H3C IPsec+IKE 野蛮模式配置实验

news2024/11/28 5:36:20

H3C IPsec+IKE 野蛮模式配置实验

实验拓扑

image

实验需求

  1. 按照图示配置 IP 地址,R3出接口自动获取公网IP地址
  2. 在 R1 上配置默认路由连通公网
  3. 在 R1 和 R3 上配置 IPsec VPN,使两端私网可以互相访问

实验步骤

按照图示配置 IP 地址,R3出接口自动获取公网IP地址

[R1]display ip interface brief 
*down: administratively down
(s): spoofing  (l): loopback
Interface           Physical Protocol IP address/Mask    VPN instance Description  
GE0/0               up       up       100.1.1.1/24       --           --
GE0/1               up       up       192.168.1.254/24   --           --

[R2]display ip interface brief 
*down: administratively down
(s): spoofing  (l): loopback
Interface           Physical Protocol IP address/Mask    VPN instance Description  
GE0/0               up       up       100.1.1.2/24       --           --
GE0/1               up       up       100.2.2.2/24       --           --
#
dhcp server ip-pool 1
 gateway-list 100.2.2.2
 network 100.2.2.0 mask 255.255.255.0

[R3]
#
interface GigabitEthernet0/0
 ip address dhcp-alloc

[R3]display ip interface brief 
*down: administratively down
(s): spoofing  (l): loopback
Interface           Physical Protocol IP address/Mask    VPN instance Description  
GE0/0               up       up       100.2.2.1/24       --           --
GE0/1               up       up       192.168.2.254/24   --           --

imageimage

在 R1 上配置默认路由连通公网


在 R1 和 R3 上配置 IPsec VPN,使两端私网可以互相访问

R1配置IPsec VPN(IP地址固定端)
在R1上配置本端身份信息
[R1]ike identity fqdn R1
在R1上配置IKE提议
[R1]ike proposal 1	//创建IKE提议1
[R1-ike-proposal-1]encryption-algorithm aes-cbc-128	//加密算法为”aes-cbc-128“(默认”des-cbc“)
[R1-ike-proposal-1]authentication-method pre-share	//验证方法为”预共享密钥“(默认)
[R1-ike-proposal-1]authentication-algorithm md5	//认证算法为”md5“(默认”sha“)
[R1-ike-proposal-1]sa duration 86400	//sa存活时间24小时(默认)
[R1-ike-proposal-1]dh group1	//密钥协商时采用768位的DH组(默认“group1”)
在R1上配置IKE预共享密钥
[R1]ike keychain R1-R3	//创建IKE钥匙
[R1-ike-keychain-R1-R3]pre-shared-key hostname R3 key simple admin@123	//与叫“R3”的使用密钥”admin@123“建立连接
在R1上配置IKE协议框架
[R1]ike profile R1-R3	//创建IKE协议框架R1-R3
[R1-ike-profile-R1-R3]exchange-mode aggressive	//配置协商模式为野蛮模式
[R1-ike-profile-R1-R3]keychain R1-R3	//调用”ike keychain R1-R3“
[R1-ike-profile-R1-R3]proposal 1	//调用”IKE提议1“
[R1-ike-profile-R1-R3]local-identity fqdn R1	//配置本地身份信息
[R1-ike-profile-R1-R3]match remote identity fqdn R3	//配置匹配对端身份信息
在R1上配置IPsec安全提议
[R1]ipsec transform-set R1-R3	//创建IPsec安全提议(转换集)R1-R3
[R1-ipsec-transform-set-R1-R3]protocol esp	//安全协议为”esp“(默认)
[R1-ipsec-transform-set-R1-R3]esp encryption-algorithm aes-cbc-128	//配置esp协议采用”aes-cbc-128“加密算法
[R1-ipsec-transform-set-R1-R3]esp authentication-algorithm md5	//配置esp协议采用”md5“认证算法
[R1-ipsec-transform-set-R1-R3]encapsulation-mode tunnel	//IPsec工作模式为”隧道模式“(默认)
在R1上配置安全ACL
[R1]acl advanced 3000
[R1-acl-ipv4-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
在R1上创建IPesec安全策略模板
[R1]ipsec policy-template R1-R3 1 
[R1-ipsec-policy-template-R1-R3-1]transform-set R1-R3	//调用转换集“R1-R3”
[R1-ipsec-policy-template-R1-R3-1]security acl 3000	//调用ACL3000
[R1-ipsec-policy-template-R1-R3-1]ike-profile R1-R3	//调用协议框架“R1-R3”
在R1上配置IPesec安全策略调用策略模板
[R1]ipsec policy R1-R3 1 isakmp template R1-R3
在R1出接口上应用IPsec安全策略
[R1-GigabitEthernet0/0]ipsec apply policy R1-R
R3配置IPsec VPN
在R3上配置IKE提议
[R3]ike proposal 1
[R3-ike-proposal-1]encryption-algorithm aes-cbc-128	//加密算法为”aes-cbc-128“(默认”des-cbc“)
[R3-ike-proposal-1]authentication-method pre-share	//验证方法为”预共享密钥“(默认)
[R3-ike-proposal-1]authentication-algorithm md5	//认证算法为”md5“(默认”sha“)
[R3-ike-proposal-1]sa duration 86400	//sa存活时间24小时(默认)
[R3-ike-proposal-1]dh group1	//密钥协商时采用768位的DH组(默认“group1”)
在R3上配置IKE预共享密钥
[R3]ike keychain R3-R1	//创建IKE钥匙
[R3-ike-keychain-R3-R1]pre-shared-key address 100.1.1.1 key simple admin@123	//与100.1.1.1使用密钥”admin@123“建立连接
在R3上配置IKE协议框架
[R3]ike profile R3-R1	//创建IKE协议框架R3-R1
[R3-ike-profile-R3-R1]eexchange-mode aggressive	//配置协商模式为野蛮模式
[R3-ike-profile-R3-R1]keychain R3-R1	//调用”ike keychain R3-R1“
[R3-ike-profile-R3-R1]proposal 1	//调用”IKE提议1“
[R3-ike-profile-R3-R1]local-identity fqdn R3	//配置本地身份信息
[R3-ike-profile-R3-R1]match remote identity address 100.1.1.1	//配置匹配对端身份信息
在R3上配置IPsec安全提议
[R3]ipsec transform-set R3-R1	//创建IPsec安全提议(转换集)R3-R1
[R3-ipsec-transform-set-R3-R1]protocol esp	//安全协议为”esp“(默认)
[R3-ipsec-transform-set-R3-R1]esp encryption-algorithm aes-cbc-128	//配置esp协议采用”aes-cbc-128“加密算法
[R3-ipsec-transform-set-R3-R1]esp authentication-algorithm md5	//配置esp协议采用”md5“认证算法
[R3-ipsec-transform-set-R3-R1]encapsulation-mode tunnel	//IPsec工作模式为”隧道模式“(默认)v
在R3上配置安全ACL
[R3]acl advanced 3000
[R3-acl-ipv4-adv-3000]rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
在R3上配置IPsec安全策略
[R3]ipsec policy R3-R1 1 isakmp	//创建IKE协商参数的安全策略R3-R1,编号1
[R3-ipsec-policy-isakmp-R3-R1-1]security acl 3000	//调用ACL3000
[R3-ipsec-policy-isakmp-R3-R1-1]transform-set R3-R1	//调用IPsec安全提议R3-R1
[R3-ipsec-policy-isakmp-R3-R1-1]remote-address 100.1.1.1	//配置IPsec隧道对端地址100.1.1.1
默认情况下IPsec SA基于时间的生存周期为3600s,基于流量的生存周期为1843200KB
在R3出接口上应用IPsec安全策略
[R3]interface GigabitEthernet 0/0
[R3-GigabitEthernet0/0]ipsec apply policy R3-R1

实验验证

<H3C>ping 192.168.1.1
Ping 192.168.1.1 (192.168.1.1): 56 data bytes, press CTRL_C to break
Request time out
56 bytes from 192.168.1.1: icmp_seq=1 ttl=253 time=1.618 ms
56 bytes from 192.168.1.1: icmp_seq=2 ttl=253 time=1.843 ms
56 bytes from 192.168.1.1: icmp_seq=3 ttl=253 time=1.194 ms
56 bytes from 192.168.1.1: icmp_seq=4 ttl=253 time=2.010 ms

--- Ping statistics for 192.168.1.1 ---
5 packet(s) transmitted, 4 packet(s) received, 20.0% packet loss
round-trip min/avg/max/std-dev = 1.194/1.666/2.010/0.306 ms

  通过抓包发现第一个数据包丢包原因为IPsec隧道处于协商状态

实验附件

  通过百度网盘分享的文件:H3C IPsec+IKE 野蛮模式配置实验
链接:https://pan.baidu.com/s/1PAKMB-OZhJ89-u9c3k4SGQ?pwd=wfqt

  ‍

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2206657.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

上传图片到github上,生成链接在Typora中使用(解决Typora的md文件在分享时的丢失问题)

上传图片到github上,生成链接在Typora中使用(解决Typora的md文件在分享时的丢失问题) 在GitHub上从操作 创建一个 GitHub 仓库: 登录 GitHub,创建一个新的仓库来存储图片。 生成 GitHub 令牌: 在 GitHub 中,前往“Settings” > “Developer settings” > “Pers…

Rpc框架开发——客户端框架设计

目录 一、Requestor 二、RpcCaller 三、Publish_Subscribe 四、Registry-Discovery 五、Client 在客户端的模块划分中&#xff0c;基于以上理解的功能&#xff0c;可以划分出这么几个模块 Protocol&#xff1a;应用层通信协议模块 Network&#xff1a;网络通信模块 Disp…

前端vue部署网站

这里讲解一下前端vue框架部署网站&#xff0c;使用工具是 xshell 和 xftp &#xff08;大家去官网安装免费版的就行了&#xff09; 服务器 我使用的阿里云服务器&#xff0c;买的是 99 一年的&#xff0c;淘宝有新手9.9 一个月服务器。可以去用&#xff0c;学生的话是有免费三…

进程状态|进程优先级

目录 一、进程状态 1.什么是进程状态 2.进程状态都包含什么&#xff1f; 3.进程状态的查看 4.进程退出 &#xff08;1&#xff09;进程退出的步骤 &#xff08;2&#xff09;僵尸进程 &#xff08;3&#xff09;孤儿进程 二、进程优先级 1.进程优先级是什么&#xff…

二分查找一>0~n-1中缺失的数字(点名)

1.题目&#xff1a; 2.解析&#xff1a;方法一&#xff1a;用哈希表&#xff1a;记录存在的数字&#xff0c;找到哈希表为空的数字输出 Set<Integer> set new HashSet<>();for(int x : records) set.add(x);for(int i 0; i < set.size(); i){if(!set.contain…

重新学习Mysql数据库3:Mysql存储引擎与数据存储原理

本文转自互联网 本系列文章将整理到我在GitHub上的《Java面试指南》仓库&#xff0c;更多精彩内容请到我的仓库里查看 https://github.com/h2pl/Java-Tutorial 喜欢的话麻烦点下Star哈 文章首发于我的个人博客&#xff1a; www.how2playlife.com 本文是微信公众号【Java技术江湖…

STM32与QT实现串口传输结构体含源码

文章目录 一. 关于数据传输的方式1.1 基本数据类型传输1.2 结构体传输 二. STM32与QT实现串口传输结构体实例2.1 下位机的实现2.2 上位机的实现2.3 演示Demo 三. 注意事项3.1 关于字节对齐问题3.2 关于大小端问题 一. 关于数据传输的方式 在日常开发过程中&#xff0c;我们时常…

使用aloam跑hesai Pandar-XT32激光雷达数据

参考自利用aloam跑数据集_aloam数据集-CSDN博客 第一步&#xff1a;查看bag的信息 输入rosbag info来查看bag包的信息&#xff1a; joeyjoey-Legion-Y7000P-IRX9:~$ rosbag info /home/joey/Downloads/data2022/indoor/LiDAR_IMU.bag path: /home/joey/Downloads/da…

Java_EE 多线程技术(Thread)

多线程与并发编程 多线程介绍什么是程序&#xff1f;程序&#xff08;Program&#xff09;是一个静态的概念&#xff0c;一般对应于操作系统中的一个可执行文件。什么是进程?执行中的程序叫做进程(Process)&#xff0c;是一个动态的概念。其实进程就是一个在内存中独立运行的程…

2025秋招倒计时---招联金融

【投递方式】 直接扫下方二维码&#xff0c;或点击内推官网https://wecruit.hotjob.cn/SU61025e262f9d247b98e0a2c2/mc/position/campus&#xff0c;使用内推码 igcefb 投递&#xff09; 【招聘岗位】 后台开发 前端开发 数据开发 数据运营 算法开发 技术运维 软件测试 产品策…

股市期市内外盘高频分钟tick及均线策略分享

【数据库】银河金融数据库&#xff08;yinhedata.com&#xff09;可以获取大量历史行情数据&#xff0c;包含分钟&#xff0c;tick&#xff0c;日。不限于国内外&#xff0c;股票期货基金&#xff0c;ETF、期权等 【策略分享】一、引言均线策略作为技术分析的重要工具&#xff…

Kubesphere4.1插件网关、devops控制页面白页面问题解决

在使用Kubesphere4.1版本时&#xff0c;安装完成devops插件后‘DevOps项目’管理页面出现白页面&#xff0c;无法进行配置。包括网关等控制页面都会出现白页面。 经过查看版本信息发现是4.1版本存在问题&#xff0c;目前不支持。 处理问题&#xff1a; 目前 Kubesphere发布了4…

【软件测试】最佳软件测试基础入门教程

目录 前言一、顺序式开发模型二、 瀑布模型三 、V型模型四、迭代和增量开发模型五、 项目和产品背景下的软件开发 前言 软件开发生命周期的测试 本章简要介绍了软件开发项目中常用的生命周期模型&#xff0c;并解释了测试在每个模型中扮演的角色。它讨论了各种测试级别和测试…

python-PyQt项目实战案例:制作一个简单的图像处理工具

文章目录 1.设计UI2.编写功能代码2.1 初始化ui界面及类成员参数2.2 添加菜单栏2.3 建立信号/槽连接 3.主要功能代码及效果4.设置图像自动调节长宽尺寸但不改变长宽比例参考文献 1.设计UI 对于UI的设计可以通过qt designer直接绘制&#xff0c;也可以通过编写python代码实现。当…

10万+收藏!10万转发!AI绘画如何助力育儿赛道引爆短视频平台?

在自媒体领域&#xff0c;内容创作的竞争日益激烈&#xff0c;但育儿自媒体一直是一块热门且持久的“金矿”&#xff0c;吸引了无数创作者投身其中。然而&#xff0c;如何在这片红海中脱颖而出&#xff0c;成为了许多创作者面临的难题。而AI绘画的出现&#xff0c;无疑解决了创…

约束使用方法:

设置主键&#xff1a; 该列的值用来唯一标识表中每一行&#xff0c;用于强制表的实体完整性。这样的列定义为表的主键&#xff0c;也就是说主键的列中不允许有相同的数据。 设置默认&#xff1a; CREATE TABLE pet( #not null 非空 ZEROFILL 补零 先补零&#xff0c;在非空 id…

解锁机器人视觉与人工智能的潜力,从“盲人机器”改造成有视觉能力的机器人(上)

正如人类依赖眼睛和大脑来解读世界&#xff0c;机器人也需要自己的视觉系统来有效运作。没有视觉&#xff0c;机器人就如同蒙上双眼的人类&#xff0c;仅能执行预编程的命令&#xff0c;容易碰撞障碍物&#xff0c;并犯下代价高昂的错误。这正是机器人视觉发挥作用的地方&#…

k8s1.27部署ingress 1.11.2

k8s1.27部署ingress 1.11.2 要求&#xff1a; 1、使用主机网络。 2、多节点部署&#xff0c;以来标签&#xff1a;isingressistrue ingress1.11.2支持版本 官方参考链接&#xff1a; https://github.com/kubernetes/ingress-nginx/ 官网yaml https://raw.githubuserconten…

DYNPRO_SYNTAX_ERROR 主屏幕调用子屏幕,程序运行时错误

文章目录 问题描述问题查找和解决 问题描述 问题查找和解决

比特币社区心心念念的BTCFi进展如何了?——比特币与DeFi的未来

比特币在去中心化金融&#xff08;DeFi&#xff09;中的角色正在发生深刻变革。作为全球首个加密货币&#xff0c;比特币的主要用途从最初的点对点支付正逐渐转向更复杂的金融应用。通过BTCFi&#xff08;比特币与DeFi的结合&#xff09;&#xff0c;比特币生态系统正加速崛起&…