ipsec的搭建

ipsec简介

IPSec(InternetProtocolSecurity)是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中,只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows 2000、Windows XP 和 Windows Server 2003 家族中,IPSec 提供了一种能力,以保护工作组、局域网计算机、域客户端和服务器、分支机构(物理上为远程机构)、Extranet 以及漫游客户端之间的通信。

下面我们就用一台三层交换机和三台防火墙来模拟一下ipsec

拓扑图

设置三层交换机

<Quidway>sys

[Quidway]sys isp

[isp]vlan 10

[isp-vlan10]port e0/1

[isp-vlan10]vlan 20

[isp-vlan20]port e0/9

[isp-vlan20]vlan 30

[isp-vlan30]port e0/17

[isp-vlan30]int vlan10

[isp-Vlan-interface10]ip add 67.130.130.1 255.255.255.252

[isp-Vlan-interface10]int vlan 20

[isp-Vlan-interface20]ip add 67.130.130.5 255.255.255.252

[isp-Vlan-interface20]int vlan 30

[isp-Vlan-interface30]ip add 67.130.130.9 255.255.255.252

设置fw1

<H3C>sys

[H3C]sys fw1

[fw1]int eth0/0

[fw1-Ethernet0/0]ip add 192.168.3.1 24

[fw1-Ethernet0/0]loopback

[fw1-Ethernet0/0]int eth0/4

[fw1-Ethernet0/4]ip add 67.130.130.2 30

取消端口隔离

[fw1]undo insulate

添加eth0/4到untrust

[fw1]firewall zone untrust

[fw1-zone-untrust]add int eth0/4

添加eth0/0到trust

[fw1]firewall zone trust

[fw1-zone-trust]add int eth0/0

用访问控制列表筛选

[fw1]acl number 3000 match-order auto

[fw1-acl-adv-3000]rule 10 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.4.0 0.0.0.255

[fw1-acl-adv-3000]rule 20 deny ip source any destination any

创建安全提议tran1

[fw1]ipsec proposal tran1

选择管道方式

[fw1-ipsec-proposal-tran1]encapsulation-mode tunnel

选择安全协议sep

[fw1-ipsec-proposal-tran1]transform esp

完整性校验选md5

[fw1-ipsec-proposal-tran1]esp authentication-algorithm md5

加密算法选des

[fw1-ipsec-proposal-tran1]esp encryption-algorithm des

设置ike peer

[fw1]ike peer fw2

设置来源ip

[fw1-ike-peer-fw2]local-address 67.130.130.2

设置目标ip

[fw1-ike-peer-fw2]remote-address 67.130.130.6

设置密钥

[fw1-ike-peer-fw2]pre-shared-key 123456

注意,这个密钥一定要记住,下面还要用到

isa和筛选流相结合

选择动态isa

[fw1]ipsec policy policy1 10 isakmp

筛选符合3000表的流

[fw1-ipsec-policy-isakmp-policy1-10]security acl 3000

选择符合提议tran1的

[fw1-ipsec-policy-isakmp-policy1-10]proposal tran1

选择ike 对等体为fw2

[fw1-ipsec-policy-isakmp-policy1-10]ike-peer fw2

进入端口eth0/4应用策略

[fw1]int eth0/4

[fw1-Ethernet0/4]ipsec policy policy1

第一条隧道已经设置好了,接着该去设置这条隧道的另一端,进入防火墙fw2

下面是第二条隧道的设置

[fw1]acl number 3001 match-order auto

[fw1-acl-adv-3001]rule permit ip source 192.168.3.0 0.0.0.255 destination 192.168.5.0 0.0.0.255

[fw1-acl-adv-3001]rule deny ip source any destination any

[fw1]ipsec proposal tran2

[fw1-ipsec-proposal-tran2]encapsulation-mode tunnel

[fw1-ipsec-proposal-tran2]transform esp

[fw1-ipsec-proposal-tran2]esp authentication-algorithm md5

[fw1-ipsec-proposal-tran2]esp encryption-algorithm des

[fw1]ike peer fw3

[fw1-ike-peer-fw3]local-address 67.130.130.2

[fw1-ike-peer-fw3]remote-address 67.130.130.10

[fw1-ike-peer-fw3]pre-shared-key 654321

[fw1]acl number 3001 match-order auto

[fw1-acl-adv-3000]undo rule 20

设置fw2

<H3C>sys

[H3C]sys fw2

[fw2]int eth0/0

[fw2-Ethernet0/0]ip add 192.168.4.1 24

[fw2-Ethernet0/0]loopback

[fw2-Ethernet0/0]int eth0/4

[fw2-Ethernet0/4]ip add 67.130.130.6 30

[fw2]undo insulate

[fw2]firewall packet-filter default permit

[fw2]firewall zone trust

[fw2-zone-trust]add interface eth0/0

[fw2]firewall zone untrust

[fw2-zone-untrust]add int eth0/4

[fw2]ip route-static 0.0.0.0 0 67.130.130.5

[fw2]acl number 3000 match-order auto

[fw2-acl-adv-3000]rule 10 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

[fw2-acl-adv-3000]rule 20 deny ip source any destination any

[fw2]ipsec proposal tran1

[fw2-ipsec-proposal-tran1]encapsulation-mode tunnel

[fw2-ipsec-proposal-tran1]esp authentication-algorithm md5

[fw2-ipsec-proposal-tran1]esp encryption-algorithm des

[fw2]ike peer fw1

[fw2-ike-peer-fw1]local-address 67.130.130.6

[fw2-ike-peer-fw1]remote-address 67.130.130.2

[fw2-ike-peer-fw1]pre-shared-key 123456

这个密钥要和另外一端的一样

[fw2]ipsec policy policy1 10 isakmp

[fw2-ipsec-policy-isakmp-policy1-10]security acl 3000

[fw2-ipsec-policy-isakmp-policy1-10]proposal tran1

[fw2-ipsec-policy-isakmp-policy1-10]ike-peer fw1

[fw2]int eth0/4

[fw2-Ethernet0/4]ipsec policy policy1

配置fw3

<H3C>sys

[H3C]sys fw3

[fw3]int eth0/0

[fw3-Ethernet0/0]ip add 192.168.5.1 24

[fw3-Ethernet0/0]loopback

[fw3-Ethernet0/0]int eth0/4

[fw3-Ethernet0/4]ip add 67.130.130.10 30

[fw3]undo insulate

[fw3]firewall zone untrust

[fw3-zone-untrust]add int eth0/4

[fw3]firewall zone trust

[fw3-zone-trust]add int eth0/0

[fw3]ip route-static 0.0.0.0 0 67.130.130.9

[fw3]acl number 3001 match-order auto

[fw3-acl-adv-3001]rule 10 permit ip source 192.168.5.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

[fw3-acl-adv-3001]rule 20 deny ip source any destination any

[fw3]ipsec proposal tran2

[fw3-ipsec-proposal-tran2]encapsulation-mode tunnel

[fw3-ipsec-proposal-tran2]transform esp

[fw3-ipsec-proposal-tran2]esp authentication-algorithm md5

[fw3-ipsec-proposal-tran2]esp encryption-algorithm des

[fw3]ike peer fw1

[fw3-ike-peer-fw1]local-address 67.130.130.10

[fw3-ike-peer-fw1]remote-address 67.130.130.2

[fw3-ike-peer-fw1]pre-shared-key 654321

[fw3]ipsec policy policy1 10 isakmp

[fw3-ipsec-policy-isakmp-policy1-10]security acl 3001

[fw3-ipsec-policy-isakmp-policy1-10]tracert tran2

[fw3-ipsec-policy-isakmp-policy1-10]ike-peer fw1

[fw3]int eth0/4

[fw3-Ethernet0/4]ipsec policy policy1

好了ipsec

ipsec的搭建,布布扣,bubuko.com

时间: 2024-08-10 01:52:39

ipsec的搭建的相关文章

AWS - VPC site-to-site VPN

前面豆子学习了如何配置VPC的公网,私有网,NAT实例以及VPC Peering,现在看看一些更复杂一些的应用.豆子总结了一下如何将不同Region的VPC之间通过EC2的VPN Instance 的IPSec Tunnel来实现互相访问. 豆子的实验环境如下: 在新加坡搭建一个VPC 网络 10.2.0.0/16, 悉尼搭建一个VPC网络 10.1.0.0/16, 然后两个网络分别搭建一个EC2实例,然后通过IPsec使得两个网络可以互相访问. 基本步骤如下 配置VPC网络,包括Subnet,

搭建L2TP over IPSec VPN

搭建L2TP over IPSec VPN 1.服务器安装软件 yum install openswan xl2tpd ppp 2.服务器配置文件/etc/ipsec.conf修改内容如下,VPN客户端内网地址网段自定义,公网地址为服务器公网地址 config setup     protostack=netkey     dumpdir=/var/run/pluto/     nat_traversal=yes     virtual_private=%v4:VPN客户端内网地址网段/24  

centos 6.5下搭建ipsec/xl2tpd VPN

本文安装都是直接yum安装,省事,省心. 一.安装(一条命令解决了) yum install openswan ppp xl2tpd 喜欢源码安装的朋友可去去 http://pkgs.org  去下载相就的源码包. 二.配置 1.编辑/etc/ipsec.conf vim /etc/ipsec.conf 把下面xx.xxx.xxx.xxx换成你自己VPS实际的外网固定IP.其他的不动. config setup nat_traversal=yes virtual_private=%v4:10.0

ROS IPsec L2L VPN搭建

ROS IPsec L2L VPN搭建: 测试环境: Side-One PC-ONE: 192.168.214.10 255.255.255.0 192.168.214.20 Router-One: Ether1:10.10.0.1 Ether2:192.168.214.20 Side-Two PC-TWO: 172.16.100.10 255.255.255.0 172.16.100.20 Router-Two: Ether1:10.20.0.1 Ether2:172.16.100.20 环境

用Mikrotik Router搭建GRE over IPSec 备用链路

公司在国内.日本.美国.德国.新加坡等多地均有业务,中间业务网络用的公司专有GPN(Global Private Network中文名是全球私有化网络)链路,目前测试搭建一条备用链路,用于网络冗余和故障切换. 初步选用方案GRE over IPSec,跑ospf路由协议. 一.为何要选GRE over IPSec: 各个site网络比较多,需要使用路由协议进行互联: IPSEC不支持组播,即不能传递路由协议,在承载路由协议上不如GRE隧道方便: GRE隧道不能提供加密保障: 使用GRE在两个网关

tp-link ER6520G的IPSec VPN和PPTP VPN的搭建

需求背景:上海分公司通过IPSec VPN与苏州总部的内网互联,移动办公人言通过PPTP VPN与苏州总部互联,苏州总部和上海分公司都只有1个公网IP地址. IPSec VPN的设置如下 TP-LINK 6520G的设置,首先搭建IKE安全提议 然后搭建IKE安全策略,由于涉及到IPSec VPN的穿透,所以必须使用野蛮模式,本地ID类型和对端ID类型必须使用NAME,另外需要设定预共享秘钥 搭建IPSec安全提议,安全协议必须使用ESP 本地子网范围指的是6520G这台路由器所在局域网的子网范

CentOS6.8下搭建Ipsec+L2TP VPN服务

第二层隧道协议L2TP(Layer 2 Tunneling Protocol)是一种工业标准的Internet隧道协议,它使用UDP的1701端口进行通信.L2TP本身并没有任何加密,但是我们可以使用IPSec对L2TP包进行加密. l2tp就用xl2tpd,官网:http://www.xelerance.com/services/software/xl2tpd/ IPSec就是openswan,提供IPSec加密,官网是:http://www.openswan.org/code/ ,在cent

基于Linux的 L2TP+IPSec VPN服务器搭建

一.硬件说明服务器采用两张网卡eth0用于连接内网eth1用于VPN网关. 基本网络环境定义内网网段192.168.100.0/24 VPN网段192.168.200.0/24 eth0IP192.168.100.101/24   网关192.168.100.1 eth1IP192.168.90.200.1/24  网关留空 二.系统CentOS 6.5 (使用最小化安装) 三.软件 1. openswan:提供IPSec加密 2. lsof:用于数据访问 3. ppp:提供用户名.密码 认证

[实战]CentOS 6.x 基于ipsec搭建L2TP/PPTP VPN服务

一.环境CentOS6.6 x64EPEL扩展源 二.安装PPTP1.加载支持模块 #modprobe ppp-compress-18 && echo MPPE is ok 2.安装epel源 #rpm -ivh http://mirrors.yun-idc.com/epel/6/x86_64/epel-release-6-8.noarch.rpm 或 #yum install epel-release 3.开启包转发 #sysctl -w net.ipv4.ip_forward=1 4.