2. 程式人生 > >cisco VPN 第二天ikev2實驗筆記

cisco VPN 第二天ikev2實驗筆記

阿新 發佈:2017-08-27
ikev2


IKEv2 配置實驗

技術分享



Branch:

1.配置proposal

crypto ikev2 proposal ikev2-proposal
 encryption 3des aes-cbc-256
 integrity sha256 sha512
 group 2 5 14

2.配置 policy(可選)

crypto ikev2 policy ikev2-policy
 proposal ikev2-proposal

3.配置keyring(必須) 

crypto ikev2 keyring ikev2-keyring
 peer center-asa
 address 202.100.1.10
 pre-shared-key pre-key


4.配置profile(必須)

crypto ikev2 profile ikev2-profile
 match identity remote address 202.100.1.10 255.255.255.255
 identity local address 162.106.1.1
 authentication remote pre-share
 authentication local pre-share
 keyring local ikev2-keyring


5.配置transform-set(可選)

crypto ipsec transform-set trans1 esp-des esp-md5-hmac
 mode tunnel
crypto ipsec transform-set trans2 esp-3des esp-sha256-hmac
 mode tunnel
show crypto ipsec transform-set

6.配置感興趣流(必須)

ip access-list extended vpn
 permit ip 192.168.1.0(本端) 0.0.0.255 192.168.2.0(對端) 0.0.0.255

7.配置crypto map(必須)

crypto map crypto-map 10 ipsec-isakmp
 set peer 202.100.1.10
 set transform-set trans1 trans2
 set ikev2-profile ikev2-profile
 match address vpn

8.接口調用map(必須)

interface f0/1
 ip add 162.100.1.1 255.255.255.0
 crypto map crypto-map

ASA:

1.相關接口激活ikev2

crypto ikev2 enable outside

2.配置policy

crypto ikev2 policy 10
 encryption aes-256 des
 integrity sha256 sha
 group 2 1
 prf sha256 sha
 lifetime seconds 86400
tunnel-group 162.106.1.1 type ipsec-l2l
tunnel-group 162.106.1.1 ipsec-attributes
 ikev2 remote-authentication pre-shared-key pre-key
 ikev2 local-authentication pre-shared-key pre-key


3.配置transform-set

crypto ipsec ikev2 ipsec-proposal trans
 protocol esp encryption aes-192 des
 protocol esp integrity sha-1 md5

4.配置感興趣流

access-list vpn extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

5.配置crypto map

crypto map crypto-map 10 match address vpn
crypto map crypto-map 10 set peer 162.106.1.1
crypto map crypto-map 10 set ikev2 ipsec-proposal trans
crypto map crypto-map interface outside

--------------------------------

狀態檢查:

B#ping 192.168.2.1 so 192.168.1.1
*Mar  2 01:13:44.517: %SYS-5-CONFIG_I: Configured from console by console
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/30/40 ms

Branch#show crypto session
Crypto session current status
Interface: GigabitEthernet0/1
Profile: ikev2-profile
Session status: UP-ACTIVE     
Peer: 202.100.1.10 port 500 
  Session ID: 1  
  IKEv2 SA: local 162.106.1.1/500 remote 202.100.1.10/500 Active 
  IPSEC FLOW: permit ip 192.168.1.0/255.255.255.0 192.168.2.0/255.255.255.0 
        Active SAs: 2, origin: crypto map
Branch#show crypto ipsec sa

interface: GigabitEthernet0/1
    Crypto map tag: crypto-map, local addr 162.106.1.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
   current_peer 202.100.1.10 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
    #pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
    
Branch#show crypto ikev2 sa
 IPv4 Crypto IKEv2  SA 
Tunnel-id Local                 Remote                fvrf/ivrf            Status 
1         162.106.1.1/500       202.100.1.10/500      none/none            READY  
      Encr: AES-CBC, keysize: 256, PRF: SHA256, Hash: SHA256, DH Grp:2, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 86400/156 sec
 IPv6 Crypto IKEv2  SA
 
Branch#show crypto engine connections active 
Crypto Engine Connections

   ID  Type    Algorithm           Encrypt  Decrypt LastSeqN IP-Address
    1  IPsec   DES+MD5                 114        0        0 162.106.1.1
    2  IPsec   DES+MD5                   0      114      114 162.106.1.1
 1001  IKEv2   SHA256+AES256             0        0        0 162.106.1.1
show crypto ipsec status
ASA# show crypto ipsec sa
interface: outside
    Crypto map tag: crypto-map, seq num: 10, local addr: 202.100.1.10
      access-list vpn extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0 
      local ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
      current_peer: 162.106.1.1
      #pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
      #pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9


cisco VPN 第二天ikev2實驗筆記

相關推薦

cisco VPN 第二ikev2實驗筆記

ikev2IKEv2 配置實驗Branch:1.配置proposalcrypto ikev2 proposal ikev2-proposal encryption 3des aes-cbc-256 integrity sha256 sha512 group 2 5 142.配置 policy(可選)cr

cisco VPN 實驗筆記

vpn加密點不等於通訊點為Tunnel ModeIKEv1 配置實例VPN觸發的過程:1.包進入VPN設備,檢查遠端通訊點的路由,路由引導流量出適當的接口 2.包在出接口過程中撞擊上MAP 3.流量匹配上MAP的ACL(感興趣流),觸發加密 4.發起和PEER的IKE協商,VPN設備檢查去忘PEER(遠端加密

cisco VPN 學習第三筆記

vpn 筆記IPSec VPN 網絡穿越和高可用性第一部分 IPSec VPN 網絡穿越問題1.1 IPSec 流量放行問題(中間設備)放行加密點之間的ISAKMP和ESP 流量site1:202.100.1.1site2:202.100.2.1access-list out extended permit

第二,php筆記,菜鳥級別,新手望見諒!

mysq -s roo php host 成功 nco root res 今天,主要寫一下面向過程風格,連接數據庫事例! <?php$conn = mysqli_connect("localhost", "root", "", "php_test"); //判斷連接數

Python之路第二-----學習筆記

ati pop 可用 cor reverse 單詞 print 但是 進行 變量名要點: 1、變量名只能包含字母、 數字和下劃線。 變量名可以字母或下劃線打頭, 但不能以數字打頭, 例如, 可將變量命名為message_1, 但不能將其命名為1_message。 2、變量

cisco網絡基礎小實驗第二

網絡 IT 基礎 第二章交換機的基本配置與管理 本文講述PC機通過console線連接交換機時,一些簡單命令與註意事項 cisco網絡基礎小實驗第二節

vue學習第二 ------ 臨時筆記

div 綁定屬性 blog 單個 guide min 元素 ejs 文檔 學習鏈接: vue.js官方文檔:  https://cn.vuejs.org/v2/guide/index.htmlvue.js API:  https://cn.vuejs.org/v2/api

21實戰caffe筆記_第二

向量 非線性 結果 基本原則 過程 img 從表 而且 提取器 1 傳統機器學習 傳統機器學習:通過人工設計特征提取器,將原始數據轉化為合適的中間表示形式或者特征向量,利用學習系統(通常為分類器)可以對輸入模式進行檢測或者分類。流程如下:

python絕技學習筆記第二

let adl strip bsp imp password 感激 方法 pri #coding=utf8import zipfilefrom threading import Threadimport argparsedef extractFile (zFile,pass

python學習筆記第二

adl 基本 dig close 是什麽 recent per names 常用 列表、元組操作 字符串操作 字典操作 集合操作 文件操作 作業 (ps:昨天寫的竟然沒保存。。。。想哭哭,所以今天寫的內容的代碼演示部分為了節約時間就直接復制別人的了) 一、列表、元組操

昨天滿滿雞湯,今天開足馬力——計算機原理筆記第二

sys ... 介質 觸摸屏 機械 分析 優先 缺點 鼠標 小白成長之路,24k純手工打造。因為是憑著記憶總結的,筆記內應該會有錯誤,望指出,謝謝您的觀看! 錯誤留給未來的自己修改,讓那個我知道自己現在有多蠢,嘻嘻 !!! 第一天 計算機原理 編程語

python學習第二筆記一,字符串常用方法

大寫字母 生成 with dsa AC nds 使用 star strip() 今天主要學習了字符串常用方法,字典,高效循環字典方式,以及文件讀寫。 字符串的常用方法: print(name.capitalize())#首字母大寫 print(name.istitle())

python學習第二筆記三,文件讀寫

清空 但是 IT pytho 對他 see PE 一個 list #打開文件#對他讀/或者寫#關閉文件#f=open(‘文件讀‘,‘r‘,encoding=‘utf-8‘)#讀模式,不能寫#f=open(‘文件讀‘,‘w‘,encoding=‘utf-8‘)#寫模式,會覆蓋

Pyhton 筆記 第二 變量與運算符

img info 變量 運算符 com http image 添加元素 nbsp 列表添加元素 b=[1,2,3] b.append(4) append()添加元素。 Pyhton 筆記 第二天 變量與運算符

hibernate學習筆記第二

索引 incr uil 變量名 ava 變更 integer 多少 序列 核心API Configuration 描述的是一個封裝所有配置信息的對象 1.加載hibernate.properties(非主流,早期) Configuration conf = new C

struts2框架之類型轉換(參考第二學習筆記

例如 源文件 com sym rop 字段名 找到 攔截 from 類型轉換 1. 什麽是類型轉換 剛才學習了封裝請求參數,把表單數據封裝到Action(模型)的屬性中。表單中的數據都是String類型,但Action(模型)的屬性不一定什麽類型。 將來我們還需要數據的

struts2框架之攔截器(參考第二學習筆記

xxx java clas 完成 攔截 銷毀 == 情況 配置 攔截器 1. 什麽是攔截器 1). 與JavaWeb中的Filter比較相似。 2). 攔截器只能攔截Action!!! 2. Struts中定義了很多攔截器,其中defaultStack中的攔截器會在每個

前端筆記第二

meta標簽 nic ont a標簽 設置 單元格邊框 描述 居中 utf meta標簽屬性:charset="編碼" 設置編碼設置網頁關鍵字:name="keywords" content="關鍵字"name

Unity筆記(3)自學第二

tro -s unit 技術 size ima ron 界面 http 學習記錄: 界面使用: 腳本使用: 腳本註意點: Unity筆記(3)自學第二天

樂優商場開發第二筆記

0.學習目標 瞭解系統架構的演變 瞭解RPC與Http的區別 掌握HttpClient的簡單使用 知道什麼是SpringCloud 獨立搭建Eureka註冊中心 獨立配置Robbin負載均衡   1.系統架構演變