ipsec

Gre vpn

interface Tunnel1

ip address 12.1.1.1 255.255.255.0 tunnel source Serial1/0

tunnel destination 25.1.1.2(对端接口的真实IP)

router ospf 1

network 1.1.1.0 0.0.0.255 area 0 network 12.1.1.0 0.0.0.255 area 0

ip route 1.1.1.0 255.255.255.0 tunnel0 为私有网络指路由走tunnel接口

Ipsec vpn

第一阶段设置初始身份认证，建立基本的安全通道，为协商以后的SA做准备，主要定义ISAKMP策略，包括对称加密算法、完整验证算法、身份验证的方法，SA的生存期，并且确定双方的密码和IP地址。

crypto isakmp policy 10 创建ISAKMP策略 hash md5 指定ISAKMP策略的消息摘要算法为md5

authentication pre-share 指定ISAKMP策略使用预共享密钥的方式

crypto isakmp key cisco14 address 47.1.1.4 设

IPSEC Over GRE与GRE Over IPSEC的区别和好处~

昨天发了个关于GRE故障解决过程的帖子，网友jhaterry的分析问题和解决问题的能力很棒，总结的也很好，为了更好的让午饭们理解IPSEC Over GRE与GRE Over IPSEC的区别与好处，特有下文与大家分享，通过此文希望能让大家更好的理解IPSEC与GRE，更好的根据实际情况将该技术应用到实际环境和项目中下面进入正题：

到底是IPSEC Over GRE好呢，还是GRE Over IPSEC好？以前一直是出于一个模糊的状态，能通就行了么。今天再次作了一下研究比较，得出的结论是，当然是GRE Over IPSEC好！

在此，先把这两个概念理一下。IPSEC Over GRE即IPSEC在里，GRE在外。先把需要加密的数据包封装成IPSEC包，然后再扔到GRE隧道里。作法是把IPSEC的加密图作用在Tunnel口上的，即在Tunnel口上监控（访问控制列表监控本地ip网段-源i和远端ip网段-目的地），是否有需要加密的数据流，有则先加密封装为IPSEC包，然后封装成GRE包进入隧道（这里显而易见的是，GRE隧道始终无论如何都是存在的，即GRE隧

IPSEC VPN命令手册

IPSEC VPN命令手册

第1页, 共34页

IPSEC VPN命令手册

目 录

1

简介 ................................................................................................................................... 3 1.1 1.2

概述 ....................................................................................................................... 3 协议简介 ............................................................................................................... 3 1.2.1 简述 ........................................................................

虚拟专用网概述

虚拟专用网定义

虚拟专用网络允许远程通讯方，销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。虚拟专用网络对用户端透明，用户好象使用一条专用线路在客户计算机和企业服务器之间建立点对点连接，进行数据的传输

[1]

。如图2.1所示

1

图1 虚拟专用网

虚拟专用网络技术同样支持企业通过Internet等公共互联网络与分支机构或其它公司建立连接，进行安全的通讯。这种跨越Internet建立的VPN连接逻辑上等同于两地之间使用广域网建立的连接。

虽然VPN通讯建立在公共互联网络的基础上，但是用户在使用VPN时感觉如同在使用专用网络进行通讯，所以得名虚拟专用网络。

使用VPN技术可以解决在当今远程通讯量日益增大，企业全球运作广泛分布的情况下，员工需要访问中央资源，企业相互之间必须进行及时和有效的通讯的问题。

有了对VPN含义的了解，理解IP VPN 就比较容易了，因为IP VPN其实就是VPN的一种类型。简单的讲，IP VPN就是一种基于IP的VPN。准确的讲，IP VPN是指利用IP基础设施（包括公用的Internet网或专用的IP骨干网等）实现专用广域网设备专

总部为静态IP地址，分支为动态拨号获得IP地址不稳定。搭建IPSEC VPN

总部USG-1配置

[USG-1]firewall zone trust [USG-1-zone-trust]add int g0/0/0 [USG-1-zone-trust]quit [USG-1]firewall zon untrust

[USG-1-zone-untrust]add int g0/0/1 [USG-1-zone-untrust]quit

[USG-1]ip route-static 0.0.0.0 0.0.0.0 11.0.0.1 [USG-1]int g0/0/1

[USG-1-GigabitEthernet0/0/1]ip add 11.0.0.2 24 [USG-1-GigabitEthernet0/0/1]int g0/0/0

[USG-1-GigabitEthernet0/0/0]ip add 192.168.10.1 24 [USG-1-GigabitEthernet0/0/0]quit

------------------------阶段一---------------------------- [USG-1]ike propo

IPSEC&IKE原理试题

IPSEC&IKE原理试题

1、

IPSEC中推荐使用的转换方式是:（ABC） A.AH

B.AH+ESP（加密） C.ESP（验证＋加密） D.ESP（加密）

E.AH+ESP（验证＋加密） 2、

对IPSEC安全策略的配置方式是：（AB） A.手工配置方式 B.利用IKE协商方式 C.利用GRE自协商方式 D.利用L2TP自协商方式 3、

根据对报文的封装形式，IPSEC分为：（AB） A.传输模式 B.隧道模式 C.主模式 D.快速模式 4、

IPSEC SA和IKE SA的主要区别是：（AB） A.IPSEC SA是单向的，IKE SA是双向的

B.通道两端只有一个IKE SA，但IPSEC SA不止一对 C.IKE SA没有生存期 D.IPSEC SA有对端地址 5、

以下哪些选项可以用来唯一标识一个IPSEC SA：（ABC） A.SPI

B.对端地址 C.安全协议号 D.本端地址 6、

在IPSEC中使用的ACL规则，下列说法正确的是：（ABD） A.permit对应使用IPSEC保护

B.deny对应不使用IPSEC保护，透传 C.没有定义的数据流被丢弃 D.没有定义的数据流被透传

IPS

IPSec操作手册

第一部分: OpenSSL生成证书

首先需要一个根证书，然后用这个根证书来下发“子证书”。

1，找一台Linux PC, 首先切换目录，到 /etc/pki/tls/misc，openssl的脚本在这里。

2，生成根证书： ./CA -newca

输入pass phrase，后面签发的时候会用到，类似一个密码 CA证书的路径在/etc/pki/CA/cacert.pem

3，生成server私有密钥：

openssl genrsa -out server.key 2048

4，生成服务器证书请求：

openssl req -new -key server.key -out server.csr

5，把server.crt文件改名成newreq.pem,然后用CA来签证就可以了 mv server.csr newreq.pem ./CA –sign

6，把newcert.pem改名成server.pem mv newcert.pem server.pem 这就是server的证书。

7，重复3-6步，生成client的证书和私钥。

8，将 server.key 和 server.pem 和 cacert

当前，由于侧重点不同，VPN可以分为两类：

一类侧重于网络层的信息保护，提供各种加密安全机制以便灵活地支持认证、完整性、访问控制和密码服务，保证信息传送过程中的保密性和不可篡改性。这类协议包括IPSec、PPTP、L2TP等等。其中，IPSec己经成为国际标准的协议，并得到几乎所有主流安全厂商的支持，如Cisco、Checkpoint、Netscreen等等。主要的应用领域为各种涉及信息安全和加密的应用，如金融、证券、地税、财政、工商、商检、信息中心、科委等各部门，上下级机构传送敏感的信息、建设安全OA系统、召开保密视频会议、保证业务流程中数据的机密性与完整性。 另一类VPN技术以MPLS技术为代表，主要考虑的问题是如何保证网络的服务质量（QoS）。通过定义资源预留协议、QoS协议和主机行为，来保证网络服务的水平，如时延、带宽等等。 VPN服务目的是在共享的基础网络设施上，向用户提供安全的网络连接。合理和实用的VPN解决方案应能够抗拒非法入侵、防范网络阻塞，而且应能保证安全、稳定的网络通信。同时，VPN还应该具有良好的可管理性、可伸缩性等特征。目前，MPLS VPN和IPSec VPN两种技术架构正逐渐被应用于新兴电讯服务的基础网络领域

在理

IPsec VPN isakmp aggressive mode实验配置

Aggressive mode 通常用于IPsec VPN一端为拨号接入没有固定IP，另一端无法指定对端IP，以及无法通过IP作为ID标识对端pre-key。路由器SPOKE，VPNHUB loopback接口模拟内部网络。SPOKE s1/1接口IP172.16.1.1模拟拨号接入动态获取的（此处略掉拨号接入—pppoe配置）。ISP路由器模拟internet网络。

SPOKE configuration

SPOKE#sh run

Building configuration...

Current configuration : 1448 bytes !

version 12.4

service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption !

hostname SPOKE !

boot-start-marker boot-end-marker ! !

no aaa new-model memory-size iom

一.IPSEC VPN (site to site)

第一步：在外部接口启用IKE协商 crypto ikev1 enable outside

第二步：配置ikev1协商 策略

Ikev1 策略两边要一致，可设置多个策略模板，只要其中一个和对方匹配即可

crypto ikev1 policy 5 //启用并创建一个ikev1策略，并指定优先级为5

authentication pre-share //配置认证方式为预共享密钥

encryption 3des //配置策略的加密算法，有3des、des、ase等 hash sha //配置策略的哈希算法，校验算法有sha、md5等 group 2 //配置Diffie-Hellman组，1为768位，2为1024位 lifetime 86400 //默认的有效时间

第三步：配置需要加密的数据流

10.30.0.0为本地内网地址，172.17.0.0为对方内网地址

access-list ipsec-vpn extended permit ip 10.30.