ipsec的ike自动协商模式

最新推荐文章于 2024-05-15 10:30:00 发布
最新推荐文章于 2024-05-15 10:30:00 发布
阅读量1.7k 收藏 5
点赞数 1
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45309500/article/details/117821005
版权

ipsec的ike自动协商模式(MM隧道模式)

在这里插入图片描述转发原理:
1.数据到达fw后,查询路由表,将数据送到g1/0/1,根据ipsec里的控制访问列表,匹配到兴趣流,激活接口绑定的ipsec
2.Ipsec隧道两端建立协商,分为两步:1.ike sa 的协商(1.ike proposal的确认,2.交换公钥,3.发送身份认证信息)2.ipsec sa (协商也是基于路由的基础上建立的)
3.协商完毕,隧道建立后,数据包备送到对端绑定ipsec的接口,查看ip头部是否匹配,然后对比psk是否一致,然后解密
4.解密后根据路由表送到接收方
报文的封装:
在这里插入图片描述
Ipsec就像一个安全框架,把业务报文包裹在里面,提高安全性和完整性,机密性
以及变向进行身份确认和重放攻击
Ipsec适用于点对点,为了提高机密性,不支持组播,所以不能用动态路由,且ipsec隧道需要流量激活才能建立,与gre不一样,gre是静态隧道
配置:(这里接口ip和安全区域不加以配置了)
Ike proposal 1(可以使用默认算法)
Ike peer ngfw2
Ike-proposal 1
Remort-add 202.1.1.1
Psk Huawei@123(两端一定要一致)

Acl 3000(匹配兴趣流)
Rule pemirt ip source 192.168.10.1 0 destination 192.168.20.1 0

Ipsec proposal 1(可以使用默认算法及模式)
Ipsec policy ipsec 1 isk
Security acl 3000
Proposal 1
Ike peer ngfw2

Int g1/0/1
Ipsec policy ipsec(应用到接口)
Ip route-static 192.168.20.0 24 101.1.1.254(配置引流路由)
Ip route-static 0.0.0.0 0 101.1.1.254(缺省路由)
在这里插入图片描述在这里插入图片描述

排错时可查看ike的安全联盟是否建立以及会话表是否有udp控制报文和ESP的会话,udp和esp一定要是公网地址

番茄上的Tomato
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
玩转华为ENSP模拟器系列 | 两个网关之间通过IKE方式协商IPSec VdPdNd隧道(采用预共享密钥认证)
COCO_gsta的博客
10-06 917
通过组网实现如下需求:在FW_A和FW_B之间建立IKE方式的IPSec隧道,使网络A和网络B的用户可通过IPSec隧道互相访问。所示,网络A和网络B分别通过FW_A和FW_B连接到Internet。配置FW_A的基础配置。配置到达目的网络B的静态路由,此处假设到达网络B的下一跳地址为1.1.3.2。配置到达目的网络A的静态路由,此处假设到达网络A的下一跳地址为1.1.5.2。在FW_A上配置IPSec策略,并在接口上应用此IPSec策略。在FW_B上配置IPSec策略,并在接口上应用此IPSec策略。
IPsec IKEv1 协商(预共享密钥认证,数字签名认证,公钥认证)
qq_47529104的博客
04-04 4645
模式(预共享密钥身份认证) 主模式阶段一 (SA的协商) HDR, SA --> Ci SAi <-- HDR, SA Ci Cr SAr HDR就是指协议的首部,其中SA就是通信双方协商的安全联盟,我比较喜欢叫它安全套件,因为SA就是多个安全内容的集合,Ci,Cr就是通...
详解IP安全:【IPSec协议簇 - AH协议 - ESP协议 - IKE协议】
最新发布
m0_59598029的博客
05-15 934
大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构,除了数据链路层外,TCP/IP的所有协议的数据都是以IP数据报的形式传输的。TCP/IP协议族有两种IP版本:版本4(IPv4)和版本6(IPv6),IPv6是IPv4的后续版本,IPv6简化了IP头,其数据报更加灵活,同时IPv6还增加了对安全性的考虑。
IPSEC流程例子及两个阶段的协商过程详细介绍
wesleyhe的专栏
02-01 3万+
IPSEC VPN两个阶段的协商过程详细介绍 IPSec体系结构模型图   我们来看一个完整的IPSec体系结构模型图,以便更好地理解IPSec体系结构。   IPSec流程图 SAKMP/IKE第一阶段称为ISAKMP/IKE的管理连接阶段.使用双向的UDP端口为500的数据连接,来共享IPSEC消息. 第一阶段 有主模式和积极模式2种
VPN、IPSEC、AH、ESP、IKE、DSVPN
xiaooxiangg的博客
04-14 3825
身份认证也称为“身份验证”或“身份鉴别”,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。数字签名,客户端支持的最高版本,加密套件列表,压缩算法列表,客户端随机数。
防火墙——IKEIPSec2)
m0_49864110的博客
05-17 8675
IKE基本概念 IKE安全机制 身份认证 身份保护 DH密钥分发算法 PFS IKEv1协商安全联盟 阶段1——协商IKE SA建立安全通道 阶段2——利用安全通道协商IPSec SA IKEv1中DH算法生成密钥、IKE安全提议中的算法、IPSec安全提议中算法之间的关系 IKEv2协商安全联盟的过程 IKEv2定义了三种交换 ISAKMP报文 UDP头部 ISAKMP头部 IKEv1和IKEv2之间的区别 查看IKE隧道建立情况
IKE 3
jianchaolv的专栏
08-24 2510
IKE第一阶段 IKE的精髓在于它永远不在不安全的网络上直接传送密钥,而是通过一系列的计算,双方最终计算出共享密钥,并且即使第三方截获了交换中的所有数据,也无法计算出真正的密钥。其中的核心技术就是DH交换算法。 IKE协商第一阶段,参与通信的双方会生成4个秘密: SKEYID:后续三个都建立在它的基础上,由它推算出。 SKEYID_d:用于为ipsec衍生出加密的材料。 SKEYID_a
IPSecIKE原理
11-14
3. **安全联盟(SA)建立**:IKE协议自动协商和建立安全关联,减少手动配置的复杂性。 4. **动态密钥更新**:允许在不中断服务的情况下定期更新密钥,提高安全性。 【IKE的交换过程】 IKE交换分为两个阶段:主模式...
IPsec自动设置工具2.0
06-20
5. ** IKE协商**:工具可能包含IKE(Internet Key Exchange)功能,负责在两台设备间建立安全关联,协商加密密钥和其他安全参数。 6. **策略管理**:用户可以通过工具轻松管理已有的IP安全策略,包括添加、删除、...
ipsec等协议分析
07-20
IPSec协议族包括AH(Authentication Header)和ESP(Encapsulating Security Payload)两种主要组件,以及IKE(Internet Key Exchange)协议,用于协商密钥和其他安全参数。 AH协议主要用于提供数据源认证、无连接...
IPSEC-TOOLS使用说明
05-10
3. **racoon**:IKE(Internet Key Exchange)守护程序,负责自动建立和维护IPsec连接。IKE协议允许两台主机协商安全参数,如预共享密钥、加密算法和身份验证方法。 4. **racoonctl**:这是一个控制racoon的shell...
IKE配置zip
12-20
动态协商允许设备在连接时自动协商安全参数,而静态配置则预先定义好所有参数。动态协商更加灵活,但可能需要更复杂的管理;静态配置则简化了管理,但缺乏灵活性。 8. IKE的生命周期与重新协商IKE SA有其生命...
网络安全之IPSEC路由基本配置
qq_57289939的博客
05-06 3414
R1]display ipsec proposal --- 查询配置的IPSEC
ensp IKEV1实验(Ipsec动态配置)
sgslwms的博客
02-21 6055
拓扑前提配置:1:设备接口IP 2:防火墙接口加区域 3:配置默认路由 1:IKE proposal 左边防火墙: ike proposal 1(这个1指的是名字) encryption-algorithm des (加密算法) dh group1 (密钥计算) authentication-algorithm md5 (认证算法) authentication-method pre-share (认证模式 预共享) integrity-algorithm hmac-sha2-256 (完...
ensp的ipsec实验(ike自动协商
qq_44933518的博客
04-02 6836
配置步骤:配置网络可达–配置ACL识别兴趣流–创建安全提议–创建安全策略–应用安全策略 配置网络可达–配置ACL识别兴趣流–创建ike提议–创建ike对等体–创建ipsec提议–创建ipsec策略–应用安全策略 ...
路由器基础(十二):IPSEC VPN配置
limengshi138392的博客
11-04 8484
路由器基础(十二):IPSEC VPN配置
IPSEC的原理及配置步骤整理(一)
m0_60444349的博客
08-10 6360
3.7 创建自定义服务,对外网放行UDP 500端口(IPSEC中的ike协议采用此端口发起和响应协商),在有NAT穿越的场景下,还要放开4500端口。(1)配置封装协议(有AH、ESP和AH-ESP三种);*******Ike就是用来创建和更新密钥的协议,用于IKE SA的协商IPsec双方使用协商好的IKE SA去对IPsec SA的协商进行保护。IPSEC封装模式:封装模式是指将AH或ESP相关的字段插入到原始IP报文中,以实现对报文的认证和加密,封装模式有传输模式和隧道模式两种。.........
IKE协商
zljszn的博客
10-26 2717
身份认证信息包括第一阶段计算出的密钥和第二阶段产生的密钥材料等,可以再次认证对等体。3. 消息⑤和⑥用于身份和认证信息交换(双方使用生成的密钥发送信息),双方进行身份认证(预共享密钥方式下为。如果没有匹配的安全提议,响应方将拒绝发起方的安全提议。IKE安全提议,并且消息②中还包括响应方发送身份信息供发起方认证,消息③用于响应方认证发起方。利用第一阶段已通过认证和安全保护的安全通道,目的是建立一对用于数据安全传输的。安全参数包括被保护的数据流和。协商响应方发送确认的安全参数和身份认证信息并生成新的密钥。
IPSecIKEv1协议详解
热门推荐
曹世宏的博客
04-20 4万+
IKE简介 安全联盟SA: 定义: 安全联盟是要建立IPSec 隧道的通信双方对隧道参数的约定,包括隧道两端的IP地址、隧道采用的验证方式、验证算法、验证密钥、加密算法、共享密钥以及生命周期等一系列参数。 SA由三元组来唯一标识,这个三元组包括安全参数索引SPI(Security Parameter Index)、目的IP地址和使用的安全协议号(AH或ESP)。其中,SPI是为唯一标识SA而生成的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

番茄上的Tomato

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值