ROS软路由论坛 ROSABC.com

 找回密码
 会员注册

QQ登录

只需一步,快速开始

查看: 56050|回复: 423
打印 上一主题 下一主题

[VPN虚拟私有网络] [IPSec 配置] IPSec 作为新一代网络安全协议,为网络传输提供

  [复制链接]

12

主题

12

帖子

0

活跃分

新手上路

Rank: 1

积分
41
跳转到指定楼层
1
发表于 2013-4-21 04:33:04 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
软路由
IPSec 配置

IPSec 作为新一代网络安全协议,为网络传输提供了安全保证,使端到端的数据保密成为可能,是互联网上 的新一代安全标准。提供包括访问控制、无连接的完整性、数据源认证、抗重放 (replay)保护、保密和有限传 输保密性在内的服务,服务基于 IP 层并对 IP 及上层协议进行保护。服务的实施通过两种通信安全协议:认证头(AH)和封装安全负载(ESP)以及 Internet 密钥交换(IKE)协议来达到这些目标。

IP AH 协议提供数据源认证、无连接的完整性和可选的抗重放服务。ESP 协议提供数据保密性,有限的数 据流保密性、数据源认证、无连接的完整性及抗重放服务。IKE 协议用于协商 AH 和 ESP 协议所使用的密码算 法,并将算法所需的必备密钥放在合适的位置。IPSec 有两种模式:传输模式和隧道模式。它们都是对外出的数 据包添加 IPSec 头进行加密和认证,而对于接收的 IPSec 数据包作解密认证处理和适当的转发传送。
=============================
IPSec 配置实例

以下是一个使用 RouterOS 建立的 IPsec VPN 案例,网络拓扑图:
游客,如果您要查看本帖隐藏内容请回复




需要 IPsec VPN 互联的网络环境:

192.168.88.1/24--R1---192.168.11.11/24 ----互联网---- 192.168.11.18/24---R2---192.168.103.1/24

R1 配置

进入 ip address 里面添加内网接口地址:
游客,如果您要查看本帖隐藏内容请回复



再添加外网接口地址:



进入 ip routes 里面添加网关出口:



进入 ip ipsec 里面 policies 的 general 选项添加内网的源地址和需要做 ipsec 的对端内网地址。



再在 action 选项里面添加源外网地址和对端外网地址和开启 tunnel 隧道协议



再在 ip ipsec 里的 peers 标签里添加目标外网 ip 地址和 secert 密码:



再在 ip firewall 里面的 nat 标签建立源内网地址和对端内网地址:



在建立 nat 的转换 chain 选择 srcnat:



再在 action 里面选择 masquerade:



以上就是 R1 在 winbox 里面的配置过程。R1 已经配置完成现在就 R2 了。

R2 配置

进入 ip address 里面添加内网接口地址:



再添加外网接口地址:



进入 ip routes 里面添加网关出口:



进入 ip ipsec 里面 policies 的 general 选项添加内网的源地址和需要做 ipsec 的对端内网地址:



再在 action 选项里面添加源外网地址和对端外网地址和开启 tunnel 隧道协议:



再在 ip ipsec 里的 peers 标签里添加对端外网 ip 地址和 secert 密码:




再在 ip firewall 里面的 nat 标签建立源内网地址和对端内网地址:
游客,如果您要查看本帖隐藏内容请回复



再在 action 里面选择 accept:



在建立 nat 的转换:




再在 acion 里面选择 masquerade:



以上就是 R2 的配置过程。

注意:NAT 规则的配置的上下顺序,accept 规则需在 masquerade 伪装规则前:



点击右上角的[设置]-->[个人信息],可更改此处您的签名。

0

主题

5

帖子

5

活跃分

新手上路

Rank: 1

积分
17
2
发表于 2013-5-6 21:19:56 | 只看该作者
thanks..............
点击右上角的[设置]-->[个人信息],可更改此处您的签名。

0

主题

3

帖子

10

活跃分

新手上路

Rank: 1

积分
17
3
发表于 2013-5-17 14:19:37 | 只看该作者
vfv fvxcvxcvxcvxcvzxcvxvxcvxcv
点击右上角的[设置]-->[个人信息],可更改此处您的签名。

0

主题

1

帖子

0

活跃分

新手上路

Rank: 1

积分
9
4
发表于 2013-5-17 16:15:32 | 只看该作者
谢谢分享,看一看
点击右上角的[设置]-->[个人信息],可更改此处您的签名。

0

主题

13

帖子

13

活跃分

新手上路

Rank: 1

积分
13
5
发表于 2013-5-25 01:21:38 | 只看该作者
点击右上角的[设置]-->[个人信息],可更改此处您的签名。

0

主题

68

帖子

3

活跃分

新手上路

Rank: 1

积分
3
6
发表于 2013-5-28 11:34:21 | 只看该作者
rewrwerfwefr tweffwe
点击右上角的[设置]-->[个人信息],可更改此处您的签名。

0

主题

6

帖子

5

活跃分

新手上路

Rank: 1

积分
5
7
发表于 2013-6-26 00:45:26 | 只看该作者
SDFASDFERGFERVERFV
点击右上角的[设置]-->[个人信息],可更改此处您的签名。

0

主题

103

帖子

296

活跃分

中级会员

Rank: 3Rank: 3

积分
296
8
发表于 2013-6-26 09:36:11 | 只看该作者
see see see see see see what
点击右上角的[设置]-->[个人信息],可更改此处您的签名。

0

主题

15

帖子

23

活跃分

初级会员

Rank: 2

积分
59
9
发表于 2013-7-1 00:05:42 | 只看该作者
为网络传输提供
点击右上角的[设置]-->[个人信息],可更改此处您的签名。

0

主题

25

帖子

27

活跃分

新手上路

Rank: 1

积分
27
10
发表于 2013-7-14 11:11:13 | 只看该作者
很不错,学习了
点击右上角的[设置]-->[个人信息],可更改此处您的签名。
您需要登录后才可以回帖 登录 | 会员注册

本版积分规则


软路由

不良信息举报Q:2000617|Archiver|小黑屋|ROS软路由论坛 ROSABC.com

GMT+8, 2021-5-18 19:21 , Processed in 0.410011 second(s), 35 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表
毛片打开直接看