H3C设备与Strongswan野蛮模式对接IPsec

最新推荐文章于 2024-07-06 21:29:36 发布
最新推荐文章于 2024-07-06 21:29:36 发布
阅读量2.4k 收藏 3
点赞数 2
文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43089784/article/details/111686063
版权

华三侧主要配置:

ike keychain a //野蛮模式,指的对端地址为0.0.0.0
match local address LoopBack0
pre-shared-key address 0.0.0.0 0.0.0.0 key simple 123 //共享秘钥123,对应centos主机/etc/strongswan/ipsec.secrets下的psk秘钥

ike proposal 1 //对应对应centos主机/etc/strongswan/ipsec.conf下ike3des-sha1-modp1536
encryption-algorithm 3des-cbc
dh group5

ike profile a
keychain a
exchange-mode aggressive //启用野蛮模式,对应centos主机/etc/strongswan/ipsec.conf下aggressive=yes,经测试,H3C设备侧开启主模式也能跟对端野蛮模式对接成功
local-identity fqdn server //本端的FQDN,对应centos主机/etc/strongswan/ipsec.conf下rightid
match remote identity fqdn tj //对端的FQDN,对应centos主机/etc/strongswan/ipsec.conf下leftid
match local address LoopBack0 //本端公网地址,对应centos主机/etc/strongswan/ipsec.conf下right
proposal 1

acl advanced 3347 //感兴趣流,centos主机/etc/strongswan/ipsec.conf下rightsubnet和leftsubnet
rule 0 permit ip source 40.1.1.0 0.0.0.255 destination 10.153.43.0 0.0.0.255

ipsec transform-set 1 //centos主机/etc/strongswan/ipsec.conf下 esp=
esp encryption-algorithm 3des-cbc
esp authentication-algorithm sha1
pfs dh-group5

ipsec policy-template b 40 //必须使用模板方式才能完成对接
transform-set 1
security acl 3347
local-address 1*...*3 //本端公网地址,对应centos主机/etc/strongswan/ipsec.conf下right
ike-profile d
sa duration time-based 28800 //对应centos主机/etc/strongswan/ipsec.conf下lifetime

ipsec policy a 20 isakmp template b

interface Reth1.110
ip address 10.136.93.2 255.255.255.0
ipsec apply policy a //绑定IPsec策略

StrongSwan主要配置:

[root@zx ~]# cat /etc/strongswan/ipsec.conf //配置文件所在路径

config setup
# strictcrlpolicy=yes
# uniqueids = no

conn tj
left=10.153.43.13 //本端私网地址
leftid=tj //本端FQDN
leftsubnet=10.153.43.0/24 //本端业务网段
right=1*...*3 //对端公网地址
rightid=server //对端FQDN
rightsubnet=40.1.1.0/24 //对端业务网段
aggressive=yes //开启野蛮模式
keyexchange=ikev1 //开启ikev1
ike=3des-sha1-modp1536
esp=3des-sha1-modp1536
lifetime=28800s
ikelifetime=86400s
leftauth=psk
rightauth=psk
type=tunnel
auto=start
[root@zx ~]# systemctl restart strongswan //修改完配置文件,需要重启strongswan

[root@zx ~]# cat /etc/strongswan/ipsec.secrets
10.153.43.15 125...*3 : PSK “123”
[root@zx ~]# strongswan up tj sa中断后,需要使用此命令开启ipsec,如下图表示建立成功

在这里插入图片描述
查看IPsec状态及业务测试
在这里插入图片描述
H3C设备侧查看IPsec状态
在这里插入图片描述

weixin_43089784
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
H3C V7 ipsec主:野蛮模式配置脚本.pdf
08-30
H3C V7 ipsec主:野蛮模式配置脚本.pdf
strongSwan对接H3C
衡水铁头哥的博客
07-28 1040
VSR和strongSwan一样的地方:第一阶段的协商模式默认都是主模式,第二阶段默认的加密模式都是ESP,报文封装模式默认都是隧道模式
openwrt18.06.4配置strongswan对接山石网科(hillstone)记录①
u013331811的博客
04-28 5928
首先感谢https://blog.csdn.net/d9394952/article/details/90734469原贴作者 摸索了一个礼拜,将过程记录如下 首先将路由器连上网,更新opkg root@OpenWrt:~# ping www.baidu.com PING www.baidu.com (61.135.169.125): 56 data bytes 64 bytes fro...
查看strongSwan配置IPsec的报文交互过程,捎带测一下转发性能
衡水铁头哥的博客
04-24 939
正文共:888 字 15 图,预估阅读时间:1 分钟通过上篇案例(对比华三设备配置,讲解Linux主机如何配置strongSwan),我们已经初步掌握了如何通过strongSwan配置两台Linux主机之间的IPsec隧道。今天我们再来看一下strongSwan配置IPsec的报文交互过程和转发性能。组网图还是上次的拓扑。首先查看一下在配置完strongSwan之后,还没有建立IPsec SA的状...
strongswan
weixin_33935777的博客
03-31 309
StrongSwan is an open source IPsec-based VPN Solution. It supports both the IKEv1 and IKEv2 key exchange protocols in conjunction with the native NETKEY IPsec stack of the Linux kernel. This tutorial ...
看了一次strongswan ipsec的设置.
塞子 迷糊地....
07-15 1264
测试使用 strongswan与 hillstone防火墙建立ipsec连接
IPSec VPN 基本配置实验(H3C
kerio123的博客
04-15 1540
IPsec VPN指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
五、IPSec开源项目strongSwan
小脑斧的博客
08-15 8297
strongSwan是一套完整的IPsec开源实现方案,用来提供服务端和客户端之间的加密和认证。
strongSwan:软件安装简介
hhd1988的专栏
05-18 7872
在ubuntu20.04上 ,strongSwan安装有两种途径: 1、下载源码编译安装 2、图形界面安装
strongSwan报文交互过程
衡水铁头哥的博客
07-28 1628
Connections可以理解为对等体信息,其中前3行是IKE对等体信息,有本端和对端的身份标识以及认证方式;最后一行child就是IPsec连接,模式为TUNNEL隧道模式,因为IPsec SA是基于IKE SA创建的,所以用child来表示也是比较合理的。...
IPsec野蛮模式出现的原因
qq_47529104的博客
05-02 2849
原因概述 其主要原因是因为在早期IKEv1的相关设备没有实现使用除了IP地址之外的其他标识符去表示一个IPsec隧道的一端,所以这就导致了动态IP地址的IPsec隧道的某一端出现了地址变动之后将无法重新建立IPsec隧道。我们在配置了IPsec的时候,如果没有特定地指定标识符,在报文中发送的identity都是在配置命令中指定的IP地址,这就导致IKEv1的主模式是无法根据它们的标识去找到对应的共享密钥(因为是动态地址,所以地址变换之后先前的配置就无法生效了),但是野蛮模式在早期支持使用除了IP地址的方式
strongswan常用命令解析(二)
jkwanga的博客
11-11 2945
strongswan常用命令解析 0 > ipsec reload //重新加载 ipsec.conf文件 1 > ipsec rereadsecrets //重新加载ipsec.secrets 2 > swanctl --reload-settings //重新加载strongswan.conf 3 > ipsec rereadcacerts //重新加载ca证书 4 > ipsec restart/start/stop //进程控制
使用StrongSwan配置IPSec
热门推荐
Xiaowo
03-22 5万+
使用StrongSwanIPSec进行研究,是一种很好的理解IPSec的实践。然而StrongSwan在使用的过程中实在是有太多的坑,网上的教程也多有不完整的地方,几乎没有能彻彻底底说明白每一步的,导致我在使用StrongSwan的过程中各种抓耳挠腮。程序员自然要造福程序员,在这里特将StrongSwan使用中所遇到的完整步骤记录下来,希望有所帮助。准备工作准备工作可不是简单地装个StrongSw
strongswan简单介绍
kernelfish的专栏
04-13 9911
    strongswanlinux平台下的一款ipsec开源工具,和openswan一样都是基于freeswan项目。不过strongswan更侧重于ikev2协议的实现。ikev2(RFC 4306)是ike的第二个版本,它在安全性和功能上都有很大的增强,简化了协议。   strongswan绝大部分代码是用c实现的,支持klips和netkey两种ipsec方式。在ikev2协议中使
华三IPsec
qq_47529104的博客
06-19 1554
华三ipsec
Strongswan5.3.5与Android5.0.2(小米)野蛮模式的L2TPoverIPsec对接
xingyeping的博客
12-17 3080
野蛮模式需要改一下strongswan的agg的载荷顺序,否则android不认第二条回包 [root@- etc]# cat ipsec.conf # /etc/ipsec.conf - strongSwan IPsec configuration file config setup conn %default ikelifetime=60m keyl
IPSec对NAT网关内部多个连接的支持
redwingz的博客
12-05 1790
以下根据strongswan代码中的testing/tests/ikev2/nat-rw-mark/中的测试环境,在安全连接的两个节点之间存在NAT网关的情况,并且在安全网关上对外部连接的端点地址在访问内部网络之前,执行SNAT操作,适用于外部的分支使用与总部不同网段地址的情况。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟网关moon和sun。 sun网关配置 sun的配置文件:/etc/ip...
strongSwan穿越NAT与公网VSR对接IPsec配置案例
最新发布
衡水铁头哥的博客
07-06 625
正文共:555 字 7 图,预估阅读时间:1 分钟通过上次的案例(配置strongSwanH3C VSR的IPsec对接案例),我们已经掌握了strongSwan和VSR基于IKEv1主模式进行对接的配置方法。有同学提出,实际使用中穿越NAT在所难免,其实这种也好解决,按照前面配置H3C的思路,我们调整对应的配置为野蛮模式+FQDN应该就可以了。本次我们先把VSR作为公网端,strongSwan...
strongswanipsec.conf配置手册
衡水铁头哥的博客
07-09 6445
ipsec.conf是strongSwan的关键配置,文件指定了strongSwan IPsec子系统的大部分配置和控制信息。主要的例外是身份验证的密钥,配置保存在ipsec.secrets文件中。
IPSEC模式野蛮模式配置案例
05-20
IPSec有两种模式:主模式野蛮模式。下面是它们的配置案例。 1. 主模式配置案例: 在主模式中,需要进行两次请求和响应,用于交换密钥和算法信息。以下是一个主模式IPSec VPN的配置案例: 首先,需要配置IKE策略...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值