IPsec (主模式,野蛮模式)

已于 2023-02-12 16:13:45 修改
阅读量2k 收藏 5
点赞数
分类专栏: H3CSE实验 文章标签: 网络 网络协议 运维 Powered by 金山文档
于 2023-02-04 10:44:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74341869/article/details/128879352
版权

主模式

客户需求:

R1 和 R3 上配置 IPsec VPN,使两端私网可以互相访问

#配置ip地址

[r1]inter g0/0
[r1-GigabitEthernet0/0]ip add 100.1.1.1 24
[r1-GigabitEthernet0/0]inter g0/1
[r1-GigabitEthernet0/1]ip add 1.1.1.1 24
[r1]ip route-static 0.0.0.0 0 100.1.1.2

#创建高级ACL 3000 抓取允许源为1.1.1.0网段的访问2.2.2.0网段

[r1]acl advanced 3000
[r1-acl-ipv4-adv-3000]rule permit ip source1.1.1.0  0.0.0.255 destination2.2.2.0  0.0.0.255
[r1-acl-ipv4-adv-3000]qu
[r1]ikeproposal 1   //创建ikeproposal(提议) 名称为1
[r1-ike-proposal-1]qu  
[r1]ike keychain r1   //创建ike keychain密钥名称为r1
[r1-ike-keychain-r1]pre-shared-key address200.1.1.1 key simple 123  //配置预共享密钥
密码为123(两边密码要一致)
[r1]ike profile r1    //创建一个IKE profile (模板)名称为r1
//[r1-ike-profile-r1]exchange-mode aggressive(野蛮模式)/main(主模式)//设置使用模式,默认是主模式
[r1-ike-profile-r1]keychain r1    //配置采用预共享密钥认证时,所使用的keychain
[r1-ike-profile-r1]proposal 1     //配置IKE profile引用的IKE提议
[r1-ike-profile-r1]local-identity address100.1.1.1   //指定IPsec隧道的本端IP地址
[r1-ike-profile-r1]match remote identityaddress 200.1.1.1  //指定IPsec隧道的对端IP地址
[r1]ipsec transform-set tran1    //创建IPsec安全提议tran1
//#[r1-ipsec-transform-set-tran1]protocol esp/ah/ ah-esp  //指定所用协议,默认是esp
//#[r1-ipsec-transform-set-tran1]encapsulation-mode tunnel(隧道模式)/transport(传输模式)  默认使用隧道模式
[r1-ipsec-transform-set-tran1]espauthentication-algorithm md5  //配置ESP认证算法为MD5
[r1-ipsec-transform-set-tran1]espencryption-algorithm 3des-cbc  //配置ESP协议采用的加密算法为3des-cbc (两端认证和加密算法要一致)
[r1]ipsec policy r1 1 isakmp(自动)/manual(手动) 创建一条自动方式的IPsec安全策略,名称为r1,序列号为1
[r1-ipsec-policy-isakmp-r1-1]security acl3000  //指定引用acl3000
[r1-ipsec-policy-isakmp-r1-1]ike-profile r1       //引用ike模板r1
[r1-ipsec-policy-isakmp-r1-1]transform-settran1   //指定引用的IPsec安全提议为tran1
[r1-ipsec-policy-isakmp-r1-1]remote-address200.1.1.1   //指定IPsec隧道对端IP地址
[r3]inter g0/0
[r3-GigabitEthernet0/0]ipsec apply policyr1  在出接口上应用IPsec安全策略r1
[r2]inter g0/0
[r2-GigabitEthernet0/0]ip add 100.1.1.2 24
[r2-GigabitEthernet0/0]inter g0/1
[r2-GigabitEthernet0/1]ip add 200.1.1.2 24
[r3]inter g0/0
[r3-GigabitEthernet0/0]ip add 200.1.1.1 24
[r3-GigabitEthernet0/0]inter g0/1
[r3-GigabitEthernet0/1]ip add 2.2.2.1 24
[r3]ip route-static 0.0.0.0 0 200.1.1.2

#创建高级acl 3000 抓取2.2.2.0 到1.1.1.0 网段的数据

[r3]acl advanced 3000
[r3-acl-ipv4-adv-3000]rule permit ip source2.2.2.0  0.0.0.255 destination1.1.1.0  0.0.0.255
[r3]ike proposal 1   //创建ike proposal (提议)名称为1
[r3-ike-proposal-1]qu
[r3]ike keychain r3  //创建ike keychain密钥为r3
[r3-ike-keychain-r3]pre-shared-key address100.1.1.1 key simple 123  //配置预共享密钥
密码为123(两边密码要一致)
[r3]ike profiler3               创建ike profile(模板) 名称为r3
[r3-ike-profile-r3]keychain r3    //配置采用预共享密钥认证时,所使用的keychain
[r3-ike-profile-r3]proposal 1     //配置IKE profile引用的IKE提议
[r3-ike-profile-r3]local-identity address200.1.1.1     //指定IPsec隧道的本端IP地址
[r3-ike-profile-r3]match remote identityaddress 100.1.1.1 //指定IPsec隧道的对端IP地址
[r3]ipsectransform-set tran1                    //创建IPsec安全提议tran1
[r3-ipsec-transform-set-tran1]espauthentication-algorithm md5   //配置ESP认证算法为MD5
[r3-ipsec-transform-set-tran1]espencryption-algorithm 3des-cbc  //配置ESP协议采用的加密算法为3des-cbc  (两端认证和加密算法要一致)
[r3]ipsec policy r3 1 isakmp //创建一条自动方式的IPsec安全策略,名称为r3,序列号为1
[r3-ipsec-policy-isakmp-r3-1]security acl3000     指定引用acl3000
[r3-ipsec-policy-isakmp-r3-1]ike-profile r3
[r3-ipsec-policy-isakmp-r3-1]transform-settran1     //指定引用的IPsec安全提议为tran1
[r3-ipsec-policy-isakmp-r3-1]remote-address100.1.1.1     //指定IPsec隧道对端IP地址
[r3]inter g0/0
[r3-GigabitEthernet0/0]ipsec apply policyr3   //在出接口上应用IPsec安全策略r3

私网之间可以互通

查看ike 的安全联盟 ipsec的安全联盟

重启ipsec进程

Reset ipsce sa

Reset ike sa

野蛮模式

客户需求:

WH,SH的公网地址不固定,由R2 dhcp动态分配

一端公网地址不固定,主模式不能用,所以只能用野蛮模式

实验步骤:

配置ip地址

[BJ]inter g0/0
[BJ-GigabitEthernet0/0]ip add 100.1.1.1 24
[BJ-GigabitEthernet0/0]inter g0/1
[BJ-GigabitEthernet0/1]ip add 192.168.1.124
[R2]inter g0/0
[R2-GigabitEthernet0/0]ip add 100.1.1.2 24
[R2-GigabitEthernet0/0]inter g0/1
[R2-GigabitEthernet0/1]ip add 100.2.2.2 24
[R2-GigabitEthernet0/1]inter g0/2
[R2-GigabitEthernet0/2]ip add 100.3.3.2 24
[SH]inter g0/1
[SH-GigabitEthernet0/1]ip add 192.168.2.124

公网接口暂不配置

[WH]inter g0/1
[WH-GigabitEthernet0/1]ip add 192.168.3.124

公网接口暂不配置

BJ上需要配置默认路由

[BJ]ip route-static 0.0.0.0 0 100.1.1.2

R2上配置DHCP,自动给SH WH分配公网地址,ip-pool 2代表给SH分配 3代表给WH分配

[R2]dhcp enable    //开启DHCP功能
[R2]dhcp server ip-pool 2   //创建地址池2
[R2-dhcp-pool-2]network 100.2.2.0 mask255.255.255.0   //配置分配地址段
[R2-dhcp-pool-2]gateway-list 100.2.2.2        //配置分配网关(R2对应接口的地址)
[R2-dhcp-pool-2]qu
[R2]dhcp server ip-pool 3      //创建地址池3
[R2-dhcp-pool-3]network 100.3.3.0 mask255.255.255.0   //配置分配地址段
[R2-dhcp-pool-3]gateway-list 100.3.3.2       //配置分配网关(R2对应接口的地址)

在SH WH的公网接口开启自动获取

[SH]inter g0/0
[SH-GigabitEthernet0/0]ip add dhcp-alloc
[WH]inter g0/0
[WH-GigabitEthernet0/0]ip add dhcp-alloc

查看可以看到,SH WH连接公网的接口分配到了公网地址

此时查看SH WH的路由表,可以看到有一条优先级为70的默认路由,优先级为70的默认路由来自DHCP,下一跳是网关

野蛮模式,固定公网地址方不用配置acl抓取感兴趣流,由不固定方配置acl抓取感兴趣流,固定方收到不固定方的感兴趣流,会自动调换源目地址,自动生成感兴趣流

野蛮模式因为地址不固定,所以必须配置ike名称

[BJ]ike identity fqdn bj   //创建ike名称
[BJ]ike proposal 1    //创建ike提议1
[BJ-ike-proposal-1]qu
两个目标时,Ike keychain密钥串名称不用创建两个,可以在一个密钥串里,创建两个不同主机名的密码
[BJ]ike keychain fz  //创建密钥串 名称为fz
[BJ-ike-keychain-fz]pre-shared-key hostnamesh key simple 123456 //配置sh的预共享密码123456
[BJ-ike-keychain-fz]pre-shared-key hostnamewh key simple 654321 //配置wh的预共享密码654321
[BJ]ike profile sh   //创建ike模板sh
[BJ-ike-profile-sh]exchange-mode aggressive  //模式修改为野蛮模式
[BJ-ike-profile-sh]match remote identityfqdn sh  //指定IPsec隧道的对端主机名为sh
[BJ-ike-profile-sh]proposal 1      //配置引用的IKE提议
[BJ-ike-profile-sh]keychain fz     //配置引用的IKE预共享密钥
[BJ]ike profile wh     //创建ike模板wh
[BJ-ike-profile-wh]exchange-modeaggressive  //模式修改为野蛮模式
[BJ-ike-profile-wh]match remote identityfqdn wh  //指定IPsec隧道的对端主机名为wh
[BJ-ike-profile-wh]proposal 1       //配置引用的IKE提议
[BJ-ike-profile-wh]keychain fz     //配置引用的IKE预共享密钥

如果wh sh所用的安全提议transform-set相同,则只需创建一个安全提议,共同引用

[BJ]ipsec transform-set fz    //创建一个安全提议 名称为fz
[BJ-ipsec-transform-set-fz]espauthentication-algorithm md5  //配置ESP认证算法为MD5
[BJ-ipsec-transform-set-fz]espencryption-algorithm des-cbc  //配置ESP加密算法为des-cbc

一个端口只能调用一个ipsec策略,所以需要创建ipsec策略模板,才能一个策略可以调用多个策略模板

创建sh的策略模板,并调用安全提议fz,IKE模板sh

[BJ]ipsec policy-template sh 1    //创建sh的ipsec策略模板1 
[BJ-ipsec-policy-template-sh-1]transform-setfz    //调用安全提议fz
[BJ-ipsec-policy-template-sh-1]ike-profilesh    //调用sh的ike模板sh

创建wh的策略模板,并调用安全提议fz,IKE模板wh

[BJ]ipsec policy-template wh 1    //创建wh的ipsec策略模板1 
[BJ-ipsec-policy-template-sh-1]transform-setfz   //调用安全提议fz
[BJ-ipsec-policy-template-sh-1]ike-profile wh   //调用sh的ike模板sh

创建ipsec策略名称为fz 1号规则自动协商引用策略模板sh

[BJ]ipsec policy fz 1 isakmp template sh

创建ipsec策略名称为fz 2号规则自动协商引用策略模板wh

[BJ]ipsec policy fz 2 isakmp template wh

最后进入出接口,下发fz策略

[BJ]inter g0/0
[BJ-GigabitEthernet0/0]ipsec apply policyfz

SH路由器上配置高级acl,抓取2.0到1.0的感兴趣流

[SH]acl advanced 3000
[SH-acl-ipv4-adv-3000]rule permit ip source192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[SH]ike proposal 1      //创建ike提议1
[SH-ike-proposal-1]qu 
[SH]ike identity fqdn sh     //创建ike名称
[SH]ike keychain bj   //创建密钥串 名称为bj
[SH-ike-keychain-bj]pre-shared-key address100.1.1.1 key simple 123456  //配置bj的预共享密码123456
[SH-ike-keychain-bj]qu
[SH]ike profile bj    //创建ike模板,名称bj
[SH-ike-profile-bj]exchange-mode aggressive  //修改模式为野蛮模式
[SH-ike-profile-bj]match remote identityfqdn bj  //指定IPsec隧道的对端主机名为bj
[SH-ike-profile-bj]proposal 1     //配置引用的IKE提议
[SH-ike-profile-bj]keychain bj   //配置引用的IKE预共享密钥
[SH]ipsectransform-set bj            //创建一个安全提议名称为bj
[SH-ipsec-transform-set-bj]espencryption-algorithm des-cbc  //配置ESP加密算法为des-cbc   
[SH-ipsec-transform-set-bj]espauthentication-algorithm md5 //配置ESP认证算法为MD5
[SH]ipsec policy bj 1 isakmp    创建ipsec策略名称为bj  1号规则自动协商
[SH-ipsec-policy-isakmp-bj-1]security acl3000     //指定引用acl3000
[SH-ipsec-policy-isakmp-bj-1]remote-address100.1.1.1  //指定IPsec隧道对端IP地址
[SH-ipsec-policy-isakmp-bj-1]transform-setbj    //指定引用安全提议bj
[SH-ipsec-policy-isakmp-bj-1]ike-profile bj     //指定引用IKE模板bj

出接口下发策略

[SH]inter g0/0
[SH-GigabitEthernet0/0]ipsec apply policybj

创建高级acl,抓取3.0到1.0的兴趣流

[WH]acl advanced 3000
[WH-acl-ipv4-adv-3000]rule permit ip source192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[WH]ike identity fqdn wh   //创建IKE名称wh
[WH]ike proposal 1      //创建IKE提议 1
[WH-ike-proposal-1]qu  
[WH]ike keychain bj    //创建密钥串 bj
[WH-ike-keychain-bj]pre-shared-key address100.1.1.1 key simple  654321  //配置bj的预共享密码654321
[WH]ike profile bj   //创建IKE模板
[WH-ike-profile-bj]exchange-mode aggressive   //修改模式为野蛮模式
[WH-ike-profile-bj]match remote identityfqdn bj   //指定IPsec隧道的对端主机名为bj
[WH-ike-profile-bj]keychain bj       //配置引用的IKE预共享密钥
[WH-ike-profile-bj]proposal 1    //配置引用的IKE提议
[WH]ipsec transform-set bj       //创建一个安全提议 名称为bj
[WH-ipsec-transform-set-bj]espauthentication-algorithm md5   //配置ESP认证算法为md5
[WH-ipsec-transform-set-bj]espencryption-algorithm des-cbc    //配置ESP加密算法为des-cbc     
[WH]ipsec policy bj 1 isakmp    //创建ipsec策略名称为bj  1号规则自动协商
[WH-ipsec-policy-isakmp-bj-1]security acl3000   //指定引用acl3000
[WH-ipsec-policy-isakmp-bj-1]remote-address100.1.1.1  //指定IPsec隧道对端IP地址
[WH-ipsec-policy-isakmp-bj-1]transform-setbj    //指定引用安全提议bj
[WH-ipsec-policy-isakmp-bj-1]ike-profile bj    //指定引用IKE模板bj

出接口下发bj策略

[WH]inter g0/0
[WH-GigabitEthernet0/0]ipsec apply policybj

配置完成,查看IKE安全联盟,IPsec安全联盟,建立成功

PC6 PC7可以访问PC5

七汣
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IPSEC:新一代因特网安全标准
04-15
目 录 译者序 作者简介 前言 第一部分 概 论 第1章 加密历史与技术 1 1.1 加密历史 1 1.2 Internet的崛起 2 1.3 Internet的安全 3 1.4 加密工具 4 1.4.1 加密基础 4 1.4.2 机密性 5 1.4.3 对称加密算法 6 1.4.4 不对称加密算法 7 1.4.5 身份验证和完整性 8 1.4.6 身份验证 8 1.4.7 消息的完整性 9 1.4.8 密钥交换 10 1.4.9 Diffie-Hellman 10 1.4.10 RSA密钥交换 11 1.5 加密的概念 12 1.5.1 完美向前保密 12 1.5.2 服务否认 13 1.6 更多的资讯 13 第2章 TCP/IP综述 15 2.1 导引 15 2.2 TCP/IP入门 15 2.2.1 协议堆栈 15 2.2.2 数据流 17 2.2.3 网络层 18 2.2.4 IPv4 18 2.3 定址 18 2.3.1 IPv4头 20 2.3.2 IPv6 21 2.3.3 分段 23 2.3.4 ICMP 23 2.3.5 多播 24 2.3.6 传送层 24 2.4 域名系统 25 2.5 保密的层次 25 2.5.1 应用层 26 2.5.2 传送层 26 2.5.3 网络层 27 2.5.4 数据链路层 27 第3章 IP安全综述 28 3.1 结构 29 3.2 封装安全载荷 32 3.3 验证头(AH) 33 3.4 Internet密钥交换 34 第二部分 详细分析 第4章 IPSec体系 39 4.1 导引 39 4.2 IPSec发展规划 39 4.3 IPSec的实施 40 4.3.1 在主机实施 40 4.3.2 OS集成 41 4.3.3 堆栈中的块 41 4.3.4 在路由器中实施 41 4.4 IPSec模式 42 4.4.1 传送模式 43 4.4.2 通道模式 44 4.5 安全联盟 46 4.5.1 安全参数索引(SPI) 46 4.5.2 SA管理 47 4.5.3 创建 47 4.5.4 删除 48 4.5.5 参数 48 4.5.6 安全策略 49 4.5.7 选择符 50 4.6 IPSec处理 50 4.6.1 外出 50 4.6.2 进入 51 4.7 分段 52 4.8 ICMP 52 第5章 封装安全载荷(ESP) 53 5.1 ESP头 53 5.2 ESP模式 54 5.3 ESP处理 55 5.3.1 处理外出数据包 56 5.3.2 处理进入数据包 56 第6章 验证头(AH) 58 6.1 AH头 58 6.2 AH模式 59 6.2.1 传送模式 59 6.2.2 通道模式 60 6.3 AH处理 60 6.3.1 输出处理 60 6.3.2 输入处理 61 第7章 Internet密钥交换 63 7.1 ISAKMP 63 7.1.1 消息和载荷 64 7.1.2 交换和阶段 66 7.1.3 策略协商 68 7.2 IKE 70 7.2.1 主模式交换 73 7.2.2 野蛮模式交换 76 7.2.3 快速模式交换 77 7.2.4 其他IKE交换 79 7.3 IPSec DOI 80 7.4 小结 81 第三部分 配置问题 第8章 策略 83 8.1 导引 83 8.2 策略定义的要求 84 8.3 策略的表示与分布 85 8.4 策略管理系统 86 8.4.1 内核支持 86 8.4.2 IKE支持 87 8.5 配置 87 8.6 策略的设置 88 第9章 IPSec的实施 89 9.1 导引 89 9.2 实施结构 89 9.2.1 IPSec基本协议 90 9.2.2 SPD和SADB 90 9.2.3 IKE 92 9.2.4 策略管理系统 93 9.3 IPSec协议处理 93 9.3.1 外出处理 93 9.3.2 SPD处理 94 9.3.3 IKE处理 95 9.3.4 SA处理 95 9.3.5 传送模式头处理 95 9.3.6 ESP处理 95 9.3.7 AH处理 96 9.3.8 通道模式处理 96 9.3.9 多头处理 97 9.3.10 进入处理 98 9.4 分段和PMTU 100 9.4.1 主机实施 100 9.4.2 路由器实施 100 9.5 ICMP处理 102 第10章 实用IP安全技术 103 10.1 端到端安全 103 10.2 虚拟专用网络 104 10.3 Road warrior 105 10.4 嵌套式通道 106 10.5 链式通道 107 第11章 IPSec的未来 109 11.1 压缩 109 11.2 多点传送 111 11.2.1 源验证 112 11.2.2 密钥管理 113 11.2.3 多播通信的密钥管理 114 11.2.4 源多播密钥分配 116 11.2.5 MKMP 117 11.3 密钥恢复 120 11.4 L2TP 122 11.5 公共密钥结构 124
IPSec中pluto框架和函数接口
03-29
该文档主要用来介绍IPsec是模块中pluto的框架、基本原理简介、函数调用关系、主要函数接口说明。例如包含:主模式野蛮模式报文交互流程和函数接口、IKE协商、内核函数接口等
H3C IPsec VPN 野蛮模式配置
最新发布
bfq05234214的博客
03-10 1132
野蛮模式配置公网地址固定的一端: 1.配置IKE fqdn2.创建IKE Proposal(提议),配置IKE的加密和验证算法,验证方法3.创建和配置预共享密钥,使用主机名标识对方身份4.创建IKE Profile(档案),配置为野蛮模式,调用前面创建的Proposal和Keychain,指定对端的FQDN5.创建IPsec转换集,配置IPsec的工作模式,封装协议,验证和加密算法6.创建IPsec策略模板,调用前面创建的IKE Profile,IPsec转换集 7.创建IPsec策略,绑定前面创建的模板
ipsec抓包.rar
10-03
多种抓取的wireshark报文,其中附带密钥信息,可以直接使用wireshark进行报文解密。 抓取的类型包括:主模式野蛮模式,数字证书,预共享秘钥,多种加密套件,AH+ESP数据报文,IKEv1, IKEv2等多种场景和应用下的报文
H3C V7 ipsec主:野蛮模式配置脚本.pdf
08-30
H3C V7 ipsec主:野蛮模式配置脚本.pdf
IPsec+预共享密钥的IKE野蛮模式
zero_number的博客
10-21 4796
指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务 IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
CCIE理论-IPSec主模式野蛮模式的区别
weixin_48137911的博客
12-01 3228
版本1的IKEV1早期是不支持NAT-T的(NAT穿越),现在都支持了,野蛮模式一直支持。但是野蛮模式,有安全风险,他的身份认证是在第一第二个包里, 而且是明文的!主模式里面,前4个包都是裸奔的,第5个包用来做身份认证,这个是加密的。其实这个不算在数通里面,因为IPsec是安全的技术。这个角度来看,野蛮模式更快,更加节省设备的资源。突然想到这个就写这个了,面试或者考试会问这个。一个是 IKEv1,一个 IKEv2。那么在版本1的阶段1有两个模式。一个叫主模式,一个叫野蛮模式主模式一共有6个数据包的交互。
IPSec的三个协议和两种模式详解
热门推荐
weixin_45317091的博客
02-23 2万+
IKE协议是一种基于UDP的应用层协议,它主要用于SA协商和密钥管理。IKE协议属于一种混合型协议,它综合了ISAKMP(Internet Security Association and Key Management Protocol)、Oakley协议和SKEME协议这三个协议。其中,ISAKMP定义了IKE SA的建立过程,Oakley和SKEME协议的核心是DH(Diffie-Hellman)算法,主要用于在Internet上安全地分发密钥、验证身份,以保证数据传输的安全性。
IPsec野蛮模式出现的原因
qq_47529104的博客
05-02 2780
原因概述 其主要原因是因为在早期IKEv1的相关设备没有实现使用除了IP地址之外的其他标识符去表示一个IPsec隧道的一端,所以这就导致了动态IP地址的IPsec隧道的某一端出现了地址变动之后将无法重新建立IPsec隧道。我们在配置了IPsec的时候,如果没有特定地指定标识符,在报文中发送的identity都是在配置命令中指定的IP地址,这就导致IKEv1的主模式是无法根据它们的标识去找到对应的共享密钥(因为是动态地址,所以地址变换之后先前的配置就无法生效了),但是野蛮模式在早期支持使用除了IP地址的方式
2. 详解 IPSEC 的认证模式主模式野蛮模式
weixin_38387929的博客
06-02 1万+
一. 基本名词解释 1. IPSec 对等体 IPSec 用于在两个端点之间提供安全的 IP 通信,通信的两个端点被称为 IPSec 对等体。 2. 安全联盟 SA(Security Association)安全联盟定义了 IPSec 通信对等体间将使用哪种摘要和加密算法、什么样的密钥进行数据的安全转换和传输。SA 是单向的,在两个对等体之间的双向通信,至少需要两个 SA。SA 由一个三元组来唯一标识,这个三元组包括安全参数索引 SPI(Security Parameter Index)、目的 IP 地址、
安全防御------IPSec VPN篇
m0_63292411的博客
08-08 1358
本篇文章详细的讲解了IPSEC VPN的主要知识,概括了IPsec VPN的安全服务,技术架构,两种工作模式;还包含了ESP,AH,IKE的详细内容,还提到了DBD,IPSEC VPN的NAT和多VPN等问题。
IPSec野蛮模式产生原因
沉默的鹏先生
07-01 3528
在学习IPSec的时候发现野蛮模式在传输身份信息的时候是明文传输,就好奇为什么要用野蛮模式而不是主模式,主要原因还是因为IPSec早期的问题导致的。 在IPSec 早期由于主模式+预共享密钥认证方式下,IPSec需要通过对端IP地址来在本地查找预共享密钥,这种密钥查找方法在对端没有固定IP的情况下行不通,此时野蛮模式可以‘野蛮’的解决这个问题。 野蛮模式下身份信息没有加密,本端直接用对端发来的...
野蛮模式ipsec的典型组网和配置
weixin_34009794的博客
03-27 1767
野蛮模式ipsec的典型组网和配置 一.IPSec ×××技术原理 1.概述 虚拟专用网(×××)使得用户可以在开放的Internet上基于IPSec或PPTP/L2TP或SSL协议族的一系列加密认证以及密钥交换技术,构建一个安全的私有专网,具有同本地私有网络一样的安全性、可靠性和可管理性等特点,这样可以大大降低了企业/政府/科研机构等建设专门私有网络的...
IPSec主模式野蛮模式的区别
WFlySky的博客
11-24 1万+
ipsec的vpn隧道第一阶段建立方式分为主模式野蛮模式,这两个模式的主要区别在于进行IKE 协商的时候所采用的协商方式不同。 具体区别在于: 1、主模式在IKE协商的时候要经过三个阶段:SA交换、密钥交换、ID交换和验证;野蛮模式只有两个阶段:SA交换和密钥生成、ID交换和验证。 2、主模式一般采用IP地址方式标识对端设备;而野蛮模式可以采用IP地址方式或者域名方式标识对端设备。 因此相比较而言,主模式更安全,而野蛮模式协商速度更快,VPN的两个或多个设备都要设置成相同的模式VPN才能建立成功。 各自适
锐捷ipsec野蛮模式(积极模式)配置实验+命令解释
m0_62621003的博客
04-01 1397
IPSEC动态隧道一般应用于分支节点较多的总分拓扑结构,在中心点配置动态隧道接受各分支的IPSEC VPN拨入。中心点配置简单、易于维护、可扩展性强。同时由于各分支的IP地址不固定,无法通过IP地址来指定不同的预共享密钥。所有分支使用相同的预共享密钥将极易造成密钥泄露,威胁网络安全。使用域名认证的方法很好地解决了这个问题,通过每个分支配置使用不同的域名,同时在中心点上针对不同的域名指定不同的密钥,保证了密钥安全。
HCIE-Security Day32:IPSec:深入学习ipsec ikev1、主模式野蛮模式、快速模式、dh算法、预共享密钥
小梁的博客
03-31 4102
ipsec ikev1总框架 主动模式=野蛮模式 华为的ike 默认同时支持v1和v2,因此可以向下兼容,当隧道两端同时支持v2时,使用v2. dis ike peer bri 2022-03-30 12:25:59.510 Current ike peer number: 1 --------------------------------------...
IPsec IKE第一阶段主模式野蛮模式
ryanzzzzz的博客
05-02 1408
国密标准GMT 0022-2014 IPSec VPN 技术规范,IPsec IKE过程中交换类型的定义将主模式Main mode分配值为2,快速模式-quick mode分配值为32。标准中并没有提现分配值为4的交换类型。在实际应用中,IKE第一阶段经常会出现交换类型为4的情况,也就是所谓野蛮模式Agressive mode。
思科防火墙IPsec配置--野蛮模式(基于8.0版本)
xiayu0912的专栏
01-25 1375
动态crypto maps只设置在野蛮模式的接收端,和静态crypto maps一样,也是把一些分散的信息集中起来形成一个完整的ipsec连接信息,里面的匹配规则也和静态crypto maps一样从低到高匹配,配置方式也和静态crypto maps一样。配置cryto map。cryto map是一个列表,该列表记录那些数据包需要建立IPsec, 将前面配置的一些分散的信息绑定到一起形成一个ipsec连接的完整信息,这个列表有序号,序号可以随意填,匹配IPSEC参数的时候按照序号从低到高的顺序进行匹配。
安全防御 --- IPSec理论(03)
weixin_62443409的博客
06-25 9305
当隧道出现异常,检测出异常重新发起协商,维持隧道。:AH协议会校验外层IP地址,无论是传输还是隧道NAT都回转换外层IP地址,完整性都会被破坏,AH协议无法与NAT兼容。(标准的IKE SA的主模式使用IP地址作为身份ID,nat会破坏IP地址故而不支持主模式,仅支持野蛮模式):ESP不会对外层IP做认证或校验,所以完整算法不会被NAT破坏,但是TCP会进行头部校验。:ID可以自定义为字符串,NAT无法破坏,可正常完成第一阶段身份认证。:第5、6包的认证ID,由于NAT破坏无法完成身份认证。
华三 IPSec 主模式配置
08-16
华三 IPSec 主模式配置的步骤如下: 1. 首先,在 R1 的公网接口上下发 IPsec 策略。使用命令[R1-GigabitEthernet0/0ipsec apply policy r3来下发策略。 2. 然后,在 R1 上创建 IPsec 策略,调用之前配置的相关参数。使用命令[R1ipsec policy r3 1 isakmp来创建策略,其中包括配置安全 ACL、IKE 配置文件、变换集和远程地址。 3. 最后,在 AR3 上同样进行 IPSec 隧道的配置。进行 ping 测试,然后查看 IKE SA 和 IPSec SA 是否建立成功。 请注意,上述只是华三 IPSec 主模式配置的简要步骤,具体的命令和配置参数可能会根据实际情况有所不同。在实际操作中,请参考相关设备的官方文档或咨询华三技术支持以获取更详细的配置步骤和指导。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [基于HCL模拟器华三设备IPsec vpn的配置实验](https://blog.csdn.net/WANGMH13/article/details/126103774)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* [H3C配置IPSec(与华为的ipsec对比说明)主模式](https://blog.csdn.net/weixin_45123715/article/details/121203082)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值