IPSec配置与实验

IPSec配置与实验

IPSec配置与实验

IPSec缺省配置

参数 缺省配置
IKE协商时的本端名称 设备本地名称。
发送NAT Keepalive报文时间间隔 20秒。
IKE安全提议 系统缺省提供了一条优先级最低的IKE安全提议
IPSec安全提议 系统没有配置IPSec安全提议。
SA触发方式 自动触发方式。
IKE SA硬生存周期 86400秒。
全局IPSec SA硬生存周期 基于时间:3600秒。基于流量:1843200千字节(1800兆)。
对解密报文进行ACL检查 未使能。
全局IPSec抗重放功能 使能。
全局IPSec抗重放窗口的大小 1024。
IPSec隧道加密报文分片方式 加密后分片。
NAT穿越功能 使能。

采用ACL方式建立IPSec隧道

采用ACL方式建立IPSec隧道配置流程

(1)准备工作

1.定义需要保护的数据流

2.确定IPSec的保护方法

  • 安全协议
  • 认证算法
  • 加密算法
  • 报文封装模式

3.确定IKE的保护方法

  • IKE安全提议(ike proposal)
  • 认证方法(authentication-method)
  • 认证算法(authentication-algorithm)
  • 加密算法(encryption-algorithm)
  • DH密码组(dh)
  • IKE SA存活时间(sa duration)
  • 扩展参数

4.IKE协商时对等体间的属性

ike peer:

  • 引用IKE安全提议
  • 认证算法对应的认证密钥
  • 对端IP地址
  • 阶段1认证模式
  • 扩展参数

(2)配置安全策略:对指定的数据流采用指定的保护方法

手工方式安全策略(ipsec policy manual)

  • 引用ACL(security acl)
  • 引用IPSec安全提议(proposal)
  • IPSec隧道的起点终点
  • SA出/入方向的SPI值
  • SA出/入方向安全协议的认证密钥和加密密钥
  • 扩展参数

通过ISAKMP创建IKE动态协商方式安全策略

  • 引用ACL(security acl)
  • 引用IPSec安全提议(proposal)
  • 引用IKE对等体(ike-peer)
  • 扩展参数

通过策略模板创建IKE动态协商方式安全策略

  • 引用ACL(security acl)
  • 引用IPSec安全提议(proposal)
  • 引用IKE对等体(ike-peer)
  • 扩展参数
#定义需要保护的数据流
	[Huawei] acl 3001       
	[Huawei-acl-adv-3001] rule permit ip source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255

#配置IPSec安全提议
	ipsec proposal proposal-name 创建IPSec安全提议,并进入IPSec安全提议视图

	transform { ah | esp | ah-esp },配置安全协议

		AH协议只能对报文进行认证,只能配置AH协议的认证算法
			ah authentication-algorithm { md5 | sha1 | sha2-256 | sha2-384 | sha2-512 | sm3 } ,配置AH协议使用的认证算法

		ESP协议允许对报文同时进行加密和认证
			esp authentication-algorithm { md5 | sha1 | sha2-256 | sha2-384 | sha2-512 | sm3 } *,配置ESP协议使用的认证算法。

			esp encryption-algorithm { des | 3des | aes-128 | aes-192 | aes-256 | sm1 | sm4 | aes-128-gcm-128 | aes-192-gcm-128 | aes-256-gcm-128 } *,配置ESP协议使用的加密算法。

#配置IPSec安全策略
	#手工方式
	ipsec policy policy-name seq-number manual,创建手工方式IPSec安全策略,并进入手工方式IPSec安全策略视图。
	
	security acl acl-number,在IPSec安全策略中引用ACL。
	
	proposal proposal-name,在IPSec安全策略中引用IPSec安全提议
	
	#配置IPSec隧道的起点和终点
		tunnel local ipv4-address,配置IPSec隧道的本端地址。


    	tunnel remote ip-address,配置IPSec隧道的对端地址。

	#配置出/入方向SA的SPI值	
		sa spi outbound { ah | esp } spi-number,配置出方向SA的SPI。


		sa spi inbound { ah | esp } spi-number,配置入方向SA的SPI。

	#配置出/入方向SA的认证密钥和加密密钥。
		#安全协议采用AH协议时,配置认证密钥
			sa string-key { inbound | outbound } ah { simple | cipher } string-key,配置AH协议的认证密钥(以字符串方式输入)。

			sa authentication-hex { inbound | outbound } ah { simple | cipher } hex-string,配置AH协议的认证密钥(以16进制方式输入)。

		#安全协议采用ESP协议时,配置ESP协议的认证密钥。
        	sa string-key { inbound | outbound } esp { simple | cipher } string-key,配置ESP协议的认证密钥(以字符串方式输入)。
        	sa authentication-hex { inbound | outbound } esp { simple | cipher } hex-string,配置ESP协议的认证密钥(以16进制方式输入)。

			sa encryption-hex { inbound | outbound } esp { simple | cipher } hex-string,配置ESP协议的加密密钥(以16进制方式输入

	#ISAKMP方式
		ipsec policy policy-name seq-number isakmp,创建ISAKMP方式IPSec安全策略,并进入ISAKMP方式IPSec安全策略视图
		
		security acl acl-number [ dynamic-source ],在IPSec安全策略中引用ACL
		
		proposal proposal-name,在IPSec安全策略中引用IPSec安全提议
		
		ike-peer peer-name,在IPSec安全策略中引用IKE对等体
		
#接口上应用IPSec策略
	interface xxx 
	 ipsec policy policy-name

(3)接口上应用安全策略组

两端对等体IPSec参数匹配,IPSec隧道建立。

采用虚拟隧道接口方式建立IPSec隧道

#配置IPSec安全提议
	ipsec proposal proposal-name,创建IPSec安全提议并进入IPSec安全提议视图
	
	transform { ah | esp | ah-esp },配置安全协议
	
	#配置安全协议的认证/加密算法(通ACL方式)
	
#配置IPSec安全框架

	ipsec profile profile-name,创建安全框架,并进入安全框架视图
	
	proposal proposal-name,在安全框架中引用IPSec安全提议。 

	ike-peer peer-name,在安全框架中引用IKE对等体

#配置虚拟隧道/隧道模板接口
	interface tunnel interface-number,进入Tunnel接口视图
	#ip address ip-address { mask | mask-length } [ sub ],配置Tunnel接口的IPv4私网地址
	
		ip address ip-address { mask | mask-length } [ sub ],手工配置Tunnel接口的IPv4私网地址
		
		(只针对IPSec类型的Tunnel接口)执行命令ip address ike-negotiated,配置通过IKEv2协商为Tunnel接口申请IPv4地址
		
	source { [ vpn-instance vpn-instance-name ] source-ip-address | interface-type interface-number [ standby ] },配置Tunnel接口的源地址或源接口
	
	ipsec profile profile-name [ shared ],在Tunnel接口上应用IPSec安全框架,使其具有IPSec的保护功能

	

配置举例

配置采用手工方式建立IPSec隧道

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TATfap32-1616834248120)(C:\Users\Lenovo\AppData\Roaming\Typora\typora-user-images\image-20210326205511234.png)]

https://download.csdn.net/download/qq_43710889/16159368

采用默认配置通过IKE协商方式建立IPSec隧道示例

https://download.csdn.net/download/qq_43710889/16159377

配置虚拟隧道接口建立GRE over IPSec隧道示例

https://download.csdn.net/download/qq_43710889/16166843

ps:因为模拟器受限,所以IPSec很多实验都没有办法完成。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/100096.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • Android开发入门教程pdf「建议收藏」

    Android开发入门教程pdf「建议收藏」下载地址:网盘下载欢迎进入神秘的android世界!自2008年相关设备进入市场以来,android的发展日新月异,android设备日益繁盛,而其背后开发应用潜藏的经济效益也展露无遗!作为android入门教程,本书将引领大家开发引人入胜的android2.x应用,包括如何设计gui、如何使用gps和访问web服务,以及如何将理念转换成实际应用!本书包含…

  • java8中LocalDate和Date之间的转换

    java8中LocalDate和Date之间的转换因为切换到了java8,但是一些东西还是使用的importjava.util.Date对象表示的,所以需要对他们进行转换,封装了一个工具类,具体,如下:/***张科*2019年1月14日20:55:54*/publicclassDateAndLocalDateUtil{/***localDate转Date*/…

  • 2021年顶级编程语言名单出炉,SQL位居榜首,Java、Python紧随其后

    2021年顶级编程语言名单出炉,SQL位居榜首,Java、Python紧随其后不同的编程语言会对我们的求职产生相当大的影响,但是目前哪种编程语言最受公司欢迎呢?EmsiBurningGlass收集并分析了数百万个招聘信息,qizhon给SQL位居榜首,Java位列第二,Python排名第三。

  • L1正则化的理解(l1和l2正则化代表什么意思)

    在论文中看到L1正则化,可以实现降维,加大稀疏程度,菜鸟不太懂来直观理解学习一下。在工程优化中也学习过惩罚函数这部分的内容,具体给忘记了。而正则化正是在损失函数后面加一个额外的惩罚项,一般就是L1正则化和L2正则化。之所以叫惩罚项就是为了对损失函数(也就是工程优化里面的目标函数)的某个或些参数进行限制,从而减少计算量。L1正则化的损失函数是是不光滑的,L2正则化的损失函数…

  • android 简单的登录

    android 简单的登录

  • html b5纸尺寸,b5纸的大小?「建议收藏」

    html b5纸尺寸,b5纸的大小?「建议收藏」B5纸的大小是18.2cm*25.7cm,也就是说B5纸是182*257毫米32开B5一般有两种尺寸,EXTRA也就是标准的就是20.1cmX27.6cm还有一种是18.2cmX25.7cmA4纸是多少开的?这要从纸张的制作说起,纸张的规格是指纸张制成后,经过修整切边,裁成一定的尺寸。过去是以多少开(例如8开或16开等)来表示纸张的大小。现在通常采用国际标准,规定以A0、A1、A2、B1、B2…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号