CCIE
当前位置:网站首页>CCIE
ccie培训后轻松应对IPSec VPN配置
发布日期:2019-07-15 11:20:16 发布者:
    “Internet 协议安全性 (IPSec)”是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。Microsoft Windows 2000、Windows XP 和 WindowsServer 2003 家族实施 IPSec 是基于“Internet 工程任务组 (IETF)”IPSec 工作组开发的标准。

    IPSec(InternetProtocolSecurity)是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中,只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows 2000、Windows XP 和 Windows Server 2003 家族中,IPSec 提供了一种能力,以保护工作组、局域网计算机、域客户端和服务器、分支机构(物理上为远程机构)、Extranet 以及漫游客户端之间的通信。

    IPSec是IETF(Internet Engineering Task Force,Internet工程任务组)的IPSec小组建立的一组IP安全协议集。IPSec定义了在网际层使用的安全服务,其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。

    IPSec的安全服务要求支持共享密钥完成认证和/或保密,并且手工输入密钥的方式是必须要支持的,其目的是要保证IPSec协议的互操作性。当然,手工输入密钥方式的扩展能力很差,因此在IPSec协议中引入了一个密钥管理协议,称Internet密钥交换协议——IKE,该协议可以动态认证IPSec对等体,协商安全服务,并自动生成共享密钥。

    以下是IPSec VPN实验


CCIE培训


    配置命令:

    Site1:

    hostname Site1

    !

    no ip domain lookup

    ip cef

    !

    crypto isakmp key cisco address 200.1.1.1

    !

    crypto ipsec transform-set cisco esp-des esp-md5-hmac

    mode tunnel

    !

    crypto map cisco 10 ipsec-isakmp

    set peer 200.1.1.1

    set transform-set cisco

    match address cisco

    !

    interface Loopback0

    no shutdown

    ip address 172.168.1.1 255.255.255.0

    !

    interface Ethernet0/0

    no shutdown

    ip address 100.1.1.1 255.255.255.0

    crypto map cisco

    !

    ip route 192.168.1.0 255.255.255.0 100.1.1.2

    ip route 200.1.1.0 255.255.255.0 100.1.1.2

    !

    ip access-list extended cisco

    permit ip 172.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255

    Internet:

    hostname Internet

    no ip domain lookup

    ip cef

    no ipv6 cef

    !

    interface Ethernet0/0

    no shutdown

    ip address 100.1.1.2 255.255.255.0

    !

    interface Ethernet0/1

    no shutdown

    ip address 200.1.1.2 255.255.255.0

    Site2:

    hostname Site2

    !

    no ip domain lookup

    ip cef

    no ipv6 cef

    !

    crypto isakmp key cisco address 100.1.1.1

    !

    crypto ipsec transform-set cisco esp-des esp-md5-hmac

    mode tunnel

    !

    crypto map cisco 10 ipsec-isakmp

    set peer 100.1.1.1

    set transform-set cisco

    match address cisco

    !

    interface Loopback0

    no shutdown

    ip address 192.168.1.1 255.255.255.0

    !

    interface Ethernet0/1

    no shutdown

    ip address 200.1.1.1 255.255.255.0

    crypto map cisco

    !

    ip route 100.1.1.0 255.255.255.0 200.1.1.2

    ip route 172.168.1.0 255.255.255.0 200.1.1.2

    !

    ip access-list extended cisco

    permit ip 192.168.1.0 0.0.0.255 172.168.1.0 0.0.0.255

微信