HCIE-Security Day28:IPSec:实验(三)总部采用ISAKMP方式安全策略组与分支机构之间建立IPSec PN

已于 2022-03-20 14:54:32 修改
阅读量736 收藏 3
点赞数
分类专栏: HCIE-Security
于 2022-03-20 14:53:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36813857/article/details/123612356
版权
本文通过总部FW_A与分支机构FW_B、FW_C之间的IPSec隧道配置,详细介绍了ISAKMP方式IPSec安全策略的配置步骤和验证方法。ISAKMP方式适用于对端IP地址固定的场景,简化了手工配置的复杂性,特别是对于多个分支的网络。文中强调了配置接口地址、安全区域、IPSec策略、IKE peer以及SPI的重要性,并通过抓包分析加深了对IPSec SA和IKE SA的理解。
摘要由CSDN通过智能技术生成

ISAKMP方式IPSec安全策略适用于对端IP地址固定的场景,一般用于分支的配置

ISAKMP方式IPSec安全策略直接在IPSec安全策略视图中定义需要协商的各参数,协商发起方和响应方参数必须配置相同。配置了ISAKMP方式IPSec安全策略的一端可以主动发起协商。

如果说isakmp方式中ike的协商过程让我们感觉到采用手工配置的方法更简单,更好理解ipsec,那么我们使用总部分支的结构来理解isakmp的方式,就会发现比手工方式还是简单一些的。 

需求和拓扑 

某企业分为总部和两个分支机构。组网如下:

  • 分支机构1和分支机构2分别通过FW_B和FW_C与Internet相连。
最低0.47元/天 解锁文章
信封同学
关注
专栏目录
IPsec体系结构及ISAKMP协议实现流程
01-10
IPsec体系结构;ISAKMP协议框架的实现;IKE协议的实现
×××中ipsecisakmp的实现(中)
weixin_34291004的博客
12-14 356
×××中ipsecisakmp的实现 说明:动态ipsec是通过isakmp的方法实现,是用户两端自动学习协商建立sa,无需手工建立。 注:由于实验条件有限,Internet有路由器代替模拟。 一、Fw-1的配置 [fw-1]inter eth0/0 [fw-1-Ethernet0/0]ip add 192.168.101.55 255...
ipsec技术isakmp(动态)应用
weixin_34337381的博客
12-14 399
IPSEC技术应用 isakmp模式 F1配置: [f1]inter eth0/0 [f1-Ethernet0/0]ip address 192.168.1.254 24 [f1-Ethernet0/0]loopback [f1-Ethernet0/0]inter eth0/1 [f1-Ethernet0/1]...
ISAKMP - 安全关联协商
JwLee的专栏
10-20 3364
前面说过,ISAKMP主要有个过程:SA协商、密钥交换和认证。本篇主要讨论SA协商。            首先要明白一个问题:为什么需要协商?为什么协议不规定使用某种特定的算法,这样实现上可以变得简单很多?            要回答这个问题,我们必须全面的审视网络通信的环境。所有的安全服务都与网络的配置和环境有关。互联网很有意思的一点在于,任何一台互联网设备可随时随地的接入,也可以
华为***技术二:IpSec
weixin_34417200的博客
11-26 1102
拓扑:手工配置配置步骤:1、配置安全策略 ①配置引流路由 ip route-static 0.0.0.0 0.0.0.0 202.138.163.2 ###配置明细路由即可 ②配置保护的数据流 acl number 3000rule 5 permit ip source 10.1.1.0 0.0.0.255 destination ...
HCIE-Security Day29:IPSec实验(四)总部分支机构之间建立IPSec PN采用策略模板方式总部采用固定IP)
小梁的博客
03-20 1960
采用策略模板方式ipsec安全策略可以简化多条ipsec隧道建立时的配置工作量。适用于对端ip地址不固定,比如dhcp或者pppoe,一般用于总部的配置。 建立时,未定义的可选参数由发起方来决定,响应方会接受发起方的建议,本端配置了策略模板方式ipsec安全策略时不能发起协商,只能作为协商响应方接受对端的协商请求。(比如ike peer中定义的隧道对端ip地址) 只能有一方是配置策略模板,另一方必须配置isakmp方式ipsec安全策略。 需求和拓扑 企业分为总部(HQ)和两个分支机...
HCIE-Security Day31:IPSec实验(六)配置PPPoE拨号分支与总部建立IPSec隧道示例
小梁的博客
03-22 1316
需求和拓扑 FWA为企业分支网关,FWB为企业总部网关,分支与总部通过公网建立通信。分支网关通过PPPoE方式接入公网,PPPoE_Server为分支网关分配IP地址的服务器。 企业希望对分支与总部之间相互访问的流量进行安全保护。分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。由于分支网关作为PPPoE客户端获取IP地址,总部无法获取其IP地址,所以总部网关只能响应分支网关发起的IPSec协商。 操作步骤 1、配置接口地址和安全区...
HCIE-Security Day26:IPSec实验(一)两个网关之间通过IKE方式协商IPSec PN隧道(采用预共享密钥认证)
小梁的博客
03-16 5599
实验:两个网关之间通过IKE方式协商IPSec VPN隧道(采用预共享密钥认证) 组网需求 网络A和网络B分别通过FW_A和FW_B连接到Internet。网络环境描述如下: 网络A属于10.1.1.0/24子网,通过接口GigabitEthernet 0/0/3与FW_A连接。 网络B属于10.1.2.0/24子网,通过接口GigabitEthernet 0/0/3与FW_B连接。 FW_A和FW_B路由可达。 通过组网实现如下需求:在FW_A和FW_B...
HCIE-Security Day27:IPSec实验(二)两个网关之间通过手工方式创建IPSec PN隧道
小梁的博客
03-20 1015
手工方式ipsec安全策略所有的安全参数都需要手工配置,配置工作量大,因而适用于小型静态环境。 需要用户分别针对出入方向sa手工配置认证/加密密钥、spi等参数,并且隧道两端的这些参数都需要镜像配置,即本段的入方向sa参数必须和对端的出方向sa参数一样,本端的出方向sa参数必须和对端的入方向sa参数一样。 需求和拓扑 网络A和网络B之间采用网关对网关组网模式进行资源传输。网络A和网络B分别通过FW_A和FW_B连接到Internet。网络环境描述如下: 网络A属于10.1.1.0/24子网.
IPsec案例
fairy_xp的博客
04-12 416
某5G优享项目,为保证数据安全传输,客户预建立Ipsec传输隧道,在实施方案的设计过程中发现移动核心网侧只能配置Tunnel模式,而隧道客户侧深信服5GUPF下沉配置的是Acl模式,配置模式不匹配,因此不能建立传输隧道。(注:在5G UPF下沉建立IPSec隧道时只能使用tunnel模式)
路由器基础(十二):IPSEC VPN配置
最新发布
limengshi138392的博客
11-04 9565
路由器基础(十二):IPSEC VPN配置
一张图认识IPSec,区分IKE SA(ISAKMP SA)和IPSec SA
pz641的博客
03-10 1万+
IPSec工作在网络层,一般用于两个子网之间的通信。 IPSec主要分为两个环节 第一环节使用IKE(Internet Key Exchange)完成身份鉴别、建立通信、确定安全策略和密钥 第二环节使用IPSec安全策略和密钥对数据进行保护。 ...
IPsec ISAKMP协议
热门推荐
bytxl的专栏
06-30 2万+
IPsec ISAKMP:Internet 安全连接和密钥管理协议 (ISAKMP:Internet Security Association and Key Management Protocol)   Interne 安全连接和密钥管理协议(ISAKMP)是 IPsec 体系结构中的一种主要协议,它结合加密安全的概念,密钥管理和安全连接来建立政府,商家和因特网上的私有通信所需要的安全。
IPsec中IKE与ISAKMP过程分析(主模式-消息5和消息6)
ryanzzzzz的博客
04-30 1333
消息5和消息6结构基本相同,都是经过IPsec通信双方实体相互鉴别和参数交换后各自生成共享密钥后,发送Hash数据结构鉴别前面的交换过程是否正确。 HASHi = PRF(SKEYID, CKY-I|CKY-R|SAi_b|IDi_b) HASHr = PRF(SKEYID,CKY-R|CKY-I|SAr_b|IDr_b) PRF是HMAC运算过程,这里按照之前的算法协议使用SM3-HMAC算法,密钥为SKEYID。
IPSec隧道配置实验(IKE动态协商方式
A soul tortured by desire
08-06 4095
实验目的: 采用IKE动态协商方式建立IPSec隧道 组网需求: R1为企业分支出口路由,R2为企业总部出口路由,总部与分支通过公网建立通信。 企业希望对总部子网与分支子网之间相互访问的流量进行安全保护。总部与分支通过公网建立通信,可以在总部出口路由网关与分支出口路由网关之间建立一个IPSec隧道来实现安全保护。 配置操作: *****************R1企业分支******************** <Huawei>sys Enter system view, re
IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
frankluwei的专栏
12-13 6953
IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置   USG5500A 与USG5500C、USG5500D建立IPSEC VPN Tunnel,其中USG5500C穿越USG5500B NAT;USG5500A 、USG5500D  undo nat traversal。 ISP配置(用路由器模仿Internet) dis cur # sysname ISP
IPsec中IKE与ISAKMP过程分析(快速模式-消息1)
ryanzzzzz的博客
05-01 1992
IKE在第一阶段(主模式)完成ISAKMP SA协商并通过密钥交换的到工作密钥。在IKE第二阶段(快速模式)的信息将由ISAKMP SA来保护,所以除ISAKMP头外的所有载荷都要加密。 在HDR之后,是Hash结构(HMAC)用来保证本消息的完整性和数据源身份鉴别。 HAHS = PRF(SKEYID_a, Msg_id | Ni_b | SA [| IDi | IDr]),HMAC密钥为SKEYID_a,IDi和IDr为可选字段。
IPSEC的原理及配置步骤整理(一)
m0_60444349的博客
08-10 6485
3.7 创建自定义服务,对外网放行UDP 500端口(IPSEC中的ike协议采用此端口发起和响应协商),在有NAT穿越的场景下,还要放开4500端口。(1)配置封装协议(有AH、ESP和AH-ESP种);*******Ike就是用来创建和更新密钥的协议,用于IKE SA的协商,IPsec双方使用协商好的IKE SA去对IPsec SA的协商进行保护。IPSEC封装模式:封装模式是指将AH或ESP相关的字段插入到原始IP报文中,以实现对报文的认证和加密,封装模式有传输模式和隧道模式两种。.........
"HCIE-Security备考指南:NAT策略精萃
HCIE-Security备考指南——NAT策略1 本文是《HCIE-Security备考指南——NAT策略1》的总结,对于备考HCIE-Security的考生来说,掌握好NAT策略是非常重要的。下面将根据HCIE-Security备考指南的内容,详细介绍NAT策略...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信封同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值