IPsec VPN

已于 2024-04-19 12:56:10 修改
阅读量579 收藏 15
点赞数 24
文章标签: 网络
于 2024-04-17 20:44:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68698993/article/details/137887106
版权

互联网安全协议(Internet Protocol Security,IPSec)

ipsec是一个协议包,通过对IP协议的分组进行加密和认证来保护IP协议的协议簇

IPSec主要由以下协议组成:

一、认证头(AH)

为IP数据报提供:

1.无连接数据完整性

2.消息认证

3.防重放攻击保护

二、封装安全载荷(ESP)

提供:

1.机密性

2.数据源认证

3.无连接完整性

4.防重放

三、安全关联(SA),提供算法和数据包,提供AH、ESP操作所需的参数。

四、密钥协议(IKE),提供对称密码的钥匙的生存和交换。

工作模式(封装模式)传输模式:实现端到端的保护

                                    隧道模式:实现站点到站点的保护

密钥管理:通过手工配置、ike协商模式

实验:

注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此类推;另外,同一网段中,IP 地址的主机位为其设备编号。这里MSR36-20_1的g0/0配置ip为192.168.1.1 为PC_4的网关,MSR36-20_3的g0/1接口ip配置为192.168.2.1为PC_5的网关

实验需求

  1. 按照图示配置 IP 地址
  2. 在 R1 和 R3 上配置默认路由连通公网
  3. 在 R1 和 R3 上配置 IPsec VPN,使两端私网可以互相访问

实验解法

  1. 配置 IP 地址部分略

  2. 配置默认路由部分略

  3. 在 R1 和 R3 上配置 IPsec VPN,使两端私网可以互相访问

    步骤 1:在 R1 上创建感兴趣流,匹配两端私网地址网段

    [R1]acl advanced 3000
[R1-acl-ipv4-adv-3000]rule per ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

    步骤 2:在 R1 上创建 IKE 提议,配置验证模式为预共享密钥,并配置加密算法

    [R1]ike proposal 1
[R1-ike-proposal-1]authentication-method pre-share
[R1-ike-proposal-1]encryption-algorithm aes-cbc-128

    步骤 3:在 R1 上创建预共享密钥

    [R1]ike keychain r3
[R1-ike-keychain-r3]pre-shared-key address 100.2.2.3 key simple 123456

    步骤 4:在 R1 上创建 IKE Profile,指定本端和对端公网地址,并调用预共享密钥和 IKE 提议

    [R1]ike profile r3
[R1-ike-profile-r3]keychain r3
[R1-ike-profile-r3]local-identity address 100.1.1.1 
[R1-ike-profile-r3]match remote identity address 100.2.2.3
[R1-ike-profile-r3]proposal 1

    步骤 5:在 R1 上创建IPsec 转换集,配置加密和验证算法。由于工作模式默认是隧道模式,且协议默认使用 ESP,所以无需配置

    [R1]ipsec transform-set r3
[R1-ipsec-transform-set-r3]esp authentication-algorithm sha1
[R1-ipsec-transform-set-r3]esp encryption-algorithm aes-cbc-128

    步骤 6:在 R1 上创建 IPsec 策略,调用上述配置

    [R1]ipsec policy r3 1 isakmp 
[R1-ipsec-policy-isakmp-r3-1]security acl 3000
[R1-ipsec-policy-isakmp-r3-1]ike-profile r3
[R1-ipsec-policy-isakmp-r3-1]transform-set r3
[R1-ipsec-policy-isakmp-r3-1]remote-address 100.2.2.3

    步骤 7:在 R1 的公网接口上下发 IPsec 策略

    [R1-GigabitEthernet0/0]ipsec apply policy r3

    步骤 8:在 R3 上完成 IPsec 相关配置,方法和命令与 R1 一致,本端和对端地址对调即可

    效果测试:在 PC4 上 Ping PC5,可以直接 Ping 通

    <PC4>ping 192.168.2.5
Ping 192.168.2.5 (192.168.2.5): 56 data bytes, press CTRL_C to break
56 bytes from 192.168.2.5: icmp_seq=0 ttl=253 time=26.000 ms
56 bytes from 192.168.2.5: icmp_seq=1 ttl=253 time=29.000 ms
56 bytes from 192.168.2.5: icmp_seq=2 ttl=253 time=34.000 ms
56 bytes from 192.168.2.5: icmp_seq=3 ttl=253 time=52.000 ms
56 bytes from 192.168.2.5: icmp_seq=4 ttl=253 time=25.000 ms
#痴心绝对
关注
  • 24
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
基于HCL模拟器华三设备IPsec vpn的配置实验
WANGMH13的博客
08-01 5197
基于HCL模拟器华三设备IPsec vpn的配置实验
基于华三HCL模拟器IPSec VPN组网与配置
MAY的博客
05-23 5608
IPsec在互联网中提供端到端的数据报通信安全,通过加密和认证方式保护IP数据报及其封装的数据。IPsec是一个框架协议,包括AH、ESP、SA、IKE等协议。IPsec可以采用直接传输和隧道封装两种模式工作,在通过互联网承载的站点间VPN中通常采用隧道模式。隧道模式是将原始IP数据报作为有效载荷封装在IPsec报头里。
【华三】IPsec VPN 实验配置(地址固定)
2301_77161465的博客
01-09 2017
本篇讲的是新华三的IPsec VPN的配置,场景是在两端IP地址都是在固定的情况下,里面的配置都有加注释,较友好
H3C-防火墙L2TP VPN的配置方法(华三)
m0_68265458的博客
04-10 1036
H3C-防火墙L2TP VPN的配置方法(华三)
【华三】IPsec VPN 实验配置(动态地址接入)
2301_77161465的博客
01-09 1661
本篇文章是关于新华三的IPsec VPN的实验配置,里面的场景是一段的IP地址是动态接入的情况下,里面的配置和两端地址固定的配置有一些些不同,然后解释的也很详细,易懂
HCL模拟器IPSec VPN实验
最新发布
05-13
HCL模拟器IPSec VPN实验
深信服IPSec VPN MIG 4.3用户手册
05-04
深信服IPSec VPN MIG 4.3用户手册
GRE Over IPSec配置及抓包分析.doc
05-20
GRE Over IPSec配置及抓包分析.doc
wireshark1.12和IPSec详解
03-13
内含低版本wirshark(1.12wendows server 2003可用),以及点对点搭建IPSec教程详解(网上搜集之后整理)
ipsec源代码
03-06
ipsec源代码的实现,非常流行的strongswan ikev2,lgplliesecs
h3c登录客户端
08-28
这个是中大的h3c客户端,不太确定在其他的大学可以使用否,直接下载安装就可以了
H3C防火墙及IPsec综合实验
qq_45049184的博客
03-08 6176
我们知道IPsec需要配置感兴趣流来抓取本端私网到达对端私网的流量,NAT转换抓取的同样也是本端私网流量,且NAT的优先级高于IPsec的优先级,如此一来会导致需要被IPsec封装的流量被NAT抓取且当做正常流量导向了公网。所以为了避免这种情况,我们需要在用于匹配NAT的ACL再加上一条ACL用于匹配IPsec的感兴趣流,成功匹配则将其丢弃,这样即使访问对端私网的流量到达了NAT也会被其丢弃,同时也不会影响NAT的正常工作。按照拓扑图所示配置,业务网段全配置在设备的loopback接口,配置过程略。
H3C IPsec VPN 野蛮模式配置
bfq05234214的博客
03-10 1108
野蛮模式配置公网地址固定的一端: 1.配置IKE fqdn2.创建IKE Proposal(提议),配置IKE的加密和验证算法,验证方法3.创建和配置预共享密钥,使用主机名标识对方身份4.创建IKE Profile(档案),配置为野蛮模式,调用前面创建的Proposal和Keychain,指定对端的FQDN5.创建IPsec转换集,配置IPsec的工作模式,封装协议,验证和加密算法6.创建IPsec策略模板,调用前面创建的IKE Profile,IPsec转换集 7.创建IPsec策略,绑定前面创建的模板
华三防火墙建立IPSEC VPN和NAT穿越问题(大学生易读版)
qq_74338624的博客
12-28 1126
其中华三防火墙4和5分别为防火墙两端,不采用华三防火墙和思科路由器建立VPN的原因是加密协议不匹配,在R3的上面作为有8.8.8.8作为isp。
【华三】GRE VPN 实验配置
2301_77161465的博客
02-05 1609
VPN :(Virtual Private Network),即“虚拟专用网络”。它是一种通过公用网络(通常是互联网)建立安全加密连接的技术,可以在不安全的公共网络上建立起加密通道,将网络数据加密传输,从而实现数据传输的加密、安全和隐私保护而GRE(Generic Routing Encapsulation),即通用路由封装协议。提供了将一种协议的报文封装在另一种协议报文中的机制,是一种三层隧道封装技术,使报文可以通过GRE隧道透明的传输,解决异种网络的传输问题。
【HCL】ipsec over gre配置
weixin_48243271的博客
08-08 929
HCL中,ipsec over gre配置过程。
H3C HCL MPLS 2层专线实验
chenjijun1139的博客
11-06 907
HCL模拟器很奇怪,有时候2台路由器配置了同网段IP以后还是PING不通,得重启路由器才能PING通。 实验拓扑图: IGP路由选OSPF和ISIS做路由渗透 路由器的LOOP 路由器id设置: [H3C]int loop 0 [H3C-LoopBack0]ip ad [H3C-LoopBack0]ip address 1.1.1.1 32 [H3C-LoopBack0]q [H3C]router id [H3C]router id 1.1.1.1 3个路由器类似配置 R1路由器IP和OSPF设置 [r1
hcl的ipsec野蛮模式配置
qq_44933518的博客
11-30 2452
1.实验拓扑 2.需求 r2作为DHCP server,给r3和r4分配ip 路由器上的环回口地址作为业务地址, 总部分别和分部r3、分部r4建立vpn隧道,采用ipsec vpn的野蛮模式 3.分析 由于R3和R4的ip不是固定的,所以只能使用ipsec 的野蛮模式,无法使用ipsec的主模式 注:这个实验,我只注重配置IPSec vpn,没有配置NAT,所以 ...
hcl的ipsec实验
qq_44933518的博客
11-27 2571
1.实验拓扑: 2.需求 1.总公司和分公司通过IPSec VPN连接 2.总公司和分公司都能访问外网 3.需求分析 1.这个实验既要实现vpn连接,也要实现外网的连接,则需要写两条acl,分别作为ipsec的感兴趣流和外网流量的匹配 2.这个实验的难点在于IPSec VPN的配置,IPSec VPN的配置复杂,而且VPN两边参数不一致,会导致VPN无法建立 4.配置步骤 注:这个步骤主要讲解IPSec VPN的配置,我这里演示的只有IPSec VPN的其中一种方法,而且为了配置简单,有些参数就直接使用了
FW1与RT2之间用Internet互联地址建立GRE Over IPSec VPN,实现Loopback4之间IPv4加密访问配置并用DCN的格式
06-08
好的,以下是根据DCN格式的FW1与RT2之间建立GRE Over IPSec VPN的配置示例,以实现Loopback4之间IPv4加密访问: ``` // FW1配置 interface Tunnel0 description GRE to RT2 ip address 10.1.1.1 255.255.255.0 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值