2. 程式人生 > >HCNA_IPSEC原理及配置

HCNA_IPSEC原理及配置

阿新 發佈:2019-01-06

 

 

手工方式

第1步 配置網路可達

Site1 ping 202.100.1.1能ping通


<Site1>ping 202.100.1.1
  PING 202.100.1.1: 56  data bytes, press CTRL_C to break
    Reply from 202.100.1.1: bytes=56 Sequence=1 ttl=254 time=50 ms
    Reply from 202.100.1.1: bytes=56 Sequence=2 ttl=254 time=30 ms
    Reply from 202.100.1.1: bytes=56 Sequence=3 ttl=254 time=10 ms
    Reply from 202.100.1.1: bytes=56 Sequence=4 ttl=254 time=20 ms
    Reply from 202.100.1.1: bytes=56 Sequence=5 ttl=254 time=30 ms

  --- 202.100.1.1 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 10/28/50 ms

第2步 配置 ACL識別興趣流

Site1上配置

acl number 3000
 rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

Site2上配置

acl number 3000
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255

第3步配置安全提議

Site1上配置

ipsec proposal proposal1
 esp encryption-algorithm 3des

 

<Site1>display ipsec proposal 

Number of proposals: 1

IPSec proposal name: proposal1                            
 Encapsulation mode: Tunnel                            
 Transform         : esp-new
 ESP protocol      : Authentication MD5-HMAC-96                             
                     Encryption     3DES

Site2上配置

ipsec proposal proposal1
 esp encryption-algorithm 3des
<Site2>display ipsec proposal

Number of proposals: 1

IPSec proposal name: proposal1                            
 Encapsulation mode: Tunnel                            
 Transform         : esp-new
 ESP protocol      : Authentication MD5-HMAC-96                             
                     Encryption     3DES

第4步,建立安全策略

Site1上配置

ipsec policy policy1 1 manual
 security acl 3000
 proposal proposal1
 tunnel local 61.120.1.1
 tunnel remote 202.100.1.1
 sa spi inbound esp 654321
 sa string-key inbound esp simple [email protected]
 sa spi outbound esp 123456
 sa string-key outbound esp simple [email protected]
#

Site1上配置

ipsec policy policy1 1 manual
 security acl 3000
 proposal proposal1
 tunnel local 202.100.1.1
 tunnel remote 61.120.1.1
 sa spi inbound esp 123456
 sa string-key inbound esp simple [email protected]
 sa spi outbound esp 654321
 sa string-key outbound esp simple [email protected]

第5步,應用安全策略

Site2上配置

interface GigabitEthernet0/0/2
 ip address 61.120.1.1 255.255.255.0 
 ipsec policy policy1

Site2上配置

interface GigabitEthernet0/0/1
 ip address 202.100.1.1 255.255.255.0     
 ipsec policy policy1

測試

Insite ping 10.1.1.1能ping通。

<Inside>
<Inside>ping 10.1.1.1
  PING 10.1.1.1: 56  data bytes, press CTRL_C to break
    Reply from 10.1.1.1: bytes=56 Sequence=1 ttl=254 time=60 ms
    Reply from 10.1.1.1: bytes=56 Sequence=2 ttl=254 time=40 ms
    Reply from 10.1.1.1: bytes=56 Sequence=3 ttl=254 time=50 ms
    Reply from 10.1.1.1: bytes=56 Sequence=4 ttl=254 time=40 ms
    Reply from 10.1.1.1: bytes=56 Sequence=5 ttl=254 time=40 ms

  --- 10.1.1.1 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 40/46/60 ms

 IKE方式

前兩步相同

第3步,配置ike proposal(可以不配有預設值)

Site1配置

ike proposal 10
 encryption-algorithm aes-cbc-256
 dh group14
 authentication-algorithm aes-xcbc-mac-96
 prf aes-xcbc-128

Sete2配置

ike proposal 10
 encryption-algorithm aes-cbc-256
 dh group14
 authentication-algorithm aes-xcbc-mac-96
 prf aes-xcbc-128

第4步,配置ike peer

Site1配置

ike peer Site2 v2
 pre-shared-key simple 123456
 ike-proposal 10
 remote-address 202.100.1.1

Site2配置

ike peer Site1 v2
 pre-shared-key simple 123456
 ike-proposal 10
 remote-address 61.120.1.1

第5步,配置ipsec policy

Site1配置

ipsec policy policy1 1 isakmp
 security acl 3000
 ike-peer Site2
 proposal proposal1

 Site2配置

ipsec policy policy1 1 isakmp
 security acl 3000
 ike-peer Site1
 proposal proposal1

第6步,應用ipsec policy

Site1配置

interface GigabitEthernet0/0/2
 ip address 61.120.1.1 255.255.255.0 
 ipsec policy policy1

Site2配置

interface GigabitEthernet0/0/1
 ip address 202.100.1.1 255.255.255.0 
 ipsec policy policy1

Insite ping 10.1.1.1能ping通。

<Inside>ping 10.1.1.1
  PING 10.1.1.1: 56  data bytes, press CTRL_C to break
    Reply from 10.1.1.1: bytes=56 Sequence=1 ttl=254 time=40 ms
    Reply from 10.1.1.1: bytes=56 Sequence=2 ttl=254 time=50 ms
    Reply from 10.1.1.1: bytes=56 Sequence=3 ttl=254 time=50 ms
    Reply from 10.1.1.1: bytes=56 Sequence=4 ttl=254 time=50 ms
    Reply from 10.1.1.1: bytes=56 Sequence=5 ttl=254 time=30 ms

  --- 10.1.1.1 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 30/44/50 ms

Site1檢視ike sa

<Site1>display ike sa v2
    Conn-ID  Peer            VPN   Flag(s)                Phase  
  ---------------------------------------------------------------
        3    202.100.1.1     0     RD                     2     
        1    202.100.1.1     0     RD|ST                  1     

  Flag Description:
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP

Site2檢視ike sa 

<Site2>display ike sa v2
    Conn-ID  Peer            VPN   Flag(s)                Phase  
  ---------------------------------------------------------------
       16    61.120.1.1      0     RD|ST                  2     
       14    61.120.1.1      0     RD                     1     

  Flag Description:
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP

Site1檢視ipsec sa

<Site1>display ipsec sa

===============================
Interface: GigabitEthernet0/0/2
 Path MTU: 1500
===============================

  -----------------------------
  IPSec policy name: "policy1"
  Sequence number  : 1
  Acl Group        : 3000
  Acl rule         : 5
  Mode             : ISAKMP
  -----------------------------
    Connection ID     : 3
    Encapsulation mode: Tunnel
    Tunnel local      : 61.120.1.1
    Tunnel remote     : 202.100.1.1
    Flow source       : 172.16.1.0/255.255.255.0 0/0
    Flow destination  : 10.1.1.0/255.255.255.0 0/0
    Qos pre-classify  : Disable

    [Outbound ESP SAs] 
      SPI: 4252858551 (0xfd7d78b7)
      Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5
      SA remaining key duration (bytes/sec): 1887114240/2220
      Max sent sequence-number: 15
      UDP encapsulation used for NAT traversal: N

    [Inbound ESP SAs] 
      SPI: 2989933471 (0xb236c39f)
      Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5
      SA remaining key duration (bytes/sec): 1887435540/2220
      Max received sequence-number: 15
      Anti-replay window size: 32
      UDP encapsulation used for NAT traversal: N

Site2檢視ipsec sa

<Site2>display ipsec sa

===============================
Interface: GigabitEthernet0/0/1
 Path MTU: 1500
===============================

  -----------------------------
  IPSec policy name: "policy1"
  Sequence number  : 1
  Acl Group        : 3000
  Acl rule         : 5
  Mode             : ISAKMP
  -----------------------------
    Connection ID     : 16
    Encapsulation mode: Tunnel
    Tunnel local      : 202.100.1.1
    Tunnel remote     : 61.120.1.1
    Flow source       : 10.1.1.0/255.255.255.0 0/0
    Flow destination  : 172.16.1.0/255.255.255.0 0/0
    Qos pre-classify  : Disable

    [Outbound ESP SAs] 
      SPI: 2989933471 (0xb236c39f)
      Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5
      SA remaining key duration (bytes/sec): 1887114240/2137
      Max sent sequence-number: 15
      UDP encapsulation used for NAT traversal: N

    [Inbound ESP SAs] 
      SPI: 4252858551 (0xfd7d78b7)
      Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5
      SA remaining key duration (bytes/sec): 1887435540/2137
      Max received sequence-number: 15
      Anti-replay window size: 32
      UDP encapsulation used for NAT traversal: N

 

相關推薦

HCNA_IPSEC原理配置

    手工方式 第1步 配置網路可達 Site1 ping 202.100.1.1能ping通 <Site1>ping 202.100.1.1 PING 202.100.1.1: 56 data bytes, press CTR

【Spring】Spring MVC原理配置詳解

進行 return sub sca scrip uil 線程安全 松耦合 必須 1.Spring MVC概述: Spring MVC是Spring提供的一個強大而靈活的web框架。借助於註解,Spring MVC提供了幾乎是POJO的開發模式,使得控制器的開發和測試更加簡

Java過濾器Filter的原理配置_學習筆記

ava .cn -1 求和 pattern 資源 分享 java過濾器 服務器 Filter中文意思為過濾器。顧名思義,過濾器可在瀏覽器以及目標資源之間起到一個過濾的作用。例如:水凈化器,可以看成是生活中的一個過濾器,他可以將汙水中的雜質過濾,從而使進入的汙水變成凈水。 對

三層交換工作原理配置

三層交換機 mls(多層交換) cef(cisco快速轉發) 配置命令 楊書凡 三層交換機就是具有部分路由器功能的交換機,三層交換機的最重要目的是加快大型局域網內部的數據交換,所具有的路由功能也是為這目的服務的,能夠做到一次路由,多次轉發。三層交換技術就是二層交換技術+三層轉發技術。

高性能Mysql主從架構的復制原理配置詳解

應用場景 難點 要點 一行 tar distrib 控制 成功 實時性 1 復制概述 Mysql內建的復制功能是構建大型,高性能應用程序的基礎。將Mysql的數據分布到多個系統上去,這種分布的機制,是通過將Mysql的某一臺主機的數據復制到其它主機(slaves

Spring MVC原理配置詳解

對象 classpath oca entity attribute nco conf nal spring Spring MVC原理及配置 1.Spring MVC概述: Spring MVC是Spring提供的一個強大而靈活的web框架。借助於註解,Spring MVC提

wepack的模塊化原理配置方法

否則 mem 文件 完成後 加載 服務器 cal 其中 內部函數 我們都知道,webpack的特點之一就在於其的模塊化,將各個文件都使用loader功能轉換為js文件,並將其模塊化,那麽其模塊化的原理是什麽呢? 首先我們需要了解CommonJS規範,以及AMD、CMD、UM

(2)LVS+Keepalived高可用負載均衡架構原理配置

LVS Keepalived1、keepalived 介紹2、keepalived 優缺點3、keepalived 應用場景4、keepalived 安裝配置5、keepalived+lvs 高可用6、keepalived+nginx 高可用7、keepalived 切換原理8、性能優化9、常見故障 一、k

DHCP協議原理配置

DHCP服務一、工作原理 1、基本概念DHCP是一個動態主機配置協議,使用UDP協議進行通信端口為:67(DHCP server)、68(DHCP client) 2、工作過程 DHCP協議中的報文:DHCP DISCOVER :客戶端開始DHCP過程發送的包,是DHCP協議的開始DHCP OFFER

mysql (master/slave)復制原理配置

通過 除了 基本 logical slave 基礎 緩存 大量 failover 1 復制概述 Mysql內建的復制功能是構建大型,高性能應用程序的基礎。將Mysql的數據分布到多個系統上去,這種分布的機制,是通過將Mysql的某一臺主機的數據復制到其它主機(s

DHCP原理配置

配置ip地址 over 拓撲 protocol 之間 原來 開啟 接入網 怎麽 DHCP原理及配置 ? 目錄 ????DHCP原理??配置基於接口地址池的DHCP??配置基於全局地址池的DHCP??配置中繼DHCP??? ?? 1、DHCP原理 1.1、什麽是DHCP?

001.DNS原理配置格式

一 dns簡介 DNS(Domain Name System,域名系統),因特網上作為域名和IP地址相互對映的一個分散式資料庫,能夠使使用者更方便的訪問網際網路,而不用去記住能夠被機器直接讀取的IP數串。通過主機名,最終得到該主機名對應的IP地址的過程叫做域名解析(或主機名解析)。其中通過計算機名解析出ip地

mysql主從原理配置

一、mysql叢集架構: 1、一主一從 2、雙主 3、一主多從(擴充套件mysql的讀效能) 4、多主一從(5.7開始支援) 5、聯機複製 關係圖: 二、配置主從用途及條件  2.1用途   1、保障可用性,故障切換。   2、提高效能,讀寫分離,讀在從庫。   3、容災備

Pycharm遠端除錯原理配置

工作中使用Pycharm作為python開發的IDE,作為專業的python整合開發環境,其功能之強大令人折服。開發過程中Debug是必不可少的。工作中經常使用Pycharm的remote debug功能,非常好用。但是剛開始的時候並不瞭解該過程的原理,只是按部就班的配置。於是抽空了解了一下相關知識,期待能夠

SSH無密碼登入的原理配置

一、SSH概念(百度) SSH 為 Secure Shell 的縮寫,由 IETF 的網路小組(Network Working Group)所制定;SSH 為建立在應用層基礎上的安全協議。SSH 是目前較可靠,專為遠端登入會話和其他網路服務提供安全性的協議。利用 SSH 協

【CSII-PE】dmconfig.xml實現原理配置方法

在一部分bundle的程式碼中(例如com.csii.gateway.api),在META-INF目錄下有個peconfig目錄,其中有一個dmconfig.xml檔案。這個檔案中有一些配置資訊: <?xml version="1.0" encoding="UTF

C300 OLT轉發原理 配置注意事項

1、 OLT PON卡板 在內聯口 和 Vport 之間 進行二層交換,提供流量管理 2、主控 在內聯口 和上聯口 之間進行 二層 或側三層 交換; 上聯卡板: 結合OLT配置命令講解: pon-onu-mng gpon-onu_1/15/1:1 service 1 gempo

Mysql叢集的HA原理配置指南之主備模式(一)

最近手頭上專案很多,所以部落格這邊耽誤了2個月實在抱歉。 先說說最近搭專案的感受吧: 給一家做網際網路金融的集團公司上私有云,方案用的都是主流的HA高可用方案,沒有什麼特別的,第一期是十臺伺服器(7臺計算節點),現在部署了線上服務的虛擬機器差不多接近60臺,總體來說比較穩定

LVS NAT模式原理配置詳解。

NAT模式優缺點:因為請求與應答都要經過lvs伺服器,所以訪問量大的話lvs會形成瓶頸,一般要求10-20臺節點。注:(節點指後面的真實web伺服器)每臺節點伺服器的閘道器地址必須是lvs伺服器的內網地址。NAT模式支援對IP地址和埠進行轉換。即使用者請求的埠和真實伺服器的埠

linux防火牆iptables的原理配置詳解

一:前言 防火牆,其實說白了講,就是用於實現Linux下訪問控制的功能的,它分為硬體的或者軟體的防火牆兩種。無論是在哪個網路中,防火牆工作的地方一定是在網路的邊緣。而我們的任務就是需要去定義到底防火牆如何工作,這就是防火牆的策略,規則,以達到讓它對出入網路的IP、資料進行檢