IPsec VPN详解--拨号地址

三．拨号地址VPN设置

1. 组网需求

本例将 IPSec 和ADSL 相结合，是目前实际中广泛应用的典型案例。

（1） Router B 通过ADSL 直接连接公网的DSLAM 接入端，作为PPPoE 的client端。RouterB 从ISP 动态获得的IP 地址为私网地址。

（2）总公司局域网通过 Router A 接入到ATM 网络。

（3）为了保证信息安全采用 IPSec/IKE 方式创建安全隧道。

2. 组网图

3.配置步骤

(1) 配置Router A

# 配置本端安全网关设备名称。

<RouterA>system-view

[RouterA]ike local-name routera

# 配置ACL。

[RouterA]acl number 3101

[RouterA-acl-adv-3101]rule 0 permit ip source 172.16.0.0 0.0.0.255 destination 192.1.68.0.0 0.0.0.255 允许192.1.68.0访问172.16.0.0

[RouterA-acl-adv-3101]quit

# 配置IKE 安全提议。

[RouterA]ike proposal 1

[RouterA-ike-proposal-1]authentication-algorithm sha 验证算法

[RouterA-ike-proposal-1]authentication-method pre-share

[RouterA-ike-proposal-1]encryption-algorithm 3des-cbc 加密算法

[RouterA-ike-proposal-1]dh group2 分配DH组

# 配置IKE 对等体peer。

[RouterA]ike peer peer

[RouterA-ike-peer-peer]exchange-mode aggressive //协商模式为野蛮模式

[RouterA-ike-peer-peer] pre-shared-key abc /配置预共享密钥，此密钥必须与对端保持一致

[RouterA-ike-peer-peer]id-type name //协商类型为使用命名

[RouterA-ike-peer-peer]remote-name routerb //配置对端命名

[RouterA-ike-peer-peer]nat traversal //配置nat 穿越功能

[RouterA-ike-peer-peer]quit

# 创建IPSec 安全提议prop。

[RouterA]ipsec proposal prop

[RouterA-ipsec-proposal-prop]encapsulation-mode tunnel 创建隧道模式

[RouterA-ipsec-proposal-prop]transform esp //esp验证算法

[RouterA-ipsec-proposal-prop]esp encryption-algorithm 3des //加密算法

[RouterA-ipsec-proposal-prop]esp authentication-algorithm sha1 验证算法

[RouterA-ipsec-proposal-prop]quit

# 创建安全策略policy 并指定通过IKE 协商建立SA。

[RouterA]ipsec policy policy 10 isakmp

# 配置安全策略policy 引用IKE 对等体peer。

[RouterA-ipsec-policy-isakmp-policy-10]ike-peer peer

# 配置安全策略policy 引用访问控制列表3101。

[RouterA-ipsec-policy-isakmp-policy-10]security acl 3101

# 配置安全策略policy 引用IPSec 安全提议prop。

[RouterA-ipsec-policy-isakmp-policy-10]proposal prop

[RouterA-ipsec-policy-isakmp-policy-10]quit

# 配置IP 地址。

[RouterA]interface serial 2/0

[RouterA-Serial2/0]ip address 100.1.1.1 255.255.255.0

[RouterA-Serial2/0]ipsec policy policy 引用安全策略

[RouterA-Serial2/0]quit

# 配置以太网口。

[RouterA]interface ethernet 1/0

[RouterA-Ethernet1/0]ip address 172.16.0.1 255.255.255.0

[RouterA-Ethernet1/0]quit

# 配置到分公司局域网的静态路由。

[RouterA]ip route-static 192.168.0.0 255.255.255.0 serial 2/0

(2) 配置Router B

# 配置本端安全网关的名称。

<RouterB>system-view

[RouterB]ike local-name routerb

# 配置ACL。

[RouterB]acl number 3101

[RouterB-acl-adv-3101]rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 172.16.0.0 0.0.0.255 允许172.16.0.0网段进入

[RouterB-acl-adv-3101]quit

# 配置IKE 安全提议。

[RouterB]ike proposal 1

[RouterB-ike-proposal-1]authentication-algorithm sha 验证算法

[RouterB-ike-proposal-1]authentication-method pre-share

[RouterB-ike-proposal-1]encryption-algorithm 3des-cbc加密算法

[RouterB-ike-proposal-1]dh group2分配DH组

# 配置IKE 对等体peer。

[RouterB]ike peer peer

[RouterB-ike-peer-peer]exchange-mode aggressive //协商模式为野蛮模式

[RouterB-ike-peer-peer] pre-shared-key abc //配置预共享密钥，此密钥必须与对端保持一致

[RouterB-ike-peer-peer]id-type name //协商类型为使用命名

[RouterB-ike-peer-peer] remote-name routera //配置对端命名

[RouterB-ike-peer-peer]remote-address 100.1.1.1 //配置对端IP地址

[RouterB-ike-peer-peer] nat traversal //配置nat 穿越功能

[RouterB-ike-peer-peer]quit

# 创建IPSec 安全提议prop。

[RouterB]ipsec proposal prop

[RouterB-ipsec-proposal-prop]encapsulation-mode tunnel 隧道模式

[RouterB-ipsec-proposal-prop] transform esp 加密方式

[RouterB-ipsec-proposal-prop]esp encryption-algorithm 3des esp加密方式3des

[RouterB-ipsec-proposal-prop]esp authentication-algorithm sha1 验证方式

[RouterB-ipsec-proposal-prop] quit

# 创建安全策略policy 并指定通过IKE 协商建立SA。

[RouterB] ipsec policy policy 10 isakmp

# 配置安全策略policy 引用IKE 对等体peer。

[RouterB-ipsec-policy-isakmp-policy-10] ike-peer peer

# 配置安全策略policy 引用访问控制列表3101。

[RouterB-ipsec-policy-isakmp-policy-10]security acl 3101

# 配置安全策略policy 引用IPSec 安全提议prop。

[RouterB-ipsec-policy-isakmp-policy-10] proposal prop

[RouterB-ipsec-policy-isakmp-policy-10]quit

# 配置拨号访问控制列表。

[RouterB]dialer-rule 1 ip permit

# 创建Dialer0，使用由ISP 分配的用户名和密码进行拨号和PPP 认证的相关配置，

并配置MTU。

[RouterB]interface dialer 0

[RouterB-Dialer0]link-protocol ppp 采用PPP拨号

[RouterB-Dialer0]ppp pap local-user test password simple 123456 拨号ISP提供用户名和密码

[RouterB-Dialer0]ip address ppp-negotiate

[RouterB-Dialer0]dialer user 1 用户

[RouterB-Dialer0]dialer-group 1 用户组

[RouterB-Dialer0]dialer bundle 1

[RouterB-Dialer0]ipsecno-nat-process enable不做NAT穿越

[RouterB-Dialer0] ipsec policy policy在此接口下引用创建的ipsec策略

[RouterB-Dialer0]mtu 1492

[RouterB-Dialer0]quit

# 配置到总公司局域网的静态路由。

[RouterB]ip route-static 172.16.0.0 255.255.255.0 dialer 0

# 配置以太网口。

[RouterB]interface ethernet 1/0

[RouterB-Ethernet1/0]tcp mss 1450

[RouterB-Ethernet1/0]ip address 192.168.0.1 255.255.255.0

[RouterB-Ethernet1/0]quit

时间： 2024-08-01 18:33:21

IPsec VPN详解--拨号地址的相关文章

IPsec VPN详解--动态地址

二. 动态地址VPN设置 1. 组网需求 (1) 分公司 LAN 通过专线接入总公司内部网,Router A 的Serial2/0 接口为固定IP地址,Router B 动态获取IP 地址. (2) 分公司自动获得的 IP 地址为私有IP 地址,Router A 的Serial2/0 接口的IP 地址为公网地址,故Router B 上需要配置NAT 穿越功能. (3) 为了保证信息安全采用IPSec/IKE 方式创建安全隧道. 2. 配置步骤 (1)配置Router A

IPSec VPN详解

IPSec VPN详解作者:Danbo 时间:2015-10-19 加密学原理加密学必须具备以下三个特点:1.可用性(来源性):2.保密性:3.完整性(不被篡改): 加密方式按大类分为:对称和非对称加密对称算法(symmetric algorithm):就是加密密钥能够从解密密钥中推算出来,反过来也成立.在大多数对称算法中,加密/解密密钥是相同的.最大的问题就是密钥的管理问题(分发.存储.吊销等),容易搜到中间拦截窃听,不支持数字签名和不可否认性.但是速度非常快(提供线速加密),对称加密得

IPsec VPN详解--验证配置

五.常用故障调试命令 [H3C]disike sa <H3C>debugging ipsec sa <H3C>debugging ike sa <H3C>terminal debugging <H3C>terminal monitor <H3C>display ipsec sa policy 配置完成后,发现网络A和网络B的用户不能相互访问. 可能原因 1.流量未匹配ACL规则执行命令display acl acl-number,查看流量是否匹

IPsec VPN详解--nat穿越内网

四. NAT穿越内网路由VPN设置如图1所示,Router A为某机构总部网关,Router D和Router E是两个分支网关,Router B和Router C为分支提供NAT转换.要求:为了接受协商发起端的访问控制列表设置,Router A采用安全模板方式分别与Router D和Router E建立IPsec VPN,为总部和分支流量进行加密传输. 图1 IPSec VPN多分支安全模板NAT穿越功能的配置举例组网图设备接口 IP地址设备接口 IP地址 Router A Eth

SSL VPN 详解

SSL VPN是专栏VPN系列技术原理的最后一篇,SSL VPN作为远程接入型的VPN,已经具备非常广阔的前景,它的主要适应场景是取代L2TP Over IPSec,但功能要比L2TP Over IPSec更丰富,方案也更加灵活. 一. SSL VPN简介何谓SSL VPN,首先要从SSL谈起,使用网络不能不提的是各个网站,浏览网站使用浏览器,网络上传送网页的协议叫HTTP,它是明文传播的,传播内容可以被黑客读取.而SSL全名叫Secure Session Layer(安全会话层),其

详解IP地址后面斜杠加具体数字

hzhsan:通俗一点就是,斜杠后面的数字代表32位子网掩码(二进制形式)中前面的"1"的个数. 而且前面的"ip地址"也不是一个ip地址,而是一个ip网段.通过后面数字可以将前面的网段进一步细划分成具体的子网. 其实这个就是用CIDR的形式表示的一个网段,或者说子网. CIDR:无类别域间路由选择,Classless and Subnet Address Extensions and Supernetting 我们知道确定一个子网需要知道主机地址和子网掩码,但用C

LVS 负载均衡群集详解、地址转换模式（LVS-NAT）案例详解

前言 · Linux Virtual Server (LVS)是针对 Linux 内核开发的一个负载均衡项目,是由我国章文嵩博士在 98 年 5月创建.· LVS 实际上相当于基于 IP 地址的虚拟化应用,为基于 IP 地址和内容请求分发的负载均衡提出了一种搞笑的解决办法.·LVS 现在已称为 Linux 内核的一部分,默认编译为 ip_vs 模块,必要时能够自动调用群集的类型 1· 负载均衡群集·以提高应用系统的响应能力.尽可能处理更多的访问请求.减少延迟为目标,获得高并发.高负载(LB)的

清默网络——IPV6的地址详解

IPV6的地址详解 IPv6地址共128位,被分割成8个16位段来表示,采用冒号16进制表示. IPv6的地址类型: 1.单播(unicast) 2.任意播(anycast) 3.多播(multicast) 全球单播地址:用来表示单台设备的地址,一个全球单播地址是指这个单播地址是全球唯一的可以一在全球范围内被路由. 标识IPV6的地址类型:IPV6地址起始地一些二机制位指明了该地址的类型.目前所有的全球单播地址的前三位是001.所以全球单播地址都是以2或3开头

13.Linux键盘按键驱动 (详解)

版权声明:本文为博主原创文章,未经博主允许不得转载. 在上一节分析输入子系统内的intput_handler软件处理部分后,接下来我们开始写input_dev驱动本节目标: 实现键盘驱动,让开发板的4个按键代表键盘中的L.S.空格键.回车键 1.先来介绍以下几个结构体使用和函数,下面代码中会用到 1)input_dev驱动设备结构体中常用成员如下: struct input_dev { void *private; const char *name; //设备名字 const char *ph