簡單ipsec實驗

2021-10-09 01:58:12 字數 2850 閱讀 3317

簡單ipsec實驗

實驗拓撲、需求如上圖

第一步先配置好各裝置的ip位址,然後分別在r1、r3分別配置一條靜態路由使網路可達:

第二步再配置acl,來選擇出需要進行ipsec處理的興趣流:

[r1-acl-adv-3000]rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

r1側匹配源ip網段為192.168.10.0/24的資料流,目的ip網段為192.168.20.0/24,r3處匹配源和目的相反即可。

第三步進行安全提議的建立,即選擇保護資料流的安全協議ah/esp,或兩者一起使用,以及配置相關的認證演算法和加密演算法,還有資料封裝模式。本次單獨使用esp協議,並通過隧道模式封裝:

[r1]ipsec proposal ipp1

[r1-ipsec-proposal-ipp1]esp authentication-algorithm sha2-512

[r1-ipsec-proposal-ipp1]esp encryption-algorithm aes-256

[r1-ipsec-proposal-ipp1]encapsulation-mode tunnel

建立名為ipp1的安全提議,esp認證方式採用sha2-512,加密演算法採用aes-256,封裝模式選擇隧道模式。

第四步再配置安全策略:

[r1]ipsec policy ip1 1 manual 建立安全策略名為ip1,策略組為1,sa建立方式為手動模式

[r1-ipsec-policy-manual-ip1-1]security acl 3000 引用acl3000

[r1-ipsec-policy-manual-ip1-1]proposal ipp1 引用剛建立的安全提議ipp1

[r1-ipsec-policy-manual-ip1-1]tunnel local 100.1.1.1 配置安全隧道本端位址為100.1.1.1

[r1-ipsec-policy-manual-ip1-1]tunnel remote 100.1.1.5 配置安全隧道遠端位址為100.1.1.5

[r1-ipsec-policy-manual-ip1-1]sa spi inbound esp 4321 配置本端sa進方向的spi值為4321

[r1-ipsec-policy-manual-ip1-1]sa spi outbound esp 1234 配置本端sa出方向的spi值為1234

[r1-ipsec-policy-manual-ip1-1]sa string-key inbound esp ****** huawei#123

[r1-ipsec-policy-manual-ip1-1]sa string-key outbound esp ****** huawei@123

配置本端sa進方向的認證金鑰為簡單密碼huawei#123,出方向認證金鑰為簡單密碼huawei@123

第五步只要在介面上應用安全策略就可以了:

[r1]int g 0/0/1

[r1-gigabitethernet0/0/1]ipsec policy ip1

由於安全聯盟是單向的,兩個對等體的雙向通訊需要兩個sa,所以r3也要進行相應的配置,但只需要將安全策略上的本端位址&遠端位址、sa的進出spi值、sa進出方向的認證金鑰做乙個調換,即r1的進方向引數等於r3的出方向引數,r1的出方向引數等於r3的進方向引數;

修改後:

acl number 3000

rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

ipsec proposal ipp1

esp authentication-algorithm sha2-512

esp encryption-algorithm aes-256

ipsec policy ip1 1 manual

security acl 3000

proposal ipp1

tunnel local 100.1.1.5

tunnel remote 100.1.1.1

sa spi outbound esp 4321

sa string-key outbound esp ****** huawei#123

sa spi inbound esp 1234

sa string-key inbound esp ****** huawei@123

[r3]int g 0/0/0

[r3-gigabitethernet0/0/0]ipsec policy ip1

配置完成後在pc1 ping pc2並在r1的g/0/0/1進行抓包:

可以看到,pc1已經可以與pc2進行通訊,ipsec隧道模式下esp對整個原始ip報文進行了加密,並生成了乙個新的ip頭部,源位址為100.1.1.1,目的位址為100.1.1.5。

本次小實驗結束~

實驗名稱 IPSec

system view 進系統檢視 enter system view,return user view with ctrl z.huawei sysname ar 1 修改主機名為ar 1 ar 1 int g0 0 0 進介面 ar 1 gigabitethernet0 0 0 ip addre...

雲計算專業IPsec實驗

ipsec實驗 拓撲圖如圖所示 路由器配置命令 ar1 system view sysname isp inte ce g0 0 0 ip address 6.6.6.2 29 inte ce g0 0 1 ip address 16.16.16.2 29 ar2 system view sysna...

IPSec學習小結

近期學習了ipsec的一些基礎知識,在此作個簡短的總結。ipsec是ip層的一套加密協議 包含ah esp ike協議以及一些加密演算法 之所以會出現ipsec協議,是因為ip網路存在一些安全缺陷,比如ip層報文可以被明文看到 資料可能被篡改 源身份不好驗證 可以進行重放攻擊等。針對這些問題,ips...