欢迎访问南京建策科技股份有限公司! 分支机构: 南京 | 广州 | 合肥 | 长沙 | 上海 | 扬州 | 常州
 最新动态 NEWS     More...
建策9月H3CTE通过榜
建策科技2018年秋季专场招...
建策10月RHCE考试战报|...
建策CCIELAB通过战报
Linux技术大赛暨2018...
建策人才联盟秋季专场招聘会—...

 

  网站位置:首页 > 学习交流 > 技术文档下载
双十一临近,技术福利大放送!
[2018-11-6]

大家好,先来个自我介绍,我是建策扬州办的一名华三学员,my name is  刘鲁缘 , 在双十一到来之际,我们还是以学习为主(内心是拒绝的哈哈)。在前几期的技术贴中,给大家介绍了我们se广域网课程中介绍过l2tp vpn相关配置,这一期我们将继续推进,来到高大上的ipsec vpn。无论是我们的gre vpn,还是 l2tp vpn,都是将私网数据封装在载荷协议内部,无法防止窃听与篡改,ipsec vpn 可算是迎刃而解。ipsec 对IP 包的验证,加密和封装能力使其安全传输IP包,之前的技术帖中也介绍过ike自动协商密钥,今天的技术帖我们给大家介绍手工配置密钥。

  网络拓扑如下:


1.先在公网设备上配置路由,保证公网设备互通,经过上述基础配置实现公网互通。

配置公网的默认路由[r2]ip route-static 0.0.0.0 0 172.16.23.2

                  [r4]ip route-static 0.0.0.0 0172.16.34.1

2.配置ipsec

在RT2上的配置

[r2]acl advanced 3000

[r2-acl-ipv4-adv-3000]rule 0 permit ipsource 192.168.12.0 0.0.0.255 destination192.168.45.0 0.0.0.255  //配置安全acl

[r2]ipsec transform-set 1//配置安全提议

[r2-ipsec-transform-set-1]protocol ah//选择安全协议

[r2-ipsec-transform-set-1]encapsulation-modetunnel//选择工作模式

[r2-ipsec-transform-set-1]ahauthentication-algorithm md5//配置AH协议采用验证算法

[r2]ipsec policy jianceyz 10 manual//创建安全策略,手工

[r2-ipsec-policy-manual-jianceyz-10]transform-set1//配置所采用的安全提议

[r2-ipsec-policy-manual-jianceyz-10]securityacl 3000//配置安全策略引用的acl

[r2-ipsec-policy-manual-jianceyz-10]remote-address172.16.34.2//配置隧道对端地址

[r2-ipsec-policy-manual-jianceyz-10]sa spiinbound ah 54321//配置sa 的入 spi 号

[r2-ipsec-policy-manual-jianceyz-10]sastring-key inbound ah simple dcba//配置sa中协议入密钥

[r2-ipsec-policy-manual-jianceyz-10]sa spioutbound ah 12345//配置sa 的出 spi 号

[r2-ipsec-policy-manual-jianceyz-10]sastring-key outbound ah simple abcd//配置sa中协议出密钥

[r2-GigabitEthernet0/1]ipsec apply policyjianceyz//把ipsec策略在公网接口生效

 

3. r4 配置ipsec vpn

[r4]acl advanced 3000

[r4-acl-ipv4-adv-3000]rule 0 permit ipsource 192.168.45.0 0.0.0.255 destination192.168.12.0 0.0.0.255  //配置安全acl

[r4]ipsec transform-set 1//配置安全提议

[r4-ipsec-transform-set-1]protocol ah//选择安全协议

[r4-ipsec-transform-set-1]encapsulation-modetunnel//选择工作模式

[r4ipsec-transform-set-1]ahauthentication-algorithm md5//配置AH协议采用验证算法

[r4]ipsec policy jianceyz 10 manual//创建安全策略,手工

[r4-ipsec-policy-manual-jianceyz-10]transform-set1//配置所采用的安全提议

[r4-ipsec-policy-manual-jianceyz-10]securityacl 3000//配置安全策略引用的acl

[r4-ipsec-policy-manual-jianceyz-10]remote-address172.16.34.2//配置隧道对端地址

[r4-ipsec-policy-manual-jianceyz-10]sa spi ouboundah 54321//配置sa 的出 spi 号

[r4-ipsec-policy-manual-jianceyz-10]sastring-key oubound ah simple dcba//配置sa中协议出密钥

[r4ipsec-policy-manual-jianceyz-10]sa spi inboundah 12345//配置sa 的入 spi 号

[r4-ipsec-policy-manual-jianceyz-10]sastring-key inbound ah simple abcd//配置sa中协议入密钥

[r4-GigabitEthernet0/1]ipsec apply policyjianceyz

配置成功之后检测左侧的私网地址和右侧的私网地址互通。

在这里详细封装过程不再介绍,ipsec sa 是一个基础,为以后学习ike协商安全策略打下基础,小编整理了一下手工配置ipsec思路供大家思考:

1感兴趣流:acl

2提议:安全协议:AH/ESP/AH-ESP

算法: AH验证算法

ESP:加密算法+验证算法

工作模式:传输/隧道

3策略:

      引用acl

Sa :SPI

指定对端IP

引用提议

密钥

4 接口调用

    5配置正确的路由

!!!PS 另外,考考大家,ipsec封装格式是什么? 没有tunnel的概念,为什么还会触发ipsec的封装?

本期技术贴到此结束,如有不当之处,还请大佬们多多指教,本人还是个菜鸟(不过,在此我要为建策扬州办打call,希望我们扬州办越办越好)


    如果您对技术帖内容有任何疑问,请联系官方邮箱:jcit@jiancenj.com,也欢迎广大学员踊跃投稿,一经录用,有稿费酬谢


友情链接
 
瞻博网络
华三
红帽
华三
瞻博网络
 Copyright @ 2016-2019 www.jiancenj.com All Rights Reserved. 版权所有 建策科技 苏ICP备11058165号
 总 部地 址:南京市玄武区洪武北路55号斯亚•置地广场23楼 联系电话: 025-84804339;84804652
 广州办事处:广州市天河区天河北路906号高科大厦A座11楼 联系电话:020-22233596、020-22233426
 长沙办事处:长沙市韶山北路139号湖南文化大厦2103室    联系电话:0731-82812056 82812057
 合肥办事处:合肥市南二环路与马鞍山路交口加侨国际广场A栋2111-2112室 联系电话:0551-65670518
 上海办事处:上海普陀区真南路1008号上海信息技术学院8号楼114室
 常州办事处:常州市武进区科教城创研港3A804 18662714115
 扬州办事处:扬州市邗江区润扬南路33号南京邮电大学通达学院2号实验楼2203-2206室