H3C IPSec IKE野蛮模式

最新推荐文章于 2024-05-20 11:28:29 发布
最新推荐文章于 2024-05-20 11:28:29 发布
阅读量2.1k 收藏 3
点赞数
分类专栏: 计算机网络 文章标签: 网络设备
需转载请联系QQ:846581636
本文链接:https://blog.csdn.net/LYXlyxll/article/details/130903602
版权

 这里使用H3C模拟器。

H3C IPSec IKE野蛮模式,又称为IKE Main Mode,主要是在第一阶段(Phase 1)的过程中提供身份保护。它主要用于VPN隧道建立过程中的密钥交换。以下是配置步骤:

  1. 创建IKE提案:
system-view
ike proposal { remote | local } index
encryption-algorithm { des | 3des | aes }
hash-algorithm { sha1 | md5 }
authentication-method { pre-share | rsa-sig }
dh-group { group1 | group2 }
lifetime seconds

这里创建一个IKE提案描述了阶段1的加密、哈希算法等。分别可以定义远程和本地的IKE提案。

  1. 配置IKE对等体:
system-view
ike peer peer_name
pre-shared-key plain-text plain_key
remote-address ipv4-address

这里创建一个IKE对等体,并配置了预共享密钥与对端的远程地址。

  1. 创建IPSec提案:
ipsec proposal proposal_name
esp { authentication { sha1 | md5 } | encryption { des | 3des | aes } }
saving-key { bidirectional | inbound | outbound }
ah enable
  1. 配置IPSec策略模板:
ipsec policy policy_name { isakmp | manual } template-number
security acl acl_number
ike-peer peer_name
proposal proposal_name

这里创建了一个IPSec策略模板,引用了IPSec提案和IKE对等体,同时指定一个访问控制列表ACL。

  1. 应用IPSec策略模板:
system-view
int tunnel interface_number
ipsec policy policy_name

在隧道接口上应用IPSec策略。

完成以上配置后,可以通过以下命令检查状态:

  • display ike peer :显示IKE对等体状态
  • display ipsec sa type :显示IPsec安全关联(SA)的信息

注意:实际配置过程可能因设备型号和版本而略有不同。这些步骤应根据您的实际需要进行调整。

这里基本配置就不展示了。

 总部配置

ipsec transform-set 1
	esp encryption-algorithm 3des-cbc
	esp authentication-algorithm sha1
ike identity fqdn ZB
ike keychain 1
	pre-shared-key hostname FB key simple h3c123
ike profile 1
	keychain 1
	exchange-mode aggressive   #默认模式是主动模式,改成野蛮模式
	match remote identity fqdn FB
ipsec policy-template 1 1
	transform-set 1
	ike-profile 1
ipsec policy 1 1 isakmp template 1
int g0/0
	ipsec apply policy 1

分部配置

acl advanced 3000
	rule 0 permit ip source 172.16.1.0 0.0.0.255 destination
192.168.1.0 0.0.0.255

ipsec transform-set 1
	esp encryption-algorithm 3des-cbc
	esp authentication-algorithm  sha1
ike identity fqdn FB
ike keychain 1
	pre-shared-key address 202.38.160.1 key simple  h3c123
ike profile 1
	keychain 1
	exchange-mode aggressive
	match remote identity address 202.38.160.1
ipsec policy 1 1 isakmp
	security acl 3000
	transform-set 1
	ike-profile 1
	remote-address 202.38.160.1
int g0/0
	ipsec apply policy 1

io无心
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IPsec+预共享密钥的IKE野蛮模式
zero_number的博客
10-21 5019
指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务 IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
H3C V7 ipsec主:野蛮模式配置脚本.pdf
08-30
H3C V7 ipsec主:野蛮模式配置脚本.pdf
第三方IPsec对接华三防火墙实现总部分支互访配置案例
最新发布
weixin_45836887的博客
05-20 475
源安全域:Trust,源地址:本地内网IP:172.16.0.0/24,目的安全域:Untrust,目的地址:any,动作:允许。创建主站保护的数据流(其他厂商有些叫做感兴趣数流)源IP地址:本地内网地址,目的IP地址:对端内网IP地址段,其他默认。本端ID:方式选择User-FQDB:yqxz,对端ID:选择User-FQDN:tyxz。策略——安全策略——安全策略——新建,创建一条ipsec放行。身份ID采用:tyxz,开启DPD检测 ,其他默认配置。网络——VPN——IPsec——策略——新建。
H3C IPsec VPN 野蛮模式配置
bfq05234214的博客
03-10 1714
野蛮模式配置公网地址固定的一端: 1.配置IKE fqdn2.创建IKE Proposal(提议),配置IKE的加密和验证算法,验证方法3.创建和配置预共享密钥,使用主机名标识对方身份4.创建IKE Profile(档案),配置野蛮模式,调用前面创建的Proposal和Keychain,指定对端的FQDN5.创建IPsec转换集,配置IPsec的工作模式,封装协议,验证和加密算法6.创建IPsec策略模板,调用前面创建的IKE Profile,IPsec转换集 7.创建IPsec策略,绑定前面创建的模板
GRE OVER IPSEC野蛮模式
weixin_46639226的博客
11-06 3623
## 野蛮模式适用于两端其中有一端地址不固定的情况 实验拓扑 实验思路 1.配置全网地址(这里的地址已经在图上规划,不在赘述) 2.配置ike 3.配置ipsec 4.配置GRE 地址配置完成之后,首先要保证公网可达,因为RT3和RT4是DHCP获取的地址,所以他们上面会有两条默认路由,下一跳是SW5,但是RT1上面没有往公网去的路由,所以要在RT1上配置一条默认路由 RT1 [H3C]ip route-static 0.0.0.0 0 100.1.1.254 RT3 (默认路由是DHCP下发的,优先级
IPSEC VPN详解
热门推荐
weixin_57507186的博客
04-22 1万+
IPSEC 是一种基于网络层,应用密码学的安全通信协议族。目的是在网络层环境ipv4,ipv6提供灵活的安全传输服务。IPSEC VPN基于IPSEC构建在IP层实现的安全虚拟专用网。VPN-- virtual private network 虚拟私有网,利用隧道技术实现
ipsec野蛮模式<H3C>
weixin_34362790的博客
03-30 780
野蛮模式的作用: 对于两端IP地址不是固定的情况(如ADSL拨号上网),并且双方都希望采用预共享密钥验证方法来创建IKE SA,就需要采用野蛮模式。另外如果发起者已知回应者的策略,采用野蛮模式也能够更快地创建IKE SA。 ipsec下两种模式的区别: 1、野蛮模式协商比主模式协商更快。主模式需要交互6个消息,野蛮模式只需要交互3个消息。 2、主模式协商比野蛮模式协商...
华为ipsec ike协商配置.rar
04-22
本资源是以ensp模拟器形式搭建的一个小型IPSec IKE模式。总共用了3台路由器,中间一台做充当转发器,其他两台进行ipsec搭建,并配置静态路由指向中间路由器。如需要学习的,可自行下载进行参考。ip什么的,就自己...
H3C原厂培训教程,第4章 IPsecIKE
11-17
了解IPSec提出背景 熟悉IPSec工作原理 熟悉IKE工作原理 掌握IPSec的基本配置和应用
ipsec ike v1 isakmp和esp.pcap
12-08
ipsec ike v1 isakmp和esp解密-抓包联系,请搭配说明文档使用
H3C经典实验合集.zip
06-30
H3C 综合实验BGP综合实验 H3C 综合实验GRE+IPSEC(ike) H3C 综合实验OSPF综合实验 H3C 综合实验VRRP+DHCP+RSTP综合实验 H3C 综合实验路由综合实验(BGP+OSPF+RIP+PPPOE+L2TP+GRE+IPSEC)
网络安全课程3 - IPsecIKE技术详解.pdf
11-04
IKEIPsec中的作用.................................................................................................................................. 8 IPsecIKE的关系...................................
思科防火墙IPsec配置--野蛮模式(基于8.0版本)
xiayu0912的专栏
01-25 1647
动态crypto maps只设置在野蛮模式的接收端,和静态crypto maps一样,也是把一些分散的信息集中起来形成一个完整的ipsec连接信息,里面的匹配规则也和静态crypto maps一样从低到高匹配,配置方式也和静态crypto maps一样。配置cryto map。cryto map是一个列表,该列表记录那些数据包需要建立IPsec, 将前面配置的一些分散的信息绑定到一起形成一个ipsec连接的完整信息,这个列表有序号,序号可以随意填,匹配IPSEC参数的时候按照序号从低到高的顺序进行匹配。
锐捷ipsec野蛮模式(积极模式配置实验+命令解释
m0_62621003的博客
04-01 1500
IPSEC动态隧道一般应用于分支节点较多的总分拓扑结构,在中心点配置动态隧道接受各分支的IPSEC VPN拨入。中心点配置简单、易于维护、可扩展性强。同时由于各分支的IP地址不固定,无法通过IP地址来指定不同的预共享密钥。所有分支使用相同的预共享密钥将极易造成密钥泄露,威胁网络安全。使用域名认证的方法很好地解决了这个问题,通过每个分支配置使用不同的域名,同时在中心点上针对不同的域名指定不同的密钥,保证了密钥安全。
IPsec野蛮模式出现的原因
qq_47529104的博客
05-02 2858
原因概述 其主要原因是因为在早期IKEv1的相关设备没有实现使用除了IP地址之外的其他标识符去表示一个IPsec隧道的一端,所以这就导致了动态IP地址的IPsec隧道的某一端出现了地址变动之后将无法重新建立IPsec隧道。我们在配置IPsec的时候,如果没有特定地指定标识符,在报文中发送的identity都是在配置命令中指定的IP地址,这就导致IKEv1的主模式是无法根据它们的标识去找到对应的共享密钥(因为是动态地址,所以地址变换之后先前的配置就无法生效了),但是野蛮模式在早期支持使用除了IP地址的方式
安全防御------IPSec VPN篇
m0_63292411的博客
08-08 1626
本篇文章详细的讲解了IPSEC VPN的主要知识,概括了IPsec VPN的安全服务,技术架构,两种工作模式;还包含了ESP,AH,IKE的详细内容,还提到了DBD,IPSEC VPN的NAT和多VPN等问题。
锐捷网络—VPN功能—IPSEC 基础配置IPSec使用域名发起协商(野蛮模式
君逍遥o
09-05 651
IPSEC动态隧道一般应用于分支节点较多的总分拓扑结构,在中心点配置动态隧道接受各分支的IPSEC VPN拨入。中心点配置简单、易于维护、可扩展性强。 同时由于各分支的IP地址不固定,无法通过IP地址来指定不同的预共享密钥。所有分支使用相同的预共享密钥将极易造成密钥泄露,威胁网络安全。使用域名认证的方法很好地解决了这个问题,通过每个分支配置使用不同的域名,同时在中心点上针对不同的域名指定不同的密钥,保证了密钥安全。
ipsec VPN技术(基础篇二)
BUG_MeDe的博客
06-04 3175
双方响应IKE安全提议报文,同时在自己配置ipsec 安全规则中寻找匹配的安全规则,主要匹配:加密算法、认证算法、身份认证方法、DH组标识,需要双方具有相同的匹配,才能协商成功。其中的数据是加密的。启用PFS后,在进行IPSec SA协商时会进行一次附加的DH交换,重新生成新的IPSec SA密钥,提高了IPSec SA的安全性。该ISAKMP协商使用的主模式IKE SA协商双方发送了6个报文,后面的IPsec SA的协商使用的快速模式。:保护一个网络中的设备的安全,通常是两台网关设备。
CCIE理论-IPSec的主模式野蛮模式的区别
weixin_48137911的博客
12-01 3398
版本1的IKEV1早期是不支持NAT-T的(NAT穿越),现在都支持了,野蛮模式一直支持。但是野蛮模式,有安全风险,他的身份认证是在第一第二个包里, 而且是明文的!主模式里面,前4个包都是裸奔的,第5个包用来做身份认证,这个是加密的。其实这个不算在数通里面,因为IPsec是安全的技术。这个角度来看,野蛮模式更快,更加节省设备的资源。突然想到这个就写这个了,面试或者考试会问这个。一个是 IKEv1,一个 IKEv2。那么在版本1的阶段1有两个模式。一个叫主模式,一个叫野蛮模式。主模式一共有6个数据包的交互。
h3c ipsec 配置
06-06
以下是基本的H3C IPSec配置步骤: 1. 配置IKE策略 [H3C] ike proposal 1 [H3C-ike-proposal-1] encryption-algorithm aes [H3C-ike-proposal-1] authentication-algorithm sha2 [H3C-ike-proposal-1] dh group14 [H3C-ike-proposal-1] sa duration 28800 [H3C-ike-proposal-1] quit 2. 配置IPSec策略 [H3C] ipsec proposal 1 [H3C-ipsec-proposal-1] esp authentication-algorithm sha2 [H3C-ipsec-proposal-1] esp encryption-algorithm aes [H3C-ipsec-proposal-1] sa duration 28800 [H3C-ipsec-proposal-1] quit 3. 设置IKE策略和IPSec策略的预共享密钥 [H3C] ike peer VPN-Peer1 1.1.1.1 [H3C-ike-peer-VPN-Peer1] pre-shared-key simple password [H3C-ike-peer-VPN-Peer1] ike proposal 1 [H3C-ike-peer-VPN-Peer1] quit [H3C] ipsec proposal 1 [H3C-ipsec-proposal-1] transform esp [H3C-ipsec-proposal-1] quit 4. 配置IPSec VPN [H3C] ipsec policy VPN-Policy1 isakmp [H3C-ipsec-isakmp-VPN-Policy1] ike-peer VPN-Peer1 [H3C-ipsec-isakmp-VPN-Policy1] proposal 1 [H3C-ipsec-isakmp-VPN-Policy1] quit [H3C] ipsec policy VPN-Policy1 security acl 3001 [H3C-ipsec-acl-3001-VPN-Policy1] quit [H3C] interface GigabitEthernet0/0/1 [H3C-GigabitEthernet0/0/1] ip address 10.1.1.1 255.255.255.0 [H3C-GigabitEthernet0/0/1] quit [H3C] acl number 3001 [H3C-acl-basic-3001] rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 [H3C-acl-basic-3001] quit 以上是基本的H3C IPSec配置步骤,需要根据具体的场景和需求进行调整和修改。建议在实际配置前,先仔细阅读官方文档和相关资料,确保理解和掌握相关知识。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值