江苏龙网

  1. 主页 > 生活百科 > >

IPSec配置实例

IPSec

在尝试配置MPLSVPN之后失败,我还是决定使用IPSec,一方面是感觉MPLS配置起来没有参考,另一方面也发现IPsec功能性安全性也胜过MPLS-VPN,从网上找到一个对比图,放在下面 。

IPSec配置实例

文章插图
 
在毕业设计的基础上,进行配置 。拓扑图如下:
IPSec配置实例

文章插图
 
网段配置:
核心路由器:与外网相连f 1/0:201.1.1.1/24;与内网相连:192.168.0.0/16
【IPSec配置实例】sub路由器:与外网相连g 0/0:201.4.4.2/24;与内网相连:192.168.4.0/24
一、配置IPSec打通隧道
首先在核心路由器上配置通道命令如下:
//配置ISAKMP策略Router(config)#crypto isakmp policy 10//10为策略序列号(本地有效),取值范围是1~10000,值越小,优先级越高Router(config-isakmp)#authentication pre-share //验证方式为预共享密钥 Router(config-isakmp)#encryption aes//加密算法为aesRouter(config-isakmp)#hash sha//完整性校验算法为shaRouter(config-isakmp)#group 5//5为DH密钥组号,取值为1、2、5、6Router(config-isakmp)#exitRouter(config)#crypto isakmp key 0 address 201.4.4.2 //配置Key0表示密钥使用明文,如果取值6表示密文,address 为对端的外网口地址//定义传输集Router(config)#crypto ipsec transform-set pass1 esp-aes esp-sha-hmac//pass1为该传输集的名称,后面跟上传输集选项esp-des、ah-sha-hmac( esp(加密头部) 加密方式为aes 完整性校验为sha)//配置IPSec保护的数据流(ACL)Router(config)#ip access-list extended xianlu1//定义一个扩展的ACL,命名为xianlu1Router(config-ext-nacl)#permit ip 192.168.0.0 0.0.255.255 172.16.4.0 0.0.0.255//源IP地址为本地局域网的地址,目标为对端的局域网地址;定义ACL是为了明确这些数据流会通过隧道技术转发//配置加密映射Router(config-crypto-map)#crypto map ser1 10 ipsec-isakmp //定义一个map(名为ser1)10为加密映射的序列号,取值1~65535,值越小,优先级越高Router(config-crypto-map)#set transform-set pass1//关联第二阶段的策略,在加密映射中调用pass1这个传输集Router(config-crypto-map)#set peer 201.4.4.2 //对端外网口地址Router(config-crypto-map)#match address xianlu1 //调用ACL--xinalu1Router(config-crypto-map)#ex//应用加密映射到外网口Router(config)#int f 1/0//应用加密映射到外网口Router(config-if)#crypto map ser1*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON*****************======================********************
在另一台1941中配置发现
Router(config)#crypto isakmp enable^% Invalid input detected at '^' marker.解决办法,命令license boot module c1900 technology-package securityk9
Router(config)# license boot module c1900 technology-package securityk9//启用安全技术包ACCEPT? [yes/no]: yes//接受最终用户许可协议Router#copy running-config startup-config//保存运行配置Destination filename [startup-config]?Building configuration...[OK]Router#reload//重新加载路由器以启用安全许可证Proceed with reload? [confirm]########################################################################## [OK]Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#crypto isakmp enable//问题解决!Router(config)#*****************======================********************
核心路由器:与外网相连f 1/0:201.1.1.1/24;与内网相连:192.168.0.0/16
sub路由器:与外网相连g 0/0:201.4.4.2/24;与内网相连:192.168.4.0/24
在另一台sub路由器1941中配置相同的IPSEC命令如下:
第一阶段(除了策略的序号外可以不同外,其他的验证要和对端一致)SH(config)#crypto isakmp policy 20 //使用20,只是为了验证序号本地有效 。也可以使用10SH(config-isakmp)#authentication pre-shareSH(config-isakmp)#encryption aesSH(config-isakmp)#hash shaSH(config-isakmp)#group 5SH(config-isakmp)#exitSH(config)#crypto isakmp key 0 address 201.1.1.1第二阶段SH(config)#crypto ipsec transform-set pass2 esp-aes esp-sha-hmac //验证类型要与对端一致SH(cfg-crypto-trans)#exitSH(config)#ip access-list extended xianlu1 //定义ACLSH(config-ext-nacl)#permit ip 172.16.4.0 0.0.0.255 192.168.0.0 0.0.255.255SH(config)#crypto map ser1 10 ipsec-isakmp //名称本地有效SH(config-crypto-map)#set transform-set pass2 //关联本地的第二阶段策略SH(config-crypto-map)#set peer 201.1.1.1SH(config-crypto-map)#match address xianlu1SH(config-crypto-map)#exitSH(config)#int g0/0SH(config-if)#crypto map ser1 //应用出来Sub地级园区网之外,还需要将配货园区网连接到核心路由器
配货中心路由器:与外网相连g 0/0:201.3.3.7/24;与内网相连:10.0.0.0/8


推荐阅读


上一篇:谷歌Chrome浏览器正获得全新截图工具

下一篇:免费的配音神器,自媒体人必备