IPSec配置与实验

IPSec配置与实验

IPSec配置与实验

IPSec缺省配置

参数 缺省配置
IKE协商时的本端名称 设备本地名称。
发送NAT Keepalive报文时间间隔 20秒。
IKE安全提议 系统缺省提供了一条优先级最低的IKE安全提议
IPSec安全提议 系统没有配置IPSec安全提议。
SA触发方式 自动触发方式。
IKE SA硬生存周期 86400秒。
全局IPSec SA硬生存周期 基于时间:3600秒。基于流量:1843200千字节(1800兆)。
对解密报文进行ACL检查 未使能。
全局IPSec抗重放功能 使能。
全局IPSec抗重放窗口的大小 1024。
IPSec隧道加密报文分片方式 加密后分片。
NAT穿越功能 使能。

采用ACL方式建立IPSec隧道

采用ACL方式建立IPSec隧道配置流程

(1)准备工作

1.定义需要保护的数据流

2.确定IPSec的保护方法

  • 安全协议
  • 认证算法
  • 加密算法
  • 报文封装模式

3.确定IKE的保护方法

  • IKE安全提议(ike proposal)
  • 认证方法(authentication-method)
  • 认证算法(authentication-algorithm)
  • 加密算法(encryption-algorithm)
  • DH密码组(dh)
  • IKE SA存活时间(sa duration)
  • 扩展参数

4.IKE协商时对等体间的属性

ike peer:

  • 引用IKE安全提议
  • 认证算法对应的认证密钥
  • 对端IP地址
  • 阶段1认证模式
  • 扩展参数

(2)配置安全策略:对指定的数据流采用指定的保护方法

手工方式安全策略(ipsec policy manual)

  • 引用ACL(security acl)
  • 引用IPSec安全提议(proposal)
  • IPSec隧道的起点终点
  • SA出/入方向的SPI值
  • SA出/入方向安全协议的认证密钥和加密密钥
  • 扩展参数

通过ISAKMP创建IKE动态协商方式安全策略

  • 引用ACL(security acl)
  • 引用IPSec安全提议(proposal)
  • 引用IKE对等体(ike-peer)
  • 扩展参数

通过策略模板创建IKE动态协商方式安全策略

  • 引用ACL(security acl)
  • 引用IPSec安全提议(proposal)
  • 引用IKE对等体(ike-peer)
  • 扩展参数
#定义需要保护的数据流
	[Huawei] acl 3001       
	[Huawei-acl-adv-3001] rule permit ip source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255

#配置IPSec安全提议
	ipsec proposal proposal-name 创建IPSec安全提议,并进入IPSec安全提议视图

	transform { ah | esp | ah-esp },配置安全协议

		AH协议只能对报文进行认证,只能配置AH协议的认证算法
			ah authentication-algorithm { md5 | sha1 | sha2-256 | sha2-384 | sha2-512 | sm3 } ,配置AH协议使用的认证算法

		ESP协议允许对报文同时进行加密和认证
			esp authentication-algorithm { md5 | sha1 | sha2-256 | sha2-384 | sha2-512 | sm3 } *,配置ESP协议使用的认证算法。

			esp encryption-algorithm { des | 3des | aes-128 | aes-192 | aes-256 | sm1 | sm4 | aes-128-gcm-128 | aes-192-gcm-128 | aes-256-gcm-128 } *,配置ESP协议使用的加密算法。

#配置IPSec安全策略
	#手工方式
	ipsec policy policy-name seq-number manual,创建手工方式IPSec安全策略,并进入手工方式IPSec安全策略视图。
	
	security acl acl-number,在IPSec安全策略中引用ACL。
	
	proposal proposal-name,在IPSec安全策略中引用IPSec安全提议
	
	#配置IPSec隧道的起点和终点
		tunnel local ipv4-address,配置IPSec隧道的本端地址。


    	tunnel remote ip-address,配置IPSec隧道的对端地址。

	#配置出/入方向SA的SPI值	
		sa spi outbound { ah | esp } spi-number,配置出方向SA的SPI。


		sa spi inbound { ah | esp } spi-number,配置入方向SA的SPI。

	#配置出/入方向SA的认证密钥和加密密钥。
		#安全协议采用AH协议时,配置认证密钥
			sa string-key { inbound | outbound } ah { simple | cipher } string-key,配置AH协议的认证密钥(以字符串方式输入)。

			sa authentication-hex { inbound | outbound } ah { simple | cipher } hex-string,配置AH协议的认证密钥(以16进制方式输入)。

		#安全协议采用ESP协议时,配置ESP协议的认证密钥。
        	sa string-key { inbound | outbound } esp { simple | cipher } string-key,配置ESP协议的认证密钥(以字符串方式输入)。
        	sa authentication-hex { inbound | outbound } esp { simple | cipher } hex-string,配置ESP协议的认证密钥(以16进制方式输入)。

			sa encryption-hex { inbound | outbound } esp { simple | cipher } hex-string,配置ESP协议的加密密钥(以16进制方式输入

	#ISAKMP方式
		ipsec policy policy-name seq-number isakmp,创建ISAKMP方式IPSec安全策略,并进入ISAKMP方式IPSec安全策略视图
		
		security acl acl-number [ dynamic-source ],在IPSec安全策略中引用ACL
		
		proposal proposal-name,在IPSec安全策略中引用IPSec安全提议
		
		ike-peer peer-name,在IPSec安全策略中引用IKE对等体
		
#接口上应用IPSec策略
	interface xxx 
	 ipsec policy policy-name

(3)接口上应用安全策略组

两端对等体IPSec参数匹配,IPSec隧道建立。

采用虚拟隧道接口方式建立IPSec隧道

#配置IPSec安全提议
	ipsec proposal proposal-name,创建IPSec安全提议并进入IPSec安全提议视图
	
	transform { ah | esp | ah-esp },配置安全协议
	
	#配置安全协议的认证/加密算法(通ACL方式)
	
#配置IPSec安全框架

	ipsec profile profile-name,创建安全框架,并进入安全框架视图
	
	proposal proposal-name,在安全框架中引用IPSec安全提议。 

	ike-peer peer-name,在安全框架中引用IKE对等体

#配置虚拟隧道/隧道模板接口
	interface tunnel interface-number,进入Tunnel接口视图
	#ip address ip-address { mask | mask-length } [ sub ],配置Tunnel接口的IPv4私网地址
	
		ip address ip-address { mask | mask-length } [ sub ],手工配置Tunnel接口的IPv4私网地址
		
		(只针对IPSec类型的Tunnel接口)执行命令ip address ike-negotiated,配置通过IKEv2协商为Tunnel接口申请IPv4地址
		
	source { [ vpn-instance vpn-instance-name ] source-ip-address | interface-type interface-number [ standby ] },配置Tunnel接口的源地址或源接口
	
	ipsec profile profile-name [ shared ],在Tunnel接口上应用IPSec安全框架,使其具有IPSec的保护功能

	

配置举例

配置采用手工方式建立IPSec隧道

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TATfap32-1616834248120)(C:\Users\Lenovo\AppData\Roaming\Typora\typora-user-images\image-20210326205511234.png)]

https://download.csdn.net/download/qq_43710889/16159368

采用默认配置通过IKE协商方式建立IPSec隧道示例

https://download.csdn.net/download/qq_43710889/16159377

配置虚拟隧道接口建立GRE over IPSec隧道示例

https://download.csdn.net/download/qq_43710889/16166843

ps:因为模拟器受限,所以IPSec很多实验都没有办法完成。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/100096.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • datax(3): win环境cmd乱码「建议收藏」

    datax(3): win环境cmd乱码「建议收藏」通过前面两篇文章,大家应该已经可以安装成功datax,但是在win的cmd下竟然中文乱码。解决它!!!一,环境win10datax3.xcmdpy3.x二,现象运行python\xxx\datax.py\xxx\job.json后控制台乱码三,解决1,临时解决命令:chcp(更改该控制台的活动控制台代码页)过程:cmd下输入chcp65001改变当前代码页变为utf-8编码常用的编码及对应的码值(10进制):十进制码值 对应编码名称950 .

  • Java中的构造方法[通俗易懂]

    Java中的构造方法[通俗易懂]简述前言:【08-10】构造方法   定义:就是类构造对象时调用的方法,主要用来实例化对象。构造方法分为无参构造方法、有参构造方法。   概念:构方法是一种特殊的“成员方法”     1,构造方法作用:(1)构造出来一个类的实例(2)对构造出来个一个类的实例(对象)初始化     2,构造方法的名字必须与定义他的类名完全相同,没有返回类型,甚至连void也没有 …

  • ssl证书过期;申请以及Nginx配置。

    ssl证书过期;申请以及Nginx配置。1,登录阿里云,工作台找SSL证书或者安全下找CA证书2,点击创建证书(或购买证书),创建好以后点击证书申请、3,设置配置以及域名信息,仅填写圈住内容,其他默认即可4,随后等待一会,查看状态,是否为 已签发5,为已签发时,点击下载选择下载类型6,下载后解压文件7,上传至服务器,存放位置,先找到nginx所在位置 “/nginx/conf/”找到该位置创建“cert”把刚才解压的两个文件存放至此。8,开始nginx配置内容`server { #SSL 访问端口号为 443 li

  • Java介绍,发展历史,Java语言的优势,Java开发什么软件,Java用到的术语JDK,JRE,JVM等,Java命令Java,javac,javados等

    Java介绍,发展历史,Java语言的优势,Java开发什么软件,Java用到的术语JDK,JRE,JVM等,Java命令Java,javac,javados等1.Java是什么(Java是一种高级语言)2,.Java发展历史以及JDK版本3.java能做什么,可用于开发什么软件。4.Java语言相对于其他语言的优势Java中用到的一些术语(JRE,JDK,JVM)提前检测本机中是否安装好JDK之类的东西可以通过在dos窗口中输入一些指令来完成安装JDK时,先点击运行.exe文件,安装完成后windows+R—->输入cmd——->可在dos窗口输入Java命令来判断是否安装成功,步骤如下图所示。安装成功一般在

  • C++中resize函数的用法

    resize(),设置大小;reserve(),设置容量;resize()是分配容器的内存大小,而reserve()只是设置容器容量大小,但并没有真正分配内存。resize()可以传递两个参数,分别是大小和初始值,初始值默认为0,reserve()只能传递一个参数,不能设置初始值,其初始值为系统随机生成。例:#include<iostream>#include&…

  • linux cat /etc/passwd 说明

    linux cat /etc/passwd 说明

    2021年10月27日

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号