标签:R1 R3 教你用 eve 192.168 crypto config IPsec
前面,我们分享过用华为ensp模拟器玩IPsec ***,本期我们也将使用eve模拟器玩一下IPsec***。
往期推荐
网络工程师如何利用IPsec ***技术实现分公司与总部互联?(手工方式)
随时企业业务范围不断扩大,企业就想在全国各地,甚至全球各地开设分公司,但是企业为了节省成本,又希望分公司使用总部的一些IT系统,如服务器上的文件资源,不愿意在分公司单独再搭建IT系统。要解决这个问题,就是如何让分公司内部网络与总部的内部网络互通? 采取专线,安全性没问题,但成本太高了,有没有成本相对便宜,又可以满足安全性的? 有,那就是IPsec ***,因为它是加密的(ESP),安全的。
本期与大家分享一个配置案例,相信看完,你会有所收获的。
1拓扑图
2需求(目的)
利用IPsec ***在互联网上手工方式建立隧道,实现分公司的内部网络与总部内部网络互连,PC1 可以访问 总部的服务器 。
3配置思路
因为分公司和总部的内部网络,都是私有IP地址,互联网上是没路由的,出了网关设备,源目IP地址肯定会变,所以这里才有IPsec ESP封装协议,AH不适合,原因是:AH会校验源、目IP地址。
1、搭建好拓扑图环境,标出规划好的IP地址。2、修改网络设备默认名称、配置好IP地址。3、配置分公司与总部网关设备的路由,使之互通。(这里使用静态路由)4、利用ACL配置IPsec 感兴趣流
5、配置IPsec 提议(认证算法、加密算法)6、配置IPsec 策略7、把IPsec 策略调用到出接口下。
4配置过程
关于eve模拟器如何添加设备、如何使用VPC(模拟电脑)配置IP地址,可参考往期文章:
步骤1:修改网络设备默认名称、配置好IP地址。
R1配置(分公司网关设备)
Router>ENRouter#config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R1R1(config)#R1(config)#int e0/0R1(config-if)#ip add 192.168.1.100 255.255.255.0R1(config-if)#no shutR1(config-if)#int e0/1R1(config-if)#ip add 12.1.1.1 255.255.255.0R1(config-if)#no shutR1(config-if)#
R2配置(模拟ISP)
Router>en
Router#config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R2R2(config)#R2(config)#int e0/0R2(config-if)#ip add 12.1.1.2 255.255.255.0R2(config-if)#no shutR2(config-if)#int e0/1R2(config-if)#ip add 23.1.1.2 255.255.255.0R2(config-if)#no shutR3配置(总部网关设备)
Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R3R3(config)#int e0/0 R3(config-if)#ip add 23.1.1.3 255.255.255.0R3(config-if)#no shutR3(config-if)#int e0/1R3(config-if)#ip add 192.168.2.100 255.255.255.0R3(config-if)#no shutR3(config-if)#
模拟分公司PC1 IP地址设置:
VPCS> set pcname PC1
PC1>
PC1>
PC1> ip 192.168.1.1 255.255.255.0 192.168.1.100
Checking for duplicate address...
PC1 : 192.168.1.1 255.255.255.0 gateway 192.168.1.100
模拟总部服务器IP地址设置:
VPCS> set pcname Server
Server>
Server>
Server> ip 192.168.2.1 255.255.255.0 192.168.2.100
Checking for duplicate address...
Server : 192.168.2.1 255.255.255.0 gateway 192.168.2.100
步骤2:配置分公司与总部网关设备的路由,使之互通
首先,虽然实验只是用了R2模拟互联网,但实际上互联网肯定有好多跳路由器的,不管多跳,分公司和总部的网关都连接互联网的,肯定有公网IP地址,就可以互通,所以做实验,确保两边的网关能互通。
其次,两边的网关设备,也需要再写一条关于内部网络的路由,这里也是用静态路由就好了,因为有了路由,后面IPsec隧道建立起来了,才能正确转发。不然隧道建立了,但是网关设备收到数据包,不知道怎么转发? 因为没有对方的内部路由。
在R1配置静态路由,告诉R1去往23.1.1.0 、192.168.2.0怎么走:
R1(config)#ip route 23.1.1.0 255.255.255.0 12.1.1.2R1(config)#ip route 192.168.2.0 255.255.255.0 12.1.1.2
在R3配置静态路由,告诉R3去往12.1.1.0 、192.168.1.0怎么走:
R3(config)#ip route 12.1.1.0 255.255.255.0 23.1.1.2
测试一下,分公司网关设备是否可以ping通总部的网关设备:
步骤3:利用ACL配置IPsec 感兴趣流
在R1配置IPsec 感兴趣流:分公司访问总部的流量(这里ACL你也可以写网段,我这里就写个host)
R1(config)#access-list 100 permit ip host 192.168.1.1 host 192.168.2.1
在R3配置IPsec 感兴趣流:总部发往分公司的流量:R3(config)#access-list 100 permit ip host 192.168.2.1 host 192.168.1.1
步骤4:配置IPsec 提议(认证算法、加密算法)
两边配置一样的算法。
在R1配置如下提议:
crypto ipsec transform-set along-encrypt-des esp-des esp-sha-hmac
在R3配置如下提议:
crypto ipsec transform-set along-encrypt-des esp-des esp-sha-hmac
步骤5:配置IPsec 策略IPsec 策略配置,你会发现就是把感兴趣流、提议、隧道源目IP地址、SPI值、密钥关联起来。
R1上配置IPsec 策略:
R1(config)#crypto map along-case 1 ipsec-manual
R1(config-crypto-map)# set peer 23.1.1.3
R1(config-crypto-map)#set session-key inbound esp 123456 cipher20201219 authenticator 2020
R1(config-crypto-map)#set session-key outbound esp 654321cipher 20201219 authenticator 2020
R1(config-crypto-map)# set transform-set along-encrypt-des
R1(config-crypto-map)#match address 100 //关联ACL,匹配感兴趣流
R3上配置IPsec 策略:
R3(config)#crypto map along-case 1 ipsec-manual
R3(config-crypto-map)# set peer 12.1.1.1
R3(config-crypto-map)#set session-key inbound esp 654321 cipher 20201219 authenticator 2020
R3(config-crypto-map)#set session-key outbound esp 123456 cipher 20201219 authenticator 2020
R3(config-crypto-map)# set transform-set along-encrypt-des
R3(config-crypto-map)#match address 100 //关联ACL,匹配感兴趣流
其中,这里值得提醒一下是SPI ,它是双向的,注意同一方向数值要一致。龙哥,画图,你可能就明白了:
步骤6:把IPsec 策略调用到出接口下
调用之前,我们先用PC1 ping 一下总部服务器,是不通的。(待会调用后做个对比)
接下来,我们开始调用:
在R1上把刚刚配置的IPsec 策略调用到出接口下:
R1(config)#int e0/1
R1(config-if)#crypto map along-case
在R3上把刚刚配置的IPsec 策略调用到出接口下:
R3(config)#int e0/0
R3(config-if)#crypto map along-case
5测试验证
测试分公司的PC1 访问 总部内网服务器连通性:
抓包,我们可以发现,ping报文的源目IP均替换成网关设备的出口IP地址了:
而且,当你去点击ESP,想继续查看ESP封装的IP负载,发现是空的,其实不是空的,只是抓包软件无法解析而已。看下图,你就明白IPsec 为啥是安全的?就算***截获了这些数据包,也不用怕,很难破解里面真正的数据内容。
从本次实验,我们可以清晰地了解到ESP的协议号为:50。之前我们也学过一些协议号,如OSPF 89,TCP 6,UDP 17等等。
ok,本期就分享到这里了,如果您有更好地见解,欢迎在评论留言,我们一起探讨技术,一起成长!
标签:R1,R3,教你用,eve,192.168,crypto,config,IPsec 来源: https://blog.51cto.com/u_15127557/2701425
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。