IPSEC VPN动态配置(示例)
用的锐捷设备。
ipsec加密图用于对外接口上。
IPsec
使用IPSec对本部到各分部的数据流进行加密。要求使用动态隧道主模式,安全协议采用esp协议,加密算法采用3des,认证算法采用md5,以IKE方式建立IPsec SA。在R1上配置ipsec加密转换集名称为myset;动态ipsec加密图名称为dymymap;预共享密钥为明文123456;静态的ipsec加密图mymap
R1:
R1(config)#crypto isakmp policy 1 //创建新的isakmp策略
R1(isakmp-policy)#encryption 3des //指定使用3des进行加密
R1(isakmp-policy)#authentication pre-share //指定认证方式为“预共享密钥”,用的最多
R1(isakmp-policy)#hash md5 //认证hash算法采用md5认证
R1(isakmp-policy)#exit
R1(config)#crypto isakmp key 7 123456 address 0.0.0.0 0.0.0.0 //配置预共享密钥,指定邻居,0.0.0.0 0.0.0.0是任意匹配 7是不加密
R1(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac//配置ipsec加密转换集,名字为myset
R1(config)#crypto dynamic-map dymymap 5 //新建名为“dymymap"的动态ipsec加密图
R1(config-crypto-map)#set transform-set myset //指定加密转换集为”myset“
R1(config-crypto-map)#exit
R1(config)#crypto map mymap 10 ipsec-isakmp dynamic dymymap //将动态的”dymymap"ipsec加密图映射到静态的ipsec加密图”mymap“中
R1(config)#int vlan 20
R1(config-if-vlan20)#crypto map mymap//将加密图应用到外网接口上
R1(config)#intvlan 30
R1(config-if-vlan30)#crypto map mymap//将加密图应用到外网接口上
因为R1是双出口,多少会出现次优路径,指定总部内网访问各分支的优选路径
R1(config)#iproute 194.1.0.0 255.255.0.0 13.1.0.3
R1(config)#ip route 193.1.0.0 255.255.0.0 12.1.0.2
创建isakmp策略(密码类型)
加密类型
域共享密钥
认证算法
配置域共享密钥和邻居
配置加密转换集
新建动态加密图
把加密集转换集用于加密图
动态加密图转为静态加密图
把加密图应用在外接口上
EG1(config)#crypto isakmp policy 1 //创建新的isakmp策略
EG1(isakmp-policy)#encryption 3des //指定使用3des进行加密
EG1(isakmp-policy)#authentication pre-share //指定认证方式为“预共享密钥”,用的最多
EG1(isakmp-policy)#hash md5 //认证hash算法采用md5认证
EG1(isakmp-policy)#exit
EG1(config)#crypto isakmp key 7 123456 address 12.1.0.1 //配置预共享密钥。指定peer12.1.0.1的预共享密钥为”123456“该密钥与总部上指定该分支的密钥一致,如果使用数字证书/信封认证无需配置
EG1(config)#crypto isakmp keepalive 5 periodic //配置ipsec DPD探测功能,超过配置的时间后回主动发送DPD消息,最大重传5次
EG1(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac//配置ipsec加密转换集,名字为myset,没有指定就写R1一致的
EG1(config)#ip access-list extended 101
EG1(config-ext-nacl)#permit ip 193.1.0.0 0.0.255.255 11.1.0.21 0.0.0.0
EG1(config-ext-nacl)#permit ip 193.1.0.0 0.0.255.255 11.1.0.22 0.0.0.0 //需要访问ac不然,ap上线不了
EG1(config-ext-nacl)#permit ip 193.1.0.0 0.0.255.255 192.1.0.0 0.0.255.255 //允许分支的流量访问总部的网络,ip汇聚可以使用,现网中还是用子网会安全点
EG1(config-ext-nacl)#exit
EG1(config)#crypto map mymap 10 ipsec-isakmp //新建名称为”mymap“的加密图
EG1(config-crypto-map)#set peer 12.1.0.1 //指定peer地址
EG1(config-crypto-map)#set transform-set myset //指定加密转换集”myset“
EG1(config-crypto-map)#match address 101//匹配感兴趣流ACL101
EG1(config-crypto-map)#exit
EG1(config)#int g0/3
EG1(config-if-gigabitethernet0/3)#crypto map mymap //将加密图应用到接口
创建isakmp策略(密码类型)
加密类型
域共享密钥
认证算法
配置域共享密钥和邻居
配置加密转换集
配置探测功能
配置ACL,放行到ac的流量
新建静态加密图
指定peer邻居地址
把加密集转换集用于加密图
配置感兴趣流
把加密图应用在外接口上
IPSEC VPN动态配置(示例)相关推荐
- Juniper防火墙系列-04-Juniper防火墙IPSec VPN的配置
Juniper 所有系列防火墙(除部分早期型号外)都支持 IPSec VPN,其配置方式有多种,包括:基于策略的 VPN.基于路由的 VPN.集中星形 VPN 和背靠背 VPN 等.在这里,我们主要介 ...
- 企业网络安全架构设计之IPSec VPN应用配置举例
文章目录 1. 需求分析 组网拓扑: 组网需求: 2. 地址规划 终端设备地址规划: 网络设备地址规划: 3. 防火墙接口区域规划 4. 分支机构内网配置 LSW4交换机配置 FW1防火墙配置 检查配 ...
- 防火墙Ipsec vpn的配置
拓补图 1. IP地址的配置,略 2. 路由的配置 [FW1]ip route-static 0.0.0.0 0 100.1.1.1 [FW2]ip route-static 0.0.0.0 0 ...
- 基于HCL模拟器华三设备IPsec vpn的配置实验
IPsec VPN 实验 实验拓扑 图 1-1 注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此 ...
- 华为 eNsp ipSec vpn实验配置(1)
实验要求 配置PC1~PC2的路由可达 配置ACL匹配源IP192.168.1.0到192.168.2.0的数据包进行认证 配置SA建立方式为手工配置 实验拓扑 实验配置 AR1 ip route-s ...
- linux内核实现ipsec,IP XFRM配置示例:利用linux kernel自带的IPSec实现,手动配置IPSec...
1.拓扑 192.168.18.101 <=======> 192.168.18.102 2.配置192.168.18.101 ip xfrm state add src 192.168. ...
- IPSec VPN的原理与配置
目录 IPSec 是什么: IPSec VPN 的应用场景: IPSec架构: 安全联盟SA IPSec传输模式 IPSec隧道模式 IPSec VPN的配置步骤(案例) 步骤: 项目需求: 案例TO ...
- IPSec VPN原理与配置
目录 一.实验原理 ipsec vpn的目的 ipsec vpn的原理 二. IPSec VPN概念 1.什么是IPSec 2.IPSec架构 3.SA (Security Association ...
- GRE over IPsec VPN配置
GRE over IPsec VPN配置 [实验目的] 理解GRE Tunnel的概念. 理解GRE over IPsec VPN的概念. 掌握GRE Tunnel的配置. 掌握GRE over IP ...
最新文章
- sshd 相关服务配置与使用
- JZOJ__DAY 4:【普及模拟】最大值
- ZOJ 2760 How Many Shortest Path (不相交的最短路径个数)
- 分布式文件系统—HDFS—入门简介
- 解封装(三):AVFormatContext分析
- 20.卷1(套接字联网API)---广播
- Windows PowerShell初体验——.NET对象支持
- Linux 宏定义之 offsetof 与 container_of(十九)
- 公式推导 11-20
- mybatis_MyBatis下载
- Ubuntu安装腾达u12驱动
- 来了来了,2020 首场 Meetup ,可!
- 不讲废话,全程硬核,处理结构化数据的终极解决方案
- table制作课程表案例
- 企业云服务器的选择与配置指南
- android 六边形简书,水波浪贝塞尔效果(六边形)
- 亿图图示----MindMaster思维导图示例
- FusionCharts的使用方法(超详细)
- jQuery方法解析(一)append
- 想要学习wxPython的看这里,wxPython模块超详细汇总(供自己学习用)
热门文章
- 滕州小学计算机教室,东湖教育四十年|滕州小学--小学校 大世界
- Python爬虫爬小说《诡秘之主》
- 点云粗配准之采样一致性
- Android应用源码仿微信凡信聊天项目源码
- 飞机机身控制电子设计,原理图和PCB
- 大屏自适应文章收藏分享
- ps4 安卓 php,PS4遥控操作下载|PS4遥控操作 (PS4 remote play)1.0.015181官方最新版_ - 极光下载站...
- Nginx报错Mixed Content: The page was loaded over HTTPS, This content should also be served over https
- (十四)覆盖率类型、覆盖率组
- 移动浪潮下,看地推吧如何“霸占”行业新风口