DSVPN over IPSec 配置

最新推荐文章于 2024-03-27 18:28:27 发布
最新推荐文章于 2024-03-27 18:28:27 发布
阅读量356 收藏 3
点赞数
分类专栏: ENSP试验汇总 文章标签: 安全 信息与通信 网络 网络协议 运维 tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qconfig100/article/details/133014864
版权

该场景中某大型企业,总部(Hub )和两个分公司(Spoke1/2)分布在不同地域,总部和分公司子网经常变动,分公司采用动态地址接入公网。企业规划使用OSPF路由协议,实现分分公司间的VPN互联,同时为保密安全需要,总部和分公司间及分公司间的数据传输采用加密保护。

分析思路:

根据需求采用DSVPN方式构建GRE隧道,数据需要先进行GRE封装,然后采用IPSec封装。同时提供身份认证、数据完整性检查,及抗重放功能。IPSec安全策略采用安全框架方式应用在mGRE隧道接口上。

配置如下:

【Hub】

<Huawei>system-view

[Huawei]sysname  Hub

[Hub-GigabitEthernet0/0/1]ip address 202.1.1.1 24

[Hub-GigabitEthernet0/0/2]ip address 172.18.3.254 24

[Hub-Tunnel0/0/0]ip address  10.1.1.1 24

[Hub]ospf 2

[Hub-ospf-2]area 1

[Hub-ospf-2-area-0.0.0.1]network  202.1.1.0 0.0.0.255

[Hub]ospf 1 router-id 10.1.1.1

[Hub-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255

[Hub-ospf-1-area-0.0.0.0]network 172.18.3.0 0.0.0.255

[Hub]ike proposal 1    //创建IKE安全提议

[Hub-ike-proposal-1]dh group5  //指定IKE第一阶段协商使用DH5组

[Hub-ike-proposal-1]authentication-algorithm aes-xcbc-mac-96 //配置认证算法

[Hub-ike-proposal-1]prf aes-xcbc-128 //指定IKE协商算法

[Hub]ike peer hub v2

[Hub-ike-peer-hub]ike-proposal 1 //引用安全提议

[Hub-ike-peer-hub]pre-shared-key cipher huawei123 //配置预共享密钥

[Hub-ike-peer-hub]dpd type periodic //配置DPD为周期性检测

[Hub-ike-peer-hub]dpd idle-time 40 //配置DPD为检测周期

[Hub]ipsec proposal pro1

[Hub-ipsec-proposal-pro1]transform ah-esp

[Hub-ipsec-proposal-pro1]ah authentication-algorithm sha2-256

[Hub-ipsec-proposal-pro1]esp authentication-algorithm sha2-256

[Hub-ipsec-proposal-pro1]esp encryption-algorithm aes-192

[Hub]ipsec profile prof1

[Hub-ipsec-profile-prof1]ike-peer hub

[Hub-ipsec-profile-prof1]proposal pro1

[Hub-Tunnel0/0/0]tunnel-protocol gre p2mp

[Hub-Tunnel0/0/0]source GigabitEthernet 0/0/1

[Hub-Tunnel0/0/0]nhrp entry multicast dynamic

[Hub-Tunnel0/0/0]ospf network-type broadcast

[Hub-Tunnel0/0/0]ospf dr-priority 100

[Hub-Tunnel0/0/0]ipsec profile prof1

【Spoke 1】

<Huawei>system-view

[Huawei]sysname  Spoke 1

[Spoke 1-GigabitEthernet0/0/1]ip address 202.1.2.1 24

[Spoke 1-GigabitEthernet0/0/2]ip address 172.18.1.254 24

[Spoke 1-Tunnel0/0/0]ip address  10.1.1.2 24

[Spoke 1]ospf 2

[Spoke 1-ospf-2]area 1

[Spoke 1-ospf-2-area-0.0.0.1]network  202.1.2.0 0.0.0.255

[Spoke 1]ospf 1 router-id 10.1.1.2

[Spoke 1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255

[Spoke 1-ospf-1-area-0.0.0.0]network 172.18.1.0 0.0.0.255

[Spoke 1]ike proposal 1

[Spoke 1-ike-proposal-1]dh group5

[Spoke 1-ike-proposal-1]authentic

最低0.47元/天 解锁文章
Qconfig100
关注
专栏目录
配置DSVPN防火墙到防火墙的Hub and Spoke网,并支持Spoke之间的通信
加油!
05-24 666
DSVPN简介动态智能VPN(Dynamic Smart Virtual Private Network),是一种在HUB-SPOKE组网方式下为公网地址动态变化的分支之间建立VPN隧道的解决方案。背景越来越多的企业希望建立Hub-Spoke方式的IPSec VPN网络将企业总部(Hub)与地理位置不同的多个分支(Spoke)相连,从而加强企业的通信安全、降低通信成本。
DSVPN简介
最新发布
2301_76769137的博客
04-08 1210
动态智能VPN(Dynamic Smart Virtual Private Network),简称DSVPN,是一种在Hub-Spoke组网方式下为公网地址动态变化的分支之间建立VPN隧道的解决方案。
配置IPSec保护的DSVPN示例
刘俊辉个人博客
03-20 847
配置IPSec保护的DSVPN示例
DSVPN的基本配置IPSEC的基础概念以及MGRE的基础配置
j2941174356的博客
08-07 635
DSVPN的基本配置 ,以及MGRE的基础配置,和IPSEC的基础概念
DSVPN实验报告
weixin_73895510的博客
03-27 959
1、R5为ISP,只能进行IP地址配置;其所有地址均配为公有IP地址2、R1和R5间使用PPP的PAP认证,R5为主认证方2;R2于R5之间使用PPP的chap认证,R5为主认证方;R3于R5之间使用HDLC封装。3、R1/R2/R3构建一个MGRE环境,R1为中心站点;R1、R4间为点到点的GRE。4、整个私有网络基于RIP全网可达5、所有Pc设置私有IP为源IP,可以访问R5环回。
防火墙——动态智能隧道DSVPN讲解
m0_49864110的博客
05-19 2093
MGRE技术全称为多点GRE技术,是基于GRE技术的升级版,将传统GRE隧道点到点P2P类型的Tunnel接口扩展成了点到多点P2MP类型的mGRE隧道接口。解决了GRE只可以在两点之间建立隧道的问题。MGRE的隧道的建立方式静态建立mGRE隧道一般总部与分支建立静态隧道,永久存在。通过配置NHRP静态表项建立动态建立mGRE隧道一般分支与分支之间建立动态隧道,通过数据流量触发。通过NHRP动态表项建立。
非shortcut场景DSVPN(Ospf协议)配置
Qconfig100的博客
09-07 165
该场景拓扑中,为中小型企业总部(Hub)和两个分公司Spoke 1和Spoke 2,它们分布在不同的地域,并且总部和分公司的子网环境经常变化。总部希望采用专线接入公网,分公司采用动态地址接入公网,规划采用OSPF路由协议能够在实现分公司与总部之间的VPN互联的同时,分公司之间也能够建立VPN互联。
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
weixin_44611826的博客
04-20 4067
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
IPSEC总结及实验
weixin_43950941的博客
02-16 5155
IPSEC VPN IPSec-VPN是基于IPSec协议簇构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式,来保障OSI上层协议数据的安全,主要用于保护TCP、UDP、ICMP和隧道的IP数据包。 安全三要素:机密性、完整性、认证(合法性)——安全黄金三角 1完整性:数据没有遭到损坏或篡改。 完整性算法:哈希算法是不可逆算法。MD5 SHA MD5(原始数据+密钥)=...
IPSec
FSZ111的博客
11-16 2928
简介 IPSec协议族是IETF制定的一系列安全协议,它为端到端IP报文交互提供了基于密码学的、可互操作的、高质量的安全保护机制。IPSec VPN是利用IPSec隧道建立的网络VPNIPSec协议体系 IPSec通过验证头AH和封装安全荷载ESP两个安全协议实现IP报文的安全保护。 AH是报文头验证协议i,主要提供数据源验证、数据完整性验证和防报文重放功能,不提供加密功能。 ESP是封装安全荷载协议,主要提供加密、数据源验证、数据完整性验证和防报文重放功能。 AH和ESP协议提供的安全功能依赖于
Huawei----隧道技术(一)
weixin_45777287的博客
07-28 1257
一、GRE Over IPSec的缺陷 1、IPSec隧道集中在Hub点,所有流量都穿越Hub点 2、每增加一个新的Spoke点,Hub点都必须被配置 3、若Spoke点的公网地址是动态变化的,部署点到点的GRE会存在问题 二、DSVPN原理 1、名词解释: DSVPN:动态智能VPN MGRE:多点GRE NHRP协议:下一跳地址解析协议 可选的IPSec封装:实现数据的安全传输 2、原理: (1)DSVPN通过NHRP协议(Next Hop Resolution Protocol,下一跳地址解析协议)
shortcut场景DSVPN(OSPF协议)配置
Qconfig100的博客
09-14 240
该拓扑中,某大型企业有企业总部(Hub)和多个分公司 (Spoke 1、Spoke 2、Spoke 3、Spoke 4)分布在不同地域,总部和分公司的子网环境经常出现变动,分支采用动态的地址接入公网。计划使用OSPF 路由协议,希望实现分公司和总部之间VPN互联的同时,分公司间也能建立VPN互联。
VPNIPSEC、AH、ESP、IKE、DSVPN
xiaooxiangg的博客
04-14 3962
身份认证也称为“身份验证”或“身份鉴别”,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。数字签名,客户端支持的最高版本,加密套件列表,压缩算法列表,客户端随机数。
安全防御之IPsec VPN
weixin_67259816的博客
04-14 5457
该篇文章主要是对IPSEC的总结和实践。包括架构的理解,流程的分析,在路由器和防火墙上的配置
IPSEC实验(IPSECVPN点到点,DSVPN,IPSECVPN旁挂)
weixin_56102955的博客
04-13 2466
一、复现实验 1、防火墙的IPSECVPN点到点实验 -1,拓扑图的搭建 -2,配置IP,开通ping,并且设置策略 -3,在网络中的IPSEC进行配置 第一阶段:发出的UDP500流量 第二阶段 发出的ESP流量 二台防火墙建立策略 禁用其它策略,在IPSEC配置策略和感兴趣流(往返流量) 配置往返流量 改造IPSEC-FW12均配置 感兴趣流合并 二,GRE实验 封装前的流量(FW12)![](https://img-blog.csdnimg.cn/5d4de4b992ce4719b83ce7ca32
DSVNP基础原理
热门推荐
曹世宏的博客
09-16 1万+
GRE over IPSec的缺陷 GRE over IPSec的缺陷: 图:企业典型的Hub-Spoke组网(配置DSVNP之前) 如上图,如果一个公司又很多分支站点,采用GRE over IPSec的话会存在如下缺点: IPSec隧道集中在Hub点,所有流量都穿越Hub点。 所有流量通过总部封装和解封装时,会引入额外的网络延时。 每增加一个新的Sopke点,Hub点都必须被配置。 若Spo...
Ensp综合实验-记录
hublive的博客
11-06 247
总体实现效果:1、各区域可以根据条件规则ping通ISP服务器2、各区域通过DSVPN组成hub-spoke实现互通3、当DSVPN中线路出现问题,MPLS VPN来接替实现网络互通4、DSVPN优先级大于MPLS VPN
VPN的简介以及在ENSP中的基础配置
2301_76602495的博客
01-24 720
tunnel和网段的数量将成指数上升,路由表将变大,要求所有的节点为固定的公有IP地址;当拓扑结构为中心到站点(轴辐状)—不是所有网点均为固定的公有ip,没法所有tunnel设备相互注册;普通的GRE为点到点网络类型;若将多个节点使用普通GRE连接起来,将配置大量的网段和路由信息,且所有节点为固定IP地址;NHRP:下一跳路径发现协议 非固定ip地址分支站点,主动到固定IP的中心站点注册;若所有tunnel对应的公有ip均为固定ip地址,可以让每台路由器均称为中心站点,两两间均进行注册;
华三gre over ipsec配置
06-06
华三GRE over IPSec配置是一种网络配置方式,可以实现两个不同网络之间的通信。具体配置步骤如下: 1. 配置IPSec隧道:在两个网络设备上分别配置IPSec隧道,包括加密算法、认证算法、预共享密钥等参数。 2. 配置...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值