創建一個 ESP與 Vyatta的IPSec隧道|皮坡e2H - 先進的信息通信技術解決方案

28 Dic/09 0

創建一個ESP與Vyatta的IPSec隧道

在前面的文章中，我們看到了如何創建一個 GRE隧道兩個設備之間，非常有用的網絡連接兩個相距很遠，我們需要一個隧道，既溝通。這是很有趣的文章，但GRE考試有一個問題，數據穿過隧道是不加密，所以安全是相當低的。

本文介紹如何創建一個 IPsec隧道兩個設備之間，我們可以利用我們現有的GRE隧道重新組裝的安全。憑藉我們的IPSEC隧道將提高數據的可靠性和完整性在互聯網上行駛。

為了使文章有兩個虛擬機與 VMware Player的處決了三名，其中有兩個網卡，每個具有相同的網絡中常見的廣域網的通信。如果你還沒有，我們可以按照本文安裝Vyatta的開放式網絡 。

後續的步驟中的文件如下：

設立總部的路由器地址。
配置IPSec ESP在總部路由器。
配置路由器的路由分支。
配置IPSec ESP在分支路由器。
配置靜態路由。
測試的解決方案。

設立總部路由器地址

然後，我們開始設置您的路由器，輸入憑據，並為進入配置模式與配置命令。

下一步是配置您的路由器的內部接口和外部接口。為此，我們引進的命令：

9月以太網接口 <interfaz interna> 地址192.168.1.254/24
9月以太網接口 <interfaz externa> 地址10.10.10.1/24

現在讓我們設置描述兩個以前配置的接口和主機名稱，使我們的路由器的SSH和HTTPS。為了使這個設置我們介紹了以下命令：

以太網接口<interfaz 9月interna> <description interfaz> 描述
9月以太網接口描述<interfaz externa> <description interfaz>

9月 <name>的 系統的主機名

9月的ssh服務
在9月HTTPS服務

然後我們要保存更改，然後再繼續與我們的設置，以避免任何損失。最好是保存數據的變化，每隔數配置為故障的設備，我們將不得不重新配置缺少的參數。要執行的命令提交申請設置和保存命令來保存更改。

配置IPSec ESP在總部路由器

一旦我們有一個基本的設置，我們將配置VPN的部分。我們開始通過輸入命令集的IPSec VPN的IPSec的接口界面 外耳道> <interfaz，我們說，我們要啟動的IPSEC接口，在我們遇到的外部接口（區）。

下一步是配置IKE的小組為此，我們將爭取用一組的IKE 的IPSec VPN的艾克命令集集團 名稱>組> 提案1。

現在，讓我們的加密級別設置，在我們的例子中，我們選擇AES256加密術進入設置命令的VPN的IPSec艾克小組提案1 名>組> AES256加密術加密。

然後我們設置使用的哈希算法，我們將使用set命令輸入的SHA1 VPN的IPSec的艾克組 名稱>組> 提案1的SHA1哈希。

下一步是配置DH密鑰交換，我們將使用DH5，它介紹了VPN的IPSec的艾克命令集集團 名稱>組> 中的dh -提案1組5。

最後，在本組參數設置缺少的IKE壽命，為此我們提出了一套命令組的VPN的IPSec艾克一生 名稱>組> 28800。

現在我們將配置ESP的組別為我們註冊一個小組，命令集的VPN IPSec的ESP -組 名>組> 提案1。

現在，讓我們的加密級別設置通過輸入命令集的VPN的IPSec ESP的小組提案1 名>組> AES256加密術加密。

然後我們設置使用的哈希算法，我們將使用set命令輸入的SHA1 VPN的IPSec的ESP -組 名>組> 提案1的SHA1哈希。

接下來的步驟是加油站在公司ESP為這組運行命令集的VPN IPSec的ESP -組 名>組> 加油站啟用。

最後，我們需要配置ESP的群體生活的時候，由執行命令集的VPN IPSec的ESP -組 名> 終生組> 3600。

一旦你已經配置IKE和ESP的團體，我們將設置扭矩這是我們連接，它介紹了VPN的IPSec的命令設置站點到站點 <IP/Host remoto> 同行。

然後，我們將設置身份驗證模式，我們選擇了預共享密鑰這個運行set命令的VPN的IPSec站點到站點 <IP/Host remoto> 同行預共享驗證方式秘密。

現在我們引進的關鍵，我們運行命令集的VPN的IPSec站點到站點等身份驗證 <IP/Host remoto> 預共享秘密'<密碼'。 我們建議使用複雜的密碼至少8個字母數字字符，包括大寫，小寫字母和特殊字符，加上密碼寫在單引號。

然後，我們贊同這一配對的IKE小組認為，這一運行命令集的VPN的IPSec站點到站點同齡組 <IP/Host remoto> 艾克 名稱> IKE協議>組。

下一步是選擇的IP與我們溝通，我們的情況下，在外部接口的IP（廣域網）。執行命令集的VPN的IPSec站點到站點同行地方知識產權 <IP/Host remoto> <IP地址>EXT_IF>。

一旦您已設置的基本參數的情侶，它的時間來配置隧道，在那裡我們說什麼本地網絡和遠程通信網絡和組電除塵器的合作夥伴。

要執行這些步驟需要創建隧道，到今年9月的VPN IPSec的運行站點到站點隧道同行 <的IP /主機<nº remoto>圖奈勒>。

我們現在介紹本地網絡通信通過隧道通過輸入命令集的VPN的IPSec站點到站點 <IP/Host remoto> 同行 圖奈勒> 隧道本地子網 <ñ º <紅<地方。

然後，我們介紹了本地網絡遠程連接到輸入命令設置的VPN的IPSec站點到站點隧道 <nº remoto> <IP/Host 同行remote-subnet túnel>當地<red remota>。

最後，我們贊同在ESP組比較，我們創建運行命令集隧道的VPN的IPSec站點到站點 <IP/Host remoto> 同行ESP的隧道群 <nº túnel>名稱>除塵器>組。

我們已經確立了我們的第一部分，隧道，然後繼續應用更改並保存在運行配置命令提交並保存。

設立分支機構路由器地址

配置路由器的分行將做同樣的步驟，與總部路由器，為此我們將顯示所有的命令適用於本路由器。

配置
9月以太網接口 <interfaz interna> 地址192.168.2.254/24
9月以太網接口 <interfaz externa> 地址10.10.10.2/24
9月以太網接口描述 <interfaz interna> <description interfaz>
9月以太網接口描述 <interfaz externa> <description interfaz>
9月 <name>的 系統的主機名
在9月的ssh服務
在9月HTTPS服務
犯
保存

與以前的命令已基本設置我們的接口，然後配置我們的IPSec ESP的隧道。

配置IPSec ESP在分支路由器

執行以下命令，一如我們先前做的IPSec隧道：

9月的IPSec VPN的IPSec的接口界面 外耳道> <interfaz
IPSec的虛擬專用網9月艾克組 名稱>組> 提案1
IPSec的虛擬專用網9月艾克組名稱>組> AES256加密術加密提案1
IPSec的虛擬專用網9月艾克組名稱>組>提案1的SHA1哈希
IPSec的虛擬專用網9月艾克組 名稱>組> 中的dh -提案1組5
IPSec的虛擬專用網9月艾克組 名稱> 一生組> 28 800
9月的VPN IPSec的ESP -組名>組>提案1
9月的VPN IPSec的ESP -組 名>組> AES256加密術加密提案1
9月的VPN IPSec的ESP -組 名>組> 提案1的SHA1哈希
9月的VPN IPSec的ESP -組 名>組> 油站啟用
9月的VPN IPSec的ESP -組 名> 終生組> 3600
9月的VPN的IPSec站點到站點 <IP/Host remoto> 同行
9月的VPN的IPSec站點到站點 <IP/Host remoto> 同行身份驗證模式預共享秘密
9月的VPN的IPSec站點到站點 <IP/Host remoto> 認證同行預共享秘密'<密碼'
9月的VPN的IPSec站點到站點 偏遠落後地區 同行 > 艾克組 <IP/Host名稱> IKE協議>組
9月的VPN的IPSec站點到站點同行地方知識產權 <IP/Host remoto> <IP地址>EXT_IF>
9月的VPN的IPSec站點到站點隧道同行 <的IP /主機<nº remoto>圖奈勒>
9月的VPN的IPSec站點到站點隧道 <nº remoto> <IP/Host 同行local-subnet túnel> <紅<地方
9月的VPN的IPSec站點到站點隧道 <nº remoto> <IP/Host 同行remote-subnet túnel>當地<red remota>
9月的VPN的IPSec站點到站點 <IP/Host remoto> 同行 <nº túnel> ESP的隧道群 組名>除塵器>
犯
保存