[IPSec]手工方式建立IPSec隧道

最新推荐文章于 2025-01-16 10:04:25 发布
最新推荐文章于 2025-01-16 10:04:25 发布
阅读量492 收藏 5
点赞数 8
分类专栏: 华为Ensp实验配置学习 文章标签: 网络 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57076217/article/details/143813296
版权
适配

适用于华为所有版本、所有形态的路由器

需求目的

![[Pasted image 20241103195216.png]]

  1. RouterA为企业分支网关,RouterB为企业总部网关,分支与总部通过公网建立通信。
  2. 分支子网为10.1.1.0/24,总部子网为10.1.2.0/24。
  3. 企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。
  4. 分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。
  5. 由于维护网关较少,可以考虑采用手工方式建立IPSec隧道。
操作步骤
  1. 分支网关AR1配置
# 
system
# 
undo in en
# 
sysname RA
# 
acl number 3001     //配置扩展ACL(3000-3999任意)
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255       //匹配从分支子网到总部子网的流量   permit 允许  any 禁止
#
ipsec proposal tran1     //设置ipsec提议,名字叫tran1 
 esp authentication-algorithm sha2-256   //设置ESP认证算法模式SHA-256
 esp encryption-algorithm aes-128    //指定ESP的加密算法模式AES-128
#
ipsec policy cyly 10 manual      //配置IPsec策略,名字叫cyly,优先级10,设置手动模式
 security acl 3001     //使用指定的ACL
 proposal tran1        //指定提议
 tunnel local 1.1.1.1   //设置本地隧道IP地址
 tunnel remote 2.1.1.1  //设置远程隧道IP地址
 sa spi inbound esp 54321   //配置入方向的SA  使用SPI值为54321
 sa string-key inbound esp cipher %$%$kerE(q-se7BvE0Hy>c!=,.2n%$%$    //设置SA配置的 加密密钥(注意,这里我写的明文密码是Huawei@123,自己根据需求定义,你按照正常的密码输入即可,使用命令: d th 他就会转换成密文)
 sa spi outbound esp 12345   //配置出方向的SA  使用SPI值为12345
 sa string-key outbound esp cipher %$%$kerE(q-se7BvE0Hy>c!=,.2n%$%$    //设置SA配置的 加密密钥(注意,这里我写的明文密码是Huawei@123,自己根据需求定义,你按照正常的密码输入即可,使用命令: d th 他就会转换成密文)
#
interface GigabitEthernet0/0/0
 ip address 1.1.1.1 255.255.255.0 
 ipsec policy cyly   //策略调用到接口
#
interface GigabitEthernet0/0/1
 ip address 10.1.1.1 255.255.255.0 
#
ip route-static 2.1.1.0 255.255.255.0 1.1.1.2   //配置一条目的地址是总部外网出口的静态路由
ip route-static 10.1.2.0 255.255.255.0 1.1.1.2  //配置一条目的地址是总部内网的静态路由
#
  1. 总部网关AR2配置
    配置和RA1一样,只是改变一下方向
# 
system
# 
undo in en
# 
sysname RB
# 
acl number 3001     //配置扩展ACL(3000-3999任意)
 rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255       //匹配从分支子网到总部子网的流量   permit 允许  any 禁止
#
ipsec proposal tran1     //设置ipsec提议,名字叫tran1 
 esp authentication-algorithm sha2-256   //设置ESP认证算法模式SHA-256
 esp encryption-algorithm aes-128    //指定ESP的加密算法模式AES-128
#
ipsec policy use 10 manual
 security acl 3001
 proposal tran1
 tunnel local 2.1.1.1
 tunnel remote 1.1.1.1
 sa spi inbound esp 12345
 sa string-key inbound esp cipher %$%$kerE(q-se7BvE0Hy>c!=,.2n%$%$
 sa spi outbound esp 54321
 sa string-key outbound esp cipher %$%$kerE(q-se7BvE0Hy>c!=,.2n%$%$
#
interface GigabitEthernet0/0/0
 ip address 2.1.1.1 255.255.255.0 
 ipsec policy use
#
interface GigabitEthernet0/0/1
 ip address 10.1.2.1 255.255.255.0 
#
ip route-static 1.1.1.0 255.255.255.0 2.1.1.2
ip route-static 10.1.1.0 255.255.255.0 2.1.1.2
#
  1. 验证
dis ipsec sa

![[Pasted image 20241103202246.png]]

IPSec隧道配置实验(手工方式
A soul tortured by desire
08-06 2713
实验目的: 采用手工方式建立IPSec隧道 组网需求: R1为企业总部出口路由,R2为企业分支出口路由,总部与分支通过公网建立通信。 企业希望对总部子网与分支子网之间相互访问的流量进行安全保护。总部与分支通过公网建立通信,可以在总部出口路由网关与分支出口路由网关之间建立一个IPSec隧道来实现安全保护。 配置操作: ******************R1企业总部************ <Huawei>sys Enter system view, return user vi
华为静态IPsec 手工模式
qq_35973969的博客
10-02 439
基础配置 R1 interface GigabitEthernet0/0/0 ip address 192.168.1.254 255.255.255.0 interface GigabitEthernet0/0/1 ip address 10.1.12.1 255.255.255.0 ip route-static 0.0.0.0 0.0.0.0 10.1.12.2 R2 interface GigabitEthernet0/0/0 ip address 10.1.12.2 255.255.255.
iPsec搭建使用
12-13
主要讲的是IPsec的搭建,非常详细,图解配文字,一般人都看得懂吧
数通--IPsec VPN隧道搭建配置实验
m0_74313947的博客
01-21 3161
左右R2,R3分别配置静态路由,这里的0.0.0.0 0.0.0.0 100.1.1.1 ,意思就是不管是要去哪个ip地址都转发到100.1.1.1。这里有个细节,也就是边缘路由器需要在内侧配置网关,这里重点就是内侧,也就是边缘路由器的内网接口,而acl要配到外侧(靠近目的地的一端)为什么要进行NAT豁免,当一个网关配置了防火墙 ,NAT ,IPsec VPN时,会先走NAT,也就是先走NAT的acl。,而后走VPN的acl,所以NAT豁免的目的就是不走NAT的规则而走VPN的规则。
建立最简单的点对点IPSec隧道
sunzhen的专栏
06-04 1527
<br />对于需要加密的网络通讯,有很多种选择,比如各种VPN: L2TP/IPSec VPN, PPTP, SSL<br /><br /> 下面实现的是一个最简单的点对点IPSec隧道,简单的以至于好像网上都找不大着。。。可能我找的不大对,L2TP和各种VPN网关的倒是找到不少。。。<br /><br />这种方式就是通过设定本机IP安全策略,对进出本机中的特定的网络通信,进行安全协商,并建立IPSec隧道来实现安全通信。<br /> 而安全协商的过程,就是在规则启用后,发出的第一个包自动开始。<b
隧道篇 / IPsec】(7.0) ❀ 01. 利用向导快速建立IPsec安全隧道 (点对点) ❀ FortiGate 防火墙
防火墙技术专栏
04-10 5743
很多人都认为配置防火墙的IPsec VPN是一件非常复杂的工程,其实在FortiGate防火墙上进行配置,是一件无比简单的事情,因为它有很多向导把你的操作简单化了。不信?跟我来看看吧。
IPSec简单实验-手工建立
weixin_43421779的博客
07-31 312
ensp
手工方式建立IPSec隧道示例.zip
03-27
ensp手工方式建立IPSec隧道示例
HCIE-Security Day27:IPSec:实验(二)两个网关之间通过手工方式创建IPSec PN隧道
小梁的博客
03-20 1065
手工方式ipsec安全策略所有的安全参数都需要手工配置,配置工作量大,因而适用于小型静态环境。 需要用户分别针对出入方向sa手工配置认证/加密密钥、spi等参数,并且隧道两端的这些参数都需要镜像配置,即本段的入方向sa参数必须和对端的出方向sa参数一样,本端的出方向sa参数必须和对端的入方向sa参数一样。 需求和拓扑 网络A和网络B之间采用网关对网关组网模式进行资源传输。网络A和网络B分别通过FW_A和FW_B连接到Internet。网络环境描述如下: 网络A属于10.1.1.0/24子网.
配置采用手工方式建立IPSec隧道
最新发布
ducanwang的博客
01-16 1008
分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。# 在Router上配置ACL,定义由总部10.1.2.0/24去分支10.1.1.0/24的数据流。# 在AC上配置ACL,定义由分支10.1.1.0/24去总部10.1.2.0/24的数据流。所示,AC为公司分支网关,Router为公司总部网关,分支与总部通过公网建立通信。分别在AC和Router的接口上引用各自的安全策略,使接口具有IPSec的保护功能。配置IPSec安全提议,定义IPSec的保护方法。
IPSec 隧道技术--基础实验配置
正月十六工作室
04-26 2万+
IPSec VPN基础实验配置 IPSec 简介 (Internet Protocol Security)是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。 # IPSec架构 IPSec VPN体系结构主要由AH(Authentication Header)、ESP(Encapsulating Security Payload)和IK.
ipsec的搭建
weixin_34361881的博客
05-19 1363
ipsec简介IPSec(InternetProtocolSecurity)是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的***。在通信中,只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows 2000、Windows XP 和 Windows Server 2003 家族中,IPSec 提供了一种...
自己服务器上搭建虚拟专用网络(超级详细图文并茂,从安装到连接,PS:本文章仅作学术交流使用)
A465366918的博客
10-12 1万+
本篇文章将详细记录我在CentOS 7虚拟机上使用Docker搭建IPsec VPN服务器的全过程。通过本教程,您将了解从环境准备、安装配置到最终调试的详细步骤,帮助您顺利完成VPN的搭建。
建立点到多点的IPSec隧道(IKE安全策略方式
友人A的博客
07-09 3179
主机PC1与PC2、PC3之间可以安全的通信,PC2、PC3通过USG5500A进行安全通信,USG5500A与USG5500B、USG5500C之间使用IKE自动协商建立安全通道,USG5500B、USG5500C不直接建立任何IPSec连接。 USG5500A与USG5500B、USG5500C均为固定公网地址。
L2TP/IPSEC搭建详细步骤
热门推荐
goinggo的博客
09-12 2万+
长沙分公司访问北京总公司的办公OA业务,本文利旧总公司的linux服务器搭建L2TP/IPSEC打通两地内网,达到安全访问的目的。
IPsec 实操配置(隧道模式)
weixin_62248541的博客
04-16 1万+
文章目录 目录 文章目录 前言 一、实验环境 二、实验步骤 1.配置全网可达 2.配置ACL识别兴趣流 3.配置安全提议 进入AR1和AR3分别配置安全提议(AR1与AR3需做相同的配置) 4.创建安全策略 分别在AR1和AR3上创建安全策略,在安全策略中就可以调用之前所配置的acl和安全提议(均选择手工配置) 配置SA(安全联盟),实现IPsec对等体之间相关安全参数的协商 配置共享认证密钥 5.应用安全策略 6.抓包验证(Wireshark) 总结 前言 我的第.
路由器基础(十二):IPSEC VPN配置
limengshi138392的博客
11-04 1万+
路由器基础(十二):IPSEC VPN配置
隧道篇 / IPsec】(7.0) ❀ 02. 两端都是ADSL拨号宽带建立IPsec连接 (点对点) ❀ FortiGate 防火墙
防火墙技术专栏
04-12 4264
上一篇文章我们介绍了在两边都有可以远程的公网IP的情况下,用向导快速的建立IPsec安全隧道。但是如果用的是ADSL拨号宽带,每次连接都会变更IP,那么IPsec肯定会经常断开,有什么好办法解决吗?...
IPSEC建立过程(简)
kuaizai__的博客
09-25 6630
IPSEC建立过程 文章目录IPSEC建立过程阶段一:阶段一支持两种协商模式:主模式:野蛮模式:阶段二快速模式共有3条消息完成双方IPSec SA的建立。主模式和野蛮模式的区别主模式包含三次双向交换,用到了六条信息。野蛮模式只用到三条信息 阶段一: 目的是建立IKE SA (ISAKMP SA) 建立后对等体间所有的IKE消息都将通过加密和验证 阶段一支持两种协商模式: 主模式: 三个交换步骤: 协商对等体之间使用IKE安全提议 1/2数据
使用IPsec虚拟隧道接口建立IPsec安全隧道
12-07
IPsec(Internet Protocol Security)是一种网络协议,用于提供对互联网协议(如IP)数据包的加密和身份验证,以增强网络安全。虚拟隧道接口(VTI,Virtual Tunnel Interface)是IPsec的一种应用场景,它允许你在本地网络上创建一个虚拟接口,通过这个接口可以建立IPsec安全隧道。 使用VTI建立IPsec安全隧道的过程通常包括以下几个步骤: 1. **配置接口**:首先,在Linux系统中,你可以创建一个新的网络接口,比如`vti0`,并分配一个IPv4地址。 ```bash sudo ip link add vti0 type tunnel mode gre key <encryption_key> sudo ifconfig vti0 up ``` 这里,`<encryption_key>`是一个预共享密钥,用于初始化安全关联。 2. **设置IPsec**:然后,你需要配置IPsec SA(Security Association),定义安全关联的细节,包括使用的加密算法、认证算法等,并指定另一个端点的IP地址作为目标地址。 ```bash sudo ipsec proposal add <proposal_name> esp-aes-cbc esp-sha-hmac sudo ipsec policy add target <remote_ip> spi <spi_number> Proposal <proposal_name> ``` 3. **连接隧道**:最后,将新创建的VTI与外部网络关联起来,通常通过IKE(Internet Key Exchange)协商安全参数。 ```bash sudo ipsec connect <tunnel_name> left=vti0 right=<remote_address> auto=start ``` 完成上述步骤后,就成功地在本地网络与远程网络之间建立IPsec安全隧道,所有通过这个接口的数据都会受到加密保护。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网工菜鸟-小陈

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值