IPsec-VPN中文解释

news2024/11/15 11:08:19

网络括谱图

IPSec-VPN 配置思路

1 配置IP地址

FWA:IP地址的配置

[FW1000-A]interface  GigabitEthernet  1/0/0 

[FW1000-A-GigabitEthernet1/0/0]ip address  10.1.1.1 24  //配置IP地址

[FW1000-A]interface  GigabitEthernet  1/0/2

[FW1000-A-GigabitEthernet1/0/2]ip address  2.2.2.1 24

FWB:IP地址配置

[FW1000-B]interface  GigabitEthernet  1/0/3

[FW1000-B-GigabitEthernet1/0/3]ip address  10.1.2.1 24

[FW1000-B]interface  GigabitEthernet  1/0/4

[FW1000-B-GigabitEthernet1/0/4]ip add

[FW1000-B-GigabitEthernet1/0/4]ip address  2.2.3.1 24

INTERNET-SW1:将接口开成三层接口

[INTERENT-SW]interface  GigabitEthernet  1/0/1

[INTERENT-SW-GigabitEthernet1/0/1]port link-mode  route  //交换机的模式是三层

[INTERENT-SW-GigabitEthernet1/0/1]ip address  2.2.2.2 24

[INTERENT-SW-GigabitEthernet1/0/1]quit

[INTERENT-SW-GigabitEthernet1/0/3]port link-mode  route

[INTERENT-SW-GigabitEthernet1/0/3]ip address  2.2.3.2 24

2 防火墙的接口加入指定的防火墙区域

(Local

Turst

Untrust

DMZ 

Management)

FWA:配置思路

[FW1000-A]security-zone  name  Trust  //进入对应的区域

[FW1000-A-security-zone-Trust]import  interface  GigabitEthernet  1/0/0

//将接口加入到指定的区域

[FW1000-B-security-zone-Trust]quit

[FW1000-A]security-zone name  Untrust 

[FW1000-A-security-zone-Untrust]import  interface  GigabitEthernet  1/0/2

[FW1000-A-security-zone-Untrust]

FWB配置思路

[FW1000-B]security-zone  name  Trust 

[FW1000-B-security-zone-Trust]import  interface  GigabitEthernet  1/0/3

[FW1000-B-security-zone-Trust]quit

[FW1000-B]security-zone  name  Untrust

[FW1000-B-security-zone-Untrust]import  interface  GigabitEthernet  1/0/4

3 防火墙的接口默认是封 ping的需要解ping

FWA配置思路

[FW1000-A-GigabitEthernet1/0/0]manage  ping  outbound //出口流量解ping

[FW1000-A-GigabitEthernet1/0/0]manage  ping  inbound  //入口流量解ping

[FW1000-A-GigabitEthernet1/0/0]quit

[FW1000-A-GigabitEthernet1/0/2]manage  ping  outbound

[FW1000-A-GigabitEthernet1/0/2]manage  ping  inbound

FWB配置思路

[FW1000-B]interface  GigabitEthernet  1/0/4

[FW1000-B-GigabitEthernet1/0/4]manage  ping  outbound

[FW1000-B-GigabitEthernet1/0/4]manage  ping  inbound

[FW1000-B-GigabitEthernet1/0/4]quit

[FW1000-B]interface  GigabitEthernet  1/0/3

[FW1000-B-GigabitEthernet1/0/3]manage  ping outbound

[FW1000-B-GigabitEthernet1/0/3]manage  ping in

[FW1000-B-GigabitEthernet1/0/3]manage  ping inbound 0/3]

4 防火墙配置静态路由

FWA配置:

[FW1000-A]ip route-static 10.1.2.0 24 2.2.2.2

//配置静态路由 ip route-static 目标地址 掩码 下一条

[FW1000-A]ip route-static 2.2.3.1 24 2.2.2.2

FWB配置:

[FW1000-B]ip route-static 10.1.1.0 24 2.2.3.2

[FW1000-B]ip route-static 2.2.2.1 24 2.2.3.2

5 配置IPsec隧道策略

配置安全策略放行Untrust与Local安全域之间的流量,用于设备之间可以建立IPsec隧道。

FWA

security-policy ip //进入防火墙的策略

rule name ipseclocalout  //给规则命名字

source-zone local //源区域是 local

备注:local区域是指防火墙上的所有对应的接口

destination-zone untrust //目标区域是 不信任区域 指定的是公网区域

备注: untrust 指定的是外网区域,通常指定的是不可信认的区域

source-ip-host 2.2.2.1 //源接口的IP地址

destination-ip-host 2.2.3.1 //目标接口的IP地址

action pass //使用 "action pass" 可以覆盖这一默认行为,允许特定的流量通过。

Quit //退出

rule name ipseclocalin

source-zone untrust

destination-zone local

source-ip-host 2.2.3.1

destination-ip-host 2.2.2.1

action pass

quit

6 配置安全策略从信任的区域到不信任的区域 trust-untrust

rule name trust-untrust

source-zone trust

destination-zone untrust

source-ip-subnet 10.1.1.0 24

destination-ip-subnet 10.1.2.0 24

action pass

quit

解释:

    规则名称:"trust-untrust",这是该规则的标识名称,方便管理和识别。

    源安全域:"trust",表示数据包的发送方所在的网络区域被划分为 "trust" 安全域,通常代表内部网络或受信任的网络。

    目的安全域:"untrust",表示数据包的接收方所在的网络区域被划分为 "untrust" 安全域,通常代表外部网络或不受信任的网络。

    源IP地址范围:"10.1.1.0 24",指定了允许发送数据包的源IP地址范围,即10.1.1.0到10.1.1.255(子网掩码为255.255.255.0)。

    目的IP地址范围:"10.1.2.0 24",指定了允许接收数据包的目的IP地址范围,即10.1.2.0到10.1.2.255。

    动作:"action pass",定义了当数据包符合上述条件时,防火墙将执行的动作,这里是 "pass",即允许数据包通过。

    退出命令:"quit",用于退出当前的安全策略配置模式。

rule name untrust-trust

source-zone untrust

destination-zone trust

source-ip-subnet 10.1.2.0 24

destination-ip-subnet 10.1.1.0 24

action pass

quit

quit

7 配置ACL 规则

配置ACL规则(高级ACL)

acl advanced 3101

rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

quit

解释:

    rule permit:表示这是一个允许(permit)规则。

    ip:指定该规则适用于IP数据包。

    source 10.1.1.0 0.0.0.255:指定源IP地址范围为10.1.1.0到10.1.1.255(子网掩码为255.255.255.0,即24位掩码)。

    destination 10.1.2.0 0.0.0.255:指定目的IP地址范围为10.1.2.0到10.1.2.255(同样是一个24位掩码的子网)。

8 配置IPsec安全提议,协商封装报文使用的各种安全协议

ipsec transform-set tran1

encapsulation-mode tunnel

protocol esp

esp encryption-algorithm aes-cbc-128

esp authentication-algorithm sha1

quit

解释:

  1. 创建IPSec转换集: ipsec transform-set tran1 命令创建了一个名为 tran1 的IPSec转换集,这是一组安全参数,用于定义IPSec隧道的加密和认证方法。
  2. 设置封装模式: encapsulation-mode tunnel 指定了封装模式为隧道模式,这意味着原始数据包将被完全封装在新的IPSec数据包中,包括源IP和目的IP地址。
  3. 选择协议: protocol esp 选择了ESP协议,它是IPSec的两个主要协议之一,用于在IP层提供数据的加密和认证。
  4. 加密算法: esp encryption-algorithm aes-cbc-128 设置了加密算法为AES-CBC-128,即采用128位密钥的高级加密标准(AES)的密码块链(CBC)模式,这是一种常用的、安全性较高的加密方法。
  5. 认证算法: esp authentication-algorithm sha1 设置了认证算法为SHA-1,即安全哈希算法1,用于验证数据的完整性和来源,防止数据在传输过程中被篡改。
  6. 退出命令模式: quit 命令用于退出当前的配置模式,返回到上一级命令行界面。

9 配置IPsec安全策略,建立IPsec隧道,保护需要防护的数据流

ipsec policy map1 10 manual

security acl 3101

transform-set tran1

remote-address 2.2.3.1

sa spi outbound esp 12345

sa spi inbound esp 54321

sa string-key outbound esp simple abcdefg

sa string-key inbound esp simple gfedcbasa

quit

  1. 创建IPSec安全策略: ipsec policy map1 10 manual 创建了一个名为 map1 的IPSec安全策略,序列号为10,并且是手动模式(manual),这意味着IPSec安全关联(SA)需要手动建立。
  2. 引用访问控制列表(ACL): security acl 3101 指定了该IPSec安全策略将使用编号为3101的ACL来确定哪些流量需要通过IPSec进行保护。
  3. 指定IPSec转换集: transform-set tran1 指定了该IPSec安全策略将使用名为 tran1 的转换集,该转换集定义了加密和认证算法等安全参数。
  4. 配置对端IP地址: remote-address 2.2.3.1 指定了IPSec隧道的对端IP地址为2.2.3.1。
  5. 配置安全关联(SA)的SPI值:
    • sa spi outbound esp 12345 为出站(outbound)的ESP协议配置了一个SPI(Security Parameters Index)值为12345。
    • sa spi inbound esp 54321 为入站(inbound)的ESP协议配置了一个SPI值为54321。
  6. 配置SA的密钥:
    • sa string-key outbound esp simple abcdefg 为出站SA配置了一个简单的字符串密钥“abcdefg”。
    • sa string-key inbound esp simple gfedcbasa 为入站SA配置了一个简单的字符串密钥“gfedcbasa”。

10 在接口上应用IPsec安全策略,对接口上的流量进行保护

interface gigabitethernet 1/0/2

ipsec apply policy map1

quit

  1. interface gigabitethernet 1/0/2
    这条命令用于进入名为GigabitEthernet 1/0/2的网络接口配置模式。这个接口可以是物理接口,也可以是逻辑接口,用于连接网络设备和其他设备,如路由器、交换机或终端设备。
  2. ipsec apply policy map1
    这条命令将名为map1的IPSec安全策略应用到GigabitEthernet 1/0/2接口上。这意味着所有通过该接口的、符合策略map1中定义的ACL(访问控制列表)规则的数据流都将被IPSec保护。这包括数据的加密、认证等安全操作,

11 配置IPsec隧道策略

配置安全策略放行Untrust与Local安全域之间的流量,用于设备之间可以建立IPsec隧道。

security-policy ip

rule name ipseclocalout

source-zone local

destination-zone

source-ip-host 2.2.3.1

destination-ip-host 2.2.2.1

action pass

quit

rule name ipseclocalin

source-zone untrust

destination-zone local

source-ip-host 2.2.2.1

destination-ip-host 2.2.3.1

action pass

quit

12 配置安全策略

配置安全策略 trust-untrust  untrust-trust

rule name trust-untrust

source-zone trust

destination-zone untrust

source-ip-subnet 10.1.2.0 24

destination-ip-subnet 10.1.1.0 24

action pass

quit

rule name untrust-trust

source-zone untrust

destination-zone trust

source-ip-subnet 10.1.1.0 24

destination-ip-subnet 10.1.2.0 24

action pass

quit

quit

13 配置ACL规则

acl advanced 3101

rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

quit

14 配置IPsec安全提议,协商封装报文使用的各种安全协议

ipsec transform-set tran1

encapsulation-mode tunnel

protocol esp

esp encryption-algorithm aes-cbc-128

esp authentication-algorithm sha1

quit

15 配置IPsec安全策略,建立IPsec隧道,保护需要防护的数据流

ipsec policy usel 10 manual

security acl 3101

transform-set tran1

remote-address 2.2.2.1

sa spi outbound esp 54321

sa spi inbound esp 12345

sa string-key outbound esp simple gfedcba

sa string-key inbound esp simple abcdefg

quit

16 在接口上应用IPsec安全策略,对接口上的流量进行保护

interface gigabitethernet 1/0/

ipsec apply policy usel

quit

17 查看配置

<FW1000-A>display  ipsec tunnel   //查看隧道管理

Tunnel ID: 0

Status: Active

SA's SPI:

    outbound:  12345       (0x00003039)   [ESP]  

    inbound:   54321       (0x0000d431)   [ESP]  

Tunnel:

    local  address: 2.2.2.1

    remote address: 2.2.3.1

Flow:

    as defined in IPv4 ACL 3101

<FW1000-A>

<FW1000-A>display  ipsec statistics

  IPsec packet statistics:

    Received/sent packets: 0/0

    Received/sent bytes: 0/0

    Received/sent packet rate: 0/0 packets/sec

    Received/sent byte rate: 0/0 bytes/sec

    Dropped packets (received/sent): 0/0

    Dropped packets statistics

      No available SA: 0

      Wrong SA: 0

      Invalid length: 0

      Authentication failure: 0

      Encapsulation failure: 0

      Decapsulation failure: 0

      Replayed packets: 0

      ACL check failure: 0

      MTU check failure: 0

      Loopback limit exceeded: 0

      Crypto speed limit exceeded: 0

<FW1000-A>display  ipsec policy  //查看ipsec的框架

-------------------------------------------

IPsec Policy: map1

Interface: GigabitEthernet1/0/2

-------------------------------------------

  -----------------------------

  Sequence number: 10

  Mode: Manual

  -----------------------------

  Security data flow: 3101

  Remote address: 2.2.3.1

  Transform set: tran1

  Inbound AH setting:

    AH SPI:

    AH string-key:

    AH authentication hex key:

  Inbound ESP setting:

    ESP SPI: 54321 (0x0000d431)

    ESP string-key: ******

    ESP encryption hex key:

    ESP authentication hex key:

              

  Outbound AH setting:

    AH SPI:

    AH string-key:

    AH authentication hex key:

  Outbound ESP setting:

    ESP SPI: 12345 (0x00003039)

    ESP string-key: ******

    ESP encryption hex key:

    ESP authentication hex key:

<FW1000-A>display  ipse transform-set   // 显示IPsec安全提议的信息

IPsec transform set: tran1

  State: complete

  Encapsulation mode: tunnel

  ESN: Disabled

  PFS:

  Transform: ESP

  ESP protocol:

    Integrity: SHA1

    Encryption: AES-CBC-128

<FW1000-B>display  ipsec sa  //显示SA 相关信息

-------------------------------

Interface: GigabitEthernet1/0/4

-------------------------------

  -----------------------------

  IPsec policy: usel

  Sequence number: 10

  Mode: Manual

  -----------------------------

    Tunnel id: 0

    Encapsulation mode: tunnel

    Path MTU: 1428

    Tunnel:

        local  address: 2.2.3.1

        remote address: 2.2.2.1

    Flow:

        as defined in ACL 3101

    [Inbound ESP SA]

      SPI: 12345 (0x00003039)

      Connection ID: 4294967297

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      No duration limit for this SA

    [Outbound ESP SA]

      SPI: 54321 (0x0000d431)

      Connection ID: 4294967296

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      No duration limit for this SA

<FW1000-B>

<FW1000-A>display  ipsec  sa

-------------------------------

Interface: GigabitEthernet1/0/2

-------------------------------

  -----------------------------

  IPsec policy: map1

  Sequence number: 10

  Mode: Manual

  -----------------------------

    Tunnel id: 0

    Encapsulation mode: tunnel

    Path MTU: 1428

    Tunnel:

        local  address: 2.2.2.1

        remote address: 2.2.3.1

    Flow:

        as defined in ACL 3101

    [Inbound ESP SA]

      SPI: 54321 (0x0000d431)

      Connection ID: 4294967297

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      No duration limit for this SA

    [Outbound ESP SA]

      SPI: 12345 (0x00003039)

      Connection ID: 4294967296

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      No duration limit for this SA

<FW1000-A>

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2155353.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

C#测试调用PdfiumViewer浏览PDF文件的基本用法

印章管理项目后续准备实现打开浏览PDF文件并进行盖章的功能&#xff0c;需要在Winform中使用控件在线浏览PDF文件&#xff0c;在网上找了几个开源的PDF浏览控件进行测试&#xff0c;以便应用于印章管理项目。本文测试调用PdfiumViewer模块打开及浏览PDF文件。   PdfiumViewer…

VisionPro - 基础 - 模板匹配技术和在VP中的使用 - PMAlign - PatMax(4)- 控制模板的匹配

前言&#xff1a; 针对PatMax 的高级应用和原理&#xff0c;在这一节继续进行说明&#xff1a;这一节主要考虑的是PatMax模板匹配的原理&#xff1a;如何控制模板的匹配。 本节先介绍了几个模板匹配的衡量标准&#xff0c;比如模板匹配分数&#xff0c;和模板的几种模板匹配的…

JAVA并发编程系列之Semaphore信号量剖析

腾讯T2面试&#xff0c;现场限时3分钟限最多20行代码&#xff0c;模拟地铁口安检进站。其中安检入口10个&#xff0c;当前排队人数是100个&#xff0c;每个人安检进站耗时5秒。开始吧! 候选人&#xff0c;心中万马奔腾&#xff01;&#xff01;&#xff01;吐了一口82年老血&am…

re题(37)BUUCTF-[GWCTF 2019]xxor

BUUCTF在线评测 (buuoj.cn) 用ida打开文件&#xff0c;ctrle定位main函数 也可以用shiftF12查找字符串&#xff0c;找与我们解题有关的字符串 通过字符串定位到引用字符串的函数 进入main entry 但还不是我们要分析的代码 进入__libc_start_main中的main参数&#xff0c;是我们…

C++20 std::format

一、前言 1、传统 C 格式化的问题与挑战 可读性差&#xff1a;使用 C 中的 printf 和 scanf 家族函数进行格式化输出和输入时&#xff0c;它们的语法较为复杂&#xff0c;难以阅读。在较大的代码项目中&#xff0c;可读性差会导致维护困难。类型安全性差&#xff1a;printf 和…

IS-ISv4/6双栈

文章目录 IS-ISv4/6双栈实验要求配置 IS-ISv4/6双栈 实验要求 配置双栈 R1、2、3、4配置 IS-ISv4 和 IS-ISv6&#xff0c;配置IPv6多拓扑 上面为Level-1类型、中间为Level-1-2、下面是Level-2类型 还有就是说ATT位置1有一定要求连接L1/2连接L1或者L2类型路由器&#xff0c;至…

java23发布啦

2024年9月java23发布啦&#xff01;&#xff01;! JDK 23 提供了12 项增强功能&#xff0c;这些功能足以保证其自己的JDK 增强提案 - JEP &#xff0c;其中包括 8 项预览功能和 1 项孵化器功能。它们涵盖了对 Java 语言、API、性能和 JDK 中包含的工具的改进。除了 Java 平台上…

KVM环境下制作ubuntu qcow2格式镜像

如果是Ubuntu KVM环境是VMware虚拟机&#xff0c;需要CPU开启虚拟化 1、配置镜像源 wget -O /etc/apt/sources.list https://www.qingtongqing.cc/ubuntu/sources.list2、安装kvm qemu-img libvirt kvm虚拟化所需环境组件 apt -y install qemu-kvm virt-manager libvirt-da…

安装黑群晖,并使用NAS公网助手实现DDNS动态域名解析

很多人都会安装安装一个黑群晖进行练手&#xff0c;黑群晖有很多玩法和NAS套件&#xff0c;而且黑群晖安装比较简单&#xff0c;没有复杂的步骤&#xff0c;这也是很多人玩黑裙的理由&#xff0c;这里教大家如何安装黑群晖&#xff0c;并且安装神卓互联NAS公网助手实现DDNS动态…

arthas -- xxljob本地调试

方案一&#xff1a;测试类 package cn.wanda.wic.content.job.xxljob;import org.junit.jupiter.api.Test; import org.springframework.boot.test.context.SpringBootTest;import javax.annotation.Resource;SpringBootTest public class ShopResourceMigrationJobTest {Reso…

C\C++内存管理详解

本次内容大纲&#xff1a; 1.C/C内存分布 大家看看下面的代码 int globalVar 1; static int staticGlobalVar 1; void Test() {static int staticVar 1;int localVar 1;int num1[10] { 1, 2, 3, 4 };char char2[] "abcd";char* pChar3 "abcd";int…

本地快速部署一个简洁美观的个人Halo博客网站并发布公网远程访问

文章目录 前言1. Docker部署Halo1.1 检查Docker版本如果未安装Docker可参考已安装Docker步骤&#xff1a;1.2 在Docker中部署Halo 2. Linux安装Cpolar2.1 打开服务器防火墙2.2 安装cpolar内网穿透 3. 配置Halo个人博客公网地址4. 固定Halo公网地址 前言 本文主要介绍如何在Cen…

【Python日记】好丝滑的贪吃蛇

文章目录 原文&#xff1a;https://blog.c12th.cn/archives/39.htmlPython 贪吃蛇(pygame)前言部分代码完整代码 原文&#xff1a;https://blog.c12th.cn/archives/39.html Python 贪吃蛇(pygame) 前言 源代码参考B站: BV1cs411T7wW 效果展示 部分代码 框架 # 初始化 pygam…

基于微信小程序校园订餐的设计与开发+ssm(lw+演示+源码+运行)

摘 要 人民生活水平的提高就会造成生活节奏越来越快&#xff0c;很多人吃饭都采用点外卖的方式。现在点外卖的平台已有很多&#xff0c;大多都需要安装它们的APP才可以使用&#xff0c;并且没有针对校园。如果一味的使用外卖平台不仅会造成商家成本的增加&#xff0c;还不利于…

django应用JWT(JSON Web Token)实战

文章目录 一、什么是JWT二、为什么使用JWT三、在django项目中如何应用JWT1、安装djangorestframework-simplejwt库&#xff1a;2、在settings.py中配置JWT认证&#xff1a;3、在urls.py中配置JWT的获取和刷新路由&#xff1a; 四、JWT如何使用1、调用生成JWT的接口获取JWT2、客…

C++:类型转换(static_cast、reinterpret_cast、const_cast、dynamic_cast)、RTTI

C&#xff1a;类型转换&#xff08;static_cast、reinterpret_cast、const_cast、dynamic_cast&#xff09;、RTTI 一、C语言类型转换二、C新增强制类型转换2.1 新增类型转换&#xff1a;static_cast2.2 新增类型转换&#xff1a; reinterpret_cast2.3 新增类型转换&#xff1a…

新手上路:在Windows CPU上安装Anaconda和PyCharm

提示&#xff1a;文章写完后&#xff0c;目录可以自动生成&#xff0c;如何生成可参考右边的帮助文档 文章目录 一. 确认自己是CPU为什么选择CPU教程&#xff1f;GPU与CPU的区别如何判断自己是CPU 二. Anaconda 安装包 和 Pycharm 安装包步骤1&#xff1a;下载Anaconda步骤2&am…

【d46】【Java】【力扣】234.回文链表

思路 判断是否是回文&#xff0c;需要&#xff1a;一个指针指向头&#xff0c;一个指针指向尾&#xff0c;两个指针一边向中间靠拢&#xff0c;一边判断数值是否相同 对于单链表&#xff0c;不方便获得pre&#xff0c;如果将节点放进 数组/list &#xff0c;数组/list可以直接…

2024年9月22日历史上的今天大事件早读

189年9月22日 &#xff08;汉灵帝中平六年八月戊辰&#xff09;大将军何进入宫&#xff0c;策划铲除宦官&#xff0c;事败被杀 1499年9月22日 瑞士独立。 1630年9月22日 明朝抗清将领袁崇焕被崇祯皇帝凌迟处死于北京 1776年9月22日 美国间谍黑尔未经审判即被处绞刑 1860年9…

buucft hashcat

使用文本编辑器打开时乱码 使用010editor打开发现时xml文档 拷贝到kali&#xff0c;使用binwalk查看&#xff0c;发现时xml文档&#xff0c;改后缀名为ppt。打开发现有密码 Accent OFFICE Password Recovery 64位-Office密码恢复软件 v20.09 免费版 - 下载吧 试试这个Accent O…