ipsec文档配置讲解

最新推荐文章于 2024-04-27 10:41:51 发布
最新推荐文章于 2024-04-27 10:41:51 发布
阅读量2.7k 收藏 13
点赞数 1
分类专栏: 菊厂ipsecvpn 文章标签: 网络 服务器 网络协议 ipsec
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53615122/article/details/121463561
版权

底层通过ospf公网通,,IP地址配置靠设备编号,小学都学过,就不再这里赘述了
纯isecvpn

配置IKE(Internet Key Exchange,因特网密钥交换协议)安全提议

该步骤主要是设置算法保证数据传输的安全,这些算法会形成相应的密钥,如果算法各自管理自己的算法会很麻烦,于是IKE便可以将这些密钥集合统一自动管理。
在这里插入图片描述

1)创建IKE安全提议

[Huawei]ike proposal 1    //创建IKE提议,编号为1
[Huawei-ike-proposal-1]encryption-algorithm aes-cbc-256  //设置加密算法为aes256
[Huawei-ike-proposal-1]authentication-algorithm md5   //设置认证算法为md5
[Huawei-ike-proposal-1]authentication-method pre-share //设置认证方法为预共享密钥
[Huawei-ike-proposal-1]dh group2  //设置dh组

-----配置ike对等体---
[Huawei]ike peer AR5 v1   //创建对等体,对等体名称为“AR5”,用于远端设备,并且只能支持版本1的sa
[Huawei-ike-peer-AR5]pre-shared-key simple huawei  //设置预共享密钥明文格式的“huawei”  两端密钥要相同
[Huawei-ike-peer-AR5]ike-proposal 1  //应用前面创建的ike安全提议
[Huawei-ike-peer-AR5]remote-address 10.1.34.5  //设置建立vpn的远端设备地址

对端设备跟上面差不多,要注意的就是明确对等体名称和建立vpn的远端地址
#
ike proposal 1
 encryption-algorithm aes-cbc-256
 dh group2
 authentication-algorithm md5
#
ike peer AR4 v1
 pre-shared-key simple huawei
 ike-proposal 1
 remote-address 10.1.14.4
#

配置acl,用于访问控制,匹配在隧道中可以传输的流量

R5
acl number 3000  
 rule 5 permit ip source 10.1.57.0 0.0.0.255 destination 10.1.46.0 0.0.0.255 
 
R4
acl number 3000  
 rule 5 permit ip source 10.1.46.0 0.0.0.255 destination 10.1.57.0 0.0.0.255

配置安全提议

ipsec proposal 1     //创建ipsec安全提议,名称为1
 esp authentication-algorithm sha1  //认证算法为sha1
 esp encryption-algorithm aes-256  //加密算法为aes256
 transform esp    //指定用于转换数据包的安全协议为esp
 
 对端配置一样,这里就不重复粘贴

配置ipsec安全策略

[Huawei]ipsec policy yanfa 1 isakmp
[Huawei-ipsec-policy-isakmp-yanfa-1]security acl 3000
[Huawei-ipsec-policy-isakmp-yanfa-1]proposal 1
[Huawei-ipsec-policy-isakmp-yanfa-1]ike-peer AR5
#
对端的
ipsec policy yanfa 1 isakmp  //创建ipsec策略,名称”yanfa“ 序列号为1 安全连接和密钥管理协议为isa
 security acl 3000   /应用acl3000
 ike-peer AR4  //应用名为AR4	的对等体
 proposal 1  //应用前面创建的ike安全提议

在接口应用ipsec安全策略

[Huawei-GigabitEthernet0/0/0]ipsec policy yanfa

对端
[Huawei-GigabitEthernet0/0/1]ipsec policy yanfa

调试一下,因为私网要有到公网的默认路由两边各仍一条到公网
[Huawei]ip route-static 0.0.0.0 0 10.1.34.3

对端
[Huawei]ip route-static 0.0.0.0 0 10.1.14.1

这样符合真实生产场景,接入公网路由器,只有一条到公网的默认路由

验证ping通,报文封装esp头部加密报文,只看见公网ip

<Huawei>ping -a 10.1.46.254 10.1.57.1
  PING 10.1.57.1: 56  data bytes, press CTRL_C to break
    Reply from 10.1.57.1: bytes=56 Sequence=1 ttl=255 time=50 ms
    Reply from 10.1.57.1: bytes=56 Sequence=2 ttl=255 time=40 ms
    Reply from 10.1.57.1: bytes=56 Sequence=3 ttl=255 time=50 ms
    Reply from 10.1.57.1: bytes=56 Sequence=4 ttl=255 time=60 ms
    Reply from 10.1.57.1: bytes=56 Sequence=5 ttl=255 time=60 ms

R4ping对端私网不通,因为未封装,不知道私网路由,封装了,用公网头部代替,才能ping通
[R4]ping -v 10.1.57.1
  PING 10.1.57.1: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out
    Request time out
    Request time out
    Request time out

```![在这里插入图片描述](https://img-blog.csdnimg.cn/0ecfbe21347b469aba8ff49c110549a5.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA6aOO6aOO5ZC2,size_20,color_FFFFFF,t_70,g_se,x_16)
客户端ping服务器,成功,公网抓包,显示esp封装,看不见私网头部

![在这里插入图片描述](https://img-blog.csdnimg.cn/9ac9b3b62e99449e922e6ec1ee78ede1.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA6aOO6aOO5ZC2,size_20,color_FFFFFF,t_70,g_se,x_16)
风风吶
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
配置ipsec步骤详解
12-10
IPSec(IP Security)是 IETF为保证在Internet上传送数据的安全保密性,而制定的框架协议 应用在网络层,保护和认证用IP数据包 是开放的框架式协议,各算法之间相互独立 提供了信息的机密性、数据的完整性、用户的验证和防重放保护 支持隧道模式和传输模式
Linux 内核IPSec(xfrm)协议栈源码分析
06-21
文档从源码分析上入手分析了linux 内核收发数据包流程,内核路由查询流程。很清楚的分析了一个数据包如何通过查询路由进入内核ipsec协议栈的处理、Linux 内核ipsec协议栈详细的加解密流程以及加解密完后如何将数据包发送出去。 文档中前半部分主要介绍一些关键的数据结构,及其相互之间的关系。后半部分介绍了各个函数的调用层级关系。文档主要以ipsec 隧道模式下的ESP协议为例来分析。文档中关键部分的源码都标有中文注释。
IPSec:IKEv2协议详解
hhd1988的专栏
05-17 6845
IKEv2介绍: 定义在RFC4306 ,更新与 RFC 5996. 不兼容IKEv1,IKEv1不支持认证,IKEv2支持认证,EAP。 支持NAT穿越。 IKEv2支持私密性、完整性、源认证。 工作在UDP 的 500 /4500端口。NAT-T用的是UDP4500端口。 IKE的安全机制: 身份认证 确认通信算双方的身份(对等体的IP地址或者名称),包括: 预共享密钥PSK(pre-shared key)认证。 数字签名RSA(rsa-signature)认证。
IPsec 图解指南
maimang1001的专栏
12-26 177
IPsec 是一套用于保护网络连接的协议套件,但其细节和许多变化很快变得令人不知所措。尤其是在尝试在不同系统之间进行互操作时,会导致不止一个工程师在尝试建立新连接时盲目地调整参数。这个技术提示旨在从底层向上覆盖在 IPv4 环境中使用的底层协议(不包括 IPv6 )。这不是一个部署指南或最佳实践文档 - 我们严格从协议层面向上考虑,而不是从大局观向下考虑。本来这是两篇论文,第二篇涉及密钥交换等,但似乎这不是故意的。不好意思。
详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp
A1_3_9_7的博客
03-13 1239
大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构,除了数据链路层外,TCP/IP的所有协议的数据都是以IP数据报的形式传输的。TCP/IP协议族有两种IP版本:版本4(IPv4)和版本6(IPv6),IPv6是IPv4的后续版本,IPv6简化了IP头,其数据报更加灵活,同时IPv6还增加了对安全性的考虑。
通过对称解密算法AES-256-CBC对文件进行加密解密
编程菜鸟
06-14 2913
以下例子使用对称解密使用的算法为 AES-256-CBC(256位密钥 = 32 bytes Key,通过SHA256计算得到,128位iv=16 bytes IV,通过MD5计算得到),数据采用PKCS#7填充。
加解密算法
求道问术
09-05 5434
需要秘钥,相同秘钥定义:用于加密和解密的秘钥相同。分类:分组密码算法(Block cipher), 流密码算法 (Stream cipher)常用分组密码算法:AES (常用), SM1 (硬件国密), SM4 (国密), DES (淘汰), 3DES (淘汰), IDEA, RC2等常用流密码算法:RC4等加密过程:先将明文分组,再加密每个明文块,最后组合密文块加密过程:1个bit或1个byte的加密解密过程:1个bit或1个byte的解密需要秘钥,一对秘钥。
JAVA实现AES-256-CBC加密算法
就牙白
08-12 4633
看到网上很多说要换jar,注意该问题。 好像jdk1.8.0_162及以后是不需要替换的。 //加密 public String encryyptstr(byte[] iv,String key,String text){ String algorithm = "AES"; String transform = "AES/CBC/PKCS5Padding";// Cipher cipher = null; String result =
华为ensp防火墙ipsec
热门推荐
西北纵队
11-22 1万+
菊厂防火墙ipsecvpn 1)调试设备IP地址,防火墙有些策略限制会导致即使配置了正确的路由,也不能使得公网通,这就需要我们进行调试设备;一个是关于接口的ping服务是否打开,二是关于安全策略是否允许区域间流量流动; 拓扑图的IP地址配置在图上已经标好,按照图示配置即可 地址配好,将会出现一个问题,防火墙的编号最小的接口将不会存在直连路由,哪怕你提前配置了一条往公网的静态默认路由,都不会显示在转发录音表中,这是因为防火墙默认有一个vpn模型在他的g0/0/0接口上,把他undo即可 [FW2-Gigab
思科ipsec配置及trouble shooting详解
Grimm的博客
01-25 6207
拓扑: R2模拟总部出口,R3模拟分支出口,R4,R5分别模拟对于内网设备 目的: 使用ipsec vpn打通两端内网 整体配置思路: 1.建立vpn的前提是隧道两端的公网ip网络可达 2.需要配置第一阶段(DH协商,预共享密钥),第二阶段(感兴趣流,转换集(封装协议,封装模式)触发MAP匹配感兴趣流) 3.调用MAP到出口端口 具体配置: 第一阶段 配置DH协商(第一二个报文交互) crypto isakmp policy 10 encryption aes 256 //加密算法 authenticat
网络的安全配置.pptx
06-10
网络设备安装与调试(神码版) 学习任务1 交换机的端口安全配置 学习任务2 IP访问控制列表配置 学习任务3 路由器Ipsec VPN隧道实现 交换机的端口安全 标准访问控制列表的配置 实现AM功能 扩展访问控制列表的配置 ...
网康NGFW-全系列技术操作文档
07-10
讲解网康NGFW系列的所有技术操作经典配置案例指导文档,在实施现场必备。各种应用环境,功能实现详细的指导。
TCP/IP详解
07-25
17.4.3 IPSec 192 17.5 小结 194 第18章 防火墙 195 18.1 使网络安全 195 18.2 使用防火墙 196 18.2.1 代理服务器 197 18.2.2 报文过滤器 198 18.3 使服务安全 198 18.3.1 电子邮件(SMTP) 198 18.3.2 HTTP:万维网 ...
TCPIP协议详解(4-1)
01-16
据报文 179 17.3.1 串行线路接口协议(SLIP) 179 17.3.2 压缩的SLIP(CSLIP) 180 17.3.3 点到点协议(PPP) 180 17.4 隧道远程访问 184...隧道协议(L2TP) 188 17.4.3 IPSec 192 17.5 小结 194 第18章...
ipsec相关的RFC文档,是所有ipsec人需要知道的
最新发布
funtasty的专栏
04-27 566
IPsec and related standards » 历史记录 » 版本 109。
思科Ipsec配置
weixin_34203832的博客
07-28 546
R1和R3通过ISP构建×××隧道,R1和R3的LAN之间的流量使用预共享密钥方式进行×××加密。第一步:确保R1与R3的网络联通(互相可以Ping通对方的广域网接口)R1:iproute0.0.0.00.0.0.012.1.1.2R3:iproute0.0.0.00.0.0.032.1.1.2第二步:×××阶段一策略配置R1:cryptoisakmpp...
Cisco ASA IPSec配置流程(9.8.2)
jyc131的博客
08-13 6125
Cisco ASA IPSec VPN配置流程(9.8.2) 定义感兴趣流: object-group network remote //创建peer的地址组 network-object 192.168.180.0 255.255.255.0 network-object 192.168.181.0 255.255.255.0 object-group network inside //创建本地的地址组 network-object 10.5.1.0 255.255.255.0 netw
IPsec文档
weixin_43171033的博客
04-28 431
IPsec包含三个功能领域:认证、保密和密钥管理。这个是IPsec规范是由数十个RFC文档和IETF草案文档组成的,这使得掌握所有的IETF规范显得非常复杂和困难。 掌握IPsec的最好方法是查阅最新版本的IPsec文档目录,所有的IPsec文档可以划分为如下几类: 1、体系结构 包括IPsec的一般概念、安全需求、定义和机制。当前的规定是RFC4301,Security Architecture for the Internet Protocol。 链接:https://datat...
Windows PC 间实现IPSec通信
qq_44484541的博客
04-10 2287
实验环境:准备两台主机
ipsec pfs配置
09-04
IPsec(Internet Protocol Security)是一种用于在网络通信中提供认证、机密性和完整性的协议。PFS(Perfect Forward Secrecy)是一种...因此,建议参考你所使用设备和软件的文档或联系相关厂商获取更详细的配置指南。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值