防御安全(IPSec实验)

目录

需求:

[pc1 ping通 pc2 ,使用IPSec VPN](#pc1 ping通 pc2 ,使用IPSec VPN)

拓扑图:

​编辑实验配置:

[注意: 直接在路由器r1和r2分别配置即可,路由器r1和r2要写一条缺省指向ISP](#注意: 直接在路由器r1和r2分别配置即可,路由器r1和r2要写一条缺省指向ISP)

实验配置截图如下:

[2. r1​编辑](#2. r1编辑)

[3. r3​编辑](#3. r3编辑)

3.r3

实现效果:

注意点:接口配置需要配对(在此不做演示)


需求:

pc1 ping通 pc2 ,使用IPSec VPN

拓扑图:
实验配置:

1,抓取感兴趣流
[r1]acl 3000 --- 这里只能选择使用高级ACL列表,因为后面调用的时候,仅能调用高级
的。
[r1-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
2,配置IKE安全提议
[r1]ike proposal 1 --- 后面需要添加一个提议的编号
[r1-ike-proposal-1]
[r1-ike-proposal-1]encryption-algorithm aes-cbc-128 --- 定义加密算法 --- 缺省是DES算法
[r1-ike-proposal-1]authentication-algorithm md5 --- 定义校验算法 --- 缺省是SHA1
[r1-ike-proposal-1]authentication-method pre-share --- 定义认证方式 --- 缺省是预共享密

[r1-ike-proposal-1]dh group2 --- 定义DH组 --- 缺省DH组1
[r1-ike-proposal-1]sa duration ? --- 定义SA的老化时间 ---- 建议:老化时间修改的时候,
要大于600S。
INTEGER<60-604800> Value of time(in seconds), default is 86400
[r1-ike-proposal-1]sa duration 86400
3,配置IKE对等体
[r1]ike peer aa v1 --- 需要声明对等体的名称(自定义),第一次进入时,需要写版本
号。
[r1-ike-peer-aa]
[r1-ike-peer-aa]
[r1-ike-peer-aa]ike-proposal 1 --- 关联IKE安全提议
[r1-ike-peer-aa]exchange-mode ? --- 选择一阶段的模式
aggressive Aggressive mode --- 野蛮模式
main Main mode --- 主模式
[r1-ike-peer-aa]exchange-mode main --- 这里缺省选择的是主模式
[r1-ike-peer-aa]pre-shared-key cipher 123456 --- 定义预共享密钥的具体值,注意,两边必
须一样
[r1-ike-peer-aa]remote-address 23.0.0.2 --- 三位一体 ---- 1,邻居对等体的建邻地址;
2,参与查找预共享密钥;3,作为身份标识验证对端身份
4,配置IPSEC的安全提议
[r1]ipsec proposal aa --- 需要定义一个提议的名称
[r1-ipsec-proposal-aa]
[r1-ipsec-proposal-aa]transform esp --- 定义安全协议 --- 缺省esp
[r1-ipsec-proposal-aa]esp encryption-algorithm aes-128 --- 定义数据加密算法 --- 缺省des
[r1-ipsec-proposal-aa]esp authentication-algorithm md5 --- 定义数据验证算法 --- 缺省
md5
[r1-ipsec-proposal-aa]encapsulation-mode tunnel --- 选择封装模式 --- 缺省为隧道模式
5,配置IPSEC安全策略
[r1]ipsec policy aa 1 isakmp --- 需要定义策略的名称和编号,并且需要选择手工模式还是
IKE的方式。
[r1-ipsec-policy-isakmp-aa-1]
[r1-ipsec-policy-isakmp-aa-1]security acl ? --- 关联ACL列表
INTEGER<3000-3999> Apply advanced ACL
[r1-ipsec-policy-isakmp-aa-1]security acl 3000
[r1-ipsec-policy-isakmp-aa-1]ike-peer aa --- 关联IKE对等体
[r1-ipsec-policy-isakmp-aa-1]proposal aa --- 关联ipsec提议
6,接口调用
[r1-GigabitEthernet0/0/0]ipsec policy aa

注意: 直接在路由器r1和r2分别配置即可,路由器r1和r2要写一条缺省指向ISP
实验配置截图如下:

1.

2. r1

r1

3. r3
3.r3
实现效果:
注意点:接口配置需要配对(在此不做演示)
相关推荐
中科岩创39 分钟前
中科岩创边坡自动化监测解决方案
大数据·网络·物联网
brrdg_sefg2 小时前
WEB 漏洞 - 文件包含漏洞深度解析
前端·网络·安全
浏览器爱好者3 小时前
谷歌浏览器的网络安全检测工具介绍
chrome·安全
独行soc4 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍11基于XML的SQL注入(XML-Based SQL Injection)
数据库·安全·web安全·漏洞挖掘·sql注入·hw·xml注入
Quz6 小时前
Wireshark协议相关功能:过滤、启用/禁用、导出和统计查看
网络·测试工具·wireshark
安全方案7 小时前
如何增强网络安全意识?(附培训PPT资料)
网络·安全·web安全
H4_9Y7 小时前
顶顶通呼叫中心中间件mod_cti模块安全增强,预防盗打风险(mod_cti基于FreeSWITCH)
安全·中间件
tjjingpan8 小时前
HCIA-Access V2.5_6_3_GPON关键技术
网络
yuanbenshidiaos8 小时前
数据结构----链表头插中插尾插
网络·数据结构·链表