IPSEC的原理及配置步骤整理(一)

已于 2022-08-10 14:38:12 修改
阅读量6.3k 收藏 44
点赞数 2
文章标签: 网络 IPSEC
于 2022-08-10 11:14:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60444349/article/details/126262459
版权


1.概念理清
IPSEC封装模式:封装模式是指将AH或ESP相关的字段插入到原始IP报文中,以实现对报文的认证和加密,封装模式有传输模式和隧道模式两种。

2.传输模式和隧道模式比较

安生性:隧道模式高,可以完全对原始IP数据进行加密和验证,在隧道模式下可以隐藏内部IP地址,协议类型和端口。
性能:传输模式高,因隧道模式比传输模式多了一个额外的IP头。
应用场景:隧道模式常用于二个VPN网关设备的通信,即常说的点对点或点对多点,传输模式常用于二个主机之间的通信。

3.IPSEC VPN配置

第一部分 配置IPSEC VPN
3.1 定义感兴趣流(要通过IPSEC进行加密的数据,须结合实际的业务需要对ACL规则进行精细化配置)
   #
   acl number 3000
   rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
   rule 10 permit ip source address-set 192.168.1.0/24 destination address-set FTP
   #
3.2 ipsec proposal 创建IPSEC安全提议

作用:保护数据安全
(1)配置封装协议(有AH、ESP和AH-ESP三种);(2)封装模式,隧道或转输;(3)封装协议采用的加密码算法;(4)封装协议采用的认证算法;
*AH没有加密,只有认证;ESP有加密和认证。


   如:
   #
   ipsec proposal prop14723114665  #创建名称为prop14723114665的安全提议
   encapsulation-mode auto  #模式为自动,华为默认是隧道模式。
   @transform ah            #配置安全提仪采用的安全协议,默认是ESP。AH没有加密功能。
   esp authentication-algorithm sha2-256  #配置ESP采用的认证算法(对数据进行完整性检查),sha2-256
   esp encryption-algorithm aes-256       #ESP对数据进行数据加密,加密算法aes-256
   #
3.3 创建IKE PROPOSAL(IKE安全提议)
*******Ike就是用来创建和更新密钥的协议,用于IKE SA的协商,IPsec双方使用协商好的IKE SA去对IPsec SA的协商进行保护
(1)配置IKE的加密算法;(2)配置IKE的认证算法;(3)配置认证方式;(4)配置DH组,默认14
  #
  ike proposal 1      #创建名称为1的ike proposal
  encryption-algorithm aes-256   #加密算法为aes-256
  dh group14  #协商密钥的过程,使用2048位的DH算法做保护
  authentication-algorithm sha2-256    #认证算法
  authentication-method pre-share      #认证方式,配置为预共享密钥,可选还有签名、证书认证。
  (可选)integrity-algorithm hmac-sha2-256    #完整性算法,默认配置
  (可选)prf hmac-sha2-256    #PRF算法,默认设置
  #
3.4 IKE Peer
  (1)设置预共享密钥的密码;(2)配置远程VPN局点的公网IP地址;(3)引用ike安全提议;(4)配置信息交换模式(主、野蛮模式);(5)开启NAT穿越(nat traversal)
  #
  ike peer ike147231146655
  exchange-mode auto    #ike对等体信息交换模式为自动模式,且默认是主模式,当双方都有固定公网IP时,建议使用主模式(Main)。若有一方是自动获取IP,使用野蛮模式(Aggressive)
  pre-shared-key %^%#{@6Q%J8<-C)cZ/U`17[4B\[22H&7>ZhfB:DRx0,R%^%#   #配置预共享密钥的密码,二端必须保持一致,否则会导致协商失败。
  ike-proposal 1     #将ike安全提议与ike peer绑定
  (可选)remote-id-type none   #不用设置
  (可选)dpd type periodic     #不用设置
  remote-address 200.1.1.1   #指定远端设备公网IP地址
  #
3.5 ipsec policy 创建ISAKMP方式IPSec安全策略
  一个ipsec policy可与多个对端的IPSEC POLICY建立不同的隧道。
  (1)引用acl;(2)引用ike peer;(3)引用IPSEC PROPOSAL(ipsec安全提议)

  #
  ipsec policy ipsec1472311463 1 isakmp   #创建名称为ipsec1472311463 序号为1
  security acl 3000     #引用acl,将感兴趣流与ipsec policy绑定
  ike-peer ike147231146655   #将ike对等体与ipsec policy绑定
  proposal prop14723114665   #将安全提议与ipsec policy绑定,一个ISAKMP方式IPSec安全策略最多可以引用12个IPSec安全提议
  (可选)tunnel local applied-interface #配置IPSec隧道的本端地址
  (可选)alias WJ #别名
 (可选) sa trigger-mode auto
  (可选)sa duration traffic-based 10485760
  (可选)sa duration time-based 3600
  #
3.6 将IPSEC POLICY应用到接口上
  #
  interface GigabitEthernet1/0/0
  ip address 100.1.1.1 255.255.255.0
  service-manage ping permit
  ipsec policy ipsec1472311463
  #
3.7 创建自定义服务,对外网放行UDP 500端口(IPSEC中的ike协议采用此端口发起和响应协商),在有NAT穿越的场景下,还要放开4500端口。
 ip service-set isakmp type object
 service 0 protocol udp source-port 500 destination-port 500
 service 0 protocol udp source-port 4500 destination-port 4500
第二部分  配置安全策略放行VPN和yewo流量  
  #
security-policy
 rule name VPN
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  source-address 100.1.1.1 mask 255.255.255.255
  source-address 200.1.1.1 mask 255.255.255.255
  destination-address 100.1.1.1 mask 255.255.255.255
  destination-address 200.1.1.1 mask 255.255.255.255
  service isakmp          #允许访问isakmp服务
  service protocol 50     #放行ESP服务,协议号是50;AH协议号是51;GRE协议号是47
  action permit
 rule name yewo
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  source-address address-set 192.168.1.0/24
  source-address address-set 192.168.2.0/24
  destination-address address-set 192.168.1.0/24
  destination-address address-set 192.168.2.0/24
  action permit
第三部分 配置NAT策略
*为了解决防火墙作为NAT设备代理所有内网用户上网,需要将VPN业务的流量不作NAT转换处理。把VPN的NAT策略放在最上面,然后再是普通内网用户的上网NAT转换策略。
#
nat-policy
 rule name VPN
  source-zone trust
  destination-zone untrust
  source-address address-set 192.168.1.0/24
  source-address address-set ftp
  destination-address address-set 192.168.2.0/24
  destination-address address-set ftp
  action no-nat
 rule name shangwang
  source-zone trust
  destination-zone untrust
  action source-nat easy-ip
#

文件皆一印
关注
  • 2
    点赞
  • 44
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
华为路由器 IPSec VPN 配置
一直被模仿,从未被超越
05-31 7890
上面的网络情况跟生产环境基本一致。我们要在 R1 跟 R2 之间配置 IPSec VPN,实现上海与成都两地内网互通。PC1 不能访问 PC2,反之也是。PC1能访问 R2 的外网地址。PC2能访问 R1 的外网地址。一、首先完成网络配置。1、R1 路由器设置。二、配置 IPSec。1、R1 路由器设置。2、R2 路由器设置。
实验二十七 IPSec配置
qq_59621600的博客
01-07 1666
实验二十七 IPSec配置
【All In One】一文详解IPsec隧道
诗酒趁年华
04-29 801
IPsec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,用于在不安全的网络上(一般是互联网),建立安全的网络通信,一个很常见的场景就是,我们可以通过IPsec隧道将分公司和总部的内网连接起来,使分支的员工安全的访问总部的资源,按照传统的做法,公司需要租用运营商的专线,专门拉一条网线将总部和分公司组网,虽然更安全,体验更好,但这个价格也灰常的恐怖。当没有感兴趣的流量时,那么隧道最终被会被拆除,只有下次系统检测到感兴趣的流量来临时,隧道才会重新建立。
IPsec案例
fairy_xp的博客
04-12 399
某5G优享项目,为保证数据安全传输,客户预建立Ipsec传输隧道,在实施方案的设计过程中发现移动核心网侧只能配置Tunnel模式,而隧道客户侧深信服5GUPF下沉配置的是Acl模式,配置模式不匹配,因此不能建立传输隧道。(注:在5G UPF下沉建立IPSec隧道时只能使用tunnel模式)
IPSec配置
凯歌响起的博客
08-23 1301
案例配置拓扑 案例拓扑需求 R1和PC1模拟分公司,R2和PC2模拟总公司,配置分公司和总公司通过IPSec VPN互联. 设备之间互联的IP如图所示; 在R1和R2上分配配置NAT,允许内网用户能够通过NAT访问Internet; 在R1和R2上分别配置IPSec VPN,实现分公司和总公司互访; 案例配置思路 根据拓扑配置IP地址 R1 Router#conf ter Router(config)#hostname R1 R1(config)#int fa0/1
IPsec简单实验-IKE协商
weixin_43421779的博客
07-31 562
IKE动态协商
华为ensp防火墙ipsec
热门推荐
西北纵队
11-22 1万+
菊厂防火墙ipsecvpn 1)调试设备IP地址,防火墙有些策略限制会导致即使配置了正确的路由,也不能使得公网通,这就需要我们进行调试设备;一个是关于接口的ping服务是否打开,二是关于安全策略是否允许区域间流量流动; 拓扑图的IP地址配置在图上已经标好,按照图示配置即可 地址配好,将会出现一个问题,防火墙的编号最小的接口将不会存在直连路由,哪怕你提前配置了一条往公网的静态默认路由,都不会显示在转发录音表中,这是因为防火墙默认有一个vpn模型在他的g0/0/0接口上,把他undo即可 [FW2-Gigab
关于IPsec原理及应用的整理
最新发布
06-21
关于IPsec原理及应用的整理
华为ipsec ike协商配置.rar
04-22
本资源是以ensp模拟器形式搭建的一...总共用了3台路由器,中间一台做充当转发器,其他两台进行ipsec搭建,并配置静态路由指向中间路由器。如需要学习的,可自行下载进行参考。ip什么的,就自己配置吧,我就不多操作了。
ipsec原理与实现的学习笔记,自己整理
11-08
ipsec原理与实现的学习笔记,自己整理
ipsec原理总结
03-15
"IPsec 原理总结" IPsec(Internet Protocol Security)是一种广泛使用的网络安全协议,旨在为 IP 网络提供高安全性特性。IPsec 技术原理包括两个主要部分:Authentication Header(AH)协议和 Encapsulated ...
GRE Over IPSec配置及抓包分析.doc
05-20
GRE Over IPSec配置及抓包分析.doc
IPSec配置与实验
qq_43710889的博客
03-28 3508
IPSec配置与实验 IPSec缺省配置 参数 缺省配置 IKE协商时的本端名称 设备本地名称。 发送NAT Keepalive报文时间间隔 20秒。 IKE安全提议 系统缺省提供了一条优先级最低的IKE安全提议 IPSec安全提议 系统没有配置IPSec安全提议。 SA触发方式 自动触发方式。 IKE SA硬生存周期 86400秒。 全局IPSec SA硬生存周期 基于时间:3600秒。基于流量:1843200千字节(1800兆)。 对解密报文进行ACL检查 未
IPSec
wwt2014的博客
03-04 465
IPsec学习笔记 目录 IPsec学习笔记 虚拟专用网络简介 IPSec概述 通信安全要求 SA SA的建立方式 安全协议 AH协议 ESP协议 IPSec数据传输模式 传输模式 隧道模式 ...
手把手教您配置IPSec安全策略(转)
cuankuangzhong6373的博客
05-24 4662
网络的安全性已经成为大家关注的焦点。由于在IP协议设计之初并没过多考虑安全问题,因此早期的网络中经常发生遭受攻击或机密数据被窃取等问题。为了增强网络的安全性,IP安全(IPSec)协议应运而生。Windows 2000/XP/2...
IPsec知识
极客神殿
04-07 1379
[1] (英语:Internet Protocol Security,缩写为IPsec),是一个协议包,透过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。 中文名 互联网安全协议 外文名 Internet Protocol Security 本 质 开放标准的框架结构 作 用 保障网络安全 缩 写 IPsec 学 科 通信工程 ...
IPSEC建立过程
时九博客
10-27 8315
IPSEC建立过程如下: 详细参考3GPP     33.402        IKEv2 协议由两个阶段的交互过程组成。第一阶段称为 IKE_SA_INIT 交换,第二阶段称为 IKE_AUTH 交换  IKE_SA_INIT:确认对方使用的算法、产生密钥   ---交换SA(加密、完保算法、伪随机数生成函数)、KE(DH算法)----鉴权四元组   IKE_AUTH:身份验证、分配IP、
【译】IPSEC.CONF(5) - IPsec配置
u014089899的博客
05-30 5621
NAMEipsec.conf —— IPsec配置DESCRIPTIONipsec.conf指定了Openswan IPsec子系统的大多数配置和控制信息。include ipsec.*.conf 包含指定的配置文件CONN SECTIONSconn项定义了一个IPsec连接的规范,名字可以随意定义。例如:conn snt left=10.11.11.1 leftsubnet=10...
IPsec ***数据传输过程
weixin_34117211的博客
09-14 426
以下是一个数据包经IPsec×××隧道的传送过程(如ICMP包),由左边的×××保护子网内的PC机向右边×××保护子网内的PC机传送数据时,左边PC发送的数据由左××× eth1内口接收后发现需要经过隧道,则把数据交由左ipsec0口加密(tunnel, ESP或AH),加完密后再由左eth0外口发送到右×××的eth0外口,右eth0外口收到数据发现需要解密,则由ip...
锐捷IPsec配置步骤加详细的命令
05-16
以下是锐捷IPsec配置步骤及命令详解: 1. 配置本地设备 首先需要在本地设备上配置IPsec参数,包括预共享密钥、加密算法、认证算法等。具体命令如下: ``` ipsec policy-template policy_name pre-shared-key key proposal proposal_name exit ``` 其中,policy_name是IPsec策略名称,可以自定义;key是预共享密钥,需要与远程设备保持一致;proposal_name是加密认证算法名称,也可以自定义,比如: ``` ipsec proposal proposal_name encryption-algorithm [aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | 3des-cbc | des-cbc] authentication-algorithm [md5 | sha1] lifetime seconds exit ``` 2. 配置远程设备 接下来需要配置远程设备,同样需要配置IPsec参数,包括预共享密钥、加密算法、认证算法等。具体命令如下: ``` ipsec peer peer_name ike-group ike_group_name pre-shared-key key proposal proposal_name local-address ip_address remote-address ip_address exit ``` 其中,peer_name是远程设备名称,可以自定义;ike_group_name是IKE协议参数组名称,需要与本地设备保持一致;key是预共享密钥,需要与本地设备保持一致;proposal_name是加密认证算法名称,需要与本地设备保持一致;local-address是本地设备IP地址;remote-address是远程设备IP地址。 3. 配置IPsec隧道 接下来需要配置IPsec隧道,将本地设备和远程设备连接起来。具体命令如下: ``` ipsec tunnel tunnel_name ipsec peer peer_name local-iface interface remote-iface interface policy policy_name no shutdown exit ``` 其中,tunnel_name是IPsec隧道名称,可以自定义;peer_name是远程设备名称,需要与前面配置的名称保持一致;interface是本地或远程设备的接口名称;policy_name是前面配置IPsec策略名称。 4. 验证IPsec隧道状态 配置完成后,可以通过以下命令来验证IPsec隧道状态: ``` show ipsec tunnel ``` 如果隧道状态为up,则表明IPsec隧道已经建立成功,可以进行数据传输。 以上就是锐捷IPsec配置步骤及命令详解,希望对您有所帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值