IPSec ***的配置(思科)

路由器IPSec配置实例
最新推荐文章于 2025-04-12 14:00:00 发布
最新推荐文章于 2025-04-12 14:00:00 发布
阅读量161 收藏 1
点赞数
CC 4.0 BY-SA版权
原文链接:http://blog.51cto.com/13562306/2068214
本文详细介绍了路由器R1、R2及R3的IPSec配置步骤,包括IP地址配置、ISAKMP策略设置、静态路由配置、访问控制列表定义、IPSec策略配置以及加密映射集的应用等内容。

IPSec ***的配置(思科)
路由器R1的配置:
1.配置ip地址
f0/1 172.16.10.254 255.255.255.0
f0/0 100.0.0.1 255.255.255.252

2.配置ISAKMP策略
R1(config)#crypto isakmp policy 1 // 配置密码ISAKMP策略1

R1(config-isakmap)#encryption 3des //使用加密方式为3DES加密(定义保密级别)

R1(config-isakmap)#hash sha //指定加密算法为sha(MD5执行速度较快,但其安全性相对SHA稍差一点 )

R1(config-isakmap)#authentication pre-share //采用共享秘钥的方式

R1(config-isakmap)#group 2 //指定DH算法的密钥长度为组2(DH组1的有效 密钥长度为768,DH组2的有效密钥长度为1 024, DH组 5 的有效密钥长度为1 536 密)

R1(config)#crypto isakmp key tedu address 200.0.0.1 //配置预共享密钥的密钥为:tedu,远程对等体的IP地址为200.0.0.1((需要加密的外网地址)

3.配置静态路由
R1(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2 //默认路由下一跳为100.0.0.2

4.配置ACL
R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
配 //访问列表100允许IP172.16.10.0网段访问10.10.33.0网段,通配符都为0.0.0.255(匹配前24位)

5.配置IPSec策略(转换集)
R1(config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des // transform-set: 转换集// cisco:转换集的名称// esp-des:用ESP做封装,用des做加密// esp-sha-hmac:用ESP封装,用sha做哈希

6.配置加密映射集
R1(config)#crypto map yf-map 1 ipsec-isakmp //对第二阶段的策略做汇总,定义了一个加密图,配置个map id,根据MAP ID来执行任务将多个策略汇总到一个MAP中,然后在端口中调用

R1(config-crypto-map)#set peer 200.0.0.1 //配置对等体的要加密的地址
R1(config-crypto-map)#set transform-set yf-set //调用yf-set
R1(config-crypto-map)#match address 100 //调用ACL 100

7.将映射集应用在接口
R1(config)#interface f0/0
R1(config-if)#crypto map yf-map // 将端口映射在外网端口(在外网端口调用)

路由器R2配置:
1.配置ip地址
f0/0 100.0.0.2 255.255.255.252
f0/1 200.0.0.2 255.255.255.252

2.配置静态路由
R2(config)#ip route 172.16.10.0 255.255.255.0 100.0.0.1
R2(config)#ip route 10.10.33.0 255.255.255.0 200.0.0.1

路由器R3配置
1.配置ip地址
f0/0 200.0.0.1 255.255.255.252
f0/1 10.10.33.254 255.255.255.0

2.配置默认路由
R3(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2

3.IPSec ×××的配置
R3(config)#crypto isakmp policy 1
R3(config-isakmap)#encryption 3des
R3(config-isakmap)#hash sha
R3(config-isakmap)#authentication pre-share
R3(config-isakmap)#group 2
R3(config)#crypto isakmp key tedu address 100.0.0.1
R3(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255 R3(config)#crypto ipsec transform-set yf-set esp-des ah-sha-hmac
R3(config)#crypto map yf-map 1 ipsec-isakmp
R3(config-crypto-map)#set peer 100.0.0.1
R3(config-crypto-map)#set transform-set yf-set
R3(config-crypto-map)#match address 100
R3(config)#interface f0/0 R2(config-if)#crypto map yf-map

验证
IPSec ***的配置(思科)

转载于:https://blog.51cto.com/13562306/2068214

配置 ISAKMP 方式 IPSec 安全策略
m0_74439942的博客
09-22 695
esp authentication-algorithm sha2-256配置安全协议(ESP)的认证/加密算法。pre-shared-key shiliu@123 配置身份认证参数。在防火墙之间建立IPSec隧道,使用ISKMP方式。ike-proposal 1 引用IKE安全提议。5、创建ISAKMP方式IPSec安全策略。3、定义建立隧道所需要的算法(两边一致)1、在双方防火墙上定义需要的流量。(FW2的流量也要保持相对应)2、创建IPSec安全提议。创建一个IKE安全提议。4、建立IKE对等体。
IPsec ***防火墙配置
weixin_41694699的博客
07-20 1465
这是IPsec***的另一种配置,作用在防火墙上面。虽然一个是作用的路由器上的一个是作用在防火墙上的但是原理机制都是差不多,唯一的区别就是默认配置的区别。路由器默认就开启了IKE的协商,而防火墙是默认关闭的所以要输入crypto isakmp enable outside这条命令开启防火墙上面的IKE的协商,outside就是指在防火墙的外网口开启这个功能,也就是图中所示的e0/0这个端口。但是由...
思科CISCO ASA 5521 防火墙 Ipsec 配置详解
qq_20356797的博客
12-12 2792
版本信息: Cisco Adaptive Security Appliance Software Version 9.9(2) Firepower Extensible Operating System Version 2.3(1.84) Device Manager Version 7.9(2) 老版本配置不一样 2.1 默认路由 ASA-1(config) route outside 0....
IPsec ×××路由器配置:ISAKMP策略
weixin_34336292的博客
09-06 853
部署一个使用IPsec的IOS路由器要从配置ISAKMP策略和路由器的ISAKMP认证密钥数据开始。如果路由器仅仅与Site-to-Site拓扑中的另外一个路由器相连,那么ISAKMP配置就完成了。然而,如果路由器也要支持Client-to-Site,就还需要一个额外的IKE模式配置。在我们进行ISAKMP策略配置之前,我们先看一些安全性技巧: 对于初学者,IOS可交换...
思科路由器配置命令(五)
kali_Chenye的博客
09-29 5574
一、 GRE配置 https://blog.youkuaiyun.com/weixin_33850890/article/details/89906543 1、实验拓扑 2、基本配置 R1(config)#int lo0 R1(config-if)#ip address 10.1.1.1 255.255.255.0 配置环回口地址当接入PC用 R1(config)#int e0/0 R1(config-if)#ip address 202.1.1.1 255.255.255.0 R1(config-if)#n
Cisco IPSec *** 配置详解
weixin_34367257的博客
03-02 3588
转载自这里 前言: ×××作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条“专线”,将组织的分支机构和总部连接起来,组成一个大的局域网。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。 IPsec的协商分为两个阶段: 第一阶段:验证对方,协商出IKE SA ,保护第二阶段IPSEC Sa协商过...
思科IPsec 和华为IPsec 配置对照学习手册
09-28
思科IPsec 和华为IPsec 配置对照学习手册
IPSec协议簇(含Cisco实验配置
CairBin的博客
04-20 1349
早期的网络并不像现在这样,使用者大部分都是科学家并且一般是组织内部成员进行通信,所以在设计之初并没有考虑其安全性。但对于现在的网络,保障通信安全是非常重要的,而IPSec协议簇可以保障网络层的安全性。**IPSec是一组基于网络层的应用密码学的安全通信协议簇。**它是VPN中常用的一种技术。设计目标:为IPv4和IPv6提供客户操作的、高质量的、基于密码学的安全保护。功能:工作在网络层,提供三个安全服务,并和提供有限通信流机密性保护。IP协议是唯一一个由所有高层协议共享的协议。
Cisco路由器IPsec配置.doc
07-12
以下为路由器A的配置,路由器B只需对相应配置作更改即可 1:配置IKE router(config)# crypto isakmp enable #启用IKE(默认是启动的) router(config)# crypto isakmp policy 100 #建立IKE策略,优先级为100 router...
思科配置设备与思科路由器采用IKEv2建立IPSec隧道案例
Elitepublic的博客
04-12 1477
在RouterA上执行display ike sa和display ipsec sa命令,在RouterB上执行show crypto isakmp sa和show crypto ipsec sa命令,均可以看到IPSec隧道配置成功的信息。access-list 102 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 //指定被保护的数据流,总部子网访问分支子网的流量。ipsec proposal prop1 //配置IPSec安全提议。
思科IPSec配置
weixin_34067049的博客
06-14 3707
IPSec建立连接的过程一、对等体建立连接大体分为:1、流量触发:IPSec建立连接是首先是由对等体直接的数据流触发的。我们通过配置这些IPSec保护的数据流,可以明确哪些数据流会触发IPSec建立连接2、建立管理连接:IPSec使用ISAKMP/IKE阶段1来建立管理连接。管理连接不进行数据传输,只是数据传输前的准备工作。管理连接阶段需要明确对等体之间的哪种设备验证方式、加密算法、认证算法以及D...
思科ipsec配置野蛮模式fqdn主动协商以及调试show命令
ly_6118的博客
11-01 6297
lo1----Cisco sw---------|FW1|-------------|FW2|------lo2 cisco sw接口ip:119.3.149.150 FW2接口ip:10.37.240.129 lo1:172.100.109.144 lo2: 11.37.1.1 感兴趣流:11.37.1.0/24------172.100.109.144/28 使用思科三层交换机型号WS-C36...
Cisco路由器配置Ipsec
热门推荐
amsilence的博客
10-23 1万+
Cisco 路由器配置Ipsec,以及各阶段的SA内容解读
优化算法基于四则运算的算术优化算法原理与Python实现:面向图像分割的全局寻优方法研究
最新发布
09-06
内容概要:本文系统介绍了算术优化算法(AOA)的基本原理、核心思想及Python实现方法,并通过图像分割的实际案例展示了其应用价值。AOA是一种基于种群的元启发式算法,其核心思想来源于四则运算,利用乘除运算进行全局勘探,加减运算进行局部开发,通过数学优化器加速函数(MOA)和数学优化概率(MOP)动态控制搜索过程,在全局探索与局部开发之间实现平衡。文章详细解析了算法的初始化、勘探与开发阶段的更新策略,并提供了完整的Python代码实现,结合Rastrigin函数进行测试验证。进一步地,以Flask框架搭建前后端分离系统,将AOA应用于图像分割任务,展示了其在实际工程中的可行性与高效性。最后,通过收敛速度、寻优精度等指标评估算法性能,并提出自适应参数调整、模型优化和并行计算等改进策略。; 适合人群:具备一定Python编程基础和优化算法基础知识的高校学生、科研人员及工程技术人员,尤其适合从事人工智能、图像处理、智能优化等领域的从业者;; 使用场景及目标:①理解元启发式算法的设计思想与实现机制;②掌握AOA在函数优化、图像分割等实际问题中的建模与求解方法;③学习如何将优化算法集成到Web系统中实现工程化应用;④为算法性能评估与改进提供实践参考; 阅读建议:建议读者结合代码逐行调试,深入理解算法流程中MOA与MOP的作用机制,尝试在不同测试函数上运行算法以观察性能差异,并可进一步扩展图像分割模块,引入更复杂的预处理或后处理技术以提升分割效果。
【微信小程序源码】图文信息;欢迎页面,音乐控制.zip
09-06
资源说明: 1:本资料仅用作交流学习参考,请切勿用于商业用途。 2:一套精品实用微信小程序源码资源,无论是入门练手还是项目复用都超实用,省去重复开发时间,让开发少走弯路! 更多精品资源请访问 https://blog.youkuaiyun.com/ashyyyy/article/details/146464041
bedrock-testing-support-7.0.4.jar中文-英文对照文档.zip
09-06
1、压缩文件中包含: 中文-英文对照文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文-英文对照文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
【微信小程序源码】物业管理.zip
09-06
资源说明: 1:本资料仅用作交流学习参考,请切勿用于商业用途。 2:一套精品实用微信小程序源码资源,无论是入门练手还是项目复用都超实用,省去重复开发时间,让开发少走弯路! 更多精品资源请访问 https://blog.youkuaiyun.com/ashyyyy/article/details/146464041
grpc-services-1.68.1.jar中文-英文对照文档.zip
09-06
1、压缩文件中包含: 中文-英文对照文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文-英文对照文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
思科 ipsec配置
10-15
好的,关于思科设备的IPSec配置,以下是一个简单的示例: 1. 配置ISAKMP策略 crypto isakmp policy 10 encr aes authentication pre-share group 2 lifetime 3600 2. 配置预共享密钥 crypto isakmp key mysharedkey address 1.1.1.1 3. 配置IPSec策略 crypto ipsec transform-set mytransformset esp-aes esp-sha-hmac mode tunnel 4. 配置IPSec策略映射 crypto map mycryptomap 10 ipsec-isakmp set peer 1.1.1.1 set transform-set mytransformset match address myacl 5. 配置ACL access-list myacl permit ip 192.168.1.0 0.0.0.255 10.10.10.0 0.0.0.255 以上是一个简单的IPSec配置示例,具体配置需要根据实际情况*** 怎样配置IPSec NAT穿透?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值