华为ipsec 野蛮模式 配置nat穿越

最新推荐文章于 2024-07-28 14:48:07 发布
最新推荐文章于 2024-07-28 14:48:07 发布
阅读量3.7k 收藏 26
点赞数 2
分类专栏: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IO_print/article/details/115256606
版权

实验拓扑:
R2 模拟运营商设备,将AR1所有数据进行nat
在这里插入图片描述
相关配置
AR2:

sysname r2

acl number 2000  
 rule 5 permit 

interface GigabitEthernet0/0/0
 ip address 23.0.0.2 255.255.255.0 
 nat outbound 2000
#
interface GigabitEthernet0/0/1
 ip address 12.0.0.2 255.255.255.0

AR1:

sysname r1

acl number 3000  
 rule 10 permit ip source 192.168.10.0 0.0.0.255 
          	            destination 192.168.20.0 0.0.0.255 

ipsec proposal 1
 esp encryption-algorithm 3des 
 esp authentication-algorithm md5 
 
ike local-name rta   //配置本地标识

ike proposal 1
 encryption-algorithm 3des-cbc            
 dh group2
 authentication-algorithm md5

ike peer 1 v1
 exchange-mode aggressive   
 pre-shared-key simple 12345678
 ike-proposal 1
 local-id-type name   
 remote-name rtb
 remote-address 23.0.0.3
 nat traversal 

ipsec policy ipsec_po 1 isakmp
 security acl 3000
 ike-peer 1
 proposal 1
#
interface GigabitEthernet0/0/1
 ip address 12.0.0.1 255.255.255.0 
 ipsec policy ipsec_po
#
interface GigabitEthernet0/0/2
 ip address 192.168.10.1 255.255.255.0 

#
ip route-static 0.0.0.0 0.0.0.0 12.0.0.2

AR3:

 sysname r3

acl number 3000  
 rule 5 permit ip source 192.168.20.0 0.0.0.255 
	          destination 192.168.10.0 0.0.0.255 
#
ipsec proposal 1
 esp encryption-algorithm 3des
 esp authentication-algorithm md5 
 
ike local-name rtb
#
ike proposal 1
 encryption-algorithm 3des-cbc            
 dh group2
 authentication-algorithm md5
#
ike peer 1 v1
 exchange-mode aggressive
 pre-shared-key simple 12345678
 ike-proposal 1
 local-id-type name
 remote-name rta
 nat traversal 
#
ipsec policy-template 1 1
 ike-peer 1
 proposal 1
#
ipsec policy ipsec_po 1 isakmp template 1
#
interface GigabitEthernet0/0/0
 ip address 23.0.0.3 255.255.255.0 
 ipsec policy ipsec_po

interface GigabitEthernet0/0/2
 ip address 192.168.20.1 255.255.255.0 
#
# 指向 私网的回程路由
ip route-static 192.168.10.0 255.255.255.0 23.0.0.2

排错:
一开始 在ike 中 未配置 nat traversal(有文档说华为默认开启nat穿越)。

pc1 ping pc2 通过wireshark 抓包

AR2 G0/0/0 接口抓包分析:
在这里插入图片描述

AR2查看 nat session 情况
在这里插入图片描述
查看AR1 G0/0/01 接口数据:
在这里插入图片描述
可以看到IPsec数据包在AR1 出接口方向封装,到达AR2 上经过nat 将源地址改变继续传往AR3.

AR3 的G0/0/2查看数据是否到达:
在这里插入图片描述
可以看到数据包,经过AR3 将Ipsec 数据包解封装后将数据传给pc2,并且pc2也回复了数据.

思考:
pc2将数据返回后,数据到达AR2 后,数据能否通过nat session,返回AR1.
通过数据包发现数据到达AR2 后,数据就再没向下传递.没有走nat session.

解决:
查看 ipsec sa

AR3 查看ipsec sa
在这里插入图片描述
发现nat 穿越未开启.

修改AR1 和 AR3 配置 启用nat穿越

[r1]ike pe 1 v1 
[r1-ike-peer-1]nat traversal

配置完成后,重启设备再次查看
在这里插入图片描述
测试:
pc1 ping pc2
在这里插入图片描述

查看数据包 AR2上G0/0/0 口
在这里插入图片描述
pc1 ping pc2 数据 AR2接口 g0/0/0 抓包。
在这里插入图片描述

__Dong
关注
  • 2
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
HCIE-Security Day32:IPSec:深入学习ipsec ikev1、主模式野蛮模式、快速模式、dh算法、预共享密钥
小梁的博客
03-31 4217
ipsec ikev1总框架 主动模式=野蛮模式 华为的ike 默认同时支持v1和v2,因此可以向下兼容,当隧道两端同时支持v2时,使用v2. dis ike peer bri 2022-03-30 12:25:59.510 Current ike peer number: 1 --------------------------------------...
IPSecNAT穿越
04-15 3722
参考资料:RFC3715,3947,39481. 前言IPSec提供了端到端的IP通信的安全性,但在NAT环境下对IPSec的支持有限,AH协议是肯定不能进行NAT的了,这和AH设计的理念是相违背的;ESP协议在NAT环境下最多只能有一个VPN主机能建立VPN通道,无法实现多台机器同时在NAT环境下进行ESP通信。关于IPSecNAT环境下的需求问题在RFC3715中进行了描述。NAT穿越(NA
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
华三IPsec VPN(野蛮模式)(案例)
最新发布
qq_73757784的博客
07-28 946
R1-ike-proposal-1]encryption-algorithm 3des-cbc //加密算法3des-cbc(双方一致)之间与LSP相连接;[R1-ike-keychain-1]pre-shared-key hostname R2 key simple 123456 //密码要一致。[R1-ipsec-policy-template-mytem-1]transform-set my //引用ipsec安全提议my。
华为L2TP+ipsec野蛮模式nat穿越 配置实例
08-30
华为L2TP+ipsec野蛮模式nat穿越 配置实例 。。。。。。。。。。。。。
华为IPsec ×××(野蛮模式
weixin_33825683的博客
03-06 779
A端设备# 配置名为tran1 的IPSec 提议。[Eudemon A] ipsec proposal tran1[Eudemon A-ipsec-proposal-tran1] transform esp[Eudemon A-ipsec-proposal-tran1] encapsulation-mode tunnel[Eudemon A-ipsec-proposal-t...
IPSec穿越NAT
weixin_33943836的博客
07-06 586
IPSecNAT环境中的部署是×××的热门难点技术之一,本专栏针对该问题进行原理性探讨,为后续×××部署方案做下铺垫。IPSec ×××穿越NAT会遇到哪些问题IPSec ×××穿越NAT遇到的问题主要有2个:1.穿越NAT后的身份确认:在IP网络中IP地址是最好的身份标识,IPSec ×××中标准身份标识也是IP地址,如上图所示,从前几期专栏的介绍中我们可以得知,N...
华为IPSEC-×××-典型配置举例2-采用IKE 方式自动协商建立IPsec 安全隧道
weixin_34235105的博客
03-26 876
华为IPSEC-×××-典型配置举例2-采用IKE 方式自动协商建立IPsec 安全隧道 一:企业组网需求: 1, 某公司(总部在北京)有两个子公司分别在上海和广州,要求通过×××实现公司之间相互通信! 2, 实验环境如下:要求192.168.1.0/24网段的员工分别与192.168.2.0/24,192.168.3.0/24的员工通信!...
华为防火墙ipsec vpn nat穿越2种场景配置案例
IT技术
11-09 2640
华为防火墙ipsec vpn nat穿越2种场景配置案例
华为设备IPsec简单配置
热门推荐
qq_43432623的博客
12-16 1万+
IPsec VPN是指采用IPsec实现远程接入的一种VPN技术,通过在公网上为两个或多个私有网络之间建立IPsec通道,并通过加密和认证保证通道的安全性。IPsec保护的是点对点之间的通信,通过IPsec VPN可以实现主机和主机之间、主机和网关之间、网关和网关之间建立安全的隧道连接。工作在网络层,主要对网络层的报文进行加密和验证。
TP- LINK企业级vp-n路由器ipsec场景与实施(野蛮模式
zelf的专栏
03-03 6929
上个文章介绍的主模式,实际应用中最多的还是野蛮模式,因为公网IP太贵啊,不是每个公司都有专线可以用。 实际应用中普通家用宽带也可以通过DDNS来实现ipsec,这里需要设置光猫为桥接模式,用路由器拨号。 电信和联网好多还可以获取到公网IP,移动全是内网IP搞不了 。 桥接的方法好找,网上一大堆,但光猫的超级密码现在都是动态了,这个不好搞,有关系或者大客户一般都会给,我做的几个项目都是问联通和电信的安装人员要的超级密码,他们从后台查的。 这是官网的资料:其中一端在NAT网关下,实际上就是家用宽带或者有
华为防火墙IPSEC虚拟专网基本配置
07-16 2451
本文介绍一下华为防火墙上IPSEC 虚拟专网的配置方法,本范文内没有计划NAT相关事项。配置步骤:一、 配置接口二、 配置安全区域三、 配置安全策略四、 配置静态路由五、配置IPSEC1. ike proposal2. ike peer3. ipsec proposal4. ACL5. ipsec policy#调用ACL、IPSEC Proposal、ike peer6. ...
华为防火墙ipsec vpn nat穿越2种场景配置案例_nat映射ipsec
2401_84254133的博客
04-11 1259
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
IKE野蛮模式NAT穿越
weixin_33800593的博客
04-05 944
实验TOP: RT1的配置: ================================================== <H3C>sy [H3C]int g0/1/0 [H3C-GigabitEthernet0/1/0]ip add 192.168.1.2 2...
IPSec野蛮模式(案例)
weixin_34365417的博客
03-30 1315
IPSec模式野蛮模式的区别包含如下几点: 1.交换的消息:主模式为6个,野蛮模式为3个。 2.NAT支持:对预共享密钥认证:主模式不支持NAT转换,而野蛮模式支持。而对于证书方式认证:两种模式都能支持。 3.对等体标识:主模式只能采用IP地址方式标识对等体;而野蛮模式可以采用IP地址方式或者Name方式标识对等体。这是由于主模式在交换完3、4消息以后,需要使用预共...
华为防火墙IPSec详解与配置实验
m0_68208233的博客
11-04 9818
IPSec(Internet协议安全)是一个工业标准网络安全协议栈,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有限低于网络攻击,同时保持易用性。IPSec通过在IPSec对等体之间建立双向安全联盟(VPN隧道),形成一个安全互通的IPSec隧道,来实现Internet上数据的安全传输。
华为IPsec VPN 实验配置(动态地址接入)
2301_77161465的博客
01-08 2807
本篇文章是关于IPsec VPN的 实验配置,场景是在一段IP地址是固定和另一端IP地址不固定的情况下的,那里面的配置思路会和两端地址固定的场景有一些不一样,文章里面都有注释,会更好去理解啦等等
IPsec+预共享密钥的IKE野蛮模式
zero_number的博客
10-21 5105
指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务 IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
IPFS: NAT traversal(NAT穿越)
omnispace的博客
03-26 2153
IPFS是一个p2p网络,那么一定绕不开的一个问题就是NAT穿越。之前的文章里面也提到过IPFS网络连通性使用的ICE NAT穿越框架,本文简单介绍一下什么是NAT。为什么有NAT技术?NAT主要用来缓解全球的IPv4地址不够用的情况,IPv4地址最多能提供2^32个(4,294,967,296),现在IPv4已经变得非常紧张了,IPv6发展了这么多年,一直没能取代IPv4的地位,IPv6可以容纳...
华为IPSEC野蛮模式配置
05-12
IPSec VPN中,野蛮模式是一种不安全的加密模式,因为它暴露了VPN连接的双方IP地址。因此,建议使用主模式而不是野蛮模式。但是如果您需要使用野蛮模式,可以按照以下步骤在华为设备上进行配置: 1. 创建IPSec策略 ``` ipsec policy policy-name ``` 2. 配置本地地址和远程地址 ``` local-address ip-address remote-address ip-address ``` 3. 配置预共享密钥 ``` pre-shared-key simple key-string ``` 4. 配置加密算法和哈希算法 ``` proposal proposal-name encr-algorithm {3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256} hash-algorithm {sha1 | sha2-256 | sha2-384 | sha2-512} ``` 5. 配置安全协议 ``` security-proposal proposal-name esp authentication-algorithm {hmac-sha1-96 | hmac-sha2-256 | hmac-sha2-384 | hmac-sha2-512} encryption-algorithm {3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256} ``` 6. 配置IKE策略 ``` ike peer peer-name pre-shared-key simple key-string proposal proposal-name ``` 7. 配置ISAKMP协议 ``` isakmp authentication-mode pre-shared-key ``` 8. 启用IPSec VPN ``` vpn-instance vpn-instance-name ipsec policy policy-name ike peer peer-name ``` 以上是基本的配置步骤,您需要根据实际情况进行调整。注意,野蛮模式可能会导致安全性问题,因此建议使用主模式
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值