网络安全之IPSEC路由基本配置

最新推荐文章于 2024-05-14 19:58:56 发布
最新推荐文章于 2024-05-14 19:58:56 发布
阅读量1.7k 收藏 37
点赞数 47
文章标签: web安全 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61869253/article/details/136666527
版权

目录

网络安全之IPSEC路由基本配置

IPSEC配置的前提分析

协议分析

传输模式分析​编辑

IPSEC路由中的配置

图谱图

配置公网可达

R1配置IKE SA的安全提议

R1配置 IKE SA 的身份认证信息

R3配置IKE SA的安全提议

R3配置 IKE SA 的身份认证信息

R1配置IPSEC的安全提议

R1配置感兴趣流

R1配置安全策略集

R3配置IPSEC的安全提议

R3配置感兴趣流

R3配置安全策略集

在接口调安全策略集

启动

测试

网络安全之IPSEC路由基本配置

IPSEC配置的前提分析

协议分析

传输模式分析![](https://img-

blog.csdnimg.cn/283d22ae8fda426a8a582b2af4c15a0e.png)

IPSEC路由中的配置

图谱图

注意:

此场景为私网之间配置

配置公网可达

R1

ISP

R3

配置静态路由使得公网可达

[R1]ip route-static 192.168.2.0 24 100.1.1.2
[R1]ip route-static 200.1.1.0 24 100.1.1.2

[R3]ip route-static 100.1.1.0 24 200.1.1.1
[R3]ip route-static 192.168.1.0 24 200.1.1.1
R1配置IKE SA的安全提议
[R1]ike proposal 1 --- 选择安全提议编号
[R1-ike-proposal-1]encryption-algorithm ?
  3des-cbc     168 bits 3DES-CBC 
  aes-cbc-128  Use AES-128
  aes-cbc-192  Use AES-192
  aes-cbc-256  Use AES-256
  des-cbc      56 bits DES-CBC --- 比较弱,一般不选
[R1-ike-proposal-1]encryption-algorithm 3des-cbc 

[R1-ike-proposal-1]authentication-algorithm ? --- 认证加密算法
  aes-xcbc-mac-96  Select aes-xcbc-mac-96 as the hash algorithm
  md5              Select MD5 as the hash algorithm
  sha1             Select SHA as the hash algorithm
  sm3              Select sm3 as the hash algorithm
[R1-ike-proposal-1]authentication-algorithm sha1 --- 选择哈希算法

[R1-ike-proposal-1]authentication-method ? --- 认证模式
  digital-envelope  Select digital envelope  key as the authentication method
  pre-share         Select pre-shared key as the authentication method
  rsa-signature     Select rsa-signature key as the authentication method
[R1-ike-proposal-1]authentication-method pre-share  --- 域共享

[R1-ike-proposal-1]dh ? --- 选择DH算法
  group1   768 bits Diffie-Hellman group
  group14  2048 bits Diffie-Hellman group
  group2   1024 bits Diffie-Hellman group
  group5   1536 bits Diffie-Hellman group
[R1-ike-proposal-1]dh group5 --- 一般选2以上强度,1太低

[R1-ike-proposal-1]sa duration ? --- 安全联盟周期
  INTEGER<60-604800>  Value of time(in seconds), default is 86400
[R1-ike-proposal-1]sa duration 3600
R1配置 IKE SA 的身份认证信息
[R1]ike peer 1 ? --- 选择ike版本
  v1    Only V1 SA's can be created
  v2    Only V2 SA's can be created
  <cr>  Please press ENTER to execute command 
[R1]ike peer 1 v1 

[R1-ike-peer-1]exchange-mode ? --- 选择模式
  aggressive  Aggressive mode --- 野蛮
  main        Main mode --- 主模式
[R1-ike-peer-1]exchange-mode main --- 主模式

[R1-ike-peer-1]pre-shared-key ? --- 预共享密钥
  cipher  Pre-shared-key with cipher text --- 本地不加密
  simple  Pre-shared-key with plain text --- 本地加密
[R1-ike-peer-1]pre-shared-key cipher 123

[R1-ike-peer-1]ike-proposal 1 --- 调用安全提议编号

[R1-ike-peer-1]remote-address 200.1.1.2 --- 对方IP

野蛮模式配置

ike peer yyy v1
exchange-mode aggressive //设置为野蛮模式
pre-shared-key simple 999
ike-proposal 1
local-id-type name //定义本地ID为name
remote-name kkk //远程ID是 kkk
remote-address 200.1.1.1
R3配置IKE SA的安全提议
[R3]ike proposal 1
[R3-ike-proposal-1]encryption-algorithm 3des-cbc 
[R3-ike-proposal-1]dh group5
[R3-ike-proposal-1]authentication-algorithm sha1
[R3-ike-proposal-1]sa duration 3600
[R3-ike-proposal-1]q
R3配置 IKE SA 的身份认证信息
[R3]ike peer 1 v1
[R3-ike-peer-1]exchange-mode main 
[R3-ike-peer-1]pre-shared-key cipher 123
[R3-ike-peer-1]ike-proposal 1
[R3-ike-peer-1]remote-address 100.1.1.1
[R3-ike-peer-1]
R1配置IPSEC的安全提议
[R1]ipsec proposal 1  --- 选择安全协议号
[R1-ipsec-proposal-1]

[R1-ipsec-proposal-1]transform ? --- 选择封装协议
  ah      AH protocol defined in RFC2402
  ah-esp  ESP protocol first, then AH protocol
  esp     ESP protocol defined in RFC2406
[R1-ipsec-proposal-1]transform esp  --- 选择ESP协议

[R1-ipsec-proposal-1]esp authentication-algorithm ? --- 选择认证算法
  md5       Use HMAC-MD5-96 algorithm
  sha1      Use HMAC-SHA1-96 algorithm
  sha2-256  Use SHA2-256 algorithm
  sha2-384  Use SHA2-384 algorithm
  sha2-512  Use SHA2-512 algorithm
  sm3       Use SM3 algorithm
[R1-ipsec-proposal-1]esp authentication-algorithm sha2-512

[R1-ipsec-proposal-1]esp encryption-algorithm ? --- 加密算法
  3des     Use 3DES
  aes-128  Use AES-128
  aes-192  Use AES-192
  aes-256  Use AES-256
  des      Use DES
  sm1      Use SM1
  <cr>     Please press ENTER to execute command 	
[R1-ipsec-proposal-1]esp encryption-algorithm aes-128

[R1-ipsec-proposal-1]encapsulation-mode tunnel  --- 选择隧道模式

[R1]display ipsec proposal — 查询配置的IPSEC

R1配置感兴趣流
[R1]acl 3000
[R1-acl-adv-3000]rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.1
68.2.0 0.0.0.255
R1配置安全策略集
[R1]ipsec policy k 1 ? --- 选择协议
  isakmp  Indicates use IKE to establish the IPSec SA
  manual  Indicates use manual to establish the IPSec SA
  <cr>    Please press ENTER to execute command 
[R1]ipsec policy k 1 isakmp  --- 定义安全策略编号与协议

[R1-ipsec-policy-isakmp-k-1]proposal 1 --- 调用IPSEC SA 提议

[R1-ipsec-policy-isakmp-k-1]ike-peer 1 --- 调用身份认证信息

[R1-ipsec-policy-isakmp-k-1]security acl 3000 --- 调用感兴趣流
R3配置IPSEC的安全提议
[R3]ipsec proposal 1

[R3-ipsec-proposal-1]transform esp 

[R3-ipsec-proposal-1]esp authentication-algorithm sha2-512	

[R3-ipsec-proposal-1]esp encryption-algorithm aes-128

[R3-ipsec-proposal-1]encapsulation-mode tunnel
R3配置感兴趣流
[R3]acl 3000

[R3-acl-adv-3000]rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.1
68.1.0 0.0.0.255
R3配置安全策略集
[R3]ipsec  policy k 1 isakmp 

[R3-ipsec-policy-isakmp-k-1]proposal 1

[R3-ipsec-policy-isakmp-k-1]ike-peer 1

[R3-ipsec-policy-isakmp-k-1]security acl 3000
在接口调安全策略集
[R1-GigabitEthernet0/0/1]ipsec policy k

[R3-GigabitEthernet0/0/0]ipsec policy k
启动

测试

最后

从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。

因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。

干货主要有:

①1000+CTF历届题库(主流和经典的应该都有了)

②CTF技术文档(最全中文版)

③项目源码(四五十个有趣且经典的练手项目及源码)

④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)

⑤ 网络安全学习路线图(告别不入流的学习)

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

扫码领取

python-qing
关注
  • 47
    点赞
  • 37
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CMD下的网络安全配置命令
01-10
这些命令又可分成三类:网络检测(如Ping)、网络连接(如Telnet)和网络配置(如Netsh)。前面两种相对简单,本文只介绍两个网络配置工具。 Netsh 在远程Shell中使用Netsh首先要解决一个交互方式的问题。前面说过,...
网络工程师之路由交换hw命令手册第二部分文档
03-27
文档内容包含: ...终端访问安全、AAA 和 RADIUS、防火墙和包过滤、IPSec 和加密卡、IKE 协议的配置命令。 第 9 部分 VPN。主要介绍 VRP1.74 提供的 VPN 配置命令,包括 L2TP、 GRE 协议的配置命令。
IPSEC VPN配置
m0_71264131的博客
04-14 656
只有在RD状态才表明IKE SA建立成功,其他任何状态都是没有建立成功的。可以看到使用的IPSEC安全策略、IPSEC工作模式、隧道本地和对端IP。3.配置IPSEC VPN实现两端私网互通。Protocol是IPSEC使用的安全协议。2.配置静态路由以保证两端互通。1.正确配置各个IP地址。
建立点到多点的IPSec隧道(IKE安全策略方式)
友人A的博客
07-09 2088
主机PC1与PC2、PC3之间可以安全的通信,PC2、PC3通过USG5500A进行安全通信,USG5500A与USG5500B、USG5500C之间使用IKE自动协商建立安全通道,USG5500B、USG5500C不直接建立任何IPSec连接。 USG5500A与USG5500B、USG5500C均为固定公网地址。
IPsec VPN简介
最新发布
m0_66993332的博客
05-14 1091
IPsec的工作流程,IKE的两个阶段
IPsec-×××路由模式
weixin_34353714的博客
04-12 225
实验IPsec-×××配置 实验步骤: 1.首先配置R1的ip地址和默认路由并且ping能ping通20.0.0.2,ping不通192.168.20.1,A配置R2的ip地址配置R3的IP地址和默认路由2.下面我们要配置IPsec×××有两个阶段,在R1上配置首先配置第一个...
CCIE理论-IPSec的主模式和野蛮模式的区别
weixin_48137911的博客
12-01 3380
版本1的IKEV1早期是不支持NAT-T的(NAT穿越),现在都支持了,野蛮模式一直支持。但是野蛮模式,有安全风险,他的身份认证是在第一第二个包里, 而且是明文的!主模式里面,前4个包都是裸奔的,第5个包用来做身份认证,这个是加密的。其实这个不算在数通里面,因为IPsec安全的技术。这个角度来看,野蛮模式更快,更加节省设备的资源。突然想到这个就写这个了,面试或者考试会问这个。一个是 IKEv1,一个 IKEv2。那么在版本1的阶段1有两个模式。一个叫主模式,一个叫野蛮模式。主模式一共有6个数据包的交互。
基于linux的ipsec之路.pptx
03-03
IPSEC 之路包括 Tunnel 的建立、IPSEC 协议的配置和 StrongSwan 的使用。 本文详细介绍了基于 Linux 的 IPSEC 之路,包括 Tunnel 概念、Linux Tunnel 模式、IPSEC 协议和 StrongSwan 等相关知识点,为读者提供了一...
H3C网络安全 案例手册 (66个案例).rar
08-23
SecPath安全产品在双出口下通过策略路由实现负载分担的典型配置pdf SecPath安全产品在线升级 BootRom的典型配置,pdf SecPath安全产品在线升级VRP主机软件的典型配置pdf SecPath安全产品做 FTP Server的典型配置pdf ...
CMD下的网络安全配置.doc
11-09
除了这些基本的命令,CMD下的网络安全配置还涉及到IPSec(Internet Protocol Security),这是一种更高级的安全机制,用于保护网络通信。IPSec不仅比TCP/IP筛选更灵活,而且功能更强大。在Windows XP中,可以使用`...
配置RIPng路由协议使网络互联.pdf
02-01
配置RIPng路由协议使网络互联 RIPng(IPv6 Routing Information Protocol next generation)是IPv6网络中的一种路由协议,它基于RIPv2协议,用于在IPv6网络中进行路由选择和更新。下面是RIPng路由协议的详细知识点...
华为IPSec实验.zip
07-19
总部与分支机构之间建立IPSec VPN(总部采用固定IP,分部...配置基于路由IPSec VPN(采用预共享密钥认证) VPN高可用性-主备链路冗余 VPN高可用性-设备冗余 IPSec预共享密钥身份验证 Efficient VPN - 使用的路由
疫情下基于手机的IPv6网络安全实验技术与教学应用.pdf
09-19
教学应用方面,教师可以设计一系列层次分明的实验,从基础的IPv6地址配置路由学习,到复杂的加密协议分析和安全策略实施。通过实际操作,学生能更好地理解理论知识,如IPsec(IP安全协议)在IPv6中的应用,以及...
网络设备安全配置规范.docx
06-10
这份19页的规范涵盖了设备的安全机制和配置建议,旨在确保网络设备免受潜在威胁,保障网络安全。 **第一部分:设备的安全机制** 1. **访问控制**:Cisco设备提供了严格的访问控制策略,如限制远程登录的并发会话...
路由器基础(十二):IPSEC VPN配置
limengshi138392的博客
11-04 8516
路由器基础(十二):IPSEC VPN配置
IPsec VPN 的基本配置
这是一个网络小菜鸡的笔记本,欢迎大家前来纠错。
05-15 3090
B公司是A公司的异地分公司,现要求公司内网可以互相通信,并且要保证数据的安全。R1 模拟公网部分。网络地址规划如下:A公司内网为 192.168.10.0/24B公司内网为 192.168.20.0/24A公司运营商公网网段 10.8.6.0/30B公司运营商公网网段 10.8.6.4/30。
2. 详解 IPSEC 的认证模式、主模式和野蛮模式
热门推荐
weixin_38387929的博客
06-02 1万+
一. 基本名词解释 1. IPSec 对等体 IPSec 用于在两个端点之间提供安全的 IP 通信,通信的两个端点被称为 IPSec 对等体。 2. 安全联盟 SA(Security Association)安全联盟定义了 IPSec 通信对等体间将使用哪种摘要和加密算法、什么样的密钥进行数据的安全转换和传输。SA 是单向的,在两个对等体之间的双向通信,至少需要两个 SA。SA 由一个三元组来唯一标识,这个三元组包括安全参数索引 SPI(Security Parameter Index)、目的 IP 地址、
Ipsec路由课程设计
03-31
IPsec是一种网络安全协议,用于保护IP数据包的机密性、完整性和身份验证。它提供了一种安全的通信方式,使得网络数据传输过程中可以得到保护,防止数据被非法截获和篡改。IPsec协议可用于VPN连接、远程访问、网关到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值