ensp的ipsec实验(ike自动协商)

最新推荐文章于 2024-08-18 02:13:57 发布
最新推荐文章于 2024-08-18 02:13:57 发布
阅读量6.9k 收藏 97
点赞数 12
分类专栏: 网络拓扑实验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44933518/article/details/115370351
版权

1.实验拓扑如图

在这里插入图片描述

2.需求

  1. 总部和分部通过IPSec VPN连接

  2. 总部和分部都能访问外网

3.需求分析

  1. 这个实验既要实现vpn连接,也要实现外网的连接,则需要写两条acl,分别作为ipsec的感兴趣流和外网流量的匹配

  2. 这个实验的难点在于IPSec VPN的配置,IPSec VPN的配置复杂,而且VPN两边参数不一致,会导致VPN无法建立

4.ipsec配置顺序

  1. 配置ACL感兴趣流
    匹配去往分部私网的流量

  2. 创建ike提议
    在ike提议视图中,可以配置Authentication method、 Authentication algorithm、 Encryption algorithm、DH算法(DH算法是一种公开密钥算法。通信双方在不传送密钥的情况下通过交换一些数据,计算出共享的密钥,在IPSec隧道的两端设置的Diffie-Hellman组必须相同,否则IKE协商不能通过)等参数。这些参数都有默认值,如图
    在这里插入图片描述

  3. 创建ike对等体
    配置协商模式为主模式/野蛮模式(默认主模式)
    调用ike提议
    设置预共享密钥
    主模式下则配置本端和对端公网地址

  4. 创建ipsec提议
    配置保护协议(默认为ESP)
    配置工作模式(默认为隧道模式)
    配置验证算法
    配置加密算法
    注:以上参数都有默认值,如图
    在这里插入图片描述

  5. 创建ipsec策略
    调用acl
    指定ike peer
    调用ipsec提议

  6. 应用安全策略
    在公网接口下应用ipsec 策略

5.配置

R1的配置

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.2 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 1.1.1.1 24
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]ip route-static 0.0.0.0 0 1.1.1.2
//创建acl 3000,拒绝IPSec vpn流量,放行其余流量
[Huawei]acl 3000	
[Huawei-acl-adv-3000]rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192
.168.2.0 0.0.0.255
[Huawei-acl-adv-3000]rule 5 permit ip	
[Huawei-acl-adv-3000]quit
//创建acl 3001,匹配去往分部私网的流量
[Huawei]acl 3001
[Huawei-acl-adv-3001]rule permit ip source 192.168.1
最低0.47元/天 解锁文章
qq_44933518
关注
专栏目录
ensp IKEV1实验Ipsec动态配置)
sgslwms的博客
02-21 6078
拓扑前提配置:1:设备接口IP 2:防火墙接口加区域 3:配置默认路由 1:IKE proposal 左边防火墙: ike proposal 1(这个1指的是名字) encryption-algorithm des (加密算法) dh group1 (密钥计算) authentication-algorithm md5 (认证算法) authentication-method pre-share (认证模式 预共享) integrity-algorithm hmac-sha2-256 (完...
ENSP ipsec IKEv1 主模式模板
sgslwms的博客
02-22 2301
配置接口ip 路由 防火墙接口加区域等省略 1:设置ike proposal ike proposal 1 encryption-algorithm des dh group1 authentication-algorithm md5 authentication-method pre-share q 2:设置ike peer ike peer fw2 undo version 2 (取消ikev2) pre-shared-key huawei@123(设置预共享密钥) ike-proposal ...
结合配置、抓包来分析IKE/IPSec的整个协商过程
最新发布
weixin_41286041的博客
08-18 95
IKE/ISKAMP的协商过程这里主要讲解IKEV1的版本,在V1版本中有两个模式,一个主模式,一个野蛮模式(也称为积极模式),下面就以上一篇的拓扑跟配置为基础,来通过抓包来分析,先从IKE的主模式开始。作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)IKEIPSEC相关的配置回顾当19...
ENSP配置IPSEC 实验
WANGMH13的博客
08-01 3088
ENSP配置IPSEC实验
玩转华为ENSP模拟器系列 | 两个网关之间配置IPSec VdPdNd主备链路备份
COCO_gsta的博客
10-14 1821
在本例中,FW_A需要与FW_B建立两条隧道,而FW_B只有一个物理接口,所以需要在FW_B上配置两个Tunnel接口,来分别与FW_A的主备接口建立隧道。当FW_A发生主备链路切换时,FW_B也会切换Tunnel接口,双方重新进行IPSec隧道协商。配置两条到分支的路由,主路由的优先级为10,绑定IP-Link功能;当FW_A主备切换时,FW_B将切换对等体与FW_A进行协商。配置IP-Link,用于检测FW_A到FW_B的主链路是否正常。配置IP-Link,用于检测FW_B到FW_A的链路是否正常。
网络安全综合实验(eNSP)(DHCP、OSPF、NAT、防火墙、ACL)
热门推荐
!不将就的博客
06-04 2万+
网络安全综合实验 一、概述 1.1 实验背景及要求 配置ACL,过滤具有某种特点的分组。 配置NAT。在企业内部结构化分层使用NAT地址。 实验测试一种网络攻击,比如SYN_Flood、MAC泛洪攻击或ARP攻击。 配置防火墙,禁止某种网络服务(防火墙在企业内网与外网之间)。 配置VPN。企业内网与外网之间可能有防火墙,也可能有NAT。从企业外部,用户不能直接访问企业内部。企业员工外出,或跨地区、跨国家企业都有跨越公众互联网,访问企业内部网络的需求。配置NAT某种VPN,比如L2TP VPN 或SSL V
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】
JohnnyG2000的博客
05-18 1万+
防火墙综合实验一、实验要求1. 总部需要通过VPN与分支和合作伙伴进行通信2. 分支机构(Branch)员工使用NGFW接入总部。要求实现分支机构安全访问IPSec保护的总部内网服务器。3. 合作伙伴(Partner)使用NGFW接入总部。要求实训合作伙伴通过GRE隧道与总部进行通信。4. 所有的客户端可以通过公网IP地址来访问WEB服务器二、实验拓补三、实验配置1. 防火墙安全区域划分(包括Tunnel接口)2. 静态路由3. GRE配置4. IPSec VPN配置5. Easy-ip配置6. NAT S
华为ipsec ike协商配置.rar
04-22
本资源是以ensp模拟器形式搭建的一个小型IPSec IKE模式。总共用了3台路由器,中间一台做充当转发器,其他两台进行ipsec搭建,并配置静态路由指向中间路由器。如需要学习的,可自行下载进行参考。ip什么的,就自己...
华为ensp模拟器--通过IKE动态协商方式建立IPSec隧道的实验(不对对等体存活进行检测)
weixin_46202077的博客
01-17 4324
组网需求 如图1所示,在Router1和Router3之间建立一个安全隧道,对PC 1代表的子网(10.1.1.x)与PC2代表的子网(20.1.1.x)之间的数据流进行安全保护。安全协议采用ESP协议,加密算法采用DES,认证算法采用SHA2-258 拓扑图设计 关键配置r1和r3 ike local-name huawei1 **–本地命名 acl number 3000 rule 5 ...
ensp ipsec ike
10-20
IKE(Internet Key Exchange)是IPSec VPN中的一个重要协议,用于建立安全通道和协商密钥。在ensp中建立IPSec IKE模式需要三台路由器,其中一台为中间路由器,其他两台进行IPSec搭建,还需要配置静态路由指向中间...
网络安全实验教程.zip
09-25
网络安全实验教程——基于华为eNSP ,学习eNSP,是不错的资料,希望对大家有帮助,考证也是不错的复习资料。
华为eNSP-防火墙实验
weixin_45745641的博客
12-14 1万+
1规划并配置IP地址 2将网络分别加入对应的区域 3实现pc1访问pc2,pc2访问服务器,其他不能互访
eNSP之防火墙简单实验(一)
Shass的博客
11-10 1万+
eNSP之防火墙简单实验(一) 实验拓扑 图中,FW与ISP连接的网段仅仅是互联的作用,所以用私有地址段,而内部流量经过防火墙的G1/0/2访问外部流量时使用向运营商申请的公有地址段200.8.8.0/29。最后会针对这部分做一个扩展。 实验步骤 1、基础信息配置 将基础的IP地址配置 2、划分防火墙区域 1)代码配置方法 [FW]firewall zone trust [FW-zone-trust]add int g1/0/1 [FW]firewall zone dmz [FW-zone-dmz]add
ENSP:防火墙IPSEC XXX
weixin_45921302的博客
11-19 2164
利用防火墙IPSECVPN实现总分部加密通信。值得一瞄。
HCIA(华为体系初级网络安全工程师)eNSP(基础实验一静态路由)
m0_63069714的博客
12-06 1109
题目要求: 步骤一:对IP地址进行子网划分。 1,首先将192.168.1.0/24的IP地址进行子网划分,取其中五段子网,用来作为可用网段使用,其他作为备用网段。 子网划分结果: 192.168.1.0/27 192.168.1.32/27 192.168.1.64/27 192.168.1.96/27 192.168.1.128/27 192.168.1.160/27 192.168.1.192/27 192.168.1.224/27 2,将192.168.1.0/27的
部分客户端设备支持的IPSec提议集
The 44th Demilitarized Zone
03-02 1042
部分客户端设备支持的ISAKMP Policy(IKE Proposal)以及IPsec Transform-set(IPSec Proposal)。 *通过H3C设备的DEBUG信息捕捉。 iPhone iOS 9.2.1支持的ISAKMP Policy(IKE Proposal): 【1】AES-CBC-256/PSK/SHA1/DH2/3600s 【2】AES-CBC
玩转华为ENSP模拟器系列 | 总部与分支机构之间建立IPSec VdPdNd(总部采用固定域名)
COCO_gsta的博客
10-08 1878
素材来源:华为防火墙配置指南分支机构通过IPSec隧道连接总部。由于总部和分支都通过PPPoE拨号获取IP地址,每次获取到的IP地址不同。因此总部为方便分支机构接入,需要配置DDNS功能,使分支机构通过域名接入总部。如所示,某企业分为总部(HQ)和两个分支机构(Branch 1和Branch 2)。在FW_A上配置DHCP和PPPoE客户端。在FW_A上配置IPSec策略组,并在接口上应用IPSec策略组。
华为eNSP-GRE实验
weixin_45745641的博客
12-15 3950
文章目录实验1实验环境实验需求实验步骤1.配置PC1和PC2的IP、子网掩码、网关2.配置路由器IP3.配置GRE4.配置默认路由5.检测是否互通PC1 ping PC2实验2实验环境实验需求实验步骤1.配置ip2.配置FW1、FW2 ip3.创建tunnel借口并添加安全区域4.设置默认路由和静态路由5.配置安全策略6.ping命令测试 实验1 实验环境 实验需求 实现PC1和PC2跨公网互访 实验步骤 1.配置PC1和PC2的IP、子网掩码、网关 2.配置路由器IP R1 : G0/0/0 IP:
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值