安全防御 --- IPSec理论(02)_encapsulation-mode transport

于 2024-05-14 10:59:32 发布
阅读量406 收藏 6
点赞数 5
分类专栏: 程序员 文章标签: 安全 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84969642/article/details/138845863
版权

保证基础网络可达
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip add 100.1.1.1 24
[r1]ip route-static 0.0.0.0 0 100.1.1.2

[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip add 100.1.1.2 24
[ISP]int g0/0/1
[ISP-GigabitEthernet0/0/1]ip ad 100.1.2.1 24

[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ip add 100.1.2.2 24
[r2]ip route-static 0.0.0.0 0 100.1.2.1

[r1]int LoopBack 0
[r1-LoopBack0]ip add 172.16.10.1 24
[r2]int LoopBack 0
[r2-LoopBack0]ip add 172.16.1.1 24


![](https://img-blog.csdnimg.cn/af1d65bc077b471999ecd0c1aabe3e28.png)


#### (1)配置 IKE SA


**<1> 安全提议**

[r1]ike proposal 1 // 安全提议编号
[r1-ike-proposal-1]encryption-algorithm 3des-cbc // 加密算法(3des)
[r1-ike-proposal-1]authentication-algorithm sha1 // 认证算法(sha1)
[r1-ike-proposal-1]authentication-method pre-share // 认证模式(预共享:pre)
[r1-ike-proposal-1]dh group2 // 非对称加密算法强度

[r1]dis ike proposal — 查看未显示以及默认配置

Number of IKE Proposals: 2

IKE Proposal: 1
Authentication method : pre-shared
Authentication algorithm : SHA1
Encryption algorithm : 3DES-CBC
DH group : MODP-1024
SA duration : 3600
PRF : PRF-HMAC-SHA

IKE Proposal: Default
Authentication method : pre-shared
Authentication algorithm : SHA1
Encryption algorithm : DES-CBC
DH group : MODP-768
SA duration : 86400
PRF : PRF-HMAC-SHA

[r2]ike proposal 1
[r2-ike-proposal-1]encryption-algorithm 3des-cbc
[r2-ike-proposal-1]dh group2
[r2-ike-proposal-1]sa duration 3600


PRF:完美向前法。


**<2> 安全认证**

[r1]ike peer 12 v1 // ike认证名称和版本
[r1-ike-peer-12]exchange-mode main // 模式选择(默认主模式)
[r1-ike-peer-12]pre-shared-key cipher 234 // 编译预共享密钥
[r1-ike-peer-12]ike-proposal 1 // 调用安全提议
[r1-ike-peer-12]remote-address 100.1.2.2 // 调用远端地址

[r2]ike peer 12 v1
[r2-ike-peer-12]ike-proposal 1
[r2-ike-peer-12]pre-shared-key cipher 234
[r2-ike-peer-12]remote-address 100.1.1.1
[r2-ike-peer-12]exchange-mode main


#### (2)配置IPSec  SA 安全提议信息

[r1]ipsec proposal 1 // ipsec提议
[r1-ipsec-proposal-1]transform esp // 选择传输协议
[r1-ipsec-proposal-1]esp authentication-algorithm sha2-512 // 认证算法
[r1-ipsec-proposal-1]esp encryption-algorithm aes-128 // 加密算法
[r1-ipsec-proposal-1]encapsulation-mode tunnel // 封装模式(隧道模式)

[r1]dis ipsec proposal — 查看

Number of proposals: 1

IPSec proposal name: 1
Encapsulation mode: Tunnel
Transform : esp-new
ESP protocol : Authentication SHA2-HMAC-512
Encryption AES-128

[r2]ipsec proposal 1
[r2-ipsec-proposal-1]transform esp
[r2-ipsec-proposal-1]encapsulation-mode tunnel
[r2-ipsec-proposal-1]esp authentication-algorithm sha2-512
[r2-ipsec-proposal-1]esp encryption-algorithm aes-128


#### (3)定义加密流量(感兴趣流)

[r1]acl 3000
[r1-acl-adv-3000]rule 5 permit ip source 172.16.10.1 0.0.0.0 destination 172.16.1.1 0.0.0.0

[r2]acl 3000
[r2-acl-adv-3000]rule 5 permit ip source 172.16.1.1 0.0.0.0 destination 172.16.10.1 0.0.0.0


#### (4)配置安全策略集

[r1]ipsec policy k 10 isakmp — 定义名为k,序列号为10,运用isakmp(IKE)进行协商
[r1-ipsec-policy-isakmp-k-10]ike-peer 12 // 关联ike-peer
[r1-ipsec-policy-isakmp-k-10]security acl 3000 // 关联感兴趣流
[r1-ipsec-policy-isakmp-k-10]pfs dh-group2 // pfs:完美向前法

[r2]ipsec policy k 10 isakmp
[r2-ipsec-policy-isakmp-k-10]ike-peer 12
[r2-ipsec-policy-isakmp-k-10]proposal 1
[r2-ipsec-policy-isakmp-k-10]security acl 3000
[r2-ipsec-policy-isakmp-k-10]pfs dh-group2


#### (5)接口调用安全策略集

[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ipsec policy k
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ipsec policy k


**进行触发:**


![](https://img-blog.csdnimg.cn/0687e672b04f48098863100356f454a5.png)


#### (6)查看安全联盟建立情况

dis ike sa
Conn-ID Peer VPN Flag(s) Phase

    2    100.1.2.2       0     RD|ST                  2     
    1    100.1.2.2       0     RD|ST                  1

Flag Description:
RD–READY ST–STAYALIVE RL–REPLACED FD–FADING TO–TIMEOUT
HRT–HEARTBEAT LKG–LAST KNOWN GOOD SEQ NO. BCK–BACKED UP
dis ipsec sa
[Outbound ESP SAs]
SPI: 1407390962 (0x53e314f2)
Proposal: ESP-ENCRYPT-AES-128 SHA2-512-256
SA remaining key duration (bytes/sec): 1887329280/2740
Max sent sequence-number: 5
UDP encapsulation used for NAT traversal: N

[Inbound ESP SAs] 
  SPI: 3197321182 (0xbe933fde)
  Proposal: ESP-ENCRYPT-AES-128 SHA2-512-256
  SA remaining key duration (bytes/sec): 1887436380/2740
  Max received sequence-number: 5
  Anti-replay window size: 32
  UDP encapsulation used for NAT traversal: N


### 动态路由协议下的IPSec

新建环回
[r1]int LoopBack 0
[r1-LoopBack1]ip ad 1.1.1.1 24
gre下的隧道配置
[r1]int t0/0/0
[r1-Tunnel0/0/0]tunnel-protocol gre
[r1-Tunnel0/0/0]source g0/0/0
[r1-Tunnel0/0/0]destination 100.1.2.2
[r1-Tunnel0/0/0]ip add 10.1.1.1 24

[r2]int lo 1
[r2-LoopBack1]ip add 2.2.2.2 24
[r2]int t0/0/0
[r2-Tunnel0/0/0]tunnel-protocol gre
[r2-Tunnel0/0/0]source g0/0/0
[r2-Tunnel0/0/0]destination 100.1.1.1
[r2-Tunnel0/0/0]ip add 10.1.1.2 24

ospf配置
[r1]ospf 1
[r1-ospf-1]a 0
[r1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
[r1-ospf-1-area-0.0.0.0]network 10.1.1.1 0.0.0.0
[r2]ospf 1
[r2-ospf-1]a 0
[r2-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0
[r2-ospf-1-area-0.0.0.0]network 10.1.1.2 0.0.0.0

查看邻居建立情况
[r1]dis ospf peer brief
OSPF Process 1 with Router ID 100.1.1.1
Peer Statistic Information

Area Id Interface Neighbor id State
0.0.0.0 Tunnel0/0/0 100.1.2.2 Full


#### (1)配置 IKE SA


**<1> 安全提议**

[r1]ike proposal 10
[r1-ike-proposal-10]encryption-algorithm 3des-cbc
[r1-ike-proposal-10]authentication-algorithm sha1
[r1-ike-proposal-10]authentication-method pre-share
[r1-ike-proposal-10]dh group2

[r2]ike proposal 10
[r2-ike-proposal-10]encryption-algorithm 3des-cbc
[r2-ike-proposal-10]authentication-algorithm sha1
[r2-ike-proposal-10]authentication-method pre-share
[r2-ike-proposal-10]dh group2


**<2> 安全认证**

[r1]ike peer gre v1
[r1-ike-peer-gre]pre-shared-key simple aaa // 设置预共享密钥(simple:本地不加密)
[r1-ike-peer-gre]exchange-mode aggressive // 采用野蛮模式
[r1-ike-peer-gre]local-id-type name // 采用name定义
[r1-ike-peer-gre]remote-name a1 // 远端name为a1
[r1-ike-peer-gre]remote-address 100.1.2.2 // 远端IP
[r1-ike-peer-gre]ike-proposal 10 // 引用ike
[r1]ike local-name a1 // 全局定义本地name

[r2]ike peer gre v1

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

g-1715655563429)]

[外链图片转存中…(img-nVKizecy-1715655563429)]

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84969642
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
L2TP(Client-initiated模式)over IPSEC远程拨号实验
earthtoearth的博客
07-19 1104
L2TPoverIPsec客户端采用windows软终端模式(Cloud3),AR1上将内网LNS(FW1)服务器采用NAT方式向外网进行映射。(二)在R1和FW1上建立ospf宣告内网路由,在R1下发缺省路由,在g0/0/0口通过NAT映射宣告防火墙地址。1、IPSEC配置(注意必须采用传输模式,注意3des及sha1等算法需与Windows系统一致)在FW1(LNS)上验证IPsec,L2TP连接情况。(一)在FW1(LNS)服务端上配置。(一)如图所示配置相应接口地址。设置L2TP用户地址。
网络协议 — IPSec 安全隧道协议族
烟云的计算
05-25 3861
安全封装协议(Encapsulating Security Payload,ESP)也是一种封装协议,与 AH 不同的是,ESP 会将 IP 数据包的 Payload 进行加密后再封装到 IP 数据包,以保证数据的机密性,但 ESP 没有专门对 IP Header 的内容进行保护。在对身份保护要求较高的场合,则应该使用主模式。值得注意的是,IKE 不是简单的在网络上传输密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥,并且即使第三者截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。
IPSec安全策略及实现
11-08 2543
陈   坚    王   闽(福州大学数学与计算机学院 福建 350002)(福建省科技信息研究所 福州 350003)  摘 要 介绍了IPSec的相关协议和原理,阐明了安全策略系统的体系结构以及安全策略和安全联盟的定义和表示方法。最后,介绍了IPSec数据流的处理流程。关键词 IPSec 安全策略 安全联盟1 IPSec协议简介  针对Internet的
ipsec 安全策略
weixin_33918114的博客
08-18 795
ipsec 安全策略 IPSec协议简介 针对Internet的安全需要,Internet工程任务组(IETF)颁布了IP层安全标准IPSecIPSec在IP层对数据包进行高强度的安全处理,提供包括访问控制、无连接的完整性、数据源认证、抗重播(replay)保护(序列完整性(sequence integrity)的一个组成部分)、保密性和有限传输流保密性在内的服务。...
IPSEC安全策略
weixin_33755649的博客
02-23 723
IPSEC安全策略 2008-11-09 15:10:53  标签:安全 IPSEC 策略    [推送到技术圈] 一、 安全策略的含义 策略位于安全检查规范的最高一级,是决定系统的安全要素。安全策略定义了系统哪些行为是允许的,哪些是不允许的。按ISO安全参考模型,安全策略建立在授权行为这一概念之上。按授权...
网络安全IPSec安全策略
最新发布
本散修的一些学习心得与笔记,道友请自便。
01-03 1590
使用Windows Server 2003系统。实现IPSec安全策略。
使用IP安全策略(IPSec)提高服务器安全
acura的专栏
09-13 627
现如今的网络非常不安全,有很多国外的IP(肉鸡,傀儡机)对你的服务器进行端口扫描,发现漏洞,然后进行暴力破解,一旦攻入成功,你的服务器就变成他们的新肉鸡或者植入木马病毒对你进行勒索。如果你想服务器端口只想被国内IP访问,那么我今天分享一个利用IPSec策略的脚本工具,Windows系统下(从2000,2003,2008,2012,2016,2019,2022)都可以使用。
HCIE-Security Day26:IPSec:实验(一)两个网关之间通过IKE方式协商IPSec PN隧道(采用预共享密钥认证)
小梁的博客
03-16 5589
实验:两个网关之间通过IKE方式协商IPSec VPN隧道(采用预共享密钥认证) 组网需求 网络A和网络B分别通过FW_A和FW_B连接到Internet。网络环境描述如下: 网络A属于10.1.1.0/24子网,通过接口GigabitEthernet 0/0/3与FW_A连接。 网络B属于10.1.2.0/24子网,通过接口GigabitEthernet 0/0/3与FW_B连接。 FW_A和FW_B路由可达。 通过组网实现如下需求:在FW_A和FW_B...
安全防御--IPsec VPN点到点的实验
m0_70534140的博客
04-24 1339
在计算机和网络安全领域,数据认证是指验证数据在传输和存储过程的完整性、真实性和合法性的过程。数据在传输和存储过程容易受到数据篡改、损坏或未经授权的访问和修改的风险,数据认证可以帮助防止这些风险并提高数据的安全性和可靠性。数据认证的主要作用包括:1,防止数据被篡改和损坏:通过数据认证可以验证数据的完整性,确保数据没有被篡改或损坏。2,防止未经授权的访问和修改:数据认证可以验证数据的真实性和合法性,确保只有经过授权的用户才能访问和修改数据。
CCIE-IPsec的工作模式和封装
fa_nei_kuang_tu的博客
09-01 442
2021.9.1 人面桃花相映红,一笑倾人城,再笑倾人国 IPsec的工作模式 工作模式 Transport Mode 传输模式: 加密点等于通信点 Tunnel Mode 隧道模式: 加密点不等于通信点 加密点即为协商点, 准确的理解是指紧靠AH 或ESP头部外面的一对地址 通信点指定通信双方, 准确的理解是指紧靠AH 或ESP头部里面的一对地址 理解重点: 如果加密点与通信点地址不相同, 那么必须使用Tunnel 模式 如果加密点与通信点地址相同, 那么可以使用Tra
建立点到多点的IPSec隧道(IKE安全策略方式)
友人A的博客
07-09 2238
主机PC1与PC2、PC3之间可以安全的通信,PC2、PC3通过USG5500A进行安全通信,USG5500A与USG5500B、USG5500C之间使用IKE自动协商建立安全通道,USG5500B、USG5500C不直接建立任何IPSec连接。 USG5500A与USG5500B、USG5500C均为固定公网地址。
手把手教您配置IPSec安全策略(转)
cuankuangzhong6373的博客
05-24 4677
网络安全性已经成为大家关注的焦点。由于在IP协议设计之初并没过多考虑安全问题,因此早期的网络经常发生遭受攻击或机密数据被窃取等问题。为了增强网络安全性,IP安全IPSec)协议应运而生。Windows 2000/XP/2...
安全防御 --- IPSec理论02
weixin_62443409的博客
06-07 7454
附:esp 和 ah 的分类:(数据的安全性主要依赖于传输端之间需要做认证)传输模式和隧道模式的分类: 安全提议 PRF:完美向前法。 安全认证
防火墙上配置IPsec时候安全策略的注意点
qq_47529104的博客
12-31 2592
1、我们必须保证两个节点之间的是可以通信的,这样才能保证端点之间可以进行VPN隧道的连接 2、我们要设置对应的安全策略保证内部区域可以访问外部区域 3、当内部数据流经到防火墙并想使用IPsec隧道,那么我们除了放开trust区域到untrust区域的通行,还要放开local到untrust区域的通行,因为经过防火墙的封装之后,数据的源数据已经变成了local,所以我们要放行源local到untrust的通行。 4、我们要放行untrust到local的通行,因为外部的加密数据到防火墙上要进行数据的解封
使用IPsec保证IP数据报文在网络安全传输
微瑟秋风的博客
07-18 917
IPSec主要由AH、ESP和IKE协议套件来实现IP数据报文的安全传输,AH提供认证和校验功能,ESP除了提供AH协议的所有功能外还提供对IP报文的加密功能。IPsec有传输模式和隧道模式,其隧道模式可以隐藏数据包的源ip地址。......
IPSEC 加密算法详解
weixin_44383922的博客
08-23 9043
一.加密技术的分类 1.1 块加密Block Cipher (对称秘钥算法) 将明文分成固定长度的块(不足的bit 用0补足), 逐块加密. 算法不同, 分块大小不相同 密文长度一般稍长于原文长度(填充部分) 1.2 流加密Stream Cipher (对称秘钥算法) 逐bit 加密 密文长度与原文长度一致 1.3 理想的加密算法: 能够抵御密码学攻击(破译密码) 秘钥长度可变或者够长, 可扩展(便于管理) 具有雪崩效应(明文有一点不同, 则密文就完全不同, 无法还原) 没有进出口政策限制(通用性足够好,
IPsec技术介绍(转)
热门推荐
Better Me的博客
02-03 3万+
目  录 IPsec IPsec简介 IPsec的协议实现 IPsec基本概念 加密卡 IPsec虚拟隧道接口 使用IPsec保护IPv6路由协议 IKE IKE简介 IKE的安全机制 IKE的交换过程 IKE在IPsec的作用 IPsec与IKE的关系 IPsec IPsec简介 IPsec(IP Security)是IETF制定的三层隧道加密协议,
填坑:IPsec不同安全协议的报文封装结构对比
衡水铁头哥的博客
07-22 1880
回顾一下,前面两个IPsec实验挖了一个坑,就是IPsec和GRE在组合使用的时候,出现了MTU值无法验证的情况,今天来填一下坑。 结合RFC2401、RFC2402、RFC2406的相关说明: IPsec SA(Security Association,安全联盟)分为两种类型:传输模式和隧道模式。 传输模式 SA 是两个主机之间的安全联盟。在 ESP 的情况下,传输模式 SA 仅为这些更高层协议提供安全服务,而不是为 IP 标头或 ESP 标头之前的任何扩展标头提供安全服务。在 AH 的情况下,保护
在ensp上配置IPSec VPN传输不同流量
weixin_55683012的博客
09-10 1545
注意,若进行IPSec VPN配置后,经过试验后已经配通,但是抓包后发现流量并没有经过IPSec加密,表面仍没有配置成功,需要找出是否有错漏的地方。在AR1的GE0/0/1接口上进行抓包,以ftp为例,在未进行加密时,抓包结果如下,数据包有多种协议的流量数据。IPSec VPN通道建立在AR1路由器的GE0/0/1接口与AR2路由器的GE0/0/1接口上。要注意,一端路由器的入/出方向密钥要与另一端路由器的出/入方向密钥要一致。
Objective-C入门:面向对象编程基础
8. 封装(Encapsulation):隐藏对象的内部实现,只暴露公共接口。 熟悉这些概念后,开发者可以利用Objective-C的强大功能构建复杂的iOS和macOS应用程序。通过深入学习和实践,你将能够熟练地在苹果平台上进行开发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值