笔记:基于ACL方式手工建立IPSec隧道

最新推荐文章于 2024-01-21 22:09:26 发布
最新推荐文章于 2024-01-21 22:09:26 发布
阅读量545 收藏 1
点赞数
文章标签: 网络
原文链接:https://blog.csdn.net/tladagio/article/details/80741752
版权

配置参考:友人a笔记

链接华为 Router配置采用手工方式建立IPSec隧道_友人a笔记的博客-CSDN博客_ipsec隧道建立过程

一、拓扑图:

二、配置思路

采用如下思路配置采用手工方式建立IPSec隧道:

配置接口的IP地址和到对端的静态路由,保证两端路由可达。
配置ACL,以定义需要IPSec保护的数据流。
配置IPSec安全提议,定义IPSec的保护方法。
配置安全策略,并引用ACL和IPSec安全提议,确定对何种数据流采取何种保护方法。
在接口上应用安全策略组,使接口具有IPSec的保护功能。

三、详细配置

1.为每个路由器的接口配上IP地址

AR1:
system-view
interface GigabitEthernet0/0/1
 ip address 192.168.1.1 255.255.255.0 
interface GigabitEthernet0/0/2
 ip address 10.10.10.1 255.255.255.0 
q

AR2:
system-view
interface GigabitEthernet0/0/1
 ip address 11.11.11.1 255.255.255.0 
interface Vlanif1
 ip address 172.16.1.1 255.255.255.0 
q

AR3:
system-view
interface GigabitEthernet0/0/0
 ip address 10.10.10.2 255.255.255.0 
interface GigabitEthernet0/0/1
 ip address 11.11.11.2 255.255.255.0 
q

2.采用路由协议使得网络互通(静态、OSPF、RIP.......)

AR1:
rip 1
 version 2
 network 192.168.1.0
 network 10.0.0.0
q

AR3:
rip 1
 version 2
 network 10.0.0.0
 network 11.0.0.0
q

AR2:
rip 1
 version 2
 network 11.0.0.0
 network 172.16.0.0
q

3.在两端路由器配置ACL,定义需要保护的数据流,AR2的ACL规则的源目网段与AR1相反

AR1:
acl number 3000  
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255

AR2:
acl number 3001  
 rule 10 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

4.在两端路由器上配置ipsec 安全提议(两端加密方式须一致)

AR1:
ipsec proposal 1
esp authentication-algorithm md5
q

AR2:
ipsec proposal 1
esp authentication-algorithm md5
q

5.配置手工安全策略

AR1:
ipsec policy map1 10 manual
 security acl 3000
 proposal 1
 tunnel local 192.168.1.1
 tunnel remote 172.16.1.1
 sa spi inbound esp 2594
 sa string-key inbound esp simple 123
 sa spi outbound esp 4952
 sa string-key outbound esp simple 321



AR2:
ipsec policy use1 10 manual
 security acl 3001
 proposal 1
 tunnel local 172.16.1.1
 tunnel remote 192.168.1.1
 sa spi inbound esp 4952
 sa string-key inbound esp simple 321
 sa spi outbound esp 2594
 sa string-key outbound esp simple 123

6.在两端路由器出接口上引用安全策略组

AR1:
interface GigabitEthernet0/0/2
 ipsec policy map1

AR2:
interface GigabitEthernet0/0/1
 ipsec policy use1

倒计时194
关注
HCIE-Security Day27:IPSec:实验(二)两个网关之间通过手工方式创建IPSec PN隧道
小梁的博客
03-20 1036
手工方式ipsec安全策略所有的安全参数都需要手工配置配置工作量大,因而适用于小型静态环境。 需要用户分别针对出入方向sa手工配置认证/加密密钥、spi等参数,并且隧道两端的这些参数都需要镜像配置,即本段的入方向sa参数必须和对端的出方向sa参数一样,本端的出方向sa参数必须和对端的入方向sa参数一样。 需求和拓扑 网络A和网络B之间采用网关对网关组网模式进行资源传输。网络A和网络B分别通过FW_A和FW_B连接到Internet。网络环境描述如下: 网络A属于10.1.1.0/24子网.
华为_网络工程师_初级笔记(完整版)
热门推荐
运维开发工程师
08-11 3万+
初级网络工程师笔记完整版1.1 企业网架构2.0 OSI 七层 模型2.1 OSI模型-简介2.2 OSI模型-物理层2.3 OSI模型-数据链路层2.4 OSI模型-网络层2.5 OSI模型-传输层3.0 CSMA/CD3. CSMA/CD4.1 OSI-分层模型4.2 数据封装5.1 IP头部5.2 IP 编址5.3 IP 头部详解6.0 ICMP协议7.0 ARP 协议8.0 传输层协议:TCP/UDP9.0 数据包转发过程10.VRP基础11.命令行基础12.交换网络基础113.交换网络基础 214
IPsec典型配置举例 -采用手工方式建立保护IPv4 报文的IPsec隧道
解不开的未知数
07-13 1243
1. 组网需求 在 Router A 和 Router B 之间建立一条 IPsec 隧道,对 Host A 所在的子网(10.1.1.0/24)与 Host B所在的子网(10.1.2.0/24)之间的数据流进行安全保护。具体要求如下: 1-25 • • 封装形式为隧道模式。 • • 安全协议采用 ESP 协议。 • • 加密算法采用采用 128 比特的 AES,认证算法采用 HMAC-SHA1...
华为IPSEC-×××-典型配置举例1-采用手工方式建立IPsec 安全隧道
weixin_33881050的博客
03-26 503
华为IPSEC-×××-典型配置举例1-采用手工方式建立IPsec 安全隧道 一:企业组网需求: 1, 某公司(总部在北京)有两个子公司分别在上海和广州,要求通过×××实现公司之间相互通信! 2, 实验环境如下:要求192.168.1.0/24网段的员工分别与192.168.2.0/24,192.168.3.0/24的员工通信!(中间的为公...
IPsec小实验:手工方式建立保护IPv4报文的IPsec-ESP隧道
衡水铁头哥的博客
07-14 1524
前面用VXLAN和EVPN介绍了跨广域网大二层网络互通的方案,但是我们也发现这种新技术对设备的能力有要求,成本可能会提升。那能不能用简单一点的方案呢?相信机智的小伙伴已经发现我前几天的IPsec的RFC文档,那么今天就用IPsec来操练一下吧。 实验原型借鉴H3C典型配置“采用手工方式建立保护IPv4报文的IPsec隧道”,https://www.h3c.com/cn/d_202103/1390179_30005_0.htm#_Toc65521983。 组网需求 在RT1和RT2之间建立一条IPsec
IPSec隧道配置案例(手动模式
LiBai'S BLOG
04-08 1万+
IPSec VPN配置案例要求拓扑配置基础配置IPSec VPN配置分析原因解决方法IPSec VPNIPSec 核心功能IPSec 技术框架IPSec安全协议IPSec封装模式安全联盟IKE 配置案例 要求 配置IP地址、DHCP、路由、NAT 内网可以访问公网2.2.2.2 配置IPsec VPN PC1能直接访问PC2 抓包验证数据是否加密 拓扑 配置 基础配置 青海分部IP地址、DHCP、NAT、路由 sys sys QH dhcp enable acl 2000 rule permit
IPsec ACL隧道模式的路由设置
qq_47529104的博客
04-11 829
针对这个拓扑来进行讲解 1、去往对端隧道接口的路由 这个毋庸置疑,因为隧道双方都要进行隧道相关协商报文的传递,所以去往对端隧道接口的路由是是必须的 2、去往对端内部网络的路由 对于隧道模式来说,当相关流量根据路由从绑定了ipsec的物理接口上流入,且匹配上了该IPsec的感兴趣流,那么就会引发IPsec隧道封装,隧道封装也就是根据IPsecSA中记录的隧道双方的IP地址去生成新的IP首部。那么为了将流量引入绑定了IPsec的物理接口,那么我们就必须设置相对应的路由,使得相关的流量可以从物理接口..
IPSec手动创建隧道
redwingz的博客
05-21 3527
网络拓扑 |-------------------| |-------------------| | | | | | 192.168.1.115 | <---------> | 192.168.1.142 | ...
H3C SE 教程笔记——构建安全优化的广域网(上)
weixin_34055787的博客
04-02 2049
第1篇广域网安全和优化概述第1章企业网模型随着应用的发展,各种需求不断出现。作为企业IT系统基础的计算机网络,其未来的发展适应企业业务和应用对IT系统越来越高的要求。1.2趋势和挑战信息技术发展至今,包括企业在内的各种组织几乎都已部署了各种各样的IT系统,这些系统大部分基于各种类型的计算机网络。应对企业不断发展的需求,IT系统也处于不断...
[个人笔记]HCIP-Routing & Switching-IENP/H12-222
weixin_45235422的博客
09-24 7534
MPLS ISO位于二层和三册之间,可认定为是2.5层 VPN/虚拟私有网络的分类: 传统的VPN: PPPoE PPTP L2TP 站点之间的基于互联网的IPSec MPLS VPN 传统IP的缺陷 路由器逐跳转发,最长匹配查找 传统IP流量工程切换,备份,转发的问题 术语定义 LER/Label Edge Router:处于MPLS域边缘的路由器,用于打标签和删除标签 LSR/Label Switch Router:处于MPLS域内,用于标签交换的路由器 LSP/Label S
[个人笔记]HCNA-R&S 进阶篇
weixin_45235422的博客
09-24 2736
命令行视图 用户视图:登陆时默认的视图 系统视图:system-view–从用户视图进入系统视图 接口视图 协议视图 ▲ctrl+z:返回用户视图 ▲Tab:自动补全 ▲? :帮助 命令等级 0级:访问级 1级:监控级 2级:配置级 3-15:管理级 命令 *sysname Router1—系统视图下,用于更改路由器的名称为Router1 header login—配置用户在登陆前显示的标题信息 header shell—配置用户登陆后显示的标题信息 idle-time—设置超时时间,即登陆后一定时
笔记,后期整理
weixin_30278237的博客
08-06 8413
VM 虚拟各种系统的工具 安装目录 不要放在C盘 需要下载的镜像Windows NT win7 xp server08R2 server12类Nnix centos 6/7/8 ubuntu 14/16/18 kali安装 win7 1g=1024M1M=1024KB1KB=1024bit1bit 是一个字节 一个字节就是8位由0或者1组成(二进制) 10 进制0-9组成的数字...
手工隧道的原理_手工方式建立IPsec安全隧道
weixin_39825941的博客
12-22 205
R1]dis currdis curr#sysname R1#acl number 3000rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255#ipsec proposal h3cesp authentication-algorithm sha1esp encryption-algorithm 3des...
IPSEC建立过程
时九博客
10-27 8365
IPSEC建立过程如下: 详细参考3GPP     33.402        IKEv2 协议由两个阶段的交互过程组成。第一阶段称为 IKE_SA_INIT 交换,第二阶段称为 IKE_AUTH 交换  IKE_SA_INIT:确认对方使用的算法、产生密钥   ---交换SA(加密、完保算法、伪随机数生成函数)、KE(DH算法)----鉴权四元组   IKE_AUTH:身份验证、分配IP、
[eNSP]建立IPSec隧道
ZXW_NUDT的博客
03-31 2866
1、配置静态路由 [AR 1]ip route-static 200.2.2.0 24 200.1.1.2 [AR 1]ip route-static 192.168.2.0 24 200.2.2.1 [AR 3]ip route-static 200.1.1.0 24 200.2.2.2 [AR 3]ip route-static 192.168.1.0 24 200.1.1.1 [AR 2]ip route-static 192.168.1.0 24 200.1.1.1 [AR 2]ip route-.
IPSEC建立过程(简)
kuaizai__的博客
09-25 6285
IPSEC建立过程 文章目录IPSEC建立过程阶段一:阶段一支持两种协商模式:主模式:野蛮模式:阶段二快速模式共有3条消息完成双方IPSec SA的建立。主模式和野蛮模式的区别主模式包含三次双向交换,用到了六条信息。野蛮模式只用到三条信息 阶段一: 目的是建立IKE SA (ISAKMP SA) 建立后对等体间所有的IKE消息都将通过加密和验证 阶段一支持两种协商模式: 主模式: 三个交换步骤: 协商对等体之间使用IKE安全提议 1/2数据
数通--IPsec VPN隧道搭建配置实验
最新发布
m0_74313947的博客
01-21 2418
左右R2,R3分别配置静态路由,这里的0.0.0.0 0.0.0.0 100.1.1.1 ,意思就是不管是要去哪个ip地址都转发到100.1.1.1。这里有个细节,也就是边缘路由器需要在内侧配置网关,这里重点就是内侧,也就是边缘路由器的内网接口,而acl要配到外侧(靠近目的地的一端)为什么要进行NAT豁免,当一个网关配置了防火墙 ,NAT ,IPsec VPN时,会先走NAT,也就是先走NAT的acl。,而后走VPN的acl,所以NAT豁免的目的就是不走NAT的规则而走VPN的规则。
IPSec隧道
Fsy-LLing的博客
08-18 9156
谈到IPSec 隧道还得回顾一下隧道的基础概念(当然我们平时爬出去所用的也是这个)。 隧道全称:专用虚拟网,依靠ISP和NSP在公共基础网络(也就是互联网)上构建的安全通信网络,这条专线是逻辑上的,并不是物理的。 专用:可以根据客户的需求定制符合自身需求的网络 虚拟:用户不需要拥有实际的长途数据线路,直接在公共基础网络的基础上构建的。 那么为什么这么多种类的,比如GRE,L2TP等,要大力推举IPSec呢。比如说Gre的不支持用户的身份认证(第一道门都没有,如果黑客进入,连验证都不需要了),只会对数据进行简
关于防火墙知识点总结
weixin_52032812的博客
05-20 1398
防火墙 定义 在安全需求不同的网络区域之间,通过即定原则对网络通信强度实施访问控制的安全设备 目的 隔离外网和内网,以保护网络的安全性 功能 路由,交换 与路由器,交换机区别 防火墙本质:控制,部署在网络边界,对进出的网络进行控制,核心特性:安全防护 交换机本质:转发。交换机通过二层/三层交换机快速转发报文 路由器本质:转发。连接不同的网络,保障互联互通,确保将报文发到目的地 基本功能 隔离 访问控制 其他功能 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值