华为IPSec VPN的配置
目录
概念
阶段一
阶段二
IPSec的配置实验
先进行基配置,保证路由可达
配置阶段一
配置ike提案
配置ike邻居
配置阶段二
定义感兴趣流
把ipsec策略应用到接口
结果测试
概念
IPSec是一个框架,它不是具体指某个协议,而是定义了一个框架,由各种协议组和协商而成。该框架涉及到的主要有加密算法、验证算法、封装协议、封装模式、密钥有效期等等。
IPSecVPN建立的前提:要想在两个站点之间安全的传输IP数据流,它们之间必须要先进行协商,协商它们之间所采用的加密算法,封装技术以及密钥。
分为两个阶段,第一个是建立管理连接,第二个阶段是建立数据连接
阶段一:
在两个对等体设备之间建立一个安全的管理连接。没有实际的数据通过这个连接。这个管理连接是用来保护第二阶段协商过程的。
阶段一需要协商的内容:
1.双方使用什么加密算法进行加密(des、3des、aes)
2.摘要(完整性)认证的方式(MD5、SHA)
3.采用的密钥共享方式(预共享密钥,CA数字签名、公钥认证)
4.使用的密钥强度DH组(越大加密强度越高)
5.管理连接生存时间(默认一天,单位秒)
6.协商模式(主模式或积极模式)
阶段二:
当对等体之间有了安全的管理连接之后,它们就可以接着协商用于构建安全数据连接的安全参数,这个协商过程是安全的,加密的。协商完成后,将在两个站点间形成安全的数据连接。
阶段二需要协商的内容:
1.传输模式(隧道模式还是传输模式)
2.封装技术(ESP、AH)
3.传输过程中数据的加密方式(des、3des、aes)
4.传输过程中数据的认证方式(MD5、SHA)
3.定义感兴趣(定义需要使用IPSec的流量)
IPSec的配置实验
拓扑图
先进行基配置,保证路由可达
AR1
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys ar1
[ar1]int g0/0/0
[ar1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
Sep 8 2022 15:22:35-08:00 ar1 %%01IFNET/4/LINK_STATE(l)[1]:The line protocol IPon the interface GigabitEthernet0/0/0 has entered the UP state.
[ar1-GigabitEthernet0/0/0]
[ar1-GigabitEthernet0/0/0]int g0/0/1
[ar1-GigabitEthernet0/0/1]ip add 12.1.1.1 24
Sep 8 2022 15:23:06-08:00 ar1 %%01IFNET/4/LINK_STATE(l)[2]:The line protocol IPon the interface GigabitEthernet0/0/1 has entered the UP state.
[ar1-GigabitEthernet0/0/1]quit
[ar1]ip rou
[ar1]ip route
[ar1]ip route-static 0.0.0.0 0 12.1.1.2
AR2
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys ar2
[ar2]int g0/0/0
[ar2-GigabitEthernet0/0/0]ip add 12.1.1.2 24
Sep 8 2022 15:23:55-08:00 ar2 %%01IFNET/4/LINK_STATE(l)[0]:The line protocol IPon the interface GigabitEthernet0/0/0 has entered the UP state.
[ar2-GigabitEthernet0/0/0]int g0/0/1
[ar2-GigabitEthernet0/0/1]ip add 23.1.1.2 24
Sep 8 2022 15:24:05-08:00 ar2 %%01IFNET/4/LINK_STATE(l)[1]:The line protocol IPon the interface GigabitEthernet0/0/1 has entered the UP state.
[ar2-GigabitEthernet0/0/1]quit
[ar2]
[ar2]ip rou
[ar2]ip route
[ar2]ip route-static 172.16.1.0 24 23.1.1.3
[ar2]ip rou
[ar2]ip route
[ar2]ip route-static 192.168.1.0 24 12.1.1.1
AR3
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys ar3
[ar3]int g0/0/0
[ar3-GigabitEthernet0/0/0]ip add 172.16.1.254 24
Sep 8 2022 15:24:55-08:00 ar3 %%01IFNET/4/LINK_STATE(l)[0]:The line protocol IPon the interface GigabitEthernet0/0/0 has entered the UP state.
[ar3-GigabitEthernet0/0/0]int g0/0/1
[ar3-GigabitEthernet0/0/1]ip add 23.1.1.3 24
Sep 8 2022 15:25:11-08:00 ar3 %%01IFNET/4/LINK_STATE(l)[1]:The line protocol IPon the interface GigabitEthernet0/0/1 has entered the UP state.
[ar3-GigabitEthernet0/0/1]quit
[ar3]ip route-static 0.0.0.0 0 23.1.1.2
测试连通性
配置阶段一
配置ike提案
[ar1]ike proposal 1
[ar1-ike-proposal-1]encryption-algorithm aes-cbc-256
[ar1-ike-proposal-1]authentication-algorithm sha1
[ar1-ike-proposal-1]authentication-method pre-share
[ar1-ike-proposal-1]dh group14
[ar1-ike-proposal-1]sa duration 1200
[ar1-ike-proposal-1]quit
AR3
[ar3]ike proposal 1
[ar3-ike-proposal-1]encryption-algorithm aes-cbc-256
[ar3-ike-proposal-1]authentication-algorithm sha1
[ar3-ike-proposal-1]authentication-method pre
[ar3-ike-proposal-1]authentication-method pre-share
[ar3-ike-proposal-1]dh group14
[ar3-ike-proposal-1]sa duration 1200
[ar3-ike-proposal-1]quit
配置ike邻居
[ar1]ike peer 1 v2
[ar1-ike-peer-1]remote-address 23.1.1.3
[ar1-ike-peer-1]pre-shared-key s
[ar1-ike-peer-1]pre-shared-key simple 123456789
[ar1-ike-peer-1]ike-proposal 1
[ar1-ike-peer-1]quit
[ar3]ike peer 1 v2
[ar3-ike-peer-1]remote-address 12.1.1.1
[ar3-ike-peer-1]pre-shared-key simple 123456789
[ar3-ike-peer-1]ike-proposal 1
配置阶段二
定义感兴趣流
高级acl,需要从进行IPSecVPN的流量
[ar1]acl 3000
[ar1-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 destination 172.16
.1.0 0.0.0.255
[ar1-acl-adv-3000]quit
[ar3]acl 3000
[ar3-acl-adv-3000]rule permit ip source 172.16.1.0 0.0.0.255 destination 192.168
.1.0 0.0.0.255
[ar3-acl-adv-3000]quit
定义IPSec提案
[ar1]ipsec proposal 1
[ar1-ipsec-proposal-1]encapsulation-mode tunnel
[ar1-ipsec-proposal-1]esp authentication-algorithm sha1
[ar1-ipsec-proposal-1]esp encryption-algorithm aes-256
[ar1-ipsec-proposal-1]quit
[ar3]ipsec proposal 1
[ar3-ipsec-proposal-1]encapsulation-mode tunnel
[ar3-ipsec-proposal-1]esp encryption-algorithm aes-256
[ar3-ipsec-proposal-1]esp authentication-algorithm sha1
[ar3-ipsec-proposal-1]quit
IPsec 策略
[ar1]ipsec policy 1 1 isakmp
[ar1-ipsec-policy-isakmp-1-1]security acl 3000
[ar1-ipsec-policy-isakmp-1-1]proposal 1
[ar1-ipsec-policy-isakmp-1-1]ike-peer 1
[ar3]ipsec policy 1 1 isakmp
[ar3-ipsec-policy-isakmp-1-1]security acl 3000
[ar3-ipsec-policy-isakmp-1-1]proposal 1
[ar3-ipsec-policy-isakmp-1-1]ike-peer 1
把ipsec策略应用到接口
[ar1]int g0/0/1
[ar1-GigabitEthernet0/0/1]ipsec policy 1
[ar3]int g0/0/1
[ar3-GigabitEthernet0/0/1]ipsec policy 1
结果测试
pc2 ping pc1
在AR1和AR2之间抓包
可以看出IPsec的数据包和普通的ICMP还是有很大不同的,这里面的数据被进行了加密
在AR1上查询阶段一的连接
再查询一下阶段二
简单的IPSecVPN实验就配置完成了,如有错误,欢迎指出!!!
华为IPSec VPN的配置相关推荐
- 企业网络安全架构设计之IPSec VPN应用配置举例
文章目录 1. 需求分析 组网拓扑: 组网需求: 2. 地址规划 终端设备地址规划: 网络设备地址规划: 3. 防火墙接口区域规划 4. 分支机构内网配置 LSW4交换机配置 FW1防火墙配置 检查配 ...
- Juniper防火墙系列-04-Juniper防火墙IPSec VPN的配置
Juniper 所有系列防火墙(除部分早期型号外)都支持 IPSec VPN,其配置方式有多种,包括:基于策略的 VPN.基于路由的 VPN.集中星形 VPN 和背靠背 VPN 等.在这里,我们主要介 ...
- 防火墙Ipsec vpn的配置
拓补图 1. IP地址的配置,略 2. 路由的配置 [FW1]ip route-static 0.0.0.0 0 100.1.1.1 [FW2]ip route-static 0.0.0.0 0 ...
- 基于HCL模拟器华三设备IPsec vpn的配置实验
IPsec VPN 实验 实验拓扑 图 1-1 注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此 ...
- 华为 eNsp ipSec vpn实验配置(1)
实验要求 配置PC1~PC2的路由可达 配置ACL匹配源IP192.168.1.0到192.168.2.0的数据包进行认证 配置SA建立方式为手工配置 实验拓扑 实验配置 AR1 ip route-s ...
- IPSEC VPN动态配置(示例)
用的锐捷设备. ipsec加密图用于对外接口上. IPsec 使用IPSec对本部到各分部的数据流进行加密.要求使用动态隧道主模式,安全协议采用esp协议,加密算法采用3des,认证算法采用md5,以 ...
- 玩转华为ENSP模拟器系列 | 配置基于路由的IPSec VdPdNd(采用预共享密钥认证)
素材来源:华为防火墙配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验 目标 ...
- GRE over IPsec VPN配置
GRE over IPsec VPN配置 [实验目的] 理解GRE Tunnel的概念. 理解GRE over IPsec VPN的概念. 掌握GRE Tunnel的配置. 掌握GRE over IP ...
- IPSec VPN的原理与配置
目录 IPSec 是什么: IPSec VPN 的应用场景: IPSec架构: 安全联盟SA IPSec传输模式 IPSec隧道模式 IPSec VPN的配置步骤(案例) 步骤: 项目需求: 案例TO ...
- IPSec VPN原理与配置
目录 一.实验原理 ipsec vpn的目的 ipsec vpn的原理 二. IPSec VPN概念 1.什么是IPSec 2.IPSec架构 3.SA (Security Association ...
最新文章
- android 串口开发_详细分析Esp8266上电信息打印的数据,如何做到串口通讯上电不乱码打印...
- UI基础视图----UIImageView总结
- 【安全报告】揭秘创建进程时ebx为什么指向peb的答案
- 1101 Quick Sort (25 分)【难度: 一般 / 知识点: 快排】
- vba根据内容调整word表格_【邮件合并】不会VBA也能批量生成Word封面
- 数据分析Python:sklearn数据预处理中fit(),transform()与fit_transform()的区别
- 一键安装lamp脚本--初级版
- linux查看usb文件,linux下查看usb个数
- css3盒子模型微课_CSS3 盒子模型
- python骰子游戏分析_python知识分解析掷骰子游戏
- Tanzu 学习系列之TKGm for vSphere 快速部署
- SSM实现秒杀系统案例
- uniapp在移动端软键盘监听(弹出,收起),及影响定位布局的问题
- 通用后台管理系统前端界面Ⅺ——信息列表页(弹窗复用增改、CRUD前端基础实现)
- 字节跳动混沌工程实践总结
- 全栈学习之CSS基础学习
- R语言-2*2卡方检验与效应量
- arcgis二次开发动态追踪以及提高
- 嵌入式系统主要应用哪些行业?
- 【深入理解CLR 三】生成、打包、部署和管理应用程序及类型
热门文章
- LoadRunner录制app脚本详解
- 江苏省秋c语言二级用什么软件,在哪里可以查到江苏省计算机c语言二级考试资料?...
- 科学的软件测试培训时间是多久?
- 电压/电流转换电路(类似于板子上的电路) op + 三极管
- 我拍了拍Redis,被移出了群聊···
- Java小程序之你画我猜
- C51编译出现 test.c(86): error C231: 'i2c_readbyte': redefinition
- 为什么我们要学习C语言?
- CRC_8循环冗余校验码verilog实现
- 基于Struts2的网上书城(仿当当网)系统设计与实现