IPSec VPN配置实验

最新推荐文章于 2024-05-14 19:58:56 发布
最新推荐文章于 2024-05-14 19:58:56 发布
阅读量3.2k 收藏 92
点赞数 32
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66993332/article/details/136538031
版权

什么是IPSec VPN?

        IPSec VPN其实就是一种基于互联网协议安全(IPSec)的虚拟私人网络技术,它通过在IP层加密和认证数据包来确保数据传输的安全性。

IPSec VPN的主要特点包括:

  1. 安全性:IPSec提供了强大的安全性,它使用加密算法来保护数据,防止窃听和篡改。IPSec支持多种加密算法,包括但不限于64位以上密钥长度的对称密码算法、768位以上密钥长度的基于整数因子分解的非对称密码算法或128位以上密钥长度基于椭圆曲线的非对称密码算法。
  2. 端到端通信:IPSec能够确保端到端的通信安全,这意味着数据在从源头到目的地的整个传输过程中都是安全的。在IPv6中,IPSec成为了内嵌的标准化IP安全协议,进一步提升了通信的安全性。
  3. 云连接的关键:IPSec VPN被认为是云连接的关键技术,尽管SSL VPN在某些场景下可以作为替代方案,但IPSec仍然是许多用户的首选。特别是在管理混合云架构时,IPSec提供了一种可靠的连接方式。

        需要注意的是,尽管IPSec VPN提供了高度的安全性,但它也可能成为黑客攻击的目标。例如,深信服VPN设备曾被境外国家级黑客用作突破口,导致大量VPN服务器被控制。因此,部署IPSec VPN时,还需要考虑到设备的安全管理和持续的监控,以防止潜在的安全威胁。
        总的来说,IPSec VPN是一种广泛使用的VPN技术,它在确保远程连接安全方面发挥着重要作用。无论是企业还是个人用户,在选择VPN解决方案时,都应该根据自己的需求和安全要求来选择合适的VPN类型。
        IPSec是一个框架,它不是具体指某个协议,而是定义了一个框架,由各种协议组和协商而成。该框架涉及到的主要有加密算法、验证算法、封装协议、封装模式、密钥有效期等等。IPSecVPN建立的前提:要想在两个站点之间安全的传输IP数据流,它们之间必须要先进行协商,协商它们之间所采用的加密算法,封装技术以及密钥。分为两个阶段,第一个是建立管理连接,第二个阶段是建立数据连接。

阶段一:
在两个对等体设备之间建立一个安全的管理连接。没有实际的数据通过这个连接。这个管理连接是用来保护第二阶段协商过程的。

阶段一需要协商的内容:

1.双方使用什么加密算法进行加密(des、3des、aes)
2.摘要(完整性)认证的方式(MD5、SHA)
3.采用的密钥共享方式(预共享密钥,CA数字签名、公钥认证)
4.使用的密钥强度DH组(越大加密强度越高)
5.管理连接生存时间(默认一天,单位秒)
6.协商模式(主模式或积极模式)

阶段二:
当对等体之间有了安全的管理连接之后,它们就可以接着协商用于构建安全数据连接的安全参数,这个协商过程是安全的,加密的。协商完成后,将在两个站点间形成安全的数据连接。

阶段二需要协商的内容:

1.传输模式(隧道模式还是传输模式)
2.封装技术(ESP、AH)
3.传输过程中数据的加密方式(des、3des、aes)
4.传输过程中数据的认证方式(MD5、SHA)
5.定义感兴趣(定义需要使用IPSec的流量)

这里我就采用较为清晰、简单的方式来进行实验。
IPSec 配置实验如下图

先进行基础配置保证全网可达: 

AR1
<Huawei>sys
[Huawei]sys ar1
[ar1]int g0/0/0
[ar1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[ar1-GigabitEthernet0/0/0]int g0/0/1
[ar1-GigabitEthernet0/0/1]ip add 12.1.1.1 24 
[ar1-GigabitEthernet0/0/1]quit
[ar1]ip route-static 0.0.0.0 0 12.1.1.2

AR2
<Huawei>sys
[Huawei]sys ar2
[ar2]int g0/0/0
[ar2-GigabitEthernet0/0/0]ip add 12.1.1.2 24 
[ar2-GigabitEthernet0/0/0]int g0/0/1
[ar2-GigabitEthernet0/0/1]ip add 23.1.1.2 24
[ar2-GigabitEthernet0/0/1]quit
[ar2]ip route-static 172.16.1.0 24 23.1.1.3 
[ar2]ip route-static 192.168.1.0 24 12.1.1.1

AR3
<Huawei>sys
[Huawei]sys ar3
[ar3]int g0/0/0
[ar3-GigabitEthernet0/0/0]ip add 172.16.1.254 24
[ar3-GigabitEthernet0/0/0]int g0/0/1
[ar3-GigabitEthernet0/0/1]ip add 23.1.1.3 24
[ar3-GigabitEthernet0/0/1]quit
[ar3]ip route-static 0.0.0.0 0 23.1.1.2

然后测试一下是否可达
 

一、配置ike提案
 

AR1
[ar1]ike proposal 1
[ar1-ike-proposal-1]encryption-algorithm aes-cbc-256
[ar1-ike-proposal-1]authentication-algorithm sha1
[ar1-ike-proposal-1]authentication-method pre-share 
[ar1-ike-proposal-1]dh group14
[ar1-ike-proposal-1]sa duration 1200
[ar1-ike-proposal-1]quit
 
AR3
[ar3]ike proposal 1
[ar3-ike-proposal-1]encryption-algorithm aes-cbc-256
[ar3-ike-proposal-1]authentication-algorithm sha1
[ar3-ike-proposal-1]authentication-method pre	
[ar3-ike-proposal-1]authentication-method pre-share 
[ar3-ike-proposal-1]dh group14
[ar3-ike-proposal-1]sa duration 1200
[ar3-ike-proposal-1]quit

配置ike邻居:

AR1
[ar1]ike peer 1 v2
[ar1-ike-peer-1]remote-address 23.1.1.3
[ar1-ike-peer-1]pre-shared-key s	
[ar1-ike-peer-1]pre-shared-key simple 123456789
[ar1-ike-peer-1]ike-proposal 1
[ar1-ike-peer-1]quit

AR3
[ar3]ike peer 1 v2
[ar3-ike-peer-1]remote-address 12.1.1.1 
[ar3-ike-peer-1]pre-shared-key simple 123456789
[ar3-ike-peer-1]ike-proposal 1

 二、定义感兴趣流(高级acl,需要从进行IPSec VPN的流量)

AR1
[ar1]acl 3000
[ar1-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 destination 172.16
.1.0 0.0.0.255
[ar1-acl-adv-3000]quit

AR3
[ar3]acl 3000
[ar3-acl-adv-3000]rule permit ip source 172.16.1.0 0.0.0.255 destination 192.168
.1.0 0.0.0.255
[ar3-acl-adv-3000]quit

定义IPSec提案

AR1
[ar1]ipsec proposal 1
[ar1-ipsec-proposal-1]encapsulation-mode tunnel
[ar1-ipsec-proposal-1]esp authentication-algorithm sha1
[ar1-ipsec-proposal-1]esp encryption-algorithm aes-256
[ar1-ipsec-proposal-1]quit

AR3
[ar3]ipsec proposal 1
[ar3-ipsec-proposal-1]encapsulation-mode tunnel
[ar3-ipsec-proposal-1]esp encryption-algorithm aes-256
[ar3-ipsec-proposal-1]esp authentication-algorithm sha1
[ar3-ipsec-proposal-1]quit

再定义IPSec策略

AR1
[ar1]ipsec policy 1 1 isakmp 
[ar1-ipsec-policy-isakmp-1-1]security acl 3000
[ar1-ipsec-policy-isakmp-1-1]proposal 1
[ar1-ipsec-policy-isakmp-1-1]ike-peer 1

AR3
[ar3]ipsec policy 1 1 isakmp 
[ar3-ipsec-policy-isakmp-1-1]security acl 3000	
[ar3-ipsec-policy-isakmp-1-1]proposal 1
[ar3-ipsec-policy-isakmp-1-1]ike-peer 1

 最后,将IPSec运用到接口

[ar1]int g0/0/1
[ar1-GigabitEthernet0/0/1]ipsec policy 1

[ar3]int g0/0/1 
[ar3-GigabitEthernet0/0/1]ipsec policy 1

配置完成之后,我们可以测试一下PC1 ping PC2 ,并且对AR1和AR2之间进行抓包分析。

可以得到一些被加密的数据
查看一下AR1上的阶段1和阶段2

以上就是该实验的全部过程

Healer。。
关注
  • 32
    点赞
  • 92
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IPSec 实验
A soul tortured by desire
07-13 2118
实验目的:通过模拟Internet,配置企业A与企业B之间建立IPSec 隧道,来实现企业PC之间互通; 第一步:联通性配置 配置AR1与AR3之间的静态路由,实现其企业A和企业B出口路由通过互联网互通; AR1: [AR1]ip route-static 20.1.1.0 24 10.1.1.2 AR3: [AR3]ip route-static 10.1.1.0 24 20.1.1.2 [AR3]ping 10.1.1.1 PING 10.1.1.1: 5...
华为IPSec实验.zip
07-19
总部与分支机构之间建立IPSec VPN(总部采用固定IP,分部...配置基于路由的IPSec VPN(采用预共享密钥认证) VPN高可用性-主备链路冗余 VPN高可用性-设备冗余 IPSec预共享密钥身份验证 Efficient VPN - 使用的路由器
东南大学网络工程与组网技术实验——GRE OVER IPSEC(VPN+安全)
07-04
此资源包含完整实验报告(加上你的学号姓名即可提交) 组网技术实验对于没有基础的同学真的太难了,没有答案寸步难行啊
IPsec VPN简介
最新发布
m0_66993332的博客
05-14 1209
IPsec的工作流程,IKE的两个阶段
IPSec VPN 基本配置实验(H3C)
kerio123的博客
04-15 1977
IPsec VPN指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
防火墙之IPSec VPN实验
晚风挽着浮云的博客
06-03 2966
指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
防火墙之ipsec vpn实验
qq_45817424的博客
04-02 1万+
防火墙之ipsec vpn项目介绍项目拓扑项目需求配置命令isp路由器配置:分公司防火墙(FW1)配置:接口配置ip和接口划入区域的配置ipsec相关配置:安全策略的配置:nat的配置总公司防火墙FW2配置:接口配置ip和接口划入区域的配置ipsec相关配置:安全策略的配置:nat配置实验结果注意事项 项目介绍 分公司与总公司之间要建立安全的私网通信,且为了减少资金的投入,所以要建立点对点的ipsec vpn(专线太贵)通信。他是通过公网的流量,所以加密级别根据需要而设定。 项目拓扑 项目需求 1:分
IPsec VPN 实验
m0_63645854的博客
04-10 1393
IPsec VPN实验
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
ensp经典13个实验案例
05-07
实验1 mstp 实验2 vrrp配置 实验3 ospf高级配置 实验4 MSTP+VRRP+OSPF...实验10 GRE VPN配置 实验11 高级手工配置参数的ipsec vpn 实验12 基于IKE主模式的IPSEC VPN 实验13 MPLS LDP的配置 实验14BGP MPLS VPN配置
基于华三HCL的web下H3C防火墙在NAT代理内网上网情景中配置IPsecVPN站点间互联
04-15
HCL配置实验!适用于H3C防火墙配置学习 在防火墙代理内网上网的情境下,完成与分支总部的IPSE互联 具体配置可见实验内文字说明。 防火墙用户名:admin 密码:TEST@123456 实验拓扑中HOST_1用于直连本地网卡 进行...
IPSec over GRE -Tunnel口
12-01
本文将通过实验环境,详细介绍 IPSec over GRE Tunnel 的实现过程和技术原理。 首先,实验环境使用 Win7 下的 GNS3,R1 和 R2 使用 NM-4E 和 NM-1FE-TX,Internet 使用 NM-4E,PC1 和 PC2 使用 VPC 模拟。实验的...
IPSEC VPN配置
m0_71264131的博客
04-14 791
只有在RD状态才表明IKE SA建立成功,其他任何状态都是没有建立成功的。可以看到使用的IPSEC安全策略、IPSEC工作模式、隧道本地和对端IP。3.配置IPSEC VPN实现两端私网互通。Protocol是IPSEC使用的安全协议。2.配置静态路由以保证两端互通。1.正确配置各个IP地址。
Ipsec *** 配置实验
Leo's Blog
05-17 344
网络拓扑:R0配置:ISP>enISP#sh runBuilding configuration...Current configuration : 707 bytes!version 15.1no service timestamps log datetime msecno service timestamps debug datetime msecno servic...
IPsec VPN实验
m0_46681256的博客
07-31 646
该框架涉及到的主要有加密算法、验证算法、封装协议、封装模式、密钥有效期等等。当对等体之间有了安全的管理连接之后,它们就可以接着协商用于构建安全数据连接的安全参数,这个协商过程是安全的,加密的。IPSecVPN建立的前提:要想在两个站点之间安全的传输IP数据流,它们之间必须要先进行协商,协商它们之间所采用的加密算法,封装技术以及密钥。3.采用的密钥共享方式(预共享密钥,CA数字签名、公钥认证)3.传输过程中数据的加密方式(des、3des、aes)2.摘要(完整性)认证的方式(MD5、SHA)
基于IPSec的×××配置实验
weixin_34244102的博客
07-05 171
一、搭建实验环境: DynamipsGUI、SecureCRT、unzip-c3640-ik9o3s-mz.124-10.bin的CiscoIOS镜像文件 R1模拟分部路由器,R2模拟Internet, R3模拟总部路由器。 并且在R1及R3上使用回环接口模拟各自内部局域网主机 具体IP地址及路由如下: R1: fa0/0:1...
数通--IPsec VPN隧道搭建配置实验
m0_74313947的博客
01-21 1734
左右R2,R3分别配置静态路由,这里的0.0.0.0 0.0.0.0 100.1.1.1 ,意思就是不管是要去哪个ip地址都转发到100.1.1.1。这里有个细节,也就是边缘路由器需要在内侧配置网关,这里重点就是内侧,也就是边缘路由器的内网接口,而acl要配到外侧(靠近目的地的一端)为什么要进行NAT豁免,当一个网关配置了防火墙 ,NAT ,IPsec VPN时,会先走NAT,也就是先走NAT的acl。,而后走VPN的acl,所以NAT豁免的目的就是不走NAT的规则而走VPN的规则。
ipsec 基础实验
qq_40390383的博客
10-14 622
R1环回1.1.1.1 R3环回3.3.3.3 R2为公网 R1与R2的环回通过ipsec vpn 通信 效果 R1 crypto isakmp policy 10 encr 3des authentication pre-share group 5 crypto isakmp key 6 ccie address 23.0.0.1 ! ! cr...
防火墙Ipsec vpn配置
热门推荐
zljszn的博客
10-19 1万+
FW1-object-service-set-ike]service protocol udp destination-port 500 //添加IKE的服务,因为IKE的服务使用的事udp的500端口。rule name trust-untrust(双向访问,所以需要允许trust访问untrust区域,也需要允许untrust访问trust区域)4. 防火墙桥接物理网卡,开启网管界面,具体桥接的方式就不在介绍了,之前的文章有具体讲解ENSP怎么桥接物理网卡。ipsec配置(FW2也一样)
华为防火墙ipsec对接华三防火墙
11-01
华为防火墙与华三防火墙之间的IPSec对接,是指通过IPSec协议实现两个防火墙之间的安全通信和数据传输。下面是一个简单的说明步骤: 1. 配置华为防火墙:首先,在华为防火墙上配置与华三防火墙对接的IPSec通道。配置包括选择合适的IPSec策略、安全参数和加密算法等,确保与对端的配置一致。 2. 配置华三防火墙:在华三防火墙上同样配置与华为防火墙对接的IPSec通道,确保配置参数与华为防火墙相匹配。 3. 建立IPSec连接:在配置完成后,华为防火墙和华三防火墙会自动尝试建立IPSec连接。在此过程中,会进行握手协商、密钥交换等安全认证步骤,确保连接的安全性。 4. 验证连接:在建立连接后,需要验证IPSec连接是否成功。可以通过查看连接状态、查看日志等方式进行验证。 5. 配置安全策略和访问控制:建立了IPSec连接后,可以根据实际需求配置安全策略和访问控制,确保通过该连接的数据传输符合安全要求。 需要注意的是,IPSec连接的建立需要确保两端的配置一致,包括加密算法、认证方法、密钥长度等,否则将无法建立可靠的连接。同时,还需要保证防火墙的固件版本和硬件性能满足IPSec对接的要求。 通过IPSec对接,华为防火墙和华三防火墙可以实现安全可靠的通信和数据传输,提高网络的安全性和稳定性,确保企业的信息安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值