IPSec基本原理及简单配置(上)-华为ensp

最新推荐文章于 2024-01-19 20:49:23 发布
最新推荐文章于 2024-01-19 20:49:23 发布
阅读量4.3k 收藏 9
点赞数 2
分类专栏: ENSP 文章标签: tcp/ip 网络协议 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41754164/article/details/121473072
版权

IPSec 互联网协议安全(Internet Protocol Security)

 虚拟专用网(Virtual Private Network),即用公网构架私有专用网

在总部与分部间架构IPSec隧道,一般用于企业总部与分部进行数据的安全交互(如下图所示)

IPSec作为一种开放标准的安全框架结构,可以用来保证IP数据报文在网络上传输的机密性、完整性和防重放。

IPSec的架构:

IPSec不是一个单独的协议,它通过AH和ESP这两个安全协议来实现IP数据报的安全传送

IKE协议提供秘钥协商,建立和维护安全联盟SA等服务

IKE无需配置密码

IPSec传输模式有三种,分别为AH、ESP(首选)、AH-ESP

三种模式的报文结构:

在传输模式下,AH或ESP报头位于IP报头和传输层报头之间

拓扑:

以下是 静态配置ESP传输模式过程:

PC1:

PC2:

 AR1:

#
 sysname AR1
#
acl number 3000  
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
#
ipsec proposal ipsec
#
ipsec policy hcie 10 manual
 security acl 3000
 proposal ipsec
 tunnel local 10.1.34.3
 tunnel remote 10.1.45.5
 sa spi inbound esp 12345
 sa string-key inbound esp cipher Huawei@123
 sa spi outbound esp 54321
 sa string-key outbound esp cipher Huawei@123
#
interface GigabitEthernet0/0/0
 ip address 10.1.34.3 255.255.255.0 
 ipsec policy hcie
#
interface GigabitEthernet0/0/1
 ip address 192.168.1.254 255.255.255.0 
#
ip route-static 0.0.0.0 0.0.0.0 10.1.34.4

ISP:

#
 sysname ISP
#
interface GigabitEthernet0/0/0
 ip address 10.1.34.4 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 10.1.45.4 255.255.255.0

AR3:

#
 sysname AR3
#
acl number 3000  
 rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 
#
ipsec proposal ipsec
#
ipsec policy hcie 10 manual
 security acl 3000
 proposal ipsec
 tunnel local 10.1.45.5
 tunnel remote 10.1.34.3
 sa spi inbound esp 54321
 sa string-key inbound esp cipher Huawei@123
 sa spi outbound esp 12345
 sa string-key outbound esp cipher Huawei@123
#
interface GigabitEthernet0/0/0
#
interface GigabitEthernet0/0/1
 ip address 10.1.45.5 255.255.255.0 
 ipsec policy hcie
#
interface GigabitEthernet0/0/2
 ip address 192.168.2.254 255.255.255.0 
#
ip route-static 0.0.0.0 0.0.0.0 10.1.45.4

测试总部PC与分部PC交互:

 动态配置下篇更新

你吃过杏仁糕吗
关注
专栏目录
交换机、路由器工作原理(eNSP拓扑)
04-04
本资料通过wireshark抓包深入理解交换机、路由器工作原理,学习相关文章详见《通过wireshark抓包理解交换机、路由器工作原理》,https://blog.csdn.net/redwand/article/details/105300145
IPSec 隧道技术--基础实验配置
热门推荐
正月十六工作室
04-26 2万+
IPSec VPN基础实验配置 IPSec 简介 (Internet Protocol Security)是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。 # IPSec架构 IPSec VPN体系结构主要由AH(Authentication Header)、ESP(Encapsulating Security Payload)和IK.
华为路由远程连接
道的博客
09-08 1434
IPSec acl 3000 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 ipsec proposal ipsec 配置IPSec安全提议 esp authentication-algorithm sha2-512 指定ESP(RFC2406)协议的参数 ipsec policy huawei 10 manual 配置IPSec安全策略 security acl 3
IPsec小实验:手工方式建立保护IPv4报文的IPsec-ESP隧道
衡水铁头哥的博客
07-14 1525
前面用VXLAN和EVPN介绍了跨广域网大二层网络互通的方案,但是我们也发现这种新技术对设备的能力有要求,成本可能会提升。那能不能用简单一点的方案呢?相信机智的小伙伴已经发现我前几天的IPsec的RFC文档,那么今天就用IPsec来操练一下吧。 实验原型借鉴H3C典型配置“采用手工方式建立保护IPv4报文的IPsec隧道”,https://www.h3c.com/cn/d_202103/1390179_30005_0.htm#_Toc65521983。 组网需求 在RT1和RT2之间建立一条IPsec
华为HCIA进阶笔记:IPsec VPN原理与配置
君逍遥o
06-20 5026
企业对网络安全性的需求日益提升,而传统的TCP/IP协议缺乏有效的安全认证和保密机制。lPSec (Internet Protocol Security)作为一种开放标准的安全框架结构,可以用来保证lIP数据报文在网络上传输的机密性、完整性和防重放。
华为eNSP练习题(备考HCIE、HCIP专用).rar
09-08
本资源专门为华为HCIE备考人员准备,内含大量的HCIE实验,设计范围包括OSPF、IS-IS、BGP、IPv6、MPLS VPN、IPSEC VPN、VXLAN、L2TP、QoS、华为防火墙双机热备、华为防火墙虚拟系统等一共46个配置实验。可以供HCIE...
华为ipsec ike协商配置.rar
04-22
本资源是以ensp模拟器形式搭建的一个小型IPSec IKE模式。总共用了3台路由器,中间一台做充当转发器,其他两台进行ipsec搭建,并配置静态路由指向中间路由器。如需要学习的,可自行下载进行参考。ip什么的,就自己...
华为eNSP GRE实验
11-29
总之,通过这个"华为eNSP GRE实验",你将深入理解GRE协议的工作原理,掌握如何在华为网络设备上配置GRE隧道,并学习如何使用eNSP进行网络模拟和故障排查。这是一个提升网络技能和实践经验的重要实践环节。
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
USG6000v-ensp--.zip
07-03
华为模拟器eNSP6000V设备包USG6000V.zip 包含镜像文件,NFV 架构的虚拟综合业务网关,虚拟资源利用率高资源虚拟化技术支持大量多租户共同使用,产品具备丰富的网关业务能力,如vFW 、ipsec 、VvLB 、VlPS 、VAV 、VURL ...
HCIE-Security Day27:IPSec:实验(二)两个网关之间通过手工方式创建IPSec PN隧道
小梁的博客
03-20 1036
手工方式ipsec安全策略所有的安全参数都需要手工配置配置工作量大,因而适用于小型静态环境。 需要用户分别针对出入方向sa手工配置认证/加密密钥、spi等参数,并且隧道两端的这些参数都需要镜像配置,即本段的入方向sa参数必须和对端的出方向sa参数一样,本端的出方向sa参数必须和对端的入方向sa参数一样。 需求和拓扑 网络A和网络B之间采用网关对网关组网模式进行资源传输。网络A和网络B分别通过FW_A和FW_B连接到Internet。网络环境描述如下: 网络A属于10.1.1.0/24子网.
IPSec相关知识汇总
qq_36629373的博客
08-14 1182
VPN是IPSec的一种应用方式 IPSec是一个框架性架构,目的是为IP提供高安全性特性,具体由两类协议组成:AH和ESP AH和ESP都使用SA保护通信 IKE用于动态建立SA SA是单向的,进入(inbound)SA负责处理接收到的数据包,外出 (outbound)SA负责处理要发送的数据包。因此每个通信方必须要有 两种SA,一个进入SA,一个外出SA,这两个SA构成了一个SA束 (SA Bundle) 发送实体和接收实体均需要维护SA状态信息 SA由三元组(SPI安全参数索引,IP目.
华为路由器:ipsec技术
迷逝
11-18 1518
实验拓扑 R1 按照拓扑配置IP地址 这里省略。 R2配置 [R2]ip route-static 0.0.0.0 0 10.10.10.2 #加一条路由,使得两个公网IP互通 [R2]acl 3000 [R2-acl-adv-3000]rule permit ip source 192.168.11.0 0.0.0.255 destination 192.16 8.12.0 0.0.0.255 创建ipsec的安全提议 [R2]ipsec proposal pokes [R2-ipsec
enspipsec简单配置
m0_46626894的博客
03-31 8052
IPsec简单配置 文章目录IPsec简单配置实验环境实验思路具体步骤1.配置IP地址2.配置路由3.添加兴趣流4.ike安全提议5.ike对等体配置6.ipsec安全提议7.ipsec安全策略8.在接口应用ipsec安全策略9.测试个人总结 实验环境 实验思路 配置IP地址 配置路由 添加兴趣流 ike配置 ipsec配置 应用ipsec安全策略 具体步骤 1.配置IP地址 PC1: IP地址:192.168.1.1 子网掩码:255.255.255.0 网关:192.168.1.254
华为防火墙IPSec详解与配置实验
m0_68208233的博客
11-04 1万+
IPSec(Internet协议安全)是一个工业标准网络安全协议栈,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有限低于网络攻击,同时保持易用性。IPSec通过在IPSec对等体之间建立双向安全联盟(VPN隧道),形成一个安全互通的IPSec隧道,来实现Internet上数据的安全传输。
GRE隧道实验(eNSP实现)
weixin_72910567的博客
03-27 4021
GRE隧道是一种用于在不同网络层协议之间传输数据的技术,它可以实现跨越不同网络的虚拟连接。GRE隧道的优缺点如下:优点:- GRE是一个标准协议,可以与不同厂商的设备互通。- GRE支持多种乘客协议,如IPIPX、IPv6等,可以实现多协议的本地网通过单一协议的骨干网传输。- GRE支持多播,可以用于组播VPN。- GRE能够用来创建弹性的VPN,可以扩大跳数受限协议(如RIP)的工作范围,或将一些不能连续的子网连接起来。
IPSec esp隧道应用
qq_45249394的博客
07-04 2277
给所有路由器和pc配置IP地址: AR1: G0/0/0:20.1.1.1 24 G0/0/1:10.1.1.254 24 AR2: G0/0/0: 30.1.1.2 24 G0/0/1: 10.1.2.254 24 AR3: G0/0/0: 20.1.1.2 24 G0/0/1: 30.1.1.1 24 PC1和PC2配置图中ip地址 让AR1和AR2建立esp隧道必须让所有网段能够通...
ENSP配置IPSEC 实验
WANGMH13的博客
08-01 3183
ENSP配置IPSEC实验
ENSP模拟WLAN无线的隧道转发与直接转发配置与报文解析
最新发布
m0_67822797的博客
01-19 4102
port trunk allow-pass vlan 100 由于隧道转发只需要放通vlan100为AP管理vlan。interface Ethernet0/0/4 AP互联口放通vlan101(因为直接转发流量不经过AC)interface Ethernet0/0/3 AP互联口放通vlan101(因为直接转发流量不经过AC)
华为模拟器ENSPIPSec配置命令
05-14
以下是在华为模拟器ENSP上进行IPSec配置的命令: 1. 创建IKE策略: ``` ike peer IKE-PEER-NAME pre-shared-key cipher PASSWORD local-id type ipaddr subnet-mask LOCAL_IP LOCAL_MASK remote-id type ipaddr subnet-mask REMOTE_IP REMOTE_MASK proposal 1 encryption-algorithm {aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | 3des-cbc} authentication-mode {md5 | sha1 | sha2-256} dh group GROUP_NUMBER ``` 其中,`IKE-PEER-NAME`为IKE对端的名称,`PASSWORD`为预共享密钥,`LOCAL_IP`和`LOCAL_MASK`为本地IP地址和子网掩码,`REMOTE_IP`和`REMOTE_MASK`为远程IP地址和子网掩码,`GROUP_NUMBER`为DH组号。 2. 创建IPSec策略: ``` ipsec proposal IPSec-PROPOSAL-NAME esp authentication-algorithm {md5 | sha1 | sha2-256 | sha2-384 | sha2-512} esp encryption-algorithm {aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | 3des-cbc} ah authentication-algorithm {md5 | sha1 | sha2-256 | sha2-384 | sha2-512} ah encryption-algorithm {aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | 3des-cbc} pfs group GROUP_NUMBER ipsec policy IPSec-POLICY-NAME proposal IPSec-PROPOSAL-NAME ``` 其中,`IPSec-PROPOSAL-NAME`为IPSec策略名称,`GROUP_NUMBER`为PFS组号,`IPSec-POLICY-NAME`为IPSec策略名称。 3. 应用IKE和IPSec策略: ``` interface INTERFACE_TYPE INTERFACE_NUMBER ipsec policy IPSec-POLICY-NAME ike peer IKE-PEER-NAME ``` 其中,`INTERFACE_TYPE`为接口类型,`INTERFACE_NUMBER`为接口编号,`IPSec-POLICY-NAME`为IPSec策略名称,`IKE-PEER-NAME`为IKE对端名称。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值