羊村懒王

这个屌丝很懒，什么也没留下！

热门标签

网络精通-IPSECVPN(虚拟专用网)_ipjvesn

作者：羊村懒王 | 2024-05-14 04:12:43

踩

ipjvesn

398、IPsecVPN 的特点：

①防窃取 :机密性，加密传输

②防篡改 : 保证数据的完整性，hash算法；

③防冒充：真实性，密码认证；

399、实验ipsec-vpn的搭建：

实验topo:

实验步骤：

① 保证运营商网络通畅，运营商路由器运行OSPF协议，两端的公司局域网配置静态路由，指向运营商网络；

②配置ACL感兴趣的流量（也就是允许通过vpn的流量）

R5:

acl number 3000

rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.100.0 0.0.0.255 限制只有源和目的IP地址符合ACL的报文才可以走隧道；

R6:

acl number 3000

rule 5 permit ip source 192.168.100.0 0.0.0.255 destination 192.168.1.0 0.0.0.2

③创建IPsec安全提议

ipsec proposal test 创建一个名为test的IPsec安全提议

查看默认的IPsec的安全提议的默认值:

（认证方式为esp 认证，加密算法为MDE，隧道封装模式为tunnel）

④创建IPsec的安全策略

R5：

ipsec policy ipsec-test 10 manual 创建一个名称为ipsec-test 的IPsec安全策略

security acl 3000 在创建的ACL中调用ACL3000

proposal test 调用安全提议

tunnel local 15.1.1.1 指定隧道源地址

tunnel remote 45.1.1.2 指定隧道的目的地址

sa spi inbound esp 199807 设置安全联盟的安全参数索引SPI,本端的inbound和outound必须一致

sa string-key inbound esp simple 9874321 设置安全联盟的认证秘钥本端的inbound和outound必须一致

sa spi outbound esp 123456

sa string-key outbound esp simple 9874321

R6：

ipsec policy ipsec-test 10 manual 创建一个名称为ipsec-test 的IPsec安全策略

security acl 3000 在创建的ACL中调用ACL3000

proposal test 调用安全提议

tunnel local 45.1.1.2 指定隧道源地址

tunnel remote 45.1.1.1 指定隧道的目的地址

sa spi inbound esp 123456 设置安全联盟的安全参数索引SPI,本端的inbound和outound必须一致

sa string-key inbound esp simple 9874321 设置安全联盟的认证秘钥本端的inbound和outound必须一致

sa spi outbound esp 199807

sa string-key outbound esp simple 9874321

⑤在公网的出口下调用IPsec策略：

R5:

interface GigabitEthernet0/0/0

ip address 15.1.1.1 255.255.255.0

ipsec policy ipsec-test

R6:

interface GigabitEthernet0/0/0

ip address 45.1.1.2 255.255.255.0

ipsec policy ipsec-test

查看隧道的建立状态：

dis ipsec policy brief

查看是否能通信：

抓包分析：

tips: 经过IPsec-vpn的数据包经过加密，抓包分析无法看出协议，源、目的IP地址等，抓包看到的源和目的IP地址只是公网的出口IP地址；

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/羊村懒王/article/detail/567224