IPSEC溫習小計

2021-10-08 08:50:02 字數 2618 閱讀 7590

本文旨在加強對ipsec配置的熟練度和理解的深度,所以有欠缺地方還請指點一二,感激涕零。

通過定義ipsec保護的資料流將重要的資料引入ipsec隧道,對流經隧道的資料通過安全協議進行加密,實現在網路上傳輸的安全性。

拓撲圖如下所示:

全域性網段為192.168.x.x

1、保證網路的可達。

介面配置這裡就省略了。

[r4]ip route-static 192.168.20.0 255.255.255.0 192.168.30.2 


[r5]ip route-static 192.168.10.0 255.255.255.0 192.168.30.1
2、建立感興趣流

[r4]acl number 3000


[r4-acl-adv-3000]rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255


[r5]acl number 3000


[r5-acl-adv-3000]rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
3、建立ipsec提議

[r4]ipsec  proposal ipsec  


[r4-ipsec-proposal-ipsec] esp encryption-algorithm 3des 


[r5]ipsec proposal ipsec 


[r5-ipsec-proposal-ipsec] esp encryption-algorithm 3des
4、建立ike提議

[r4]ike  proposal  1


[r4-ike-proposal-1]authentication-algorithm md5 


[r4-ike-proposal-1]encryption-algorithm 3des-cbc 


[r5]ike proposal 1


[r5-ike-proposal-1]authentication-algorithm md5 


[r5-ike-proposal-1]encryption-algorithm 3des-cbc
5、配置ike對等體

[r4]ike peer ipsec v1


[r4-ike-peer-ipsec] pre-shared-key cipher huawei


[r4-ike-peer-ipsec]local-address 192.168.30.1


[r4-ike-peer-ipsec]remote-address 192.168.30.2


[r5]ike peer ipsec v1


[r5-ike-peer-ipsec] pre-shared-key cipher huawei


[r5-ike-peer-ipsec]local-address 192.168.30.2


[r5-ike-peer-ipsec]remote-address 192.168.30.1
6、建立安全策略

[r4]ipsec  policy sec  1 isakmp  


[r4-ipsec-policy-isakmp-sec-1]security acl 3000


[r4-ipsec-policy-isakmp-sec-1]ike-peer ipsec


[r4-ipsec-policy-isakmp-sec-1]proposal ipsec


[r5]ipsec policy sec 1 isakmp 


[r5-ipsec-policy-isakmp-sec-1]security acl 3000


[r5-ipsec-policy-isakmp-sec-1]ike-peer ipsec


[r5-ipsec-policy-isakmp-sec-1]proposal ipsec
7、介面下呼叫

[r4]inte***ce gigabitethernet0/0/1


[r4-gigabitethernet0/0/1]ipsec policy sec


[r5]inte***ce gigabitethernet0/0/1


[r5-gigabitethernet0/0/1]ipsec policy sec
抓包分析:

使用的埠號(源/目的)udp500,最下面(isakmp)則是秘鑰管理協議…我還知道啥,裡面的也看不太懂…

咱下次在繼續哈…

IPSec學習小結

近期學習了ipsec的一些基礎知識,在此作個簡短的總結。ipsec是ip層的一套加密協議 包含ah esp ike協議以及一些加密演算法 之所以會出現ipsec協議,是因為ip網路存在一些安全缺陷,比如ip層報文可以被明文看到 資料可能被篡改 源身份不好驗證 可以進行重放攻擊等。針對這些問題,ips...

實驗名稱 IPSec

system view 進系統檢視 enter system view,return user view with ctrl z.huawei sysname ar 1 修改主機名為ar 1 ar 1 int g0 0 0 進介面 ar 1 gigabitethernet0 0 0 ip addre...

簡單ipsec實驗

簡單ipsec實驗 實驗拓撲 需求如上圖 第一步先配置好各裝置的ip位址,然後分別在r1 r3分別配置一條靜態路由使網路可達 第二步再配置acl,來選擇出需要進行ipsec處理的興趣流 r1 acl adv 3000 rule permit ip source 192.168.10.0 0.0.0....