华为技术&ipsec安全策略模拟实验配置步骤✍

最新推荐文章于 2024-08-30 15:40:21 发布
最新推荐文章于 2024-08-30 15:40:21 发布
阅读量4.3k 收藏 25
点赞数 4
分类专栏: 华为技术&✍✍ 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn10086110/article/details/104520501
版权
本文介绍了华为设备上配置IPSec安全策略的详细步骤,包括配置Security ACL、IKE安全提议、IKE对等体、IPSec安全提议和安全策略。强调了ACL配置原则,IKE版本选择,以及PFS在IPSec安全中的作用。最后,讨论了如何通过流量激活隧道建立,并提供了相关实验资源。
摘要由CSDN通过智能技术生成

在这里插入图片描述

文章目录


网段地址:
R1
G0/0/0 192.168.1.100 24
G0/0/1 200.1.13.1 24

R3
G0/0/0 200.1.13.2 24
G0/0/1 200.1.23.2 24

R2
G0/0/0 192.168.2.100 24
G0/0/1 200.1.23.1 24

PC1:192.168.1.1 24
PC2:192.168.2.1 24

第一步

配置Security ACL,用于匹配站点间通信网络之间的感兴趣流。
配置:

[R1-acl-adv-3000]rule 2 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

IPSec使用高级ACL定义需要保护的数据流。IPSec根据ACL的规则来确定哪些报文需要安全保护,哪些报文不需要安全保护。
在隧道发起端,匹配(permit)高级ACL的数据流将被保护,即经过IPSec加密处理后再发送;不能匹配高级ACL的数据流则直接转发。
在隧道接收端,对数据流进行解密,并检查解密后的数据流是否匹配了ACL规则,丢弃不匹配ACL规则的报文。

ACL配置原则

1.若不同的数据流需要采用不同的安全策略来保护,则需要为之创建不同的ACL。

2.若不同的数据流可以采用相同的安全策略来保护,则可以在一条ACL中配置多条rule来保护不同的数据流。但是ACL中序列号大的rule不能完全包含序列号小的rule 的内容。

3.IPSec两端ACL规则定义的协议类型要一致,如:一端使用IP协议,另一端也必须使用IP协议。

4.同一个安全策略组中配置的ACL不能包含相同的rule规则。采用IKEv2进行协商时,同一个安全策略组中所有安全策略的引用的ACL的rule之间不能存在交集。

5.建议IPSec隧道两端配置的ACL规则互为镜像,即一端ACL规则的源地址和目的地址分别为另一端ACL规则的目的地址和源地址。

第二步

配置IKE安全提议,决定处理IKE流量的安全机制(可选:可以采用默认
IKE安全提议)

IKE对等体通过IKE安全提议来协商建立IKE SA所需要的
加密算法、
认证方法、
认证算法、
Diffie-Hellman组标识
安全联盟生存周期

[R1]ike proposal 10 (创建IKE安全提议)

[R1-ike-proposal-10]authentication-algorithm ?(配置认证算法)
  aes-xcbc-mac-96  Select aes-xcbc-mac-96 as the hash algorithm
  md5              Select MD5 as the hash algorithm
  sha1             Select SHA as the hash algorithm
  sm3              Select sm3 as the hash algorithm
[R1-ike-proposal-10]authentication-algorithm md5 

[R1-ike-proposal-10]encryption-algorithm ?(配置加密算法)
  3des-cbc     168 bits 3DES-CBC
  aes-cbc-128  Use AES-12
最低0.47元/天 解锁文章
Go-0410
关注
专栏目录
华为交换机安全配置
12-11
华为交换机安全配置包括华为交换机安全ACL,端口安全配置命令等
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 1475
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
华为交换机策略路由典型配置
最新发布
知识改变命运,技术就是要分享,有问题随时联系,免费答疑,欢迎联系!
08-30 1292
传统的路由转发原理是首先根据报文的目的地址查找路由表,然后进行报文转发。但是目前越来越多的用户希望能够在传统路由转发的基础上根据自己定义的策略进行报文转发和选路。策略路由PBR(Policy-Based Routing)就是一种依据用户制定的策略进行数据转发的机制。在S系列交换机上,策略路由通过重定向实现,通过配置策略路由可以将到达接口的符合流分类规则的三层报文重定向到指定的下一跳地址。
华为技术&ipsec安全策略模拟实验配置步骤
qq_43416206的博客
06-28 599
IPSec使用高级ACL定义需要保护的数据流。IPSec根据ACL的规则来确定哪些报文需要安全保护,哪些报文不需要安全保护。 在隧道发起端,匹配(permit)高级ACL的数据流将被保护,即经过IPSec加密处理后再发送;不能匹配高级ACL的数据流则直接转发。 在隧道接收端,对数据流进行解密,并检查解密后的数据流是否匹配了ACL规则,丢弃不匹配ACL规则的报文。
成功配置华为IPSec
GreenWooder的博客
10-06 1万+
第一步:配置设备名称、接口IP和静态路由 <Huawei>sys [Huawei]sysn R1 [R1]int g0/0/1         [R1-GigabitEthernet0/0/1]ip address 168.1.1.1 16 [R1-GigabitEthernet0/0/1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip a...
网络安全IPSEC路由基本配置
qq_57289939的博客
05-06 3804
R1]display ipsec proposal --- 查询配置IPSEC
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
华为设备IPsec简单配置
热门推荐
qq_43432623的博客
12-16 1万+
IPsec VPN是指采用IPsec实现远程接入的一种VPN技术,通过在公网上为两个或多个私有网络之间建立IPsec通道,并通过加密和认证保证通道的安全性。IPsec保护的是点对点之间的通信,通过IPsec VPN可以实现主机和主机之间、主机和网关之间、网关和网关之间建立安全的隧道连接。工作在网络层,主要对网络层的报文进行加密和验证。
网络实验】华为防火墙基础之安全策略以及easyIP和NAPT以及web管理的配置
Vector_seven的博客
08-19 5073
3.在设计拓扑图的时候,管理口思考了很久加入哪个区域,但是后来想可以不加入区域,任何人都访问不到这个区域来,没有安全策略。Untrust区域目前只有一台192.168.2.3的主机,我们配置安全策略使得ip范围在2.4-2.5。配置0/0/0为管理接口,用cloud1去桥接真机,配置web应用口,但是又没有直连0/0/0口。改变策略使得该ip可以通过,此时我们直接改网段的策略,使得2.0网段都可以通过。这一条是防火墙的管理接口的默认ip,我们改成和云桥接的ip同一网段的ip。此时去ping,失败。
华为路由器配置IPSec (手动配置)
qq_42906357的博客
12-19 3227
华为路由器配置IPSec VPN(手动配置) 如图:上海总部 和 合肥分部需要建立IPsec VPN 步骤: 1、配置网络可达 2、配置感兴趣流 3、创建安全提议(IPSec proposal) 4、创建安全策略IPSec policy) 5、验证 1、配置网络可达 AR1配置: // AR1的配置 sys sys Router_SH dhcp enable acl 3000 rule 1 deny ip des 192.168.20.0 0.0.0.255 //此网段需
锐捷网络—VPN功能—IPSec VPN 常见问题和故障
君逍遥o
09-13 3821
IPSec (IP Security )是一种由IETF设计的端到端的确保IP层通信安全的机制。 IPSec协议可以为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击。 IPSec不是一个单独的协议,而是一组协议,IPSec协议的定义文件包括了12个RFC文件和几十个Internet草案,已经成为工业标准的网络安全协议。
IPSec中 ISAKMP & ESP 报文解密方法
a_A_A_a___的博客
08-02 2796
(1) IPSec对等体连接完毕后在服务器输入 sudo ip xfrm state 可以看到源地址到目的地址的SPI值,加密/认证算法、加密/认证密钥等。(2) Wireshark点击ESP报文协议首选项 -》选择ESP字段-》点击ESP SAs -》 添加两条IPv4协议的解密规则,输入两个方向的SPI值,选择加密/认证算法,加密/认证密钥,点击OK即可。
ipsec协议簇详解(IPSec vpn)
qq_64302290的博客
03-20 2162
1):IPSEC VPV其实是一种使用IPSEC技术所实现的一种VPN技术;2):IPSEC-----其实本身是一种协议簇(一堆协议的集合),一个基于网络层,应用密码学的安全信息协议组。类似于我们所知的TCP/IP协议簇;3): IPSEC协议簇是针对IPV6来设计的,在IPV6产品中IPSEC是强制使用的,保证其数据传输的安全性;但是,也可以在ipv4中使用,作为一个可选项。机密性,完整性,可用性,可控性,不可否认性;1.机密性:对数据进行加密2.完整性:保证数据在传递过程中不会被篡改,防篡改。
华为防火墙IPSEC虚拟专网基本配置
07-16 2490
本文介绍一下华为防火墙上IPSEC 虚拟专网的配置方法,本范文内没有计划NAT相关事项。配置步骤:一、 配置接口二、 配置安全区域三、 配置安全策略四、 配置静态路由五、配置IPSEC1. ike proposal2. ike peer3. ipsec proposal4. ACL5. ipsec policy#调用ACL、IPSEC Proposal、ike peer6. ...
IPsec ACL不匹配的典型错误日志
weixin_33734785的博客
05-15 581
IPSec ACL就是我们通常说的×××感兴趣流量。在实际的工作当中,由于这个ACL配置不当而造成的问题是很常见的。典型的报错为“QM FSM error”,可以在PIX/ASA上运行“debug crypto isakmp” 来查看。 May 15 09:17:11 [IKEv1]: Group = X.X.X.X, IP = X.X.X.X, QM FSM...
【HUAWEI&H3C】对比华为和华三的IPSec配置
u012468770的博客
12-31 5178
有关IPSec VPN的原理,这里就不展开了,我们直接上图上配置 一、固定IP,主模式VPN配置 华为: # ike proposal 1 encryption-algorithm aes-cbc-128 authentication-algorithm aes-xcbc-mac-96 # ike peer 1 v2 pre-shared-key cipher 12345@huaw...
ipsec协议_(故障案例)来自国外的IPSEC攻击导致爱快路由器带宽被占用满
weixin_39859220的博客
12-01 1711
今天一个老哥(一直支持我课程的朋友),找我解决了一个奇怪的故障,那必须解决它!!01奇怪的故障外网流量被占用满老哥找我的时候,正好有时间这个图看了后是不是很怪异,WAN1的下行被占用满了,LAN1接内网的没多大流量02分析发现了问题,开始分析出现的可能性初步从是不是爱快的扩展业务繁心或者是开了L2TP/PPTP把带宽给占用了,但老哥说没有,然后禁止了ping后还是带宽跑满。03...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值