ipsec VPN设备在边界情况

城南敢死队2024-07-24 9:33

目录

[ipsec VPN设备在边界情况](#ipsec VPN设备在边界情况)

边界路由器通测试

[IPSEC VPN配置](#IPSEC VPN配置)

2.配置IKE的安全提议（五元组）

3.配置IKE对等体

4.配置IPSEC安全提议

5.配置IPSEC的安全策略

ipsec VPN设备在边界情况

AR1和AR3充当两私网的边界设备，AR2充当ISP，要求PC1和PC2通过IPSEC互通

基础配置

AR1

复制代码

int g 0/0/0
    ip add 12.0.0.2 24
int g 0/0/1
    ip add 192.168.0.1 24
ip route-static 0.0.0.0 0 12.0.0.1

AR2

复制代码

int g 0/0/0
    ip add 12.0.0.1 24
int g 0/0/1
    ip add 21.0.0.1 24

AR3

复制代码

int g 0/0/0
    ip add 23.0.0.2 24
int g 0/0/1
    ip add 192.168.1.1 24
ip route-static 0.0.0.0 0 23.0.0.1

PC

边界路由器通测试

IPSEC VPN配置

1.抓流量

AR1

复制代码

acl 3000
rule permit ip source 192.168.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

AR3

复制代码

acl 3000rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255

2.配置IKE的安全提议（五元组）

AR1

复制代码

ike proposal 1                              //配置ike安全提议编号为1
    encryption-algorithm aes-cbc-128          //设置对称加密方式为：aes-cbc-128   
    authentication-method pre-share           //配置身份认证方式为预共享密钥（PSK）
    authentication-algorithm md5              //配置HASH算法为md5
    dh group5                               //配置DH算法质数组为5位
    sa duration 86400                       //失效时间

AR3

要求两边协商参数一样

复制代码

ike proposal 1                              //配置ike安全提议编号为1
    encryption-algorithm aes-cbc-128          //设置对称加密方式为：aes-cbc-128   
    authentication-method pre-share           //配置身份认证方式为预共享密钥（PSK）
    authentication-algorithm md5              //配置HASH算法为md5
    dh group5                               //配置DH算法质数组为5位
    sa duration 86400                       //失效时间

3.配置IKE对等体

AR1

复制代码

ike peer aa v1                              //建立对等体 名称 aa 版本1
    ike-proposal 1                          //关联安全提议
    pre-shared-key cipher 123456             //与共享密钥123456 
    exchange-mode main                      //第一阶段模式为主模式
    remote-address 23.0.0.2                 //建立对等体的目标

AR2

复制代码

ike peer aa v1                              //建立对等体 名称 aa 版本1
    ike-proposal 1                          //关联安全提议
    pre-shared-key cipher 123456             //与共享密钥123456 
    exchange-mode main                      //第一阶段模式为主模式
    remote-address 12.0.0.2                 //建立对等体的目标

4.配置IPSEC安全提议

AR1

复制代码

ipsec proposal aa                           //ipsec 提议配置 名 aa
    transform esp                           //安全协议为esp
    encapsulation-mode tunnel                //要跨越公网封装模式为隧道
    esp encryption-algorithm aes-128          //加密方式aes-128
    esp authentication-algorithm md5          //HASH算法md5

AR3

复制代码

ipsec proposal aa                           //ipsec 提议配置 名 aa
    transform esp                           //安全协议为esp
    encapsulation-mode tunnel                //要跨越公网封装模式为隧道
    esp encryption-algorithm aes-128          //加密方式aes-128
    esp authentication-algorithm md5          //HASH算法md5

5.配置IPSEC的安全策略

AR1

复制代码

ipsec policy aa 1 isakmp    //ipsec策略 名字 aa 编号 1 模式isakmp
    security acl 3000       //关联流量 acl 3000
    ike-peer aa             // 关联对等体 aa
    proposal aa             // 关联ipsec提议 aa

AR3

复制代码

ipsec policy aa 1 isakmp    //ipsec策略 名字 aa 编号 1 模式isakmp
    security acl 3000       //关联流量 acl 3000
    ike-peer aa             // 关联对等体 aa
    proposal aa             // 关联ipsec提议 aa

6.接口调用

复制代码

int g 0/0/0
    ipsec policy aa

测试

上一篇：服务器是否需要安装杀毒软件

下一篇：【译】宣布三项新的高级 Visual Studio 订阅者福利

热门推荐

012026年6月AI大模型全景报告：GPT-5.6、Claude Opus 4.8、Gemini 3.5，中美AI三足鼎立谁主沉浮？022026年6月AI行业全景：从百模大战到Agent元年，这30天发生了什么？032026 年 AI 编程工具终极横评：Cursor vs Claude Code vs Copilot vs Windsurf 04Trae国际版与国内版深度测评：AI原生IDE的双生花 05飞书长连接_事件订阅（接收消息，审批任务状态变更）06【AI】2026 年具身智能模型和世界模型总结 07Claude Code、Codex、Cursor三分天下：2026年AI编程Agent生态全景剖析 08GitHub 镜像站点 092026 AI 编程工具终极实战指南：Cursor vs Claude Code vs Copilot，开发者该怎么选？102026年AI架构实战：彻底解决OpenAI接口超时与封号，Python调用GPT-5.2/Sora2企业级架构详解（附源码+压测报告）