HCIE-Security Day30:IPSec:实验(五)配置基于路由的IPSec PN(采用预共享密钥认证)

最新推荐文章于 2023-11-24 14:33:11 发布
最新推荐文章于 2023-11-24 14:33:11 发布
阅读量5.2k 收藏 3
点赞数 1
分类专栏: HCIE-Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36813857/article/details/123621726
版权
本文介绍了如何配置基于路由的IPSec隧道,使用预共享密钥认证,以保护特定数据流。通过ipsec虚拟隧道接口简化配置,支持动态路由并保护组播流量。实验需求是在FW_A和FW_B之间建立IPSec隧道,允许网络A和网络B用户互相访问。详细的操作步骤包括配置接口、路由、安全策略、tunnel接口以及IPSec和IKE安全提议。最后,验证了IKE SA和IPSec SA的建立情况。
摘要由CSDN通过智能技术生成

 

IPSec是基于定义的感兴趣流触发对特定数据的保护,至于什么样的数据是需要IPSec保护的,可以通过以下两种方式定义。其中IPSec感兴趣流即需要IPSec保护的数据流。

此前使用的都是acl方式定义的感兴趣流。

还有一种方式是路由方式。

通过ipsec虚拟隧道接口建立ipsec隧道,将所有路由到ipsec虚拟隧道接口的报文都进行ipsec保护,根据该路由的目的地址确定哪些数据流需要ipsec保护,其中ipsec虚拟隧道接口具有以下优点。

简化配置:不需使用acl定义流量特征

支持动态路由协议

通过gre over ipsec支持对组播流量的保护

虚拟隧道接口(即tunnel接口)是一种三层逻辑接口,通过配置tunnel接口,并在tunnel接口上应用ipsec安全框架建立ipsec隧道。在tunnel接口上应用ipsec安全框架后,系统只会生成一条ipsec隧道,并对所有路由到该隧道接口的数据流进行ipsec保护。

ipsec的tunnel接口的ip地址可以手工配置,可以ikev2协商申请。后

最低0.47元/天 解锁文章
信封同学
关注
专栏目录
IPSec基于路由建立隧道---共享密钥认证方式实验(安全框架)
m0_49864110的博客
05-21 681
目录 基础配置-配置接口IP地址、安全区域、路由 配置接口IP地址 将接口加入相应的安全区域(本次单独为Tunnel口创建一个区域) 配置去公网的路由 配置安全策略 向服务组添加IKE、IPSec协商使用的ISAKMP报文 配置IKE与IPSec协商安全策略 配置安全协议(封装数据报文)的安全策略 配置PC2与PC1互访的安全策略 配置PC1出去内网1的安全策略 配置IPSec采用IKEv1主模式建立SA) 配置IPSec感兴趣路由方式) 配置IKE安全提议(加密、验....
HCIE-Security Day26:IPSec实验(一)两个网关之间通过IKE方式协商IPSec PN隧道(采用共享密钥认证
小梁的博客
03-16 5651
实验:两个网关之间通过IKE方式协商IPSec VPN隧道(采用共享密钥认证) 组网需求 网络A和网络B分别通过FW_A和FW_B连接到Internet。网络环境描述如下: 网络A属于10.1.1.0/24子网,通过接口GigabitEthernet 0/0/3与FW_A连接。 网络B属于10.1.2.0/24子网,通过接口GigabitEthernet 0/0/3与FW_B连接。 FW_A和FW_B路由可达。 通过组网实现如下需求:在FW_A和FW_B...
CCNP课堂练习七:配置基于共享密钥IPSec ×××网络
weixin_33860553的博客
04-24 248
前面的文章中给大家介绍过在windows中配置×××网络,今天我们来在路由器上配置一下基于共享密钥IPSec ×××网络。 那么什么是×××呢? 简单的说,××× 是一种通过Internet或公共网络受保护的链接。 由×××组成的“线路”并不是物理存在的,而是通过技术手段模拟出来的,既是“虚拟”的。不过这种虚拟的专用网络技术却可以在公用线路中为两台计算机建立一个逻辑...
怎样基于路由器实现IPSec ×××
weixin_34138056的博客
11-01 176
许多人问我,怎么去实现IPSec ××× 技术,我将这个做了一个案例,告诉大家怎样去配置一个基于路由器实现IPSec ×××。 因工作需要,要求在公司的南京办事处与上海办事处之间建立×××联接。南京办事处网络设置:内网IP 10.1.1.0/24,外网IP 202.102.1.5/24;上海办事处网络设置:内网IP 10.1.2.0/24,外网IP...
配置基于路由ipsec 隧道
搬砖小胖子
08-06 4107
设备名称 接口 IP地址 内网地址 备注 BJ_AR2240 Tunnel0/0/1 169.254.2.1/30 192.168.0.0/16 VPN接口 WQ_AR2240 Tunnel0/0/1 169.254.2.2/30 172.20.0.0/16 VPN接口 说明: 与基于模板的ipsec vpn不同的是,基于路由ipsec vpn没有acl 感兴趣的限制,...
玩转华为ENSP模拟器系列 | 配置基于路由IPSec VdPdNd(采用共享密钥认证
COCO_gsta的博客
10-07 1966
通过组网实现如下需求:在FW_A和FW_B之间建立基于路由IPSec隧道,使网络A和网络B的用户可通过IPSec隧道互相访问。所示,网络A和网络B分别通过FW_A和FW_B连接到Internet。配置FW_A的基础配置。包括配置接口IP地址、接口加入安全区域、域间安全策略和静态路由配置FW_B的基础配置配置到达目的网络B的静态路由,此处假设到达网络B的下一跳地址为1.1.3.2。配置到达目的网络A的静态路由,此处假设到达网络A的下一跳地址为1.1.5.2。在FW_A上配置IPSec
HCIE-Security Day31:IPSec实验(六)配置PPPoE拨号分支与总部建立IPSec隧道示例
小梁的博客
03-22 1362
需求和拓扑 FWA为企业分支网关,FWB为企业总部网关,分支与总部通过公网建立通信。分支网关通过PPPoE方式接入公网,PPPoE_Server为分支网关分配IP地址的服务器。 企业希望对分支与总部之间相互访问的量进行安全保护。分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。由于分支网关作为PPPoE客户端获取IP地址,总部无法获取其IP地址,所以总部网关只能响应分支网关发起的IPSec协商。 操作步骤 1、配置接口地址和安全区...
HCIE-Security Day29:IPSec实验(四)总部与分支机构之间建立IPSec PN采用策略模板方式,总部采用固定IP)
小梁的博客
03-20 2001
采用策略模板方式ipsec安全策略可以简化多条ipsec隧道建立时的配置工作量。适用于对端ip地址不固定,比如dhcp或者pppoe,一般用于总部的配置。 建立时,未定义的可选参数由发起方来决定,响应方会接受发起方的建议,本端配置了策略模板方式ipsec安全策略时不能发起协商,只能作为协商响应方接受对端的协商请求。(比如ike peer中定义的隧道对端ip地址) 只能有一方是配置策略模板,另一方必须配置isakmp方式的ipsec安全策略。 需求和拓扑 企业分为总部(HQ)和两个分支机...
HCIE-Security Day28:IPSec实验(三)总部采用ISAKMP方式安全策略组与分支机构之间建立IPSec PN
小梁的博客
03-20 763
ISAKMP方式IPSec安全策略适用于对端IP地址固定的场景,一般用于分支的配置。 ISAKMP方式IPSec安全策略直接在IPSec安全策略视图中定义需要协商的各参数,协商发起方和响应方参数必须配置相同。配置了ISAKMP方式IPSec安全策略的一端可以主动发起协商。 如果说isakmp方式中ike的协商过程让我们感觉到采用手工配置的方法更简单,更好理解ipsec,那么我们使用总部分支的结构来理解isakmp的方式,就会发现比手工方式还是简单一些的。 需求和拓扑 某企业分为总部和两个分支...
路由方式的IPsec下的路由条目的设置
qq_47529104的博客
04-11 1392
1、路由方式传输模式 对于传输模式来说,不适合在安全网关之间架设,即便架设了,防火墙对待这类报文也只是将其当做普通的三层数据报文,然后将其进行数据报文的传递。所以只有在主机到主机之间架设了IPsec之间的互相联系,那么才会对这类报文进行正常的加密和解密。 如这个拓扑,左边的PC1到达FW3且匹配上了感兴趣并做了IPsec的传输封装,那么这个传输报文的源目IP是192.168.1.1 192.168.2.1,那么对于右边的防火墙来说,目的地址不是自己,这就使得右边的FW2对待这类报文的时候会直接将其
基于路由器的IPsec ××× 配置实例
weixin_34347651的博客
03-06 245
因工作需要,要求在公司的南京办事处与上海办事处之间建立×××联接。南京办事处网络设置:内网IP 10.1.1.0/24,外网IP 202.102.1.5/24;上海办事处网络设置:内网IP 10.1.2.0/24,外网IP 202.102.1.6/24。  在两边的路由器上都要进行以下配置步骤:一、配置IKE中的加密算法二、配置IKE密钥方法三、定义转换集四、建立加密图、设...
IPsec-×××路由模式
weixin_34353714的博客
04-12 245
实验IPsec-×××配置 实验步骤: 1.首先配置R1的ip地址和默认路由并且ping能ping通20.0.0.2,ping不通192.168.20.1,A配置R2的ip地址配置R3的IP地址和默认路由2.下面我们要配置IPsec×××有两个阶段,在R1上配置首先配置第一个...
HCIE-IPSEC
weixin_53139887的博客
11-11 128
利用ike在R1 和 R3 加密 然后ping通 R1 配置 安全提议 [r1]ike proposal 1 [r1-ike-proposal-1]encryption-algorithm aes-cbc-128(对称加密算法) [r1-ike-proposal-1]dh group2(非对称加密算法) [r1-ike-proposal-1]authentication-method pre-share (身份认证) [r1-ike-proposal-1]authentication-algo...
IPSec实验
小蔡的博客
01-15 7920
#本节介绍如何使用华为路由器,建立IPSec VPN,来保障俩个站点之间通信的安全 1.拓扑图 2.步骤 2.1 在r4和r5上配置静态路由,指定对端的路由 2.2 使用高级IP acl 指定进行保护的量(指定量的源地址和目的IP地址) 2.3 创建IPSec安全提议并指定IPSec使用的各项参数 2.4 创建IKE安全提议,并指定IKE使用的各项参数 2.5 创建IKE对等体。并在其中引用配置的安全提议 2.6 创建IPSec安全策略,并在其中引用ACL,IPSec安全提议和IKE对等体 2.7建
基于路由和VTI虚拟接口的IPSec实现
redwingz的博客
12-02 3815
以下根据strongswan代码中的testing/tests/route-based/rw-shared-vti/中的测试环境,来看一下基于路由和VTI接口的安全连接。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。 虚拟主机配置 carol的配置文件:/etc/swanctl/swanctl.conf,内容如下。连接home中的字段vips设置为...
IPSec基础—共享密钥与数字证书的区别
WFlySky的博客
11-24 6407
数字证书原理简介 IPsec密钥管理协议IKE RFC标准中对参与通讯的各方安全网关(或安全路由器)身份认证有3种方法:共享密钥,公钥加密,数字签名。 数字证书称为数字标识 (Digital Certificate ,Digital ID)。它提供了一种在 Internet 上身份验证的方式,是用来标志和证明网络通信双方身份的数字信息文件,与司机驾照或日常生活中的身份证相似。数字证书它是由一个由权威机构即CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在交往中
IPsec IKEv1 协商(共享密钥认证,数字签名认证,公钥认证
qq_47529104的博客
04-04 5101
主模式(共享密钥身份认证) 主模式阶段一 (SA的协商) HDR, SA --> Ci SAi <-- HDR, SA Ci Cr SAr HDR就是指协议的首部,其中SA就是通信双方协商的安全联盟,我比较喜欢叫它安全套件,因为SA就是多个安全内容的集合,Ci,Cr就是通...
[HCIE] IPSec-VPN (手工模式)
最新发布
sxhuafeng的博客
11-24 1218
encapsulation-mode tunnel \\选择隧道模式(封装新Ip头实现VPN功能)proposal p1 \\应用安全提议。sa string-key outbound esp cipher huawei \\出向密钥。sa string-key inbound esp cipher huawei \\入向密钥。sa spi inbound esp 54321 \\入向spi。ipsec proposal p1 \\创建安全提议,名称P1。
HCIE-Datacom LAB指南:网络可靠性配置
实验内容包括堆叠配置、接口设置和网络规划,旨在帮助考生准备HCIE-Datacom认证考试。" 在HCIE-Datacom的实验中,网络可靠性是关键点之一,堆叠技术在这里扮演了重要角色。堆叠是一种将多个物理交换机虚拟化为一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信封同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值