IPSec IKEv1实验(华为设备)

最新推荐文章于 2024-02-05 10:17:04 发布
最新推荐文章于 2024-02-05 10:17:04 发布
阅读量2.3k 收藏 15
点赞数 3
分类专栏: HCIE R&S学习笔记 文章标签: IPsec IKEv1 实验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tushanpeipei/article/details/112851012
版权

实验拓扑:

在这里插入图片描述

实验需求:

某企业总部与分部分别位于不同地域,且总分部之间有重要信息频繁传递的需求,之前采用专线的形式互联。如今该企业为了节省经营支出,又为了能保证数据传输的安全,稳定及可靠,改用IPsec-VPN部署来解决总分部的通信问题。现在底层配置已经已经配置完成。需求如下:

  1. 企业总部存在10.1.1.0/24、10.1.2.0/24两个内网网段,而企业分部存在172.16.1.0/24一个内网网段。并且总分部均接入ISP进行上网冲浪。(在ISP上创建一个回环口2.2.2.2 做测试)。
  2. 由于分部的数据仅需要反馈到总部主机A所在的网络,根据企业需求实现总部主机A和分部主机能够通信,而总部主机B无法通信分部主机。
  3. 分析同时实现IPSec VPN和nat通信的原理。

步骤一:

为了让用户能够在网上进行冲浪,我们需要让用户能够正常访问外网。

本实验用内网Ping访问R2的回环口进行模拟。
首先我们在R1和R3上做NAT配置,选择的是easy ip。

R1上:
acl number 2000 (进行感兴趣流的匹配)

rule 5 permit source 10.1.0.0 0.0.255.255
interface GigabitEthernet0/0/2(在接口上匹配感兴趣流并且启用easy ip)

nat outbound 2000
ip route-static 0.0.0.0 0.0.0.0 12.1.1.2(添加对应的默认路由,将内网的流量转发到外网)

用PC1和PC2去ping外网(成功)
在这里插入图片描述
R3上:
acl number 2000 (进行感兴趣流的匹配)
rule 5 permit source 172.16.1.0 0.0.0.255

interface GigabitEthernet0/0/0(在接口上匹配感兴趣流并且启用easy ip)
nat outbound 2000

ip route-static 0.0.0.0 0.0.0.0 23.1.1.2(添加对应的默认路由,将内网的流量转发到外网)

用PC3去ping外网(成功)
在这里插入图片描述
做完此步骤,我们已经完成了网上冲浪的操作。

步骤二:

在完成内网与互联网通信以后,按照要求,PC1需要和PC3互通,而PC2不能喝PC3互通,这要求的就是内网的互联,我们单纯使用NAT是无法保证的,因为外网的R2路由器是没有内网的路由条目,当收到了内网的流量后无法进行流量的转发。

如图做的测试:(用PC1pingPC3)
在这里插入图片描述
无法进行通信。

我们为了内网能够进行通信,并且保证安全性,选择IPSECvpn将总公司和分公司连接起来。
我们需要在在隧道的两端,也就是R1和R3上进行配置。

感兴趣流需要在之前创建,目的是让隧道允许PC1到PC3的报文通过。
acl number 3000
rule 5 permit ip source 10.1.1.1 0 destination 172.16.1.1 0

一、R1上IPSec的配置:

首先IPSec需要通过IKE来实现,配置IKE的框架:
ike proposal 10 //配置名为10的IKE安全提议
authentication-method pre-share //用共享密钥来认证数据,为默认值
authentication-algorithm md5 //使用md5算法保证共享密钥的完整。
encryption-algorithm des-cbc //对共享密钥加密
dh group14 //密钥的等级
sa duration 5000 //SA也就是IPSec协议的约定的生存时间,单位秒

配置完成后进行检测,一些配置为默认值。

ike proposal 10
dh group14
authentication-algorithm md5
sa duration 5000

然后配置IKE的对等体:
ike peer R3 v1 //对等体的名字,以后调用时需要,版本号为1,ENSP上面必须写版本号。
exchange-mode aggressive //isakmp为野蛮模式,建立第一阶段关系只需要3个包,如果为有主模式,建立关系需要6个数据包
pre-shared-key cipher 123456 //配置共享的密钥
ike-proposal 10 //配置调用的IKE框架
remote-address 23.1.1.1 //对方接口的IP地址,自己接口的IP地址有默认值可以不配置。

IKE配置完成后需要配置值IPSEC的框架:

ipsec proposal 10 //配置名为10的IPSec安全提议
transform esp //默认值,IPSec的封装方式
encapsulation-mode tunnel //因为两边是两个安全网关,经过外部环境,选择隧道模式
esp authentication-algorithm sha2-256 //选择用sha2-256计算数据的哈希值
esp encryption-algorithm aes-128 //采用的对称加密算法为des

配置完成后查看配置,发现一些是默认值:

ipsec proposal 10
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128

配置IKE方式的IPSec的策略:

ipsec policy IPSEC 10 isakmp //给策略创建一个名字叫IPSEC,标号为10,使用的是isakmp实现了有效负载的格式,实现密钥交换协议的机制以及SA的协商,是一个IKE的子协议
security acl 3000 //匹配ACL3000中的感兴趣流
ike-peer R3 //在策略中只出对等体的名称为R3
proposal 10 //在策略中匹配IPSec的提议

最后需要进入接口g0/0/2作为隧道的入口,并调用策略
ipsec policy IPSEC

现在一端一直配置完成,我们需要在另外一段R3上做镜面配置:

首先创建要求的感兴趣流,匹配PC3到PC1的流量
acl number 3000
rule 5 permit ip source 172.16.1.1 0 destination 10.1.1.1 0

二、R3上IPSec的配置:

IPSec需要通过IKE来实现,配置IKE的框架:
ike proposal 10 //配置名为10的IKE安全提议
authentication-method pre-share //用共享密钥来认证数据,为默认值
authentication-algorithm md5 //使用md5算法保证共享密钥的完整。
encryption-algorithm des-cbc //对共享密钥加密
dh group14 //密钥的等级
sa duration 5000 //SA也就是IPSec协议的约定的生存时间,单位秒

配置IKE的对等体:
ike peer R1 v1 //对等体的名字,以后调用时需要,版本号为1,必须进行配置
exchange-mode aggressive //isakmp为野蛮模式,建立第一阶段关系只需要3个包,如果为有主模式,建立关系需要6个数据包
pre-shared-key cipher 123456 //配置共享的密钥
ike-proposal 10 //配置调用的IKE框架
remote-address 12.1.1.1 //对方接口的IP地址,自己接口的IP地址有默认值可以不配置。

配置完IKE后需要需要配置值IPSEC的框架:
ipsec proposal 10 //配置名为10的IPSec安全提议
transform esp //默认值,IPSec的封装方式
encapsulation-mode tunnel //因为两边是两个安全网关,经过外部环境,选择隧道模式
esp authentication-algorithm sha2-256 //选择用sha2-256计算数据的哈希值
esp encryption-algorithm aes-128 //采用的对称加密算法为des

配置基于IKE方式的IPSec安全策略:
ipsec policy IPSEC 10 isakmp //给策略创建一个名字叫IPSEC,标号为10,使用的是isakmp实现了有效负载的格式,实现密钥交换协议的机制以及SA的协商,是一个IKE的子协议
security acl 3000 //匹配ACL3000中的感兴趣流
ike-peer R1 //在策略中只出对等体的名称为R3
proposal 10 //在策略中匹配IPSec的提议

最后进入接口g0/0/0作为隧道的入口,并调用策略
ipsec policy IPSEC

现在用PC3 ping PC1进行测试:(不成功)

需要注意的是,如果流量到达了网关,首先会查看路由表,发现都会从出口出去,然后出口有一个策略和一个nat,首先选择的是nat,所以流量如果匹配到了nat中的acl范围,就会出去按照nat进行转发,如果是去往对方内网的,匹配到了nat然后被放行了后,就会在R2上就会因为没有目的地路由条目被丢弃,达不到目的地。

三、NAT配置修改:

所以去外面网关的acl需要写的是:
acl number 3001
rule 5 deny ip source 10.1.1.1 0 destination 172.16.1.1 0
rule 10 permit ip
首先拒绝PC1到PC3的流量,源目地址必须精确,所以使用的是高级访问控制列表,精准保证拒绝的流量是题目要求需要走IPSec隧道的,允许其他流量通过,这样去往内网的流量被拒绝后就会选择IPSec隧道进行通信,从而到达目的

在出接口上调用:
nat outbound 3001 //需要将原来的使用的2000删除掉

同理R3上:
acl number 3001
rule 5 deny ip source 172.16.1.1 0 destination 10.1.1.1 0 //这里拒绝的是PC3到PC1的流量
rule 10 permit ip

在出接口上调用:
nat outbound 3001 //需要将原来的使用的2000删除掉

现在用PC3pingPC1进行测试:(成功,说明IPSec VPN配置成功)
在这里插入图片描述

步骤三:

分析nat和IPSec同时运用的时候ACL该怎么进行配置。

我们需要了解的是流量通过网关出去的时候,如果网关同时存在NAT和IPSec,首先匹配的是NAT,再匹配IPSec之中的流量,这就造成了一个问题,我们需要走分公司的内网的流量也被NAT匹配到了,传递到了外网,没有进入隧道,这就导致无法到达目的地。我们需要的就是在NAT中拒绝进入隧道的流量,不让这一部分流量进行转化(一定需要运用的就是高级访问控制列表,才能匹配目的地,否则基本ACL只能匹配源无法达到区分内外网流量的目的),当我们拒绝了访问内网的流量,还需要在下面加一句允许其他流量通过,保证其他没有匹配到的流量能够通过NAT到外网。那些被拒绝的流量在查找完NAT发现无法通过以后,就会向下查找IPSec,发现IPSec匹配到了,然后就会将流量引入IPSec隧道进行相应的转发。

IKE方式下配置思路如下:

  1. 定义需要保护的数据流,没有被保护的数据流无法被IPSec协议识别。
  2. 配置IKE安权提议,主要是用于配置建立IKE SA用到的加密和验证算法。
  3. 配置IKE对等体,配置IKE版本,身份认证和交换模式。
  4. 配置IPSec安全提议。
  5. 配置IPSec安全策略 ,是基于IKE方式的IPSec安全策略,将受保护的数据流,配置的IKE对等体,配置的IPSec安全提议结合在一起。
  6. 应用IPSec安全策略组。

查看命令:

dis ike sa(查看IKE SA的建立情况,是逻辑上双向的,有一个)。
在这里插入图片描述
dis ipsec sa brief(查看IPSec SA的建立情况,SA是单向的,有两个)。
在这里插入图片描述

格洛米爱学习
关注
专栏目录
ENSP ipsec IKEv1 主模式模板
sgslwms的博客
02-22 2310
配置接口ip 路由 防火墙接口加区域等省略 1:设置ike proposal ike proposal 1 encryption-algorithm des dh group1 authentication-algorithm md5 authentication-method pre-share q 2:设置ike peer ike peer fw2 undo version 2 (取消ikev2) pre-shared-key huawei@123(设置预共享密钥) ike-proposal ...
华为交换机做qos案例_华为S9300 交换机QOS配置
weixin_39631755的博客
12-20 1114
享CAR,以如下配置为例,二级共享CAR的生效原理为:[S9300] qos car car1 cir 16000[S9300] traffic classifier 1[S9300-classifier-1] if-match vlan-id 100[S9300-classifier-1] quit[S9300] traffic classifier 2[S9300-classifier-2] ...
华为无线接入点 V200R003C00 Qos模板和Car模板
charleslei的专栏
07-02 1939
转自:http://support.huawei.com/enterprise/documentOnline?contentId=DOC1000039152&sendFrom=mobile&currentPartNo=10152&togo=content 12.1  QoS模板 背景信息 QoS模板中可以配置带宽限速、优先级等参数,在用户组视图下绑定QoS模板后,RA
交换机qos配置
zeroloss的博客
01-06 1万+
三层交换机端口QOS配置: QoS(Quality of Service,服务品质保证) 是指一个网络能够利用各种各样的技术向选 定的网络通信提供更好的服务的能力。 QoS 是服务品质保证,提供稳定、可预测的数据传送 服务,来满足使用程序的要求, QoS 不能产生新的带宽,但是它可以将现有的带宽资源做一 个最佳的调整和配置, 即可以根据应用的需求以及网络管理的设置来有效的管理网络带宽。
Fortinet防护墙IKEv1版本协议配置
redwingz的博客
12-03 1552
本文主要讲述Site-to-Site的IPsecurity IKEv1协议的配置以及注意事项。此网络结构又称为网络到网络的IPSecurity,两个网关彼此建立IPSecurity通道,将网关背后的内部网络通过IPSecurity通道安全的连接起来。 防火墙1的配置 1)打开虚拟专用网络->IPSec->IKE网页,创建IPSecurity的阶段一,远程网关地址选择...
华为交换机配置Qos
最新发布
qq_27546717的博客
02-05 3840
在DiffServ域模型下,优先级映射利用DS域来管理和记录QoS优先级与服务等级、颜色之间的映射关系,其过程如下:\1. 在报文进入设备时,报文携带的QoS优先级被映射到设备内部服务等级和颜色。\2. 设备根据报文的服务等级及颜色实现拥塞避免。\3. 在报文离开设备时,内部服务等级和颜色被映射为QoS优先级。设备根据内部服务等级与QoS优先级之间的映射关系确定报文进入的队列,从而针对队列进行流量整形、拥塞避免、队列调度等处理。
IPSecIKEv1和IKEv2协议
qq_43710889的博客
02-23 8545
IPSecIKEv1和IKEv2协议 IKE介绍 文章目录IPSecIKEv1和IKEv2协议IKE介绍IKE与IPSec的关系IKEv1的三个模式主模式和野蛮模式野蛮模式与主模式对比野蛮模式使用场景快速模式IKEv2密钥协商和交换初始交换:IKE安全机制身份认证DH(Diffie-Hellman)密钥交换算法完善的前向安全性PFS(Perfect Forward Secrecy) IKE是一个复合协议。 因特网密钥交换IKE(Internet Key Exchange)协议建立在Internet安全联
ensp IKEV1实验Ipsec动态配置
sgslwms的博客
02-21 6088
拓扑前提配置:1:设备接口IP 2:防火墙接口加区域 3:配置默认路由 1:IKE proposal 左边防火墙: ike proposal 1(这个1指的是名字) encryption-algorithm des (加密算法) dh group1 (密钥计算) authentication-algorithm md5 (认证算法) authentication-method pre-share (认证模式 预共享) integrity-algorithm hmac-sha2-256 (完...
华为设备IPsec简单配置
qq_43432623的博客
12-16 1万+
IPsec VPN是指采用IPsec实现远程接入的一种VPN技术,通过在公网上为两个或多个私有网络之间建立IPsec通道,并通过加密和认证保证通道的安全性。IPsec保护的是点对点之间的通信,通过IPsec VPN可以实现主机和主机之间、主机和网关之间、网关和网关之间建立安全的隧道连接。工作在网络层,主要对网络层的报文进行加密和验证。
HCIE-Security Day32:IPSec:深入学习ipsec ikev1、主模式、野蛮模式、快速模式、dh算法、预共享密钥
小梁的博客
03-31 4251
ipsec ikev1总框架 主动模式=野蛮模式 华为的ike 默认同时支持v1和v2,因此可以向下兼容,当隧道两端同时支持v2时,使用v2. dis ike peer bri 2022-03-30 12:25:59.510 Current ike peer number: 1 --------------------------------------...
关于Qos中常用的CIR、PIR、CBS、PBS、EBS的解释以及用法关系
热门推荐
小宇飞刀的BLOG
11-05 5万+
CIR(Committed Information Rate,承诺信息速率): 每秒可通过的速率,计量单位为Kbps  (以bit 位为单位)。如设置为500Kbps 。每8bit位=1Byte      1Kbps=1024bit PIR(Peak Information Rate,峰值信息速率): 即允许传输或转发报文的最大速率;单位为bit CBS(Committed Burst S...
IPSec ×××(对不同的数据流进行不同的加密和认证)
weixin_34380948的博客
11-28 430
对Telnet数据流进行加密,对其他IP数据流进行认证1、London路由器上连通性配置London(config)#interface Loopback0London(config-if)#ip address 10.1.1.1 255.255.255.0London(config)#interface Serial0/0London(config-if)#ip ...
IPSec IKEv1&IKEv2
weixin_51045259的博客
02-04 3560
IKE简介 IKE概述 因特网密钥交换IKE(Internet Key Exchange)协议建立在Internet安全联盟和密钥管理协议ISAKMP定义的框架上,是基于UDP(User Datagram Protocol)的应用层协议。它为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务,能够简化IPSec配置和维护工作。 IKE与IPSec的关系如图1所示,对等体之间建立一个IKE SA完成身份验证和密钥信息交换后,在IKE SA的保护下,根据配置的AH/ESP安全协议等参数协商出一对IPS
华为 5700交换机ACL traffic behavior命令 deny permit
auragreen的专栏
10-20 3万+
官方定义: 先匹配ACL,如是deny那就直接过滤掉,不再通过qos匹配;如是acl是permit,那么接下来qos流量进行匹配。 个人总结: traffic behavior使用permit表示按照acl 的规则来进行数据放行,acl中允许那就允许,禁止那就禁止 traffic behavior但是若使用deny,则无论acl规则中的permit或者deny,一律全都丢弃不进行转发. 组合有
[网络工程师]-案例分析-流分类、流行为、流策略
m0_58983558的博客
05-30 7288
本文通过案例介绍了在交换机配置ACL、流分类、流行为、流策略,便于理解这三者的关系。
华为防火墙配置IPSEC实现二个站点间网络互通 隧道模式 web配置(二)
m0_60444349的博客
08-10 8860
企业IPSEC VPN组网方案目 录近年来,VPN技术以其可以利用公共网络资源,建立安全可靠、经济便捷、调整转输等特点引起了企业的广泛关注,随着信息化建设的深入以及解决企业分支机构与总部的资源共享和访问、端到端的数据转输的安全性等问题,VPN的应用也显示出它的强大优势。在各行业中基于VPN的解决方案已得到了成功应用,且能有效地降低企业组网成本,同时也为XX公司的信息化建设提供了可参加的模板。..............................
华为修改优先级命令_华为QoS 优先级配置教程
weixin_39763640的博客
12-19 1100
二、QoS优先级配置1、QoS优先级信任模式配置[Huawei-GigabitEthernet0/0/2]trust ?8021p Specify trust VLAN802.1p parametersdscp Specify trust DSCPparametersupstream Specify trust upstreamparameters[Huawei-Gigabit...
QoS配置与管理——4
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
12-22 1万+
复杂流策略配置与管理 流策略是指通过将用户流量分类,把具有某类共同特征的报文划分为一类,为相同类型的流量提供同等的QoS服务,从而针对不同的业务类型提供差分服务。 复杂流策略包含3个要素: (1)流分类 流分类(trafficclassifier)用来定义一组流量匹配规则,以对报文进行分类。流分类中各规则之间的关系分为and或or,缺省情况下的关系为and。当流分类中有ACL规则时,报文必
边界网关协议BGP实践课(16)—MD5认证和Keychain认证
onme0的博客
01-18 575
MD5算法配置简单,配置后生成单一密码,需要人为干预才可以更换密码。keychain是加密规则(key)的合,用来为应用程序提供动态认证功能。keychain在不中断业务的前提下,通过定期更改用于认证的密钥和算法来提升网络数据传输的安全性。一个keychain中的不同key可配置各自的认证密钥、认证算法和生命周期。key由认证密钥、认证算法和生命周期三部分组成。一个keychain中不同key的认证密钥、认证算法和生命周期可以不同。
华为防火墙通过公网IP与ubuntu20.04公网服务器 ipsec连接配置
04-04
1. 在华为防火墙上配置IPSec VPN 首先,在华为防火墙上配置IPSec VPN,以便与Ubuntu 20.04公网服务器建立安全连接。 1.1 创建IKE策略 IKE是IPSec的关键协议之一,用于建立安全的VPN隧道。在华为防火墙上,我们需要创建IKE策略来定义IKE协议的参数。 在命令行界面下,输入以下命令: [Huawei] ipsec ike proposal ike-proposal1 [Huawei-ike-proposal-ike-proposal1] encryption-algorithm aes-cbc-256 [Huawei-ike-proposal-ike-proposal1] integrity-algorithm sha1 [Huawei-ike-proposal-ike-proposal1] dh group14 该命令创建了一个IKE策略,指定了加密算法、完整性算法和Diffie-Hellman密钥交换组。这些参数应该与Ubuntu 20.04公网服务器上的设置相匹配。 1.2 创建IPSec策略 IPSec是用于加密数据的另一个重要协议。我们需要在华为防火墙上创建IPSec策略,以定义加密参数。 在命令行界面下,输入以下命令: [Huawei] ipsec proposal ipsec-proposal1 [Huawei-ipsec-proposal-ipsec-proposal1] esp encryption-algorithm aes-cbc-256 [Huawei-ipsec-proposal-ipsec-proposal1] esp integrity-algorithm sha1 该命令创建了一个IPSec策略,指定了加密和完整性算法。这些参数应该与Ubuntu 20.04公网服务器上的设置相匹配。 1.3 创建IPSec VPN 现在,我们可以使用上述IKE和IPSec策略创建IPSec VPN。 在命令行界面下,输入以下命令: [Huawei] ipsec vpn vpn1 [Huawei-ipsec-vpn-vpn1] ike proposal ike-proposal1 [Huawei-ipsec-vpn-vpn1] ipsec proposal ipsec-proposal1 [Huawei-ipsec-vpn-vpn1] remote-address 1.2.3.4 [Huawei-ipsec-vpn-vpn1] quit 该命令创建了一个名为vpn1的IPSec VPN,指定了IKE和IPSec策略,并将其绑定到Ubuntu 20.04公网服务器的公共IP地址。 2. 在Ubuntu 20.04公网服务器上配置IPSec VPN 接下来,在Ubuntu 20.04公网服务器上配置IPSec VPN,以便与华为防火墙建立安全连接。 2.1 安装StrongSwan StrongSwan是一个流行的开源IPSec VPN实现,我们将使用它来配置Ubuntu 20.04公网服务器。 在终端中,输入以下命令: $ sudo apt-get update $ sudo apt-get install strongswan 这将安装StrongSwan。 2.2 配置IPSec VPN 现在,我们需要配置StrongSwan以与华为防火墙建立IPSec VPN。 在终端中,打开/etc/ipsec.conf文件: $ sudo nano /etc/ipsec.conf 将以下内容添加到文件末尾: conn vpn1 keyexchange=ikev1 authby=secret ike=3des-sha1-modp1024 esp=aes256-sha1 left=2.3.4.5 # Ubuntu 20.04公网服务器的公共IP地址 leftsubnet=192.168.1.0/24 # Ubuntu 20.04公网服务器的本地子网 right=1.2.3.4 # 华为防火墙的公共IP地址 rightsubnet=192.168.2.0/24 # 华为防火墙的本地子网 auto=start 这将创建一个名为vpn1的IPSec连接,指定了IKE和IPSec参数,并将其绑定到Ubuntu 20.04公网服务器和华为防火墙的本地子网。 2.3 配置PSK 我们还需要为IPSec VPN配置预共享密钥(PSK)。 在终端中,打开/etc/ipsec.secrets文件: $ sudo nano /etc/ipsec.secrets 将以下内容添加到文件末尾: 2.3.4.5 1.2.3.4 : PSK "mysecretpassword" 这将为Ubuntu 20.04公网服务器和华为防火墙之间的IPSec连接配置PSK。 3. 测试IPSec VPN 现在,我们可以测试IPSec VPN是否正常工作。 在Ubuntu 20.04公网服务器上,输入以下命令以启动IPSec连接: $ sudo ipsec up vpn1 如果一切正常,您将看到以下输出: initiating Main Mode IKE_SA vpn1[1] to 1.2.3.4 generating ID_PROT request 0 [ SA V V V V V ] sending packet: from 2.3.4.5[500] to 1.2.3.4[500] (184 bytes) received packet: from 1.2.3.4[500] to 2.3.4.5[500] (184 bytes) parsed ID_PROT response 0 [ SA V V V V V ] received NAT-T (RFC 3947) vendor ID received XAuth vendor ID received DPD vendor ID received FRAGMENTATION vendor ID received unknown vendor ID: 1f:07:17:00:00:00:00:00:00:00:00:00:00:00:00:00 generating ID_PROT request 0 [ KE No NAT-D NAT-D ] sending packet: from 2.3.4.5[500] to 1.2.3.4[500] (244 bytes) received packet: from 1.2.3.4[500] to 2.3.4.5[500] (244 bytes) parsed ID_PROT response 0 [ KE No NAT-D NAT-D ] local host is behind NAT, sending keep alives generating ID_PROT request 0 [ ID HASH ] sending packet: from 2.3.4.5[500] to 1.2.3.4[500] (100 bytes) received packet: from 1.2.3.4[500] to 2.3.4.5[500] (68 bytes) parsed ID_PROT response 0 [ ID HASH ] IKE_SA vpn1[1] established between 2.3.4.5[2.3.4.5]...1.2.3.4[1.2.3.4] scheduling reauthentication in 10046s maximum IKE_SA lifetime 10586s generating QUICK_MODE request 2499452192 [ HASH SA No ID ID ] sending packet: from 2.3.4.5[500] to 1.2.3.4[500] (188 bytes) received packet: from 1.2.3.4[500] to 2.3.4.5[500] (188 bytes) parsed INFORMATIONAL_V1 request 4026938035 [ HASH D ] received packet: from 1.2.3.4[500] to 2.3.4.5[500] (76 bytes) generating INFORMATIONAL_V1 response 4026938035 [ HASH D ] sending packet: from 2.3.4.5[500] to 1.2.3.4[500] (76 bytes) 这表示IPSec连接已成功建立。 现在,您可以从Ubuntu 20.04公网服务器上访问华为防火墙的本地子网,并从华为防火墙上访问Ubuntu 20.04公网服务器的本地子网。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

格洛米爱学习

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值