【VPN-GRE|IPSEC学习】

最新推荐文章于 2023-12-22 17:45:04 发布
最新推荐文章于 2023-12-22 17:45:04 发布
阅读量286 收藏
点赞数
分类专栏: 数通学习 文章标签: 学习 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44337829/article/details/132927962
版权

VPN学习--GRE|IPSEC

1、GRE-VPN

在这里插入图片描述

一、R1-R2-R3建立OSPF
GRE步骤:
1.建立tunnel隧道
2.添加ip地址
3.配置隧道协议
4.隧道的源地址(公网)
4.隧道的目的地址(公网)
5.配置路由协议让路由从tunnel口出去。

二、Tunnel接双up条件?
1、tunnel口要ip地址
2、Tunnel口配置目的地可达0

R2:
interface Tunnel0/0/1
ip address 192.168.3.2 255.255.255.0
tunnel-protocol gre
source 192.168.12.2
destination 192.168.13.3
ip route-static 192.168.2.0 24 tunnel 0/0/1

R3:
interface Tunnel0/0/1
ip address 192.168.3.2 255.255.255.0
tunnel-protocol gre
source 192.168.13.3
destination 192.168.12.2
Ip route-static 192.168.1.0 24 tunnel 0/0/1

2、 IPSEC-VPN

(1)加密算法:
对称加密:加密方和解密方采用同一个秘钥。
非对称加密:加密方通过对端的公钥加密数据;解密坊通过自己的私钥解密数据。

(2)解密算法:
MD5:哈希输入任意长度的消息,产生一个128比特的消息摘要。
SHA

(3)模式
Transport Mode:传输模式,封装时候不会产生新的IP头部
Tunnel Mode:隧道模式,封装的时候产生新的IP头部

(4)SA安全联盟
安全参数索引号SPI:SPI唯一确定SA,一个32bit
手动指定配置、IKE协商产生SA,SPI随机生成。
每个阶段建立安全通道。AH(51),ESP(50)

在这里插入图片描述
在这里插入图片描述

手动/IKE协商(基本上使用后面一种)
手工方式: 安全联盟所需的全部信息都必须手工配置,比较复杂,适合对等体较少或小型静态环境。
IKE动态协商方式:只需要对等体间配置好IKE协商参数,由IKE自动协商来创建和维护SA。相对简单,适合中、大型的动态网络环境中。

(5)工作原理
IKE协调过程:分为两个阶段
1、第一阶段:建立一个IKE SA(也称为ISAKMP SA),为第二阶段的协调提供保护。
IKE SA建立后对等体件的所有ISAKMP消息都被加密,这条安全通道可以保证阶段2的协调能够安全进行
(产生秘钥,保证2阶段的安全性)
两种模式:
主模式:6条ISAKMP消息交互
野蛮模式:3条ISAKMP消息交互
主模式6个报文:
第1、2个报文协商:加密算法、认证算法、认证方式、DH等
第3、4个报文交换DH产生密钥—SKEYID基础密钥、–>SKEYID-a–>SKEYID-e–>SKEYID-d,用于推出ipsec报文加密、验证密钥。
第5、6个报文,验证对端合法性。

第二阶段
目的就是建立用来传输数据的IPsecc SA、IPsec SA是为IP数据提供安全保护的快速模式(Quick Mode)
3条ISAKMP消息交互
第1、2个报文协商加密算法、认证算法、封装协议(ESP、ah、)模式(tunnel、transport)等
第3个报文确认

(6)配置步骤
1、网络可达性(公网通、内网通)
2配置感兴趣流
3配置第一阶段
4配置第二阶段
5关联感兴趣流+第一阶段+第二阶段(配置安全策略)
6应用安全策略到接口上

第一阶段配置:
ike protocol 10					//协议名称
Encryption-algorithm 3des-cbc		//加密算法	
Authentication-alogrithm md5		//认证算法
Authentication-method pre-share		//认证方式预共享

Ike peer huawei1 v1						
Pre-shared-key simple huawei		//预共享秘钥
Remote-address 12.1.1.2				//对端公网ip
Dis ike proposal					//查看配置信息

第二阶段配置
Ipsec proposal huawei2				//配置第二阶段建立IPSEC SA	
Transform esp	协商:				//用户数据封装协议(ESP|AH)AH只封装不加密、ESP是既封装又加密
Encapsulation-mode tunnel			//配置数据报文是否需要添加新头部(tunnel添加新头部、transport不加新头部)
Esp encryption-algorithm 3des		//用户加密算法
Esp authentication-algorithm md5	//用户认证算法,用户进行完整性校验

配置感兴趣流+第一阶段+第二阶段
Ipsec policy vpn 1 isakmp
Security acl 3000
Ike-peer huawei1
Proposal huawei2

应用到接口上:
Interface gigabitethernet 0/0/0
Ipsec policy vpn

在这里插入图片描述

2.1实验1

在这里插入图片描述
条件:出口能够配置ipsecvpn

匹配感兴趣流
R1:
Acl 3000
Rule permit ip source 192.168.1.1 0 destination 192.168.2.1 0.0.0.255
分部的人去访问总部的某一台服务器。
R3:
Acl 3000
Rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.1 0

第一阶段:第一阶段保护第二阶段数据报文交互安全。

R1:
ike proposal 10 //优先级越小越优先
encryption-algorithm 3des-cbc //加密算法
authentication-algorithm md5 //认证算法
Authentication-method pre-share //认证方式 :预共享
下面是第一阶段的域共享
Ike peer wyt v1
Pre-shared-key simple 12345 //配置预共享密钥
Remote-address 23.1.1.3

R3:
ike proposal 10
encryption-algorithm 3des-cbc
authentication-algorithm md5
Authentication-method pre-share
下面是第一阶段的域共享
Ike peer wyt v1
Pre-shared-key simple 12345
Remote-address 12.1.1.1

第二阶段:

R1
Ipsec proposal wyt2
Encapsulation-mode tunnel
Transform ah 协商:用户数据封装协议(esp|ah)
Esp authentication-algorithm md5

R3:
Ipsec proposal wyt2
Transform ah
Encapsulation-mode tunnel
Ah authentication-algorithm md5

配置感兴趣流+第一阶段+第二阶段 +应用到端口

R1:
Ipsec policy vpn 1 isakmp
Security acl 3000 //关联感兴趣流
Ike-peer wyt //关联第一阶段
Proposal wyt2 //关联第二阶段
Int g0/0/1
Ipsec policy vpn

R3:
Ipsec policy vpn 1 isakmp
Security acl 3000
Ike-peer wyt
Proposal wyt2
Int g0/0/0
Ipsec policy vpn

小白一枚...
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
三十二、VPN技术概述——GRE、IPSec、MPLS vpn
积累
05-12 2407
vpn:virtual private network(虚拟专用网络IPsec两种数据封装方式(两大类6小类):①传输模式、②隧道模式。每种模式(每个大类)又包含三种小模式:a:AH、b:ESP、c:AH+ESP。
GRE VPN
Anything that can make the world better is promising!
06-25 768
GRE VPN
网络精通-GRE-VPN(虚拟专用网)
不定期分享一些自己的学习笔记
10-26 820
网络精通-GRE-VPN
GRE VPN 实验
m0_63645854的博客
04-10 774
GRE VPN实验
19 GRE VPN(理论+实验)
Awinerorloser的博客
09-25 1011
VPN即虚拟专用网,泛指通过VPN技术在公用网络上构建的虚拟专用网络VPN用户在此虚拟网络中传输私网流量,在不改变网络现状的情况下实现安全、可靠的连接。虚拟(Virtual)VPN用户的通信是通过公共网络进行的,而这个公共网络同时也可以被其他非VPN用户使用,VPN用户获得的只是一个逻辑意义上的专网。专有性(Private)VPN网络是专门供VPN用户使用的网络,对于VPN用户,使用VPN与使用传统专网没有区别。VPN能够提供足够的安全保证,确保VPN内部信息不受外部侵扰。
GRE VPN 通用路由封装协议
dz804355207的博客
09-22 506
在封装GRE隧道时,会直接将原始数据的二层直接干掉,使用本地公网接口的二层MAC地址进行发送,当对端进行解封装后,就直接展现了三层数据(类似P2P链路)无关乎二层通讯,因此,通过GRE隧道,即使Tunnel接口的IP地址与对端Tunnel接口的IP地址不在相同网段,也是可以通讯的,也可以建立OSPF邻居和互访以及学习路由;因为,在ping对端设备时,ARP会发送广播FFFF帧,对端收到后判断不是找自己的,则不会做出响应,无法通讯;提供了一种协议的报文封装在另一种协议报文的机制,是一种隧道封装技术;
GRE Over IPSec配置及抓包分析.doc
05-20
GRE Over IPSec配置及抓包分析.doc
天融信防火墙配置GRE Over IPSEC
09-19
天融信防火墙配置GRE Over IPSEC ...此外由于GRE建立的是简单的,不进行加密的VPN隧道,他通过在物理链路中使用ip地址和路由穿越普通网络。所以很常见的方法就是使用IPSec对GRE进行加密,提供数据安全保证。
东南大学网络工程与组网技术实验——GRE OVER IPSEC(VPN+安全)
07-04
此资源包含完整实验报告(加上你的学号姓名即可提交) 组网技术实验对于没有基础的同学真的太难了,没有答案寸步难行啊
华为HCIP-RS学习笔记.rar
09-30
目录: 01-企业网络高级解决方案 02-OSPF 03-路由控制 04-路由策略 05-策略路由 06-路由引入 ...32-GRE VPN 33-PKI公钥基础架构 34-IPSec VPN 35-MAC安全 36-DHCP安全 37-IP安全 38-ARP安全
华为HCIP-RS学习笔记【共38章.rar
09-30
目录:网盘文件永久链接 01-企业网络高级解决方案 02-OSPF 03-路由控制 04-路由策略 05-策略路由 ...32-GRE VPN 33-PKI公钥基础架构 34-IPSec VPN 35-MAC安全 36-DHCP安全 37-IP安全 38-ARP安全
GRE--VPN配置实验(ensp)
weixin_58096579的博客
11-19 6779
如图可知,PC1从(192.168.12.1)左边的gre隧道的接口通过,访问192.168.2.197。图中标蓝的就是前面配置的gre隧道,其中设置的关键字key,且key的值为1b207就是前面设置‘111111’的十六进制。l192.168.1.0/24和192.168.2.0/24网段借助于在FW1和FW2上配置GRE-VPN的形式。AR1为两个网段的默认路由,AR1上的loo0为模拟外网。3.掌握防火墙安全区域的划分及安全策略的配置。如图,从PC1->PC2可以ping通。
写作练手-GRE VPN配置实验
aaheguosong的博客
05-06 562
如图,AR1和AR3分别为总公司和分部的两台出口路由器,总公司和分部内网IP地址分别为:192.168.10.0 24和192.168.20.0 24.1.总公司和分部可以实现内部网络间的相互通信.2.内网的192.168.10.1 和 192.168.20.1可以访问公网IP地址 1.1.1.1先实现比较简单总公司和分部都可以访问公网IP 1.1.1.1。
GRE vpn 的配置
weixin_74777052的博客
06-01 1057
关于GRE的配置过程
【HCIA】GREVPN基础
走马
06-03 163
拓扑图配置过程及原理配置命令DIS THIS。
做GRE VPN 的前提
asl404的博客
02-08 1661
1.我们的公司有一个固定的共有IP 2.另一家公司也有一个固定的共有IP 通过VPN逻辑上把两家公司直接连一块,连成一个新的网段。 左边的网段和右边的网段把路由做通以后,最后就可以通了。 ...
GREVPN讲解实例
weixin_44675999的博客
09-21 1099
GREvpn 基于IP地址 ip用协议号47标识GRE头 GRE是一种封装方法,在任意一种网络协议上传输任意一种其它网络协议的封装方法 优点: 最普遍的ip网络作为承载网络 支持多种协议 支持组播和动态路由协议 配置简单 部署容易 缺点 点到点隧道 静态配置隧道参数 部署复杂连接关系时代价巨大 缺乏安全性—不提供加密 不能分隔地址空间 |------------------ tunnel--------------|- Ip私网1----E0/0 MSRA s0/0-----
IPSec 与 GRE 共存介绍【基于CA数字认证建立TUNNEL】
m0_63152656的博客
10-17 518
eNsp下实现IPSec VPN 使用数字认证方式,并且用GRE和IPSec VPN联动,然后实验内包含自己制作和上传和安装证书的过程
VPN理论入门及GRE、L2TP、IPsec(HCIP)
最新发布
qq_45022073的博客
12-22 1972
IPsec(Internet Protocol Security,因特网协议安全协议)是ETF制定的一组开放的网络安全协议(标准,厂商共同支持)。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合。数据来源验证:接收方验证发送方身份是否合法(带ID)。数据加密:发送方对数据进行加密,以密文的形式在开放网络上传送,接收方对接收的加密数据进行解密后处理或直接转发(第一阶段5、6包秘钥加密)。数据完整性:接收方对接收的数据进行验证,以判定报文是否被算改(带秘钥的哈希)。
华三IPsec over GRE VPN 实验
04-29
华三IPsec over GRE VPN 实验可以分为以下几个步骤: 1. 配置GRE隧道:在两个VPN网关设备上分别配置GRE隧道,并配置隧道IP地址和隧道端点地址。 2. 配置IPSec加密:在两个VPN网关设备上分别配置IPSec加密,包括设置加密协议、加密算法、预共享密钥等参数。 3. 配置路由:在两个VPN网关设备上配置路由,将隧道IP地址和隧道端点地址加入路由表。 4. 测试连接:通过ping命令或其他网络工具测试IPSec over GRE VPN连接是否可用。 下面是一个具体的实验步骤: 1. 在两个华三VPN网关设备上分别配置隧道IP地址和隧道端点地址,比如设备A上配置隧道IP地址为10.1.1.1,隧道端点地址为192.168.1.1;设备B上配置隧道IP地址为10.1.1.2,隧道端点地址为192.168.1.2。 2. 在两个华三VPN网关设备上配置IPSec加密,比如设置加密协议为ESP,加密算法为AES,预共享密钥为123456。 3. 在设备A上配置路由,将隧道IP地址和隧道端点地址加入路由表: ``` ip route 192.168.1.0/24 10.1.1.2 ip route 10.1.1.2/32 10.1.1.1 ``` 在设备B上也配置类似的路由。 4. 测试连接,可以在设备A上ping设备B的隧道端点地址192.168.1.2,也可以在设备B上ping设备A的隧道端点地址192.168.1.1。 如果连接正常,就可以进行数据传输了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值