华为IPSEC VPN (静态手动配置钥匙)原理与配置

最新推荐文章于 2025-04-08 22:55:17 发布
最新推荐文章于 2025-04-08 22:55:17 发布
阅读量663 收藏 7
点赞数 4
分类专栏: 网络工程师 大学生 华为 文章标签: 网络 华为 IPSec VPN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2403_83112422/article/details/146014361
版权

目录

一、IPSEC静态VPN概述

工作原理:

主要目的:

二、配置

1.配置思路

2.具体配置

①完成基本的数据连通性

②在出口路由器配置ACL

③创建安全提议

④创建安全策略

⑤出接口调用安全策略

三、wireshark抓包分析

一、IPSEC静态VPN概述

工作原理:

IPSec(Internet Protocol Security)是一种用于保护IP通信的安全协议,它通过加密认证机制来确保数据在公共网络(如互联网)中传输时的机密性、完整性和真实性。IPSec VPN(Virtual Private Network)是基于IPSec协议构建的虚拟专用网络,能够在公共网络上建立安全的通信隧道。

主要目的:

实现不同站点的私网地址在通过公网时进行加密再传输,确保了安全性和完整性。

二、配置

1.配置思路

A站点:(B站点同理)

①首先完成基本的数据连通性(PC1---R1,PC2--R2,R1---R1)

在R3上配置默认路由指向R1,在R1配置回程路由指向R3,配置默认路由指向R5

②在出口路由器R1上配置感兴趣流量(匹配PC1的私网流量,定义需要进入隧道的流量)

③接着创建安全提议(封装模式、封装协议、加密算法、验证算法)

④再创建安全策略(调用ACL、调用安全提议、创建隧道外层封装源、目、定义安全联盟SPI、定义AH验证钥匙)

⑤最后调用安全策略(在出接口上)

拓扑图:

2.具体配置

①完成基本的数据连通性

R3:
[R3]ip route-static 0.0.0.0 0.0.0.0 192.168.13.1
R1:
[R1]ip route-static 0.0.0.0 0.0.0.0 15.15.15.5
[R1]ip route-static 192.168.1.0 255.255.255.0 192.168.13.3
R2:
[R2]ip route-static 0.0.0.0 0.0.0.0 25.25.25.5
[R2]ip route-static 192.168.2.0 255.255.255.0 192.168.24.4
R4:
[R4]ip route-static 0.0.0.0 0.0.0.0 192.168.24.2

测试:

PC1-R1

R1-R2

②在出口路由器配置ACL

R1:
[R1-acl-adv-3000]acl 3000
[R1-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

R2:
[R2]acl 3000
[R2-acl-adv-3000]rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

③创建安全提议

这边我用的是AH-ESP封装协议

R1:
[R1]ipsec proposal AB  
[R1-ipsec-proposal-AB]encapsulation-mode tunnel 
[R1-ipsec-proposal-AB]transform ah-esp
[R1-ipsec-proposal-AB]ah authentication-algorithm md5
[R1-ipsec-proposal-AB]esp authentication-algorithm md5
[R1-ipsec-proposal-AB]esp encryption-algorithm aes-128

R2:
[R2]ipsec proposal AB  
[R2-ipsec-proposal-AB]encapsulation-mode tunnel 
[R2-ipsec-proposal-AB]transform ah-esp
[R2-ipsec-proposal-AB]ah authentication-algorithm md5
[R2-ipsec-proposal-AB]esp authentication-algorithm md5
[R2-ipsec-proposal-AB]esp encryption-algorithm aes-128

查看配置:

④创建安全策略

对端设备outbound和inbound的SPI数字需要相反(即A的outbound=B的ibound)

R1:
[R1]ipsec policy p1 10 manual
[R1-ipsec-policy-manual-p1-10] security acl 3000
[R1-ipsec-policy-manual-p1-10] proposal AB
[R1-ipsec-policy-manual-p1-10] tunnel local 15.15.15.1
[R1-ipsec-policy-manual-p1-10] tunnel remote 25.25.25.2
定义ESP安全联盟SPI
[R1-ipsec-policy-manual-p1-10] sa spi inbound esp 654321
[R1-ipsec-policy-manual-p1-10] sa spi outbound esp 123456
定义ESP验证密钥
[R1-ipsec-policy-manual-p1-10] sa string-key inbound esp simple 654321
[R1-ipsec-policy-manual-p1-10] sa string-key outbound esp simple 123456
定义AH安全联盟SPI
[R1-ipsec-policy-manual-p1-10] sa spi inbound ah 123456
[R1-ipsec-policy-manual-p1-10] sa spi outbound ah 654321
定义AH验证密钥
[R1-ipsec-policy-manual-p1-10] sa string-key inbound ah simple 654321
[R1-ipsec-policy-manual-p1-10] sa string-key outbound ah simple 123456
R2:
[R2]ipsec policy p1 10 manual
[R2-ipsec-policy-manual-p1-10] security acl 3000
[R2-ipsec-policy-manual-p1-10] proposal AB
[R2-ipsec-policy-manual-p1-10] tunnel local 25.25.25.2
[R2-ipsec-policy-manual-p1-10] tunnel remote 15.15.15.1
定义安全联盟SPI
[R2-ipsec-policy-manual-p1-10] sa spi inbound esp 123456
[R2-ipsec-policy-manual-p1-10] sa spi outbound esp 654321
定义ESP验证密钥
[R2-ipsec-policy-manual-p1-10] sa string-key inbound esp simple 123456
[R2-ipsec-policy-manual-p1-10] sa string-key outbound esp simple 654321
定义AH安全联盟SPI
[R2-ipsec-policy-manual-p1-10] sa spi inbound ah 654321
[R2-ipsec-policy-manual-p1-10] sa string-key inbound ah simple 123456
定义AH验证密钥
[R2-ipsec-policy-manual-p1-10] sa spi outbound ah 123456
[R2-ipsec-policy-manual-p1-10] sa string-key outbound ah simple 654321

⑤出接口调用安全策略

R1:
[R1]int g0/0/1     
[R1-GigabitEthernet0/0/1]ipsec policy p1
R2:
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ipsec policy p1

最后成功实现数据在公网中的封装与加密

如果出现以下报错:

说明你的安全策略或者安全提议配置错误或左右不对等

三、wireshark抓包分析

(在R5连接R1的接口上抓包)

封装的格式为:

华为防火墙(IPSec)web配置案例
仓鼠OO的博客
12-05 1346
华为防火墙(IPSec)web配置案例
IPSec VPN配置
LCH131420的博客
12-08 1836
执行display ipsec proposal命令,验证配置结果。执行display ipsec proposal命令,验证配置结果。待OSPF收敛完成后,查看OSPF邻居以及路由表。步骤五 配置IPSec VPN提议。步骤七 在接口下应用IPSec策略。步骤四 配置ACL定义感兴趣流。步骤一 完成基本配置。步骤六 创建IPSec策略。步骤八 检测网络的连通性。步骤二 创建逻辑接口。步骤三 配置OSPF。
华为IPSec VPN手动配置
2301_77161465的博客
05-06 2762
这个主要是在软考里面会考到,平时项目中用的是IPSec 自动协商的,就是有IKE密钥交换协议在
需要VPN才能进入的app如何抓包抓日志
yimeim_的博客
01-08 2916
在实际调试中,这两种方法通常结合使用,比如在日志中发现数据已经成功发生了,但是另一端还是没有接收到数据或者接收到的数据完整,这时就可以通过抓包工具去查找网络通讯过程中的交互是否出现了什么样的问题。问题的最开始我只是想要抓取需要VPN才能进入的app运行时的日志,然后在请教大佬一番后,开始研究抓包,但是需要VPN才能进入的app 等于有了两层代理,首先明确抓包和抓取日志的区别:抓包和抓取日志是两种同的调试和分析移动应用程序的方法,它们分别用于获取同类型的信息。1.手机上安装LSPosed。
40--华为IPSec VPN实战指南:构建企业级加密通道
最新发布
2302_77698668的博客
04-08 1415
三大黄金法则动态策略 > 静态配置持续验证 > 故障后排查主动防御 > 被动防护“记住:好的VPN就像隐形战机——看见,但随时准备出击!下期揭秘《量子加密实战:让数据穿越未来》…
IPSEC VPN配置
m0_71264131的博客
04-14 2359
只有在RD状态才表明IKE SA建立成功,其他任何状态都是没有建立成功的。可以看到使用的IPSEC安全策略IPSEC工作模式、隧道本地和对端IP。3.配置IPSEC VPN实现两端私网互通。Protocol是IPSEC使用的安全协议。2.配置静态路由以保证两端互通。1.正确配置各个IP地址。
华为IPsec VPN 实验配置(动态地址接入)
2301_77161465的博客
01-08 5075
本篇文章是关于IPsec VPN的 实验配置,场景是在一段IP地址是固定和另一端IP地址固定的情况下的,那里面的配置思路会和两端地址固定的场景有一些一样,文章里面都有注释,会更好去理解啦等等
IPsec VPN配置方式
Mario_Ti的博客
03-09 7416
文章详细介绍了IPsec VPN配置方式,有手工方式以及IKE方式,其中IKE方式又有IKEv1、IKEv2以及点对点、点对多点的问题,其中模板方式是一种能够简化配置的方式。
华为防火墙IPSec详解配置实验
m0_68208233的博客
11-04 1万+
IPSec(Internet协议安全)是一个工业标准网络安全协议栈,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSec通过在IPSec对等体之间建立双向安全联盟(VPN隧道),形成一个安全互通的IPSec隧道,来实现Internet上数据的安全传输。
IPsec VPN(实验)
weixin_74436091的博客
11-20 2273
R1-Tunnel0/0/1]tunnel-protocol gre ## 定义隧道协议类型为GRE。[Huawei-GigabitEthernet0/0/1]ipsec policy myvpn //加入到连接外网的接口。[Huawei-Tunnel0/0/0]nhrp entry multicast dynamic //设置为监听连接模式。[Huawei-Tunnel0/0/0]tunnel-protocol gre p2mp //隧道设置为点对多点。
IPsec VPN原理配置
solomonzw的博客
11-11 2176
传统的TCP/IP协议缺乏有效的安全认证和保密机制.IPsec作为一种开放标准的安全框架结构可以用来保证IP数据报文在网络上传输的机密性,完整性和防重放.1,SA安全联盟定义了IPSec通信对等体将使用的数据封装,认证和加密算法,密钥等参数.2,经过IPSec过滤后的感兴趣数据流将会通过SA协商的各种参数进行处理并封装,之后通过IPSec隧道转发.
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
weixin_44611826的博客
04-20 4634
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
华为eNSP IPsec VPN配置
tbhhjsnd的博客
06-17 5921
现在可以看到PC1和PC 2是可以互相通信的, 通过按照上述步骤在eNSP中配置站点到站点的IPsec VPN,我们建立了安全的通信。安全关联(Security Association,SA): 定义了通信双方之间的安全参数,如密钥、加密算法、认证算法等。[VR1] interface gigabitethernet 0/0/0 // 进入GigabitEthernet0/0/1接口配置模式。站点到站点(Site-to-Site): 用于连接同地理位置的网络,如分公司和总部之间的连接。
华为设备IPsecVPN配置记录
weixin_45103766的博客
05-14 690
IPsec加密和验证算法所使用的密钥可以手工配置,也可以通过因特网密钥交换IKE协议动态协商,IKE协议建立在internet安全联盟和密钥管理协议ISAKMP框架之上,采用DH算法在安全的网络上安全的分发密钥,验证身份,以保证数据传输的安全性。IKE协议可提升密钥的安全性,并降低 IPsec管理复杂度。默认sha2-256验证算法……2.配置Ipsec安全协议(封装模式,安全协议,加密算法和验证算法)IKE SA:主模式和野蛮模式:安全性低已被模板模式取代。RB的配置RA类似,省略。
防火墙Ipsec vpn配置
zljszn的博客
10-19 1万+
FW1-object-service-set-ike]service protocol udp destination-port 500 //添加IKE的服务,因为IKE的服务使用的事udp的500端口。rule name trust-untrust(双向访问,所以需要允许trust访问untrust区域,也需要允许untrust访问trust区域)4. 防火墙桥接物理网卡,开启网管界面,具体桥接的方式就在介绍了,之前的文章有具体讲解ENSP怎么桥接物理网卡。ipsec配置(FW2也一样)
IPSEC---VPN
zhoutong2323的博客
03-04 6360
提示:这里对文章进行总结:例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
路由器基础(十二):IPSEC VPN配置
limengshi138392的博客
11-04 1万+
路由器基础(十二):IPSEC VPN配置
华为IPSec VPN配置
热门推荐
caolongbin的博客
09-08 2万+
基于华为ENSP的简单IPSecVPN实验
华为S9300V1R2配置指南:静态LSPBFD
静态LSP是MPLS的一种路径设定方式,允许网络管理员手动配置从入口节点到出口节点的路径,确保数据沿着预定义的路径传输。在华为S9300上配置静态LSP,首先需要了解其基本概念和特性,如S9300支持的标签分配方式、标签...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值