H3C IPsec VPN 野蛮模式配置

已于 2024-06-05 10:27:21 修改
阅读量3.2k 收藏 35
点赞数 9
分类专栏: 网络 文章标签: 网络
于 2024-03-10 21:49:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bfq05234214/article/details/136608417
版权

实验需求

  1. 按照图示配置 IP 地址,用环回口模拟PC

  2. 在 R1 上配置默认路由连通公网;R2做DHCP服务器,地址池范围为200.2.2.0/24,网关地址为200.2.2.1;R3的G0/0口开启接口下的DHCP Client功能

R1

[R1]interface GigabitEthernet 0/0     #进入接口

[R1-GigabitEthernet0/0]ip address 100.1.1.1 24    #配置地址为100.1.1.1

[R1]interface LoopBack 0   #进入环回口

[R1-LoopBack0]ip address 192.168.1.1 24    #配置地址为192.168.1.1 24

[R1]ip route-static 0.0.0.0 0 100.1.1.2    #配置缺省路由,使全网互通

R2

[R2]interface GigabitEthernet 0/0  #进入接口
[R2-GigabitEthernet0/0]ip address 100.1.1.2 24   #配置IP地址为100.1.1.2

[R2]interface GigabitEthernet 0/1  #进入接口
[R2-GigabitEthernet0/1]ip address 200.2.2.1 24  #配置IP地址为200.2.2.1 24

[R2]dhcp enable  #开启DHCP服务

[R2]dhcp server ip-pool 1  #创建DHCP地址池1
[R2-dhcp-pool-1]network 200.2.2.0 mask 255.255.255.0  #配置地址池范围

[R2-dhcp-pool-1]gateway-list 200.2.2.1  #配置网关地址

R3

[R3]interface GigabitEthernet 0/0  #进入接口
[R3-GigabitEthernet0/0]ip address dhcp-alloc  #开启接口下的DHCP Client功能

[R3]interface LoopBack 0  #进入环回口
[R3-LoopBack0]ip address 192.168.2.1 24  #配置IP地址为192.168.2.1

野蛮模式配置

公网地址固定的一端:
1.配置IKE fqdn

2.创建IKE Proposal(提议),配置IKE的加密和验证算法,验证方法

3.创建和配置预共享密钥,使用主机名标识对方身份

4.创建IKE Profile(档案),配置为野蛮模式,调用前面创建的Proposal和Keychain,指定对端的FQDN

5.创建IPsec转换集,配置IPsec的工作模式,封装协议,验证和加密算法

6.创建IPsec策略模板,调用前面创建的IKE Profile,IPsec转换集
7.创建IPsec策略,绑定前面创建的模板
8.在公网口下发IPsec策略

配置R1的fqdn

[R1]ike identity fqdn R1

创建ike proposal

[R1]ike proposal 1

创建和配置预共享密钥

[R1]ike keychain R3

[R1-ike-keychain-R3]pre-shared-key hostname R3 key simple 123456

创建ike profile

[R1]ike profile R3

[R1-ike-profile-R3]exchange-mode aggressive

[R1-ike-profile-R3]proposal 1

[R1-ike-profile-R3]keychain R3

[R1-ike-profile-R3]match remote id fqdn R3

创建IPsec 转换集

[R1]ipsec transform-set R3

[R1-ipsec-transform-set-R3]esp authentication-algorithm md5

[R1-ipsec-transform-set-R3]esp encryption-algorithm des-cbc

创建IPsec策略模版

[R1]ipsec policy-template R3 1
[R1-ipsec-policy-template-R3-1]ike-profile R3
[R1-ipsec-policy-template-R3-1]transform-set R3

创建IPsec策略

[R1]ipsec policy fz 1 isakmp template R3

下发IPsec策略

[R1-GigabitEthernet0/0]ipsec apply policy fz

公网地址不固定的一方

1.创建感兴趣流,ACL的源目IP是两端的私有地址
2.配置IKE fqdn
3.创建IKE Proposal(提议),配置IKE的加密和验证算法,验证方法
4.创建和配置预共享密钥,使用公网地址标识对方身份

5.创建IKE Profile(档案),配置为野蛮模式,调用前面创建的Proposal和Keychain,指定对端的FQDI

6.创建IPsec转换集,配置IPsec的工作模式,封装协议,验证和加密算法

7.创建IPsec Policy(策略),调用前面创建的感兴趣流,IKE Profile,IPsec转换集,指定对端的公网地址

8.在公网口下发IPsec策略

创建感兴趣流

[R3]acl adv 3000

[R3-acl-ipv4-adv-3000]rule permit ip source 192.168.2.0 0.0.0.255 destination 19
2.168.1.0 0.0.0.255

创建IKE fqdn

[R3]ike identity fqdn R3

创建IKE proposal

[R3]ike proposal 1

创建和配置预共享密钥

[R3]ike keychain R1

[R3-ike-keychain-R1]pre-shared-key address 100.1.1.1 key simple 123456

创建IKE Profile

[R3]ike profile R1

[R3-ike-profile-R1]exchange-mode aggressive

[R3-ike-profile-R1]proposal 1

[R3-ike-profile-R1]keychain R1

[R3-ike-profile-R1]match remote identity fqdn R1

创建IPsec转换集

[R3]ipsec transform-set R1

[R3-ipsec-transform-set-R1]esp authentication-algorithm md5

[R3-ipsec-transform-set-R1]esp encryption-algorithm des-cbc

创建IPsec Policy

[R3]ipsec policy R1 1 isakmp

[R3-ipsec-policy-isakmp-R1-1]security acl 3000

[R3-ipsec-policy-isakmp-R1-1]ike-profile R1

[R3-ipsec-policy-isakmp-R1-1]transform-set R1

[R3-ipsec-policy-isakmp-R1-1]remote-address 100.1.1.1

在公网口下发IPsec策略

[R3]interface GigabitEthernet 0/0

[R3-GigabitEthernet0/0]ipsec apply policy R1

H3C GRE over IPsec VPN 实验
M建的博客
10-11 1252
分支配置 GRE over IPsec VPN 连通内网
hcl的ipsec野蛮模式配置
qq_44933518的博客
11-30 2667
1.实验拓扑 2.需求 r2作为DHCP server,给r3和r4分配ip 路由器上的环回口地址作为业务地址, 总部分别和分部r3、分部r4建立vpn隧道,采用ipsec vpn野蛮模式 3.分析 由于R3和R4的ip不是固定的,所以只能使用ipsec野蛮模式,无法使用ipsec的主模式 注:这个实验,我只注重配置IPSec vpn,没有配置NAT,所以 ...
华三IPsec VPN野蛮模式)(案例)
qq_73757784的博客
07-28 2954
R1-ike-proposal-1]encryption-algorithm 3des-cbc //加密算法3des-cbc(双方一致)之间与LSP相连接;[R1-ike-keychain-1]pre-shared-key hostname R2 key simple 123456 //密码要一致。[R1-ipsec-policy-template-mytem-1]transform-set my //引用ipsec安全提议my。
H3C V7 ipsec主:野蛮模式配置脚本.pdf
08-30
H3C V7 ipsec主:野蛮模式配置脚本.pdf
H3C防火墙IPSec配置案例(主模式)-web配置
仓鼠OO的博客
02-07 1751
华三防火墙IPSec-web配置案例
华三IPSec配置野蛮模式
weixin_44519575的博客
09-27 1118
华三IPSec配置野蛮模式
野蛮模式IPSec的典型组网和配置.pdf
11-12
野蛮模式IPSec的典型组网和配置.pdf
ipsec野蛮模式<H3C>
weixin_34362790的博客
03-30 880
野蛮模式的作用: 对于两端IP地址不是固定的情况(如ADSL拨号上网),并且双方都希望采用预共享密钥验证方法来创建IKE SA,就需要采用野蛮模式。另外如果发起者已知回应者的策略,采用野蛮模式也能够更快地创建IKE SA。 ipsec下两种模式的区别: 1、野蛮模式协商比主模式协商更快。主模式需要交互6个消息,野蛮模式只需要交互3个消息。 2、主模式协商比野蛮模式协商...
H3C IPSec IKE野蛮模式
无心
05-27 2515
这里使用H3C模拟器。H3C IPSec IKE野蛮模式,又称为IKE Main Mode,主要是在第一阶段(Phase 1)的过程中提供身份保护。它主要用于VPN隧道建立过程中的密钥交换。这里创建一个IKE提案描述了阶段1的加密、哈希算法等。分别可以定义远程和本地的IKE提案。这里创建一个IKE对等体,并配置了预共享密钥与对端的远程地址。这里创建了一个IPSec策略模板,引用了IPSec提案和IKE对等体,同时指定一个访问控制列表ACL。在隧道接口上应用IPSec策略。
H3C模拟器HCL防火墙IPSsec+IKE预共享密钥中心节点-防火墙Web配置实验
LQ的博客
08-28 611
加入Host_1设备,将本机回环网卡连接总部防火墙的GE1/0/1,(默认ip:192.168.0.1)需要将分部防火墙默认的192.168.0.1修改成192.168.0.2并保存,实现本机可以同时访问2台防火墙的web界面。创建策略,选择中心节点,接口,自定义预共享密钥保持和总部一致,采用主动模式配置感兴趣的流,(总部与分公司通信的网段)IKE提议选择步骤1创建的,其他保持默认即可。创建策略,选择中心节点,接口,自定义预共享密钥,野蛮模式,IKE提议选择步骤1创建的,其他保持默认即可。
IPSec在企业网中的应用 案例(野蛮模式
cczsmile的博客
04-12 2324
IPSec模式野蛮模式的区别包含如下几点:1.      交换的消息:主模式为6个,野蛮模式为3个。2.      NAT支持:对预共享密钥认证:主模式不支持NAT转换,而野蛮模式支持。而对于证书方式认证:两种模式都能支持。3.      对等体标识:主模式只能采用IP地址方式标识对等体;而野蛮模式可以采用IP地址方式或者Name方式标识对等体。这是由于主模式在交换完3、4消息以后,需要使用预...
华为L2TP+ipsec野蛮模式,nat穿越 配置实例
08-30
华为L2TP+ipsec野蛮模式,nat穿越 配置实例 。。。。。。。。。。。。。
IPSec VPN (二)野蛮模式
weixin_39555693的博客
08-13 1529
分部没有固定ip地址,ike 采用野蛮模式,总部采用安全策略模板。
思科防火墙IPsec配置-野蛮模式方式(基于9.9版本)
xiayu0912的专栏
02-21 2371
思科防火墙ASA配置野蛮模式建立IPse连接
ipsec+ike野蛮模式配置实验
weixin_33943836的博客
02-19 863
一、【组网和实验环境】 按如上的接口ip先作配置 本文实验采用的交换机是H3C模拟器,下载地址如下:http://forum.h3c.com/forum.php? mod=viewthread&tid=109740&highlight=H3C%E6%A8%A1%E6%8B%9F%E5%99%A...
IPsec野蛮模式---H3C设备
weixin_33672109的博客
03-29 1595
IPsec野蛮模式---H3C设备 案例 FW1 Firewall paceket-filter default permit Firewall zone trust Add interface e0/1 Firewall zone untrust Add interface e 0/4 Interfa...
锐捷ipsec野蛮模式(积极模式配置实验+命令解释
m0_62621003的博客
04-01 1809
IPSEC动态隧道一般应用于分支节点较多的总分拓扑结构,在中心点配置动态隧道接受各分支的IPSEC VPN拨入。中心点配置简单、易于维护、可扩展性强。同时由于各分支的IP地址不固定,无法通过IP地址来指定不同的预共享密钥。所有分支使用相同的预共享密钥将极易造成密钥泄露,威胁网络安全。使用域名认证的方法很好地解决了这个问题,通过每个分支配置使用不同的域名,同时在中心点上针对不同的域名指定不同的密钥,保证了密钥安全。
H3C IPSec ××× 野蛮模式
weixin_33701294的博客
06-24 498
http://www.worlduc.com/UploadFiles/BlogFile/23/724976/ipsec%20***%20野蛮模式.swf 转载于:https://blog.51cto.com/fatal/595368
IPsec+预共享密钥的IKE野蛮模式
zero_number的博客
10-21 6179
指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务 IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
h3c ipsec 野蛮模式
最新发布
03-25
<think>嗯,用户想了解H3C设备中IPSec配置野蛮模式以及相关操作指南、示例和故障排查。首先,我需要回忆一下IPSec的基本概念,特别是野蛮模式和主模式的区别。主模式通常用于双方都有固定IP地址的情况,而野蛮模式适用于一方或双方使用动态IP,比如拨号环境。H3C设备的配置可能和其他厂商类似,但具体命令可能不同。 接下来,我应该整理野蛮模式配置步骤。通常IPSec配置包括定义ACL、创建提议、设置对等体、配置策略和应用策略。用户需要确认设备型号和版本,不同版本的Comware可能有差异。例如,ACL用来匹配需要加密的流量,提议定义加密和认证算法,对等体指定对方地址和预共享密钥,策略则绑定这些元素。 然后,操作示例部分需要给出具体的命令行配置。比如创建ACL 3000,定义源和目的子网,提议使用ESP协议和SHA1、3DES,对等体设置remote-address为any,并启用野蛮模式。策略模板可能使用isakmp方式,应用在接口上。这部分要注意命令的正确性,比如预共享密钥的配置方式,是否需要在两端一致。 故障排查部分,常见问题包括协商失败、流量不加密等。需要检查ACL是否匹配流量,提议参数是否一致,预共享密钥是否正确,NAT是否存在影响,以及野蛮模式是否必要。日志和调试命令如display ike sa和debugging ike可以辅助排查。 还要考虑用户可能的深层需求,比如他们可能遇到动态IP对端的情况,或者在NAT环境下配置的问题。野蛮模式可能在这些场景下更适用,但需要确认对端设备是否支持。另外,故障排查步骤需要逐步引导用户检查配置的每个环节,避免遗漏。 最后,生成相关问题时要覆盖配置要点、模式区别、参数优化和日志分析,帮助用户全面理解和解决问题。需要确保引用正确,用户提供的参考引用是关于QoS的,可能不相关,所以可能不需要引用来源,除非有涉及策略处理顺序的内容,但IPSec配置和QoS处理流程不同,此处可能无需引用。</think>### H3C IPSec野蛮模式配置指南 野蛮模式(Aggressive Mode)适用于IPSec对端设备使用动态IP地址(如拨号环境)的场景,与主模式(Main Mode)相比,省略了身份保护机制,但能更快完成协商[^1]。 --- #### 一、配置步骤 1. **定义感兴趣流(ACL)** 通过ACL匹配需要加密的流量: ```bash acl advanced 3000 rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 ``` 2. **创建IPSec提议(Proposal)** 定义加密与认证算法: ```bash ipsec proposal h3c_proposal encapsulation-mode tunnel transform esp esp encryption-algorithm 3des esp authentication-algorithm sha1 ``` 3. **配置IKE对等体(Peer)** 指定对端动态IP并使用野蛮模式: ```bash ike peer h3c_peer pre-shared-key simple h3c@123 remote-address any exchange-mode aggressive # 启用野蛮模式 ``` 4. **定义IPSec策略模板** 绑定ACL、提议与对等体: ```bash ipsec policy-template h3c_template 1 security acl 3000 proposal h3c_proposal ike-peer h3c_peer ``` 5. **应用策略到接口** ```bash interface GigabitEthernet0/1 ipsec policy h3c_template isakmp ``` --- #### 二、故障排查 1. **协商失败** - **检查ACL匹配**:确保流量触发ACL 3000规则。 - **验证预共享密钥**:两端密钥必须一致,包括大小写。 - **NAT干扰**:若存在NAT设备,需配置`nat traversal`。 2. **流量未加密** - 使用`display ipsec sa`查看安全联盟状态。 - 检查接口策略是否绑定正确。 3. **野蛮模式不生效** - 确认对端支持野蛮模式。 - 使用`debugging ike negotiation`观察协商过程。 --- #### 三、示例日志分析 ```log %Jun 10 15:32:18:759 2023 H3C IKE/7/ERROR: Failed to match pre-shared key %Jun 10 15:32:20:112 2023 H3C IPSEC/6/SA_CREATED: SA created (SPI=0x1A2B3C4D) ``` - **错误1**:预共享密钥不匹配,需检查两端配置。 - **成功标志**:`SA created`表示安全联盟建立成功。 ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

漩涡·鸣人

你的鼓励将是我不断前进的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值