ipsec *** 多对等体

最新推荐文章于 2025-03-07 13:28:44 发布
最新推荐文章于 2025-03-07 13:28:44 发布
阅读量224 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_34126557/article/details/85074495
本文深入探讨了网络架构中的关键组件配置,包括拓扑结构、路由策略、访问控制列表和安全策略设置,旨在为读者提供全面的网络设计与安全管理指南。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

实验拓扑:

---------------------R1------------------------------------------------------

crypto isakmp policy 10
hash md5
authentication pre-share
group 2
crypto isakmp key root address 30.1.1.1 255.255.255.0
crypto isakmp key cisco address 20.1.1.1 255.255.255.0
!
!
crypto ipsec transform-set trans esp-des esp-md5-hmac
!
crypto map smap 10 ipsec-isakmp
set peer 20.1.1.1
set transform-set trans
match address ***a
crypto map smap 20 ipsec-isakmp
set peer 30.1.1.1
set transform-set trans
match address ***b
!
interface Loopback0
ip address 1.1.1.1 255.255.255.0
!
interface FastEthernet0/0
ip address 10.1.1.1 255.255.255.0
speed 100
full-duplex
crypto map smap
!
ip route 0.0.0.0 0.0.0.0 10.1.1.10
!
ip access-list extended ***a
permit ip 1.1.1.0 0.0.0.255 3.3.3.0 0.0.0.255
ip access-list extended ***b
permit ip 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255

---------------------------R2------------------------------

interface FastEthernet0/0
 ip address 20.1.1.10 255.255.255.0
!
interface FastEthernet0/1
 ip address 30.1.1.10 255.255.255.0
!
interface FastEthernet1/0
 ip address 10.1.1.10 255.255.255.0
 

----------------------ASA1------------------------------------

interface GigabitEthernet0
 nameif outside
 security-level 0
 ip address 20.1.1.1 255.255.255.0
!
interface GigabitEthernet1
 nameif inside
 security-level 100
 ip address 192.168.3.1 255.255.255.0
!
access-list ***a extended permit ip 3.3.3.0 255.255.255.0 1.1.1.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 20.1.1.10 1
route inside 0.0.0.0 0.0.0.0 192.168.3.3 tunneled
crypto ipsec ikev1 transform-set trans esp-des esp-md5-hmac
crypto map smap 10 match address ***a
crypto map smap 10 set peer 10.1.1.1
crypto map smap 10 set ikev1 transform-set trans
crypto map smap interface outside
crypto ikev1 enable outside
crypto ikev1 policy 10
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 86400
tunnel-group 10.1.1.1 type ipsec-l2l
tunnel-group 10.1.1.1 ipsec-attributes
 ikev1 pre-shared-key cisco

------------------------------ASA2-------------------------------


interface GigabitEthernet0
 nameif outside
 security-level 0
 ip address 30.1.1.1 255.255.255.0
!
interface GigabitEthernet1
 nameif inside
 security-level 100
 ip address 192.168.4.1 255.255.255.0
!
access-list ***b extended permit ip 4.4.4.0 255.255.255.0 1.1.1.0 255.255.255.0

route outside 0.0.0.0 0.0.0.0 30.1.1.10 1
route inside 0.0.0.0 0.0.0.0 192.168.4.4 tunneled

crypto ipsec ikev1 transform-set trans esp-des esp-md5-hmac
crypto map smap 10 match address ***b
crypto map smap 10 set peer 10.1.1.1
crypto map smap 10 set ikev1 transform-set trans
crypto map smap interface outside
crypto ikev1 enable outside
crypto ikev1 policy 10
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 86400
no threat-detection statistics tcp-intercept
tunnel-group 10.1.1.1 type ipsec-l2l
tunnel-group 10.1.1.1 ipsec-attributes
 ikev1 pre-shared-key root

--------------------R3-------------------------------

interface Loopback0
ip address 3.3.3.3 255.255.255.0
!
interface FastEthernet0/0
ip address 192.168.3.3 255.255.255.0
ip route 0.0.0.0 0.0.0.0 192.168.3.1

-------------------------R4----------------------

interface Loopback0
 ip address 4.4.4.4 255.255.255.0
!
interface FastEthernet0/0
 ip address 192.168.4.4 255.255.255.0

ip route 0.0.0.0 0.0.0.0 192.168.4.1

网络安全-IPSec(互联网安全协议)
A soul tortured by desire
09-07 3077
IPSec体系概念介绍、IPSec实验设计、配置思路、配置方法、故障处理
华为IPSEC总部对点的配置
suweichao的博客
12-30 4931
ipsec总部对点配置命令配置 学了两个月的HCNA,网上搜索仅有一点对一点的ipsec配置,现在自己能做一点对点了给大家发一下自己写的配置以及拓扑图。 命令配置 sysname r1 snmp-agent local-engineid 800007DB03000000000000 snmp-agent clock timezone China-Standard-Time minus...
防火墙IPSec (无固定IP地址---一对
2403_83112422的博客
03-06 1102
以FW1所在的站点为总部,以FW2、FW3、FW4所在的站点为分部 目的:实现三个分部能够通过IPSec VPN访问总部(FW1),但三个分部之间无法通信
IPsec的配置
weixin_34318956的博客
06-01 575
实验环境:DynamipsGUI_2.8_CN 实验拓扑: 实验目的:1):通过配置ipsec ***,让我们对ipsec ***的工作原理有更深的认识 2):掌握ipsec ×××的配置方法,对它在企业中的应用有更深的了解。 实验要求:1):知道什么是ike ipsec *** 2):知道ipsec ***的作...
锐捷动态IPSEC---点对
qq_50966485的博客
02-04 2624
网络系统管理
【隧道篇 / IPsec】(5.6) ❀ 05. 向导快速建立点对IPsec ❀ FortiGate 防火墙
防火墙技术专栏
09-18 6744
【简介】前面我们已经会用向导建立点对点的IPSec了,点对IPsec又是怎么回事呢? 点对 VPN 如果一家企业有家分公司,总部需要和分公司建立IPsec VPN连接,理论上来说有少家分公司,总部就要建立少条点对点的连接。 我们已经知道,建立一条点对点的IPsec VPN,就会产生一条路由,二条策略。如果有20个分公......
华为AR路由器IPsec *** 配置
weixin_46503909的博客
07-08 6101
配置思路: 采用如下思路配置采用IKE协商方式建立IPSec隧道: 1.配置接口的IP地址和到对端的静态路由,保证两端路由可达。 2.配置ACL,以定义需要IPSec保护的数据流。 3.配置IPSec安全提议,定义IPSec的保护方法。 4.配置IKE对等体,定义对等体间IKE协商时的属性。 5.配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采用何种保护方法。 6.在接口,上应用安全策略组,使接口...
H3C V7 系列设备IPsec *** 配置
weixin_46503909的博客
09-22 3397
1.R1设备配置 设置MSR r1路由器IPSEC VPN # 第一步配置必要的路由 ip route-static 2.2.2.0 24 1.1.1.2 ip route-static 10.0.2.0 24 1.1.1.2 # # 配置一个访问控制列表,定义由子网10.0.1.0/24去子网10.0.2.0/24的数据流。 <R1>system-view [R1]acl advanced 3000 [R1-acl-ipv4-adv-3000]rule 0 pe...
IPsec ***防火墙配置
weixin_41694699的博客
07-20 1458
这是IPsec***的另一种配置,作用在防火墙上面。虽然一个是作用的路由器上的一个是作用在防火墙上的但是原理机制都是差不,唯一的区别就是默认配置的区别。路由器默认就开启了IKE的协商,而防火墙是默认关闭的所以要输入crypto isakmp enable outside这条命令开启防火墙上面的IKE的协商,outside就是指在防火墙的外网口开启这个功能,也就是图中所示的e0/0这个端口。但是由...
华为ensp模拟器--通过IKE动态协商方式建立IPSec隧道的实验(不对对等体存活进行检测)
weixin_46202077的博客
01-17 4502
组网需求 如图1所示,在Router1和Router3之间建立一个安全隧道,对PC 1代表的子网(10.1.1.x)与PC2代表的子网(20.1.1.x)之间的数据流进行安全保护。安全协议采用ESP协议,加密算法采用DES,认证算法采用SHA2-258 拓扑图设计 关键配置r1和r3 ike local-name huawei1 **–本地命名 acl number 3000 rule 5 ...
IPsec×××点对
weixin_33854644的博客
03-19 1292
IPsec ×××点对点 AR1<Huawei>DIS CU[V200R003C00]#acl number 3000 rule 10 permit ip source 192.168.10.0 0.0.0.255 destination 10.10.10.0 0.0.0.255 acl number 3500 rule 5 permit ip source 192.168.1...
站点IPSec *** 的实现和配置
weixin_33725807的博客
10-30 456
实验环境(模拟站点***)R1和R3 , R4建立***R3和R1 , R4建立***R4和R1 , R3建立***一,基本配置1.R1的基本配置R1(config)#int loopback 0R1(config-if)#ip add 1.1.1.1 255.255.255.255R1(config-if)#no shR1(config-if)#int f0/0R1(co...
使用Openswan建立一对IPSes数据加密
专栏
01-31 3667
这几个月在做一个数据安全交换的东西,其中用到了Openswan IPSec。下面是我这段时间学习的心得,拿出来和大家分享一下。 我们知道,Openswan可以实现两个网关后边的子网进行数据传输时进行数据加密,并且网上有关使用Openswan IPSec VPN配置的资料是讲解怎么配置一对一的网关之间数据加密的方法,本文主要讲解怎么配置一对的方法。比如根据网上的讲解我们可以实现AB网关之间传输
ipsec配置一台中心和台分支的时候,中心端rightid的配置
happiness100808的专栏
01-07 1072
最近在新产品发布前期,遇到一新的问题,在一个中心(一对的配置方法)和个分支建立连接的时候只能连接上一台分支,而另外一台分支连接上会踢掉,原以为是因为strongswan支持移动终端接入影响的,经过好几个小时的分析也没查到什么原因,第二天一进公司的门同事就给我说是配置的事,我一下懵了,说中心端的rightid应该写成任意也就是*而不应该写成一个固定的,当时就傻了,明明记得以前有成功的案例,为什么
strongswan--对等体封装模式不一致的处理
weixin_30800987的博客
11-29 338
  ipsec的封装模式有两种:transport模式和tunnel模式。当对等体的封装模式不一致(即一方为transport模式,另一方为tunnel模式)时,双方协商的结果是建立tunnel模式的ipsec会话。   DUTA(transport) ------- DUTB(tunnel)   以IKEv2为例分析。在上图中,假设DUTA是会话的发起方,DUTA配置的封装模式为transp...
关于IPsec的理解看法
如雨繁辰‘s blog
07-21 3066
IPSec主要关注的是在IP层既执行加密(ESP)认证(AH),并执行安全密钥交换(IKE,其中又用了diffe-hellman 密钥交换算法),主要目的就是在包的基础上就执行安全策略进行保护及认证。 同时提供了传输模式(transport mode)以及管道模式(tunnel mode),管道模式目的是支持由防火墙之类的中间网关进行ESP封装加密,这样不仅两端能对ip包加密也可以在传输中间...
动态IPSEC隧道-点对(神码设备---命令类思科)
hun_hu的博客
06-16 1513
网络实验拓扑图:
安全防御------IPSec VPN篇
m0_63292411的博客
08-08 2410
本篇文章详细的讲解了IPSEC VPN的主要知识,概括了IPsec VPN的安全服务,技术架构,两种工作模式;还包含了ESP,AH,IKE的详细内容,还提到了DBD,IPSEC VPN的NAT和VPN等问题。
防火墙IPSec (连接光猫-无固定IP地址)&NAT穿越
最新发布
2403_83112422的博客
03-07 1072
实现PC6能够访问PC1在通过光猫之后在公网进行IPSec VPN加密传输
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值