IPsec加密隧道基础配置

已于 2022-03-18 10:15:20 修改
阅读量2.6k 收藏 15
点赞数 2
分类专栏: 网络配置 文章标签: 网络
于 2021-08-05 19:45:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53095382/article/details/119425004
版权

IPsec:

英语:Internet Protocol Security,缩写为IPsec),是一个协议包,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。

IPsec主要由以下协议组成:

认证头(AH)IP数据报提供无连接数据完整性消息认证以及防重放攻击保护

封装安全载荷(ESP),提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow)机密性;

安全关联(SA),提供算法和数据包,提供AH、ESP操作所需的参数。

密钥协议(IKE),提供对称密码的钥匙的生存和交换。

采用如下思路配置采用手工方式建立IPSec隧道

配置接口的IP地址和到对端的静态路由,保证两端路由可达。
配置ACL,以定义需要IPSec保护的数据流。
配置IPSec安全提议,定义IPSec的保护方法。
配置安全策略,并引用ACL和IPSec安全提议,确定对何种数据流采取何种保护方法。
在接口上应用安全策略组,使接口具有IPSec的保护功能。

配置IP地址

R1

 R2

 R3

 配置RIP或者静态路由、OSPF

R1

 R2

 R3

 配置ACL

配置规则

R1

R2

 

创建IPSec安全提议

R1

 R2

 查看一下

 配置手工方式安全策略

R1

 R2

配置远程隧道和本地隧道

 sa 出站和进站设置为esp

 sa字符串键入站和出站设置

 查看一下

 接口上引用安全策略组

R1

R2

 验证配置是否成功

 抓一下包

 成功加密源地址和目的地址!

Ch33syNai1a0
关注
  • 2
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
IPSec隧道
Fsy-LLing的博客
08-18 9047
谈到IPSec 隧道还得回顾一下隧道基础概念(当然我们平时爬出去所用的也是这个)。 隧道全称:专用虚拟网,依靠ISP和NSP在公共基础网络(也就是互联网)上构建的安全通信网络,这条专线是逻辑上的,并不是物理的。 专用:可以根据客户的需求定制符合自身需求的网络 虚拟:用户不需要拥有实际的长途数据线路,直接在公共基础网络基础上构建的。 那么为什么这么多种类的,比如GRE,L2TP等,要大力推举IPSec呢。比如说Gre的不支持用户的身份认证(第一道门都没有,如果黑客进入,连验证都不需要了),只会对数据进行简
IPSEC:新一代因特网安全标准
03-04
它使用公钥基础设施(PKI)或预共享密钥来协商对称密钥,这些密钥用于加密和解密IPSEC的数据流。 2. **ESP(Encapsulating Security Payload)**:ESP提供了数据的机密性和完整性保护。它将原始IP数据包封装在一个...
IPSec 隧道技术--基础实验配置
热门推荐
正月十六工作室
04-26 2万+
IPSec VPN基础实验配置 IPSec 简介 (Internet Protocol Security)是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。 # IPSec架构 IPSec VPN体系结构主要由AH(Authentication Header)、ESP(Encapsulating Security Payload)和IK.
IPsec 实操配置(隧道模式)
weixin_62248541的博客
04-16 1万+
文章目录 目录 文章目录 前言 一、实验环境 二、实验步骤 1.配置全网可达 2.配置ACL识别兴趣流 3.配置安全提议 进入AR1和AR3分别配置安全提议(AR1与AR3需做相同的配置) 4.创建安全策略 分别在AR1和AR3上创建安全策略,在安全策略中就可以调用之前所配置的acl和安全提议(均选择手工配置配置SA(安全联盟),实现IPsec对等体之间相关安全参数的协商 配置共享认证密钥 5.应用安全策略 6.抓包验证(Wireshark) 总结 前言 我的第.
【All In One】一文详解IPsec隧道
最新发布
诗酒趁年华
04-29 781
IPsec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,用于在不安全的网络上(一般是互联网),建立安全的网络通信,一个很常见的场景就是,我们可以通过IPsec隧道将分公司和总部的内网连接起来,使分支的员工安全的访问总部的资源,按照传统的做法,公司需要租用运营商的专线,专门拉一条网线将总部和分公司组网,虽然更安全,体验更好,但这个价格也灰常的恐怖。当没有感兴趣的流量时,那么隧道最终被会被拆除,只有下次系统检测到感兴趣的流量来临时,隧道才会重新建立。
从零实现加密隧道(四):隧道穿透原理详解
cccccccj
03-21 3726
一、原理 项目地址为:https://github.com/ccccj/Socks5Server 不是网络之类的专业,所以了解的不太清楚,仅自己的理解。 学网络的时候我们知道,若两个节点之间不支持 IPv6,比如3号节点与4号节点之间不支持,就需要在3号的前一个节点(2号),将整个 IPv6 的数据包,封装一层 IPv4 的头部,原本的头部+数据,全部变成新的数据。而在4号节点的后一个节点(5号),解封装 IPv4 的头部,将其重新变为 IPv6 数据包。 这一段通道,我们称之为隧道。按我的理解
IPSEC 加密算法详解
weixin_44383922的博客
08-23 8909
一.加密技术的分类 1.1 块加密Block Cipher (对称秘钥算法) 将明文分成固定长度的块(不足的bit 用0补足), 逐块加密. 算法不同, 分块大小不相同 密文长度一般稍长于原文长度(填充部分) 1.2 流加密Stream Cipher (对称秘钥算法) 逐bit 加密 密文长度与原文长度一致 1.3 理想的加密算法: 能够抵御密码学攻击(破译密码) 秘钥长度可变或者够长, 可扩展(便于管理) 具有雪崩效应(明文有一点不同, 则密文就完全不同, 无法还原) 没有进出口政策限制(通用性足够好,
Linux 内核IPSec(xfrm)协议栈源码分析
06-21
在Linux内核中,IPSec(Internet Protocol Security)是一种网络安全协议,用于在IP层提供安全服务,包括加密和完整性保护。它基于XFRM(eXtensible Framework for Security Policies and Mechanisms)框架,用于...
IP隧道技术
09-02
隧道的两个端点必须同意创建隧道并协商隧道各种配置变量,如地址分配,加密或压缩等参数。绝大多数情况下,通过隧道传输的数据都使用基于数据报的协议发送。隧道维护协议被用来作为管理隧道的机制。 隧道协议和基本...
深信服最新内部培训资料IPSEC设备
12-02
1. IPSec基础概念 IPSec是一种基于IP层的安全协议,由IETF(Internet Engineering Task Force)制定,旨在提供端到端的安全服务。它包括两种工作模式:传输模式和隧道模式,以及两种主要协议:AH(Authentication ...
3000 IPsec IPsec的安全组件和PKI公共密钥基础架构.pptx
10-08
ESP协议在IP数据包的基础上添加额外的封装,实现数据的加密和认证,其协议号为50。AH协议则仅提供认证和完整性保护,但不包含加密功能,协议号为51。ESP常用于传输模式和隧道模式,其中隧道模式适用于站点间的安全...
网络安全之IPSEC路由基本配置
qq_57289939的博客
05-06 3414
R1]display ipsec proposal --- 查询配置IPSEC
锐捷网络—VPN功能—IPSEC 扩展配置IPSec 隧道自动连接配置(autoup)
君逍遥o
09-08 392
一般情况下ipsec隧道是由数据流触发后再协商建立的,配置隧道自动连接功能(autoup)后,隧道ipsec模块内部自行触发,只要完成IPSEC配置后,不管是否有数据流触发,设备自动发起IPSEC协商。
加密流量协议(1)--IPSec协议介绍
zx113187的博客
04-01 1707
互联网安全协议(Internet Protocol Security,IPSec)是一种网络层安全协议,主要用于保护IP通信的机密性、完整性以及身份验证。它是一种公认的安全协议,广泛应用于加密通信与其他安全网络连接中,如Cisco VPN、Microsoft DirectAccess等网络服务都是采用的IPsec协议。报文首部认证协议(AH)提供数据完整性校验和身份认证功能,还可以防止重放攻击(Replay Attacks)。封装安全荷载协议(ESP)
ipsec 加密流程(一):ipsec策略匹配
遇见你是我最美丽的意外
11-22 8753
《openswan》专栏系列文章主要是记录openswan源码学习过程中的笔记。 Author: Toney Email: vip_13031075266@163.com Date: 2020.11.22 Copyright: 未经同意不得转载!!! Version:2.6.51.5 Reference:https://download.openswan.org/openswan/ 1. ipsec策略匹配流程(ipsec_tunnel_start_xmit) 注:open...
IPsec中传输模式与隧道模式中的点到点和端到端本质区别
qq_47529104的博客
05-01 3346
拿这个图来说吧,端到端指的是FW或者路由器这类VPN网关之间创建的IPsec隧道,主要用于保护网关背后的局域网而创建出来的隧道,且这类网络场景中主要使用的是隧道模式,其原因不言而喻,主要就是因为FW需要保护内部网络,分支与总部之间如果需要通信,它们的数据报文都需要打上额外的IP首部,这个IP首部是由VPN网关来决定的,新的IP首部的目的地址就是VPN网关对外开放的IP地址,也正是因为新的IP首部的目的地址是VPN网关对外开放的公网接口,VPN网关才能接收这个IPsec的相关报文进行解封解密的操作,然后才..
如何应对利用加密隧道发起的网络攻击?
网络安全
01-19 568
现代企业面临了诸多挑战,使他们无法大规模扫描所有的SSL/TLS流量,从而导致许多攻击可以在不被发现的情况下通过。为了加强加密隧道中的数字安全防御能力,企业应该首先了解攻击者会如何利用加密隧道发起攻击,以下总结了攻击者恶意利用加密隧道的常见类型。
IPSec详解
Anakin01的博客
05-25 7883
与AH不同的是,ESP将数据中的有效载荷进行加密后再封装到数据包中,以保证数据的机密性,但ESP没有对IP头的内容进行保护。ESP协议验证报文的完整性检查部分包括ESP头、原IP头、传输层协议头、数据和ESP报尾,但不包括新IP头,因此ESP协议无法保证新IP头的安全。ESP协议验证报文的完整性检查部分包括ESP头、传输层协议头、数据和ESP报尾,但不包括IP头,因此ESP协议无法保证IP头的安全。明文数据----------同样的散列算法(MD5算法)---------算出散列值2(67890)
网络安全 Day28-运维安全项目-加密隧道
m0_73293867的博客
08-09 1248
两点如何传输数据最安全方案1: 专线(成本高)方案2: 硬件设备3层路由器 , 硬件vpn设备 vpn virtual private network 虚拟专有网络 深信服VPN方案3: 开源软件pptp (不推荐) 使用最简单,不是很稳定,依赖于网络设备的支持.OpenVPN实现用户/运维/开发,访问网站内网.环境准备说明oldboy-baoopenvpn server服务端windows 笔记本openvpn 客户端。
Linux内核 ipsec transport tunnel
07-22
Linux内核支持IPSec协议的传输模式和隧道模式。 1. 传输模式(Transport Mode):在传输模式下,IPSec仅对IP数据报的有效负载进行加密和验证,IP头部不会被修改。这意味着仅数据部分受到保护,IP头部信息不受保护。传输模式常用于主机到主机的通信,例如两台服务器之间的通信。 2. 隧道模式(Tunnel Mode):在隧道模式下,整个IP数据报都会被加密和验证,包括IP头部和有效负载。IPSec会在原始IP数据报的基础上添加一个新的IP头部,新的IP头部中的源地址和目的地址指定了隧道的入口和出口。隧道模式常用于网络网络的通信,例如不同网络之间的通信。 Linux内核提供了StrongSwan和Openswan等软件包来实现IPSec功能。这些软件包提供了用户空间工具和内核模块,用于配置和管理IPSec连接。用户可以使用ip xfrm命令来配置IPSec策略和连接,以及监视和管理IPSec连接的状态。 请注意,以上是关于Linux内核中IPSec传输模式和隧道模式的一般介绍,具体实施和配置可能因不同的Linux发行版和版本而有所差异。建议查阅相关文档或参考特定发行版的文档以获得更详细的配置指导。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ch33syNai1a0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值