IPsec 配置干货,理论+配置

最新推荐文章于 2025-03-05 11:10:23 发布
最新推荐文章于 2025-03-05 11:10:23 发布
阅读量1w 收藏 46
点赞数 8
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Bert_Wang/article/details/108401895
版权
本文深入解析IPSec VPN的特点与应用场景,强调其在总部与分支机构间数据安全传输的重要性。详细介绍了IPSec VPN的参数,包括AH、ESP、IKE等,并提供了一套完整的配置步骤,从网络互联互通到安全策略的应用,最后通过实例展示了R1和R2路由器的配置过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、IPSec VPN场景特点

1、一般用于总部和分支机构,中间通过互联网线路传输数据,保证数据的安全传输。

2、机密性 : 数据加密保护。

3、完整性:对数据进行认证,确保数据没有篡改。

4、防重放性:防止恶意用户进行攻击。

二、 IPSec VPN参数

1、AH: 数据的完整性,无法加密

2、ESP:对IP报文的加密

3、IKE:协商AH和ESP使用的算法 , 建立和维护安全联盟SA

建立SA:手工和动态协商两种方式

IPSec 传输和隧道两种模式

三、配置步骤

1、网络互联互通

2、配置ACL

3、安全提议

4、安全策略

5、应用

四、IPSec配置

华为HCIA数通Datacom , IPsec 配置干货

 

1、R1 R2关键配置:

[R1]ip route-static 192.168.2.0 255.255.255.0 20.1.1.2 //实现路由可达

[R2]ip route-static 192.168.1.0 255.255.255.0 20.1.1.1 //实现路由可达

R1和R2配置ACL,思路一样此处R2配置略。

[R1]acl number 3001 //配置定义ACL感兴趣流进行IPSec加密的数据

[R1-acl-adv-3001]rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

[R1]ipsec proposal IPSEC //创建IPSec安全提议

[R1-ipsec-proposal-IPSEC]esp authentication-algorithm md5//esp加密算法使用MD5

R1和R2分别配置安全策略。R2配置思路一样。

[R1-ipsec-policy-manual-IPS1-10]di th

ipsec policy IPS1 10 manual //配置安全策略

security acl 3001 //绑定ACL及安全提议

proposal IPSEC

tunnel local 20.1.1.1/./加密的本地和对端的地址

tunnel remote 20.1.1.2

sa spi inbound esp 12345 //配置SA的安全参数

sa string-key inbound esp simple huayi//配置SA的入方向的密钥和出方向对应

sa spi outbound esp 54321

sa string-key outbound esp simple huayi

[R1-GigabitEthernet0/0/1]ipsec policy IPS1 //进行接口应用

2、 验证IPSec VPN

[R1-ipsec-proposal-IPSEC]display ipsec proposal //查看IPSec 提议配置

Number of proposals: 1

IPSec proposal name: IPSEC

Encapsulation mode: Tunnel

Transform : esp-new

ESP protocol : Authentication MD5-HMAC-96

Encryption DES

[R1]display ipsec policy //查看安全策略及参数

华为HCIA数通Datacom , IPsec 配置干货

 

测试PC1可以Ping通PC2,通过IPSec加密进行

华为HCIA数通Datacom , IPsec 配置干货

 

通过[R2]display ipsec statistics esp 进行验证

华为HCIA数通Datacom , IPsec 配置干货

 

每天关注的前10名小伙伴关注分享该WX Gongzhonghao: 

 华亿网络实验室 或   huayinetwork 进行资料下载

将来的你必定感谢现在拼命学习奋斗的自己!学习,是对自己最好的投资!

IPsec配置
qq_67802965的博客
12-06 762
七、创建IPsec策略,关联五六,绑定ACL,指定IPsec封装的目标地址,在接口调用。3.3 IPsec SA采用ESP安全协议,加密算法为MD5,验证算法为DES。五、创建IKE profile,将上述两个关联并选择IKE工作方式和标识身份。3.2 IKE采用预共享密钥的方式协商IKE SA,验证算法为MD5。六、配置IPsec SA,设置工作模式,安全协议的加密算法和验证算法。三、在R1和R3上均创建IKE提议并设置验证方式和验证算法。一、配置IP地址,配置ACL匹配两个私网网段。
防火墙GRE over IPSec配置
weixin_45564816的博客
06-26 3023
在传统的IP通信中,数据包容易被截取或篡改,而IPSec通过加密和认证两种主要方式,有效地提高了数据传输的安全性。PSec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,主要用于增强VPN(Virtual Private Network,虚拟专用网)的安全性。GRE隧道是一种网络通信协议,使用通用路由封装(GRE)技术,能够将一种网络协议下的数据报文封装在另一种网络协议中,从而实现在另一个网络层协议中的传输。
IPSec配置
A soul tortured by desire
06-19 4735
IPSec主要功能: 给IP报文加密 提供隧道 IPSec可以点到点,也可以点到多点,点到多点建议使用DSVPN IPSes配置 AR1配置 第一步:配置端口IP <Huawei>sys [Huawei]int gi 0/0/1 [Huawei-GigabitEthernet0/0/1]ip addr 192.168.1.1 24 [Huawei-GigabitEthernet0/0/1]int gi 0/0/0 [Huawei-GigabitEthernet0/0/0]ip a
【华为】IPSec (动态)的原理与配置
最新发布
2403_83112422的博客
03-05 1461
实现PC1与PC2在公网传输时加密通信(IPSec VPN),并且实现PC1访问R5的loopback8端口(NAT)
ipsec ××× 配置详解
weixin_34279184的博客
04-28 279
1.Berlin(config)#crypto isakmp enable 启用IKE/isakmp(建立传送IPsec隧道参数的隧道) 2.Berlin(config)#crypto isakmp policy 1 设置isakmp策略 Berlin(config-isakmp)#authentication pre-share 身份验证方法:pre-share/rsa...
IPSec配置
weixin_74777052的博客
06-02 1860
IPSec配置教程
配置ipsec步骤详解
12-10
IPSec(IP Security)是 IETF为保证在Internet上传送数据的安全保密性,而制定的框架协议 应用在网络层,保护和认证用IP数据包 是开放的框架式协议,各算法之间相互独立 提供了信息的机密性、数据的完整性、用户的验证和防重放保护 支持隧道模式和传输模式
关于IPSec VPN 的详细配置与讲解
weixin_74749868的博客
10-14 9246
IPSec(Internet Protocol Security)是一套用于互联网协议(IP)层的安全协议组合,旨在保护IP通信的安全性。它通过认证、加密和数据完整性验证来确保数据在传输过程中的机密性和完整性。IPSec可以在IPv4和IPv6网络中使用,广泛应用于虚拟专用网络(VPN)和安全站点间通信。
Cisco路由器IPsec配置.doc
07-12
以下为路由器A的配置,路由器B只需对相应配置作更改即可 1:配置IKE router(config)# crypto isakmp enable #启用IKE(默认是启动的) router(config)# crypto isakmp policy 100 #建立IKE策略,优先级为100 router...
天融信防火墙配置GRE Over IPSEC
09-19
天融信防火墙配置GRE Over IPSEC GRE over IPSec,是将整个已经封装过的GRE数据包进行加密。由于IPSec不支持对多播和广播数据包的加密,这样的话,使用IPSec的隧道中,动态路由协议等依靠多播和广播的协议就不能进行...
IOS GRE(隧道) + IPSec(传输模式+pre-share) 配置
05-17
网络工程师 IPv4——IPv6 隧道技术 整理资料
ipsec配置
_Dong的博客
12-17 855
<FW1> <FW1>system-view Enter system view, return user view with Ctrl+Z. [FW1] [FW1]acl 3001 //创建访问控制列表规则 [FW1-acl-adv-3001]rule permit ip source 10.10.10.0 0.0.0.255 destination ...
IPSec配置简介
hello
07-31 1246
AR1 配置 静态路由 IP route-static 0.0.0.0 0 100.1.12.2。AR3 配置静态路由 IP route-static 0.0.0.0 0 100.1.13.2。可以看到pc1与pc2之间的通信已被ESP加密。最终pc1与pc2 可以互相ping 通。PC1 ping通 PC2。
【安全系列】ipsec ***之配置详解篇
weixin_34290631的博客
10-18 817
IPSEC ×××之配置详解篇 无止境系列文档将以网络安全为方向,以专题的形式每周天发布,希望大家支持。 【阅读说明】 为了方便大家阅读,特作如下说明: 1. 专业术语或者一些概念用红色标识。 2. 重要或者强调的语句用蓝色标识。 3. 总结的部分用绿色标识。 【主要内容】 1. IPSEC ×××理解 2. 封装模式 3. IKE...
保护网络安全的IPsec,怎么配置配置步骤和参考命令奉上
热门推荐
12-15 1万+
网络中存在哪些安全隐患? IPsec如何解决这些安全隐患? IPsec的隧道模式和传输模式区别是什么? 华为设备如何配置IPsec? 如果你想IPsec相关概念和原理,可以看看我之前发过这篇:写文章-CSDN博客,本篇为IPsec配置实战~ 一、实验拓扑 当前已完成了深圳总部出口路由器和长沙分支出口路由器的连通性, 但是两边的私网数据不能通信,现在希望双方能建立安全的私网通信。 二、实验目的: 配置IPsec,实现深圳总部和长沙分支之间安全的数据通信 数据加密算法使用.
IPsec VPN配置方式
Mario_Ti的博客
03-09 7210
文章详细介绍了IPsec VPN配置方式,有手工方式以及IKE方式,其中IKE方式又有IKEv1、IKEv2以及点对点、点对多点的问题,其中模板方式是一种能够简化配置的方式。
l2tpd+ipsec配置
01-03
### 配置 L2TPD 和 IPSec #### 编辑 IPsec 配置文件 为了配置 IPsec,在 Ubuntu Server 22.04 中需要编辑 `/etc/ipsec.conf` 文件。此操作可以通过命令 `sudo nano /etc/ipsec.conf` 来完成[^1]。 ```bash sudo nano /etc/ipsec.conf ``` 在此文件中,通常会定义连接策略以及指定使用的加密算法和其他安全参数。对于典型的 L2TP/IPSec 设置,可能包含如下内容: ```plaintext config setup charondebug="all" uniqueids=yes conn %default keyexchange=ikev1 authby=secret ike=aes256-sha1-modp1024! esp=aes256-sha1! conn myvpnconnection type=tunnel auto=add dpddelay=30s dpdtimeout=120s dpdaction=restart left=%defaultroute leftprotoport=udp/l2tp right=<远程服务器IP> rightsubnet=vhost:%priv,%nopeerid forceencaps=yes ``` 上述配置中的 `<远程服务器IP>` 应替换为实际的远程端点地址。 #### 修改 L2TP 密钥文件 接着要设置共享密钥用于身份验证,这涉及到修改 `/etc/ipsec.secrets` 文件: ```bash sudo nano /etc/ipsec.secrets ``` 添加类似下面的一行来指明本地和远端的身份认证信息: ```plaintext <本机IP> <远程服务器IP> : PSK "预共享密钥字符串" ``` 这里的 `"预共享密钥字符串"` 是事先协商好的密码。 #### 调整 xl2tpd 的配置 针对 L2TP 协议部分,则需调整位于 `/etc/xl2tpd/xl2tpd.conf` 的配置文件: ```bash sudo nano /etc/xl2tpd/xl2tpd.conf ``` 一个基本的例子可能是这样的结构: ```ini [lac lns] lns = <远程服务器IP>; ppp debug = yes; pppoptfile = "/etc/ppp/options.xl2tpd"; length bit = yes; ``` 同样地,应将 `<远程服务器IP>` 替换成真实的值。 #### PPP 选项设定 最后一步涉及创建或更新 PPP 客户端选项文件 `/etc/ppp/options.xl2tpd` ,以确保正确处理网络层协议通信: ```bash sudo nano /etc/ppp/options.xl2tpd ``` 可以加入这些常用的指令集: ```plaintext ipcp-accept-remote ms-dns 8.8.8.8 noccp auth crtscts idle 1800 mtu 1280 mru 1280 nodefaultroute lock connect-delay 5000 name your_username_here password your_password_here ``` 请注意用具体的用户名 (`your_username_here`) 及其对应的密码 (`your_password_here`) 去替代占位符。 通过以上步骤完成了 L2TPD 和 IPSec 的基础配置工作。重启服务使更改生效,并测试新建立的安全隧道是否正常运作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wozuimang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值