IPSec 原理与配置手动、自动实例

最新推荐文章于 2024-05-06 19:30:50 发布
最新推荐文章于 2024-05-06 19:30:50 发布
阅读量2.1k 收藏 16
点赞数
分类专栏: 华为设备
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zuopiezia/article/details/107186654
版权


IPSec Internet Protocol Security 作为一种开放标准的安全框架结构,可以用来保证IP数据报文在网络上传输的机密性、完整性和防重放

机密性:对数据进行加密保护,用密文的性质传输数据
完整性:对接收的数据进行认证,以判定报文是否被篡改。
防重放:防止恶意用户通过重复发送捕获到的数据包进行攻击,拒绝接收重复的数据包

IPSec架构:
IPSec 包括AH和ESP这两个安全协议来实现IP数据报文的安全传送。一般用ESP有加密功能
IKE协议:用于自动协商AH和ESP所使用的加密算法进行秘钥协商,建立和维护安全联盟SA等服务

安全联盟SA
安全联盟定义了IPSec对等体间将使用的数据封装模式、认证和加密算法、秘钥等参数;
安全联盟是单向的,两个对等体之间的双向通信、至少需要两个SA.
SA 有一个三元组唯一标识:包括安全参数索引SPI,目的IP地址,安全协议(AH/ESP)
建立SA的方式有两种:
手动方式
IKE动态协商方式


IPSec 协议有两种封装模式:传输模式和隧道模式
传输模式:AH或ESP报头位于IP报头和传输层报头之间
隧道模式:IPSec会另外生成一个新的IP报头,并封装在AH或ESP之前。

IPSec  配置步骤:
1.配置网络可达
2.配置ACL识别兴趣流
3.创建安全提议:定义保护数据流所用的安全协议、认证算法、加密算法和封装模式
4.创建安全策略:手工建立SA策略和IKE协商建立SA的策略
5.应用安全策略


配置实例手动模式

定义
 

加密点:61.128.1.1-->102.100.1.1
通讯点:172.16.1.0/24 -->10.1.1.0/24


AR2 上配置
###配置默认路由

[AR2]ip route-static 0.0.0.0 0 61.128.1.10
[AR2]dis ip routing-table | include 61.128.1.10
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 11       Routes : 11       
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
0.0.0.0/0   Static  60   0          RD   61.128.1.10     GigabitEthernet0/0/1


##配置ACL 和 感兴趣流

[AR2]acl 3000
[AR2-acl-adv-3000]rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 10.1.
1.0 0.0.0.255
[AR2-acl-adv-3000]


##创建安全协议 可以自定义加密算法或者默认设置

[AR2]ipsec proposal transAR2
[AR2-ipsec-proposal-transAR2]di th
[V200R003C00]
#
ipsec proposal transAR2
 esp authentication-algorithm sha2-512
 esp encryption-algorithm aes-256
#
return
[AR2-ipsec-proposal-transAR2]
###查看安全协议
[AR2]dis ipsec proposal
Number of proposals: 1
IPSec proposal name: transAR2                            
 Encapsulation mode: Tunnel                            
 Transform         : esp-new
 ESP protocol      : Authentication SHA2-HMAC-512                             
                     Encryption     AES-256


###创建IPsec sa 阶段

[AR2]ipsec policy AR2-policy 10 manu    
[AR2]ipsec policy AR2-policy 10 manual
[AR2-ipsec-policy-manual-AR2-policy-10]di th
[V200R003C00]
#
ipsec policy AR2-policy 10 manual
 security acl 3000
 proposal transAR2
 tunnel local 61.128.1.1
 tunnel remote 202.100.1.1
 sa spi inbound esp 12345
 sa string-key inbound esp simple huayun
 sa spi outbound esp 54321
 sa string-key outbound esp simple huayun
#
return
[AR2-ip
最低0.47元/天 解锁文章
石兴稳
关注
  • 0
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
配置ipsec步骤详解
12-10
IPSec(IP Security)是 IETF为保证在Internet上传送数据的安全保密性,而制定的框架协议 应用在网络层,保护和认证用IP数据包 是开放的框架式协议,各算法之间相互独立 提供了信息的机密性、数据的完整性、用户的验证和防重放保护 支持隧道模式和传输模式
华为ipsec ike协商配置.rar
04-22
本资源是以ensp模拟器形式搭建的一...总共用了3台路由器,中间一台做充当转发器,其他两台进行ipsec搭建,并配置静态路由指向中间路由器。如需要学习的,可自行下载进行参考。ip什么的,就自己配置吧,我就不多操作了。
手动方式配置IPsec隧道
weixin_33895475的博客
03-28 474
IPSec(IP Security)是IETF 制定的三层隧道加密协议,它为Internet 上传输的数 据提供了高质量的、可互操作的、基于密码学的安全保证。特定的通信方之间在IP 层通过加密与数据源认证等方式,提供了以下的安全服务:
【华为】IPSec VPN手动配置
最新发布
2301_77161465的博客
05-06 875
这个主要是在软考里面会考到,平时项目中用的是IPSec 自动协商的,就是有IKE密钥交换协议在
ipsec手动模式
qq_45309500的博客
04-03 1275
Ipsec手动模式 ipsec一共有两种模式:IKE协商模式和手动模式 手动模式需要自己配置SA的全部参数,加密方式,密钥等,并且更新密钥,加密方式都需要用户手动更新,最重要的是,手工配置期限是永久的 所以,手动模式适用于组网较小的网络拓扑 首先配置需要分为三个部分: 1. 配置acl感兴趣流 2. 配置ipsec proposal 提议 3. 配置ipsec policy 4. 应用在接口 首先是acl acl需要精确匹配到需要走VPN的流量 acl 3000 rule 5 permit ip s
IPSec隧道配置案例(手动模式)
LiBai'S BLOG
04-08 1万+
IPSec VPN配置案例要求拓扑配置基础配置IPSec VPN配置分析原因解决方法IPSec VPNIPSec 核心功能IPSec 技术框架IPSec安全协议IPSec封装模式安全联盟IKE 配置案例 要求 配置IP地址、DHCP、路由、NAT 内网可以访问公网2.2.2.2 配置IPsec VPN PC1能直接访问PC2 抓包验证数据是否加密 拓扑 配置 基础配置 青海分部IP地址、DHCP、NAT、路由 sys sys QH dhcp enable acl 2000 rule permit
商业虚拟专用网络技术六IPSec配置
weixin_42227328的博客
03-29 6338
IPSec VPN的配置需要以下几个步骤: (1)、配置ACL访问控制列表。 (2)、配置安全提议。 (3)、配置安全策略 (4)、在接口组上应用安全策略组
IPSec原理与实践.doc
07-10
4. **IPSec实施**:IPSec可以通过两种主要方式实施:自动和手动。自动IPSec通常依赖于IKE(Internet Key Exchange)协议来动态协商和管理密钥。手动配置则需要详细指定安全策略,包括所使用的安全协议、算法和密钥。...
ipsec原理与实现的学习笔记,自己整理
11-08
ipsec原理与实现的学习笔记,自己整理
IPSec原理与实践.docx
02-03
IPSec原理与实践.docx
ipsec原理总结
03-15
"IPsec 原理总结" IPsec(Internet Protocol Security)是一种广泛使用的网络安全协议,旨在为 IP 网络提供高安全性特性。IPsec 技术原理包括两个主要部分:Authentication Header(AH)协议和 Encapsulated ...
IPsec自动设置工具
05-22
IPsec自动设置工具,深山红叶制作 本安全策略可以开启关闭常见的危险端口,在您未安装防火墙或防火墙配制失效的情况下依然有效
IPsec ×××配置步骤
weixin_33909059的博客
11-26 211
配置LAN-to-LAN ××× (1)在R1上配置IKE(ISAKMP)策略: r1(config)#crypto isakmp policy 1 r1(config-isakmp)#encryption 3des r1(config-isakmp)#hash sha r1(config-isakmp)#authentication pre-share r...
IPsec配置流程华为
qq_47529104的博客
12-15 3082
如果使用GRE over IPsec,那么可以先配置IPsec profile,然后将IPsec profile应用在tunnel口上就好了。
IPSEC原理配置步骤整理(一)
m0_60444349的博客
08-10 6380
3.7 创建自定义服务,对外网放行UDP 500端口(IPSEC中的ike协议采用此端口发起和响应协商),在有NAT穿越的场景下,还要放开4500端口。(1)配置封装协议(有AH、ESP和AH-ESP三种);*******Ike就是用来创建和更新密钥的协议,用于IKE SA的协商,IPsec双方使用协商好的IKE SA去对IPsec SA的协商进行保护。IPSEC封装模式:封装模式是指将AH或ESP相关的字段插入到原始IP报文中,以实现对报文的认证和加密,封装模式有传输模式和隧道模式两种。.........
IPSec配置
A soul tortured by desire
06-19 4621
IPSec主要功能: 给IP报文加密 提供隧道 IPSec可以点到点,也可以点到多点,点到多点建议使用DSVPN IPSes配置 AR1配置 第一步:配置端口IP <Huawei>sys [Huawei]int gi 0/0/1 [Huawei-GigabitEthernet0/0/1]ip addr 192.168.1.1 24 [Huawei-GigabitEthernet0/0/1]int gi 0/0/0 [Huawei-GigabitEthernet0/0/0]ip a
IPsec VPN配置方式
Mario_Ti的博客
03-09 4222
文章详细介绍了IPsec VPN配置方式,有手工方式以及IKE方式,其中IKE方式又有IKEv1、IKEv2以及点对点、点对多点的问题,其中模板方式是一种能够简化配置的方式。
网络安全之IPSEC路由基本配置
qq_57289939的博客
05-06 3422
R1]display ipsec proposal --- 查询配置IPSEC
IPsec 实操配置(隧道模式)
热门推荐
weixin_62248541的博客
04-16 1万+
文章目录 目录 文章目录 前言 一、实验环境 二、实验步骤 1.配置全网可达 2.配置ACL识别兴趣流 3.配置安全提议 进入AR1和AR3分别配置安全提议(AR1与AR3需做相同的配置) 4.创建安全策略 分别在AR1和AR3上创建安全策略,在安全策略中就可以调用之前所配置的acl和安全提议(均选择手工配置配置SA(安全联盟),实现IPsec对等体之间相关安全参数的协商 配置共享认证密钥 5.应用安全策略 6.抓包验证(Wireshark) 总结 前言 我的第.
理解IPsec与IKE:配置与安全机制解析
"IKE的配置任务涉及到创建IKE安全策略、选择加密算法、...在实际网络环境中,正确配置和应用IPsec与IKE是确保安全通信的关键。学习并掌握这些知识,可以帮助网络管理员建立安全的网络环境,防止潜在的网络安全威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

石兴稳

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值