Ensp实验随心记——IPSec基础

最新推荐文章于 2024-05-13 14:28:22 发布
最新推荐文章于 2024-05-13 14:28:22 发布
阅读量4k 收藏 41
点赞数 4
分类专栏: HUAWEI数通 文章标签: ipsec 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Uniqueness981121/article/details/107995086
版权

理论才是实验的关键,学好理论再看实验,才知所以然。实验有步骤顺序性,愿意学能看懂的。有错误请批评指正。

IPSec

在这里插入图片描述

静态IPSec配置

配置思路:①网络可达;②配置ACL识别兴趣流;③创建安全提议;④创建安全策略;⑤应用安全策略。

安全提议:执行ipsec proposal命令,可以创建IPSec提议并进入IPSec提议视图。配置IPSec策略时,必须引用IPSec提议来指定IPSec隧道两端使用的安全协议、加密算法、认证算法和封装模式。缺省情况下,使用ipsec proposal命令创建的IPSec提议采用ESP协议、MD5认证算法和隧道封装模式。在IPSec提议视图下执行下列命令可以修改这些参数。 缺省情况下,ESP协议使用的加密算法AES-256。

 执行 **transform [ah | ah-esp | esp]** 命令,可以重新配置隧道采用的安全协议。 
 执行 **encapsulation-mode {transport | tunnel }** 命令,可以配置报文的封装模式。 
 执行 **esp authentication-algorithm [md5 | sha1 | sha2-256 | sha2-384 | sha2-512 ]** 命令,可以配置ESP协议使用的认证算法。 
 执行 **esp encryption-algorithm [des | 3des | aes-128 | aes-192 | aes-256 ]** 命令,可以配置ESP加密算法。 
 执行 **ah authentication-algorithm [md5 | sha1 | sha2-256 | sha2-384 | sha2-512 ]** 命令,可以配置AH协议使用的认证算法。

安全策略:ipsec policy policy-name seq-number命令用来创建一条IPSec策略,并进入IPSec策略视图。安全策略是由policy-name和seq-number共同来确定的,多个具有相同policy-name的安全策略组成一个安全策略组。在一个安全策略组中最多可以设置16条安全策略,而seq-number越小的安全策略,优先级越高。

 security acl acl-number 命令用来指定IPSec策略所引用的访问控制列表。 
 proposal proposal-name 命令用来指定IPSec策略所引用的提议。 
 tunnel local { ip-address | binding-interface } 命令用来配置安全隧道的本端地址。 
 tunnel remote ip-address 命令用来设置安全隧道的对端地址。 
 sa spi { inbound | outbound } { ah | esp } spi-number 命令用来设置安全联盟的安全参数索引SPI。在配置安全联盟时,入方向和出方向安全联盟的安全参数索引都必须设置,并且本端的入方向安全联盟的SPI值必须和对端的出方向安全联盟的SPI值相同,而本端的出方向安全联盟的SPI值必须和对端的入方向安全联盟的SPI值相同。 
 sa string-key { inbound | outbound } { ah | esp } { simple | cipher } string-key命令用来设置安全联盟的认证密钥。入方向和出方向安全联盟的认证密钥都必须设置,并且本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥相同;同时,本端的出方向安全联盟密钥必须和对端的入方向安全联盟的密钥相同。

配置好所有的接口地址。
在这里插入图片描述
在IPS上配置一个环回口:
在这里插入图片描述
使得路由之间可以互通:(确保隧道的源目的地址可以通)
在这里插入图片描述
在这里插入图片描述
在R1上定义经过IPSec VPN保护/匹配的数据流:
在这里插入图片描述
配置安全提议pro1;配置传输协议AH;
在这里插入图片描述
配置策略(其实就是定义安全联盟里面的参数):指定acl控制列表;指定提议;配置安全隧道的本端地址(将来发送私网数据的时候要封装的新的源地址公网地址);配置安全隧道的对端地址;配置安全索引(本端出入要不一样);配置安全联盟的认证秘钥(本端出入可以一样);
在这里插入图片描述
在接口上应用策略组:
在这里插入图片描述
查看:
在这里插入图片描述
可以改封装模式的,默认是tunnel;
在这里插入图片描述
现在配置对端:
在这里插入图片描述
在R1的G0/0/1口抓包:可以看到AH是明文发送的。
在这里插入图片描述
在这里插入图片描述
ping ISP的环回口:发现ping不通。因为没有做NAT
在这里插入图片描述
假设我们这里做一个Easy IP
在这里插入图片描述
发现可以ping了,但是在pingPC2的时候并没有用到IPSec,所以不通,数据被做了NAT转换。
在这里插入图片描述
在这里插入图片描述
所以应该删掉2000,然后做一个ACL控制列表,要先禁止PC1到PC2网段的数据流做NAT转换:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
现在来配置esp安全协议:比AH多了加密算法
在这里插入图片描述
在这里插入图片描述
修改esp的认证模式,加密算法
在这里插入图片描述
R2也要对应修改:
在这里插入图片描述
R1安全索引和认证密钥也要修改:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
R3安全索引和认证密钥也要修改:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

PC1 ping PC2在这里插入图片描述
在这里插入图片描述

动态IKE

在这里插入图片描述
在这里插入图片描述定义一个IKE:包括加密算法,认证算法(与上面的提议里面的加密和认证是两码事)都有缺省的,不配也行,认证模式(预共享密钥,不是用来做数据认证的,而是身份认证,默认是pre-share),
在这里插入图片描述
在这里插入图片描述
创建IKE对等体:命名,交换模式(野蛮模式和主模式是V1的,在这里V2不配),设置预共享密钥(做身份认证),调用IKE,定义远端地址
在这里插入图片描述
创建IPSec策略:引用访问控制列表,指定IPSec策略所引用的提议,调用IKE对等体。 isakmp说明使用IKE协商建立安全联盟。 manual 说明不使用IKE协商建立安全联盟。
在这里插入图片描述
在这里插入图片描述
R2做同样操作:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
协商
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Uniqueness信
关注
  • 4
    点赞
  • 41
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
enspipsec实验(ike自动协商)
qq_44933518的博客
04-02 6826
配置步骤:配置网络可达–配置ACL识别兴趣流–创建安全提议–创建安全策略–应用安全策略 配置网络可达–配置ACL识别兴趣流–创建ike提议–创建ike对等体–创建ipsec提议–创建ipsec策略–应用安全策略 ...
ensp,点对点IPSec基础
08-11
初次创作
eNSP—虚拟专用网的IPSec配置
m0_46237205的博客
10-27 5616
实验拓扑图如下: 实验目的:把两个私网打通,PC1可以ping通PC2。 1、PC的配置: PC1 PC2 2、R1基本信息配置: < Huawei >sys [Huawei]undo info-center enable [Huawei]int g0/0/0 [Huawei-GigabitEthernet0/0/0]ip add 192.168.10.254 24 [Huawei-GigabitEthernet0/0/0]undo shut [Huawei-GigabitEthernet
华为ensp中路由器IPSec VPN原理及配置命令(超详解)
最新发布
博客之路,前途漫漫
05-13 2839
是一种通过公用网络建立安全连接的技术。它可以使您的设备看起来像是连接到另一个网络,例如公司或家庭网络,即使您实际上位于其他位置。通过在您的设备和远程服务器之间创建加密隧道来工作。该隧道可保护您的互联网流量免受窥探,即使您使用的是公共 Wi-Fi 网络
华为Ensp ipsec
分享的都是纯自学心得
04-14 444
R1-ike-proposal-1] encryption-algorithm aes-cbc-128 #配置IKE加密算法为aes-cbc-128。[R1-ipsec-policy-isakmp-policy1-1] proposal tranl #引用定义的IPsec安全提议1。[R1-ipsec-policy-isakmp-policy1-1] ike-peer rta #引用定义的IKE对等体。[R1-ike-peer-rta] local-id-type name #配置本端id类型为名称。
eNSPIPsec 虚拟专用网配置
Shass的博客
11-11 1万+
eNSPIPsec VPN配置 VPN的定义 1、互联网存在各种安全隐患 — 网上传输的数据有被窃听的风险 — 网上传输的数据有被篡改的危险 — 通信双方有被冒充的风险 2、VPN (Virtual Private Network,虚拟专用网) 3、VPN建立“保护”网络实体之间的通信 — 使用加密技术防止数据被窃听 — 数据完整性验证防止数据被破坏、篡改 — 通过认证机制确认身份,防止冒充 VPN类型 1、站点到站点 2、远程访问VPN 站点到站点的VPN配置——IPsec VP
[eNSP]建立IPSec隧道
ZXW_NUDT的博客
03-31 2748
1、配置静态路由 [AR 1]ip route-static 200.2.2.0 24 200.1.1.2 [AR 1]ip route-static 192.168.2.0 24 200.2.2.1 [AR 3]ip route-static 200.1.1.0 24 200.2.2.2 [AR 3]ip route-static 192.168.1.0 24 200.1.1.1 [AR 2]ip route-static 192.168.1.0 24 200.1.1.1 [AR 2]ip route-.
eNSP实验12-1 IPv6基础配置
01-28
eNSP实验12-1 IPv6基础配置 本实验的目的是掌握 IPv6 基础配置及 IPv6 静态路由配置方法。实验设备为一台 PC、一台 eNSP 软件,实验环境如实验拓扑图所示,某公司新建网络部署使用 IPv6,路由器 R1 与 R2 分别为 IT...
ensp经典13个实验案例
05-07
实验1 mstp 实验2 vrrp配置 实验3 ospf高级配置 实验4 MSTP+VRRP+OSPF配置 ...实验11 高级手工配置参数的ipsec vpn 实验12 基于IKE主模式的IPSEC VPN 实验13 MPLS LDP的配置 实验14BGP MPLS VPN的配置
华为eNSP静态路由项配置实验报告(网络技术基础与计算思维实验教程)
11-17
内容概要:华为eNSP静态路由项配置实验报告(网络技术基础与计算思维实验教程)配套。 适合人群:软件工程专业学生,课本“网络技术基础与计算思维实验教程”实验报告。 实验目的:(1)掌握路由器静态路由项配置...
基于EnspIPsec 实验
WANGMH13的博客
08-02 3550
基于EnspIPsec 实验
玩转华为ENSP模拟器系列 | 配置基于路由的IPSec VdPdNd(采用预共享密钥认证)
COCO_gsta的博客
10-07 1891
通过组网实现如下需求:在FW_A和FW_B之间建立基于路由的IPSec隧道,使网络A和网络B的用户可通过IPSec隧道互相访问。所示,网络A和网络B分别通过FW_A和FW_B连接到Internet。配置FW_A的基础配置。包括配置接口IP地址、接口加入安全区域、域间安全策略和静态路由。配置FW_B的基础配置。配置到达目的网络B的静态路由,此处假设到达网络B的下一跳地址为1.1.3.2。配置到达目的网络A的静态路由,此处假设到达网络A的下一跳地址为1.1.5.2。在FW_A上配置IPSec
ENSP配置IPSEC 实验
WANGMH13的博客
08-01 3020
ENSP配置IPSEC实验
ENSP:防火墙IPSEC XXX
weixin_45921302的博客
11-19 2093
利用防火墙IPSECVPN实现总分部加密通信。值得一瞄。
eNSP—防火墙+IPSec 站点到站点的虚拟专用网络
m0_46237205的博客
04-10 4201
4、本IPSec VPN组网的通信网络为192.168.1.0/24和172.16.1.0/24(感兴趣流),加密点为两个防火墙的外部接口地址。#放行untrust区到local区双方向的远端加密点到本端加密点的esp和ike流量。#放行untrust区到local区双方向的远端加密点到本端加密点的esp和ike流量。#放行untrust区和trust区双方向上通信网络之间的流量。#放行untrust区和trust区双方向上通信网络之间的流量。#配置trust区与untrust区的zone间策略
华为ensp防火墙ipsec
热门推荐
西北纵队
11-22 1万+
菊厂防火墙ipsecvpn 1)调试设备IP地址,防火墙有些策略限制会导致即使配置了正确的路由,也不能使得公网通,这就需要我们进行调试设备;一个是关于接口的ping服务是否打开,二是关于安全策略是否允许区域间流量流动; 拓扑图的IP地址配置在图上已经标好,按照图示配置即可 地址配好,将会出现一个问题,防火墙的编号最小的接口将不会存在直连路由,哪怕你提前配置了一条往公网的静态默认路由,都不会显示在转发录音表中,这是因为防火墙默认有一个vpn模型在他的g0/0/0接口上,把他undo即可 [FW2-Gigab
玩转华为ENSP模拟器系列 | IPSec网关负载分担双机热备,上下行连接路由器
COCO_gsta的博客
10-18 1959
FW_B发给总部的流量沿FW_BRouter1FW_DRouter2路径传递,则需要在FW_C和FW_D上配置路由策略,从而控制Router1和Router2的路由信息。状态时,FW_C将对外发布的直连路由和静态路由统一减10,FW_D将对外发布的直连路由和静态路由统一加10,这样FW_A和FW_B将全部发送至FW_C处理。状态时,FW_C将对外发布的直连路由和静态路由统一加10,FW_D将对外发布的直连路由和静态路由统一减10,这样FW_A和FW_B将全部发送至FW_D处理。
ensp ipsec功能实验
05-14
下面是一个简单的Ensp IPSec VPN实验步骤: 1. 创建拓扑:在Ensp中创建两个路由器,分别为R1和R2,然后将两个路由器连接起来。 2. 配置IP地址:对于R1和R2,分别配置它们的接口IP地址,使它们能够互相通信。 3. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Uniqueness信

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值