用的锐捷设备。

ipsec加密图用于对外接口上。

IPsec
使用IPSec对本部到各分部的数据流进行加密。要求使用动态隧道主模式,安全协议采用esp协议,加密算法采用3des,认证算法采用md5,以IKE方式建立IPsec SA。在R1上配置ipsec加密转换集名称为myset;动态ipsec加密图名称为dymymap;预共享密钥为明文123456;静态的ipsec加密图mymap

R1:

R1(config)#crypto isakmp policy 1 //创建新的isakmp策略

R1(isakmp-policy)#encryption 3des //指定使用3des进行加密

R1(isakmp-policy)#authentication pre-share //指定认证方式为“预共享密钥”,用的最多

R1(isakmp-policy)#hash md5 //认证hash算法采用md5认证

R1(isakmp-policy)#exit

R1(config)#crypto isakmp key 7 123456 address 0.0.0.0 0.0.0.0 //配置预共享密钥,指定邻居,0.0.0.0 0.0.0.0是任意匹配 7是不加密

R1(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac//配置ipsec加密转换集,名字为myset

R1(config)#crypto dynamic-map dymymap 5 //新建名为“dymymap"的动态ipsec加密图

R1(config-crypto-map)#set transform-set myset //指定加密转换集为”myset“

R1(config-crypto-map)#exit

R1(config)#crypto map mymap 10 ipsec-isakmp dynamic dymymap //将动态的”dymymap"ipsec加密图映射到静态的ipsec加密图”mymap“中

R1(config)#int vlan 20

R1(config-if-vlan20)#crypto map mymap//将加密图应用到外网接口上

R1(config)#intvlan 30

R1(config-if-vlan30)#crypto map mymap//将加密图应用到外网接口上

因为R1是双出口,多少会出现次优路径,指定总部内网访问各分支的优选路径

R1(config)#iproute 194.1.0.0 255.255.0.0 13.1.0.3

R1(config)#ip route 193.1.0.0 255.255.0.0 12.1.0.2

创建isakmp策略(密码类型)
    加密类型
    域共享密钥
    认证算法
配置域共享密钥和邻居
配置加密转换集
新建动态加密图
    把加密集转换集用于加密图
动态加密图转为静态加密图
把加密图应用在外接口上

EG1(config)#crypto isakmp policy 1   //创建新的isakmp策略

EG1(isakmp-policy)#encryption 3des //指定使用3des进行加密

EG1(isakmp-policy)#authentication pre-share //指定认证方式为“预共享密钥”,用的最多

EG1(isakmp-policy)#hash md5 //认证hash算法采用md5认证

EG1(isakmp-policy)#exit

EG1(config)#crypto isakmp key 7 123456 address 12.1.0.1 //配置预共享密钥。指定peer12.1.0.1的预共享密钥为”123456“该密钥与总部上指定该分支的密钥一致,如果使用数字证书/信封认证无需配置

EG1(config)#crypto isakmp keepalive 5 periodic //配置ipsec DPD探测功能,超过配置的时间后回主动发送DPD消息,最大重传5次

EG1(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac//配置ipsec加密转换集,名字为myset,没有指定就写R1一致的

EG1(config)#ip access-list extended 101

EG1(config-ext-nacl)#permit ip 193.1.0.0 0.0.255.255 11.1.0.21 0.0.0.0

EG1(config-ext-nacl)#permit ip 193.1.0.0 0.0.255.255 11.1.0.22 0.0.0.0 //需要访问ac不然,ap上线不了

EG1(config-ext-nacl)#permit ip 193.1.0.0 0.0.255.255 192.1.0.0 0.0.255.255 //允许分支的流量访问总部的网络,ip汇聚可以使用,现网中还是用子网会安全点

EG1(config-ext-nacl)#exit

EG1(config)#crypto map mymap 10 ipsec-isakmp //新建名称为”mymap“的加密图

EG1(config-crypto-map)#set peer 12.1.0.1 //指定peer地址

EG1(config-crypto-map)#set transform-set myset //指定加密转换集”myset“

EG1(config-crypto-map)#match address 101//匹配感兴趣流ACL101

EG1(config-crypto-map)#exit

EG1(config)#int g0/3

EG1(config-if-gigabitethernet0/3)#crypto map mymap //将加密图应用到接口

创建isakmp策略(密码类型)
    加密类型
    域共享密钥
    认证算法
配置域共享密钥和邻居
配置加密转换集
配置探测功能
配置ACL,放行到ac的流量
新建静态加密图
    指定peer邻居地址
    把加密集转换集用于加密图
    配置感兴趣流
把加密图应用在外接口上

IPSEC VPN动态配置(示例)相关推荐

  1. Juniper防火墙系列-04-Juniper防火墙IPSec VPN的配置

    Juniper 所有系列防火墙(除部分早期型号外)都支持 IPSec VPN,其配置方式有多种,包括:基于策略的 VPN.基于路由的 VPN.集中星形 VPN 和背靠背 VPN 等.在这里,我们主要介 ...

  2. 企业网络安全架构设计之IPSec VPN应用配置举例

    文章目录 1. 需求分析 组网拓扑: 组网需求: 2. 地址规划 终端设备地址规划: 网络设备地址规划: 3. 防火墙接口区域规划 4. 分支机构内网配置 LSW4交换机配置 FW1防火墙配置 检查配 ...

  3. 防火墙Ipsec vpn的配置

    拓补图 1.  IP地址的配置,略 2. 路由的配置 [FW1]ip route-static  0.0.0.0 0 100.1.1.1 [FW2]ip route-static 0.0.0.0 0 ...

  4. 基于HCL模拟器华三设备IPsec vpn的配置实验

    IPsec VPN 实验 实验拓扑 图 1-1 注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此 ...

  5. 华为 eNsp ipSec vpn实验配置(1)

    实验要求 配置PC1~PC2的路由可达 配置ACL匹配源IP192.168.1.0到192.168.2.0的数据包进行认证 配置SA建立方式为手工配置 实验拓扑 实验配置 AR1 ip route-s ...

  6. linux内核实现ipsec,IP XFRM配置示例:利用linux kernel自带的IPSec实现,手动配置IPSec...

    1.拓扑 192.168.18.101 <=======> 192.168.18.102 2.配置192.168.18.101 ip xfrm state add src 192.168. ...

  7. IPSec VPN的原理与配置

    目录 IPSec 是什么: IPSec VPN 的应用场景: IPSec架构: 安全联盟SA IPSec传输模式 IPSec隧道模式 IPSec VPN的配置步骤(案例) 步骤: 项目需求: 案例TO ...

  8. IPSec VPN原理与配置

    目录 一.实验原理 ipsec vpn的目的 ipsec vpn的原理 二.  IPSec VPN概念 1.什么是IPSec 2.IPSec架构 3.SA  (Security Association ...

  9. GRE over IPsec VPN配置

    GRE over IPsec VPN配置 [实验目的] 理解GRE Tunnel的概念. 理解GRE over IPsec VPN的概念. 掌握GRE Tunnel的配置. 掌握GRE over IP ...

最新文章

  1. sshd 相关服务配置与使用
  2. JZOJ__DAY 4:【普及模拟】最大值
  3. ZOJ 2760 How Many Shortest Path (不相交的最短路径个数)
  4. 分布式文件系统—HDFS—入门简介
  5. 解封装(三):AVFormatContext分析
  6. 20.卷1(套接字联网API)---广播
  7. Windows PowerShell初体验——.NET对象支持
  8. Linux 宏定义之 offsetof 与 container_of(十九)
  9. 公式推导 11-20
  10. mybatis_MyBatis下载
  11. Ubuntu安装腾达u12驱动
  12. 来了来了,2020 首场 Meetup ,可!
  13. 不讲废话,全程硬核,处理结构化数据的终极解决方案
  14. table制作课程表案例
  15. 企业云服务器的选择与配置指南
  16. android 六边形简书,水波浪贝塞尔效果(六边形)
  17. 亿图图示----MindMaster思维导图示例
  18. FusionCharts的使用方法(超详细)
  19. jQuery方法解析(一)append
  20. 想要学习wxPython的看这里,wxPython模块超详细汇总(供自己学习用)

热门文章

  1. 滕州小学计算机教室,东湖教育四十年|滕州小学--小学校 大世界
  2. Python爬虫爬小说《诡秘之主》
  3. 点云粗配准之采样一致性
  4. Android应用源码仿微信凡信聊天项目源码
  5. 飞机机身控制电子设计,原理图和PCB
  6. 大屏自适应文章收藏分享
  7. ps4 安卓 php,PS4遥控操作下载|PS4遥控操作 (PS4 remote play)1.0.015181官方最新版_ - 极光下载站...
  8. Nginx报错Mixed Content: The page was loaded over HTTPS, This content should also be served over https
  9. (十四)覆盖率类型、覆盖率组
  10. 移动浪潮下,看地推吧如何“霸占”行业新风口