IPsec VPN详解--动态地址

二.  动态地址VPN设置

1. 组网需求

(1)        分公司 LAN 通过专线接入总公司内部网,Router A 的Serial2/0 接口为固定IP地址,Router B 动态获取IP 地址。

(2)   分公司自动获得的 IP 地址为私有IP 地址,Router A 的Serial2/0 接口的IP 地址为公网地址,故Router B 上需要配置NAT 穿越功能。

(3)   为了保证信息安全采用IPSec/IKE 方式创建安全隧道。

2. 配置步骤

(1)配置Router A

# 配置本端安全网关设备的名字。

<RouterA>system-view

[RouterA]ike local-name routerA

# 配置acl。

[RouterA]acl number 3101 match-order auto

[RouterA-acl-adv-3101]rule permit ip source any destination any 允许所有数据通过

[RouterA-acl-adv-3101]quit

# 配置地址池。

[RouterA]ip pool 1 10.0.0.2 10.0.0.10

# 配置IKE 对等体peer。

[RouterA]ike peer peer

[RouterA-ike-peer-peer]exchange-mode aggressive //协商模式为野蛮模式

[RouterA-ike-peer-peer]pre-shared-key abc  //配置预共享密钥,此密钥必须与对端保持一致

[RouterA-ike-peer-peer]id-type name  //协商类型为使用命名

[RouterA-ike-peer-peer]remote-name routerb  //配置对端命名

[RouterA-ike-peer-peer]quit

# 创建IPSec 安全提议prop。

[RouterA]ipsec proposal prop

[RouterA-ipsec-proposal-prop]encapsulation-mode tunnel 隧道模式

[RouterA-ipsec-proposal-prop]transform esp   ESP安全协议

[RouterA-ipsec-proposal-prop]esp encryption-algorithm des 加密算法

[RouterA-ipsec-proposal-prop]esp authentication-algorithm sha1  验证算法

[RouterA-ipsec-proposal-prop]quit

# 创建安全策略policy 并指定通过IKE 协商建立SA。

[RouterA]ipsec policy policy 10 isakmp

# 配置安全策略policy 引用IKE 对等体peer。

[RouterA-ipsec-policy-isakmp-policy-10]ike-peer peer

# 配置安全策略policy 引用访问控制列表3101。

[RouterA-ipsec-policy-isakmp-policy-10]security acl 3101

# 配置安全策略policy 引用IPSec 安全提议prop。

[RouterA-ipsec-policy-isakmp-policy-10]proposal prop

[RouterA-ipsec-policy-isakmp-policy-10]quit

# 进入串口Serial2/0 并配置IP 地址。

[RouterA]interface serial 2/0 外网端口

[RouterA-Serial2/0]ip address 100.0.0.1 255.255.0.0 外网IP

# 配置串口Serial2/0 引用安全策略组policy。

[RouterA-Serial2/0]ipsec policy policy

[RouterA-Serial2/0]remote address pool 1 对端加入pool池

(2) 配置Router B

# 配置本端安全网关设备的名字。

<RouterB>system-view

[RouterB]ike local-name routerb

# 配置acl。

[RouterB]acl number 3101 match-order auto

[RouterB-acl-adv-3101]rule permit ip source any destination any //允许所有IP通过

[RouterB-acl-adv-3101]quit

# 配置IKE 对等体peer。

[RouterB] ike peer peer

[RouterB-ike-peer-peer] exchange-mode aggressive //协商模式为野蛮模式

[RouterB-ike-peer-peer]pre-shared-key abc  //配置预共享密钥,此密钥必须与对端保持一致

[RouterB-ike-peer-peer] id-type name  //协商类型为使用命名

[RouterB-ike-peer-peer]remote-name routera  //配置对端命名

[RouterB-ike-peer-peer] remote-ip 10.0.0.1   //配置对端IP地址

[RouterB-ike-peer-peer] nat traversal  //配置nat 穿越功能

[RouterB-ike-peer-peer] quit

# 创建IPSec 安全提议prop。

[RouterB]ipsec proposal prop

[RouterB-ipsec-proposal-prop]encapsulation-mode tunnel  创建隧道模式

[RouterB-ipsec-proposal-prop] transform esp  验证算法

[RouterB-ipsec-proposal-prop]esp encryption-algorithm des //ESP加密方式为DES方式

[RouterB-ipsec-proposal-prop]esp authentication-algorithm sha1  加密算法

[RouterB-ipsec-proposal-prop] quit

# 创建安全策略policy 并指定通过IKE 协商建立SA。

[RouterB] ipsec policy policy 10 isakmp

# 配置安全策略policy 引用IKE 对等体peer。

[RouterB-ipsec-policy-isakmp-policy-10] ike-peer peer

# 配置安全策略policy 引用访问控制列表3101。

[RouterB-ipsec-policy-isakmp-policy-10]security acl 3101

# 配置安全策略policy 引用IPSec 安全提议prop。

[RouterB-ipsec-policy-isakmp-policy-10] proposal prop

[RouterB-ipsec-policy-isakmp-policy-10]quit

# 进入串口Serial2/0 并配置接口动态协商IP 地址。

[RouterB] interface serial 2/0

[RouterB-Serial2/0]ip address ppp-negotiate

# 配置串口Serial2/0 引用安全策略组policy。

[RouterB-Serial2/0]ipsec policy policy

时间: 2024-08-29 10:54:20

IPsec VPN详解--动态地址的相关文章

IPsec VPN详解--拨号地址

三.拨号地址VPN设置 1. 组网需求 本例将 IPSec 和ADSL 相结合,是目前实际中广泛应用的典型案例. (1) Router B 通过ADSL 直接连接公网的DSLAM 接入端,作为PPPoE 的client端.RouterB 从ISP 动态获得的IP 地址为私网地址. (2)总公司局域网通过 Router A 接入到ATM 网络. (3)为了保证信息安全采用 IPSec/IKE 方式创建安全隧道. 2. 组网图 3.配置步骤 (1) 配置Router A # 配置本端安全网关设备名称

IPSec VPN详解

IPSec VPN详解 作者:Danbo 时间:2015-10-19 加密学原理 加密学必须具备以下三个特点:1.可用性(来源性):2.保密性:3.完整性(不被篡改): 加密方式按大类分为:对称和非对称加密 对称算法(symmetric algorithm):就是加密密钥能够从解密密钥中推算出来,反过来也成立.在大多数对称算法中,加密/解密密钥是相同的.最大的问题就是密钥的管理问题(分发.存储.吊销等),容易搜到中间拦截窃听,不支持数字签名和不可否认性.但是速度非常快(提供线速加密),对称加密得

IPsec VPN详解--验证配置

五.常用故障调试命令 [H3C]disike sa <H3C>debugging ipsec sa <H3C>debugging ike sa <H3C>terminal debugging <H3C>terminal monitor <H3C>display ipsec sa policy 配置完成后,发现网络A和网络B的用户不能相互访问. 可能原因 1.流量未匹配ACL规则 执行命令display acl acl-number,查看流量是否匹

IPsec VPN详解--nat穿越内网

四. NAT穿越内网路由VPN设置 如图1所示,Router A为某机构总部网关,Router D和Router E是两个分支网关,Router B和Router C为分支提供NAT转换.要求:为了接受协商发起端的访问控制列表设置,Router A采用安全模板方式分别与Router D和Router E建立IPsec VPN,为总部和分支流量进行加密传输. 图1 IPSec VPN多分支安全模板NAT穿越功能的配置举例组网图 设备 接口 IP地址 设备 接口 IP地址 Router  A Eth

以Apache服务器、php语言为例 详解动态网站的访问过程

目前来说,网站页面主要分为静态页面和动态页面,纯静态页面组成的网站现在相对比较少见,大型网站一般使用的是动态网站建站技术,还有一部分网站是静态网页与动态网页共存, 本文以Apache服务器.php语言为例,详解动态网站的访问过程,下面直接切入本文主题. (1)用户端访问服务器端的html文件 S1:通过本机配置好的DNS域名服务器地址寻找DNS服务器,将网站URL中的Web主机域名解析为Web服务器所在的Linux操作系统(Apache通常与Linux操作系统组合使用)中对应的IP地址. S2:

AxureRP7.0基础教程系列 部件详解 动态面板 DynamicPanel

原型库网站-讲师金乌原创发布,可自由转载,请注明出处! Axure中文官网:www.AxureRP.cn   <AxureRP7.0部件详解> 动态面板 DynamicPanel 动态面板概述       动态面板(Dynamic panel) 动态面板是一个可以在层或状态中装有其他部件的容器. 你可以将动态面板比喻成相册,相册的每个夹层中又可以装进其他部件,并且每个夹层和里面的部件可以隐藏.显示和移动,并且可以动态设置当前夹层的可见状态.这些特性允许你在原型中演示自定义提示.灯箱.标签控制和

SSL VPN 详解

SSL VPN是专栏VPN系列技术原理的最后一篇,SSL VPN作为远程接入型的VPN,已经具备非常广阔的前景,它的主要适应场景是取代L2TP Over IPSec,但功能要比L2TP Over IPSec更丰富,方案也更加灵活. 一.     SSL VPN简介 何谓SSL VPN,首先要从SSL谈起,使用网络不能不提的是各个网站,浏览网站使用浏览器,网络上传送网页的协议叫HTTP,它是明文传播的,传播内容可以被黑客读取.而SSL全名叫Secure Session Layer(安全会话层),其

mybatis 详解------动态SQL

目录 1.动态SQL:if 语句 2.动态SQL:if+where 语句 3.动态SQL:if+set 语句 4.动态SQL:choose(when,otherwise) 语句 5.动态SQL:trim 语句 6.动态SQL: SQL 片段 7.动态SQL: foreach 语句 8.总结 前面几篇博客我们通过实例讲解了用mybatis对一张表进行的CRUD操作,但是我们发现写的 SQL 语句都比较简单,如果有比较复杂的业务,我们需要写复杂的 SQL 语句,往往需要拼接,而拼接 SQL ,稍微不

top命令详解 动态的监控网络状态

1.top命令:可以动态的监控cpu 参数说明:当前时间 系统启动多久了 当前登录的人数 当前系统的负载情况(三个数和/3>0.6就危险了) 目前有多少进程数 :休眠的进程数,运行的进程数,僵死进程数(已没有用了,但是还是占据内存),静止状态下的进程数 cpu的状态(idle cpu的资源空间大小) Mem内容使用情况:内存总数,正在被使用,空闲的, Swap(虚拟内存):真实内存 使用内存 以下是top命令: top -d 10 :设置动态监控时间10s top -u user :设置要监控的