CCIE-12-IPSec-VPN-RemoteAccess

2024-04-02 06:36
文章标签 ipsec vpn ccie remoteaccess

本文主要是介绍CCIE-12-IPSec-VPN-RemoteAccess,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

  • 实验条件
    • 网络拓朴
    • 实验目的
  • 开始配置
    • 1. R2 Ping R3确定基础网络是通的
    • 2. 配置R2
    • 3. 配置R5
    • 3. 验证

实验条件

网络拓朴

在这里插入图片描述

实验目的

为R2和R3建立IPSec VPN
R4可以ping通R5

开始配置

R2:模拟需要远程访问网络的网关
R4:模拟需要远程访问网络内的目标主机
R3:本地网络上网的网关
R5:移动办公用户,需要去访问远程网络的个人设备

1. R2 Ping R3确定基础网络是通的

R2#show ip int br
Interface                  IP-Address      OK? Method Status                Protocol
Ethernet0/0                192.168.1.254   YES TFTP   up                    up      
Ethernet0/1                12.1.1.2        YES TFTP   up                    up      
Ethernet0/2                unassigned      YES TFTP   administratively down down    
Ethernet0/3                unassigned      YES TFTP   administratively down down    
NVI0                       192.168.1.254   YES unset  up                    up      
R2#ping 13.1.1.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 13.1.1.3, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
R2#ping 192.168.2.254
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.254, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)

2. 配置R2

第一阶段:协商秘钥参数

R2#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R2(config)#crypto isakmp policy 10
R2(config-isakmp)#encryption aes 256
R2(config-isakmp)#hash sha256
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#group 5
R2(config-isakmp)#lifetime 3600

第一阶段:配置预共享秘钥用于身份认证,由于R3是模拟任意公网路由器,其公网IP应该在现实中不知道的,所以这里的对端peer address为0.0.0.0,表示任意

R2(config-isakmp)#crypto isakmp key CISCO address 0.0.0.0

第二阶段:配置IPsec转换集

R2(config)#crypto ipsec transform-set mySET esp-aes 256 esp-sha256-hmac
R2(cfg-crypto-trans)#mode tunnel                                       
R2(cfg-crypto-trans)#exit

配置dynamic crypto map:由于R2作为目标网络出口网关,其IP地址固定;但是
移动办公用户接入的出口路由器是任意的(这里是R3),所以无法指对端peer具体地址,同时也没有办法做到主动去匹配感兴趣流,只能被动响应

R2(config)#crypto dynamic-map MOBILE_USER 10
R2(config-crypto-map)#set transform-set mySET
R2(config-crypto-map)#exit

将动态crypto map与静态crypto map做关联: 因为dynamic crypto map 无法直接在接口下调用,只能关联后通过调用静态crypto map来间接关联动态的crypto map

R2(config)#crypto map myMAP 10 ipsec-isakmp dynamic MOBILE_USER
R2(config)#interface e0/1 
R2(config-if)#crypto map myMAP

3. 配置R5

R5#CONF T     
Enter configuration commands, one per line.  End with CNTL/Z.
R5(config)#crypto isakmp policy 10
R5(config-isakmp)# encr aes 256
R5(config-isakmp)# hash sha256
R5(config-isakmp)# authentication pre-share
R5(config-isakmp)# group 5
R5(config-isakmp)# lifetime 3600

这里要指目标网络出口网关的地址

R5(config-isakmp)#crypto isakmp key CISCO address 12.1.1.2   

第二阶段:转换集设置

R5(config)#crypto ipsec transform-set mySET esp-aes 256 esp-sha256-hmac 
R5(cfg-crypto-trans)# mode tunnel
R5(cfg-crypto-trans)# exit

crypto map映射

R5(config)#crypto map myMAP 10 ipsec-isakmp 
% NOTE: This new crypto map will remain disabled until a peerand a valid access list have been configured.
R5(config-crypto-map)# set peer 12.1.1.2
R5(config-crypto-map)# match address 101
// 要配置转换集。不然会导致无法协商成功
R5(config-crypto-map)# set transform-set mySET
R5(config-crypto-map)# exit

定义感兴趣流量

R5(config)# access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

R5-e0/0接口下调用

R5(config)# interface Ethernet0/0
R5(config-if)# crypto map myMAP

3. 验证

R2#show crypto session
Crypto session current statusInterface: Ethernet0/1
Session status: UP-ACTIVE     
Peer: 13.1.1.3 port 4500 Session ID: 0  IKEv1 SA: local 12.1.1.2/4500 remote 13.1.1.3/4500 Active IPSEC FLOW: permit ip 192.168.1.0/255.255.255.0 192.168.2.0/255.255.255.0 Active SAs: 2, origin: dynamic crypto mapR2#
R5#ping 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 5/5/6 ms
R5#show crypto session
Crypto session current statusInterface: Ethernet0/0
Session status: UP-ACTIVE     
Peer: 12.1.1.2 port 4500 Session ID: 0  IKEv1 SA: local 192.168.2.1/4500 remote 12.1.1.2/4500 Active IPSEC FLOW: permit ip 192.168.2.0/255.255.255.0 192.168.1.0/255.255.255.0 Active SAs: 2, origin: crypto map
R4#ping 192.168.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
R4#

目标网络无法知道对端是何人来访问,所以R2是无法主动发起的,需要移动办公用户端主动发起流星触发IPSec, 触发之后,R4才可以再访问R5

这篇关于CCIE-12-IPSec-VPN-RemoteAccess的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/869232

相关文章

代理服务器介绍,正向代理(校园网,vpn,http隧道技术),反向代理(公司服务器,frp服务),NAT和代理服务器的相同/不同点

目录 代理服务器 介绍 类型  正向代理 引入 介绍  vpn http隧道技术 反向代理 引入 隧道技术 介绍 frp服务 NAT和代理服务器 相同点 不同点 NAT 代理服务器 代理服务器 介绍 一种中间服务器,充当客户端(如个人计算机或移动设备)与目标服务器(如网站服务器)之间的中介 它接受客户端的请求,然后将这些请求转发给目标服务器,再把

IPSec 参数

IPSec抗重放: 抗重放窗口: ChatGPT 说: ChatGPT 在 IPSec(Internet Protocol Security)中,“抗重放”机制是一种用于防止重放攻击的安全功能。重放攻击是一种攻击形式,攻击者捕获合法的网络通信数据包,并在稍后重新发送这些数据包,以欺骗接收者或干扰通信。为了防止这种情况发生,IPSec 使用“抗重放窗口”(Anti-Replay Windo

搭建IPsec VPN隧道解决PLC设备与主控上位机无法使用公网IP进行通信的问题

问题描述 按照初设规定,每个工程点位都要安装一条具有独立公网IP的光纤专线,供该点位的视频监控设备、水质监测设备及PLC设备与外界进行通信。而在项目开发前期并没有意识到,组态软件(上位机)无法通过公网IP地址连接PLC,导致在交付后期PLC设备无法与主控进行通信。 后经过了解得知可以在控制室网络与各PLC所属网络之间搭建VPN隧道,使得两个网络之间可以像局域网那样相互访问。 VPN技术 V

MPLS VPN的配置

VPN(Virtual Private Network,虚拟专用网络)指的是在一个公共网络中实现虚拟的专用网络,从而使得用户能够基于该专用网络实现通信的技术 MPLS VPN不是单一的一种VPN技术,是多种技术结合的综合解决方案,主要包含下列技术: MP-BGP:负责在PE与PE之间传递站点内的路由信息。 LDP:负责PE与PE之间的隧道建立 VRF:负责PE的VPN用户管理。 静态路由、I

通过Dot1q终结子接口实现VPN接入

通过Dot1q终结子接口实现VPN接入 通过Dot1q终结子接口接入PWE3/VLL/VPLS 如图1所示,某企业不同分支跨运营商的PWE3/VLL/VPLS网络互联,PE作为运营商的边缘设备,通过子接口接入各分支网络,CE发往PE的业务数据报文携带一层或两层VLAN Tag。不同分支用户要求互通。 图1 Dot1q终结子接口接入PWE3/VLL/VPLS示意图 在PE1和PE2的

IPsec VPN 主备链路备份及流统

华为防火墙,主备链路备份cd 出口: 7.7.7.48.8.8.8bj 出口 6.6.6.2546.0 to 7.0```baship-link check enableip-link name TO-bjdestination 6.6.6.254 interface GigabitEthernet 0/0/1 next-hop 7.7.7.1quitip route-static

Git远程管理,使用vpn提供的ip进行Git操作

安装截屏步骤执行就可以,前提是需要再gitlab 中创建的时候指定好vpn的ip地址,才可以操作

网工想提升,应该学HCIE还是CCIE?

在现在这个信息爆炸的时代,技术日新月异、迭代迅速,在这样的背景下,网工作为IT界的万金油,可以说面临着前所未有的挑战和机会。 当下的大环境萎靡,想必大家多少都感同身受,如果想在激烈的职场竞争中站稳脚跟,持续学习,不断提升自己的技术水平和专业能力,可以说是每个人的必修课。 但说到专业能力的提升,就不得不提到行业内的金标准——技术认证。 HCIE和CCIE作为两大网络技术领域的顶级认证,无疑是很

问题-windows-VPN不正确关闭导致网页打不开

为什么会发生这类事情呢? 主要原因是关机之前vpn没有关掉导致的。 至于为什么没关掉vpn会导致网页打不开,我猜测是因为vpn建立的链接没被更改。 正确关掉vpn的时候,会把ip链接断掉,如果你不正确关掉,ip链接没有断掉,此时你vpn又是没启动的,没有域名解析,所以就打不开网站。 你可以在打不开网页的时候,把vpn打开,你会发现网络又可以登录了。 方法一 注意:方法一虽然方便,但是可能会有

公司内部docker搭建openvpn实现远程VPN访问(实测)

一.基础环境 服务端系统环境:CentOS Linux release 7.5.1804 (Core) X64 客户端系统环境:Windows 10 企业版 64位(版本16299) docker版本:Docker version 18.03.1-ce, build 9ee9f40 openvpn服务端镜像版本: kylemanna/openvpn:latest openvpn客户端版本