[HCIE] IPSec-VPN (IKE自动模式)

最新推荐文章于 2023-12-06 17:57:20 发布
最新推荐文章于 2023-12-06 17:57:20 发布
阅读量1.1k 收藏 23
点赞数 21
文章标签: 网络 运维 华为 安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sxhuafeng/article/details/134600127
版权

概念:

IKE:因特网密钥交换

实验目标:pc1与pc2互通

步骤1:R1与R3配置默认路由

R1:

ip route-static 0.0.0.0 0.0.0.0 12.1.1.2

R2:

ip route-static 0.0.0.0 0.0.0.0 23.1.1.2

步骤2:配ACL,定义需要IPSec保护的数据流

R1:

acl number 3000  
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 

R3:

acl number 3000  
 rule 5 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 

步骤3:配置IPSec安全提议,定义保护方法

R1/R3:

ipsec proposal p1    \\创建安全提议,名称P1

 encapsulation-mode tunnel    \\选择隧道模式(封装新Ip头实现VPN功能)
 esp authentication-algorithm sha2-512    \\认证算法
 esp encryption-algorithm aes-256    \\加密算法

步骤4:配置IKE协商和对等体

R1:

ike proposal 1    \\创建IKE协商提议
 encryption-algorithm aes-cbc-256    \\加密算法
 dh group14    \\密钥交换算法                               
 authentication-algorithm aes-xcbc-mac-96    \\认证算法
#
ike peer R3 v2    \\创建IKE对等体,名称R3,版本V2
 pre-shared-key cipher huawei    \\配置预共享密钥
 ike-proposal 1    \\调用IKE协商
 local-address 12.1.1.1    \\本端地址
 remote-address 23.1.1.3    \\对端地址

R3:

ike proposal 1
 encryption-algorithm aes-cbc-256
 dh group14                               
 authentication-algorithm aes-xcbc-mac-96
#
ike peer R1 v2
 pre-shared-key cipher huawei
 ike-proposal 1
 local-address 23.1.1.3
 remote-address 12.1.1.1

步骤5:配置安全策略,调用ACL和IPSec安全提议和IKE对等体

R1:

ipsec policy s1 10 isakmp    \\创建IPSec安全策略,名称s1,序号10,自动协商
 security acl 3000    \\调用ACL    
 ike-peer R3    \\调用对等体,完成密钥材料交换和对称密钥计算
 proposal p1    \\调用IKE安全提议

R3:

ipsec policy s1 10 isakmp
 security acl 3000
 ike-peer R1
 proposal p1

步骤6:接口调用安全策略

R1:

interface GigabitEthernet0/0/1
 ip address 12.1.1.1 255.255.255.0 
 ipsec policy s1

R3:

interface GigabitEthernet0/0/0
 ip address 23.1.1.3 255.255.255.0 
 ipsec policy s1
 

测试:

补充:

dis ike sa v2  \\查看isk sa

RD:代表成功建立

ST:主动发起一方

sxhuafeng
关注
  • 21
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
新版华为HCIP系列课程14:IPsec虚拟私有网
04-16
HCIP-R&S 课程大纲课程模块课程子模块详情内容学习目标路由课程(IERN)1、Advanced IP高级 IP 地址规划完成培训后您将能掌握:(1)理解 OSPF、BGP 协议原理,并掌握基于 VRP 平台下,使用 OSPF、BGP 组建大型网络的方法(2)理解 IGMP、PIM-SM/DM 协议原理,并掌握使用这些组播协议组建组播网络的方法(3)理解 VLAN、GVRP、QinQ、STP、RSTP 和 MSTP 的工作原理(4)掌握应用 STP、RSTP 和 MSTP 避免交换网络环路的方法(5)掌握应用 VLAN、MuX、Super Vlan 和 QinQ 等技术提供透明隔离的交换网络(6)了解网络安全的基本知识(7)了解 Eudemon 系列防火墙的技术原理和功能特征(8)理解 IP QoS 模型和差分服务(DiffServ)模型及数据分类的基本原则和标志、流量控制和整形、拥塞管理、拥塞避免、链路效率等原理(9)理解基于类的 QoS 描述的基本原则(10)提升在大型网络环境下的综合规划、配置运维和排障能力课程价值:完成系列课程培训后,您对中小型网络有全面深入的了解,掌握中小型网络的通用技术,并具备独立设计中小型网络以及使用华为路由交换(数通)设备实施设计的能力。
安全防御------IPSec VPN
m0_63292411的博客
08-08 1620
本篇文章详细的讲解了IPSEC VPN的主要知识,概括了IPsec VPN安全服务,技术架构,两种工作模式;还包含了ESP,AH,IKE的详细内容,还提到了DBD,IPSEC VPN的NAT和多VPN等问题。
IPSEC VPN——IKE详解(大学生易读版)
qq_74338624的博客
10-29 1569
基于建立ipsec vpn的环境下去了解IKE协议,想要知道更多见ipsec vpn文档哦
简单又复杂的IPSec vpn配置
m0_65896563的博客
06-01 879
不理解的不要管,先原封不动的打出来,然后在理解就容易了
IPSEC VPN详解+100%理解(大学生易读版)
qq_74338624的博客
10-26 5279
还在为ipsec庞大的知识体系苦恼吗,来这,有着最清晰的思路带你梳理解决
HCIE-DATACOM数通分解实验
最新发布
05-20
HCIE-MPLS-Inter-AS VPN(初始环境) HCIE-安全-双机热备 HCIE-安全-虚拟系统(场景1) HCIE-安全-虚拟系统(场景2)IPv6-ISATAP自动隧道 HCIE-IPv6-6over4手动隧道 HCIE-IPv6-6PE HCIE-IPv6-6to4自动隧道 HCIE-MPLS-Inter...
HCIE-Datacom V1.0 实验.pdf
08-19
HCIE-Datacom V1.0认证将证明您系统地理解并掌握路由交换高阶技术、企业网络架构全景、园区网络典型架构与技术、华为CloudCampus解决方案设计与部署、广域互联网络典型架构与技术、华为SD-WAN解决方案设计与部署、...
HCIE-Datacom V1.0 实验指导手册
05-19
本文是华为认证系列教程中的 HCIE-Datacom 实验指导手册,版本号为 V1.0。该手册由华为技术有限公司出版,版权所有,未经许可不得擅自摘抄、复制或传播。本文档提及的商标均为华为技术有限公司的商标,其他商标由...
HCIE-Datacom V1.0 学习教材.pdf
08-16
"HCIE-Datacom V1.0 学习教材" HCIE-Datacom V1.0 学习教材是华为官方发布的HCIE认证考试学习教材,涵盖了数据通信领域的相关知识点。本教材主要面向HCIE认证考试的考生,旨在帮助他们更好地理解和掌握数据通信的...
HCIE-Datacom防火墙虚拟系统LAB实验手册
03-12
HCIE-Datacom防火墙虚拟系统LAB实验手册
IPsec基础(HCIE
qq_45022073的博客
07-05 2119
IPsec基础(HCIE
HCIE-Security Day30:IPSec:实验(五)配置基于路由的IPSec PN(采用预共享密钥认证)
小梁的博客
03-21 5154
IPSec是基于定义的感兴趣流触发对特定数据的保护,至于什么样的数据是需要IPSec保护的,可以通过以下两种方式定义。其中IPSec感兴趣流即需要IPSec保护的数据流。 此前使用的都是acl方式定义的感兴趣流。 还有一种方式是路由方式。 通过ipsec虚拟隧道接口建立ipsec隧道,将所有路由到ipsec虚拟隧道接口的报文都进行ipsec保护,根据该路由的目的地址确定哪些数据流需要ipsec保护,其中ipsec虚拟隧道接口具有以下优点。 简化配置:不需使用acl定义流量特征 支持动态路...
[HCIE] IPSec-VPN (手工模式
sxhuafeng的博客
11-24 1134
encapsulation-mode tunnel \\选择隧道模式(封装新Ip头实现VPN功能)proposal p1 \\应用安全提议。sa string-key outbound esp cipher huawei \\出向密钥。sa string-key inbound esp cipher huawei \\入向密钥。sa spi inbound esp 54321 \\入向spi。ipsec proposal p1 \\创建安全提议,名称P1。
VPNIPSEC、AH、ESP、IKE、DSVPN
xiaooxiangg的博客
04-14 3845
身份认证也称为“身份验证”或“身份鉴别”,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。数字签名,客户端支持的最高版本,加密套件列表,压缩算法列表,客户端随机数。
IPsec VPN IKE方式协商密钥
qq_62449917的博客
05-10 1841
ipsecs 隧道两端的acl规则定义的协议类型要一致,如果一端是ip协议,另一端也必须是ip协议。对等体间匹配一条permit规则即匹配一个需要保护的数据流,则对应生成一对sa(安全联盟)没匹配的不会被保护。配置acl的原因是:1,通过acl(permit)指定需要ipsec保护的数据流,配置acl的原因是:1,通过acl(permit)指定需要ipsec保护的数据流,注意的要点:1,可以不配置安全策略直接放行ping但是不安全。sa的入方向:保护的报文将被解封装处理,没有保护的正常转发。
详解IP安全IPSec协议簇 | AH协议 | ESP协议 | IKE协议
luming的博客
11-13 8495
大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构,除了数据链路层外,TCP/IP的所有协议的数据都是以IP数据报的形式传输的。TCP/IP协议族有两种IP版本:版本4(IPv4)和版本6(IPv6),IPv6是IPv4的后续版本,IPv6简化了IP头,其数据报更加灵活,同时IPv6还增加了对安全性的考虑。
IPSec基础-密钥交换和密钥保护
weixin_34174422的博客
05-15 598
Internet密钥交换(IKE) 两台IPSec计算机在交换数据之前,必须首先建立某种约定,这种约定,称为"安全关联",指双方需要就如何保护信息、交换信息等公用的安全设置达成一致,更重要的是,必须有一种方法,使那两台计算机安全地交换一套密钥,以便在它们的连接中使用。 Internet 工程任务组IETF制定的安全关联标准法和密钥交换解决方案--IKE(I...
浅谈IPsecIKEIKEv2的基本原理
网络技术联盟站
07-30 3141
使用PFS特性后,IKE第二阶段协商过程中会增加一次DH交换,使得IKE SA的密钥和IPsec SA的密钥之间没有派生关系,即使IKE SA的其中一个密钥被破解,也不会影响它协商出的其它密钥的安全性。由于IPsec的密钥交换机制仅适用于两点之间的通信保护,在广播网络一对多的情形下,IPsec无法实现自动交换密钥,同样,由于广播网络一对多的特性,要求各设备对于接收、发送的报文均使用相同的SA参数(相同的SPI及密钥),因此该方式下必须手工配置用来保护IPv6路由协议报文的IPsec SA。
网络安全技术】IPsec——IKE (Internet Key Exchange)
TheSysy的博客
12-06 1195
IKE,ISAKMP
hcie storage-v1.0
05-15
HCIE Storage-v1.0是华为公司为了加强企业网络设备存储方面的专业技能而推出的一项认证考试。通过这个考试,可以证明考生在网络存储领域的专业能力和技术实力,对企业的网络存储架构、策略规划等方面有深入的理解和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值