通过IKE协商方式建立IPSec隧道

已于 2022-01-29 21:21:33 修改
阅读量2.3k 收藏 13
点赞数 2
分类专栏: 路由交换配置 文章标签: 网络
于 2020-11-04 16:54:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WannaHaha/article/details/109492514
版权
本文详细介绍了如何通过IKE协商方式建立IPSec隧道,以保障企业分支与总部间的安全通信。从配置接口IP地址、静态路由、ACL,到IPSec安全提议和IKE对等体设置,再到安全策略应用,每一步骤都清晰阐述。同时,文章还提出了对配置过程中遇到问题的思考,如静态路由、IKE安全算法选择和安全策略应用的探讨。
摘要由CSDN通过智能技术生成

组网需求

如图,AR1为企业分支网关,AR2模拟Internet公网,AR3为企业总部网关,分支与总部通过公网建立通信。

企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信,

可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。

配置思路

采用如下思路配置采用IKE协商方式建立IPSec隧道

1、配置接口的IP地址和到对端的静态路由,保证两端路由可达。

2、配置ACL,以定义需要IPSec保护的数据流。

3、配置IPSec安全协议,定义IPSec的保护方法。

4、配置IKE对等体,定义对等体间IKE协商时的属性。

5、配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法。

6、在接口上应用安全策略组,使接口具有IPSec的保护功能。

操作步骤

1、分别在AR1、AR2和AR3上配置接口的IP地址

#在AR1上配置接口的IP地址
[AR 1]int gi 0/0/0
[AR
了解本专栏 订阅专栏 解锁全文 超级会员免费看
刘林锋blog
关注
专栏目录
订阅专栏
IPSec隧道配置实验(IKE动态协商方式
A soul tortured by desire
08-06 4100
实验目的: 采用IKE动态协商方式建立IPSec隧道 组网需求: R1为企业分支出口路由,R2为企业总部出口路由,总部与分支通过公网建立通信。 企业希望对总部子网与分支子网之间相互访问的流量进行安全保护。总部与分支通过公网建立通信,可以在总部出口路由网关与分支出口路由网关之间建立一个IPSec隧道来实现安全保护。 配置操作: *****************R1企业分支******************** <Huawei>sys Enter system view, re
采用IKE方式建立IPsec安全隧道
weixin_33913332的博客
02-17 676
一、【组网和实验环境】 按如上的接口ip先作配置,再作ipsec的相关配置,配置文本见文章最后 本文实验采用的交换机是H3C模拟器,下载地址如下:http://forum.h3c.com/forum.php?mod=viewthread&tid=109740&highlight=H3C%E6%A8%A1%E6%8B...
结合配置、抓包来分析IKE/IPSec的整个协商过程
weixin_41286041的博客
08-18 107
IKE/ISKAMP的协商过程这里主要讲解IKEV1的版本,在V1版本中有两个模式,一个主模式,一个野蛮模式(也称为积极模式),下面就以上一篇的拓扑跟配置为基础,来通过抓包来分析,先从IKE的主模式开始。作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)IKEIPSEC相关的配置回顾当19...
IPsec SA 创建步骤——IKE协议
bytxl的专栏
09-16 9762
http://hi.baidu.com/wjjuseezugdgkre/item/08e82ce8dade97226dabb80e IPsec SA creation steps There are two steps on the IPsec SA creation, phase 1 is to creat IKE-SA, and phase 2 is to creat IPSEC-S
手工方式建立IPSec隧道示例.zip
03-27
ensp手工方式建立IPSec隧道示例
VPP系统 配置IPSec IKEv2 远端地址any
沉默的鹏先生
03-18 3843
1、配置拓扑 PS: VPP1主动发起IKEv2协商建立IPSec隧道,VPP2被动和VPP1建立IPSec隧道。 2、VPP1配置(主动) 2.1、接口配置 1、启用GigabitEthernet2/1/0 set int state GigabitEthernet2/1/0 up 2、GigabitEthernet2/1/0口配置IP set int ip address ...
采用默认配置通过IKE协商方式建立IPSec隧道示例.zip
03-27
ensp采用默认配置通过IKE协商方式建立IPSec隧道示例
华为ensp模拟器--通过IKE动态协商方式建立IPSec隧道的实验(不对对等体存活进行检测)
weixin_46202077的博客
01-17 4328
组网需求 如图1所示,在Router1和Router3之间建立一个安全隧道,对PC 1代表的子网(10.1.1.x)与PC2代表的子网(20.1.1.x)之间的数据流进行安全保护。安全协议采用ESP协议,加密算法采用DES,认证算法采用SHA2-258 拓扑图设计 关键配置r1和r3 ike local-name huawei1 **–本地命名 acl number 3000 rule 5 ...
HCIE-Security Day26:IPSec:实验(一)两个网关之间通过IKE方式协商IPSec PN隧道(采用预共享密钥认证)
小梁的博客
03-16 5604
实验:两个网关之间通过IKE方式协商IPSec VPN隧道(采用预共享密钥认证) 组网需求 网络A和网络B分别通过FW_A和FW_B连接到Internet。网络环境描述如下: 网络A属于10.1.1.0/24子网,通过接口GigabitEthernet 0/0/3与FW_A连接。 网络B属于10.1.2.0/24子网,通过接口GigabitEthernet 0/0/3与FW_B连接。 FW_A和FW_B路由可达。 通过组网实现如下需求:在FW_A和FW_B...
IKEv2协商建立IPsec SA
weixin_56909238的博客
12-27 2192
IPsec 只对特定的数据流进行保护,至于什么样的数据是需要 IPsec 保护的,可以通过以下两种方式定义。ACL 方式只要接口发送的报文与该接口上应用的 IPsec 安全策略中的 ACL 的 permit规则匹配,就会受到出方向 IPsec SA 的保护并进行封装处理。接口接收到目的地址是本机的 IPsec 报文时,首先根据报文头里携带的 SPI 查找本地的入方向 IPsec SA,由对应的入方向 IPsec SA 进行解封装处理。缺省情况下,解封装后的 IP 报文。
IPSec IKEv1&IKEv2
weixin_51045259的博客
02-04 3535
IKE简介 IKE概述 因特网密钥交换IKE(Internet Key Exchange)协议建立在Internet安全联盟和密钥管理协议ISAKMP定义的框架上,是基于UDP(User Datagram Protocol)的应用层协议。它为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务,能够简化IPSec的配置和维护工作。 IKEIPSec的关系如图1所示,对等体之间建立一个IKE SA完成身份验证和密钥信息交换后,在IKE SA的保护下,根据配置的AH/ESP安全协议等参数协商出一对IPS
openwrt strongswan IPSec IKEV2
热门推荐
季春贰柒的博客
02-24 2万+
前言:文章是作者基于一段时间的学习成果而写的,主要是为了记录下搭建VPN的过程以及遇到的一些麻烦错误,方便之后继续学习或者使用。当然如果能帮到一些读者自然是更好的。鉴于本人水平有限,文章之中难免会出现错漏不足之处,恳请批评指教、留言讨论。 学习过程中在网友文章中发现此图,诚不我欺(手动狗头)。 0.准备 俩台openwrt系统路由器、一部手机(安卓、苹果都行略有差别后续会说到)、阿里云服务器、 1.安装strongswan 这一步网上随意搜索就可以看到许多保姆级别教程,写得很详细。如果你实在懒得搜,轻移贵
VPP配置指南:基于IKEv2的IPsec VPN
衡水铁头哥的博客
01-03 2300
正文共:1024 字 13 图,预估阅读时间:1 分钟现在,我们已经能够熟练地部署VPP了(不用半小时,最快8分钟即可在CentOS上完成VPP的部署),而且已经能够满足基本的转发要求,那今天我们就来介绍一下VPP如何配置IPsec VPN。前面,我们已经讲了几十篇和VPN相关的文章了,有需要的小伙伴请参考合集(VPN合集)。简单回顾一下,IPsec(IP Security,IP安全)是IETF制...
VPP配置命令(IKEV2、IPSEC
最新发布
roshy的专栏
09-14 706
ikev2 profile set pr1 traffic-selector remote ip-range 2.2.2.0 - 2.2.2.255 port-range 0 - 65535 protocol 0 //这样配置只能vpp端ping,对端ping不一定会携带2.2.2.2的地址。================VPP作为发起端===============================================配置查看=========================
IPSec环境搭建与分析
GOOD__YOUTH的博客
10-11 1331
测试调试 网络拓扑 路由器配置为: 设置ipsec信息为: 隧道模式,配置远端路由网关192.168.151.73 即路由器2 IP 配置本地网端,与远端网段,设置ike协商 采用ESP中的封装安全荷载协议中的DES加密协议 完整性检测采用SHA1协议 配置密钥信息. 路由器1设置为初始者模式,路由器2设置为响应者模式,,通过抓包发现当设置为初始者模式时,路由器主动向对端建立ike协商,响应者模式则为被动状态等待ike连接请求。 测试可以PING通远端网段. 报文解析 主动模式 建立IKEV1协商
华为 Router配置采用手工方式建立IPSec隧道
友人A的博客
06-29 1万+
一、组网需求 1、如图所示,RouterA为企业分支网关,RouterB为企业总部网关,分支与总部通过公网建立通信。分支子网为10.1.1.0/24,总部子网为10.1.2.0/24。 企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。由于维护网关较少,可以考虑采用手工方式建立IPSec隧道。...
IPsec IKEv2(HCIP)
qq_45022073的博客
12-25 1397
了解IKEv1,熟悉IKEv1建立过程以及野蛮模式和主模式区别以及建立过程。 了解IKEv1的缺点,IKEv2解决了IKEv1的问题,以及IKEv2建立过程。
防火墙——IKEIPSec2)
m0_49864110的博客
05-17 9114
IKE基本概念 IKE安全机制 身份认证 身份保护 DH密钥分发算法 PFS IKEv1协商安全联盟 阶段1——协商IKE SA建立安全通道 阶段2——利用安全通道协商IPSec SA IKEv1中DH算法生成密钥、IKE安全提议中的算法、IPSec安全提议中算法之间的关系 IKEv2协商安全联盟的过程 IKEv2定义了三种交换 ISAKMP报文 UDP头部 ISAKMP头部 IKEv1和IKEv2之间的区别 查看IKE隧道建立情况
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

刘林锋blog

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值