實現vpn的另一種協議是ipsec ,準確的說ipsec是乙個多種協議組合的框架。它的實現可以分為下面四個步驟:
1. 實現資料流的篩選控制(靠acl實現控制)
2. 安全提議(實現工作模式,安全協議的選擇,驗證演算法,若為esp協議則還要有加密演算法的一致性選擇)
3. 建立安全策略(acl+安全提議+ike鄰居),一般策略的實現都是選擇自動協商的,所以要建立ike鄰居
4. 策略應用到埠
下面是此次實驗的拓撲圖(sw 為防火牆 isp 為交換機):
下面為isp上的一些配置:
[quidway]sysname isp
[isp]int vlan 10
[isp-vlan10]port ethernet 0/2
[isp-vlan10]vlan 20
[isp-vlan20]port ethernet 0/10
[isp-vlan20]vlan 30
[isp-vlan30]port ethernet 0/3
[isp-vlan30]vlan 40
[isp-vlan40]port ethernet 0/20
[isp-vlan40]qu
[isp]int vlan-inte***ce 10
[isp-vlan-inte***ce10]ip add 61.130.132.2 255.255.255.252
[isp-vlan-inte***ce10]qu
[isp]int vlan 20
[isp-vlan-inte***ce20]ip add 61.130.134.2 255.255.255.252
[isp-vlan-inte***ce20]qu
[isp]int vlan 30
[isp-vlan-inte***ce30]ip add 61.130.133.2 255.255.255.252
[isp-vlan-inte***ce30]qu
[isp]int vlan 40
[isp-vlan-inte***ce40]ip add 61.130.135.2 255.255.255.252
sw1上的一些配置:
[h3c]sysname sw1
[sw1]int eth0/0
[sw1-ethernet0/0]ip add 192.168.1.254 24
[sw1-ethernet0/0]int eth0/3
[sw1-ethernet0/3]ip add 61.130.132.1 30
[sw1-ethernet0/3]int eth 0/4
[sw1-ethernet0/4]ip add 61.130.133.1 30
[sw1-ethernet0/4]qu
[sw1]firewall zone trust
[sw1-zone-trust]add inte***ce e0/0
[sw1-zone-trust]qu
[sw1]firewall zone untrust
[sw1-zone-untrust]add int e0/3
[sw1-zone-untrust]add int e0/4
sw3上的一些配置:
[h3c]sysname sw3
[sw3]int e0/4
[sw3-ethernet0/4]ip add 61.130.135.1 255.255.255.252
[sw3-ethernet0/4]int eth0/0
[sw3-ethernet0/0]ip add 192.168.3.254 255.255.255.0
[sw3-ethernet0/0]loopback
[sw3-ethernet0/0]qu
[sw3]firewall zone untrust
[sw3-zone-untrust]add int e0/4
[sw3]ip route 0.0.0.0 0 61.130.135.2
sw2上的一些配置:
[h3c]sysname sw2
[sw2]int e0/4
[sw2-ethernet0/4]ip add 61.130.134.1 255.255.255.252
[sw2-ethernet0/4]int e0/0
[sw2-ethernet0/0]ip add 192.168.2.254 255.255.255.0
[sw2-ethernet0/0]loopback
[sw2-ethernet0/0]qu
[sw2]firewall zone untrust
[sw2-zone-untrust]add int e0/4
[sw2]ip route 0.0.0.0 0 61.130.134.2
在sw1上實現ipsec 的配置:
// 利用acl實現流篩選
[sw1]acl number 3000 match-order auto
[sw1-acl-adv-3000]rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
[sw1-acl-adv-3000]rule 20 deny ip source any destination any
[sw1-acl-adv-3000]qu
// 製作安全提議
[sw1]ipsec proposal tran3
[sw1-ipsec-proposal-tran3]encapsulation-mode tunnel
[sw1-ipsec-proposal-tran3]transform esp
[sw1-ipsec-proposal-tran3]esp authentication-algorithm md5
[sw1-ipsec-proposal-tran3]esp en des
[sw1-ipsec-proposal-tran3]quit
// 配置ike鄰居
[sw1] ike peer fw3
[sw1-ike-peer-fw3]pre-shared-key ****** 12345
[sw1-ike-peer-fw3]local-address 61.130.132.1
[sw1-ike-peer-fw3]remote-address 61.130.134.1
[sw1-ike-peer-fw3]qu
// 配置策略
[sw1]ipsec policy policy3 10 isakmp
[sw1-ipsec-policy-isakmp-policy3-10]security acl 3000
[sw1-ipsec-policy-isakmp-policy3-10]proposal tran3
[sw1-ipsec-policy-isakmp-policy3-10]ike-peer fw3
[sw1-ipsec-policy-isakmp-policy3-10]qu
// 應用到介面
[sw1]int eth0/3
[sw1-ethernet0/3]ipsec policy policy3
[sw1-ethernet0/3]qu
同樣,在sw2和sw3上做同樣的設定即可,要注意提議與ike pre-shared-key的一致性
結果如下:
IPSec的相關配置
我們能夠理解ipsec ip security 是用於增強ip網路的安全性,因此請務必重視它。同時歷年的考點也說明了這一點。為ipsec做準備 確定策略,選擇方法。配置ike 用isakmp enable命令啟動或關閉ike。用isakmp policy命令建立ike策略。用isakmp key命令...
2 6 2 IPSec的實現方式
ipsec的乙個特點就是它可以在共享網路訪問裝置,甚至可以在所有的主機和伺服器上完全實現,這避免了公升級網路裝置的相關費用。ipsec支援2種模式 傳輸模式和隧道模式。傳輸模式 通常在ipsec在一台主機 客戶機或伺服器 上實現時使用,傳輸模式使用原始明文ip頭,並且只加密資料 包括tcp或udp頭...
網工IPsec配置例項筆記
配置各路由器的介面ip,分別在總部路由器r1和分支機構路由器r2配置介面位址和靜態路由 r1 ip route static 167.1 1.0 255 255 255 0168.1 1.2 r1 ip route static 172.22 1.0 255.255 255 0168.1 1.2 r...