ipsec协议_配置穿越NAT设备建立IPSec隧道

最新推荐文章于 2024-05-21 14:25:49 发布
最新推荐文章于 2024-05-21 14:25:49 发布
阅读量496 收藏 2
点赞数
文章标签: ipsec协议

cc4299573f7fd1bba7c97eeac6eadb89.png

fa8ecc38d37dea1ef32b1ff05df94ce8.png
微信公众号:网络民工


组网需求
当进行IPSec协商的两个对端设备之间存在NAT网关时,建立IPSec隧道的两端需要进行NAT穿越能力协商,因此两端设备都必须具备NAT穿越的能力。
如图1所示,分支网络出口网关RouterA、总部网络出口网关RouterB之间通过NATER进行地址转换,RouterA、RouterB之间建立支持NAT穿越的野蛮模式IPSec。

9c03ebf33e075f7dc77d356f6c9f7287.png


操作步骤
1. RouterA的配置
#
sysname RouterA //设置设备的主机名
#
ike local-name RouterA //设置IKE协商时本设备的ID
#
ipsec proposalrta //创建一个IPSec提议
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-192
#
ike proposal 5 //配置IKE提议
encryption-algorithm aes-cbc-128
dh group14
authentication-algorithm sha2-256
#
ike peer rta v1 //配置IKE对等体及其使用的协议
exchange-modeaggressive //配置IKE的协商模式为野蛮模式
pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%*!%^%# //配置预共享密钥认证字为“huawei”,以密文显示,“pre-shared-key huawei”,以明文显示
ike-proposal 5
local-id-type name //配置IKE协商时本端的ID类型。
remote-name RouterB //配置对端IKE peer名称,//配置对端IKE peer名称。、
nat traversal //使能NAT穿越功能。
#
ipsecpolicy-template rta_temp 1 //建一个安全策略模板
ike-peer rta
proposal rta
#
ipsec policy rta 1isakmp template rta_temp //指定采用策略模板创建安全联盟
#
interfaceEthernet1/0/0
ip address 1.2.0.1 255.255.255.0
ipsec policy rta
#
interfaceEthernet2/0/0
ip address 10.1.0.1 255.255.255.0
#
ip route-static10.2.0.0 255.255.255.0 1.2.0.2 //配置到10.2.0.0网段的静态路由
#
return
2. RouterB的配置
#
sysname RouterB //设置设备的主机名
#
ike local-name RouterB //设置IKE协商时本设备的ID
#
acl number3000 //配置ACL
rule 0 permit ip source 10.2.0.0 0.255.255.255destination 10.1.0.0 0.255.255.255
#
ipsec proposal rtb //创建一个IPSec提议
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-192
#
ike proposal 5 //配置IKE提议
encryption-algorithm aes-cbc-128
dh group14
authentication-algorithm sha2-256
#
ike peer rtbv1 //配置IKE对等体及其使用的协议
exchange-mode aggressive //配置IKE的协商模式为野蛮模式
pre-shared-key cipher %^%#K{JG:rWVHPMnf;5|,GW(Luq'qi8BT4nOj%5W5=)%^%# //配置预共享密钥认证字为“huawei”,
ike-proposal 5
local-id-type name //配置IKE协商时本端的ID类型。
remote-name RouterA //配置对端IKE peer名称。
remote-address 1.2.0.1 //配置对端IKE peer地址
nat traversal //使能NAT穿越功能。
#
ipsec policy rtb 1isakmp //配置IPSec策略
security acl 3000
ike-peer rtb
proposal rtb
#
interfaceEthernet1/0/0
ip address 192.168.0.2 255.255.255.0
ipsec policy rtb
#
interfaceEthernet2/0/0
ip address 10.2.0.1 255.255.255.0
#
ip route-static0.0.0.0 0.0.0.0 192.168.0.1 //配置静态路由
#
return
3. NATER的配置
#
sysname NATER //设置设备的主机名
#
acl number3000 //配置ACL
rule 0 permit ip source 192.168.0.0 0.0.0.255destination 1.2.0.0 0.0.0.255
#
interfaceEthernet1/0/0
ip address 1.2.0.2 255.255.255.0
nat outbound 3000 //接口下配置nat outbound
#
interfaceEthernet2/0/0
ip address 192.168.0.1 255.255.255.0
#
return
4. 验证配置结果
通过Ping触发建立IPSec会话,在RouterA上执行display ike saverbosedisplay ipsec sa命令,可以查看IPSec隧道上配置的信息。

fa8ecc38d37dea1ef32b1ff05df94ce8.png
微信公众号:网络民工
weixin_39731623
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IPSec---NAT穿越实验配置
m0_49864110的博客
05-23 1330
目录 FW1-FW2基础配置 FW1-FW2配置安全策略—只可以由FW2为主动端建立IPSec隧道 FW1-FW2配置IPSec NAT设备FW4的配置 安全策略 配置NAT策略 NAT 穿越 相关配置 ESP NAT 黑色是FW1和FW2相同的配置 绿色是FW1的配置 蓝色是FW2的配置 FW4的配置单独拿出来配置 FW1-FW2基础配置 按照图上要求配置好接口地址和安全区域,并配置相关路由 FW1-FW2配置安全策略—只可以由FW2为主动端建立IP.........
华为L2TP+ipsec野蛮模式,nat穿越 配置实例
08-30
华为L2TP+ipsec野蛮模式,nat穿越 配置实例 。。。。。。。。。。。。。
配置穿越NAT设备建立IPSec隧道的示例
最新发布
2301_76769137的博客
05-21 856
所示,分支网络出口网关RouterA、总部网络出口网关RouterB之间通过NATER进行地址转换,RouterA、RouterB之间建立支持NAT穿越的野蛮模式IPSec。当进行IPSec协商的两个对端设备之间存在NAT网关时,建立IPSec隧道的两端需要进行NAT穿越能力协商,因此两端设备都必须具备NAT穿越的能力。IPSec穿越NAT功能组网图。RouterA的配置。RouterB的配置
构建穿越NAT设备IPSec隧道
ddv_9527的专栏
06-19 2743
来源:本站原创 作者:文/山东轻工业学院 杨燕 点击次数: 1096次 时间:2008-4-9  <br />金融行业对信息安全的要求强度高,除了网上银行,很少通过互联网采取IPSEC VPN方式开展业务和办公。但在金融行业网络内部,完全可以利用IPSEC VPN在数据传输、身份认证与审计等功能方面所具备的优势,实现多种应用。例如,利用IPSEC VPN技术,实现通过CDMA构建安全的ATM业务传输网络,以及解决金融行业内部服务器系统管理所存在的安全问题。<br />一、网络技术——NATIPsec
IPSec隧道配置案例(手动模式)
LiBai'S BLOG
04-08 1万+
IPSec VPN配置案例要求拓扑配置基础配置IPSec VPN配置分析原因解决方法IPSec VPNIPSec 核心功能IPSec 技术框架IPSec安全协议IPSec封装模式安全联盟IKE 配置案例 要求 配置IP地址、DHCP、路由、NAT 内网可以访问公网2.2.2.2 配置IPsec VPN PC1能直接访问PC2 抓包验证数据是否加密 拓扑 配置 基础配置 青海分部IP地址、DHCP、NAT、路由 sys sys QH dhcp enable acl 2000 rule permit
IPSecNAT穿越
hhd1988的专栏
05-18 5214
IPSec NAT 穿越简介
IPsec nat穿越技术
12-06
然而,当网络中存在NAT(Network Address Translation)设备时,传统的IPSec通信方式受到限制,尤其是AH(Authentication Header)协议因设计原因无法穿越NAT,ESP(Encapsulating Security Payload)协议NAT环境...
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
H3C+IPsec+NAT穿越配置举例
12-17
- **IPsec隧道中间存在NAT设备的组网情况**: 当IPsec隧道两端的数据需要通过一个或多个NAT设备时,启用NAT穿越功能可以确保IPsec隧道的正常工作。 - **适用于IP地址不固定的远程访问用户与总部之间建立IPsec隧道的...
嵌入式系统/ARM技术中的IPSecNAT之间的兼容性分析和解决方案
12-08
- 使用NAT穿越NAT Traversal)技术,通过在IPSec协议中加入特殊机制来适应NAT环境,例如IKE的NAT-D(NAT Detection)和NAT-T(NAT Traversal)。 - 配置NAT设备以识别并正确处理IPSec通信,比如保留特定IPSec相关...
阿里云 ubuntu16.04搭建IPSec服务
09-14
完成上述步骤后,阿里云的Ubuntu 16.04实例就成功配置IPSec服务,可以与其他支持IPSec设备或系统建立安全的隧道连接。 总结,IPSec服务的搭建在阿里云ECS上虽然有些特殊考虑,但通过遵循正确的步骤和注意事项,...
IPSec NAT穿越原理_ipsec配置为什么要配置nat,面试看这个就够了
2301_76379269的博客
04-13 892
采用AH安全协议完全不支持NAT穿越场景,ESP安全协议受限于端口,需要用额外端口实现。
防火墙—IPSec VPN(NAT 穿透-双侧 NAT
weixin_44080599的博客
06-05 3992
奇安信防火墙 IPSEC VPN 详解
ensp华为 IPSec的防火墙以及NAT配置
jjc321506301915的博客
03-31 6619
作业十七:IPSec的防火墙配置 文章目录作业十七:IPSec的防火墙配置实验环境实验思路实验步骤规划并配置IP划分区域OSPF配置VPN配置安全策略配置检查连通性加入公网设备PC3后实验环境IP配置NAT配置配置安全策略检查连通性配置NAT检查连通性实验总结 实验环境 实验思路 规划并配置IP 划分区域 OSPF配置 VPN配置 安全策略配置 检查连通性 加入公网设备PC3后实验环境 IP配置 NAT配置 安全策略配置 检查连通性 NAT配置 检查连通性 实验步骤 规划并配置IP PC1: PC2
四、IPSec NAT穿越
u012451051的博客
11-08 1536
1、消息1和2:在IKE消息中插入两个N载荷,第一个N载荷包含本端的IP地址和端口的Hash值,第二个N载荷包含IKE对等体的IP地址和端口的Hash值,响应方也计算这两个Hash值,两方计算的哪个Hash值不相等,表明哪个设备NAT网关后面。NAT网关发现:通过NAT-D载荷来实现的,在IKE peer之间发现NAT网关的存在以及确定NAT设备在Peer的哪一侧,NAT侧的Peer作为发起者,定期发送NAT-Keepalive报文,使NAT网关确保安全隧道处于激活状态。
IPSec Nat穿越配置
weixin_33686714的博客
07-04 933
IPSec ×××有两种封装格式,一种是AH,一种是ESP,AH由于包含对数据包源目IP进行完整性校验,Nat是绝对不能部署的,否则,目的端在收到数据包由于完整性校验失败,而丢弃该数据包,而ESP可以部署Nat,却不能部署PAT,因为该数据包没有传输层报头,无法进行端口转化,而导致数据包在R3上被丢弃,Cisco IOS12.4开发了一种Nat-traver(nat穿...
ipsec穿越NAT功能的配置
weixin_34001430的博客
12-01 885
网络拓扑如下 一、公司A端外网路由器配置 # //定义允许NAT的数据流 acl number 2000 rule 10 permit source192.168.1.00.0.0.255 # interface Ethernet0/0 port link-mode route //在公网接口绑定NAT转换 nat...
IPSec 隧道技术--基础实验配置
热门推荐
正月十六工作室
04-26 2万+
IPSec VPN基础实验配置 IPSec 简介 (Internet Protocol Security)是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。 # IPSec架构 IPSec VPN体系结构主要由AH(Authentication Header)、ESP(Encapsulating Security Payload)和IK.
IPSec穿越NAT:原理、挑战与解决方案
IPSec穿越NAT是网络安全领域的一个重要课题,它涉及到IPSec协议在网络地址转换(NAT)环境下的有效实施。IPSec,全称为Internet Protocol Security,是互联网上的一种网络层安全协议,旨在保护数据在网络中的传输,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值