*** manual 模式的配置-白红宇

*** manual 模式的配置

阅读量：5793 次

发布时间：2019-06-18

本文共 5178 字，大约阅读时间需要 17 分钟。

拓扑图

25-1

通过创建*** 实现不同网段的网络通过广域网使用可以通信。

R3.fw1上分别配置通道

三层交换机上划分vlan ，构造一个不同区域的网络模拟广域网。

配置交换机

Vlan 10

Port e 0/1

Int vlan 10

Ip add 10.10.10.2 30

Vlan 20

Int vlan 20

Ip add 10.10.10.5 30

Port access vlan 20

配置***1

在路由r3的E0接口配置***

1.配置ip和默认路由

[R3-Ethernet0]ip add 10.10.10.1 30 sub

[R3]int e 1

[R3-Ethernet1]ip add 1.1.1.1 24

[R3]ip route-static 0.0.0.0 0 10.10.10.2

2.配置acl

[R3]acl 3000

[R3-acl-3000]rule permit ip source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.2

[R3-acl-3000]rule deny ip source any dest any

[R3-acl-3000]dis acl 3000

Using normal packet-filtering access rules now.

3000 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 (no matches -- rule 1)

3000 deny ip any any (no matches -- rule 2)

[R3-acl-3000]

3.配置安全提议

[R3]ipsec ?

policy 进入ipsec policy命令模式

proposal 进入ipsec proposal命令模式

replay-detect 使能反重播检测功能

sa 指定IPSec安全联盟参数信息

[R3]ipsec proposal ?

STRING<1-15> 转换方式(proposal)名称

[R3]ipsec proposal tran1

[R3-ipsec-proposal-tran1]encap tunnel

[R3-ipsec-proposal-tran1]encap ?

transport 指定仅对报文的数据部分(不包括IP头)进行加密或验证

tunnel 指定对整个IP报文进行加密或验证

[R3-ipsec-proposal-tran1]transform ?

ah-esp-new 指定使用RFC2402/2406方式的AH+ESP

ah-new 指定单独使用RFC2402方式的AH

esp-new 指定单独使用RFC2406方式的ESP(缺省)

[R3-ipsec-proposal-tran1]esp-new ?

authentication-algorithm 指定ESP使用的验证算法

encryption-algorithm 指定ESP使用的加密算法

[R3-ipsec-proposal-tran1]esp-new authentication- ?

md5-hmac-96 指定使用HMAC-MD5算法

sha1-hmac-96 指定使用HMAC-SHA1算法

[R3-ipsec-proposal-tran1]esp-new authentication- md5

[R3-ipsec-proposal-tran1]esp ?

authentication-algorithm 指定ESP使用的验证算法

encryption-algorithm 指定ESP使用的加密算法

[R3-ipsec-proposal-tran1]esp enc ?

3des 指定使用3DES

blowfish 指定使用blowfish

cast 指定使用CAST

des 指定使用DES

skipjack 指定使用skipjack

[R3-ipsec-proposal-tran1]esp enc des

4.策略

[R3]ipsec policy ?

STRING<1-15> 转换方式的名字

[R3]ipsec policy 10 ?

INTEGER<0-10000> 安全策略库顺序号

[R3]ipsec policy p1 10 ?

<cr> 如果已创建过此安全策略

isakmp 说明使用IKE协商建立安全联盟

manual 说明不使用IKE协商建立安全联盟

[R3]ipsec policy p1 10 man

[R3-ipsec-policy-p1-10]security ?

acl 指定对符合规则条件的报文进行保护

[R3-ipsec-policy-p1-10]security acl 3000

[R3-ipsec-policy-p1-10]pro tran1

[R3-ipsec-policy-p1-10]tunnel local 10.10.10.1

[R3-ipsec-policy-p1-10]tunnel remote 10.10.10.6

[R3-ipsec-policy-p1-10]sa out ?

ah 指定AH协议的key配置信息

esp 指定ESP协议的key配置信息

[R3-ipsec-policy-p1-10]sa out esp ?

authentication-hex 指定ESP协议的验证密钥(十六进制格式)

encryption-hex 指定ESP协议的加密密钥(十六进制格式)

spi 指定ESP协议的SPI

string-key 指定ESP协议的密钥(字符串格式)

[R3-ipsec-policy-p1-10]sa out esp spi ?

INTEGER<256-4294967295> 安全参数索引(spi)

[R3-ipsec-policy-p1-10]sa out esp spi 123456

[R3-ipsec-policy-p1-10]sa out esp string-key ?

STRING(1-150) 字符串形式的密钥。

[R3-ipsec-policy-p1-10]sa out esp string-key 123456

[R3-ipsec-policy-p1-10]

[R3-ipsec-policy-p1-10]sa ?

duration 指定IPSec安全联盟的生存周期

inbound 指定输入处理的key配置信息

outbound 指定输出处理的key配置信息

start-delay 指定协商延时

[R3-ipsec-policy-p1-10]sa in ?

ah 指定AH协议的key

esp 指定ESP协议的key

[R3-ipsec-policy-p1-10]sa in esp ?

authentication-hex 指定ESP协议的验证密钥(十六进制格式)

encryption-hex 指定ESP协议的加密密钥(十六进制格式)

spi 指定ESP协议的SPI

string-key 指定ESP协议的密钥(字符串格式)

[R3-ipsec-policy-p1-10]sa in esp spi ?

INTEGER<256-4294967295> 安全参数索引(spi)

[R3-ipsec-policy-p1-10]sa in esp spi 123456

[R3-ipsec-policy-p1-10]sa in esp string-key ?

STRING(1-150) 字符串形式的密钥。

[R3-ipsec-policy-p1-10]sa in esp string-key 123456

[R3-ipsec-policy-p1-10]int e0

[R3-Ethernet0]ipsec policy p1

[R3-Ethernet0]dis ipsec policy all

安全策略库名: p1

安全策略库顺序号: 10

协商模式: 手工

访问列表号: 3000

本端地址: 10.10.10.1

对端地址: 10.10.10.6

转换方式的名字: tran1

输入处理安全联盟验证算法设置:

安全参数索引号:

字符串密钥:

16进制密钥:

输入处理安全联盟加密算法设置:

安全参数索引号: 123456 (0x1e240)

字符串密钥: 123456

16进制加密密钥:

16进制验证密钥:

输出处理安全联盟验证算法设置:

安全参数索引号:

字符串密钥:

16进制密钥:

输出处理安全联盟加密算法设置:

安全参数索引号: 123456 (0x1e240)

字符串密钥: 123456

16进制加密密钥:

16进制验证密钥:

输出处理安全联盟已经建立

输入处理安全联盟已经建立

[R3-Ethernet0]

配置***2

1. 配置ip

int e0

ip add 10.10.10.1 30

int e1

ip add 2.2.2.1 24

ip route-static 0.0.0.0 0 10.10.10.5

2. 配置acl

acl 3000

rule per ip source 2.2.2.0 0.0.0.255 dest 1.1.1.0 0.0.0.255

rule deny ip source any dest any

3. 配置安全提议

ipsec proposal tran2

encap tunnel -- 指定对整个IP报文进行加密或验证

esp-new authentication-algorithm md5-hmac-96 --指定ESP使用HMAC-MD5的验证算法

esp enc des -- 指定ESP使用des的加密算法

4. 配置策略

system-view

ipsec policy p2 20 manual --说明不使用IKE协商建立安全联盟

security acl 3000

pro tran1

tunnel local 10.10.10.6

tunnel remote 10.10.10.1

sa out esp spi 123456 --指定出口的安全参数索引(spi)，要与对端进口的一致

sa out esp string-key 123456

sa in esp spi 123456

sa insep string-key 123456

5. 应用

int e0

ipsec policy p2

测试结果

C:\Documents and Settings\123.20110808-1854>ipconfig

Windows IP Configuration

Ethernet adapter 本地连接:

Connection-specific DNS Suffix . :

IP Address. . . . . . . . . . . . : 1.1.1.2

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . : 1.1.1.1

C:\Documents and Settings\123.20110808-1854>ping 2.2.2.2

Pinging 2.2.2.2 with 32 bytes of data:

Reply from 2.2.2.2: bytes=32 time=10ms TTL=126

Reply from 2.2.2.2: bytes=32 time=11ms TTL=126

Reply from 2.2.2.2: bytes=32 time=10ms TTL=126

Reply from 2.2.2.2: bytes=32 time=11ms TTL=126

Ping statistics for 2.2.2.2:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 10ms, Maximum = 11ms, Average = 10ms

C:\Documents and Settings\123.20110808-1854>

转载于:https://blog.51cto.com/yujinbang/744242

你可能感兴趣的文章

Iceworks 2.8.0 发布，自定义你的 React 模板

查看>>

胖哥学SpringMVC:请求方式转换过滤器配置

查看>>

Kotlin 更加优雅的 Builder - 理解 with

微软向Linux社区开放60000多项专利：对开源微软是认真的

PostgreSQL并发控制（MVCC, 事务，事务隔离级别）

Spring Security OAuth 实现OAuth 2.0 授权

新 Terraform 提供商: Oracle OCI, Brightbox, RightScale

查看>>

6套毕业设计PPT模板拯救你的毕业答辩

查看>>

IT兄弟连 JavaWeb教程 JSP与Servlet的联系

查看>>

Windows phone 8 学习笔记

查看>>

linux并发连接数:Linux下高并发socket最大连接数所受的各种限制

查看>>