strongSwan对接H3C

最新推荐文章于 2022-08-15 17:22:28 发布
最新推荐文章于 2022-08-15 17:22:28 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 云计算 网络技术 文章标签: java 服务器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gtj0617/article/details/126033511
版权

strongSwan是一个开源的基于IPsec的VPN解决方案,经过前面几篇文章的铺垫,今天终于可以测试strongSwan和华三设备的对接情况了。

strongSwan的默认安装路径是/etc/strongswan/,这里面比较重要的就是ipsec.conf和ipsec.secrets这两个配置文件了。这两个文件的配置已经指导过了,有需要的小伙伴可以参考()和()。

对组网拓扑稍作调整,用一台华三VSR替换掉Linux2主机,使Linux服务器和VSR直接对接,如下图所示:

在(文章)中,我们已经对strongSwan和VSR的IPsec配置进行了初步对比,简单回顾一下:

先看VSR和strongSwan一样的地方:第一阶段的协商模式默认都是主模式,第二阶段默认的加密模式都是ESP,报文封装模式默认都是隧道模式。

再看有差别的地方,strongSwan的ipsec.conf配置文件如下:

cat /etc/strongswan/ipsec.conf

conn swan

        authby = psk

        keyexchange=ikev1

        left=12.1.1.1

        leftsubnet=11.1.1.0/24

        right=12.1.1.2

        rightsubnet=22.1.1.0/24

        auto=route

这里面有隐藏的默认配置:

conn swan

        leftid=12.1.1.1

        rightid=12.1.1.2

ike = aes128-sha256-modp3072

esp = aes128-sha256

这里有个问题,就是IKE算法中的PRF-modp3072算法华三暂时不是支持的。同时strongSwan有依据说明,如果没有给出PRF,则为完整性定义的算法将用于PRF,所以我们把配置修改为ike = aes128-sha256试一下。

到这里,strongSwan的配置就完成了。

conn swan

        authby = psk

        keyexchange=ikev1

        left=12.1.1.1

        leftid=12.1.1.1

        leftsubnet=11.1.1.0/24

        right=12.1.1.2

        rightid=12.1.1.2

        rightsubnet=22.1.1.0/24

        auto=route

        ike = aes128-sha256

        esp = aes128-sha256

cat /etc/strongswan/ipsec.secrets

12.1.1.2 12.1.1.1 : PSK swan

接下来就是比较拿手的H3C配置了,按照strongSwan的配置进行调整,直接上配置:

#

ike keychain swan

 pre-shared-key address 12.1.1.1 255.255.255.0 key simple swan

#

ike proposal 10

 encryption-algorithm aes-cbc-128

 authentication-algorithm sha256

#

ike profile swan

 keychain swan

 local-identity address 12.1.1.2

 match remote identity address 12.1.1.1 255.255.255.0

 proposal 10

#

acl advanced 3402

 rule 0 permit ip source 22.1.1.0 0.0.0.255 destination 11.1.1.0 0.0.0.255

#

ipsec transform-set swan

 esp encryption-algorithm aes-cbc-128

 esp authentication-algorithm sha256

#

ipsec policy swan 10 isakmp

 transform-set swan

 security acl 3402

 local-address 12.1.1.2

 remote-address 12.1.1.1

 ike-profile swan

#

interface GigabitEthernet3/0

 ipsec apply policy swan

然后触发一下,发现IPsec协商失败,状态未知。

在Linux端查看也是IKE SA建立失败。

在VSR上进行debug,发现有报错,提示“No HASH in notification payload.”,翻译一下就是说通知有效负载中没有HASH。

然后抓包看一下。

我们发现DH组和生命周期信息还是存在一些差异,修改strongSwan的算法配置为ike = aes128-sha256-modp1024,对应的,调整VSR中ike proposal的DH组为2(1024-bit),命令dh group2。同时调整strongSwan的ikelifetime为86400(1天)。

        ike = aes128-sha256-modp1024

        ikelifetime=86400

再次触发一下,通了!

查看VSR上相关的SA信息。

查看strongSwan的相关状态信息。

报文交互也是正常。

看来strongSwan和H3C的IPsec对接也不难啊!

最后给一份完整的设备配置。

cat /etc/strongswan/ipsec.conf

conn swan

        authby = psk

        keyexchange=ikev1

        left=12.1.1.1

        leftid=12.1.1.1

        leftsubnet=11.1.1.0/24

        right=12.1.1.2

        rightid=12.1.1.2

        rightsubnet=22.1.1.0/24

        auto=route

        ike = aes128-sha256-modp1024

        esp = aes128-sha256

        ikelifetime=86400

cat /etc/strongswan/ipsec.secrets

12.1.1.1 12.1.1.2 : PSK swan

VSR配置:

#

interface GigabitEthernet3/0

 ipsec apply policy swan

#

acl advanced 3402

 rule 0 permit ip source 22.1.1.0 0.0.0.255 destination 11.1.1.0 0.0.0.255

#

ipsec transform-set swan

 esp encryption-algorithm aes-cbc-128

 esp authentication-algorithm sha256

#

ipsec policy swan 10 isakmp

 transform-set swan

 security acl 3402

 local-address 12.1.1.2

 remote-address 12.1.1.1

 ike-profile swan

#

ike profile swan

 keychain swan

 local-identity address 12.1.1.2

 match remote identity address 12.1.1.1 255.255.255.0

 proposal 10

#

ike proposal 10

 encryption-algorithm aes-cbc-128

 dh group2

 authentication-algorithm sha256

#

ike keychain swan

 pre-shared-key address 12.1.1.1 255.255.255.0 key simple swan

挺简单的,不是吗?

Danileaf_Guo
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
strongSwan - 功能强大的开源IPsec实现
gitblog_00009的博客
03-07 930
strongSwan - 功能强大的开源IPsec实现 简介 strongSwan是一个开源的、免费的IPsec实现,用于在互联网上建立安全的虚拟私人网络(VPNs)。它支持各种加密算法和身份验证方法,并且可以与其他IPsec实现互操作。 用法 strongSwan可用于多种用途: 建立安全的公司内部网络 连接远程办公人员到公司内网 提供安全的移动访问服务 在Internet上提供安全的Web...
Strongswan使用过程中的坑
最新发布
向Stack Overflow的大牛学习,编写文章尽量详细。
07-14 1162
本文对使用strongswan搭建ipsec vpn环境时的容易遇到的问题进行了详细说明,对于初次使用strongswan的用户应该有所帮助。
strongSwan-2.2.1.apk
02-15
2020.2.15日以前Android 最新版本,大家可以去strongswan官网下载,strongswan.org。
H3C设备与Strongswan野蛮模式对接IPsec
weixin_43089784的博客
12-25 2476
华三侧主要配置: ike keychain a //野蛮模式,指的对端地址为0.0.0.0 match local address LoopBack0 pre-shared-key address 0.0.0.0 0.0.0.0 key simple 123 //共享秘钥123,对应centos主机/etc/strongswan/ipsec.secrets下的psk秘钥 ike proposal 1 //对应对应centos主机/etc/strongswan/ipsec.conf下ike3d
strongswan简单介绍
kernelfish的专栏
04-13 1万+
    strongswanlinux平台下的一款ipsec开源工具,和openswan一样都是基于freeswan项目。不过strongswan更侧重于ikev2协议的实现。ikev2(RFC 4306)是ike的第二个版本,它在安全性和功能上都有很大的增强,简化了协议。   strongswan绝大部分代码是用c实现的,支持klips和netkey两种ipsec方式。在ikev2协议中使
strongswan介绍
wq897387的专栏
03-12 2万+
strongswan介绍文档翻译
H3C和思科对接典型组网配置案例汇总集.rar
10-27
01 H3C S5500与思科3750对接二层链路聚合的典型组网配置案例 02 H3C S5500与思科2960对接二层链路聚合的典型组网配置案例 03 H3C S6800与思科3560对接二层链路聚合典型组网配置案例 04 H3C S6800与思科2960对接二...
【强强对接H3CH3C防火墙与华为防火墙对接案例汇总集.rar
09-15
【强强对接H3CH3C SecPath M9006对接基础信息介绍 【强强对接H3CH3C网关以模板方式与NGFW建立IPSec隧道 【强强对接H3C篇 NGFW与H3C网关在NAT穿越场景下建立IPSec隧道 【强强对接H3C篇 NGFW与H3C...
cisco与h3c交换机生成树兼容对接
06-30
cisco与华三华为生成树协议互操作能力,各个模式下是否兼容,不兼容该怎么配置。
ciscoACS认证与H3C华为设备对接使用.rar
07-09
本文档包含cisco ACS的配置使用,Cisco ACS登录密码和web密码及IP地址重置,H3C acs认证配置案例,华为acs认证配置案例,通过本文档可以完成对网络的MAC认证准入,有效防止访客接入网络。
strongswan5.6.3
07-03
基于IPSec协议的源代码的实现,如果想好好学习了解IPsec的原理,strongswan是个很好的选择
strongswan-5.8.4.tar.bz2
09-24
最新的strongswan-5.8.4源码,主要可以在各种linux上进行移植使用,目前看兼容效果非常好,已经和华三、锐捷设备进行过对接
android strongswan1.9.6 客户端下载
06-16
由于系统设置默认必须用积分,这个大家可以去strongswan官网下载。官网地址:https://download.strongswan.org/Android/
cisco 华三 对接_H3C和CISCO生成树对接
weixin_36316642的博客
12-29 1582
Cisco交换机支持的生成树协议类型Cisco交换机所支持的生成树协议类型分别有:PVST(PerVLANSpanningTree)、PVST+(PerVLANSpanningTreePlus)、Rapid-PVST+(RapidPerVLANSpanningTreePlus)、MISTP(MultiInstanceSpanningTreeProtocol)和MST(MultipleSpannin...
strongswan 搭建 IPSec 实验环境
yuyu的博客
09-09 9400
使用两个CentOS7虚拟机,基于strongswan搭建IPSec VPN实验环境,通过是否配置加密算法,达到产生正常和非正常ESP数据包的目的。本篇为自己填坑记录。 目录 1、准备两个CentOS7虚拟机 2、安装strongswan 3、修改配置文件 4、配置NAT 5、 scp模拟大流量场景 6、修改配置文件去掉加密算法 1、准备两个CentOS7虚拟机 使其能相互ping通 (192.168.220.139 ping 通192.168.220.140) 实验拓扑如图: .
strongswan ipsec环境搭建及swanctl.conf配置含ca证书配置(tunnel模式,ah封装,rsa认证)
weixin_43190642的博客
12-24 7956
vm1:192.168.182.144 host1:192.168.182.254 9.94.189.225 host2:9.94.189.226 192.168.152.254 vm2:192.168.152.132 环境如图所示,两台物理机充当网关,分别启动一台虚拟机组成局域网。 一、虚拟机启动 使用qume脚本启动,关键信息: -enable-kvm -display none -cpu host -smp 4 -m 4096 -kernel KaTeX p
五、IPSec开源项目strongSwan
小脑斧的博客
08-15 8520
strongSwan是一套完整的IPsec开源实现方案,用来提供服务端和客户端之间的加密和认证。
使用StrongSwan配置IPSec
热门推荐
Xiaowo
03-22 5万+
使用StrongSwan对IPSec进行研究,是一种很好的理解IPSec的实践。然而StrongSwan在使用的过程中实在是有太多的坑,网上的教程也多有不完整的地方,几乎没有能彻彻底底说明白每一步的,导致我在使用StrongSwan的过程中各种抓耳挠腮。程序员自然要造福程序员,在这里特将StrongSwan使用中所遇到的完整步骤记录下来,希望有所帮助。准备工作准备工作可不是简单地装个StrongSw
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值