数通-用IPSec隧道对私网与私网通信流量数据进行安全保护

最新推荐文章于 2021-06-02 13:03:24 发布
最新推荐文章于 2021-06-02 13:03:24 发布
阅读量483 收藏
点赞数
分类专栏: 数据通信 文章标签: 数字通信
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42301205/article/details/103786481
版权

文章目录

实验拓扑图

在这里插入图片描述

实验平台ENSP510
实验设备AR2220 3台、PC 2台

实验目的

用IPSec隧道对私网与私网通信流量数据进行安全保护

配置命令

// 配置静态路由
[AR1]ip route-static 202.138.162.0 24 202.138.163.2
[AR1]ip route-static 10.1.2.0 24 202.138.162.1

[AR3]ip route-static 202.138.163.0 24 202.138.162.2
[AR3]ip route-static 10.1.1.0 24 202.138.163.1

// 配置ACL,定义要保护的数据流
[AR1]acl number 3101
[AR1-acl-adv-3101]rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[AR3]acl number 3101
[AR3-acl-adv-3101]rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

// 创建IPSec安全提议
[AR1]ipsec proposal tran1
[AR1-ipsec-proposal-tran1]esp authentication-algorithm sha2-256
[AR1-ipsec-proposal-tran1]esp encryption-algorithm aes-128
[AR1-ipsec-proposal-tran1]quit

[AR3]ipsec proposal tran1
[AR3-ipsec-proposal-tran1]esp authentication-algorithm sha2-256
[AR3-ipsec-proposal-tran1]esp encryption-algorithm aes-128
[AR3-ipsec-proposal-tran1]quit

显示配置信息
在这里插入图片描述

// 创建安全策略
[AR1]ipsec policy map1 10 manual 
[AR1-ipsec-policy-manual-map1-10]security acl 3101
[AR1-ipsec-policy-manual-map1-10]proposal tran1
[AR1-ipsec-policy-manual-map1-10]tunnel remote 202.138.162.1
[AR1-ipsec-policy-manual-map1-10]tunnel local 202.138.163.1
[AR1-ipsec-policy-manual-map1-10]sa spi outbound esp 12345
[AR1-ipsec-policy-manual-map1-10]sa spi inbound esp 54321
[AR1-ipsec-policy-manual-map1-10]sa string-key outbound esp cipher huawei
[AR1-ipsec-policy-manual-map1-10]sa string-key inbound esp cipher huawei
[AR1-ipsec-policy-manual-map1-10]quit

[AR3]ipsec policy use1 10 manual 
[AR3-ipsec-policy-manual-use1-10]security acl 3101
[AR3-ipsec-policy-manual-use1-10]proposal tran1
[AR3-ipsec-policy-manual-use1-10]tunnel remote 202.138.163.1
[AR3-ipsec-policy-manual-use1-10]tunnel local 202.138.162.1
[AR3-ipsec-policy-manual-use1-10]sa spi outbound esp 54321
[AR3-ipsec-policy-manual-use1-10]sa spi inbound esp 12345
[AR3-ipsec-policy-manual-use1-10]sa string-key outbound esp cipher huawei
[AR3-ipsec-policy-manual-use1-10]sa string-key inbound esp cipher huawei
[AR3-ipsec-policy-manual-use1-10]quit

查看安全策略配置信息
在这里插入图片描述

// 在接口上引用安全策略
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ipsec policy map1
[AR1-GigabitEthernet0/0/1]quit

[AR3]int g0/0/1
[AR3-GigabitEthernet0/0/1]ipsec policy use1
[AR3-GigabitEthernet0/0/1]quit

查看配置结果
在这里插入图片描述

测试

用PC1 ping PC2
在这里插入图片描述
Wireshark对AR1上的G0/0/1接口抓包截图
在这里插入图片描述

隔壁憨憨
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IPSec 原理
爱意随风起,人生不可弃。
04-11 6428
虚拟专用络(VPN,Virtual Private Network)就是在公共络中建立的连接多个局域隧道,如过配置两端的路由器,可以为两个局域创建一条隧道,让两个局域之间能够互相通信过加密和身份验证技术实现数据通信安全,达到像专线一样的效果。 专用络也叫专线业务,大多面向企业、政府及其其它要求带宽稳定、对服务质量要求较高的客户。可以过数字数据(DDN)、帧中继(FR)、数...
IPSEC原理及组成
热门推荐
LDF-Dicky的博客
09-20 4万+
1.IPsec介绍 IPsecurity是一套完整的加密系统   IPsec-VPN提供三个特性: authentication  每一个IP包的认证 data integrity  验证数据完整性,保证在传输过程中没有被人为改动 confidentiality(密性)数据包的加密   2.IPsec组成 IPsec协议集包括三个协议: ①internet keyexch
ros之ipsec
weixin_34162695的博客
07-22 778
ipsec of ros 1主服务内地址、远端内地址;主服务公地址,远端公地址;2 设置共享pre shared key;设置加密3des、加密组、hash;主模式,远端公地址;3 数据加密 md5 3des;4 nat之前accecpt 源:服务内地址 目的:远端内地址;5 route 远端内地址------>服务端公ip------>wan口...
ipsec基本原理
夜离人吖的博客
06-28 304
华为路由器IPsec实现总部和分支通信实例
NeverGUM的博客
02-17 2350
用户需求背景 榆林总部和西安分支现申请了两个公IP,现在需要搭建IPsecPN实现,即192.168.1.0 访问192.168.2.0;(CSDN原因,关键字不能打全) 总部和分支192.168.1.0-192.168.2.0需要访问公,用于测试12.12.12.12; 络拓补图 配置思路 在总部和分支分别配置IP地址,打,并设置去公的默认路由; 内用户上需求实现,使用NAT转换; 两端分别创建IPsec,调用,最后实现访问分支; 实验...
通信络中的基于IPSec的嵌入式安全应用研究
11-08
1 引言  嵌入式络技术是近几年随着计算机络技术的普及和发展而发展起来的一项新兴概念和技术,它过为现有...因此,在开发和使用嵌入式Internet系统的同时,必须把嵌入式Internet通信安全问题放到重要的地位考虑
基于IPSec安全协议的数据传输入侵检测模型
01-12
分析了IPSec安全协议中的AH协议和ESP协议,使用不同的安全策略分布密钥,建立双向讯流,并根据安全关联终点数量构建出3种嵌套隧道通信传输检测扩展方式,利用DBN对数据进行训练,络审计技术分析得到数据...
通信络中的WindowsServer2008服务器系统数据安全
11-18
数据安全是任何数据服务解决方案中的一个关键要求,而Windows Server 2008和SQL Server 2008结合起来,过一个基于加密技术的强大集合提供了一个端对端数据保护。  Windows Server 2008依靠内置的IP安全(IPSec)...
通信络中的浅析IPv6的安全机制对现有安全体系的影响
11-03
IPSec包括验证头协议(AH)和封装安全性载荷协议(ESP),这两种协议能够确保数据的完整性和机密性,提供了络层的认证和加密服务。此外,IPSec还包括密钥交换IKE协议,使得设备能够安全地协商和管理加密密钥。这些...
通信络中的基于SoC的IPSec协议实现技术
12-13
引 言 IPSe[1]作为一种实现VPN的安全协议体系,目前已在VPN设备中广泛使用。但是,随着千兆位高速络的技术发展,对VPN设备在时效性等方面提出了更高的要求。因此,必须从体系结构等方面,研究新的技术方法实现...
思科设备路由器间IPsec ×××实现之间通信实战
weixin_33830216的博客
05-14 226
1. 实验拓扑:使用GNS3(版本号0.8.6)+c2691-advsecurityk9-mz.124-11.T2.2. 实验需求: a)C1可以和C2通信,实现跨互联通信 b)C1、C2可以和R2的环回口loopback0通信,实现C1、C2及可以通信也可以上公3. 实验步骤: a)...
IPSEC非单播流量处理
weixin_34257076的博客
05-01 129
ipsec只支持单播;组播和广播是不会错过一个数据的SA的。 常用的处理方法是将单播和组播封装在一个单播中,这样IPSEC就可以处理了。 cisco将这个过程称为用路由封装(GRE),GRE是一座3层的传输协议,他允许将其他协议,例如IP ,IPX,APPLETALK等协议,封装在一个不同的ip单播包中。...
IPSec隧道
Fsy-LLing的博客
08-18 9052
谈到IPSec 隧道还得回顾一下隧道的基础概念(当然我们平时爬出去所用的也是这个)。 隧道全称:专用虚拟,依靠ISP和NSP在公共基础络(也就是互联)上构建的安全通信络,这条专线是逻辑上的,并不是物理的。 专用:可以根据客户的需求定制符合自身需求的络 虚拟:用户不需要拥有实际的长途数据线路,直接在公共基础络的基础上构建的。 那么为什么这么多种类的,比如GRE,L2TP等,要大力推举IPSec呢。比如说Gre的不支持用户的身份认证(第一道门都没有,如果黑客进入,连验证都不需要了),只会对数据进行
1. 全面讲解 IPSec 基本原理
weixin_38387929的博客
06-02 8465
转者注: 此篇转载 曹世宏 先生博文;本人在自己 IPSec 实践应用基础上,对此篇博文内容增加章节编号;在 封装协议章节中、删减两种抓包图片。 IPSec 讯两端是互为 client 、server 的方式,双方对等加密和认证。 1. IPSec 概念简介 什么是IPSecIPSec(Internet Protocol Security)是IETF(Internet Engineering Task Force)制定的一组开放的安全协议。它并不是一个单独的协议,而是一系列为IP络提供安全
IPsec介绍
u014023993的专栏
01-21 2221
目录 1. IPsec概述 2. 安全体系 2.1 Authentication Header(AH) 2.2 Encapsulating Security Payload(ESP) 2.3 Security association(SA) 3. 运行模式 3.1 传输模式 3.2 隧道模式 4 Security Association(SA) 4.1 SA概述 4.2 SA...
IPSec基础知识
weixin_51045259的博客
02-04 4309
IPSec简介 定义 IPSec是IETF(Internet Engineering Task Force)制定的一组开放的安全协议。它并不是一个单独的协议,而是一系列为IP络提供安全性的协议和服务的集合,包括认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)两个安全协议、密钥交换和用于验证及加密的一些算法等。 过这些协议,在两个设备之间建立一条IPSec隧道数据IPSec隧道进行转发,实现保护数据安全
三种不同SSH隧道
北冥有鱼的Blog
03-14 5813
转自 http://hetaoo.iteye.com/blog/2299123 前言 想过ssh隧道连接远端机器的VNC服务,对ssh -L命令不太熟悉,man ssh后发现3组与隧道(turnnel)相关的参数:ssh -D,ssh -L,ssh -R,一下子就搞糊涂了,所有下决心仔细研究一番。 何谓SSH隧道 隧道是一种把一种络协议封装进另外一种络协议进行传输的技术。这里我们...
解决Windows接收IPSEC(IKE)流量的问题
mengxp的博客
03-02 541
Windows在内核层面处理了IPSEC的ESP报文,导致用户态绑定UDP4500或者RAW SOCKET绑定50(ESP)协议后,无法收到ESP报文(但SPI=0的UDP报文是可以收到的)。 谷歌找了很久解决方案,没有找到,感觉这是一条死路。 OSR帖子中的建议是用创建WFP驱动,在Windows之前拿到报文,并转发 https://community.osr.com/discussion/276938/default-ipsec-stack-dropping-esp-packets 那如果用上了
"CISP络与通信安全:基础知识、设备管理与威胁防范
CISP络与通信安全2020年5月27日星期三的主题为安全基础、络设备安全管理、络中面临的威胁、络设备的安全配置、对络威胁采取的策略、以及IPSec与VPN技术。在第一章中,主要涉及安全基础的模型和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值