IPsec典型配置举例 -采用手工方式建立保护IPv4 报文的IPsec隧道

最新推荐文章于 2024-06-09 20:48:10 发布
最新推荐文章于 2024-06-09 20:48:10 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: H3C 文章标签: IPSEC 手动创建ipsec
解不开的未知数
本文链接:https://blog.csdn.net/qq_33819574/article/details/81029916
版权
1. 组网需求
在 Router A 和 Router B 之间建立一条 IPsec 隧道,对 Host A 所在的子网(10.1.1.0/24)与 Host B
所在的子网(10.1.2.0/24)之间的数据流进行安全保护。具体要求如下:
1-25
• • 封装形式为隧道模式。
• • 安全协议采用 ESP 协议。
• • 加密算法采用采用 128 比特的 AES,认证算法采用 HMAC-SHA1。
• • 手工方式建立 IPsec SA。
2. 组网图
图1-7 保护 IPv4 报文的 IPsec 配置组网图
 
 
3. 配置步骤
(1) 配置 Router A
# 配置各接口的 IP 地址,具体略。
# 配置一个 ACL,定义要保护由子网 10.1.1.0/24 去往子网 10.1.2.0/24 的数据流。
<RouterA> system-view
[RouterA] acl number 3101
[RouterA-acl-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0
0.0.0.255
[RouterA-acl-adv-3101] quit
# 配置到达 Host B 所在子网的静态路由。2.2.2.3 为本例中的直连下一跳地址,实际使用中请以具
体组网情况为准。
[RouterA] ip route-static 10.1.2.0 255.255.255.0 gigabitethernet 2/1/2 2.2.2.3
# 创建 IPsec 安全提议 tran1。
[RouterA] ipsec transform-set tran1
# 配置安全协议对 IP 报文的封装形式为隧道模式。
[RouterA-ipsec-transform-set-tran1] encapsulation-mode tunnel
# 配置采用的安全协议为 ESP。
[RouterA-ipsec-transform-set-tran1] protocol esp
# 配置 ESP 协议采用的加密算法为采用 128 比特的 AES,认证算法为 HMAC-SHA1。
[RouterA-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128
[RouterA-ipsec-transform-set-tran1] esp authentication-algorithm sha1
[RouterA-ipsec-transform-set-tran1] quit
# 创建一条手工方式的 IPsec 安全策略,名称为 map1,序列号为 10。
[RouterA] ipsec policy map1 10 manual
# 指定引用 ACL 3101。
1-26
[RouterA-ipsec-policy-manual-map1-10] security acl 3101
# 指定引用的 IPsec 安全提议为 tran1。
[RouterA-ipsec-policy-manual-map1-10] transform-set tran1
# 指定 IPsec 隧道对端 IP 地址为 2.2.3.1。
[RouterA-ipsec-policy-manual-map1-10] remote-address 2.2.3.1
# 配置 ESP 协议的出方向 SPI 为 12345,入方向 SPI 为 54321。
[RouterA-ipsec-policy-manual-map1-10] sa spi outbound esp 12345
[RouterA-ipsec-policy-manual-map1-10] sa spi inbound esp 54321
# 配置 ESP 协议的出方向 SA 的密钥为明文字符串 abcdefg,入方向 SA 的密钥为明文字符串
gfedcba。
[RouterA-ipsec-policy-manual-map1-10] sa string-key outbound esp simple abcdefg
[RouterA-ipsec-policy-manual-map1-10] sa string-key inbound esp simple gfedcba
[RouterA-ipsec-policy-manual-map1-10] quit
 # 在接口 GigabitEthernet2/1/2 上应用 IPsec 安全策略 map1。
[RouterA] interface gigabitethernet 2/1/2
[RouterA-GigabitEthernet2/1/2] ip address 2.2.2.1 255.255.255.0
[RouterA-GigabitEthernet2/1/2] ipsec apply policy map1
[RouterA-GigabitEthernet2/1/2] quit
(2) 配置 Router B
# 配置各接口的 IP 地址,具体略。
# 配置一个 ACL,定义要保护由子网 10.1.2.0/24 去往子网 10.1.1.0/24 的数据流。
<RouterB> system-view
[RouterB] acl number 3101
[RouterB-acl-adv-3101] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0
0.0.0.255
[RouterB-acl-adv-3101] quit
# 配置到达 Host A 所在子网的静态路由。2.2.3.3 为本例中的直连下一跳地址,实际使用中请以具
体组网情况为准。
[RouterB] ip route-static 10.1.1.0 255.255.255.0 gigabitethernet 2/1/2 2.2.3.3
# 创建 IPsec 安全提议 tran1。
[RouterB] ipsec transform-set tran1
# 配置安全协议对 IP 报文的封装形式为隧道模式。
[RouterB-ipsec-transform-set-tran1] encapsulation-mode tunnel
# 配置采用的安全协议为 ESP。
[RouterB-ipsec-transform-set-tran1] protocol esp
# 配置 ESP 协议采用的加密算法为 128 比特的 AES,认证算法为 HMAC-SHA1。
[RouterB-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128
[RouterB-ipsec-transform-set-tran1] esp authentication-algorithm sha1
[RouterB-ipsec-transform-set-tran1] quit
# 创建一条手工方式的 IPsec 安全策略,名称为 use1,序列号为 10。
[RouterB] ipsec policy use1 10 manual
# 指定引用 ACL 3101。
[RouterB-ipsec-policy-manual-use1-10] security acl 3101
1-27
# 指定引用的 IPsec 安全提议为 tran1。
[RouterB-ipsec-policy-manual-use1-10] transform-set tran1
# 指定 IPsec 隧道对端 IP 地址为 2.2.2.1。
[RouterB-ipsec-policy-manual-use1-10] remote-address 2.2.2.1
# 配置 ESP 协议的出方向 SPI 为 54321,入方向 SPI 为 12345。
[RouterB-ipsec-policy-manual-use1-10] sa spi outbound esp 54321
[RouterB-ipsec-policy-manual-use1-10] sa spi inbound esp 12345
# 配置 ESP 协议的出方向 SA 的密钥为明文字符串 gfedcba,入方向 SA 的密钥为明文字符串
abcdefg。
[RouterB-ipsec-policy-manual-use1-10] sa string-key outbound esp simple gfedcba
[RouterB-ipsec-policy-manual-use1-10] sa string-key inbound esp simple abcdefg
[RouterB-ipsec-policy-manual-use1-10] quit
# 在接口 GigabitEthernet2/1/2 上应用 IPsec 安全策略 use1。
[RouterB] interface gigabitethernet 2/1/2
[RouterB-GigabitEthernet2/1/2] ipsec apply policy use1
[RouterB-GigabitEthernet2/1/2] quit
4. 验证配置
以上配置完成后,Router A 和 Router B 之间的 IPsec 隧道就建立好了,子网 10.1.1.0/24 与子网
10.1.2.0/24 之间数据流的传输将受到生成的 IPsec SA 的保护。可通过以下显示查看 Router A 上手
工创建的 IPsec SA。
[RouterA] display ipsec sa
-------------------------------
Interface: GigabitEthernet2/1/2
-------------------------------
 
  -----------------------------
  IPsec policy: map1
  Sequence number: 10
  Mode: manual
  -----------------------------
    Tunnel id: 549
    Encapsulation mode: tunnel
    Path MTU: 1443
    Tunnel:
        local  address: 2.2.2.1
        remote address: 2.2.3.1
    Flow:
        as defined in ACL 3101
    [Inbound ESP SA]
      SPI: 54321 (0x0000d431)
      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
      No duration limit for this SA
    [Outbound ESP SA]
      SPI: 12345 (0x00003039)
      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
      No duration limit for this SA
Router B 上也会产生相应的 IPsec SA 来保护 IPv4 报文,查看方式与 Router A 同,此处略。
解不开的未知数
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
h3c 虚拟服务器 下一跳,H3C vLNS系列虚拟L2TP网络服务器 配置指导-E0324-5W100
weixin_42250528的博客
08-10 671
IPv6静态路由与IPv4静态路由类似,适合于一些结构比较简单的IPv6网络。在配置IPv6静态路由之前,需完成以下任务:使用undo ipv6 route-static命令可以删除一条IPv6静态路由,而使用delete ipv6 static-routes all命令可以删除包括缺省路由在内的所有IPv6静态路由。路由振荡时,使能BFD功能可能会加剧振荡,请谨慎使用。BFD(Bidirecti...
华为IPSEC-×××-典型配置举例1-采用手工方式建立IPsec 安全隧道
weixin_33881050的博客
03-26 482
华为IPSEC-×××-典型配置举例1-采用手工方式建立IPsec 安全隧道 一:企业组网需求: 1, 某公司(总部在北京)有两个子公司分别在上海和广州,要求通过×××实现公司之间相互通信! 2, 实验环境如下:要求192.168.1.0/24网段的员工分别与192.168.2.0/24,192.168.3.0/24的员工通信!(中间的为公...
Python搭建自己的VPN
最新发布
yushibing717的博客
06-09 88
虚拟专用网络(VPN)作为一种有效的解决方案,通过加密通信和隧道技术,为用户在公共网络上提供安全的连接。本文将带您深入了解 VPN 的工作机制,并展示如何使用 Python 和 strongSwan 库构建一个高级 VPN 连接,以实现更高级别的安全性和灵活性。在建立 VPN 连接时,用户必须通过身份验证,这通常涉及用户名和密码,或者采用更高安全性的身份验证方式。通过今天的学习,希望你能够对 VPN 有更深入的理解,并能够动手实践,构建一个属于自己的安全 VPN 连接。身份验证与授权:严格的访问控制。
IPSec隧道配置案例(手动模式)
热门推荐
LiBai'S BLOG
04-08 1万+
IPSec VPN配置案例要求拓扑配置基础配置IPSec VPN配置分析原因解决方法IPSec VPNIPSec 核心功能IPSec 技术框架IPSec安全协议IPSec封装模式安全联盟IKE 配置案例 要求 配置IP地址、DHCP、路由、NAT 内网可以访问公网2.2.2.2 配置IPsec VPN PC1能直接访问PC2 抓包验证数据是否加密 拓扑 配置 基础配置 青海分部IP地址、DHCP、NAT、路由 sys sys QH dhcp enable acl 2000 rule permit
笔记:基于ACL方式手工建立IPSec隧道
qq_64173242的博客
05-21 493
配置参考:友人a笔记 链接华为 Router配置采用手工方式建立IPSec隧道_友人a笔记的博客-CSDN博客_ipsec隧道建立过程 一、拓扑图: 二、配置思路 采用如下思路配置采用手工方式建立IPSec隧道配置接口的IP地址和到对端的静态路由,保证两端路由可达。 配置ACL,以定义需要IPSec保护的数据流。 配置IPSec安全提议,定义IPSec保护方法。 配置安全策略,并引用ACL和IPSec安全提议,确定对何种数据流采取何种保护方法。 在接口上应用安全策略组,使接口具有IP
H3C IPSec配置手记
cthomson的博客
09-23 3746
以上配置完成后,ipsec1和ipsec2之间如果有子网172.16.168.0/24与子网192.168.168.0/24之间的报文通过,将触发IKE进行IPsec SA的协商。IKE成功协商出IPsec SA后,子网172.16.168.0/24与子网192.168.168.0/24之间数据流的传输将受到IPsec SA的保护。# 创建一条IKE协商方式IPsec安全策略,名称为map1,序列号为10。# 创建一条IKE协商方式的安全策略,名称为map1,序列号为10。
采用默认配置通过IKE协商方式建立IPSec隧道示例.zip
03-27
ensp采用默认配置通过IKE协商方式建立IPSec隧道示例
虚拟隧道接口建立GRE over IPSec配置
08-31
虚拟隧道接口建立GRE over IPSec配置
H3C防火墙和UTM设备IPSec典型配置举例.pdf
11-01
H3C防火墙和UTM设备IPSec典型配置举例.pdf
手工方式建立IPSec隧道示例.zip
03-27
ensp手工方式建立IPSec隧道示例
华为L2TP+ipsec野蛮模式,nat穿越 配置实例
08-30
华为L2TP+ipsec野蛮模式,nat穿越 配置实例 。。。。。。。。。。。。。
ENSP IBGP负载均衡 (虚拟下一跳方案)实验文件
04-11
ENSP IBGP负载均衡 (虚拟下一跳方案)实验文件
python实现ipsec开权限实例
12-23
本文实例讲述了python实现ipsec开权限的方法。分享给大家供大家参考。具体实现方法如下: windows自带的命令行工具netsh ipsec static add filter不支持批量添加,还会添加重复的规则进去。我用python编写了ipsecset解决了上述问题,支持批量添加,同一个列表里避免重复的规则。 为了方便使用,已编译成exe,源码和程序在下面的链接里 语法: 参数和netsh ipsec static add filter的参数是一样的,不区分大小写 必要参数: srcaddr=(me/any/特定ip/网段) dstaddr=(me/any/特定ip/网段) dstp
IPsec小实验:手工方式建立保护IPv4报文IPsec-ESP隧道
衡水铁头哥的博客
07-14 1468
前面用VXLAN和EVPN介绍了跨广域网大二层网络互通的方案,但是我们也发现这种新技术对设备的能力有要求,成本可能会提升。那能不能用简单一点的方案呢?相信机智的小伙伴已经发现我前几天的IPsec的RFC文档,那么今天就用IPsec来操练一下吧。 实验原型借鉴H3C典型配置采用手工方式建立保护IPv4报文IPsec隧道”,https://www.h3c.com/cn/d_202103/1390179_30005_0.htm#_Toc65521983。 组网需求 在RT1和RT2之间建立一条IPsec
使用BGP的虚拟下一跳实现IGP的路由负载
weixin_30607659的博客
08-03 925
网络拓扑: XRV1 ============================================================== !hostname XRV1! interface Loopback0 ip address 220.198.32.1 255.255.255.255 ip router isis 100!interface Loopback1 ip ad...
利用BGP虚拟下一跳实现链路负载均衡
weixin_30263277的博客
04-09 1363
最近针对BGP链路负载均衡方案“虚拟下一跳”进行了总结,现将总结的PPT贴上来。 转载于:https://www.cnblogs.com/baihualin/p/10678813.html
H3C msr2630路由 ipsec site to site ***配置实例
weixin_34356310的博客
08-04 814
近日公司和兄弟单位要做***,环境是对端h3c msr2630路由,本端是paol alto3020防火墙,palo端网页配置很快完成,但对端本想用网页配,但坑爹的华三这个机器却不支持网页配,必须命令行,好吧 那就硬着头皮干吧,网上找了找,都是些缺头少尾的东西,没法用的上,后来没办法,只能找H3C工程师来协助,把***所需的所有参数发给h3c后,给了份配置,如获视宝,赶紧...
h3c 虚拟服务器 下一跳,H3CNE 312题和313题 直连路由静态路由的下一跳问题
weixin_39636610的博客
08-10 896
321.在MSR 路由器上看到路由表里有如下显示: Destination/Mask Proto Pre Cost NextHop Interface 127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0 127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0 192.168.96.0/19 Direct 0 0 192.168.120.15...
IPSEC穿越NAT典型配置指导
09-14
IPSEC穿越NAT典型配置指导是一种用于在路由器上配置IPSEC穿越NAT的方法,本文将简单描述IPSEC及其穿越NAT特性的特点,详细描述路由器上配置IPSEC穿越NAT的基本方法和详细步骤,最后给出一种IPSEC穿越NAT方法的配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值