色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認識你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

華為技術(shù)和ipsec安全策略模擬實驗配置步驟

網(wǎng)絡(luò)技術(shù)干貨圈 ? 來源:網(wǎng)絡(luò)技術(shù)干貨圈 ? 2023-06-26 16:29 ? 次閱讀

2b1ea508-13fb-11ee-962d-dac502259ad0.png

網(wǎng)段地址:
R1
G0/0/0 192.168.1.100 24
G0/0/1 200.1.13.1 24

R3
G0/0/0 200.1.13.2 24
G0/0/1 200.1.23.2 24

R2
G0/0/0 192.168.2.100 24
G0/0/1 200.1.23.1 24

PC1:192.168.1.1 24
PC2:192.168.2.1 24

第一步

配置Security ACL,用于匹配站點間通信網(wǎng)絡(luò)之間的感興趣流。
配置:

[R1-acl-adv-3000]rule2permitipsource192.168.1.00.0.0.255destination192.168.2.00.0.0.255

IPSec使用高級ACL定義需要保護的數(shù)據(jù)流。IPSec根據(jù)ACL的規(guī)則來確定哪些報文需要安全保護,哪些報文不需要安全保護。
在隧道發(fā)起端,匹配(permit)高級ACL的數(shù)據(jù)流將被保護,即經(jīng)過IPSec加密處理后再發(fā)送;不能匹配高級ACL的數(shù)據(jù)流則直接轉(zhuǎn)發(fā)。
在隧道接收端,對數(shù)據(jù)流進行解密,并檢查解密后的數(shù)據(jù)流是否匹配了ACL規(guī)則,丟棄不匹配ACL規(guī)則的報文。

ACL配置原則

1.若不同的數(shù)據(jù)流需要采用不同的安全策略來保護,則需要為之創(chuàng)建不同的ACL。

2.若不同的數(shù)據(jù)流可以采用相同的安全策略來保護,則可以在一條ACL中配置多條rule來保護不同的數(shù)據(jù)流。但是ACL中序列號大的rule不能完全包含序列號小的rule 的內(nèi)容。

3.IPSec兩端ACL規(guī)則定義的協(xié)議類型要一致,如:一端使用IP協(xié)議,另一端也必須使用IP協(xié)議。

4.同一個安全策略組中配置的ACL不能包含相同的rule規(guī)則。采用IKEv2進行協(xié)商時,同一個安全策略組中所有安全策略的引用的ACL的rule之間不能存在交集。

5.建議IPSec隧道兩端配置的ACL規(guī)則互為鏡像,即一端ACL規(guī)則的源地址和目的地址分別為另一端ACL規(guī)則的目的地址和源地址。

第二步

配置IKE安全提議,決定處理IKE流量的安全機制(可選:可以采用默認
IKE安全提議)

IKE對等體通過IKE安全提議來協(xié)商建立IKE SA所需要的
加密算法
認證方法、
認證算法、
Diffie-Hellman組標識
安全聯(lián)盟生存周期

[R1]ikeproposal10(創(chuàng)建IKE安全提議)
[R1-ike-proposal-10]authentication-algorithm?(配置認證算法)
aes-xcbc-mac-96Selectaes-xcbc-mac-96asthehashalgorithm
md5SelectMD5asthehashalgorithm
sha1SelectSHAasthehashalgorithm
sm3Selectsm3asthehashalgorithm
[R1-ike-proposal-10]authentication-algorithmmd5
[R1-ike-proposal-10]encryption-algorithm?(配置加密算法)
3des-cbc168bits3DES-CBC
aes-cbc-128UseAES-128
aes-cbc-192UseAES-192
aes-cbc-256UseAES-256
des-cbc56bitsDES-CBC
[R1-ike-proposal-10]encryption-algorithmaes-cbc-128
[R1-ike-proposal-10]authentication-method?(配置認證方法)
digital-envelopeSelectdigitalenvelopekeyastheauthenticationmethod
pre-shareSelectpre-sharedkeyastheauthenticationmethod
rsa-signatureSelectrsa-signaturekeyastheauthenticationmethod
[R1-ike-proposal-10]authentication-methodpre-share
[R1-ike-proposal-10]dh?(配置Diffie-Hellman組標識)
group1768bitsDiffie-Hellmangroup
group142048bitsDiffie-Hellmangroup
group21024bitsDiffie-Hellmangroup
group51536bitsDiffie-Hellmangroup
[R1-ike-proposal-10]dhgroup2

可選:執(zhí)行命令integrity-algorithm { aes-xcbc-96 | hmac-md5-96 | hmac-sha1-96 |
hmac-sha2-256 | hmac-sha2-384 | hmac-sha2-512 } 配置完整性算法。

[R1-ike-proposal-10]saduration?(配置IKE密鑰有效期)
INTEGER<60-604800>Valueoftime(inseconds),defaultis86400
[R1-ike-proposal-10]saduration10000
配置完成:
[R1-ike-proposal-10]displaythis
[V200R003C00]
#
ikeproposal10
encryption-algorithmaes-cbc-128
dhgroup2
authentication-algorithmmd5
saduration10000
#
return

display ike proposal
//查看IKE默認Proposal,如果沒有特殊安全需求建議保
持默認的IKE Proposal

第三步

配置IKE對等體,
調(diào)用第二步配置的IKE安全提議,
選擇IKE版本(version1/version 2),
配置IKE身份認證參數(shù)
決定IKE version 1第一階段的交換模式,
可以選擇主模式或野蠻模式。

[R1]ikepeerxwl?(配置IKEpeer和IKE版本號)
v1OnlyV1SA'scanbecreated
v2OnlyV2SA'scanbecreated
PleasepressENTERtoexecutecommand
[R1]ikepeerxwlv1

IKEv1要求兩端配置的ACL規(guī)則互為鏡像(IKE方式的IPSec安全策略)或發(fā)起方配置的ACL
規(guī)則為響應(yīng)方的子集(模板方式的IPSec安全策略)。
IKEv2取雙方ACL規(guī)則交集作為協(xié)商結(jié)果。

修改ACL時注意:
ACL參數(shù)的修改是實時生效的,修改后隧道立即被拆除,在下次進行隧道協(xié)商時使用新
的參數(shù)。

[R1-ike-peer-xwl]remote-address?
IP_ADDRIPaddress
STRING<1-254>Hostname
[R1-ike-peer-xwl]remote-address200.1.23.1(配置對端IP地址或地址段。)
[R1-ike-peer-xwl]pre-shared-keycipherhuawei(配置身份認證參數(shù))
[R1-ike-peer-xwl]ike-proposal10(引用已配置的IKE安全提議。)
[R1-ike-peer-xwl]exchange-mode?(配置模式為主模式或者野蠻模式)
aggressiveAggressivemode
mainMainmode
[R1-ike-peer-xwl]exchange-modemain
[R1-ike-peer-xwl]peer-id-type?(配置peer建立時ID的類型)
ipSelectIPaddressasthepeerID
nameSelectnameasthepeerID
配置完成
[R1-ike-peer-xwl]displaythis
[V200R003C00]
#
ikepeerxwlv1
pre-shared-keycipher%$%$}H"z!S,^u*;l(AQmOU4+,.2n%$%$
ike-proposal10
remote-address200.1.23.1
#
return

第四步

配置IPSec安全提議,配置處理實際感興趣的安全機制,
包括封裝模式,ESP的加密與驗證算法,AH的驗證算法。

如果只創(chuàng)建ipsec proposal ,則繼承默認策略

[R1]ipsecproposalxwl(創(chuàng)建安全提議)
[R1-ipsec-proposal-xwl]encapsulation-mode?(配置報文封裝模式)
transportOnlythepayloadofIPpacketisprotected(transportmode)
tunnelTheentireIPpacketisprotected(tunnelmode)
[R1-ipsec-proposal-xwl]encapsulation-modetunnel
[R1-ipsec-proposal-xwl]espauthentication-algorithm?(配置ESP方式采用的認證算法)
md5UseHMAC-MD5-96algorithm
sha1UseHMAC-SHA1-96algorithm
sha2-256UseSHA2-256algorithm
sha2-384UseSHA2-384algorithm
sha2-512UseSHA2-512algorithm
sm3UseSM3algorithm
[R1-ipsec-proposal-xwl]espauthentication-algorithmmd5
[R1-ipsec-proposal-xwl]espencryption-algorithm?(配置ESP協(xié)議使用的加密算法)
3desUse3DES
aes-128UseAES-128
aes-192UseAES-192
aes-256UseAES-256
desUseDES
sm1UseSM1
PleasepressENTERtoexecutecommand
[R1-ipsec-proposal-xwl]espencryption-algorithmaes-128
[R1-ipsec-proposal-xwl]transform?(配置傳送數(shù)據(jù)時采用的安全協(xié)議)
ahAHprotocoldefinedinRFC2402
ah-espESPprotocolfirst,thenAHprotocol
espESPprotocoldefinedinRFC2406
[R1-ipsec-proposal-xwl]transformesp
如果配置為ah
[R1-ipsec-proposal-xwl]ahauthentication-algorithm?
md5UseHMAC-MD5-96algorithm
sha1UseHMAC-SHA1-96algorithm
sha2-256UseSHA2-256algorithm
sha2-384UseSHA2-384algorithm
sha2-512UseSHA2-512algorithm
sm3UseSM3algorithm
配置完成
[R1-ipsec-proposal-xwl]displaythis
[V200R003C00]
#
ipsecproposalxwl
espencryption-algorithmaes-128
#
return

第五步

配置IPSec安全策略,
調(diào)用第一步配置的Security ACL;
第二步配置的IKE Peer;
第三步配置的IPSec安全提議。

模板方式的IPSec安全策略配置原則:
1.IPSec隧道只能有一端配置模板方式的IPSec安全策略,另一端必須配置IKE方式的
IPSec安全策略。
2.一個IPSec策略組中只能有一條安全策略引用安全策略模板,該策略的序號推薦
其它策略的序號大,否則可能導(dǎo)致其它策略不生效。

3.IPSec安全策略模板中ACL、IPSec安全提議和IKE對等體為必選配置,而其它參數(shù)為
可選配置。

4.在IKE協(xié)商時,要求安全策略模板中定義的參數(shù)必須與對端匹配;安全策略模板中
沒有定義的參數(shù)由發(fā)起方來決定,響應(yīng)方接受發(fā)起方的建議。

5.一個安全策略模板可以引用多個IPSec安全提議,在響應(yīng)不同對端發(fā)起的連接時匹
配不同的IPSec安全提議。

6.一個安全策略模板只能引用一條ACL,引用新的ACL時必須先取消引用原有ACL。
如果接口上應(yīng)用了IPSec安全策略,則修改IPSec和IKE的各項參數(shù)時,需注意在修
改IPSec安全策略時可以直接新增或刪除IPSec安全策略或者修改IPSec安全策略中
的各項配置。

對于模板方式建立的IPSec安全策略:
1.修改PFS參數(shù)在下次協(xié)商時生效,對已經(jīng)協(xié)商起來的隧道不生效。
2. 除PFS外的其它參數(shù)只能先在接口上取消應(yīng)用IPSec策略,再進行修改。
pfs 完美向前 第一個密鑰失效后第二個密鑰和第一個密鑰是有關(guān)系的 設(shè)置了pfs后,這密鑰之間沒有關(guān)系

PFS(Perfect Forward Secrecy,完善的前向安全性)是一種安全特性,指一個密鑰被破解,并不影響其他密鑰的安全性,因為這些密鑰間沒有派生關(guān)系。此特性是通過在IKE階段2的協(xié)商中增加密鑰交換來實現(xiàn)的

[R1]ipsecpolicyxwl?
INTEGER<1-10000>ThesequencenumberofIPSecpolicy
sharedShared
[R1]ipsecpolicyxwl10?
isakmpIndicatesuseIKEtoestablishtheIPSecSA
manualIndicatesusemanualtoestablishtheIPSecSA
PleasepressENTERtoexecutecommand
[R1]ipsecpolicyxwl10isakmp
[R1-ipsec-policy-isakmp-xwl-10]ike-peerxwl(調(diào)用第二步配置的IKEPeer)
[R1-ipsec-policy-isakmp-xwl-10]proposalxwl(調(diào)用第二步配置的IKEPeer)
[R1-ipsec-policy-isakmp-xwl-10]securityacl3000(調(diào)用第一步配置的SecurityACL)
配置完成:
[R1-ipsec-policy-isakmp-xwl-10]displaythis
[V200R003C00]
#
ipsecpolicyxwl10isakmp
securityacl3000
ike-peerxwl
proposalxwl
#
Return

第六步

在接口上調(diào)用IPSec安全策略。
[R1]interfaceGigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]ipsecpolicyxwl?
PleasepressENTERtoexecutecommand

配置完成后,需要流量進行激活隧道的建立

[R1]iproute-static192.168.2.024200.1.13.2
[R2]iproute-static192.168.1.024200.1.23.2

查看相關(guān)信息

ipsec第一階段形成ike sa 的通道 使用的是udp 500的流量,源端口,目的端口都是500

2b306824-13fb-11ee-962d-dac502259ad0.png

Reset ike sa all 清除建立的SA 通道

PC1:

2b533bec-13fb-11ee-962d-dac502259ad0.png

協(xié)商后的Iipsec proposal 參數(shù)

2b5e71a6-13fb-11ee-962d-dac502259ad0.png

協(xié)商后的ike peer 參數(shù)

2b7884d8-13fb-11ee-962d-dac502259ad0.png

IKE第二階段

2b8a48a8-13fb-11ee-962d-dac502259ad0.png

IKE第一和第二階段

2ba38c96-13fb-11ee-962d-dac502259ad0.png

審核編輯:湯梓紅
聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • 華為
    +關(guān)注

    關(guān)注

    216

    文章

    34530

    瀏覽量

    252615
  • IPSec
    +關(guān)注

    關(guān)注

    0

    文章

    59

    瀏覽量

    22841
  • 通信網(wǎng)絡(luò)
    +關(guān)注

    關(guān)注

    21

    文章

    2047

    瀏覽量

    52157
  • ACL
    ACL
    +關(guān)注

    關(guān)注

    0

    文章

    61

    瀏覽量

    12005

原文標題:華為技術(shù)&ipsec安全策略模擬實驗配置步驟

文章出處:【微信號:網(wǎng)絡(luò)技術(shù)干貨圈,微信公眾號:網(wǎng)絡(luò)技術(shù)干貨圈】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

收藏 人收藏

    評論

    相關(guān)推薦

    兩臺IR615和華為USG6335E建立IPsecVPN的過程

    安全策略 第四步:配置NAT策略,使trust區(qū)域的10.61.92.0/24導(dǎo)IR302的兩個子網(wǎng)地址不做NAT轉(zhuǎn)換 2、 配置兩臺IR615 第一步:進入VPN—&g
    發(fā)表于 07-24 07:20

    InRouter與Juniper SRX如何建立IPSec隧道配置

    的Hostname為 inhandstation1 2.2 防火墻配置IPSec策略 新增Tunnels 接口,將感興趣流(從10.15.124.0/24 到192.168.1.0
    發(fā)表于 07-25 07:32

    ZigBee接入EPA網(wǎng)絡(luò)的安全策略

    ZigBee接入EPA網(wǎng)絡(luò)的安全策略針對ZigBee技術(shù)的特點,結(jié)合EPA控制網(wǎng)絡(luò)的安全規(guī)范與工業(yè)現(xiàn)場實際應(yīng)用的需要,提出ZigBee接入EPA網(wǎng)絡(luò)的安全策略與基于
    發(fā)表于 03-19 16:47

    華為技術(shù)手冊

    本帖最后由 eehome 于 2013-1-5 09:50 編輯 華為技術(shù)手冊
    發(fā)表于 08-19 23:50

    華為技術(shù)有限公司c語言編程規(guī)范

    華為技術(shù)有限公司c語言編程規(guī)范
    發(fā)表于 03-01 11:55

    IPsec的基礎(chǔ)知識

    。通過定義隧道的特性,定義了敏感數(shù)據(jù)包的安全保護措施。IPsec提供多種技術(shù)和加密模式。但它的工作可以分為五個主要步驟。簡要概述如下:有趣的交通啟動需要監(jiān)控的敏感流量被認為是有趣的。在
    發(fā)表于 08-09 13:50

    ZigBee接入EPA網(wǎng)絡(luò)的安全策略

    針對ZigBee技術(shù)的特點,結(jié)合EPA控制網(wǎng)絡(luò)的安全規(guī)范與工業(yè)現(xiàn)場實際應(yīng)用的需要,提出ZigBee接入EPA網(wǎng)絡(luò)的安全策略與基于安全組態(tài)的實現(xiàn)方法。測試表明,通過
    發(fā)表于 03-18 22:00 ?21次下載

    基于多維整數(shù)空間的安全策略沖突檢測與消解

    針對當前大部分安全策略沖突檢測與消解算法缺少靈活性和擴展性等缺點,提出一種基于多維整數(shù)空間的安全策略形式化描述方法,在此基礎(chǔ)上設(shè)計了一種可擴展的安全策略沖突檢
    發(fā)表于 03-24 08:49 ?13次下載

    右對齊算法解決IPsec安全策略沖突問題

    當前IPsec策略系統(tǒng)的策略設(shè)置方式很可能引起策略沖突。在分析和比較現(xiàn)有策略生成算法的基礎(chǔ)上,提出了右對齊
    發(fā)表于 06-26 08:36 ?9次下載

    系統(tǒng)時間響應(yīng)模擬實驗

    系統(tǒng)時間響應(yīng)模擬實驗   一、概述   通過機械、液壓系統(tǒng)的電子模擬,了解系統(tǒng)的模擬研究方法。研究一
    發(fā)表于 10-15 23:55 ?3296次閱讀
    系統(tǒng)時間響應(yīng)<b class='flag-5'>模擬實驗</b>

    物流中心出貨業(yè)務(wù)模擬實驗

    實驗六  物流中心出貨業(yè)務(wù)模擬實驗一、實驗目的:掌握物流配送中心的貨物發(fā)送業(yè)務(wù)流程,了解物流中心處理貨物的工作流程及特點。二、實驗內(nèi)容:
    發(fā)表于 03-18 18:12 ?1141次閱讀
    物流中心出貨業(yè)務(wù)<b class='flag-5'>模擬實驗</b>

    云計算環(huán)境的多域安全策略驗證管理技術(shù)

    為了有效管理云系統(tǒng)間跨域互操作中安全策略的實施,提出一種適用于云計算環(huán)境的多域安全策略驗證管理技術(shù)。首先,研究了安全互操作環(huán)境的訪問控制規(guī)則和安全
    發(fā)表于 12-15 13:46 ?0次下載
    云計算環(huán)境的多域<b class='flag-5'>安全策略</b>驗證管理<b class='flag-5'>技術(shù)</b>

    NSA發(fā)布IPSec虛擬專用網(wǎng)絡(luò)安全指南,預(yù)先配置的加密套件和IPSec策略

    NSA的VPN安全指南有兩種文檔形式:安全VPN指南和帶有更詳細的配置示例的版本。NSA警告說,許多VPN供應(yīng)商提供了為其設(shè)備預(yù)先配置的加密套件和I
    的頭像 發(fā)表于 07-08 15:31 ?2090次閱讀

    華為防火墻的安全策略配置實例

    今天給大家介紹華為防火墻的安全策略配置實例。本文采用華為eNSP模擬器,設(shè)計了一個USG6000系列防火墻的
    的頭像 發(fā)表于 09-22 09:36 ?8904次閱讀
    <b class='flag-5'>華為</b>防火墻的<b class='flag-5'>安全策略</b><b class='flag-5'>配置</b>實例

    銳捷設(shè)備密碼安全策略

    銳捷設(shè)備密碼安全策略
    的頭像 發(fā)表于 11-27 10:27 ?2074次閱讀
    銳捷設(shè)備密碼<b class='flag-5'>安全策略</b>
    主站蜘蛛池模板: 好大太快了快插穿子宫了 | 青草国产超碰人人添人人碱 | 益日韩欧群交P片内射中文 艺术片 快播 | 伊人网青青草 | a在线免费观看视频 | 国产亚洲精品久久久999蜜臀 | 亚洲人成色777777老人头 | 日韩综合网 | 年轻的老师5理伦片 | 亚洲 自拍 偷拍 另类综合图区 | 午夜成a人片在线观看 | 国产精品久久久久久久久免费下载 | 视频一区在线免费观看 | 天天影视香色欲综合网 | 回复术士人生重启在线观看 | 伊人久久影视 | 亚洲AV久久无码高潮喷水 | 国产一区二区内射最近更新 | 日本无码免费久久久精品 | 啊叫大点声欠CAO的SAO贷 | 久久99re6国产在线播放 | H厨房灌草莓 | 日韩精品 中文字幕 有码 | 70岁妇女牲交色牲片 | 亚洲中文 字幕 国产 综合 | 91麻精品国产91久久久久 | 国产欧美日韩中文视频在线 | 日产日韩亚洲欧美综合搜索 | 亚洲国产精品嫩草影院久久 | 久久伊人电影 | 国产成人精品综合在线观看 | 秋霞电影网午夜鲁丝片无码 | 亚洲精品国产AV成人毛片 | 亚洲女人毛片 | 性做久久久久久久久浪潮 | 男人插曲女人的叫声 | 色欲档案之麻雀台上淫 | 先锋影音av资源站av | 午夜影视不充值观看 | 国产精品人妻无码77777 | 成年免费大片黄在线观看岛国 |