当前位置: 首页 > news >正文

[HCIE] IPSec-VPN (手工模式)

news 来源:原创 2024/4/29 15:16:35

概念:

A. IPSec:是对IP的安全性补充,工作在IP层,为IP网络通信提供安全服务。

B.安全联盟SA:是通信对等体之间对某些要素的协定。

C. IPSec安全联盟简称 IPSec SA.通常成对建立(inbound和outbound)。

D.建立 IPSec SA两种方式:手工模式和IKE自动建立。可分成5步。

   1.选择安全提议

   2.选择封装模式

   3.选择加密算法

   4.选择验证算法

   5.进行密钥交换

实验目标:pc1与pc2互通

步骤1:R1与R3配置默认路由

R1:

ip route-static 0.0.0.0 0.0.0.0 12.1.1.2

R2:

ip route-static 0.0.0.0 0.0.0.0 23.1.1.2

步骤2:配ACL,定义需要IPSec保护的数据流

R1:

acl number 3000  
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 

R3:

acl number 3000  
 rule 5 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 

步骤3:配置IPSec安全提议,定义保护方法

R1/R3:

ipsec proposal p1    \\创建安全提议,名称P1

 encapsulation-mode tunnel    \\选择隧道模式(封装新Ip头实现VPN功能)
 esp authentication-algorithm sha2-512    \\认证算法
 esp encryption-algorithm aes-256    \\加密算法

步骤4:配置安全策略,调用ACL和IPSec安全提议

R1:

ipsec policy s1 10 manual    \\创建安全策略名称s1,序号10,手工配置
 security acl 3000    \\引用acl3000
 proposal p1    \\应用安全提议                           
 tunnel local 12.1.1.1    \\本端ip地址
 tunnel remote 23.1.1.3    \\对端ip地址
 sa spi inbound esp 54321    \\入向spi
 sa string-key inbound esp cipher huawei    \\入向密钥
 sa spi outbound esp 12345    \\出向spi
 sa string-key outbound esp cipher huawei    \\出向密钥

R3:

ipsec policy s1 10 manual
 security acl 3000
 proposal p1                              
 tunnel local 23.1.1.3
 tunnel remote 12.1.1.1
 sa spi inbound esp 12345
 sa string-key inbound esp cipher huawei
 sa spi outbound esp 54321
 sa string-key outbound esp cipher huawei

步骤5:在接口调用策略

R1:

interface GigabitEthernet0/0/1
 ip address 12.1.1.1 255.255.255.0 
 ipsec policy s1

R3:

interface GigabitEthernet0/0/0
 ip address 23.1.1.3 255.255.255.0 
 ipsec policy s1

测试:

补充:

dis ipsec sa brief     \\查看ipsec sa 隧道建立情况

dis ipsec statistics esp    \\查看加密解密情况

相关文章:

  • 【Docker 系列】不用宝塔面板,小白一样可以玩转docker!
  • 更改MacBook壁纸,有时可以带来不一样的感觉,特别是动态壁纸
  • 一个基于.NET Core开源、跨平台的仓储管理系统
  • 【华为OD题库-037】跳房子2-java
  • cdb数据库强起流程
  • 【传智杯】子串、志愿者、面试题解
  • C 文件 rewind() 函数
  • C语言——深入理解指针(2)
  • STM32 CAN通信自定义数据包多帧连发乱序问题
  • Linux:Ubuntu实现远程登陆
  • 由走“贸工技”的联想联想到传统OEM,带给了自己那些思考?
  • ⑥【bitmap 】Redis数据类型: bitmap [使用手册]
  • Vue - Vue配置proxy代理,开发、测试、生产环境
  • cocos游戏引擎制作的滚动框地图防止误点操作的简单方法
  • C/C++ 使用API实现数据压缩与解压缩
  • JS 中的深拷贝与浅拷贝
  • [译] React v16.8: 含有Hooks的版本
  • 【node学习】协程
  • Angular 2 DI - IoC DI - 1
  • GDB 调试 Mysql 实战(三)优先队列排序算法中的行记录长度统计是怎么来的(上)...
  • IE报vuex requires a Promise polyfill in this browser问题解决
  • IP路由与转发
  • Java Agent 学习笔记
  • Linux链接文件
  • Mac转Windows的拯救指南
  • mongo索引构建
  • Promise面试题,控制异步流程
  • React-Native - 收藏集 - 掘金
  • spring + angular 实现导出excel
  • yii2中session跨域名的问题
  • 排序算法学习笔记
  • 用Node EJS写一个爬虫脚本每天定时给心爱的她发一封暖心邮件
  • 正则与JS中的正则
  • Oracle Portal 11g Diagnostics using Remote Diagnostic Agent (RDA) [ID 1059805.
  • ​queue --- 一个同步的队列类​
  • ​马来语翻译中文去哪比较好?
  • ​如何防止网络攻击?
  • #NOIP 2014# day.1 生活大爆炸版 石头剪刀布
  • #我与Java虚拟机的故事#连载10: 如何在阿里、腾讯、百度、及字节跳动等公司面试中脱颖而出...
  • $NOIp2018$劝退记
  • (bean配置类的注解开发)学习Spring的第十三天
  • (翻译)Quartz官方教程——第一课:Quartz入门
  • (附源码)springboot 个人网页的网站 毕业设计031623
  • (附源码)计算机毕业设计ssm基于B_S的汽车售后服务管理系统
  • (机器学习-深度学习快速入门)第三章机器学习-第二节:机器学习模型之线性回归
  • (六)vue-router+UI组件库
  • (论文阅读11/100)Fast R-CNN
  • (亲测)设​置​m​y​e​c​l​i​p​s​e​打​开​默​认​工​作​空​间...
  • (轉貼) UML中文FAQ (OO) (UML)
  • .Net 4.0并行库实用性演练
  • .NET core 自定义过滤器 Filter 实现webapi RestFul 统一接口数据返回格式
  • .NET DataGridView数据绑定说明
  • .Net 高效开发之不可错过的实用工具
  • .net 获取url的方法
  • .NET/C# 推荐一个我设计的缓存类型(适合缓存反射等耗性能的操作,附用法)