【华为】IPsec VPN 实验配置(动态地址接入)

news2024/12/23 18:33:32

【华为】IPsec VPN 实验配置(动态地址接入)

  • 注意
  • 实验需求
  • 配置思路
  • 配置命令
    • 拓扑
    • R1
      • 基础配置
      • 配置第一阶段 IKE SA
      • 配置第二阶段 IPsec SA
    • ISP_R2
      • 基础配置
    • R3
      • 基础配置
      • 配置第一阶段 IKE SA
      • 配置第二阶段 IPsec SA
    • PC
      • PC1
      • PC2
  • 检查
    • 建立成功
      • 查看命令
      • 清除IKE / IPsec SA命令
  • 配置文档

在这里插入图片描述

注意

因为本篇文章,就是IPsec的实验配置的话,是有一个IP地址不固定的情况下
我们这个就需要用到野蛮模式的,也就是第一阶段会更改模式啦,记得哦,两端都需要更改呀

对于地址固定的总部来说,需要以下注意的点:
① 动态模板 :如拓扑图中,R1是地址固定那一段,然后它想和自己的分部R3建立IPsec VPN,在不清楚R3的IP地址下,是无法用常规的办法来配置,我们就只能用template来建立啦~
② 无需设置ACL: 因为我们并不清楚分部那边有哪些私网的网段

那如何去与一端地址不固定的设备建立IPsec 呢?

  1. 用地址不固定的R3 去主动和R1发起IKE 协商
  2. 在经过IKE的协商过后,R1 就在IKE 的SA中获取到需要保护的兴趣流,也就是ACL的内容

配置和解决办法都在后面哦,感兴趣的就可以继续往后看呀

实验需求

R1为企业总部网关,R3为企业分部网关,分部与总部通过公网建立通信。
分部子网不固定,而总部子网固定为202.101.12.0/24。

企业希望对分部子网与总部子网之间相互访问的流量进行安全保护。分部与总部通过公网建立通信,可以在分部网关与总部网关之间建立一个IPSec隧道来实施安全保护。
在这里插入图片描述

配置思路

  1. 基础配置, 配置接口的IP地址和到对端的静态路由,保证两端路由可达。

  2. 第一阶段 IKE SA
    ① 配置IKE安全提议,定义IKE保护数据流方法
    ② 配置IKE对等体,定义对等体间IKE协商时的属性,在这边就要特别的小心,一定要记得去把主模式改为野蛮模式,两端都需要修改

  3. 第二阶段 IPsec SA
    ① 配置ACL,以定义需要IPSec保护的数据流(R1不需要配置,R3 需要)
    ② 配置IPSec安全提议,定义IPSec的保护方法
    ③ 地址固定端(R1):配置策略模板,模板内容(IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法),并在安全策略中引用该策略模板
    ③ 地址不固定端(R3):配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法

  4. 在接口上应用安全策略组,使接口具有IPSec的保护功能

IPsec VPN 本质:阶段一保护阶段二 阶段二保护数据

配置命令

拓扑

在这里插入图片描述

R1

基础配置

配置R1的基础配置,再用默认路由实现公网可达

[Huawei]sysn R1
[R1]undo info-center enable    ## 关闭CLI系统提示消息

[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 202.101.12.1 24
[R1-GigabitEthernet0/0/0]qu

[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.10.254 24    
[R1-GigabitEthernet0/0/1]qu

[R1]ip route-static 0.0.0.0 0.0.0.0 202.101.12.2          ##配置默认路由指向ISP_R2运营商,实现公网可达

配置第一阶段 IKE SA

协商出IKE SA ,对第二阶段IPsecSA的协商过程做保护

## 创建R1的IKE安全提议,名字为 1
[R1]ike proposal 1
[R1-ike-proposal-1]encryption-algorithm 3des-cbc    ## 用3des-cbc来加密IKE
[R1-ike-proposal-1]authentication-algorithm md5     ## 用md5来认证
[R1-ike-proposal-1]dh group5                        ## 启用DH组5
[R1-ike-proposal-1]qu

## 创建IKEv1对等体,名字为 1,配置预共享密钥和修改主模式
[R1]ike peer 1 v1             
[R1-ike-peer-1]exchange-mode aggressive            ## 记得修改为野蛮模式哦
[R1-ike-peer-1]ike-proposal 1                      ## 引用安全提议 1
[R1-ike-peer-1]pre-shared-key simple 520           ## 预共享密钥 为 520
[R1-ike-peer-1]qu

配置第二阶段 IPsec SA

在阶段1建立的IKE SA的保护下完成IPSec SA的协商

## 配置IPSec安全提议,名字为 1
[R1]ipsec proposal 1
[R1-ipsec-proposal-1]esp encryption-algorithm 3des       ## 用ESP头部封装IPsec,用3des加密
[R1-ipsec-proposal-1]esp authentication-algorithm md5    ## 用ESP头部封装IPsec,用md5认证
[R1-ipsec-proposal-1]encapsulation-mode tunnel           ## 采用隧道模式
[R1-ipsec-proposal-1]qu

## 配置策略模板,名字为 1,优先级为 1,并在安全策略中引用该策略模板
[R1]ipsec policy-template 1 1
[R1-ipsec-policy-templet-1-1]ike-peer 1
[R1-ipsec-policy-templet-1-1]proposal 1
[R1-ipsec-policy-templet-1-1]qu
[R1]ipsec policy mypolicy 1 isakmp template 1    ## 安全策略名字为 1,引用策略模板 1

## 接口下调用安全策略 1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ipsec policy mypolicy
[R1-GigabitEthernet0/0/0]qu

ISP_R2

基础配置

[Huawei]sysn ISP_R2

[ISP_R2]undo info-center enable
[ISP_R2]int g0/0/0
[ISP_R2-GigabitEthernet0/0/0]ip address 202.101.12.2 24
[ISP_R2-GigabitEthernet0/0/0]qu

[ISP_R2]int g0/0/1
[ISP_R2-GigabitEthernet0/0/1]ip address 202.101.23.2 24
[ISP_R2-GigabitEthernet0/0/1]qu

R3

基础配置

配置R3的基础配置,再用默认路由实现公网可达
像本篇中,R3 的地址如何实现不固定呢?
是公司向运营商申请的公网IP地址是有租期的,用PPPoE来获取,那每一段时间都会变更一下,这个才是现在的常态,但总部的IP地址,尽量就是固定的

[Huawei]sysn R3

[R3]undo info-center enable
Info: Information center is disabled.

[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip address 202.101.23.3 24
[R3-GigabitEthernet0/0/0]qu

[R3]int g0/0/1
[R3-GigabitEthernet0/0/1]ip address 192.168.20.254 24
[R3-GigabitEthernet0/0/1]qu

[R3]ip route-static 0.0.0.0 0.0.0.0 202.101.23.2        ##配置默认路由指向ISP_R2运营商,实现公网可达

配置第一阶段 IKE SA

协商出IKE SA ,对第二阶段IPsecSA的协商过程做保护

[R3]ike proposal 1
[R3-ike-proposal-1]encryption-algorithm 3des-cbc 
[R3-ike-proposal-1]authentication-algorithm md5 
[R3-ike-proposal-1]dh group5
[R3-ike-proposal-1]qu

[R3]ike peer 1 v1
[R3-ike-peer-1]exchange-mode aggressive 
[R3-ike-peer-1]ike-proposal 1
[R3-ike-peer-1]pre-shared-key simple 520
[R3-ike-peer-1]remote-address 202.101.12.1
[R3-ike-peer-1]qu

配置第二阶段 IPsec SA

在阶段1建立的IKE SA的保护下完成IPSec SA的协商

[R3]ipsec proposal 1
[R3-ipsec-proposal-1]encapsulation-mode tunnel 
[R3-ipsec-proposal-1]esp encryption-algorithm 3des 
[R3-ipsec-proposal-1]esp authentication-algorithm md5 
[R3-ipsec-proposal-1] qu

[R3]acl 3000
[R3-acl-adv-3000]rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 
[R3-acl-adv-3000]qu

[R3]ipsec policy mypolicy 1 isakmp 
[R3-ipsec-policy-isakmp-mypolicy-1]ike-peer 1
[R3-ipsec-policy-isakmp-mypolicy-1]proposal 1
[R3-ipsec-policy-isakmp-mypolicy-1]security acl 3000
[R3-ipsec-policy-isakmp-mypolicy-1]qu

[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ipsec policy mypolicy 
[R3-GigabitEthernet0/0/0]qu

PC

PC1

在这里插入图片描述

PC2

在这里插入图片描述

检查

那么大家在这个地址不固定的情况下,记得是用R3那边的主机来发起链接
因为R1它并不知道对方的情况,就只能等待R3来发起连接啦
但华为的话,它是可以自动发起连接的,能Ping 通就好啦
在这里插入图片描述

建立成功

细心的就能发现,里面野蛮模式交换的是三个报文,然后成功协商IKE SA
而快速模式的三个报文,就成功的协商IPsec SA
这两个出来就成功建立了 IPsec VPN,对流量实施了加密啦~
这个就是和主模式的六个报文有了区分咯
在这里插入图片描述

查看命令

查看IKE SA的基本信息
[R1]display ike sa
在这里插入图片描述
查看IPsec SA的基本信息
[R1]display ipsec sa
大家可以在图中看到,里面有tunnel的源和目的,就是总部R1上查看IPsec SA信息
可以看到R3此时的IP地址是202.101.23.3 ,这个是它自己获取到的,我们什么都没有动
还有R1 也能通过IPsec SA获取到类似于ACL中,需要匹配保护的流量
所以刚才在上面讲的那么多,都是为了这个而铺垫哒
在这里插入图片描述

清除IKE / IPsec SA命令

在IPsec VPN 建立完成后,我们想修改一些东西的时候,需要把SA清除干净,这个时候才会去重新建立IPsec VPN,我们所添加的东西才会生效
提醒一下呀,就是先把自己需要改的东西先改好,然后再刷新一下
因为华为的IPsec是自动建立的

reset ike sa all
reset ipsec sa

在这里插入图片描述

配置文档

R1

sys
sysn R1 

undo info-center enable       

int g0/0/0
ip address 202.101.12.1 24
qu
int g0/0/1
ip address 192.168.10.254 24
qu
ip route-static 0.0.0.0 0.0.0.0 202.101.12.2

ike proposal 1
encryption-algorithm 3des-cbc 	
authentication-algorithm md5 
dh group5
qu

ike peer 1 v1
exchange-mode aggressive 
ike-proposal 1
pre-shared-key simple 520
qu

ipsec proposal 1
esp encryption-algorithm 3des 
esp authentication-algorithm md5 
encapsulation-mode tunnel 

ipsec policy-template 1 1
ike-peer 1
proposal 1
qu

ipsec policy mypolicy 1 isakmp template 1 

int g0/0/0
ipsec policy mypolicy
qu

R2

sys
sysn ISP_R2
int g0/0/0
ip address 202.101.12.2 24
qu
int g0/0/1
ip address 202.101.23.2 24
qu

R3


sys
sysn R3

undo info-center enable

int g0/0/0
ip address 202.101.23.3 24
qu
int g0/0/1
ip address 192.168.20.254 24
qu
ip route-static 0.0.0.0 0.0.0.0 202.101.23.2

ike proposal 1
encryption-algorithm 3des-cbc 
authentication-algorithm md5 
dh group5
qu

ike peer 1 v1
exchange-mode aggressive 
ike-proposal 1
pre-shared-key simple 520
remote-address 202.101.12.1
qu

ipsec proposal 1
encapsulation-mode tunnel 
esp encryption-algorithm 3des 
esp authentication-algorithm md5 

acl 3000
rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 
qu

ipsec policy mypolicy 1 isakmp 
ike-peer 1
proposal 1
security acl 3000
qu

int g0/0/0
ipsec policy mypolicy 
qu

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1368855.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

视频号小店和抖音小店相比,新手做哪个比较好?

我是电商珠珠 抖音小店在19年被抖音所发展,在这过程中,抖音小店通过自身的不断完善,从兴趣电商到全域兴趣电商模式,从直播电商到商城的出现,凭借着门槛低流量高的优势,让很多商家尝到了红利。 尤其是在20…

CVE-2023-51385 OpenSSH ProxyCommand命令注入漏洞

一、背景介绍 ProxyCommand 是 OpenSSH ssh_config 文件中的一个配置选项,它允许通过代理服务器建立 SSH 连接,从而在没有直接网络访问权限的情况下访问目标服务器。这对于需要经过跳板机、堡垒机或代理服务器才能访问的目标主机非常有用。 二、漏洞简…

解码 Elasticsearch 查询 DSL:利用 Elasticsearch 中的 has_child 和 has_parent 查询进行父子文档搜索

今天,让我们深入研究 has_child 查询和 has_parent 查询,这将帮助我们将 2 个不同的文档组合到一个索引中,从而使我们能够将它们与关系关联起来。 这样做会对我们搜索相关文档时有很大帮助。 在使用 has_child 及 has_parent 这种关系时&…

计算机网络 —— 物理层

物理层 2.1 物理层的基本概念 物理层考虑的是怎样才能在连接各种计算机的传输媒体上传输数据比特流。 物理层为数据链路层屏蔽了各种传输媒体的差异,使数据链路层只需要考虑如何完成本层的协议和服务,而不必考虑网络具体的传输媒体是什么 2.2 物理层下…

Maven 工程 java -jar 时提示 xxx-SNAPSHOT.jar 中没有主清单属性

Maven 工程 java -jar 时提示 xxx-SNAPSHOT.jar 中没有主清单属性 将skip属性注释掉或者改为false 如果为true,则工程找不到主启动类

git安装教程 Windows 附安装包链接

Git是一款分布式源代码管理工具(版本控制工具) 。 git的作用 当你需要做一个大工程的时候,文件的管理无疑是非常庞大的工作,因为你需要不断的修改更新文件内容,同时可能还要保留旧版本保证可以复原,这样就需要备份多个版本的文件…

在wsl中安装miniconda

下载安装包 打卡miniconda的官网https://docs.conda.io/projects/miniconda/en/latest/,下载下来安装包,或者直接在乌班图中运行命令wget https://repo.anaconda.com/miniconda/Miniconda3-py38_23.5.2-0-Linux-x86_64.sh,等待下载完毕 安装 到下载目录下执行命令…

【WinRAR】右键压缩文件功能没了怎么办?

我们安装了WinRAR之后想要压缩文件,但是右键点击文件之后发现并没有WinRAR压缩选项,这应该如何设置才能出现右键带有压缩选项呢?方法如下: 首先打开WinRAR,在上面功能中点击选项 – 设置 然后我们在设置界面中切换到集…

C++学习笔记(二十九):c++ 创建与使用库

c自己创建库并使用库。当项目较大时,创建库有助于帮助代码模块化,同时提高代码重用。同时使用库允许程序中混合使用编程语言。首先创建一个空项目名为Game,接着在visiualstudio的解决方案上右击->添加->新建项目,添加一个空…

TS 36.213 V12.0.0-PUSCH相关过程(1)-传输PUSCH的UE过程

​本文的内容主要涉及TS 36.213,版本是C00,也就是V12.0.0。

全新链动2+1模式,提升用户粘性度,增加产品复购率!

在互联网电商行业中,消费增值模式已经成为一种强大的营销工具。通过将消费者所消费的金额转化为积分,再利用平台的销售业绩作为托底,使得积分的价值不断增长,从而增加了消费者的忠诚度和黏性。然而,在实际操作中&#…

MySQL批量插入技巧

关于MySQL批量插入的一些问题 MySQL一直是我们互联网行业比较常用的数据,当我们使用半ORM框架进行MySQL大批量插入操作时,你是否考虑过这些问题: 进行大数据量插入时,是否需要进行分批次插入,一次插入多少合适?有什么…

npm run dev,vite 配置 ip 访问

启动项目通过本地 ip 的方式访问 方式一.通过修改 package.json "scripts": {"dev": "vite --host 0.0.0.0",}, 方式二.通过修改 vite.config.ts export default defineConfig({plugins: [vue(), vueJsx()],server: { // 配置 host 与 port 方…

使用串口 DMA 模式接收不定长数据

一、简介 曾经遇到客户有一个需求,需要用串口 DMA 的方式接收不定长度的数据,DMA 有个缺点就是在每次传输前需要设定好传输的字节长度,这种方式显然对于接收不定长度的数据来说没有那么灵活。但 DMA 也有着显著的优点,如可直接访…

AI模型部署基础知识(一):模型权重与参数精度

一般情况来说,我们通过收集数据,训练深度学习模型,通过反向传播求导更新模型的参数,得到一个契合数据和任务的模型。这一阶段,通常使用python&pytorch进行模型的训练得到pth等类型文件。AI模型部署就是将在python环…

华为mux vlan+DHCP+单臂路由用法配置案例

最终效果: vlan 2模拟局域网服务器,手动配置地址,也能上公网 vlan 3、4用dhcp分配地址 vlan 4的用户之间不能互通,但可以和其它vlan通,也能上公网 vlan 3的用户不受任何限制可以和任何vlan通,也能上公网 交…

C# Onnx yolov8 竹签计数、一次性筷子计数

目录 效果 模型信息 项目 代码 数据集 下载 C# Onnx yolov8 竹签计数、一次性筷子计数 效果 模型信息 Model Properties ------------------------- date:2024-01-03T08:55:22.768617 author:Ultralytics task:detect license&#x…

信息论与编码期末复习——计算题+基础汇总(二)

个人名片: 🦁作者简介:一名喜欢分享和记录学习的在校大学生 🐯个人主页:妄北y 🐧个人QQ:2061314755 🐻个人邮箱:2061314755qq.com 🦉个人WeChat:V…

卷积神经网络|猫狗分类系列--导入kaggle猫狗数据集

解决任何真实问题的重要一步是获取数据,Kaggle提供了大量不同数据科学问题的竞赛。 我们将从 https://www.kaggle.com/competitions/dogs-vs-cats/data 下载猫狗数据集,并对其进行一定的操作,以正确的导入到我们的计算机,为接下…

基于SpringBoot的员工健康管理系统

文章目录 项目介绍主要功能截图:部分代码展示设计总结项目获取方式 🍅 作者主页:超级无敌暴龙战士塔塔开 🍅 简介:Java领域优质创作者🏆、 简历模板、学习资料、面试题库【关注我,都给你】 &…