*** manual 模式的配置
25-1
通过创建*** 实现不同网段的网络通过广域网使用可以通信。
R3.fw1上分别配置通道
三层交换机上划分vlan ,构造一个不同区域的网络模拟广域网。
配置交换机
Vlan 10
Port e 0/1
Int vlan 10
Ip add 10.10.10.2 30
Vlan 20
Int vlan 20
Ip add 10.10.10.5 30
Port access vlan 20
配置***1
在路由r3的E0接口配置***
1.配置ip和默认路由
[R3-Ethernet0]ip add 10.10.10.1 30 sub
[R3]int e 1
[R3-Ethernet1]ip add 1.1.1.1 24
[R3]ip route-static 0.0.0.0 0 10.10.10.2
2.配置acl
[R3]acl 3000
[R3-acl-3000]rule permit ip source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.2
55
[R3-acl-3000]rule deny ip source any dest any
[R3-acl-3000]dis acl 3000
Using normal packet-filtering access rules now.
3000 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255(no matches -- rule 1)
3000 deny ip any any(no matches -- rule 2)
[R3-acl-3000]
3.配置安全提议
[R3]ipsec ?
policy进入ipsec policy命令模式
proposal进入ipsec proposal命令模式
replay-detect使能反重播检测功能
sa指定IPSec安全联盟参数信息
[R3]ipsec proposal ?
STRING<1-15>转换方式(proposal)名称
[R3]ipsec proposal tran1
[R3-ipsec-proposal-tran1]encap tunnel
[R3-ipsec-proposal-tran1]encap ?
transport指定仅对报文的数据部分(不包括IP头)进行加密或验证
tunnel指定对整个IP报文进行加密或验证
[R3-ipsec-proposal-tran1]transform ?
ah-esp-new指定使用RFC2402/2406方式的AH+ESP
ah-new指定单独使用RFC2402方式的AH
esp-new指定单独使用RFC2406方式的ESP(缺省)
[R3-ipsec-proposal-tran1]esp-new ?
authentication-algorithm指定ESP使用的验证算法
encryption-algorithm指定ESP使用的加密算法
[R3-ipsec-proposal-tran1]esp-new authentication- ?
md5-hmac-96指定使用HMAC-MD5算法
sha1-hmac-96指定使用HMAC-SHA1算法
[R3-ipsec-proposal-tran1]esp-new authentication- md5
[R3-ipsec-proposal-tran1]esp ?
authentication-algorithm指定ESP使用的验证算法
encryption-algorithm指定ESP使用的加密算法
[R3-ipsec-proposal-tran1]esp enc ?
3des指定使用3DES
blowfish指定使用blowfish
cast指定使用CAST
des指定使用DES
skipjack指定使用skipjack
[R3-ipsec-proposal-tran1]esp enc des
4.策略
[R3]ipsecpolicy?
STRING<1-15>转换方式的名字
[R3]ipsecpolicy 10?
INTEGER<0-10000>安全策略库顺序号
[R3]ipsec policy p110 ?
isakmp说明使用IKE协商建立安全联盟
manual说明不使用IKE协商建立安全联盟
[R3]ipsec policy p110 man
[R3-ipsec-policy-p1-10]security ?
acl指定对符合规则条件的报文进行保护
[R3-ipsec-policy-p1-10]security acl 3000
[R3-ipsec-policy-p1-10]pro tran1
[R3-ipsec-policy-p1-10]tunnel local 10.10.10.1
[R3-ipsec-policy-p1-10]tunnel remote 10.10.10.6
[R3-ipsec-policy-p1-10]sa out ?
ah指定AH协议的key配置信息
esp指定ESP协议的key配置信息
[R3-ipsec-policy-p1-10]sa out esp ?
authentication-hex指定ESP协议的验证密钥(十六进制格式)
encryption-hex指定ESP协议的加密密钥(十六进制格式)
spi指定ESP协议的SPI
string-key指定ESP协议的密钥(字符串格式)
[R3-ipsec-policy-p1-10]sa out esp spi ?
INTEGER<256-4294967295>安全参数索引(spi)
[R3-ipsec-policy-p1-10]sa out esp spi 123456
[R3-ipsec-policy-p1-10]sa out esp string-key ?
STRING(1-150)字符串形式的密钥。
[R3-ipsec-policy-p1-10]sa out esp string-key 123456
[R3-ipsec-policy-p1-10]
[R3-ipsec-policy-p1-10]sa?
duration指定IPSec安全联盟的生存周期
inbound指定输入处理的key配置信息
outbound指定输出处理的key配置信息
start-delay指定协商延时
[R3-ipsec-policy-p1-10]sain ?
ah指定AH协议的key
esp指定ESP协议的key
[R3-ipsec-policy-p1-10]sain esp ?
authentication-hex指定ESP协议的验证密钥(十六进制格式)
encryption-hex指定ESP协议的加密密钥(十六进制格式)
spi指定ESP协议的SPI
string-key指定ESP协议的密钥(字符串格式)
[R3-ipsec-policy-p1-10]sain esp spi ?
INTEGER<256-4294967295>安全参数索引(spi)
[R3-ipsec-policy-p1-10]sain esp spi 123456
[R3-ipsec-policy-p1-10]sain esp string-key ?
STRING(1-150)字符串形式的密钥。
[R3-ipsec-policy-p1-10]sa in esp string-key 123456
[R3-ipsec-policy-p1-10]int e0
[R3-Ethernet0]ipsec policy p1
[R3-Ethernet0]dis ipsec policy all
安全策略库名: p1
安全策略库顺序号: 10
协商模式: 手工
访问列表号: 3000
本端地址: 10.10.10.1
对端地址: 10.10.10.6
转换方式的名字: tran1
输入处理安全联盟验证算法设置:
安全参数索引号:
字符串密钥:
16进制密钥:
输入处理安全联盟加密算法设置:
安全参数索引号: 123456 (0x1e240)
字符串密钥: 123456
16进制加密密钥:
16进制验证密钥:
输出处理安全联盟验证算法设置:
安全参数索引号:
字符串密钥:
16进制密钥:
输出处理安全联盟加密算法设置:
安全参数索引号: 123456 (0x1e240)
字符串密钥: 123456
16进制加密密钥:
16进制验证密钥:
输出处理安全联盟已经建立
输入处理安全联盟已经建立
[R3-Ethernet0]
配置***2
1. 配置ip
int e0
ip add 10.10.10.1 30
int e1
ip add 2.2.2.1 24
ip route-static 0.0.0.0 0 10.10.10.5
2. 配置acl
acl 3000
rule per ip source 2.2.2.0 0.0.0.255 dest 1.1.1.0 0.0.0.255
rule deny ip source any dest any
3. 配置安全提议
ipsec proposal tran2
encap tunnel-- 指定对整个IP报文进行加密或验证
esp-newauthentication-algorithmmd5-hmac-96--指定ESP使用HMAC-MD5的验证算法
esp enc des-- 指定ESP使用des的加密算法
4. 配置策略
system-view
ipsec policy p2 20 manual --说明不使用IKE协商建立安全联盟
security acl 3000
pro tran1
tunnel local 10.10.10.6
tunnel remote 10.10.10.1
sa out esp spi 123456 --指定出口的安全参数索引(spi),要与对端进口的一致
sa out esp string-key 123456
sa in esp spi 123456
sa insep string-key 123456
5. 应用
int e0
ipsec policy all
测试结果
C:\Documents and Settings\123.20110808-1854>ipconfig
Windows IP Configuration
Ethernet adapter 本地连接:
Connection-specific DNS Suffix. :
IP Address. . . . . . . . . . . . : 1.1.1.2
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 1.1.1.1
C:\Documents and Settings\123.20110808-1854>ping 2.2.2.2
Pinging 2.2.2.2 with 32 bytes of data:
Reply from 2.2.2.2: bytes=32 time=10ms TTL=126
Reply from 2.2.2.2: bytes=32 time=11ms TTL=126
Reply from 2.2.2.2: bytes=32 time=10ms TTL=126
Reply from 2.2.2.2: bytes=32 time=11ms TTL=126
Ping statistics for 2.2.2.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 10ms, Maximum = 11ms, Average = 10ms
C:\Documents and Settings\123.20110808-1854>