配置strongSwan和H3C VSR的IPsec对接案例

最新推荐文章于 2024-07-06 21:29:36 发布
最新推荐文章于 2024-07-06 21:29:36 发布
阅读量369 收藏 12
点赞数 17
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gtj0617/article/details/140222754
版权

171ffce093a8592eec96ba0a614214cd.gif

正文共:888 字 10 图,预估阅读时间:1 分钟

strongSwan是一个开源的基于IPsec的VPN解决方案,经过前面几篇文章的铺垫,今天终于可以测试strongSwan和华三设备的对接情况了。

strongSwan的默认安装路径是/etc/strongswan/,这里面比较重要的就是ipsec.conf和ipsec.secrets这两个配置文件了。这两个文件的配置已经指导过了,有需要的小伙伴可以参考strongSwan之ipsec.conf配置手册)和(strongSwan之ipsec.secrets配置手册

cac7a3a67a7b65207d336919d0026c9e.png

对组网拓扑稍作调整,用一台华三VSR替换掉Linux2主机,使Linux服务器和VSR直接对接,如下图所示:

aaa9d16e871aa027e7c6f901c5a9193e.png

对比华三设备配置,讲解Linux主机如何配置strongSwan中,我们已经对strongSwan和VSR的IPsec配置进行了初步对比,简单回顾一下:

先看VSR和strongSwan一样的地方:第一阶段的协商模式默认都是主模式,第二阶段默认的加密模式都是ESP,报文封装模式默认都是隧道模式。

再看有差别的地方,strongSwan的ipsec.conf配置文件如下:

# cat /etc/strongswan/ipsec.conf
conn swan
  authby = psk
  keyexchange=ikev1
  left=12.1.1.1
  leftsubnet=11.1.1.0/24
  right=12.1.1.2
  rightsubnet=22.1.1.0/24
  auto=route

这里面有隐藏的默认配置:

conn swan
  leftid=12.1.1.1
  rightid=12.1.1.2
  ike = aes128-sha256-modp3072
  esp = aes128-sha256

这里有个问题,就是IKE算法中的PRF-modp3072算法华三暂时是不支持的。同时strongSwan有配置说明,如果没有给出PRF,则为完整性定义的算法将用于PRF,所以我们把配置修改为ike = aes128-sha256试一下。

到这里,strongSwan的配置就完成了。

conn swan
  authby = psk
  keyexchange=ikev1
  left=12.1.1.1
  leftid=12.1.1.1
  leftsubnet=11.1.1.0/24
  right=12.1.1.2
  rightid=12.1.1.2
  rightsubnet=22.1.1.0/24
  auto=route
  ike = aes128-sha256
  esp = aes128-sha256
# cat /etc/strongswan/ipsec.secrets
12.1.1.2 12.1.1.1 : PSK swan

接下来就是比较拿手的H3C配置了,按照strongSwan的配置进行调整,直接上配置:

#
ike keychain swan
 pre-shared-key address 12.1.1.1 255.255.255.0 key simple swan
#
ike proposal 10
 encryption-algorithm aes-cbc-128
 authentication-algorithm sha256
#
ike profile swan
 keychain swan
 local-identity address 12.1.1.2
 match remote identity address 12.1.1.1 255.255.255.0
 proposal 10
#
acl advanced 3402
 rule 0 permit ip source 22.1.1.0 0.0.0.255 destination 11.1.1.0 0.0.0.255
#
ipsec transform-set swan
 esp encryption-algorithm aes-cbc-128
 esp authentication-algorithm sha256
#
ipsec policy swan 10 isakmp
 transform-set swan
 security acl 3402
 local-address 12.1.1.2
 remote-address 12.1.1.1
 ike-profile swan
#
interface GigabitEthernet3/0
 ipsec apply policy swan

然后触发一下,发现IPsec协商失败,状态未知。

b993d5540b70b262b46681ef1840e522.png

在Linux端查看也是IKE SA建立失败。

284ba240e2be9b93a6b8b6c4aaf7389c.png

在VSR上进行debug,发现有报错,提示“No HASH in notification payload.”,翻译一下就是说通知有效负载中没有HASH。

2a28de8d5b929ecd10088776a20f71ff.png

然后抓包看一下。

c595358d5805864b2da4c0700563d324.png

我们发现DH组和生命周期信息还是存在一些差异,修改strongSwan的算法配置为ike = aes128-sha256-modp1024,对应的,调整VSR中ike proposal的DH组为2(1024-bit),命令dh group2。同时调整strongSwan的ikelifetime为86400(1天)。

ike = aes128-sha256-modp1024
ikelifetime=86400

再次触发一下,通了!

d5bd472ce0b3370caf73bae9c6de4279.png

查看VSR上相关的SA信息。

b176d478063d7dea106efe27c43205b7.png

查看strongSwan的相关状态信息。

b11dca107e1243ea95da3a6191c00bc6.png

报文交互也是正常的。

fb54d7e98018350b46a1079699c8012b.png

看来strongSwan和H3C的IPsec对接也不难啊!8634c5a25059cba3826a559846726ab0.png

最后给一份完整的设备配置。

# cat /etc/strongswan/ipsec.conf
conn swan
  authby = psk
  keyexchange=ikev1
  left=12.1.1.1
  leftid=12.1.1.1
  leftsubnet=11.1.1.0/24
  right=12.1.1.2
  rightid=12.1.1.2
  rightsubnet=22.1.1.0/24
  auto=route
  ike = aes128-sha256-modp1024
  esp = aes128-sha256
  ikelifetime=86400
# cat /etc/strongswan/ipsec.secrets
12.1.1.1 12.1.1.2 : PSK swan

VSR配置:

#
interface GigabitEthernet3/0
 ipsec apply policy swan
#
acl advanced 3402
 rule 0 permit ip source 22.1.1.0 0.0.0.255 destination 11.1.1.0 0.0.0.255
#
ipsec transform-set swan
 esp encryption-algorithm aes-cbc-128
 esp authentication-algorithm sha256
#
ipsec policy swan 10 isakmp
 transform-set swan
 security acl 3402
 local-address 12.1.1.2
 remote-address 12.1.1.1
 ike-profile swan
#
ike profile swan
 keychain swan
 local-identity address 12.1.1.2
 match remote identity address 12.1.1.1 255.255.255.0
 proposal 10
#
ike proposal 10
 encryption-algorithm aes-cbc-128
 dh group2
 authentication-algorithm sha256
#
ike keychain swan
 pre-shared-key address 12.1.1.1 255.255.255.0 key simple swan

挺简单的,不是吗?

228f7f966a9c9b194dc376b45805afdd.gif

长按二维码
关注我们吧

fd019a4539384f8a093edbc255be0b04.jpeg

ae61cdb4b3f646dd03d76a1edd5037e1.png

对比华三设备配置,讲解Linux主机如何配置strongSwan

如果吧Linux主机作为路由器转发流量,性能可靠吗?

strongSwan之ipsec.conf配置手册

HPE VSR配置穿越NAT场景下的ADVPN案例

一篇能解决90%以上SSL VPN问题的武林秘籍

Wireshark如何解密IPSec报文?

使用8条命令即可完成的VPN配置!CentOS快速配置WireGuard全互联组网

ADVPN和IPsec有啥关系?

Danileaf_Guo
关注
  • 17
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
H3C VSR 系列虚拟路由器 虚拟化技术配置指导
10-19
H3C VSR 虚拟化技术配置手册 产品版本:VSR1000_H3C-CMW710-E0322P02-X64 VSR2000_H3C-CMW710-E0322P02-X64
VSR1000_H3C-CMW710-R1340P19-X64 修改初始配置aux0
08-31
H3C VSR1000 最新自定义镜像 VSR1000_H3C-CMW710-R1340P19-X64 修改初始配置aux0,可以使用 crt 连的 qemu 镜像,配合 gns3 、eveng 联合使用!
strongSwan对接H3C
衡水铁头哥的博客
07-28 1016
VSRstrongSwan一样的地方:第一阶段的协商模式默认都是主模式,第二阶段默认的加密模式都是ESP,报文封装模式默认都是隧道模式。
VSR公网对接strongSwan NAT穿越
衡水铁头哥的博客
07-28 1045
实际使用中穿越NAT在所难免,其实这种也好解决,按照前面配置H3C的思路,我们调整对应的配置为野蛮模式+FQDN应该就可以了。
strongSwan穿越NAT与公网VSR对接IPsec配置案例
最新发布
衡水铁头哥的博客
07-06 269
正文共:555 字 7 图,预估阅读时间:1 分钟通过上次的案例配置strongSwan和H3C VSRIPsec对接案例),我们已经掌握了strongSwanVSR基于IKEv1主模式进行对接配置方法。有同学提出,实际使用中穿越NAT在所难免,其实这种也好解决,按照前面配置H3C的思路,我们调整对应的配置为野蛮模式+FQDN应该就可以了。本次我们先把VSR作为公网端,strongSwan...
本地Cisco与云端H3C建立GRE over IPsec
网络搬砖
01-20 118
一、目标 内网Cisco路由器与云端H3C路由器建立GRE over IPsec,最终实现Tunnel接口互通; 为内网与云端运行动态路由协议(RIP、OSPF、ISIS、BGP)建立基础。 二、拓扑 image.png 拓扑中Cisco VPN路由器为旁挂到核心交换机部署,接口IP为私网IP; 如拓扑所示,Cisco VPN路由器访问互联网需经过两道NAT转换; 云端H3C VS...
Linux-4.4-x86_64 内核配置选项简介
轮子工厂
10-15 4869
Linux-4.4-x86_64 内核配置选项简介 作者:金步国 64-bit kernel CONFIG_64BIT 编译64位内核.本文仅讲述x86_64(AMD64)平台的内核编译,所以这个是必选项. General setup 常规设置 Cross-compiler tool prefix CONFIG_CROSS_COMPILE 交叉编译工具前缀(比如"arm-linux...
Linux内核配置选项简介
热门推荐
阿生的专栏
06-02 1万+
Linux内核配置选项简介   Gentoo Linux Gentoo内核(gentoo-sources)特有的选项 Gentoo Linux support CONFIG_GENTOO_LINUX 选"Y"后,将会自动选中那些在Gentoo环境中必须开启的内核选项,以避免用户遗漏某些必要的选项,减轻一些用户配置内核的难度.建议选"Y". Linux dy
Linux-3.10-x86_64 内核配置选项简介
kunkliu的博客
09-18 3803
http://www.jinbuguo.com/kernel/longterm-3_10-options.html Linux-3.10-x86_64 内核配置选项简介作者:金步国版权声明 本文作者是一位开源理念的坚定支持者,所以本文虽然不是软件,但是遵照开源的精神发布。无担保:本文作者不保证作品内容准确无误,亦不承担任何由于使用此文档所导致的损失。自由使用:任何人都可以自由的阅读/链接/打印此文档
Linux kernel 配置选项
qq_28779021的博客
01-17 1万+
General setup 常规设置 Cross-compiler tool prefix CONFIG_CROSS_COMPILE 交叉编译工具前缀(比如"arm-linux-"相当于使用"make CROSS_COMPILE=arm-linux-"进行编译).除非你想配置后默认自动进行交叉编译,否则不要使用此选项. Local version - append to kernel rel...
Linux内核配置选项
路漫漫其修远兮
04-25 6754
http://blog.csdn.net/wdsfup/article/details/52302142http://www.manew.com/blog-166674-12962.htmlGentoo LinuxGentoo内核(gentoo-sources)特有的选项Gentoo Linux supportCONFIG_GENTOO_LINUX选"Y"后,将会自动选中那些在Gentoo环境...
H3C VSR1000虚拟路由器典型配置举例【PDF CHM】.rar
02-15
01-H3C VSR1000虚拟路由器基于CAS平台网络连接典型配置举例 02-H3C VSR1000虚拟路由器基于VMware平台网络连接典型配置举例 03-H3C VSR1000虚拟路由器基于KVM平台网络连接典型配置举例 04-H3C VSR1000虚拟路由器RBAC...
H3C《VSR虚拟路由器培训》培训视频.rar
08-01
本培训视频主要聚焦于H3C VSR的使用和配置,帮助用户深入理解虚拟路由器的工作原理以及如何在实际环境中部署和管理。 H3C VSR是H3C公司推出的一种网络虚拟化解决方案,它允许在网络中创建多个独立的虚拟路由器实例...
H3C NFV虚拟化产品 汇总集【VSR1000 VSR2000 VFW1000 VLB1000】.rar
08-28
H3C NFV虚拟化产品 汇总集【VSR1000 VSR2000 VFW1000 VLB1000】,vmware添加虚拟机即用,含手册
2014-2023年的绿色债券数据.txt
07-06
因文件较多,数据存放网盘,txt文件内包含下载链接及提取码,永久有效。失效会第一时间进行补充。样例数据及详细介绍参见文章:https://blog.csdn.net/samLi0620/article/details/140227523
综合素质笔记2024上半年笔记
07-05
综合素质笔记2024上半年笔记
使用SQL语句创建数据表和操作数据
07-05
使用SQL语句创建数据表和操作数据
饲料破碎机任务书 论文.doc
07-05
饲料破碎机任务书 论文.doc
最新自定义镜像 vsr1000_h3c-cmw710-r1340p19-x64 修改初始配置aux0,可以使用 crt
07-31
最新自定义镜像 vsr1000_h3...总结起来,最新自定义镜像 vsr1000_h3c-cmw710-r1340p19-x64 修改初始配置 aux0 可以使用 CRT,提供了更加灵活和个性化的选择,使用户能够根据自己的需要和喜好进行显示设备的设置和调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值