ipsec 为匹N隧道配置

已于 2022-09-12 16:23:07 修改
阅读量436 收藏 1
点赞数
文章标签: 网络 网络协议 安全
于 2022-09-02 12:57:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pink___floyd/article/details/126631783
版权

IPsec XXX

一、ipsec XXX 配置步骤(主模式+快速模式)

在这里插入图片描述
前提:公网互通
FW1:

1.配置ike 安全提议

  • 加密算法——DES,3DES,AES
  • 认证算法——MD5,SHA1,SHA2
  • 认证方式——pre-share, digital-envelope(数字信封) rsa-signature (数字签名)
  • DH组——DH18
[FW1]ike proposal 1
[FW1-ike-proposal-1]dis th    (里面有默认模板如下)
2022-08-31 12:47:04.850 
#
ike proposal 1
 encryption-algorithm aes-256
 dh group14
 authentication-algorithm sha2-256
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256
#

分别配置:

  • 加密算法——3DES
  • 认证算法——MD5
  • 认证方式——pre-share
  • DH组——DH18
[FW1-ike-proposal-1]dis th
2022-08-31 12:55:05.790 
#
ike proposal 1
 encryption-algorithm 3des   - 加密算法——3DES
 dh group18                      DH组——DH18
 authentication-algorithm md5    - 认证算法——MD5
 authentication-method pre-share   - 认证方式——pre-share
 integrity-algorithm hmac-sha2-256        ( 默认配置 ikev2版本时用到)
 prf hmac-sha2-256                                 ( 默认配置 ikev2版本时用到)
#
return

2.配置ike 对等体(ike peer)

  • 1.配置版本
  • 2.对端地址
  • 3.交换模式
  • 4.调用ike proposal 1
  • 5.配置预预共享密钥
[FW1]ike peer fw2
[FW1-ike-peer-fw2]undo version 2    (默认是v2版本,我们这里采用v1版本进行配置,所以undo v2)
[FW1-ike-peer-fw2]remote-address 2.2.2.2
[FW1-ike-peer-fw2]exchange-mode main (第一阶段使用主模式)
[FW1-ike-peer-fw2]ike-proposal 1   (调用ike 安全提议)
[FW1-ike-peer-fw2]pre-shared-key huawei@123  (预共享密钥)

3.配置ipsec 安全提议

  • 封装模式
  • 安全协议
  • esp认证算法
  • esp加密算法
[FW1]ipsec proposal 2
[FW1-ipsec-proposal-2]encapsulation-mode tunnel     (隧道模式)
[FW1-ipsec-proposal-2]transform esp          (esp协议)
[FW1-ipsec-proposal-2]esp authentication-algorithm md5      (esp 认证方式)
[FW1-ipsec-proposal-2]esp encryption-algorithm aes-128  (esp 加密方式)

4.配置感兴趣流

与fw2 互为镜像

[FW1-acl-adv-3000]dis th
acl number 3000
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

5.配置ipsec 策略调用配置

  • 1.调用ike peer
  • 2.调用ipsec proposal
  • 3.调用感兴趣流
[FW1]ipsec policy policy1 1 isakmp          (ipsec 策略名为policy1,序号1 isakmp——自动建立隧道)
[FW1-ipsec-policy-isakmp-policy1-1]dis th

ipsec policy policy1 1 isakmp
 security acl 3000
 ike-peer fw2
 proposal 2

6.接口调用ipsec 策略

[FW1-GigabitEthernet1/0/1]ipsec  policy policy1          (该接口是建立隧道的接口)

7.引流 (流量送入隧道)

[FW1]ip route-static 192.168.1.0 24 1.1.1.254

FW2配置相同:

1.ike 安全提议

ike proposal 1
 encryption-algorithm 3des
 dh group18
 authentication-algorithm md5
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256

2.ike peer

1.配置版本

  • 2.对端地址
  • 3.交换模式 [FW2-ike-peer-fw1]exchange-mode main (默认不显示)
  • 4.调用ike proposal 1
  • 5.配置预预共享密钥
ike peer fw1
 undo version 2
 pre-shared-key %^%#[#@C%gEeF8!&O*C_]^vG@q"U"dg^ZOa>eKF0I@/*%^%#      (预共享密钥huawei@123)
 ike-proposal 1
 remote-address 1.1.1.1

3.ipsec 安全提议

[FW2]ipsec proposal 2
[FW2-ipsec-proposal-2]encapsulation-mode tunnel 
[FW2-ipsec-proposal-2]transform esp 
[FW2-ipsec-proposal-2]esp authentication-algorithm md5 
[FW2-ipsec-proposal-2]esp encryption-algorithm aes-128

4.acl 感兴趣流

这里要与fw1 互为镜像

acl number 3000
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

5.ipsec 策略,调用配置

ipsec policy policy1 1 isakmp
 security acl 3000
 ike-peer fw1
 proposal 2

6.接口调用

[FW2-GigabitEthernet1/0/1]ipsec policy policy1

7.引流

[FW2]ip route-static 10.1.1.0 24 2.2.2.254

二、安全策略配置

先将安全策略默认为允许验证实验结果

security-policy
 default action permit

1.pc1 ping pc2 抓包:

在这里插入图片描述
第一阶段主模式报文6个
第二阶段快速模式报文3个

2.查看ike sa建立情况
在这里插入图片描述
3.查看ipsec sa 建立情况
在这里插入图片描述
4.查看会话表
在这里插入图片描述
5.配置安全策略:

从会话表看出流量包括:
业务流量10.1.1.1<–>192.168.1.1 ,即trust<->untrust,双向流量

隧道流量 1.1.1.1<–>2.2.2.2,local<–>untrust,双向流量(注意要放行esp,udp协议)

[FW1-policy-security-rule-pc1_pc3]dis th
2022-09-02 04:47:51.090 
#
 rule name pc1_pc3
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  source-address 10.1.1.0 mask 255.255.255.0
  source-address 192.168.1.0 mask 255.255.255.0
  destination-address 10.1.1.0 mask 255.255.255.0
  destination-address 192.168.1.0 mask 255.255.255.0
  service icmp
  action permit
#


[FW1-policy-security-rule-tunnle]dis th
2022-09-02 04:52:25.770 
#
 rule name tunnle
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  source-address 1.1.1.1 mask 255.255.255.255
  source-address 2.2.2.2 mask 255.255.255.255
  destination-address 1.1.1.1 mask 255.255.255.255
  destination-address 2.2.2.2 mask 255.255.255.255
  service esp
  service icmp
  service udp                        
  action permit
 rule name tunnel

#

将策略恢复为默认禁止

[FW2-policy-security]default action deny 
 Warning: Setting the default interzone packet filtering to deny may affect actu
al data traffic. You are advised to configure the security policy based on the a
ctual services. Are you sure you want to continue? [Y/N]y

6.pc1 ping pc3 能够ping通
在这里插入图片描述

萨菲娜ing
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
IPSec 基础介绍
qq_32044265的博客
11-28 4550
IPSec包括认证头协议AH、封装安全载荷协议ESP、因特网密钥交换协议IKE,用于保护主机与主机之间、主机与网关之间、网关与网关之间的一个或多个数据流。其中,AH和ESP这两个安全协议用于提供安全服务,IKE协议用于密钥交换 本文对IPSec安全联盟(Security Association)安全协议、封装模式、加密和验证、密钥交换和IKE协议以及IPSec的加密数据流进行简单介绍
华为ipsec ike协商配置.rar
04-22
本资源是以ensp模拟器形式搭建的一个小型IPSec IKE模式。总共用了3台路由器,中间一台做充当转发器,其他两台进行ipsec搭建,并配置静态路由指向中间路由器。如需要学习的,可自行下载进行参考。ip什么的,就自己配置吧,我就不多操作了。
虚拟隧道接口建立GRE over IPSec配置
08-31
虚拟隧道接口建立GRE over IPSec配置
商业虚拟专用网络技术六IPSec配置
weixin_42227328的博客
03-29 6216
IPSec VPN的配置需要以下几个步骤: (1)、配置ACL访问控制列表。 (2)、配置安全提议。 (3)、配置安全策略 (4)、在接口组上应用安全策略组
IPsec加密隧道基础配置
Nailaoyyds的博客
08-05 2635
采用如下思路配置采用手工方式建立IPSec隧道配置接口的IP地址和到对端的静态路由,保证两端路由可达。 配置ACL,以定义需要IPSec保护的数据流。 配置IPSec安全提议,定义IPSec的保护方法。 配置安全策略,并引用ACL和IPSec安全提议,确定对何种数据流采取何种保护方法。 在接口上应用安全策略组,使接口具有IPSec的保护功能。 配置IP地址 R1 R2 R3 配置RIP或者静态路由、OSPF R1 R2 R3 配置ACL 配置规则 R1 ...
IPSEC隧道配置
杜颐的博客
05-09 1142
拓扑图如下: 建立IPSEC隧道,使江苏访问深圳 配置如下: Client客户端配置 server服务器 AR1配置 AR1配置 [AR1]interface GigabitEthernet 0/0/0 //进入接口 [AR1-GigabitEthernet0/0/0]ip address 10.10.10.254 24 //配置IP地址 [AR1]interface GigabitEthernet 0/0/1 //进入接口 [AR1-GigabitEthernet0
配置基于路由的ipsec 隧道
搬砖小胖子
08-06 4032
设备名称 接口 IP地址 内网地址 备注 BJ_AR2240 Tunnel0/0/1 169.254.2.1/30 192.168.0.0/16 VPN接口 WQ_AR2240 Tunnel0/0/1 169.254.2.2/30 172.20.0.0/16 VPN接口 说明: 与基于模板的ipsec vpn不同的是,基于路由的ipsec vpn没有acl 感兴趣流的限制,...
IPsec 实操配置(隧道模式)
热门推荐
weixin_62248541的博客
04-16 1万+
文章目录 目录 文章目录 前言 一、实验环境 二、实验步骤 1.配置全网可达 2.配置ACL识别兴趣流 3.配置安全提议 进入AR1和AR3分别配置安全提议(AR1与AR3需做相同的配置) 4.创建安全策略 分别在AR1和AR3上创建安全策略,在安全策略中就可以调用之前所配置的acl和安全提议(均选择手工配置配置SA(安全联盟),实现IPsec对等体之间相关安全参数的协商 配置共享认证密钥 5.应用安全策略 6.抓包验证(Wireshark) 总结 前言 我的第.
华为防火墙IPSec站点到站点实验配置
05-17
该实验使用华为防火墙USG6000v,在两个局域网的出口网关之间建立IPSec隧道,实现局域网之间通过IPSec隧道互访。
IPsec简单配置.zip
12-19
IPsec简单配置.zip
IPSEC穿越NAT典型配置指导
09-14
IPSEC穿越NAT典型配置指导
PKCS7数字信封简述
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
08-17 3251
数字信封,英文是Digital Envelope,望文生义,就可以知道将需要传递的数据,通过加密的方式包裹起来。数字信封的准确定义,在《PKCS #7: Cryptographic Message Syntax Standard》标准的第10章中给出,原话是:“”。数字信封的组成如下图所示:从上图可以看出,数字信封和我们日常生活中使用的信封,还是不一样的:日常生活中的信封,仅仅指包裹信件的外壳,不包含信件(内容);但数字信封其实是包含内容的。...
华为技术&ipsec安全策略模拟实验配置步骤
qq_43416206的博客
06-28 434
IPSec使用高级ACL定义需要保护的数据流。IPSec根据ACL的规则来确定哪些报文需要安全保护,哪些报文不需要安全保护。 在隧道发起端,匹配(permit)高级ACL的数据流将被保护,即经过IPSec加密处理后再发送;不能匹配高级ACL的数据流则直接转发。 在隧道接收端,对数据流进行解密,并检查解密后的数据流是否匹配了ACL规则,丢弃不匹配ACL规则的报文。
网络安全IPSEC路由基本配置
m0_61869253的博客
03-13 1728
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
IPSEC的原理及配置步骤整理(一)
m0_60444349的博客
08-10 6213
3.7 创建自定义服务,对外网放行UDP 500端口(IPSEC中的ike协议采用此端口发起和响应协商),在有NAT穿越的场景下,还要放开4500端口。(1)配置封装协议(有AH、ESP和AH-ESP三种);*******Ike就是用来创建和更新密钥的协议,用于IKE SA的协商,IPsec双方使用协商好的IKE SA去对IPsec SA的协商进行保护。IPSEC封装模式:封装模式是指将AH或ESP相关的字段插入到原始IP报文中,以实现对报文的认证和加密,封装模式有传输模式和隧道模式两种。.........
I2C SPI UART TCP/UDP AD/DA PWM大总结
最新发布
芯心智库
05-26 767
那么当处理器输出的是全0则外部测量的电压是0V,输出全1则外部测量电压是5V,如果0/1各一半则是输出2.5V,如此只要控制0/1的比例就可以控制电压的输出了。V1是待测的电压,V0是比较器的输出电压,两者会进入比较器,直到结果V0大于V1(注意是大于,不是等于,这里会引入精度的概念),此时的计数值是D0~D7,可以表示此时的电压数值的水平。UART就比较特殊点了,它是异步通信(无CLK进行同步,有CLK的就是USART),全双工,有两根数据线,一根是RX一根是TX。
计算机网络安全控制技术
heikewhite的博客
05-25 481
防火墙技术是近年来维护网络安全最重要的手段,但是防火墙不是万能的,需要配合其他安全措施来协同。目前加密技术主要有两大类:对称加密和非对称加密。核心是识别网络者是否是属于系统的合法用户。入侵行为主要是指对系统资源的非授权使用。计算机病毒的数目和危害性都在飞速发展。控制不同的用户对信息资源的访问权限。漏洞检测和安全风险评估技术。6.网络安全漏洞扫描技术。
netstat命令检查端口是否监听
weixin_53389944的博客
05-23 315
命令会显示所有当前活动的 TCP 和 UDP 连接,并列出每个连接对应的本地地址、远程地址以及端口号。是一个常用的网络命令,用于显示系统的网络连接情况。
CTF实战分享 | RWZIP
2401_84466225的博客
05-24 717
首先我们要了解,压缩包本身并不具备隐藏信息的功能,但由于在CTF竞赛中,经常出现压缩包与隐写术结合在一起的题目,所以我们需要掌握在CTF竞赛中有关 ZIP 压缩包题目的常见题型及分析手段。读者福利 |CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)
ipsec配置隧道详细资料
05-12
下面是一份IPsec隧道配置详细资料: 1. 确定隧道的两端IP地址和预共享密钥。 2. 配置Phase 1参数: - 协商模式:主模式或者是快速模式。 - 加密算法:AES、3DES等。 - 认证算法:SHA1、MD5等。 - DH组:Diffie-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值