IPSec VPN 基本配置实验(H3C)

已于 2024-04-18 14:48:59 修改
阅读量3.6k 收藏 28
点赞数 11
分类专栏: H3C 文章标签: 网络
于 2024-04-15 19:24:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kerio123/article/details/137781854
版权

前言

IPsec VPN指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
text-align: center

一、实验内容与目标

本次实验需要根据实验教程组网要求,搭建实验拓扑,并完成以下实验任务:
(1)配置IPsec+预共享密钥的IKE主模式
(2)配置IPsec+预共享密钥的IKE野蛮模式

二、实验组网图

在这里插入图片描述

三、实验需要的软、硬件

1、 HCL模拟器软件
2、 PC电脑

四、实验步骤

各设备接口IP地址:
在这里插入图片描述

(一)配置IPsec+预共享密钥的IKE主模式

SWA配置:

SWA:
[SWA]interface Vlan-interface 1
[SWA-Vlan-interface1]ip address 1.1.1.2 24
[SWA-Vlan-interface1]qu
[SWA]vlan 2
[SWA-vlan2]qu
[SWA]interface Vlan-interface 2
[SWA-Vlan-interface2]ip address 2.2.2.2 24
[SWA-Vlan-interface2]qu
[SWA]interface GigabitEthernet 1/0/2
[SWA-GigabitEthernet1/0/2]port access vlan 2

RTA配置
基础配置:

[RTA]int g0/0
[RTA-GigabitEthernet0/0]ip address 192.168.1.1 24
[RTA-GigabitEthernet0/0]qu
[RTA]int g0/1
[RTA-GigabitEthernet0/1]ip address 1.1.1.1 24
[RTA-GigabitEthernet0/1]qu
[RTA]ip route-static 0.0.0.0 0 1.1.1.2 ##配置公网静态路由
[RTA]ip route-static 192.168.2.0 255.255.255.0 1.1.1.2

配置安全ACL:

[RTA]acl advanced 3101
[RTA-acl-ipv4-adv-3101]rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

配置IPSec安全提议:

[RTA]ipsec transform-set tran1# 创建IPsec安全提议tran1
[RTA-ipsec-transform-set-tran1]encapsulation-mode tunnel # 配置安全协议对IP报文的封装形式为隧道模式
[RTA-ipsec-transform-set-tran1]protocol esp # 配置采用的安全协议为ESP
[RTA-ipsec-transform-set-tran1]esp encryption-algorithm aes-cbc-128 # 配置ESP协议采用的加密算法为128比特的AES
[RTA-ipsec-transform-set-tran1]esp authentication-algorithm sha1 #认证算法为HMAC-SHA1
[RTA-ipsec-transform-set-tran1]qu

配置IKE对等体:

[RTA]ike keychain keychain1 # 创建并配置IKE keychain,名称为keychain1
[RTA-ike-keychain-keychain1] pre-shared-key address 2.2.2.1 255.255.0.0 key simple 123456TESTplat&! # 配置与IP地址为2.2.2.1的对端使用的预共享密钥为明文123456TESTplat&!。

配置安全策略:

[RTA]ike profile profile1# 创建并配置IKE profile,名称为profile1:
[RTA-ike-profile-profile1]keychain keychain1
[RTA-ike-profile-profile1]local-identity address 1.1.1.1
[RTA-ike-profile-profile1] match remote identity address 2.2.2.1 255.255.0.0
[RTA]ipsec policy map1 10 isakmp # 创建一条IKE协商方式的IPsec安全策略,名称为map1,顺序号为10
[RTA-ipsec-policy-isakmp-map1-10]remote-address 2.2.2.1 # 配置IPsec隧道的对端IP地址为2.2.2.1
[RTA-ipsec-policy-isakmp-map1-10]security acl 3101 # 指定引用ACL 3101
[RTA-ipsec-policy-isakmp-map1-10]transform-set tran1 # 指定引用的安全提议为tran1
[RTA-ipsec-policy-isakmp-map1-10]ike-profile profile1 # 指定引用的IKE profile为profile1
[RTA-ipsec-policy-isakmp-map1-10]qu
[RTA]int g0/1
[RTA-GigabitEthernet0/1]ipsec apply policy map1 # 在接口GigabitEthernet0/1上应用IPsec安全策略map1
[RTA-GigabitEthernet0/1]

RTB配置
基础配置:

[RTB]int g0/0
[RTB-GigabitEthernet0/0]ip address 192.168.2.1 24
[RTB-GigabitEthernet0/0]qu
[RTB]int g0/1
[RTB-GigabitEthernet0/1]ip address 2.2.2.1 24
[RTB-GigabitEthernet0/1]qu
[RTB]ip route-static 0.0.0.0 0 2.2.2.2 ##配置公网静态路由
[RTB]ip route-static 192.168.1.0 255.255.255.0 2.2.2.2

配置安全ACL:

[RTB]acl advanced 3101
[RTB-acl-ipv4-adv-3101]rule permit ip source 192.168.2.0 0.0.0.255 destination 1
92.168.1.0 0.0.0.255

配置IPSec安全提议:

[RTB]ipsec transform-set tran1# 创建IPsec安全提议tran1
[RTB-ipsec-transform-set-tran1]encapsulation-mode tunnel # 配置安全协议对IP报文的封装形式为隧道模式
[RTB-ipsec-transform-set-tran1]protocol esp # 配置采用的安全协议为ESP
[RTB-ipsec-transform-set-tran1]esp encryption-algorithm aes-cbc-128 # 配置ESP协议采用的加密算法为128比特的AES
[RTB-ipsec-transform-set-tran1]esp authentication-algorithm sha1 #配置认证算法为HMAC-SHA1
[RTB-ipsec-transform-set-tran1]qu

配置IKE对等体:

[RTB]ike keychain keychain1 # 创建并配置IKE keychain,名称为keychain1
[RTB-ike-keychain-keychain1]pre-shared-key address 1.1.1.1 255.255.255.0 key simple 123456TESTplat&! # 配置与IP地址为1.1.1.1的对端使用的预共享密钥为明文123456TESTplat&!。

配置安全策略:

[RTB]ike profile profile1 # 创建IKE profile,名称为profile1
[RTB-ike-profile-profile1]keychain keychain1 # 指定引用的IKE keychain为keychain1
[RTB-ike-profile-profile1]local-identity address 2.2.2.1 # 配置本端的身份信息为IP地址2.2.2.1
[RTB-ike-profile-profile1]match remote identity address 1.1.1.1 255.255.0.0  # 配置匹配对端身份的规则为IP地址1.1.1.1/16
[RTB-ike-profile-profile1]qu
[RTB]ipsec policy use1 10 isakmp # 创建一条IKE协商方式的IPsec安全策略,名称为use1,顺序号为10
[RTB-ipsec-policy-isakmp-use1-10]remote-address 1.1.1.1 # 配置IPsec隧道的对端IP地址为1.1.1.1
[RTB-ipsec-policy-isakmp-use1-10]security acl 3101 # 指定引用ACL 3101
[RTB-ipsec-policy-isakmp-use1-10]transform-set tran1 # 指定引用的安全提议为tran1
[RTB-ipsec-policy-isakmp-use1-10]ike-profile profile1 # 指定引用的IKE profile为profile1
[RTB-ipsec-policy-isakmp-use1-10]qu
[RTB]int g0/1
[RTB-GigabitEthernet0/1]ipsec apply policy use1	# 在接口GigabitEthernet0/1上应用IPsec安全策略use1

测试
在这里插入图片描述在这里插入图片描述
查看IPsec SA的基本信息
在这里插入图片描述

抓包情况
在这里插入图片描述
在这里插入图片描述

(二)配置IPsec+预共享密钥的IKE野蛮模式

先推出系统视图,然后清除IKE / IPsec SA:

<RTA>reset ike sa
<RTA>reset ipsec sa
<RTB>reset ike sa
<RTB>reset ipsec sa

然后清除ACL

[RTA]undo acl advanced 3101
[RTB]undo acl advanced 3101

然后配置跟主模式基本一样,只是配置安全策略哪里设置为野蛮模式

[RTA]ike profile profile1
[RTA-ike-profile-profile1]exchange-mode aggressive

[RTB]ike profile profile1
[RTB-ike-profile-profile1]exchange-mode aggressive

测试:
在这里插入图片描述
抓包情况:

在这里插入图片描述

夜小乌
关注
专栏目录
IPSec 实验
A soul tortured by desire
07-13 2182
实验目的:通过模拟Internet,配置企业A与企业B之间建立IPSec 隧道,来实现企业PC之间互通; 第一步:联通性配置 配置AR1与AR3之间的静态路由,实现其企业A和企业B出口路由通过互联网互通; AR1: [AR1]ip route-static 20.1.1.0 24 10.1.1.2 AR3: [AR3]ip route-static 10.1.1.0 24 20.1.1.2 [AR3]ping 10.1.1.1 PING 10.1.1.1: 5...
H3CVPN高级应用(二)ASA防火墙上实现IPSec VPN的原理与配置指南
洛秋的博客
07-21 788
IPSec(Internet Protocol Security)是一套用于在IP网络上进行安全通信的协议集,通过对数据包进行加密和认证,提供端到端的安全保障。IPSec主要包括两个阶段:ISAKMP/IKE阶段1和ISAKMP/IKE阶段2。ISAKMP/IKE阶段1:在此阶段,双方建立安全通道,协商加密算法和密钥交换方法。ISAKMP/IKE阶段2:在此阶段,双方使用阶段1生成的安全通道,协商IPSec SA(安全关联),用于保护实际数据传输。
H3C IPSec配置手记
cthomson的博客
09-23 3976
以上配置完成后,ipsec1和ipsec2之间如果有子网172.16.168.0/24与子网192.168.168.0/24之间的报文通过,将触发IKE进行IPsec SA的协商。IKE成功协商出IPsec SA后,子网172.16.168.0/24与子网192.168.168.0/24之间数据流的传输将受到IPsec SA的保护。# 创建一条IKE协商方式的IPsec安全策略,名称为map1,序列号为10。# 创建一条IKE协商方式的安全策略,名称为map1,序列号为10。
H3C防火墙及IPsec综合实验
qq_45049184的博客
03-08 7913
我们知道IPsec需要配置感兴趣流来抓取本端私网到达对端私网的流量,NAT转换抓取的同样也是本端私网流量,且NAT的优先级高于IPsec的优先级,如此一来会导致需要被IPsec封装的流量被NAT抓取且当做正常流量导向了公网。所以为了避免这种情况,我们需要在用于匹配NAT的ACL再加上一条ACL用于匹配IPsec的感兴趣流,成功匹配则将其丢弃,这样即使访问对端私网的流量到达了NAT也会被其丢弃,同时也不会影响NAT的正常工作。按照拓扑图所示配置,业务网段全配置在设备的loopback接口,配置过程略。
关于IPSec VPN 的详细配置与讲解
最新发布
weixin_74749868的博客
10-14 3789
IPSec(Internet Protocol Security)是一套用于互联网协议(IP)层的安全协议组合,旨在保护IP通信的安全性。它通过认证、加密和数据完整性验证来确保数据在传输过程中的机密性和完整性。IPSec可以在IPv4和IPv6网络中使用,广泛应用于虚拟专用网络VPN)和安全站点间通信。
防火墙—IPSec VPN(NAT 穿透-双侧 NAT)
weixin_44080599的博客
06-05 4347
奇安信防火墙 IPSEC VPN 详解
H3C IPsec VPN 野蛮模式配置
bfq05234214的博客
03-10 2654
野蛮模式配置公网地址固定的一端: 1.配置IKE fqdn2.创建IKE Proposal(提议),配置IKE的加密和验证算法,验证方法3.创建和配置预共享密钥,使用主机名标识对方身份4.创建IKE Profile(档案),配置为野蛮模式,调用前面创建的Proposal和Keychain,指定对端的FQDN5.创建IPsec转换集,配置IPsec的工作模式,封装协议,验证和加密算法6.创建IPsec策略模板,调用前面创建的IKE Profile,IPsec转换集 7.创建IPsec策略,绑定前面创建的模板
基于华三HCL模拟器IPSec VPN组网与配置
MAY的博客
05-23 6995
IPsec在互联网中提供端到端的数据报通信安全,通过加密和认证方式保护IP数据报及其封装的数据。IPsec是一个框架协议,包括AH、ESP、SA、IKE等协议。IPsec可以采用直接传输和隧道封装两种模式工作,在通过互联网承载的站点间VPN中通常采用隧道模式。隧道模式是将原始IP数据报作为有效载荷封装在IPsec报头里。
IPSec VPN配置实验
m0_66993332的博客
03-07 4115
IPSecVPN建立的前提:要想在两个站点之间安全的传输IP数据流,它们之间必须要先进行协商,协商它们之间所采用的加密算法,封装技术以及密钥。需要注意的是,尽管IPSec VPN提供了高度的安全性,但它也可能成为黑客攻击的目标。因此,部署IPSec VPN时,还需要考虑到设备的安全管理和持续的监控,以防止潜在的安全威胁。当对等体之间有了安全的管理连接之后,它们就可以接着协商用于构建安全数据连接的安全参数,这个协商过程是安全的,加密的。3.传输过程中数据的加密方式(des、3des、aes)
数通--IPsec VPN隧道搭建配置实验
m0_74313947的博客
01-21 2553
左右R2,R3分别配置静态路由,这里的0.0.0.0 0.0.0.0 100.1.1.1 ,意思就是不管是要去哪个ip地址都转发到100.1.1.1。这里有个细节,也就是边缘路由器需要在内侧配置网关,这里重点就是内侧,也就是边缘路由器的内网接口,而acl要配到外侧(靠近目的地的一端)为什么要进行NAT豁免,当一个网关配置了防火墙 ,NAT ,IPsec VPN时,会先走NAT,也就是先走NAT的acl。,而后走VPN的acl,所以NAT豁免的目的就是不走NAT的规则而走VPN的规则。
H3C-防火墙L2TP VPN配置方法(华三)
m0_68265458的博客
04-10 3547
H3C-防火墙L2TP VPN配置方法(华三)
H3C-实验
weixin_33805992的博客
05-21 276
PC端配置配置ip地址 配置网关 交换机(左)配置:①创建VLAN system-view vlan 10 ...
H3C V7 ipsec主:野蛮模式配置脚本.pdf
08-30
H3C V7 ipsec主:野蛮模式配置脚本.pdf
H3C SecPathF10X0_L2TP over IPSec配置.IOS、Android、Win7、Win10免客户端接入
04-07
H3C防火墙F10X0 V7版本,配置L2tp over ipsec,实现ios和android以及各版本Windows终端,免客户端接入的配置,内含关键配置点说明。
H3CVPN高级应用(六)IPSec VPN 的原理与配置实现
洛秋的博客
07-23 1091
VPN,全称Virtual Private Network,即虚拟专用网络。它是一种通过公共网络(如互联网)建立私有网络连接的技术。VPN可以确保远程用户或分支机构通过互联网安全地访问企业内部网络IPSec VPN 作为一种重要的网络安全技术,在企业网络中发挥着关键作用。通过本文的讲解,我们详细介绍了IPSec VPN 的工作原理、配置步骤、故障排查方法以及应用案例。掌握这些知识,有助于网络管理员更好地配置和维护企业VPN,确保数据传输的安全性和稳定性。
基于HCL模拟器华三设备IPsec vpn配置实验
WANGMH13的博客
08-01 6101
基于HCL模拟器华三设备IPsec vpn配置实验
华三IPSec配置(主模式)
weixin_44519575的博客
09-27 755
华三IPSec配置(主模式)
防火墙之IPSec VPN实验
晚风挽着浮云的博客
06-03 3173
指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
防火墙之ipsec vpn实验
热门推荐
qq_45817424的博客
04-02 1万+
防火墙之ipsec vpn项目介绍项目拓扑项目需求配置命令isp路由器配置:分公司防火墙(FW1)配置:接口配置ip和接口划入区域的配置ipsec相关配置:安全策略的配置:nat的配置总公司防火墙FW2配置:接口配置ip和接口划入区域的配置ipsec相关配置:安全策略的配置:nat配置实验结果注意事项 项目介绍 分公司与总公司之间要建立安全的私网通信,且为了减少资金的投入,所以要建立点对点的ipsec vpn(专线太贵)通信。他是通过公网的流量,所以加密级别根据需要而设定。 项目拓扑 项目需求 1:分
h3c ipsec 配置
06-06
以下是基本H3C IPSec配置步骤: 1. 配置IKE策略 [H3C] ike proposal 1 [H3C-ike-proposal-1] encryption-algorithm aes [H3C-ike-proposal-1] authentication-algorithm sha2 [H3C-ike-proposal-1] dh group14 [H3C-ike-proposal-1] sa duration 28800 [H3C-ike-proposal-1] quit 2. 配置IPSec策略 [H3C] ipsec proposal 1 [H3C-ipsec-proposal-1] esp authentication-algorithm sha2 [H3C-ipsec-proposal-1] esp encryption-algorithm aes [H3C-ipsec-proposal-1] sa duration 28800 [H3C-ipsec-proposal-1] quit 3. 设置IKE策略和IPSec策略的预共享密钥 [H3C] ike peer VPN-Peer1 1.1.1.1 [H3C-ike-peer-VPN-Peer1] pre-shared-key simple password [H3C-ike-peer-VPN-Peer1] ike proposal 1 [H3C-ike-peer-VPN-Peer1] quit [H3C] ipsec proposal 1 [H3C-ipsec-proposal-1] transform esp [H3C-ipsec-proposal-1] quit 4. 配置IPSec VPN [H3C] ipsec policy VPN-Policy1 isakmp [H3C-ipsec-isakmp-VPN-Policy1] ike-peer VPN-Peer1 [H3C-ipsec-isakmp-VPN-Policy1] proposal 1 [H3C-ipsec-isakmp-VPN-Policy1] quit [H3C] ipsec policy VPN-Policy1 security acl 3001 [H3C-ipsec-acl-3001-VPN-Policy1] quit [H3C] interface GigabitEthernet0/0/1 [H3C-GigabitEthernet0/0/1] ip address 10.1.1.1 255.255.255.0 [H3C-GigabitEthernet0/0/1] quit [H3C] acl number 3001 [H3C-acl-basic-3001] rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 [H3C-acl-basic-3001] quit 以上是基本H3C IPSec配置步骤,需要根据具体的场景和需求进行调整和修改。建议在实际配置前,先仔细阅读官方文档和相关资料,确保理解和掌握相关知识。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夜小乌

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值