Announcement

滚动鼠标查看更多！

2025-3-31 21:58

|

59

|

0

|

网络

|

akun

573 Words

|

6 minutes

实验

实验他拓扑以及描述

设备编号	接口	IP地址
R1	g/0/0/0 g0/0/1	192.168.10.254/24 100.1.1.1/30
ISP	g0/0/0 g0/0/1	100.1.1.2/30 200.1.1.2/30
R2	g0/0/0 g0/0/1	192.168.20.254/24 200.1.1.1/30
PC1		192.168.10.0/24
PC2		192.168.20.0/24

实验需求

成都和北京两个站点用户均可以访问互联网2.2.2.2
配置手动IPsec VPN，实现成都和北京两个站点内网数据互通，且数据加密。
配置自动IPsec VPN，实现程度和北京两个站点内网数据互通，且数据加密。

实验步骤

配置IP地址，ISP路由器用loopback 0模拟互联网
成都和北京两个出口路由器配置默认路由指向ISP路由器。
进行IPsec VPN配置，让两个站点内网数据互通，同时数据加密。

静态IPsec VPN

静态IPsec VPN配置如下，一共分为四个步骤：

############################################## 
# 1、配置IP地址，ISP用环回口模拟。
# 2、成都和北京两个站点的出口路由分别配置默认路由和NAT。
[R1]ip route-static 0.0.0.0 0 100.1.1.2  //R1配置指向ISP的默认路由
[R2]ip route-static 0.0.0.0 0 200.1.1.2  //R2配置指向ISP的默认路由
[R1]acl 2000
[R1-basic-acl-2000]rule permit source 192.168.10.0 0.0.0.255
[r1-basic-acl-2000]interface g0/0/1 
[R1-g0/0/1]nat outbound 2000
# (R2同理配置)。
# （以上配置完以后，PC1和PC2分别都能访问2.2.2.2，但是P1和PC2不能互通）。
# 3、配置IPSec VPN，让两个站点互通，同时数据加密。
# 第一步：匹配感兴趣的流量
[R1]acl 3000 //创建acl，用于匹配往192.168.10.0去往20.0的流量。
[R1-acl-3000]rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
[R1-acl-3000]quit
# 第二步：配置IPSec提议
[R1]ipsec proposal cd //ipsec提议名称，名称为cd（成都缩写）
[R1-ipsec-proposal-cd]esp authentication-algorithm sha2-256 //认证算法采用 sha2-256
[R1-ipsec-proposal-cd]esp encryption-algorithm aes-128 //加密算法采用aes-128
# 第三步：配置IPsec手动方式安全策略
[R1]ipsec policy chengdu 10 manual //配置IPSEC策略 chengdu，方式为手动
[R1-ipsec-policy-manual-chengdu-10]security acl 3000 //包含acl 3000的流量
[R1-ipsec-policy-manual-chengdu-10]proposal cd //采用IPSec提议cd
[R1-ipsec-policy-manual-chengdu-10]tunnel local 100.1.1.1 //配置隧道本地地址为100.1.1.1。
[R1-ipsec-policy-manual-chengdu-10]tunnel remote 200.1.1.1 //配置隧道远端地址为200.1.1.1。
[R1-ipsec-policy-manual-chengdu-10]sa spi inbound esp 54321 //配置入方向编号为54321
[R1-ipsec-policy-manual-chengdu-10]sa string-key inbound esp cipher summer //配置入方向SA的认密钥为summer。
[R1-ipsec-policy-manual-chengdu-10]sa spi outbound esp 12345 //配置出方向SA编号为12345.
[R1-ipsec-policy-manual-chengdu-10]sa string-key outbound esp cipher summer //配置出方向SA的认证密钥为summer。
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]ipsec policy chengdu  //在R1的出接口上配置IPSec策略，策略名为成都。
# 第四步：配置完成后在R1上查看IPSec SA，已经有静态SA，算法匹配，没有问题。
[R1]display ipsec sa brief。
第五步：配置R2的IPSec VPN，步骤方法类似，注意隧道本地和远端相反，出入方向编号相反。
# 4、测试两地主机互ping，发现ping不通，原因是，在R1和R2上都配置了ACL200和ACL300，其中ACL2000用于匹配内部需要进行NAT的地址，ACL3000用于匹配需要通过VPN隧道加密的流量，两条ACL重合，导致ACL2000会把需要进行VPN传递的流量匹配出来，进行NAT，因此匹配后的流量没有经过VPN隧道去往目标网络，最终通信失败。因此，需要进行调整，方法是将细化匹配规则，将源IP为192.168.10.0、目标IP为192.168.20.0进行匹配，拒绝该流量进行NAT，同时放行其他所有流量。调整命令如下：
[R1]acl 3001 
[R1-acl-3001]rule 5 deny ip source  192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
[R1-acl-3001]rule 10 permit ip source any
[R1-acl-3001]quit
[R1]interface g0/0/1
[R1-g0/0/1]undo nat outbound 2000
[R1-g0/0/1]nat outbound 3001
# （R2同理配置）

参数说明：
sa spi inbound esp 54321：指定入方向ESP协议的SA的安全参数索引为54321。
SPI用于唯一标识SA，确保通信双方能够正确匹配和验证数据包。

参数说明：
sa string-key inbound esp cipher summer：配置入方向ESP协议的SA的认证密钥为”summer”。
认证密钥用于数据包的加密和解密，以及完整性验证，需确保通信双方配置相同的密钥。

动态IPSec VPN

上面是通过手工静态的方式建立IPSec VPN隧道，现在通过IKE来建立动态IPSec VPN隧道。其配置过程比静态方式的区别在于需要配置IKE安全提议和配置IKE对等体两个步骤。


重启设备重新配置，或删除原有的静态IPSec VPN，下面采用删除原有的IPSec 配置：
[ar1]undo ipsec policy chengdu
Info:All IPSec configurations with this policy are deleted.
[ar2]undo ipsec policy beijing
Info:All IPSec configurations with this policy are deleted.
第一步：配置IKE提议：
[R1]ike proposal 10 //ike提议编号10
[R1-ike-proposal-10]authentication-algorithm sha1 //配置认证算法 sha1。
[R1-ike-proposal-10]encryption-algorithm aes-cbc-128 //配置加密算法aes-cbc-128（算法为AES，密钥是128位）。
[R1-ike-proposal-10]dh group14  //密钥交换协议采用DH，group14表示2014bit DH交换组。
第二步：配置ike对等体
[R1]ike peer bj v1 //ike对等体为bj，采用ike v1协商对等体。
[R1-ike-peer-bj]pre-share-key cipher summer //配置预共享密钥summer。
[R1-ike-peer-bj]ike-proposal 10 //应用提议编号10
[R1-ike-peer-bj]local-address 100.1.1.1 //本地地址100.1.1.1。
[R1-ike-peer-bj]remote-address 200.1.1.1 //远端地址200.1.1.1。
[R1-ike-peer-bj]quit
第三步：配置ipsec提议
[R1]ipsec proposal cd //ipsec提议名称cd
[R1-ipsec-proposal-cd]esp authentication-algorithm sha2-256 //认证算法采用sha2-256。
[R1-ipsec-proposal-cd]esp encryption-algorithm aes-128 //加密算法采用aes-128。
第四步：配置IPsec策略
[R1]ipsec policy chengdu 10 isakmp //配置ipsec策略chengdu，编号10，isakmp表示自动隧道。
[R1-ipsec-policy-isakmp-chengdu-10]security acl 3000 //保护ACL3000匹配的流量。
[R1-ipsec-policy-isakmp-chengdu-10]ike-peer bj //ike对等体是bj。
[R1-ipsec-policy-isakmp-chengdu-10]proposal cd  //采用ipsec 提议 cd。
第五步：接口下应用安全策略
[R1]interface g0/0/1
[R1-g0/0/1]ipsec policy chengdu //应用IPSec策略 chengdu。
#####################################################################
对端设备同理配置。
#####################################################################

hcia hcip 网络

No Comments

Send Comment Edit Comment

Markdown

|´・ω・)ノ

ヾ(≧∇≦*)ゝ

(☆ω☆)

（╯‵□′）╯︵┴─┴

￣﹃￣

(/ω＼)

∠( ᐛ 」∠)＿

(๑•̀ㅁ•́ฅ)

→_→

୧(๑•̀⌄•́๑)૭

٩(ˊᗜˋ*)و

(ノ°ο°)ノ

(´இ皿இ｀)

⌇●﹏●⌇

(ฅ´ω`ฅ)

(╯°A°)╯︵○○○

φ(￣∇￣o)

ヾ(´･･｀｡)ノ"

( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃

(ó﹏ò｡)

Σ(っ °Д °;)っ

( ,,´･ω･)ﾉ"(´っω･｀｡)

╮(╯▽╰)╭

o(*////▽////*)q

＞﹏＜

( ๑´•ω•) "(ㆆᴗㆆ)

颜文字

Emoji

小恐龙

花!