H3C IPSec配置手记

最新推荐文章于 2024-09-27 09:59:48 发布
最新推荐文章于 2024-09-27 09:59:48 发布
阅读量882 收藏 17
点赞数 33
分类专栏: 数通 文章标签: 网络 H3C
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/i12344/article/details/138945823
版权

实验拓扑:

设备型号:H3C MSR36-20

接口地址:ipsec1 g0/0,1.1.1.1

                  ipsec2 g0/0,1.1.1.2

IPSec1内部地址:172.16.168.0/24

IPSec2内部地址:192.168.168.0/24

目的:建立IPSec隧道,使172网段和192网段互通

(1)配置IPSec1

# 配置高级ACL,定义要保护由子网172.16.168.0/24去往子网192.168.168.0/24的数据流。

<RouterA> system-view

[RouterA] acl advanced 3001

[RouterA-acl-ipv4-adv-3001] rule permit ip source 172.16.168.0 0.0.0.255 destination 192.168.168.0 0.0.0.255

# 配置到达IPSec2所在子网的静态路由。

[RouterA] ip route-static 192.168.168.0 255.255.255.0 1.1.1.2

# 创建IPsec安全提议tran1。

[RouterA] ipsec transform-set tran1

# 配置安全协议对IP报文的封装形式为隧道模式。

[RouterA-ipsec-transform-set-tran1] encapsulation-mode tunnel

# 配置采用的安全协议为ESP。

[RouterA-ipsec-transform-set-tran1] protocol esp

# 配置ESP协议采用的加密算法为128比特的AES,认证算法为HMAC-SHA1。

[RouterA-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128

[RouterA-ipsec-transform-set-tran1] esp authentication-algorithm sha1

# 创建并配置IKE keychain,名称为key1。

[RouterA] ike keychain key1

# 配置与IP地址为1.1.1.2的对端使用的预共享密钥为明文ipsectest

[RouterA-ike-keychain-keychain1] pre-shared-key address 1.1.1.2 255.255.255.0 key simple ipsectest

# 创建并配置IKE profile,名称为pro1

[RouterA] ike profile pro1

[RouterA-ike-profile-profile1] keychain key1

[RouterA-ike-profile-profile1] match remote identity address 1.1.1.2 255.255.255.0

# 创建一条IKE协商方式的IPsec安全策略,名称为map1,序列号为10。

[RouterA] ipsec policy map1 10 isakmp

# 指定引用ACL 3001。

[RouterA-ipsec-policy-isakmp-map1-10] security acl 3001

# 指定引用的安全提议为tran1。

[RouterA-ipsec-policy-isakmp-map1-10] transform-set tran1

# 指定IPsec隧道的本端IP地址为1.1.1.1,对端IP地址为1.1.1.2

[RouterA-ipsec-policy-isakmp-map1-10] local-address 1.1.1.1

[RouterA-ipsec-policy-isakmp-map1-10] remote-address 1.1.1.2

# 指定引用的IKE profile为pro1。

[RouterA-ipsec-policy-isakmp-map1-10] ike-profile pro1

# 在接口GigabitEthernet0/0上应用安全策略map1。

[RouterA] interface gigabitethernet 0/0

[RouterA-GigabitEthernet2/0/2] ip address 1.1.1.1 255.255.255.0

[RouterA-GigabitEthernet2/0/2] ipsec apply policy map1

(2) 配置Router B

# 配置一个IPv4高级ACL,定义要保护由子网192.168.168.0/24去往子网172.16.168.0/24的数据流。

<RouterB> system-view

[RouterB] acl advanced 3001

[RouterB-acl-ipv4-adv-3001] rule permit ip source 192.168.168.0 0.0.0.255 destination 172.16.168.0 0.0.0.255

# 配置到达Host A所在子网的静态路由。

[RouterB] ip route-static 172.16.168.0 255.255.255.0 1.1.1.1

# 创建IPsec安全提议tran1。

[RouterB] ipsec transform-set tran1

# 配置安全协议对IP报文的封装形式为隧道模式。

[RouterB-ipsec-transform-set-tran1] encapsulation-mode tunnel

# 配置采用的安全协议为ESP。

[RouterB-ipsec-transform-set-tran1] protocol esp

# 配置ESP协议采用的加密算法为128比特的AES,认证算法为HMAC-SHA1。

[RouterB-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128

[RouterB-ipsec-transform-set-tran1] esp authentication-algorithm sha1

# 创建并配置IKE keychain,名称为key1

[RouterB] ike keychain key1

[RouterB-ike-keychain-keychain1] pre-shared-key address 1.1.1.1 255.255.255.0 key simple ipsectest
# 创建并配置IKE profile, 名称为pro1

[RouterB] ike profile pro1

[RouterB-ike-profile-profile1] keychain key1

[RouterB-ike-profile-profile1] match remote identity address 1.1.1.1 255.255.255.0

# 创建一条IKE协商方式的安全策略,名称为map1,序列号为10。

[RouterB] ipsec policy map1 10 isakmp

# 指定引用ACL 3001。

[RouterB-ipsec-policy-isakmp-use1-10] security acl 3001

# 指定引用的IPsec安全提议为tran1。

[RouterB-ipsec-policy-isakmp-use1-10] transform-set tran1

[RouterB-ipsec-policy-isakmp-use1-10] local-address 1.1.1.2

[RouterB-ipsec-policy-isakmp-use1-10] remote-address 1.1.1.1

# 指定引用的IKE对等体为pro1。

[RouterB-ipsec-policy-isakmp-use1-10] ike-profile pro1
# 在接口GigabitEthernet0/0上应用IPsec安全策略map1

[RouterB] interface gigabitethernet 2/0/2

[RouterB-GigabitEthernet2/0/2] ip address 1.1.12 255.255.255.0

[RouterB-GigabitEthernet2/0/2] ipsec apply policy map1

验证配置

以上配置完成后,ipsec1和ipsec2之间如果有子网172.16.168.0/24与子网192.168.168.0/24之间的报文通过,将触发IKE进行IPsec SA的协商。IKE成功协商出IPsec SA后,子网172.16.168.0/24与子网192.168.168.0/24之间数据流的传输将受到IPsec SA的保护。可通过以下显示查看到协商生成的IPsec SA。

马立杰
关注
专栏目录
华三ipsec 配置分析、举例
undoshutdown的博客
01-29 2013
ipsec apply policy policy1 //在设备wan口引用ipsec 策略 policy1。ipsec policy policy1 1 isakmp //新建ipsec 策略 policy1 序号1。ipsec policy policy1 1 isakmp //新建ipsec 策略 policy1 序号1。
IPSec VPN 基本配置实验(H3C
kerio123的博客
04-15 3550
IPsec VPN指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
【华三】IPsec VPN 实验配置(地址固定)
2301_77161465的博客
01-09 3350
本篇讲的是新华三的IPsec VPN的配置,场景是在两端IP地址都是在固定的情况下,里面的配置都有加注释,较友好
华三IPSec配置(主模式)
最新发布
weixin_44519575的博客
09-27 644
华三IPSec配置(主模式)
H3C防火墙及IPsec综合实验
qq_45049184的博客
03-08 7856
我们知道IPsec需要配置感兴趣流来抓取本端私网到达对端私网的流量,NAT转换抓取的同样也是本端私网流量,且NAT的优先级高于IPsec的优先级,如此一来会导致需要被IPsec封装的流量被NAT抓取且当做正常流量导向了公网。所以为了避免这种情况,我们需要在用于匹配NAT的ACL再加上一条ACL用于匹配IPsec的感兴趣流,成功匹配则将其丢弃,这样即使访问对端私网的流量到达了NAT也会被其丢弃,同时也不会影响NAT的正常工作。按照拓扑图所示配置,业务网段全配置在设备的loopback接口,配置过程略。
H3C V7 ipsec主:野蛮模式配置脚本.pdf
08-30
H3C V7 ipsec主:野蛮模式配置脚本.pdf
H3C SecPathF10X0_L2TP over IPSec配置.IOS、Android、Win7、Win10免客户端接入
04-07
H3C防火墙F10X0 V7版本,配置L2tp over ipsec,实现ios和android以及各版本Windows终端,免客户端接入的配置,内含关键配置点说明。
H3C-V7-ipsec配置.docx
08-31
H3C IPsec 配置指导V7版本,适用H3C网关路由器(MSR、SR系列V7版本)、下一代防火墙设备
H3C 安全产品典型配置案例汇总集.rar
09-21
H3C NGFW设备支持IPsec VRF Aware特性配置举例 H3C SSL VPN VPE方案典型配置案例 H3C SecBlade 防火墙主备二层跨VLAN转发典型配置案例 H3C SecPath F5000软件包兼容性issu升级配置案例 H3C SecPath M9000软件包...
H3C IPsec配置详解:典型组网与应用
"H3C IPsec典型配置举例(1).pdf" 本文档详细介绍了H3C设备上IPsec(IP Security)的典型配置案例,旨在帮助用户理解和实施IPsec在不同网络环境下的应用。IPsec协议是Internet Engineering Task Force (IETF) 为IP...
华三防火墙ipsec vpn配置命令
耕耘
08-06 1249
华三防火墙ipsec vpn配置命令
基于华三HCL模拟器IPSec VPN组网与配置
MAY的博客
05-23 6932
IPsec在互联网中提供端到端的数据报通信安全,通过加密和认证方式保护IP数据报及其封装的数据。IPsec是一个框架协议,包括AH、ESP、SA、IKE等协议。IPsec可以采用直接传输和隧道封装两种模式工作,在通过互联网承载的站点间VPN中通常采用隧道模式。隧道模式是将原始IP数据报作为有效载荷封装在IPsec报头里。
H3C IPsec VPN 野蛮模式配置
bfq05234214的博客
03-10 2595
野蛮模式配置公网地址固定的一端: 1.配置IKE fqdn2.创建IKE Proposal(提议),配置IKE的加密和验证算法,验证方法3.创建和配置预共享密钥,使用主机名标识对方身份4.创建IKE Profile(档案),配置为野蛮模式,调用前面创建的Proposal和Keychain,指定对端的FQDN5.创建IPsec转换集,配置IPsec的工作模式,封装协议,验证和加密算法6.创建IPsec策略模板,调用前面创建的IKE Profile,IPsec转换集 7.创建IPsec策略,绑定前面创建的模板
H3C路由器与防火墙建立IPSEC
Rzcarmen的博客
10-11 1541
需要与路由器一端配置一致。需要与路由器一端配置一致。
H3C-两台防火墙采用公网固定地址方式搭建IPSEC VPN配置案例(华三-主模式)
m0_68265458的博客
04-11 2272
H3C-两台防火墙采用公网固定地址方式搭建IPSEC VPN配置案例(华三-主模式)
华三防火墙配置IPSec隧道
a2317077531的博客
06-30 9646
1.网络拓扑 2.配置思路 1.配置各接口IP地址,将接口加入对应区域 2.ISP运行ospf,引入直连路由 3.配置防火墙策略,及路由 4.配置IPSec VPN 5.验证VPN互通 1.FW1配置接口IP及加入到相关区域 interface GigabitEthernet1/0/20(wan-ip) ip address 192.168.13.1 255.255.255.0 interface LoopBack 0(测试内网IP) ip address 192.168.11.1 255.255.25
H3C GRE over ipsec配置
qq_23930765的博客
11-13 2982
多分支接入的情况下,如果设备支持点到多点GRE隧道,则总部只需要配置一个GRE Tunnle,但是设备不支持此特性的话,只能在总部为每个分支建立一个GRE Tunnle。三:这种方式下的IPSEC,后续网段变动时,只需要配置不同的静态路由指向GRE Tunnle口,IPsec配置无需改变,适合私网地址较大的拓扑。一:注意loopback口的建立,和GRE封装时的源目地址保持一致,而不是GRE Tunnle的ip地址。以及IPsec的安全ACL匹配的是GRE封装之后的源目地址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

马立杰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值