IP SEC VPN实验笔记
更新时间:2024-06-07 16:24:01 阅读量: 综合文库 文档下载
- iphone推荐度:
- 相关推荐
目录
实验一 基础的site to site vpn 配置 ............................................................................ 2 实验二 ISAKMP Profile 方法配置site to site VPN ....................................................... 3 实验三 ROUTE VPN ........................................................................................................ 4 实验四 动态VS静态Crypto MAP ................................................................................ 5 实验五 IPSEC OVER GRE ................................................................................................ 6 实验六 GRE OVER IPSEC ................................................................................................ 7
实验一 基础的site to site vpn 配置
描述:R1和R3之间建立site to site VPN, 实现私网地址之间互通
(第一阶段)
crypto isakmp policy 10 encr 3des hash md5
authentication pre-share group 2
crypto isakmp key 0 cisco address 202.100.2.3
(第二阶段)
ip access-list extended vpn
permit ip host 1.1.1.1 host 2.2.2.2
crypto ipsec transform-set cisco esp-md5-hmac esp-3des
crypto map cisco 10 ipsec-isakmp set peer 202.100.2.3 set transform-set cisco match address vpn
接口调用
interface FastEthernet0/0 crypto map cisco end
测试(双方都互相配置好)
实验二 ISAKMP Profile 方法配置site to site VPN
(top和实验1一样,只是配置格式不一样)
描述:用于一个路由器和很多路由器建立多种类型的VPN
由于第一阶段中的crypto isakmp key cisco address 202.100.2.3是全局命令,当有多种VPN进来的时候可能会拿错策略,思路也不清晰。而且第一阶段和第二阶段没有联系。
(第一阶段)
crypto isakmp policy 10 authentication pre-share
crypto keyring isakey
pre-shared-key address 202.100.1.1 key cisco
crypto isakmp profile isaprof keyring isakey
match identity address 202.100.1.1 255.255.255.255
(第二阶段)
crypto ipsec transform-set cisco esp-3des esp-md5-hmac !
crypto map cisco 10 ipsec-isakmp set peer 202.100.1.1 set transform-set cisco set isakmp-profile isaprof match address vpn
接口调用
interface FastEthernet0/0 crypto map cisco end 测试
实验三 ROUTE VPN
(推荐,一个主流的VPN技术) (使用ipsec profile) (Static Virtual Tunnel Interface --- SVTI虚拟隧道接口 )
优点:创建tunnel接口,可以互相学习路由,数据加密,有点类似GRE OVER IPSEC,但是配置少,简单。
第一阶段
crypto isakmp policy 10 authentication pre-share
crypto isakmp key cisco address 202.100.2.3
第二阶段
crypto ipsec transform-set cisco esp-3des esp-md5-hmac
crypto ipsec profile ipsecprof set transform-set cisco
interface Tunnel0
ip address 123.1.1.1 255.255.255.0 tunnel source 202.100.1.1 tunnel destination 202.100.2.3 tunnel mode ipsec ipv4
tunnel protection ipsec profile ipsecprof
router ospf 110
network 1.1.1.1 0.0.0.0 area 0 network 123.1.1.1 0.0.0.0 area 0
看下OSPF邻居
看看学到的路由
测试一下
实验四 动态VS静态Crypto MAP
适用 中心有固定IP但是分支没有固定的IP地址的情况 分支还是基础配置 中心配置如下
第一阶段
crypto isakmp policy 10 authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
第二阶段
crypto ipsec transform-set cisco esp-3des esp-md5-hmac
crypto dynamic-map dymap 10 set transform-set cisco
crypto map cisco 1000 ipsec-isakmp dynamic dymap
interface FastEthernet0/0 crypto map cisco
测试一下(注意,这个必须由对端先发起)
实验五 IPSEC OVER GRE
(IPSEC封装在里 GRE封装在外)(没啥用,学习了撞上接口的crypto map后用其他地址进行加密封装的思路)
IPSEC OVER GRE大概这么玩
先建立GRE tunnel,将环回口lo 0 和lo 10都从gre口发布互相发布 在tunnel 0口调用crypto map 感兴趣流依然为1.1.1.1 to 2.2.2.2 加密点改为11.1.1.1到22.2.2.2 更新源也要改
crypto map cisco local-address 11.1.1.1
我用1.1.1.1去ping对方的2.2.2.2
先查路由表
2.2.2.2是从tunnel 0学过来的,因此下一跳走tunnel 0,会撞上crypto map 符合感兴趣流,进行加密。这时加密后结构
然后查路由
22.2.2.2是从gre 过来的 再走GRE口,封装后如下
再查路由,从F0/0口就出去了。
实验六 GRE OVER IPSEC
有点类似SVTI,可以解决感兴趣流复杂、动态路由协议、组播等通过VPN传输的问题
其实没啥难的 建立GRE interface Tunnel0
ip address 123.1.1.1 255.255.255.0 tunnel source 202.100.1.1 tunnel destination 202.100.2.3
建立SITE TO SITE VPN 第一阶段
crypto isakmp policy 10 authentication pre-share
crypto isakmp key cisco address 202.100.2.3
第二阶段
crypto ipsec transform-set cisco esp-des esp-md5-hmac !
crypto map cisco 10 ipsec-isakmp set peer 202.100.2.3 set transform-set cisco match address vpn
只不过感兴趣流改为了GRE建立的源目IP ip access-list extended vpn
permit ip host 202.100.1.1 host 202.100.2.3 然后通过GRE学路由神马的就可以了。。。。 有一点可以优化的 原始数据
经过GRE封装
经过IPSER VPN加密封装
发现封装了两遍同样的源目IP,在转换及将mode改为mode transport
能省去一个IP头部的20个字节,优化了一些
正在阅读:
IP SEC VPN实验笔记06-07
河北省二十冶综合学校高中分校高中数学选修2-2:1.1.2导数的概念06-15
实验1,数据定义04-07
盐的欺骗在咖啡里舞蹈11-03
lecture 7 Nathaniel Hawthorne and his the Scarlet Letter06-04
重点企业税源调查报告11-04
材料、设备、构配件进场检验及管理制度04-18
城市河道的景观型堤防设计03-16
- 冀教版版五年级科学下册复习资料
- 微生物学复习提纲
- 2013—2014学年小学第二学期教研组工作总结
- 国有土地转让委托服务合同协议范本模板
- 我的固废说明书
- 企业管理诊断报告格式
- 东鼎雅苑施工组织设计
- 谈谈如何做好基层党支部书记工作
- 浮梁县环保局市级文明单位创建工作汇报
- 管理学基础知识
- 大学物理实验报告23 - PN结温度传感器特性1
- 计算机网络实践
- 酒桌上这四种情况下要坐牢,千万别不当回事……
- 国家康居示范工程建设技术要点
- 中国贴布行业市场调查研究报告(目录) - 图文
- 新课标下如何在高中物理教学中培养学生的创新能力初探
- 营养师冬季养生食谱每日一练(7月4日)
- 关注江西2017年第3期药品质量公告
- 建设海绵城市专题习题汇总
- 10万吨年环保净水剂建设项目报告书(2).pdf - 图文
- 实验
- 笔记
- VPN
- SEC
- IP
- 离散数学第一次2017-10-22作业
- 浙江省建设领域推广应用技术公告(修订) - 图文
- 江苏省2012年高考化学试题word版及参考答案
- 第十章排列组合和二项式定理(第11课)组合(5)
- 2019高考生物第7单元(2)染色体变异和人类遗传病导学案(含解析)新
- 卫生间自动化毕业设计 - 图文
- 招商银行股票投资分析报告
- 口腔健康教育课教学设计
- 7331高一数学下册第二次月考试卷
- 造价咨询实施方案(道路工程)
- 教育学考研专业基础综合考试涵盖教育学原理
- 高考数学选填题必考考点(2007-2010年考点总结及真题再现)
- 初中语文教学应注重素质教育
- 09江苏普通高中学业水平测试 生物 - 图文
- 教学专长—“四步教学法”创建灵动课堂
- 模板方案(剪力墙住宅,大钢模)
- 2013年水利水电工程质量检测员继续教育系统基础考试试题及答案
- 八卦象数疗法配方大汇总
- 霍夫变换+最小二乘法 直线检测
- 烷烃与环烷烃