【新华三】IPsec VPN 实验配置(地址固定)

【新华三】IPsec VPN 实验配置(地址固定)

  • 注意
  • 实验需求
  • 配置思路
  • 配置命令
    • 拓扑
    • R1
      • 基础配置
      • 配置第一阶段 IKE SA
      • 配置第二阶段 IPsec SA
    • ISP_R2
      • 基础配置
    • R3
      • 基础配置
      • 配置第一阶段 IKE SA
      • 配置第二阶段 IPsec SA
    • PC
      • PC1
      • PC2
  • 检查
    • 建立成功
      • 查看命令
      • 清除IKE / IPsec SA命令
  • 配置文档

在这里插入图片描述

注意

因为本篇文章,就是IPsec的实验配置的话,它们两端的IP地址是固定
那么就用第一阶段的主模式(Main Mode)
和第二阶段的快速模式(Quick Mode)就好啦
后面会有一个地址不固定的情况下,这个就需要用到野蛮模式的,也就是第一阶段会更改模式啦

实验需求

R1为企业总部网关,R3为企业分部网关,分部与总部通过公网建立通信。分部子网为202.101.23.0/24,总部子网为202.101.12.0/24。

企业希望对分部子网与总部子网之间相互访问的流量进行安全保护。分部与总部通过公网建立通信,可以在分部网关与总部网关之间建立一个IPSec隧道来实施安全保护。

在这里插入图片描述

配置思路

  1. 基础配置, 配置接口的IP地址和到对端的静态路由,保证两端路由可达。

  2. 第一阶段 IKE SA
    ① 配置IKE安全提议,定义IKE保护数据流方法
    ② 配置IKE对等体,定义对等体间IKE协商时的属性
    ③ 配置IKE profile,把前面两个关联在一起

  3. 第二阶段 IPsec SA
    ① 配置ACL,以定义需要IPSec保护的数据流
    ② 配置IPSec安全提议,定义IPSec的保护方法
    ③ 配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法

  4. 在接口上应用安全策略组,使接口具有IPSec的保护功能

IPsec VPN 本质:阶段一保护阶段二 阶段二保护数据

配置命令

拓扑

在这里插入图片描述

R1

基础配置

配置R1的基础配置,再用默认路由实现公网可达

[H3C]sysn R1
[R1]undo info-center enable [R1]int g0/0
[R1-GigabitEthernet0/0]ip address 202.101.12.1 24
[R1-GigabitEthernet0/0]qu[R1]int g0/1
[R1-GigabitEthernet0/1]ip address 192.168.10.254 24
[R1-GigabitEthernet0/1]qu[R1]ip route-static 0.0.0.0 0.0.0.0 202.101.12.2          ##配置默认路由指向ISP_R2运营商,实现公网可达

配置第一阶段 IKE SA

协商出IKE SA ,对第二阶段IPsecSA的协商过程做保护

## 配置R1的IKE安全提议,名字为 1
[R1]ike proposal 1   ## ike的提案(需要用什么)
[R1-ike-proposal-1]encryption-algorithm 3des-cbc        ## 用3des加密IKE
[R1-ike-proposal-1]authentication-algorithm sha256      ## IKE用sha256 认证
[R1-ike-proposal-1]dh group5                            ## IKE 处于group5
[R1-ike-proposal-1]qu## 采用PSK,配置与对等体的信息,钥匙串名字为 1
[R1]ike keychain 1  
[R1-ike-keychain-1]pre-shared-key address 202.101.23.3 key simple 520
[R1-ike-keychain-1]qu## 将上面两个整合在一起,匹配对等体,profile 名字为 1
[R1]ike profile 1 
[R1-ike-profile-1]keychain 1             ## 指定引用的IKE keychain为keychain 1
[R1-ike-profile-1]proposal 1             ## 指定引用的IKE proposal为proposal 1
[R1-ike-profile-1]match remote identity address 202.101.23.3   ## 指定对端的IP地址
[R1-ike-profile-1]qu

配置第二阶段 IPsec SA

在阶段1建立的IKE SA的保护下完成IPSec SA的协商

## IPSec SA的创建,转换集,名字为 myset
[R1]ipsec transform-set myset
[R1-ipsec-transform-set-myset]encapsulation-mode tunnel           ## 流量以隧道的方式传输
[R1-ipsec-transform-set-myset]esp encryption-algorithm 3des-cbc   ## 数据加密算法
[R1-ipsec-transform-set-myset]esp authentication-algorithm sha256 ## 身份认证算法
[R1-ipsec-transform-set-myset]qu## 配置高级ACL,匹配子网192.168.10.0/24去子网192.168.20.0/24的数据
[R1]acl advanced 3000 
[R1-acl-ipv4-adv-3000]rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
[R1-acl-ipv4-adv-3000]qu## IPsec 和 IKE的安全策略的关联,名字为 mypolicy 优先级为 1
[R1]ipsec policy mypolicy 1 isakmp    
[R1-ipsec-policy-isakmp-mypolicy-1]ike-profile 1              ## 关联IKE profile 1
[R1-ipsec-policy-isakmp-mypolicy-1]security acl 3000          ## 匹配需要保护的数据流
[R1-ipsec-policy-isakmp-mypolicy-1]transform-set myset        ## 关联IPsec 转换集
[R1-ipsec-policy-isakmp-mypolicy-1]remote-address 202.101.23.3  ## 远端的IP地址
[R1-ipsec-policy-isakmp-mypolicy-1]qu## 出接口上调用安全策略组
[R1]int g0/0
[R1-GigabitEthernet1/0]ipsec apply policy mypolicy 
[R1-GigabitEthernet1/0]qu

ISP_R2

基础配置

[H3C]sysn ISP_R2[ISP_R2]interface GigabitEthernet1/0
[ISP_R2-GigabitEthernet1/0]ip address 202.101.12.100 255.255.255.0
[ISP_R2-GigabitEthernet1/0]qu[ISP_R2]int g2/0
[ISP_R2-GigabitEthernet2/0]ip address 202.101.23.100 255.255.255.0
[ISP_R2-GigabitEthernet2/0]qu

R3

基础配置

配置R3的基础配置,再用默认路由实现公网可达

[H3C]sysn R3[R3]int g0/0
[R3-GigabitEthernet0/0]ip address 202.101.23.3 24
[R3-GigabitEthernet0/0]qu[R3]int g0/1
[R3-GigabitEthernet0/1]ip address 192.168.20.254 24
[R3-GigabitEthernet0/1]qu[R3]ip route-static 0.0.0.0 0.0.0.0 202.101.23.2        ##配置默认路由指向ISP_R2运营商,实现公网可达

配置第一阶段 IKE SA

协商出IKE SA ,对第二阶段IPsecSA的协商过程做保护

[R3]ike proposal 1
[R3-ike-proposal-1]encryption-algorithm 3des-cbc 
[R3-ike-proposal-1]authentication-algorithm sha256
[R3-ike-proposal-1]dh group5
[R3-ike-proposal-1]qu[R3]ike keychain 1
[R3-ike-keychain-1]pre-shared-key address 202.101.12.1 key simple 520
[R3-ike-keychain-1]qu[R3]ike profile 1
[R3-ike-profile-1]keychain 1
[R3-ike-profile-1]proposal 1
[R3-ike-profile-1]match remote identity address 202.101.12.1 
[R3-ike-profile-1]qu

配置第二阶段 IPsec SA

在阶段1建立的IKE SA的保护下完成IPSec SA的协商

[R3]ipsec transform-set myset 
[R3-ipsec-transform-set-myset]encapsulation-mode tunnel 
[R3-ipsec-transform-set-myset]esp encryption-algorithm 3des-cbc 
[R3-ipsec-transform-set-myset]esp authentication-algorithm sha256
[R3-ipsec-transform-set-myset]qu[R3]acl advanced 3000
[R3-acl-ipv4-adv-3000]rule permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
[R3-acl-ipv4-adv-3000]qu[R3]ipsec policy mypolicy 1 isakmp 
[R3-ipsec-policy-isakmp-mypolicy-1]ike-profile 1
[R3-ipsec-policy-isakmp-mypolicy-1]security acl 3000
[R3-ipsec-policy-isakmp-mypolicy-1]transform-set myset
[R3-ipsec-policy-isakmp-mypolicy-1]remote-address 202.101.12.1 
[R3-ipsec-policy-isakmp-mypolicy-1]qu[R3]int g0/0
[R3-GigabitEthernet1/0]ipsec apply policy mypolicy
[R3-GigabitEthernet1/0]qu

PC

PC1

在这里插入图片描述

PC2

在这里插入图片描述

检查

抓包查看(华三的IPsec VPN 是自己触发的,可以不用手动去Ping呀)
在这里插入图片描述

建立成功

里面主模式交换六个报文,成功协商IKE SA
而快速模式的三个报文,就成功的协商IPsec SA
这两个出来就成功建立了 IPsec VPN,对流量实施了加密啦~
![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/908d7dd00e934726ab498fd5aeb3860c.png

查看命令

查看IKE SA的基本信息
[R1]display ike sa
在这里插入图片描述

查看IPsec SA的基本信息

[R1]display ipsec sa
在这里插入图片描述

清除IKE / IPsec SA命令

在IPsec VPN 建立完成后,我们想修改一些东西的时候,需要把SA清除干净,这个时候才会去重新建立IPsec VPN,我们所添加的东西才会生效
可以看到,当我去清除掉IKE SA的时候,再查看已经被清除掉了,还有IPsec SA,说明清除成功啦
reset ike sa
reset ipsec sa
在这里插入图片描述

配置文档

R1

sys
sysn R1int g0/0 
ip address 202.101.12.1 24
quint g0/1
ip address 192.168.10.254 24
quip route-static 0.0.0.0 0.0.0.0 202.101.12.2ike proposal 1
encryption-algorithm 3des-cbc 
authentication-algorithm sha256
dh group5
quike keychain 1
pre-shared-key address 202.101.23.3 key simple 520
quike profile 1
keychain 1
proposal 1
match remote identity address 202.101.23.3 
quipsec transform-set myset 
encapsulation-mode tunnel 
esp encryption-algorithm 3des-cbc 
esp authentication-algorithm sha256
quacl advanced 3000
rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
quipsec policy mypolicy 1 isakmp 
ike-profile 1
security acl 3000
transform-set myset
remote-address 202.101.23.3
quint g0/0
ipsec apply policy mypolicy
qu

ISP_R2

sys
sysn ISP_R2int g0/0
ip address 202.101.12.2 24
quint g0/1
ip address 202.101.23.2 24
qu

R3

sys
sysn R3int g0/0 
ip address 202.101.23.3 24
quint g0/1
ip address 192.168.20.254 24
quip route-static 0.0.0.0 0.0.0.0 202.101.23.2ike proposal 1
encryption-algorithm 3des-cbc 
authentication-algorithm sha256
dh group5
quike keychain 1
pre-shared-key address 202.101.12.1 key simple 520
quike profile 1
keychain 1
proposal 1
match remote identity address 202.101.12.1
quipsec transform-set myset 
encapsulation-mode tunnel 
esp encryption-algorithm 3des-cbc 
esp authentication-algorithm sha256
quacl advanced 3000
rule permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
quipsec policy mypolicy 1 isakmp 
ike-profile 1
security acl 3000
transform-set myset
remote-address 202.101.12.1
quint g0/0
ipsec apply policy mypolicy
qu

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/608666.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

分享几个网盘资源搜索地址,总能找到你想要的

分享几个网盘资源搜索地址,总能找到你想要的

目录 [TOC](目录)一、前言二、地址分享三、结尾 一、前言 分享几个网盘搜索网站,总能找到你想要的。 二、地址分享 盘搜搜: https://pansoso.com/ 搜网盘: https://www.swangpan.com/ fastsoso: https://www.fastsoso.cc 猫狸盘搜: https://www.alipansou.com…
阅读更多...
虚拟机安装intel架构的银河麒麟V10(SP1)

虚拟机安装intel架构的银河麒麟V10(SP1)

一 背景 银河麒麟是国产操作系统之一,是基于Linux内核的桌面操作系统,有自己的应用中心,具有一定的生态系统。今从官网下载了V10(SP1)镜像文件,在Windowns的VMware虚拟机上安装试用。 二 安装 1、 首先安装…
阅读更多...
【漏洞复现】锐捷RG-UAC统一上网行为管理系统信息泄露漏洞

【漏洞复现】锐捷RG-UAC统一上网行为管理系统信息泄露漏洞

Nx01 产品简介 锐捷网络成立于2000年1月,原名实达网络,2003年更名,自成立以来,一直扎根行业,深入场景进行解决方案设计和创新,并利用云计算、SDN、移动互联、大数据、物联网、AI等新技术为各行业用户提供场…
阅读更多...
桶装水在线订水送水系统平台搭建

桶装水在线订水送水系统平台搭建

在线订水系统,为您带来更快捷、更优质的服务。不仅是用户福音,更是商家营销利器。一体化管理,轻松搞定用户、水站、商品、订单及售后。多种营销活动,激发用户复购意愿。 功能亮点如下: 1. 注册登录:手机号…
阅读更多...
Mysql 恢复误删库表数据

Mysql 恢复误删库表数据

一、前提 1、如果你的数据库有备份文件,自己还原即可。 2、如果没有备份文件,那首先检查下你的 binlog 是否开启。如果未开启,那你就不用往下看了。如果开启了,可以往下看看。 1.1 查看位置 可以通过以下的命令查看是否开启了 bi…
阅读更多...
梯度下降和反向传播:能改

梯度下降和反向传播:能改

一、背景 1.问题 通过顶点坐标公式,求解出抛物线最低点的w坐标,得到了让误差代价最小的w。同样的,也通过算数说明了这种一步到位求解的方式固然是好,但是在输入特征过多、样本数量过大的时候,却非常消耗计算资源。 …
阅读更多...
echarts - xAxis.type设置time时该如何使用formatter的分级模板

echarts - xAxis.type设置time时该如何使用formatter的分级模板

echarts 文档中描述了x轴的多种类型 一、type: ‘value’ ‘value’ 数值轴,适用于连续数据。 此时x轴数据是从零开始,有数据大小的区分。 【注意】 因为xAxis.data是为category服务的,所以xAxis.data里面设置的数据无效。 二、type: ‘ca…
阅读更多...
前端适配750px设计稿

前端适配750px设计稿

全局引入 (function(doc, win) {const docEl doc.documentElement,resizeEvt orientationchange in window ? orientationchange : resizeconst setFont function() {let clientWidth docEl.clientWidth;if (!clientWidth) return;if (clientWidth > 750) {docEl.styl…
阅读更多...
【自学笔记】01Java基础-07面向对象基础-03常量、枚举类、抽象类、多态详解

【自学笔记】01Java基础-07面向对象基础-03常量、枚举类、抽象类、多态详解

记录java基础学习中有关常量、枚举类、抽象类和多态的内容。 1 常量 什么是常量? 常量是使用了public static final修饰的成员变量,必须有初始化值,而且执行的过程中其值不能被改变。 常量名的命名规范:英文单词全部大写&#x…
阅读更多...
【JAVA】throw 和 throws 的区别?

【JAVA】throw 和 throws 的区别?

🍎个人博客:个人主页 🏆个人专栏: JAVA ⛳️ 功不唐捐,玉汝于成 目录 前言 正文 throw: throws: 区别: 作用: 使用位置: 个数: 应…
阅读更多...
软件测试|Python对JSON的解析和创建详解

软件测试|Python对JSON的解析和创建详解

简介 JSON(JavaScript Object Notation)是一种轻量级的数据交换格式,已经成为当今互联网应用中广泛使用的数据格式之一。Python提供了内置的模块来解析和创建JSON数据,使得在Python中处理JSON变得非常简单。本文将详细介绍Python…
阅读更多...
重装系统前需要备份的文件清单

重装系统前需要备份的文件清单

阅读更多...
【题解】—— LeetCode一周小结

【题解】—— LeetCode一周小结

1.经营摩天轮的最大利润 题目链接: 1599. 经营摩天轮的最大利润 你正在经营一座摩天轮,该摩天轮共有 4 个座舱 ,每个座舱 最多可以容纳 4 位游客 。你可以 逆时针 轮转座舱,但每次轮转都需要支付一定的运行成本 runningCost 。摩…
阅读更多...
Docker简介、基本概念和安装

Docker简介、基本概念和安装

Docker简介、基本概念和安装 1.docker简介 1.1 什么是docker Docker 最初是 dotCloud 公司创始人 Solomon Hykes (opens new window)在法国期间发起的一个公司内部项目,它是基于 dotCloud 公司多年云服务技术的一次革新,并于 2013 年 3 月以 Apache 2…
阅读更多...
Objective-C中使用STL标准库Queue队列

Objective-C中使用STL标准库Queue队列

1.修改.m文件为mm 2.导入queue头 #include<queue> 3.使用&#xff1a; #import <Foundation/Foundation.h> #include <cmath> #include <queue> using namespace std;int main(int argc, const char * argv[]) {autoreleasepool {NSLog("C标准…
阅读更多...
云计算任务调度仿真01

云计算任务调度仿真01

云计算任务调度的研究大多数以来仿真研究&#xff0c;现梳理一些做过的代码研究 结果无数次的排错&#xff0c;终于finish with code 0 了 这个代码以来的是比较老的TensorFlow版本&#xff0c;我们都知道TensorFlow1.x和TensorFlow2.x之间有很大差别&#xff0c;但其实&#…
阅读更多...
Realm Management Extension领域管理扩展之安全状态

Realm Management Extension领域管理扩展之安全状态

RME基于Arm TrustZone技术。TrustZone技术在Armv6中引入,提供以下两个安全状态: 安全状态(Secure state)非安全状态(Non-secure state)以下图表显示了在AArch64中的这两个安全状态以及通常在每个安全状态中找到的软件组件: 该架构将在安全状态运行的软件与在非安全状态运…
阅读更多...
openGauss学习笔记-190 openGauss 数据库运维-常见故障定位案例-服务启动失败

openGauss学习笔记-190 openGauss 数据库运维-常见故障定位案例-服务启动失败

文章目录 openGauss学习笔记-190 openGauss 数据库运维-常见故障定位案例-服务启动失败190.1 服务启动失败190.1.1 问题现象190.1.2 原因分析190.1.3 处理办法 openGauss学习笔记-190 openGauss 数据库运维-常见故障定位案例-服务启动失败 190.1 服务启动失败 190.1.1 问题现…
阅读更多...
Copilot 插件的使用介绍:如何快速上手

Copilot 插件的使用介绍:如何快速上手

GitHub Copilot 本文主要介绍如何通过脚本工具激活 GitHub Copilot 插件&#xff0c;提供安装及激活图文教程&#xff0c;大家按下面操作即可激活GitHub Copilot插件&#xff0c;免费使用Ai编码工具 一、GitHub Copilot 介绍 GitHub Copilot 是由 GitHub 和 OpenAI 共同开发的…
阅读更多...
告别冗余空白,批量删除空白行

告别冗余空白,批量删除空白行

你是否遇到过这样的尴尬情况&#xff1a;花费了大量时间整理的文档&#xff0c;却在最后发现其中充斥着无用的空白行&#xff0c;这些多余的空行不仅影响美观&#xff0c;还让整个文档显得杂乱无章。今天&#xff0c;我要给大家介绍一款强大且实用的工具——首助编辑高手&#…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023