ikev2 ikev1_AIX 6.1或更高版本与Windows 2012之间的IKEv1 IPsec隧道

最新推荐文章于 2024-08-15 14:47:41 发布
最新推荐文章于 2024-08-15 14:47:41 发布
阅读量945 收藏
点赞数
文章标签: java python 操作系统 linux 安全
原文链接:https://www.ibm.com/developerworks/aix/library/au-aix-ipsec-tunnel-config-2/index.html
版权

顾名思义,Internet协议安全性(IPsec)在Internet协议(IP)层提供安全性。 本教程需要基本了解什么是IPsec,以及如何将其用于保护网络上的数据。 您可以参考知识中心或其他资源(如Wiki)来了解IPsec。

本教程讨论了在IBM®AIX®(6.1 / 7.1 / 7.2)和Microsoft Windows 2012系统之间建立IPsec隧道的两种不同方法。 这些方法涉及在AIX和Windows系统之间使用IKEv1的预共享密钥和证书。 表1简要描述了本教程中涉及的主要主题及其含义。

表1.涵盖的主要主题
内容 描述
术语和假设 本节提供有关本教程中使用的重要术语的注释,以及一些配置设置的假设。
使用预共享密钥的IKEv1隧道 本部分说明了要在AIX上更新的必需的Internet密钥交换(IKE)XML文件。 它还详细说明了如何在Windows 2012上针对IKEv1使用GUI。
使用证书的IKEv1隧道 本节说明了在AIX上更新所需的IKE XML文件。 Windows 2012上几乎所有要执行的步骤都与“ 使用预共享密钥的IKEv1隧道 ”部分中提到的步骤相同。 这两种方法在Windows上仅一步之遥。 本节仅突出显示此单个步骤。

术语和假设

本节说明了一些术语,例如发起方和响应方,并重点介绍了本教程所基于的一些假设。

  • 在本教程中,出于说明目的,我们提到了AIX系统的IP为1.1.1.1,Windows系统的IP为2.2.2.2。 这些需要替换为您环境中的相应IP。
  • 源和目标系统矩阵:
    表2.源和目标IP
    系统 包方向 资源 目的地
    在AIX上 传入 2.2.2.2(Windows) 1.1.1.1(AIX)
    在AIX上 外向 1.1.1.1(AIX) 2.2.2.2(Windows)
    在Windows上 传入 1.1.1.1(AIX) 2.2.2.2(Windows)
    在Windows上 外向 2.2.2.2(Windows) 1.1.1.1(AIX)

    源始终是创建和发送数据包的系统。 目的地始终是接收目的地的系统。 该表(表2)需要从左到右读取。 例如,第一行的解释如下:

    在“ AIX”系统上,当数据包“传入”时,数据包中提到的源是“ 2.2.2.2(Windows)”,此数据包中提到的目的地是“ 1.1.1.1(AIX)”

  • 发起者是发起隧道连接的系统,响应者是响应发起者请求的系统。

    Windows或AIX系统都可以作为启动器。 您可以通过ping通或与AIX通信从Windows激活隧道。 或者,您可以在AIX上运行ike cmd=activate命令,隧道将处于活动状态。 如果这些方法之一不起作用,请尝试其他方法。

  • 对于此设置,您需要在AIX上配置IPsec设备。

    在AIX上运行lsdev -Cc ipsec命令将显示ipsec_v4设备可用。 否则运行smitty ipsec4

    在“ smitty”面板中:

    1. 选择“ 启动/停止IP安全” ,然后按Enter。
    2. 选择“ 启动IP安全性” ,然后按Enter。
    3. 在下一个屏幕上,保留默认设置,然后按Enter。
    4. 在“命令状态”屏幕上,消息ipsec_v4 Available表示设备已成功配置。

使用预共享密钥在AIX和Windows之间建立IKEv1隧道

需要在AIX系统上创建以下XML文件。 我们将其命名为AIX-Windows-PreShared-IKEv1.xml。 使用以下命令将此XML文件添加到AIX上的IKE数据库: 

/usr/sbin/ikedb -x
/usr/sbin/ikedb -p AIX-Windows-PreShared-IKEv1.xml


<?xml version="1.0"?>
<AIX_VPN
      Version="2.1">
   <IKEProtection
         IKE_Role="Both"
	       IKE_Version="1"
         IKE_XCHGMode="Main"
         IKE_KeyOverlap="10"
         IKE_Flags_UseCRL="No"
         IKE_ProtectionName="P1Pol"
         IKE_ResponderKeyRefreshMaxKB="200"
         IKE_ResponderKeyRefreshMinKB="1"
         IKE_ResponderKeyRefreshMaxMinutes="1440"
         IKE_ResponderKeyRefreshMinMinutes="60">
      <IKETransform
            IKE_Encryption="3DES-CBC"
            IKE_Hash="SHA"
            IKE_DHGroup="1"
            IKE_AuthenticationMethod="Preshared_key"
            IKE_KeyRefreshMinutes="240"/>
   </IKEProtection>
   <IKETunnel
         IKE_TunnelName="P1"
         IKE_ProtectionRef="P1Pol"
         IKE_Flags_AutoStart="Yes"
         IKE_Flags_MakeRuleWithOptionalIP="No">
      <IKELocalIdentity>
         <IPV4_Address
               Value="1.1.1.1"/>
      </IKELocalIdentity>
      <IKERemoteIdentity>
         <IPV4_Address
               Value="2.2.2.2"/>
      </IKERemoteIdentity>
   </IKETunnel>
   <IKEPresharedKey
         Value="12345"
         Format="ASCII">
      <IKEPresharedRemoteID>
         <PK_IPV4_Address
               Value="2.2.2.2"/>
      </IKEPresharedRemoteID>
   </IKEPresharedKey>
   <IPSecProposal
         IPSec_ProposalName="P2Prop">
      <IPSecESPProtocol
            ESP_Encryption="ESP_3DES"
            ESP_KeyRefreshKB="0"
            ESP_Authentication="HMAC-SHA"
            ESP_ExtendedSeqNum="0"
            ESP_EncapsulationMode="Transport"
            ESP_KeyRefreshMinutes="30"/>
   </IPSecProposal>
   <IPSecProtection
         IPSec_Role="Both"
         IPSec_KeyOverlap="10"
         IPSec_ProposalRefs="P2Prop "
         IPSec_ProtectionName="P2Pol"
         IPSec_InitiatorDHGroup="0"
         IPSec_ResponderDHGroup="NO_PFS"
         IPSec_Flags_UseLifeSize="No"
         IPSec_Flags_UseCommitBit="No"
         IPSec_ResponderKeyRefreshMaxKB="200"
         IPSec_ResponderKeyRefreshMinKB="1"
         IPSec_ResponderKeyRefreshMaxMinutes="43200"
         IPSec_ResponderKeyRefreshMinMinutes="30"/>
   <IPSecTunnel
         IKE_TunnelName="P1"
         IPSec_TunnelName="P2"
         IPSec_ProtectionRef="P2Pol"
         IPSec_Flags_OnDemand="No"
         IPSec_Flags_AutoStart="Yes">
      <IPSecLocalIdentity
            Port="0"
            EndPort="65535"
            Protocol="0">
         <IPV4_Address_
最低0.47元/天 解锁文章
cusi77914
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows Server 2012 R2 网络应用(全套)
05-13
全套视频共6章,主要涉及到的是和网络应用有关的技术知识点,内容包括Windows Server 2012 R2路由器的设置、网络地址转换(NAT)、虚拟专用网(VPN)、DirectAccess直接访问内部网络资源、RADIUS服务器的配置、网络访问保护(NAP)。通过学习本视频教程,可以做到对操作系统专业性技术提
IPsecIKEv1IKEv2区别
hhd1988的专栏
05-12 7534
IPsecIKEv1IKEv2区别
windows server 2012 r2 搭建V...P...N...
Abc_Kimball的博客
11-17 8008
windows server 2012 r2 搭建V…P…N… 句号分割敏感词 一,首先,进入windows server 2012 r2界面后,打开服务管理器,选择“添加角色和功能” 二,进入安装窗口后,一路下一步选择“远程访问”,接着下一步选择“V。。P。。N”和“路由”,继续下一步直到安装。 三,安装完成后,打开“开始-管理工具-路由和远程访问”打开路由和远程访问窗口,右击选择第一个配置并启用路由和远程访问。 四,进入安装窗口,选择“自定义配置”,一路下一步选择“V。。P。。N”和“NAT”,一路下一
IPSecIKEv1详解
sgslwms的博客
09-06 8058
该模式使用IKEv1协商阶段1中生成的密钥对ISAKMP消息的完整性和身份进行验证,并对ISAKMP消息进行加密,故保证了交换的安全性。IPSec SA数据传输需要的加密、验证密钥由第一阶段产生的密钥、SPI、协议等参数衍生得出,以保证每个IPSec SA都有自己独一无二的密钥。SKEYID_d = prf(SKEYID, K | Ci | Cr | 0) -----------推导密钥,衍生密钥。KE和第一阶段中的KE的目的是一样的,使用DH算法,计算出一个对公共的密钥作为隧道所用的加密密钥。
windows server 2012 远程VPN访问配置
gsl371的专栏
02-09 5185
4. 因为外网客户端在新建SSTP之前,必须要能够利用HTTP通信协议到ca服务器下载证书吊销列表(CRL),否则SSTP 连接会失败,然而此时外网客户端无法连接到内部网络的企业根ca,解决此问题的方法是在vpn接入服务器中启用NAT,然后通过端口影射实现外网客户端访问内部企业根ca网站,这样外网客户端就可以从企业根ca网站下载证书吊销列表。记住,一定要选择,证书颁发机构web注册,否则在申请证书的时候会出现问题,然后下一步,等待安装完成。查看nat服务器上使用的端口是443,sstp使用443端口。
aixipsec的使用
夭桃鸣鹿的博客
06-11 3213
aix类似Linux的iptables命令是ipsec stopsrc -s inetd startsrc -s inetd refresh -s inetd 重启inetd etc-mail-sendmail
Windows IPSeccmd使用详解
ccty9527的博客
12-10 218
格式:A.B.C.D[/mask][:port] [=|+] A.B.C.D/[mask][:port][:protocol]默认值是 ESP[3DES,SHA] ESP[3DES,MD5] ESP[DES,SHA] ESP[DES,MD5]默认值是 -ls 3DES-SHA-2 3DES-MD5-2 DES-SHA-1 DES-MD5-1。如: ipseccmd -w REG -p “policyname” -y。如: ipseccmd -w REG -p “policyname” -y。
ISCW实验8:配置Cisco与Windows进行IPSec通信
weixin_34377065的博客
09-12 285
实验过程:配置Windows端第一步 在运行中输入mmc 第二步 在弹出的控制台中选择“文件”-->添加删除管理单元 第三步 在弹出的添加/删除管理单元中选择“添加” 第四步 在弹出的添加独立单元中选择“IP安全策略管理” 第五步 选择“本地计算机”再点击完成 第六步 这时我们可以看到IP安全策略界面 第七步 ...
IKEv1&IKEv2; Between Cisco IOS and strongSwan
05-09
介绍如何配置Cisco的IPSec模块和StrongSwan连接。英文,但是很简单。主要是配置示例很清晰。
Server2016内置CA证书实现IKEv2详细步骤180张截图1-57
10-13
Windows Server2016内置CA证书,不用域结构和DNS,实现IKEv2详细步骤的屏幕截图.
RASDail.rar_RASDAIL CMD_RASdail_ras_rasdail ikev2_visual c
09-23
ras 拨号程序, 超好用的软件。 并附有vc 原代码。
IPSEC IKEV1报文分析与理解
11-08
IPSEC IKEV1报文分析与理解
论文研究-一种基于签密的改进IKEv2协议.pdf
07-22
针对IKEv2协议存在的对通信实体的身份保护不足和系统开销大等问题,提出了一种安全效的改进的IKEv2协议。新协议采用了基于签密的可认证密钥协商来代替D-H密钥交换,在交换秘密信息的同时实现了对协议的发起者与...
Windows Server 2012配置L2TP服务环境
weixin_34220179的博客
02-12 4425
在上一篇文章《Windows Server 2012配置×××服务环境》中讲解了在Windows Server2012环境中的基础×××搭建,但是只能支持PPTP的×××连接。这篇文章进一步完善了×××基于L2TP的连接讲解。在百度上也没有找到一个Windows2012 很全的L2TP服务搭建的方案,所以自己编辑了一个给有需要的朋友们参考。准备环境:Windows Ser...
IPSEC VPN详解
weixin_57507186的博客
04-22 1万+
IPSEC 是一种基于网络层,应用密码学的安全通信协议族。目的是在网络层环境ipv4,ipv6提供灵活的安全传输服务。IPSEC VPN基于IPSEC构建在IP层实现的安全虚拟专用网。VPN-- virtual private network 虚拟私有网,利用隧道技术实现
ipsec ike_在AIX中生成证书并将证书导入Windows以用于IKE IPsec隧道
cusi77914的博客
06-23 851
Internet协议安全性(IPsec)是在Internet协议(IP)层上保护网络传输安全的一种广泛使用的方法。 IP层是网络堆栈中的战略位置,可确保来自下层和层的所有流量都通过它来保护通信。 同样,在该层提供的安全性与较低层无关,并且对较层透明。 在其他安全传输协议(例如安全套接字层(SSL)或传输层安全性(TLS))中,需要启用应用程序以使用安全协议。 但是,使用IPsec,应用程序...
windows IPSec配置
热门推荐
xiaopan233的博客
11-17 2万+
linux中,过滤一个端口直接用iptable禁止就好了。但windows中就有些麻烦,需要在本地安全设置那里进行设置。 1)先看端口开启情况 进入cmd,输入命令netstat -na,查看端口开放情况 可以看到,开放了445这个危险端口。 2)进入本地安全设置新建规则 在管理工具->本地安全策略进入本地安全设置。在”IP 安全策略,在 本地计算机中“右键“创建一个IP安全...
Windows2016 IKEv2(用户认证模式)
游离态De猫
10-16 3911
Windows2016 IKEv2配置 STEP1:DC1启动域控制器并完成配置,安装企业根证书办法机构并完成配置,安装DHCP授权并完成配置(不做演示) STEP2:VPNS1安装VPN服务并配置DHCP中继服务(VPN服务本身不需要做配置...
JAVA进阶补充
最新发布
2301_80150315的博客
08-15 900
概念:把已经有的方法拿过来用,当作函数式接口中抽象方法的方法体条件:引用处必须是函数式接口被引用的方法需要已经存在被引用方法的形参和返回值需要跟抽象方法的形参和返回值保持一致被引用方法的功能需要满足当前需求:方法引用符意义:就是为让控制台的报错信息加的见名知意自定义异常的步骤:定义异常类写继承关系空参构造带参构造​file对象就表示一个路径,可以是文件的路径、也可以是文件夹的路径;这个路径可以是存在的,也允许是不存在的构造方法描述根据文件路径创建对象。
IPSec IKEv1 IKEv2 区别
05-26
IPSec是一种网络协议,用于提供网络层数据的安全性,IKE(Internet Key Exchange)则是IPSec的一种协议,用于建立和管理IPSec VPN连接。IKEv1IKEv2IKE的两个版本。 以下是它们之间的一些主要区别: 1. IKEv1IKEv2安全性不同。IKEv1使用了较旧的加密算法,如DES和3DES,而IKEv2支持强的加密算法,如AES和SHA-256。 2. IKEv2具有好的移动性支持。它支持在不同IP地址下重新连接和重新验证身份,而IKEv1需要重新建立连接。 3. IKEv2具有好的性能和效率。它可以在单个消息中完成握手过程,而IKEv1需要多个消息才能完成。 4. IKEv2具有好的灵活性,支持多的网络拓扑和配置选项,如支持多个子网的VPN连接。 总的来说,IKEv2先进、安全效和灵活的协议,但它需要的计算能力和好的网络连接速度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值