IPsec+DDNS典型配置
- 格式:doc
- 大小:327.00 KB
- 文档页数:7


IPSEC VPN 点到多点配置
ipsecvpn点到多点配置
总部是一个静态IP地址,分支是一个动态拨号。获取的IP地址不稳定。构建IPSec
VPN
总部usg-1配置
[usg-1]firewallzonetrust[usg-1-zone-trust]addintg0/0/0[usg-1-zone-trust]退出[usg-1]FirewallZoneUntrust
[usg-1-zone-untrust]addintg0/0/1[usg-1-zone-untrust]quit
[usg-1]iproute-0。0.0.00.0.0.011.0.0.1[usg-1]intg0/0/1
[usg-1-gigabitethernet0/0/1]ipadd11.0.0.224[usg-1-gigabitethernet0/0/1]intg0/0/0
[usg-1-gigabitethernet0/0/0]iPad192。168.10.124[usg-1-gigabitethernet0/0/0]退出
------------------------阶段一----------------------------[usg-1]ikeproposal1//配置一个安全提议
[usg-1-ike-proposal-1]身份验证方法预共享
//配置ike认证方式为预共享密钥
[usg-1-ike-proposal-1]认证算法1
//配置ike认证算法为sha1
[usg-1-ike-proposal-1]integrity-algorithmaes-xcbc-96
//配置ike完整性算法
[usg-1-ike-proposal-1]dhgroup2
//配置ike密钥协商dh组
IPsecVPN配置教程
IPsecVPN配置教程
在项目中遇到一个关于IPsecVPN的问题,这种场景并不是很常见。翻了一下,找到之前做过的测试数据,店铺分享一下。也考考大家,看看有没有人能想到更好的解决方案(当然是有替代方案的,可以自行测试一下)。
以下图为例,R1及OR是站点1的设备,OR是站点1的出口路由器;R2是站点2的出口路由器。1.1.1.0/24及2.2.2.0/24分别用于模拟站点1和站点2的内网。R2的FE0/0直接连接Internet公网,使用的IP地址为200.2.2.2/24,其默认网关为200.2.2.1。而站点1则比较特殊,出于节省公网IP地址的目的',R1与出口路由器OR之间的互连链路采用私有IP地址段(10.1.1.0/24)。OR一个接口与R1对接,另一侧的接口则连接着Internet。
现在站点1也额外申请到一个公网IP地址,200.1.1.1/32。要求在站点1与站点2之间建立IPsecVPN隧道,而且需在R1与R2上完成(可能OR路由器不支持IPSecVPN)。最终的需求是1.1.1.0/24与2.2.2.0/24要能够安全地互访。这里演示的方法是在R1上配置Loopback0接口,把公网地址放在这个接口上,然后R1(使用该公网地址)与R2建立IPsec隧道。这么做的一个好处是,OR没有NAT的压力。当然即使是这个原因,我们演示的场景依然是挺奇葩的,不是么。另一个方案是,OR部署Static NAT,将公网地址200.1.1.1映射到10.1.1.1,然后依然是在R1与R2上部署IPsec VPN,这种场景到是很常见,可自行测试。
【IPsecVPN】关于IPsecVPN的一个非常规场景
R1的配置如下:
#完成接口IP地址的配置:
interface Loopback0
ip address 200.1.1.1 255.255.255.255 #将公司申请到的公网地址配置在Loopback0接口
ASA防火墙IPSECVPN配置
一.IPSECVPN(itetoite)
第一步:在外部接口启用IKE协商cryptoikev1enableoutide
第二步:配置ikev1协商策略
Ikev1策略两边要一致,可设置多个策略模板,只要其中一个和对方匹配即可
cryptoikev1policy5//启用并创建一个ikev1策略,并指定优先级为5
authenticationpre-hare//配置认证方式为预共享密钥
第三步:配置需要加密的数据流
10.30.0.0为本地内网地址,172.17.0.0为对方内网地址
acce-litipec-vpne某tendedpermitip10.30.0.0255.255.0.0172.17.0.0255.255.0.0
第四步:设置到对方私网地址的路由
配置静态路由指向outide接口,某.某.某.某为ASA防火墙outide接口地址,172.17.0.0为对方内网地址
routeoutide172.17.0.0255.255.0.0某.某.某.某
第五步:配置ipec的数据转换格式集
cryptoipecikev1tranform-etE7_AWS_tran(自定义名)ep-3deep-ha-hmac
第六步:建立加密静态映射图 cryptomapE7_to_AWS10matchaddreipec-vpn//配置哪些数据流会启用IPSEC加密
cryptomapE7_to_AWS10etpeer某.某.某.某//指定对端地址,某.某.某.某为对端VPN公网地址
cryptomapE7_to_AWS10etikev1tranform-etE7_AWS_tran//建立加密静
态映射图,加密格式引用数据转换格式集my_tran(两边要一致)
第七步:将加密静态映射图应用于外网接口cryptomapE7_to_AWSinterfaceoutide
第八步:建立IPSECVPN隧道组
DDNS配置实例(DHCP+DNS=DDNS)
在网络管理中,维护DNS服务器是一项很基本的工作。但是,随着网络规模的不断扩大,频繁的去修改DNS区域数据文件,那也将会是一件很麻烦的事情。因此,动态DNS就应运而生。
动态DNS(DDNS)需要DNS和DHCP来协同工作。Linux下也可以实现DDNS,不过DNS需要Bind8以上的版本,DHCP需要3.0以上的版本。
实现DDNS:
Bind版本是bind-9.2.1-16,
DHCP版本是dhcp-3.0pl1-23。
1. DDNS试验拓扑
2. 安装DNS和DHCP软件包
挂载系统盘,进入RPM包目录,使用rpm –ivh来安装bind包和dhcp包。其中caching-nameserver包是用来安装name.ca、name.local等区域文件的,如果不安装此包,那么就要手写或者从别的地方down这些文件了。
3. 配置DNS服务
① 编辑DNS服务主配置文件named.conf,默认在/etc/目录下。
vi /etc/named.conf
options {
directory "/var/named";
};
zone "." IN {
type hint;
file "named.ca";
};
zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};
zone "0.0.127.in-addr.arpa" IN {
type master;
file "named.local";
allow-update { none; };