ipsec在企业网中的应用(IKE野蛮模式)(转)

from:http://lulu1101.blog.51cto.com/4455468/817954

ipsec在企业网中的应用(IKE野蛮模式)

案例:

本实验采用华为三台F100防火墙,和一台s3526交换机,实现ipsec野蛮模式下的vpn通道的建立。Fw1是总部,实现fw1可以与fw2的内部网络互访,fw1和fw3的内部网络互访。fw2和fw3通过DHCP服务器动态获取地址。

拓扑图:

配置:

fw1 的配置:

配置ip和默认路由:

# firewall zone trust

# add interface Ethernet 0/4

# quit

# firewall zone untrust

# add interface Ethernet 0/1

# quit

# int e0/4

# ip add 192.168.1.1 24

# int e0/1

# ip add 192.168.10.200 24

# quit

# ip route-static 0.0.0.0 0.0.0.0 192.168.10.1

配置两个访问控制列表:

# acl number 3000

# rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

# rule deny ip source any destination any

# quit

# acl number 3001

# rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

# rule deny ip source any destination any

# quit

配置安全提议:

# ipsec proposal tran1  //创建名为tran1的安全协议

# encapsulation-mode tunnel  //报文封装形式采用隧道模式

# transform esp-new  //安全协议采用esp协议

选择加密算法和认证算法:

# esp-new encryption-algorithm des

# esp-new authentication-algorithm md5

# quit

# ipsec proposal tran2   //创建名为tran2的安全协议

# encapsulation-mode tunnel   //报文封装形式采用隧道模式

# transform esp-new  //安全协议采用esp协议

选择加密算法和认证算法:

# esp-new encryption-algorithm des

# esp-new authentication-algorithm md5

# quit

# ike local-name fw1  //配置IKE协商时的本地ID

创建IKE Peer并进入IKE Peer视图:

# ike peer peer1

# exchange-mode aggressive  //配置IKE协商方式为野蛮模式

# pre-shard-key simple 1234  //配置预共享密钥

# local-address 192.168.10.200  //配置本机地址

# id-type name   //配置对端ID类型

# remote-name fw2  //配置对端名称

# quit

创建IKE Peer:

# ike peer peer2  //创建IKE Peer

# exchange-mode aggressive  //配置IKE协商方式为野蛮模式

# pre-shard-key simple abcd  //配置预共享密钥

# local-address 192.168.10.200  //配置本机地址

# id-type name    //配置对端ID类型

# remote-name fw3   //配置对端名称

# quit

创建一条安全策略,协商方式为动态方式

# ipsec poli policy 10 isakmp

# proposal tran1   //引用安全提议

# security acl 3000   //引用访问列表

# ike-peer peer1

# quit

创建安全策略,协商方式为动态方式

# ipsec poli policy 20 isakmp

# proposal tran2   //引用安全提议

# security acl 3001   //引用访问列表

# ike-peer peer1

# quit

在接口上应用安全策略组:

# int e0/1

# ipsec policy policy

###################################

fw2 的配置:

配置ip和默认路由:

# firewall zone trust

# add interface Ethernet 0/4

# quit

# firewall zone untrust

# add interface Ethernet 0/1

# quit

# int e0/4

# ip add 192.168.2.1 24

# int e0/1

# ip address dhcp-alloc  //配置dhcp动态获取地址

# quit

# ip route-static 0.0.0.0 0.0.0.0 192.168.20.1

配置两个访问控制列表:

# acl number 3000

# rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

# rule deny ip source any destination any

# quit

配置安全提议:

# ipsec proposal tran1  //创建名为tran1的安全协议

# encapsulation-mode tunnel  //报文封装形式采用隧道模式

# transform esp-new  //安全协议采用esp协议

选择加密算法和认证算法:

# esp-new encryption-algorithm des

# esp-new authentication-algorithm md5

# quit

# ike local-name fw2  //配置IKE协商时的本地ID

创建IKE Peer并进入IKE Peer视图:

# ike peer peer1

# exchange-mode aggressive  //配置IKE协商方式为野蛮模式

# pre-shard-key simple 1234  //配置预共享密钥

# id-type name   //配置对端ID类型

# remote-name fw1  //配置对端名称

# remote-address 192.168.10.200  //配置对端地址

# quit

创建一条安全策略,协商方式为动态方式

# ipsec poli policy 10 isakmp

# proposal tran1   //引用安全提议

# security acl 3000   //引用访问列表

# ike-peer peer1

# quit

在接口上应用安全策略组:

# int e0/1

# ipsec policy policy

#################################

fw3 的配置:

配置ip和默认路由:

# firewall zone trust

# add interface Ethernet 0/4

# quit

# firewall zone untrust

# add interface Ethernet 0/1

# quit

# int e0/4

# ip add 192.168.3.1 24

# int e0/1

# ip address dhcp-alloc  //配置dhcp动态获取地址

# quit

# ip route-static 0.0.0.0 0.0.0.0 192.168.30.1

配置两个访问控制列表:

# acl number 3000

# rule permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

# rule deny ip source any destination any

# quit

配置安全提议:

# ipsec proposal tran2  //创建名为tran1的安全协议

# encapsulation-mode tunnel  //报文封装形式采用隧道模式

# transform esp-new  //安全协议采用esp协议

选择加密算法和认证算法:

# esp-new encryption-algorithm des

# esp-new authentication-algorithm md5

# quit

# ike local-name fw3  //配置IKE协商时的本地ID

创建IKE Peer并进入IKE Peer视图:

# ike peer peer2

# exchange-mode aggressive  //配置IKE协商方式为野蛮模式

# pre-shard-key simple abcd  //配置预共享密钥

# id-type name   //配置对端ID类型

# remote-address 192.168.10.200  //配置对端地址

# remote-name fw1 //配置对端名称

# quit

创建一条安全策略,协商方式为动态方式

# ipsec poli policy 20 isakmp

# proposal tran2   //引用安全提议

# security acl 3001   //引用访问列表

# ike-peer peer2

# quit

在接口上应用安全策略组:

# int e0/1

# ipsec policy policy

########################

Switch12 的配置:

划分三个vlan,并加入接口:

# vlan 10

# port e1/0/1

# vlan 20

# port e1/0/5

# vlan 30

# port e1/0/3

分别为vlan 10、20、30配置地址:

# interface vlan-interface 10

# ip add 192.168.10.1 255.255.255.0

# interface vlan-interface 20

# ip add 192.168.20.1 255.255.255.0

# interface vlan-interface 30

# ip add 192.168.30.1 255.255.255.0

配置dhcp服务:

# dhcp server ip-pool fw2

# network 192.168.20.0 mask 255.255.255.0

# quit

# dhcp server ip-pool fw3

# network 192.168.30.0 mask 255.255.255.0

# quit

# dhcp server enable

测试:

查看fw2  fw3的e/1端口获得地址信息以及dhcp服务器分配出的地址信息

1.0网段的pc分别访问2.0和3.0网段的pc:

2.0访问1.0:

3.0访问1.0:

此时可以查看它们之间建立的安全联盟信息:

fw1:

fw2:

fw3:

时间: 2024-12-05 21:59:49

ipsec在企业网中的应用(IKE野蛮模式)(转)的相关文章

IPSEC在企业网中的应用

IPSec简介:IPSec是一种开放标准的框架结构的Internet协议安全性 ,通过使用加密的安全服务以确保在 Internet 协议网络上进行保密而安全的通讯.它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击.在通信中,只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机. 目的: 1.保护 IP 数据包的内容. 2.通过数据包筛选及受信任通讯的实施来防御网络攻击. 这两个目标都是通过使用基于加密的保护服务.安全协议与动态密钥管理来实现的.这个基础为专用

IPsec 详细讲解和在企业网中的应用案例

IPsec 详细讲解和在企业网中的应用案例 一.IPsec 的简介 IPsec(IP Security)是IETF 制定的三层隧道加密协议,它为Internet 上传输的数据提供了高质量的.可互操作的.基于密码学的安全保证.特定的通信方之间在IP 层通过加密与数据源认证等方式,提供了以下的安全服务: ① 数据机密性(Confidentiality):IPsec 发送方在通过网络传输包前对包进行加密. ② 数据完整性(Data Integrity):IPsec 接收方对发送方发送来的包进行认证,以

linux下DHCP在企业网中的应用(DHCP中继)

linux下DHCP在企业网中的应用 一.环境要求 一台虚拟机 一个linux操作系统 两个windows操作系统 二.实验要求 企业网中一般有多个vlan,vlan之间需要相互通信,需要一个DHCP server去给其他vlan的主机动态分配ip地址. 三.实验拓扑及地址规划 拓扑图及地址规划如图所示: 四.实验步骤 ① 配置DHCP服务器,编辑dhcp的配置文件 route -n查看路由信息 vim /etc/dhcp/dhcpd.conf service dhcpd configtest

查找企业网中非法接入的WIFI设备(原创)

一.企业网络安全管理面临的新问题 现在计算机和移动智能设备越来越普及,有一些企业网用户不再满足于只让实名登记的.有实际办公用途的计算机上网,他们把家中的笔记本.智能手机.平 板电脑带到单位,通过非法架设SOHO路由器.随身WIFI.安装免费WIFI软件等,绕过网络管理员的检测,实现非法接入企业网,然后就可以通过他们自 己的设备实现一些移动平台的网络应用.这些SOHO路由器.随身WIFI的一个大卖点:"就是可以绕过检测,隐匿接入",因为这些设备都可以关闭信号的广 播发送,通过信号检测的方

Dhcp 在企业网中的应用

Dhcp在企业网中的应用 Dhcp简介: DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段,在RFC 2131中有详细的描述.DHCP有3个端口,其中UDP67和UDP68为正常的DHCP服务端口,分别作为DHCP Server和DHCP Client的服务端口:546号端口用于DHCP

家用路由器在企业网中的应用及危害

家用路由器的特点:具有NAT功能:具有DHCP功能:自身有一个内网IP,为192.168.1.1或者192.168.0.1:一般WAN口,多个LAN口:无线功能:价格低廉. 乱接家用路由器特指:企业网中有网线插在家用路由器的LAN口 家用路由器在企业网中应用的原因:网口不够用,一个屋子有两台PC需要上网,却只有一个网口:需要wifi,让手机也可以上网. 乱接家用路由器的危害: 当企业网中出口路由器,内网口(端)IP同样为192.168.1.1且启用DHCP时,如果内网中存在家用路由器,并启用DH

野蛮模式配置

一.前言 如图,假设总部采用静态IP,其他子公司采用ADSL拨号上网,预共享密钥都是一致的,但实际中我们要求子公司采用不同的预共享密钥,因此这就涉及到了野蛮模式 二.配置 配置前提:配置IP.配置DHCP.配置路由 1.  ISP端配置 crypto isakmp enablecrypto isakmp policy 10   group 2   authentication pre-share   encryption 3des   hash sha   lifetime 86400   ex

vpn-ipsec(主模式,野蛮模式)

IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务. 普通模式: 隧道的2边都需要有ip地址,采用手动的模式要设置校验码和密钥 [R1] int eth0/0 ip add 192.168.1.1 24 int eth0/4 ip add 1.1.1.1 24

Activity中的四种启动模式

在Android中每个界面都是一个Activity,切换界面操作其实是多个不同Activity之间的实例化操作.在Android中Activity的启动模式决定了Activity的启动运行方式. Android总Activity的启动模式分为四种: [html] view plaincopy Activity启动模式设置: <activity android:name=".MainActivity" android:launchMode="standard"