小结:ipsec-ike

于 2025-05-01 21:30:04 发布
阅读量782 收藏 15
点赞数 21
分类专栏: HCIA/HCIP 文章标签: vue.js 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44719499/article/details/147655823
版权

IPSec 手动配置与自动配置(IKE动态协商)

手动配置IPSec 逻辑图
开始
手动定义参数
静态SPI值
固定密钥
authentication/encryption-hex
无IKE协商
直接建立SA
流量匹配ACL时加密
通过SPI+密钥加解密
隧道维持至手动删除

关键逻辑:

  1. 无协商过程:所有参数(SPI、密钥)预先静态配置
  2. 对称配置:两端必须镜像设置SPI(入/出方向相反)
  3. 密钥固定:无自动更新机制,安全性较低

自动配置(IKE动态协商)逻辑图

在这里插入图片描述

关键逻辑:

  1. 两阶段协商
    • 阶段1:建立管理通道(IKE SA),使用UDP 500/4500端口
    • 阶段2:建立数据通道(IPSec SA),生成动态SPI和密钥
  2. 动态密钥:支持PFS(完美前向保密),定期更新密钥
  3. 自动恢复:网络中断后自动重新协商

核心区别对比图

在这里插入图片描述

阶段手动配置自动配置(IKE)
参数定义管理员静态指定IKE协议动态协商
密钥管理固定不变定期自动更新
SPI生成手动配置系统自动分配
加密算法预定义两端协商最优算法
适用场景测试/简单环境生产环境/复杂网络
协议依赖仅需ESP/AH依赖IKE(UDP 500+4500)
配置复杂度简单但易错复杂但灵活

手动IPSec 协议交互流程图

总部路由器(R1) 分部路由器(R3) 阶段1:管理员预配置(无协议交互) 人工同步SPI和密钥 配置示例: acl 3001\nrule permit 192.168.10.0→192.168.20.0 ipsec sa manual\n spi inbound=1001 outbound=1002\n hex-key=1234.../5678... 镜像配置\n spi inbound=1002 outbound=1001\n hex-key相同 阶段2:流量触发加密 数据包+ESP头(SPI=1002)\nAES-256加密/SHA-256认证 数据包+ESP头(SPI=1001)\n相同算法解密 总部路由器(R1) 分部路由器(R3)

关键配置指令对应点:

  1. SPI同步

    • R1出方向SPI 1002 = R3入方向SPI 1002
    ! R1配置
ipsec sa manual sa-to-r3 10
 outbound esp spi 1002
! R3配置
ipsec sa manual sa-to-r1 10
 inbound esp spi 1002

  2. 加密过程

    • 出站数据匹配ACL 3001后,使用SPI 1002的密钥加密
    display ipsec sa brief  # 查看加密计数

自动IPSec (IKEv1)协议交互流程图

总部(R1) 分部(R3) 阶段1:IKE SA协商(Main Mode) UDP 500: HDR,SA_i(proposal=10:aes-256/sha2-256) UDP 500: HDR,SA_r(同意proposal 10) KE,Nonce KE,Nonce IDi,Hash(预共享密钥验证) IDr,Hash(验证通过) 阶段2:IPSec SA协商(Quick Mode) HDR*,Hash,SA(proposal:aes-256),Nonce HDR*,Hash,SA(同意),Nonce HDR*,Hash(确认) 动态生成SPI和会话密钥 数据包+ESP头(动态SPI)\nAES-256加密 总部(R1) 分部(R3)

配置指令与协议交互对照:

  1. 阶段1配置

    ! 两端必须匹配的IKE参数
ike proposal 10
 encryption-algorithm aes-256
 authentication-algorithm sha2-256
 dh group14
ike peer R3
 pre-shared-key cipher Huawei@123
 remote-address 23.0.0.3

  2. 阶段2配置

    ipsec proposal tosH
 esp encryption-algorithm aes-256
 esp authentication-algorithm sha2-256
ipsec policy POLICY1 10 isakmp
 ike-peer R3
 proposal tosH

  3. 动态SPI查看

    display ipsec sa  # 输出示例:
SPI: 0x12345678 (动态生成)
Encrypt algorithm: AES-256

关键配置与协议字段映射表

协议字段华为配置指令作用说明
IKE SA_i/SA_rike proposal 10协商加密算法/DH组
KE (Key Exchange)dh group14决定密钥交换强度
Hash Payloadpre-shared-key cipher身份认证凭证
IPSec SPI自动生成(手动配置则固定)唯一标识安全关联
ESP Encryptionesp encryption-algorithm aes-256数据加密算法

  • 现象display ike sa无输出

  • 排查步骤

    1. 检查UDP 500可达性:
      ping -c 1 -p 500 23.0.0.3
    2. 验证提议匹配:
      display ike proposal  # 确认两端aes-256/sha2-256一致

  • 现象display ipsec statistics无计数增长

  • 排查步骤

    1. 检查ACL匹配:
      display acl 3001  # 确认规则命中测试流量
    2. 验证策略应用:
      display ipsec policy  # 查看接口绑定状态

  1. 启用NAT穿透(适用于中间有NAT设备):

    ike peer R3
 nat-traversal enable  # 自动使用UDP 4500封装

  2. 配置PFS增强安全

    ipsec policy POLICY1 10 isakmp
 pfs dh-group14  # 每次重协商使用新DH密钥

  3. 设置SA生存时间

    ipsec policy POLICY1 10 isakmp
 sa duration time-based 86400  # 24小时后自动重协商

示例

[PC1] --- (Ethernet0/0/1) --- [AR1] --- (GE0/0/1: 2.2.2.1/24) --- [AR2 (ISP)] --- (GE0/0/0: 2.2.2.3/24) --- [AR3] --- (Ethernet0/0/1) --- [PC2]
  |                              |                                         |
  | IP: 192.168.10.0/24         | GE0/0/0: 192.168.10.254/24            | GE0/0/0: 192.168.20.254/24           | IP: 192.168.20.0/24
  |                              |                                         |                                       |
[Headquarters]                 [IPSec Tunnel]                       [Shangrao Branch]

一、基础网络配置(R1和R3必须先完成)

R1配置(总部)
sysname R1
# 配置内网接口(连接总部PC)
interface GigabitEthernet0/0/0
 ip address 192.168.10.1 255.255.255.0
 dhcp select interface  # 可选:为PC分配IP
# 配置公网接口(连接ISP)
interface GigabitEthernet0/0/1
 ip address 2.2.2.1 255.255.255.0
# 配置默认路由指向ISP
ip route-static 0.0.0.0 0.0.0.0 2.2.2.2
R3配置(分部)
sysname R3
# 配置内网接口(连接分部PC)
interface GigabitEthernet0/0/0
 ip address 192.168.20.1 255.255.255.0
 dhcp select interface
# 配置公网接口
interface GigabitEthernet0/0/1
 ip address 2.2.2.3 255.255.255.0
# 默认路由
ip route-static 0.0.0.0 0.0.0.0 2.2.2.2

二、手动配置IPSec (静态密钥)

R1配置
# 定义需要加密的流量(总部→分部)
acl number 3000
 rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

# 1. 定义IPSec提案(加密/认证算法)
ipsec proposal a
 esp authentication-algorithm sha2-256  # ESP认证算法(完整性保护)
 esp encryption-algorithm aes-256       # ESP加密算法(数据加密)
 
# 2. 创建手动IPSec策略
ipsec policy a 1 manual            # 策略名HF,序号1,手动模式
 security acl 3000                     # 绑定ACL 3000(定义感兴趣流)
 proposal a                        # 引用上述提案
 tunnel local 12.0.0.1                 # 本端隧道源IP
 tunnel remote 23.0.0.3                # 对端隧道目的IP
 
# 3. 配置安全关联 Security Association(SA)参数
 sa spi inbound esp 12345              # 入方向SPI值(对端出方向需匹配)
 sa string-key inbound esp cipher aaa # 入方向密钥(cipher表示加密存储)
 sa spi outbound esp 54321             # 出方向SPI值(对端入方向需匹配)
 sa string-key outbound esp cipher aaa # 出方向密钥

# 4. 应用到物理接口
interface GigabitEthernet0/0/1          # 公网接口
 ipsec policy a    # 应用名为a  的IPSec策略
R3配置
acl number 3000
 rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
ipsec proposal b
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-256

ipsec policy b 1 manual
 security acl 3000
 proposal b
 tunnel local 23.0.0.3                # 本端IP与R1的remote IP对应
 tunnel remote 12.0.0.1               # 对端IP与R1的local IP对应
 
# 注意SPI和密钥与R1相反!
 sa spi inbound esp 54321             # 对应R1的outbound spi
 sa string-key inbound esp cipher 123456
 sa spi outbound esp 12345            # 对应R1的inbound spi
 sa string-key outbound esp cipher 123456

interface GigabitEthernet0/0/1
 ipsec policy  b

三、自动配置IPSec (IKE动态协商)

R1配置
# 阶段1:IKE提议(加密管理通道)
ike proposal 10
 encryption-algorithm aes-256  # 加密算法
 dh group14                   # 密钥交换组
 authentication-algorithm sha2-256  # 完整性校验
 authentication-method pre-share    # 认证方式
 sa duration 86400000
 
# 阶段1:IKE对等体
ike peer R3
 ike-proposal 10
 pre-shared-key cipher Huawei@123  # 预共享密钥
 remote-address 2.2.2.3           # 对端IP
 
# 阶段2:IPSec提案(加密数据通道)
ipsec proposal r3-prop
 esp encryption-algorithm aes-256  # 数据加密
 esp authentication-algorithm sha2-256  # 数据完整性
 
# 绑定策略
ipsec policy policy-to-r3 10 isakmp
 security acl 3001      # 匹配加密流量
 ike-peer R3            # 引用IKE对等体
 proposal r3-prop       # 引用IPSec提案
 
# 应用到接口
interface GigabitEthernet0/0/1
 ipsec policy policy-to-r3
R3配置
ike proposal 10  # 参数必须与R1完全一致!
 encryption-algorithm aes-256
 dh group14
 authentication-algorithm sha2-256
 authentication-method pre-share
ike peer R1
 ike-proposal 10
 pre-shared-key cipher Huawei@123
 remote-address 2.2.2.1  # 指向R1的IP
ipsec proposal r1-prop
 esp encryption-algorithm aes-256
 esp authentication-algorithm sha2-256
ipsec policy policy-to-r1 10 isakmp
 security acl 3001
 ike-peer R1
 proposal r1-prop
interface GigabitEthernet0/0/1
 ipsec policy policy-to-r1

四、NAT豁免配置(防止IPSec流量被NAT干扰)

R1和R3均需配置
acl number 2000  # 创建NAT豁免ACL
 rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255  # 阻止总部→分部NAT
 rule 10 permit ip  # 允许其他流量NAT
# 应用到公网接口
interface GigabitEthernet0/0/1
 nat outbound 2000

五、验证命令

# 查看IKE SA(阶段1)
display ike sa
# 预期结果:State字段为"RD"(已建立)

# 查看IPSec SA(阶段2)
display ipsec sa brief
# 预期结果:有inbound/outbound ESP记录

# 测试连通性
ping -a 192.168.10.1 192.168.20.1  # 从总部PC ping分部PC

关键问题排查表

现象可能原因解决方法
IKE SA无法建立预共享密钥不匹配/UDP 500被阻断检查密钥/抓包确认UDP 500可达性
IPSec SA无流量ACL未匹配测试流量使用ping -a指定源IP或调整ACL规则
能ping通但数据未加密NAT未豁免流量检查ACL 2000规则和nat outbound绑定
IPSec学习小结
ytj_007的博客
07-13 632
近期学习了IPSec的一些基础知识,在此作个简短的总结。 IPSec是IP层的一套加密协议(包含AH、ESP、IKE协议以及一些加密算法)。之所以会出现IPSec协议,是因为IP网络存在一些安全缺陷,比如IP层报文可以被明文看到、数据可能被篡改、源身份不好验证、可以进行重放攻击等。针对这些问题,IPSec提供了相应的安全服务,包括:机密性、完整性、身份认证、抗重放等服务,概括为两大安全机制:认证...
IKEv2协议协商流程:IKE-SA-INIT 交换)第二包
遇见你是我最美丽的意外
10-13 1万+
IKEv2协议协商流程:IKE-SA-INIT 交换)第二包 1. IKEv2 协商总体框架 IKEv1协议建立一对IPSec SA,使用主动模式需要9个报文,使用野蛮模式需要使用6个报文方能协商成功。IKEv2对IKEv1协议进行了优化,IKEv2只需要进行两次交互,使用 4 条消息就可以完成一个 IKEv2 SA 和一对 IPsec SA 的协商建立。IKEv2 定义了三种交互: 初始交换、 创建子 SA 交换 通知交换。 下图简单介绍一下 IKEv2 协商过程中的初始交换过程,
IPsec中的安全机制小结(待完善)
ZP1015
10-22 670
IPsec和SSL是部署VPN时最常用的两种技术,它们都有加密和验证机制保证用户远程接入的安全性。OSI 定义了网络互连的七层框架:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。,它直接运行在IP(Internet Protocol,互联网协议)之上。而,是一种应用层协议,它加密的是HTTP流量,而不是直接加密IP数据包。IPsec VPN保护的是,通过IPsec VPN可以在主机和主机之间、主机和网络安全网关之间或网络安全网关(如路由器、防火墙)之间建立安全的隧道连接。
H3C防火墙IPSec配置案例(主模式)
仓鼠OO的博客
01-22 1983
H3C防火墙IPSec配置案例(主模式)
H3C防火墙IPSec配置案例(主模式)-web配置
仓鼠OO的博客
02-07 1761
华三防火墙IPSec-web配置案例
GRE over ipsec组网实验
weixin_44256357的博客
06-12 1894
实验理由:在vpn加密的过程中,之所以要建立GRE over IPsec,是因为ipsec是不能抓去组播流量的(如视频流等),需要用到gre封装。IPSec(Internet Protocol Security)是一种由多种协议组成的协议栈,在建立IPSec链接前,会先使用IKE协议来进行密钥的交换和认证,建立安全关联(SA)。GRE(通用路由封装)是一种封装协议,它允许一种协议的报文封装在另一种协议的数据包中,VPN(虚拟专用网络)是一个在公共网络上建立起一个逻辑的、专用的隧道的技术。
IPSEC VPN详解+100%理解(大学生易读版)
热门推荐
qq_74338624的博客
10-26 1万+
还在为ipsec庞大的知识体系苦恼吗,来这,有着最清晰的思路带你梳理解决
网络安全:实验四:IKE实验(Cisco仿真-注意版本号,版本不一致打不开)
2302_78154322的博客
04-17 919
网络安全:实验四:IKE实验(Cisco仿真-注意版本号,版本不一致打不开)
IPSec over GRE 和 GRE over IPSec学习总结
weixin_42421936的博客
11-19 5835
GRE可以与IPSec配合使用,通过建立GRE over IPSec隧道,对路由协议、语音、视频等数据先进性GRE封装,再对封装后的报文进行IPsec处理。 二者配合使用的有点: 提高数据在隧道中的传输安全性; 解决IPSec只能处理单播报文的问题,GRE可以支持组播、广播和非IP报文,先对这些报文进行GRE封装,使其成为普通的单播报文,然后再使用IPSec对其进一步处理; 简化IPSec的配置。由于所有报文都先经过GRE封装再进行IPSec处理,因此只要根据GRE隧道的源、目的地址来定义需要IPS
IPSEC:新一代因特网安全标准
01-06
7.4 小结 81 第三部分 配置问题 第8章 策略 83 8.1 导引 83 8.2 策略定义的要求 84 8.3 策略的表示与分布 85 8.4 策略管理系统 86 8.4.1 内核支持 86 8.4.2 IKE支持 87 8.5 配置 87 8.6 策略的设置 88 第9章 IPSec...
SSH秘钥交换算法演进指南:从Diffie-Hellman到ECDH的详细剖析
!... # 摘要 随着网络安全需求的不断提高,SSH协议作为加密通信的标准之一,其秘钥交换机制的重要性日益凸显。本文首先阐述了SSH协议中秘钥交换的重要性,然后详细介绍了Diffie-Hellman(DH)和椭圆曲线Diffie-Hellman...
网络安全协议及分析 第三章 IP层安全IPSec
m0_60378969的博客
06-25 879
互联网安全关联与密钥管理协议(Internet Security Association and Key Management Protocol,lSAKMP)互联网密钥交换(Internet Key Exchange,IKE
watch 数组 Vue 3
最新发布
qq_30049249的博客
05-01 269
发现在选项式中配置 watch 监听数组不起作用。且在 setup 中监听数组时,当不设置 deep 参数时,也进行了深度监听。在 setup 中使用 watch 监听数组变化。
JavaWeb:vue&axios
IT瘾君子的博客
04-28 433
JavaWeb、vue、axios、Ajax
Vue 中局部指令(directives)的用法详解
jingling555的博客
04-28 414
局部指令适合封装特定组件的功能,而全局指令则更适合应用于整个应用的通用功能。
基于Springboot + vue实现的列书单读书平台
如果回复的的不及时,请见谅。回复不及时请耐心等待。
04-29 406
书单信息管理:管理书单信息,包括新增、查看、修改、删除和查看评论。用户管理:管理系统中所有用户的信息,包括添加、删除和修改用户。后台管理:管理系统配置,包括轮播图和网站介绍的管理。书单信息管理:用户可以新增和查看书单信息。在线书店管理:用户可以查看在线书店信息。本系统包含管理员和用户两个角色。
vue 实现文件流下载功能 前端实现文件流下载
weixin_41346436的博客
04-29 86
【代码】vue 实现文件流下载功能 前端实现文件流下载。
linux 使用nginx部署vue、react项目
好巧的博客
04-28 835
当然,如果你觉得文章有什么让你觉得不合理、或者有更简单的实现方法又或者有理解不来的地方,希望你在看到之后能够在评论里指出来,我会在看到之后尽快的回复你。进入 /usr/local/nginx/conf 目录,找到 nginx.conf 文件,右键选择记事本编辑,修改并保存。在 /usr/local 目录下,新建 nginx 文件夹并进入。所需服务器基础环境,请根据提示进行下载、安装。安装openssl、openssl-devel。安装pcre、pcre-devel。安装zlib、zlib-devel。
Vue3调度器错误解析,完美解决Unhandled error during execution of scheduler flush.
RenGJ010617的博客
04-29 3050
优秀的开发者不是不犯错,而是让错误无处遁形。 解决“Unhandled error during execution of scheduler flush. This is likely a Vue internals bug” 的七种技巧
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值