当前位置:文档之家 › 配置IPSec图解

配置IPSec图解

  • 格式:docx
  • 大小:1.71 MB
  • 文档页数:20

下载文档原格式

  / 20

合集下载

野蛮模式ipsec的典型组网和配置

野蛮模式ipsec的典型组网和配置

rule 1 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
C->B A->B
rule 2 deny ip acl number 101 rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
很野蛮
1.4 IPSEC 配置前的参数选择
以下内容的具体解释详见 操作手册 1.3.1 和 1.3.2 节粗体字为 Quidway 路由器缺省参数
1.4.1 选择安全协议 加密算法 认证算法
安全协议 ESP
AH AH-ESP
表 1 安全协议 加密算法 des|3de|none
-----------des|3de|none
C Center isakmp abcdefg
esp
des
sha1
A P1
isakmp abcdefg
esp
des
sha1
B P2
isakmp abcdefg
esp
des
sha1
表 5 加密数据流的指定
C
C->A acl number 100
B->A
rule 0 permit ip source 192.168.2.00.0.0.255 destination 192.168.0.0 0.0.0.255
IP ESP IP data ESP-T IP AH ESP IP data ESP-T
1.4.3 选择安全策略的协商方式
表 3 选择安全策略的协商方式 安全策略的协商方式 manual isakmp

IPSec_VPN配置案例

IPSec_VPN配置案例

IPSec VPN配置案例经过上一篇文章的介绍,相信大家对IPSec VPN有了初步的认识。

光说不练,对知识点掌握不够牢固。

今天通过一个IPSec VPN配置来加深理解。

拓扑说明Site1和Site2模拟企业的边界路由,同时Site1和Site2上的ge0/0/0端口上的IP是公网IP,在承载网中是可路由的。

分支机构Site1要有通过Site2的路由,同理,Site2也要有通过Site1的路由。

这是配置IPSec VPN的前提基本配置1、把各个路由端口配置对应的IP。

以Site1为例,其他类似。

<Huawei>system-view[Huawei]sysname Site1[Site1]interface GigabitEthernet 0/0/0[Site1-GigabitEthernet0/0/0]ip address 61.128.1.1 24[Site1-GigabitEthernet0/0/0]q[Site1]interface GigabitEthernet 0/0/2[Site1-GigabitEthernet0/0/2]ip address 172.16.1.254 242、分别在Site1和Site2上配置默认路由。

3、验证分支Site1和Site2连通性。

IPSec VPN配置1、分别在site1和site2配置ACL识别兴趣流。

因为部分流量无需满足完整性和机密性要求,所以需要对流量进行过滤,选择出需要进行IPSec处理的兴趣流。

可以通过配置ACL来定义和区分不同的数据流。

2、配置IPSec安全提议。

缺省情况下,使用ipsec proposal命令创建的IPSec提议采用ESP协议、MD5认证算法和隧道封装模式。

在IPSec提议视图下执行下列命令可以修改这些参数。

1. 执行transform [ah | ah-esp | esp]命令,可以重新配置隧道采用的安全协议。

路由器IPSEC配置

路由器IPSEC配置

路由器的IPSEC配置
一、服务器端:配置华三路由器
1、查看路由器的出口端口及IP地址,如下图为WAN1,IP为202.101.193.74
2、配置IKE
1)建立IKE的虚拟出口,绑定出口为W AN1
2)、设置IEK安全提议,IKE验证算法为MD5,加密算法为3DES, DH组为DH2 modp 1024
3)、设置IKE对等体,占据接口引用第1步创建的,由于是中心对多点的模式,所以对端地址设为0.0.0.0,即任意IP都可接入。

协商模式为主模式,安全提议为第2步所创建的安全
提议。

设置预共享密钥。

2、配置IPSEC
1)创建安全提议,安全协议类型ESP,ESP验证算法MD5,ESP加密算法3DES
2)设置安全策略,本地子网地址为实际本端的IP,对端子网设置为0.0.0.0,即任意都可接入,协商类型IKE协商,对等体调用IKE的第三步,安全提议调用IPSEC的第一步,PFS 为DH2 modp 1024
二、客户端:四信路由器设置
进入IPSCE配置界面,点击添加一个IPsec客户端
添加一个IPsec客户端
本地子网填写本地的网关IP加后缀/24,远程子网填写对端网关IP加后缀/24(注:本地和对端的网段不能一样)。

启用高级配置,IKE/ESP加密信息的填写要和服务端一致。

共享密钥要和服务端的一样致。

如上图所示,从串口看到输出ipsec连接认证已经通过,表示IPsec隧道已经连接。

在状态下看到ESTABLISED 就表示IPsec隧道已经连接。

H3C配置IPSEC教程实例介绍

H3C配置IPSEC教程实例介绍

H3C配置IPSEC教程实例介绍作为不同网络之间互相连接的枢纽,路由器系统构成了基于TCP/IP 的国际互联网络Internet 的主体脉络,也可以说,路由器构成了Internet的骨架。

这篇文章主要介绍了H3C配置IPSEC VPN教程实例(图文),需要的朋友可以参考下方法步骤H3C配置IPSEC VPN思路跟思科差不多,无非就是命令不一样的,下面就演示一下拓扑:RT1背后有个1.1.1.1网段,RT3背后有个3.3.3.3网段,ISP没有这两条路由RT2:system-viewSystem View: return to User View with Ctrl+Z.[RT2]int g0/0/0[RT2-GigabitEthernet0/0/0]ip add 12.1.1.2 24[RT2-GigabitEthernet0/0/0]quit[RT2]int g0/0/1[RT2-GigabitEthernet0/0/1]ip add 23.1.1.2 24[RT2-GigabitEthernet0/0/1]quitRT1:acl number 3000rule 0 permit ip source 1.1.1.0 0.0.0.255 destination 3.3.3.0 0.0.0.255ike proposal 1encryption-algorithm 3des-cbcauthentication-algorithm md5authentication-metod pre-sharedh group2ike peer ciscoid-type ippre-shared-key simple ciscoremote-address 23.1.1.3local-address 12.1.1.1#ipsec proposal ciscotransform espesp authentication-algorithm md5esp encryption-algorithm 3desipsec policy cisco 10 isakmpsecurity acl 3000ike-peer ciscoproposal ciscoint g0/0/0ipsec policy ciscoip route-static 0.0.0.0 0.0.0.0 12.1.1.2RT3:acl number 3000rule 0 permit ip source 3.3.3.0 0.0.0.255 destination 1.1.1.0 0.0.0.255ike proposal 1encryption-algorithm 3des-cbcauthentication-algorithm md5authentication-metod pre-sharedh group2ike peer ciscoid-type ippre-shared-key simple ciscoremote-address 12.1.1.1local-address 23.1.1.3#ipsec proposal ciscotransform espesp authentication-algorithm md5esp encryption-algorithm 3desipsec policy cisco 10 isakmpsecurity acl 3000ike-peer ciscoproposal ciscoint g0/0/1ipsec policy ciscoip route-static 0.0.0.0 0.0.0.0 23.1.1.2相关阅读:路由器安全特性关键点由于路由器是网络中比较关键的设备,针对网络存在的各种安全隐患,路由器必须具有如下的安全特性:(1)可靠性与线路安全可靠性要求是针对故障恢复和负载能力而提出来的。

华为路由器 配置IPSec

华为路由器 配置IPSec

目录
目录
7 配置 IPSec ...................................................................................................................................7-1
7.1 简介..............................................................................................................................................................7-2 7.1.1 IPSec 概述 ...........................................................................................................................................7-2 7.1.2 基于证书认证机制的 IPSec ..............................................................................................................7-2
文档版本 02 (2008-12-15)
华为所有和机密iLeabharlann 版权所有 © 华为技术有限公司
目录
Secoway USG50 配置指南 安全防范分册
7.5.3 配置证书验证...................................................................................................................................7-21 7.5.4 检查配置结果...................................................................................................................................7-21 7.6 维护............................................................................................................................................................7-21 7.6.1 查看 IPSec 处理报文的统计信息 ...................................................................................................7-21 7.6.2 调试 IPSec ........................................................................................................................................7-21 7.6.3 调试 IKE...........................................................................................................................................7-22 7.6.4 删除 IKE SA.....................................................................................................................................7-22 7.6.5 删除 SA ............................................................................................................................................7-22 7.6.6 清除 IPSec 统计报文 .......................................................................................................................7-23 7.6.7 维护低速加密卡...............................................................................................................................7-23 7.6.8 维护 CA............................................................................................................................................7-24 7.7 配置举例....................................................................................................................................................7-25 7.7.1 配置采用 Manual 方式建立 SA 示例 .............................................................................................7-25 7.7.2 配置采用 IKE 方式建立 SA 示例(预共享密钥) .......................................................................7-32 7.7.3 配置采用 IKE 方式建立 SA 示例(RSA 签名) ..........................................................................7-39

H3C-V7-ipsec配置

H3C-V7-ipsec配置

配置路由器:如图配置各个接口IP地址,具体略基本配置B(isakmp):IPSEC自动协商#RTA的配置#进入系统视图<RouteA>system-view#创建访问控制列表,定义由子网20.x.x.x去子网30.x.x.x的数据流[RouteA]acl number 3000[RouteA-acl-adv-3000]rule permit ip source 20.0.0.0 0.255.255.255 destination 30.0.0.0 0.255.255.255[H3C-acl-adv-3000]quit# 创IPsec建安全提议tran1。

[RouterA] ipsec transform-set tran1# 配置安全协议对IP报文的封装形式为隧道模式。

[RouterA-ipsec-transform-set-tran1] encapsulation-mode tunnel# 配置采用的安全协议为ESP。

[RouterA-ipsec-transform-set-tran1] protocol esp# 配置ESP协议采用的加密算法为DES,认证算法为HMAC-SHA1。

[RouterA-ipsec-transform-set-tran1] esp encryption-algorithm des-cbc[RouterA-ipsec-transform-set-tran1] esp authentication-algorithm sha1[RouterA-ipsec-transform-set-tran1] quit# 创建并配置IKE keychain,名称为keychain1。

[RouterA] ike keychain keychain1# 配置与IP地址为2.2.3.1的对端使用的预共享密钥为明文abcd。

[RouterA-ike-keychain-keychain1] pre-share-key address 10.1.1.2 255.255.255.0 key simple abcd[RouterA-ike-keychain-keychain1] quit# 创建并配置IKE profile,名称为profile1。

配置IPSec


选择合适加密算法和认证方式
1 2 3
选择加密算法
根据安全需求和性能要求,选择合适的加密算法 ,如AES、3DES等。
选择认证方式
确定使用哪种认证方式,如HMAC-SHA1、 HMAC-MD5等,以确保数据的完整性和真实性 。
考虑密钥管理
确定如何管理和分发密钥,例如使用预共享密钥 (PSK)或公钥基础设施(PKI)。
03
配置IKE协商安全参数
搭建IKE协商环境
确定IKE协商的双方
通常包括IPSec通信的双方设备,如路由器或防火墙 。
确保网络连通性
确保双方设备之间网络可达,可以通过ping等命令 测试网络连通性。
配置设备接口
为IKE协商配置相应的接口,并确保接口处于UP状态 。
配置IKE策略及参数设置
设置据库(SAD)
03
存储安全关联信息,用于处理实际的数据加密和认证操作。
IPSec协议族
认证头(AH)
提供数据源认证、数据完整性和防重放保护,但不提供加密服务 。
封装安全载荷(ESP)
提供加密和可选的认证服务,用于保护数据的机密性和完整性。
密钥管理协议(IKE)
用于协商和管理IPSec通信双方之间的安全关联和密钥信息。
定义IPSec隧道的源地址 、目的地址、传输协议等 参数。
ABCD
配置IKE(Internet Key Exchange)参数,包括 IKE版本、预共享密钥、 DH(Diffie-Hellman) 组等。
配置NAT(Network Address Translation) 规则,确保IPSec数据包 可以正确穿越NAT设备。
配置IPSec
contents
目录

华为ipsec vpn 配置

IPSec(Internet Protocol Security)就是IETF(Internet Engineering TaskForce)制定得一组开放得网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性与抗重放功能来保证通信双方Internet上传输数据得安全性、在Internet得传输中,绝大部分数据得内容都就是明文传输得,这样就会存在很多潜在得危险,比如:密码、银行帐户得信息被窃取、篡改,用户得身份被冒充,遭受网络恶意攻击等。

网络中部署IPSec后,可对传输得数据进行保护处理,降低信息泄漏得风险。

采用默认配置通过IKE协商方式建立IPSec隧道示例组网需求如图1所示,RouterA为企业分支网关,RouterB为企业总部网关,分支与总部通过公网建立通信。

分支子网为10。

1.1.0/24,总部子网为10。

1.2。

0/24。

企业希望对分支子网与总部子网之间相互访问得流量进行安全保护。

分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护、图1 采用默认配置通过IKE协商方式建立IPSec隧道组网图配置思路采用如下思路配置采用IKE协商方式建立IPSec隧道:1.配置接口得IP地址与到对端得静态路由,保证两端路由可达。

2。

配置ACL,以定义需要IPSec保护得数据流、3。

配置IPSec安全提议,定义IPSec得保护方法。

4、配置IKE对等体,定义对等体间IKE协商时得属性。

5。

配置安全策略,并引用ACL、IPSec安全提议与IKE对等体,确定对何种数据流采取何种保护方法、6、在接口上应用安全策略组,使接口具有IPSec得保护功能。

操作步骤1。

分别在RouterA与RouterB上配置接口得IP地址与到对端得静态路由#在RouterA上配置接口得IP地址。

<Huawei〉system-view[Huawei] sysname RouterA[RouterA] interface gigabitethernet1/0/0[RouterA-GigabitEthernet1/0/0]ip address 202、138.163.1 255。

IPsec-VPN配置文档(锐捷与锐捷设备)

一、适用场景
总部与分支都为静态IP地址,总部或分部有一端为动态地址。

二、配置说明
两端的参数要保持一致,本案例选择的参数如下:
认证方式:预共享密钥,密钥为88888888
IKE算法:3DES-MD5,group 2
IPSec协商交互方案:esp(3des-MD5)
三、配置步骤
(一)配置总部的IPSEC
1、点击【网络】-【VPN配置】,选择“我在总部”
2、选择IPsec,点击下一
步;
3、进行IPSEC VPN配置,填写好参数,点击下一步;
4、总部IPSec配置成功;
2、配置routeB(分部)IPSEC
1)点击【网络】-【VPN配置】,选择"我在分支机构
2)VPN类型选择,勾选”IPSec“,点击下一
3)下一步进行“分支机构配置”;
4)点击下一步,配置完成;
四、配置验证
在VPN配置---VPN监视器中查看,具体修改配置可点击【表格】-【管理本地配置】-【修改配置】
1)Router查看总部
2)Router B 查看分支
3)测试是否可以互访
五、配置注意点
1、确保两端在设置VPN之前能够正常上网。

2、两端的配置参数一致,否则会导致vpn无法建立成功。

3、感兴趣流地址为两端互通的内网地址。

windowsserver2020R2-IPSec配置

在L2TP修改注册表的基础上选择高级平安windows防火墙
右击属性,选择IPSec
点自概念
选主模式的高级自概念添加策略注:密钥互换为第一时期参数
选择身份验证高级-自概念
默许没有预共享密钥
点添加
点平安连接规那么-右击传输模式配置
新建规那么
选自概念-下一步
下一步
下一步
一直下一步,直到完成输入规那么名即可连接成功后会有如图的显示
以上到现在期的配置利用传输模式能够连通。

Windows 隧道模式
IPSec 隧道模式
右击新建规那么
自概念-下一步并添加对端(远端)相应的网段
点下一步
下一步
下一步
下一步
下一步
输入名称点完成
右击启用规那么
右击规那么属性-高级
点隧道的自概念
测试连接成功
如上图,连接成功会有相对应的属性。

IPSec 隧道模式的一种特殊方式
在传输模式的基础上:利用的时候会只许诺IPSec数据包通过,现在主机的远程桌面和一些连接将不可用。

修改属性
选高级
选隧道自概念
配置完成
可进行连接
但连接后,除那个IPSec能通,其他的都不能通了,利用范围太窄。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

君子工作室教程集
QQ:529779525
配置IPSec
IPSec是能使在非安全网络上的两台计算机进行安全、加密通信的一套协议。

IPsec 有两个目的: 保护IP包和防御网络攻击
在发送和接收计算机上配置Ipsec,使两台计算机给对方发送安全数据
IPsec 通过使用加密和数据签名(证书)来保护网络通信的安全
Ipsec策略定义了Ipsec检测数据流的类型,数据流是如何进行安全处理和加密的,以及IPsec 对等双方是如何验证的
•验证和加密主机到主机的数据流
•验证和加密到服务器的数据流
•将L2TP/IPsec 用于VPN连接
•站点到站点的隧道
•强制逻辑网络
基本概念
数据传输前进行身份验证
接收数据时进行数据检验
发送数据时进行数据加密
环境
主机和主机之间
服务器中传送数据
VPN
站点到站点
数据传输阶段
主模式:建立起一条安全的数据传输通道
快速模式:加密数据,发送时利用主模式创建的传输通道
数据IPSec模式
传输模式:一对多,一台计算机对多台计算机IPSec数据传输(不指定IP地址)信道模式:一对一传输(指定IP地址)
IPSec协议
AH:只验证数据的完整性,不加密数据
ESP:对数据的完整性进行检查和加密
IPSec实验:
共享密钥
域模式验证
证书加密(需要CA服务器)
配置和管理路由访问
VPN使用环境
远程用户访问内部网络
两个站点之间的VPN连接
VPN连接协议
PPP(点到点传输协议)
VPN安全连接协议
PPTP(基本身份验证,用户名和密码)
L2TP(基于IPSec的验证,共享密钥和证书)
SSTP(基于HTTPS安全验证,443端口)
(客户端要求WIN7以上操作系统,不支持站点到站点之间的VPN)
(WIN2K8特有)
IKEv2(公共密钥交换协议)(VPN回拨)
1:DC
创建VPN用户,设置拨入属性
DHCP作用域的设置(大于10个IP,不包含服务器的IP地址)
2:VPN
两块网卡,两个IP
安装和配置路由和远程访问时,外网网卡,去掉VPN数据包保护
向CA申请证书,
两个证书(CA证书建立信任关系,个人证书用于数据传输)
从WEB申请(CA证书安装到受信任的根,个人证书安装到个人)
进入MMC控制台在当前用户将CA证书和个人证书导入到计算机证书中(个人用户将私钥一同导出,CA证书直接复制即可)
3:客户机Client
先用PPTP连接VPN,向CA服务器从WEB方式申请证书,同“VPN”步骤2,3
在VPN连接设置中,连接方式选址IPSec连接即可。