华为设备IPsec简单配置

这篇具有很好参考价值的文章主要介绍了华为设备IPsec简单配置。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。


IPsec VPN是指采用IPsec实现远程接入的一种VPN技术,通过在公网上为两个或多个私有网络之间建立IPsec通道,并通过加密和认证保证通道的安全性。IPsec保护的是点对点之间的通信,通过IPsec VPN可以实现主机和主机之间、主机和网关之间、网关和网关之间建立安全的隧道连接。工作在网络层,主要对网络层的报文进行加密和验证。

一、IPsec是什么?

1.1 定义

IPSec是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合,包括认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)两个安全协议、密钥交换和用于验证及加密的一些算法等。

1.2 封装模式(传输模式、隧道模式)

华为设备IPsec简单配置

  • 传输模式
    在传输模式中,AH头或ESP头被插入到IP头与传输层协议头之间,由于传输模式未添加额外的IP头,所以原始报文中的IP地址在加密后报文的IP头中可见。传输模式保护数据包的有效载荷、高层协议,IPSec源端点不会修改IP报头中目的IP地址,原来的IP地址也会保持明文。
    华为设备IPsec简单配置

  • 隧道模式
    在隧道模式下,AH头或ESP头被插到原始IP头之前,另外生成一个新的报文头放到AH头或ESP头之前,保护IP头和负载。IP地址被当作有效载荷的一部分受到IPSec的保护。
    华为设备IPsec简单配置
    传输模式和隧道模式比较

  • 安全性:隧道模式优于传输模式。传输模式不改变原有的IP包头,在原数据包头后面插入IPSec包头,将原来的数据封装成被保护的数据。隧道模式通过对数据加密,可以隐藏原数据包中的IP地址,有利于保护端到端通信中数据的安全性。

  • 应用场景:传输模式主要应用于两台主机或一台主机和一台VPN网关之间通信;隧道模式主要应用于两台VPN网关之间或一台主机与一台VPN网关之间的通信。

1.3 安全协议(AH、ESP)

IPsec使用AH(Authentication Header)和ESP(Encapsulating Security Payload)提供安全加密或认证服务。

  • 认证头AH
    AH仅支持认证功能,不支持加密功能。AH在每个数据包的标准IP报头后面添加一个AH报文,AH协议的完整性校验范围是整个IP报文。
  • 封装安全载荷ESP
    ESP支持认证功能和加密功能。ESP在每个数据包的标准IP报头后面添加一个ESP报文,并在数据包后面追加一个ESP尾(ESP Trailer和ESP Auth data),与AH不同的是,ESP将数据中的有效载荷进行加密后再封装到数据包中,以保证数据的机密性。
    华为设备IPsec简单配置

1.4 秘钥交换协议(IKE)

因特网密钥交换IKE(Internet Key Exchange)协议建立在ISAKMP(Internet安全联盟和密钥管理协议)定义的框架上,是基于UDP的应用层协议。它为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务,能够简化IPSec的配置和维护工作。

IKE的精髓在于DH交换技术,通过一系列的交换,使得通信双方最终计算出预共享秘钥。在IKE的DH交换过程中,每次计算产生的结果都是不相关的。由于每次IKE SA的建立都需要DH交换过程,因此就保证了每个通过协商建立的IPsec SA所使用的秘钥互不相关,即完成了完美向前性这一特性。

阶段一
  • 主模式:一般情况下,IKE的主模式适用于两设备的公网IP固定、且要实现设备之间点对点的环境。
  • 野蛮模式:对于例如ADSL拨号用户,其获得的公网IP不是固定的,且可能存在NAT设备的情况下,采用野蛮模式做NAT穿越。

与主模式相比,野蛮模式建立IKE SA的速度更快。由于野蛮模式的秘钥交换与身份认证是同时进行的,因此无法提供身份保护。对于身份保护要求不高的场景,使用报文交换较少的野蛮模式可以提高协商速度。对于身份保护要求高的则可以使用主模式。
华为设备IPsec简单配置

阶段二
  • 快速模式:该模式使用IKEv1协商阶段1中生成的密钥对ISAKMP消息的完整性和身份进行验证,并对ISAKMP消息进行加密,故保证了交换的安全性。
    华为设备IPsec简单配置

二、IPsec有什么用?

2.1 通过IPSec VPN实现局域网安全互联

华为设备IPsec简单配置

2.2 通过IPSec VPN实现移动用户远程安全接入

华为设备IPsec简单配置

2.3 通过Efficient VPN实现多分支安全接入

华为设备IPsec简单配置

三、IPsec怎么用?

3.1 IPsec工作流程

3.1.1 识别“感兴趣流”。网络设备接收到报文后,通常将报文的五元组信息和IPsec策略进行匹配,用于判断报文是否通过IPsec隧道进行传输,需要通过IPsec隧道传输的流量通常称为“感兴趣流”。
3.1.2 识别出感兴趣流后,本端网络设备向对端网络设备发起SA协商;通信双方对建立通道所需参数进行协商,比如双方使用的安全协议、封装模式、协议采用的加密和认证算法、用于数据传输的秘钥等信息。 通过IKE协议先协商建立IKE SA(用于身份验证和秘钥信息交换),然后在IKE SA基础上协商建立IPsec SA(用于数据安全传输)。
3.1.3 数据传输。IPsec SA建立成功后,双方即可通过IPsec隧道进行传输数据了。
3.1.4 隧道拆除。通常情况下通信双方之间的会话老化,就代表双方数据交换完成,为节省系统资源,通信双方之间的隧道在空闲时间达到一定值后会自动删除。

3.2 配置

配置脚本:https://mp.csdn.net/mp_download/manage/download/UpDetailed
华为设备IPsec简单配置

3.2.1 为防火墙FW1、FW2、R1物理接口配置IP地址,划分区域
[FW1]interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]ip address 192.168.1.254 255.255.255.0
[FW1-GigabitEthernet1/0/0]quit 
[FW1]interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]ip address 1.1.1.1 255.255.255.252
[FW1-GigabitEthernet1/0/1]quit 
[FW1]firewall zone trust 
[FW1-zone-trust]add interface GigabitEthernet1/0/0
[FW1-zone-trust]quit 
[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface GigabitEthernet 1/0/1
[FW1-zone-untrust]quit

[FW2]interface GigabitEthernet 1/0/0
[FW2-GigabitEthernet1/0/0]ip address 172.16.1.254 24
[FW2-GigabitEthernet1/0/0]quit
[FW2]interface GigabitEthernet 1/0/1
[FW2-GigabitEthernet1/0/1]ip address 2.2.2.1 30
[FW2-GigabitEthernet1/0/1]quit
[FW2]firewall zone trust
[FW2-zone-trust]add interface GigabitEthernet 1/0/0
[FW2-zone-trust]quit
[FW2]firewall zone untrust 
[FW2-zone-untrust]add interface GigabitEthernet 1/0/1
[FW2-zone-untrust]quit

[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 1.1.1.2 30
[R1-GigabitEthernet0/0/0]quit
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 2.2.2.2 30
[R1-GigabitEthernet0/0/1]quit 
3.2.2 配置OSPF,保证两端通信正常
[FW1]ospf 1
[FW1-ospf-1]area 0
[FW1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0

[FW2]ospf 1
[FW2-ospf-1]area 0
[FW2-ospf-1-area-0.0.0.0]network 2.2.2.1 0.0.0.0

[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 1.1.1.2 0.0.0.0
[R1-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0

[FW1]display ip routing-table protocol ospf   //验证
3.2.3 配置高级ACL,定义保护数据流--感兴趣流
[FW1]acl 3000
[FW1-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255

[FW2]acl 3000
[FW2-acl-adv-3000]rule permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
3.2.4 配置IKE--IKE安全提议和IKE对等体
[FW1]ike proposal 1  //IKE提议
[FW1-ike-proposal-1]encryption-algorithm aes-256        //加密算法
[FW1-ike-proposal-1]authentication-algorithm sha2-256   //认证算法
[FW1-ike-proposal-1]authentication-method pre-share     //认证方式自协商
[FW1-ike-proposal-1]dh group14                          //DH组
[FW1-ike-proposal-1]quit
[FW1]ike peer FW2
[FW1-ike-peer-FW2]undo version 2                       //使用v1版本
[FW1-ike-peer-FW2]exchange-mode aggressive             //野蛮模式(缺省主模式)
[FW1-ike-peer-FW2]pre-shared-key 202112                //预共享秘钥
[FW1-ike-peer-FW2]ike-proposal 1
[FW1-ike-peer-FW2]remote-address 2.2.2.1               //远端IP地址

[FW2]ike proposal 1
[FW2-ike-proposal-1]encryption-algorithm aes-256 
[FW2-ike-proposal-1]authentication-algorithm sha2-256 
[FW2-ike-proposal-1]authentication-method pre-share 
[FW2-ike-proposal-1]dh group14
[FW2-ike-proposal-1]quit
[FW2]ike peer FW1
[FW2-ike-peer-FW1]undo version 2
[FW1-ike-peer-FW1]exchange-mode aggressive
[FW2-ike-peer-FW1]pre-shared-key 202112
[FW2-ike-peer-FW1]ike-proposal 1
[FW2-ike-peer-FW1]remote-address 1.1.1.1
3.2.5 配置IPsec安全提议
[FW1]ipsec proposal 1
[FW1-ipsec-proposal-1]transform esp
[FW1-ipsec-proposal-1]encapsulation-mode tunnel
[FW1-ipsec-proposal-1]esp encryption-algorithm aes-256 
[FW1-ipsec-proposal-1]esp authentication-algorithm sha2-256

[FW2]ipsec proposal 1
[FW2-ipsec-proposal-1]transform esp
[FW2-ipsec-proposal-1]encapsulation-mode tunnel
[FW2-ipsec-proposal-1]esp encryption-algorithm aes-256 
[FW2-ipsec-proposal-1]esp authentication-algorithm sha2-256
3.2.6 配置IPsec安全策略
[FW1]ipsec policy qu 5 isakmp 
[FW1-ipsec-policy-isakmp-qu-5]security acl 3000
[FW1-ipsec-policy-isakmp-qu-5]ike-peer FW2
[FW1-ipsec-policy-isakmp-qu-5]proposal 1

[FW2]ipsec policy qu 5 isakmp 
[FW2-ipsec-policy-isakmp-qu-5]security acl 3000
[FW2-ipsec-policy-isakmp-qu-5]ike-peer FW1
[FW2-ipsec-policy-isakmp-qu-5]proposal 1
3.2.6 应用IPsec安全策略
[FW1]interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]ipsec policy qu

[FW2]interface GigabitEthernet 1/0/1
[FW2-GigabitEthernet1/0/1]ipsec policy qu
3.2.7 配置引导
[FW1]ip route-static 172.16.1.0 24 1.1.1.2

[FW2]ip route-static 192.168.1.0 24 2.2.2.2
3.2.8 定义服务等级
[FW1]ip service-set isakmp type object
[FW1-object-service-set-isakmp]service protocol udp source-port 500 destination-port 500

[FW2]ip service-set isakmp type object
[FW2-object-service-set-isakmp]service protocol udp source-port 500 destination-port 500
3.2.9 安全策略(根据场景配置)
[FW1]security-policy
[FW1-policy-security]rule name 1
[FW1-policy-security-rule-1]source-zone trust
[FW1-policy-security-rule-1]destination-zone untrust
[FW1-policy-security-rule-1]source-address 192.168.1.0 mask 255.255.255.0
[FW1-policy-security-rule-1]destination-address 172.16.1.0 mask 255.255.255.0
[FW1-policy-security-rule-1]service icmp
[FW1-policy-security-rule-1]action permit
[FW1-policy-security-rule-1]quit
[FW1-policy-security]rule name 2
[FW1-policy-security-rule-2]source-zone local
[FW1-policy-security-rule-2]destination-zone untrust
[FW1-policy-security-rule-2]source-address 1.1.1.1 mask 255.255.255.255
[FW1-policy-security-rule-2]destination-address 2.2.2.1 mask 255.255.255.255
[FW1-policy-security-rule-2]service isakmp
[FW1-policy-security-rule-2]service protocol 50
[FW1-policy-security-rule-2]action permit
[FW1-policy-security-rule-2]quit
[FW1-policy-security]rule name 3
[FW1-policy-security-rule-3]source-zone untrust
[FW1-policy-security-rule-3]destination-zone local
[FW1-policy-security-rule-3]source-address 2.2.2.1 mask 255.255.255.255
[FW1-policy-security-rule-3]destination-address 1.1.1.1 mask 255.255.255.255
[FW1-policy-security-rule-3]service isakmp
[FW1-policy-security-rule-3]service protocol 50
[FW1-policy-security-rule-3]action permit

FW2同理,与FW1镜像即可。

PC1 ping测试 PC2
华为设备IPsec简单配置

3.2.10 检查配置IPsec隧道结果
display ike peer [ brief | name peer-name ]或display ike peer [ brief | name peer-name ] ctrl-plane,查看IKE对等体配置的信息
display ike proposal [ number proposal-number ]或display ike proposal [ number proposal-number ] ctrl-plane,查看IKE安全提议配置的参数
display ike sa [ remote ipv4-address ],查看当前IKE SA的摘要信息
display ike sa verbose { remote ipv4-address | connection-id connection-id | [ remote-id-type remote-id-type ] remote-id remote-id },查看当前IKE SA的详细信息
display ike global config,查看IKE的全局配置信息

3.3 拓展(NAT穿越)

部署IPSec VPN网络时,如果发起者位于一个私网内部,远端位于公网侧,而它希望与远端响应者直接建立一条IPSec隧道。为保证存在NAT设备的IPSec隧道能够正常建立,就涉及到了NAT穿越问题。当出口防火墙既是IPsec网关,又是NAT网关时,数据通过出口防火墙,防火墙会对数据先进行NAT转换再把数据丢进IPsec隧道。

由于AH对数据进行的完整性检查会对包括IP地址在内的整个IP包进行Hash运算,而地址转换会改变IP地址,从而破坏AH的Hash值。因此使用AH的IPSec隧道无法穿越NAT设备。

ESP对数据进行的完整性检查不包括外部的IP头,若只进行地址转换时,ESP可以正常工作。但ESP是三层协议,无法设置端口,所以执行允许端口转换的NAT时ESP也存在问题。NAT穿越采用了增加UDP头封装ESP报文的方法解决这个问题。传输模式下,NAT穿越在原报文的IP头和ESP头间增加一个标准的UDP报头;隧道模式下,NAT穿越在新IP头和ESP头间增加一个标准的UDP报头。这样,当ESP报文穿越NAT设备时,NAT设备对该报文的外层IP头和增加的UDP报头进行地址和端口号转换;转换后的报文到达IPSec隧道对端后,与普通IPSec处理方式相同。UDP端口号4500。

简单配置

[FW1]ike peer FW2
[FW1-ike-peer-FW2]nat traversal           //开启NAT穿越
[FW1-ike-peer-FW2]quit

[FW1]ike nat-keepalive-timer interval 20  //配置IKE SA向对端发送NAT Keepalive报文的时间间隔(NAT网关上的NAT映射会话有一定的存活时间,因此一旦NAT会话表项被删除,这样将导致在NAT网关外网侧的对等体无法继续传输数据。为防止NAT表项老化,NAT网关内网侧的IKE SA会以一定的时间间隔向对端发送NAT Keepalive报文,以维持NAT会话的存活。)

[FW1]nat-policy 
[FW1-policy-nat]rule name pat
[FW1-policy-nat-rule-pat]source-zone trust
[FW1-policy-nat-rule-pat]destination-zone untrust
[FW1-policy-nat-rule-pat]source-address 192.168.1.0 mask 255.255.255.0
[FW1-policy-nat-rule-pat]destination-address-exclude 172.16.1.0 mask 255.255.255.0  //不进行转换
[FW1-policy-nat-rule-pat]action source-nat easy-ip
[FW1-policy-nat-rule-pat]quit
[FW1-policy-nat]quit

[FW1]security-policy          //配置安全策略
[FW1-policy-security]rule name 4
[FW1-policy-security-rule-4]source-zone trust
[FW1-policy-security-rule-4]destination-zone untrust
[FW1-policy-security-rule-4]source-address 192.168.1.0 mask 255.255.255.0
[FW1-policy-security-rule-4]service protocol icmp
[FW1-policy-security-rule-4]action permit

[FW1]display firewall session table

华为设备IPsec简单配置


主要参考

IPSec介绍:https://blog.csdn.net/NEUChords/article/details/92968314
配置指南:https://support.huawei.com/enterprise/zh/doc/EDOC1100033731/af1f6e0b文章来源地址https://www.toymoban.com/news/detail-501658.html

到了这里,关于华为设备IPsec简单配置的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【华为】IPsec VPN 实验配置(地址固定)

    因为本篇文章,就是IPsec的实验配置的话,它们 两端的IP地址是固定 的 那么就用第一阶段的主模式(Main Mode) 和第二阶段的快速模式(Quick Mode)就好啦 后面会有一个地址不固定的情况下,这个就需要用到野蛮模式的,也就是第一阶段会更改模式啦 R1为企业总部网关,R3为企

    2024年01月23日
    浏览(62)
  • 华为防火墙IPSec详解与配置实验

    GRE是明文传输,IPSec是加密传输 1.常见的加密算法 (1)对称加密 加密解密用同一个密钥 (2)非对称加密 在加密和解密中使用两个不同的密钥,私钥用来保护数据,公钥由同一系统的人公用,用来检验信息及其发送者的真实性和身份,公钥加密私钥解密,私钥加密公钥解密

    2023年04月12日
    浏览(45)
  • 华为防火墙IPsec点对点配置解析

    主机直连的接口为trust区域,防火墙之间互联的接口为untrust区域 ike proposal xx //首先创建ike proposal xx 这一步的作用就是创建协商ike SA的时候使用的相关安全套件,默认防火墙就会设置了一些默认的安全套件的组合。这一步设置的内容就是用于IKE SA的协商,IPsec双方使用协商好的

    2024年02月05日
    浏览(44)
  • 华为设备NAT的配置

    实现内网外网地址转换 静态转换 动态转换 最多有两台主机同时访问外网 端口多路复用 NAPT(Network Address Port Translation):需要有单独的NAT转换外网ip 查看配置内容:dis nat outbound ** Easy-Ip(重点常用) :只需要一个外网ip(外网ip就是原来的55),使用接口外网IP作为NAT转换的外网

    2024年01月19日
    浏览(40)
  • 华为设备VRRP配置

    核心代码: 需要对所有虚拟路由器设置(要进入到对应的端口) ①mac由vrid生成 ②指定虚拟ip ③虚拟ip作为内部主机的网关,对外表现为不同路由器,具有不同的真实ip

    2024年01月21日
    浏览(44)
  • 华为设备配置的常用命令

    华为交换机配置 端口表示方法 E1/0/1 显示系统版本信息:display version 显示诊断信息:display diagnostic-information 显示系统当前配置:display current-configuration 显示系统保存配置: display saved-configuration 显示接口信息:display interface 显示路由信息:display ip routing-table 显示 VLAN 信息:

    2024年02月09日
    浏览(44)
  • 华为设备登录安全配置案例

    知识改变命运,技术就是要分享,有问题随时联系,免费答疑,欢迎联系! 厦门微思网络​​​​​​ https://www.xmws.cn 华为认证华为HCIA-Datacom华为HCIP-Datacom华为HCIE-Datacom LinuxRHCERHCE 9.0RHCA Oracle OCPCKAK8S CISPCISSPPMP   在现网中,登录设备的方式主要有以下两种:本地Con

    2024年01月17日
    浏览(34)
  • 【分享】华为设备登录安全配置案例

    微思网络www.xmws.cn,2002年成立,专业IT认证培训21年,面向全国招生! 微 信 号 咨 询: xmws-IT 华为HCIA试听课程:超级实用,华为VRP系统文件详解【视频教学】华为VRP系统文件详解 华为HCIA试听课程:不会传输层协议,HCIA都考不过【视频教学】华为传输层协议 华为HCIA试听课程

    2024年02月11日
    浏览(34)
  • 华为设备配置篇——VRRP配置(虚拟路由冗余)

            VRRP可以监视上行端口的状态,当设备感知上行端口或者链路发生故障时,可以主动的降低VRRP的优先级,从而保证上行链路正常的backup设备能够通过选举切换成Master状态,指导报文转发。         接入交换机为SW1,核心交换机为SW2和SW3,SW2与SW3做一个VRRP路由冗

    2024年02月06日
    浏览(52)
  • 华为设备DHCP snooping配置命令

    [Huawei]dhcp snooping enable //全局使能DHCP Snooping功能 [Huawei]dhcp snooping enable vlan 10 //使能DHCP Snooping功能 [Huawei-vlan10]dhcp snooping enable [Huawei-GigabitEthernet0/0/1]dhcp snooping enable [Huawei-GigabitEthernet0/0/1]dhcp snooping trusted //配置接口为“信任”接口 [Huawei-vlan10]dhcp snooping trusted interface g0/0/1 [Huaw

    2024年02月07日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包