ensp的ipsec实验(ike自动协商)
1.实验拓扑如图
2.需求
总部和分部通过IPSec VPN连接
总部和分部都能访问外网
3.需求分析
这个实验既要实现vpn连接,也要实现外网的连接,则需要写两条acl,分别作为ipsec的感兴趣流和外网流量的匹配
这个实验的难点在于IPSec VPN的配置,IPSec VPN的配置复杂,而且VPN两边参数不一致,会导致VPN无法建立
4.ipsec配置顺序
配置ACL感兴趣流
匹配去往分部私网的流量创建ike提议
在ike提议视图中,可以配置Authentication method、 Authentication algorithm、 Encryption algorithm、DH算法(DH算法是一种公开密钥算法。通信双方在不传送密钥的情况下通过交换一些数据,计算出共享的密钥,在IPSec隧道的两端设置的Diffie-Hellman组必须相同,否则IKE协商不能通过)等参数。这些参数都有默认值,如图
创建ike对等体
配置协商模式为主模式/野蛮模式(默认主模式)
调用ike提议
设置预共享密钥
主模式下则配置本端和对端公网地址创建ipsec提议
配置保护协议(默认为ESP)
配置工作模式(默认为隧道模式)
配置验证算法
配置加密算法
注:以上参数都有默认值,如图
创建ipsec策略
调用acl
指定ike peer
调用ipsec提议应用安全策略
在公网接口下应用ipsec 策略
5.配置
R1的配置
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.2 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 1.1.1.1 24
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]ip route-static 0.0.0.0 0 1.1.1.2
//创建acl 3000,拒绝IPSec vpn流量,放行其余流量
[Huawei]acl 3000
[Huawei-acl-adv-3000]rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192
.168.2.0 0.0.0.255
[Huawei-acl-adv-3000]rule 5 permit ip
[Huawei-acl-adv-3000]quit
//创建acl 3001,匹配去往分部私网的流量
[Huawei]acl 3001
[Huawei-acl-adv-3001]rule permit ip source 192.168.1.0 0.0.0.255 destination 192
.168.2.0 0.0.0.255
[Huawei-acl-adv-3001]quit
//创建ike提议
[Huawei]ike proposal 1
[Huawei-ike-proposal-1]authentication-method pre-share
[Huawei-ike-proposal-1]authentication-algorithm sha1
[Huawei-ike-proposal-1]encryption-algorithm des-cbc
[Huawei-ike-proposal-1]dh group14
[Huawei-ike-proposal-1]quit
//创建ike对等体
[Huawei]ike peer to_fen v2
[Huawei-ike-peer-to_fen]ike-proposal 1
[Huawei-ike-peer-to_fen]pre-shared-key cipher 123
[Huawei-ike-peer-to_fen]local-address 1.1.1.1
[Huawei-ike-peer-to_fen]remote-address 1.1.2.3
[Huawei-ike-peer-to_fen]quit
//创建ipsec提议
[Huawei]ipsec proposal 1
[Huawei-ipsec-proposal-1]transform esp
[Huawei-ipsec-proposal-1]esp authentication-algorithm sha2-256
[Huawei-ipsec-proposal-1]esp encryption-algorithm 3des
[Huawei-ipsec-proposal-1]quit
//创建ipsec 策略
[Huawei]ipsec policy to_fen 1 isakmp
[Huawei-ipsec-policy-isakmp-to_fen-1]security acl 3001
[Huawei-ipsec-policy-isakmp-to_fen-1]ike-peer to_fen
[Huawei-ipsec-policy-isakmp-to_fen-1]proposal 1
[Huawei-ipsec-policy-isakmp-to_fen-1]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ipsec policy to_fen
[Huawei-GigabitEthernet0/0/1]nat outbound 3000
R2的配置(R2只需要配好相应的ip即可)
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 1.1.1.2 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 1.1.2.2 24
R3的配置
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 1.1.2.3 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.2.2 24
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]ip route-static 0.0.0.0 0 1.1.2.2
[Huawei]acl 3000
[Huawei-acl-adv-3000]rule 0 deny ip source 192.168.2.0 0.0.0.255 destination 19
2.168.1.0 0.0.0.255
[Huawei-acl-adv-3000]rule 5 permit ip
[Huawei-acl-adv-3000]quit
[Huawei]acl 3001
[Huawei-acl-adv-3001]rule permit ip source 192.168.2.0 0.0.0.255 destination 19
2.168.1.0 0.0.0.255
[Huawei-acl-adv-3001]quit
[Huawei]ike proposal 1
[Huawei-ike-proposal-1]authentication-method pre-share
[Huawei-ike-proposal-1]authentication-algorithm sha1
[Huawei-ike-proposal-1]encryption-algorithm des
[Huawei-ike-proposal-1]encryption-algorithm des-cbc
[Huawei-ike-proposal-1]dh group14
[Huawei-ike-proposal-1]quit
[Huawei]ike peer to_zong v2
[Huawei-ike-peer-to_zong]ike-proposal 1
[Huawei-ike-peer-to_zong]pre-shared-key cipher 123
[Huawei-ike-peer-to_zong]local-address 1.1.2.3
[Huawei-ike-peer-to_zong]remote-address 1.1.1.1
[Huawei-ike-peer-to_zong]quit
[Huawei]ipsec proposal 1
[Huawei-ipsec-proposal-1]transform esp
[Huawei-ipsec-proposal-1]esp authentication-algorithm sha2
[Huawei-ipsec-proposal-1]esp authentication-algorithm sha2-256
[Huawei-ipsec-proposal-1]esp encryption-algorithm 3des
[Huawei-ipsec-proposal-1]quit
[Huawei]ipsec policy to_zong 1 isakmp
[Huawei-ipsec-policy-isakmp-to_zong-1]security acl 3001
[Huawei-ipsec-policy-isakmp-to_zong-1]ike-peer to_zong
[Huawei-ipsec-policy-isakmp-to_zong-1]proposal 1
[Huawei-ipsec-policy-isakmp-to_zong-1]quit
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ipsec policy to_zong
[Huawei-GigabitEthernet0/0/0]nat outbound 3000
6.测试
- PC1 ping外网地址
- PC2 ping 外网地址
- PC1 ping PC2(测试ipsec vpn是否成功建立)
- 抓包查看ipsec 数据包
可以看到,该数据包已经被加密进行传输,esp协议已经对原本的icmp包进行了加密
7.总结
- 要想成功建立ipsec,首先要保证两端的外网地址路由可达
- 当同时具有vpn配置和nat配置时,nat的优先级高于vpn,所以nat的acl中需要配置拒绝vpn流量。所以该实验中,nat的acl首先是拒绝vpn流量,然后放行其余流量
- ipsec不是一个单独的协议,他通过AH和ESP这两个安全协议来实现ip数据包的安全传送,因此抓包数据中,是不会看到ipsec协议的,只会看到esp或ah协议
- 总部和分部使用的ike提议和ipsec提议的认证和加密等算法必须一致,否则ike sa或者ipsec sa无法建立成功,从而导致实验失败
- 华为ipsec配置和华三ipsec配置在原理上是一致的,在配置上有些区别,个人觉得华为ipsec配置,相对简单点。华三ipsec配置可查看:https://blog.csdn.net/qq_44933518/article/details/109923575
ensp的ipsec实验(ike自动协商)相关推荐
- ipsec的ike自动协商模式
ipsec的ike自动协商模式(MM隧道模式) 转发原理: 1.数据到达fw后,查询路由表,将数据送到g1/0/1,根据ipsec里的控制访问列表,匹配到兴趣流,激活接口绑定的ipsec 2.Ipse ...
- 华为IPsec IKE自动协商配置
华为IPsec IKE自动协商配置 要点 1.大家使用ENSP模拟器AR2220进行操作: 2.配置的时候梳理好逻辑,有自己一套逻辑最好,我比较习惯先让设备能通讯,然后在配置协议: 3.验证的时候最好 ...
- IPsec VPN IKE方式协商密钥
实验拓扑 要求pc1与pc2两个网络访问走ipsec隧道互访. 前言: ipsecs 隧道两端的acl规则定义的协议类型要一致,如果一端是ip协议,另一端也必须是ip协议 配置acl的原因是:1,通过 ...
- 基于Ensp的IPsec 实验
目录 1.实验拓扑如图 2.需求 3.需求分析 4.ipsec配置顺序 5.IPSec 的配置 1.实验拓扑如图 2.需求 总部和分部通过IPSec VPN连接 总部和分部都能访问外网 3.需求分析 ...
- IPSEC 的IKE协商过程,主模式和野蛮模式,AH和ESP
一. 基本名词解释: 1.IPSec 对等体 IPSec 用于在两个端点之间提供安全的 IP 通信,通信的两个端点被称为 IPSec 对等体. 2.安全联盟 SA(Security Associati ...
- IPsec之IKE协商过程详解
IPsec之IKE协商过程详解 IKE第一阶段 IKE的精髓在于它永远不在不安全的网络上直接传送密钥,而是通过一系列的计算,双方最终计算出共享密钥,并且即使第三方截获了交换中的所有数据,也无法计算出真 ...
- eNSP之IPsec 虚拟专用网配置
eNSP之IPsec 虚拟专用网配置 VPN的定义 1.互联网存在各种安全隐患 - 网上传输的数据有被窃听的风险- 网上传输的数据有被篡改的危险- 通信双方有被冒充的风险 2.VPN (Virtual ...
- 防火墙gre over ipsec实验
PC1 配置 pc2配置 路由器配置 int g0/0/0 ip address 1.1.1.254 255.255.255.0 int g0/0/1 ip address 2.2.2.254 255 ...
- hcl的ipsec实验
1.实验拓扑: 2.需求 1.总公司和分公司通过IPSec VPN连接 2.总公司和分公司都能访问外网 3.需求分析 1.这个实验既要实现vpn连接,也要实现外网的连接,则需要写两条acl,分别作为i ...
最新文章
- 2022-2028年中国汽车制动器行业投资分析及前景预测报告
- backbone.js学习笔记
- 知识图谱基础知识之四——知识图谱的典型应用
- Dijkstra模板(java)
- PHP-mysql基础
- Intellj(IDEA) warning no artifacts configured
- 优达学城深度学习之六——TensorFlow卷积神经网络
- 高晓松卸任北京阿里巴巴音乐科技有限公司董事长
- 减少上下文切换和避免死锁简述
- Eclipse修改相同内容的高亮显示(pydev编辑python)
- Failed to push selection: Read-only file system
- SCSI代码分析(5)SCSI驱动编程模式
- kube-scheduler源码分析(三)之 scheduleOne
- 各大云服务厂商 轻量应用服务器 性能评测对比,阿里云、腾讯云、华为云、Ucloud
- GLASS数据的批量下载(以植被覆盖度FVC为例)
- iOS开发中向iPhone模拟器中添加视频资源
- 卢松松:寄生式创业更容易成功
- wampServer:橙色变绿色
- 坐标反算计算起始方位角_平面坐标反算(测量上常用于计算坐标方位角)
- 基于K-Means的银行客户数据集分析与处理
热门文章
- 关于注册公司的手续步骤
- 关于如何正确加入服务器的教程
- [Oracle] 对表空间 USERS 无权限
- 荣耀30鸿蒙体验,爆料:荣耀30 Pro开始测试华为鸿蒙HarmonyOS 2.0
- 构建进程终止异常: “C:\Program Files\Java\jdk1.8.0_333\bin\java.exe“ -Xmx700m -……
- 中国公布北京2022年冬奥会企业赞助有关增值税政策
- Win7运行窗口的打开方法
- Chrome开发者工具学习笔记
- [Android]完美屏蔽Home键
- JS slice用法