防御安全(IPSec实验)

不变的梦2024-03-17 17:19

目录

需求:

[pc1 ping通 pc2 ,使用IPSec VPN](#pc1 ping通 pc2 ,使用IPSec VPN)

拓扑图:

​编辑实验配置:

[注意: 直接在路由器r1和r2分别配置即可,路由器r1和r2要写一条缺省指向ISP](#注意: 直接在路由器r1和r2分别配置即可,路由器r1和r2要写一条缺省指向ISP)

实验配置截图如下:

[2. r1​编辑](#2. r1编辑)

[3. r3​编辑](#3. r3编辑)

3.r3

实现效果:

注意点:接口配置需要配对(在此不做演示)

需求:

pc1 ping通 pc2 ,使用IPSec VPN

拓扑图:
实验配置:

1,抓取感兴趣流

r1\]acl 3000 --- 这里只能选择使用高级ACL列表,因为后面调用的时候,仅能调用高级 的。 \[r1-acl-adv-3000\]rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 2,配置IKE安全提议 \[r1\]ike proposal 1 --- 后面需要添加一个提议的编号 \[r1-ike-proposal-1

r1-ike-proposal-1\]encryption-algorithm aes-cbc-128 --- 定义加密算法 --- 缺省是DES算法 \[r1-ike-proposal-1\]authentication-algorithm md5 --- 定义校验算法 --- 缺省是SHA1 \[r1-ike-proposal-1\]authentication-method pre-share --- 定义认证方式 --- 缺省是预共享密 钥 \[r1-ike-proposal-1\]dh group2 --- 定义DH组 --- 缺省DH组1 \[r1-ike-proposal-1\]sa duration ? --- 定义SA的老化时间 ---- 建议:老化时间修改的时候, 要大于600S。 INTEGER\<60-604800\> Value of time(in seconds), default is 86400 \[r1-ike-proposal-1\]sa duration 86400 3,配置IKE对等体 \[r1\]ike peer aa v1 --- 需要声明对等体的名称(自定义),第一次进入时,需要写版本 号。 \[r1-ike-peer-aa

r1-ike-peer-aa

r1-ike-peer-aa\]ike-proposal 1 --- 关联IKE安全提议 \[r1-ike-peer-aa\]exchange-mode ? --- 选择一阶段的模式 aggressive Aggressive mode --- 野蛮模式 main Main mode --- 主模式 \[r1-ike-peer-aa\]exchange-mode main --- 这里缺省选择的是主模式 \[r1-ike-peer-aa\]pre-shared-key cipher 123456 --- 定义预共享密钥的具体值,注意,两边必 须一样 \[r1-ike-peer-aa\]remote-address 23.0.0.2 --- 三位一体 ---- 1,邻居对等体的建邻地址; 2,参与查找预共享密钥;3,作为身份标识验证对端身份 4,配置IPSEC的安全提议 \[r1\]ipsec proposal aa --- 需要定义一个提议的名称 \[r1-ipsec-proposal-aa

r1-ipsec-proposal-aa\]transform esp --- 定义安全协议 --- 缺省esp \[r1-ipsec-proposal-aa\]esp encryption-algorithm aes-128 --- 定义数据加密算法 --- 缺省des \[r1-ipsec-proposal-aa\]esp authentication-algorithm md5 --- 定义数据验证算法 --- 缺省 md5 \[r1-ipsec-proposal-aa\]encapsulation-mode tunnel --- 选择封装模式 --- 缺省为隧道模式 5,配置IPSEC安全策略 \[r1\]ipsec policy aa 1 isakmp --- 需要定义策略的名称和编号,并且需要选择手工模式还是 IKE的方式。 \[r1-ipsec-policy-isakmp-aa-1

r1-ipsec-policy-isakmp-aa-1\]security acl ? --- 关联ACL列表 INTEGER\<3000-3999\> Apply advanced ACL \[r1-ipsec-policy-isakmp-aa-1\]security acl 3000 \[r1-ipsec-policy-isakmp-aa-1\]ike-peer aa --- 关联IKE对等体 \[r1-ipsec-policy-isakmp-aa-1\]proposal aa --- 关联ipsec提议 6,接口调用 \[r1-GigabitEthernet0/0/0\]ipsec policy aa

注意: 直接在路由器r1和r2分别配置即可,路由器r1和r2要写一条缺省指向ISP
实验配置截图如下:

1.

2. r1

r1

3. r3
3.r3
实现效果:
注意点:接口配置需要配对(在此不做演示)
相关推荐
小浣浣19 分钟前
为何她总在关键时“失联”?—— 解密 TCP 连接异常中断
网络·网络协议·tcp/ip
曳渔42 分钟前
UDP/TCP套接字编程简单实战指南
java·开发语言·网络·网络协议·tcp/ip·udp
David WangYang1 小时前
基于 IOT 的安全系统,带有使用 ESP8266 的语音消息
物联网·安全·语音识别
Lovyk2 小时前
Ansible 核心功能进阶:自动化任务的灵活控制与管理
网络
合作小小程序员小小店2 小时前
SDN安全开发环境中常见的框架,工具,第三方库,mininet常见指令介绍
python·安全·生成对抗网络·网络安全·网络攻击模型
Xの哲學2 小时前
Perf使用详解
linux·网络·网络协议·算法·架构
数据智能老司机3 小时前
实现逆向工程——汇编指令演练
安全·逆向·汇编语言
Fine姐4 小时前
The Network Link Layer: 无线传感器中Delay Tolerant Networks – DTNs 延迟容忍网络
开发语言·网络·php·硬件架构
网络研究院5 小时前
新的“MadeYouReset”方法利用 HTTP/2 进行隐秘的 DoS 攻击
网络·网络协议·安全·http·攻击·漏洞
189228048615 小时前
NY270NY273美光固态闪存NY277NY287
服务器·网络·数据库·科技·性能优化
热门推荐
01UV安装并设置国内源02KGG转MP3工具|非KGM文件|解密音频03Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code04【2025.08.06最新版】Android Studio下载、安装及配置记录(自动下载sdk)052025最新国内服务器可用docker源仓库地址大全(2025年8月更新)06蜘蛛磁力 搜索引擎大全,如何使用蜘蛛磁力查找磁力链接07TRAE 规则(Rules)配置指南:个人习惯、团队规范与最佳实践08NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南09阿里开源首个图像生成基础模型——Qwen-Image本地部署教程,超强中文渲染能力刷新SOTA!10TRAE Rules 实践:为项目配置 6A 工作流