新华三网络教程之ipsce实战IKE配置

最新推荐文章于 2024-03-20 21:37:19 发布
最新推荐文章于 2024-03-20 21:37:19 发布
阅读量2k 收藏 4
点赞数 1
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44255593/article/details/113200785
版权
实验拓扑图

 

配置步骤

(1)配置MSR36-20_1
#配置各接口的IP地址,具体略。
#配置ACL 3101,定义要保护由子网10.1.1.0/24去子网10.1.2.0/24的数据流。

  1. <H3C>系统视图
  2. [H3C] ACL号3101
  3. [H3C-ACL-ADV-3101]规则允许IP源10.1.1.0 0.0.0.255目标10.1.2.0 0.0.0.255
  4. [H3C-ACL-ADV-3101]退出
复制代码

#创建IPsec安全重置lzc。

  1. [H3C] ipsec转换集lzc
复制代码


#配置安全协议对IP报文的封装形式为隧道模式。

  1. [H3C-ipsec-transform-set-lzc]封装模式隧道
复制代码

#配置采用的安全协议为ESP。

  1. [H3C-ipsec-transform-set-lzc]协议esp
复制代码

#配置ESP协议采用的加密算法为128位的AES,认证算法为HMAC-SHA1。

  1. [H3C-ipsec-transform-set-lzc] esp加密算法aes-cbc-128
  2. [H3C-ipsec-transform-set-lzc] esp认证算法sha1
  3. [H3C-ipsec-transform-set-lzc]退出
复制代码

#创建IKE钥匙串,名称为lzc1。

  1. [H3C] ike钥匙扣lzc1
复制代码


#配置与IP地址为2.2.2.1的对端使用的预共享密钥为明文123456TESTplat&!。

  1. [H3C-ike-keychain-lzc1]预共享密钥地址2.2.2.1 255.255.255.0密钥简单123456TESTplat&!
复制代码

[H3C-ike-keychain-lzc1]退出#创建IKEprofile,名称为LZC1。

  1. [H3C] ike个人资料LZC1
复制代码


#指定引用的IKE钥匙串为lzc1。

  1. [H3C-ike-profile-LZC1]钥匙扣lzc1
复制代码

#配置本端的身份信息为IP地址1.1.1.1。

  1. [H3C-ike-profile-LZC1]本地身份地址1.1.1.1
复制代码

#配置匹配对端身份的规则为IP地址2.2.2.1/24。

  1. [H3C-ike-profile-LZC1]匹配远程标识地址2.2.2.1 255.255.255.0
  2. [H3C-ike-profile-LZC1]退出
复制代码

#创建一条IKE协商方式的IPsec安全策略,名称为LZC,顺序号为10。

  1. [H3C] ipsec策略LZC 10 isakmp
复制代码


#配置IPsec隧道的对端IP地址为2.2.2.1。

  1. [H3C-ipsec-policy-isakmp-LZC-10]远程地址2.2.2.1
复制代码

#指定引用ACL 3101。

  1. [H3C-ipsec-policy-isakmp-LZC-10]安全ACL 3101
复制代码

#指定引用的安全预设为lzc。

  1. [H3C-ipsec-policy-isakmp-LZC-10] transform-set lzc#指定引用的IKE配置文件为LZC1。
  2. [H3C-ipsec-policy-isakmp-LZC-10] ike-profile LZC1
  3. [H3C-ipsec-policy-isakmp-LZC-10]退出
复制代码

#在接口GigabitEthernet2 / 1/1上应用IPsec安全策略LZC。

  1. [H3C-GigabitEthernet2 / 1/1] ipsec适用策略LZC
  2. 退出[H3C-GigabitEthernet2 / 1/1]
复制代码

(2)配置MSR36-20_3
#配置各接口的IP地址,具体略。
#配置ACL 3101,定义要保护由子网10.1.2.0/24去往10.1.1.0/24的数据流。

  1. <H3C>系统视图
  2. [H3C] ACL号3101
  3. [H3C-ACL-ADV-3101]规则允许ip源10.1.2.0 0.0.0.255目标10.1.1.0 0.0.0.255
  4. [H3C-ACL-ADV-3101]退出
复制代码

#创建IPsec安全重置lzc。

  1. [H3C] ipsec转换集lzc
复制代码


#配置安全协议对IP报文的封装形式为隧道模式。

  1. [H3C-ipsec-transform-set-lzc]封装模式隧道
复制代码

#配置采用的安全协议为ESP。

  1. [H3C-ipsec-transform-set-lzc]协议esp
复制代码

#配置ESP协议采用的加密算法为128位的AES,认证算法为HMAC-SHA1。

  1. [H3C-ipsec-transform-set-lzc] esp加密算法aes-cbc-128
  2. [H3C-ipsec-transform-set-lzc] esp认证算法sha1
  3. [H3C-ipsec-transform-set-lzc]退出
复制代码

#创建IKEkeychain,名称为lzc1。

  1. [H3C] ike钥匙扣lzc1
复制代码


#配置与IP地址为1.1.1.1的对端使用的预共享密钥为明文123456TESTplat&!。

  1. [H3C-ike-keychain-lzc1]预共享密钥地址1.1.1.1 255.255.255.0密钥simple123456TESTplat&!
复制代码

[H3C-ike-keychain-lzc1]退出#创建IKEprofile,名称为LZC1。

  1. [H3C] ike个人资料LZC1
复制代码


#指定引用的IKE钥匙串为lzc1。

  1. [H3C-ike-profile-LZC1]钥匙扣lzc1
复制代码


#配置本端的身份信息为IP地址2.2.2.1。

  1. [H3C-ike-profile-LZC1]本地身份地址2.2.2.1
复制代码

#配置匹配对端身份的规则为IP地址1.1.1.1/24。

  1. [H3C-ike-profile-LZC1]匹配远程标识地址1.1.1.1 255.255.255.0
  2. [H3C-ike-profile-LZC1]退出
复制代码

#创建一条IKE协商方式的IPsec安全策略,名称为LZC0,顺序号为10。

  1. [H3C] ipsec策略LZC0 10 isakmp
复制代码


#配置IPsec隧道的对端IP地址为1.1.1.1。

  1. [H3C-ipsec-policy-isakmp-LZC0-10]远程地址1.1.1.1
复制代码

#指定引用ACL 3101。

  1. [H3C-ipsec-policy-isakmp-LZC0-10]安全ACL 3101
复制代码

#指定引用的安全预设为lzc。

  1. [H3C-ipsec-policy-isakmp-LZC0-10]变换集lzc
复制代码

#指定引用的IKE配置文件为LZC1。

  1. [H3C-ipsec-policy-isakmp-LZC0-10] ike-profile LZC1
  2. [H3C-ipsec-policy-isakmp-LZC0-10]退出
复制代码

#在接口GigabitEthernet2 / 1/1上应用IPsec安全策略LZC0。

  1. [H3C-GigabitEthernet2 / 1/1] ipsec应用策略LZC0
复制代码
验证配置

MSR36-20_1验证信息

  1. [H3C] dis ipsec sa
  2. -------------------------------
  3. 接口:GigabitEthernet0 / 1
  4. -------------------------------
  5.  
  6.   -----------------------------
  7.   安全策略:LZC
  8.   序列号:10
  9.   模式:ISAKMP
  10.   -----------------------------
  11.     隧道ID:0
  12.     封装方式:隧道
  13.     完善的前向保密性:
  14.     内部VPN:
  15.     扩展序列号启用:N
  16.     通信流机密启用:否
  17.     路径MTU:1428
  18.     隧道:
  19.         本地地址:1.1.1.1
  20.         远程地址:2.2.2.1
  21.     流:
  22.         酸地址:10.1.1.0/255.255.255.0端口:0协议:ip
  23.         目标地址:10.1.2.0/255.255.255.0端口:0协议:ip
  24.  
  25.     [入站ESP SA]
  26.       SPI:2554708496(0x9845c210)
  27.       连接ID:4294967296
  28.       转换集:ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
  29.       SA持续时间(千字节/秒):1843200/3600
  30.       SA剩余持续时间(千字节/秒):1843198/3392
  31.       最大接收序列号:19
  32.       启用防重播检查:是
  33.       防重播窗口大小:64
  34.       用于NAT遍历的UDP封装:N
  35.       状态:有效
  36.  
  37.     [出站ESP SA]
  38.       SPI:328464890(0x1393f9fa)
  39.       连接ID:4294967297
  40.       转换集:ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
  41.       SA持续时间(千字节/秒):1843200/3600
  42.       SA剩余持续时间(千字节/秒):1843198/3392
  43.       最大发送序列号:19
  44.       用于NAT遍历的UDP封装:N
  45.       状态:有效
  46.  
  47. [H3C] dis ike sa
  48.     连接ID远程标志DOI
  49. -------------------------------------------------- ----------------
  50.     1 2.2.2.1 RD IPsec
  51. 标志:
  52. RD--就绪RL--取代FD衰减RK-REKEY
  53.  
  54. [H3C]不同的提案
  55. 优先认证认证加密Diffie-Hellman持续时间
  56.               方法算法算法组(秒)
  57. -------------------------------------------------- --------------------------
  58. 默认的预共享密钥SHA1 DES-CBC组1 86400
复制代码



MSR36-20_3验证信息

  1. [H3C] dis ipsec sa
  2. -------------------------------
  3. 接口:GigabitEthernet0 / 0
  4. -------------------------------
  5.  
  6.   -----------------------------
  7.   安全策略:LZC0
  8.   序列号:10
  9.   模式:ISAKMP
  10.   -----------------------------
  11.     隧道ID:0
  12.     封装方式:隧道
  13.     完善的前向保密性:
  14.     内部VPN:
  15.     扩展序列号启用:N
  16.     通信流机密启用:否
  17.     路径MTU:1428
  18.     隧道:
  19.         本地地址:2.2.2.1
  20.         远端地址:1.1.1.1
  21.     流:
  22.         酸地址:10.1.2.0/255.255.255.0端口:0协议:ip
  23.         目标地址:10.1.1.0/255.255.255.0端口:0协议:ip
  24.  
  25.     [入站ESP SA]
  26.       SPI:328464890(0x1393f9fa)
  27.       连接ID:64424509440
  28.       转换集:ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
  29.       SA持续时间(千字节/秒):1843200/3600
  30.       SA剩余时间(千字节/秒):1843198/2104
  31.       最大接收序列号:19
  32.       启用防重播检查:是
  33.       防重播窗口大小:64
  34.       用于NAT遍历的UDP封装:N
  35.       状态:有效
  36.  
  37.     [出站ESP SA]
  38.       SPI:2554708496(0x9845c210)
  39.       连接ID:4294967297
  40.       转换集:ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
  41.       SA持续时间(千字节/秒):1843200/3600
  42.       SA剩余时间(千字节/秒):1843198/2104
  43.       最大发送序列号:19
  44.       用于NAT遍历的UDP封装:N
  45.       状态:有效
  46.  
  47. [H3C] dis ike sa
  48.     连接ID远程标志DOI
  49. -------------------------------------------------- ----------------
  50.     8 1.1.1.1 RD IPsec
  51. 标志:
  52. RD--就绪RL--取代FD衰减RK-REKEY
  53.  
  54. [H3C]不同的提案
  55. 优先认证认证加密Diffie-Hellman持续时间
  56.               方法算法算法组(秒)
  57. -------------------------------------------------- --------------------------
  58. 默认的预共享密钥SHA1 DES-CBC组1 86400
复制代码

原文出自:林三岁网络安全实验室+

转载请注明出处:https://bbs.linsansui.cn/forum.php?mod=viewthread&tid=25&extra=page%3D1

林三岁网络安全实验室
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
IPSec秘钥管家(IKE配置详解
悦分享
10-09 421
配置繁琐,需要手工配置SA、SPI、密钥;容易出错;不适合长时间使用同一把密钥进行安全数据加密/数据验证,长时间使用同一把密钥存在安全隐患;定期手工更新,比较繁琐;降低手工配置的复杂度;安全联盟定时更新;密钥定时更新;允许在端与端之间动态认证;目前有两个版本IKEv1/IKEv2;动态IPSEC需要使用交互协议,在两个IPSEC边界设备之间自动协商出对应SA,这个交互协议就是IKE。自动协商 (提前配置IKE);定期更换SA/密钥;降低配置繁琐程度;
CISCO GUI ipsec 积极模式示例.pdf
03-02
ipsce 连接
深信服AC&SG;流控配置
04-02
深信服相关硬件学习课件.... AC AF AD SG等资源的相关配置
华为交换机常用display命令
weixin_57417760的博客
03-20 988
dis bgp vpnv4 all routing-table peer 66.1.1.1 advertised-routes #查看通告给邻居66.1.1.1的vpnv4路由。dis temperature all #查看设备温度,各模块当前的温度应该在上下限之间,即“Current”的值在“Lower”和“Upper”之间。dis cpu-usage #查看cpu状态。dis mac-vlan mac-address all #查看基于MAC划分VLAN的配置,同一个端口依不同设备划分不同VLAN。
同台PC上虚拟设备之间组网
菜鸟VS大神的博客
05-10 433
1. 组网需求 如图所示,MSR36-20_1和MSR36-20_2是运行在同一台PC上的两台MSR36类型虚拟设备。要求将MSR36-20_1的GE_0/0与MSR36-20_2的GE_0/0连接在一起,实现两台虚拟设备的组网。 2. 组网图 虚拟设备组网图 3. 配置步骤 (1) 添加设备 在设备选择区点击路由器图标,在弹出的设备类型窗口中拖拽两台MSR36设备到工作台。 (2) 添加连线 右键单击设备MSR36-20_1,在弹出的右键菜单中点击“连线”菜...
华三模拟器(路由器)实现ipsec穿越NAT实验
qq_43590351的博客
11-29 3809
IPSEC VPN 实验拓扑 接口及路由配置省略,R1和R3配置默认路由即可实现公网互通(测试两端公网互通即可开始操作) 接下来主要配置IPSEC VPN,如下配置 R1配置 R1配置 步骤一:在R1上创建感兴趣流,匹配两端私网地址网段 [R1] acl advanced 3500 [R1] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 步骤二:在 R1 上创建IKE提议,配置验证模式为预共
采用IKE方式建立IPsec安全隧道
weixin_33913332的博客
02-17 658
一、【组网和实验环境】 按如上的接口ip先作配置,再作ipsec的相关配置配置文本见文章最后 本文实验采用的交换机是H3C模拟器,下载地址如下:http://forum.h3c.com/forum.php?mod=viewthread&tid=109740&highlight=H3C%E6%A8%A1%E6%8B...
IKE配置命令
weixin_33709219的博客
11-17 1583
IKE配置命令 ike配置命令包括: 1 authentication 2 clear crypto isakmp 3 crypto isakmp enable 4 crypto isakmp key address 5 crypto isakmp policy 6 encryption 7 group ...
***-ike配置
weixin_34159110的博客
12-09 383
*** ike 模式的配置: 分别在路由和防火墙上配置***实现不同网段的通信。 (图1) 通过创建*** 实现不同网段的网络通过广域网使用可以通信。 R3.fw1上分别配置通道 三层交换机上划分vlan ,构造一个不同区域的网络模拟广域网。 配置交换机 Vlan 10 Port e 0/1 Int vlan 10 Ip add...
IPsec典型配置举例 -采用IKE方式建立保护IPv4 报文的IPsec隧道
解不开的未知数
07-13 3915
1-28 采用IKE方式建立保护IPv4 报文的IPsec隧道 1. 组网需求 在 Router A 和 Router B 之间建立一条 IPsec 隧道,对 Host A 所在的子网(10.1.1.0/24)与 Host B所在的子网(10.1.2.0/24)之间的数据流进行安全保护。具体要求如下: • • 封装形式为隧道模式。 • • 安全协议采用 ESP 协议。 • • 加密算法采用 1...
MSR系列路由器IPSEC + IKE功能的配置
weixin_34101784的博客
06-20 708
一、组网需求:RTA和RTB各接一个网段,要求2个网段之间的IP流在RTA和RTB之间用IPSec加密传送设备清单:MSR系列路由器2台二、组网图:三、配置步骤:RTA配置//定义本端的名字Ikelocal-namerta#//定义IKE提议,使用IKE必配ikeproposal1#//定义IKE对等体,IKE必配ikepeerrtb//使用预设口令身份验证pr...
详解:IPSec技术
11-25
IPSec如何工作 在这个部分 IPSec架构 IPSec协议 IPSec进程和交互 IPSec使用的网络端口和协议
ipsec源代码
03-06
ipsec源代码的实现,非常流行的strongswan ikev2,lgplliesecs
IPsec+预共享密钥的IKE野蛮模式
zero_number的博客
10-21 4876
指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务 IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
H3C IPsec多分支经由总部互通
qq_23930765的博客
11-08 1253
这里先配置IKE Keychain,配置与分支之间协商采用的预共享密钥,由于分支设备无公网IP,这里需要采用name的方式,这里配置分支一的name为123,分支的name为234,分支name需要与分支侧设置的一致。#配置安全ACL,匹配感兴趣流,这里的配置非常重要,尽管分支一和分支二之间并不直接建立ipsec,然后还是需要在ACL中对分支一到分支二的内网流量进行匹配,这一点非常重要。#配置IPsec策略,这里采用IPsec策略模板的方式,分别配置对应分支的IPsec安全提议和安全ACL。
H3C IPsec实验
呦菜呦爱玩的博客
07-22 3426
组网需求 1. 按照图示配置 IP 地址 2. 在 R1 和 R3 上配置默认路由连通公网 3. 在 R1 和 R3 上配置 IPsec VPN,使两端私网可以互相访问
【ACL管理与配置(ACL规则编号、通配符、ACL的分类)】(上)-20211214
AZK707的博客
01-29 4622
目录 一、ACL(访问控制列表)技术背景 ACL可以对报文进行精确的匹配识别,仅仅匹配IP流量 二、ACL(访问控制列表) 1.ACL概述 2.ACL的组成 ACL默认隐含的规则:匹配不上的规则,就拒绝 3. 规则编号 ACL逐条匹配,匹配之后,不会继续看下面的规则 所以为了方便以后的添加,ACL的编号缺省步长为5 4.通配符 与0相对应的比特位要一致才能匹配上 5.ACL的分类与标识 1)基于ACL规则定义 2)基于ACL标识 课后习题(通配符) 1)10.1....
H3C IPSec IKE野蛮模式
无心
05-27 2055
这里使用H3C模拟器。H3C IPSec IKE野蛮模式,又称为IKE Main Mode,主要是在第一阶段(Phase 1)的过程中提供身份保护。它主要用于VPN隧道建立过程中的密钥交换。这里创建一个IKE提案描述了阶段1的加密、哈希算法等。分别可以定义远程和本地的IKE提案。这里创建一个IKE对等体,并配置了预共享密钥与对端的远程地址。这里创建了一个IPSec策略模板,引用了IPSec提案和IKE对等体,同时指定一个访问控制列表ACL。在隧道接口上应用IPSec策略。
IPSEC 003 ---- IPSEC携手IKE,珠联璧合显神威
~~ LINUX ~~
09-17 714
密钥管家IKE登场 上回说到手工方式的IPSec VPN帮助天地会解决了总舵和分舵之间秘密通信的问题,但随着分舵数量的增加新的问题又出现了。手工方式下防火墙的加密和验证所使用的密钥都是手工配置的,为了保证IPSec VPN的长期安全,需要经常修改这些密钥。分舵数量越多,密钥的配置和修改工作量越大。随着天地会的壮大,IPSec VPN的维护管理工作越来越让人吃不消了。 为了降低IPSec VPN管...
查看华三防火墙IPSCE提议
最新发布
05-29
华三防火墙IPSCE是一种基于云端的安全解决方案,可以帮助用户有效地应对网络安全威胁。IPSCE提供了实时的威胁情报和威胁预警服务,可以帮助用户快速检测和应对网络攻击。同时,IPSCE还提供了全面的安全策略和安全审计功能,可以帮助用户实现安全合规。如果您想查看IPSCE提议,建议您先了解IPSCE的功能和特点,然后根据自己的需求进行选择和配置

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值