IPSec VPN (一)主模式

已于 2024-08-13 09:28:46 修改
阅读量422 收藏 7
点赞数 4
文章标签: 网络
于 2024-08-12 17:03:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39555693/article/details/141135774
版权

两端都是固定的IP地址,两端都采用主模式去协商ike sa

首先保证两端路由器网络正常通讯,即“公网”正常通讯。

1,创建ACL,选择感兴趣的数据流

acl advanced 3000
 rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255
2,配置IKE

 1),配置ike提议

  ike proposal 1
 dh group14

2),配置ike keychain

ike keychain zb
 pre-shared-key address 10.10.23.3 255.255.255.0 key cipher $c$3$vP3eSxnzpgQCsewjgD0XqPt++vFK5/C1hw==
3),配置ike profile

ike profile zb
 keychain zb
 match remote identity address 10.10.23.3 255.255.255.0
 proposal 1
3,配置ipsec 安全提议

ipsec transform-set zb
 esp encryption-algorithm 3des-cbc
 esp authentication-algorithm md5
4,配置安全策略

ipsec policy zb 1 isakmp
 transform-set zb
 security acl 3000
 remote-address 10.10.23.3
 ike-profile zb

5,接口下应用安全策略

interface GigabitEthernet0/1
  ipsec apply policy zb
前面是总部的路由器的配置。

6,在分部的路由器上也要做类似的配置。

acl advanced 3000
 rule 0 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255


ike proposal 1
 dh group14


ike keychain fb
 pre-shared-key address 10.10.12.1 255.255.255.0 key cipher $c$3$0Ciwi35dB0MfgeEJVCfMLmejFIUrrJY+Hw==

ike profile fb
 keychain fb
 match remote identity address 10.10.12.1 255.255.255.0
 proposal 1
 

ipsec transform-set fb
 esp encryption-algorithm 3des-cbc
 esp authentication-algorithm md5
 

ipsec policy fb 1 isakmp
 transform-set fb
 security acl 3000
 remote-address 10.10.12.1
 ike-profile fb

interface GigabitEthernet0/0
  ipsec apply policy fb
 


 

IT老头
关注
IPSEC 主模式配置(HCL)+思路
a64564的博客
08-05 484
---------------------------------------------实现公网互联------------------------------------------[总部-ike-keychain-1]pre-shared-key address 200.0.0.2 24 key simple 12345。[总部-ipsec-policy-isakmp-1-1]dis th。[分部-ipsec-policy-isakmp-1-1]DIS TH。
网测科技_IPsec VPN吞吐测试案例
Netitest的博客
11-10 399
介绍IPsec VPN吞吐测试案例
IPSEC主模式分析三
weixin_34008805的博客
10-18 222
1.作用 这个过程主要任务是认证。(通过1-2和3-4的协商已经具备策略和密钥所以这个阶段已经在安全环境中进行了) 2.第五个包的格式 从上图可以看出,模式只主模式,载荷联系身份认证,FLAGS这个开源参考IETF IP 安全标识数据的特定细节。(这些已经比较难了) 3.第六个包格式  说明此文档只是验证了共享密钥的验证方法,证书验证在以后的文章中给出。...
思科防火墙IPsec配置-主模式方式(基于8.0版本)
xiayu0912的专栏
01-18 1938
cryto map是一个列表,该列表记录那些数据包需要建立IPsec, 将前面配置的一些分散的信息绑定到一起形成一个ipsec连接的完整信息,这个列表有序号,序号可以随意填,匹配IPSEC参数的时候按照序号从低到高的顺序进行匹配。配置从192.168.1.0到192.168.3.0的数据包不做地址转换,该网络拓扑比较简单,可以不配置,但是真实环境比较复杂,一般都需要配置,故这里也配置上。网络拓扑如上图所示,为方便记忆从左到右顺时针方向的网段的分别为192.168.1.0, 2.0, 3.0。
思科防火墙IPsec配置-主模式方式(基于9.9版本)
xiayu0912的专栏
02-06 2185
思科防火墙9.9版本,配置Ipsec主模式
IPSec VPN主备模式
SSR_ZZ的博客
09-21 466
IPSec VPN
H3C V7 ipsec主:野蛮模式配置脚本.pdf
08-30
H3C V7 ipsec主:野蛮模式配置脚本.pdf
IPSEC VPN
weixin_53946822的博客
12-12 183
是一组基于网络层的,应用密码学的安全通信协议族。IPSec不 是具体指哪个协议,而是一个开放的协议族。
ENSP ipsec IKEv1 主模式模板
sgslwms的博客
02-22 2307
配置接口ip 路由 防火墙接口加区域等省略 1:设置ike proposal ike proposal 1 encryption-algorithm des dh group1 authentication-algorithm md5 authentication-method pre-share q 2:设置ike peer ike peer fw2 undo version 2 (取消ikev2) pre-shared-key huawei@123(设置预共享密钥) ike-proposal ...
企业网络安全架构设计之IPSec VPN应用配置举例
while_if的博客
06-16 5524
现网场景中分支机构需要访问总部内网资源进行办公与协作,如果将内网资源映射至公网上存在安全风险,增加网络受威胁面。 为解决如上场景问题,需要在公网采用VPN技术,构建隧道对数据进行加密从而保证数据访问的安全性。 本文章主要侧重于架构设计与实现,具体技术原理可参考理论部分。
2. 详解 IPSEC 的认证模式、主模式和野蛮模式
weixin_38387929的博客
06-02 1万+
一. 基本名词解释 1. IPSec 对等体 IPSec 用于在两个端点之间提供安全的 IP 通信,通信的两个端点被称为 IPSec 对等体。 2. 安全联盟 SA(Security Association)安全联盟定义了 IPSec 通信对等体间将使用哪种摘要和加密算法、什么样的密钥进行数据的安全转换和传输。SA 是单向的,在两个对等体之间的双向通信,至少需要两个 SA。SA 由一个三元组来唯一标识,这个三元组包括安全参数索引 SPI(Security Parameter Index)、目的 IP 地址、
安全防御------IPSec VPN
m0_63292411的博客
08-08 1783
本篇文章详细的讲解了IPSEC VPN的主要知识,概括了IPsec VPN的安全服务,技术架构,两种工作模式;还包含了ESP,AH,IKE的详细内容,还提到了DBD,IPSEC VPN的NAT和多VPN等问题。
IPsec IKE第一阶段主模式和野蛮模式
ryanzzzzz的博客
05-02 1610
国密标准GMT 0022-2014 IPSec VPN 技术规范,IPsec IKE过程中交换类型的定义将主模式Main mode分配值为2,快速模式-quick mode分配值为32。标准中并没有提现分配值为4的交换类型。在实际应用中,IKE第一阶段经常会出现交换类型为4的情况,也就是所谓野蛮模式Agressive mode。
IPSec的三个协议和两种模式详解
weixin_45317091的博客
02-23 2万+
IKE协议是一种基于UDP的应用层协议,它主要用于SA协商和密钥管理。IKE协议属于一种混合型协议,它综合了ISAKMP(Internet Security Association and Key Management Protocol)、Oakley协议和SKEME协议这三个协议。其中,ISAKMP定义了IKE SA的建立过程,Oakley和SKEME协议的核心是DH(Diffie-Hellman)算法,主要用于在Internet上安全地分发密钥、验证身份,以保证数据传输的安全性。
IPsec 9个包分析(主模式+快速模式)
热门推荐
遇见你是我最美丽的意外
03-06 2万+
第一阶段:ISAKMP协商阶段 1.1 第一包 包1:发起端协商SA,使用的是UDP协议,端口号是500,上层协议是ISAKMP,该协议提供的是一个框架,里面的负载Next payload类似模块,可以自由使用。可以看到发起端提供了自己的cookie值,以及SA的加密套件,加密套件主要是加密算法,哈希算法,认证算法,生存时间等。 Initiator cookie:817622ea0136...
数据传输安全--IPSEC
最新发布
banliyaoguai的博客
07-23 1424
默认使用IP地址作为身份标识(因为身份验证是在第五六个数据包中,但是我们在前面的几个数据包过程都需要提取预共享密钥计算,要是等身份标识的话等不下去了,所以只能看IP地址了,然后在第五六个数据包的时候再进行身份认证确认,所以这个东西也很怕NAT),这个身份标识和身份认证是不一样的,在IPSec中多使用预共享密钥进行身份认证,然后这个预共享密钥可能一个人和另外好几个人都有。注意:野蛮模式前两个数据包中的参数用来协商密钥信息,则第三个数据包可以进行加密传输,因为,身份信息是通过明文传递的,所以,安全性较低。
VPN主动模式的配置与原理
j2941174356的博客
08-01 363
第二个阶段:用已经建立的安全联盟 iskmp sa(ike sa)的安全通道为ipsec协商安全服务,建立ipsec sa, 产生用于业务数据加密的密钥。第一个阶段:通信各方彼此之间需要建立一个已通过身份验证和安全保护的通道,交换建立一个iskmp安 全联盟,iskmp sa。6个包交互,默认使用IP地址作为身份标识,默认传递自己的接口地址作为身份标识,对方的公网地址作 为对端身份标识去检查。第一个包,承载协议是UDP,端口源目都是500。Xi,Yi是交换的公钥信息,SAr对方协商参数的确认,
安全防御 --- IPSec理论(03)
weixin_62443409的博客
06-25 9651
当隧道出现异常,检测出异常重新发起协商,维持隧道。:AH协议会校验外层IP地址,无论是传输还是隧道NAT都回转换外层IP地址,完整性都会被破坏,AH协议无法与NAT兼容。(标准的IKE SA的主模式使用IP地址作为身份ID,nat会破坏IP地址故而不支持主模式,仅支持野蛮模式):ESP不会对外层IP做认证或校验,所以完整算法不会被NAT破坏,但是TCP会进行头部校验。:ID可以自定义为字符串,NAT无法破坏,可正常完成第一阶段身份认证。:第5、6包的认证ID,由于NAT破坏无法完成身份认证。
华三 IPSec 主模式配置
08-16
华三 IPSec 主模式配置的步骤如下: 1. 首先,在 R1 的公网接口上下发 IPsec 策略。使用命令[R1-GigabitEthernet0/0ipsec apply policy r3来下发策略。 2. 然后,在 R1 上创建 IPsec 策略,调用之前配置的相关参数...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值