DSVPN over IPSec 配置

最新推荐文章于 2024-04-08 09:30:02 发布
最新推荐文章于 2024-04-08 09:30:02 发布
阅读量256 收藏 1
点赞数
分类专栏: ENSP试验汇总 文章标签: 安全 信息与通信 网络 网络协议 运维 tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Qconfig100/article/details/133014864
版权

该场景中某大型企业,总部(Hub )和两个分公司(Spoke1/2)分布在不同地域,总部和分公司子网经常变动,分公司采用动态地址接入公网。企业规划使用OSPF路由协议,实现分分公司间的VPN互联,同时为保密安全需要,总部和分公司间及分公司间的数据传输采用加密保护。

分析思路:

根据需求采用DSVPN方式构建GRE隧道,数据需要先进行GRE封装,然后采用IPSec封装。同时提供身份认证、数据完整性检查,及抗重放功能。IPSec安全策略采用安全框架方式应用在mGRE隧道接口上。

配置如下:

【Hub】

<Huawei>system-view

[Huawei]sysname  Hub

[Hub-GigabitEthernet0/0/1]ip address 202.1.1.1 24

[Hub-GigabitEthernet0/0/2]ip address 172.18.3.254 24

[Hub-Tunnel0/0/0]ip address  10.1.1.1 24

[Hub]ospf 2

[Hub-ospf-2]area 1

[Hub-ospf-2-area-0.0.0.1]network  202.1.1.0 0.0.0.255

[Hub]ospf 1 router-id 10.1.1.1

[Hub-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255

[Hub-ospf-1-area-0.0.0.0]network 172.18.3.0 0.0.0.255

[Hub]ike proposal 1    //创建IKE安全提议

[Hub-ike-proposal-1]dh group5  //指定IKE第一阶段协商使用DH5组

[Hub-ike-proposal-1]authentication-algorithm aes-xcbc-mac-96 //配置认证算法

[Hub-ike-proposal-1]prf aes-xcbc-128 //指定IKE协商算法

[Hub]ike peer hub v2

[Hub-ike-peer-hub]ike-proposal 1 //引用安全提议

[Hub-ike-peer-hub]pre-shared-key cipher huawei123 //配置预共享密钥

[Hub-ike-peer-hub]dpd type periodic //配置DPD为周期性检测

[Hub-ike-peer-hub]dpd idle-time 40 //配置DPD为检测周期

[Hub]ipsec proposal pro1

[Hub-ipsec-proposal-pro1]transform ah-esp

[Hub-ipsec-proposal-pro1]ah authentication-algorithm sha2-256

[Hub-ipsec-proposal-pro1]esp authentication-algorithm sha2-256

[Hub-ipsec-proposal-pro1]esp encryption-algorithm aes-192

[Hub]ipsec profile prof1

[Hub-ipsec-profile-prof1]ike-peer hub

[Hub-ipsec-profile-prof1]proposal pro1

[Hub-Tunnel0/0/0]tunnel-protocol gre p2mp

[Hub-Tunnel0/0/0]source GigabitEthernet 0/0/1

[Hub-Tunnel0/0/0]nhrp entry multicast dynamic

[Hub-Tunnel0/0/0]ospf network-type broadcast

[Hub-Tunnel0/0/0]ospf dr-priority 100

[Hub-Tunnel0/0/0]ipsec profile prof1

【Spoke 1】

<Huawei>system-view

[Huawei]sysname  Spoke 1

[Spoke 1-GigabitEthernet0/0/1]ip address 202.1.2.1 24

[Spoke 1-GigabitEthernet0/0/2]ip address 172.18.1.254 24

[Spoke 1-Tunnel0/0/0]ip address  10.1.1.2 24

[Spoke 1]ospf 2

[Spoke 1-ospf-2]area 1

[Spoke 1-ospf-2-area-0.0.0.1]network  202.1.2.0 0.0.0.255

[Spoke 1]ospf 1 router-id 10.1.1.2

[Spoke 1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255

[Spoke 1-ospf-1-area-0.0.0.0]network 172.18.1.0 0.0.0.255

[Spoke 1]ike proposal 1

[Spoke 1-ike-proposal-1]dh group5

[Spoke 1-ike-proposal-1]authentication-algorithm aes-xcbc-mac-96

[Spoke 1-ike-proposal-1]prf aes-xcbc-128

[Spoke 1]ike peer spoke1 v2

[Spoke 1-ike-peer-spoke1]ike-proposal 1

[Spoke 1-ike-peer-spoke1]pre-shared-key cipher huawei123

[Spoke 1-ike-peer-spoke1]dpd type periodic

[Spoke 1-ike-peer-spoke1]dpd idle-time 40

[Spoke 1]ipsec proposal pro1

[Spoke 1-ipsec-proposal-pro1]transform ah-esp

[Spoke 1-ipsec-proposal-pro1]ah authentication-algorithm sha2-256

[Spoke 1-ipsec-proposal-pro1]esp authentication-algorithm sha2-256

[Spoke 1-ipsec-proposal-pro1]esp encryption-algorithm aes-192

[Spoke 1]ipsec profile prof1

[Spoke 1-ipsec-profile-prof1]ike-peer spoke1

[Spoke 1-ipsec-profile-prof1]proposal pro1

[Spoke 1-Tunnel0/0/0]tunnel-protocol gre p2mp

[Spoke 1-Tunnel0/0/0]source GigabitEthernet 0/0/1

[Spoke 1-Tunnel0/0/0]nhrp entry 10.1.1.1 202.1.1.1 register

[Spoke 1-Tunnel0/0/0]ospf network-type broadcast

[Spoke 1-Tunnel0/0/0]ospf dr-priority 0

[Spoke 1-Tunnel0/0/0]ipsec profile prof1

【Spoke 2】

<Huawei>system-view

[Huawei]sysname  Spoke 2

[Spoke 2-GigabitEthernet0/0/1]ip address 202.1.3.1 24

[Spoke 2-GigabitEthernet0/0/2]ip address 172.18.2.254 24

[Spoke 2-Tunnel0/0/0]ip address  10.1.1.3 24

[Spoke 2]ospf 2

[Spoke 2-ospf-2]area 1

[Spoke 2-ospf-2-area-0.0.0.1]network  202.1.3.0 0.0.0.255

[Spoke 2]ospf 1 router-id 10.1.1.3

[Spoke 2-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255

[Spoke 2-ospf-1-area-0.0.0.0]network 172.18.2.0 0.0.0.255

[Spoke 2]ike proposal 1

[Spoke 2-ike-proposal-1]dh group5

[Spoke 2-ike-proposal-1]authentication-algorithm aes-xcbc-mac-96

[Spoke 2-ike-proposal-1]prf aes-xcbc-128

[Spoke 2]ike peer spoke2 v2

[Spoke 2-ike-peer-spoke2]ike-proposal 1

[Spoke 2-ike-peer-spoke2]pre-shared-key cipher huawei123

[Spoke 2-ike-peer-spoke2]dpd type periodic

[Spoke 2-ike-peer-spoke2]dpd idle-time 40

[Spoke 2]ipsec proposal pro1

[Spoke 2-ipsec-proposal-pro1]transform ah-esp

[Spoke 2-ipsec-proposal-pro1]ah authentication-algorithm sha2-256

[Spoke 2-ipsec-proposal-pro1]esp authentication-algorithm sha2-256

[Spoke 2-ipsec-proposal-pro1]esp encryption-algorithm aes-192

[Spoke 2]ipsec profile prof1

[Spoke 2-ipsec-profile-prof1]ike-peer spoke2

[Spoke 2-ipsec-profile-prof1]proposal pro1

[Spoke 2-Tunnel0/0/0]tunnel-protocol gre p2mp

[Spoke 2-Tunnel0/0/0]source GigabitEthernet 0/0/1

[Spoke 2-Tunnel0/0/0]nhrp entry 10.1.1.1 202.1.1.1 register

[Spoke 2-Tunnel0/0/0]ospf network-type broadcast

[Spoke 2-Tunnel0/0/0]ospf dr-priority 0

[Spoke 2-Tunnel0/0/0]ipsec profile prof1

【Internet】

<Huawei>system-view

[Huawei]sysname Internet

[Internet-GigabitEthernet0/0/0]ip address 202.1.1.2 24

[Internet-GigabitEthernet0/0/1]ip address 202.1.2.2 24

[Internet-GigabitEthernet0/0/2]ip address 202.1.3.2 24

[Internet]ospf 2

[Internet-ospf-2]area 1

[Internet-ospf-2-area-0.0.0.1]network 202.1.1.0 0.0.0.255

[Internet-ospf-2-area-0.0.0.1]network 202.1.2.0 0.0.0.255

[Internet-ospf-2-area-0.0.0.1]network 202.1.3.0 0.0.0.255

配置验证

<Hub>display  ipsec profile
===========================================
IPSec profile  : prof1
Using interface: Tunnel0/0/0
===========================================
 IPSec Profile Name        :prof1
 Peer Name                 :hub
 PFS   Group               :0 (0:Disable 1:Group1 2:Group2 5:Group5 14:Group14)
 SecondsFlag               :0 (0:Global 1:Local)
 SA Life Time Seconds      :3600
 KilobytesFlag             :0 (0:Global 1:Local)
 SA Life Kilobytes         :1843200
 Anti-replay window size   :32
 Qos pre-classify          :0 (0:Disable 1:Enable)
 Number of IPSec Proposals :1
 IPSec Proposals Name      :pro1 

<Hub>display nhrp peer all
-------------------------------------------------------------------------------
Protocol-addr   Mask  NBMA-addr       NextHop-addr    Type         Flag         
-------------------------------------------------------------------------------
10.1.1.3        32    202.1.3.1       10.1.1.3        dynamic      route tunnel
-------------------------------------------------------------------------------
Tunnel interface: Tunnel0/0/0
Created time    : 02:13:52
Expire time     : 01:46:08
-------------------------------------------------------------------------------
Protocol-addr   Mask  NBMA-addr       NextHop-addr    Type         Flag         
-------------------------------------------------------------------------------
10.1.1.2        32    202.1.2.1       10.1.1.2        dynamic      route tunnel
-------------------------------------------------------------------------------
Tunnel interface: Tunnel0/0/0
Created time    : 02:13:51
Expire time     : 01:46:09

Number of nhrp peers: 2

<Spoke 1>display nhrp peer all
-------------------------------------------------------------------------------
Protocol-addr   Mask  NBMA-addr       NextHop-addr    Type         Flag         
-------------------------------------------------------------------------------
10.1.1.1        32    202.1.1.1       10.1.1.1        static       hub          
-------------------------------------------------------------------------------
Tunnel interface: Tunnel0/0/0
Created time    : 04:10:34
Expire time     : --

Number of nhrp peers: 1

<Spoke 2>display nhrp peer all
-------------------------------------------------------------------------------
Protocol-addr   Mask  NBMA-addr       NextHop-addr    Type         Flag         
-------------------------------------------------------------------------------
10.1.1.1        32    202.1.1.1       10.1.1.1        static       hub          
-------------------------------------------------------------------------------
Tunnel interface: Tunnel0/0/0
Created time    : 02:18:15
Expire time     : --

Number of nhrp peers: 1

<Hub>display ipsec sa

===============================
Interface: Tunnel0/0/0
 Path MTU: 1500
===============================

  -----------------------------
  IPSec profile name: "prof1"
  Mode              : PROF-Template
  -----------------------------
    Connection ID     : 9
    Encapsulation mode: Tunnel
    Tunnel local      : 202.1.1.1
    Tunnel remote     : 202.1.2.1
    Qos pre-classify  : Disable

    [Outbound ESP SAs]
      SPI: 1246749103 (0x4a4fe1af)
      Proposal: ESP-ENCRYPT-AES-192 SHA2-256-128
      SA remaining key duration (bytes/sec): 1887431136/3024
      Max sent sequence-number: 59
      UDP encapsulation used for NAT traversal: N

    [Outbound AH SAs]
      SPI: 3641500733 (0xd90ce43d)
      Proposal: SHA2-256-128
      SA remaining key duration (bytes/sec): 1887436800/3024
      Max sent sequence-number: 59
      UDP encapsulation used for NAT traversal: N

    [Inbound AH SAs]
      SPI: 2151232364 (0x8039336c)
      Proposal: SHA2-256-128
      SA remaining key duration (bytes/sec): 1887436800/3024
      Max received sequence-number: 53
      Anti-replay window size: 32
      UDP encapsulation used for NAT traversal: N

    [Inbound ESP SAs]
      SPI: 3445580004 (0xcd5f60e4)
      Proposal: ESP-ENCRYPT-AES-192 SHA2-256-128
      SA remaining key duration (bytes/sec): 1887431924/3024
      Max received sequence-number: 53
      Anti-replay window size: 32
      UDP encapsulation used for NAT traversal: N

  -----------------------------
  IPSec profile name: "prof1"
  Mode              : PROF-Template
  -----------------------------
    Connection ID     : 10
    Encapsulation mode: Tunnel
    Tunnel local      : 202.1.1.1
    Tunnel remote     : 202.1.3.1
    Qos pre-classify  : Disable

    [Outbound ESP SAs]
      SPI: 2700005914 (0xa0eed21a)
      Proposal: ESP-ENCRYPT-AES-192 SHA2-256-128
      SA remaining key duration (bytes/sec): 1887431232/3036
      Max sent sequence-number: 58
      UDP encapsulation used for NAT traversal: N

    [Outbound AH SAs]
      SPI: 309133145 (0x126cff59)
      Proposal: SHA2-256-128
      SA remaining key duration (bytes/sec): 1887436800/3036
      Max sent sequence-number: 58
      UDP encapsulation used for NAT traversal: N

    [Inbound AH SAs]
      SPI: 434393378 (0x19e45122)
      Proposal: SHA2-256-128
      SA remaining key duration (bytes/sec): 1887436800/3036
      Max received sequence-number: 52
      Anti-replay window size: 32
      UDP encapsulation used for NAT traversal: N

    [Inbound ESP SAs]
      SPI: 2536228892 (0x972bc81c)
      Proposal: ESP-ENCRYPT-AES-192 SHA2-256-128
      SA remaining key duration (bytes/sec): 1887432016/3036
      Max received sequence-number: 52
      Anti-replay window size: 32
      UDP encapsulation used for NAT traversal: N

<Hub>display ospf 1 routing

     OSPF Process 1 with Router ID 10.1.1.1
          Routing Tables

 Routing for Network
 Destination        Cost  Type       NextHop         AdvRouter       Area
 10.1.1.0/24        1562  Transit    10.1.1.1        10.1.1.1        0.0.0.0
 172.18.3.0/24      1     Stub       172.18.3.254    10.1.1.1        0.0.0.0
 172.18.1.0/24      1563  Stub       10.1.1.2        10.1.1.2        0.0.0.0
 172.18.2.0/24      1563  Stub       10.1.1.3        10.1.1.3        0.0.0.0

 Total Nets: 4  
 Intra Area: 4  Inter Area: 0  ASE: 0  NSSA: 0

可以看出各个节点NHRP PEER都已建立,IPSec  sa  /ospf 1 路由都已生成。

PC1 Ping PC2 用流量触发两个Spoke 的你好 nhrp peer 相互学习。

<Spoke 1>dis nhrp peer all
-------------------------------------------------------------------------------
Protocol-addr   Mask  NBMA-addr       NextHop-addr    Type         Flag         
-------------------------------------------------------------------------------
10.1.1.1        32    202.1.1.1       10.1.1.1        static       hub          
-------------------------------------------------------------------------------
Tunnel interface: Tunnel0/0/0
Created time    : 00:10:09
Expire time     : --
-------------------------------------------------------------------------------
Protocol-addr   Mask  NBMA-addr       NextHop-addr    Type         Flag         
-------------------------------------------------------------------------------
10.1.1.3        32    202.1.3.1       10.1.1.3        dynamic      route tunnel
-------------------------------------------------------------------------------
Tunnel interface: Tunnel0/0/0
Created time    : 00:00:22
Expire time     : 01:59:38
-------------------------------------------------------------------------------
Protocol-addr   Mask  NBMA-addr       NextHop-addr    Type         Flag         
-------------------------------------------------------------------------------
10.1.1.2        32    202.1.2.1       10.1.1.2        dynamic      local        
-------------------------------------------------------------------------------
Tunnel interface: Tunnel0/0/0
Created time    : 00:00:22
Expire time     : 01:59:38

Number of nhrp peers: 3

Qconfig100
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
虚拟隧道接口建立GRE over IPSec配置
08-31
虚拟隧道接口建立GRE over IPSec配置
天融信防火墙配置GRE Over IPSEC
09-19
天融信防火墙配置GRE Over IPSEC GRE over IPSec,是将整个已经封装过的GRE数据包进行加密。由于IPSec不支持对多播和广播数据包的加密,这样的话,使用IPSec的隧道中,动态路由协议等依靠多播和广播的协议就不能进行...
配置IPSec保护的DSVPN示例
刘俊辉个人博客
03-20 740
配置IPSec保护的DSVPN示例
DSVPN简介
最新发布
2301_76769137的博客
04-08 836
动态智能VPN(Dynamic Smart Virtual Private Network),简称DSVPN,是一种在Hub-Spoke组网方式下为公网地址动态变化的分支之间建立VPN隧道的解决方案。
DSVPN的基本配置IPSEC的基础概念以及MGRE的基础配置
j2941174356的博客
08-07 543
DSVPN的基本配置 ,以及MGRE的基础配置,和IPSEC的基础概念
防火墙——动态智能隧道DSVPN讲解
m0_49864110的博客
05-19 1717
MGRE技术全称为多点GRE技术,是基于GRE技术的升级版,将传统GRE隧道点到点P2P类型的Tunnel接口扩展成了点到多点P2MP类型的mGRE隧道接口。解决了GRE只可以在两点之间建立隧道的问题。MGRE的隧道的建立方式静态建立mGRE隧道一般总部与分支建立静态隧道,永久存在。通过配置NHRP静态表项建立动态建立mGRE隧道一般分支与分支之间建立动态隧道,通过数据流量触发。通过NHRP动态表项建立。
非shortcut场景DSVPN(Ospf协议)配置
Qconfig100的博客
09-07 127
该场景拓扑中,为中小型企业总部(Hub)和两个分公司Spoke 1和Spoke 2,它们分布在不同的地域,并且总部和分公司的子网环境经常变化。总部希望采用专线接入公网,分公司采用动态地址接入公网,规划采用OSPF路由协议能够在实现分公司与总部之间的VPN互联的同时,分公司之间也能够建立VPN互联。
Huawei----隧道技术(一)
weixin_45777287的博客
07-28 1196
一、GRE Over IPSec的缺陷 1、IPSec隧道集中在Hub点,所有流量都穿越Hub点 2、每增加一个新的Spoke点,Hub点都必须被配置 3、若Spoke点的公网地址是动态变化的,部署点到点的GRE会存在问题 二、DSVPN原理 1、名词解释: DSVPN:动态智能VPN MGRE:多点GRE NHRP协议:下一跳地址解析协议 可选的IPSec封装:实现数据的安全传输 2、原理: (1)DSVPN通过NHRP协议(Next Hop Resolution Protocol,下一跳地址解析协议)
GRE Over IPSec配置及抓包分析.doc
05-20
GRE Over IPSec配置及抓包分析.doc
H3C SecPathF10X0_L2TP over IPSec配置.IOS、Android、Win7、Win10免客户端接入
04-07
H3C防火墙F10X0 V7版本,配置L2tp over ipsec,实现ios和android以及各版本Windows终端,免客户端接入的配置,内含关键配置点说明。
思科路由器对接山石网科防火墙——GRE Over IPSec.doc
08-18
思科路由器对接山石网科防火墙——GRE Over IPSec.doc
shortcut场景DSVPN(OSPF协议)配置
Qconfig100的博客
09-14 165
该拓扑中,某大型企业有企业总部(Hub)和多个分公司 (Spoke 1、Spoke 2、Spoke 3、Spoke 4)分布在不同地域,总部和分公司的子网环境经常出现变动,分支采用动态的地址接入公网。计划使用OSPF 路由协议,希望实现分公司和总部之间VPN互联的同时,分公司间也能建立VPN互联。
VPNIPSEC、AH、ESP、IKE、DSVPN
xiaooxiangg的博客
04-14 3787
身份认证也称为“身份验证”或“身份鉴别”,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。数字签名,客户端支持的最高版本,加密套件列表,压缩算法列表,客户端随机数。
IPSEC实验(IPSECVPN点到点,DSVPN,IPSECVPN旁挂)
weixin_56102955的博客
04-13 1965
一、复现实验 1、防火墙的IPSECVPN点到点实验 -1,拓扑图的搭建 -2,配置IP,开通ping,并且设置策略 -3,在网络中的IPSEC进行配置 第一阶段:发出的UDP500流量 第二阶段 发出的ESP流量 二台防火墙建立策略 禁用其它策略,在IPSEC配置策略和感兴趣流(往返流量) 配置往返流量 改造IPSEC-FW12均配置 感兴趣流合并 二,GRE实验 封装前的流量(FW12)![](https://img-blog.csdnimg.cn/5d4de4b992ce4719b83ce7ca32
DSVNP基础原理
热门推荐
曹世宏的博客
09-16 1万+
GRE over IPSec的缺陷 GRE over IPSec的缺陷: 图:企业典型的Hub-Spoke组网(配置DSVNP之前) 如上图,如果一个公司又很多分支站点,采用GRE over IPSec的话会存在如下缺点: IPSec隧道集中在Hub点,所有流量都穿越Hub点。 所有流量通过总部封装和解封装时,会引入额外的网络延时。 每增加一个新的Sopke点,Hub点都必须被配置。 若Spo...
DSVPN实验
weixin_74812406的博客
04-02 905
开启shoutcut模式下的重定向。相应shortcut,开启重定向。响应shortcut,重定向。在中心开启伪广播功能。
VPN的简介以及在ENSP中的基础配置
2301_76602495的博客
01-24 643
tunnel和网段的数量将成指数上升,路由表将变大,要求所有的节点为固定的公有IP地址;当拓扑结构为中心到站点(轴辐状)—不是所有网点均为固定的公有ip,没法所有tunnel设备相互注册;普通的GRE为点到点网络类型;若将多个节点使用普通GRE连接起来,将配置大量的网段和路由信息,且所有节点为固定IP地址;NHRP:下一跳路径发现协议 非固定ip地址分支站点,主动到固定IP的中心站点注册;若所有tunnel对应的公有ip均为固定ip地址,可以让每台路由器均称为中心站点,两两间均进行注册;
华三gre over ipsec配置
06-06
### 回答1: 华三GRE over IPSec配置是一种网络配置方式,可以实现两个不同网络之间的通信。具体配置步骤如下: 1. 配置IPSec隧道:在两个网络设备上分别配置IPSec隧道,包括加密算法、认证算法、预共享密钥等参数。 2. 配置GRE隧道:在两个网络设备上分别配置GRE隧道,包括隧道名称、本地IP地址、远程IP地址等参数。 3. 配置路由:在两个网络设备上分别配置路由,将需要通信网络地址加入路由表中。 4. 测试连接:在两个网络设备上进行ping测试,验证GRE over IPSec配置是否成功。 以上就是华三GRE over IPSec配置的基本步骤,需要注意的是,配置过程中需要确保两个网络设备的配置参数一致,否则会导致通信失败。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值