IPSec是基于定义的感兴趣流触发对特定数据的保护,至于什么样的数据是需要IPSec保护的,可以通过以下两种方式定义。其中IPSec感兴趣流即需要IPSec保护的数据流。

此前使用的都是acl方式定义的感兴趣流。

还有一种方式是路由方式。

通过ipsec虚拟隧道接口建立ipsec隧道,将所有路由到ipsec虚拟隧道接口的报文都进行ipsec保护,根据该路由的目的地址确定哪些数据流需要ipsec保护,其中ipsec虚拟隧道接口具有以下优点。

简化配置:不需使用acl定义流量特征

支持动态路由协议

通过gre over ipsec支持对组播流量的保护

虚拟隧道接口(即tunnel接口)是一种三层逻辑接口,通过配置tunnel接口,并在tunnel接口上应用ipsec安全框架建立ipsec隧道。在tunnel接口上应用ipsec安全框架后,系统只会生成一条ipsec隧道,并对所有路由到该隧道接口的数据流进行ipsec保护。

ipsec的tunnel接口的ip地址可以手工配置,可以ikev2协商申请。后者适用于大规模分支接入总部场景。

需求和拓扑

网络A和网络B分别通过FW_A和FW_B连接到Internet。网络环境描述如下:

通过组网实现如下需求:在FW_A和FW_B之间建立基于路由的IPSec隧道,使网络A和网络B的用户可通过IPSec隧道互相访问。

操作步骤

1、配置接口地址和安全区域

2、配置公网路由可达

3、配置安全策略全通

4、配置tunnel接口

//f1
interface Tunnel1ip address 172.16.1.2 255.255.255.0tunnel-protocol ipsecsource 1.1.3.1destination 1.1.5.1//f2
interface Tunnel1ip address 172.16.2.2 255.255.255.0tunnel-protocol ipsecsource 1.1.5.1destination 1.1.3.1

4.1、配置路由,将需要经过ipsec隧道传输的流量引入ipsec隧道中。

//f1
ip route-static 10.1.2.0 255.255.255.0 Tunnel1
//f2
ip route-static 10.1.1.0 255.255.255.0 Tunnel1

5、配置ipsec

5.1、配置ipsec安全提议

ipsec proposal tran1esp authentication-algorithm sha2-256esp encryption-algorithm aes-256

5.2、配置ike安全提议

ike proposal 10encryption-algorithm aes-256dh group14authentication-algorithm sha2-256authentication-method pre-shareintegrity-algorithm hmac-sha2-256prf hmac-sha2-256

5.3、配置ike peer(注意不配remote-address)

//f1
ike peer bpre-shared-key Test!1234ike-proposal 10
//f2
ike peer apre-shared-key Test!1234ike-proposal 10

5.4、配置ipsec安全框架

ipsec安全框架定义了对数据流的保护方法,比如使用的ipsec安全提议、自动协商sa的ike协商参数、sa的生存周期等。一个ipsec安全框架相当一个ipsec安全策略,但是与ipsec安全策略不同的是:安全框架由名称唯一确定,且只能通过ike协商方式配置。

为了保证ike协商成功,安全框架中所有配置的参数都必须在本端和对端相匹配。

ipsec安全框架无需通过acl定义数据流,而是保护所有引入到ipsec隧道即tunnel的数据流。

//f1
ipsec profile pro1ike-peer b  proposal tran1
//f2
ipsec profile pro1ike-peer aproposal tran1

5.5、在tunnel接口上应用ipsec安全框架

在ipsec虚拟隧道接口下应用ipsec安全框架后只会生成一条ipsec隧道,并对所有路由到该隧道接口的数据流进行ipsec保护,简化了安全策略管理的复杂度。

interface tunnel 1
ipsec profile pro1

验证和分析

1、检查ike sa和ipsec sa的建立情况

[f2]dis ike sa
2022-03-20 14:15:26.690 IKE SA information :Conn-ID    Peer                                          VPN              Flag(
s)               Phase  RemoteType  RemoteID
--------------------------------------------------------------------------------
----------------------------------------------------15         1.1.3.1:500                                                    RD|ST
|A               v2:2   IP          1.1.3.1         14         1.1.3.1:500                                                    RD|ST
|A               v2:1   IP          1.1.3.1         Number of IKE SA : 2
--------------------------------------------------------------------------------
----------------------------------------------------Flag Description:RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUTHRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UPM--ACTIVE   S--STANDBY   A--ALONE  NEG--NEGOTIATING
[f2]dis ipsec sa brief
2022-03-20 14:15:42.870 IPSec SA information:Src address                             Dst address                          SPIVPN                                     Protocol                             Algorithm-------------------------------------------------------------------------------
-------------------------------------------1.1.3.1                                 1.1.5.1                              186134018 ESP                                  E:AES-256 A:SHA2_256_1281.1.5.1                                 1.1.3.1                              196568654 ESP                                  E:AES-256 A:SHA2_256_128Number of IPSec SA : 2-------------------------------------------------------------------------------
------------------------------------

HCIE-Security Day30:IPSec:实验(五)配置基于路由的IPSec PN(采用预共享密钥认证)相关推荐

  1. 玩转华为ENSP模拟器系列 | 配置基于路由的IPSec VdPdNd(采用预共享密钥认证)

    素材来源:华为防火墙配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验 目标 ...

  2. IPsec IKEv1中预共享密钥下使用标识符进行表示出现的问题

    问题描述 如图所示,在IKEv1的主模式下使用标识符的方式而不是使用IP地址的方式去标识IPsec的双端就会导致主模式无法协商完成的情况,其主要原因就是主模式无法根据第一次数据报的交互中找寻到相关的预 ...

  3. 使用IKE预共享密钥配置IPsec

    使用IKE预共享密钥配置IPsec        配置IKE预共享密钥的过程         1 为IKE和IPSEC准备            1检查当前配置 show running-config ...

  4. 华为IPsec预共享密钥配置命令汇总

    IKE协商对象创建 ike proposal xx //创建ike协商   authentication-method xx //设置认证方式   authentication-algorithm x ...

  5. IPsec+预共享密钥的IKE野蛮模式

    目标 配置 IPsec+预共享密钥的IKE 野蛮模式 步骤一.配置各接口IP地址 步骤二.配置默认路由 [RTB]ip route-static 0.0.0.0 0 2.2.2.2 步骤三:配置公网连 ...

  6. 基于strongSwan配置预共享密钥的IPsec实验

    实验环境 VMware  Workstation 10.0.0 + ubuntu-18.04/16.04 + strongSwan 实验方案 1. 使用VMware创建2台虚拟机. 2. 每台虚拟机下 ...

  7. 思科与H3C IPSec 预共享密钥和证书认证 ,NAT穿越综合实验

    目录 拓扑图 实验要求 AR1思科与AR2思科设备配置 CA服务器 AR1思科与AR3华三设备配置 AR1配置NAT ​ 拓扑图 地址分配表 AR1 Gi0/0 10.10.1.2   Gi0/1 1 ...

  8. 第四次计算机网络实验课——配置静态路由

    配置静态路由 路由器可以将不同网段之间的网络连接到一起,当路由器接收到数据包后要查看数据包中的目标IP,再检查自己的路由表,如果路由表中有和目标IP相匹配的路由条目,路由器才能将数据包按照该路由条目所 ...

  9. 实验四 配置默认路由

    要求: 配置静态路由,实现全网互通. 基础配置 1. 设置路由器R1和R2的IP地址: 2. 为PC1-PC3设置IP地址,并将网关指为R1的F0/0的地址1.251,将PC4的网关设为3.1. 3. ...

  10. 思科路由器IKEV2 L2L***预共享密码认证最简化配置

    一.概述: 思科路由器对于IKEV2,是有很多预配的,因此可以很少的配置就能完成IKEV2的配置. 二.基本思路: A.两边都用SVTI的方式配置Flex *** B.没有用动态路由,配置静态路由,如 ...

最新文章

  1. 用加密货币连接业务的6种方法
  2. 36. Valid Sudoku数独判断
  3. 11 ORA系列:ORA-01791: 不是 SELECTed 表达式(distinct使用注意点)
  4. java后台验证不能为空_java validation 后台参数验证的使用详解
  5. redis服务器学习一
  6. NVIDIA发布先进的软件定义自主机器平台DRIVE AGX Orin
  7. 利用切片操作,实现一个trim()函数,去除字符串首尾的空格
  8. 线程安全的Singleton模板
  9. 「镁客·请讲」小i机器人朱频频:会话AI将成为主流人机交流方式,积累和深度学习是关键...
  10. Python写数据结构:二叉树的创建和遍历
  11. 台式计算机颜色如何矫正,台式机怎么颜色校正操作教程
  12. linux添加usb打印机,打印机配置和添加本地打印机
  13. php读取 rinex,用Pandas读取GPS RINEX数据
  14. editormd html 转义,Markdown(editormd)语法解析成HTML
  15. WinZip for Mac注册版
  16. ewebeditor网页文本编辑器、图片回显、弹窗自动关闭并刷新父页面
  17. shader篇-立方体纹理
  18. 最好用最清爽的json在线编辑器
  19. 如何在交通事故中保障自己的安全
  20. 为什么毕业一年了工资还是只有7K

热门文章

  1. 【NLP】目前有比Topic Model更先进的聚类方式么?比如针对短文本的、加入情感分析的?...
  2. 【Github】nlp-journey: NLP相关代码、书目、论文、博文、算法、项目资源链接
  3. 初学者|一起来看看词性标注
  4. 校招 C++ 大概学习到什么程度?
  5. Spring经典高频面试题,原来是长这个样子
  6. 深入C++“准”标准库,Boost你的力量
  7. 探寻成功之路 企业共同关心
  8. 17.3加入知识的文本增强
  9. CVR预估模型-ESMM
  10. 字符编码ASCII,Unicode和UTF-8