应用场景之Dynamic End Point(DEP)IPSec的配置
DEP是什么
DEP是很多使用WAN链接各个分分支机构不可避免要考虑的方案。
DEP指的是IPSec双方不再使用IP地址进行相互验证,而是使用主机名负载进行验证的一种方式。在这种方式中,Initiator以不定地址向核心节点的Responder的固定地址发起请求。由于Initiator的地址不固定,因此就有了Dynamic End Point的名字。
因为一般的不适用固定IP的PPPoE服务相对价格低廉,而固定IP的专线服务,一般价格可以达到PPPoE服务的十倍以上,并且PPPoE拥有相对更大的下行带宽,可以显著的改善客户的使用体验。所以,掌握DEP的配置,就是每个SRX工程师所应当掌握的技能。
实验当中,我们使用两台J4350,软件版本为11.1R1.14,该实验的命令在其他所有版本当中没有变化。相应的配置脚本,大家可以根据页末的链接,去易思拓在线网络教育论坛的对应帖子当中去下载。
DEP在SRX当中,只能由Route-based IPSec去完成,Policy-based IPSec不能配置成为DEP。
拓扑和接口配置
如图所示,两台设备使用Ge-0/0/1.0进行互联,设备接口地址按照设备编号,Device1一侧的地址都是1,Device2一侧的地址都是2。为了测试两测的可达性,配置了lo0口作为标记,lo0的地址通过St0传送,以此来验证IPSec Tunnel的正常工作。
由于加密流量无法通过IDP或者SCREEN的审查,所以为了增加网络流量管理的灵活性,我们将St0口放在单独的一个zone里,名为×××。其他相关接口的zone如下表。
Interface | Zone | Mark |
Ge-0/0/1.0 | Outside | 互联端口 |
Lo0.0 | Inside | |
St0.0 | ××× | Secure Tunnel接口 |
尽管在接口配置当中,使用了固定的IP地址配置,但是IKE和IPSec的配置完全遵循了DEP的准则,就是作为Center的Device2是不使用IP地址来识别Device1,也就是远程DEP接入用户的。
IKE和IPSec配置
IKE的配置当中,Device1作为Center端,在IKE policy当中,指明IKE的工作模式是积极模式(Aggressive mode),至于为什么这里不能用主模式,请翻阅我们以前的专题。在Gateway配置当中,使用Dynamic选项来配置主机名;同理,在作为分支机构Branch的配置当中,也把自己的主机名作为关键的认证信息包含在IKE的第一个数据包当中请求通过验证。
------------------------Center Configuration----------------------------
lab@Device1# show security ike
proposal ROUTE_IKE_PRO {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm des-cbc;
}
policy ROUTE_IKE_POLICY {
mode aggressive;
proposals ROUTE_IKE_PRO;
pre-shared-key ascii-text "$9$t1JXOBEMWxdwg1Rxd"; ## SECRET-DATA
}
gateway ROUTE_IKE_GW {
ike-policy ROUTE_IKE_POLICY;
dynamic {
hostname "cisco@cisco.com";
connections-limit 100;
}
external-interface ge-0/0/1.0;
}
---------------------------------Branch Configuration---------------------
lab@Device2# show security ike
proposal ROUTE_IKE_PRO {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm des-cbc;
}
policy ROUTE_IKE_POLICY {
mode aggressive;
proposals ROUTE_IKE_PRO;
pre-shared-key ascii-text "$9$j7q.5CA0Ihrmf0I"; ## SECRET-DATA
}
gateway ROUTE_IKE_GW {
ike-policy ROUTE_IKE_POLICY;
address 192.168.12.1;
local-identity hostname "cisco@cisco.com";
external-interface ge-0/0/1.0;
}
IPSec的配置,Center和Branch的配置都是一样的,IKE的配置在这里被引用。在这里st0.0被绑定为route-based IPSec的接口。
------------------------IPSec configuration------------------------------
lab@Device1# show security ipsec
proposal ROUTE_IPSEC_PRO {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm des-cbc;
}
policy ROUTE_IPSEC_POLICY {
proposals ROUTE_IPSEC_PRO;
}
*** ROUTE_IPSEC_××× {
bind-interface st0.0;
ike {
gateway ROUTE_IKE_GW;
ipsec-policy ROUTE_IPSEC_POLICY;
}
establish-tunnels immediately;
}
验证IKE和IPSec 的工作
如图中红框所示,积极模式的IKE已经正常工作,并针对这个IKE,生成了两个方向的IPSec的SA。由于我们的ST0.0接口配置的地址是13.0.0.1和13.0.0.2,无论在Device1还是Device2,这两个地址都是可达的。
基本的OSPF配置
在这里,是为了验证st0.0接口对于OSPF的良好支持。当设备配置了st0.0接口,并将其加入OSPF区域当中的时候,系统会自动的把OSPF的类型改为point-to-point broadcast模式,并将相应的配置同步到OSPF当中,因而无须人力参与,OSPF邻居便可自动建立完成。
在本试验中,我们把st0.0和lo0.0口简单的宣告进OSPF区域当中,并由OSPF负责传递Device1和Device2的lo0.0路由。
[edit]
lab@Device1# show protocols ospf
area 0.0.0.0 {
interface st0.0;
interface lo0.0;
}
最终验证
最终验证主要通过两个方面。首先,两台设备的lo0.0接口应该能ping通,并且IPSec的状态数据应该随着时间的流逝而增加,因为OSPF会不断的发送hello来验证对端的状态。
配置文件下载链接,点击这里。
转载的请注明原出处:易思拓在线网络培训--http://www.5iit.cn
转载于:https://blog.51cto.com/blockeye/1248817
应用场景之Dynamic End Point(DEP)IPSec的配置相关推荐
- 华为设备IPsec简单配置
IPsec VPN 一.IPsec是什么? 1.1 定义 1.2 封装模式(传输模式.隧道模式) 1.3 安全协议(AH.ESP) 1.4 秘钥交换协议(IKE) 二.IPsec有什么用? 2.1 通 ...
- IPSec隧道配置案例(手动模式)
IPSec有点难需要掌握他的逻辑及框架然后就简单了 网络攻城狮眼里的烟花! IPSec VPN 配置案例 要求 拓扑 配置 基础配置 IPSec VPN配置 分析原因 解决方法 IPSec VPN I ...
- GRE over IPSec 隧道配置案例
我也想要一个美女老师教我学习网络. GRE over IPSec 配置案例 要求 拓扑 配置 基础配置 GRE VPN配置 配置路由 IPSec配置 GRE over IPSec 技术背景 工作流程 ...
- 华为路由器 IPSec VPN 配置
需求: 通过 IPSecVPN 实现上海与成都内网互通 拓扑图如下: 一.首先完成网络配置 1.R1 路由器设置 <Huawei>sys [Huawei]sys R1 [R1]un in ...
- eNSP之IPsec 虚拟专用网配置
eNSP之IPsec 虚拟专用网配置 VPN的定义 1.互联网存在各种安全隐患 - 网上传输的数据有被窃听的风险- 网上传输的数据有被篡改的危险- 通信双方有被冒充的风险 2.VPN (Virtual ...
- IPSEC VXN配置实例
今天给大家介绍一下IPSEC VXN的配置实例,适合对IPSEC理论有一定了解,但是对IPSEC配置还不清楚的同学,本文介绍的是最简单的IPSEC配置实例.如果想要了解IPSEC基础知识或者想要了解I ...
- GRE over IPsec VPN配置
GRE over IPsec VPN配置 [实验目的] 理解GRE Tunnel的概念. 理解GRE over IPsec VPN的概念. 掌握GRE Tunnel的配置. 掌握GRE over IP ...
- IPsec ×××路由器配置:ISAKMP策略
部署一个使用IPsec的IOS路由器要从配置ISAKMP策略和路由器的ISAKMP认证密钥数据开始.如果路由器仅仅与Site-to-Site拓扑中的另外一个路由器相连,那么ISAKMP配置就完成了.然 ...
- strongswan之ipsec.conf配置手册
ipsec.conf是strongSwan的关键配置,文件指定了strongSwan IPsec子系统的大部分配置和控制信息.主要的例外是身份验证的密钥,配置保存在ipsec.secrets文件中. ...
最新文章
- 剑指offer:面试题31. 栈的压入、弹出序列
- 2020mysql下载教程_Windows10 安装MySQL详细教程2020版 亲测亲写
- hitTest和pointInside如何响应用户点击事件
- 2020.12.17
- python创建子类_Python线程创建子类?
- 2018.11.03-dtoj-3130-流浪者(rover)
- linux查域名对应的ip 系统调用,DDNS 的工作原理及其在 Linux 上的实现
- OpenVINO 2019 R2.0 Custom Layer Implementation for linux(1)
- html下拉列表兼容性,下拉菜单select样式设置(兼容IE6/IE7/IE8/火狐)
- C++中的Overload、Override和Overwrite
- 【CentOS】 Nginx+jdk+tomcat 环境搭建
- 4.Kong入门与实战 基于Nginx和OpenResty的云原生微服务网关 --- Kong 的基本功能
- Intellij IDEA 报错java.lang.NoClassDefFoundError
- JAVA 连接sftp服务器,用户名密码方式链接(类似于FinalShell以ssh方式链接LINUX)
- Windows的SVN的下载和安装
- 步态分析——信度以及效度
- 15种不用花钱就能放生的方法,你知道吗?
- [docker]九、compose是什么?有什么用?以及用compose启动web、redis和wordpress
- PS-fourday-套索工具组(抠图强化)
- 【Elasticsearch】elasticsearch–ik安装
热门文章
- MQTT工作笔记0004---CONNECT控制报文1
- IntelliJ Idea学习笔记003---IDEA中打开Run DashBoard的方法
- android学习笔记---53_采用网页设计软件界面,以及使用android系统内置的浏览器,利用js调用java方法
- test dword ptr [eax],eax ; probe page.
- BCD与ASCII码互转-C语言实现
- C#动态生成Word文档并填充数据(二)
- c语言用栈输出迷宫所有路径,如何在迷宫中使用到栈
- linux查usb版本,怎么查看 ubuntu usb版本
- 用汇编的眼光看C++(之 总结篇)
- 仿生蠕虫机器人制作步骤_鸭子机器人领衔,盘点2019年上半年那些有趣的仿生机器人...