




版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、HRT-HEARTBEATLKG-LAST KNOWN GOOD SEQ NO. BCK-BACKED UPIPSec (Internet Protocol Security ) 是 IETF (Internet Engineering Task Force )制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。在Internet的传输中,绝大部分数据的内容都是明文传输的,这样就会存在很多潜在的危险,比如:密码、银行帐户的信息被窃取、篡改,用户的身份被冒充,遭受网络恶意攻 击等。网络中部署IPSec后,可对传
2、输的数据进行保护处理,降低信息泄漏的风险。采用默认配置通过IKE协商方式建立IPSec隧道示例组网需求如图1所示,RouterA为企业分支网关,RouterB为企业总部网关,分支与总部通过公网建立通信。分支子 网为,总部子网为。企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。图1采用默认配置通过IKE协商方式建立IPSec隧道组网图配置思路采用如下思路配置采用IKE协商方式建立IPSec隧道:1. 配置接口的IP地址和到对端的静态路由,保证两端路由可达。2. 配置ACL以定义需要IPSec
3、保护的数据流。3. 配置IPSec安全提议,定义IPSec的保护方法。4. 配置IKE对等体,定义对等体间IKE协商时的属性。5. 配置安全策略,并引用 ACL IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法。6. 在接口上应用安全策略组,使接口具有IPSec的保护功能。操作步骤1. 分别在RouterA和RouterB上配置接口的IP地址和到对端的静态路由# 在RouterA上配置接口的IP地址。system-viewHuaweisysname RouterARouterAinterface gigabitethernet 1/0/0RouterA-GigabitEthe
4、rnet1/0/0ip addressquitRouterAinterface gigabitethernet 2/0/0RouterA-GigabitEthernet2/0/0ip addressquit#在RouterA上配置到对端的静态路由,此处假设到对端的下一跳地址为。RouterA ip route-staticip route-static在 RouterB 上配置接口的IP 地址system-viewHuaweisysname RouterBRouterBinterface gigabitethernet 1/0/0RouterB-GigabitEthernet1/0/0ip a
5、ddressquitRouterBinterface gigabitethernet 2/0/0RouterB-GigabitEthernet2/0/0ip addressquit# 在RouterA上配置ACL定义由子网去子网的数据流。RouterAacl number 3101RouterA-acl-adv-3101rule permit ip source destinationquit# 在RouterB上配置ACL定义由子网去子网的数据流。RouterBacl number 3101RouterB-acl-adv-3101rule permit ip source destinati
6、onquit3.分别在 RouterA和RouterB上创建IPSec安全提议# 在RouterA上配置IPSec安全提议。RouterAipsec proposal tran1RouterA-ipsec-proposal-tran1quit# 在RouterB上配置IPSec安全提议。RouterB ipsec proposal tranlRouterB-ipsec-proposal-tranlquit此时分别在 RouterA和RouterB上执行display ipsec proposal会显示所配置的信息4. 分别在 RouterA和RouterB上配置IKE对等体说明:该示例中没有配
7、置IKE安全提议,采用的是系统提供的一条缺省的IKE安全提议。# 在RouterA上配置IKE对等体,并根据默认配置,配置预共享密钥和对端ID。RouterA ike peer spub v1RouterA-ike-peer-spub pre-shared-key simple huaweiRouterA-ike-peer-spub remote-address quit# 在RouterB上配置IKE对等体,并根据默认配置,配置预共享密钥和对端ID。RouterB ike peer spua v1RouterB-ike-peer-spua pre-shared-key simple huaw
8、eiRouterB-ike-peer-spua remote-address quit此时分别在 RouterA和RouterB上执行display ike peer会显示所配置的信息,以RouterA为例。RouterAdisplay ike peer name spub verbosePeer name:spubExchange mode:main on phase 1Pre-shared-key:huaweiLocal ID type:IPDPD:DisableDPD mode:PeriodicDPD idle time:30DPD retransmit interval:15DPD r
9、etry limit:3Host namePeer Ip addressVPNnameLocal IP addressRemote nameNat-traversal:DisableConfigured IKE version:Version onePKI realm:NULLInband OCSPDisableLifetime notification:Enable5.分别在 RouterA和RouterB上创建安全策略#在RouterA上配置IKE动态协商方式安全策略。RouterAipsec policy map1 10 isakmpRouterA-ipsec-policy-isakmp
10、-map1-10ike-peer spubRouterA-ipsec-policy-isakmp-map1-10proposal tran1RouterA-ipsec-policy-isakmp-map1-10security acl 3101RouterA-ipsec-policy-isakmp-map1-10quit#在RouterB上配置IKE动态协商方式安全策略。RD-READYST-STAYALIVERL-REPLACEDFD-FADINGTO-TIMEOUTRouterBipsec policy use1 10 isakmpRouterB-ipsec-policy-isakmp-u
11、se1-10ike-peer spuaRouterB-ipsec-policy-isakmp-use1-10proposal tran1RouterB-ipsec-policy-isakmp-use1-10security acl 3101RouterB-ipsec-policy-isakmp-use1-10quit此时分别在 RouterA和RouterB上执行display ipsec policy会显示所配置的信息6.分别在RouterA和RouterB的接口上应用各自的安全策略组,使接口具有IPSec的保护功能# 在RouterA的接口上引用安全策略组。RouterAinterface
12、 gigabitethernet 1/0/0RouterA-GigabitEthernet1/0/0ipsec policy map1RouterA-GigabitEthernet1/0/0quit# 在RouterB的接口上引用安全策略组。RouterBinterface gigabitethernet 1/0/0RouterB-GigabitEthernet1/0/0ipsec policy use1RouterB-GigabitEthernet1/0/0quit7.检查配置结果# 配置成功后,在主机 PCA执行ping操作仍然可以ping通主机PCB,它们之间的数据传输将被加密,执行命令
13、display ipsec statistics esp可以查看数据包的统计信息。# 在RouterA上执行display ike sa操作,结果如下。RouterA display ike saPhaseConn-IDPeerVPNFlag(s)160RD|ST2140RD|ST1FlagDescription:# 分别在 RouterA和RouterB上执行display ipsec sa会显示所配置的信息,以RouterA为例。RouterA display ipsec saInterface: GigabitEthernet 1/0/0Path MTU: 1500IPSec polic
14、y name: map1Sequence number : 10Acl Group: 3101Acl rule: 5Mode: ISAKMPConnection ID: 16Encapsulation mode: TunnelTunnel local:Tunnel remote:Flowsource: 0/0Flow destination: 0/0Qos pre-classify: DisableQos group:-Outbound ESP SAsSPI: 79 (0x3d2815bb)Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5SA remainin
15、g key duration (bytes/sec): 00/3596Max sent sequence-number: 5UDP encapsulation used for NAT traversal: NInbound ESP SAsSPI: 59 (0x5ef4168b)Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5SA remaining key duration (bytes/sec): 00/3596Max received sequence-number: 4Anti-replay window size: 32UDP encapsulati
16、on used for NAT traversal: N配置文件RouterA的配置文件rule 5 permit ip source destination#ipsec proposal tranl#ike peer spub v1pre-shared-key simple huaweiremote-address#ipsec policy map1 10 isakmpsecurity acl 3101ike-peer spubproposal tran1#interface GigabitEthernet1/0/0ip addressipsec policy map1#interface GigabitEthernet2/0/0ip address#ip route-staticip route-static#returnRouterB的配置文件#sysname RouterB#acl number 3101rule 5 permit ip source destination#ipsec proposal tran1#ike peer spua v1pre-shared-key
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 生物高中必修第四章第二节 基因对性状的控制 教学设计
- 2023-2024学年山东省济宁市泗水县统编版一年级下册期末考试语文试卷
- 第15课《驿路梨花》第二课时(教学设计)-七年级语文下册同步备课系列(部编版)
- 农户间农业生产互助合作合同
- 《高二年级历史古代政治制度演变教学方案》
- 乡村环保与土地整治承包协议
- 《古诗文经典诵读:古代诗词赏析教学计划》
- 2025年农村私人住宅买卖合同
- 智能安防软件定制协议
- 餐厅建筑物倒塌应急预案
- 2025年2月22日四川省公务员面试真题及答案解析(定向乡镇岗)
- 河南会考地理试题及答案2024
- 防汛度汛管理制度
- 融资租赁行业国际人才队伍建设-全面剖析
- 2025年蓝莓行业市场需求分析报告及未来五至十年行业预测报告
- 第3节 呼吸作用2024-2025学年新教材七年级下册生物同步教学设计(人教版2024)
- 高考常考的文言实词
- 移动式活动脚手架专项施工方案
- GB/T 27995.1-2025半成品镜片毛坯第1部分:单焦和多焦
- 医疗科研项目立项审批流程
- 2025合肥辅警考试题库
评论
0/150
提交评论