企业级无固定IPSEC配置实战

最新推荐文章于 2024-09-12 14:25:45 发布
最新推荐文章于 2024-09-12 14:25:45 发布
阅读量554 收藏
点赞数
分类专栏: 网络协议栈 网络设备 5G 物联网 网络工具开发 文章标签: 前端 数据库 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35029061/article/details/133601130
版权
本文详细介绍了企业级IPsec隧道的动态建立,包括主模式和野蛮模式的实施,特别是针对非固定IP地址的场景。通过DDNS支持,实现了双站点之间的安全连接。主模式在新款设备中已支持域名身份验证,安全性优于野蛮模式,但野蛮模式提供了更灵活的应用。文中给出了单站点和双站点的配置实例。
摘要由CSDN通过智能技术生成

早期主模式不能使用在非固定IP场景下 , 进行身份验证密钥查找时,只能根据IP地址进行查找 , 不能根据域名方式进行查找预共享密钥-无法进行身份验证。早期解决方案使用野蛮模式。

目前新款网络设备中,大部分设备已经完成主模式功能更新,可以支持通过域名方式完成身份验证。

大部分场景下可以不再考虑使用野蛮模式,安全系数低于主模式。

1、IPsec隧道动态建立(IKE协商–主模式)

local-address 12.1.1.1
remote-address 23.1.1.3

ike peer SH-R3 v1
 pre-shared-key cipher huawei
 ike-proposal 5
 local-address 12.1.1.1
 remote-address 23.1.1.3

ike peer SH-R3 v1
 pre-shared-key cipher huawei
 ike-proposal 5
 local-address 12.1.1.1
 remote-address www.abc.com

主模式协商方式虽然安全可靠,但是在

了解本专栏 订阅专栏 解锁全文 超级会员免费看
wespten
关注
专栏目录
订阅专栏
DDNS动态域名无固定IPSEC配置实战
悦分享
10-09 498
企业业务环境下,注册公司域名比如www.abc.com注册的地址是1.1.1.1,如果企业接口地址发生了变化,变为了1.1.1.2后注册的www.abc.com无法对应到1.1.1.1IP地址。当访问一个站点,如果站点是固定IP,用户可以直接通过固定IP方式进行访问对应站点,也可以通过域名方式进行访问,无需通过DDNS进行动态注册。在域名购买服务商进行静态绑定。先注册DDNS账户,添加DDNS服务器的信息,一旦出口地址发生了变化,会通知DDNS服务器,更新后的DNS提交给全网的DNS-Server。
防火墙动态IPSEC-V.P.N企业级配置实战
悦分享
10-09 174
网络拓扑:用户需求:防火墙配置默认路由:查看静态路由:1. 分析安全区域流量走向,配置安全策略FW1: FW2: 2. 防火墙配置IPSEC配置FW1: FW2: 抓包分析:验证: 点击IPSEC:点击新建:配置参数:添加加密数据流: 设置哪些协议加密。 设置IKE安全提议:设置IPSec安全提议: 查看ike配置: 查看IKE协商:PC1访问AR2上的G0/0/0口,配置NAT上网后,PC1和PC2隧道仍然能通信。防火墙security–policy配置: 防火墙NAT-
H3C 830ipsec配置实例无固定IP
江湖小飞将的博客
11-20 5439
acl advanced 3600 rule 0 permit ip source 10.2.2.0 0.0.0.3 destination 192.168.20.0 0.0.0.255 rule 5 permit ip source 10.2.2.0 0.0.0.3 destination 192.168.10.0 0.0.0.255 rule 10 permit ip source 172.2.2.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 1
实战案例(6)动态公网地址配合DDNS组网
最新发布
网络之路Blog(其他平台同名)
09-12 1005
需求:客户外网是ADSL拨号,但是可以获取到动态的公网地址,现在有一台服务器需要对外发布服务,但是存在一个问题就是ADSL拨号在一定时间后,运营商会回收这个地址,ADSL会重新拨号获取新的地址,本身客户记住的是A地址,但是重拨后换成了B地址,导致业务访问失败,需要解决地址变化带来的访问问题,解决这个就需要用到标题提到的一个技术叫做DDNS。
CiscoIPSEC –无固定IP 总部有固定IP—ID(分支机构ID—hostname 总部来区分
weixin_33922670的博客
09-20 1189
总部R5 : PC4-inside F0/1 NAT F0/0 outside分部R4 : PC5- inside F0/1 NAT F0/0 outside 分部R6 : PC6- inside F0/1 NAT F0/0 outside 说明:R4:pre-share key 123456 localid:CiscoAR6:pre-share key 1234567 ...
H3C IPsec VPN 野蛮模式配置
bfq05234214的博客
03-10 2637
野蛮模式配置公网地址固定一端: 1.配置IKE fqdn2.创建IKE Proposal(提议),配置IKE的加密和验证算法,验证方法3.创建和配置预共享密钥,使用主机名标识对方身份4.创建IKE Profile(档案),配置为野蛮模式,调用前面创建的Proposal和Keychain,指定对端的FQDN5.创建IPsec转换集,配置IPsec的工作模式,封装协议,验证和加密算法6.创建IPsec策略模板,调用前面创建的IKE Profile,IPsec转换集 7.创建IPsec策略,绑定前面创建的模板
IPSec VPN (二)野蛮模式
weixin_39555693的博客
08-13 1182
分部没有固定ip地址,ike 采用野蛮模式,总部采用安全策略模板。
Cisco防火墙配置实战
悦分享
11-15 1115
Cisco自适应安全设备管理器(Adaptive Security Device Manager,ASDM)通过一个直观、易用、基于Web的管理界面,提供了世界级的安全管理和监控服务。结合Cisco ASA 5500系列自适应安全设备和Cisco PIX安全设备,Cisco ASDM提供的智能向导、强大的管理工具和灵活的监控服务,进一步增强了Cisco安全设备套件提供的先进的集成安全和网络功能,从而加速安全设备的部署。
IKE与IPSec详解
悦分享
08-11 4767
定义: 安全联盟是要建立IPSec 隧道的通信双方对隧道参数的约定,包括隧道两端的IP地址、隧道采用的验证方式、验证算法、验证密钥、加密算法、共享密钥以及生命周期等一系列参数。SA由三元组来唯一标识,这个三元组包括安全参数索引SPI(Security Parameter Index)、目的IP地址和使用的安全协议号(AH或ESP)。其中,SPI是为唯一标识SA而生成的一个32位比特的数值,它在AH和ESP头中传输。在手工配置SA时,需要手工指定SPI的取值。使用IKE协商产生SA时,SPI将随机生成。...
MATLAB算法实战应用案例精讲-【云计算】云网络技术
qq_36130719的博客
09-17 178
云计算时代,资源的虚拟化和资源调配的自动化,为用户提供了弹性的计算、存储和网络资源,进而支持快速和简捷的业务部署。作为互联互通的网络基础设施,如何实现网络的虚拟化,从而支持工作负载的快速变化和物理基础设施的调配,为工作负载提供端到端的网络资源响应,成为急需解的核心问题。网络虚拟化的本质是要实现底层物理网络的抽象,能够在逻辑上对网络资源进行分片或者整合,从而满足各种应用对于网络的不同需求。
【思科】IPsec VPN 实验配置(地址固定
2301_77161465的博客
01-17 2723
本篇文章是关于思科的IPsec VPN里面的,但它的情况是两端的IP地址都是固定的,里面的配置的话,每行都会有注释,会更详细些,有问题可以评论区见啦
安全HCIPIPSec点到多点
XiaoHG_CSDN的博客
10-10 1370
IPSec点到多点 优点 方便扩展分支,增加分支其它机构不需要增加ipsec相关配置配置简单,所有分支只需要指向总部即可; 分支机构可以不使用固定公网IP地址; 缺点 所有分支互访流量必须绕行总部(当然,多数情况下分支只需和总部通信); 流量必须先由分支触发来建立ipsec vpn隧道; 无法启用ospf学习路由; 适用情况 分支间互访流量很少,多数流量是分支和总部互访流量,支持远程出差人员拨号访问,分支数量不要过多建议少于15个(感兴趣流量配置较多) ...
【华为】IPsec VPN 实验配置(地址固定
2301_77161465的博客
01-08 3642
本篇文章是关于IPsec VPN的 实验配置,场景是在两端的IP地址都是固定的情况下,里面有配置思路和配置代码,还有注释等等
总部/分支之间建立点到多点IPSec ×××
weixin_33861800的博客
04-28 1420
总部/分支之间建立点到多点IPSec ×××分支机构和总部之间通信,如果某些分支机构的公网地址固定,另外一些分支机构的公网地址不固定,可采用此方式建立IPSec隧道。组网需求图1 总部与多个分支机构之间的组网示意图如图1所示,组网情况如下:某企业由总部和若干个分支机构组成。总部和分支机构1~分支机构n的IP地址都为固定地址,其他分支机构的IP地址为动态地址。总部和各分支机构的...
IPsec虚拟专用网络
weixin_43622525的博客
01-04 2150
简介
GRE OVER IPSEC(野蛮模式)
weixin_46639226的博客
11-06 3824
## 野蛮模式适用于两端其中有一端地址不固定的情况 实验拓扑 实验思路 1.配置全网地址(这里的地址已经在图上规划,不在赘述) 2.配置ike 3.配置ipsec 4.配置GRE 地址配置完成之后,首先要保证公网可达,因为RT3和RT4是DHCP获取的地址,所以他们上面会有两条默认路由,下一跳是SW5,但是RT1上面没有往公网去的路由,所以要在RT1上配置一条默认路由 RT1 [H3C]ip route-static 0.0.0.0 0 100.1.1.254 RT3 (默认路由是DHCP下发的,优先级
【华为】IPsec VPN 实验配置(动态地址接入)
2301_77161465的博客
01-08 3459
本篇文章是关于IPsec VPN的 实验配置,场景是在一段IP地址是固定和另一端IP地址不固定的情况下的,那里面的配置思路会和两端地址固定的场景有一些不一样,文章里面都有注释,会更好去理解啦等等
CCIE理论-IPSec的主模式和野蛮模式的区别
weixin_48137911的博客
12-01 3680
版本1的IKEV1早期是不支持NAT-T的(NAT穿越),现在都支持了,野蛮模式一直支持。但是野蛮模式,有安全风险,他的身份认证是在第一第二个包里, 而且是明文的!主模式里面,前4个包都是裸奔的,第5个包用来做身份认证,这个是加密的。其实这个不算在数通里面,因为IPsec是安全的技术。这个角度来看,野蛮模式更快,更加节省设备的资源。突然想到这个就写这个了,面试或者考试会问这个。一个是 IKEv1,一个 IKEv2。那么在版本1的阶段1有两个模式。一个叫主模式,一个叫野蛮模式。主模式一共有6个数据包的交互。
锐捷RGNOS配置实战指南:从基础到高级
- IPsec配置,提供加密和身份验证,保障数据传输安全。 - GRE配置,通用路由封装,用于隧道技术。 - PPTP和L2TP配置,实现远程接入服务。 - NAT配置,隐藏内部网络结构,解决IP地址短缺问题。 6. 路由协议配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wespten

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值