华为IPsec预共享密钥配置命令汇总

已于 2022-05-06 08:45:42 修改
阅读量2.7k 收藏 16
点赞数 1
分类专栏: 网络技术 HCIA/HCIP sercurity 文章标签: 华为
于 2022-05-01 15:55:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47529104/article/details/124527869
版权

IKE协商对象创建


ike proposal xx //创建ike协商
  authentication-method xx //设置认证方式
  authentication-algorithm xx //设置认证算法,主要使用MAC进行认证
  encryption-algorithm xx //设置加密算法
  dh xx //设置DH算法 推荐使用DH14
  sa duration xx  //设置IKE SA的生成周期
  prf xxx //设置伪随机函数  sha2-512>sha2-384>sha2-256>aes-xcbc-128->md5
  intergrity-algorithm xx //设置完整性算法 sha2-512 > sha2-384 > sha-256 > aes-xcbc-96 > hmac-sha1-96 > hmac-md5-96

IKE对等体创建


无论是版本1还是版本2都都指定对端和本段ID,并且要相互对应
ike peer xx v2|v1  //创建ike对等体
  ike-proposal xx //指定该对等体上使用的ike协商对象
  pre-shared-key cipher xxx //设置预共享密钥
  local-address xxx //当IPsec的出接口地址不固定需要强制指定
  remote-address xxx //协商方需要显式地声明对端地IP地址
  local-id-type xx  //设置本端的ID类型,主要使用name或者fqdn,都是代表字符串的形式
  remote-id-type xx  //设置对端的ID类型,主要使用name或者fqdn,都是代表字符串的形式
  local-id xx //设置本端ID
  remote-id xx //设置对端ID
  re-authentication interval xx //设置IPsec重协商的时延,表示周期进行IKEv2的重验证
  (注意IKEv1的主模式不支持remote id或者local id)
  user-table xx //在IKE对等体中引用user-table,主要引用在策略模板上,然后针对不同的支部可以使用不同的预共享密钥
  nat traversal //设置NAT穿越
  dpd msg [ seq-hash-notify | seq-notify-hash ]  //设置载荷的内容的顺序,双方的顺序要一致
  dpd idle-time xx //设置多长时间没有数据传输发送dpd检测
  dpd retransmit-interval xx //设置重传间隔
  dpd retry-limit xx //设置超时几次的最大限度
  dpd type [ on-demand | periodic ]  //设置dpd的发送类型,是按需还是周期

  remote-name xxx //这种配置对端标识的是在低版本上才会使用的,只有在配置了remote-id-type之后才生效,默认的remote-id-type是IP,此时就不用显式地指定对端地IP,因为remote-address该命令已经指出了。

系统试图下:ike local-name xx //标识本端的标识,该命令只要在ike peer试图下配置了local-id-type name 之后才会生效,默认情况下local-id-type是IP,也就是IPsec出接口的IP地址

用户表的创建

ike user-table xx //其中xx代表了该用户表中的用户数量
  user xxx //在用户表中创建用户
    pre-shared-key xxx //创建该针对该用户使用的预共享密钥
    id-type xxx xxx // 表示该用户的标识 类型以及标识内容

IPsec协商对象创建

ipsec proposal xx
  transform [ ah | esp ] //设置数据的封装模式是传输模式还是隧道模式
  esp [ authentication-algorithm | encryption-algorithm ]  //设置ESP安全协议下的认证算法和加密算法
  ah  authentication-algorithm //设置AH安全协议下的认证算法
  encapsulation-mode [ transport | tunnel ]   //设置数据的封装模式

IPsec策略创建

ipsec policy name seq-number isakmp
  security acl xxx //设置感兴趣流
  proposal xx //设置ipsec
  ike-peer xx //调用ike对端
  sa traigger-mode [ auto | traffic-based ]  //表示IPsec SA协商出发的方式
  pfs dh-groupx //表示设置PFS特性中的DH算法
  route inject [ static | dynamic ]  preference xx //设置感兴趣流相关路由信息的注入
  sa duration [ time-based xx | traffic-based xx ]  //针对该IPsec策略进行sa生成周期的设置
  anti-replay window xx //设置抗重放的窗口大小,默认1024

IPsec策略模板创建

ipsec policy-template name seq-number  //创建ipsec策略模板
  security-acl xx //设置acl的感兴趣流
  proposal xx //调用ipsec的协商对象
  ike-peer xx //调用ike对端对象
  pfs dh-groupx //表示设置PFS特性中的DH算法
  route inject [ static | dynamic ]  preference xx //设置感兴趣流相关路由信息的注入
  sa duration [ time-based xx | traffic-based xx ]  //针对该IPsec策略进行sa生成周期的设置
  anti-replay window xx //设置抗重放的窗口大小,默认1024  

系统视图下的一些零碎配置

ipsec policy name seq-number isakmp template xx //创建一个安全策略组并引用安全策略模板
ipsec fragmentation before-encryption //设置加密后分片,默认是加密前分片
ipsec sa global-duration [ time-based xx | traffic-based xx ]  //设置全局的sa生成周期
ipsec anti-replay enable //开启抗重放功能
ipsec anti-replay window xx //设置抗重放的窗口大小,默认1024

ipsec policy xx shared local-interface loopback xxx //表示该lookback接口可以被任意公网
接口进入的协商流量所响应
ipsec remote traffic-identical accept  //表示即便有新的与当前SA保护内容相同的
协商请求也接受
ipsec nat-keep-alive-timer xxx //设置nat保活的间隔

ike local-name 
    

Mllllk
关注
  • 1
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
华为交换机监控口配置命令图文教程
10-01
熟练掌握华为路由器交换机配置知识点,你只需花几分钟的时间就能明白华为路由器交换机配置、交换机的配置命令等等。下面就为大家介绍了华为交换机监控口配置命令大全,大家参考下
IPsec+共享密钥的lKE主模式
zero_number的博客
10-21 1371
指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务 IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
Zabbix通过PSK共享密钥实现Server和Agent的通信加密
01-10
Zabbix版本从3.0之后,开始支持Zabbix server, Zabbix proxy, Zabbix agent, zabbix_sender and zabbix_get之间的通信加密,加密方式有共享密钥(PSK)和证书加密,加密配置是可选项,一些proxies和agents可以使用证书认证加密通信,另外一些可以使用PSK加密通信,而剩余的可以不使用加密进行通信,需要注意的是如果希望使用加密通信,编译的时候必须加入 –with-openssl参数。 生成并添加PSK共享密钥   使用命令openssl rand -hex 32生产一串密钥配置步骤如下: [root@zabbix
图解Android
黑豆黑豆的专栏
04-26 1081
在Zygote启动过程一文中我们说道,Zygote一生中最重要的一件事就是生下了SystemServer这个大儿子,SystemServer担负着提供系统Service的重任,在深入了解这些Service之前,我们首先要了解什么是Service?它的工作原理是什么?1.Service是什么?简单来说,Service就是提供服务的代码,这些代码最终体现为一个个的接口函数,所以,Service就是实现一组函数的对象,通常也称为组件。Android的Service有以下一些特点
RDMA 架构与实践(技术详解(一):RDMA概述)
bandaoyu的note
04-14 5821
RDMA 架构与实践 | https://houmin.cc/posts/454a90d3/ RDMA,即Remote Direct Memory Access,是一种绕过远程主机OS kernel访问其内存中数据的技术,概念源自于DMA技术。在 DMA 技术中,外部设备(PCIe 设备)能够绕过 CPU 直接访问host memory;而 RDMA 则是指外部设备能够绕过 CPU,不仅可以访问本地主机的内存,还能够访问另一台主机上的用户态内存。由于不经过操作系统,不仅节省了大量 CPU 资源......
防火墙—IPSec VPN(共享密钥-单子网)
weixin_44080599的博客
05-31 1450
奇安信防火墙 IPSEC VPN 详解
HCIE-2204-BGP
Goldmoonstart的博客
06-26 1371
HCIE学习笔记
IPSec共享密钥实验配置
m0_49864110的博客
05-21 884
黑色是FW1和FW2相同的配置 绿色是FW1的配置 蓝色是FW2的配置 基础配置-配置接口IP地址、安全区域、路由 配置接口IP地址 interface GigabitEthernet1/0/0 ip address 10.0.11.254 255.255.255.0 ip address 10.0.22.254 255.255.255.0 interface GigabitEthernet1/0/1 ip address 13.0.0.1 255.255.255.0......
安全防御 --- IPSec理论(02)
weixin_62443409的博客
06-07 7311
附:esp 和 ah 的分类:(数据的安全性主要依赖于传输端之间需要做认证)传输模式和隧道模式的分类: 安全提议 PRF:完美向前法。 安全认证
IPsec IKEv1 协商(共享密钥认证,数字签名认证,公钥认证)
qq_47529104的博客
04-04 4361
主模式(共享密钥身份认证) 主模式阶段一 (SA的协商) HDR, SA --> Ci SAi <-- HDR, SA Ci Cr SAr HDR就是指协议的首部,其中SA就是通信双方协商的安全联盟,我比较喜欢叫它安全套件,因为SA就是多个安全内容的集合,Ci,Cr就是通...
华为ipsec ike协商配置.rar
04-22
本资源是以ensp模拟器形式搭建的一...总共用了3台路由器,中间一台做充当转发器,其他两台进行ipsec搭建,并配置静态路由指向中间路由器。如需要学习的,可自行下载进行参考。ip什么的,就自己配置吧,我就不多操作了。
华为与思科常见配置命令
05-11
整理了一些华为和思科的配置命令,有OSPF、RIP、VLAN、STP等,可供大家查看。可以下载下来也方便自己后期补充内容。
华为路由器Telnet配置详细命令.docx
04-06
华为路由器Telnet配置详细命令,适合新手学习!
华为路由器详细配置命令
11-29
华为路由器详细配置命令是学习华为交换机路由器最好学习资料
ardupilot开发 --- Remote ID
最新发布
记录老板的每次pua,分享领导每天的毒鸡汤...
03-29 1275
ardupilot开发 --- Remote ID
idea 远程debug调试
专注写bug
04-25 3891
文章目录1,远程DEBUG的必要性2,IDEA构建SpringBoot测试Demo3,测试Demo项目配置支持远程调试4,IDEA打包jar5,启动jar并且带启动参数支持远程调试6,IDEA远程DEBUG配置7,IDEA远程DEBUG测试 1,远程DEBUG的必要性 由于部署环境的差异性,相信很多朋友都碰到过开发环境正常测试过的功能在测试环境甚至生产环境下出现bug的情况。一般情况下,生产环境可以采取的手段比较单一,即通过日志的方式获取运行中的环境上下文,分析日志文件并尝试重现bug。这会带来的问题还是不
getremoteaddr与getremotehost获取的值不一致_我里戈查,日常踩坑:并发与一致性
weixin_33417371的博客
12-06 360
点击上方☝Java编程技术乐园,轻松关注!及时获取有趣有料的技术文章列举日常工作开发中最容易犯的并发错误,并基于这些错误,跟大家聊聊并发与一致性。01 并发与一致性概念1.1 并发与并行有什么区别?并发:是指同一个时间段内多个任务同时都在执行,并且都没有执行结束.并行:是说在单位时间 内多个任务同时在执行。并发任务强调在一个时间段内同时执行,而一个时间段由多个单位时间累积而成,所以说并发的多个任务...
nmap脚本目录
Ccccc_ccc的博客
02-28 794
nmap脚本目录及简介
防火墙—IPSec VPN(共享密钥-多子网)
weixin_44080599的博客
06-01 879
奇安信防火墙 IPSEC VPN 详解
华为模拟器ENSP上IPSec配置命令
05-14
以下是在华为模拟器ENSP上进行IPSec配置命令: 1. 创建IKE策略: ``` ike peer IKE-PEER-NAME pre-shared-key cipher PASSWORD local-id type ipaddr subnet-mask LOCAL_IP LOCAL_MASK remote-id type ipaddr subnet-mask REMOTE_IP REMOTE_MASK proposal 1 encryption-algorithm {aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | 3des-cbc} authentication-mode {md5 | sha1 | sha2-256} dh group GROUP_NUMBER ``` 其中,`IKE-PEER-NAME`为IKE对端的名称,`PASSWORD`为共享密钥,`LOCAL_IP`和`LOCAL_MASK`为本地IP地址和子网掩码,`REMOTE_IP`和`REMOTE_MASK`为远程IP地址和子网掩码,`GROUP_NUMBER`为DH组号。 2. 创建IPSec策略: ``` ipsec proposal IPSec-PROPOSAL-NAME esp authentication-algorithm {md5 | sha1 | sha2-256 | sha2-384 | sha2-512} esp encryption-algorithm {aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | 3des-cbc} ah authentication-algorithm {md5 | sha1 | sha2-256 | sha2-384 | sha2-512} ah encryption-algorithm {aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | 3des-cbc} pfs group GROUP_NUMBER ipsec policy IPSec-POLICY-NAME proposal IPSec-PROPOSAL-NAME ``` 其中,`IPSec-PROPOSAL-NAME`为IPSec策略名称,`GROUP_NUMBER`为PFS组号,`IPSec-POLICY-NAME`为IPSec策略名称。 3. 应用IKE和IPSec策略: ``` interface INTERFACE_TYPE INTERFACE_NUMBER ipsec policy IPSec-POLICY-NAME ike peer IKE-PEER-NAME ``` 其中,`INTERFACE_TYPE`为接口类型,`INTERFACE_NUMBER`为接口编号,`IPSec-POLICY-NAME`为IPSec策略名称,`IKE-PEER-NAME`为IKE对端名称。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mllllk

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值