您的位置: 首页  >  文章  >  超实用的IPSec技术,实现对数据的加密保护,防止数据被窃取篡改!!!

超实用的IPSec技术,实现对数据的加密保护,防止数据被窃取篡改!!!

分类: 文章 2025-04-02 18:41:34

超实用的IPSec技术,实现对数据的加密保护,防止数据被窃取篡改!!!
实验目的:使研发小组可以通过IPSec访问公司服务器,但不能访问Internet

基本配置:

R1配置:

[Huawei]sysname R1
[R1-GigabitEthernet0/0/0]ip address 172.16.10.254 24
[R1-GigabitEthernet0/0/1]ip address 100.0.0.1 30
[R1]ip route-static 0.0.0.0 0 100.0.0.2-----------------------------------边界路由器,一条默认路由搞定!

ISP配置:

[Huawei]sysname ISP
[ISP-GigabItEthernet0/0/0]ip address 100.0.0.2 30
[ISP-GigabitEthernet0/0/1]ip address 200.0.0.1 30

R3配置:

[Huawei]sysname R3
[R3-GigabitEthernet0/0/0]ip address 200.0.0.2 30
[R3-GigabitEthernet0/0/1]ip address 10.10.33.254 24
[R3]ip route-static 0.0.0.0 0 200.0.0.1

俩边没有做NAT,PC机与服务器是不通的!!

*IPSec 配置
首先建立管理连接:配置IKE安全提议(算法集合)
IKE:因特网**交换协议! 作用:自动管理**!
*加密算法:防止数据被窃听,窃取
*认证算法:防止数据被篡改,保护数据的完整性
*DH算法:将对称加密或非对称加密算法结合在一起
*预共享**:防止身份被冒充

R1配置:

[R1]ike proposal 1---------------//进入安全提议视图
[R1-ike-proposal-1]encryption-algorithm 3des-cbc----------------//配置加密算法
[R1-ike-proposal-1]authentication-algorithm md5 --------------------- //配置认证算法
[R1-ike-proposal-1]authentication-method pre-share --------------------- //配置身份验证–预共享秘钥
[R1-ike-proposal-1]dh group2 -------------------------//配置DH算法 ,保证秘钥的安全
[R1]ike peer 200.0.0.2 v1-------------------//建立对等体关系
[R1-ike-peer-200.0.0.2]pre-shared-key simple qwer------------------ //配置身份验证口令
[R1-ike-peer-200.0.0.2]ike-proposal 1-----------------------------------//调用上面的安全提议
[R1-ike-peer-200.0.0.2]remote-address 200.0.0.2-------------------------//指向具体的对等体

R3配置:

[R3]ike proposal 1
[R3-ike-proposal-1]encryption-algorithm 3des-cbc
[R3-ike-proposal-1]authentication-algorithm md5
[R3-ike-proposal-1]authentication-method pre-share
[R3-ike-proposal-1]dh group2
[R3]ike peer 100.0.0.1 v1
[R3-ike-peer-100.0.0.1]pre-shared-key simple qwer
[R3-ike-peer-100.0.0.1]ike-proposal 1
[R3-ike-peer-100.0.0.1]remote-address 100.0.0.1

  • 建立数据连接:
    *配置ACL
    *配置IPSec安全提议
    *配置IPSec安全策略
    *在接口应用IPSec安全策略

R1配置:

[R1]acl 3000--------------------------//配置ACL定义对等体之间需要保护的流量
[R1-acl-adv-3000]rule 5 permit ip source 172.16.10.0 0.0.0.255 destination 10.10.33.0 0.0.0.255
[R1]ipsec proposal 1-------------------------------//配置IPSec安全提议
[R1-ipsec-proposal-1]transform esp
[R1]ipsec policy yf 1 isakmp -------------------------//配置IPSec安全策略
[R1-ipsec-policy-isakmp-yf-1]security acl 3000
[R1-ipsec-policy-isakmp-yf-1]ike-peer 200.0.0.2
[R1-ipsec-policy-isakmp-yf-1]proposal 1
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ipsec policy yf

R3配置:

[R3]acl 3000
[R3-acl-adv-3000]rule 5 permit ip source 10.10.33.0 0.0.0.255 destination 172.16.10.0 0.0.0.255
[R3]ipsec proposal 1
[R3-ipsec-proposal-1]transform esp
[R3]ipsec policy yf 1 isakmp
[R3-ipsec-policy-isakmp-yf-1]security acl 3000
[R3-ipsec-policy-isakmp-yf-1]ike-peer 100.0.0.1
[R3-ipsec-policy-isakmp-yf-1]proposal 1
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ipsec policy yf

超实用的IPSec技术,实现对数据的加密保护,防止数据被窃取篡改!!!
实验结果是成功的!通过抓包可以看到IPSec对数据进行重新封装!超实用的IPSec技术,实现对数据的加密保护,防止数据被窃取篡改!!!
超实用的IPSec技术,实现对数据的加密保护,防止数据被窃取篡改!!!

相关推荐