【华为】IPsec VPN 实验配置(动态地址接入)

【华为】IPsec VPN 实验配置(动态地址接入)

  • 注意
  • 实验需求
  • 配置思路
  • 配置命令
    • 拓扑
    • R1
      • 基础配置
      • 配置第一阶段 IKE SA
      • 配置第二阶段 IPsec SA
    • ISP_R2
      • 基础配置
    • R3
      • 基础配置
      • 配置第一阶段 IKE SA
      • 配置第二阶段 IPsec SA
    • PC
      • PC1
      • PC2
  • 检查
    • 建立成功
      • 查看命令
      • 清除IKE / IPsec SA命令
  • 配置文档

在这里插入图片描述

注意

因为本篇文章,就是IPsec的实验配置的话,是有一个IP地址不固定的情况下
我们这个就需要用到野蛮模式的,也就是第一阶段会更改模式啦,记得哦,两端都需要更改呀

对于地址固定的总部来说,需要以下注意的点:
① 动态模板 :如拓扑图中,R1是地址固定那一段,然后它想和自己的分部R3建立IPsec VPN,在不清楚R3的IP地址下,是无法用常规的办法来配置,我们就只能用template来建立啦~
② 无需设置ACL: 因为我们并不清楚分部那边有哪些私网的网段

那如何去与一端地址不固定的设备建立IPsec 呢?

  1. 用地址不固定的R3 去主动和R1发起IKE 协商
  2. 在经过IKE的协商过后,R1 就在IKE 的SA中获取到需要保护的兴趣流,也就是ACL的内容

配置和解决办法都在后面哦,感兴趣的就可以继续往后看呀

实验需求

R1为企业总部网关,R3为企业分部网关,分部与总部通过公网建立通信。
分部子网不固定,而总部子网固定为202.101.12.0/24。

企业希望对分部子网与总部子网之间相互访问的流量进行安全保护。分部与总部通过公网建立通信,可以在分部网关与总部网关之间建立一个IPSec隧道来实施安全保护。
在这里插入图片描述

配置思路

  1. 基础配置, 配置接口的IP地址和到对端的静态路由,保证两端路由可达。

  2. 第一阶段 IKE SA
    ① 配置IKE安全提议,定义IKE保护数据流方法
    ② 配置IKE对等体,定义对等体间IKE协商时的属性,在这边就要特别的小心,一定要记得去把主模式改为野蛮模式,两端都需要修改

  3. 第二阶段 IPsec SA
    ① 配置ACL,以定义需要IPSec保护的数据流(R1不需要配置,R3 需要)
    ② 配置IPSec安全提议,定义IPSec的保护方法
    ③ 地址固定端(R1):配置策略模板,模板内容(IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法),并在安全策略中引用该策略模板
    ③ 地址不固定端(R3):配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法

  4. 在接口上应用安全策略组,使接口具有IPSec的保护功能

IPsec VPN 本质:阶段一保护阶段二 阶段二保护数据

配置命令

拓扑

在这里插入图片描述

R1

基础配置

配置R1的基础配置,再用默认路由实现公网可达

[Huawei]sysn R1
[R1]undo info-center enable    ## 关闭CLI系统提示消息[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 202.101.12.1 24
[R1-GigabitEthernet0/0/0]qu[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.10.254 24    
[R1-GigabitEthernet0/0/1]qu[R1]ip route-static 0.0.0.0 0.0.0.0 202.101.12.2          ##配置默认路由指向ISP_R2运营商,实现公网可达

配置第一阶段 IKE SA

协商出IKE SA ,对第二阶段IPsecSA的协商过程做保护

## 创建R1的IKE安全提议,名字为 1
[R1]ike proposal 1
[R1-ike-proposal-1]encryption-algorithm 3des-cbc    ## 用3des-cbc来加密IKE
[R1-ike-proposal-1]authentication-algorithm md5     ## 用md5来认证
[R1-ike-proposal-1]dh group5                        ## 启用DH组5
[R1-ike-proposal-1]qu## 创建IKEv1对等体,名字为 1,配置预共享密钥和修改主模式
[R1]ike peer 1 v1             
[R1-ike-peer-1]exchange-mode aggressive            ## 记得修改为野蛮模式哦
[R1-ike-peer-1]ike-proposal 1                      ## 引用安全提议 1
[R1-ike-peer-1]pre-shared-key simple 520           ## 预共享密钥 为 520
[R1-ike-peer-1]qu

配置第二阶段 IPsec SA

在阶段1建立的IKE SA的保护下完成IPSec SA的协商

## 配置IPSec安全提议,名字为 1
[R1]ipsec proposal 1
[R1-ipsec-proposal-1]esp encryption-algorithm 3des       ## 用ESP头部封装IPsec,用3des加密
[R1-ipsec-proposal-1]esp authentication-algorithm md5    ## 用ESP头部封装IPsec,用md5认证
[R1-ipsec-proposal-1]encapsulation-mode tunnel           ## 采用隧道模式
[R1-ipsec-proposal-1]qu## 配置策略模板,名字为 1,优先级为 1,并在安全策略中引用该策略模板
[R1]ipsec policy-template 1 1
[R1-ipsec-policy-templet-1-1]ike-peer 1
[R1-ipsec-policy-templet-1-1]proposal 1
[R1-ipsec-policy-templet-1-1]qu
[R1]ipsec policy mypolicy 1 isakmp template 1    ## 安全策略名字为 1,引用策略模板 1## 接口下调用安全策略 1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ipsec policy mypolicy
[R1-GigabitEthernet0/0/0]qu

ISP_R2

基础配置

[Huawei]sysn ISP_R2[ISP_R2]undo info-center enable
[ISP_R2]int g0/0/0
[ISP_R2-GigabitEthernet0/0/0]ip address 202.101.12.2 24
[ISP_R2-GigabitEthernet0/0/0]qu[ISP_R2]int g0/0/1
[ISP_R2-GigabitEthernet0/0/1]ip address 202.101.23.2 24
[ISP_R2-GigabitEthernet0/0/1]qu

R3

基础配置

配置R3的基础配置,再用默认路由实现公网可达
像本篇中,R3 的地址如何实现不固定呢?
是公司向运营商申请的公网IP地址是有租期的,用PPPoE来获取,那每一段时间都会变更一下,这个才是现在的常态,但总部的IP地址,尽量就是固定的

[Huawei]sysn R3[R3]undo info-center enable
Info: Information center is disabled.[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip address 202.101.23.3 24
[R3-GigabitEthernet0/0/0]qu[R3]int g0/0/1
[R3-GigabitEthernet0/0/1]ip address 192.168.20.254 24
[R3-GigabitEthernet0/0/1]qu[R3]ip route-static 0.0.0.0 0.0.0.0 202.101.23.2        ##配置默认路由指向ISP_R2运营商,实现公网可达

配置第一阶段 IKE SA

协商出IKE SA ,对第二阶段IPsecSA的协商过程做保护

[R3]ike proposal 1
[R3-ike-proposal-1]encryption-algorithm 3des-cbc 
[R3-ike-proposal-1]authentication-algorithm md5 
[R3-ike-proposal-1]dh group5
[R3-ike-proposal-1]qu[R3]ike peer 1 v1
[R3-ike-peer-1]exchange-mode aggressive 
[R3-ike-peer-1]ike-proposal 1
[R3-ike-peer-1]pre-shared-key simple 520
[R3-ike-peer-1]remote-address 202.101.12.1
[R3-ike-peer-1]qu

配置第二阶段 IPsec SA

在阶段1建立的IKE SA的保护下完成IPSec SA的协商

[R3]ipsec proposal 1
[R3-ipsec-proposal-1]encapsulation-mode tunnel 
[R3-ipsec-proposal-1]esp encryption-algorithm 3des 
[R3-ipsec-proposal-1]esp authentication-algorithm md5 
[R3-ipsec-proposal-1] qu[R3]acl 3000
[R3-acl-adv-3000]rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 
[R3-acl-adv-3000]qu[R3]ipsec policy mypolicy 1 isakmp 
[R3-ipsec-policy-isakmp-mypolicy-1]ike-peer 1
[R3-ipsec-policy-isakmp-mypolicy-1]proposal 1
[R3-ipsec-policy-isakmp-mypolicy-1]security acl 3000
[R3-ipsec-policy-isakmp-mypolicy-1]qu[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ipsec policy mypolicy 
[R3-GigabitEthernet0/0/0]qu

PC

PC1

在这里插入图片描述

PC2

在这里插入图片描述

检查

那么大家在这个地址不固定的情况下,记得是用R3那边的主机来发起链接
因为R1它并不知道对方的情况,就只能等待R3来发起连接啦
但华为的话,它是可以自动发起连接的,能Ping 通就好啦
在这里插入图片描述

建立成功

细心的就能发现,里面野蛮模式交换的是三个报文,然后成功协商IKE SA
而快速模式的三个报文,就成功的协商IPsec SA
这两个出来就成功建立了 IPsec VPN,对流量实施了加密啦~
这个就是和主模式的六个报文有了区分咯
在这里插入图片描述

查看命令

查看IKE SA的基本信息
[R1]display ike sa
在这里插入图片描述
查看IPsec SA的基本信息
[R1]display ipsec sa
大家可以在图中看到,里面有tunnel的源和目的,就是总部R1上查看IPsec SA信息
可以看到R3此时的IP地址是202.101.23.3 ,这个是它自己获取到的,我们什么都没有动
还有R1 也能通过IPsec SA获取到类似于ACL中,需要匹配保护的流量
所以刚才在上面讲的那么多,都是为了这个而铺垫哒
在这里插入图片描述

清除IKE / IPsec SA命令

在IPsec VPN 建立完成后,我们想修改一些东西的时候,需要把SA清除干净,这个时候才会去重新建立IPsec VPN,我们所添加的东西才会生效
提醒一下呀,就是先把自己需要改的东西先改好,然后再刷新一下
因为华为的IPsec是自动建立的

reset ike sa all
reset ipsec sa

在这里插入图片描述

配置文档

R1

sys
sysn R1 undo info-center enable       int g0/0/0
ip address 202.101.12.1 24
qu
int g0/0/1
ip address 192.168.10.254 24
qu
ip route-static 0.0.0.0 0.0.0.0 202.101.12.2ike proposal 1
encryption-algorithm 3des-cbc 	
authentication-algorithm md5 
dh group5
quike peer 1 v1
exchange-mode aggressive 
ike-proposal 1
pre-shared-key simple 520
quipsec proposal 1
esp encryption-algorithm 3des 
esp authentication-algorithm md5 
encapsulation-mode tunnel ipsec policy-template 1 1
ike-peer 1
proposal 1
quipsec policy mypolicy 1 isakmp template 1 int g0/0/0
ipsec policy mypolicy
qu

R2

sys
sysn ISP_R2
int g0/0/0
ip address 202.101.12.2 24
qu
int g0/0/1
ip address 202.101.23.2 24
qu

R3


sys
sysn R3undo info-center enableint g0/0/0
ip address 202.101.23.3 24
qu
int g0/0/1
ip address 192.168.20.254 24
qu
ip route-static 0.0.0.0 0.0.0.0 202.101.23.2ike proposal 1
encryption-algorithm 3des-cbc 
authentication-algorithm md5 
dh group5
quike peer 1 v1
exchange-mode aggressive 
ike-proposal 1
pre-shared-key simple 520
remote-address 202.101.12.1
quipsec proposal 1
encapsulation-mode tunnel 
esp encryption-algorithm 3des 
esp authentication-algorithm md5 acl 3000
rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 
quipsec policy mypolicy 1 isakmp 
ike-peer 1
proposal 1
security acl 3000
quint g0/0/0
ipsec policy mypolicy 
qu

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/608521.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Acrel-EIoT能源物联网云平台助力电力物联网数据服务 ——安科瑞 顾烊宇

摘要:Acrel-EIOT能源物联网云平台是一个结合在线销售的互联网商业模式,为分布广泛的互联网用户提供PAAS服务的平台。安科瑞物联网产品安装完成后,用户可以通过手机扫描代码轻松实现产品访问平台,无需注意调试和平台运行过程&#…

【深度学习:Self-supervised learning (SSL) 】自我监督学习解释

【深度学习:SSL Self-supervised learning 】自我监督学习解释 什么是自我监督学习?比较自我监督学习与监督学习和无监督学习 为什么计算机视觉模型需要自监督学习?自我监督学习的好处自监督学习的局限性 自我监督学习如何运作?对…

使用Redhat操作系统下载MySQL

一、本地下载安装 方法一 ①在虚拟机火狐浏览器中搜索MySQL官网(选择第一个下载) ②下载完毕使用xshell远程连接解压及安装 [rootlocalhost ~]# cd /Downloads/ [rootlocalhost Downloads]# mkdir /mysql/ [rootlocalhost Downloads]# mv mysql-8.0.3…

HIS医院信息化、数字医学影像、DICOM、PACS源码

PACS系统适合卫生院、民营医院、二甲或以下公立医院的放射科、超声科使用。功能强大且简洁,性能优异,具备MPR(三维重建)、VR(容积重建)、胶片打印功能,能够快速部署。 支持DR、CT、磁共振提供D…

可移动的div

一、实验题目 做一个可移动的div 二、实验代码 <!DOCTYPE html> <html><head><meta charset"utf-8"><title></title><style>*{margin: 0;padding: 0;}div{width: 100px;height: 100px;background-color: rebeccapurple…

【操作系统】BIOS与MBR之间的过渡实践

一&#xff0e;概述 根据以前写的一篇文章&#xff1a;【操作系统】MBR主引导目录结构以及作用&#xff0c;我们了解到BIOS在检测完内存、显卡&#xff0c;把硬盘等一系列外设简单检测之后&#xff0c;下一步将和主引导程序MBR进行交接&#xff0c;将主控权交付给下一位嘉宾&am…

js viewer 图片浏览器

示例1 <!DOCTYPE html> <html><head><meta charset"utf-8" /><title></title></head><script src"js/viewer.min.js"></script><link rel"stylesheet" href"css/viewer.min.css…

计算机网络 - 路由器查表过程模拟 C++(2024)

1.题目描述 参考计算机网络教材 140 页 4.3 节内容&#xff0c;编程模拟路由器查找路由表的过程&#xff0c;用&#xff08;目的地址 掩码 下一跳&#xff09; 的 IP 路由表以及目的地址作为输入&#xff0c;为目的地址查找路由表&#xff0c;找出正确的下一跳并输出结果。 1.…

[C#]C# OpenVINO部署yolov8-pose姿态估计模型

【源码地址】 github地址&#xff1a;https://github.com/ultralytics/ultralytics 【算法介绍】 Yolov8-Pose算法是一种基于深度神经网络的目标检测算法&#xff0c;用于对人体姿势进行准确检测。该算法在Yolov8的基础上引入了姿势估计模块&#xff0c;通过联合检测和姿势…

UE5 C++(十三)— 创建Character,添加增强输入

文章目录 创建Character第三人称模板添加增强输入引用在脚本中实现移动、旋转 创建Character第三人称模板 创建MyCharacter C类 添加增强输入引用 在DEMO.Build.cs 脚本中添加增强输入模块 有个容易出错的点&#xff0c;这里的设置一定要正确 然后添加引用到C头文件中 …

面向设计师的11个必备AI工具

在当今快速发展的设计领域&#xff0c;人工智能&#xff08;AI&#xff09;工具已成为不可或缺的创新催化剂。这些工具专门用于提高效率和创造力&#xff0c;从而重新定义传统的设计方法。AI正在彻底改变设计师的工作方式&#xff0c;从自动处理任务到发掘新的创造力机会&#…

HTAP(Hybrid Transactional/Analytical Processing)系统之统一存储的实时之道

文章目录 HTAP与时俱进LASER中的存储关键知识LSM&#xff08;Log-Structured Merge Tree&#xff09;SkipList&#xff08;跳表&#xff09;CDC&#xff08;Changed Data Capture&#xff09;SST&#xff08;Sorted Sequence Table&#xff09; 特性列组&#xff08;Column Gro…

Arthas,你真是Java程序员的大力丸

您好&#xff0c;我是码农飞哥&#xff08;wei158556&#xff09;&#xff0c;感谢您阅读本文&#xff0c;欢迎一键三连哦。 &#x1f4aa;&#x1f3fb; 1. Python基础专栏&#xff0c;基础知识一网打尽&#xff0c;9.9元买不了吃亏&#xff0c;买不了上当。 Python从入门到精…

印章管理详解|契约锁帮助提前预防99%的印章风险

传统实体印章不仅存在私刻私盖、盗用乱用、易伪造等安全隐患&#xff0c;此外&#xff0c;线下面签的方式也不便于异地、非工作时间用印&#xff0c;分公司用印常常两地来回跑。组织的印章到底怎么“管”才能保障安全和使用效率&#xff1f; 一、 印章管理风险有哪些&#xff…

系统概要设计说明书

系统概要设计说明书 1.整体架构 2.功能架构 3.技术架构 4.运行环境设计 5.设计目标 6.接口设计 7.性能设计 8.运行设计 9.出错设计 全文档获取进主页

面试算法107:矩阵中的距离

题目 输入一个由0、1组成的矩阵M&#xff0c;请输出一个大小相同的矩阵D&#xff0c;矩阵D中的每个格子是矩阵M中对应格子离最近的0的距离。水平或竖直方向相邻的两个格子的距离为1。假设矩阵M中至少有一个0。 例如&#xff0c;图&#xff08;a&#xff09;是一个只包含0、1的…

Docker安装Jenkins,配置Maven和Java

前言 这是一个java的springboot项目&#xff0c;使用maven构建 安装准备 需要将maven和jdk安装在服务器上&#xff0c;Jenkins需要用到&#xff0c;还有创建一个jenkins的目录&#xff0c;安装命令如下&#xff1a; docker run -d -uroot -p 9095:8080 -p 50000:50000 --n…

时间序列数据库选型: influxdb; netdiscover列出docker实例们的ip

influxdb influxdb: 有收费版本、有开源版本 docker run -itd --name influxdb-dev -p 8086:8086 influxdb #influxdb的web客户端(端口8003)被去掉了 #8006是web-service端口docker pull chronograf docker run -d -p 8888:8888 --name chronograf-dev chronografsudo netst…

对比fwrite、mmap、DirectIO 的内存、性能开销,剖析 Page Cache

背景 如上图所示&#xff1a;应用程序写文件有三种形式。 fwrite : 应用程序 -> fwrite(Buffered IO) -> File System -> Page Cache -> Block IO Layer -> Device & Disk etc.mmap : 应用程序 -> mmap -> Page Cache -> Block IO Layer -> De…

【LLM】vLLM部署与int8量化

Acceleration & Quantization vLLM vLLM是一个开源的大型语言模型&#xff08;LLM&#xff09;推理和服务库&#xff0c;它通过一个名为PagedAttention的新型注意力算法来解决传统LLM在生产环境中部署时所遇到的高内存消耗和计算成本的挑战。PagedAttention算法能有效管理…