龙空技术网

IPSec配置实例

苦一点的焦糖 917

前言:

如今大家对“服务器ipsec配置”可能比较关注,朋友们都需要了解一些“服务器ipsec配置”的相关文章。那么小编在网摘上网罗了一些对于“服务器ipsec配置””的相关文章,希望各位老铁们能喜欢,兄弟们一起来学习一下吧!

在尝试配置MPLSVPN之后失败,我还是决定使用IPSec,一方面是感觉MPLS配置起来没有参考,另一方面也发现IPsec功能性安全性也胜过MPLS-VPN,从网上找到一个对比图,放在下面。

在毕业设计的基础上,进行配置。拓扑图如下:

网段配置:

核心路由器:与外网相连f 1/0:201.1.1.1/24;与内网相连:192.168.0.0/16

sub路由器:与外网相连g 0/0:201.4.4.2/24;与内网相连:192.168.4.0/24

一、配置IPSec打通隧道

首先在核心路由器上配置通道命令如下:

//配置ISAKMP策略Router(config)#crypto isakmp policy 10//10为策略序列号(本地有效),取值范围是1~10000,值越小,优先级越高Router(config-isakmp)#authentication pre-share //验证方式为预共享密钥 Router(config-isakmp)#encryption aes   //加密算法为aesRouter(config-isakmp)#hash sha//完整性校验算法为shaRouter(config-isakmp)#group 5//5为DH密钥组号,取值为1、2、5、6Router(config-isakmp)#exitRouter(config)#crypto isakmp key 0 address 201.4.4.2 //配置Key  0表示密钥使用明文,如果取值6表示密文, address 为对端的外网口地址//定义传输集Router(config)#crypto ipsec transform-set pass1 esp-aes esp-sha-hmac//pass1为该传输集的名称,后面跟上传输集选项esp-des、ah-sha-hmac( esp(加密头部) 加密方式为aes 完整性校验为sha)//配置IPSec保护的数据流(ACL)Router(config)#ip access-list extended xianlu1//定义一个扩展的ACL,命名为xianlu1Router(config-ext-nacl)#permit ip 192.168.0.0 0.0.255.255 172.16.4.0 0.0.0.255//源IP地址为本地局域网的地址,目标为对端的局域网地址;定义ACL是为了明确这些数据流会通过隧道技术转发//配置加密映射Router(config-crypto-map)#crypto map ser1 10 ipsec-isakmp //定义一个map(名为ser1)10为加密映射的序列号,取值1~65535,值越小,优先级越高Router(config-crypto-map)#set transform-set pass1//关联第二阶段的策略,在加密映射中调用pass1这个传输集Router(config-crypto-map)#set peer 201.4.4.2 //对端外网口地址Router(config-crypto-map)#match address xianlu1 //调用ACL--xinalu1Router(config-crypto-map)#ex//应用加密映射到外网口Router(config)#int f 1/0//应用加密映射到外网口Router(config-if)#crypto map ser1*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

*****************======================********************

在另一台1941中配置发现

Router(config)#crypto isakmp enable^% Invalid input detected at '^' marker.

解决办法,命令license boot module c1900 technology-package securityk9

Router(config)# license boot module c1900 technology-package securityk9//启用安全技术包ACCEPT? [yes/no]: yes//接受最终用户许可协议Router#copy running-config startup-config//保存运行配置Destination filename [startup-config]?Building configuration...[OK]Router#reload//重新加载路由器以启用安全许可证Proceed with reload? [confirm]########################################################################## [OK]Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#crypto isakmp enable//问题解决!Router(config)#

*****************======================********************

核心路由器:与外网相连f 1/0:201.1.1.1/24;与内网相连:192.168.0.0/16

sub路由器:与外网相连g 0/0:201.4.4.2/24;与内网相连:192.168.4.0/24

在另一台sub路由器1941中配置相同的IPSEC命令如下:

第一阶段(除了策略的序号外可以不同外,其他的验证要和对端一致)SH(config)#crypto isakmp policy 20 //使用20,只是为了验证序号本地有效。也可以使用10SH(config-isakmp)#authentication pre-shareSH(config-isakmp)#encryption aesSH(config-isakmp)#hash shaSH(config-isakmp)#group 5SH(config-isakmp)#exitSH(config)#crypto isakmp key 0 address 201.1.1.1第二阶段SH(config)#crypto ipsec transform-set pass2 esp-aes esp-sha-hmac //验证类型要与对端一致SH(cfg-crypto-trans)#exitSH(config)#ip access-list extended xianlu1 //定义ACLSH(config-ext-nacl)#permit ip 172.16.4.0 0.0.0.255 192.168.0.0 0.0.255.255SH(config)#crypto map ser1 10 ipsec-isakmp //名称本地有效SH(config-crypto-map)#set transform-set pass2 //关联本地的第二阶段策略SH(config-crypto-map)#set peer 201.1.1.1SH(config-crypto-map)#match address xianlu1SH(config-crypto-map)#exitSH(config)#int g0/0SH(config-if)#crypto map ser1 //应用

出来Sub地级园区网之外,还需要将配货园区网连接到核心路由器

配货中心路由器:与外网相连g 0/0:201.3.3.7/24;与内网相连:10.0.0.0/8

在核心路由器添加新命令如下

Router(config)#crypto isakmp key 0 address 201.3.3.7Router(config)#crypto ipsec transform-set pass2 esp-aes esp-sha-hmacRouter(config)#ip access-list extended xianlu2Router(config-ext-nacl)#permit ip 192.168.0.0 0.0.255.255 10.0.0.0 0.255.255.255Router(config-ext-nacl)#exRouter(config)#crypto map ser2 10 ipsec-isakmp% NOTE: This new crypto map will remain disabled until a peerand a valid access list have been configured.Router(config-crypto-map)#set transform-set pass2Router(config-crypto-map)#set peer 201.3.3.7Router(config-crypto-map)#match address xianlu2Router(config-crypto-map)#exRouter(config)#int f 1/0Router(config-if)#crypto map ser2*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

在配货中心路由器上配置参考Sub核心路由器,命令如下:

Router(config)#crypto isakmp enableRouter(config)#crypto isakmp policy 20Router(config-isakmp)#authentication pre-shareRouter(config-isakmp)#encryption aesRouter(config-isakmp)#hash shaRouter(config-isakmp)#group 5Router(config-isakmp)#exRouter(config)#crypto isakmp key 0 address 201.1.1.1Router(config)#crypto ipsec transform-set pass2 esp-aes esp-sha-hmacRouter(config)#ip access-list extended xianlu2Router(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 192.168.0.0 0.0.255.255Router(config-ext-nacl)#exRouter(config)#crypto map ser2 10 ipsec-isakmp% NOTE: This new crypto map will remain disabled until a peerand a valid access list have been configured.Router(config-crypto-map)#set transform-set pass2Router(config-crypto-map)#set peer 201.1.1.1Router(config-crypto-map)#match address xianlu2Router(config-crypto-map)#exRouter(config)#int g0/0Router(config-if)#crypto map ser2*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

配置完成后测试如下:

标签: #服务器ipsec配置