自学内容网 自学内容网
自学内容网 > 正文

IPSEC实验

🕗 发布于 2025-01-16 09:03 网络  服务器  运维  

实验要求

某小型企业为扩大网络规模,设立分公司,今日要求分公司能够访问主公司对应的资源,为此很是苦恼

为满足其跨区域访问对端网络的要求,现要求使用IPSEC搭建隧道使得分公司能够与主公司通讯

实验拓扑

该公司与分公司拓扑大致能够简化如下图

实验配置

首先给我们的电脑配置上IP地址,pc1——192.168.10.1,pc2——192.168.20.2

AR1的地址如下,并且为保障模拟公网环境,我们在AR1上开启ospf宣告其网段

web配置

熟悉的操作配置web管理进入web界面,配地址划区域,下图分别是FW3,FW4的相关配置

划分区域配置地址

ipsec参数调整

在网络中找到IPSEC镜像配置相关配置,这边我们选择较为安全的ESP隧道模式

配置策略

然后我们去策略里放行相关区域间访问并做NAT-T处理,确保我们的相关流量不被NAT给转换,最终导致丢包无法通讯

命令行配置

配置命令行根据学的原理一步一步操作,不要慌,要冷静

划分区域配置地址

此部分省略,int接口,ip add地址,firewall区域名,简单,秒了秒了

ACL配置

写入要通讯地址,这里就以192.168.10.0到192.168.20.0为例,对端记得镜像配置

acl 3000
rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168
.20.0 0.0.0.255

IKE配置

建立第一阶段,协商ike sa

创建ike并配置相关参数,参数内容不多概述,同样的对端镜像配置,注意预共享密钥和算法两端要保持一致

ike proposal 1
 encryption-algorithm aes-256
 dh group14
 authentication-algorithm sha2-256
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256

指定对端,不多说

ike peer xxx
ike-proposal 1 //绑定ike
exchange-mode auto//选择模式
pre-shared-key xxx//配置预共享密钥

IPSEC安全提议配置

建立第二阶段,协商ipsec sa

ipsec proposal prop1512125577
transform esp//选择传输模式为esp
 esp authentication-algorithm sha2-256//使用的加密算法
 esp encryption-algorithm aes-256

整合配置

将ike sa和ipsec合并,并调节相关参数,有点像配无线的时候,一块一块配,最后一块一块调用

ipsec policy ipsec1512125476 1 isakmp//整合绑定ike,ipsec
 security acl 3000
 ike-peer ike1512125577
 proposal prop1512125577
 tunnel local applied-interface
 alias IPsec
 sa trigger-mode auto
 sa duration traffic-based 10485760
 sa duration time-based 3600 //设置检验时间

interface g1/0/1
ipsec policy ipsec1512125476//接口调用ipsec

配置nat与放行策略

确保ipsec流量可通,配置相关策略放行

nat-policy
 rule name ipsec
  source-zone trust
  destination-zone untrust
  source-address 192.168.20.0 mask 255.255.255.0
  destination-address 192.168.10.0 mask 255.255.255.0
  action no-nat
 rule name GuideNat1736945912544
  egress-interface GigabitEthernet1/0/1
  action source-nat easy-ip
security-policy
 default action permit
 rule name GuideNat1736945912544
  description NAT策略(GuideNat1736945912544)引入
  source-zone trust
  destination-zone untrust
  action permit
 rule name ipsec
  description IPSec策略(IPsec)引入
  source-zone local
  destination-zone untrust
  source-address 20.0.0.2 mask 255.255.255.255
  destination-address 16.16.16.2 mask 255.255.255.255
  service udp
  action permit

实验效果

最后让我们来看看效果

如图ping下对端看看,显然是可以通的,直接解决该公司上网需求


原文地址:https://blog.csdn.net/VVVVWeiYee/article/details/145169123

免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!

相关文章

自学内容网
Copyright © 2015-2025