eNSP之IPsec 虚拟专用网配置
eNSP之IPsec 虚拟专用网配置
VPN的定义
1、互联网存在各种安全隐患
— 网上传输的数据有被窃听的风险— 网上传输的数据有被篡改的危险— 通信双方有被冒充的风险
2、VPN (Virtual Private Network,虚拟专用网)
3、VPN建立“保护”网络实体之间的通信
— 使用加密技术防止数据被窃听— 数据完整性验证防止数据被破坏、篡改— 通过认证机制确认身份,防止冒充
VPN类型
1、站点到站点
2、远程访问VPN
站点到站点的VPN配置——IPsec VPN
拓扑
需求
不允许研发小组与研发服务器通过互联网传输数据。
通过建立IPsec VPN使得异地的研发小组与研发服务器传输数据。
配置步骤
1、基础IP信息配置
(基础配置大家小学就学过了,这里不做演示。)
2、配置路由
[R1]ip route-static 0.0.0.0 0 100.0.0.2
[R2]ip route-static 0.0.0.0 0 200.0.0.2
3、IPSec VPN配置
1) 加密、认证算法介绍
· 加密与解密- 加密:明文数据 ‘m’ --> 密文数据 ‘c’- 解密:密文数据 ‘c’ --> 明文数据 ‘m’· 加密算法分类- 对称加密算法对称加密算法使用同一个共享密钥参与加密与解密的计算,计算速度快,但这种方法安全性较低。如下图,加密时,使用加密函数 E(共享密钥‘k’,明文‘m’)生成密文 ‘c’,解密时使用解密函数 D(共享密钥‘k’,密文‘c’) 生成明文‘m’。
> DES(Data Encryption Standard,数据加密标准)> 3DES> AES(Advanced Encryption Standard,高级加密标准)- 非对称加密算法非对称加密算法有公钥与私钥之分,公钥可以公开,用于对数据加密,私钥只有自己知道,用于对数据解密。比如,A要发送数据给B,A就用B的公钥对数据进行加密再发给B,B收到后用自己的私钥对其进行解密。即使传输过程中数据被窃取,没有私钥也不能知道数据里的具体信息。并且,公钥与私钥相互不能通过计算推导出来,这就很大程度上保证了数据的安全性。缺点:计算效率比对称加密算法低很多,大约要慢1500倍左右。> RSA(三位数学家名字的首字母)
· 认证算法- 哈希(HASH)> MD5算法MD5 (Message-digest Algorithm 5,信息-摘要算法)创建了一个128位(16字节)的签名,很多协议都使用该算法做验证目前,已有人证明不同的输入数值通过MD5计算可以得到相同的数字签名,说明MD5的签名可能具有一定程度的虚假性MD5执行速度较快,但其安全性相对SHA稍差一点> SHA算法SHA (Secure Hash Algorithm,安全散列算法)已成为美国国家标准,它可以产生160位的签名(20字节的长度)为了更加安全,现在已经开发了SHA-256和SHA-512等> DH算法DH (Diffie-Hellman,迪菲-赫尔曼)— 一般被用来实现IPSec中的Internet密钥交换— DH算法将对称加密算法和非对称加密算法综合在一起DH算法支持可变的密钥长度— 其中DH组1为768,DH组2为1024,DH组5为1536,DH组14为2048— 密钥的有效长度越长,安全性也就越强,同时CPU的资源占用率也就越高- 校验文件> 网站下载的文件(例如www.kali.org)
2)配置IKE(Internet Key Exchange,因特网密钥交换协议)安全提议
该步骤主要是设置算法保证数据传输的安全,这些算法会形成相应的密钥,如果算法各自管理自己的算法会很麻烦,于是IKE便可以将这些密钥集合统一自动管理。
***创建IKE安全提议***
[R1]ike proposal 1 //创建IKE提议,编号为1
[R1-ike-proposal-1]encryption-algorithm aes-cbc-256 //设置加密算法为AES
[R1-ike-proposal-1]authentication-algorithm sha1 //设置认证算法为SHA
[R1-ike-proposal-1]authentication-method pre-share //设置认证方法为预共享密钥
[R1-ike-proposal-1]dh group2 //设置DH组2,支持密钥长度为1024bit***配置IKE对等体***
[R1]ike peer 200.0.0.1 v1 //创建IKE对等体,对等体名称为 '200.0.0.1',用于标记远端设备,并且只能支持版本1的SA
[R1-ike-peer-200.0.0.1]pre-shared-key cipher mr-sss //设置预共享密钥为密文格式的‘mr-sss’,两端密钥要相同。
[R1-ike-peer-200.0.0.1]ike-proposal 1 //应用前面创建的IKE安全提议1
[R1-ike-peer-200.0.0.1]remote-address 200.0.0.1 //设置建立VPN的远端设备地址。
[R1-ike-peer-200.0.0.1]quit---R3的配置与上面差不多,要注意的就是明确对等体名称和建立VPN的远端地址---
ike proposal 1encryption-algorithm aes-cbc-256authentication-algorithm sha1authentication-method pre-sharedh group2
ike peer 100.0.0.1 v1pre-shared-key cipher mr-sssike-proposal 1remote-address 100.0.0.1
2)配置ACL
该步骤主要用于访问控制,匹配在隧道中可以传输的流量。
[R1]acl number 3000
[R1-acl-adv-3000]rule 5 permit ip source 172.16.10.0 0.0.0.255 destination 10.10.33.0 0.0.0.255[R3]acl 3000
[R3-acl-adv-3000]rule permit ip source 10.10.33.0 0.0.0.255 destination 172.16.10.0 0.0.0.255
3)配置IPSec安全提议
[R1]ipsec proposal 1 //创建IPSec安全提议,名称为1
[R1-ipsec-proposal-1]esp authentication-algorithm sha1 //认证算法为SHA1
[R1-ipsec-proposal-1]esp authentication-algorithm sha2-256 //加密算法为SHA2
[R1-ipsec-proposal-1]transfor esp //指定用于转换数据包的安全协议为ESP[R3]ipsec proposal 1
[R3-ipsec-proposal-1]esp authentication-algorithm sha1
[R3-ipsec-proposal-1]esp authentication-algorithm sha2-256
[R3-ipsec-proposal-1]transform esp
4)配置IPSec安全策略
[R1]ipsec policy yanfa 1 isakmp //创建IPSec策略,名称为‘yanfa’,序列号为1,安全连接和密钥管理协议为用IKE建立IPSec SA(isakmp)
[R1-ipsec-policy-isakmp-yanfa-1]security acl 3000 //应用ACL3000
[R1-ipsec-policy-isakmp-yanfa-1]proposal 1 //应用前面创建的IKE安全提议1
[R1-ipsec-policy-isakmp-yanfa-1]ike-peer 200.0.0.1 //应用名为‘200.0.0.1’的IKE对等体
[R1-ipsec-policy-isakmp-yanfa-1]quit[R3]ipsec policy yanfa 1 isakmp
[R3-ipsec-policy-isakmp-yanfa-1]security acl 3000
[R3-ipsec-policy-isakmp-yanfa-1]proposal 1
[R3-ipsec-policy-isakmp-yanfa-1]ike-peer 100.0.0.1
[R3-ipsec-policy-isakmp-yanfa-1]quit
5)在接口应用IPsec安全策略
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ipsec policy yanfa //在出接口应用IPsec安全策略‘yanfa’[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ipsec policy yanfa
4、访问测试
客户端可以访问研发部服务器,但不能访问Internet。
查看IPSec建立情况
eNSP之IPsec 虚拟专用网配置相关推荐
- 华为点到点IPSec 虚拟专用网配置
配置相关接口IP地址及区域 [FW1-GigabitEthernet1/0/0]ip add 10.1.1.1 24 [FW1-GigabitEthernet1/0/0]service-manage ...
- IPSec虚拟专用网原理及基础配置实例
一.虚拟专用网相关概念. 1.虚拟专用网的定义 虚拟专用网:英文全称是"(Virtual Private Network)",翻译过来就是"虚拟专用网络".虚拟 ...
- IPSec隧道配置案例(手动模式)
IPSec有点难需要掌握他的逻辑及框架然后就简单了 网络攻城狮眼里的烟花! IPSec VPN 配置案例 要求 拓扑 配置 基础配置 IPSec VPN配置 分析原因 解决方法 IPSec VPN I ...
- GRE over IPSec 隧道配置案例
我也想要一个美女老师教我学习网络. GRE over IPSec 配置案例 要求 拓扑 配置 基础配置 GRE VPN配置 配置路由 IPSec配置 GRE over IPSec 技术背景 工作流程 ...
- Cisco ASA防火墙实现IPSec 虚拟专用网,可跟做!!!
通过博文CIsco路由器实现IPSec 虚拟专用网原理及配置详解已经初步了解IPSec 虚拟专用网的原理以及如何在Cisco的路由器上实现IPSec 虚拟专用网技术.千万不要以为在CIsco路由器可以 ...
- 在Cisco的ASA防火墙上实现IPSec虚拟专用网
博文大纲: 一.网络环境需求 二.配置前准备 三.配置虚拟专用网 四.总结 前言: 之前写过一篇博文:Cisco路由器之IPSec 虚拟专用网,那是在公司网关使用的是Cisco路由器的情况下,来搭建虚 ...
- 华为设备ENSP静态路由的配置实战
华为设备ENSP静态路由的配置 1. 实验网络拓扑 2. 实验需求: 1) 使用华为模拟器ENSP 2) 将两台PC机ping通 3. 实验步骤: 1) ...
- 应用场景之Dynamic End Point(DEP)IPSec的配置
DEP是什么 DEP是很多使用WAN链接各个分分支机构不可避免要考虑的方案. DEP指的是IPSec双方不再使用IP地址进行相互验证,而是使用主机名负载进行验证的一种方式.在这种方式中,Initiat ...
- 华为设备IPsec简单配置
IPsec VPN 一.IPsec是什么? 1.1 定义 1.2 封装模式(传输模式.隧道模式) 1.3 安全协议(AH.ESP) 1.4 秘钥交换协议(IKE) 二.IPsec有什么用? 2.1 通 ...
最新文章
- Oracle - 数据库的实例、表空间、用户、表之间关系
- 无引脚表贴元器件焊接
- javawhile语句的用法例子_Python语句之循环
- 电脑文件系统的管理总结
- 使用dropwizard(3)-加入DI-dagger2
- 训练集、验证集、测试集区分
- java mysql jdbc 封装_利用Java针对MySql封装的jdbc框架类 JdbcUtils 完整实现(包括增删改查、JavaBean反射原理,附源代码)...
- Unity lightmap shader
- MySQL 的慢 SQL 怎么优化?
- SMS模型格网转换为MIKE21的格网源代码
- linux 鼠标残影,Win10系统拖动鼠标有残影怎么办
- 深度学习 经典网络模型对比分析 LeNet / AlexNet / VGGNet / GoogLeNet / ResNet / DenseNet
- 网易 产品策划( 杭州研究员) 笔试题解
- 【微信小程序】用户授权及getUserProfile接口使用
- 大学计算机长文档排版教学视频教程,大学计算机基础中Word长文档排版的教学思考...
- 纯js图片验证码Captcha.js
- prometheus告警
- 硬盘分区误删 ,快速恢复硬盘分区及数据
- cocos2d-x屏幕适配原理
- 华为防火墙查看日志命令_华为路由器防火墙配置命令总结(上)