ipsec,指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。
导入IPSEC协议,原因有2个,一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。另外一个原因,是因为Internet迅速发展,接入越来越方便,很多客户希望能够利用这种上网的宽带,实现异地网络的的互连通。
IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。
1、新建拓扑图
2、配置路由器的上网路由让他们都能上网(过于简单,这里就不写了)
3、配置ipasecVPN,配置代码如下:
ike proposal 10 定义第一阶段安全策略
encryption-algorithm 3des-cbc 加密算法
dh group5 dh秘钥组
authentication-algorithm md5 认证算法 可不写 默认的
sa duration 10000 生存周期
quit
ike peer shanghai v1 定义对等体信息
pre-shared-key simple wyx123 定义秘钥
remote-address 200.1.1.2 目标ip地址
quit
ipsec proposal 10 定义第二阶段安全策略
esp encryption-algorithm aes-128 设置加密算法
quit
acl number 3000 定义感兴趣的数据流
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255
quit
ipsec policy my-policy 20 isakmp 定义使用IKE来协商IPSEC
security acl 3000 调用ACL
ike-peer shanghai 调用对等体
proposal 10 调用第二阶段策略
quit
interface GigabitEthernet0/0/1
ipsec policy my-policy 在外网接口调用ipsec策略
4、测试抓包
如果ipsec VPN要和NAT结合使用,需要在NAT的ACL中将ipsec的vpn流量拒绝掉。