HCIE-Security Day27:IPSec:实验(二)两个网关之间通过手工方式创建IPSec PN隧道
手工方式ipsec安全策略所有的安全参数都需要手工配置,配置工作量大,因而适用于小型静态环境。
需要用户分别针对出入方向sa手工配置认证/加密密钥、spi等参数,并且隧道两端的这些参数都需要镜像配置,即本段的入方向sa参数必须和对端的出方向sa参数一样,本端的出方向sa参数必须和对端的入方向sa参数一样。
需求和拓扑
网络A和网络B之间采用网关对网关组网模式进行资源传输。网络A和网络B分别通过FW_A和FW_B连接到Internet。网络环境描述如下:
网络A属于10.1.1.0/24子网,通过接口GigabitEthernet 0/0/3与FW_A连接。
FW_A和FW_B路由可达。
操作步骤
1、配置接口ip地址、安全区域、公网路由可达(略)
2、配置安全策略(暂时配全通)
3、配置感兴趣流
//f1
acl number 3000rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
//f2
acl number 3000rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
4、配置ipsec安全提议
包括ipsec使用的安全协议,认证、加密算法以及数据封装模式,定义了ipsec的保护方法,为ipsec协商sa提供各种安全参数。
//f1f2
ipsec proposal tran1
encapsulation-mode tunnel//缺省免配
transform esp//缺省免配esp authentication-algorithm sha2-256esp encryption-algorithm aes-256
5、配置ipsec安全策略
源目地址
对于ike动态协商方式的安全策略,一般不需要配置ipsec隧道的本端地址,sa协商时会根据路由选择ipsec隧道的本段地址。
但是当使用手工方式的安全策略,必须设置本端地址才能创建sa。
当安全策略实际绑定的接口ip地址不固定或者无法预知的时候,可以使用tunnel local指定设备上的其他接口如loopback接口的ip地址作为ipsec隧道的本端ip地址。
当本端和对端存在等价路由时,可以执行tunnel local来指定ipsec隧道的本端ip地址。
spi
ipsec sa由一个三元组唯一标识,这个三元组包括spi、目的ip地址、安全协议号。其中,spi用于在接收端识别数据流与ipse sa的绑定关系。
配置手工方式ipsec安全策略时,必须配置入方向和出方向sa的spi,并且本端入方向的sa的spi必须和对端出方向sa的spi一样,本端出方向sa的spi必须和对端入方向的spi一样。
对于ike协商方式的安全策略,不需要设置spi,ike将自动协商ipsec sa的spi。
spi是整数形式,取值范围是256-4294967295.
string-key
在配置手工方式安全策略时,当引用的ipsec安全提议选择了认证算法时,需要用户分别针对出入方向sa手工配置认证密钥,并且本端的入方向sa的认证密钥必须和对端的出方向sa的认证密钥相同,同时本端的出方向sa必须和对端的入方向相同。
对于ike自动协商的安全策略,不需要设置sa的认证密钥,ike会自动协商ipsec sa的认证密钥。
//f1
ipsec policy map1 10 manualsecurity acl 3000proposal tran1tunnel local 1.1.3.1//配置ipsec隧道的起点和终点tunnel remote 1.1.5.1sa spi inbound esp 12345678sa string-key inbound esp abcdefgsa spi outbound esp 87654321sa string-key outbound esp gfedcba
//f2
ipsec policy map1 10 manualsecurity acl 3000proposal tran1tunnel local 1.1.5.1tunnel remote 1.1.3.1sa spi inbound esp 87654321//inbound和outbound镜像对应sa string-key inbound esp gfedcba//inbound和outbound镜像对应sa spi outbound esp 12345678//inbound和outbound镜像对应sa string-key outbound esp abcdefg//inbound和outbound镜像对应
6、公网接口上应用该安全策略
//f1f2
interface GigabitEthernet1/0/1ipsec policy map1验证和分析
1、检查安全联盟建立情况
[f1]dis ipsec sa
2022-03-18 06:59:11.690 ipsec sa information:===============================
Interface: GigabitEthernet1/0/1
===============================-----------------------------IPSec policy name: "map1"Sequence number : 10Acl group : 3000Acl rule : -Mode : Manual-----------------------------Encapsulation mode: TunnelTunnel local : 1.1.3.1:0Tunnel remote : 1.1.5.1:0[Outbound ESP SAs] SPI: 87654321 (0x5397fb1)Proposal: ESP-ENCRYPT-AES-256 ESP-AUTH-SHA2-256-128SA encrypted packets (number/bytes): 0/0No duration limit for this SA[Inbound ESP SAs] SPI: 12345678 (0xbc614e)Proposal: ESP-ENCRYPT-AES-256 ESP-AUTH-SHA2-256-128SA decrypted packets (number/bytes): 0/0No duration limit for this SAAnti-replay : Disable
在r1上可以ping通r2,之后可以检查被加密的数据
[f1]dis ipsec statistics
2022-03-18 07:00:46.760 IPSec statistics information:Number of IPSec tunnels: 1Number of standby IPSec tunnels: 0the security packet statistics:input/output security packets: 9/9 input/output security bytes: 756/756 input/output dropped security packets: 0/0 the encrypt packet statistics: send chip: 9, recv chip: 9, send err: 0local cpu: 9, other cpu: 0, recv other cpu: 0intact packet: 9, first slice: 0, after slice: 0the decrypt packet statistics:send chip: 9, recv chip: 9, send err: 0local cpu: 9, other cpu: 0, recv other cpu: 0reass first slice: 0, after slice: 0dropped security packet detail:can not find SA: 0, wrong SA: 0authentication: 0, replay: 0 front recheck: 0, after recheck: 0change cpu enc: 0, dec change cpu: 0 fib search: 0, output l3: 0flow err: 0, slice err: 0, byte limit: 0slave drop: 0negotiate about packet statistics:IKE fwd packet ok: 218, err: 0 IKE ctrl packet inbound ok: 218, outbound ok: 219SoftExpr: 0, HardExpr: 0, DPDOper: 0trigger ok: 1, switch sa: 2, sync sa: 0 recv IKE nat keepalive: 0, IKE input: 0
HCIE-Security Day27:IPSec:实验(二)两个网关之间通过手工方式创建IPSec PN隧道相关推荐
- 玩转华为ENSP模拟器系列 | 两个网关之间通过IKE方式协商IPSec VdPdNd隧道(采用证书认证)
素材来源:华为防火墙配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验 目标 ...
- 玩转华为ENSP模拟器系列 | 两个网关之间利用Tunnel接口实现IPSec VdPdNd隧道多链路备份
素材来源:华为防火墙配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验 目标 ...
- 华为IPSEC-×××-典型配置举例1-采用手工方式建立IPsec 安全隧道
华为IPSEC-×××-典型配置举例1-采用手工方式建立IPsec 安全隧道 一:企业组网需求: 1, 某公司(总部在北京)有两个子公司分别在上海和广州,要求通过×××实现公司之间相互通 ...
- 玩转华为ENSP模拟器系列 | 两个网关之间存在NAT设备时通过IKE方式协商IPSec VdPdNd隧道(总部不指定分支IP地址)
素材来源:华为防火墙配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验 目标 ...
- 玩转华为ENSP模拟器系列 | 两个网关之间配置IPSec VdPdNd主备链路备份
素材来源:华为防火墙配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验 目标 ...
- 使用Block在两个界面之间传值
首先,创建两个视图控制器,在第一个视图控制器中创建一个UILabel和一个UIButton,其中UILabel是为了显示第二个视图控制器传过来的字符串,UIButton是为了push到第二个界面. 第 ...
- activiti7可以两个网关连着用吗
答案:不可以,会报错,可以在两个网关之间设置一个空白节点,根据流程走向使用代码完成空白节点.
- OpenGL南邮计算机图形学实验报告二——两个纹理的渐变变换和移动
OpenGL南邮计算机图形学实验报告二--两个纹理的渐变变换和移动 计算机图形学的新题目要求 OpenGL配置参考: 南邮老前辈wonz哥的OpenGL配置(Shader.h始终不用改).SOIL2 ...
- C++ 实验二 NO.4 字符串合并:输入两个已经按从小到大顺序排列好的字符串,编写一个合并两个字符串的函数,使合并后的字符串,仍然是从小到大排列。
//******************************************************************************************** //*程序 ...
- matlab联立两个方程组求解,实验二 Matlab求解数学问题(终稿)2
实验二 MATLAB求解数学问题 2.1实验目的 掌握MATLAB在大学数学问题中的基本应用,会使用MATLAB软件求解高等数学.线性代数和概率统计中的常见问题. 2.2实验要求 掌握MATLAB简单 ...
最新文章
- python源代码-python源码
- log4j无法显示mybatis sql
- BZOJ 5394 [Ynoi2016]炸脖龙 (线段树+拓展欧拉定理)
- DDD理论学习系列(8)-- 应用服务领域服务
- H323plus的学习使用(3)——加载H.264插件
- Spring MVC学习总结(14)——SpringMVC测试框架之mockMVC详解
- 二维正则表达式v0.1
- 05DotNet基本常用类库
- MarkDown -- 基本语法
- Pycharm装不上torch的解决办法!!!
- 计算机连接无线网络的步骤,手机连接电脑wifi上网的方法步骤
- 树莓派通过局域网实现远程开机(wake on lan)
- 国内最新可用Google谷歌镜像网站入口网站网址
- GATK官方文档翻译--Spark
- 台式计算机连网需要什么,台式电脑无线网络连接需要什么设备
- Java实现角度转换器
- android MediaPlayer SurfaceView 网络视频播放器
- 百家号怎么出爆文?10W+爆文技巧,轻松运营百家号
- angular8 富文本编辑_angular富文本编辑器tinymce-angular
- word2003如何设置护眼模式_在word中开启保护眼睛模式的详细教程