华为IPsec IKE自动协商配置

最新推荐文章于 2024-09-20 10:09:51 发布
最新推荐文章于 2024-09-20 10:09:51 发布
阅读量2.3k 收藏 19
点赞数 4
分类专栏: 网络 文章标签: 华为 单元测试 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shdtc0/article/details/120652560
版权

华为IPsec IKE自动协商配置

要点
1、大家使用ENSP模拟器AR2220进行操作;
2、配置的时候梳理好逻辑,有自己一套逻辑最好,我比较习惯先让设备能通讯,然后在配置协议;
3、验证的时候最好抓包看一下IPsec建立的过程、以及加密ESP报文;
4、理论就不过多的赘述了,有兴趣的可以去华为官网下载安全相关的教材,上面关于IPsec理论的解释比较全面;

在这里插入图片描述
PC1地址
在这里插入图片描述

PC2地址
在这里插入图片描述
AR1配置

acl number 3001
rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 10.0.20.0 0.0.0.255

ipsec proposal tran
esp authentication-algorithm sha1

ike proposal 5
encryption-algorithm aes-cbc-128
dh group14

ike peer spub v1
pre-shared-key simple hanshu
ike-proposal 5
remote-address 2.2.2.2

ipsec policy mp 10 isakmp
security acl 3001
ike-peer spub
proposal tran

interface GigabitEthernet0/0/0
ip address 192.168.10.254 255.255.255.0

interface GigabitEthernet0/0/1
ip address 1.1.1.1 255.255.255.0
ipsec policy mp

ip route-static 2.2.2.0 255.255.255.0 GigabitEthernet0/0/1 1.1.1.2
ip route-static 10.0.20.0 255.255.255.0 GigabitEthernet0/0/1 1.1.1.2

AR2

interface GigabitEthernet0/0/0
ip address 1.1.1.2 255.255.255.0

interface GigabitEthernet0/0/1
ip address 2.2.2.1 255.255.255.0

AR3

acl number 3001
rule 5 permit ip source 10.0.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

ipsec proposal tran
esp authentication-algorithm sha1

ike proposal 5
encryption-algorithm aes-cbc-128
dh group14

ike peer spua v1
pre-shared-key simple hanshu
ike-proposal 5
remote-address 1.1.1.1

ipsec policy us 10 isakmp
security acl 3001
ike-peer spua
proposal tran

interface GigabitEthernet0/0/0
ip address 2.2.2.2 255.255.255.0
ipsec policy us

interface GigabitEthernet0/0/1
ip address 10.0.20.254 255.255.255.0

ip route-static 1.1.1.0 255.255.255.0 GigabitEthernet0/0/0 2.2.2.1
ip route-static 192.168.10.0 255.255.255.0 GigabitEthernet0/0/0 2.2.2.1

验证
AR1 dis ike sa
在这里插入图片描述
AR2
在这里插入图片描述
在公网上随意找个端口进行抓包,查看IKE 建立过程的报文
在这里插入图片描述
PC1 ping PC2 抓包查看ESP加密数据流在这里插入图片描述
可以看到protocol 不是ICMP而是ESP ,说明数据已经被加密。
在这里插入图片描述

定位合肥 ,有工作或者兼职请联系我
联系方式QQ : 481715271

不是三毛没有半
关注
专栏目录
IPSec秘钥管家(IKE配置详解
悦分享
10-09 553
配置繁琐,需要手工配置SA、SPI、密钥;容易出错;不适合长时间使用同一把密钥进行安全数据加密/数据验证,长时间使用同一把密钥存在安全隐患;定期手工更新,比较繁琐;降低手工配置的复杂度;安全联盟定时更新;密钥定时更新;允许在端与端之间动态认证;目前有两个版本IKEv1/IKEv2;动态IPSEC需要使用交互协议,在两个IPSEC边界设备之间自动协商出对应SA,这个交互协议就是IKE自动协商 (提前配置IKE);定期更换SA/密钥;降低配置繁琐程度;
华为IPsec IKE协商方式
qq_35973969的博客
10-02 818
AR1: acl number 3000 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 ipsec proposal ike ike proposal 10 ike peer to_ar3 v1 pre-shared-key cipher %%u`Vj70TpB0@>_K8vu71O,.2n%% ike-proposal 10 remote-address 10.1.23.2 ip.
ipsec ike 配置
weixin_34290096的博客
07-22 571
IPsec-Tools中的racoon工具实现了IKE的功能,既实现了双向认证,又能建立和维护IPsec SA。下面使用psk的认证方法配置racooon。一、网络拓扑二、配置网络子网1: 192.168.1.0/24,网关GW1子网2: 192.168.0.0/24,网关GW2GW1和GW2已添加到子网2、1的路由。A和B现在可正常ping 通三、IPsec配置...
安全基础学习-AES128加密算法
最新发布
小夭的博客
09-20 2166
AES(Advanced Encryption Standard)是对称加密算法的一个标准,主要用于保护电子数据的安全。AES 支持128、192、和256位密钥长度,其中AES-128是最常用的一种,它使用128位(16字节)的密钥进行加密和解密操作。AES属于分组密码,每次操作128位(16字节)的数据块。
ipsecike自动协商模式
qq_45309500的博客
06-11 1867
ipsecike自动协商模式(MM隧道模式) 转发原理: 1.数据到达fw后,查询路由表,将数据送到g1/0/1,根据ipsec里的控制访问列表,匹配到兴趣流,激活接口绑定的ipsec 2.Ipsec隧道两端建立协商,分为两步:1.ike sa 的协商(1.ike proposal的确认,2.交换公钥,3.发送身份认证信息)2.ipsec sa (协商也是基于路由的基础上建立的) 3.协商完毕,隧道建立后,数据包备送到对端绑定ipsec的接口,查看ip头部是否匹配,然后对比psk是否一致,然后解密 4.解
华为IPSEC-×××-典型配置举例2-采用IKE 方式自动协商建立IPsec 安全隧道
weixin_34235105的博客
03-26 881
华为IPSEC-×××-典型配置举例2-采用IKE 方式自动协商建立IPsec 安全隧道 一:企业组网需求: 1, 某公司(总部在北京)有两个子公司分别在上海和广州,要求通过×××实现公司之间相互通信! 2, 实验环境如下:要求192.168.1.0/24网段的员工分别与192.168.2.0/24,192.168.3.0/24的员工通信!...
通过ike自动协商建立IPSec策略.docx
12-16
通过不同厂家设备之间的应用ike自动协商技术,描述ike在设备间是怎么去实现协商和实现ipsec安全策略技术的,并把在实现过程中所碰到的技术问题都加以说明和阐述,并附上解决方法。
华为ipsec ike协商配置.rar
04-22
本资源是以ensp模拟器形式搭建的一个小型IPSec IKE模式。总共用了3台路由器,中间一台做充当转发器,其他两台进行ipsec搭建,并配置静态路由指向中间路由器。如需要学习的,可自行下载进行参考。ip什么的,就自己...
ensp的ipsec实验(ike自动协商
qq_44933518的博客
04-02 6995
配置步骤:配置网络可达–配置ACL识别兴趣流–创建安全提议–创建安全策略–应用安全策略 配置网络可达–配置ACL识别兴趣流–创建ike提议–创建ike对等体–创建ipsec提议–创建ipsec策略–应用安全策略 ...
华为设备IPsec简单配置
热门推荐
qq_43432623的博客
12-16 1万+
IPsec VPN是指采用IPsec实现远程接入的一种VPN技术,通过在公网上为两个或多个私有网络之间建立IPsec通道,并通过加密和认证保证通道的安全性。IPsec保护的是点对点之间的通信,通过IPsec VPN可以实现主机和主机之间、主机和网关之间、网关和网关之间建立安全的隧道连接。工作在网络层,主要对网络层的报文进行加密和验证。
华为ensp模拟器--通过IKE动态协商方式建立IPSec隧道的实验(不对对等体存活进行检测)
weixin_46202077的博客
01-17 4372
组网需求 如图1所示,在Router1和Router3之间建立一个安全隧道,对PC 1代表的子网(10.1.1.x)与PC2代表的子网(20.1.1.x)之间的数据流进行安全保护。安全协议采用ESP协议,加密算法采用DES,认证算法采用SHA2-258 拓扑图设计 关键配置r1和r3 ike local-name huawei1 **–本地命名 acl number 3000 rule 5 ...
IPSec中使用IKE 野蛮模式自动协商建立安全隧道在企业网中的应用
weixin_34087307的博客
03-31 239
IPSec(IP Security)协议:IPSec 协议不是一个单独的协议,它给出了IP 网络上数据安全的一整套体系结构。包括AH(Authentication Header)、ESP(Encapsulating Security Payload)、IKE(Internet Key Exchange)等协议。 创建安全策略,可以采用手工或者自动...
IPsec VPN配置方式
Mario_Ti的博客
03-09 5521
文章详细介绍了IPsec VPN配置方式,有手工方式以及IKE方式,其中IKE方式又有IKEv1、IKEv2以及点对点、点对多点的问题,其中模板方式是一种能够简化配置的方式。
建立点到多点的IPSec隧道(IKE安全策略方式)
友人A的博客
07-09 2458
主机PC1与PC2、PC3之间可以安全的通信,PC2、PC3通过USG5500A进行安全通信,USG5500A与USG5500B、USG5500C之间使用IKE自动协商建立安全通道,USG5500B、USG5500C不直接建立任何IPSec连接。 USG5500A与USG5500B、USG5500C均为固定公网地址。
IPSec配置简介
hello
07-31 1109
AR1 配置 静态路由 IP route-static 0.0.0.0 0 100.1.12.2。AR3 配置静态路由 IP route-static 0.0.0.0 0 100.1.13.2。可以看到pc1与pc2之间的通信已被ESP加密。最终pc1与pc2 可以互相ping 通。PC1 ping通 PC2。
实验二十七 IPSec配置
qq_59621600的博客
01-07 1719
实验二十七 IPSec配置
商业虚拟专用网络技术六IPSec配置
weixin_42227328的博客
03-29 6684
IPSec VPN的配置需要以下几个步骤: (1)、配置ACL访问控制列表。 (2)、配置安全提议。 (3)、配置安全策略 (4)、在接口组上应用安全策略组
玩转华为ENSP模拟器系列 | 两个网关之间通过IKE方式协商IPSec VdPdNd隧道(采用预共享密钥认证)
COCO_gsta的博客
10-06 979
通过组网实现如下需求:在FW_A和FW_B之间建立IKE方式的IPSec隧道,使网络A和网络B的用户可通过IPSec隧道互相访问。所示,网络A和网络B分别通过FW_A和FW_B连接到Internet。配置FW_A的基础配置配置到达目的网络B的静态路由,此处假设到达网络B的下一跳地址为1.1.3.2。配置到达目的网络A的静态路由,此处假设到达网络A的下一跳地址为1.1.5.2。在FW_A上配置IPSec策略,并在接口上应用此IPSec策略。在FW_B上配置IPSec策略,并在接口上应用此IPSec策略。
IPsec简单实验-IKE协商
weixin_43421779的博客
07-31 643
IKE动态协商
华为IPSEC 野蛮模式配置
05-12
配置华为IPSec野蛮模式需要以下步骤: 1. 创建安全策略 ``` security policy 10 action permit local selector 10.0.0.0/24 remote selector 20.0.0.0/24 ``` 其中,security policy 10是安全策略的编号,action permit表示允许通过,local selector是本地子网,remote selector是远程子网。 2. 创建IPSec策略 ``` ipsec proposal proposal1 esp authentication-algorithm sha1 esp encryption-algorithm des ah authentication-algorithm sha1 ah encryption-algorithm des ipsec policy policy1 isakmp security acl number 2000 proposal proposal1 pfs dh-group2 remote-address 20.0.0.0 ``` 其中,ipsec proposal是IPSec提案,ipsec policy是IPSec策略,security acl number是ACL编号,proposal是提案名称,pfs表示Perfect Forward Secrecy,remote-address是远程主机地址。 3. 创建IKE策略 ``` ike proposal proposal1 authentication-method pre-shared-key dh-group2 encryption-algorithm des integrity-algorithm sha1 ike peer peer1 ike-proposal proposal1 pre-shared-key cipher %^%#LSJL9d$eQmW(]a9@G<g6hS#W%1yXn9iqk{PQD!%i%^%# ike-version v1 remote-address 20.0.0.1 ``` 其中,ike proposal是IKE提案,ike peer是IKE对端,pre-shared-key是预共享密钥,remote-address是远程主机地址。 4. 创建VPN实例 ``` ip vpn-instance vpn1 ipv4-family route-distinguisher 100:1 vpn-target 100:1 export-extcommunity vpn-target 100:1 import-extcommunity route-target export 100:1 route-target import 100:1 ``` 其中,ip vpn-instance是VPN实例,ipv4-family是IPv4族,route-distinguisher是路由区分器,vpn-target是VPN目标,route-target是路由目标。 5. 创建VPN接口 ``` interface Tunnel1 ip binding vpn-instance vpn1 ip address 192.168.1.1 255.255.255.0 tunnel-protocol ipsec tunnel-policy policy1 tunnel source 10.0.0.1 tunnel destination 20.0.0.1 ``` 其中,interface Tunnel1是VPN接口,ip binding vpn-instance是绑定VPN实例,ip address是IP地址,tunnel-protocol是隧道协议,tunnel-policy是隧道策略,tunnel source是隧道源地址,tunnel destination是隧道目的地址。 配置完成后,可以通过ping测试隧道是否正常工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值