
  14. allergro音乐术语什么意思_常见音乐术语(速度术语)
  15. matlab中ode的用法,关于matlab 的ode45用法
  16. drawableLeft改变图片的大小
  17. 内网渗透中的域管与域控快速定位
  18. Arcgis属性表字段值批量替换
  19. 音频单元组件服务参考(Audio Unit Component Services Reference)
  20. HOD服务集群 torque maui

热门文章

  1. 【科研】施一公:我有6个办法提高英文科研写作能力
  2. 时间序列-N-CNN-LSTM
  3. Map-Reduce
  4. 解读MySQL性能调优“金字塔”
  5. 《英雄联盟》设计师NORMAN的游戏设计之路
  6. PyTorch:模型训练-分布式训练
  7. Weak Supervision: A New Programming Paradigm for Machine Learning
  8. python ljust函数,Python 字符串左对齐-Python 指定字符串左对齐-python ljust() 函数-python ljust() 函数用法-嗨客网...
  9. 腾讯php定位地图代码,腾讯地图定位及坐标解析
  10. 查看mysql 表 被人删除_我的数据库中有一表总是被什么人删掉数据?我如何查出来是谁做的?...