H3C ipsec psk aggressive mode配置

最新推荐文章于 2024-09-27 15:05:25 发布
最新推荐文章于 2024-09-27 15:05:25 发布
阅读量2.2k 收藏 3
点赞数
分类专栏: H3C产品系列 文章标签: ipsec strongswan h3c aggressive
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zdl244/article/details/105302676
版权

H3C ipsec psk aggressive mode配置

目标:配置交换机的ipsec vpn(nat穿越)与公网Centos建立ipsec vpn (详细版本)
-----------------------------------------------------------------------------------------------------------
第1步:配置Centos服务器
[root@myzdl ~]# yum install strongswan -y
[root@myzdl ~]# vim /etc/strongswan/ipsec.conf      #配置文件

config setup
       # strictcrlpolicy=yes
       # uniqueids = no
conn peer-h3c-switch   #将以下代码加入配置文件中
     leftid=@centos
    leftsubnet=172.19.19.0/24,172.20.20.0/24     #centons端内网网段
     right=%any
     rightid=@h3c
    rightsubnet=192.168.30.0/24,192.168.40.0/24    #h3c端内网网段
    
    aggressive=yes
    ike=3des-md5-modp2048     #第一阶段的验证md5加密3des、DH算法modp2048位
    esp=3des-sha1    #第二阶段数据封装加密认证算法
    authby=secret
    auto=start

[root@myzdl ~]# cat /etc/strongswan/strongswan.conf

# strongswan.conf - strongSwan configuration file
#
# Refer to the strongswan.conf(5) manpage for details
#
# Configuration changes should be made in the included files

charon {
load_modular = yes
      i_dont_care_about_security_and_use_aggressive_mode_psk = yes   #加入允许野蛮模式的psk验证
plugins { 
include strongswan.d/charon/*.conf
}
}

include strongswan.d/*.conf

[root@myzdl ~]# vim /etc/strongswan/ipsec.secrets //共享密钥

# ipsec.secrets - strongSwan IPsec secrets file
@centos  @h3c : PSK  "ipsec123456"

[root@myzdl ~]# systemctl start strongswan
----------------------------------------------------------------------------------------服务器配置完毕

第2步:配置H3C交换机(或路由器)
2.1配置第一阶段的ike共享秘钥
[H3C]ike keychain psk           #创建名为psk的共享秘钥:ipsec123456
[H3C-ike-keychain-psk]pre-shared-key address 106.13.6.31 key simple ipsec123456
[H3C-ike-keychain-psk]quit

2.2配置IKE对等体安全提议(第一阶段参数:目标地址、协商模式、共享秘钥等)
[H3C]ike proposal 1           #创建IKE协商
[H3C-ike-proposal-1]authentication-method pre-share           #为IKE指定身份验证方法为共享密钥
[H3C-ike-proposal-1]encryption-algorithm 3des-cbc           #指定IKE的身份加密算法为3des
[H3C-ike-proposal-1]authentication-algorithm md5           #指定IKE的身份验证算法为md5
[H3C-ike-proposal-1]dh group14           #modp2048

[H3C]ike profile file           #IKE协商的配置文件
[H3C-ike-profile-file]proposal 1           #绑定IKE协商号
[H3C-ike-profile-file]exchange-mode aggressive           #野蛮模式
[H3C-ike-profile-file]keychain psk          #指定共享秘钥位置(前面已创建)
[H3C-ike-profile-file]match remote identity address 106.13.6.31           #指定远端对等体的地址
[H3C-ike-profile-file]match remote identity fqdn centos           #指定远端对等体的身份id信息
[H3C-ike-profile-file]local-identity fqdn h3c           #指定本端对等体的身份id信息
[H3C-ike-profile-file]quit

2.3配置第二阶段的安全提议参数(封装模式、封装协议及认证加密算法等)
[H3C]ipsec transform-set proposal           #创建名为proposal的ipsec安全提议
[H3C-ipsec-transform-set-proposal]encapsulation-mode tunnel           #封装模式为隧道模式
[H3C-ipsec-transform-set-proposal]protocol esp           #封装协议采用ESP
[H3C-ipsec-transform-set-proposal]esp authentication-algorithm sha1           #封装协议的验证算法
[H3C-ipsec-transform-set-proposal]esp encryption-algorithm 3des-cbc          #/封装协议的加密算法
[H3C-ipsec-transform-set-proposal]quit

2.4 创建ACL配置第二阶段协商的兴趣流网段
[H3C]acl number 3000
[H3C-acl-ipv4-adv-3000]rule 5 permit ip source 192.168.30.0 0.0.0.255 destination 172.19.19.0 0.0.0.255
[H3C-acl-ipv4-adv-3000]rule 10 permit ip source 192.168.30.0 0.0.0.255 destination 172.20.20.0 0.0.0.255
[H3C-acl-ipv4-adv-3000]rule 15 permit ip source 192.168.40.0 0.0.0.255 destination 172.19.19.0 0.0.0.255
[H3C-acl-ipv4-adv-3000]rule 20 permit ip source 192.168.40.0 0.0.0.255 destination 172.20.20.0 0.0.0.255
[H3C-acl-ipv4-adv-3000]quit

2.5创建ipsec策略综合协商参数:
[H3C]ipsec policy ipsec 1 isakmp
[H3C-ipsec-policy-isakmp-ipsec-1]ike-profile file
[H3C-ipsec-policy-isakmp-ipsec-1]transform-set proposal
[H3C-ipsec-policy-isakmp-ipsec-1]security acl 3000
[H3C-ipsec-policy-isakmp-ipsec-1]remote-address 106.13.6.31
[H3C-ipsec-policy-isakmp-ipsec-1]quit

2.6将配置好的策略匹配上接口:
[H3C]interface Vlan-interface 1
[H3C-Vlan-interface1]ipsec apply policy ipsec           #接口绑定策略
[H3C-Vlan-interface1]quit
-------------------------------------------------------------------------------------------
第3步:因为是野蛮模式所以在交换机上主动建立vpn
[H3C]ping -a 192.168.30.254 172.19.19.19
Ping 172.19.19.19 (172.19.19.19) from 192.168.30.254: 56 data bytes, press CTRL_C to break
Request time out
56 bytes from 172.19.19.19: icmp_seq=1 ttl=64 time=12.328 ms
56 bytes from 172.19.19.19: icmp_seq=2 ttl=64 time=13.255 ms
56 bytes from 172.19.19.19: icmp_seq=3 ttl=64 time=15.459 ms
56 bytes from 172.19.19.19: icmp_seq=4 ttl=64 time=10.924 ms

— Ping statistics for 172.19.19.19 —
5 packet(s) transmitted, 4 packet(s) received, 20.0% packet loss
round-trip min/avg/max/std-dev = 10.924/12.992/15.459/1.649 ms

[H3C]display ike sa
Connection-ID Remote Flag DOI
--------------------------------------------------------------------
14 106.13.6.31 RD IPsec
Flags:
RD–READY RL–REPLACED FD-FADING RK-REKEY

[H3C]display ipsec sa
------------------------------------------------------------------
Interface: Vlan-interface1
------------------------------------------------------------------

-----------------------------------------------------------------
IPsec policy: ipsec
Sequence number: 1
Mode: ISAKMP
----------------------------------------------------------------
Tunnel id: 0
Encapsulation mode: tunnel
Perfect Forward Secrecy:
Inside VPN:
Extended Sequence Numbers enable: N
Traffic Flow Confidentiality enable: N
Path MTU: 1436
Tunnel:
local address: 192.168.1.252
remote address: 106.13.6.31
Flow:
sour addr: 192.168.30.0/255.255.255.0 port: 0 protocol: ip
dest addr: 172.19.19.0/255.255.255.0 port: 0 protocol: ip

[Inbound ESP SAs]
SPI: 1391345111 (0x52ee3dd7)
Connection ID: 124554051588
Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843199/3583
Max received sequence-number: 4
Anti-replay check enable: Y
Anti-replay window size: 64
UDP encapsulation used for NAT traversal: Y
Status: Active

[Outbound ESP SAs]
SPI: 3472567373 (0xcefb2c4d)
Connection ID: 124554051589
Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843199/3583
Max sent sequence-number: 4
UDP encapsulation used for NAT traversal: Y
Status: Active

------------------------------------------------------------------
[root@myzdl ~]# strongswan status
Security Associations (1 up, 0 connecting):
peer-h3c-switch[2]: ESTABLISHED 69 seconds ago, 172.16.0.4[centos]…183.17.63.227[h3c]
peer-h3c-switch{1}: INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: cefb2c4d_i 52ee3dd7_o
peer-h3c-switch{1}: 172.19.19.0/24 === 192.168.30.0/24

zdl244
关注
专栏目录
ipsec(ike野蛮模式)
weixin_34297300的博客
03-29 2029
IPSEC野蛮模式 简介: IKE 的协商模式 在RFC2409(The Internet Key Exchange )中规定,IKE 第一阶段的协商可以采用两种模式:主模式(Main Mode )和野蛮模式(Aggressive Mode )。 主模式被设计成将密钥交换信息与身份、认证信息相分离。这种分离保护了身份信息;交换的身份信息受已生成的 Diffie-Hell...
IPSec ×××中主模式(main mode)和积极模式(aggressive mode)的区别
weixin_34357928的博客
08-27 3470
对于IPsec 中IKE 协商的第一阶段,可以有主模式和积极模式两种协商模式选择,这取决于使用的场合,通常来讲,默认的时候都是用的主模式,如在Cisco设备中使用命令行进行预共享密钥的配置时,如果不指定为aggressive-mode的时候,就默认为主模式。但是不是所有的场合都适合使用主模式,比如对于对端的链接无法使用固定ip地址来确定时(如adsl),只能使用域名来定义,这个时候,主模式就不能用...
H3C ipsec psk main mode配置
zdl244的博客
12-15 1201
ipsec vpn主模式配置 如图,配置RTA和RTB之间的ipsec vpn主模式,实现内网互通,同时代理上网。 接口IP地址及路由配置略。 RTA配置: 1、配置第一阶段的ike对等体及共享秘钥 [RTA]ike keychain psk        #创建名为psk的共享秘钥:ipsec123456 [RTA-ike-k...
华三IPSec配置(野蛮模式)
最新发布
weixin_44519575的博客
09-27 579
华三IPSec配置(野蛮模式)
×××中ipsec--aggressive模式的实现(下)
weixin_33860553的博客
12-14 450
野蛮模式—基于名字的ipsec动态配置 由于网络地址的动态改变,可以使用基于名字的ipsec配置实现虚连接。 说明:由于实验条件有限,Internet有一台华为路由器代...
IPsec的主模式(Main mode)和积极模式(Aggressive mode
weixin_33701294的博客
03-13 1119
主模式和积极模式的信息交换机制不同。 主模式有6条消息要交换,2个一组对称。主模式中,第1、2条信息中,双方交换了一些协商信息,如认证算法(hash)、加密算法、DH组、认证机制等。第3、4条信息中,双方交换了公钥,在交换了公钥之后,就可以根据DH算法生成后续所需的密钥了(SKEYID),其中包括给数据加密的对称密钥。第5、6条消息中交换ID,这个ID就是域名这类信息。...
H3C无线控制器典型配置案例集【COMWARE V7版】.rar
08-29
05-H3C无线控制器MAC认证+PSK认证典型配置举例(V7) 06-H3C无线控制器自动AP典型配置举例(V7) 07-H3C无线控制器WLAN负载均衡典型配置举例(V7) 08-H3C无线控制器WEP加密典型配置举例(V7) 09-H3C无线控制器 WLAN本地...
H3C 无线AP系列产品典型配置案例汇总集【AC+Fit WA】.rar
08-29
H3C AC+Fit AP典型配置案例集 00-前言.docx 01-802.1X Auth-Fail Guest VLAN典型配置举例.docx 02-802.1X热备典型配置举例.doc 03-802.1X认证典型配置举例.docx 04-802.1X与LDAP组合认证典型配置举例.docx 05-802.1X...
07-H3C WA系列WPA2-PSK典型配置举例.doc
06-13
H3C WA系列WPA2-PSK典型配置举例;给予初学参考文献。
H3C无线WX系列配置案例.rar
08-09
02-APDB软件升级功能演示 04-通过WEB页面升级AC版本演示 03-AP自动发现功能演示 06-无线客户端通过PSK认证上线演示 07自动更新AP版本演示 05-无线客户端通过MAC地址认证上线演示 01-无线接入
H3C V7 ipsec主:野蛮模式配置脚本.pdf
08-30
H3C V7 ipsec主:野蛮模式配置脚本.pdf
野蛮模式IPSec的典型组网和配置.pdf
11-12
野蛮模式IPSec的典型组网和配置.pdf
IPSEC主动模式
blakegao的专栏
10-17 2110
IKE 的协商模式 在RFC2409(The Internet Key Exchange )中规定,IKE 第一阶段的协商可以采用两种模式:主模式(Main Mode )和主动模式(Aggressive Mode )。 主模式被设计成将密钥交换信息与身份、认证信息相分离。这种分离保护了身份信息;交换的身份信息受已生成的 Diffie-Hellman共享密钥的保护。但这增加了3
ipsec psk.txt权限为700才能正常运行
opkg list
06-08 380
启动racoon后,/tmp/racoon -d -f /tmp/racoon/racoon.conf -C -l /tmp/ipseclog通过ping 1.1.1.1 -I 3.3.3.3 触在发感兴趣流,在ipseclog打印总是提示建立不了第一阶段,提示读取不了共享秘钥:psk.txt解决办法:chmod 700 psk.txt...
ipsec ***野蛮模式应用
weixin_34049032的博客
03-26 301
IPSEC野蛮模式: 简介: IKE 的协商模式 在RFC2409(The Internet Key Exchange )中规定,IKE 第一阶段的协商可以采用 两种模式:主模式(Main Mode )和野蛮模式(Aggressive Mode )。 主模式被设计成将密钥交换信息与身份、认证信息相分离。这种分离保护了身 份信息;交换的身份信息受已生成的 ...
H3C IPsec VPN 野蛮模式配置
bfq05234214的博客
03-10 2595
野蛮模式配置公网地址固定的一端: 1.配置IKE fqdn2.创建IKE Proposal(提议),配置IKE的加密和验证算法,验证方法3.创建和配置预共享密钥,使用主机名标识对方身份4.创建IKE Profile(档案),配置为野蛮模式,调用前面创建的Proposal和Keychain,指定对端的FQDN5.创建IPsec转换集,配置IPsec的工作模式,封装协议,验证和加密算法6.创建IPsec策略模板,调用前面创建的IKE Profile,IPsec转换集 7.创建IPsec策略,绑定前面创建的模板
IPsec之野蛮模式---H3C设备
weixin_33672109的博客
03-29 1517
IPsec之野蛮模式---H3C设备 案例 FW1 Firewall paceket-filter default permit Firewall zone trust Add interface e0/1 Firewall zone untrust Add interface e 0/4 Interfa...
IPSec VPN 基本配置实验(H3C
kerio123的博客
04-15 3552
IPsec VPN指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zdl244

你的鼓励是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值