CISCO-基于OSPF的IPSec配置案例

原创

PLENGONG 2023-03-03 09:20:54 博主文章分类：Network.网络搭建 ©著作权

文章标签 CISCO 网络技术 R3 IP OSPF 文章分类 Python 后端开发

©著作权归作者所有：来自51CTO博客作者PLENGONG的原创作品，请联系作者获取转载授权，否则将追究法律责任

基于OSPF的IPSec配置案例

CISCO-基于OSPF的IPSec配置案例

CISCO-基于OSPF的IPSec配置案例_IP

项目背景：某大型企业异地架设分公司，分公司的业务服务器需按时向总公司的备份服务器备份数据，实现数据的安全和冗余，在数据的备份过程中，需保证数据的安全性，因此利用IPSec技术保证数据传输的安全性。

IP地址接口规划表：

本端设备	接口	IP地址	对端设别	接口	IP地址
Router1	Se0/0/0	140.10.1.5/30	Router2	Se0/0/0	140.10.1.6/30
Router1	Fa0/0	192.168.200.1/24	Server0	Fa0	192.168.200.100/24
R3	Se0/0/0	150.10.1.6/30	R2	Se0/0/0	150.10.1.5/30
R3	Fa0/0	172.25.150.1/24	Server1	Fa0	172.25.150.200/24
R1	loopback 0	1.1.1.1/32	R2	loopback 0	2.2.2.2/32
R3	loopback 0	3.3.3.3/32

配置步骤;

配置各接口IP地址
配置OSPF路由协议，实现网络互通
配置IKE安全提议，配置协商加密算法
配置IPSec安全提议，配置数据加密算法
定义被保护数据流，实现对数据的捕获
配置IPSec策略，应用于接口

项目实施：

壹、配置各接口IP地址

R1(config)#interface Loopback0
R1(config-if)# ip address 1.1.1.1 255.255.255.255
!
R1(config-if)#interface FastEthernet0/0
R1(config-if)# ip address 192.168.200.1 255.255.255.0
!
R1(config-if)#interface Serial0/0/0
R1(config-if)# ip address 140.10.1.5 255.255.255.252

R2(config)#interface Loopback0
R2(config-if)# ip address 2.2.2.2 255.255.255.255
!
R2(config-if)#interface Serial0/0/0
R2(config-if)# ip address 140.10.1.6 255.255.255.252
!
R2(config-if)#interface Serial0/0/1
R2(config-if)# ip address 150.10.1.5 255.255.255.252

R3(config)#interface Loopback0
R3(config-if)# ip address 3.3.3.3 255.255.255.255
!
R3(config-if)#interface FastEthernet0/0
R3(config-if)# ip address 172.25.150.1 255.255.255.0
!
R3(config-if)#interface Serial0/0/1
R3(config-if)# ip address 150.10.1.6 255.255.255.252

贰、配置OSPF路由协议

R1(config)#router ospf 1                                    # 进入OSPF进程1视图
R1(config-router)# router-id 1.1.1.1                        # 配置Router-id为 1.1.1.1
R1(config-router)# network 140.10.1.4 0.0.0.3 area 0        #在区域0（area 0），宣告140.10.1.4网段
R1(config-router)# network 192.168.200.0 0.0.0.255 area 0   #在区域0（area 0），宣告192.168.200.0网段
R1(config-router)# network 1.1.1.1 0.0.0.0 area 0           #在区域0（area 0），宣告1.1.1.1网段

R2(config)#router ospf 1                                    # 进入OSPF进程1视图
R2(config-router)# router-id 2.2.2.2                        # 配置Router-id为 2.2.2.2
R2(config-router)# network 140.10.1.4 0.0.0.3 area 0        #在区域0（area 0），宣告140.10.1.4网段
R2(config-router)# network 2.2.2.2 0.0.0.0 area 0           #在区域0（area 0），宣告2.2.2.2网段
R2(config-router)# network 150.10.1.4 0.0.0.3 area 1        #在区域1（area 1），宣告150.10.1.4网段

R3(config)#router ospf 1                                    # 进入OSPF进程1视图
R3(config-router)# router-id 3.3.3.3                        # 配置Router-id为 3.3.3.3
R3(config-router)# network 150.10.1.4 0.0.0.3 area 1        #在区域1（area 1），宣告150.10.1.4网段
R3(config-router)# network 172.25.150.0 0.0.0.255 area 1    #在区域1（area 1），宣告172.25.150.0网段
R3(config-router)# network 3.3.3.3 0.0.0.0 area 1           #在区域1（area 1），宣告3.3.3.3网段

叁、配置IKE安全提议

R1(config)#crypto isakmp policy 10                          #进入ike提案数为10的视图
R1(config-isakmp)# encr aes                                 #配置对称加密算法 AES,加密位数为默认
R1(config-isakmp)# authentication pre-share                 #配置认证方式为预共享密钥
R1(config-isakmp)# group 5                                  #配置DH加密组，为版本5
!
R1(config-isakmp)#crypto isakmp key China44cisco address 150.10.1.6   #配置预共享密钥，配置对端IP地址

R3(config)#crypto isakmp policy 10                          #进入ike提案数为10的视图
R3(config-isakmp)# encryption aes                           #配置对称加密算法 AES,加密位数为默认
R3(config-isakmp)# authentication pre-share                 #配置认证方式为预共享密钥
R3(config-isakmp)# group 5                                  #配置DH加密组，为版本5
!
R3(config-isakmp)#crypto isakmp key China44cisco address 140.10.1.5   #配置预共享密钥，配置对端IP地址

肆、配置IPSec安全提议

R1(config)#crypto ipsec transform-set R1toR3 esp-aes esp-sha-hmac #配置IPsec安全提议，配置数据加密算法

R3(config)#crypto ipsec transform-set R3toR1 esp-aes esp-sha-hmac #配置IPsec安全提议，配置数据加密算法

伍、配置IP访问控制列表，定义被保护的数据流

R1(config)#ip access-list extended R1toR3                                #配置拓展ACL，名称为R1toR3
R1(config-ext-nacl)# permit ip host 192.168.200.100 host 172.25.150.200 #定义192.168.200.100去往172.25.150.200的数据流

R3(config)#ip access-list extended R3toR1                               #配置拓展ACL，名称为R3toR1
R3(config-ext-nacl)# permit ip host 172.25.150.200 host 192.168.200.100 #定义172.25.150.200去往192.168.200.100的数据流

陆、配置IPSec策略，应用于接口

R1(config)#crypto map R1toR3 10 ipsec-isakmp                    #配置IPSec安全提议，应用ike提案10
R1(config-crypto-map)# set peer 150.10.1.6                      #配置对端设备地址
R1(config-crypto-map)# set transform-set R1toR3                 #应用IPSec提议
R1(config-crypto-map)# match address R1toR3                     #应用ACL
!
R1(config-if)#crypto map R1toR3                                 #应用IPSec策略
*Jan  3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

R3(config)#crypto map R3toR1 10 ipsec-isakmp                    #配置IPSec安全提议，应用ike提案10
R3(config-crypto-map)# set peer 140.10.1.5                      #配置对端设备地址
R3(config-crypto-map)# set transform-set R3toR1                 #应用IPSec提议
R3(config-crypto-map)# match address R3toR1                     #应用ACL
!
R3(config-if)#crypto map R3toR1                                 #应用IPSec策略
*Jan  3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

项目验证：

总部服务器与分公司服务器实现互通：

CISCO-基于OSPF的IPSec配置案例_网络技术_02

抓包验证IKE协商和数据加密：

CISCO-基于OSPF的IPSec配置案例_IP_03

CISCO-基于OSPF的IPSec配置案例_网络技术_04

上一篇：Linux - ssh服务和sudolog日志的配置（Openeuler）

下一篇：Linux-部署RAID和LVM实验记录(REHL_7.0)

提问和评论都可以，用心的回复会被更多人看到评论

发布评论

相关文章

官方博客	全部文章	热门标签	班级博客
了解我们	网站地图	意见反馈

鸿蒙开发者社区	51CTO学堂
51CTO	软考资讯