华三IPSec配置(野蛮模式)

已于 2024-09-27 15:06:53 修改
阅读量292 收藏 2
点赞数 9
分类专栏: 华三交换路由学习 文章标签: 网络
于 2024-09-27 15:05:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44519575/article/details/142593498
版权

1.防火墙配置IPSec,接口、路由、流量放行、ACL感兴趣流等配置略,见上篇主模式。

(1)配置FW1,FW1作为发起方,与主模式配置的区别在 ike profile 部分。

<FW2>sys
#配置本端名称
[FW1]ike identity fqdn fw1
#配置ike安全提议,认证方式、认证算法、加密算法
[FW1]ike proposal 1
[FW1-ike-proposal-1]authentication-method pre-share
[FW1-ike-proposal-1]authentication-algorithm sha
[FW1-ike-proposal-1]encryption-algorithm 3des-cbc
[FW1-ike-proposal-1]quit
#配置ike keychain ,此处需要指明对端IP地址
[FW1]ike keychain 1
[FW1-ike-keychain-1]pre-shared-key address 55.1.1.2 key simple a123456789
[FW1-ike-keychain-1]quit

#配置ike profile
[FW1]ike profile 1
#配置交换模式为野蛮模式
[FW1-ike-profile-1]exchange-mode aggressive
#配置需匹配的对端名称
[FW1-ike-profile-1]match remote identity fqdn fw2
#引用ike-keychain和安全提议
[FW1-ike-profile-1]keychain 1
[FW1-ike-profile-1]proposal 1
[FW1-ike-profile-1]quit

#配置ipsec安全提议
[FW1]ipsec transform-set 1
[FW1-ipsec-transform-set-1]esp authentication-algorithm sha1
[FW1-ipsec-transform-set-1]esp encryption-algorithm 3des-cbc
[FW1-ipsec-transform-set-1]quit

#配置ipsec策略
[FW1]ipsec policy 1 1 isakmp
#配置对端地址
[FW1-ipsec-policy-isakmp-1-1]remote-address 55.1.1.2
#引用感兴趣流
[FW1-ipsec-policy-isakmp-1-1]security acl 3001
#引用ipsec安全提议
[FW1-ipsec-policy-isakmp-1-1]transform-set 1
#引用ike配置
[FW1-ipsec-policy-isakmp-1-1]ike-profile 1
[FW1-ipsec-policy-isakmp-1-1]quit
#在接口中应用ipsec策略
[FW1]interface gigabitethernet 1/0/1
[FW1-GigabitEthernet1/0/1]ipsec apply policy 1
[FW1-GigabitEthernet1/0/1]quit
[FW1]save force

(2)配置FW2,FW2作为响应方,并不清楚FW1的地址,配置ipsec 策略时,需使用模版。且在ike keychain ike profile 中需使用发起方FW1的fqdn名称。

<FW2>sys
#配置本端名称
[FW2]ike identity fqdn fw2
#配置ike安全提议,认证方式、认证算法、加密算法
[FW2]ike proposal 1
[FW2-ike-proposal-1]authentication-method pre-share
[FW2-ike-proposal-1]authentication-algorithm sha
[FW2-ike-proposal-1]encryption-algorithm 3des-cbc
[FW2-ike-proposal-1]quit
#配置ike keychain ,因野蛮模式下,响应方不清楚对端地址,此处使用对端的fqdn名称
[FW2]ike keychain 1
[FW2-ike-keychain-1]pre-shared-key host fw1 key simple a123456789
[FW2-ike-keychain-1]quit

#配置ike profile
[FW2]ike profile 1
#配置交换模式为野蛮模式
[FW2-ike-profile-1]exchange-mode aggressive
#配置需匹配的对端名称
[FW2-ike-profile-1]match remote identity fqdn fw1
#引用ike-keychain和安全提议
[FW2-ike-profile-1]proposal 1
[FW2-ike-profile-1]keychain 1
[FW2-ike-profile-1]quit

#配置ipsec安全提议
[FW2]ipsec transform-set 1
[FW2-ipsec-transform-set-1]esp authentication-algorithm sha1
[FW2-ipsec-transform-set-1]esp encryption-algorithm 3des-cbc
[FW2-ipsec-transform-set-1]quit

#野蛮模式下,响应方不清楚对端地址,需配置模版
[FW2]ipsec policy-template moban 1
#引用感兴趣流
[FW2-ipsec-policy-template-moban-1]security acl 3001
#引用ipsec安全提议
[FW2-ipsec-policy-template-moban-1]transform-set 1
#引用ike配置
[FW2-ipsec-policy-template-moban-1]ike-profile 1
[FW2-ipsec-policy-template-moban-1]quit

#配置ipsec策略,使用模版
[FW2]ipsec policy 1 1 isakmp template moban

#在接口中应用ipsec策略
[FW2]in gi 1/0/1
[FW2-GigabitEthernet1/0/1]ipsec apply policy 1
[FW2-GigabitEthernet1/0/1]quit
[FW2]save force

2.路由器R1的配置见上篇主模式

3.PC配置略。

4.测试。

此时隧道还未建立,先通过PC2 ping PC1,发现无法连通;通过PC1 ping PC2,可连通,此时再通过PC2 ping PC1,可连通。因FW1为隧道的发起方,FW1知道响应方的地址信息,隧道建立后,PC2 ping PC1时,可通过已建立的隧道完成数据交互。

纠结的学渣
关注
专栏目录
hcl的ipsec野蛮模式配置
qq_44933518的博客
11-30 2561
1.实验拓扑 2.需求 r2作为DHCP server,给r3和r4分配ip 路由器上的环回口地址作为业务地址, 总部分别和分部r3、分部r4建立vpn隧道,采用ipsec vpn的野蛮模式 3.分析 由于R3和R4的ip不是固定的,所以只能使用ipsec野蛮模式,无法使用ipsec的主模式 注:这个实验,我只注重配置IPSec vpn,没有配置NAT,所以 ...
IPsec野蛮模式---H3C设备
weixin_33672109的博客
03-29 1489
IPsec野蛮模式---H3C设备 案例 FW1 Firewall paceket-filter default permit Firewall zone trust Add interface e0/1 Firewall zone untrust Add interface e 0/4 Interfa...
IPSec野蛮模式(案例)
weixin_34365417的博客
03-30 1326
IPSec模式野蛮模式的区别包含如下几点: 1.交换的消息:主模式为6个,野蛮模式为3个。 2.NAT支持:对预共享密钥认证:主模式不支持NAT转换,而野蛮模式支持。而对于证书方式认证:两种模式都能支持。 3.对等体标识:主模式只能采用IP地址方式标识对等体;而野蛮模式可以采用IP地址方式或者Name方式标识对等体。这是由于主模式在交换完3、4消息以后,需要使用预共...
IPSec VPN (二)野蛮模式
weixin_39555693的博客
08-13 906
分部没有固定ip地址,ike 采用野蛮模式,总部采用安全策略模板。
华三IPsec VPN(野蛮模式)(案例)
qq_73757784的博客
07-28 1084
R1-ike-proposal-1]encryption-algorithm 3des-cbc //加密算法3des-cbc(双方一致)之间与LSP相连接;[R1-ike-keychain-1]pre-shared-key hostname R2 key simple 123456 //密码要一致。[R1-ipsec-policy-template-mytem-1]transform-set my //引用ipsec安全提议my。
思科防火墙IPsec配置-野蛮模式方式(基于9.9版本)
xiayu0912的专栏
02-21 1592
思科防火墙ASA配置野蛮模式建立IPse连接
IPsec野蛮模式出现的原因
qq_47529104的博客
05-02 2938
原因概述 其主要原因是因为在早期IKEv1的相关设备没有实现使用除了IP地址之外的其他标识符去表示一个IPsec隧道的一端,所以这就导致了动态IP地址的IPsec隧道的某一端出现了地址变动之后将无法重新建立IPsec隧道。我们在配置IPsec的时候,如果没有特定地指定标识符,在报文中发送的identity都是在配置命令中指定的IP地址,这就导致IKEv1的主模式是无法根据它们的标识去找到对应的共享密钥(因为是动态地址,所以地址变换之后先前的配置就无法生效了),但是野蛮模式在早期支持使用除了IP地址的方式
H3C IPsec VPN 野蛮模式配置
bfq05234214的博客
03-10 2182
野蛮模式配置公网地址固定的一端: 1.配置IKE fqdn2.创建IKE Proposal(提议),配置IKE的加密和验证算法,验证方法3.创建和配置预共享密钥,使用主机名标识对方身份4.创建IKE Profile(档案),配置野蛮模式,调用前面创建的Proposal和Keychain,指定对端的FQDN5.创建IPsec转换集,配置IPsec的工作模式,封装协议,验证和加密算法6.创建IPsec策略模板,调用前面创建的IKE Profile,IPsec转换集 7.创建IPsec策略,绑定前面创建的模板
H3C V7 ipsec主:野蛮模式配置脚本.pdf
08-30
H3C V7 ipsec主:野蛮模式配置脚本.pdf
基于华三HCL的web下H3C防火墙在NAT代理内网上网情景中配置IPsecVPN站点间互联
04-15
HCL配置实验!适用于H3C防火墙配置学习 在防火墙代理内网上网的情境下,完成与分支总部的IPSE互联 具体配置可见实验内文字说明。 防火墙用户名:admin 密码:TEST@123456 实验拓扑中HOST_1用于直连本地网卡 进行...
华三IPsce配置实验分享
08-28
配置IPsec+预共享密钥的IKE主模式野蛮模式‌:‌这是实验的核心任务,‌涉及IPSec VPN的基本设置和安全联盟的建立。‌ ‌实验组网与设备接口IP地址配置‌:‌需要按照实验要求搭建网络拓扑,‌并为各设备接口...
CCIE理论-IPSec的主模式野蛮模式的区别
weixin_48137911的博客
12-01 3552
版本1的IKEV1早期是不支持NAT-T的(NAT穿越),现在都支持了,野蛮模式一直支持。但是野蛮模式,有安全风险,他的身份认证是在第一第二个包里, 而且是明文的!主模式里面,前4个包都是裸奔的,第5个包用来做身份认证,这个是加密的。其实这个不算在数通里面,因为IPsec是安全的技术。这个角度来看,野蛮模式更快,更加节省设备的资源。突然想到这个就写这个了,面试或者考试会问这个。一个是 IKEv1,一个 IKEv2。那么在版本1的阶段1有两个模式。一个叫主模式,一个叫野蛮模式。主模式一共有6个数据包的交互。
IPSec野蛮模式产生原因
沉默的鹏先生
07-01 3610
在学习IPSec的时候发现野蛮模式在传输身份信息的时候是明文传输,就好奇为什么要用野蛮模式而不是主模式,主要原因还是因为IPSec早期的问题导致的。 在IPSec 早期由于主模式+预共享密钥认证方式下,IPSec需要通过对端IP地址来在本地查找预共享密钥,这种密钥查找方法在对端没有固定IP的情况下行不通,此时野蛮模式可以‘野蛮’的解决这个问题。 野蛮模式下身份信息没有加密,本端直接用对端发来的...
IPSec模式野蛮模式的区别
热门推荐
WFlySky的博客
11-24 1万+
ipsec的vpn隧道第一阶段建立方式分为主模式野蛮模式,这两个模式的主要区别在于进行IKE 协商的时候所采用的协商方式不同。 具体区别在于: 1、主模式在IKE协商的时候要经过三个阶段:SA交换、密钥交换、ID交换和验证;野蛮模式只有两个阶段:SA交换和密钥生成、ID交换和验证。 2、主模式一般采用IP地址方式标识对端设备;而野蛮模式可以采用IP地址方式或者域名方式标识对端设备。 因此相比较而言,主模式更安全,而野蛮模式协商速度更快,VPN的两个或多个设备都要设置成相同的模式VPN才能建立成功。 各自适
Linux 再入门整理:详解 /etc/fstab 文件
最新发布
一只奋斗的猪
10-01 650
`/etc/fstab` 文件是 Linux 系统中用于定义和管理文件系统的挂载信息的配置文件。它的作用是告诉系统在启动时,应该如何自动挂载各种文件系统。挂载是 Linux 操作系统中一种将存储设备与目录树关联的操作。通过挂载,存储设备中的文件可以通过目录访问。
MQTT--EMQX入门+MQTTX使用
CJPSR的博客
09-30 914
EMQ X基于 Erlang/OTP 平台开发的MQTT 消息服务器,是开源社区中最流行的 MQTT 消息服务器。EMQ X 是开源百万级分布式。
Linux下send函数和recv函数
威桑的博客
10-01 254
Linux下send和recv
信息安全对抗演习:应对网络威胁的坚实防线
dexun123的博客
09-29 697
演习结束后,需要对整个演习过程进行总结和评估。分析演习中发现的问题和不足并提出改进措施;同时总结经验教训为未来的演习提供参考。
华三 IPSec模式配置
08-16
华三 IPSec模式配置的步骤如下: 1. 首先,在 R1 的公网接口上下发 IPsec 策略。使用命令[R1-GigabitEthernet0/0ipsec apply policy r3来下发策略。 2. 然后,在 R1 上创建 IPsec 策略,调用之前配置的相关参数。使用命令[R1ipsec policy r3 1 isakmp来创建策略,其中包括配置安全 ACL、IKE 配置文件、变换集和远程地址。 3. 最后,在 AR3 上同样进行 IPSec 隧道的配置。进行 ping 测试,然后查看 IKE SA 和 IPSec SA 是否建立成功。 请注意,上述只是华三 IPSec模式配置的简要步骤,具体的命令和配置参数可能会根据实际情况有所不同。在实际操作中,请参考相关设备的官方文档或咨询华三技术支持以获取更详细的配置步骤和指导。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [基于HCL模拟器华三设备IPsec vpn的配置实验](https://blog.csdn.net/WANGMH13/article/details/126103774)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* [H3C配置IPSec(与华为的ipsec对比说明)主模式](https://blog.csdn.net/weixin_45123715/article/details/121203082)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值