ipsec配置

Gre vpn

interface Tunnel1

ip address 12.1.1.1 255.255.255.0 tunnel source Serial1/0

tunnel destination 25.1.1.2(对端接口的真实IP)

router ospf 1

network 1.1.1.0 0.0.0.255 area 0 network 12.1.1.0 0.0.0.255 area 0

ip route 1.1.1.0 255.255.255.0 tunnel0 为私有网络指路由走tunnel接口

Ipsec vpn

第一阶段设置初始身份认证，建立基本的安全通道，为协商以后的SA做准备，主要定义ISAKMP策略，包括对称加密算法、完整验证算法、身份验证的方法，SA的生存期，并且确定双方的密码和IP地址。

crypto isakmp policy 10 创建ISAKMP策略 hash md5 指定ISAKMP策略的消息摘要算法为md5

authentication pre-share 指定ISAKMP策略使用预共享密钥的方式

crypto isakmp key cisco14 address 47.1.1.4 设

总部为静态IP地址，分支为动态拨号获得IP地址不稳定。搭建IPSEC VPN

总部USG-1配置

[USG-1]firewall zone trust [USG-1-zone-trust]add int g0/0/0 [USG-1-zone-trust]quit [USG-1]firewall zon untrust

[USG-1-zone-untrust]add int g0/0/1 [USG-1-zone-untrust]quit

[USG-1]ip route-static 0.0.0.0 0.0.0.0 11.0.0.1 [USG-1]int g0/0/1

[USG-1-GigabitEthernet0/0/1]ip add 11.0.0.2 24 [USG-1-GigabitEthernet0/0/1]int g0/0/0

[USG-1-GigabitEthernet0/0/0]ip add 192.168.10.1 24 [USG-1-GigabitEthernet0/0/0]quit

------------------------阶段一---------------------------- [USG-1]ike propo

IPsec VPN isakmp aggressive mode实验配置

Aggressive mode 通常用于IPsec VPN一端为拨号接入没有固定IP，另一端无法指定对端IP，以及无法通过IP作为ID标识对端pre-key。路由器SPOKE，VPNHUB loopback接口模拟内部网络。SPOKE s1/1接口IP172.16.1.1模拟拨号接入动态获取的（此处略掉拨号接入—pppoe配置）。ISP路由器模拟internet网络。

SPOKE configuration

SPOKE#sh run

Building configuration...

Current configuration : 1448 bytes !

version 12.4

service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption !

hostname SPOKE !

boot-start-marker boot-end-marker ! !

no aaa new-model memory-size iom

一.IPSEC VPN (site to site)

第一步：在外部接口启用IKE协商 crypto ikev1 enable outside

第二步：配置ikev1协商 策略

Ikev1 策略两边要一致，可设置多个策略模板，只要其中一个和对方匹配即可

crypto ikev1 policy 5 //启用并创建一个ikev1策略，并指定优先级为5

authentication pre-share //配置认证方式为预共享密钥

encryption 3des //配置策略的加密算法，有3des、des、ase等 hash sha //配置策略的哈希算法，校验算法有sha、md5等 group 2 //配置Diffie-Hellman组，1为768位，2为1024位 lifetime 86400 //默认的有效时间

第三步：配置需要加密的数据流

10.30.0.0为本地内网地址，172.17.0.0为对方内网地址

access-list ipsec-vpn extended permit ip 10.30.

实验需求

USG-1和USG-2模拟企业边缘设备，分别在2台设备上配置NAT和IPsec VPN实现2边私网可以通过VPN互相通信

实验配置

R1 IP地址配置省略 USG-1配置

[USG-1]firewall zone trust //配置trust区域

[USG-1-zone-trust]add interface g0/0/0 //将接口加入trust区域

[USG-1-zone-trust]quit

[USG-1]firewall zone untrust //配置untrust区域

[USG-1-zone-untrust]add int g0/0/1 //将接口加入untrust区域

[USG-1-zone-untrust]quit

[USG-1]int g0/0/0

[USG-1-GigabitEthernet0/0/0]ip add 192.168.10.1 24

[USG-1-GigabitEthernet0/0/0]int g0/0/1

[USG-1-GigabitEthernet0/0/1]ip add 11.0.0.2 24

[USG-1-GigabitEthe

一.IPSEC VPN (site to site)

第一步：在外部接口启用IKE协商 crypto isakmp enable outside

第二步：配置isakmp协商 策略

isakmp 策略两边要一致，可设置多个策略模板，只要其中一个和对方匹配即可 isakmp policy 5 authentication pre-share //配置认证方式为预共享密钥 isakmp policy 5 encryption des //配置isakmp 策略的加密算法 isakmp policy 5 hash md5 //配置isakmp 策略的哈希算法 isakmp policy 5 group 2 //配置Diffie-Hellman组 isakmp policy 5 lifetime 86400 //默认的有效时间

第三步：配置需要加密的数据流

192.168.241.0为本地内网地址，10.10.10.0为对方内网地址

access-list ipsec-vpn extended permit ip 192.1

一.IPSEC VPN (site to site)

第一步：在外部接口启用IKE协商 crypto ikev1 enable outside

第二步：配置ikev1协商 策略

Ikev1 策略两边要一致，可设置多个策略模板，只要其中一个和对方匹配即可

crypto ikev1 policy 5 //启用并创建一个ikev1策略，并指定优先级为5

authentication pre-share //配置认证方式为预共享密钥

encryption 3des //配置策略的加密算法，有3des、des、ase等 hash sha //配置策略的哈希算法，校验算法有sha、md5等 group 2 //配置Diffie-Hellman组，1为768位，2为1024位 lifetime 86400 //默认的有效时间

第三步：配置需要加密的数据流

10.30.0.0为本地内网地址，172.17.0.0为对方内网地址

access-list ipsec-vpn extended permit ip 10.30.

实验四 Windows XP环境下IPSec VPN的配置

一、 实验目的

本实验主要验证IP通信在建立IPSec隧道前后的变化，为了简化实验过程，这里只对ICMP进行加密，但在配置的过程中即可发现，其他IP协议要进行同样的加密也是非常简单的。

二、 实验学时

2学时

三、 实验环境

实验中使用以下软件和硬件设备 （1）Windows XP操作系统 （2）一个交换机

（3）两台装有操作系统和sniffer嗅探机的台式PC机。 （地址根据你所使用的主机地址确定）

四、 实验内容

1. 了解IPSec

2. 在Windows XP的计算机上配置IPSec VPN 原理简介

IPSec在IP层上对数据包进行高强度的安全处理，提供数据源地址验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。各种应用程序可以享用IP层提供的安全服务和密钥管理，而不必设计和实现自己的安全机制，因此减少了密钥协商的开销，也降低了产生安全漏洞的可能性。

五、 实验步骤

（1）为了观察方便，首先把嗅探者的嗅探软件打开，然后在两台机器中启动PING，即在192.168.2.111机器中使用命令ping 192.168.2.254 –t，而在192.168.

H3C SMB Router IPSec VPN配置指导

关键词：IKE、IPSec、VPN、NAT穿越、DPD、Hub & SPOKE

摘 要：本文是对SMB Router的IPSec VPN功能配置进行介绍，指导用户组网

配置。 缩略语： 缩略语 IKE ISAKMP IPSec AH ESP PFS DPD NAT

英文全名 Internet Key Exchange Internet Security Association and Key Management Protocol IP Security Authentication Header Encapsulating Security Payload Perfect Forward Secrecy Dead Peer Detection network address translation 中文解释 因特网密钥交换 互联网安全联盟和密钥管理协议 IP安全 认证头 封装安全载荷 完善的前向安全性 对等体存活检测 网络地址转换 目 录 1 概述 1.1 简介 1.2 基本概念 1.2.1 安全联盟 1.2.2 IPSec封装模式 1.2.3 验证算法 1.2.4 加密算法

H3C SMB Router IPSec VPN配置指导

关键词：IKE、IPSec、VPN、NAT穿越、DPD、Hub & SPOKE

摘 要：本文是对SMB Router的IPSec VPN功能配置进行介绍，指导用户组网

配置。 缩略语： 缩略语 IKE ISAKMP IPSec AH ESP PFS DPD NAT

英文全名 Internet Key Exchange Internet Security Association and Key Management Protocol IP Security Authentication Header Encapsulating Security Payload Perfect Forward Secrecy Dead Peer Detection network address translation 中文解释 因特网密钥交换 互联网安全联盟和密钥管理协议 IP安全 认证头 封装安全载荷 完善的前向安全性 对等体存活检测 网络地址转换 目 录 1 概述 1.1 简介 1.2 基本概念 1.2.1 安全联盟 1.2.2 IPSec封装模式 1.2.3 验证算法 1.2.4 加密算法