H3C IPsec VPN 野蛮模式配置

已于 2024-06-05 10:27:21 修改
阅读量1.6k 收藏 28
点赞数 9
分类专栏: 网络 文章标签: 网络
于 2024-03-10 21:49:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bfq05234214/article/details/136608417
版权

实验需求

  1. 按照图示配置 IP 地址,用环回口模拟PC

  2. 在 R1 上配置默认路由连通公网;R2做DHCP服务器,地址池范围为200.2.2.0/24,网关地址为200.2.2.1;R3的G0/0口开启接口下的DHCP Client功能

R1

[R1]interface GigabitEthernet 0/0     #进入接口

[R1-GigabitEthernet0/0]ip address 100.1.1.1 24    #配置地址为100.1.1.1

[R1]interface LoopBack 0   #进入环回口

[R1-LoopBack0]ip address 192.168.1.1 24    #配置地址为192.168.1.1 24

[R1]ip route-static 0.0.0.0 0 100.1.1.2    #配置缺省路由,使全网互通

R2

[R2]interface GigabitEthernet 0/0  #进入接口
[R2-GigabitEthernet0/0]ip address 100.1.1.2 24   #配置IP地址为100.1.1.2

[R2]interface GigabitEthernet 0/1  #进入接口
[R2-GigabitEthernet0/1]ip address 200.2.2.1 24  #配置IP地址为200.2.2.1 24

[R2]dhcp enable  #开启DHCP服务

[R2]dhcp server ip-pool 1  #创建DHCP地址池1
[R2-dhcp-pool-1]network 200.2.2.0 mask 255.255.255.0  #配置地址池范围

[R2-dhcp-pool-1]gateway-list 200.2.2.1  #配置网关地址

R3

[R3]interface GigabitEthernet 0/0  #进入接口
[R3-GigabitEthernet0/0]ip address dhcp-alloc  #开启接口下的DHCP Client功能

[R3]interface LoopBack 0  #进入环回口
[R3-LoopBack0]ip address 192.168.2.1 24  #配置IP地址为192.168.2.1

野蛮模式配置

公网地址固定的一端:
1.配置IKE fqdn

2.创建IKE Proposal(提议),配置IKE的加密和验证算法,验证方法

3.创建和配置预共享密钥,使用主机名标识对方身份

4.创建IKE Profile(档案),配置为野蛮模式,调用前面创建的Proposal和Keychain,指定对端的FQDN

5.创建IPsec转换集,配置IPsec的工作模式,封装协议,验证和加密算法

6.创建IPsec策略模板,调用前面创建的IKE Profile,IPsec转换集
7.创建IPsec策略,绑定前面创建的模板
8.在公网口下发IPsec策略

配置R1的fqdn

[R1]ike identity fqdn R1

创建ike proposal

[R1]ike proposal 1

创建和配置预共享密钥

[R1]ike keychain R3

[R1-ike-keychain-R3]pre-shared-key hostname R3 key simple 123456

创建ike profile

[R1]ike profile R3

[R1-ike-profile-R3]exchange-mode aggressive

[R1-ike-profile-R3]proposal 1

[R1-ike-profile-R3]keychain R3

[R1-ike-profile-R3]match remote id fqdn R3

创建IPsec 转换集

[R1]ipsec transform-set R3

[R1-ipsec-transform-set-R3]esp authentication-algorithm md5

[R1-ipsec-transform-set-R3]esp encryption-algorithm des-cbc

创建IPsec策略模版

[R1]ipsec policy-template R3 1
[R1-ipsec-policy-template-R3-1]ike-profile R3
[R1-ipsec-policy-template-R3-1]transform-set R3

创建IPsec策略

[R1]ipsec policy fz 1 isakmp template R3

下发IPsec策略

[R1-GigabitEthernet0/0]ipsec apply policy fz

公网地址不固定的一方

1.创建感兴趣流,ACL的源目IP是两端的私有地址
2.配置IKE fqdn
3.创建IKE Proposal(提议),配置IKE的加密和验证算法,验证方法
4.创建和配置预共享密钥,使用公网地址标识对方身份

5.创建IKE Profile(档案),配置为野蛮模式,调用前面创建的Proposal和Keychain,指定对端的FQDI

6.创建IPsec转换集,配置IPsec的工作模式,封装协议,验证和加密算法

7.创建IPsec Policy(策略),调用前面创建的感兴趣流,IKE Profile,IPsec转换集,指定对端的公网地址

8.在公网口下发IPsec策略

创建感兴趣流

[R3]acl adv 3000

[R3-acl-ipv4-adv-3000]rule permit ip source 192.168.2.0 0.0.0.255 destination 19
2.168.1.0 0.0.0.255

创建IKE fqdn

[R3]ike identity fqdn R3

创建IKE proposal

[R3]ike proposal 1

创建和配置预共享密钥

[R3]ike keychain R1

[R3-ike-keychain-R1]pre-shared-key address 100.1.1.1 key simple 123456

创建IKE Profile

[R3]ike profile R1

[R3-ike-profile-R1]exchange-mode aggressive

[R3-ike-profile-R1]proposal 1

[R3-ike-profile-R1]keychain R1

[R3-ike-profile-R1]match remote identity fqdn R1

创建IPsec转换集

[R3]ipsec transform-set R1

[R3-ipsec-transform-set-R1]esp authentication-algorithm md5

[R3-ipsec-transform-set-R1]esp encryption-algorithm des-cbc

创建IPsec Policy

[R3]ipsec policy R1 1 isakmp

[R3-ipsec-policy-isakmp-R1-1]security acl 3000

[R3-ipsec-policy-isakmp-R1-1]ike-profile R1

[R3-ipsec-policy-isakmp-R1-1]transform-set R1

[R3-ipsec-policy-isakmp-R1-1]remote-address 100.1.1.1

在公网口下发IPsec策略

[R3]interface GigabitEthernet 0/0

[R3-GigabitEthernet0/0]ipsec apply policy R1

高山我的梦
关注
  • 9
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
IPsec野蛮模式---H3C设备
weixin_33672109的博客
03-29 1441
IPsec野蛮模式---H3C设备 案例 FW1 Firewall paceket-filter default permit Firewall zone trust Add interface e0/1 Firewall zone untrust Add interface e 0/4 Interfa...
H3C V7 ipsec主:野蛮模式配置脚本.pdf
08-30
H3C V7 ipsec主:野蛮模式配置脚本.pdf
华三防火墙-IPsec VPN配置
qq_53146347的博客
04-20 750
公司需要搭建VPN让子公司连接内网服务器直接获取内网数据,使用IPsec VPN进行对接,预共享密钥:123456。
H3C IPSec配置手记
最新发布
更多内容查看博客描述。
05-16 858
以上配置完成后,ipsec1和ipsec2之间如果有子网172.16.168.0/24与子网192.168.168.0/24之间的报文通过,将触发IKE进行IPsec SA的协商。IKE成功协商出IPsec SA后,子网172.16.168.0/24与子网192.168.168.0/24之间数据流的传输将受到IPsec SA的保护。# 创建一条IKE协商方式的IPsec安全策略,名称为map1,序列号为10。# 创建一条IKE协商方式的安全策略,名称为map1,序列号为10。
H3C IPsec多分支经由总部互通
qq_23930765的博客
11-08 1359
这里先配置IKE Keychain,配置与分支之间协商采用的预共享密钥,由于分支设备无公网IP,这里需要采用name的方式,这里配置分支一的name为123,分支的name为234,分支name需要与分支侧设置的一致。#配置安全ACL,匹配感兴趣流,这里的配置非常重要,尽管分支一和分支二之间并不直接建立ipsec,然后还是需要在ACL中对分支一到分支二的内网流量进行匹配,这一点非常重要。#配置IPsec策略,这里采用IPsec策略模板的方式,分别配置对应分支的IPsec安全提议和安全ACL。
基于华三HCL模拟器IPSec VPN组网与配置
MAY的博客
05-23 6344
IPsec在互联网中提供端到端的数据报通信安全,通过加密和认证方式保护IP数据报及其封装的数据。IPsec是一个框架协议,包括AH、ESP、SA、IKE等协议。IPsec可以采用直接传输和隧道封装两种模式工作,在通过互联网承载的站点间VPN中通常采用隧道模式。隧道模式是将原始IP数据报作为有效载荷封装在IPsec报头里。
ipsec野蛮模式<H3C>
weixin_34362790的博客
03-30 778
野蛮模式的作用: 对于两端IP地址不是固定的情况(如ADSL拨号上网),并且双方都希望采用预共享密钥验证方法来创建IKE SA,就需要采用野蛮模式。另外如果发起者已知回应者的策略,采用野蛮模式也能够更快地创建IKE SA。 ipsec下两种模式的区别: 1、野蛮模式协商比主模式协商更快。主模式需要交互6个消息,野蛮模式只需要交互3个消息。 2、主模式协商比野蛮模式协商...
IPsec+预共享密钥的IKE野蛮模式
zero_number的博客
10-21 4975
指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务 IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
H3C IPSec IKE野蛮模式
无心
05-27 2137
这里使用H3C模拟器。H3C IPSec IKE野蛮模式,又称为IKE Main Mode,主要是在第一阶段(Phase 1)的过程中提供身份保护。它主要用于VPN隧道建立过程中的密钥交换。这里创建一个IKE提案描述了阶段1的加密、哈希算法等。分别可以定义远程和本地的IKE提案。这里创建一个IKE对等体,并配置了预共享密钥与对端的远程地址。这里创建了一个IPSec策略模板,引用了IPSec提案和IKE对等体,同时指定一个访问控制列表ACL。在隧道接口上应用IPSec策略。
GRE OVER IPSEC野蛮模式
weixin_46639226的博客
11-06 3604
## 野蛮模式适用于两端其中有一端地址不固定的情况 实验拓扑 实验思路 1.配置全网地址(这里的地址已经在图上规划,不在赘述) 2.配置ike 3.配置ipsec 4.配置GRE 地址配置完成之后,首先要保证公网可达,因为RT3和RT4是DHCP获取的地址,所以他们上面会有两条默认路由,下一跳是SW5,但是RT1上面没有往公网去的路由,所以要在RT1上配置一条默认路由 RT1 [H3C]ip route-static 0.0.0.0 0 100.1.1.254 RT3 (默认路由是DHCP下发的,优先级
思科防火墙IPsec配置--野蛮模式(基于8.0版本)
xiayu0912的专栏
01-25 1611
动态crypto maps只设置在野蛮模式的接收端,和静态crypto maps一样,也是把一些分散的信息集中起来形成一个完整的ipsec连接信息,里面的匹配规则也和静态crypto maps一样从低到高匹配,配置方式也和静态crypto maps一样。配置cryto map。cryto map是一个列表,该列表记录那些数据包需要建立IPsec, 将前面配置的一些分散的信息绑定到一起形成一个ipsec连接的完整信息,这个列表有序号,序号可以随意填,匹配IPSEC参数的时候按照序号从低到高的顺序进行匹配。
锐捷ipsec野蛮模式(积极模式配置实验+命令解释
m0_62621003的博客
04-01 1487
IPSEC动态隧道一般应用于分支节点较多的总分拓扑结构,在中心点配置动态隧道接受各分支的IPSEC VPN拨入。中心点配置简单、易于维护、可扩展性强。同时由于各分支的IP地址不固定,无法通过IP地址来指定不同的预共享密钥。所有分支使用相同的预共享密钥将极易造成密钥泄露,威胁网络安全。使用域名认证的方法很好地解决了这个问题,通过每个分支配置使用不同的域名,同时在中心点上针对不同的域名指定不同的密钥,保证了密钥安全。
H3C-V7-ipsec配置.docx
08-31
H3C IPsec 配置指导V7版本,适用H3C网关路由器(MSR、SR系列V7版本)、下一代防火墙设备
H3C 安全产品典型配置案例汇总集.rar
09-21
H3C NGFW出口网关双主模式组网典型配置举例 H3C NGFW设备配合iMC实现基于用户策略典型配置举例 H3C NGFW设备支持IPsec VRF Aware特性配置举例 H3C SSL VPN VPE方案典型配置案例 H3C SecBlade 防火墙主备二层跨...
H3C各型号路由器L2TP配置汇总.rar
10-21
13 MSR与Android、IOS移动终端建立L2TP over IPSec VPN典型配置案例 14 L2TP 拨号成功后,如何实现同时能够访问总部内网数据和Internet 15 L2TP 多域情况下,PC如何通过windows自带客户端获取其他域地址 18 L2...
GRE over ipsec cisco H3C
04-27
H3C cisco ipsec gre。不同设备GRE over ipsec。不同设备上。
IPSec VPN 基本配置实验(H3C
kerio123的博客
04-15 1535
IPsec VPN指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
IPsec野蛮模式出现的原因
qq_47529104的博客
05-02 2849
原因概述 其主要原因是因为在早期IKEv1的相关设备没有实现使用除了IP地址之外的其他标识符去表示一个IPsec隧道的一端,所以这就导致了动态IP地址的IPsec隧道的某一端出现了地址变动之后将无法重新建立IPsec隧道。我们在配置IPsec的时候,如果没有特定地指定标识符,在报文中发送的identity都是在配置命令中指定的IP地址,这就导致IKEv1的主模式是无法根据它们的标识去找到对应的共享密钥(因为是动态地址,所以地址变换之后先前的配置就无法生效了),但是野蛮模式在早期支持使用除了IP地址的方式
【华三】IPsec VPN 实验配置(地址固定)
2301_77161465的博客
01-09 2575
本篇讲的是新华三的IPsec VPN配置,场景是在两端IP地址都是在固定的情况下,里面的配置都有加注释,较友好
h3c ipsec 配置
06-06
以下是基本的H3C IPSec配置步骤: 1. 配置IKE策略 [H3C] ike proposal 1 [H3C-ike-proposal-1] encryption-algorithm aes [H3C-ike-proposal-1] authentication-algorithm sha2 [H3C-ike-proposal-1] dh group14 [H3C-ike-proposal-1] sa duration 28800 [H3C-ike-proposal-1] quit 2. 配置IPSec策略 [H3C] ipsec proposal 1 [H3C-ipsec-proposal-1] esp authentication-algorithm sha2 [H3C-ipsec-proposal-1] esp encryption-algorithm aes [H3C-ipsec-proposal-1] sa duration 28800 [H3C-ipsec-proposal-1] quit 3. 设置IKE策略和IPSec策略的预共享密钥 [H3C] ike peer VPN-Peer1 1.1.1.1 [H3C-ike-peer-VPN-Peer1] pre-shared-key simple password [H3C-ike-peer-VPN-Peer1] ike proposal 1 [H3C-ike-peer-VPN-Peer1] quit [H3C] ipsec proposal 1 [H3C-ipsec-proposal-1] transform esp [H3C-ipsec-proposal-1] quit 4. 配置IPSec VPN [H3C] ipsec policy VPN-Policy1 isakmp [H3C-ipsec-isakmp-VPN-Policy1] ike-peer VPN-Peer1 [H3C-ipsec-isakmp-VPN-Policy1] proposal 1 [H3C-ipsec-isakmp-VPN-Policy1] quit [H3C] ipsec policy VPN-Policy1 security acl 3001 [H3C-ipsec-acl-3001-VPN-Policy1] quit [H3C] interface GigabitEthernet0/0/1 [H3C-GigabitEthernet0/0/1] ip address 10.1.1.1 255.255.255.0 [H3C-GigabitEthernet0/0/1] quit [H3C] acl number 3001 [H3C-acl-basic-3001] rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 [H3C-acl-basic-3001] quit 以上是基本的H3C IPSec配置步骤,需要根据具体的场景和需求进行调整和修改。建议在实际配置前,先仔细阅读官方文档和相关资料,确保理解和掌握相关知识。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

高山我的梦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值