IPsec+预共享密钥的IKE野蛮模式

这篇具有很好参考价值的文章主要介绍了IPsec+预共享密钥的IKE野蛮模式。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

IPsec+预共享密钥的IKE野蛮模式

目标

  • 配置 IPsec+预共享密钥的IKE 野蛮模式

步骤一、配置各接口IP地址

步骤二、配置默认路由

[RTB]ip route-static 0.0.0.0 0 2.2.2.2

步骤三:配置公网连接

在 SWA 上配置 DHCP Server。设置 RTA 从 SWA 动态获得 IP 地址和默认路由。

[SWA]dhcp enable

[SWA]dhcp server ip-pool 1

[SWA-dhcp-pool-1]network 1.1.1.0 mask 255.255.255.0

[SWA-dhcp-pool-1]gateway-list 1.1.1.2

[SWA-dhcp-pool-1]quit

[RTA]interface GigabitEthernet0/0

[RTA-GigabitEthernet0/1] ip address dhcp-alloc

步骤四:配置 IKE proposal

[RTA]ike proposal 1

//配置IKE安全提议

[RTA-ike-proposal-1]authentication-method pre-share

//配置IKE安全提议的认证方式

[RTA-ike-proposal-1]authentication-algorithm md5

//配置IKE的认证算法建议

[RTA-ike-proposal-1]encryption-algorithm 3des-cbc

//配置IKE安全提议的加密算法

[RTA-ike-proposal-1]quit

[RTB]ike proposal 1

//配置IKE安全提议

[RTB-ike-proposal-1]authentication-method pre-share

//配置IKE安全提议的认证方式

[RTB-ike-proposal-1]authentication-algorithm md5

//配置IKE的认证算法建议

[RTB-ike-proposal-1]encryption-algorithm 3des-cbc

//配置IKE安全提议的加密算法

[RTB-ike-proposal-1]quit

步骤五:配置 IKE 身份信息

[RTA]ike identity fqdn rta

//使用FQDN作为标识

[RTB]ike identity fqdn rtb

//使用FQDN作为标识

步骤六:配置 IKE keychain

[RTA]ike keychain keychain1

[RTA-ike-keychain-keychain1]pre-shared-key address 2.2.2.1 255.255.255.0 keysimple h3c

//配置与对等体使用的预共享密钥

[RTA-ike-keychain-keychain1]quit

[RTB]ike keychain keychain1

[RTB-ike-keychain-keychain1]pre-shared-key hostname rta 255.255.255.0 key simple h3c

//通过主机名指定对等体

[RTB-ike-keychain-keychain1]quit

步骤七:配置 IKE profile

配置 IKE profile,并设置 IKE 第一阶段协商模式为野蛮模式:

[RTA]ike profile profile1

//创建安全提议,并进入提议试图

[RTA-ike-profile-profile1]exchange-mode aggressive

//修改协商模式为野蛮模式

[RTA-ike-profile-profile1]match remote identity fqdn rtb

//配置对等体的策略匹配信息

[RTA-ike-profile-profile1]keychain keychain1

//指定要使用的密钥链

[RTA-ike-profile-profile1]proposal 1

//配置IKE安全策略的IKE安全提议

[RTA-ike-profile-profile1]quit

[RTB]ike profile profile1

[RTB-ike-profile-profile1]exchange-mode aggressive

//修改协商模式为野蛮模式

[RTB-ike-profile-profile1]match remote identity fqdn rta

//匹配对端标识信息

[RTB-ike-profile-profile1]keychain keychain1

//指定要使用的密钥链

[RTB-ike-profile-profile1]proposal 1

//配置IKE安全策略的IKE安全提议

[RTB-ike-profile-profile1]quit

步骤八:配置安全 ACL

安全 ACL 应匹配 192.168.1.0/24 网段与 192.168.2.0/24 网段之间的数据流。

[RTA]acl advanced 3000

[RTA-acl-ipv4-adv-3000] rule 0 permit ip source 192.168.1.0 0.0.0.255 destination

192.168.2.0 0.0.0.255

[RTA-acl-ipv4-adv-3001]quit

[RTB]acl advanced 3000

[RTB-acl-ipv4-adv-3000] rule 0 permit ip source 192.168.2.0 0.0.0.255 destination

192.168.1.0 0.0.0.255

[RTB-acl-ipv4-adv-3000]quit

步骤九:配置 IPsec 安全提议

[RTA]ipsec transform-set tran1

[RTA-ipsec-proposal-prop1]esp authentication-algorithm sha1

//指定ESP认证算法为sha1

[RTA-ipsec-proposal-prop1]esp encryption-algorithm aes-cbc-128

//指定ESP加密算法

[RTA-ipsec-transform-set-tran1]quit

[RTB]ipsec transform-set tran1

[RTB-ipsec-transform-set-tran1]esp authentication-algorithm sha1

//指定ESP认证算法为sha1

[RTB-ipsec-transform-set-tran1]esp encryption-algorithm aes-cbc-128

//指定ESP加密算法

[RTB-ipsec-transform-set-tran1]quit

步骤十:配置并应用 IPsec 安全策略

配置 IPsec 安全策略,并将其应用于通往对方的物理接口上:

[RTA]ipsec policy policy1 1 isakmp

//指定IPsec隧道对端IP地址

[RTA-ipsec-policy-isakmp-policy1-1]remote-address 2.2.2.1

//指定IPsec隧道对端IP地址

[RTA-ipsec-policy-isakmp-policy1-1]security acl 3000

//配置流量保护参数

[RTA-ipsec-policy-isakmp-policy1-1]transform-set tran1

//指定IPsec转换集

[RTA-ipsec-policy-isakmp-policy1-1]ike-profile profile1

//配置IKE (Internet Key Exchange)安全策略

[RTA-ipsec-policy-isakmp-policy1-1]quit

[RTA]interface GigabitEthernet 0/0

[RTA-GigabitEthernet0/0]ipsec apply policy policy1

//在接口上应用安全策略

[RTA-GigabitEthernet0/0]quit

RTB 作为响应方,无法获取对端的 IP 地址,需要配置成模板形式。

[RTB]ipsec policy-template templete1 1

[RTB-ipsec-policy-template-templete1-1]security acl 3000

[RTB-ipsec-policy-template-templete1-1]transform-set tran1

[RTB-ipsec-policy-template-templete1-1]ike-profile proflie1

[RTB]ipsec policy policy1 1 isakmp template templete1

[RTB]interface GigabitEthernet 0/0

[RTB-GigabitEthernet0/0]ipsec apply policy policy1

[RTB-GigabitEthernet0/0]quit

步骤十一:检验配置

在 RTA 和 RTB 上用 display 命令检查配置参数:

[RTA]display ike proposal

 Priority Authentication Authentication Encryption  Diffie-Hellman Duration

              method       algorithm    algorithm       group      (seconds)

----------------------------------------------------------------------------

 1        PRE-SHARED-KEY     MD5        3DES-CBC    Group 1        86400

 default  PRE-SHARED-KEY     SHA1       DES-CBC     Group 1        86400

[RTA]display ipsec policy

-------------------------------------------

IPsec Policy: policy1

Interface: GigabitEthernet0/0

-------------------------------------------

  -----------------------------

  Sequence number: 1

  Mode: ISAKMP

  -----------------------------

  Traffic Flow Confidentiality: Disabled

  Security data flow: 3000

  Selector mode: standard

  Local address:

  Remote address: 2.2.2.1

  Remote address switchback mode: Disabled

  Transform set:  tran1

  IKE profile: profile1

  IKEv2 profile:

  smart-link policy:

  SA trigger mode: Traffic-based

  SA duration(time based): 3600 seconds

  SA duration(traffic based): 1843200 kilobytes

  SA soft-duration buffer(time based): --

  SA soft-duration buffer(traffic based): --

  SA idle time: --

  SA df-bit:

[RTB]display ipsec policy-template

-------------------------------------------

IPsec Policy Template: templete1

-------------------------------------------

  -----------------------------

  Sequence number: 1

  -----------------------------

  Traffic Flow Confidentiality: Disabled

  Security data flow : 3000

  Selector mode: standard

  Local address:

  IKE profile: profile1

  IKEv2 profile:

  Remote address:

  Transform set: tran1

  IPsec SA local duration(time based): 3600 seconds

  IPsec SA local duration(traffic based): 1843200 kilobytes

  SA idle time: --

  SA df-bit:

在 RTA 与 RTB 上查看 IPsec/IKE 相关信息:

[RTA]display ike sa verbose

   -----------------------------------------------

   Connection ID: 4

   Outside VPN:

   Inside VPN:

   Profile: profile1

   Transmitting entity: Initiator

   Initiator cookie: b3bcaddf7a4212a5

   Responder cookie: b3c52817b752a0fb

   -----------------------------------------------

   Local IP/port: 1.1.1.1/500

   Local ID type: FQDN

   Local ID: rta

   Remote IP/port: 2.2.2.1/500

   Remote ID type: FQDN

   Remote ID: rtb

   Authentication-method: PRE-SHARED-KEY

   Authentication-algorithm: MD5

   Encryption-algorithm: 3DES-CBC

   Life duration(sec): 86400

   Remaining key duration(sec): 83201

   Exchange-mode: Aggressive

   Diffie-Hellman group: Group 1

   NAT traversal: Not detected

   Extend authentication: Disabled

   Assigned IP address:

   Vendor ID index:0xffffffff

   Vendor ID sequence number:0x0

看到 IKE 的协商模式是野蛮模式(Aggressive)

[RTB]display ike sa verbose

   -----------------------------------------------

   Connection ID: 4

   Outside VPN:

   Inside VPN:

   Profile: profile1

   Transmitting entity: Responder

   Initiator cookie: b3bcaddf7a4212a5

   Responder cookie: b3c52817b752a0fb

   -----------------------------------------------

   Local IP/port: 2.2.2.1/500

   Local ID type: FQDN

   Local ID: rtb

   Remote IP/port: 1.1.1.1/500

   Remote ID type: FQDN

   Remote ID: rta

   Authentication-method: PRE-SHARED-KEY

   Authentication-algorithm: MD5

   Encryption-algorithm: 3DES-CBC

   Life duration(sec): 86400

   Remaining key duration(sec): 83178

   Exchange-mode: Aggressive

   Diffie-Hellman group: Group 1

   NAT traversal: Not detected

   Extend authentication: Disabled

   Assigned IP address:

   Vendor ID index:0xffffffff

   Vendor ID sequence number:0x0

步骤十二:检验隧道工作状况

从 PCA 检测与 PCB 的连通性:

<H3C>ping 192.168.2.2

Ping 192.168.2.2 (192.168.2.2): 56 data bytes, press CTRL_C to break

Request time out

56 bytes from 192.168.2.2: icmp_seq=1 ttl=253 time=3.000 ms

56 bytes from 192.168.2.2: icmp_seq=2 ttl=253 time=1.000 ms

56 bytes from 192.168.2.2: icmp_seq=3 ttl=253 time=2.000 ms

56 bytes from 192.168.2.2: icmp_seq=4 ttl=253 time=1.000 ms

--- Ping statistics for 192.168.2.2 ---

5 packet(s) transmitted, 4 packet(s) received, 20.0% packet loss

round-trip min/avg/max/std-dev = 1.000/1.750/3.000/0.829 ms

<H3C>%Oct 19 14:35:39:639 2022 H3C PING/6/PING_STATISTICS: Ping statistics for 192.168.2.2: 5 packet(s) transmitted, 4 packet(s) received, 20.0% packet loss, round-trip min/avg/max/std-dev = 1.000/1.750/3.000/0.829 ms.

可见除第一个 ICMP Echo Request 包被报告超时之外,其他的都成功收到 Echo Reply 包。

这是因为第一个包触发了 IKE 协商,在 IPsec SA 成功建立之前,这个包无法得到 IPsec 服务,

只能被丢弃。而 IPsec SA 很快就成功建立了,后续的包也就可以顺利到达目的文章来源地址https://www.toymoban.com/news/detail-435083.html

到了这里,关于IPsec+预共享密钥的IKE野蛮模式的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议

    目录 IP安全概述  IPSec协议簇 IPSec的实现方式 AH(Authentication Header,认证头) ESP(Encapsulating Security Payload,封装安全载荷) IKE(Internet Key Exchange,因特网密钥交换) IKE的两个阶段  大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设

    2024年02月05日
    浏览(39)
  • 安全算法(二):共享密钥加密、公开密钥加密、混合加密和迪菲-赫尔曼密钥交换

    本章介绍了共享密钥加密、公开密钥加密,和两种加密方法混合使用的混合加密方法;最后介绍了迪菲-赫尔曼密钥交换。 加密数据的方法可以分为两种:加密和解密都使用相同密钥的“共享密钥加密”和分别使用不同密钥的“公开密钥加密”。以下将分别介绍。 共享密钥加密

    2024年02月21日
    浏览(38)
  • Zabbix技术分享——Proxy加密代理:共享密钥(PSK)加密与证书加密

    一、加密介绍 Zabbix版本从3.0之后,开始支持Zabbix server, Zabbix proxy, Zabbix agent, zabbix_sender and zabbix_get之间的通信加密,加密方式有预共享密钥(PSK)和证书加密,加密配置是可选项,一些proxy和agent可以使用证书认证加密通信,另外一些可以使用PSK加密通信,而剩余的可以不使用加

    2024年02月12日
    浏览(41)
  • 华为设备IPsec简单配置

    IPsec VPN是指采用IPsec实现远程接入的一种VPN技术,通过在公网上为两个或多个私有网络之间建立IPsec通道,并通过加密和认证保证通道的安全性。IPsec保护的是点对点之间的通信,通过IPsec VPN可以实现主机和主机之间、主机和网关之间、网关和网关之间建立安全的隧道连接。工

    2024年02月11日
    浏览(41)
  • IPSec VPN原理与配置

    目录 一、实验原理 ipsec vpn的目的 ipsec vpn的原理 二、  IPSec VPN概念 1、什么是IPSec 2、IPSec架构 3、SA  (Security Association,安全联盟) 4、  IPSec协议封装模式 三、实验操作 四、实验配置 1、项目要求: 一、路由器RTA  1、更改路由器名字,配置端口ip,配置静态路由,实现网络

    2024年02月15日
    浏览(31)
  • 实验二十七 IPSec配置

    某公司由总部和分支机构构成,通过IPsec实验网络安全,保证总部和分支机构的局域 网安全通信。 IPSec(IP Security)是IETF定义的一组协议,用于增强IP网络的安全性 。 IPsec的功能可以划分为三类:认证头(AH)、封装安全负荷(ESP)、Internet密钥交换协议(IKE)。 1、认证头AH:提供了数据

    2024年02月07日
    浏览(45)
  • 华为IPSec VPN的配置

    目录 概念 阶段一 阶段二 IPSec的配置实验  先进行基配置,保证路由可达  配置阶段一 配置ike提案 配置ike邻居 配置阶段二 定义感兴趣流 把ipsec策略应用到接口 结果测试 IPSec是一个框架,它不是具体指某个协议,而是定义了一个框架,由各种协议组和协商而成。该框架涉及

    2024年02月08日
    浏览(42)
  • IPsec和PPTP技术介绍和对应配置 以及 NAT和PPTP以及IPsec冲突解决

    目录 IPsec 网段特点: 技术优势 技术劣势 相关技术配置: PPTP 网段特点 技术优势 技术劣势 相关技术配置 VPN和NAT的冲突 情况一:NAT设备和VPN设备不是同一个,nat在VPN之后 情况二:NAT设备和VPN设备为同一个 情况三:PPTP客户端的NAT转换 最近,在学习关于校园网安全接入的项目

    2024年02月06日
    浏览(33)
  • Cisco配置IPsec与NAT问题

    1.实现pc4能够通过R3和R1建立的IPsec通道与1.0网段通信,但pc4不能与公网(R2)通信 2.实现pc3能够与公网(R2)进行通信,但不能通过R3与R1建立的IPsec通道与1.0网段通信     配置IPsec 可参考如下文章Cisco路由器IPSec 虚拟专用网原理与详细配置_51CTO博客_思科路由器配置ipsec   关键代

    2024年02月13日
    浏览(28)
  • 华为路由器 IPSec VPN 配置

    需求: 通过 IPSecVPN 实现上海与成都内网互通 拓扑图如下: 一、首先完成网络配置 1、R1 路由器设置 2、R2路由器设置 3、测试  PC1能访问 R2 的外网地址 PC2能访问 R1 的外网地址 PC1 不能访问 PC2,反之也是 上面的网络情况跟生产环境基本一致。我们要在 R1 跟 R2 之间配

    2024年02月09日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包