hcl的ipsec野蛮模式配置

最新推荐文章于 2024-08-05 10:34:41 发布
最新推荐文章于 2024-08-05 10:34:41 发布
阅读量2.6k 收藏 28
点赞数 2
分类专栏: 网络拓扑实验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_44933518/article/details/110343932
版权

1.实验拓扑

在这里插入图片描述

2.需求

  1. r2作为DHCP server,给r3和r4分配ip
  2. 路由器上的环回口地址作为私网地址
  3. 总部分别和分部r3、分部r4建立vpn隧道,采用ipsec vpn的野蛮模式

3.分析

  1. 由于R3和R4的ip不是固定的,所以只能使用ipsec 的野蛮模式,无法使用ipsec的主模式
    注:这个实验,我只注重配置IPSec vpn,没有配置NAT,所以内部路由器无法连接到外网

4.配置

ip固定端

  1. 配置IKE名称
  2. 创建IKE提议
  3. 创建预共享密钥
    使用 FQDN名称来识别对端,因为对方ip不固定
    由于ip固定端要分别和两个分部建立vpn连接,可以在预共享密钥视图中,分别建立两个密钥
  4. 创建IKE模板
    配置协商模式为野蛮模式
    调用IKE提议
    调用预共享密钥
  5. 创建IPsec转换集(为了简化配置,两个策略模板调用相同的ipsec转换集)
    配置保护协议(默认为ESP,采取默认值即可)
    配置工作模式(默认为隧道模式,采取默认值即可)
    配置验证算法
    配置加密算法
  6. 创建IPsec策略模板
    调用IKE模板
    调用IPsec转换集
  7. 创建IPsec策略,绑定IPsec策略模板
  8. 在公网接口下发IPsec策略

ip不固定端

  1. 配置感兴趣流
  2. 配置IKE名称
  3. 创建IKE提议
  4. 创建预共享密钥
    使用地址标识对方
  5. 创建IKE模板
    配置协商模式为野蛮模式
    调用IKE提议
    调用预共享密钥
  6. 创建IPsec转换集
    配置保护协议(默认为ESP,采取默认值即可)
    配置工作模式(默认为隧道模式,采取默认值即可)
    配置验证算法
    配置加密算法
  7. 创建IPsec策略
    调用感兴趣流
    调用IKE模板
    调用IPsec转换集
    配置对端地址
  8. 在公网接口下发IPsec策略

最低0.47元/天 解锁文章
企业级无固定IPSEC配置实战
悦分享
10-09 798
早期主模式不能使用在非固定IP场景下 , 进行身份验证密钥查找时,只能根据IP地址进行查找 , 不能根据域名方式进行查找预共享密钥-无法进行身份验证。早期解决方案使用野蛮模式。目前新款网络设备中,大部分设备已经完成主模式功能更新,可以支持通过域名方式完成身份验证。大部分场景下可以不再考虑使用野蛮模式,安全系数低于主模式
基于HCL模拟器华三设备IPsec vpn的配置实验
WANGMH13的博客
08-01 6463
基于HCL模拟器华三设备IPsec vpn的配置实验
hclipsec实验
qq_44933518的博客
11-27 2845
1.实验拓扑: 2.需求 1.总公司和分公司通过IPSec VPN连接 2.总公司和分公司都能访问外网 3.需求分析 1.这个实验既要实现vpn连接,也要实现外网的连接,则需要写两条acl,分别作为ipsec的感兴趣流和外网流量的匹配 2.这个实验的难点在于IPSec VPN的配置IPSec VPN的配置复杂,而且VPN两边参数不一致,会导致VPN无法建立 4.配置步骤 注:这个步骤主要讲解IPSec VPN的配置,我这里演示的只有IPSec VPN的其中一种方法,而且为了配置简单,有些参数就直接使用了
HCL进行总部与分支建立IPsec VPN的web配置
weixin_50640172的博客
04-15 1709
策略名:自定义,优先级:1,设备角色:对等/分支节点,IP地址类型:IPV4,接口:GE1/0/1 自动带入接口地址1.1.1.2,对端IP地址/主机名:2.1.1.2。源安全域:Trust,源地址:本地内网IP:172.16.0.0/24,目的安全域:Untrust,目的地址:对端内网地址:192.178.0.0/24,动作:允许。规则编号0:动作:拒绝,匹配源IP地址/通配符:本地内网的网络号和通配符掩码(不会的用工具自己算),匹配目的IP地址/通配符掩码:填对端地址段信息和通配符掩码。
HCLipsec over gre配置
weixin_48243271的博客
08-08 1155
HCL中,ipsec over gre配置过程。
基于华三HCL模拟器IPSec VPN组网与配置
MAY的博客
05-23 7697
IPsec在互联网中提供端到端的数据报通信安全,通过加密和认证方式保护IP数据报及其封装的数据。IPsec是一个框架协议,包括AH、ESP、SA、IKE等协议。IPsec可以采用直接传输和隧道封装两种模式工作,在通过互联网承载的站点间VPN中通常采用隧道模式。隧道模式是将原始IP数据报作为有效载荷封装在IPsec报头里。
IPSEC模式配置HCL)+思路
最新发布
a64564的博客
08-05 543
---------------------------------------------实现公网互联------------------------------------------[总部-ike-keychain-1]pre-shared-key address 200.0.0.2 24 key simple 12345。[总部-ipsec-policy-isakmp-1-1]dis th。[分部-ipsec-policy-isakmp-1-1]DIS TH。
GRE over IPSec 配置实例(HCL模拟器)
weixin_43795942的博客
08-07 2258
GRE简介 General Routing Encapsulation,简称GRE,是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、Apple Talk、IP等)的报文进行封装,使封装后的报文能够在另一种网络中(如IPv4)传输,从而解决了跨越异种网络的报文传输问题。异种报文传输的通道称为Tunnel(隧道)。 GRE的应用场景 GRE over IPSec IPv6 over IPv4 扩大条数受限的网络工作范围 GRE VPN GRE的优缺点 优点: 支持多种上层协议 支持组播(支持组
IPSec VPN 基本配置实验(H3C)
kerio123的博客
04-15 5179
IPsec VPN指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
HCLIPsec+GRE 多连接 作业
qq_40363162的博客
05-13 1153
实验拓扑图 整个实验是在新华三的HCL模拟器上做的 整体的一个配置思路,是根据实验题目来的 首先是配置ipsec,ike,在这里都是的ipse我都是依靠ike来自动建立的 然后是GRE的配置 流程 配置高级ACL ike 提议(提议默认的就是预共享密钥,默认就行) 创建预共享密钥 选择对端的地址,密钥是什么 创建ikecel 调用安全提议 调用密钥 指定对端地址(可以是FQDN,也可以是user-FQDN) 指定本端地址(与之对应) 是...
HCL GRE、IPSEC——VPN 配置
qq_57007794的博客
05-28 2069
R1 与 R3 之间配置 GRE VPN,使两端私网能够互相访问。R1 和 R3 上配置 RIPv2 来传递两端私网路由。
IPsec+预共享密钥的IKE野蛮模式
zero_number的博客
10-21 6203
指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务 IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
2. 详解 IPSEC 的认证模式、主模式野蛮模式
weixin_38387929的博客
06-02 1万+
一. 基本名词解释 1. IPSec 对等体 IPSec 用于在两个端点之间提供安全的 IP 通信,通信的两个端点被称为 IPSec 对等体。 2. 安全联盟 SA(Security Association)安全联盟定义了 IPSec 通信对等体间将使用哪种摘要和加密算法、什么样的密钥进行数据的安全转换和传输。SA 是单向的,在两个对等体之间的双向通信,至少需要两个 SA。SA 由一个三元组来唯一标识,这个三元组包括安全参数索引 SPI(Security Parameter Index)、目的 IP 地址、
H3C防火墙及IPsec综合实验
qq_45049184的博客
03-08 9293
我们知道IPsec需要配置感兴趣流来抓取本端私网到达对端私网的流量,NAT转换抓取的同样也是本端私网流量,且NAT的优先级高于IPsec的优先级,如此一来会导致需要被IPsec封装的流量被NAT抓取且当做正常流量导向了公网。所以为了避免这种情况,我们需要在用于匹配NAT的ACL再加上一条ACL用于匹配IPsec的感兴趣流,成功匹配则将其丢弃,这样即使访问对端私网的流量到达了NAT也会被其丢弃,同时也不会影响NAT的正常工作。按照拓扑图所示配置,业务网段全配置在设备的loopback接口,配置过程略。
GRE OVER IPSEC野蛮模式
weixin_46639226的博客
11-06 3940
## 野蛮模式适用于两端其中有一端地址不固定的情况 实验拓扑 实验思路 1.配置全网地址(这里的地址已经在图上规划,不在赘述) 2.配置ike 3.配置ipsec 4.配置GRE 地址配置完成之后,首先要保证公网可达,因为RT3和RT4是DHCP获取的地址,所以他们上面会有两条默认路由,下一跳是SW5,但是RT1上面没有往公网去的路由,所以要在RT1上配置一条默认路由 RT1 [H3C]ip route-static 0.0.0.0 0 100.1.1.254 RT3 (默认路由是DHCP下发的,优先级
路由器基础(十二):IPSEC VPN配置
limengshi138392的博客
11-04 1万+
路由器基础(十二):IPSEC VPN配置
IPSec模式野蛮模式的区别
热门推荐
WFlySky的博客
11-24 1万+
ipsec的vpn隧道第一阶段建立方式分为主模式野蛮模式,这两个模式的主要区别在于进行IKE 协商的时候所采用的协商方式不同。 具体区别在于: 1、主模式在IKE协商的时候要经过三个阶段:SA交换、密钥交换、ID交换和验证;野蛮模式只有两个阶段:SA交换和密钥生成、ID交换和验证。 2、主模式一般采用IP地址方式标识对端设备;而野蛮模式可以采用IP地址方式或者域名方式标识对端设备。 因此相比较而言,主模式更安全,而野蛮模式协商速度更快,VPN的两个或多个设备都要设置成相同的模式VPN才能建立成功。 各自适
【华为】IPsec VPN 实验配置(地址固定)
2301_77161465的博客
01-08 5523
本篇文章是关于IPsec VPN的 实验配置,场景是在两端的IP地址都是固定的情况下,里面有配置思路和配置代码,还有注释等等
总部/分支之间建立点到多点IPSec ×××
weixin_33861800的博客
04-28 1483
总部/分支之间建立点到多点IPSec ×××分支机构和总部之间通信,如果某些分支机构的公网地址固定,另外一些分支机构的公网地址不固定,可采用此方式建立IPSec隧道。组网需求图1 总部与多个分支机构之间的组网示意图如图1所示,组网情况如下:某企业由总部和若干个分支机构组成。总部和分支机构1~分支机构n的IP地址都为固定地址,其他分支机构的IP地址为动态地址。总部和各分支机构的...
华三 IPSec模式配置
08-16
华三 IPSec模式配置的步骤如下: 1. 首先,在 R1 的公网接口上下发 IPsec 策略。使用命令[R1-GigabitEthernet0/0ipsec apply policy r3来下发策略。 2. 然后,在 R1 上创建 IPsec 策略,调用之前配置的相关参数。使用命令[R1ipsec policy r3 1 isakmp来创建策略,其中包括配置安全 ACL、IKE 配置文件、变换集和远程地址。 3. 最后,在 AR3 上同样进行 IPSec 隧道的配置。进行 ping 测试,然后查看 IKE SA 和 IPSec SA 是否建立成功。 请注意,上述只是华三 IPSec模式配置的简要步骤,具体的命令和配置参数可能会根据实际情况有所不同。在实际操作中,请参考相关设备的官方文档或咨询华三技术支持以获取更详细的配置步骤和指导。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [基于HCL模拟器华三设备IPsec vpn的配置实验](https://blog.youkuaiyun.com/WANGMH13/article/details/126103774)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* [H3C配置IPSec(与华为的ipsec对比说明)主模式](https://blog.youkuaiyun.com/weixin_45123715/article/details/121203082)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值