百度360必应搜狗淘宝本站头条
当前位置:网站首页 > 编程文章 > 正文

CISCO路由器IPSEC快速配置

feilongw 2025-01-10 13:06 2 浏览 0 评论

IPsec是一套协议,为IP层的Internet通信提供安全性。IPsec的最常见用途是在两个位置(网关到网关)之间或远程用户与企业网络(主机到网关)之间提供虚拟专用网络(VPN)。

IKE模式(第1阶段)

主模式

当发起方向响应方发送建议或建议时,IKE会话开始。节点之间的首次交换建立了基本的安全策略;发起方提出了要使用的加密和身份验证算法。响应方选择适当的建议(我们假设已选择建议)并将其发送给发起方。下一次交换会传递Diffie-Hellman公钥和其他数据。所有进一步协商都在IKE SA内加密。第三个交换对ISAKMP会话进行身份验证。建立IKE SA后,IPSec协商(快速模式)开始。

积极模式(野蛮模式)

主动模式将IKE SA协商压缩为三个数据包,发起方传递SA所需的所有数据。响应方发送建议、密钥材料和ID,并验证下一个数据包中的会话。发起方回复并验证会话。协商更快,且发起方和响应方ID以明文方式传递。

IPsec模式(第2阶段)

快速模式

IPSec协商或快速模式类似于主动模式IKE协商,除协商外,必须在IKE SA内进行保护。快速模式会协商数据加密的SA并管理该IPSec SA的密钥交换。


拓扑说明: R1和R3分别作为网关通过ISP 互通,各自内网要求通过IPSEC VPN互通

ISP配置

hostname isp

interface GigabitEthernet0/0

ip address 12.0.0.2 255.255.255.0

interface GigabitEthernet0/1

ip address 23.0.0.2 255.255.255.0


R1配置

hostname r1

interface Loopback0

ip address 192.168.1.1 255.255.255.255

//配置lo0模拟内网网段

interface GigabitEthernet0/0

ip address 12.0.0.1 255.255.255.0

ip route 0.0.0.0 0.0.0.0 12.0.0.2


access-list 100 permit ip host 192.168.1.1 host 172.16.1.1

//配置感兴趣流

crypto isakmp policy 10

encr 3des

authentication pre-share

group 2

//配置IKE的策略加密方式认证方式DH算法

crypto isakmp key 0 cisco address 23.0.0.3

//配置与共享密钥

crypto ipsec transform-set AA esp-3des esp-md5-hmac

//配置IPSEC转换集加密验证方式传输模式

crypto map aa 10 ipsec-isakmp

set peer 23.0.0.3

set transform-set AA

match address 100

//创建加密MAP,绑定IPSEC IKE,配置对等体,感兴趣流,转换集

interface GigabitEthernet0/0

crypto map aa

//接口应用IPSEC MAP

R3配置

hostname r3

interface Loopback0

ip address 172.16.1.1 255.255.255.255

interface GigabitEthernet0/0

ip address 23.0.0.3 255.255.255.0

ip route 0.0.0.0 0.0.0.0 23.0.0.2

access-list 100 permit ip host 172.16.1.1 host 192.168.1.1

crypto isakmp policy 10

encr 3des

authentication pre-share

group 2

crypto isakmp key 0 cisco address 12.0.0.1

crypto ipsec transform-set AA esp-3des esp-md5-hmac

crypto map aa 10 ipsec-isakmp

set peer 12.0.0.1

set transform-set AA

match address 100

conf t

interface GigabitEthernet0/0

crypto map aa

配置完成后检查两端配置

内网带源Ping测正常

查看IKE sa 和IPSEC sa


配置排错主要检查:

1 双方外网接口路由是否可达

2 双方是否具有匹配的SA

3 双发是否正确配置PSK

相关推荐

企业IT数字化运维运营平台(总体架构、总体蓝图)建设方案

这份文件是关于企业IT数字化运维运营平台的建设方案,主要介绍了业务背景、解决方案、成功应用案例等核心内容。更多参考公众号:优享智库以下是文件的核心要点总结:业务背景概述:IT运维趋势:随着万物互联时代...

新环境下的运维体系搭建

数字化转型的背景下,运维环境和技术实现发生很大变化。一、运维环境发生了哪些变化?例如业务上云,运维环境就发生变化,包括运维对象,运维流程和运维工具。首先运维对象在机房动环、物理设备基础上增加了虚拟机、...

大型银行文件传输架构设计及运维管理

一、背景随着银行信息化的快速发展,应用系统的数量逐步增多,系统间数据文件的传输需求呈指数级增长,起初系统间自行约定对接传输的方式,产生诸多问题,使日常运维和管理工作变得更为复杂。问题一业务系统间文件传...

充电桩运维方案,组织架构及岗位职责,运维人员配置标准

分享职场干货,提升能力!为职场精英打造个人知识体系,升职加薪!充电桩运维方案如何拿到分享的源文件:请您关注、转发,然后私信本头条号“文米”2个字,按照操作流程,专人负责发送源文件给您。...

优秀的运维架构师应该具备哪些能力?(1)

作者介绍苏君福(Jeff)10多年运营管理及系统架构规划经验,擅长ITIL企业实战。现任全时企业社交平台总监一职。合格的运营式运维工程师首先,我们总结下,关于谈到何为一名合格的运维运营工程师,大概就...

微服务时代,运维必须了解的那些事(服务架构演变)

现在IT已经进入了微服务时代,作为运维,思想观念也需要跟上,所以,这里跟大家说一下,运维需要知道哪些知识。服务架构演变史首先说一下架构的演变史。应用架构已经从最开始单体架构,SOA架构逐渐演变成了现在...

配电智能运维系统架构

随着云计算、大数据、人工智能领域的快速发展,企业配用电管理在经济性、持续性、可靠性上提出了挑战。传统末端配电和运维方式因其局限性而难以适应用户数字化、智能化管理,而使用智能、高效的配电运维方式,可以解...

机房动环监控运维的前端架构设计与实现

...

大型集团企业IT基础架构和应用运维体系解决方案PPT,架构体系

分享职场干货,提升能力!为职场精英打造个人知识体系,升职加薪!大型集团企业IT基础架构和应用运维体系解决方案PPT如何拿到分享的源文件:请您关注、转发,然后私信本头条号“文米”2个字,按照操作流程,专...

轻松监控上万台服务器:企业运维监控平台架构设计与实践指南

一、Cacti/Nagios/Zabbix/centreon/Ganglia之抉择1、cactiCacti是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具。简单的说...

这效果真绝了:基于前端技术的机房动态监控运维系统架构设计实现

Junit+Jacoco+SonarQube实现单元测试及覆盖率

一、为什么要做单元测试一个程序是由许多基本单元代码组合而成复杂的系统,如果程序的基本单元都无法保证正确性,代码层级递增时,错误就会不断放大,直到整个系统无法使用。所以单元测试的意义就在于保证基本代码模...

第四篇 SonarQube部署及代码质量扫描

一、初始化SonarQubeToken点击右上角账号->下拉选择我的账号->点击安全选项,输入令牌名称->点击生成或者直接访问这个地址http://10...

聊一聊如何用SonarQube管理.NET代码质量

背景代码质量其实是一个很容易被忽略的关键点,可能有的团队会有CodeReview这些环节来做一定程度的保障,但是这个CodeReview会很耗费人力和时间,估计大部分团队都不会很经常的来...

Jenkins+Gitlab+Nginx+SonarQube+Maven编译Java项目自发布与回退

环境拓扑:?Jenkins-192.168.1.30?Gitlab-192.168.1.31?LB-192.168.1.32?Web1-192.168.1.33?Web2-192.168.1...

取消回复欢迎 发表评论: