|
IPSec作为新一代网络安全协议,为网络传输提供了安全保证,使端到端的数据保密成为可能,是互联网上的新一代安全标准。提供包括访问控制、无连接的完整性、数据源认证、抗重放 (replay)保护、保密和有限传输保密性在内的服务,服务基于IP层并对IP及上层协议进行保护。服务的实施通过两种通信安全协议:认证头(AH)和封装安全负载(ESP)以及Internet密钥交换(IKE)协议来达到这些目标。 IP AH协议提供数据源认证、无连接的完整性和可选的抗重放服务。ESP协议提供数据保密性,有限的数据流保密性、数据源认证、无连接的完整性及抗重放服务。IKE协议用于协商AH和ESP协议所使用的密码算法,并将算法所需的必备密钥放在合适的位置。IPSec有两种模式:传输模式和隧道模式。它们都是对外出的数据包添加IPSec头进行加密和认证,而对于接收的IPSec数据包作解密认证处理和适当的转发传送 以下是一个使用RouterOS建立的IPsec VPN案例,网络拓扑图: 需要IPsec VPN互联的网络环境: 192.168.88.1/24--R1---192.168.11.11/24 ----互联网---- 192.168.11.18/24---R2---192.168.103.1/24 R1配置 进入ip address里面添加内网接口地址: 进入ip routes里面添加网关出口: 进入ip ipsec里面policies的general选项添加内网的源地址和需要做ipsec的对端内网地址。 再在action选项里面添加源外网地址和对端外网地址和开启tunnel隧道协议 再在ip ipsec里的peers标签里添加目标外网ip地址和secert密码: 再在ip firewall里面的nat标签建立源内网地址和对端内网地址: 在建立nat的转换chain选择srcnat: 再在action里面选择masquerade: 以上就是R1在winbox里面的配置过程。R1已经配置完成现在就R2了。 R2配置 进入ip address里面添加内网接口地址: 再添加外网接口地址: 进入ip routes里面添加网关出口: 进入ip ipsec里面policies的general选项添加内网的源地址和需要做ipsec的对端内网地址: 再在action选项里面添加源外网地址和对端外网地址和开启tunnel隧道协议: 再在ip ipsec里的peers标签里添加对端外网ip地址和secert密码: 再在ip firewall里面的nat标签建立源内网地址和对端内网地址: 再在action里面选择accept: 在建立nat的转换: 再在acion里面选择masquerade: 以上就是R2的配置过程。 注意:NAT规则的配置的上下顺序,accept规则需在masquerade伪装规则前:
| 
转播
分享
淘帖
分享到新浪微博
