配置总部采用冗余网关与分支建立IPSec隧道

最新推荐文章于 2024-04-10 11:33:53 发布
最新推荐文章于 2024-04-10 11:33:53 发布
阅读量118 收藏
点赞数
分类专栏: 网络 文章标签: 网络 网络安全 网络协议 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41278803/article/details/134112447
版权
本文详细描述了一种企业分支网络通过公网与总部建立IPSec隧道以增强通信安全的方法,包括配置接口、静态路由、ACL、IPSec安全提议、IKE对等体以及在AR2和AR3上使用策略模板创建和应用安全策略的过程。
摘要由CSDN通过智能技术生成

组网需求

如图所示,为提高可靠性,企业总部提供AR2和AR3两台网关供企业分支网关AR5接入,分支与总部通过公网建立通信。
企业希望对分支与总部之间相互访问的流量进行安全保护。
由于分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立IPSec隧道来实施安全保护。分支网关首先与总部网关AR2建立通信,如果连接建立失败,则分支网关与总部网关AR3建立通信。
image.png

ensp不支持配置多个remoteIP

配置思路

  1. 配置接口的IP地址和到对端的静态路由,保证两端路由可达。
  2. 配置ACL,以定义需要IPSec保护的数据流。
  3. 配置IPSec安全提议,定义IPSec的保护方法。
  4. 配置IKE对等体,定义对等体间IKE协商时的属性。
  5. 分别在AR2、AR3和AR5上创建安全策略,确定对何种数据流采取何种保护方法。其中AR2和AR3采用策略模板方式创建安全策略。
  6. 在接口上应用安全策略组,使接口具有IPSec的保护功能。

操作步骤

配置IP以及静态路由

AR1

<Huawei>sys
[Huawei]sys AR1

[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 12.12.12.1 24
[AR1-GigabitEthernet0/0/0]q

[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 13.13.13.1 24
[AR1-GigabitEthernet0/0/1]q

[AR1]int g0/0/2
[AR1-GigabitEthernet0/0/2]ip ad 10.1.1.1 24
[AR1-GigabitEthernet0/0/2]q

[AR1]ip route-static 0.0.0.0 0 12.12.12.2
[AR1]ip route-static 0.0.0.0 0 23.23.23.2

AR2

<Huawei>sys
[Huawei]sys AR2

[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 12.12.12.2 24
[AR2-GigabitEthernet0/0/0]q

[AR2]un in en
[AR2]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 24.24.24.2 24
[AR2-GigabitEthernet0/0/1]q

[AR2]ip route-static 10.1.1.0 24 12.12.12.1
[AR2]ip route-static 45.45.45.0 24 24.24.24.4
[AR2]ip route-static 10.1.5.0 24 24.24.24.4

AR3

<Huawei>sys
[Huawei]sys AR3
[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ip add 34.34.34.3 24
[AR3-GigabitEthernet0/0/0]q

[AR3]int g0/0/1
[AR3-GigabitEthernet0/0/1]ip add 13.13.13.3 24
[AR3-GigabitEthernet0/0/1]q

[AR2]ip route-static 10.1.1.0 24 13.13.13.1
[AR2]ip route-static 45.45.45.0 24 34.34.34.4
[AR2]ip route-static 10.1.5.0 24 34.34.34.4

AR4

<Huawei>sys
[Huawei]sys AR4
[AR4]int g0/0/0
[AR4-GigabitEthernet0/0/0]ip add 24.24.24.4 24
[AR4-GigabitEthernet0/0/0]q

[AR4]int g0/0/1
[AR4-GigabitEthernet0/0/1]ip add 34.34.34.4 24
[AR4-GigabitEthernet0/0/1]q

[AR4]int g0/0/2
[AR4-GigabitEthernet0/0/2]ip add 45.45.45.4 24
[AR4-GigabitEthernet0/0/2]
[AR4-GigabitEthernet0/0/2]q

[AR4]ip route-static 12.12.12.0 24 24.24.24.2
[AR4]ip route-s 13.13.13.0 24 34.34.34.3
[AR4]ip route-s 10.1.1.0 24 24.24.24.2
[AR4]ip route-s 10.1.1.0 24 34.34.34.3
[AR4]ip route-s 10.5.1.0 24 45.45.45.5

AR5

<Huawei>sys
[Huawei]sys AR5

[AR5]int g0/0/0
[AR5-GigabitEthernet0/0/0]ip add 45.45.45.5 24
[AR5-GigabitEthernet0/0/0]q

[AR5]int g0/0/1
[AR5-GigabitEthernet0/0/1]ip add 10.1.5.5 24
[AR5-GigabitEthernet0/0/1]q

[AR5]ip route-static 0.0.0.0 0 45.45.45.4

配置ACL,定义各自要保护的数据流

由于AR2、AR3采用策略模板创建安全策略,引用ACL是可选操作。如果配置了ACL,则必须要指定ACL规则的目的地址,所以总部源就不配置acl

AR5

[AR5]acl  number 3100 
[AR5-acl-adv-3100]rule permit ip source 10.1.5.0 0.0.0.255 destination 10.1.1.0 
0.0.0.255
[AR5-acl-adv-3100]q
[AR5]

创建IPSec安全提议

AR2

[AR2]ipsec proposal 1
[AR2-ipsec-proposal-1]esp authentication-algorithm sha2-256
[AR2-ipsec-proposal-1]esp encryption-algorithm aes-128
[AR2-ipsec-proposal-1]q

AR3

[AR3]ipsec proposal 1
[AR3-ipsec-proposal-1]esp authentication-algorithm sha2-256
[AR3-ipsec-proposal-1]esp encryption-algorithm aes-128
[AR2-ipsec-proposal-1]q

AR5

[AR5]ipsec proposal 1
[AR5-ipsec-proposal-1]esp authentication-algorithm sha2-256
[AR5-ipsec-proposal-1]esp encryption-algorithm aes-128
[AR5-ipsec-proposal-1]q

查看配置IPSec的信息

#以AR2为例
<AR2>display ipsec proposal

Number of proposals: 1

IPSec proposal name: 1                            
 Encapsulation mode: Tunnel                            
 Transform         : esp-new
 ESP protocol      : Authentication SHA2-HMAC-256                             
                     Encryption     AES-128
                     
Number of proposals #当前IPSec安全提议总数。 
IPSec proposal name #安全提议的名称。 
Encapsulation mode #IPSec安全提议采用的模式,包括两种:传输(transport)和隧道(tunnel)模式。 
Transform #IPSec安全提议采用的安全协议,包括:ah-new、esp-new、ah-esp-new ,缺省情况下,IPSec安全提议使用的安全协议为ESP
ESP protocol #ESP协议采用的认证算法和加密算法

配置IKE对等体

AR2

#配置IKE安全提议
[AR2]ike proposal 1
[AR2-ike-proposal-1]authentication-algorithm sha1
[AR2-ike-proposal-1]encryption-algorithm  aes-cbc-128
[AR2-ike-proposal-1]q

#配置IKE对等体
[AR2]ike peer 1 v1
[AR2-ike-peer-1]pre-shared-key cipher 20wl
[AR2-ike-peer-1]ike-proposal 1
[AR2-ike-peer-1]q
[AR2]

AR3

[AR3]ike proposal 1
[AR3-ike-proposal-1]authentication-algorithm sha1
[AR3-ike-proposal-1]encryption-algorithm aes-cbc-128
[AR3-ike-proposal-1]q

[AR3]ike peer 1 v1
[AR3-ike-peer-1]ike-proposal 1
[AR3-ike-peer-1]pre-shared-key cipher 20wl
[AR3-ike-peer-1]q

AR5

ensp不支持配置多个remoteIP

[AR5]ike proposal 1
[AR5-ike-proposal-1]authentication-algorithm sha1
[AR5-ike-proposal-1]encryption-algorithm aes-cbc-128
[AR5-ike-proposal-1]q

[AR5]ike peer 1 v1
[AR5-ike-peer-1]ike-proposal 1
[AR5-ike-peer-1]pre-shared-key cipher 20wl
[AR5-ike-peer-1]remote-address 24.24.24.2
[AR5-ike-peer-1]remote-address 34.34.34.3
[AR5-ike-peer-1]q

创建安全策略,其中AR2和AR3采用策略模板方式创建安全策略

AR2

#配置策略模板,并在安全策略中引用该策略模板
[AR2]ipsec policy-template 1 1
[AR2-ipsec-policy-templet-1-1]ike-peer 1
[AR2-ipsec-policy-templet-1-1]proposal 1
[AR2-ipsec-policy-templet-1-1]q
[AR2]ipsec policy 2 1 isakmp template 1

AR3

#配置策略模板,并在安全策略中引用该策略模板
[AR3]ipsec policy-template 1 1
[AR3-ipsec-policy-templet-1-1]ike-peer 1
[AR3-ipsec-policy-templet-1-1]proposal 1
[AR3-ipsec-policy-templet-1-1]q
[AR3]ipsec policy 2 1 isakmp template 1

AR5

#配置安全策略
[AR5]ipsec policy 1 1 isakmp 
[AR5-ipsec-policy-isakmp-1-1]ike-peer 1
[AR5-ipsec-policy-isakmp-1-1]proposal 1
[AR5-ipsec-policy-isakmp-1-1]security acl 3100
[AR5-ipsec-policy-isakmp-1-1]q

在接口上应用各自的安全策略组,使接口具有IPSec的保护功能

AR2

[AR2]int g0/0/1
[AR2-GigabitEthernet0/0/1]ipsec policy 2
[AR2-GigabitEthernet0/0/1]q

AR3

[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ipsec policy 2
[AR3-GigabitEthernet0/0/0]q

AR5

[AR5]int g0/0/0	
[AR5-GigabitEthernet0/0/0]ipsec policy 1
[AR5-GigabitEthernet0/0/0]q

检查配置结果

ping测试
PC>ping 10.1.5.100

Ping 10.1.5.100: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
From 10.1.5.100: bytes=32 seq=3 ttl=126 time=47 ms
From 10.1.5.100: bytes=32 seq=4 ttl=126 time=62 ms
From 10.1.5.100: bytes=32 seq=5 ttl=126 time=47 ms

--- 10.1.5.100 ping statistics ---
  5 packet(s) transmitted
  3 packet(s) received
  40.00% packet loss
  round-trip min/avg/max = 0/52/62 ms

查看建立隧道关系

AR5
[AR3]display ike sa
    Conn-ID  Peer            VPN   Flag(s)                Phase  
  ---------------------------------------------------------------
        2    45.45.45.5      0     RD                     2     
        1    45.45.45.5      0     RD                     1     

  Flag Description:
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP
  
IKE SA information #安全联盟配置信息。 
Conn-ID #安全联盟的连接索引。 
Peer #对端的IP地址和UDP端口号。 
VPN #应用IPSec安全策略的接口所绑定的VPN实例。 
Flag(s) #安全联盟的状态:
  #RD--READY:表示此SA已建立成功。
  #ST--STAYALIVE:表示此端是通道协商发起方。
  #RL--REPLACED:表示此通道已经被新的通道代替,一段时间后将被删除。
  #FD--FADING:表示此通道已发生过一次软超时,目前还在使用,在硬超时时会删除此通道。
  #TO--TIMEOUT:表示此SA在上次heartbeat定时器超时发生后还没有收到heartbeat报文,如果在下次heartbeat定时器超时发生时仍没有收到heartbeat报文,此SA将被删除。
  #HRT--HEARTBEAT:表示本端IKE SA发送heartbeat报文。
  #LKG--LAST KNOWN GOOD SEQ NO.:表示已知的最后的序列号。
  #BCK--BACKED UP:表示备份状态。
  #M--ACTIVE:表示IPSec策略组状态为主状态。
  #S--STANDBY:表示IPSec策略组状态为备状态。
  #A--ALONE:表示IPSec策略组状态为不备份状态。
  #NEG--NEGOTIATING:表示SA正在协商中。
  #字段为空:表示IKE SA正在协商中,是由隧道两端设置的某些参数不一致导致。
Phase #SA所属阶段:1表示建立安全通道进行通信的阶段,此阶段建立IKE SA。2表示协商安全服务的阶段,此阶段建立IPSec SA。
RemoteType #对端ID类型。 
RemoteID #对端ID。

AR1
<AR5>display ike sa 
    Conn-ID  Peer            VPN   Flag(s)                Phase  
  ---------------------------------------------------------------
        2    34.34.34.3      0     RD|ST                  2     
        1    34.34.34.3      0     RD|ST                  1     

  Flag Description:
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP
论文研究-带冗余策略的分布式IPSec网关配置.pdf
09-10
IPSec协议的一种实现模式是采用IPSec网关间隔各个网络段,通过网关的策略配置,满足安全通信需求。然而,策略交叉会导致破坏安全需求的信息回流,拆分策略是避免信息回流的有效方法,但拆分过细,会引发额外的密码...
ENSP L2TP Over IPSec
Shass的博客
10-29 1069
本文拓扑沿用上一篇文章《》,相关配置有差异。
华为HCIA进阶笔记:IPsec VPN原理与配置
君逍遥o
06-20 5023
企业对网络安全性的需求日益提升,而传统的TCP/IP协议缺乏有效的安全认证和保密机制。lPSec (Internet Protocol Security)作为一种开放标准的安全框架结构,可以用来保证lIP数据报文在网络上传输的机密性、完整性和防重放。
安全防御 --- IPSec理论(02)
weixin_62443409的博客
06-07 7528
附:esp 和 ah 的分类:(数据的安全性主要依赖于传输端之间需要做认证)传输模式和隧道模式的分类: 安全提议 PRF:完美向前法。 安全认证
ENSP:防火墙IPSEC XXX
weixin_45921302的博客
11-19 2237
利用防火墙IPSECVPN实现总分部加密通信。值得一瞄。
华为Ensp ipsec
分享的都是纯自学心得
04-14 488
R1-ike-proposal-1] encryption-algorithm aes-cbc-128 #配置IKE加密算法为aes-cbc-128。[R1-ipsec-policy-isakmp-policy1-1] proposal tranl #引用定义的IPsec安全提议1。[R1-ipsec-policy-isakmp-policy1-1] ike-peer rta #引用定义的IKE对等体。[R1-ike-peer-rta] local-id-type name #配置本端id类型为名称。
s7400h冗余plc与wincc通讯之方法.pdf
07-13
总结来说,S7400H冗余PLC与WinCC的通讯涉及多步骤的配置,包括硬件安装、软件设置、通讯协议选择以及故障冗余策略的实施。正确的配置和操作是保证系统高效稳定运行的关键,对于自动化工程师而言,理解和掌握这一过程...
西门子软件冗余的原理和配置
03-16
西门子软件冗余的原理和配置。 介绍了关于西门子软件冗余的原理和配置的详细说明,提供西门子PLC编程的技术资料的下载。
s7-400h硬冗余系统配置教程
03-16
标题 "S7-400H硬冗余系统配置教程" 与描述 "介绍了关于s7-400h硬冗余系统配置教程的详细说明,提供理论教程的技术资料的下载。" 表明本文是一份介绍西门子S7-400H型号PLC硬冗余系统配置方法的详细文档。硬冗余系统在...
通信与网络中的冗余工业以太网在高速公路隧道机电系统中的应用
11-03
总结,冗余工业以太网通过多种冗余技术,如STP/RSTP、RapidRing和Trunking,构建了一个能够快速自我修复的网络平台,特别适合于对实时性和可靠性要求极高的高速公路隧道机电系统。这种技术的应用显著提升了隧道运营...
华为eNSP IPsec VPN配置指南
最新发布
外游者
04-10 7722
虚拟专用网络(VPN)技术在现代网络中扮演着关键的角色,允许安全地连接不同位置的网络。在华为Enterprise Network Simulation Platform(eNSP)中,我们可以使用IPsec VPN配置站点到站点的安全连接。本章将详细介绍在eNSP配置IPsec VPN的步骤,并解析每一条关键命令的含义。
IPSec在企业网中的应用
weixin_34292287的博客
08-09 104
IPSec原理: IPSec 是一系列网络安全协议的总称,它是由IETF(Internet Engineering Task Force,Internet 工程任务组)开发的,可为通讯双方提供访问控制、无连接的完整 性、数据来源认证、反重放、加密以及对数据流分类加密等服务来保证数据包在网络上传输时的私有性、完整性、真实性和防重放 。 1:私有性指对用户数据进...
[eNSP]建立IPSec隧道
ZXW_NUDT的博客
03-31 2866
1、配置静态路由 [AR 1]ip route-static 200.2.2.0 24 200.1.1.2 [AR 1]ip route-static 192.168.2.0 24 200.2.2.1 [AR 3]ip route-static 200.1.1.0 24 200.2.2.2 [AR 3]ip route-static 192.168.1.0 24 200.1.1.1 [AR 2]ip route-static 192.168.1.0 24 200.1.1.1 [AR 2]ip route-.
ENSP路由器IPsec策略模板出现的无法建立IPsec隧道的问题
qq_47529104的博客
05-04 1740
拓扑如图所示 抓包信息 上面是抓包结果,IPsec隧道建立就一直停留在快速模式的第一次包交互中,我在路由器上测试不能够正常建立IPsec隧道,主要的问题就是IKEv1的快速模式无法正常建立,我初步猜测是配置问题之间存在差异导致没有办法协商成功,但是检查之后发现配置使用的都是默认配置不存在相关的配置问题,所以进行debug下面是debug信息: 这是右边的路由器的DEBUG信息 可以看到这里的调试信息显示我的策略模板上面的配置没有匹配到,所以才导致配置的失败,但是我使用相同的配置
玩转华为ENSP模拟器系列 | 两个网关之间在二层接口上建立IPSec VdPdNd隧道
COCO_gsta的博客
10-10 987
所示,分支机构和总部分别通过FW_A和FW_B连接到Internet。FW_C是以二层透明方式部署在FW_B和L3SW(三层交换机)之间。用户需要在FW_A和FW_C之间建立IPSec隧道,以保护分支总部之间进行安全通信。介绍设备以二层透明方式接入网络时,IPSec隧道配置方法。配置L3SW(只给出关键配置的数据,具体配置过程略)。完成VLAN及VLANIF的相关配置。素材来源:华为防火墙配置指南。配置需要保护的数据流。
ensp模拟器使用USG6000V防火墙模拟搭建点到点的IPSec 隧道(web网页版)
weixin_43996007的博客
01-26 8295
ensp模拟器使用USG6000V防火墙模拟搭建点到点的IPSec 隧道 IPSec介绍 IPSec的英文是Internet Protocol Security,是一个协议包,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。 IPsec主要由以下协议组成: 一、认证头(AH),为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护。 二、封装安全...
ipsec *** 在企业网络中的应用
weixin_34198453的博客
08-09 140
IPSec (IP Security) 协议族是IETF制定的一系列协议,它为ip数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在ip曾通过加密与数据源验证等方式来保证数据报在网络上传输时的私有性、完整性、真实性、和防重放。 虚拟专用网络(×××)是一条穿过混乱的公共网络的安全稳定的隧道,在这条安全隧道上可以进行安全高效的数据...
H3C-×××的配置
weixin_34259559的博客
09-19 94
H3C-×××的配置 拓扑图 配置IP地址 <R1>system-view [R1]interface e0/1 [R1-Ethernet0/1]ip address 192.168.100.254 255.255.255.0 [R1]interface e0/0 [R1-Ethernet0/0...
华为路由器上使用ipsec配置***
weixin_33693070的博客
08-13 2822
一. IPSec 协议简介 IPSec 是一系列网络安全协议的总称,它是由IETF(Internet Engineering Task Force,Internet 工程任务组)开发的,可为通讯双方提供访问控制、无连接的完整性、数据来源认证、反重放、加密以及对数据流分类加密等服务。IPSec网络层的安全机制。通过对网络层包信息的保护,上层应用程序即使没有实现安全性,也...
清华大学 刘俊辉 数据结构
11-11
清华大学的刘俊辉教授是计算机科学与技术系的教授,他的数据结构课程是清华大学计算机系的经典课程之一。该课程主要介绍了数据结构的基本概念、线性表、栈和队列、树和二叉树、图等内容,并通过大量的例子和习题帮助学生深入理解和掌握数据结构的知识。该课程的教材是刘俊辉教授所著的《数据结构》(C++语言版),该书已经成为了国内外许多高校数据结构课程的教材之一。 如果您想了解更多关于刘俊辉教授的数据结构课程的信息,可以访问以下链接: https://www.bilibili.com/video/BV1Js41177M7 --相关问题--: 1. 数据结构的应用有哪些? 2. 如何选择合适的数据结构? 3. 数据结构和算法有什么区别?
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

刘俊辉个人博客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值