目录

概念

阶段一

阶段二

IPSec的配置实验

先进行基配置，保证路由可达

配置阶段一

配置ike提案

配置ike邻居

配置阶段二

定义感兴趣流

把ipsec策略应用到接口

结果测试

---

概念

IPSec是一个框架，它不是具体指某个协议，而是定义了一个框架，由各种协议组和协商而成。该框架涉及到的主要有加密算法、验证算法、封装协议、封装模式、密钥有效期等等。

IPSecVPN建立的前提：要想在两个站点之间安全的传输IP数据流，它们之间必须要先进行协商，协商它们之间所采用的加密算法，封装技术以及密钥。

分为两个阶段，第一个是建立管理连接，第二个阶段是建立数据连接

阶段一：

在两个对等体设备之间建立一个安全的管理连接。没有实际的数据通过这个连接。这个管理连接是用来保护第二阶段协商过程的。

阶段一需要协商的内容：

1.双方使用什么加密算法进行加密（des、3des、aes）

2.摘要（完整性）认证的方式（MD5、SHA）

3.采用的密钥共享方式（预共享密钥，CA数字签名、公钥认证）

4.使用的密钥强度DH组（越大加密强度越高）

5.管理连接生存时间（默认一天，单位秒）

6.协商模式（主模式或积极模式）

阶段二：

当对等体之间有了安全的管理连接之后，它们就可以接着协商用于构建安全数据连接的安全参数，这个协商过程是安全的，加密的。协商完成后，将在两个站点间形成安全的数据连接。

阶段二需要协商的内容：

1.传输模式（隧道模式还是传输模式）

2.封装技术（ESP、AH）

3.传输过程中数据的加密方式（des、3des、aes）

4.传输过程中数据的认证方式（MD5、SHA）

3.定义感兴趣（定义需要使用IPSec的流量）

IPSec的配置实验

拓扑图

先进行基配置，保证路由可达

AR1

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys ar1
[ar1]int g0/0/0
[ar1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
Sep  8 2022 15:22:35-08:00 ar1 %%01IFNET/4/LINK_STATE(l)[1]:The line protocol IPon the interface GigabitEthernet0/0/0 has entered the UP state.
[ar1-GigabitEthernet0/0/0]
[ar1-GigabitEthernet0/0/0]int g0/0/1
[ar1-GigabitEthernet0/0/1]ip add 12.1.1.1 24
Sep  8 2022 15:23:06-08:00 ar1 %%01IFNET/4/LINK_STATE(l)[2]:The line protocol IPon the interface GigabitEthernet0/0/1 has entered the UP state.
[ar1-GigabitEthernet0/0/1]quit
[ar1]ip rou
[ar1]ip route
[ar1]ip route-static 0.0.0.0 0 12.1.1.2

AR2

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys ar2
[ar2]int g0/0/0
[ar2-GigabitEthernet0/0/0]ip add 12.1.1.2 24
Sep  8 2022 15:23:55-08:00 ar2 %%01IFNET/4/LINK_STATE(l)[0]:The line protocol IPon the interface GigabitEthernet0/0/0 has entered the UP state.
[ar2-GigabitEthernet0/0/0]int g0/0/1
[ar2-GigabitEthernet0/0/1]ip add 23.1.1.2 24
Sep  8 2022 15:24:05-08:00 ar2 %%01IFNET/4/LINK_STATE(l)[1]:The line protocol IPon the interface GigabitEthernet0/0/1 has entered the UP state.
[ar2-GigabitEthernet0/0/1]quit
[ar2]
[ar2]ip rou
[ar2]ip route
[ar2]ip route-static 172.16.1.0 24 23.1.1.3
[ar2]ip rou
[ar2]ip route
[ar2]ip route-static 192.168.1.0 24 12.1.1.1

AR3

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys ar3
[ar3]int g0/0/0
[ar3-GigabitEthernet0/0/0]ip add 172.16.1.254 24
Sep  8 2022 15:24:55-08:00 ar3 %%01IFNET/4/LINK_STATE(l)[0]:The line protocol IPon the interface GigabitEthernet0/0/0 has entered the UP state.
[ar3-GigabitEthernet0/0/0]int g0/0/1
[ar3-GigabitEthernet0/0/1]ip add 23.1.1.3 24
Sep  8 2022 15:25:11-08:00 ar3 %%01IFNET/4/LINK_STATE(l)[1]:The line protocol IPon the interface GigabitEthernet0/0/1 has entered the UP state.
[ar3-GigabitEthernet0/0/1]quit
[ar3]ip route-static 0.0.0.0 0 23.1.1.2

测试连通性

配置阶段一

配置ike提案

[ar1]ike proposal 1
[ar1-ike-proposal-1]encryption-algorithm aes-cbc-256
[ar1-ike-proposal-1]authentication-algorithm sha1
[ar1-ike-proposal-1]authentication-method pre-share
[ar1-ike-proposal-1]dh group14
[ar1-ike-proposal-1]sa duration 1200
[ar1-ike-proposal-1]quit

AR3

[ar3]ike proposal 1
[ar3-ike-proposal-1]encryption-algorithm aes-cbc-256
[ar3-ike-proposal-1]authentication-algorithm sha1
[ar3-ike-proposal-1]authentication-method pre
[ar3-ike-proposal-1]authentication-method pre-share
[ar3-ike-proposal-1]dh group14
[ar3-ike-proposal-1]sa duration 1200
[ar3-ike-proposal-1]quit

配置ike邻居

[ar1]ike peer 1 v2
[ar1-ike-peer-1]remote-address 23.1.1.3
[ar1-ike-peer-1]pre-shared-key s
[ar1-ike-peer-1]pre-shared-key simple 123456789
[ar1-ike-peer-1]ike-proposal 1
[ar1-ike-peer-1]quit

[ar3]ike peer 1 v2
[ar3-ike-peer-1]remote-address 12.1.1.1
[ar3-ike-peer-1]pre-shared-key simple 123456789
[ar3-ike-peer-1]ike-proposal 1

配置阶段二

定义感兴趣流

高级acl，需要从进行IPSecVPN的流量

[ar1]acl 3000
[ar1-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 destination 172.16
.1.0 0.0.0.255
[ar1-acl-adv-3000]quit

[ar3]acl 3000
[ar3-acl-adv-3000]rule permit ip source 172.16.1.0 0.0.0.255 destination 192.168
.1.0 0.0.0.255
[ar3-acl-adv-3000]quit

定义IPSec提案

[ar1]ipsec proposal 1
[ar1-ipsec-proposal-1]encapsulation-mode tunnel
[ar1-ipsec-proposal-1]esp authentication-algorithm sha1
[ar1-ipsec-proposal-1]esp encryption-algorithm aes-256
[ar1-ipsec-proposal-1]quit

[ar3]ipsec proposal 1
[ar3-ipsec-proposal-1]encapsulation-mode tunnel
[ar3-ipsec-proposal-1]esp encryption-algorithm aes-256
[ar3-ipsec-proposal-1]esp authentication-algorithm sha1
[ar3-ipsec-proposal-1]quit

IPsec 策略

[ar1]ipsec policy 1 1 isakmp
[ar1-ipsec-policy-isakmp-1-1]security acl 3000
[ar1-ipsec-policy-isakmp-1-1]proposal 1
[ar1-ipsec-policy-isakmp-1-1]ike-peer 1

[ar3]ipsec policy 1 1 isakmp
[ar3-ipsec-policy-isakmp-1-1]security acl 3000
[ar3-ipsec-policy-isakmp-1-1]proposal 1
[ar3-ipsec-policy-isakmp-1-1]ike-peer 1

把ipsec策略应用到接口

[ar1]int g0/0/1
[ar1-GigabitEthernet0/0/1]ipsec policy 1

[ar3]int g0/0/1 
[ar3-GigabitEthernet0/0/1]ipsec policy 1

结果测试

pc2 ping pc1

在AR1和AR2之间抓包

可以看出IPsec的数据包和普通的ICMP还是有很大不同的，这里面的数据被进行了加密

在AR1上查询阶段一的连接

再查询一下阶段二

简单的IPSecVPN实验就配置完成了，如有错误，欢迎指出！！！

华为IPSec VPN的配置相关推荐

1. 企业网络安全架构设计之IPSec VPN应用配置举例

   文章目录 1. 需求分析 组网拓扑: 组网需求: 2. 地址规划 终端设备地址规划: 网络设备地址规划: 3. 防火墙接口区域规划 4. 分支机构内网配置 LSW4交换机配置 FW1防火墙配置 检查配 ...

2. Juniper防火墙系列-04-Juniper防火墙IPSec VPN的配置

   Juniper 所有系列防火墙(除部分早期型号外)都支持 IPSec VPN,其配置方式有多种,包括:基于策略的 VPN.基于路由的 VPN.集中星形 VPN 和背靠背 VPN 等.在这里,我们主要介 ...

3. 防火墙Ipsec vpn的配置

   拓补图 1.  IP地址的配置,略 2. 路由的配置 [FW1]ip route-static  0.0.0.0 0 100.1.1.1 [FW2]ip route-static 0.0.0.0 0 ...

4. 基于HCL模拟器华三设备IPsec vpn的配置实验

   IPsec VPN 实验 实验拓扑 图 1-1 注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此 ...

5. 华为 eNsp ipSec vpn实验配置（1）

   实验要求 配置PC1~PC2的路由可达 配置ACL匹配源IP192.168.1.0到192.168.2.0的数据包进行认证 配置SA建立方式为手工配置 实验拓扑 实验配置 AR1 ip route-s ...

6. IPSEC VPN动态配置（示例）

   用的锐捷设备. ipsec加密图用于对外接口上. IPsec 使用IPSec对本部到各分部的数据流进行加密.要求使用动态隧道主模式,安全协议采用esp协议,加密算法采用3des,认证算法采用md5,以 ...

7. 玩转华为ENSP模拟器系列 | 配置基于路由的IPSec VdPdNd（采用预共享密钥认证）

   素材来源:华为防火墙配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验 目标 ...

8. GRE over IPsec VPN配置

   GRE over IPsec VPN配置 [实验目的] 理解GRE Tunnel的概念. 理解GRE over IPsec VPN的概念. 掌握GRE Tunnel的配置. 掌握GRE over IP ...

9. IPSec VPN的原理与配置

   目录 IPSec 是什么: IPSec VPN 的应用场景: IPSec架构: 安全联盟SA IPSec传输模式 IPSec隧道模式 IPSec VPN的配置步骤(案例) 步骤: 项目需求: 案例TO ...

10. IPSec VPN原理与配置

    目录 一.实验原理 ipsec vpn的目的 ipsec vpn的原理 二.  IPSec VPN概念 1.什么是IPSec 2.IPSec架构 3.SA  (Security Association ...

最新文章

1. android 串口开发_详细分析Esp8266上电信息打印的数据，如何做到串口通讯上电不乱码打印...
2. UI基础视图----UIImageView总结
3. 【安全报告】揭秘创建进程时ebx为什么指向peb的答案
4. 1101 Quick Sort (25 分)【难度: 一般 / 知识点: 快排】
5. vba根据内容调整word表格_【邮件合并】不会VBA也能批量生成Word封面
6. 数据分析Python：sklearn数据预处理中fit(),transform()与fit_transform()的区别
7. 一键安装lamp脚本--初级版
8. linux查看usb文件,linux下查看usb个数
9. css3盒子模型微课_CSS3 盒子模型
10. python骰子游戏分析_python知识分解析掷骰子游戏
11. Tanzu 学习系列之TKGm for vSphere 快速部署
12. SSM实现秒杀系统案例
13. uniapp在移动端软键盘监听（弹出，收起），及影响定位布局的问题
14. 通用后台管理系统前端界面Ⅺ——信息列表页（弹窗复用增改、CRUD前端基础实现）
15. 字节跳动混沌工程实践总结
16. 全栈学习之CSS基础学习
17. R语言-2*2卡方检验与效应量
18. arcgis二次开发动态追踪以及提高
19. 嵌入式系统主要应用哪些行业？
20. 【深入理解CLR 三】生成、打包、部署和管理应用程序及类型

热门文章

1. LoadRunner录制app脚本详解
2. 江苏省秋c语言二级用什么软件,在哪里可以查到江苏省计算机c语言二级考试资料？...
3. 科学的软件测试培训时间是多久？
4. 电压/电流转换电路(类似于板子上的电路) op + 三极管
5. 我拍了拍Redis，被移出了群聊···
6. Java小程序之你画我猜
7. C51编译出现 test.c(86): error C231: 'i2c_readbyte': redefinition
8. 为什么我们要学习C语言？
9. CRC_8循环冗余校验码verilog实现
10. 基于Struts2的网上书城（仿当当网）系统设计与实现