IPSec实验

最新推荐文章于 2024-04-15 19:24:10 发布
最新推荐文章于 2024-04-15 19:24:10 发布
阅读量7.7k 收藏 50
点赞数 6
分类专栏: 网络 文章标签: 网络 通信
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47945825/article/details/111304044
版权
本节介绍如何使用华为路由器,建立IPSec VPN,来保障俩个站点之间正常的通信

1.拓扑图
在这里插入图片描述
2.步骤

2.1 在r4和r5上配置静态路由,指定对端的路由
2.2 使用高级IP acl 指定进行保护的流量(指定流量的源地址和目的IP地址)
2.3 创建IPSec安全提议并指定IPSec使用的各项参数
2.4 创建IKE安全提议,并指定IKE使用的各项参数
2.5 创建IKE对等体。并在其中引用配置的安全提议
2.6 创建IPSec安全策略,并在其中引用ACL,IPSec安全提议和IKE对等体
2.7建立连接的俩端,在面向lnternet的接口上应用安全策略

3.配置
3.1配置所有的IP地址和静态路由
在这里插入图片描述
在这里插入图片描述

r4:
interface GigabitEthernet0/0/0
 ip address 10.10.10.254 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 45.1.1.1 255.255.255.0 
静态路由:
ip route-static 20.20.20.0 255.255.255.0 45.1.1.5
ip route-static 56.1.1.0 255.255.255.0 45.1.1.5
#

r5:
[r5]int g0/0/0
[r5-GigabitEthernet0/0/0]ip address 45.1.1.5 24
[r5-GigabitEthernet0/0/0]int g0/0/1
[r5-GigabitEthernet0/0/1]ip address 56.1.1.1 24

r6:
interface GigabitEthernet0/0/0
 ip address 56.1.1.6 255.255.255.0 
 
interface GigabitEthernet0/0/1
 ip address 20.20.20.254 255.255.255.0 
静态路由:
ip route-static 10.10.10.0 255.255.255.0 56.1.1.1
ip route-static 45.1.1.0 255.255.255.0 56.1.1.1

3.2在r4和r6上使用高级IP acl定义需要过ipsec vpn的流量

[r4]acl  3010  
[r4-acl-adv-3010]
[r4-acl-adv-3010] rule  permit ip source 10.10.10.0 0.0.0.255 destination 20.20
.20.0 0.0.0.255 
[r4-acl-adv-3010] rule 10 deny ip 


[r6]acl 3020  
[r6-acl-adv-3020]
[r6-acl-adv-3020] rule  permit ip source 20.20.20.0 0.0.0.255 destination 10.10
.10.0 0.0.0.255 

[r6-acl-adv-3020] rule  deny ip

3.3在r4和r6上配置IPSec安全提议

r4:
[r4]ipsec proposal huawei10(自定义名字)
[r4-ipsec-proposal-huawei10]encapsulation-mode  tunnel 
[r4-ipsec-proposal-huawei10]transform esp(指定IPSec所使用的安全协议)
[r4-ipsec-proposal-huawei10]esp authentication-algorithm sha2-256(算法)	
[r4-ipsec-proposal-huawei10]esp encryption-algorithm aes-128

r6:
[r6]ipsec proposal huawei20(自定义名字)
[r6-ipsec-proposal-huawei10]encapsulation-mode  tunnel 
[r6-ipsec-proposal-huawei10]transform esp(指定IPSec所使用的安全协议)
[r6-ipsec-proposal-huawei10]esp authentication-algorithm sha2-256(算法)	
[r6-ipsec-proposal-huawei10]esp encryption-algorithm aes-128

查看安全提议:

[r4]display ipsec proposal

Number of proposals: 1

IPSec proposal name: huawei                            
 Encapsulation mode: Tunnel                            
 Transform         : esp-new
 ESP protocol      : Authentication SHA2-HMAC-256                             
                     Encryption     AES-128

[r6]dis ipsec proposal

Number of proposals: 1

IPSec proposal name: huawei2                            
 Encapsulation mode: Tunnel                            
 Transform         : esp-new
 ESP protocol      : Authentication SHA2-HMAC-256                             
                     Encryption     AES-128

3.4在r4和r6上创建ike安全提议

[r4]ike proposal 10	
[r4-ike-proposal-10]authentication-algorithm sha1 (认证算法也与设备的型号有关)	
[r4-ike-proposal-10]authentication-method pre-share (默认的认证方式是预共享密钥)	
[r4-ike-proposal-10]encryption-algorithm aes-cbc-128(加密算法)
[r4-ike-proposal-10]q
同理		
[r6-ike-proposal-10]authentication-algorithm sha1 
[r6-ike-proposal-10]authentication-algorithm	
[r6-ike-proposal-10]authentication-method pre-share 	
[r6-ike-proposal-10]encryption-algorithm aes-cbc-128
[r6-ike-proposal-10]q

3.5在r4和r6上创建ike对等体

[r4]ike peer huawei10 v1
[r4-ike-peer-huawei10]ike	
[r4-ike-peer-huawei10]ike-proposal 10
[r4-ike-peer-huawei10]pre-shared-key  cipher huawei
[r4-ike-peer-huawei10]remote-address 56.1.1.6(对端的g0/0/0ip地址)

[r4-ike-peer-huawei10]q
[r6]ike peer huawei20 v1 	
[r6-ike-peer-huawei20]ike-proposal 10	
[r6-ike-peer-huawei20]pre-shared-key cip huawei
[r6-ike-peer-huawei20]remote-address 45.1.1.1
[r6-ike-peer-huawei20]q
[r6]

查看ike对等体

[r4]dis ike peer verbose 

Number of IKE peers: 1

------------------------------------------
   Peer name              : huawei10
   Exchange mode          : main on phase 1
   Pre-shared-key cipher  : N`C55QK<`=/Q=^Q`MAF4<1!!
   Proposal               : 10
   Local ID type          : IP
   DPD                    : Disable
   DPD mode               : Periodic
   DPD idle time          : 30
   DPD retransmit interval: 15
   DPD retry limit        : 3
   Host name              : 
   Peer IP address        : 56.1.1.6
   VPN name               : 
   Local IP address       : 
   Local name             : 
   Remote name            : 
   NAT-traversal          : Disable
   Configured IKE version : Version one
   PKI realm              : NULL
   Inband OCSP            : Disable

[r6]dis ike peer verbose 

Number of IKE peers: 1

------------------------------------------
   Peer name              : huawei20
   Exchange mode          : main on phase 1
   Pre-shared-key cipher  : N`C55QK<`=/Q=^Q`MAF4<1!!
   Proposal               : 10
   Local ID type          : IP
   DPD                    : Disable
   DPD mode               : Periodic
   DPD idle time          : 30
   DPD retransmit interval: 15
   DPD retry limit        : 3
   Host name              : 
   Peer IP address        : 45.1.1.1 
   VPN name               : 
   Local IP address       : 
   Local name             : 
   Remote name            : 
   NAT-traversal          : Disable
   Configured IKE version : Version one
   PKI realm              : NULL
   Inband OCSP            : Disable
------------------------------------------

3.6在r4和r6上配置ipsec策略

[r4]ipsec policy hw 10 isakmp 
[r4-ipsec-policy-isakmp-hw-10]ike-peer huawei10
[r4-ipsec-policy-isakmp-hw-10]proposal huawei	
[r4-ipsec-policy-isakmp-hw-10]security acl 3010
[r4-ipsec-policy-isakmp-hw-10]q

[r6]ipsec policy hw2 10 isakmp 
[r6-ipsec-policy-isakmp-hw2-10]ike-peer huawei20
[r6-ipsec-policy-isakmp-hw2-10]proposal huawei2
[r6-ipsec-policy-isakmp-hw2-10]security acl 3020
[r6-ipsec-policy-isakmp-hw2-10]q

查看ipsec安全策略

[r4]display ipsec policy

===========================================
IPSec policy group: "hw"
Using interface: 
===========================================

    Sequence number: 10
    Security data flow: 3010
    Peer name    :  huawei10
    Perfect forward secrecy: None
    Proposal name:  huawei
    IPSec SA local duration(time based): 3600 seconds
    IPSec SA local duration(traffic based): 1843200 kilobytes
    Anti-replay window size: 32
    SA trigger mode: Automatic
    Route inject: None
    Qos pre-classify: Disable

[r6]dis ipsec policy

===========================================
IPSec policy group: "hw2"
Using interface: 
===========================================

    Sequence number: 10
    Security data flow: 3020
    Peer name    :  huawei20
    Perfect forward secrecy: None
    Proposal name:  huawei2
    IPSec SA local duration(time based): 3600 seconds
    IPSec SA local duration(traffic based): 1843200 kilobytes
    Anti-replay window size: 32
    SA trigger mode: Automatic
    Route inject: None
    Qos pre-classify: Disable

3.7在r4和r6上应用IPSec安全策略

[r4]int g0/0/1
[r4-GigabitEthernet0/0/1]ipsec po	
[r4-GigabitEthernet0/0/1]ipsec policy hw

[r6]int g0/0/0
[r6-GigabitEthernet0/0/0]ipsec	
[r6-GigabitEthernet0/0/0]ipsec policy hw2
[r6-GigabitEthernet0/0/0]dis this
[V200R003C00]
#
interface GigabitEthernet0/0/0
 ip address 56.1.1.6 255.255.255.0 
 ipsec policy hw2

查看以创建的ike sa

[r4]dis ike sa
    Conn-ID  Peer            VPN   Flag(s)                Phase  
  ---------------------------------------------------------------
        7    56.1.1.6        0     RD                     2     
        6    56.1.1.6        0     RD                     1     

  Flag Description:
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP

[r6]dis ike sa
    Conn-ID  Peer            VPN   Flag(s)                Phase  
  ---------------------------------------------------------------
        9    45.1.1.1        0     RD|ST                  2     
        8    45.1.1.1        0     RD|ST                  1     

  Flag Description:
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP

3.8 pc1向pc2发起ping
在这里插入图片描述
在这里插入图片描述
抓包查看
在这里插入图片描述
由此可知lnternet中路由器无法知道这个数据包是哪种类型的信息,只有数据到达r6才能读到携带的真数据,并把数据进行下一步处理。

神慕蔡蔡
关注
  • 6
    点赞
  • 50
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
IPSEC VPN安全介绍以及相关实验
weixin_62304542的博客
03-08 1010
IPSEC的相关介绍及其简单实验
新华三网络教程之ipsce实战IKE配置
weixin_44255593的博客
01-26 2085
实验拓扑图 配置步骤 (1)配置MSR36-20_1 #配置各接口的IP地址,具体略。 #配置ACL 3101,定义要保护由子网10.1.1.0/24去子网10.1.2.0/24的数据流。 <H3C>系统视图 [H3C] ACL号3101 [H3C-ACL-ADV-3101]规则允许IP源10.1.1.0 0.0.0.255目标10.1.2.0 0.0.0.255 [H3C-ACL-ADV-3101]退出 复制代码 #创建IPsec安全重置lzc。 [H3C].
IPSec VPN 基本配置实验(H3C)
kerio123的博客
04-15 1286
IPsec VPN指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
实验二十七 IPSec配置
qq_59621600的博客
01-07 1652
实验二十七 IPSec配置
IPsec实验
Dreamsi_zhang的博客
04-15 1265
1、完成基本路由 R1: int f0/0 ip add 100.1.1.1 255.255.255.0 no shutdown int lo 0 ip add 192.168.10.1 255.255.255.0 ip route 0.0.0.0 0.0.0.0 100.1.1.2 R2: int f0/0 ip add 100.1.1.1 255.255.255.0 no shutdown...
IPSec 隧道技术--基础实验配置
热门推荐
正月十六工作室
04-26 2万+
IPSec VPN基础实验配置 IPSec 简介 (Internet Protocol Security)是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。 # IPSec架构 IPSec VPN体系结构主要由AH(Authentication Header)、ESP(Encapsulating Security Payload)和IK.
IPSec实验.docx
12-24
IPSec实验.docx。
华为IPSec实验.zip
07-19
总部与分支机构之间建立IPSec VPN(总部采用固定IP,分部动态) 配置基于路由的IPSec VPN(采用预共享密钥认证) VPN高可用性-主备链路冗余 VPN高可用性-设备冗余 IPSec预共享密钥身份验证 Efficient VPN - 使用的...
PT IPSec 实验
01-17
要用5.31以上打开 要做ipsec实验的可以参考一下
HCL模拟器IPSec VPN实验
最新发布
05-13
HCL模拟器IPSec VPN实验
Windows2008 NAP IPSec 实验手册
12-11
Windows 2008 NAP IPSec 实验手册 本文档提供了 Windows 2008 中 Network Access Protection (NAP) 的 IPSec 实现指南,旨在帮助管理员理解 NAP 的工作原理和实施步骤。下面是从本文档中提炼出的重要知识点: 一、...
基于VMWare的IPSec综合实验设计
07-24
IPSec 是互联网的基础安全协议。建立 IPSec 安全通道之前,对等体之间需要进行身份认证。IPSec 身份认证的传统实验是通过“预共享密钥”的方式来进行的。设计了两个更通用的 IPSec 身份认证实验:“基于证书”和“基于Kerberos 协议”。而基于虚拟机平台的实验具有更方便、更经济的优点。此外本实验还涉及到了 Windows 平台上各种安全设置,如活动目录、DNS 服务器、DHCP 服务器,防火墙、证书颁发中心 CA 等,具有很强的综合性。
ensp的ipsec实验(ike自动协商)
qq_44933518的博客
04-02 6819
配置步骤:配置网络可达–配置ACL识别兴趣流–创建安全提议–创建安全策略–应用安全策略 配置网络可达–配置ACL识别兴趣流–创建ike提议–创建ike对等体–创建ipsec提议–创建ipsec策略–应用安全策略 ...
安全防御--IPsec VPN点到点的实验
m0_70534140的博客
04-24 1293
在计算机和网络安全领域中,数据认证是指验证数据在传输和存储过程中的完整性、真实性和合法性的过程。数据在传输和存储过程中容易受到数据篡改、损坏或未经授权的访问和修改的风险,数据认证可以帮助防止这些风险并提高数据的安全性和可靠性。数据认证的主要作用包括:1,防止数据被篡改和损坏:通过数据认证可以验证数据的完整性,确保数据没有被篡改或损坏。2,防止未经授权的访问和修改:数据认证可以验证数据的真实性和合法性,确保只有经过授权的用户才能访问和修改数据。
IPsec VPN 实验
m0_63645854的博客
04-10 1353
IPsec VPN实验
基于Ensp的IPsec 实验
WANGMH13的博客
08-02 3528
基于Ensp的IPsec 实验
华为交换机远程与特权级密码配置
weixin_33910137的博客
06-23 2798
[Quidway]user-interface aux 0 [Quidway-ui-aux0]authentication-mode scheme `Quidway`user-interface vty 0 4 [[Quidway]-ui-vty0-4]authentication-mode scheme [Quidway]local-user baiyan Ne...
HCIE-Security Day32:IPSec:深入学习ipsec ikev1、主模式、野蛮模式、快速模式、dh算法、预共享密钥
小梁的博客
03-31 4150
ipsec ikev1总框架 主动模式=野蛮模式 华为的ike 默认同时支持v1和v2,因此可以向下兼容,当隧道两端同时支持v2时,使用v2. dis ike peer bri 2022-03-30 12:25:59.510 Current ike peer number: 1 --------------------------------------...
IPSec技术+实验
weixin_45123715的博客
04-03 1578
IPSec是一系列为IP网络提供完整性、安全性的协议和服务的集合,通过使用IPSec可以安全地进行IP业务的传输,实现VPN网络互连,他并不是一个单独的协议 IPSec体系结构: IPSec包括认证头协议(AH)、封装载荷协议(ESP)、因特网密钥交换协议(IKE),用于保护主机与主机之间、主机与网关之间、网关与网关之间的一个或多个数据流。AH和ESP用于提供安全服务,IKE协议用于密钥交换 IPSec VPN只能对单播流量进行加密,不能加密组播流量 IPSec协议体系:安全协议,加密,验证,密钥交换 安全
ipsec实验-kerberos认证
04-05
在进行IPsec实验时,可以结合Kerberos认证来实现更强的安全性。以下是一个简单的IPsec实验- Kerberos认证的步骤: 1. 配置Kerberos服务器:首先,需要设置一个Kerberos服务器,该服务器将负责用户和服务器之间的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

神慕蔡蔡

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值