Cisco IPSec *** 配置详解
前言:
×××作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条“专线”,将组织的分支机构和总部连接起来,组成一个大的局域网。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。
IPsec的协商分为两个阶段:
第一阶段:验证对方,协商出IKE SA ,保护第二阶段IPSEC Sa协商过程
第二阶段:保护具体的数据流
拓扑如下
配置IPSec ××× 常规的步骤如下(建议复制下来):
启用IKE
配置第一阶段策略 //crypto isakmp policy xx
配置Pre Share Key //crypto isakmp key
配置第二阶段策略 //crypto ipsec transfor-set
定义感兴趣流(利用扩展的ACL)
定义map
应用map
注意事项:
两端的加密点必须要有去往对方的路由(可通讯)
配置如下:
ISP的配置
ISP#conf t
ISP(config)#int f0/0
ISP(config-if)#ip add 202.1.1.1 255.255.255.252
ISP(config-if)#no sh
ISP(config-if)#int f0/1
ISP(config-if)#ip add 61.1.1.1 255.255.255.252
ISP(config-if)#no sh
CQ(左边路由器)的配置:
CQ#conf t
CQ(config)#int f0/0
CQ(config-if)#ip add 202.1.1.2 255.255.255.252
CQ(config-if)#no sh
CQ(config-if)#int lo 0
CQ(config-if)#ip add 1.1.1.1 255.255.255.0
CQ(config-if)#no sh
CQ(config-if)#exit
CQ(config)#ip route 0.0.0.0 0.0.0.0 202.1.1.1 //配置一条去往互联网的静态路由。实现与SH(右边路由器)的加密点通信
第一阶段的配置(两端要一致):
CQ(config)#crypto isakmp policy 10 //配置策略,序号为10 (本地有效)
CQ(config-isakmp)#authentication pre-share //验证方式为预共享密钥
CQ(config-isakmp)#encryption aes //加密算法为aes
CQ(config-isakmp)#hash sha //完整性校验算法为sha
CQ(config-isakmp)#group 5 //DH组为5
CQ(config-isakmp)#exit
CQ(config)#crypto isakmp key 0 cisco address 61.1.1.2 //配置Key 0 表示不加密,密码为cisco address 为对端加密点
第二阶段
CQ(config)#crypto ipsec transform-set cisco esp-aes esp-sha-hmac //配置第二阶段策略,命名为cisco esp(加密头部) 加密方式为aes 完整性校验为sha
CQ(cfg-crypto-trans)#exit
CQ(config)#ip access-list extended *** //定义一个扩展的ACL
CQ(config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
CQ(config)#crypto map cisco 10 ipsec-isakmp //定义一个map(名称等本地有效)
CQ(config-crypto-map)#set transform-set cisco //关联第二阶段的策略
CQ(config-crypto-map)#set peer 61.1.1.2 //指定对端地址
CQ(config-crypto-map)#match address *** //关联ACL
CQ(config-crypto-map)#exit
CQ(config)#int f0/0
CQ(config-if)#crypto map cisco //使用map
SH的配置(右边路由器)
SH#conf t
SH(config)#int f0/0
SH(config-if)#ip add 61.1.1.2 255.255.255.252
SH(config-if)#int lo 0
et0/0, changed state to up
SH(config-if)#ip add 2.2.2.2 255.255.255.0
SH(config-if)#no sh
SH(config-if)#exit
SH(config)#ip route 0.0.0.0 0.0.0.0 61.1.1.1
第一阶段(除了策略的序号外可以不同外,其他的验证要和对端一致)
SH(config)#crypto isakmp policy 20 //使用20,只是为了验证序号本地有效。也可以使用10
SH(config-isakmp)#authentication pre-share
SH(config-isakmp)#encryption aes
SH(config-isakmp)#group 5
SH(config-isakmp)#exit
SH(config)#crypto isakmp key 0 cisco address 202.1.1.2
第二阶段
SH(config)#crypto ipsec transform-set cisco1 esp-aes esp-sha-hmac //验证类型要与对端一致
SH(cfg-crypto-trans)#exit
SH(config)#ip access-list extended *** //定义ACL
SH(config-ext-nacl)#permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
SH(config)#crypto map cisco1 10 ipsec-isakmp //名称本地有效
SH(config-crypto-map)#set transform-set cisco1 //关联本地的第二阶段策略
SH(config-crypto-map)#set peer 202.1.1.2
SH(config-crypto-map)#match address ***
SH(config-crypto-map)#exit
SH(config)#int f0/0
SH(config-if)#crypto map cisco1 //应用
实验:
一开始可能不行,等一下就好了
SH#ping 1.1.1.1 so lo 0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
Packet sent with a source address of 2.2.2.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/22/28 ms
是可以两边的私网是可以通的,说明IPSec ××× 配置成功了
验证:
SH#show crypto engine connections active
Crypto Engine Connections
ID Interface Type Algorithm Encrypt Decrypt IP-Address
1 Fa0/0 IPsec AES+SHA 0 10 61.1.1.2
2 Fa0/0 IPsec AES+SHA 10 0 61.1.1.2
1001 Fa0/0 IKE SHA+AES 0 0 61.1.1.2
SH#ping 1.1.1.1 so lo 0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
Packet sent with a source address of 2.2.2.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/50/76 ms
SH#show crypto engine connections active
Crypto Engine Connections
ID Interface Type Algorithm Encrypt Decrypt IP-Address
1 Fa0/0 IPsec AES+SHA 0 15 61.1.1.2
2 Fa0/0 IPsec AES+SHA 15 0 61.1.1.2
1001 Fa0/0 IKE SHA+AES 0 0 61.1.1.2
可以看到,加解密的数据包是正常增加的。
在排除一般故障的时候,可以查看这条命令,如果加密成功,那么可能是对方路由的问题导致回不来
如果加密不成功,那么应该就是本路由器IPSce ×××的配置或者路由问题了。
更多资源请访问www.arppinging.com
转载于:https://blog.51cto.com/xiaowangzai/1853989
Cisco IPSec *** 配置详解相关推荐
- (ASA) Cisco Web ××× 配置详解 [三部曲之一]
(ASA) Cisco Web ××× 配置详解 [三部曲之一] 注意:本文仅对Web×××特性和配置作介绍,不包含SSL ×××配置,SSL ×××配置将在本版的后续文章中进行介绍. 首先,先来 ...
- Cisco PPPOE配置详解
PPPOE配置: vpdn enable //开启虚拟专用拨号网络(vpdn) vpdn-group 10 //建立一个vpdn组10 request-dialin //初始化一个* ...
- 清默网络——CISCO ASA SSL ***详解
CISCO ASA SSL ×××详解 清默网络 CCIE Team 制作清默网络 CCIE Team 制作oCisco ASAWebN××× 配置详解实验环境如拓朴图.在做实验之前让我们先来了解一下 ...
- Tacacs-服务搭建与配置详解
其他文章: Tacacs+协议原理 Tacacs+服务搭建与配置详解 Tacacs+各厂商交换机配置 Tacacs+协议交互报文抓包示例 简介 tac_plus是TACACS +守护程序.它为网络设备 ...
- elasticsearch-.yml(中文配置详解)
此elasticsearch-.yml配置文件,是在$ES_HOME/config/下 elasticsearch-.yml(中文配置详解) # ======================== El ...
- mybatis 同名方法_MyBatis(四):xml配置详解
目录 1.我们将 数据库的配置语句写在 db.properties 文件中 2.在 mybatis-configuration.xml 中加载db.properties文件并读取 通过源码我们可以分析 ...
- logback节点配置详解
logback节点配置详解 一:根节点 <configuration></configuration> 属性 : debug : 默认为false ,设置为true时,将打印出 ...
- PM配置详解之一:企业结构
1.维护计划工厂 功能说明 在公司结构中定义维护工厂(通常已经作为后勤工厂存在)和维护计划工厂(简称计划工厂). 维护工厂:设备所安装的位置,如某机组安装在合营公司,那么合营公司就是此机组的维护工厂, ...
- 转 Log4j.properties配置详解
一.Log4j简介 Log4j有三个主要的组件:Loggers(记录器),Appenders (输出源)和Layouts(布局).这里可简单理解为日志类别,日志要输出的地方和日志以何种形式输出.综合使 ...
最新文章
- python连接mysql数据库并实现增删改查
- nginx+vsftp图片下载java代码上传
- css实现垂直居中定位
- python 自动补全
- circle函数用法 turtle_Python绘图库Turtle详细分析
- 解决异常:公共语言运行时检测到无效的程序
- 诚心劝言:自养动物不杀
- docker安装gamit_Ubuntu 14.04下Gamit10.5安装
- 微分几何、黎曼几何思想
- 首先,打破一切常规 学习笔记 之二
- java在控制台打印心形图案
- 新的一年:运动强身,读书明智,思考修心
- 【工具】PrimoCache和Qiling:快速缓存优化加速软件
- 解决 /usr/bin/ld:cannot find -lxxx 问题
- 电大计算机应用基础win7操作,新版电大《计算机应用基础》(win7)操作题解题步骤.doc...
- 商城系统建设:如何搭建自己的网上商城平台
- 遥感基础之全色波段和多光谱
- 光交换机配置与维护常用命令
- 《Feature Pyramid Networks for Object Detection》论文阅读笔记
- 基于Matlab实现微波带低通高通带通滤波器设计
热门文章
- Jar 包依赖冲突排查思路和解决方法(logback + slf4j-log4j12)
- 【Android Studio安装部署系列】二十二、Android studio自动生成set、get方法
- Python可视化库Matplotlib的使用
- 记录:成功配置 centos + nginx + .net core 2.0
- 《Hack与HHVM权威指南》——1.5.1 使用超级全局变量
- 《Android开发秘籍(第2版)》——第1.4节Android设备间的硬件差异
- DAX/PowerBI系列 - 参数表(Parameter Table) - 大客户分析(Top N)
- awbeci—一个帮助你快速处理日常工作的网址收集网站
- WebConfig配置文件详解
- 一致性哈希算法——虚拟节点