Efficient VPN Network-plus方式建立IPSec隧道配置

最新推荐文章于 2024-05-09 20:39:42 发布
最新推荐文章于 2024-05-09 20:39:42 发布
阅读量145 收藏 1
点赞数
分类专栏: ENSP试验汇总 文章标签: 运维 网络协议 网络 tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qconfig100/article/details/132466733
版权

 

R1为公司分支网关,R2为公司总部网关,分公司与总部通过公网建立通信,并且总部与分公司 的网络已统一规划。分公司子网为:10.1.1.0/24,总部子网为:10.1.2.0/24.现希望对分公司子网与总部子网之间相互访问的流量进行安全保护,并让分公司网关配置能够尽量简单,由总部网关对分公司网关进行集中管理,管理和维护方式采用Ping、Telnet命令。

思路分析

根据分公司子网与总部子网的IP地址经过统一规划,不存在重叠ip情况,由于公司希望总部对分公司能进行集中管理,可以在分公司与总部之间采用Efficient VPN Network-plus模式建立IPSec 隧道来实现保护,更便于维护。

配置步骤

一、在R1与R2上配置各接口的IP地址,以及到达到对端公网、子网的静态路由。

【R1】

[Huawei]sysname R1

[R1-GigabitEthernet0/0/1]ip address 70.1.1.1 24

[R1-GigabitEthernet0/0/2]ip address 10.1.1.1 24

[R1]ip route-static 70.1.2.0 24 70.1.1.2 //配置到达公网的静态路由
[R1]ip route-static 10.1.2.0 24 70.1.1.2

【R2】

[Huawei]sysname R2

[R2-GigabitEthernet0/0/1]ip address 70.1.2.1 24

[R2-GigabitEthernet0/0/2]ip address 10.1.2.1 24

[R2-LoopBack0]ip address 100.1.1.1 24

[R2]ip route-static 70.1.1.0 24 70.1.2.2 //配置到达公网的静态路由
[R2]ip route-static 10.1.1.0 24 70.1.2.2

【Internet】

[Huawei]sysname Internet  //模拟公网的路由器配置

[Internet-GigabitEthernet0/0/1]ip address 70.1.1.2 24

[Internet-GigabitEthernet0/0/2]ip address 70.1.2.2 24

二、在R2上配置IP地址池,推送的资源属性、(DNS/WINS)用于动态分配给建立的IPSec隧道,配置IPSec、IKE安全提议、IKE对等体,基于策略模板的安全策略。并用应用公网接口上。

【R2】

[R2]ip pool po1 //配置IP地址池动态分配给IPSec隧道

[R2-ip-pool-po1]network 100.1.1.0 mask 24

[R2-ip-pool-po1]gateway-list 100.1.1.1

[R2]aaa

[R2-aaa]service-scheme sch1 //配置推送资源属性给IPSec隧道

[R2-aaa-service-sch1]ip-pool po1

[R2-aaa-service-sch1]dns-name huawei.com  //配置DNS域名

[R2-aaa-service-sch1]dns 2.2.2.2    //配置DNS

[R2-aaa-service-sch1]dns 2.2.2.3 secondary  //配置备用DNS

[R2-aaa-service-sch1]wins 3.3.3.2 / /配置WINS

[R2-aaa-service-sch1]wins 3.3.3.3 secondary //配置备用WINS

[R2]ike proposal 5 //配置IKE安全提议

[R2-ike-proposal-5]dh group2 //配置应用组 策略要求只在group2上

[R2-ike-proposal-5]encryption-algorithm 3des-cbc //配置加密算法

[R2]ike peer rut3 v1 //配置IKE对等体采用V1版本

[R2-ike-peer-rut3]exchange-mode aggressive   //IKEV1版本中必须为野蛮模式

[R2-ike-peer-rut3]pre-shared-key simple huawei

[R2-ike-peer-rut3]ike-proposal 5 //引用安全提议

[R2-ike-peer-rut3]service-scheme sch1 //引用aaa中资源推送。

[R2]ipsec proposal tra1 //配置IPSec安全提议 采用缺省值

[R2-ipsec-proposal-tra1]q

[R2]ipsec policy-template use1 10 //配置策略模板

[R2-ipsec-policy-templet-use1-10]ike-peer rut3  //引用对等体

[R2-ipsec-policy-templet-use1-10]proposal tra1 //引用安全提议

[R2]ipsec policy policy1 10 isakmp template use1 //在策略模板基础上配置安全策略

[R2-GigabitEthernet0/0/1]ipsec policy policy1  //应用安全策略

三、在R1上采用Network-plus模式配置Efficient VPN策略与R2建立IPSec隧道,并在策略中向总部推送需要IPSec保护的数据流,并将策略应用到公网接口上。

【R1】

[R1]acl number 3001  //定义需保护的数据流

[R1-acl-adv-3001]rule 1 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0  0.0.0.255

[R1]ipsec efficient-vpn evpn mode network-plus  //配置efficient vpn的模式为 network-plus 

[R1-ipsec-efficient-vpn-evpn]security acl 3001 //引用ACL

[R1-ipsec-efficient-vpn-evpn]remote-address 70.1.2.1 v1 //指定对端公网IP

[R1-ipsec-efficient-vpn-evpn]pre-shared-key simple huawei

[R1-GigabitEthernet0/0/1]ipsec efficient-vpn evpn //应用efficient vpn

四、验证测试

<R1>dis ike sa

  Conn-ID  Peer            VPN   Flag(s)                Phase  
  ---------------------------------------------------------------
       37    70.1.2.1        0     RD|ST                  2     
       36    70.1.2.1        0     RD|ST                  1        

  Flag Description:
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP

<R1>display ipsec sa

===============================
Interface: GigabitEthernet0/0/1
 Path MTU: 1500
===============================

  -----------------------------
  IPSec efficient-vpn name: "evpn"
  Mode                    : EFFICIENTVPN-NETWORKPLUS MODE
  -----------------------------
    Connection ID     : 37
    Encapsulation mode: Tunnel
    Tunnel local      : 70.1.1.1
    Tunnel remote     : 70.1.2.1
    Qos pre-classify  : Disable

    [Outbound ESP SAs]
      SPI: 1345866727 (0x50384be7)
      Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5
      SA remaining key duration (bytes/sec): 1887436800/3541
      Max sent sequence-number: 0
      UDP encapsulation used for NAT traversal: N

    [Inbound ESP SAs]
      SPI: 2757755882 (0xa46003ea)
      Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5
      SA remaining key duration (bytes/sec): 1887436800/3541
      Max received sequence-number: 0
      Anti-replay window size: 32
      UDP encapsulation used for NAT traversal: N

  -----------------------------
  IPSec efficient-vpn name: "evpn"
  Mode                    : EFFICIENTVPN-NETWORKPLUS MODE
  -----------------------------
    Connection ID     : 38
    Encapsulation mode: Tunnel
    Tunnel local      : 70.1.1.1
    Tunnel remote     : 70.1.2.1
    Qos pre-classify  : Disable

    [Outbound ESP SAs]
      SPI: 1201968941 (0x47a4972d)
      Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5
      SA remaining key duration (bytes/sec): 1887436800/3541
      Max sent sequence-number: 0
      UDP encapsulation used for NAT traversal: N

    [Inbound ESP SAs]
      SPI: 1006124986 (0x3bf83fba)
      Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5
      SA remaining key duration (bytes/sec): 1887436800/3541
      Max received sequence-number: 0
      Anti-replay window size: 32
      UDP encapsulation used for NAT traversal: N

<R1>display ipsec efficient-vpn
===========================================
IPSec efficient-vpn name: evpn
Using interface         : GigabitEthernet0/0/1
===========================================
 IPSec Efficient-vpn Name  : evpn
 IPSec Efficient-vpn Mode  : 3 (1:Client 2:Network 3:Network-plus)
 ACL Number                : 3001
 Auth Method               : 8 (8:PSK 9:RSA)
 VPN name                  :
 Local ID Type             : 1 (1:IP 2:Name)
 IKE Version               : 1 (1:IKEv1 2:IKEv2)
 Remote Address            : 70.1.2.1  (selected)
 Pre Shared Key            : huawei
 PFS Type                  : 0 (0:Disable 1:Group1 2:Group2 5:Group5 14:Group14)
 Local Address             :
 Remote Name               :
 PKI Object                :
 Anti-replay window size   : 32
 Qos pre-classify          : 0 (0:Disable 1:Enable)
 Interface loopback        : LoopBack100
 Interface loopback IP     : 100.1.1.254/24
 Dns server IP             : 2.2.2.2, 2.2.2.3
 Wins server IP            : 3.3.3.2, 3.3.3.3
 Dns default domain name   : huawei.com
 Auto-update url           :
 Auto-update version       :

查看结果IKE sa 、IPSec sa 、ipsec efficient-vpn都已完成建立。

PC1(10.1.1.2)与PC2(10.1.2.2)也能相互Ping 通。

PC1>ping 10.1.2.2

Ping 10.1.2.2: 32 data bytes, Press Ctrl_C to break
From 10.1.2.2: bytes=32 seq=1 ttl=127 time=31 ms
From 10.1.2.2: bytes=32 seq=2 ttl=127 time=31 ms
From 10.1.2.2: bytes=32 seq=3 ttl=127 time=31 ms
From 10.1.2.2: bytes=32 seq=4 ttl=127 time=16 ms
From 10.1.2.2: bytes=32 seq=5 ttl=127 time=31 ms

--- 10.1.2.2 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 16/28/31 ms

PC2>ping 10.1.1.2

Ping 10.1.1.2: 32 data bytes, Press Ctrl_C to break
From 10.1.1.2: bytes=32 seq=1 ttl=127 time=31 ms
From 10.1.1.2: bytes=32 seq=2 ttl=127 time=32 ms
From 10.1.1.2: bytes=32 seq=3 ttl=127 time=15 ms
From 10.1.1.2: bytes=32 seq=4 ttl=127 time=31 ms
From 10.1.1.2: bytes=32 seq=5 ttl=127 time=32 ms

--- 10.1.1.2 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 15/28/32 ms

Qconfig100
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
KEYSIGHT-Fast and Efficient Network Measurement-综合文档
05-24
KEYSIGHT-Fast and Efficient On-the-Go Network Measurement
防火墙——Efficient理论讲解(IPSec4——推送IPSec隧道建立
m0_49864110的博客
05-18 468
Efficient VPN称为高效VPN,顾名思义就是简化企业VPN部署配置通过客户端可以将总部(Server端)的IPSec配置推给分支(Remote端)
Efficient VPN(EVPN基础)
qq_45022073的博客
04-09 867
传统IPsec面临的问题,EVPN解决了传统IPsec的什么的问题,什么是Efficient VPN(EVPN),EVPN配置思路,EVPN的应用场景。
Effient技术原理
曹世宏的博客
09-16 2261
VPN部署现状问题 企业广泛部署VPN时的问题: 总部不能集中管理VPN。 每个分支需要配置IPSec VPN,工作量大,对维护人员有一定的技术要去。 每一个分支需要重复配置: DNS域名、DNS服务器地址、WINS服务器地址等网络资源。 ACL推送,设定了允许分支子网访问的总部子网范围 需要重复配置分支设备升级。 Efficient VPN简化企业VPN部署: 总部集中管理VPN配置...
vxlan和IPsec结合使用
xingyeping的博客
05-09 6887
一、使用IPsec封装Vxlan报文 如果希望Vxlan报文通过IPsec加密,可以通过ip xfrm命令在VM1和VM2上创建手工IPsec隧道来加密报文。配置如下: 创建VM1的手工SA:  ip xfrm state add src 192.168.233.180 dst 192.168.233.190 proto esp spi 0x00000301 mode tunnel auth
华为设备IPSec配置命令
Tony_long7483的博客
06-13 2140
华为设备IPSec配置命令
Effcient网络隧道 基础配置
qq_47529104的博客
05-06 568
服务端 服务端其实就是配置策略模板,配置策略模板用于响应客户端的Effcient VPN的快速请求。 (83条消息) 华为IPsec预共享密钥配置命令汇总_Mllllk的博客-CSDN博客 看上面这个 客户端 ipsec effcient-vpn xxx mode [ client | network | network-plus ] //创建effcient VPN并进入相关视图 在Effcient VPN上能够配置的内容较传统的配置方式来说要少: 基本上来说,能配置的内容一般...
IPSec IKEv1&IKEv2
weixin_51045259的博客
02-04 3163
IKE简介 IKE概述 因特网密钥交换IKE(Internet Key Exchange)协议建立在Internet安全联盟和密钥管理协议ISAKMP定义的框架上,是基于UDP(User Datagram Protocol)的应用层协议。它为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务,能够简化IPSec配置和维护工作。 IKE与IPSec的关系如图1所示,对等体之间建立一个IKE SA完成身份验证和密钥信息交换后,在IKE SA的保护下,根据配置的AH/ESP安全协议等参数协商出一对IPS
efficientnet-b0-b7权重文件.zip
07-09
efficientnet-b0-b7权重文件。efficientnet-b0_weights_tf_dim_ordering_tf_kernels_autoaugment_notop.h5----efficientnet-b7_weights_tf_dim_ordering_tf_kernels_autoaugment_notop.h5
gen-efficientnet-pytorch:预先训练的EfficientNet,EfficientNet-Lite,MixNet,MobileNetV3 V2,MNASNet A1和B1,FBNet,单路径NAS
04-29
所有模型均由GenEfficientNet或MobileNetV3类实现,并具有基于字符串的体系结构定义以配置块布局( 想法) 什么是新的 2020年8月19日 添加由我自己用timm训练的更新的PyTorch训练的EfficientNet-B3砝码(82.1 top-1...
A High-Performance and Cost-Efficient Interconnection Network for High-Density Servers
02-10
With the rising use of high-density servers in data-intensive and large-scale web applications, it requires a high-performance and cost-efficient intra-server interconnection network. Most of state-...
efficient-portfolio.rar_efficient portfolio_efficient-portfolio_
07-14
主要是根据马克维茨的投资组合理论求出有效边界,并确定其权重,分为允许和不允许卖空
Linux操作系统中管理磁盘的另外一种操作方式。即LVM——逻辑卷管理操作
最新发布
ZHX2285的博客
05-09 177
如上图所示,可以使用LVM的方式去创建磁盘分区,这样当我们需要备份数据的时候就可以,为磁盘拍摄快照,使用磁盘快照去备份数据,这样服务器也可以正常运行不受打扰。我们真正挂载的是最上层的逻辑券,我们需要格式化,为磁盘分区安装文件系统的也是最上方的逻辑券。1.使用LVM去管理磁盘可以在不影响原来数据的前提下去扩容磁盘空间或者是缩减磁盘空间。想使用LVM的方式去管理磁盘,就需要设备上有真实的储存设备。在LVM中除了上层逻辑券可以扩容,下层的券组也可以扩容。2.使用LVM管理的磁盘支持快照功能,方便磁盘数据备份。
基于vmware虚拟机中yum源的配置
m0_64365851的博客
05-03 209
配置中是在yum中配置本地源,如想配置网络源,可直接在网上查找配置文件再在/etc/yum.repos.d/创建配置文件,将信息粘贴即可。4.在 /etc/yum.repos.d/下编写以.repo结尾的文件并配置信息。1.首先需确保虚拟机中已经连接了光盘映像(如图在虚拟机右下方从左往右第二个)为方便每一次开机之后自动挂载,我们将其写在/etc/fstab文件中。2.在虚拟机中找到光盘映像文件(默认在/dev的sr0)3.将光盘文件挂载(挂载后才可读取)
Ansible-inventory和playbook
2301_81272194的博客
05-08 783
关于inventory 主机清单的配置与playbook剧本的编写
Linux软件安装
qq_65463941的博客
05-02 710
在Linux中编译安装软件通常需要执行以下几个步骤:下载源代码包可以从软件的官网、github等网下载解压源代码包进入软件包源代码目录在解压后得到的目录中,通常会有一个README文件、INSTALL、SETUP文件,其中描述了如何编译和安装软件执行configure脚本大多数软件包都包含了一个configure脚本,用于检测系统环境,并生成Makefile文件,Makefile文件包含了编译和安装软件所需的所有信息,执行./configure命令即可执行make命令。
KVM虚拟化部署
qq_58461022的博客
05-07 881
是基于硬件的完全虚拟化。作为硬件厂商,又拥有自己品牌的服务器、网络设备,存储设备等,其解决方案可以使用其软硬件结合,兼容性更好,是所有虚拟化厂商中,生态最为健全,周边配套最为齐备,这也是华为产品最为独特且较难超越的优势。实现数据虚拟化后,企业可将数据视为一个动态供应源,进而获得相应的处理能力,可以汇总多个来源的数据、轻松容纳新的数据源,并按用户所需转换数据。数据虚拟化工具处于多个数据源的前端,可将它们化零为整,作为统一的数据源,以符合业务需求的形式、在正确的时间,向任意应用或用户提供所需数据。
mybatis-plus
03-30
MyBatis-Plus is a powerful and efficient library that enhances the functionalities of MyBatis, a popular Java persistence framework. MyBatis-Plus provides ready-to-use features such as automatic code ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值