怎樣通過IPsec野蠻模式實現分支之間相互通信呢
一、組網及說明
注:如無特別說明,描述中的 FW1 或 MSR1 對應拓撲中設備名稱末尾數字為 1 的設備,FW2 或 MSR2 對應拓撲中設備名稱末尾數字為 2 的設備,以此類推;另外,同一網段中,IP 地址的主機位為其設備編號,如 FW1 的 g0/0 接口若在 1.1.1.0/24 網段,則其 IP 地址為 1.1.1.1/24,以此類推。
二、實驗需求
FW1代表中心節點,FW2和FW3代表分支。
分支分別和中心節點通信,各分支節點之間可以相互通信。
三、配置步驟
3.1 IP、路由、安全域
FW1
# interfaceLoopBack0 ipaddress10.1.1.1255.255.255.255 # interfaceGigabitEthernet1/0/1 portlink-moderoute comboenablecopper ipaddress2.2.2.1255.255.255.0 ipsecapplypolicyply # security-zonenameLocal # security-zonenameTrust importinterfaceGigabitEthernet1/0/0 importinterfaceGigabitEthernet1/0/1 # iproute-static10.2.2.1321.1.1.2 iproute-static10.3.3.1322.2.2.3 # security-policyip rule0nameany actionpass
FW2
# interfaceLoopBack0 ipaddress10.2.2.1255.255.255.255 # interfaceGigabitEthernet1/0/0 portlink-moderoute comboenablecopper ipaddress1.1.1.2255.255.255.0 ipsecapplypolicyply # security-zonenameLocal # security-zonenameTrust importinterfaceGigabitEthernet1/0/0 importinterfaceGigabitEthernet1/0/1 # iproute-static0.0.0.001.1.1.1 # security-policyip rule0nameany actionpass
FW3
# interfaceLoopBack0 ipaddress10.3.3.1255.255.255.0 # interfaceGigabitEthernet1/0/0 portlink-moderoute comboenablecopper ipaddress2.2.2.3255.255.255.0 ipsecapplypolicyply # security-zonenameLocal # security-zonenameTrust importinterfaceGigabitEthernet1/0/0 importinterfaceGigabitEthernet1/0/1 # iproute-static0.0.0.002.2.2.1 # security-policyip rule0nameany actionpass #
3.2 IKE部分
FW1
# ikekeychaink1 pre-shared-keyhostnamef2keycipher$c$3$rFTHo6O4pPLOHvZEwmSFGc3gjFRY7Q75Qw== # ikekeychaink2 pre-shared-keyhostnamef3keycipher$c$3$lo0leXtmx41UHB7Vxok9kFeOJxZnJZ0miw== # ikeprofilepf keychaink1 keychaink2 dpdinterval10on-demand exchange-modeaggressive local-identityfqdnf1 matchremoteidentityfqdnf2 matchremoteidentityfqdnf3
FW2
# ikekeychaink1 pre-shared-keyaddress1.1.1.1255.255.255.255keycipher$c$3$v44JHWonfkj3w9BqDNkQ+LEIFRiUlBKUgw== # ikeprofilepf keychaink1 exchange-modeaggressive local-identityfqdnf2 matchremoteidentityfqdnf1
FW3
# ikekeychaink1 pre-shared-keyaddress2.2.2.1255.255.255.255keycipher$c$3$PKsnAPnnOgZicN73gXZd3L3ZO9OR3IuS1A== # ikeprofilepf keychaink1 exchange-modeaggressive local-identityfqdnf3 matchremoteidentityfqdnf1
3.3 IPsec部分
FW1
# acladvanced3000 rule0permitipsource10.1.1.10destination10.2.2.10 rule5permitipsource10.1.1.10destination10.3.3.10 rule10permitipsource10.3.3.10destination10.2.2.10 rule15permitipsource10.2.2.10destination10.3.3.10 # ipsectransform-setts espencryption-algorithm3des-cbc espauthentication-algorithmmd5 # ipsecpolicy-templatept1 transform-setts securityacl3000 ike-profilepf # ipsecpolicyply1isakmptemplatept
FW2
# acladvanced3000 rule0permitipsource10.2.2.10destination10.1.1.10 rule5permitipsource10.2.2.10destination10.3.3.10 # ipsectransform-setts espencryption-algorithm3des-cbc espauthentication-algorithmmd5 # ipsecpolicyply1isakmp transform-setts securityacl3000 remote-address1.1.1.1 ike-profilepf
FW3
# acladvanced3000 rule0permitipsource10.3.3.10destination10.1.1.10 rule5permitipsource10.3.3.10destination10.2.2.10 # ipsectransform-setts espencryption-algorithm3des-cbc espauthentication-algorithmmd5 # ipsecpolicyply1isakmp transform-setts securityacl3000 remote-address2.2.2.1 ike-profilepf
四、配置關鍵點
分支和中心節點之間的隧道建立要通過分支來觸發,即FW2向FW1發起訪問,FW3向FW1發起訪問。
分支和分支之間建立隧道需要兩邊觸發,即FW2向FW3發起訪問,FW3向FW2發起訪問。
分支的感興趣流除了目的是中心節點外,還需要包括到分支的。
FW1上的ipsec sa如下:
------------------------------- Interface:GigabitEthernet1/0/0 ------------------------------- ----------------------------- IPsecpolicy:ply Sequencenumber:1 Mode:Template ----------------------------- Tunnelid:1 Encapsulationmode:tunnel PerfectForwardSecrecy: InsideVPN: ExtendedSequenceNumbersenable:N TrafficFlowConfidentialityenable:N Transmittingentity:Responder PathMTU:1444 Tunnel: localaddress:1.1.1.1 remoteaddress:1.1.1.2 Flow: souraddr:10.1.1.1/255.255.255.255port:0protocol:ip destaddr:10.2.2.1/255.255.255.255port:0protocol:ip [InboundESPSAs] SPI:3754823141(0xdfce0de5) ConnectionID:4294967298 Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5 SAduration(kilobytes/sec):1843200/3600 SAremainingduration(kilobytes/sec):1843199/3562 Maxreceivedsequence-number:4 Anti-replaycheckenable:Y Anti-replaywindowsize:64 UDPencapsulationusedforNATtraversal:N Status:Active [OutboundESPSAs] SPI:1056998950(0x3f008626) ConnectionID:4294967299 Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5 SAduration(kilobytes/sec):1843200/3600 SAremainingduration(kilobytes/sec):1843199/3562 Maxsentsequence-number:4 UDPencapsulationusedforNATtraversal:N Status:Active ----------------------------- IPsecpolicy:ply Sequencenumber:1 Mode:Template ----------------------------- Tunnelid:2 Encapsulationmode:tunnel PerfectForwardSecrecy: InsideVPN: ExtendedSequenceNumbersenable:N TrafficFlowConfidentialityenable:N Transmittingentity:Responder PathMTU:1444 Tunnel: localaddress:1.1.1.1 remoteaddress:1.1.1.2 Flow: souraddr:10.3.3.1/255.255.255.255port:0protocol:ip destaddr:10.2.2.1/255.255.255.255port:0protocol:ip [InboundESPSAs] SPI:3260450656(0xc2568760) ConnectionID:4294967300 Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5 SAduration(kilobytes/sec):1843200/3600 SAremainingduration(kilobytes/sec):1843199/3575 Maxreceivedsequence-number:8 Anti-replaycheckenable:Y Anti-replaywindowsize:64 UDPencapsulationusedforNATtraversal:N Status:Active [OutboundESPSAs] SPI:2013923382(0x780a0836) ConnectionID:4294967301 Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5 SAduration(kilobytes/sec):1843200/3600 SAremainingduration(kilobytes/sec):1843199/3575 Maxsentsequence-number:5 UDPencapsulationusedforNATtraversal:N Status:Active ------------------------------- Interface:GigabitEthernet1/0/1 ------------------------------- ----------------------------- IPsecpolicy:ply Sequencenumber:1 Mode:Template ----------------------------- Tunnelid:0 Encapsulationmode:tunnel PerfectForwardSecrecy: InsideVPN: ExtendedSequenceNumbersenable:N TrafficFlowConfidentialityenable:N Transmittingentity:Responder PathMTU:1444 Tunnel: localaddress:2.2.2.1 remoteaddress:2.2.2.3 Flow: souraddr:10.1.1.1/255.255.255.255port:0protocol:ip destaddr:10.3.3.1/255.255.255.255port:0protocol:ip [InboundESPSAs] SPI:2022161426(0x7887bc12) ConnectionID:4294967296 Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5 SAduration(kilobytes/sec):1843200/3600 SAremainingduration(kilobytes/sec):1843199/3554 Maxreceivedsequence-number:4 Anti-replaycheckenable:Y Anti-replaywindowsize:64 UDPencapsulationusedforNATtraversal:N Status:Active [OutboundESPSAs] SPI:3633752750(0xd896aaae) ConnectionID:4294967297 Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5 SAduration(kilobytes/sec):1843200/3600 SAremainingduration(kilobytes/sec):1843199/3554 Maxsentsequence-number:4 UDPencapsulationusedforNATtraversal:N Status:Active ----------------------------- IPsecpolicy:ply Sequencenumber:1 Mode:Template ----------------------------- Tunnelid:3 Encapsulationmode:tunnel PerfectForwardSecrecy: InsideVPN: ExtendedSequenceNumbersenable:N TrafficFlowConfidentialityenable:N Transmittingentity:Responder PathMTU:1444 Tunnel: localaddress:2.2.2.1 remoteaddress:2.2.2.3 Flow: souraddr:10.2.2.1/255.255.255.255port:0protocol:ip destaddr:10.3.3.1/255.255.255.255port:0protocol:ip [InboundESPSAs] SPI:3168528224(0xbcdbe760) ConnectionID:4294967302 Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5 SAduration(kilobytes/sec):1843200/3600 SAremainingduration(kilobytes/sec):1843199/3583 Maxreceivedsequence-number:5 Anti-replaycheckenable:Y Anti-replaywindowsize:64 UDPencapsulationusedforNATtraversal:N Status:Active [OutboundESPSAs] SPI:2761355159(0xa496ef97) ConnectionID:4294967303 Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5 SAduration(kilobytes/sec):1843200/3600 SAremainingduration(kilobytes/sec):1843199/3583 Maxsentsequence-number:5 UDPencapsulationusedforNATtraversal:N Status:Active
實驗結束!
審核編輯:劉清
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。
舉報投訴
-
IPSec
+關注
關注
0文章
59瀏覽量
22841 -
MSR
+關注
關注
0文章
18瀏覽量
8011
原文標題:H3C實驗 | 通過IPsec野蠻模式實現分支之間相互通信
文章出處:【微信號:網絡技術干貨圈,微信公眾號:網絡技術干貨圈】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
設備之間的互聯互通解決方案
實現物聯網的廣泛應用,需要解決設備之間的互聯互通問題。由于不同的設備和傳感器使用不同的通信協議和接口,因此需要一個中間設備來實現不同設備
工廠有多臺PLC時,不同網段之間如何實現相互訪問?
,不同網段的PLC通訊變得尤為重要。 隨著工業網絡的發展和工業4.0概念的推廣,工廠內部通常會構建多層次的網絡架構,包括設備層、控制層和管理層等多個層級。為了確保整個系統的高效運行,不同層級之間需要進行信息交換。此時兩個不同網段的PLC并不能相互通信,但同
ipsec組網通過其加密和驗證機制提供高安全性
ipsec組網是一種在公用網絡上建立專用網絡的技術,它通過在IP層對數據包進行加密和驗證來保證通信的安全性。IPSec VPN通過在公網上為
IPSec VPN解決方案讓遠程辦公更加輕松可靠
隨著信息化技術的發展,各種通信模式也逐漸應用到企業生產經營的各個環節中,越來越多的資源管理系統也得到部署和應用,如ERP系統、OA系統、郵箱系統、財務系統等。企業出差員工、分支機構及合作伙伴都會
深信服防火墻和IR700建立IPSec VPN的配置說明
,拉到最下邊選擇第3方對接,第1階段,并選擇新增。
填寫項目名稱,將設備地址類型選擇為對端是動態ip并設置相應的預共享密鑰,點擊高級。
配置第1階段詳盡參數,模式必須為野蠻模式,并設置FQDN和算法
發表于 07-26 07:43
InRouter與Juniper SRX如何建立IPSec隧道配置?
Task Force (IETF) 定義的安全標準框架,在公網上為兩個私有網絡提供安全通信通道,通過加密通道保證連接的安全——在兩個公共網關間提供私密數據封包服務IPSEC是一套比較完整成體系的VPN
發表于 07-25 07:32
IR915和IR615建立IPsec VPN實現子網互通
如下圖,配置完成后點擊應用并保存
IR615端:
VPN-IPsec隧道配置,點擊新增即可對隧道進行配置
隧道配置如下,對端地址為IR915的固定IP,協商模式選擇野蠻模式,主
發表于 07-24 07:26
如何讓兩個ESP8266可以連續地相互通信?
客戶端,它也起作用,但現在我想設置兩個ESP8266以便它連續相互通信,為此我花了很多天的時間,但沒有找到任何可以幫助我這樣做的示例代碼,如果有任何示例代碼準備好,請發送我。謝謝。。
發表于 07-12 10:12
ESP32 WIFI SOFTAP模式可以有多個STA連接到它并讓STA相互通信嗎?
我不清楚SOFT AP是否可以像一個普通的 AP 那樣,可以有多個 STA 連接到它并讓 STA 相互通信?
發表于 06-20 06:27
PLC之間是互通的嗎
在工業自動化領域中,PLC(可編程邏輯控制器)的應用日益廣泛,其強大的控制功能和靈活的編程方式使得它在各種復雜的生產環境中都能發揮出關鍵的作用。而在這些應用中,PLC之間的互通性顯得尤為重要,它不僅能夠實現設備
SSL 、IPSec、MPLS和SD-WAN的對比分析
? VPN類型 實現方式? 應用場景? 優勢 SSL VPN 基于SSL/TLS協議 傳輸層加密 遠程訪問企業 內部資源 易于部署和管理 無需額外客戶端 IPSec VPN 基于IPsec協議,網絡
G474的FDCAN在回環模式下可以正常收發,但是在正常模式下兩塊主板無法相互通訊是什么原因?
G474 的FDCAN在回環模式下可以正常收發,但是在正常模式下兩塊主板無法相互通訊。切換成經典模式可以實現兩個主板通訊,但是在FDCAN
發表于 03-08 08:04
SD-WAN案例:總部(MPLS)與分支(普通寬帶)的互聯互通
某制造業企業面臨著總部采用MPLS專線而分支機構使用普通寬帶的網絡互聯挑戰。這種情況下,如何降低網絡成本,提高網絡效率成為當前亟需解決的問題。本文將介紹該企業如何通過部署SD-WAN實現互聯互
工商網監
評論