IPSec VPN (二)野蛮模式

于 2024-08-13 10:00:27 发布
阅读量906 收藏 12
点赞数 16
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39555693/article/details/141155428
版权

分部没有固定的IP地址时,配置ipsec vpn,应该采用野蛮模式去协商ike sa。并且要在分部首先发起连接,去找总部有固定ip的一端去协商。

配置好底层网络,让“共网”打通。

配置分部设备:

配置ike keychain

[fb]ike keychain fb
[fb-ike-keychain-fb]pre-shared-key address 10.10.12.1 24 key simple abc123

给自己定义一个主机名称

[fb]ike identity fqdn fb                     (定义本端的主机名称)

配置ike profile 协议框架

[fb]ike profile fb
[fb-ike-profile-fb]exchange-mode aggressive                 (改成野蛮模式)
[fb-ike-profile-fb]keychain fb
[fb-ike-profile-fb]match remote identity address 10.10.12.1 24

配置acl,定义感兴趣的数据流

[fb]acl ad 3000
[fb-acl-ipv4-adv-3000]rule permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

配置ipsec 安全提议

[fb]ipsec transform-set fb
[fb-ipsec-transform-set-fb]esp authentication-algorithm sha1
[fb-ipsec-transform-set-fb]esp encryption-algorithm 3des-cbc

配置安全策略

[fb]ipsec policy fb 1 isakmp
[fb-ipsec-policy-isakmp-fb-1]security acl 3000
[fb-ipsec-policy-isakmp-fb-1]transform-set fb
[fb-ipsec-policy-isakmp-fb-1]ike-profile fb
[fb-ipsec-policy-isakmp-fb-1]remote-address 10.10.12.1

接口下应用安全策略

[fb]int g0/0
[fb-GigabitEthernet0/0]ipsec apply policy fb

配置总部设备:

配置keychain

[zb]ike keychain zb
[zb-ike-keychain-zb]pre-shared-key hostname fb key simple abc123

配置profile 协议框架

[zb]ike profile zb
[zb-ike-profile-zb]keychain zb
[zb-ike-profile-zb]exchange-mode aggressive    (改成野蛮模式)
[zb-ike-profile-zb]match remote identity fqdn fb    (远端的主机名称)

配置ipsec 安全提议

[zb]ipsec  transform-set zb
[zb-ipsec-transform-set-zb]esp authentication-algorithm sha1
[zb-ipsec-transform-set-zb]esp encryption-algorithm 3des-cbc

配置一个安全模板

[zb]ipsec policy-template tmp 1
[zb-ipsec-policy-template-tmp-1]ike-profile zb                      (应用ike协议框架)
[zb-ipsec-policy-template-tmp-1]transform-set zb                   (应用安全提议)

利用安全模板创建要给安全策略

[zb]ipsec policy zb 1 isakmp template tmp

在接口上应该安全策略

[zb]int g0/1
[zb-GigabitEthernet0/1]ipsec apply policy zb

注意:要先在分部发起连接,因为总部的IP时固定的。

IT老头
关注
ipsec(ike野蛮模式)
weixin_34297300的博客
03-29 1978
IPSEC野蛮模式 简介: IKE 的协商模式 在RFC2409(The Internet Key Exchange )中规定,IKE 第一阶段的协商可以采用两种模式:主模式(Main Mode )和野蛮模式(Aggressive Mode )。 主模式被设计成将密钥交换信息与身份、认证信息相分离。这种分离保护了身份信息;交换的身份信息受已生成的 Diffie-Hell...
hcl的ipsec野蛮模式配置
qq_44933518的博客
11-30 2561
1.实验拓扑 2.需求 r2作为DHCP server,给r3和r4分配ip 路由器上的环回口地址作为业务地址, 总部分别和分部r3、分部r4建立vpn隧道,采用ipsec vpn野蛮模式 3.分析 由于R3和R4的ip不是固定的,所以只能使用ipsec野蛮模式,无法使用ipsec的主模式 注:这个实验,我只注重配置IPSec vpn,没有配置NAT,所以 ...
H3C IPsec VPN 野蛮模式配置
bfq05234214的博客
03-10 2181
野蛮模式配置公网地址固定的一端: 1.配置IKE fqdn2.创建IKE Proposal(提议),配置IKE的加密和验证算法,验证方法3.创建和配置预共享密钥,使用主机名标识对方身份4.创建IKE Profile(档案),配置为野蛮模式,调用前面创建的Proposal和Keychain,指定对端的FQDN5.创建IPsec转换集,配置IPsec的工作模式,封装协议,验证和加密算法6.创建IPsec策略模板,调用前面创建的IKE Profile,IPsec转换集 7.创建IPsec策略,绑定前面创建的模板
思科防火墙IPsec配置--野蛮模式(基于8.0版本)
xiayu0912的专栏
01-25 1755
动态crypto maps只设置在野蛮模式的接收端,和静态crypto maps一样,也是把一些分散的信息集中起来形成一个完整的ipsec连接信息,里面的匹配规则也和静态crypto maps一样从低到高匹配,配置方式也和静态crypto maps一样。配置cryto map。cryto map是一个列表,该列表记录那些数据包需要建立IPsec, 将前面配置的一些分散的信息绑定到一起形成一个ipsec连接的完整信息,这个列表有序号,序号可以随意填,匹配IPSEC参数的时候按照序号从低到高的顺序进行匹配。
IPsec野蛮模式
weixin_33969116的博客
04-01 838
野蛮模式的特别之处: 1. 野蛮模式支持NAT转化,主动模式不支持; 2. 野蛮模式支持以Name方式标识对等体,主动模式只支持ip地址方式标识。 当部署***两端是动态ip地址的时候,例如通过ADSL方式上网,主动模式就束手无策了,因为它只支持ip地址方式标识,当ip地址不是固定的。而野蛮模式可以通过Name标识,没有经...
思科防火墙IPsec配置-野蛮模式方式(基于9.9版本)
xiayu0912的专栏
02-21 1592
思科防火墙ASA配置野蛮模式建立IPse连接
ipsec ***野蛮模式应用
weixin_34049032的博客
03-26 278
IPSEC野蛮模式: 简介: IKE 的协商模式 在RFC2409(The Internet Key Exchange )中规定,IKE 第一阶段的协商可以采用 两种模式:主模式(Main Mode )和野蛮模式(Aggressive Mode )。 主模式被设计成将密钥交换信息与身份、认证信息相分离。这种分离保护了身 份信息;交换的身份信息受已生成的 ...
H3C V7 ipsec主:野蛮模式配置脚本.pdf
08-30
H3C V7 ipsec主:野蛮模式配置脚本.pdf
网测科技_IPsec VPN吞吐测试案例
Netitest的博客
11-10 399
介绍IPsec VPN吞吐测试案例
TP- LINK企业级vp-n路由器ipsec场景与实施(野蛮模式
zelf的专栏
03-03 7000
上个文章介绍的主模式,实际应用中最多的还是野蛮模式,因为公网IP太贵啊,不是每个公司都有专线可以用。 实际应用中普通家用宽带也可以通过DDNS来实现ipsec,这里需要设置光猫为桥接模式,用路由器拨号。 电信和联网好多还可以获取到公网IP,移动全是内网IP搞不了 。 桥接的方法好找,网上一大堆,但光猫的超级密码现在都是动态了,这个不好搞,有关系或者大客户一般都会给,我做的几个项目都是问联通和电信的安装人员要的超级密码,他们从后台查的。 这是官网的资料:其中一端在NAT网关下,实际上就是家用宽带或者有
华为L2TP+ipsec野蛮模式,nat穿越 配置实例
08-30
华为L2TP+ipsec野蛮模式,nat穿越 配置实例 。。。。。。。。。。。。。
野蛮模式IPSec的典型组网和配置.pdf
11-12
野蛮模式IPSec的典型组网和配置.pdf
IPSec在企业网中的应用 案例(野蛮模式
cczsmile的博客
04-12 2269
IPSec模式野蛮模式的区别包含如下几点:1.      交换的消息:主模式为6个,野蛮模式为3个。2.      NAT支持:对预共享密钥认证:主模式不支持NAT转换,而野蛮模式支持。而对于证书方式认证:两种模式都能支持。3.      对等体标识:主模式只能采用IP地址方式标识对等体;而野蛮模式可以采用IP地址方式或者Name方式标识对等体。这是由于主模式在交换完3、4消息以后,需要使用预...
锐捷ipsec野蛮模式(积极模式)配置实验+命令解释
m0_62621003的博客
04-01 1556
IPSEC动态隧道一般应用于分支节点较多的总分拓扑结构,在中心点配置动态隧道接受各分支的IPSEC VPN拨入。中心点配置简单、易于维护、可扩展性强。同时由于各分支的IP地址不固定,无法通过IP地址来指定不同的预共享密钥。所有分支使用相同的预共享密钥将极易造成密钥泄露,威胁网络安全。使用域名认证的方法很好地解决了这个问题,通过每个分支配置使用不同的域名,同时在中心点上针对不同的域名指定不同的密钥,保证了密钥安全。
IPsec野蛮模式出现的原因
qq_47529104的博客
05-02 2938
原因概述 其主要原因是因为在早期IKEv1的相关设备没有实现使用除了IP地址之外的其他标识符去表示一个IPsec隧道的一端,所以这就导致了动态IP地址的IPsec隧道的某一端出现了地址变动之后将无法重新建立IPsec隧道。我们在配置了IPsec的时候,如果没有特定地指定标识符,在报文中发送的identity都是在配置命令中指定的IP地址,这就导致IKEv1的主模式是无法根据它们的标识去找到对应的共享密钥(因为是动态地址,所以地址变换之后先前的配置就无法生效了),但是野蛮模式在早期支持使用除了IP地址的方式
华三IPsec VPN野蛮模式)(案例)
最新发布
qq_73757784的博客
07-28 1083
R1-ike-proposal-1]encryption-algorithm 3des-cbc //加密算法3des-cbc(双方一致)之间与LSP相连接;[R1-ike-keychain-1]pre-shared-key hostname R2 key simple 123456 //密码要一致。[R1-ipsec-policy-template-mytem-1]transform-set my //引用ipsec安全提议my。
基于ipsec的***在企业网中的经典应用之案例---野蛮模式
weixin_33810302的博客
03-28 235
拓扑图: 说明:图中的路由器均由防火墙代替。 需求分析: 通过建立ipsec的隧道,实现北京总部和上海分公司以及郑州分公司的内网的互相访问,并对传输的数据进行加密,保证通信的安全性。 实验步骤 一:北京总部的配置 F1 [F1]dis cu ike local-name f1 # firewall packet-filter enable 开启包过滤的...
ipsec 野蛮模式
weixin_33894992的博客
04-01 254
1 beijing 配置 f1 ike local-name f1 firewall packet-filter enable 开启包过滤的功能 firewall packet-filter default permit 默认的为允许 ike peer peer1 指定peer的 对等体 exchange-mode aggressiv...
华为IPSEC野蛮模式配置
05-12
IPSec VPN中,野蛮模式是一种不安全的加密模式,因为它暴露了VPN连接的双方IP地址。因此,建议使用主模式而不是野蛮模式。但是如果您需要使用野蛮模式,可以按照以下步骤在华为设备上进行配置: 1. 创建IPSec策略 ``` ipsec policy policy-name ``` 2. 配置本地地址和远程地址 ``` local-address ip-address remote-address ip-address ``` 3. 配置预共享密钥 ``` pre-shared-key simple key-string ``` 4. 配置加密算法和哈希算法 ``` proposal proposal-name encr-algorithm {3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256} hash-algorithm {sha1 | sha2-256 | sha2-384 | sha2-512} ``` 5. 配置安全协议 ``` security-proposal proposal-name esp authentication-algorithm {hmac-sha1-96 | hmac-sha2-256 | hmac-sha2-384 | hmac-sha2-512} encryption-algorithm {3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256} ``` 6. 配置IKE策略 ``` ike peer peer-name pre-shared-key simple key-string proposal proposal-name ``` 7. 配置ISAKMP协议 ``` isakmp authentication-mode pre-shared-key ``` 8. 启用IPSec VPN ``` vpn-instance vpn-instance-name ipsec policy policy-name ike peer peer-name ``` 以上是基本的配置步骤,您需要根据实际情况进行调整。注意,野蛮模式可能会导致安全性问题,因此建议使用主模式
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值