VPN采用缺省IKE安全提议建设IPSec隧道配置示例
发布时间:2022-01-05 10:24:58 所属栏目:安全 来源:互联网
导读:Router A为公司分支机构网关,Router B为公司总部网关,分支机构与总部通过Internet建立通信。分支机构子网为10.1.1.0/24,公司总部子网为 10.1.2.0/24。现公司希望两子网通过Internet实现互访,且它们通信的流量可以受IPSec安全保护。 本示例以IKE动态协商方
|
Router A为公司分支机构网关,Router B为公司总部网关,分支机构与总部通过Internet建立通信。分支机构子网为10.1.1.0/24,公司总部子网为 10.1.2.0/24。现公司希望两子网通过Internet实现互访,且它们通信的流量可以受IPSec安全保护。 本示例以IKE动态协商方式来建立IPSec隧道,并且为了简化配置,对其中绝大多数安全参数采用缺省配置(包括IKE安全提议中的全部参数和IKE安全策略可选参数)进行部署。其实,如果没有特别的要求,大多数情况下都可以这样配置,这样不仅可以减少工作量,也可以在安全方面满足用户的需求 根据《基于ACL方式通过IKE协商建立IPSec隧道》介绍的配置任务,再结合本示例的具体要求(IKE安全提议全部采用缺省配置),可得出如下所示的本示例基本配置思路。(1)配置各网关设备内/外网接口当前的IP地址,以及分支机构公网、私网与总部公网、私网互访的静态路由 这项配置包括配置连接内/外网的接口IP地址,以及到达对端内/外网的静态路由,保证两端路由可达。此处需要了解分支机构和公司总部Internet网关所连接的ISP设备接口的IP地址。(2)配置ACL,以定义需要IPSec保护的数据流 本示例中,需要保护的数据流是分支机构子网与公司总部子网之间的通信,其需要在IPSec隧道中传输,其他通过Internet的访问(如访问Web网站)是直接在Internet中传输的。 (3)配置IPSec安全提议,定义IPSec的保护方法 无论是手工方式,还是IKE动态协商方式建立IPSec隧道,IPSec安全提议必须手工配置。包括IPSec使用的安全协议、认证/加密算法以及数据的封装模式。当然这些安全参数也都有缺省取值,需要时也可直接采用。 本示例中路由器运各安全参数的缺省取值如下:安全协议为ESP协议,ESP协议采用SHA2-256认证算法,ESP协议采用AES-256加密算法,安全协议对数据的封装模式采用隧道模式。本示例将IPSec安全提议的认证算法修改为SHA1,修改加密算法为AES-128,其他均采用缺省值。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号