IPSec隧道配置案例(手动模式)

本文阅读 4 分钟
首页 安全分享,WEB安全 正文

acl 2000 rule permit so 192.168.10.0 0.0.0.255

int g0/0/0 ip add 192.168.10.254 24 dhcp sel int int g0/0/1 ip add 12.0.0.1 24 nat outbound 2000

ip route-s 0.0.0.0 0 12.0.0.2

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15

上海总部IP地址、DHCP、NAT、路由

sys
sys SH
dhcp enable

acl 2000 rule permit so 192.168.20.0 0.0.0.255

int g0/0/1 ip add 192.168.20.254 24 dhcp sel int int g0/0/0 ip add 23.0.0.3 24 nat outbound 2000

ip route-s 0.0.0.0 0 23.0.0.2

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15

ISP公网

sys
sys ISP

int g0/0/0 ip add 12.0.0.2 24

int g0/0/1 ip add 23.0.0.2 24

int lo 2 ip add 2.2.2.2 32

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11

PC1 img PC2 img

IPSec VPN配置

青海分部

感兴趣流
acl 3000  
 rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

提议: ipsec proposal QH2SH esp authentication-algorithm sha2-256 esp encryption-algorithm aes-256

策略: ipsec policy QH2SH 1 manual security acl 3000 proposal QH2SH tunnel local 12.0.0.1 tunnel remote 23.0.0.3 sa spi inbound esp 12345 sa string-key inbound esp cipher huawei123 sa spi outbound esp 12345 sa string-key outbound esp cipher huawei123

调用: ipsec policy QH2SH

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22

上海总部

感兴趣流:
acl 3000
rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

提议: ipsec proposal SH2QH esp authentication-algorithm sha2-256 esp encryption-algorithm aes-256

策略: ipsec policy SH2QH 1 manual security acl 3000 proposal SH2QH tunnel local 23.0.0.3 tunnel remote 12.0.0.1 sa spi inbound esp 12345 sa string-key inbound esp cipher huawei123 sa spi outbound esp 12345 sa string-key outbound esp cipher huawei123

调用: ipsec policy SH2QH

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22

配置完成后发现PC1、PC2ping公网能通,PC1与PC2之间ping不通。 img img img

分析原因

原因:公网出口的NAT策略与IPSec的感兴趣流冲突

关闭公网接口上的NAT策略 img img img 发现两PCping不通公网,IPSec VPN 没有一点问题。

解决方法

1、改IPSec上的感兴趣流
2、更改出口上的NAT策略

方案一:改IPSec上的感兴趣流

青海分部

acl number 3000  
 rule 5 permit ip source 12.0.0.1 0.0.0.255 destination192.168.20.0 0.0.0.255 

 
 
 
 
  1
  2

上海分部

acl number 3000  
 rule 5 permit ip source 23.0.0.0 0.0.0.255 destination192.168.10.0 0.0.0.255 

 
 
 
 
  1
  2

img img ESP加密了数据包

img img

方案一:更改出口上的NAT策略

青海分部

acl 3001  
 rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
 rule permit ip source any

 
 
 
 
  1
  2
  3

上海分部

acl 3001  
 rule deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
 rule permit ip source any

 
 
 
 
  1
  2
  3

重新建ACL3001应用在公网出口上 img img

img img

IPSec:Internet Protocol Security

• 源于IPv6 • IETF制定的一套安全保密性能框架 • 建立在网络层的安全保障机制 • 引入多种加密算法、验证算法和密钥管理机制 • 也具有配置复杂、消耗运算资源较多、增加延迟、不支持组播等缺点 • IPSec VPN是利用IPSec隧道建立的VPN技术 img

IPSec 核心功能

img img

IPSec 技术框架

img

img img

IPSec安全协议

img img

IPSec封装模式

img img 传输模式封装结构 img 隧道模式封装结构 img img img

安全联盟

SA(Security Association)

• 顾名思义,通信双方结成盟友,相互信任亲密无间,即达成约定 • 由一个(SPI,IP目的地址,安全协议号)三元组唯一标识 • 决定了对报文进行何种处理:模式、协议、算法、密钥、生存周期等 • 每个IPSec SA都是单向的 • 可以手工建立或通过IKE协商生成 • SPD(Security Policy Database) • SAD(Security Association Database) img img img img img

IKE

IKE:Internet Key Exchange,因特网密钥交换

• 基于UDP(端口号500)的应用层协议,可为数据加密提供所需的密钥 • 使用DH算法,在不安全的网络上安全地分发密钥,验证身份 • 定时更新SA和密钥,实现完善的前向安全性 • 允许IPSec提供抗重播服务 • 简化IPSec的使用和管理,大大简化了IPSec的配置和维护工作

img img

IPSec配置

img ipsec proposal shanghai encapsulation-mode tunnel transform esp 创建并配置IPSec提议。 配置报文的封装模式。 配置隧道采用的安全协议。

esp authentication-algorithm sha2-256 esp encryption-algorithm aes-128 display ipsec proposal 配置ESP协议使用的认证算法。 配置ESP加密算法。 验证IPSec提议配置。

ipsec policy P1 10 manual security acl 3000 创建并配置IPSec策略(手动)。 配置引用的ACL。

proposal shanghai 配置引用的提议。

tunnel local 12.0.0.2 tunnel remote 13.0.0.3 配置安全隧道的本端地址。 配置安全隧道的对端地址。 配置SA的SPI。

sa spi inbound/outbound esp 12345 入方向和出方向都必须设置,并且双方的必须相互对应。

sa string-key 配置SA的认证密钥。

inbound/outbound esp cipher wakin 入方向和出方向都必须设置,并且 双方的必须相互对应。

display ipsec policy 验证IPSec手动策略配置。

ike proposal 10 创建并配置IKE提议。

authentication-method pre-share authentication-algorithm sha2-256 encryption-algorithm aes-cbc-256 配置身份认证方式。 配置数据认证算法。 配置加密算法。

dh group14 配置密钥交换算法。

display ike proposal 验证IKE提议。

ike peer shanghai v1 创建并配置IKE对等体。

exchange-mode main/aggressive pre-shared-key cipher huawei ike-proposal 10 配置PSK。 配置引用的IKE提议。

local-address 12.0.0.1 remote-address 23.0.0.3 配置本地IP地址。 配置对端IP地址。

ipsec policy P2 10 isakmp security acl 3000 proposal 10 创建并配置IPSec策略(自动)。 配置引用的ACL。 配置引用的IPSec提议。

ike-peer shanghai 配置引用的IKE对等体。

ipsec policy P1/P2 display ike/ipsec sa 在接口上应用指定的安全策略组。 验证安全联盟。

手工方式

img img

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/wangyuxiang946/article/details/121365077
-- 展开阅读全文 --
Redis底层数据结构--跳跃表
« 上一篇 04-28
BUUCTF Web [强网杯 2019]随便注
下一篇 » 06-24

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复