华三IPsec VPN(野蛮模式)(案例)

已于 2024-07-28 14:49:10 修改
阅读量486 收藏 6
点赞数 20
文章标签: 网络 安全 运维
于 2024-07-28 14:48:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73757784/article/details/140749840
版权

这也是我心中的意难平啊,13届新华三杯国赛的第一阶段最后一道大题就是考的gre over ipsec的野蛮模式,当时我也惨败在此题上,最后无缘国一,话不多说看下面的案例

案例需求

目前有一家企业,R1作为企业总部的出口路由器,R2作为企业分部的出口路由器。之间与LSP相连接;为保证企业内部用户数据的通信安全,采用IPsec vpn的方式建立隧道传输数据。

R1出接口采用运营商固定分配的ip地址100.1.1.1/24

R2出接口通过自动获取200.1.1.0网段的IP地址

由于R2出接口的IP地址不固定,故本实验采用的是野蛮模式,在R1上与对端设备名称进行建立对等体关系。

实验拓扑图

配置命令

第一步:基础配置

R1

[H3C]sysname R1
[R1]int g0/0
[R1-GigabitEthernet0/0]ip add 100.1.1.1 24
[R1-GigabitEthernet0/0]int g0/1
[R1-GigabitEthernet0/1]ip add 192.168.1.254 24
[R1-GigabitEthernet0/1]qu
 

LSP

[H3C]sysname LSP
[LSP]int g0/0
[LSP-GigabitEthernet0/0]ip add 100.1.1.2 24
[LSP-GigabitEthernet0/0]int g0/1
[LSP-GigabitEthernet0/1]ip add 200.1.1.1 24
[LSP-GigabitEthernet0/1]qu
 

R2

[H3C]sysname R2
[R2]int g0/1
[R2-GigabitEthernet0/1]ip add 172.16.1.254 24
[R2-GigabitEthernet0/1]qu

(因为R2的g0/0是自动获取这里不做配置)

第二步:在LSP上配置dhcp服务为R2的g0/0口分配ip地址,并且在R1上配置默认路由下一跳为100.1.1.2目的实现R1与R2能够通信(这是建立ipsec隧道的前提)(如果R1不能和R2通信那么隧道是不能建立成功的)

R1

[R1]ip route-static 0.0.0.0 0 100.1.1.2
 

LSP

[LSP]dhcp enable
[LSP]dhcp server ip-pool pool
[LSP-dhcp-pool-pool]gateway-list 200.1.1.1
[LSP-dhcp-pool-pool]network 200.1.1.0 24
[LSP-dhcp-pool-pool]qu
 

R2

[R2]int g0/0

[R2-GigabitEthernet0/0]ip add dhcp-alloc                //开启自动获取ip地址功能

此时,查看R2g0/0口是否获取到200.1.1.0网段ip地址,并测试与R1的连通性

此时已经将公网打通,下面开始配置ipsec

第一阶段:配置IKE的SA

R1

[R1]ike proposal 1                                                                        //配置ike的安全提议(名称为1)
[R1-ike-proposal-1]encryption-algorithm 3des-cbc                      //加密算法3des-cbc(双方一致)
[R1-ike-proposal-1]authentication-algorithm sha256                   //认证算法 sha256(一致双方)
[R1-ike-proposal-1]dh  group5                                                     //ike处于那个组(这里可以默认)
[R1-ike-proposal-1]qu

[R1]ike keychain 1                 //key密钥(由于对端ip地址不固定,这里采用名称建立对等体关系)
[R1-ike-keychain-1]pre-shared-key hostname R2 key simple 123456          //密码要一致
[R1-ike-keychain-1]qu

[R1]ike profile 1                                 //将配置的提议和密钥放进ike 配置文件中(文件命为1)
[R1-ike-profile-1]exchange-mode aggressive             //修改模式为野蛮模式,默认是主模式main
[R1-ike-profile-1]proposal 1                                        //引用安全提议1
[R1-ike-profile-1]keychain 1                                       //引用密钥1
[R1-ike-profile-1]match remote identity fqdn R2        //引用对端fqdn 如果是ip地址,则是address
[R1-ike-profile-1]qu

R2

[R2]ike identity fqdn R2      //(这步很重要,设置自己的fqdn为R2,要和R1引用的fqdn名称一致)

[R2]ike proposal 1                                                   //安全提议和对端保持一致
[R2-ike-proposal-1]encryption-algorithm 3des-cbc
[R2-ike-proposal-1]authentication-algorithm sha256
[R2-ike-proposal-1]dh  group5
[R2-ike-proposal-1]qu

[R2]ike keychain 1                            //密钥要一致,对端ip地址固定,所以与对端ip建立对等体关系
[R2-ike-keychain-1]pre-shared-key address 100.1.1.1 key simple 123456
[R2-ike-keychain-1]qu

[R2]ike profile 1                                //一样创建ike配置文件调用安全提议和密钥
[R2-ike-profile-1]proposal 1
[R2-ike-profile-1]keychain 1
[R2-ike-profile-1]exchange-mode aggressive
[R2-ike-profile-1]match remote identity address 100.1.1.1
[R2-ike-profile-1]qu

此时,第一阶段的IKE协商完成(通过dis ike proposal)查看协商使用的加密以及认证方式(双方必须一致)

第二阶段:配置IPsec的 SA

R1

[R1]ipsec transform-set my                                //创建ipsec安全提议
[R1-ipsec-transform-set-my]encapsulation-mode tunnel        //传输模式为隧道,默认也是隧道
[R1-ipsec-transform-set-my]esp encryption-algorithm 3des-cbc
[R1-ipsec-transform-set-my]esp authentication-algorithm sha256
[R1-ipsec-transform-set-my]qu

[R1]acl number 3000                                        //创建感兴趣流,双方要相反
[R1-acl-ipv4-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255                                                          //注意:destination不要写错为description
[R1-acl-ipv4-adv-3000]qu

[R1]ipsec policy-template mytem 1        //配置策略模板,名称为mytem,优先级为1(越小越优先)
[R1-ipsec-policy-template-mytem-1]ike-profile 1        //引用ike配置文件1
[R1-ipsec-policy-template-mytem-1]transform-set my        //引用ipsec安全提议my
[R1-ipsec-policy-template-mytem-1]security acl 3000        //引用acl
[R1-ipsec-policy-template-mytem-1]qu

[R1]ipsec policy mypolicy 1 isakmp template mytem        //创建安全策略名称为mypolicy 优先级1,并引用策略模板mytem

[R1]int g0/0
[R1-GigabitEthernet0/0]ipsec apply policy mypolicy        //在接口上调用安全策略组
[R1-GigabitEthernet0/0]qu

R2

[R2]ipsec transform-set my
[R2-ipsec-transform-set-my]encapsulation-mode tunnel
[R2-ipsec-transform-set-my]esp encryption-algorithm 3des-cbc
[R2-ipsec-transform-set-my]esp authentication-algorithm sha256
[R2-ipsec-transform-set-my]qu
 

[R2]acl number 3000
[R2-acl-ipv4-adv-3000]rule permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[R2-acl-ipv4-adv-3000]qu
 

[R2]ipsec policy mypolicy 1 isakmp
[R2-ipsec-policy-isakmp-mypolicy-1]ike-profile 1
[R2-ipsec-policy-isakmp-mypolicy-1]security acl 3000
[R2-ipsec-policy-isakmp-mypolicy-1]transform-set my
[R2-ipsec-policy-isakmp-mypolicy-1]remote-address 100.1.1.1
[R2-ipsec-policy-isakmp-mypolicy-1]qu


[R2]int g0/0
[R2-GigabitEthernet0/0]ipsec apply policy mypolicy
[R2-GigabitEthernet0/0]qu
 

验证实验结果(采用分部PC去访问总部PC)

这里可以探讨一下第一个数据包为什么会丢包

以下发言纯属个人行为,如与官方解释不一致,请以官方为准

我认为是第一个数据包发送时未建立起ipsec隧道,触发了ike协商,当ike协商通过后,才会建立起ipsec隧道。故第一个包没有进入隧道只是触发ike协商,所以丢包。

那片海的尽头
关注
  • 20
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
hcl的ipsec野蛮模式配置
qq_44933518的博客
11-30 2500
1.实验拓扑 2.需求 r2作为DHCP server,给r3和r4分配ip 路由器上的环回口地址作为业务地址, 总部分别和分部r3、分部r4建立vpn隧道,采用ipsec vpn野蛮模式 3.分析 由于R3和R4的ip不是固定的,所以只能使用ipsec野蛮模式,无法使用ipsec的主模式 注:这个实验,我只注重配置IPSec vpn,没有配置NAT,所以 ...
H3C V7 ipsec主:野蛮模式配置脚本.pdf
08-30
H3C V7 ipsec主:野蛮模式配置脚本.pdf
H3C IPsec VPN 野蛮模式配置
bfq05234214的博客
03-10 1682
野蛮模式配置公网地址固定的一端: 1.配置IKE fqdn2.创建IKE Proposal(提议),配置IKE的加密和验证算法,验证方法3.创建和配置预共享密钥,使用主机名标识对方身份4.创建IKE Profile(档案),配置为野蛮模式,调用前面创建的Proposal和Keychain,指定对端的FQDN5.创建IPsec转换集,配置IPsec的工作模式,封装协议,验证和加密算法6.创建IPsec策略模板,调用前面创建的IKE Profile,IPsec转换集 7.创建IPsec策略,绑定前面创建的模板
GRE OVER IPSEC野蛮模式
weixin_46639226的博客
11-06 3618
## 野蛮模式适用于两端其中有一端地址不固定的情况 实验拓扑 实验思路 1.配置全网地址(这里的地址已经在图上规划,不在赘述) 2.配置ike 3.配置ipsec 4.配置GRE 地址配置完成之后,首先要保证公网可达,因为RT3和RT4是DHCP获取的地址,所以他们上面会有两条默认路由,下一跳是SW5,但是RT1上面没有往公网去的路由,所以要在RT1上配置一条默认路由 RT1 [H3C]ip route-static 0.0.0.0 0 100.1.1.254 RT3 (默认路由是DHCP下发的,优先级
华三IPsec VPN 实验配置(动态地址接入)
2301_77161465的博客
01-09 2239
本篇文章是关于新华三IPsec VPN的实验配置,里面的场景是一段的IP地址是动态接入的情况下,里面的配置和两端地址固定的配置有一些些不同,然后解释的也很详细,易懂
IPsec野蛮模式出现的原因
qq_47529104的博客
05-02 2856
原因概述 其主要原因是因为在早期IKEv1的相关设备没有实现使用除了IP地址之外的其他标识符去表示一个IPsec隧道的一端,所以这就导致了动态IP地址的IPsec隧道的某一端出现了地址变动之后将无法重新建立IPsec隧道。我们在配置了IPsec的时候,如果没有特定地指定标识符,在报文中发送的identity都是在配置命令中指定的IP地址,这就导致IKEv1的主模式是无法根据它们的标识去找到对应的共享密钥(因为是动态地址,所以地址变换之后先前的配置就无法生效了),但是野蛮模式在早期支持使用除了IP地址的方式
H3C IPSec IKE野蛮模式
无心
05-27 2149
这里使用H3C模拟器。H3C IPSec IKE野蛮模式,又称为IKE Main Mode,主要是在第一阶段(Phase 1)的过程中提供身份保护。它主要用于VPN隧道建立过程中的密钥交换。这里创建一个IKE提案描述了阶段1的加密、哈希算法等。分别可以定义远程和本地的IKE提案。这里创建一个IKE对等体,并配置了预共享密钥与对端的远程地址。这里创建了一个IPSec策略模板,引用了IPSec提案和IKE对等体,同时指定一个访问控制列表ACL。在隧道接口上应用IPSec策略。
IPsec+预共享密钥的IKE野蛮模式
zero_number的博客
10-21 5011
指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务 IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
华三IPsec VPN 实验配置(地址固定)
2301_77161465的博客
01-09 2614
本篇讲的是新华三IPsec VPN的配置,场景是在两端IP地址都是在固定的情况下,里面的配置都有加注释,较友好
基于HCL的GRE over IPSec(野蛮模式多分支通信) 企业组网
WANGMH13的博客
08-05 1701
基于HCL的GRE over IPSec(野蛮模式多分支通信) 企业组网
华三AP改FAT模式操作说明
11-26
### 华三AP改FAT模式操作说明 #### 一、概述 华三网络技术有限公司(H3C)生产的无线接入点(AP)通常出厂预设为FIT模式,旨在配合AC(无线控制器)进行集中管理和配置。但在某些场景下,如小型企业或家庭网络环境...
基于华三HCL的web下H3C防火墙在NAT代理内网上网情景中配置IPsecVPN站点间互联
04-15
HCL配置实验!适用于H3C防火墙配置学习 在防火墙代理内网上网的情境下,完成与分支总部的IPSE互联 具体配置可见实验内文字说明。 ...实验拓扑中HOST_1用于直连本地网卡 进行防火墙web配置前使用命令行配置管理口地址为...
华三visio设备图标
03-12
华三visio设备图标,需要自取
2022最新华三IE+RS考试
07-22
这是我2022/7月份过的华三IE+RS考试备考资料,考华三IE+RS的笔试、机试、面试我都是一次性通过。我也一直在CSDN里找相应的资料。但是给我提供帮助不大。而且培训机构的老师只是告诉我几句话(第一:为什么会有这个...
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 246
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
网络编程套接字socket
安权_code的博客
07-23 953
网络编程中的套接字(socket)是实现网络通信的关键,换句话来说,套接字像两个端点,而发送方与接收方就是通过这两个端点进行通信的,socket的意思是插座,表示插头和插座连接上后,即发送方和接收方连接上了,然后把电流通过插座流向插头对标发送方与接收方建立了链接。
S5730举例
最新发布
jjjxxxhhh123的博客
07-27 621
例子: 假设在校园网络中,某些交换机之间存在多个连接(可能是多个光纤),如果没有STP,这些多个连接可能导致数据包在网络中无限制地传输,形成网络风暴,导致整个网络瘫痪。PIM-SM通过仅在需要时在网络中传输组播数据包,减少网络带宽的占用,提高数据传输效率。[sysname-GigabitEthernet0/0/1] ospf cost 10 // 设置接口的OSPF成本,影响路径选择。综上所述,这些网络技术和配置在大学校园网络中起到关键作用,确保网络运行高效、安全和可靠,同时满足用户的多样化需求。
H3C与VPN高级应用(七)深入探讨H3C防火墙与VPN高级应用
洛秋的博客
07-23 1111
IPSec(Internet Protocol Security)是一种用于保护IP通信的协议,通过对数据包进行加密和认证来确保数据的机密性、完整性和真实性。IPSec VPN通常用于建立安全的远程连接,保护企业内部网络与远程办公或分支机构之间的数据通信。NAT(Network Address Translation)是一种将私有IP地址转换为公共IP地址的技术,通常用于多个设备共享一个公共IP地址访问互联网。NAT有助于节约公共IP地址,同时增强内部网络安全性。
华三 IPSec模式配置
08-16
华三 IPSec模式配置的步骤如下: 1. 首先,在 R1 的公网接口上下发 IPsec 策略。使用命令[R1-GigabitEthernet0/0ipsec apply policy r3来下发策略。 2. 然后,在 R1 上创建 IPsec 策略,调用之前配置的相关参数。使用命令[R1ipsec policy r3 1 isakmp来创建策略,其中包括配置安全 ACL、IKE 配置文件、变换集和远程地址。 3. 最后,在 AR3 上同样进行 IPSec 隧道的配置。进行 ping 测试,然后查看 IKE SA 和 IPSec SA 是否建立成功。 请注意,上述只是华三 IPSec模式配置的简要步骤,具体的命令和配置参数可能会根据实际情况有所不同。在实际操作中,请参考相关设备的官方文档或咨询华三技术支持以获取更详细的配置步骤和指导。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [基于HCL模拟器华三设备IPsec vpn的配置实验](https://blog.csdn.net/WANGMH13/article/details/126103774)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* [H3C配置IPSec(与华为的ipsec对比说明)主模式](https://blog.csdn.net/weixin_45123715/article/details/121203082)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值