1.实验拓扑如图

2.需求

  1. 总部和分部通过IPSec VPN连接

  2. 总部和分部都能访问外网

3.需求分析

  1. 这个实验既要实现vpn连接,也要实现外网的连接,则需要写两条acl,分别作为ipsec的感兴趣流和外网流量的匹配

  2. 这个实验的难点在于IPSec VPN的配置,IPSec VPN的配置复杂,而且VPN两边参数不一致,会导致VPN无法建立

4.ipsec配置顺序

  1. 配置ACL感兴趣流
    匹配去往分部私网的流量

  2. 创建ike提议
    在ike提议视图中,可以配置Authentication method、 Authentication algorithm、 Encryption algorithm、DH算法(DH算法是一种公开密钥算法。通信双方在不传送密钥的情况下通过交换一些数据,计算出共享的密钥,在IPSec隧道的两端设置的Diffie-Hellman组必须相同,否则IKE协商不能通过)等参数。这些参数都有默认值,如图

  3. 创建ike对等体
    配置协商模式为主模式/野蛮模式(默认主模式)
    调用ike提议
    设置预共享密钥
    主模式下则配置本端和对端公网地址

  4. 创建ipsec提议
    配置保护协议(默认为ESP)
    配置工作模式(默认为隧道模式)
    配置验证算法
    配置加密算法
    注:以上参数都有默认值,如图

  5. 创建ipsec策略
    调用acl
    指定ike peer
    调用ipsec提议

  6. 应用安全策略
    在公网接口下应用ipsec 策略

5.配置

R1的配置

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.2 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 1.1.1.1 24
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]ip route-static 0.0.0.0 0 1.1.1.2
//创建acl 3000,拒绝IPSec vpn流量,放行其余流量
[Huawei]acl 3000
[Huawei-acl-adv-3000]rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192
.168.2.0 0.0.0.255
[Huawei-acl-adv-3000]rule 5 permit ip
[Huawei-acl-adv-3000]quit
//创建acl 3001,匹配去往分部私网的流量
[Huawei]acl 3001
[Huawei-acl-adv-3001]rule permit ip source 192.168.1.0 0.0.0.255 destination 192
.168.2.0 0.0.0.255
[Huawei-acl-adv-3001]quit
//创建ike提议
[Huawei]ike proposal 1
[Huawei-ike-proposal-1]authentication-method pre-share
[Huawei-ike-proposal-1]authentication-algorithm sha1
[Huawei-ike-proposal-1]encryption-algorithm  des-cbc
[Huawei-ike-proposal-1]dh group14
[Huawei-ike-proposal-1]quit
//创建ike对等体
[Huawei]ike peer to_fen v2
[Huawei-ike-peer-to_fen]ike-proposal 1
[Huawei-ike-peer-to_fen]pre-shared-key cipher 123
[Huawei-ike-peer-to_fen]local-address 1.1.1.1
[Huawei-ike-peer-to_fen]remote-address 1.1.2.3
[Huawei-ike-peer-to_fen]quit
//创建ipsec提议
[Huawei]ipsec proposal 1
[Huawei-ipsec-proposal-1]transform esp
[Huawei-ipsec-proposal-1]esp authentication-algorithm sha2-256
[Huawei-ipsec-proposal-1]esp encryption-algorithm 3des
[Huawei-ipsec-proposal-1]quit
//创建ipsec 策略
[Huawei]ipsec policy to_fen 1 isakmp
[Huawei-ipsec-policy-isakmp-to_fen-1]security acl 3001
[Huawei-ipsec-policy-isakmp-to_fen-1]ike-peer to_fen
[Huawei-ipsec-policy-isakmp-to_fen-1]proposal 1
[Huawei-ipsec-policy-isakmp-to_fen-1]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ipsec policy to_fen
[Huawei-GigabitEthernet0/0/1]nat outbound 3000

R2的配置(R2只需要配好相应的ip即可)

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 1.1.1.2 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 1.1.2.2 24

R3的配置

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 1.1.2.3 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.2.2 24
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]ip route-static 0.0.0.0 0 1.1.2.2
[Huawei]acl 3000
[Huawei-acl-adv-3000]rule 0 deny ip source 192.168.2.0 0.0.0.255 destination  19
2.168.1.0 0.0.0.255
[Huawei-acl-adv-3000]rule 5 permit ip
[Huawei-acl-adv-3000]quit
[Huawei]acl 3001
[Huawei-acl-adv-3001]rule permit ip source  192.168.2.0 0.0.0.255 destination 19
2.168.1.0 0.0.0.255
[Huawei-acl-adv-3001]quit
[Huawei]ike proposal 1
[Huawei-ike-proposal-1]authentication-method pre-share
[Huawei-ike-proposal-1]authentication-algorithm sha1
[Huawei-ike-proposal-1]encryption-algorithm des
[Huawei-ike-proposal-1]encryption-algorithm des-cbc
[Huawei-ike-proposal-1]dh group14
[Huawei-ike-proposal-1]quit
[Huawei]ike peer to_zong v2
[Huawei-ike-peer-to_zong]ike-proposal 1
[Huawei-ike-peer-to_zong]pre-shared-key cipher 123
[Huawei-ike-peer-to_zong]local-address 1.1.2.3
[Huawei-ike-peer-to_zong]remote-address 1.1.1.1
[Huawei-ike-peer-to_zong]quit
[Huawei]ipsec proposal 1
[Huawei-ipsec-proposal-1]transform esp
[Huawei-ipsec-proposal-1]esp authentication-algorithm sha2
[Huawei-ipsec-proposal-1]esp authentication-algorithm sha2-256
[Huawei-ipsec-proposal-1]esp encryption-algorithm 3des
[Huawei-ipsec-proposal-1]quit
[Huawei]ipsec policy to_zong 1 isakmp
[Huawei-ipsec-policy-isakmp-to_zong-1]security acl 3001
[Huawei-ipsec-policy-isakmp-to_zong-1]ike-peer to_zong
[Huawei-ipsec-policy-isakmp-to_zong-1]proposal 1
[Huawei-ipsec-policy-isakmp-to_zong-1]quit
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ipsec policy to_zong
[Huawei-GigabitEthernet0/0/0]nat outbound 3000

6.测试

  1. PC1 ping外网地址
  2. PC2 ping 外网地址
  3. PC1 ping PC2(测试ipsec vpn是否成功建立)
  4. 抓包查看ipsec 数据包

    可以看到,该数据包已经被加密进行传输,esp协议已经对原本的icmp包进行了加密

7.总结

  1. 要想成功建立ipsec,首先要保证两端的外网地址路由可达
  2. 当同时具有vpn配置和nat配置时,nat的优先级高于vpn,所以nat的acl中需要配置拒绝vpn流量。所以该实验中,nat的acl首先是拒绝vpn流量,然后放行其余流量
  3. ipsec不是一个单独的协议,他通过AH和ESP这两个安全协议来实现ip数据包的安全传送,因此抓包数据中,是不会看到ipsec协议的,只会看到esp或ah协议
  4. 总部和分部使用的ike提议和ipsec提议的认证和加密等算法必须一致,否则ike sa或者ipsec sa无法建立成功,从而导致实验失败
  5. 华为ipsec配置和华三ipsec配置在原理上是一致的,在配置上有些区别,个人觉得华为ipsec配置,相对简单点。华三ipsec配置可查看:https://blog.csdn.net/qq_44933518/article/details/109923575

ensp的ipsec实验(ike自动协商)相关推荐

  1. ipsec的ike自动协商模式

    ipsec的ike自动协商模式(MM隧道模式) 转发原理: 1.数据到达fw后,查询路由表,将数据送到g1/0/1,根据ipsec里的控制访问列表,匹配到兴趣流,激活接口绑定的ipsec 2.Ipse ...

  2. 华为IPsec IKE自动协商配置

    华为IPsec IKE自动协商配置 要点 1.大家使用ENSP模拟器AR2220进行操作: 2.配置的时候梳理好逻辑,有自己一套逻辑最好,我比较习惯先让设备能通讯,然后在配置协议: 3.验证的时候最好 ...

  3. IPsec VPN IKE方式协商密钥

    实验拓扑 要求pc1与pc2两个网络访问走ipsec隧道互访. 前言: ipsecs 隧道两端的acl规则定义的协议类型要一致,如果一端是ip协议,另一端也必须是ip协议 配置acl的原因是:1,通过 ...

  4. 基于Ensp的IPsec 实验

    目录 1.实验拓扑如图 2.需求 3.需求分析 4.ipsec配置顺序 5.IPSec 的配置 1.实验拓扑如图 2.需求 总部和分部通过IPSec VPN连接 总部和分部都能访问外网 3.需求分析 ...

  5. IPSEC 的IKE协商过程,主模式和野蛮模式,AH和ESP

    一. 基本名词解释: 1.IPSec 对等体 IPSec 用于在两个端点之间提供安全的 IP 通信,通信的两个端点被称为 IPSec 对等体. 2.安全联盟 SA(Security Associati ...

  6. IPsec之IKE协商过程详解

    IPsec之IKE协商过程详解 IKE第一阶段 IKE的精髓在于它永远不在不安全的网络上直接传送密钥,而是通过一系列的计算,双方最终计算出共享密钥,并且即使第三方截获了交换中的所有数据,也无法计算出真 ...

  7. eNSP之IPsec 虚拟专用网配置

    eNSP之IPsec 虚拟专用网配置 VPN的定义 1.互联网存在各种安全隐患 - 网上传输的数据有被窃听的风险- 网上传输的数据有被篡改的危险- 通信双方有被冒充的风险 2.VPN (Virtual ...

  8. 防火墙gre over ipsec实验

    PC1 配置 pc2配置 路由器配置 int g0/0/0 ip address 1.1.1.254 255.255.255.0 int g0/0/1 ip address 2.2.2.254 255 ...

  9. hcl的ipsec实验

    1.实验拓扑: 2.需求 1.总公司和分公司通过IPSec VPN连接 2.总公司和分公司都能访问外网 3.需求分析 1.这个实验既要实现vpn连接,也要实现外网的连接,则需要写两条acl,分别作为i ...

最新文章

  1. 2022-2028年中国汽车制动器行业投资分析及前景预测报告
  2. backbone.js学习笔记
  3. 知识图谱基础知识之四——知识图谱的典型应用
  4. Dijkstra模板(java)
  5. PHP-mysql基础
  6. Intellj(IDEA) warning no artifacts configured
  7. 优达学城深度学习之六——TensorFlow卷积神经网络
  8. 高晓松卸任北京阿里巴巴音乐科技有限公司董事长
  9. 减少上下文切换和避免死锁简述
  10. Eclipse修改相同内容的高亮显示(pydev编辑python)
  11. Failed to push selection: Read-only file system
  12. SCSI代码分析(5)SCSI驱动编程模式
  13. kube-scheduler源码分析(三)之 scheduleOne
  14. 各大云服务厂商 轻量应用服务器 性能评测对比,阿里云、腾讯云、华为云、Ucloud
  15. GLASS数据的批量下载(以植被覆盖度FVC为例)
  16. iOS开发中向iPhone模拟器中添加视频资源
  17. 卢松松:寄生式创业更容易成功
  18. wampServer:橙色变绿色
  19. 坐标反算计算起始方位角_平面坐标反算(测量上常用于计算坐标方位角)
  20. 基于K-Means的银行客户数据集分析与处理

热门文章

  1. 关于注册公司的手续步骤
  2. 关于如何正确加入服务器的教程
  3. [Oracle] 对表空间 USERS 无权限
  4. 荣耀30鸿蒙体验,爆料:荣耀30 Pro开始测试华为鸿蒙HarmonyOS 2.0
  5. 构建进程终止异常: “C:\Program Files\Java\jdk1.8.0_333\bin\java.exe“ -Xmx700m -……
  6. 中国公布北京2022年冬奥会企业赞助有关增值税政策
  7. Win7运行窗口的打开方法
  8. Chrome开发者工具学习笔记
  9. [Android]完美屏蔽Home键
  10. JS slice用法