配置OSPFv3 IPSec示例

已于 2025-06-30 12:44:49 修改
阅读量608 收藏 18
点赞数 16
CC 4.0 BY-SA版权
分类专栏: 入门到精通华为数通网络工程师 文章标签: 网络 华为 网络工程师 运维
于 2025-06-27 11:53:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangx_yu533/article/details/148949993

在OSPFv3网络中互为OSPFv3邻居的设备接口上配置OSPFv3 IPSec,防止伪造的OSPFv3协议报文对设备进行非法攻击。

组网需求

图1所示,RouterA和RouterB透过一段公共网络相连,RouterA和RouterB之间运行OSPFv3。如果不定义任何认证机制,RouterA和RouterB之间的路由协议报文很可能会被网络中的攻击者更改或者仿冒,造成RouterA和RouterB的邻接关系断开,或者引入错误路由。

为了防止上述情况发生,在RouterA和RouterB之间配置IPSec安全隧道,对它们收发的OSPFv3报文进行安全保护。安全协议采用ESP(Encapsulating Security Payload),认证算法采用SHA-1(Secure Hash Algorithm-1)。

图1 配置IPSec组网图

配置思路

采用如下的思路配置IPSec for OSPFv3特性:

配置OSPFv3基本功能,使RouterA和RouterB之间能够建立OSPFv3路由。

配置安全提议,以决定需要实施的安全协议、认证算法等。

配置安全联盟参数。

OSPFv3进程上应用安全联盟,以实现IPSec对RouterA和RouterB之间OSPFv3路由协议报文的保护。

数据准备

为完成此配置例,需要准备如下数据:

设备名称

Router ID

Process ID

IPv6地址

安全索引参数SPI

字符串密钥

RouterA

1.1.1.1

1

GE1/0/1: 2001:DB8:100::1/64

12345

Huawei-123

RouterB

2.2.2.2

1

GE1/0/1: 2001:DB8:100::2/64

12345

Huawei-123

操作步骤
  1. 在RouterA和RouterB上配置OSPFv3。

# 配置RouterA。

<HUAWEI> system-view

[HUAWEI] sysname RouterA

[RouterA] ospfv3 1

[RouterA-ospfv3-1] router-id 1.1.1.1

[RouterA-ospfv3-1] area 1

[RouterA-ospfv3-1-area-0.0.0.1] quit

[RouterA-ospfv3-1] quit

# 配置RouterB。

<HUAWEI> system-view

[HUAWEI] sysname RouterB

[RouterB] ospfv3 1

[RouterB-ospfv3-1] router-id 2.2.2.2

[RouterB-ospfv3-1] area 1

[RouterB-ospfv3-1-area-0.0.0.1] quit

[RouterB-ospfv3-1] quit

  1. 在接口上配置IPv6地址并使能OSPFv3。

# 配置RouterA。

[RouterA] ipv6

[RouterA] interface gigabitethernet1/0/1

[RouterA-GigabitEthernet1/0/1] ipv6 enable

[RouterA-GigabitEthernet1/0/1] ipv6 address 2001:DB8:100::1 64

[RouterA-GigabitEthernet1/0/1] ospfv3 1 area 1

[RouterA-GigabitEthernet1/0/1] quit

# 配置RouterB。

[RouterB] ipv6

[RouterB] interface gigabitethernet1/0/1

[RouterB-GigabitEthernet1/0/1] ipv6 enable

[RouterB-GigabitEthernet1/0/1] ipv6 address 2001:DB8:100::2 64

[RouterB-GigabitEthernet1/0/1] ospfv3 1 area 1

[RouterB-GigabitEthernet1/0/1] quit

  1. 在RouterA和RouterB上创建安全提议。

# 在RouterA上创建安全提议。

[RouterA] ipsec proposal proposal1

[RouterA-ipsec-proposal-proposal1] encapsulation-mode transport

[RouterA-ipsec-proposal-proposal1] transform esp

[RouterA-ipsec-proposal-proposal1] undo esp encryption-algorithm

[RouterA-ipsec-proposal-proposal1] esp authentication-algorithm sha1

[RouterA-ipsec-proposal-proposal1] quit

# 在RouterB上创建安全提议。

[RouterB] ipsec proposal proposal2

[RouterB-ipsec-proposal-proposal2] encapsulation-mode transport

[RouterB-ipsec-proposal-proposal2] transform esp

[RouterB-ipsec-proposal-proposal2] undo esp encryption-algorithm

[RouterB-ipsec-proposal-proposal2] esp authentication-algorithm sha1

[RouterB-ipsec-proposal-proposal2] quit

# 在RouterA和RouterB上执行display ipsec proposal命令以查看配置信息。以RouterA显示内容为示例。

[RouterA] display ipsec proposal

Total IP security proposal number: 1

IP security proposal name: proposal1

encapsulation mode: transport

transform: esp-new

ESP protocol: authentication MD5-HMAC-96, not use encryption

  1. 配置IPSec SA,并在RouterA和RouterB的SA上应用提议。

# 配置IPSec SA并在RouterA的SA上应用提议。

[RouterA] ipsec sa sa1

[RouterA-ipsec-sa-sa1] proposal proposal1

[RouterA-ipsec-sa-sa1] quit

# 配置IPSec SA并在RouterB的SA上应用提议。

[RouterB] ipsec sa sa2

[RouterB-ipsec-sa-sa2] proposal proposal2

[RouterB-ipsec-sa-sa2] quit

  1. 在RouterA和RouterB上配置安全参数索引(SPI)及字符串格式密钥。

# 在RouterA上配置安全参数索引(SPI)和字符串格式密钥。

[RouterA] ipsec sa sa1

[RouterA-ipsec-sa-sa1] sa spi inbound esp 12345

[RouterA-ipsec-sa-sa1] sa spi outbound esp 12345

[RouterA-ipsec-sa-sa1] sa string-key inbound esp Huawei-123

[RouterA-ipsec-sa-sa1] sa string-key outbound esp Huawei-123

[RouterA-ipsec-sa-sa1] quit

# 在RouterB上配置安全参数索引(SPI)和字符串格式密钥。

[RouterB] ipsec sa sa2

[RouterB-ipsec-sa-sa2] sa spi outbound esp 12345

[RouterB-ipsec-sa-sa2] sa spi inbound esp 12345

[RouterB-ipsec-sa-sa2] sa string-key outbound esp Huawei-123

[RouterB-ipsec-sa-sa2] sa string-key inbound esp Huawei-123

[RouterB-ipsec-sa-sa2] quit

  1. 为OSPFv3进程配置安全联盟。

# 在RouterA的OSPFv3进程上配置SA。

[RouterA] ospfv3 1

[RouterA-ospfv3-1] ipsec sa sa1

[RouterA-ospfv3-1] quit

# 在RouterB的OSPFv3进程上配置SA。

[RouterB] ospfv3 1

[RouterB-ospfv3-1] ipsec sa sa2

[RouterB-ospfv3-1] quit

  1. 验证配置结果。

# 在RouterA和RouterB上执行display ipsec sa命令以查看配置。以RouterA上的显示内容为示例。

[RouterA] display ipsec sa

  IP security association name: sa1

  Number of references: 1

    proposal name: proposal1

    inbound AH setting:

      AH spi:

      AH string-key:

      AH authentication hex key:

    inbound ESP setting:

      ESP spi: 12345 (0x3039)

      ESP string-key: b{br9\zi%X+/Y@:Y>Lw(L\v#

      ESP encryption hex key:

      ESP authentication hex key:

    outbound AH setting:

      AH spi:

      AH string-key:

      AH authentication hex key:

    outbound ESP setting:

      ESP spi: 12345 (0x3039)

      ESP string-key: D0>GQf"}w2@X,k6.E\Z,z\{#

      ESP encryption hex key:

      ESP authentication hex key:

# 执行display ipsec statistics命令,可以查看报文的统计信息,包括入方向/出方向的安全报文数目、丢弃的报文数目等。如果有入方向/出方向的安全报文计数,则说明配置成功。例如:

[RouterA] display ipsec statistics

  IPv6 security packet statistics:

    input/output security packets: 184/19

    input/output security bytes: 13216/1312

    input/output dropped security packets: 0/0

    dropped security packet detail:

      memory process problem: 0

      can't find SA: 0

      queue is full: 0

      authentication is failed: 0

      wrong length: 0

      replay packet: 0

      too long packet: 0

      invalid SA: 0

      policy deny: 0

  the normal packet statistics:

    input/output dropped normal packets: 0/0

  IPv4 security packet statistics:

    input/output security packets: 0/0

    input/output security bytes: 0/0

    input/output dropped security packets: 0/0

    dropped security packet detail:

      memory process problem: 0

      can't find SA: 0

      queue is full: 0

      authentication is failed: 0

      wrong length: 0

      replay packet: 0

      too long packet: 0

      invalid SA: 0

      policy deny: 0

  the normal packet statistics:

    input/output dropped normal packets: 0/0

配置文件

RouterA的配置文件

#

sysname RouterA

#

ipsec proposal proposal1

 encapsulation-mode transport

 esp authentication-algorithm sha1

 undo esp encryption-algorithm

#

ipsec sa sa1

 proposal proposal1

 sa spi inbound esp 12345

 sa string-key inbound esp cipher %^%#b{br9\zi%X+/Y@:Y>Lw(L\v#%^%#

 sa spi outbound esp 12345

 sa string-key outbound esp cipher %^%#D0>GQf"}w2@X,k6.E\Z,z\{#%^%#

#

ospfv3 1

 router-id 1.1.1.1

 ipsec sa sa1

 area 0.0.0.1   

#

ipv6

#

interface GigabitEthernet1/0/1

 undo shutdown

 ipv6 enable

 ipv6 address 2001:DB8:100::1/64

 ospfv3 1 area 0.0.0.1

#

RouterB的配置文件

#

sysname RouterB

#

ipsec proposal proposal2

 encapsulation-mode transport

 esp authentication-algorithm sha1

 undo esp encryption-algorithm

#

ipsec sa sa2

 proposal proposal2

 sa spi inbound esp 12345

 sa string-key inbound esp cipher %^%#VlrZ=1vTW":z9:%F`[a=o[t#%^%#

 sa spi outbound esp 12345

 sa string-key outbound esp cipher %^%#)YTP%@nFE7bL^B&WSBiQ1[p#%^%#

#

ospfv3 1

 router-id 2.2.2.2

 ipsec sa sa2

 area 0.0.0.1

#

ipv6

#

interface GigabitEthernet1/0/1

 undo shutdown

 ipv6 enable

 ipv6 address 2001:DB8:100::2/64

 ospfv3 1 area 0.0.0.1

#

OSPFv3:第三版OSPF除了支持IPv6,还有这些强大的特性!
网络技术联盟站
06-26 452
OSPFv3(Open Shortest Path First Version 3)是一种用于IPv6网络的开放式最短路径优先(OSPF)路由协议。它是OSPFv2协议的扩展版本,专门设计用于支持IPv6协议栈。OSPFv3在IPv6环境下提供了强大的路由功能,允许网络管理员有效地管理复杂的IPv6网络拓扑结构。特性OSPFv3OSPFv2IP版本支持IPv6IPv4地址类型支持IPv6IPv4路由信息交换IPv6多播广播/组播邻居关系建立自动发现手动配置安全性机制。
基于IPv6的OSPFv3/ISISv6-原理介绍+报文解析+配置示例
fengxingzhe008的博客
04-03 2303
IPv6动态路由协议:OSPFv3+ISISv6
OSPFV3:特性、报文与链路状态数据库的深度剖析
m0_57836225的博客
01-16 1119
网络技术的演进历程中,OSPF(Open Shortest Path First)协议不断发展以适应日益复杂的网络环境。OSPFv3 作为该协议的重要版本,相较于 OSPFv2,带来了诸多显著变化与改进。本文将深入探讨 OSPFv3 的关键特性、报文结构变化、链路状态数据库(LSDB)相关内容,并结合代码示例辅助理解。
OSPFv3OSPFv2区别
weixin_34209406的博客
10-25 6822
  OSPF路由协议是链路状态型路由协议,这里的链路即设备上的接口。链路状态型路由协议基于连接源和目标设备的链路状态作出路由的决定。链路状态是接口及其与邻接网络设备的的关系的描述,接口的信息即链路的信息,也就是链路的状态(信息)。这些信息包括接口的IPv6前缀(prefix)、网络掩码、接口连接的网络(链路)类型、与该接口在同一网络(链路)上的路由器等信息。这些链路状态信息由...
BGP MPLS/LDP-3层虚拟专用网络原理介绍+报文分析+配置示例
fengxingzhe008的博客
06-17 4376
史上最全最完整的BGP/MPLS及其跨域场景原理介绍+报文分析+配置示例;MP-BGP协议;VRFs表;OptionA,OptionB,OptionC方案;BGP的SoO属性;
ENSP配置命令总结
2202_75302718的博客
05-09 1464
【代码】ENSP配置命令总结。
SRv6(BE)-原理介绍+报文解析+配置示例
热门推荐
fengxingzhe008的博客
11-27 2万+
SRv6原理,BE场景介绍,报文分析,SR Policy介绍
IPv6/ICMPv6-原理介绍+报文分析+配置示例
fengxingzhe008的博客
03-01 8880
IPv6/ICMPv6-RFC介绍+报文详解 邻居缓存(Neighbor Cache,NC) 邻居发现协议(Neighbor Discover Protocol) 地址解析(Address Resolution) 邻居不可达检测(Neighbor Unreachability Detection,NUD) 无状态地址自动配置(Stateless Address Autoconfiguration,SLLAC) 重复地址检测(Duplicate Address Detection,DAD)
《H3C路由器配置与管理完全手册》(第二版)前言和目录
王达专栏
06-14 6313
史上最具人气、最受好评的网络设备图书领域“四大金刚”的全新升级版本再现江湖了,他们分别是:《Cisco交换机配置与管理完全手册》(第二版)、《H3C交换机配置与管理完全手册》(第二版)、《Cisco路由器配置与管理完全手册》(第二版)和《H3C路由器配置与管理完全手册》(第二版)。目前这四本新书在当当网上可以在以下链接网页正式预订了(同时购买这四本图书的将获赠8G U盘一个,请与我联系,QQ:46
配置OSPFv3进程号3948,IPv6单播地址族,路由器ID为0.0.0.3。 重发布有状态化NAT64路由,标记为6400,使用路由映射ONLY_NAT64_ROUTE。 将区域1配置NSSA区域。在cisco中完成上述配置
07-22
我们正在配置OSPFv3,这是一个用于IPv6的路由... - 启用OSPFv3认证(如IPsec或AH) - 使用`passive-interface`阻止不必要的邻居建立 > 引用说明:配置基于IPv6路由协议接口级激活原则[^1]和NAT64标准地址空间[^2]。
企业网络OSPFv3路由详解:IPv6技术与配置实战
- OSPFv3本身并不内置认证功能,但它利用IPv6的安全特性(如IPSec)来确保报文的完整性和机密性,保证路由信息的安全性。 5. **配置示例**: - 配置步骤包括启用IPv6、设置Router ID、配置接口地址、指定区域以及...
OSPFv3配置详解:IPv6地址分配与路由协议实践
本资源主要介绍了OSPFv3配置在IPv6网络环境下的应用,针对IPv6原理和技术培训的课程内容进行了详细解读。首先,课程开始于IPv6概述,指出IPv4地址资源紧张的问题以及IPv4向IPv6升级的必要性。IPv6作为IPv4的升级版本...
OSPFv3 协议
03-20
还要考虑用户可能的后续问题,比如OSPFv3OSPFv2的异同,多区域配置,认证机制的变化(OSPFv3依赖IPv6的IPsec),以及常见故障排除方法。因此,在相关问题的部分可以生成这些问题,帮助用户进一步学习。 最后,...
世博会无法在Android上启动项目:无法连接到TCP端口5554:连接被拒绝
小妖666个人笔记
07-23 363
世博会无法在Android上启动项目:无法连接到TCP端口5554:连接被拒绝
学习小结记录
A57645467的博客
07-22 559
1、首先客户端位置是一台电脑或手机,在打开浏览器以后,比如输入http://www.zdns.cn的域名,它首先是由浏览器发起一个DNS解析请求,如果本地缓存服务器中找不到结果,则首先会向根服务器查询,根服务器里面记录的都是各个顶级域所在的服务器的位置,当向根请求http://www.zdns.cn的时候,根服务器就会返回.cn服务器的位置信息。2、递归服务器拿到.cn的权威服务器地址以后,就会寻问cn的权威服务器,知不知道http://www.zdns.cn的位置。
网络安全入门第一课:信息收集实战手册(3
最新发布
2402_84408069的博客
07-25 620
摘要: 本文探讨了企业信息收集的实战技术,重点介绍了Hunter、爱企查等工具在资产测绘中的应用,包括备案域名收集、Logo哈希追踪等技巧。同时阐述了教育行业(Edusrc)和公益SRC的专项信息收集方法,并介绍了ARL自动化扫描工具的使用流程。文章强调所有操作需在合法授权下进行,严格遵守信息安全法律法规,禁止用于非法用途。通过资产测绘、人员定位、漏洞抓取和自动化整合四步法则,可系统化识别企业安全风险,但必须遵循最小影响原则和道德规范。
JavaWeb-Servlet
m0_72900498的博客
07-23 606
本文摘要: 介绍了软件系统两大架构(C/S和B/S)的优缺点,B/S架构因其无需安装客户端、便于升级维护而成为主流。重点阐述了JavaWeb开发的优势,包括Java语言特性、面向对象特点和庞大的类库支持。讲解了HTTP/TCP协议层级关系,以及JavaWeb核心组件Servlet和JSP的原理。最后说明了Maven的项目管理和依赖配置功能,包括修改本地仓库路径等设置要点。文章从架构选择到具体实现,为JavaWeb开发提供了系统性的技术概述。
交换机的六种常见连接方式配置(基于华为eNSP)
-曾牛的博客
07-23 1131
本文介绍了华为eNSP中交换机的六种常见连接方式配置方法。重点包括:1)基础直连配置,要求同网段主机IP;2)交换机接口配置,涉及链路类型(access/trunk/hybrid)和VLAN划分;3)主机通过交换机通信的配置流程,包括创建VLAN、配置vlanif网关和接口设置;4)不同交换机互联方案。同时详细讲解了二层/三层交换机区别、VLAN作用、子网划分、网关概念等网络基础知识,并涉及堆叠、层级结构等扩展内容。
通过 Web3 区块链安全评估,领先应对网络威胁
dd8989089的博客
07-25 124
Web3 区块链安全评估是确保 Web3 应用安全性的重要手段。通过全面的安全评估,可以发现潜在的安全漏洞和风险,采取相应的措施进行修复和防范,从而提高 Web3 应用的安全性,保护用户的数据和隐私。随着 Web3 技术的不断发展,安全评估将成为 Web3 应用开发和运营的重要环节。让我们携手共进,为构建一个更安全、更可靠的数字世界而努力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

精彩网络技术

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值