IPsec (主模式,野蛮模式)

已于 2023-02-12 16:13:45 修改
阅读量2.1k 收藏 5
点赞数
分类专栏: H3CSE实验 文章标签: 网络 网络协议 运维 Powered by 金山文档
于 2023-02-04 10:44:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74341869/article/details/128879352
版权

主模式

客户需求:

R1 和 R3 上配置 IPsec VPN,使两端私网可以互相访问

#配置ip地址

[r1]inter g0/0
[r1-GigabitEthernet0/0]ip add 100.1.1.1 24
[r1-GigabitEthernet0/0]inter g0/1
[r1-GigabitEthernet0/1]ip add 1.1.1.1 24
[r1]ip route-static 0.0.0.0 0 100.1.1.2

#创建高级ACL 3000 抓取允许源为1.1.1.0网段的访问2.2.2.0网段

[r1]acl advanced 3000
[r1-acl-ipv4-adv-3000]rule permit ip source1.1.1.0  0.0.0.255 destination2.2.2.0  0.0.0.255
[r1-acl-ipv4-adv-3000]qu
[r1]ikeproposal 1   //创建ikeproposal(提议) 名称为1
[r1-ike-proposal-1]qu  
[r1]ike keychain r1   //创建ike keychain密钥名称为r1
[r1-ike-keychain-r1]pre-shared-key address200.1.1.1 key simple 123  //配置预共享密钥
密码为123(两边密码要一致)
[r1]ike profile r1    //创建一个IKE profile (模板)名称为r1
//[r1-ike-profile-r1]exchange-mode aggressive(野蛮模式)/main(主模式)//设置使用模式,默认是主模式
[r1-ike-profile-r1]keychain r1    //配置采用预共享密钥认证时,所使用的keychain
[r1-ike-profile-r1]proposal 1     //配置IKE profile引用的IKE提议
[r1-ike-profile-r1]local-identity address100.1.1.1   //指定IPsec隧道的本端IP地址
[r1-ike-profile-r1]match remote identityaddress 200.1.1.1  //指定IPsec隧道的对端IP地址
[r1]ipsec transform-set tran1    //创建IPsec安全提议tran1
//#[r1-ipsec-transform-set-tran1]protocol esp/ah/ ah-esp  //指定所用协议,默认是esp
//#[r1-ipsec-transform-set-tran1]encapsulation-mode tunnel(隧道模式)/transport(传输模式)  默认使用隧道模式
[r1-ipsec-transform-set-tran1]espauthentication-algorithm md5  //配置ESP认证算法为MD5
[r1-ipsec-transform-set-tran1]espencryption-algorithm 3des-cbc  //配置ESP协议采用的加密算法为3des-cbc (两端认证和加密算法要一致)
[r1]ipsec policy r1 1 isakmp(自动)/manual(手动) 创建一条自动方式的IPsec安全策略,名称为r1,序列号为1
[r1-ipsec-policy-isakmp-r1-1]security acl3000  //指定引用acl3000
[r1-ipsec-policy-isakmp-r1-1]ike-profile r1       //引用ike模板r1
[r1-ipsec-policy-isakmp-r1-1]transform-settran1   //指定引用的IPsec安全提议为tran1
[r1-ipsec-policy-isakmp-r1-1]remote-address200.1.1.1   //指定IPsec隧道对端IP地址
[r3]inter g0/0
[r3-GigabitEthernet0/0]ipsec apply policyr1  在出接口上应用IPsec安全策略r1
[r2]inter g0/0
[r2-GigabitEthernet0/0]ip add 100.1.1.2 24
[r2-GigabitEthernet0/0]inter g0/1
[r2-GigabitEthernet0/1]ip add 200.1.1.2 24
[r3]inter g0/0
[r3-GigabitEthernet0/0]ip add 200.1.1.1 24
[r3-GigabitEthernet0/0]inter g0/1
[r3-GigabitEthernet0/1]ip add 2.2.2.1 24
[r3]ip route-static 0.0.0.0 0 200.1.1.2

#创建高级acl 3000 抓取2.2.2.0 到1.1.1.0 网段的数据

[r3]acl advanced 3000
[r3-acl-ipv4-adv-3000]rule permit ip source2.2.2.0  0.0.0.255 destination1.1.1.0  0.0.0.255
[r3]ike proposal 1   //创建ike proposal (提议)名称为1
[r3-ike-proposal-1]qu
[r3]ike keychain r3  //创建ike keychain密钥为r3
[r3-ike-keychain-r3]pre-shared-key address100.1.1.1 key simple 123  //配置预共享密钥
密码为123(两边密码要一致)
[r3]ike profiler3               创建ike profile(模板) 名称为r3
[r3-ike-profile-r3]keychain r3    //配置采用预共享密钥认证时,所使用的keychain
[r3-ike-profile-r3]proposal 1     //配置IKE profile引用的IKE提议
[r3-ike-profile-r3]local-identity address200.1.1.1     //指定IPsec隧道的本端IP地址
[r3-ike-profile-r3]match remote identityaddress 100.1.1.1 //指定IPsec隧道的对端IP地址
[r3]ipsectransform-set tran1                    //创建IPsec安全提议tran1
[r3-ipsec-transform-set-tran1]espauthentication-algorithm md5   //配置ESP认证算法为MD5
[r3-ipsec-transform-set-tran1]espencryption-algorithm 3des-cbc  //配置ESP协议采用的加密算法为3des-cbc  (两端认证和加密算法要一致)
[r3]ipsec policy r3 1 isakmp //创建一条自动方式的IPsec安全策略,名称为r3,序列号为1
[r3-ipsec-policy-isakmp-r3-1]security acl3000     指定引用acl3000
[r3-ipsec-policy-isakmp-r3-1]ike-profile r3
[r3-ipsec-policy-isakmp-r3-1]transform-settran1     //指定引用的IPsec安全提议为tran1
[r3-ipsec-policy-isakmp-r3-1]remote-address100.1.1.1     //指定IPsec隧道对端IP地址
[r3]inter g0/0
[r3-GigabitEthernet0/0]ipsec apply policyr3   //在出接口上应用IPsec安全策略r3

私网之间可以互通

查看ike 的安全联盟 ipsec的安全联盟

重启ipsec进程

Reset ipsce sa

Reset ike sa

野蛮模式

客户需求:

WH,SH的公网地址不固定,由R2 dhcp动态分配

一端公网地址不固定,主模式不能用,所以只能用野蛮模式

实验步骤:

配置ip地址

[BJ]inter g0/0
[BJ-GigabitEthernet0/0]ip add 100.1.1.1 24
[BJ-GigabitEthernet0/0]inter g0/1
[BJ-GigabitEthernet0/1]ip add 192.168.1.124
[R2]inter g0/0
[R2-GigabitEthernet0/0]ip add 100.1.1.2 24
[R2-GigabitEthernet0/0]inter g0/1
[R2-GigabitEthernet0/1]ip add 100.2.2.2 24
[R2-GigabitEthernet0/1]inter g0/2
[R2-GigabitEthernet0/2]ip add 100.3.3.2 24
[SH]inter g0/1
[SH-GigabitEthernet0/1]ip add 192.168.2.124

公网接口暂不配置

[WH]inter g0/1
[WH-GigabitEthernet0/1]ip add 192.168.3.124

公网接口暂不配置

BJ上需要配置默认路由

[BJ]ip route-static 0.0.0.0 0 100.1.1.2

R2上配置DHCP,自动给SH WH分配公网地址,ip-pool 2代表给SH分配 3代表给WH分配

[R2]dhcp enable    //开启DHCP功能
[R2]dhcp server ip-pool 2   //创建地址池2
[R2-dhcp-pool-2]network 100.2.2.0 mask255.255.255.0   //配置分配地址段
[R2-dhcp-pool-2]gateway-list 100.2.2.2        //配置分配网关(R2对应接口的地址)
[R2-dhcp-pool-2]qu
[R2]dhcp server ip-pool 3      //创建地址池3
[R2-dhcp-pool-3]network 100.3.3.0 mask255.255.255.0   //配置分配地址段
[R2-dhcp-pool-3]gateway-list 100.3.3.2       //配置分配网关(R2对应接口的地址)

在SH WH的公网接口开启自动获取

[SH]inter g0/0
[SH-GigabitEthernet0/0]ip add dhcp-alloc
[WH]inter g0/0
[WH-GigabitEthernet0/0]ip add dhcp-alloc

查看可以看到,SH WH连接公网的接口分配到了公网地址

此时查看SH WH的路由表,可以看到有一条优先级为70的默认路由,优先级为70的默认路由来自DHCP,下一跳是网关

野蛮模式,固定公网地址方不用配置acl抓取感兴趣流,由不固定方配置acl抓取感兴趣流,固定方收到不固定方的感兴趣流,会自动调换源目地址,自动生成感兴趣流

野蛮模式因为地址不固定,所以必须配置ike名称

[BJ]ike identity fqdn bj   //创建ike名称
[BJ]ike proposal 1    //创建ike提议1
[BJ-ike-proposal-1]qu
两个目标时,Ike keychain密钥串名称不用创建两个,可以在一个密钥串里,创建两个不同主机名的密码
[BJ]ike keychain fz  //创建密钥串 名称为fz
[BJ-ike-keychain-fz]pre-shared-key hostnamesh key simple 123456 //配置sh的预共享密码123456
[BJ-ike-keychain-fz]pre-shared-key hostnamewh key simple 654321 //配置wh的预共享密码654321
[BJ]ike profile sh   //创建ike模板sh
[BJ-ike-profile-sh]exchange-mode aggressive  //模式修改为野蛮模式
[BJ-ike-profile-sh]match remote identityfqdn sh  //指定IPsec隧道的对端主机名为sh
[BJ-ike-profile-sh]proposal 1      //配置引用的IKE提议
[BJ-ike-profile-sh]keychain fz     //配置引用的IKE预共享密钥
[BJ]ike profile wh     //创建ike模板wh
[BJ-ike-profile-wh]exchange-modeaggressive  //模式修改为野蛮模式
[BJ-ike-profile-wh]match remote identityfqdn wh  //指定IPsec隧道的对端主机名为wh
[BJ-ike-profile-wh]proposal 1       //配置引用的IKE提议
[BJ-ike-profile-wh]keychain fz     //配置引用的IKE预共享密钥

如果wh sh所用的安全提议transform-set相同,则只需创建一个安全提议,共同引用

[BJ]ipsec transform-set fz    //创建一个安全提议 名称为fz
[BJ-ipsec-transform-set-fz]espauthentication-algorithm md5  //配置ESP认证算法为MD5
[BJ-ipsec-transform-set-fz]espencryption-algorithm des-cbc  //配置ESP加密算法为des-cbc

一个端口只能调用一个ipsec策略,所以需要创建ipsec策略模板,才能一个策略可以调用多个策略模板

创建sh的策略模板,并调用安全提议fz,IKE模板sh

[BJ]ipsec policy-template sh 1    //创建sh的ipsec策略模板1 
[BJ-ipsec-policy-template-sh-1]transform-setfz    //调用安全提议fz
[BJ-ipsec-policy-template-sh-1]ike-profilesh    //调用sh的ike模板sh

创建wh的策略模板,并调用安全提议fz,IKE模板wh

[BJ]ipsec policy-template wh 1    //创建wh的ipsec策略模板1 
[BJ-ipsec-policy-template-sh-1]transform-setfz   //调用安全提议fz
[BJ-ipsec-policy-template-sh-1]ike-profile wh   //调用sh的ike模板sh

创建ipsec策略名称为fz 1号规则自动协商引用策略模板sh

[BJ]ipsec policy fz 1 isakmp template sh

创建ipsec策略名称为fz 2号规则自动协商引用策略模板wh

[BJ]ipsec policy fz 2 isakmp template wh

最后进入出接口,下发fz策略

[BJ]inter g0/0
[BJ-GigabitEthernet0/0]ipsec apply policyfz

SH路由器上配置高级acl,抓取2.0到1.0的感兴趣流

[SH]acl advanced 3000
[SH-acl-ipv4-adv-3000]rule permit ip source192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[SH]ike proposal 1      //创建ike提议1
[SH-ike-proposal-1]qu 
[SH]ike identity fqdn sh     //创建ike名称
[SH]ike keychain bj   //创建密钥串 名称为bj
[SH-ike-keychain-bj]pre-shared-key address100.1.1.1 key simple 123456  //配置bj的预共享密码123456
[SH-ike-keychain-bj]qu
[SH]ike profile bj    //创建ike模板,名称bj
[SH-ike-profile-bj]exchange-mode aggressive  //修改模式为野蛮模式
[SH-ike-profile-bj]match remote identityfqdn bj  //指定IPsec隧道的对端主机名为bj
[SH-ike-profile-bj]proposal 1     //配置引用的IKE提议
[SH-ike-profile-bj]keychain bj   //配置引用的IKE预共享密钥
[SH]ipsectransform-set bj            //创建一个安全提议名称为bj
[SH-ipsec-transform-set-bj]espencryption-algorithm des-cbc  //配置ESP加密算法为des-cbc   
[SH-ipsec-transform-set-bj]espauthentication-algorithm md5 //配置ESP认证算法为MD5
[SH]ipsec policy bj 1 isakmp    创建ipsec策略名称为bj  1号规则自动协商
[SH-ipsec-policy-isakmp-bj-1]security acl3000     //指定引用acl3000
[SH-ipsec-policy-isakmp-bj-1]remote-address100.1.1.1  //指定IPsec隧道对端IP地址
[SH-ipsec-policy-isakmp-bj-1]transform-setbj    //指定引用安全提议bj
[SH-ipsec-policy-isakmp-bj-1]ike-profile bj     //指定引用IKE模板bj

出接口下发策略

[SH]inter g0/0
[SH-GigabitEthernet0/0]ipsec apply policybj

创建高级acl,抓取3.0到1.0的兴趣流

[WH]acl advanced 3000
[WH-acl-ipv4-adv-3000]rule permit ip source192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[WH]ike identity fqdn wh   //创建IKE名称wh
[WH]ike proposal 1      //创建IKE提议 1
[WH-ike-proposal-1]qu  
[WH]ike keychain bj    //创建密钥串 bj
[WH-ike-keychain-bj]pre-shared-key address100.1.1.1 key simple  654321  //配置bj的预共享密码654321
[WH]ike profile bj   //创建IKE模板
[WH-ike-profile-bj]exchange-mode aggressive   //修改模式为野蛮模式
[WH-ike-profile-bj]match remote identityfqdn bj   //指定IPsec隧道的对端主机名为bj
[WH-ike-profile-bj]keychain bj       //配置引用的IKE预共享密钥
[WH-ike-profile-bj]proposal 1    //配置引用的IKE提议
[WH]ipsec transform-set bj       //创建一个安全提议 名称为bj
[WH-ipsec-transform-set-bj]espauthentication-algorithm md5   //配置ESP认证算法为md5
[WH-ipsec-transform-set-bj]espencryption-algorithm des-cbc    //配置ESP加密算法为des-cbc     
[WH]ipsec policy bj 1 isakmp    //创建ipsec策略名称为bj  1号规则自动协商
[WH-ipsec-policy-isakmp-bj-1]security acl3000   //指定引用acl3000
[WH-ipsec-policy-isakmp-bj-1]remote-address100.1.1.1  //指定IPsec隧道对端IP地址
[WH-ipsec-policy-isakmp-bj-1]transform-setbj    //指定引用安全提议bj
[WH-ipsec-policy-isakmp-bj-1]ike-profile bj    //指定引用IKE模板bj

出接口下发bj策略

[WH]inter g0/0
[WH-GigabitEthernet0/0]ipsec apply policybj

配置完成,查看IKE安全联盟,IPsec安全联盟,建立成功

PC6 PC7可以访问PC5

七汣
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HCIE-Security Day32:IPSec:深入学习ipsec ikev1、主模式野蛮模式、快速模式、dh算法、预共享密钥
小梁的博客
03-31 4159
ipsec ikev1总框架 主动模式=野蛮模式 华为的ike 默认同时支持v1和v2,因此可以向下兼容,当隧道两端同时支持v2时,使用v2. dis ike peer bri 2022-03-30 12:25:59.510 Current ike peer number: 1 --------------------------------------...
H3C V7 ipsec主:野蛮模式配置脚本.pdf
08-30
H3C V7 ipsec主:野蛮模式配置脚本.pdf
CCIE理论-IPSec主模式野蛮模式的区别
weixin_48137911的博客
12-01 3361
版本1的IKEV1早期是不支持NAT-T的(NAT穿越),现在都支持了,野蛮模式一直支持。但是野蛮模式,有安全风险,他的身份认证是在第一第二个包里, 而且是明文的!主模式里面,前4个包都是裸奔的,第5个包用来做身份认证,这个是加密的。其实这个不算在数通里面,因为IPsec是安全的技术。这个角度来看,野蛮模式更快,更加节省设备的资源。突然想到这个就写这个了,面试或者考试会问这个。一个是 IKEv1,一个 IKEv2。那么在版本1的阶段1有两个模式。一个叫主模式,一个叫野蛮模式主模式一共有6个数据包的交互。
IPSec VPN 基本配置实验(H3C)
最新发布
kerio123的博客
04-15 1396
IPsec VPN指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
IPsec野蛮模式出现的原因
qq_47529104的博客
05-02 2829
原因概述 其主要原因是因为在早期IKEv1的相关设备没有实现使用除了IP地址之外的其他标识符去表示一个IPsec隧道的一端,所以这就导致了动态IP地址的IPsec隧道的某一端出现了地址变动之后将无法重新建立IPsec隧道。我们在配置了IPsec的时候,如果没有特定地指定标识符,在报文中发送的identity都是在配置命令中指定的IP地址,这就导致IKEv1的主模式是无法根据它们的标识去找到对应的共享密钥(因为是动态地址,所以地址变换之后先前的配置就无法生效了),但是野蛮模式在早期支持使用除了IP地址的方式
2. 详解 IPSEC 的认证模式主模式野蛮模式
weixin_38387929的博客
06-02 1万+
一. 基本名词解释 1. IPSec 对等体 IPSec 用于在两个端点之间提供安全的 IP 通信,通信的两个端点被称为 IPSec 对等体。 2. 安全联盟 SA(Security Association)安全联盟定义了 IPSec 通信对等体间将使用哪种摘要和加密算法、什么样的密钥进行数据的安全转换和传输。SA 是单向的,在两个对等体之间的双向通信,至少需要两个 SA。SA 由一个三元组来唯一标识,这个三元组包括安全参数索引 SPI(Security Parameter Index)、目的 IP 地址、
安全防御------IPSec VPN篇
m0_63292411的博客
08-08 1575
本篇文章详细的讲解了IPSEC VPN的主要知识,概括了IPsec VPN的安全服务,技术架构,两种工作模式;还包含了ESP,AH,IKE的详细内容,还提到了DBD,IPSEC VPN的NAT和多VPN等问题。
自己抓的IPSEC的包
04-02
1. **IKE协商**:理解IKE是如何建立安全关联(SA),包括主模式和快速模式的协商过程,以及密钥的生成。 2. **ESP/AH头**:解析ESP和AH头,识别它们提供的服务,如加密算法、认证类型等。 3. **IPSec SA标识符**:...
ipsec抓包.rar
10-03
多种抓取的wireshark报文,其中附带密钥信息,可以直接使用wireshark进行报文解密。...抓取的类型包括:主模式野蛮模式,数字证书,预共享秘钥,多种加密套件,AH+ESP数据报文,IKEv1, IKEv2等多种场景和应用下的报文
IPSec中pluto框架和函数接口
03-29
该文档主要用来介绍IPsec是模块中pluto的框架、基本原理简介、函数调用关系、主要函数接口说明。例如包含:主模式野蛮模式报文交互流程和函数接口、IKE协商、内核函数接口等
IPSEC:新一代因特网安全标准
04-15
7.2.2 野蛮模式交换 76 7.2.3 快速模式交换 77 7.2.4 其他IKE交换 79 7.3 IPSec DOI 80 7.4 小结 81 第三部分 配置问题 第8章 策略 83 8.1 导引 83 8.2 策略定义的要求 84 8.3 策略的表示与分布 85 8.4 策略管理系统...
野蛮模式IPSec的典型组网和配置.pdf
11-12
野蛮模式IPSec的典型组网和配置.pdf
IPSec主模式野蛮模式的区别
热门推荐
WFlySky的博客
11-24 1万+
ipsec的vpn隧道第一阶段建立方式分为主模式野蛮模式,这两个模式的主要区别在于进行IKE 协商的时候所采用的协商方式不同。 具体区别在于: 1、主模式在IKE协商的时候要经过三个阶段:SA交换、密钥交换、ID交换和验证;野蛮模式只有两个阶段:SA交换和密钥生成、ID交换和验证。 2、主模式一般采用IP地址方式标识对端设备;而野蛮模式可以采用IP地址方式或者域名方式标识对端设备。 因此相比较而言,主模式更安全,而野蛮模式协商速度更快,VPN的两个或多个设备都要设置成相同的模式VPN才能建立成功。 各自适
TP- LINK企业级vp-n路由器ipsec场景与实施(野蛮模式
zelf的专栏
03-03 6753
上个文章介绍的主模式,实际应用中最多的还是野蛮模式,因为公网IP太贵啊,不是每个公司都有专线可以用。 实际应用中普通家用宽带也可以通过DDNS来实现ipsec,这里需要设置光猫为桥接模式,用路由器拨号。 电信和联网好多还可以获取到公网IP,移动全是内网IP搞不了 。 桥接的方法好找,网上一大堆,但光猫的超级密码现在都是动态了,这个不好搞,有关系或者大客户一般都会给,我做的几个项目都是问联通和电信的安装人员要的超级密码,他们从后台查的。 这是官网的资料:其中一端在NAT网关下,实际上就是家用宽带或者有
路由器基础(十二):IPSEC VPN配置
limengshi138392的博客
11-04 8291
路由器基础(十二):IPSEC VPN配置
GRE OVER IPSEC野蛮模式
weixin_46639226的博客
11-06 3584
## 野蛮模式适用于两端其中有一端地址不固定的情况 实验拓扑 实验思路 1.配置全网地址(这里的地址已经在图上规划,不在赘述) 2.配置ike 3.配置ipsec 4.配置GRE 地址配置完成之后,首先要保证公网可达,因为RT3和RT4是DHCP获取的地址,所以他们上面会有两条默认路由,下一跳是SW5,但是RT1上面没有往公网去的路由,所以要在RT1上配置一条默认路由 RT1 [H3C]ip route-static 0.0.0.0 0 100.1.1.254 RT3 (默认路由是DHCP下发的,优先级
网络安全之IPSEC路由基本配置
qq_57289939的博客
05-06 3401
R1]display ipsec proposal --- 查询配置的IPSEC
***-ipsec主模式野蛮模式
weixin_33681778的博客
10-28 2868
IPSec×××即指采用IPSec协议来实现远程接入的一种×××技术,IPSec全称为InternetProtocolSecurity,是由InternetEngineeringTaskForce(IETF)定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。普通模式:隧道的2边都需要有ip地址,采用手动的模式要设置校验码和密钥[R1]int...
野蛮模式的相关种种:
cuiyifang的专栏
08-18 4084
作用: 对于两端IP地址不是固定的情况(如ADSL拨号上网),并且双方都希望采用预共享密钥验证方法来创建IKE SA,就需要采用野蛮模式。另外如果发起者已知回应者的策略,采用野蛮模式也能够更快地创建IKE SA。 ipsec下两种模式的区别: 1、野蛮模式协商比主模式协商更快。主模式需要交互6个消息,野蛮模式只需要交互3个消息。 2、主模式协商比野蛮模式协商更严谨、更安全。因为主模式
华三 IPSec 主模式配置
08-16
华三 IPSec 主模式配置的步骤如下: 1. 首先,在 R1 的公网接口上下发 IPsec 策略。使用命令[R1-GigabitEthernet0/0ipsec apply policy r3来下发策略。 2. 然后,在 R1 上创建 IPsec 策略,调用之前配置的相关参数。使用命令[R1ipsec policy r3 1 isakmp来创建策略,其中包括配置安全 ACL、IKE 配置文件、变换集和远程地址。 3. 最后,在 AR3 上同样进行 IPSec 隧道的配置。进行 ping 测试,然后查看 IKE SA 和 IPSec SA 是否建立成功。 请注意,上述只是华三 IPSec 主模式配置的简要步骤,具体的命令和配置参数可能会根据实际情况有所不同。在实际操作中,请参考相关设备的官方文档或咨询华三技术支持以获取更详细的配置步骤和指导。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [基于HCL模拟器华三设备IPsec vpn的配置实验](https://blog.csdn.net/WANGMH13/article/details/126103774)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* [H3C配置IPSec(与华为的ipsec对比说明)主模式](https://blog.csdn.net/weixin_45123715/article/details/121203082)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值