IPsec分析 測試

2022-05-24 18:27:11 字數 2542 閱讀 3255

一   區域網拓撲圖

區域網環境搭建步驟:

(公升級最新版本 ,恢復出廠設定後) 

1 兩台閘道器wan口直連,分別接兩台pc ,

2 區域網網路測試,正常情況下pc1 和pc2 互通 ,測試通過在進行ipsec的配置

(參考    

3 常見問題 兩台電腦 有一邊能ping通,又一邊ping不通  ,可能是兩張網絡卡的原因, 有線 無線 

route print 檢視路由情況  

一台電腦兩張網絡卡,兩個閘道器, 你的資料出去該走那個呢? 有個優先順序, 這裡注意兩個閘道器的問題, 最好就用有線連線 

由於是兩台電腦, 兩台電腦的防火牆都要關掉, 這樣才可以ping的通  ,

wan口有向外ping包檢測機制, 抓wan口的包能看到icmp 

二    ipsec配置  

配置流程:首先配置【ike提議】 -> 然後【ike策略】 -> 【ipsec提議】 -> 【ipsec策略】 ->最後【啟用ipsec功能】

配置修改:對流程配置裡的任意乙個環節進行修改,ipsec策略重新生成配置檔案

傳輸模式和隧道模式的區別 : 這個很重要的, 涉及到nat,在中國人那麼多, 位址轉換就很必要的

1. 配置檔案說明: 

具體引數說明參考:   英文資料, 很詳細的,最後面還有個例子教你怎麼配置 

常用指令說明 :  

原版的才是最好的,我就個人觀點僅供參考 :

racoon.conf  配置檔案分析: 

log notify;    // 

log info;       //啟動後會顯示日記記錄, 這個方便除錯 ,日誌的等級, 等級越高方便除錯, 預設值是info

remote anonymous

}sainfo address 10.10.10.0/24 any address 192.168.10.0/24 any  // 重要概念 sa 安全通道  就表示兩個區域網之間建立隧道  

sainfo anonymous {                                 // 有沒有發現和上面的是一樣的呢? 這個最好還是有個, 對端的匹配不到上面的就會來匹配這個 ,備胎?

remoteid 7665;

pfs_group 2;

authentication_algorithm hmac_md5;

lifetime time 28800 sec;

encryption_algorithm des;

compression_algorithm deflate;

ipsec.conf 

spdadd 192.168.0.0/24 192.168.1.0/24 any -p in  ipsec esp/transport//require

spdadd 192.168.1.0/24 192.168.0.0/24 any -p out ipsec esp/transport//require 

spd : spd 的內容用來存放ipsec 的規則,而這些規則用來定義哪些流量需要走ipsec,這些資訊有目的端ip、**端ip、只執行ah 或esp、同時執行ah 及esp、目的端port、**端port、          走transport 或tunnel 模式  這個就是定義興趣流的 ,所謂興趣流就是就是我對你訪問這個位址感興趣 ,比如上面 你訪問 192.168.1.2  就在我的興趣中  ,命中興趣之後就走隧道  

這個概念一定要先建立起來 , 隧道是單向的  就好比雙車道 , 進來的資料走乙個隧道,出去的走乙個隧道, 

2 .常用指令(詳細及準確參考  -------------> )

setkey -d   看建立狀態    

setkey -dp  看spd  

setkey -df  清除策略

setkey -fp  清除spd 

setkey -c   手動加spd

3 . 防火牆說明 

iptable 的引數說明後面補上 , 

4 資訊**與網路,回報給網路 ,

啟動的流程:

1 通過uci生成配置檔案racoon.conf

2 增加防火牆的規則,開啟埠4500 與500 ,增加策略 執行的指令碼 racoon_ipsec_ipt.sh

3 清除原有的所有策略,興趣流,停止程序,預共享秘鑰需要許可權600/400,然後再把進行拉起來, 再增加策略執行的指令碼是racoon_restart.sh 就是一次重啟

4 訪問興趣流觸發隧道,兩個內網位址之間訪問

IPSec學習小結

近期學習了ipsec的一些基礎知識,在此作個簡短的總結。ipsec是ip層的一套加密協議 包含ah esp ike協議以及一些加密演算法 之所以會出現ipsec協議,是因為ip網路存在一些安全缺陷,比如ip層報文可以被明文看到 資料可能被篡改 源身份不好驗證 可以進行重放攻擊等。針對這些問題,ips...

實驗名稱 IPSec

system view 進系統檢視 enter system view,return user view with ctrl z.huawei sysname ar 1 修改主機名為ar 1 ar 1 int g0 0 0 進介面 ar 1 gigabitethernet0 0 0 ip addre...

IPSEC溫習小計

本文旨在加強對ipsec配置的熟練度和理解的深度,所以有欠缺地方還請指點一二,感激涕零。通過定義ipsec保護的資料流將重要的資料引入ipsec隧道,對流經隧道的資料通過安全協議進行加密,實現在網路上傳輸的安全性。拓撲圖如下所示 全域性網段為192.168.x.x 1 保證網路的可達。介面配置這裡就...