IPsec典型配置举例 -采用IKE方式建立保护IPv4 报文的IPsec隧道

最新推荐文章于 2024-09-05 22:08:52 发布
最新推荐文章于 2024-09-05 22:08:52 发布
阅读量4k 收藏 15
点赞数 6
分类专栏: H3C 文章标签: IPSEC IKE ipsec vpn
解不开的未知数
本文链接:https://blog.csdn.net/qq_33819574/article/details/81030074
版权

1-28
采用IKE方式建立保护IPv4 报文的IPsec隧道
1. 组网需求
在 Router A 和 Router B 之间建立一条 IPsec 隧道,对 Host A 所在的子网(10.1.1.0/24)与 Host B
所在的子网(10.1.2.0/24)之间的数据流进行安全保护。具体要求如下:
• • 封装形式为隧道模式。
• • 安全协议采用 ESP 协议。
• • 加密算法采用 128 比特的 AES,认证算法采用 HMAC-SHA1。
• • IKE 协商方式建立 IPsec SA。
2. 组网图
图1-8 保护 IPv4 报文的 IPsec 配置组网图
 
 
3. 配置步骤
(1) 配置 Router A
# 配置各接口的 IP 地址,具体略。
# 配置一个 ACL,定义要保护由子网 10.1.1.0/24 去往子网 10.1.2.0/24 的数据流。
<RouterA> system-view
[RouterA] acl number 3101
[RouterA-acl-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0
0.0.0.255
[RouterA-acl-adv-3101] quit
# 配置到达 Host B 所在子网的静态路由。2.2.2.3 为本例中的直连下一跳地址,实际使用中请以具
体组网情况为准。
[RouterA] ip route-static 10.1.2.0 255.255.255.0 gigabitethernet 2/1/2 2.2.2.3
# 创 IPsec 建安全提议 tran1。
[RouterA] ipsec transform-set tran1
# 配置安全协议对 IP 报文的封装形式为隧道模式。
[RouterA-ipsec-transform-set-tran1] encapsulation-mode tunnel
# 配置采用的安全协议为 ESP。
[RouterA-ipsec-transform-set-tran1] protocol esp
1-29
# 配置 ESP 协议采用的加密算法为 128 比特的 AES,认证算法为 HMAC-SHA1。
[RouterA-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128
[RouterA-ipsec-transform-set-tran1] esp authentication-algorithm sha1
[RouterA-ipsec-transform-set-tran1] quit
# 创建并配置 IKE keychain,名称为 keychain1。
[RouterA] ike keychain keychain1
# 配置与 IP 地址为 2.2.3.1 的对端使用的预共享密钥为明文 123456TESTplat&!。
[RouterA-ike-keychain-keychain1] pre-shared-key address 2.2.3.1 255.255.255.0 key simple
123456TESTplat&!
[RouterA-ike-keychain-keychain1] quit
# 创建并配置 IKE profile,名称为 profile1。
[RouterA] ike profile profile1
[RouterA-ike-profile-profile1] keychain keychain1
[RouterA-ike-profile-profile1] match remote identity address 2.2.3.1 255.255.255.0
[RouterA-ike-profile-profile1] quit
# 创建一条 IKE 协商方式的 IPsec 安全策略,名称为 map1,序列号为 10。
[RouterA] ipsec policy map1 10 isakmp
# 指定引用 ACL 3101。
[RouterA-ipsec-policy-isakmp-map1-10] security acl 3101
# 指定引用的安全提议为 tran1。
[RouterA-ipsec-policy-isakmp-map1-10] transform-set tran1
# 指定 IPsec 隧道的本端 IP 地址为 2.2.2.1,对端 IP 地址为 2.2.3.1。
[RouterA-ipsec-policy-isakmp-map1-10] local-address 2.2.2.1
[RouterA-ipsec-policy-isakmp-map1-10] remote-address 2.2.3.1
# 指定引用的 IKE profile 为 profile1。
[RouterA-ipsec-policy-isakmp-map1-10] ike-profile profile1
[RouterA-ipsec-policy-isakmp-map1-10] quit
# 在接口 GigabitEthernet1/0/2 上应用安全策略 map1。
[RouterA] interface gigabitethernet 2/1/2
[RouterA-GigabitEthernet2/1/2] ip address 2.2.2.1 255.255.255.0
[RouterA-GigabitEthernet2/1/2] ipsec apply policy map1
[RouterA-GigabitEthernet2/1/2] quit
(2) 配置 Router B
# 配置各接口的 IP 地址,具体略。
# 配置一个 ACL,定义要保护由子网 10.1.2.0/24 去往子网 10.1.1.0/24 的数据流。
<RouterB> system-view
[RouterB] acl number 3101
[RouterB-acl-adv-3101] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0
0.0.0.255
[RouterB-acl-adv-3101] quit
# 配置到达 Host A 所在子网的静态路由。2.2.3.3 为本例中的直连下一跳地址,实际使用中请以具
体组网情况为准。
[RouterB] ip route-static 10.1.1.0 255.255.255.0 gigabitethernet 2/1/2 2.2.3.3
# 创建 IPsec 安全提议 tran1。
1-30
[RouterB] ipsec transform-set tran1
# 配置安全协议对 IP 报文的封装形式为隧道模式。
[RouterB-ipsec-transform-set-tran1] encapsulation-mode tunnel
# 配置采用的安全协议为 ESP。
[RouterB-ipsec-transform-set-tran1] protocol esp
# 配置 ESP 协议采用的加密算法为 128 比特的 AES,认证算法为 HMAC-SHA1。
[RouterB-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128
[RouterB-ipsec-transform-set-tran1] esp authentication-algorithm sha1
[RouterB-ipsec-transform-set-tran1] quit
# 创建并配置 IKE keychain,名称为 keychain1。
[RouterB] ike keychain keychain1
[RouterB-ike-keychain-keychain1] pre-shared-key address 2.2.2.1 255.255.255.0 key simple
123456TESTplat&!
[RouterB-ike-keychain-keychain1] quit
# 创建并配置 IKE profile, 名称为 profile1。
[RouterB] ike profile profile1
[RouterB-ike-profile-profile1] keychain keychain1
[RouterB-ike-profile-profile1] match remote identity address 2.2.2.1 255.255.255.0
[RouterB-ike-profile-profile1] quit
# 创建一条 IKE 协商方式的安全策略,名称为 use1,序列号为 10。
[RouterB] ipsec policy use1 10 isakmp
# 指定引用 ACL 3101。
[RouterB-ipsec-policy-isakmp-use1-10] security acl 3101
# 指定引用的 IPsec 安全提议为 tran1。
[RouterB-ipsec-policy-isakmp-use1-10] transform-set tran1
# 指定 IPsec 隧道的本端 IP 地址为 2.2.3.1,对端 IP 地址为 2.2.2.1。
[RouterB-ipsec-policy-manual-use1-10] local-address 2.2.3.1
[RouterB-ipsec-policy-manual-use1-10] remote-address 2.2.2.1
# 指定引用的 IKE 对等体为 profile1。
[RouterB-ipsec-policy-isakmp-use1-10] ike-profile profile1
[RouterB-ipsec-policy-isakmp-use1-10] quit
# 在接口 GigabitEthernet2/1/2 上应用 IPsec 安全策略 use1。
[RouterB] interface gigabitethernet 2/1/2
[RouterB-GigabitEthernet2/1/2] ip address 2.2.3.1 255.255.255.0
[RouterB-GigabitEthernet2/1/2] ipsec apply policy use1
[RouterB-GigabitEthernet2/1/2] quit
4. 验证配置
以上配置完成后,Router A 和 Router B 之间如果有子网 10.1.1.0/24 与子网 10.1.2.0/24 之间的报
文通过,将触发 IKE 进行 IPsec SA 的协商。IKE 成功协商出 IPsec SA 后,子网 10.1.1.0/24 与子
网10.1.2.0/24之间数据流的传输将受到IPsec SA的保护。 可通过以下显示查看到协商生成的IPsec
SA。
[RouterA] display ipsec sa
-------------------------------
Interface: GigabitEthernet2/1/2
-------------------------------
 
  -----------------------------
  IPsec policy: map1
  Sequence number: 10
  Mode: isakmp
  -----------------------------
    Tunnel id: 0
    Encapsulation mode: tunnel
    Perfect Forward Secrecy:
    Path MTU: 1443
    Tunnel:
        local  address: 2.2.3.1
        remote address: 2.2.2.1
    Flow:
    sour addr: 2.2.3.1/0.0.0.0  port: 0  protocol: IP
    dest addr: 2.2.2.1/0.0.0.0  port: 0  protocol: IP
 
    [Inbound ESP SAs]
      SPI: 3769702703 (0xe0b1192f)
      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
      SA duration (kilobytes/sec): 3000/28800
      SA remaining duration (kilobytes/sec): 2300/797
      Max received sequence-number: 1
      Anti-replay check enable: N
      Anti-replay window size:
      UDP encapsulation used for NAT traversal: N
      Status: active
 
    [Outbound ESP SAs]
      SPI: 3840956402 (0xe4f057f2)
      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
      SA duration (kilobytes/sec): 3000/28800
      SA remaining duration (kilobytes/sec): 2312/797
      Max sent sequence-number: 1
      UDP encapsulation used for NAT traversal: N
      Status: active
Router B 上也会产生相应的 IPsec SA 来保护 IPv4 报文,查看方式与 Router A 同,此处略。
解不开的未知数
关注
专栏目录
IPSec秘钥管家(IKE配置详解
悦分享
10-09 536
配置繁琐,需要手工配置SA、SPI、密钥;容易出错;不适合长时间使用同一把密钥进行安全数据加密/数据验证,长时间使用同一把密钥存在安全隐患;定期手工更新,比较繁琐;降低手工配置的复杂度;安全联盟定时更新;密钥定时更新;允许在端与端之间动态认证;目前有两个版本IKEv1/IKEv2;动态IPSEC需要使用交互协议,在两个IPSEC边界设备之间自动协商出对应SA,这个交互协议就是IKE。自动协商 (提前配置IKE);定期更换SA/密钥;降低配置繁琐程度;
锐捷 IPsec 隧道
qq1324434947的博客
01-22 455
local ident (addr/mask/prot/port): (192.168.0.0/0.0.0.255/0/0)) //感兴趣流源地址。remote ident (addr/mask/prot/port): (192.168.1.0/0.0.0.255/0/0)) //感兴趣流目的地址。#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4//成功封装、加密、摘要报文个数。如使用数字证书/信封认证则无需配置
IKE配置命令
weixin_33709219的博客
11-17 1635
IKE配置命令 ike配置命令包括: 1 authentication 2 clear crypto isakmp 3 crypto isakmp enable 4 crypto isakmp key address 5 crypto isakmp policy 6 encryption 7 group ...
ipsec在企业网中的应用(IKE野蛮模式)(转)
weixin_33672400的博客
05-24 397
from:http://lulu1101.blog.51cto.com/4455468/817954 ipsec在企业网中的应用(IKE野蛮模式)   案例: 本实验采用华为三台F100防火墙,和一台s3526交换机,实现ipsec野蛮模式下的vpn通道的建立。Fw1是总部,实现fw1可以与fw2的内部网络互访,fw1和fw3的内部网络互访。fw2和fw3通过DHCP服务器动态获取地址。   拓扑...
使用IKE建立保护IPv6报文IPsec隧道
最新发布
衡水铁头哥的博客
09-05 808
正文共:999 字 11 图,预估阅读时间:1 分钟前面我们介绍了IPv4向IPv6过渡阶段的两种应用场景,分别是GRE over IPv6/ IPv4 over IPv6(配置GRE over IPv6隧道)、IPv6 over IPv4配置IPv6 over IPv4的手动隧道和自动隧道),通过抓包我们可以看到,这两种封装方式对业务报文没有任何保护,毫无安全性可言。如果我们想提高安全性,类似...
新华三网络教程之ipsce实战IKE配置
weixin_44255593的博客
01-26 2243
实验拓扑图 配置步骤 (1)配置MSR36-20_1 #配置各接口的IP地址,具体略。 #配置ACL 3101,定义要保护由子网10.1.1.0/24去子网10.1.2.0/24的数据流。 <H3C>系统视图 [H3C] ACL号3101 [H3C-ACL-ADV-3101]规则允许IP源10.1.1.0 0.0.0.255目标10.1.2.0 0.0.0.255 [H3C-ACL-ADV-3101]退出 复制代码 #创建IPsec安全重置lzc。 [H3C].
利用IKE构建企业虚拟网
cnbird's blog
10-05 823
目前,互联网通信面临的风险主要包括两个方面:1.信息在传输时被偷看或非法修改;2.公网对内部网的非法访问和攻击。在这样的情况下,VPN技术脱颖而出,它可以很好地解决利用互联网传输的安全问题。IPSec是被广泛接受用来实现VPN的技术,在企业中得到广泛应用。IPSec在IP层上对数据包进行保护,它可提供数据源验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务,可以在相当程度上
IPSec配置与实验
qq_43710889的博客
03-28 3539
IPSec配置与实验 IPSec缺省配置 参数 缺省配置 IKE协商时的本端名称 设备本地名称。 发送NAT Keepalive报文时间间隔 20秒。 IKE安全提议 系统缺省提供了一条优先级最低的IKE安全提议 IPSec安全提议 系统没有配置IPSec安全提议。 SA触发方式 自动触发方式IKE SA硬生存周期 86400秒。 全局IPSec SA硬生存周期 基于时间:3600秒。基于流量:1843200千字节(1800兆)。 对解密报文进行ACL检查 未
路由器配置组网
diaozhu2233的博客
04-03 2475
目录 路由协议 RIP IGRP(已经退出历史的舞台) EIGRP(思科私有) OSPF(国际公有) BGP VPN路由传递过程 BGP选路规则 Cisco路由器BGP基本设置 ...
嗅探工具 --- wireshark、tcpdump、dsniff、ettercap、bettercap、netsniff-ng
墨鱼菜鸡
07-11 5046
最好的 MitM 中间人攻击开源框架清单:https://github.com/Chan9390/Awesome-MitM 哔哩哔哩:https://search.bilibili.com/all?keyword=wireshark 1、WireShark WireShark 是一个开源免费的高性能网络协议分析软件,它的前身就是非常著名的网络分析软...
2023 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷
Merrr丶凌乱的博客
10-13 737
2023 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷
IOS IKEv2 IPSec配置(SVTI)
剪刀石头布
09-13 277
1、拓扑 2、目标 通过在R1和R3建立IPSEC,让R1的Lo0和R3的Lo0互通 3、配置步骤 IP地址配置忽略。 3.1、打通路由器连通性 为了实现R1和R3物理接口网段互通,通过R1和R3的静态路由配置。 R1(config)#ip route 23.1.1.0 255.255.255.0 12.1.1.2 R1(config)# R3(config)#ip route 12.1...
IPsec学习总结
qq_47529104的博客
05-06 817
这个阶段IPsec学习了诸多的内容,从一开始的IPsec整个交互过程,到后面的IPsec的具体应用,因为内容颇多,所以在这里记录一下。 IPsec是一个IPv4的安全保护措施,IPsec内夹杂着多个安全协议和多种安全算法,可以算作是协议簇,从一开始的IKEv1的主模式+快速模式,野蛮模式+快速模式,到后面的IKEv2的4包交互,IPsec的也是在不断地发展地。IPsec中主要的两个传输模式隧道模式和传输模式,隧道模式主要用于端对端地保护,其实说它是端到端的主要原因就是因为只有加密包的目的地址是自己,那么该
结合配置、抓包来分析IKE/IPSec的整个协商过程
weixin_41286041的博客
08-18 161
IKE/ISKAMP的协商过程这里主要讲解IKEV1的版本,在V1版本中有两个模式,一个主模式,一个野蛮模式(也称为积极模式),下面就以上一篇的拓扑跟配置为基础,来通过抓包来分析,先从IKE的主模式开始。作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)IKEIPSEC相关的配置回顾当19...
建立点到多点的IPSec隧道IKE安全策略方式
友人A的博客
07-09 2364
主机PC1与PC2、PC3之间可以安全的通信,PC2、PC3通过USG5500A进行安全通信,USG5500A与USG5500B、USG5500C之间使用IKE自动协商建立安全通道,USG5500B、USG5500C不直接建立任何IPSec连接。 USG5500A与USG5500B、USG5500C均为固定公网地址。
华三模拟器(防火墙)实现IPSEC穿越NAT实验
qq_43590351的博客
11-30 9747
华三模拟器(防火墙)实现IPSEC穿越NAT实验 实验拓扑 接口及路由配置省略,FW1和FW2配置默认路由即可实现公网互通(测试两端公网互通即可开始操作) 另外防火墙的策略问题我是用的 any to any,接下来直接上IPSEC配置 FW1 步骤一:在FW1上创建感兴趣流,匹配两端私网地址网段 [FW1] acl advanced 3002 [FW1] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.
HCIE-Security Day32:IPSec:深入学习ipsec ikev1、主模式、野蛮模式、快速模式、dh算法、预共享密钥
小梁的博客
03-31 4270
ipsec ikev1总框架 主动模式=野蛮模式 华为的ike 默认同时支持v1和v2,因此可以向下兼容,当隧道两端同时支持v2时,使用v2. dis ike peer bri 2022-03-30 12:25:59.510 Current ike peer number: 1 --------------------------------------...
IPSEC VPN动态配置(示例)
无心
04-20 1766
EG1(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac//配置ipsec加密转换集,名字为myset,没有指定就写R1一致的。R1(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac//配置ipsec加密转换集,名字为myset。R1(config-crypto-map)#set transform-set myset //指定加密转换集为”myset“
H3C IPsec配置详解:典型组网与应用
"H3C IPsec典型配置举例(1).pdf" 本文档详细介绍了H3C设备上IPsec(IP Security)的典型配置案例,旨在帮助用户理解和实施IPsec在不同网络环境下的应用。IPsec协议是Internet Engineering Task Force (IETF) 为IP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值