[IPSec 配置] IPSec 作为新一代网络安全协议，为网络传输提供

shytheleo

IPSec 配置

IPSec 作为新一代网络安全协议，为网络传输提供了安全保证，使端到端的数据保密成为可能，是互联网上 的新一代安全标准。提供包括访问控制、无连接的完整性、数据源认证、抗重放 (replay)保护、保密和有限传 输保密性在内的服务，服务基于 IP 层并对 IP 及上层协议进行保护。服务的实施通过两种通信安全协议：认证头（AH）和封装安全负载（ESP）以及 Internet 密钥交换（IKE）协议来达到这些目标。

IP AH 协议提供数据源认证、无连接的完整性和可选的抗重放服务。ESP 协议提供数据保密性，有限的数 据流保密性、数据源认证、无连接的完整性及抗重放服务。IKE 协议用于协商 AH 和 ESP 协议所使用的密码算 法，并将算法所需的必备密钥放在合适的位置。IPSec 有两种模式：传输模式和隧道模式。它们都是对外出的数 据包添加 IPSec 头进行加密和认证，而对于接收的 IPSec 数据包作解密认证处理和适当的转发传送。
=============================
IPSec 配置实例

以下是一个使用 RouterOS 建立的 IPsec VPN 案例，网络拓扑图：

游客，如果您要查看本帖隐藏内容请回复

需要 IPsec VPN 互联的网络环境:

192.168.88.1/24--R1---192.168.11.11/24 ----互联网---- 192.168.11.18/24---R2---192.168.103.1/24

R1 配置

进入 ip address 里面添加内网接口地址:

游客，如果您要查看本帖隐藏内容请回复

再添加外网接口地址：



进入 ip routes 里面添加网关出口：



进入 ip ipsec 里面 policies 的 general 选项添加内网的源地址和需要做 ipsec 的对端内网地址。



再在 action 选项里面添加源外网地址和对端外网地址和开启 tunnel 隧道协议



再在 ip ipsec 里的 peers 标签里添加目标外网 ip 地址和 secert 密码：



再在 ip firewall 里面的 nat 标签建立源内网地址和对端内网地址：



在建立 nat 的转换 chain 选择 srcnat：



再在 action 里面选择 masquerade：



以上就是 R1 在 winbox 里面的配置过程。R1 已经配置完成现在就 R2 了。

R2 配置

进入 ip address 里面添加内网接口地址:



再添加外网接口地址：



进入 ip routes 里面添加网关出口：



进入 ip ipsec 里面 policies 的 general 选项添加内网的源地址和需要做 ipsec 的对端内网地址:



再在 action 选项里面添加源外网地址和对端外网地址和开启 tunnel 隧道协议:



再在 ip ipsec 里的 peers 标签里添加对端外网 ip 地址和 secert 密码：




再在 ip firewall 里面的 nat 标签建立源内网地址和对端内网地址：

游客，如果您要查看本帖隐藏内容请回复

再在 action 里面选择 accept：



在建立 nat 的转换:




再在 acion 里面选择 masquerade：



以上就是 R2 的配置过程。

注意：NAT 规则的配置的上下顺序，accept 规则需在 masquerade 伪装规则前：

cfans

thanks..............

Eddie

vfv fvxcvxcvxcvxcvzxcvxvxcvxcv

ros750

谢谢分享，看一看

sucker

流沙

rewrwerfwefr tweffwe

认真想想

SDFASDFERGFERVERFV

wochinaren123

see see see see see see what

lgd325

为网络传输提供

wer

很不错，学习了