华为IPsec IKE自动协商配置

原创 已于 2025-09-08 16:17:38 修改 · 2.7k 阅读 · 22 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#华为 #单元测试 #windows

于 2021-10-08 15:51:59 首次发布

华为IPsec IKE自动协商配置

要点
1、大家使用ENSP模拟器AR2220进行操作;
2、配置的时候梳理好逻辑,有自己一套逻辑最好,我比较习惯先让设备能通讯,然后在配置协议;
3、验证的时候最好抓包看一下IPsec建立的过程、以及加密ESP报文;
4、理论就不过多的赘述了,有兴趣的可以去华为官网下载安全相关的教材,上面关于IPsec理论的解释比较全面;

在这里插入图片描述
PC1地址
在这里插入图片描述

PC2地址
在这里插入图片描述
AR1配置

acl number 3001
rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 10.0.20.0 0.0.0.255

ipsec proposal tran
esp authentication-algorithm sha1

ike proposal 5
encryption-algorithm aes-cbc-128
dh group14

ike peer spub v1
pre-shared-key simple hanshu
ike-proposal 5
remote-address 2.2.2.2

ipsec policy mp 10 isakmp
security acl 3001
ike-peer spub
proposal tran

interface GigabitEthernet0/0/0
ip address 192.168.10.254 255.255.255.0

interface GigabitEthernet0/0/1
ip address 1.1.1.1 255.255.255.0
ipsec policy mp

ip route-static 2.2.2.0 255.255.255.0 GigabitEthernet0/0/1 1.1.1.2
ip route-static 10.0.20.0 255.255.255.0 GigabitEthernet0/0/1 1.1.1.2

AR2

interface GigabitEthernet0/0/0
ip address 1.1.1.2 255.255.255.0

interface GigabitEthernet0/0/1
ip address 2.2.2.1 255.255.255.0

AR3

acl number 3001
rule 5 permit ip source 10.0.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

ipsec proposal tran
esp authentication-algorithm sha1

ike proposal 5
encryption-algorithm aes-cbc-128
dh group14

ike peer spua v1
pre-shared-key simple hanshu
ike-proposal 5
remote-address 1.1.1.1

ipsec policy us 10 isakmp
security acl 3001
ike-peer spua
proposal tran

interface GigabitEthernet0/0/0
ip address 2.2.2.2 255.255.255.0
ipsec policy us

interface GigabitEthernet0/0/1
ip address 10.0.20.254 255.255.255.0

ip route-static 1.1.1.0 255.255.255.0 GigabitEthernet0/0/0 2.2.2.1
ip route-static 192.168.10.0 255.255.255.0 GigabitEthernet0/0/0 2.2.2.1

验证
AR1 dis ike sa
在这里插入图片描述
AR2
在这里插入图片描述
在公网上随意找个端口进行抓包,查看IKE 建立过程的报文
在这里插入图片描述
PC1 ping PC2 抓包查看ESP加密数据流在这里插入图片描述
可以看到protocol 不是ICMP而是ESP ,说明数据已经被加密。
在这里插入图片描述

定位合肥 ,有工作或者兼职请联系我
联系方式QQ : 481715271

IPSec秘钥管家(IKE配置详解
悦分享
10-09 793
配置繁琐,需要手工配置SA、SPI、密钥;容易出错;不适合长时间使用同一把密钥进行安全数据加密/数据验证,长时间使用同一把密钥存在安全隐患;定期手工更新,比较繁琐;降低手工配置的复杂度;安全联盟定时更新;密钥定时更新;允许在端与端之间动态认证;目前有两个版本IKEv1/IKEv2;动态IPSEC需要使用交互协议,在两个IPSEC边界设备之间自动协商出对应SA,这个交互协议就是IKE自动协商 (提前配置IKE);定期更换SA/密钥;降低配置繁琐程度;
华为eNSP配置专题-IPSec配置
日拱一卒的博客
10-26 4325
华为eNSP配置专题-IPSec配置
ipsecike自动协商模式
qq_45309500的博客
06-11 2163
ipsecike自动协商模式(MM隧道模式) 转发原理: 1.数据到达fw后,查询路由表,将数据送到g1/0/1,根据ipsec里的控制访问列表,匹配到兴趣流,激活接口绑定的ipsec 2.Ipsec隧道两端建立协商,分为两步:1.ike sa协商(1.ike proposal的确认,2.交换公钥,3.发送身份认证信息)2.ipsec sa协商也是基于路由的基础上建立的) 3.协商完毕,隧道建立后,数据包备送到对端绑定ipsec的接口,查看ip头部是否匹配,然后对比psk是否一致,然后解密 4.解
enspipsec实验(ike自动协商
qq_44933518的博客
04-02 7664
配置步骤:配置网络可达–配置ACL识别兴趣流–创建安全提议–创建安全策略–应用安全策略 配置网络可达–配置ACL识别兴趣流–创建ike提议–创建ike对等体–创建ipsec提议–创建ipsec策略–应用安全策略 ...
一个关于SDWAN单臂部署方案验证的实验
天翼云开发者社区
05-26 922
假设有这样一张网络,其中RTA和PCA表示某公司的A分支,通过中国电信CT路由器接入互联网ISP;RTB和PCB表示某公司的B分支,通过中国联通CU路由器接入互联网ISP。DNS(8.8.8.8)表示某互联网应用。为实现A分支私网192.168.2.0/24和B分支私网192.168.3.0/24的互通,现计划使用某厂商的SD-WAN方案进打通两个内网,像下图这样简单变更一下网络。图中POP为某厂商SD-WAN方案用户接入点设备,分支侧通过接入CPE设备进行互通。为不改变现有网络结构,将CPE设备旁挂在分支
ipsec ike 配置
weixin_34290096的博客
07-22 677
IPsec-Tools中的racoon工具实现了IKE的功能,既实现了双向认证,又能建立和维护IPsec SA。下面使用psk的认证方法配置racooon。一、网络拓扑二、配置网络子网1: 192.168.1.0/24,网关GW1子网2: 192.168.0.0/24,网关GW2GW1和GW2已添加到子网2、1的路由。A和B现在可正常ping 通三、IPsec配置...
华为IPSEC-×××-典型配置举例2-采用IKE 方式自动协商建立IPsec 安全隧道
weixin_34235105的博客
03-26 947
华为IPSEC-×××-典型配置举例2-采用IKE 方式自动协商建立IPsec 安全隧道 一:企业组网需求: 1, 某公司(总部在北京)有两个子公司分别在上海和广州,要求通过×××实现公司之间相互通信! 2, 实验环境如下:要求192.168.1.0/24网段的员工分别与192.168.2.0/24,192.168.3.0/24的员工通信!...
华为ipsec ike协商配置.rar
04-22
本资源是以ensp模拟器形式搭建的一个小型IPSec IKE模式。总共用了3台路由器,中间一台做充当转发器,其他两台进行ipsec搭建,并配置静态路由指向中间路由器。如需要学习的,可自行下载进行参考。ip什么的,就自己...
华为IPsec IKE协商方式
qq_35973969的博客
10-02 925
AR1: acl number 3000 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 ipsec proposal ike ike proposal 10 ike peer to_ar3 v1 pre-shared-key cipher %%u`Vj70TpB0@>_K8vu71O,.2n%% ike-proposal 10 remote-address 10.1.23.2 ip.
华为IPSec (动态)的原理与配置
2403_83112422的博客
03-05 2155
实现PC1与PC2在公网传输时加密通信(IPSec VPN),并且实现PC1访问R5的loopback8端口(NAT)
华为防火墙IPSec详解与配置实验
m0_68208233的博客
11-04 1万+
IPSec(Internet协议安全)是一个工业标准网络安全协议栈,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSec通过在IPSec对等体之间建立双向安全联盟(VPN隧道),形成一个安全互通的IPSec隧道,来实现Internet上数据的安全传输。
通过ike自动协商建立IPSec策略.docx
12-16
通过不同厂家设备之间的应用ike自动协商技术,描述ike在设备间是怎么去实现协商和实现ipsec安全策略技术的,并把在实现过程中所碰到的技术问题都加以说明和阐述,并附上解决方法。
IPSec中使用IKE 野蛮模式自动协商建立安全隧道在企业网中的应用
weixin_34087307的博客
03-31 279
IPSec(IP Security)协议:IPSec 协议不是一个单独的协议,它给出了IP 网络上数据安全的一整套体系结构。包括AH(Authentication Header)、ESP(Encapsulating Security Payload)、IKE(Internet Key Exchange)等协议。 创建安全策略,可以采用手工或者自动...
IPsec配置
qq_67802965的博客
12-06 920
七、创建IPsec策略,关联五六,绑定ACL,指定IPsec封装的目标地址,在接口调用。3.3 IPsec SA采用ESP安全协议,加密算法为MD5,验证算法为DES。五、创建IKE profile,将上述两个关联并选择IKE工作方式和标识身份。3.2 IKE采用预共享密钥的方式协商IKE SA,验证算法为MD5。六、配置IPsec SA,设置工作模式,安全协议的加密算法和验证算法。三、在R1和R3上均创建IKE提议并设置验证方式和验证算法。一、配置IP地址,配置ACL匹配两个私网网段。
关于IPSec VPN 的详细配置与讲解
热门推荐
weixin_74749868的博客
10-14 1万+
IPSec(Internet Protocol Security)是一套用于互联网协议(IP)层的安全协议组合,旨在保护IP通信的安全性。它通过认证、加密和数据完整性验证来确保数据在传输过程中的机密性和完整性。IPSec可以在IPv4和IPv6网络中使用,广泛应用于虚拟专用网络(VPN)和安全站点间通信。
IPsec VPN配置方式
Mario_Ti的博客
03-09 8242
文章详细介绍了IPsec VPN配置方式,有手工方式以及IKE方式,其中IKE方式又有IKEv1、IKEv2以及点对点、点对多点的问题,其中模板方式是一种能够简化配置的方式。
建立点到多点的IPSec隧道(IKE安全策略方式)
友人A的博客
07-09 3705
主机PC1与PC2、PC3之间可以安全的通信,PC2、PC3通过USG5500A进行安全通信,USG5500A与USG5500B、USG5500C之间使用IKE自动协商建立安全通道,USG5500B、USG5500C不直接建立任何IPSec连接。 USG5500A与USG5500B、USG5500C均为固定公网地址。
IPSec配置简介
hello
07-31 1379
AR1 配置 静态路由 IP route-static 0.0.0.0 0 100.1.12.2。AR3 配置静态路由 IP route-static 0.0.0.0 0 100.1.13.2。可以看到pc1与pc2之间的通信已被ESP加密。最终pc1与pc2 可以互相ping 通。PC1 ping通 PC2。
实验二十七 IPSec配置
qq_59621600的博客
01-07 1889
实验二十七 IPSec配置
华为ipsec配置案例
最新发布
06-12
### 华为设备 IPSec 配置示例与案例 以下是一个完整的华为设备 IPSec 配置示例,涵盖从基础网络配置IKEv1 协商IPsec 提议和策略的应用。此配置适用于点对点场景下的 IPSec 隧道建立。 #### 1. 网络基础配置配置 IPSec 隧道之前,确保两端设备的接口 IP 地址已正确配置,并且能够互相通信[^1]。 ```shell # 配置 HW-AR1 的接口地址 [Huawei] interface GigabitEthernet 0/0/0 [Huawei-GigabitEthernet0/0/0] ip address 192.168.1.1 255.255.255.0 [Huawei-GigabitEthernet0/0/0] quit # 配置 HW-AR2 的接口地址 [Huawei] interface GigabitEthernet 0/0/0 [Huawei-GigabitEthernet0/0/0] ip address 192.168.2.1 255.255.255.0 [Huawei-GigabitEthernet0/0/0] quit ``` #### 2. 定义 ACL 规则 通过访问控制列表(ACL)定义需要保护的数据流[^4]。 ```shell # 配置 ACL,允许 192.168.1.0 和 192.168.2.0 之间的流量 [Huawei] acl number 3000 [Huawei-acl-basic-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 [Huawei-acl-basic-3000] quit ``` #### 3. 创建 IKE 提议 配置 IKEv1 协商的安全参数。 ```shell # 创建 IKE 提议 [Huawei] ike proposal 1 [Huawei-ike-proposal-1] encryption-algorithm aes-128 [Huawei-ike-proposal-1] dh group14 [Huawei-ike-proposal-1] authentication-algorithm sha1 [Huawei-ike-proposal-1] integrity-algorithm hmac-sha1 [Huawei-ike-proposal-1] quit ``` #### 4. 配置 IKE 对等体 指定远程对等体的 IP 地址和预共享密钥。 ```shell # 配置 IKE 对等体 [Huawei] ike peer peer1 [Huawei-ike-peer-peer1] pre-shared-key cipher 123456 [Huawei-ike-peer-peer1] remote-address 192.168.2.1 [Huawei-ike-peer-peer1] local-address 192.168.1.1 [Huawei-ike-peer-peer1] ike-proposal 1 [Huawei-ike-peer-peer1] quit ``` #### 5. 创建 IPsec 提议 定义 IPsec 数据加密和认证算法[^3]。 ```shell # 创建 IPsec 提议 [Huawei] ipsec proposal 1 [Huawei-ipsec-proposal-1] esp encryption-algorithm aes-128 [Huawei-ipsec-proposal-1] esp authentication-algorithm hmac-sha1 [Huawei-ipsec-proposal-1] quit ``` #### 6. 配置 IPsec 安全策略 将 ACL、IKE 对等体和 IPsec 提议关联起来[^4]。 ```shell # 创建 IPsec 安全策略 [Huawei] ipsec policy policy1 10 isakmp [Huawei-ipsec-policy-isakmp-policy1-10] security acl 3000 [Huawei-ipsec-policy-isakmp-policy1-10] ike-peer peer1 [Huawei-ipsec-policy-isakmp-policy1-10] proposal 1 [Huawei-ipsec-policy-isakmp-policy1-10] quit ``` #### 7. 应用 IPsec 安全策略 将 IPsec 安全策略应用到接口上[^4]。 ```shell # 在 HW-AR1 上应用安全策略 [Huawei] interface GigabitEthernet 0/0/0 [Huawei-GigabitEthernet0/0/0] ipsec policy policy1 [Huawei-GigabitEthernet0/0/0] quit # 在 HW-AR2 上应用安全策略 [Huawei] interface GigabitEthernet 0/0/0 [Huawei-GigabitEthernet0/0/0] ipsec policy policy1 [Huawei-GigabitEthernet0/0/0] quit ``` #### 8. 验证配置 完成上述配置后,可以通过以下命令验证 IPSec 隧道是否成功建立[^5]。 ```shell # 查看 IKE 安全联盟状态 [Huawei] display ike sa # 查看 IPsec 安全联盟状态 [Huawei] display ipsec sa ``` --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值